Trang Chính
Đôi khi Group Policy
Management Console (GPMC) sẽ không cung cấp đủ khả năng linh hoạt trong
việc thực hiện nhiệm vụ lớn. Trong trường hợp thiết lập, thay đổi hay gỡ
bỏ những ủy nhiệm đối với một số lượng lớn các GPO, thì GPMC có thể
khiến bạn gặp một số khó khăn hay có thể nói là cồng kềnh.
Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn một cách khác
hoàn toàn dễ dàng hơn rất nhiều. Giải pháp ở đây là sử dụng việc lập
kịch bản GPMC của Microsoft. Các kịch bản này có khá nhiều và cũng đã
được cập nhật, nâng cấp để hỗ trợ cho Windows Vista và Windows Server
2008. Với chúng, bạn hoàn toàn có thể thay đổi các điều khoản trên một
hoặc tất cả các GPO một cách dễ dàng.
Các ủy nhiệm đối với GPO
Trước
khi bắt đầu việc lập kịch bản và tự động ủy nhiệm cho các GPO, có một
vấn đề quan trọng cần lưu ý đó là bạn phải biết mình có những tùy chọn
(option) nào. Tất cả ủy nhiệm được liệt kê dưới đây có thể được thiết
lập bằng sử dụng GPMC, tuy nhiên phương pháp đó có thể gây tốn nhiều
thời gian. Với việc quản lý GPO, bạn có các tùy chọn sau:
Tạo các GPO
Đây
là một nhiệm vụ được ủy nhiệm cho toàn bộ miền, tuy nhiên nó được cấu
hình tại nút Group Policy Objects bên trong GPMC, xem trong hình 1.
Hình 1: Sự sáng tạo của các GPO là một uỷ nhiệm trung tâm miền
Liên kết GPO
Khả
năng liên kết GPO đến một nút trong Active Directory là rất mạnh. Khi
GPO được liên kết, các đối tượng dưới nút (miền, site hoặc các đơn vị tổ
chức) sẽ bắt đầu một cách hoàn toàn tự động để nhận thiết lập chính
sách trong các GPO được liên kết. Hình 2 minh chứng tùy chọn ủy thác cho
các GPO đang liên kết với một nút.
Hình 2: Các GPO đang liên kết được ủy thác ở mức Site, miền hoặt đơn vị tổ chức
Soạn thảo quản lý các GPO
Khả
năng soạn thảo GPO là một chức năng tuyệt vời, đặc biệt nếu GPO đó đã
được liên kết với một nút trong Active Directory. Chính vì vậy cần phải
kiểm soát những ai có thể soạn thảo là một điểm mấu chốt. Có hai mức
soạn thảo, một mức cho phép xóa và thay đổi độ bảo mật cho GPO. Các ủy
thác này được thực hiện ở mức GPO, như thể hiện trong hình 3.
Hình 3: Soạn thảo và quản lý (hoàn toàn) các GPO được ủy thác trên một GPO bởi GPO cơ sở
Sử dụng các kịch bản GPMC để tự động hóa sự ủy thác bảo mật GPO
Các
kịch bản GPMC cho phép bạn có thể tạo các thay đổi tương tự đối với
việc bảo mật GPO mà GPMC GUI thực hiện, tuy nhiên nó cho phép bạn có thể
thực hiện các nhiệm vụ lớn hơn với thời gian nhanh hơn. Giả dụ rằng bạn
đã cài đặt Advanced Group Policy Management (AGPM) của Microsoft. Trước
khi có thể sử dụng AGPM, bạn phải thay đổi các điều khoản đối với tất
cả các GPO bên trong GPMC để bảo đảm rằng các quản trị viên không thể
soạn thảo chúng thông qua GPMC. Nếu đều này không được thực hiện thì GPO
trong sản xuất (được giới thiệu trong GPMC) có thể dễ mất đồng bộ với
GPO mà bạn import vào trong môi trường AGPM. Để gỡ bỏ và thiết lập lại
các điều khoản cho nhiều GPO nhằm mục đích thiết lập thì đây hoàn toàn
là một nhiệm vụ khó khăn. Mặc dù vậy, với kịch bản
GrantPermissionOnAllGPOs.wsf, nhiệm vụ này có thể được thực hiện một
cách nhanh chóng! Các kịch bản của GPMC khác cũng thực hiện các chức
năng tương tự như được mô tả bên dưới.
