آشنایی با Group Policy

[Nethunter]

Group Policy ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کامپیوتر کلاینت ها را (به صورت مرکزی) مدیریت کنید. Group Policy می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود. برای ساختن یک تنظیم خاص باید یک ( GPO ( Group Policy Object ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy نیز داشته باشد.

- Local Group Policy : حتما با معنای واژه Local آشنایی دارید، یک Local Group Policy یعنی Group Policy هر کامپیوتر در خودش ذخیره شود و در واقع زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. یک Local Group Policy فقط روی همان کامپیوتری که در آن قرار دارد اعمال می شود و nonLocal Group Policy ها ارجحیت بیشتری نسبت به Local Group Policy ها دارند. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد. نحل ذخیره سازی این تنظیمات Systemroot%\System32\GroupPolicy% است.

- nonLocal Group Policy : این سیاست ها باید در اکتیودایرکتوری ساخته شوند و به یک site، domain ، OU مرتبط شوند. به صورت پیش فرض، با نصب اکتیودایرکتوری، دو Group Policy ساخته می شوند که عبارتند از:
1. Default Domain Policy : این سیاسیت روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.
2. Default Domain Controllers Policy : این سیاست روی تمام OU دامین کنترلر اعمال می شود. یادآوری می کنم که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود. در صورتی که جای پوشه sysvol مقدار پیش فرض باشد، این سیاست ها در %Systemroot%\Sysvol\Domain Name\Policies\GPO GUID\Adm% که در این آدرس GUID یک ID یکتا است.

نکته مهم: یک GPO که برای یک سایت تعریف شده باشد، روی تمام کامپیوتر های آن سایت اعمال می شود. بنابراین، بدون توجه به دامینی که آن کامپیوتر در آن عضو است، می توان یک Group Policy اعمال کرد. (بدیهی است در یک جنگل باید باشند)


Group Policy Object Editor :
ابزار متداول ویرایش Group Policy است. آنکه چگونه این ابزار را باز کنید، به این بستگی دارد که این سیاست ها به کجا قرار است اعمال شود و نوع Group policy چیست.
1. LGPO - Local Group Policy Objects :
- در RUN وارد کنید MMC و از منوی file گزینه Add/Remove Snap-In را انتخاب کنید.
- در زبانه Standalone tab در دایلاگ باکس Add/Remove Snap-In دکمه Add را بزنید.
- Group Policy Object Editor را Add کنید و دقت کنید که Local Computer انتخاب شده است.
- Finish را بزنید و سپس با زدن OK دایلاگ باکس را ببندید.
* با استفاده از GPedit.msc می توانید وارد LGPO شوید. از این رو، گاهی در لغت GPedit را به جای GPOE به کار می برند که منظور همان GPOE است.
2. LGPO روی کامپیوتر دیگر :
- مراحل 1 را انجام دهید با این تفاوت که با جای Local Computer ، کامپیوتر دلخواه را انتخاب کنید.
3. GPO روی یک سایت :
- به Administrative tools بروید و کنسول Active Directory Site & Services را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی سایتی که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…
4. GPO روی یک OU یا دامین :
- به Administrative tools بروید و کنسول Active Directory Users & Computers را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی دامین یا OU که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…


تنظیم کردن Group Policy :
دو دسته تنظیمات مختلف وجود دارد که در درخت کنسول GPOE به خوبی تفکیک ایجاد می کند. Computer Configuration و User Configuration . همانطور از اسمشان آشکار است، Computer Configuration به کامپیوتر ها اعمال می شود و بدون توجه به آنکه چه کسی از کامپیوتر استفاده می کند. User Configuration به کاربران اعمال می شود و بدون توجه به آنکه از چه کامپیوتری استفاده می کند. برخی از تنظیمات فقط به User و برخی فقط به Computer ها قابل اعمال است. از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون داستن محل دقیق یک آیتم، آن را پیدا کرد. یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و سرور 2008 نزدیک به 3000 آیتم مختلف وجود دارد و در ویندوز 7 از مرز 3000 آیتم خواهد گذشت. قطعا نمی توان این 3000 گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیار از آیتم ها دسترسی نخواهید داشت.

آ. Software Settings : در هر دو بخش User Configuration و Computer configuration تنظیمات Software Installation موجود است. که در این خصوص به تفصیل در اینجا صحبت شده است.

ب. Windows Settings :
- Scripts : هر دو بخش شامل این گروه تنظیمات هستند، اما در Computer Configuration می توانید اسکریپتی که در زمان روشن/ خاموش شدن کامپیوتر اجرا شود را تنظیم کنید و در قسمت User Configuration می توانید اسکریپتی که در زمان login/ logout اجرا می شود را تنطیم کنید. توجه کنید که ابتدا Startup Script و سپس Logon Script اجرا خواهند شد و همچینی ابتدا Log off Script و سپس Shut down Script . نکته دیگر آن است که چنانچه چندین Script مختلف تنظیم شود ویندوز به ترتیب لیست از بالا به پایین اسکریپت ها را اجرا خواهد کرد. موضوع قابل توجه دیگر آن است که به صورت پیش فرض حداکثر زمان اجرای اسکریپت 10 دقیقه است. چنانچه log off و Shut down اسکریپت روی هم دیگر زمانی بیش از 10 دقیقه نیاز داشته باشند می توانید به راحتی با در Software Policy این زمان را تغییر دهید. از هر زبان ActiveX Scirpt می توان استفاده کرد. Microsoft Visual Basic نسخه اسکریپتینگ ( VBScript) یا MicrosoftJScript یا Batch file ها ( bat.* و cmd.*) پشتیبانی می شوند.
- Security Settings : می توان جایگزین قالب های امنیتی پیش ساخته، این قسمت را ویرایش کرد. در آینده جداگانه این قسمت را بررسی خواهیم کرد.
- سایر گروه ها را نیز در آینده بحث می کنیم.

پ. Administrative Templates : این گروه از تنظیمات را Registery-Based می گویند چرا که از طریق Registry اعمال می شوند. بیش از 700 آیتم متفاوت در این قسمت وجود دارد و خود شامل گروه های متفاوتی است. برای کسب اطلاع از هر کدام از این آیتم ها، توضیحات کاملی در خود Group Policy Object Editor نوشته شده که در سه جا قابل دسترسی است.
1. در زبانه Explain قسمت Properties هر آیتم.
2. در Administrative Templates Help که در ویندوز سرور 2003 به بعد وجود دارد.
3. در نوار توضیح

توجه: همچنین این توضیحات برای سایر آیتم ها در بخش های دیگر نیز قابل دسترسی است و توضیحات کامل و جامعی است.

هر آیتمی در بخش Administrative Templates سه حالت دارد:
1. Not Configured به معنای آنکه تغییر به Registry اعمال نشده.
2. Enabled به معنای آنکه سیاست اثر گذار است و Registry تغییر یافته.
3. Disabled به معنای آنکه تغییر یافته و سیاست اثرگذار نیست.
* در خصوص سیاست های چندگانه در آینده صحبت می شود.

