آشنایی با Group Policy
Group Policy ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کامپیوتر کلاینت ها را (به صورت مرکزی) مدیریت کنید. Group Policy می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود. برای ساختن یک تنظیم خاص باید یک ( GPO ( Group Policy Object ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy نیز داشته باشد.
- Local Group Policy : حتما با معنای واژه Local آشنایی دارید، یک Local Group Policy یعنی Group Policy هر کامپیوتر در خودش ذخیره شود و در واقع زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. یک Local Group Policy فقط روی همان کامپیوتری که در آن قرار دارد اعمال می شود و nonLocal Group Policy ها ارجحیت بیشتری نسبت به Local Group Policy ها دارند. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد. نحل ذخیره سازی این تنظیمات Systemroot%\System32\GroupPolicy% است.
- nonLocal Group Policy : این سیاست ها باید در اکتیودایرکتوری ساخته شوند و به یک site، domain ، OU مرتبط شوند. به صورت پیش فرض، با نصب اکتیودایرکتوری، دو Group Policy ساخته می شوند که عبارتند از:
1. Default Domain Policy : این سیاسیت روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.
2. Default Domain Controllers Policy : این سیاست روی تمام OU دامین کنترلر اعمال می شود. یادآوری می کنم که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود. در صورتی که جای پوشه sysvol مقدار پیش فرض باشد، این سیاست ها در %Systemroot%\Sysvol\Domain Name\Policies\GPO GUID\Adm% که در این آدرس GUID یک ID یکتا است.
نکته مهم: یک GPO که برای یک سایت تعریف شده باشد، روی تمام کامپیوتر های آن سایت اعمال می شود. بنابراین، بدون توجه به دامینی که آن کامپیوتر در آن عضو است، می توان یک Group Policy اعمال کرد. (بدیهی است در یک جنگل باید باشند)
Group Policy Object Editor :
ابزار متداول ویرایش Group Policy است. آنکه چگونه این ابزار را باز کنید، به این بستگی دارد که این سیاست ها به کجا قرار است اعمال شود و نوع Group policy چیست.
1. LGPO - Local Group Policy Objects :
- در RUN وارد کنید MMC و از منوی file گزینه Add/Remove Snap-In را انتخاب کنید.
- در زبانه Standalone tab در دایلاگ باکس Add/Remove Snap-In دکمه Add را بزنید.
- Group Policy Object Editor را Add کنید و دقت کنید که Local Computer انتخاب شده است.
- Finish را بزنید و سپس با زدن OK دایلاگ باکس را ببندید.
* با استفاده از GPedit.msc می توانید وارد LGPO شوید. از این رو، گاهی در لغت GPedit را به جای GPOE به کار می برند که منظور همان GPOE است.
2. LGPO روی کامپیوتر دیگر :
- مراحل 1 را انجام دهید با این تفاوت که با جای Local Computer ، کامپیوتر دلخواه را انتخاب کنید.
3. GPO روی یک سایت :
- به Administrative tools بروید و کنسول Active Directory Site & Services را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی سایتی که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…
4. GPO روی یک OU یا دامین :
- به Administrative tools بروید و کنسول Active Directory Users & Computers را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی دامین یا OU که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…
تنظیم کردن Group Policy :
دو دسته تنظیمات مختلف وجود دارد که در درخت کنسول GPOE به خوبی تفکیک ایجاد می کند. Computer Configuration و User Configuration . همانطور از اسمشان آشکار است، Computer Configuration به کامپیوتر ها اعمال می شود و بدون توجه به آنکه چه کسی از کامپیوتر استفاده می کند. User Configuration به کاربران اعمال می شود و بدون توجه به آنکه از چه کامپیوتری استفاده می کند. برخی از تنظیمات فقط به User و برخی فقط به Computer ها قابل اعمال است. از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون داشتن محل دقیق یک آیتم، آن را پیدا کرد. یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و سرور 2008 نزدیک به 3000 آیتم مختلف وجود دارد و در ویندوز 7 از مرز 3000 آیتم خواهد گذشت. قطعا نمی توان این 3000 گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیاری از آیتم ها دسترسی نخواهید داشت.
آ. Software Settings : در هر دو بخش User Configuration و Computer configuration تنظیمات Software Installation موجود است. که در این خصوص به تفصیل در اینجا صحبت شده است.
