Cú lỡ tay nghiêm trọng: Script tắt máy khiến toàn bộ hệ thống công ty tê liệt

Cú lỡ tay nghiêm trọng: Script tắt máy khiến toàn bộ hệ thống công ty tê liệt

Một quản trị viên hệ thống vừa chia sẻ câu chuyện "ám ảnh" khi vô tình tạo ra vòng lặp tắt máy cho toàn bộ thiết bị trong công ty. Do sai sót trong việc áp dụng Group Policy, mọi máy tính, kể cả máy chủ và laptop của CEO, đều bị tắt ngay lập tức khi khởi động, khiến hệ thống mạng sụp đổ hoàn toàn.

Sự cố "chấn động" tại văn phòng

Câu chuyện được chia sẻ trên diễn đàn Reddit bởi một người dùng tự nhận là sắp bị sa thải. Theo đó, ban lãnh đạo yêu cầu tất cả máy tính cá nhân (PC) trong công ty phải tự động tắt vào lúc 8 giờ tối để tiết kiệm điện năng.

Để thực hiện yêu cầu này, quản trị viên đã tạo một Group Policy Object (GPO) chứa một đoạn script batch với lệnh shutdown /s /t 0. Lệnh này yêu cầu hệ thống tắt ngay lập tức mà không có thời gian chờ.

Sai lầm chết người trong cấu hình

Thay vì liên kết GPO này với thư mục "Computers" (Máy tính) cụ thể, người này đã vô tình áp dụng nó vào root của domain (gốc miền). Điều này có nghĩa là chính sách được áp dụng cho mọi đối tượng trong miền mạng.

Tệ hơn nữa, quản trị viên quên thiết lập bộ kích hoạt thời gian (time trigger). Kết quả là, ngay khi GPO được cập nhật, lệnh tắt máy được thực thi lập tức.

Hậu quả không thể cứu vãn

Hệ quả là thảm khốc. Mọi máy tính trong công ty, bao gồm cả các Domain Controllers (Bộ điều khiển miền) quan trọng nhất và chiếc laptop của CEO, đều bị tắt nguồn ngay khi khởi động xong.

Vấn đề nằm ở chỗ: khi máy tính khởi động, nó nhận được GPO mới và thực thi lệnh tắt máy ngay lập tức. Điều này tạo ra một vòng lặp khởi động lại (reboot loop) không thể dừng lại.

Người quản trị viên thừa nhận rằng họ không thể giữ máy chủ hoạt động đủ lâu để xóa bỏ GPO gây ra sự cố. Toàn bộ công ty hiện đang "offline" hoàn toàn.

"Tôi đang run rẩy tại bàn làm việc. Tôi không thể giữ máy chủ hoạt động đủ lâu để xóa GPO. Tôi phải làm sao bây giờ?!", quản trị viên này viết.

Bài học đắt giá cho các quản trị viên

Câu chuyện này là một lời cảnh tỉnh lớn về tầm quan trọng của việc kiểm thử và phân quyền trong quản trị hệ thống:

• Kiểm thử trong môi trường cô lập: Luôn thử nghiệm các GPO mới trên một nhóm máy tính thử nghiệm (test OU) trước khi áp dụng cho toàn bộ hệ thống.
• Phạm vi áp dụng: Hãy chắc chắn rằng bạn đang liên kết GPO đúng Organizational Unit (OU) và không vô tình áp dụng cho root domain.
• Sử dụng bộ lọc: Sử dụng WMI filters hoặc nhóm bảo mật (security groups) để đảm bảo chỉ những máy tính mục tiêu mới nhận được chính sách.

Hiện tại, câu chuyện vẫn đang gây tranh cãi lớn trong cộng đồng kỹ thuật về cách khắc phục nhanh nhất, thường là phải ngắt kết nối mạng (unplug network cable) của các máy chủ để can thiệp thủ công.