سیاست های Administrative Templates در بخش Computer Configuration در شاخه( HKEY_LOCAL_MACHINE ( HKLM رجیستری ذخیره می شوند و سیاست های Administrative Templates در بخش user Configuration در شاخه (HKEY_CURRENT_USER (HKCU رجیستری ذخیره می شوند. هر کدام از آیتم ها در مکانی خاص از این شاخه ها ذخیره می شوند اما به صورت کلی چنین است:
1. HKEY_LOCAL_MACHINE\Software\Policies مربوط به Computer Configuration
2. HKEY_CURRENT_USER\Software\Policies مربوط به User Configuration
3. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به Computer Configuration
4. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به user Configuration

 

[Nethunter]

گستره سیاست ها در Group Policy

گستره ( Scope ) :
Scope یک سیاست، اجتماع کامپیوتر ها و یوزر هایی است که یک آن سیاست در آن ها به کار می رود. متد های مختلفی برای مدیریت Scope وجود دارد. اولین و ساده ترین راه، روش Link است. با روش لینک می توانیم معین کنیم که یک سیاست دقیقا در کجا به کار رود یک دامین، سایت، OU. بدیهی است که سیاست برای تمام کامپیوتر ها و یوزر ها آن بخش به کار گرفته خواهد شد. همچنین دو روش مختلف برای فیلتر کردن سیاست ها داریم. روش روش اول که Security Filters یا فیلتر های امنیتی نام دارد، معین می کند که Global Security Group هایی را معین می کند که آن سیاست باید/نباید در آن به کار گرفته شوند. روش فیلترینگ دوم ، فیلتر های windows Managmet Instrumentation است که از مشخصاتی از سیستم همانند سیستم عامل و یا میزان فضای خالی دیسک سخت استفاده می شود. هر دو دسته فیلتر ها، برای محدود کردن گستره ای است که توسط لینک معین شد.

مدیریت گستره سیاست:
مدیریت لینک ها دقیقا به وسیله آنچه که در خصوص باز کردن Group Policy گفته شد انجام می شود. در واقع با آن روش باز کردن، می توان انتخاب کنید که سیاست به کدام ناحیه، یک دامین، یک OU یا یک سایت اعمال شود. بنابراین باید اکنون به راحتی بتوانید یک Group Policy را به ناحیه ای لینک کنید. اما مسئله لینک ها در اینجا تمام نمی شود.

ترتیب اعمال لینک ها:
ترتیب زیر، ترتیب اعمال شدن سیاست ها است به این معنا که هر سیاستی که آخر اعمال می شود، تاثیر بیشتری دارد. به عنوان مثال چنانچه در LGPO به کاربر اجازه Run داده شده باشد در سایت و دامین تصمیمی اتخاذ نشده باشد و در OU منع شده باشد، کاربر به run دسترسی نخواهد داشت. هر چند درست نیست، اما برای درک بهتر می توان گفت، مراحل بعدی، روی مراحل قبلی Overwrite می شوند.
1 – هر کامپیوتر دقیقا یک LGPO دارد. در ویندوز ویستا و سرور 2008 می توان بیش از چند LGPO داشت. برای اطلاعات بیشتراینجا را بخوانید.
2 – هر سیاستی که در سایت لینک شده باشد،اعمال می شود. در صورت لینک شدن چندین سیاست به یک سایت، به ترتیب اهمیت بیشتری خواهند داشت.
3 – هر سیاستی که در دامین لینک شده باشد، اعمال می شود. همانند 2، ترتیب اعمال سیاست ها به ترتیبی است که معین شده است.
4 – هر سیاستی که در OU لینک شده باشد، اعمال می شود. همانند 3 و 2 ترتیب اعمال شدن سیاست ها به ترتیبی است که معین شده است.
* چنانچه اختلافی میان سیاست های Computer Configuration و User Configuration موجود باشد، User Configuration اعمال خواهد شد چرا که User Configuration خاص تر است. اما استفاده از لغت “برتری” برای این دو گروه تنظیمات اشتباه است.
- توضیح بیشتر آنکه چنانچه به یک دامین، سایت یا OU بیش از یک GPOs لینک شده باشد، ترتیب اولویت آن ها با لینک های بالاتر است. همچنین می توانید شماره کنار هر گزینه را اولویت آن در نظر بگیرید. مثلا تمام سیاست های 4 نسبت به 2 در اولویت است. شکل زیر به خوبی ترتیب اعمال سیاست ها را نمایش می دهد. برای بزرگ تر شدن تصویر روی آن کلیک کنید.










وراثت :
شک ندارم تمام کسانی که در رشته کامپیوتر فعالیت دارند از لغت وراثت دل خوشی ندارند. عموما یک سیاست به زیردستان اعمال می شود. به عنوان مثال شاه می تواند برای وزیر، دستوری صادر کند مثلا در کامپیوتر خود Run نداشته باشد! اما وزیر نمی تواند سیاستی برای شاه اعمال کند. در اینجا فقط سیاست ها از بالا به پایین به ارث می رسند. در واقع از والد( parent ) به فرزند ( Child ). نحوه اعمال این سیاست ها چنین است:

1 – چنانچه سیاستی در OU والد تنظیم شده باشد و در OU فرزند تنظیم نشده باشد آن سیاست به فرزندان اعمال می شود. ( اشتباه نکنید چه Enable باشد چه Disable – فقط در حالت Not Configured بی اثر است)

2 – چنانچه سیاستی در OU والد تنظیم شده باشد و در OU فرزند نیز همان سیاست تنظیم شده باشد، سیاست فرزند بر سیاست والد برتری دارد و سیاست فرزند اعمال می شود.

3 – چنانچه سیاست های والد Not Configured باشد همانطور که در 1 توضیح داده شد، به ارث برده نمی شوند.

4 – چنانچه سیاست ها با هم ناسازگار نباشند، هر دو سیاست اعمال می شوند. به عنوان مثال چنانچه در OU والد سیاستی مبنی بر قرار گرفته یک فلدر روی دسکتاپ وجود داشته باشد، و در OU فرزند نیز همان سیاست در مورد فلدر دیگری باشد، هر دو فلدر روی دسکتاپ وجود خواهند داشت.

5 – چنانچه سیاست های OU والد با OU فرزند ناسازگار باشد، سیاست ها به OU فرزند به ارث نمی رسد و سیاست های فرزند اعمال می شود.

6 – به صورت پیش فرض، سیاست های از Parent Domain به Child Domain به ارث نمی رسد و سیاست های جداگانه خود را خواهند داشت.


فرآیند Group Policy :
گام های زیر، مراحلی است که یک کامپیوتر در محیط اکتیو دایرکتوری طی می کند و یک سیاست به آن اعمال می شود:
1. کامپیوتر شروع به کار می کند و سرویس دهی شبکه آغاز می شود. سپس RPCSS و MUP شروع به کار می کنند و سپس Group Policy Client آغاز به کار می کند.