Lưu ý:
Để download các kịch bản GPMC, bạn hãy vào địa chỉ sau [You must be registered and logged in to see this link.].
GrantPermissionOnAllGPOs.wsf
Kịch
bản này sẽ thừa nhận một điều khoản nào đó cho một người dùng hoặc một
nhóm trong tất cả GPO nằm trong miền. Vấn đề này sẽ xuất hiện đối với
GPO thậm chí nó không được liên kết với nút Active Directory. Khóa
chuyển đổi thay thế này rất hữu dụng vì nó có thể gỡ bỏ các điều khoản
đang tồn tại và thay thế bằng các điều khoản mới. Nếu một điều khoản
được chỉ định cho một nhóm bảo mật nào đó đã tồn tại trên danh sách điều
khoản cho GPO thì hai điều khoản cao hơn sẽ được thay thế trong nhóm
bảo mật (trừ khi khóa chuyển đổi thay thế này được sử dụng)
Cú pháp
Usage: GrantPermissionOnAllGPOs.wsf GroupName /Permission:value [/Replace] [/Q] [/Domain:value]
GroupName: The security principal to grant permissions to
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or 'None'
Replace: Specifies that any existing permissions should be replaced
Q: Quiet mode - do not display a warning before executing the script
Domain: DNS name of domain
Ví dụ
cscript GrantPermissionOnAllGPOs.wsf "GPO Admins" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Warning! By executing this script, all GPOs in the target domain will be updated with the desired security setting.
Both
the Active Directory and Sysvol portions of the GPO will be updated.
This will result in the Sysvol contents of every GPO being copied to all
replica domain controllers, and may cause excessive replication traffic
in your domain.
If you have slow network links or restricted
bandwidth between your domain controllers, you should check the amount
of data on the Sysvol that would be replicated before performing this
task.
Do you want to proceed? [Y/N] y
Updated GPO 'Default Domain Policy' to 'Edit' for GPO Admins
Updated GPO 'Default Domain Controllers Policy' to 'Edit' for GPO Admins
SetGPOCreationPermissions.wsf
Kịch bản này cho phép hoặc gỡ bỏ khả năng tạo các GPO trong một miền đối với một nhóm bảo mật hoặc người dùng nào đó.
Cú pháp
Usage: SetGPOCreationPermissions.wsf Group [/Remove] [/Domain:value]
Group: The security group to grant GPO creation rights to
Remove: Removes the permission instead of granting it
Domain: DNS name of domain
Ví dụ và đầu ra
cscript SetGPOCreationPermissions.wsf "GPO Admins"
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added 'GPO Admins' as having GPO creation rights in Fabrikam.com.
SetGPOPermissions.wsf
Kịch
bản này sẽ thiết lập các điều khoản trên GPO đã được định nghĩa từ
trước cho nhóm đã định nghĩa. Tất cả các kịch bản khác cũng đều phải có
cú pháp của kịch bản và đầu ra. Kịch bản này sẽ lỗi nếu bạn không định
nghĩa các đối số cho nó.
Cú pháp
Usage: SetGPOPermissions.wsf: /Permission:
[/Replace] [/Domain:]
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or 'None'
Replace: Specifies that any existing permissions should be replaced
Domain: DNS name of domain
Ví dụ và đầu ra
cscript SetGPOPermissions.wsf "Hardened Server GPO" "Server Operators" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Modified GPO Hardened Server GPO to give Server Operators Edit rights.