ب. Windows Settings :
- Scripts : هر دو بخش شامل این گروه تنظیمات هستند، اما در Computer Configuration می توانید اسکریپتی که در زمان روشن/ خاموش شدن کامپیوتر اجرا شود را تنظیم کنید و در قسمت User Configuration می توانید اسکریپتی که در زمان login/ logout اجرا می شود را تنطیم کنید. توجه کنید که ابتدا Startup Script و سپس Logon Script اجرا خواهند شد و همچینی ابتدا Log off Script و سپس Shut down Script . نکته دیگر آن است که چنانچه چندین Script مختلف تنظیم شود ویندوز به ترتیب لیست از بالا به پایین اسکریپت ها را اجرا خواهد کرد. موضوع قابل توجه دیگر آن است که به صورت پیش فرض حداکثر زمان اجرای اسکریپت 10 دقیقه است. چنانچه log off و Shut down اسکریپت روی هم دیگر زمانی بیش از 10 دقیقه نیاز داشته باشند می توانید به راحتی با در Software Policy این زمان را تغییر دهید. از هر زبان ActiveX Scirpt می توان استفاده کرد. Microsoft Visual Basic نسخه اسکریپتینگ ( VBScript) یا MicrosoftJScript یا Batch file ها ( bat.* و cmd.*) پشتیبانی می شوند.
- Security Settings : می توان جایگزین قالب های امنیتی پیش ساخته، این قسمت را ویرایش کرد. در آینده جداگانه این قسمت را بررسی خواهیم کرد.
- سایر گروه ها را نیز در آینده بحث می کنیم.
پ. Administrative Templates : این گروه از تنظیمات را Registery-Based می گویند چرا که از طریق Registry اعمال می شوند. بیش از 700 آیتم متفاوت در این قسمت وجود دارد و خود شامل گروه های متفاوتی است. برای کسب اطلاع از هر کدام از این آیتم ها، توضیحات کاملی در خود Group Policy Object Editor نوشته شده که در سه جا قابل دسترسی است.
1. در زبانه Explain قسمت Properties هر آیتم.
2. در Administrative Templates Help که در ویندوز سرور 2003 به بعد وجود دارد.
3. در نوار توضیح
توجه: همچنین این توضیحات برای سایر آیتم ها در بخش های دیگر نیز قابل دسترسی است و توضیحات کامل و جامعی است.
هر آیتمی در بخش Administrative Templates سه حالت دارد:
1. Not Configured به معنای آنکه تغییر به Registry اعمال نشده.
2. Enabled به معنای آنکه سیاست اثر گذار است و Registry تغییر یافته.
3. Disabled به معنای آنکه تغییر یافته و سیاست اثرگذار نیست.
* در خصوص سیاست های چندگانه در آینده صحبت می شود.
سیاست های Administrative Templates در بخش Computer Configuration در شاخه( HKEY_LOCAL_MACHINE ( HKLM رجیستری ذخیره می شوند و سیاست های Administrative Templates در بخش user Configuration در شاخه (HKEY_CURRENT_USER (HKCU رجیستری ذخیره می شوند. هر کدام از آیتم ها در مکانی خاص از این شاخه ها ذخیره می شوند اما به صورت کلی چنین است:
1. HKEY_LOCAL_MACHINE\Software\Policies مربوط به Computer Configuration
2. HKEY_CURRENT_USER\Software\Policies مربوط به User Configuration
3. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به Computer Configuration
4. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به user Configuration
مدیریت ساده تر Group Policy – قسمت اول
یکی از ابزار های مفید در مدیریت سیاست های گروهی، Group Policy Management Console است. با استفاده از این ابزار می توانید بسیار ساده تر سیاست های گروهی را مدیریت کنید همچنین بر قراری لینک ها پیچیدگی ندارد. وراثت ها آشکار تر دیده می شوند به در سراسر جنگل دسترسی دارید. به صورت پیش فرض، این ابزار جزء ویژگی های ویندوز سرور 2008 است و برای ویندوز سرور 2003 نیز قابل دریافت است.
فعال سازی در ویندوز سرور 2008: به کنسول Sever Manager رفته، در قسمت Features ، گزینه Add Features را بزنید و Group Policy Managment را انتخاب کنید و نصب کنید.