2. Group Policy Client یک لیست مرتب شده از GPOs هایی که در Scope سیاست های خودش است را آماده می کند و این لیست مرتب به صورت نحوه فرآیند اعمال Group Policy را معین می کند. که به صورت پیش فرض Local ، سیاست های Site ، سیاست های دامین ، سیاست های OU است.
الف. سیستم عامل های قبل از ویندوز ویستا و از ویندوز 2000 به بعد، فقط یک LGPO دارند و همان LGPO اعمال می شود. سیستم عامل های بعد از ویندوز ویستا، چند LGPOs دارند که در مورد اولویت آنها نسبت به هم صحبت شد.
ب. تمام سیاست های گروهی که به سایت link شده باشند، در لیست مرتب شده قرار می گیرند. چنانچه چندین سیاست link شده باشد، به همان ترتیب به لیست اضافه می شوند. GPO که در بالاتر باشد، اولویت بیشتری دارد بنابراین دیر تر به لیست اضافه می شود تا در صورت داشتن تضاد با سیاست های قبلی Overwrite شود. در مورد لغت Overwrite به تذکری که قبلا دادم توجه کنید.
پ. سیاست های دامنی به همان ترتیبی گفته شد اضافه می شوند.
ت. سیاست های OU به ترتیب بالاترین OU در ساختار سلسه مراتبی اکتیودایرکتوری اعمال می شوند تا به پایین ترین OU که در Scope است برسد. اولویت ها بر همان اساس که در قبل گفته شد خواهد بود و اولویت بیشتر دیر تر در لیست وارد می شود تا سیاست های قبلی را Overwrite کند.
ث. سیاست های اجبار کننده وارد لیست می شوند بنابراین این سیاست ها Override می شوند بر سیاست هایی که قبلا در لیست بودند و یعنی بیشترین اولویت را دارند.
* ترتیب اولویت ها را به خاطر بسپارید، عکس آن ترتیب به لیست اضافه می شوند.

3. این مراحل پشت سر هم انجام می شود. در هر مرحله، تنظیمات مربوط به سیاست ها معین می شود ( Enable یا Disable ). در صورتی که فیلتر WMI وجود داشته باشد و سیستم عامل ویندوز XP به بعد باشد، یک WQL اتفاق خواهد افتاد.

4. در این مرحله اتفاقاتی رخ می دهد که آنها را تا بحث “معماری سیاست های گروهی” بررسی نمی کنیم.
- Startup Script اجرا می شود. هر اسکریپت یا اجرایش تمام می شود و یا TimeOut می شود. زمان TimeOut به صورت پیش فرض 600 ثانیه معادل 10 دقیقه است. این پردازش به صورت پیش فرض در پشت صحنه اتفاق می افتد. می توان تنظیمات TimeOut و… را تغییر داد.

5. زمامی که یوزر Logon می کند،ابتدا User Profile کامل لود می شود و سپس مشابه آنچه زمان Startup برای Computer Configuration اتفاق افتاد، در زمان Logon برای User Configuration اتفاق می افتد. چنانچه User loopback Policy تعیین شده باشد و Enable باشد، این پروسه فرق می کند که در “معماری سیاست های گروهی” بررسی بیشتری خواهیم کرد.
- Logon Script اجرا می شود. شرایط مشابه Startup Script است.

6. هر 90 – 120 دقیقه یکبار پس از Strartup ، سیاست های Computer Configuration بازسازی می شوند و مراحل 2 و 3 و 4 تکرار می شوند.

7. در هر 90 – 120 دقیقه یکبار پس از Logon ، سیاست های User Configuration بازسازی می شوند و مراحل 5 و 3 و 4 تکرار می شوند

استثناء ها :
1 – کامپیوتر های عضو Workgroup : بدیهی است که کامپیوتر هایی که عضو دامین نیستند، تنها LGPO برای آنها اعمال می شود.

2 – NO Override : هر سیاستی که اعمال می شود، می تواند تنظیم شود که سیاست دیگری روی آن برتری پیدا نکند، در این صورت در صورت آنکه حتی با سیاست فرزندان ناسازگار باشد، آن سیاست اعمال خواهد شد. ضمن آنکه چنانچه چند سیاست ناسازگار با یکدیگر No Override باشند، سیاستی که در ساختار درختی اکتیو دایرکتوری بالاتر است، آن سیاست اعمال می شود.

3 – Block Policy Inheritance : فرزندان می توانند جلوی به ارث بردن را بگیرند البته چنانچه No Override شده باشد، نمی توان جلوی به ارث بردن را گرفت. همچین Block Policy Inheritance می تواند برای تمام یک سایت، دامین یا OU اعمال شود و نمی تواند برای یک GPO خاص به کار رود.

4 – Loopback Settings : این ویژگی جالب در شرایط خاص و بیشتر در سناریو های محیط های آموزشی یا عمومی کاربرد دارد. به صورت پیش فرض هر زمان که فردی از هر کامپیوتری استفاده می کند، یک User Configuration برای او اعمال می شود. چرا که او یک User Account دارد و جای User Account او هم در ساختار اکتیو دایرکتوری تغییر نمی کند، بنابراین همیشه یک سیاست به او اعمال می شود. سناریویی را در نظر بگیرید که در آن می خواهید در یک کنفرانس Background تمام کامپیوتر های اتاق کنفرانس یکی باشد. حال چگونه می توان چنین سناریویی را پیدا سازی کرد؟ در قسمت User Configuration سیاست را تنظیم می کنید؟ در این صورت بدون توجه به آنکه در کجا کاربر Login می کند، Background او عوض می شود. به صورت پیش فرض، نمی توان این کار را انجام داد، در واقع در آشنایی با Group Policy یاد گرفتیم که User Configuration بدون توجه به Computer به کاربر اعمال می شود و Computer Configuration بدون توجه به کاربر، به کامپیوتر ها اعمال می شود. بنابراین با این روش اعمال مجوز ها نمی توان این سناریو را پیدا سازی کرد. سناریو دیگر در یک دانشکده، رئیس دانشکده از سیاست هایی در شبکه بهره می برد که سیاست های محدود کننده ای نیستند. حال رئیس دانشکده به کلاس درس می رود. آیا می توان همان سیاست ها را در آنجا داشته باشد؟ LoopBack Policy Processing نحوه اعمال مجوز ها را تغییر می دهد. با استفاده از LoopBack Policy Processing به جای آنکه گستره تنظیمات کاربر از روی تنظیماتی که به کاربر در User Configuration اعمال می شود مشخص گردد ، از گستره تنظیمات کامپیوتر از روی User Configuration با node کامپیوتر اعمال می شود و یقینا این جمله به توضیحات بیشتری نیاز دارد!
سیاست User Group Policy loopback Processing mode Policy در قسمت Computer Configuration پیدا می شود. به Computer Configuration \ Administrative Templates \ System \ Group Policy بروید و همانند سایر Policy های دیگر می توانید آن را Enable ، Disable ، Not Configured تنظیم کنید. علاوه بر آنکه دو Mode مختلف وجود دارد:
آ. Replace : سیاست های یوزر، با سیاست هایی که در زمان Startup اعمال می شود جایگزین می شود. این سیاست در سناریوی رئیس دانشکده یا سناریو های مشابه می تواند مفید باشد.
ب . Merge : در این حالت، سیاست های به هم مرتبط می شوند به این معنا که سیاست هایی که در زمان strartup برای کامپیوتر در نظر گرفته می شود با سیاست هایی که در زمان login کردن کاربر در نظر گرفته می شود پیوند می خورد. به مثال های زیر توجه کنید، برای بزرگ شدن تصویر روی آن ها کلیک کنید.