SetGPOPermissionsBySOM.wsf
Kịch
bản này cho phép một điều khoản nào đó cho mục đính bảo mật đã được chỉ
định đối với tất cả các GPO nằm trong SOM của site, miền, hoặc khối tổ
chức đã nhắm đến. Kiểm soát hoàn toàn được cho phép với kịch bản này và
các khóa chuyển đổi, như thay thế hoặc không, các tùy chọn đệ quy cho
phép bạn có thể biến đổi điều khoản và phạm vi của điều khoản.
Cú pháp
Usage: SetGPOPermissionsBySOM.wsf SOM Group /Permission:value [/Replace] [/Recursive] [/Domain:value]
SOM: The name of the site, domain or OU to process
Group: The name of the group or user to grant permissions to
Permission: The permission to grant. Can be 'None', 'Read', 'Apply', 'Edit' or 'FullEdit'
Replace:
Replaces any existing permissions for the specified trustee. Otherwise,
the script simply ensures that the trustee has at least the permission
level specified
Recursive: Applies the changes to all child OUs as well
Domain: DNS name of domain
Ví dụ và đầu ra
Trong
ví dụ này, có một lỗi nhưng kịch bản vẫn chạy, khóa chuyển đổi
/Recursive đã được sử dụng trong ví dụ và không có GPO được liên kết từ
trước trong Test OU.
cscript SetGPOPermissionsBySOM.wsf Servers "Server Operators" /Permission:Read /Recursive
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Updating all GPOs linked to OU Servers to give Read rights to Server Operators
Updating all GPOs linked to OU Model Office to give Read rights to Server Operators
Updating permissions on linked GPO 'Hardened Server GPO'
Updating all GPOs linked to OU Production to give Read rights to Server Operators
Updating permissions on linked GPO 'Hardened Server GPO'
Updating all GPOs linked to OU Test to give Read rights to Server Operators
Error getting SOM CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Fabrikam,DC=com
SetSOMPermissions.wsf
Kịch
bản này nhắm đến sự ủy thác có thể được thiết lập cho các nút Active
Directory, nơi mà các GPO có thể được liên kết. Vì đây là một chức năng
chỉ ảnh hưởng đến các điều khoản thích hợp nên chỉ có các bộ điều khiển
miền của Windows Server 2003 hoặc 2008 thì điều khoản RSoP Planning mới
có thể được nâng mức.
Cú pháp
Usage: SetSOMPermissions.wsf SOM Group /Permission:value [/Inherit] [/Domain:value]
Options:
SOM: The name of the site, domain or OU to process
Group: The name of the group or user to grant permissions to
Permission: The permission to grant. Can be 'LinkGPOs', 'RSoPLogging', 'RSoPPlanning', 'All' or 'None'
Inherit: Specifies the permission should be inherited by all child containers
Domain: DNS name of domain
Ví dụ và đầu ra
Trong 2 ví dụ này, RSOPLogging đã được bổ sung và sau đó RSOPLogging được bổ sung vào tất cả các GPO.
cscript SetSOMPermissions.wsf Servers "server operators" /Permission:RSOPLogging /inherit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added the 'RSoP Logging Mode' permission for server operators.
cscript SetSOMPermissions.wsf Servers "server operators" /Permission:RSOPPlanning /inherit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added the 'RSoP Planning Mode' permission for server operators.
Kết luận
Các
kịch bản GPMC có thể giúp bạn tiết kiệm được rất nhiều thời gian khi
cần thực hiện các vấn đề ủy nhiệm trên một số GPO và hầu như cần thiết
khi bạn cần thay đổi các GPO trong miền. Chúng cũng dễ dàng trong sử
dụng, có đầy đủ khả năng quản lý tất cả các khía cạnh ủy nhiệm GPMC, và
thêm vào đó là bạn có thể download chúng hoàn toàn miễn phí. Sau khi
download các kịch bản này, những việc cần làm đó là quyết định xem sự ủy
thác nào mà bạn cần thực hiện, khởi chạy kịch bản, thiết lập các khóa
chuyển đổi.