دریافت و فعال سازی در ویندوز سرور 2003 : از اینجا می توانید این ابزار را دریافت کنید و نصب کنید (رایگان – لینک مستقیم مایکروسافت - 5.5MB )
* توجه کنید که روی ویندوز XP نیز قابل نصب است. دامین کنترلر باید ویندوز سرور 2000 سرویس پک 2 به بعد باشد و همچنین سرویس پک 3 توصیه می شود. زیرا در سرویس پک 2 به تمامی امکانات دسترسی نخواهید داشت.
شروع در GPMC
در Administrative Tools با باز کردن Group Policy Management می توانید به این ابزار دسترسی پیدا کنید. در اولین نگاه، در نوار سمت چپ نمایشی از ساختار جنگل را می توانید ببینید. که دامین ها و سایت ها در دو بخش جدا نمایش داده می شوند. همجنین OU ها نیز در زیر دامین ها قابل مشاهده اند. بنابراین دیگر به آن مراحل باز کردن Group Policy Object Editor نیاز نخواهید داشت. برای ویرایش کردن هر بخش از سیاست های گروهی ، کافی است روی آن کلیک راست کرده و گزینه Edit را بزنید. با این کار Group Policy Managment یک پنجره جدید به نام Group Policy Managment Editor باز خواهد کرد. که در گذشته GPO Editer نام داشت. با GPO Editer در مطالب قبلی کاملا آشنا شدیم و همه چیز مشابه قبل است. تنها تفاوت موجود آن است که در Computer Configuration و User Configuration دو بخش(گره) جدید داریم:
1. Policies : شامل تمام گزینه ها و بخش هایی است در ورژن های قبل از ویندوز سرور 2008 موجود بود. البته گزینه های جدیدی نیز اضافه شده که برای استفاده از آن ها باید کلاینت های به روز رسانی شوند.
2 Preferences : قسمت جدیدی است که در ویندوز سرور 2008 اضافه شده و با آن می توانید تعداد بی شماری تنظیمات اضافی (علاوه بر سیاست ها) اعمال کنید. با این قسمت خواهید توانست قسمت های زیر را مدیریت کنید:
- نرم افزارهایی مشابه Microsoft Office ورژن های 2003 به بعد
- Mapped Drive ( مپ کردن یک درایو روی کلاینت ها)
- تنظیماتی در Registry
- تنظیمات مصرف انرژی
- تنظیمات منطقه ای (regional)
- می توانید Files ها، Printer ها، scheduled Task ها و… را Deploy کنید.
- همچنین می توانید استفاده از سخت افزار ها را فعال یا غیر فعال کنید. به عنوان مثال می توانید از استفاده از هارد های پرتابل را جلوگیری کنید.
توجه کنید که تمامی سیستم عامل هایی که تاریخ انتشار آنها قبل از ویندوز سرور 2008 R1 است، برای استفاده از این قسمت باید به روز شوند، در غیر این صورت سیاست های اعمال شده، بلا نتیجه خواهد بود. (شامل ویندوز ویستا سرویس پک 1)
دسته سیاست های برآیند:
در گذشته مشاهده کردیم که چندین سیاست می تواند روی یک کلاینت/کاربر اعمال شود. ارث بری، سیاست های چندگانه، فیلترها و… یافتن نتیجه سیاستی که اعمال خواهد شد را دشوار می کند. ضمن آنکه با توجه به زیاد بودن تعداد سیاست ها، محاسبه دستی از لحاظ زمانی، عملی نخواهد بود. برای این از ابزار های Resultant Set of Policy استفاده می کنیم. RSoP تاثیری بر سیاست های اعمال شده نخواهد داشت و فقط نتایج را نمایش خواهد داد.ابزارهای RSoP راه های متفاوتی برای محاسبه نتیجه سیاست ها دارند. می توانند یک پرس و جو (Query) به کامپیوتر ارسال کنند و نتیجه سیاست ها را از آن دریافت کنند. همچنین می توانند با استفاده از مدل سازی نتیجه سیاست ها را محاسبه کنند و… .