پ.ن1 : اعتراف می کنم ترجمه لغت Scope را نمی دانم و گستره را شانسی ترجمه کردم. باید دید چقدر شانس و اقبال با بنده یار خواهد بود.
پ.ن2 : همچنان این بحث نا تمام است، چرا که در خصوص فیلتر ها هنوز صحبتی نشده است. بسیاری از مطالب که در حال حاضر درک آن ها آسان نیست، پس از مطلب “معماری سیاست های گروهی” روشن خواهند شد. در هر حال درک کامل این مطلب نیازمند دانش مناسبی در خصوص ساختار اکتیودایرکتوری دارد.

 

[Nethunter]

مباحث ویژه در Group Policy

همانطور که گفته شد، زمانی که کامپیوتر روشن شود و دسترسی به شبکه ایجاد شود، ویندوز یک نسخه از Group Policy مربوط به خود را فقط شامل تنظیمات Computer Configuration در AllUsersProfile%\Ntuser.pol% ایجاد می کند. این در واقع همان لیستی است که در بحث فرآیند سیاست های گروهی گفته شد. پس از آنکه کاربر به سیستم وارد می شود (Login) نسخه دیگری از سیاست های گروهی را در UserProfile%\Ntuser.pol% می سازد. سپس برای آنکه همیشه کاربر و کامپیوتر شامل آخرین سیاست ها باشد، در زمان های مشخص بازسازی می شود.به صورت پیش فرض سیاست های گروهی دامین کنترلر ها هر 5 دقیقه یک بار و در خصوص workstationها و سایر سرور ها هر 90 تا 120 دقیقه یک بار بازسازی می شود. به اضافه آنکه به صورت پیش فرض سیاست های گروهی هر 16 ساعت یکبار بدون توجه به آنکه آیا تغییری صورت گرفته یا خیر، بازسازی می شوند. نکته قابل توجه آن است که به صورت پیش فرض زمان بازسازی سایر سرور ها 90 دقیقه است، اما یک تاخیر 30 دقیقه برای کنترل ترافیک در نظر گرفته شده است.

تذکر: فاکتورهای دیگری می توانند در باز سازی سیاست های گروهی نقش داشته باشند. همانند سرعت پایین لینک ارتباطی یا اجبار کردن در بازسازی و… . البته آخرین بازسازی سیاست های گروهی قابل چک کردن است در این خصوص در ادامه بیشتر صحبت می شود.

معماری سیاست های گروهی (مقدمه) :


توجه: آشنایی با ساختار سیاست های گروهی برای برنامه نویسان بسیار مهم است و در تولید برنامه های Active Directory integrated کاربرد دارد. همچنین، به مدیران شبکه دید خوبی می دهد، و در برخی سناریوها خصوصا رفع اشکال بسیار مفید است.

توجه: برای آنکه ساختار سیاست های گروهی را به خوبی متوجه شوید به دانش مناسبی در خصوص معماری اکتیو دایرکتوری نیاز دارید.

در قلب معماری اکتیو دایرکتوری، موتور توسعه پذیر ذخیره سازی (extensible storage engine یا به اختصار ESE) قرار دارد. وظیفه ESE نوشتن و خواندن داده های مربوط به اکتیو دایرکتوری را دارد. توضیح آنکه یک DataBase هم از لحاظ فیزیکی و هم از لحاظ منطقی داده ها را گروه بندی می کند. ESE از یک متد سلسله مراتبی شیئ گراء برای نمایش اطلاعات بهره می برد. در Group Policy یک نمایش سلسه مراتبی در هر Group Policy Object چه به صورت فیزیکی و چه به صورت منطقی وجود دارد. بنابراین GPO از یک بسته استفاده می کند تا در کنار Active Directory قرار گیرد، این بسته را ( Group Policy container ( GPC می گوییم. جزء فیزیکی سیاست های گروهی را Group Policy template یا به اختصار (GPT) می گوییم. GPT در دامین کنترلر ها ذخیره می شود.

توجه:در اینجا GPT کوتاه شده ی Graphical Partition Table نیست!

در بعد منطقی هم GPO ها به صورت بسته هایی در اکتیو دایرکتوری ظاهر می شوند. به این بسته ها Group Policy Containers یا به اختصار GPCs گفته می شود. GPCs ها شامل برخی اطلاعات ابتدایی همانند نامی که در کنسول مدیریت سیاست های گروهی ظاهر می شود و یا ورژن آن شوند می باشند. همچین ACL های مربوط نیز در همان GPCs ذخیره می شود.
هر GPO با یک(client-side extension (CSE کنترل می شود. به عنوان مثال Administrative Tools . همانند اکتیو دایرکتوری، Group Policy نیز از یک معماری Client – Server استفاده می کند. کلاینت ها برای تحلیل Group Policy از CSEs استفاده می کنند و Group Policy Servers از server-side extensions یا (SSEs) استفاده می کنند. CSEs ها با DLL هایی که زمان نصب سیستم عامل ساخته می شوند، اجرا می گردند. شکل زیر به خوبی این فرآیند را نمایش می دهد.



ابتدا CSEs توسط Group Policy Engine فراخوانی می شوند. این CSEs هست که تغییرات را اعمال می کند. به عنوان مثال تغییراتی که در Registry باید صورت گیرند. DLL های مربوط به CSEs ها در زمان نصب ویندوز در System32 قرار می گیرند. همچنین برنامه نویس شخص سوم (غیر از مایکروسافت) می تواند CSEs مورد نظر خود را بسازد. هر CSE با یک GUID یکتا در رجیستری ذخیره می شود. توضیح اضافه انکه این GUID در تمام سیستم های ویندوز یکسان است مثلا، GUID مربوط به Software Installation در تمام ویندوز ها یکی است.
البته بحث پیرامون معماری سیاست های گروهی بسیار فراتر از آنچه در اینجا آمده است، می باشد. در آینده نکات بیشتری را خواهیم آموخت.

