Scope در گروپ پالیسی Group Policy

گستره ( Scope ) :
Scope یک سیاست، اجتماع کامپیوتر ها و یوزر هایی است که یک سیاست در آن ها به کار می رود. متد های مختلفی برای مدیریت Scope وجود دارد. اولین و ساده ترین راه، روش Link است. با روش لینک می توانیم معین کنیم که یک سیاست دقیقا در کجا به کار رود یک دامین، سایت، OU. بدیهی است که سیاست برای تمام کامپیوتر ها و یوزر ها آن بخش به کار گرفته خواهد شد. همچنین دو روش مختلف برای کردن سیاست ها داریم. روش روش اول که Security Filters یا های امنیتی نام دارد، معین می کند که Global Security Group هایی را معین می کند که آن سیاست باید/نباید در آن به کار گرفته شوند. روش ینگ دوم ، های windows Managmet Instrumentation است که از مشخصاتی از سیستم همانند سیستم عامل و یا میزان فضای خالی دیسک سخت استفاده می شود. هر دو دسته ها، برای محدود کردن گستره ای است که توسط لینک معین شد.

مدیریت گستره سیاست:
مدیریت لینک ها دقیقا به وسیله آنچه که در خصوص باز کردن Group Policy گفته شد انجام می شود. در واقع با آن روش باز کردن، می توان انتخاب کنید که سیاست به کدام ناحیه، یک دامین، یک OU یا یک سایت اعمال شود. بنابراین باید اکنون به راحتی بتوانید یک Group Policy را به ناحیه ای لینک کنید. اما مسئله لینک ها در اینجا تمام نمی شود.

ترتیب اعمال لینک ها:
ترتیب زیر، ترتیب اعمال شدن سیاست ها است به این معنا که هر سیاستی که آخر اعمال می شود، تاثیر بیشتری دارد. به عنوان مثال چنانچه در LGPO به کاربر اجازه Run داده شده باشد در سایت و دامین تصمیمی اتخاذ نشده باشد و در OU منع شده باشد، کاربر به run دسترسی نخواهد داشت. هر چند درست نیست، اما برای درک بهتر می توان گفت، مراحل بعدی، روی مراحل قبلی Overwrite می شوند.
1 – هر کامپیوتر دقیقا یک LGPO دارد. در ویندوز ویستا و سرور 2008 می توان بیش از چند LGPO داشت. برای اطلاعات بیشتراینجا را بخوانید.
2 – هر سیاستی که در سایت لینک شده باشد،اعمال می شود. در صورت لینک شدن چندین سیاست به یک سایت، به ترتیب اهمیت بیشتری خواهند داشت.
3 – هر سیاستی که در دامین لینک شده باشد، اعمال می شود. همانند 2، ترتیب اعمال سیاست ها به ترتیبی است که معین شده است.
4 – هر سیاستی که در OU لینک شده باشد، اعمال می شود. همانند 3 و 2 ترتیب اعمال شدن سیاست ها به ترتیبی است که معین شده است.
* چنانچه اختلافی میان سیاست های Computer Configuration و User Configuration موجود باشد، User Configuration اعمال خواهد شد چرا که User Configuration خاص تر است. اما استفاده از لغت “برتری” برای این دو گروه تنظیمات اشتباه است.
– توضیح بیشتر آنکه چنانچه به یک دامین، سایت یا OU بیش از یک GPOs لینک شده باشد، ترتیب اولویت آن ها با لینک های بالاتر است. همچنین می توانید شماره کنار هر گزینه را اولویت آن در نظر بگیرید. مثلا تمام سیاست های 4 نسبت به 2 در اولویت است. شکل زیر به خوبی ترتیب اعمال سیاست ها را نمایش می دهد. برای بزرگ تر شدن تصویر روی آن کلیک کنید.

وراثت :
شک ندارم تمام کسانی که در رشته کامپیوتر فعالیت دارند از لغت وراثت دل خوشی ندارند. عموما یک سیاست به زیردستان اعمال می شود. به عنوان مثال شاه می تواند برای وزیر، دستوری صادر کند مثلا در کامپیوتر خود Run نداشته باشد! اما وزیر نمی تواند سیاستی برای شاه اعمال کند. در اینجا فقط سیاست ها از بالا به پایین به ارث می رسند. در واقع از والد( parent ) به فرزند ( Child ). نحوه اعمال این سیاست ها چنین است:

1 – چنانچه سیاستی در OU والد تنظیم شده باشد و در OU فرزند تنظیم نشده باشد آن سیاست به فرزندان اعمال می شود. ( اشتباه نکنید چه Enable باشد چه Disable – فقط در حالت Not Configured بی اثر است)

2 – چنانچه سیاستی در OU والد تنظیم شده باشد و در OU فرزند نیز همان سیاست تنظیم شده باشد، سیاست فرزند بر سیاست والد برتری دارد و سیاست فرزند اعمال می شود.