در ویندوز سرور 2008 ابزار های زیر را برای آنالیز RSoP در اختیار داریم:
1. Group Policy Results Wizard
چنانچه می خواهید متوجه شوید دقیقا چه سیاستی به یک کامپیوتر/کاربر اعمال می شود باید از این ابزار استفاده کنید. GPMC خود شامل این ابزار است اما می توانید از طریق MMC نیز به آن دسترسی پیدا کنید. پیش نیاز های استفاده از این عبارت اند از:
- داشتن یک اعتبارات مدیریتی.
- کامپیوتر مقصد (کلاینت) دارای سیستم عامل ویندوز XP به بعد باشد.
- باید به WMI در کامپیوتر مقصد دسترسی داشته باشید. این به آن معنا است که سرویس WMI در حال اجرا باشد، پورت های 135 و 445 باز باشند و مشکل ارتباطی وجود نداشته باشد.
- چنانچه قرار است یک کاربر آنالیز شود، باید آن کاربر حداقل یک بار در کامپیوتر مقصد Login کرده باشد، اما نیازی نیست که در حال حاضر Login کرده باشد و Session باز داشته باشد.
برای شروع روی Group Policy Results کلیک راست کنید و گزینه Group Policy Results Wizard را بزنید. در انجام مراحل ویزارد دقت کنید، چنانچه یک کامپیوتر را انتخاب کنید، فقط می توانید از بین کاربرانی که یک بار Login کرده اند انتخاب کنید. همچنین می توانید مشخص کنید که فقط User Configuration یا Computer Configuration نمایش داده شود. در این صورت از انتخاب کاربر / کامپیوتر بی نیاز خواهید بود.
نکته قابل توجه آن است که حتی می توانید Event Log مخصوص policy های ذکر شده را مشاهده و مورد بررسی قرار دهید. دقت کنید که در زبانه (Tab) مربوط به Summery تنها اطلاعات مربوط به آخرین پردازش Group Policy نمایش داده می شود و در زبانه Settings نمایش کامل RSoP وجود خواهد داشت. همچنین پس از آنالیز RSoP شما می توانید مجدد Query بگیرید و یا گزارش را Save یا Print کنید.
2. Group Policy Modeling Wizard
3. GPresult.exe
Group Policy ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کامپیوتر کلاینت ها را (به صورت مرکزی) مدیریت کنید. Group Policy می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود. برای ساختن یک تنظیم خاص باید یک ( GPO ( Group Policy Object ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy نیز داشته باشد.
- Local Group Policy : حتما با معنای واژه Local آشنایی دارید، یک Local Group Policy یعنی Group Policy هر کامپیوتر در خودش ذخیره شود و در واقع زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. یک Local Group Policy فقط روی همان کامپیوتری که در آن قرار دارد اعمال می شود و nonLocal Group Policy ها ارجحیت بیشتری نسبت به Local Group Policy ها دارند. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد. نحل ذخیره سازی این تنظیمات Systemroot%\System32\GroupPolicy% است.
- nonLocal Group Policy : این سیاست ها باید در اکتیودایرکتوری ساخته شوند و به یک site، domain ، OU مرتبط شوند. به صورت پیش فرض، با نصب اکتیودایرکتوری، دو Group Policy ساخته می شوند که عبارتند از:
1. Default Domain Policy : این سیاسیت روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.
2. Default Domain Controllers Policy : این سیاست روی تمام OU دامین کنترلر اعمال می شود. یادآوری می کنم که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود. در صورتی که جای پوشه sysvol مقدار پیش فرض باشد، این سیاست ها در %Systemroot%\Sysvol\Domain Name\Policies\GPO GUID\Adm% که در این آدرس GUID یک ID یکتا است.
نکته مهم: یک GPO که برای یک سایت تعریف شده باشد، روی تمام کامپیوتر های آن سایت اعمال می شود. بنابراین، بدون توجه به دامینی که آن کامپیوتر در آن عضو است، می توان یک Group Policy اعمال کرد. (بدیهی است در یک جنگل باید باشند)
Group Policy Object Editor :
ابزار متداول ویرایش Group Policy است. آنکه چگونه این ابزار را باز کنید، به این بستگی دارد که این سیاست ها به کجا قرار است اعمال شود و نوع Group policy چیست.
1. LGPO - Local Group Policy Objects :
- در RUN وارد کنید MMC و از منوی file گزینه Add/Remove Snap-In را انتخاب کنید.