Management Console (GPMC) sẽ không cung cấp đủ khả năng linh hoạt trong
việc thực hiện nhiệm vụ lớn. Trong trường hợp thiết lập, thay đổi hay gỡ
bỏ những ủy nhiệm đối với một số lượng lớn các GPO, thì GPMC có thể
khiến bạn gặp một số khó khăn hay có thể nói là cồng kềnh.
Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho các bạn một cách khác
hoàn toàn dễ dàng hơn rất nhiều. Giải pháp ở đây là sử dụng việc lập
kịch bản GPMC của Microsoft. Các kịch bản này có khá nhiều và cũng đã
được cập nhật, nâng cấp để hỗ trợ cho Windows Vista và Windows Server
2008. Với chúng, bạn hoàn toàn có thể thay đổi các điều khoản trên một
hoặc tất cả các GPO một cách dễ dàng.
Các ủy nhiệm đối với GPO
Trước
khi bắt đầu việc lập kịch bản và tự động ủy nhiệm cho các GPO, có một
vấn đề quan trọng cần lưu ý đó là bạn phải biết mình có những tùy chọn
(option) nào. Tất cả ủy nhiệm được liệt kê dưới đây có thể được thiết
lập bằng sử dụng GPMC, tuy nhiên phương pháp đó có thể gây tốn nhiều
thời gian. Với việc quản lý GPO, bạn có các tùy chọn sau:
Tạo các GPO
Đây
là một nhiệm vụ được ủy nhiệm cho toàn bộ miền, tuy nhiên nó được cấu
hình tại nút Group Policy Objects bên trong GPMC, xem trong hình 1.
Hình 1: Sự sáng tạo của các GPO là một uỷ nhiệm trung tâm miền
Liên kết GPO
Khả
năng liên kết GPO đến một nút trong Active Directory là rất mạnh. Khi
GPO được liên kết, các đối tượng dưới nút (miền, site hoặc các đơn vị tổ
chức) sẽ bắt đầu một cách hoàn toàn tự động để nhận thiết lập chính
sách trong các GPO được liên kết. Hình 2 minh chứng tùy chọn ủy thác cho
các GPO đang liên kết với một nút.
Hình 2: Các GPO đang liên kết được ủy thác ở mức Site, miền hoặt đơn vị tổ chức
Soạn thảo quản lý các GPO
Khả
năng soạn thảo GPO là một chức năng tuyệt vời, đặc biệt nếu GPO đó đã
được liên kết với một nút trong Active Directory. Chính vì vậy cần phải
kiểm soát những ai có thể soạn thảo là một điểm mấu chốt. Có hai mức
soạn thảo, một mức cho phép xóa và thay đổi độ bảo mật cho GPO. Các ủy
thác này được thực hiện ở mức GPO, như thể hiện trong hình 3.
Hình 3: Soạn thảo và quản lý (hoàn toàn) các GPO được ủy thác trên một GPO bởi GPO cơ sở
Sử dụng các kịch bản GPMC để tự động hóa sự ủy thác bảo mật GPO
Các
kịch bản GPMC cho phép bạn có thể tạo các thay đổi tương tự đối với
việc bảo mật GPO mà GPMC GUI thực hiện, tuy nhiên nó cho phép bạn có thể
thực hiện các nhiệm vụ lớn hơn với thời gian nhanh hơn. Giả dụ rằng bạn
đã cài đặt Advanced Group Policy Management (AGPM) của Microsoft. Trước
khi có thể sử dụng AGPM, bạn phải thay đổi các điều khoản đối với tất
cả các GPO bên trong GPMC để bảo đảm rằng các quản trị viên không thể
soạn thảo chúng thông qua GPMC. Nếu đều này không được thực hiện thì GPO
trong sản xuất (được giới thiệu trong GPMC) có thể dễ mất đồng bộ với
GPO mà bạn import vào trong môi trường AGPM. Để gỡ bỏ và thiết lập lại
các điều khoản cho nhiều GPO nhằm mục đích thiết lập thì đây hoàn toàn
là một nhiệm vụ khó khăn. Mặc dù vậy, với kịch bản
GrantPermissionOnAllGPOs.wsf, nhiệm vụ này có thể được thực hiện một
cách nhanh chóng! Các kịch bản của GPMC khác cũng thực hiện các chức
năng tương tự như được mô tả bên dưới.
