آشنایی با Group Policy در اکتیودایرکتوری و لوکال

     Group Policy ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کامپیوتر کلاینت ها را (به صورت مرکزی) مدیریت کنید. Group Policy می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود. برای ساختن یک تنظیم خاص باید یک ( GPO ( Group Policy Object ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy نیز داشته باشد.

Local Group Policy : یک Local Group Policy یعنی Group Policy هر کامپیوتر در خودش ذخیره شود و در واقع زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. یک Local Group Policy فقط روی همان کامپیوتری که در آن قرار دارد اعمال می شود و nonLocal Group Policy ها ارجحیت بیشتری نسبت به Local Group Policy ها دارند. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد. محل ذخیره سازی این تنظیمات آدرس زیر می باشد:

Systemroot%\System32\GroupPolicy%

nonLocal Group Policy : این سیاست ها باید در اکتیودایرکتوری ساخته شوند و به یک site، domain ، OU مرتبط شوند. به صورت پیش فرض، با نصب اکتیودایرکتوری، دو Group Policy ساخته می شوند که عبارتند از:

1. Default Domain Policy : این سیاسیت روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.

2. Default Domain Controllers Policy : این سیاست روی تمام OU دامین کنترلر اعمال می شود. یادآوری می کنم که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود. در صورتی که جای پوشه sysvol مقدار پیش فرض باشد، این سیاست ها در %Systemroot%\Sysvol\Domain

Name\Policies\GPO GUID\Adm% که در این آدرس GUID یک ID یکتا است.

نکته مهم: یک GPO که برای یک سایت تعریف شده باشد، روی تمام کامپیوتر های آن سایت اعمال می شود. بنابراین، بدون توجه به دامینی که آن کامپیوتر در آن عضو است، می توان یک Group Policy اعمال کرد. (بدیهی است در یک جنگل باید باشند)

 Group Policy Object Editor :
ابزار متداول ویرایش Group Policy است. آنکه چگونه این ابزار را باز کنید، به این بستگی دارد که این سیاست ها به کجا قرار است اعمال شود و نوع Group policy چیست.
1. LGPO – Local Group Policy Objects :
– در RUN وارد کنید MMC و از منوی file گزینه Add/Remove Snap-In را انتخاب کنید.
– در زبانه Standalone tab در دایلاگ باکس Add/Remove Snap-In دکمه Add را بزنید.
– Group Policy Object Editor را Add کنید و دقت کنید که Local Computer انتخاب شده است.
– Finish را بزنید و سپس با زدن OK دایلاگ باکس را ببندید.
* با استفاده از GPedit.msc می توانید وارد LGPO شوید. از این رو، گاهی در لغت GPedit را به جای GPOE به کار می برند که منظور همان GPOE است.
2. LGPO روی کامپیوتر دیگر :
– مراحل 1 را انجام دهید با این تفاوت که با جای Local Computer ، کامپیوتر دلخواه را انتخاب کنید.
3. GPO روی یک سایت :
– به Administrative tools بروید و کنسول Active Directory Site & Services را باز کنید.
– در درخت کنسول (نوار سمت چپ کنسول) روی سایتی که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
– به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…
4. GPO روی یک OU یا دامین :
– به Administrative tools بروید و کنسول Active Directory Users & Computers را باز کنید.
– در درخت کنسول (نوار سمت چپ کنسول) روی دامین یا OU که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
– به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…

تنظیم کردن Group Policy :
دو دسته تنظیمات مختلف وجود دارد که در درخت کنسول GPOE به خوبی تفکیک ایجاد می کند:
Computer Configuration و User Configuration
Computer Configuration به کامپیوتر ها اعمال می شود و بدون توجه به آنکه چه کسی از کامپیوتر استفاده می کند.
User Configuration به کاربران اعمال می شود و بدون توجه به آنکه از چه کامپیوتری استفاده می کند. برخی از تنظیمات فقط به User و برخی فقط به Computer ها قابل اعمال است.
از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون داستن محل دقیق یک آیتم، آن را پیدا کرد. یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و سرور 2008 نزدیک به 3000 آیتم مختلف وجود دارد و در ویندوز 7 از مرز 3000 آیتم خواهد گذشت. قطعا نمی توان این 3000 گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیار از آیتم ها دسترسی نخواهید داشت.
برخی از آیتم های Group Policy:
آ. Software Settings : در هر دو بخش User Configuration و Computer configuration تنظیمات Software Installation موجود است.

ب. Windows Settings :
Scripts : هر دو بخش شامل این گروه تنظیمات هستند، اما در Computer Configuration می توانید اسکریپتی که در زمان روشن/ خاموش شدن کامپیوتر اجرا شود را تنظیم کنید و در قسمت User Configuration می توانید اسکریپتی که در زمان login/ logout اجرا می شود را تنطیم کنید. توجه کنید که ابتدا Startup Script و سپس Logon Script اجرا خواهند شد و همچینی ابتدا Log off Script و سپس Shut down Script . نکته دیگر آن است که چنانچه چندین Script مختلف تنظیم شود ویندوز به ترتیب لیست از بالا به پایین اسکریپت ها را اجرا خواهد کرد. موضوع قابل توجه دیگر آن است که به صورت پیش فرض حداکثر زمان اجرای اسکریپت 10 دقیقه است. چنانچه log off و Shut down اسکریپت روی هم دیگر زمانی بیش از 10 دقیقه نیاز داشته باشند می توانید به راحتی با در Software Policy این زمان را تغییر دهید. از هر زبان ActiveX Scirpt می توان استفاده کرد. Microsoft Visual Basic نسخه اسکریپتینگ ( VBScript) یا MicrosoftJScript یا Batch file ها ( bat.* و cmd.*) پشتیبانی می شوند.
Security Settings : می توان جایگزین قالب های امنیتی پیش ساخته، این قسمت را ویرایش کرد.

پ. Administrative Templates : این گروه از تنظیمات را Registery-Based می گویند چرا که از طریق Registry اعمال می شوند. بیش از 700 آیتم متفاوت در این قسمت وجود دارد و خود شامل گروه های متفاوتی است. برای کسب اطلاع از هر کدام از این آیتم ها، توضیحات کاملی در خود Group Policy Object Editor نوشته شده که در سه جا قابل دسترسی است:
1. در زبانه Explain قسمت Properties هر آیتم.
2. در Administrative Templates Help که در ویندوز سرور 2003 به بعد وجود دارد.
3. در نوار توضیح

توجه: همچنین این توضیحات برای سایر آیتم ها در بخش های دیگر نیز قابل دسترسی است و توضیحات کامل و جامعی است.

هر آیتمی در بخش Administrative Templates سه حالت دارد:
1. Not Configured به معنای آنکه تغییر به Registry اعمال نشده.
2. Enabled به معنای آنکه سیاست اثر گذار است و Registry تغییر یافته.
3. Disabled به معنای آنکه تغییر یافته و سیاست اثرگذار نیست.

سیاست های Administrative Templates در بخش Computer Configuration در شاخه( HKEY_LOCAL_MACHINE ( HKLM رجیستری ذخیره می شوند و سیاست های Administrative Templates در بخش user Configuration در شاخه (HKEY_CURRENT_USER (HKCU رجیستری ذخیره می شوند. هر کدام از آیتم ها در مکانی خاص از این شاخه ها ذخیره می شوند اما به صورت کلی چنین است:
1. HKEY_LOCAL_MACHINE\Software\Policies مربوط به Computer Configuration
2. HKEY_CURRENT_USER\Software\Policies مربوط به User Configuration
3. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به Computer Configuration
4. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به user Configuration

iranjoman.com

پاسخ دهید