- در زبانه Standalone tab در دایلاگ باکس Add/Remove Snap-In دکمه Add را بزنید.
- Group Policy Object Editor را Add کنید و دقت کنید که Local Computer انتخاب شده است.
- Finish را بزنید و سپس با زدن OK دایلاگ باکس را ببندید.
* با استفاده از GPedit.msc می توانید وارد LGPO شوید. از این رو، گاهی در لغت GPedit را به جای GPOE به کار می برند که منظور همان GPOE است.
2. LGPO روی کامپیوتر دیگر :
- مراحل 1 را انجام دهید با این تفاوت که با جای Local Computer ، کامپیوتر دلخواه را انتخاب کنید.
3. GPO روی یک سایت :
- به Administrative tools بروید و کنسول Active Directory Site & Services را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی سایتی که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…
4. GPO روی یک OU یا دامین :
- به Administrative tools بروید و کنسول Active Directory Users & Computers را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی دامین یا OU که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…
تنظیم کردن Group Policy :
دو دسته تنظیمات مختلف وجود دارد که در درخت کنسول GPOE به خوبی تفکیک ایجاد می کند. Computer Configuration و User Configuration . همانطور از اسمشان آشکار است، Computer Configuration به کامپیوتر ها اعمال می شود و بدون توجه به آنکه چه کسی از کامپیوتر استفاده می کند. User Configuration به کاربران اعمال می شود و بدون توجه به آنکه از چه کامپیوتری استفاده می کند. برخی از تنظیمات فقط به User و برخی فقط به Computer ها قابل اعمال است. از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون داشتن محل دقیق یک آیتم، آن را پیدا کرد. یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و سرور 2008 نزدیک به 3000 آیتم مختلف وجود دارد و در ویندوز 7 از مرز 3000 آیتم خواهد گذشت. قطعا نمی توان این 3000 گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیاری از آیتم ها دسترسی نخواهید داشت.
آ. Software Settings : در هر دو بخش User Configuration و Computer configuration تنظیمات Software Installation موجود است. که در این خصوص به تفصیل در اینجا صحبت شده است.
ب. Windows Settings :
- Scripts : هر دو بخش شامل این گروه تنظیمات هستند، اما در Computer Configuration می توانید اسکریپتی که در زمان روشن/ خاموش شدن کامپیوتر اجرا شود را تنظیم کنید و در قسمت User Configuration می توانید اسکریپتی که در زمان login/ logout اجرا می شود را تنطیم کنید. توجه کنید که ابتدا Startup Script و سپس Logon Script اجرا خواهند شد و همچینی ابتدا Log off Script و سپس Shut down Script . نکته دیگر آن است که چنانچه چندین Script مختلف تنظیم شود ویندوز به ترتیب لیست از بالا به پایین اسکریپت ها را اجرا خواهد کرد. موضوع قابل توجه دیگر آن است که به صورت پیش فرض حداکثر زمان اجرای اسکریپت 10 دقیقه است. چنانچه log off و Shut down اسکریپت روی هم دیگر زمانی بیش از 10 دقیقه نیاز داشته باشند می توانید به راحتی با در Software Policy این زمان را تغییر دهید. از هر زبان ActiveX Scirpt می توان استفاده کرد. Microsoft Visual Basic نسخه اسکریپتینگ ( VBScript) یا MicrosoftJScript یا Batch file ها ( bat.* و cmd.*) پشتیبانی می شوند.
- Security Settings : می توان جایگزین قالب های امنیتی پیش ساخته، این قسمت را ویرایش کرد. در آینده جداگانه این قسمت را بررسی خواهیم کرد.
- سایر گروه ها را نیز در آینده بحث می کنیم.
پ. Administrative Templates : این گروه از تنظیمات را Registery-Based می گویند چرا که از طریق Registry اعمال می شوند. بیش از 700 آیتم متفاوت در این قسمت وجود دارد و خود شامل گروه های متفاوتی است. برای کسب اطلاع از هر کدام از این آیتم ها، توضیحات کاملی در خود Group Policy Object Editor نوشته شده که در سه جا قابل دسترسی است.
1. در زبانه Explain قسمت Properties هر آیتم.