Lưu ý:
Để download các kịch bản GPMC, bạn hãy vào địa chỉ sau [You must be registered and logged in to see this link.].
GrantPermissionOnAllGPOs.wsf
Kịch
bản này sẽ thừa nhận một điều khoản nào đó cho một người dùng hoặc một
nhóm trong tất cả GPO nằm trong miền. Vấn đề này sẽ xuất hiện đối với
GPO thậm chí nó không được liên kết với nút Active Directory. Khóa
chuyển đổi thay thế này rất hữu dụng vì nó có thể gỡ bỏ các điều khoản
đang tồn tại và thay thế bằng các điều khoản mới. Nếu một điều khoản
được chỉ định cho một nhóm bảo mật nào đó đã tồn tại trên danh sách điều
khoản cho GPO thì hai điều khoản cao hơn sẽ được thay thế trong nhóm
bảo mật (trừ khi khóa chuyển đổi thay thế này được sử dụng)
Cú pháp
Usage: GrantPermissionOnAllGPOs.wsf GroupName /Permission:value [/Replace] [/Q] [/Domain:value]
GroupName: The security principal to grant permissions to
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or 'None'
Replace: Specifies that any existing permissions should be replaced
Q: Quiet mode - do not display a warning before executing the script
Domain: DNS name of domain
Ví dụ
cscript GrantPermissionOnAllGPOs.wsf "GPO Admins" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Warning! By executing this script, all GPOs in the target domain will be updated with the desired security setting.
Both
the Active Directory and Sysvol portions of the GPO will be updated.
This will result in the Sysvol contents of every GPO being copied to all
replica domain controllers, and may cause excessive replication traffic
in your domain.
If you have slow network links or restricted
bandwidth between your domain controllers, you should check the amount
of data on the Sysvol that would be replicated before performing this
task.
Do you want to proceed? [Y/N] y
Updated GPO 'Default Domain Policy' to 'Edit' for GPO Admins
Updated GPO 'Default Domain Controllers Policy' to 'Edit' for GPO Admins
SetGPOCreationPermissions.wsf
Kịch bản này cho phép hoặc gỡ bỏ khả năng tạo các GPO trong một miền đối với một nhóm bảo mật hoặc người dùng nào đó.
Cú pháp
Usage: SetGPOCreationPermissions.wsf Group [/Remove] [/Domain:value]
Group: The security group to grant GPO creation rights to
Remove: Removes the permission instead of granting it
Domain: DNS name of domain
Ví dụ và đầu ra
cscript SetGPOCreationPermissions.wsf "GPO Admins"
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added 'GPO Admins' as having GPO creation rights in Fabrikam.com.
SetGPOPermissions.wsf
Kịch
bản này sẽ thiết lập các điều khoản trên GPO đã được định nghĩa từ
trước cho nhóm đã định nghĩa. Tất cả các kịch bản khác cũng đều phải có
cú pháp của kịch bản và đầu ra. Kịch bản này sẽ lỗi nếu bạn không định
nghĩa các đối số cho nó.
Cú pháp
Usage: SetGPOPermissions.wsf: /Permission:
[/Replace] [/Domain:]
Permission: The permission level to set. Can be 'Read', 'Apply', 'Edit', 'FullEdit' or 'None'
Replace: Specifies that any existing permissions should be replaced
Domain: DNS name of domain
Ví dụ và đầu ra
cscript SetGPOPermissions.wsf "Hardened Server GPO" "Server Operators" /Permission:Edit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Modified GPO Hardened Server GPO to give Server Operators Edit rights.