فرآیند سیاست های گروهی ( مباحث تکمیلی) :


دو دسته پردازش در پردازش Group Policy می تواند اتفاق افتد. پردازش های foreground و پردازش های Background .
پردازش foreground در زمان Startup و Login اتفاق می افتد. پردازش foreground منحصر به فرد است زیرا پیش از آنکه کاربر بتواند با محیط دسکتاپ خود کار کند اتفاق می افتد. بنابراین برای سیاست هایی مناسب است که به کاربر وابسته نیستند.
پردازش Background در زمان های معین شده و به صورت asynchronously با سایر پردازش ها است. پردازش های Background برای سیاست هایی مناسب است که نیازمند آن هستند که دوباره اعمال شوند، همانند Administrative Templates. در خصوص بازه های این زمان بندی در قبل صحبت شد. اما این فاصله های زمانی به صورت زیر قابل تغییر است:
الف: برای دامین کنترلر ها : در مسیر Computer Configuration\Administrative Templates\System\Group Policy و ویرایش Group Policy Refresh Interval
ب: برای کامپیوتر ها :در مسیر Computer Configuration\Administrative Templates\System\Group Policy و ویرایش Group Policy Refresh Interval
ج: برای کاربر ها : در مسیر User Configuration\Administrative Templates\System\Group Policy و ویرایش Group Policy Refresh Interval

در ویندوز 2000 پردازش های foreground همواره به صورت synchronously صورت می گیرد که این به معنی آن است که سیاست های یک کامپیوتر پیش از Logon Screen و سیاست های یک کاربر پیش از نمایش Desktop و پس از Login پردازش می شوند. از ویندوز XP به بعد، امکان پردازش asynchronous نیز برای پردازش های foreground ایجاد شده که در مکانیسم Fast Logon Optimization ظاهر می شود. به صورت کلی Fast Logon Optimization به آن معنا است که ویندوز منتظر نمی شود تا دسترسی به شبکه کامل شود و سپس Logon صورت گیرد. در بسیاری موارد این گزینه کاربرد ندارد و فقط در سناریو های خاص می تواند مفید باشد. می توان با استفاده از سیاست Always Wait For The Network At Computer Startup And Logon در مسیر Computer Configuration\Administrative Templates\System\Logon فعال بودن Fast Logon Optimization را بی اثر کرد. همچنین ویندوز سرور 2003 از Fast Logon Optimization پشتیبانی نمی کند.


سرعت پایین ارتباط:

اکتیو دایرکتوری از یک متد شناسایی سرعت های پایین ارتباطی بهره می برد تا هم در سرعت های کم و مسافت های دور کمک کند و هم در زمان ها ترافیک شدید از کاهش عملکرد سیستم قدری کاسته شود. از این ویژگی در سیاست های گروهی نیز می توان استفاده کرد. زمانی که یک لینک با سرعت پایین وجود داشته باشد، کلاینت Group Policy انتقال اطلاعات خود را کاهش می دهد تا روی ترافیک کل شبکه قدری موثر باشد.
کامپیوتر های کلاینت از یک متد خاص برای شناسایی آنکه آیا در یک لینک با سرعت پایین قرار دارند یا خیر استفاده می کنند. در اکثر مواقع یک Ping به دامین کنترلر (ها) در حوزه خود می فرستند، Response Time انجام مرحله بعدی را معین می کند. چنانچه Response Time کمتر از 10 میلی ثانیه باشد، کلاینت پردازش های سیاست های گروه را به حالت عادی ادامه می دهد و یا چنانچه در حال عادی نبوده، به حالت عادی باز می گرداند. اگر بیشتر از 10 میلی ثانیه باشد:
الف : دامین کنترلر ها را با یک پاکت 2KB سه مرتبه Ping می کند.
ب : از میانگین Response Time برای معین کردن سرعت لینک استفاده می کند.
به صورت پیش فرض اگر سرعت در قسمت “ب” کمتر از 500 Kbps باشد، کلاینت لینک سرعت کم را در نظر می گیرد و نتیجه آنکه در زمان بازسازی Group Policy، دامین کنترلر فقطSecurity Settings و Administrative Templates را برای کلاینت ارسال می کند. برای تنظیمات دلخواه، می توان سیاست Group Policy Slow Link Detection موجود در مسیر Computer Configuration\Administrative Templates\System\Group Policy را ویرایش کرد. توجه کنید که چه سیاست Disable و چه Not Configured باشد، کلاینت از مقدار پیش فرض یعنی 500 Kbps استفاده می کند. چنانچه Enable باشد، می توان این سرعت را تنظیم کرد. در واقع برای غیر فعال کردن این سیاست تنها راه این است که آن را Enable و مقدار 0 را برای آن قرار دهید. همچنین با سیاست های موجود در مسیر ذکر شده، می توان مشخص کرد که در زمان “سرعت پایین ارتباط” چه بخش های از Group Policy مورد پردازش قرار گیرند. همچنین می توان با سیاست Allow Processing Across A Slow Network Connection معین کرد که حتی اگر یک Slow Link وجود دارد، پردازش Group Policy در زمان بازسازی کامل انجام شود. این سیاست بر سیاست Group Policy Slow Link Detection برتری دارد.

ورژن بندی:
ورژن بندی مبحث دقیقی نیست، اما بسیار قابل توجه است. GPC و GPT الزاما همواره ورژن های یکسانی ندارند! این می تواند به دلایل مختلف و در شرایط خاص صورت گیرد. به عنوان مثال ممکن است تغییرات روی GPC اعمال نوشته شده باشد، اما هنوز روی GPT نوشته نشده باشند. این در زمانی ممکن است اتفاق افتد که GPC کامل Replicate شده است اما GPT هنوز Replicate نشده. نسخ مختلف ویندوز ورژن بندی را به سبک های متفاوتی انجام می دهند.
در ویندوز سرور 2003 و ویندوز XP ، همسان سازی کامل Group Policy الزاما به معنی یکی بودن ورژن ها نمی باشد. چنانچه GPT و GPC ورژن های یکسانی ندارند، GPO در صورت امکان پردازش می شود. در صورت عدم امکان در دفعه بعدی پردازش می شود. عدد ورژن Group Policy به صورت افزایشی است و برای User Configuration و Computer Configuration متفاوت است:
الف: در ازای هر تغییر روی Computer Configuration ، یک واحد اضافه می شود. به عنوان مثال چنانچه در Administrative Templates در قسمت Computer Configuration چهار آیتم را تغییر دهید، 4 واحد به ورژن GPT اضافه می شود. سپس 4 واحد به ورژن GPC اضافه می شود. استثناء نیز وجود دارد.
ب: هر تغییر در User Configuration ، معمولا 65536 واحد به ورژن اضافه می کند. به عنوان مثال چنانچه 3 تغییر در Administrative Templates در قسمت User Configuration اعمال کنید ورژن GPT و سپس GPC به مقدار 196608 واحد اضافه خواهد شد.
با عملیات XOR ویندوز می توان تشخیص دهد که چند تغییر در Computer Configuration و چند تغییر در User Configuration اتفاق افتاده است.