2. در Administrative Templates Help که در ویندوز سرور 2003 به بعد وجود دارد.
3. در نوار توضیح
توجه: همچنین این توضیحات برای سایر آیتم ها در بخش های دیگر نیز قابل دسترسی است و توضیحات کامل و جامعی است.
هر آیتمی در بخش Administrative Templates سه حالت دارد:
1. Not Configured به معنای آنکه تغییر به Registry اعمال نشده.
2. Enabled به معنای آنکه سیاست اثر گذار است و Registry تغییر یافته.
3. Disabled به معنای آنکه تغییر یافته و سیاست اثرگذار نیست.
* در خصوص سیاست های چندگانه در آینده صحبت می شود.
سیاست های Administrative Templates در بخش Computer Configuration در شاخه( HKEY_LOCAL_MACHINE ( HKLM رجیستری ذخیره می شوند و سیاست های Administrative Templates در بخش user Configuration در شاخه (HKEY_CURRENT_USER (HKCU رجیستری ذخیره می شوند. هر کدام از آیتم ها در مکانی خاص از این شاخه ها ذخیره می شوند اما به صورت کلی چنین است:
1. HKEY_LOCAL_MACHINE\Software\Policies مربوط به Computer Configuration
2. HKEY_CURRENT_USER\Software\Policies مربوط به User Configuration
3. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به Computer Configuration
4. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به user Configuration
مدیریت ساده تر Group Policy – قسمت اول
یکی از ابزار های مفید در مدیریت سیاست های گروهی، Group Policy Management Console است. با استفاده از این ابزار می توانید بسیار ساده تر سیاست های گروهی را مدیریت کنید همچنین بر قراری لینک ها پیچیدگی ندارد. وراثت ها آشکار تر دیده می شوند به در سراسر جنگل دسترسی دارید. به صورت پیش فرض، این ابزار جزء ویژگی های ویندوز سرور 2008 است و برای ویندوز سرور 2003 نیز قابل دریافت است.
فعال سازی در ویندوز سرور 2008: به کنسول Sever Manager رفته، در قسمت Features ، گزینه Add Features را بزنید و Group Policy Managment را انتخاب کنید و نصب کنید.
دریافت و فعال سازی در ویندوز سرور 2003 : از اینجا می توانید این ابزار را دریافت کنید و نصب کنید (رایگان – لینک مستقیم مایکروسافت - 5.5MB )
* توجه کنید که روی ویندوز XP نیز قابل نصب است. دامین کنترلر باید ویندوز سرور 2000 سرویس پک 2 به بعد باشد و همچنین سرویس پک 3 توصیه می شود. زیرا در سرویس پک 2 به تمامی امکانات دسترسی نخواهید داشت.
شروع در GPMC
در Administrative Tools با باز کردن Group Policy Management می توانید به این ابزار دسترسی پیدا کنید. در اولین نگاه، در نوار سمت چپ نمایشی از ساختار جنگل را می توانید ببینید. که دامین ها و سایت ها در دو بخش جدا نمایش داده می شوند. همجنین OU ها نیز در زیر دامین ها قابل مشاهده اند. بنابراین دیگر به آن مراحل باز کردن Group Policy Object Editor نیاز نخواهید داشت. برای ویرایش کردن هر بخش از سیاست های گروهی ، کافی است روی آن کلیک راست کرده و گزینه Edit را بزنید. با این کار Group Policy Managment یک پنجره جدید به نام Group Policy Managment Editor باز خواهد کرد. که در گذشته GPO Editer نام داشت. با GPO Editer در مطالب قبلی کاملا آشنا شدیم و همه چیز مشابه قبل است. تنها تفاوت موجود آن است که در Computer Configuration و User Configuration دو بخش(گره) جدید داریم:
1. Policies : شامل تمام گزینه ها و بخش هایی است در ورژن های قبل از ویندوز سرور 2008 موجود بود. البته گزینه های جدیدی نیز اضافه شده که برای استفاده از آن ها باید کلاینت های به روز رسانی شوند.