SetGPOPermissionsBySOM.wsf
Kịch
bản này cho phép một điều khoản nào đó cho mục đính bảo mật đã được chỉ
định đối với tất cả các GPO nằm trong SOM của site, miền, hoặc khối tổ
chức đã nhắm đến. Kiểm soát hoàn toàn được cho phép với kịch bản này và
các khóa chuyển đổi, như thay thế hoặc không, các tùy chọn đệ quy cho
phép bạn có thể biến đổi điều khoản và phạm vi của điều khoản.
Cú pháp
Usage: SetGPOPermissionsBySOM.wsf SOM Group /Permission:value [/Replace] [/Recursive] [/Domain:value]
SOM: The name of the site, domain or OU to process
Group: The name of the group or user to grant permissions to
Permission: The permission to grant. Can be 'None', 'Read', 'Apply', 'Edit' or 'FullEdit'
Replace:
Replaces any existing permissions for the specified trustee. Otherwise,
the script simply ensures that the trustee has at least the permission
level specified
Recursive: Applies the changes to all child OUs as well
Domain: DNS name of domain
Ví dụ và đầu ra
Trong
ví dụ này, có một lỗi nhưng kịch bản vẫn chạy, khóa chuyển đổi
/Recursive đã được sử dụng trong ví dụ và không có GPO được liên kết từ
trước trong Test OU.
cscript SetGPOPermissionsBySOM.wsf Servers "Server Operators" /Permission:Read /Recursive
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Updating all GPOs linked to OU Servers to give Read rights to Server Operators
Updating all GPOs linked to OU Model Office to give Read rights to Server Operators
Updating permissions on linked GPO 'Hardened Server GPO'
Updating all GPOs linked to OU Production to give Read rights to Server Operators
Updating permissions on linked GPO 'Hardened Server GPO'
Updating all GPOs linked to OU Test to give Read rights to Server Operators
Error getting SOM CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Fabrikam,DC=com
SetSOMPermissions.wsf
Kịch
bản này nhắm đến sự ủy thác có thể được thiết lập cho các nút Active
Directory, nơi mà các GPO có thể được liên kết. Vì đây là một chức năng
chỉ ảnh hưởng đến các điều khoản thích hợp nên chỉ có các bộ điều khiển
miền của Windows Server 2003 hoặc 2008 thì điều khoản RSoP Planning mới
có thể được nâng mức.
Cú pháp
Usage: SetSOMPermissions.wsf SOM Group /Permission:value [/Inherit] [/Domain:value]
Options:
SOM: The name of the site, domain or OU to process
Group: The name of the group or user to grant permissions to
Permission: The permission to grant. Can be 'LinkGPOs', 'RSoPLogging', 'RSoPPlanning', 'All' or 'None'
Inherit: Specifies the permission should be inherited by all child containers
Domain: DNS name of domain
Ví dụ và đầu ra
Trong 2 ví dụ này, RSOPLogging đã được bổ sung và sau đó RSOPLogging được bổ sung vào tất cả các GPO.
cscript SetSOMPermissions.wsf Servers "server operators" /Permission:RSOPLogging /inherit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added the 'RSoP Logging Mode' permission for server operators.
cscript SetSOMPermissions.wsf Servers "server operators" /Permission:RSOPPlanning /inherit
Microsoft (R) Windows Script Host Version 5.7
Copyright (C) Microsoft Corporation. All rights reserved.
Added the 'RSoP Planning Mode' permission for server operators.
Kết luận
Các
kịch bản GPMC có thể giúp bạn tiết kiệm được rất nhiều thời gian khi
cần thực hiện các vấn đề ủy nhiệm trên một số GPO và hầu như cần thiết
khi bạn cần thay đổi các GPO trong miền. Chúng cũng dễ dàng trong sử
dụng, có đầy đủ khả năng quản lý tất cả các khía cạnh ủy nhiệm GPMC, và
thêm vào đó là bạn có thể download chúng hoàn toàn miễn phí. Sau khi
download các kịch bản này, những việc cần làm đó là quyết định xem sự ủy
thác nào mà bạn cần thực hiện, khởi chạy kịch bản, thiết lập các khóa
chuyển đổi.