 

[Nethunter]

مقدمه ای بر Local Security Policy

با local Security Policy چه کارهایی می توان کرد؟
1. Account Policies: اتخاذ سیاست های در خصوص حساب های کاربری (User Accounts )
2. Local Policies
Auditing Policies : ردیابی اعمال کاربران
User Rights : اختصاص یا عدم اختصاص مجوز کنترل کردن برخی از فعالیت های سیستم همانند تغییر ساعت
Security Option : امکان اعمال تنظیمات امنیتی گوناگون
3. Public Key Policies : مربوط به encrypt data recovery و Certificate authorities
4. Software Restriction Polices : جلوگیری از اجرای برخی از نرم افزار ها
5. System Services : مدیریت و اعمال تنظیمات امنیتی برای قسمت های مثل : Network Services و File & Print Services
6. File System: مدیریت و اعمال تنظیمات امنیتی در خصوص Local File System
7. Registry
8.IP Security Policy


همانطور که مشاهده می کنید بسیاری از تنظیمات مهم از طریق Local Security Policy امکان پذیر است. Local Security Policy در Administrative Tools بیابید و یا از secpol.msc استفاده کنید.

Security Templates :

ویندوز یک سری قالب های پیش ساخته جهت تنظیمات عمومی امنیتی در local Security Policy دارد. شما می توانید این تنظیمات را پس از اعمال به میل خود تغییر دهید و آن را به عنوان یک قالب جدید داشته باشید. استفاده از قالب های امنیتی دو مزیت دارد:
1. با استفاده از قالب های امنیتی پیش ساخته لازم نیست تا تمام تنظیمات را از ابتدا تنظیم کنید.
2. با استفاده از قالب های امنیتی که خود ساخته اید ، لازم نیست تا تنظیمات را روی هر کامپیوتر در شبکه جداگانه تنظیم نمایید. فقط کافی است یک قالب را اعمال کنید.

قالب های پیش ساخته:

· Default security Setup ,security.inf
قالبی است که در زمان نصب ویندوز به صورت خودکار به هر کامپیوتری اعمال می شود. این قالب بر حسب بر حسب آنکه نصب ویندوز clean installation بوده و یا upgrade متفاوت است. این قالب به DC ها نمی تواند اعمال شود.
تذکر: در ویندوز 2000 دو قالب ocfiless برای سرور ها و ocfilesw برای workstation ها استفاده می شد. security.inf به هر دو کامپیوتر سرور و کلاینت می تواند اعمال شود.در Disaster Recovery نیز برای بازگشت تنظیمات امنیتی به حال پیش فرض این قالب اعمال می شود.

نکته از کتاب 70-270 مایکروسافت : این قالب شامل تمام تنظیمات امنیتی است که در زمان نصب ویندوز XP روی یک پارتیشن NTFS اعمال می شود و در زمان برگرداندن تنظیمات به پیش فرض مفید است.

· Domain controller default security ,DC security.inf
این قالب زمانی اعمال می شود که یک سرور ، DC می شود.بر registry ، system service و سایر تنظیمات پیش فرض اعمال می شود.

· Compatible, Compatws.inf
این قالب امنیت فراتری را نصب به قالب پیش فرض نصب ایجاد می کند. اما با این حال به صورت پیش فرض اجرای برنامه هایی که دارای Windows-Certificated (winlogo) باشند بدون مشکل خواهد بود و برنامه های فاقد مجوز فقط توسط Power Users قابل اجرا خواهد بود.

تذکر: در صورت اعمال این قالب اعضای گروه Power Users حذف خواهند شد.
تذکر: این قالب را به DC ها اعمال نکنید.

نکته : دو قالب امنیتی زیر هم برای DC ها و workstation ها موجود است. اگر قالب با دو حرف WS ختم شود مربوط به workstation و اگر به DC ختم شودمربوط به Domain Controller می باشد.

· Secure ,Secure*.inf
این قالب امنیت فراتری را ایجاد می کند ، اما compatibility را تحت شعاع قرار می دهد. مثلا password های قوی تری را الزام می کند و یا lockout و auditing را اعمال می کند.

· Highly Secure, hisec*.inf
این قالب حداثر امنیت در نظر گرفته شده است. با اعمال این قالب به نسبت Secure تاثیری بر compatibility نخواهد داشت. این قالب با الزام کردن استفاده از encryption های قوی تر و امضا برای تشخیص هویت (authentication) و انتقال داده در secure channels بین SMB و سرور تاثیر بسیاری در امنیت برای ترافیک شبکه را دارد.

· System root security, Rootsec.inf
این قالب شامل permission هایی است که به صورت پیش فرض به پارتیشن سیستمی اعمال می شوند.

· No Terminal Server user SID, Notssid.inf
با اعمال این قالب SID های مربوط به Windows Terminal Service پاک خواهند شد و بنابراین Windows Terminal Service اجرا نخواهد شد. توجه داشته باشید که با اعمال این قالب الزاما امنیت افزایش پیدا نخواد کرد.

· Internet Explorer iesacls.inf
با این قالب امکان audit بر استفاده از IE Internet Explorerفراهم می شود.

تذکر مهم : با اعمال قالب های امنیتی ، تنظیمات جدید جایگزین می شود. لذا در DC ها حتما از SYSVOL نسخه پشتیبان (Backup) تهیه کنید و در سایر موارد نیز همواره گرفتن نسخه پشتیبان توصیه می شود.
برای اطلاعات بیشتر در خصوص قالب های پیش ساخته به Technet مراجعه کنید.

برای تغییر در یک قالب پیش ساخته:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security Template را اضافه کنید.
4. تغییرات دلخواه را روی قالب مورد نظر خود اعمال کنید و سپس Save as را بزنید.

برای اعمال یک قالب:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security configuration & analysis را اضافه کنید.
4. روی ساختار درختی در کنسول روی Security configuration & analysis ، Right –Click کرده و Open database را بزنید.
5. نام Database ای را که قصد ساختن آن را دارید وارد نمایید و ok را بزنید.
6. سپس ، قالبی را که ساخته اید انتخاب کنید.
7. روی Security configuration & analysis ، right click کرده و configure computer now را بزنید.
8. همچنین می توانید با استفاده از Analyze computer now تنظیمات خود را با یک قالب خاص مقایسه کنید.

 

[Nethunter]

Local Group Policy In Windows Vista

Local Group Policy به مدیر شبکه امکان انجام برخی از تنظیم های امنیتی و رجیستری را می دهد. همچنین LGPOs در نبودن یک GPO برپایه Active-Directory مثل سناریو های Kiosk computer ، Demo workstation و مکان های عمومی مثل کتابخانه ها و... برخی تنظیمات امنیتی را انجام دهند. البته گفتنی است که LGPS ها حتی زمانی که یک AD GPO موجود باشد، باز هم می تواند مفید باشد.مثلا زمانی که به دلایلی مجبور خواهید شد به جای AD GPO یک L GPO اعمال کنید.LGPO ها حتی در سناریو های خانگی هم می تواند مفید باشد مثلا زمانی که می خواهید بچه ها Control Panel را به هم نریزند و یا به Registry دسترسی نداشته باشند.


خبر بد!