2 Preferences : قسمت جدیدی است که در ویندوز سرور 2008 اضافه شده و با آن می توانید تعداد بی شماری تنظیمات اضافی (علاوه بر سیاست ها) اعمال کنید. با این قسمت خواهید توانست قسمت های زیر را مدیریت کنید:
- نرم افزارهایی مشابه Microsoft Office ورژن های 2003 به بعد
- Mapped Drive ( مپ کردن یک درایو روی کلاینت ها)
- تنظیماتی در Registry
- تنظیمات مصرف انرژی
- تنظیمات منطقه ای (regional)
- می توانید Files ها، Printer ها، scheduled Task ها و… را Deploy کنید.
- همچنین می توانید استفاده از سخت افزار ها را فعال یا غیر فعال کنید. به عنوان مثال می توانید از استفاده از هارد های پرتابل را جلوگیری کنید.
توجه کنید که تمامی سیستم عامل هایی که تاریخ انتشار آنها قبل از ویندوز سرور 2008 R1 است، برای استفاده از این قسمت باید به روز شوند، در غیر این صورت سیاست های اعمال شده، بلا نتیجه خواهد بود. (شامل ویندوز ویستا سرویس پک 1)
دسته سیاست های برآیند:
در گذشته مشاهده کردیم که چندین سیاست می تواند روی یک کلاینت/کاربر اعمال شود. ارث بری، سیاست های چندگانه، فیلترها و… یافتن نتیجه سیاستی که اعمال خواهد شد را دشوار می کند. ضمن آنکه با توجه به زیاد بودن تعداد سیاست ها، محاسبه دستی از لحاظ زمانی، عملی نخواهد بود. برای این از ابزار های Resultant Set of Policy استفاده می کنیم. RSoP تاثیری بر سیاست های اعمال شده نخواهد داشت و فقط نتایج را نمایش خواهد داد.ابزارهای RSoP راه های متفاوتی برای محاسبه نتیجه سیاست ها دارند. می توانند یک پرس و جو (Query) به کامپیوتر ارسال کنند و نتیجه سیاست ها را از آن دریافت کنند. همچنین می توانند با استفاده از مدل سازی نتیجه سیاست ها را محاسبه کنند و… .
در ویندوز سرور 2008 ابزار های زیر را برای آنالیز RSoP در اختیار داریم:
1. Group Policy Results Wizard
چنانچه می خواهید متوجه شوید دقیقا چه سیاستی به یک کامپیوتر/کاربر اعمال می شود باید از این ابزار استفاده کنید. GPMC خود شامل این ابزار است اما می توانید از طریق MMC نیز به آن دسترسی پیدا کنید. پیش نیاز های استفاده از این عبارت اند از:
- داشتن یک اعتبارات مدیریتی.
- کامپیوتر مقصد (کلاینت) دارای سیستم عامل ویندوز XP به بعد باشد.
- باید به WMI در کامپیوتر مقصد دسترسی داشته باشید. این به آن معنا است که سرویس WMI در حال اجرا باشد، پورت های 135 و 445 باز باشند و مشکل ارتباطی وجود نداشته باشد.
- چنانچه قرار است یک کاربر آنالیز شود، باید آن کاربر حداقل یک بار در کامپیوتر مقصد Login کرده باشد، اما نیازی نیست که در حال حاضر Login کرده باشد و Session باز داشته باشد.
برای شروع روی Group Policy Results کلیک راست کنید و گزینه Group Policy Results Wizard را بزنید. در انجام مراحل ویزارد دقت کنید، چنانچه یک کامپیوتر را انتخاب کنید، فقط می توانید از بین کاربرانی که یک بار Login کرده اند انتخاب کنید. همچنین می توانید مشخص کنید که فقط User Configuration یا Computer Configuration نمایش داده شود. در این صورت از انتخاب کاربر / کامپیوتر بی نیاز خواهید بود.
نکته قابل توجه آن است که حتی می توانید Event Log مخصوص policy های ذکر شده را مشاهده و مورد بررسی قرار دهید. دقت کنید که در زبانه (Tab) مربوط به Summery تنها اطلاعات مربوط به آخرین پردازش Group Policy نمایش داده می شود و در زبانه Settings نمایش کامل RSoP وجود خواهد داشت. همچنین پس از آنالیز RSoP شما می توانید مجدد Query بگیرید و یا گزارش را Save یا Print کنید.
2. Group Policy Modeling Wizard
3. GPresult.exe
هیچ نظری موجود نیست:
ارسال یک نظر