ویندوز های 2000و2003 وXP تنها قادر اند که یک Local Group Policy داشته باشند که یک ناتوانی بزرگ محسوب می شود.گیج کنندگی در تنظیمات به این شکل زمانی شروع می شود که مثلا تنظیمات مختلفی برای عضو گروه administrators لازم باشد.




و اما خبر خوب!

ویندوز Vista ویستا قابلیت این را دارد تا LGPOهای چندگانه برای User های مختلف ساخت.و این باعث می شود تا قسمتی از گیج کنندگی های NTFS Permission های طولانی و خسته کننده کم شود ( که در گذشته برای دور زدن مشکل مذکور یکی از ترفند های مورد استفاده بود).در ویندوز ویستا مثل سابق امکان استفاده از LGPOs ها وجود دارد با این تفاوت که امکان در نظر گرفتن یک LGPOs جداگانه برای موارد زیر موجود است.

1.یک local User توسط نام کاربری.


2.کاربرانی که عضو گروه Local Administrators هستند.


3.کاربرانی که عضو گروه Local Administrators نیستند.

اما تنظیمات یک user فقط می تواند توسط یکی از موارد فوق اعمال شود.


اضافه می کنم،اگر Windows Vista عضو یک Domain باشد ، LGPOs همانند قبل ( ویندوز 2000,2003,XP) است:




- ابتدا LGPOs در زمان ورود به سیستم (Login) اعمال می شود

- سپس AD GPOs به صورت ترتیبی زیر اعمال می شود:

-Site GPO-Domain GPO-OU GPO-Child OU GPO (اگر موجود باشد)

به اضافه اینکه قابلیت تنظیم آنکه هیج LGPOs زمانی که AD GPOs موجود است اعمال نشود وجود دارد.که با این روش از احتمال آنکه یک Local Administrator روی ویستا تغییراتی نا مناسب روی سیستم اعمال کند جلوگیری به عمل می آید.





نحوه تنظیم Local Group Policy چندگانه:




1. Run>mmc *تذکر: در ویستا به صورت پیش فرضRun در Start Menu موجود نیست از طریق Win+R و یا روش های دیگر می توانید به Run دسترسی پیدا کنید.

2. منوی File ، Add/Remove Snap-in.

3. سپس از لیست Available Snap-in ، Group Policy Object را Add کنید.

4. در Wizard ، Select Group Policy Object ،Browse را بزنید.

5. Computer Tab برای انتخاب کامپیوتری است که قصد مدیریت روی آن را دارید ، در اینجا this computer است.

6. Users Tab برای مدیرت روی کاربری خاص یا دسته ای از کاربران است که در بالا توضیح داده شد. پس از انتخاب کاربر مورد نظر ، ok و سپس Finish را بزنید.

7. اکنون امکان اعمال مدیریت روی user و یا دسته انتخاب شده موجود است.



غیر فعال کردن Local Group Policy:




همانطور که قبلا اشاره شد ، در برخی از موارد که به ندرت نیاز می شود ممکن است لازم باشد LGPOs غیر فعال باشد . مثلا زمانی که سیستم ها فردی به عنوان administrator به صورت Local دارند، شاید مدیر شبکه این مطلب را نیاز ببیند.برای این کار باید کامپیوتر عضو Domain باشد.

1. GPMC.msc را باز کنید ( برای دسترسی ساده از RUN استفاده کنید).

2. Configuration > Administrative Templates > System > Group Policy.

3. Turn off Local Group Policy objects processing

4. اگر می خواهید که LGPOs غیر فعال باشد ، باید Turn off Local Group Policy objects processing ، enable باشد.

5. پس از restart تغییرات اعمال خواهند شد.​

 

[Nethunter]

مدیریت ساده تر Group Policy

یکی از ابزار های مفید در مدیریت سیاست های گروهی، Group Policy Management Console است. با استفاده از این ابزار می توانید بسیار ساده تر سیاست های گروهی را مدیریت کنید همچنین بر قراری لینک ها پیچیدگی ندارد. وراثت ها آشکار تر دیده می شوند به در سراسر جنگل دسترسی دارید. به صورت پیش فرض، این ابزار جزء ویژگی های ویندوز سرور 2008 است و برای ویندوز سرور 2003 نیز قابل دریافت است.

فعال سازی در ویندوز سرور 2008: به کنسول Sever Manager رفته، در قسمت Features ، گزینه Add Features را بزنید و Group Policy Managment را انتخاب کنید و نصب کنید.
دریافت و فعال سازی در ویندوز سرور 2003 : از اینجا می توانید این ابزار را دریافت کنید و نصب کنید (رایگان – لینک مستقیم مایکروسافت - 5.5MB )
* توجه کنید که روی ویندوز XP نیز قابل نصب است. دامین کنترلر باید ویندوز سرور 2000 سرویس پک 2 به بعد باشد و همچنین سرویس پک 3 توصیه می شود. زیرا در سرویس پک 2 به تمامی امکانات دسترسی نخواهید داشت.


شروع در GPMC
در Administrative Tools با باز کردن Group Policy Management می توانید به این ابزار دسترسی پیدا کنید. در اولین نگاه، در نوار سمت چپ نمایشی از ساختار جنگل را می توانید ببینید. که دامین ها و سایت ها در دو بخش جدا نمایش داده می شوند. همجنین OU ها نیز در زیر دامین ها قابل مشاهده اند. بنابراین دیگر به آن مراحل باز کردن Group Policy Object Editor نیاز نخواهید داشت. برای ویرایش کردن هر بخش از سیاست های گروهی ، کافی است روی آن کلیک راست کرده و گزینه Edit را بزنید. با این کار Group Policy Managment یک پنجره جدید به نام Group Policy Managment Editor باز خواهد کرد. که در گذشته GPO Editer نام داشت. با GPO Editer در مطالب قبلی کاملا آشنا شدیم و همه چیز مشابه قبل است. تنها تفاوت موجود آن است که در Computer Configuration و User Configuration دو بخش(گره) جدید داریم:

1. Policies : شامل تمام گزینه ها و بخش هایی است در ورژن های قبل از ویندوز سرور 2008 موجود بود. البته گزینه های جدیدی نیز اضافه شده که برای استفاده از آن ها باید کلاینت های به روز رسانی شوند.

2 Preferences : قسمت جدیدی است که در ویندوز سرور 2008 اضافه شده و با آن می توانید تعداد بی شماری تنظیمات اضافی (علاوه بر سیاست ها) اعمال کنید. با این قسمت خواهید توانست قسمت های زیر را مدیریت کنید:

- نرم افزارهایی مشابه Microsoft Office ورژن های 2003 به بعد
- Mapped Drive ( مپ کردن یک درایو روی کلاینت ها)
- تنظیماتی در Registry
- تنظیمات مصرف انرژی
- تنظیمات منطقه ای (regional)
- می توانید Files ها، Printer ها، scheduled Task ها و… را Deploy کنید.
- همچنین می توانید استفاده از سخت افزار ها را فعال یا غیر فعال کنید. به عنوان مثال می توانید از استفاده از هارد های پرتابل را جلوگیری کنید.

توجه کنید که تمامی سیستم عامل هایی که تاریخ انتشار آنها قبل از ویندوز سرور 2008 R1 است، برای استفاده از این قسمت باید به روز شوند، در غیر این صورت سیاست های اعمال شده، بلا نتیجه خواهد بود. (شامل ویندوز ویستا سرویس پک 1)


دسته سیاست های برآیند:
در گذشته مشاهده کردیم که چندین سیاست می تواند روی یک کلاینت/کاربر اعمال شود. ارث بری، سیاست های چندگانه، فیلترها و… یافتن نتیجه سیاستی که اعمال خواهد شد را دشوار می کند. ضمن آنکه با توجه به زیاد بودن تعداد سیاست ها، محاسبه دستی از لحاظ زمانی، عملی نخواهد بود. برای این از ابزار های Resultant Set of Policy استفاده می کنیم. RSoP تاثیری بر سیاست های اعمال شده نخواهد داشت و فقط نتایج را نمایش خواهد داد.ابزارهای RSoP راه های متفاوتی برای محاسبه نتیجه سیاست ها دارند. می توانند یک پرس و جو (Query) به کامپیوتر ارسال کنند و نتیجه سیاست ها را از آن دریافت کنند. همچنین می توانند با استفاده از مدل سازی نتیجه سیاست ها را محاسبه کنند و… .

در ویندوز سرور 2008 ابزار های زیر را برای آنالیز RSoP در اختیار داریم:

1. Group Policy Results Wizard
چنانچه می خواهید متوجه شوید دقیقا چه سیاستی به یک کامپیوتر/کاربر اعمال می شود باید از این ابزار استفاده کنید. GPMC خود شامل این ابزار است اما می توانید از طریق MMC نیز به آن دسترسی پیدا کنید. پیش نیاز های استفاده از این عبارت اند از:
- داشتن یک اعتبارات مدیریتی.
- کامپیوتر مقصد (کلاینت) دارای سیستم عامل ویندوز XP به بعد باشد.
- باید به WMI در کامپیوتر مقصد دسترسی داشته باشید. این به آن معنا است که سرویس WMI در حال اجرا باشد، پورت های 135 و 445 باز باشند و مشکل ارتباطی وجود نداشته باشد.
- چنانچه قرار است یک کاربر آنالیز شود، باید آن کاربر حداقل یک بار در کامپیوتر مقصد Login کرده باشد، اما نیازی نیست که در حال حاضر Login کرده باشد و Session باز داشته باشد.
برای شروع روی Group Policy Results کلیک راست کنید و گزینه Group Policy Results Wizard را بزنید. در انجام مراحل ویزارد دقت کنید، چنانچه یک کامپیوتر را انتخاب کنید، فقط می توانید از بین کاربرانی که یک بار Login کرده اند انتخاب کنید. همچنین می توانید مشخص کنید که فقط User Configuration یا Computer Configuration نمایش داده شود. در این صورت از انتخاب کاربر / کامپیوتر بی نیاز خواهید بود.​

نکته قابل توجه آن است که حتی می توانید Event Log مخصوص policy های ذکر شده را مشاهده و مورد بررسی قرار دهید. دقت کنید که در زبانه (Tab) مربوط به Summery تنها اطلاعات مربوط به آخرین پردازش Group Policy نمایش داده می شود و در زبانه Settings نمایش کامل RSoP وجود خواهد داشت. همچنین پس از آنالیز RSoP شما می توانید مجدد Query بگیرید و یا گزارش را Save یا Print کنید.




اگر یک کاربر را از یک OU به OU دیگر یا از یک سایت به ساید دیگر Move کنید، اگر یک کامپیوتر را از یک OU به OU دیگر Move کنید یا گروه امنیتی که در آن عضو است را تغییر دهید، گستره سیاست ها تغییر پیدا می کند، بنابراین RSoP تغییر پیدا می کند. اگر با مشکل Slow Link رو به رو باشید و یا LoopBack Processing تنظیم شده باشد یا یک فیلتر مثلا فیلتر WMI اعمال شده باشد همگی می تواند سیاست هایی که به کاربر اعمال می شود را دچار تغییر کنند. پیش از Move کردن هر چیزی، ابتدا باید در مورد RSoP آن تحقیق کنید. هیچ گاه نمی توان بدون محاسبه سیاست های مقصد یک شیئ را Move کرد. همانطور که در گذشته دیدید، محاسبه دستی RSoP چندان عملی نیست لذا باید راهکاری برای محاسبه ی خودکار یافت.

برای یافتن جواب های سوال های “ اگر – چه “ در سیاست های گروهی از ابزار Group Policy Modeling Wizard استفاده می کنیم. با این ابزار می توانیم پیش بینی کنیم اگر تغییراتی اعمال شود، دسته سیاست های برآیند چه خواهند بود. در Group Policy Management Console روی Node (گره) Group Policy Modeling کلیک راست کنید و گزینه Group Policy Modeling Wizard را بزنید. مدل سازی با هدایت یک دامین کنترلر ویندوز سرور 2003 به بعد انجام می شود پس در ابتدا از شما سوال می شود روی کدام دامین کنترلر در اکتیو دایرکتوری مدل سازی صورت گیرد. سپس در خصوص موارد زیر سوال می شود:
1. مشخص کردن کامپیوتر یا کاربر یا هر دو ، یا یک OU ، دامین یا سایت برای ارزیابی شدن
2. مشخص کردن Slow Link و LoopBack Processing و معین کردن یک سایت خاص (برای محاسبه شدن سیاست هایی که در یک سایت اعمال شده اند)
3. معین کردن Security Group
4. معین کردن فیلتر ها
آنچه در نمایش Group policy Results گفته شد در اینجا نیز صادق است.

GPresult.exe :
GPresult.exe ابزار Command Based برای Group Polucy Results Wizard است. در اینجا با برخی سوییچ های این دستور آشنا می شویم:

s computername/ : نام یا IP آدرس می تواند جایگزین ComputerName شود و اگر در نام از چند بخشی استفاده نشود و یا از سوییچ استفاده نشود، RSoP برای کامپیوتر Local مشخص خواهد شد. مثال نام چند بخشی : dc5.contoso.com ( از FQDN استفاده کنید)
Scope User|Computer/ : نمایش RSoP برای User یا کامپیوتر. اگر سوییچ نوشته نشود برای هر دو مورد (User و Computer ) دسته سیاست های برآیند محاسبه خواهد شد.
User/ : مشخص کردن یک user خاص برای محاسبه RSoP .
r/ : نمایش خلاصه نتایج RSoP .
برای اطلاعات بیشتر در خصوص این فرمان به اینجا مراجعه کنید و یا از سوییچ ?/ استفاده کنید

منبع : erfantaheri.com

 

[mori_afshar]

کاربر عزیر : لطفا سوالات خود را در سوال و پاسخ ویژه مباحث شبکه بپرسید.

​