3 – چنانچه سیاست های والد Not Configured باشد همانطور که در 1 توضیح داده شد، به ارث برده نمی شوند.

4 – چنانچه سیاست ها با هم ناسازگار نباشند، هر دو سیاست اعمال می شوند. به عنوان مثال چنانچه در OU والد سیاستی مبنی بر قرار گرفته یک فلدر روی دسکتاپ وجود داشته باشد، و در OU فرزند نیز همان سیاست در مورد فلدر دیگری باشد، هر دو فلدر روی دسکتاپ وجود خواهند داشت.

5 – چنانچه سیاست های OU والد با OU فرزند ناسازگار باشد، سیاست ها به OU فرزند به ارث نمی رسد و سیاست های فرزند اعمال می شود.

6 – به صورت پیش فرض، سیاست های از Parent Domain به Child Domain به ارث نمی رسد و سیاست های جداگانه خود را خواهند داشت.

فرآیند Group Policy :
گام های زیر، مراحلی است که یک کامپیوتر در محیط اکتیو دایرکتوری طی می کند و یک سیاست به آن اعمال می شود:
1. کامپیوتر شروع به کار می کند و سرویس دهی شبکه آغاز می شود. سپس RPCSS و MUP شروع به کار می کنند و سپس Group Policy Client آغاز به کار می کند.

2. Group Policy Client یک لیست مرتب شده از GPOs هایی که در Scope سیاست های خودش است را آماده می کند و این لیست مرتب به صورت نحوه فرآیند اعمال Group Policy را معین می کند. که به صورت پیش فرض Local ، سیاست های Site ، سیاست های دامین ، سیاست های OU است.
الف. سیستم عامل های قبل از ویندوز ویستا و از ویندوز 2000 به بعد، فقط یک LGPO دارند و همان LGPO اعمال می شود. سیستم عامل های بعد از ویندوز ویستا، چند LGPOs دارند که در مورد اولویت آنها نسبت به هم صحبت شد.
ب. تمام سیاست های گروهی که به سایت link شده باشند، در لیست مرتب شده قرار می گیرند. چنانچه چندین سیاست link شده باشد، به همان ترتیب به لیست اضافه می شوند. GPO که در بالاتر باشد، اولویت بیشتری دارد بنابراین دیر تر به لیست اضافه می شود تا در صورت داشتن تضاد با سیاست های قبلی Overwrite شود. در مورد لغت Overwrite به تذکری که قبلا دادم توجه کنید.
پ. سیاست های دامنی به همان ترتیبی گفته شد اضافه می شوند.
ت. سیاست های OU به ترتیب بالاترین OU در ساختار سلسه مراتبی اکتیودایرکتوری اعمال می شوند تا به پایین ترین OU که در Scope است برسد. اولویت ها بر همان اساس که در قبل گفته شد خواهد بود و اولویت بیشتر دیر تر در لیست وارد می شود تا سیاست های قبلی را Overwrite کند.
ث. سیاست های اجبار کننده وارد لیست می شوند بنابراین این سیاست ها Override می شوند بر سیاست هایی که قبلا در لیست بودند و یعنی بیشترین اولویت را دارند.
* ترتیب اولویت ها را به خاطر بسپارید، عکس آن ترتیب به لیست اضافه می شوند.

3. این مراحل پشت سر هم انجام می شود. در هر مرحله، تنظیمات مربوط به سیاست ها معین می شود ( Enable یا Disable ). در صورتی که ***** WMI وجود داشته باشد و سیستم عامل ویندوز XP به بعد باشد، یک WQL اتفاق خواهد افتاد.

4. در این مرحله اتفاقاتی رخ می دهد که آنها را تا بحث “معماری سیاست های گروهی” بررسی نمی کنیم.
– Startup Script اجرا می شود. هر اسکریپت یا اجرایش تمام می شود و یا TimeOut می شود. زمان TimeOut به صورت پیش فرض 600 ثانیه معادل 10 دقیقه است. این پردازش به صورت پیش فرض در پشت صحنه اتفاق می افتد. می توان تنظیمات TimeOut و… را تغییر داد.

5. زمامی که یوزر Logon می کند،ابتدا User Profile کامل لود می شود و سپس مشابه آنچه زمان Startup برای Computer Configuration اتفاق افتاد، در زمان Logon برای User Configuration اتفاق می افتد. چنانچه User loopback Policy تعیین شده باشد و Enable باشد، این پروسه فرق می کند که در “معماری سیاست های گروهی” بررسی بیشتری خواهیم کرد.
– Logon Script اجرا می شود. شرایط مشابه Startup Script است.

6. هر 90 – 120 دقیقه یکبار پس از Strartup ، سیاست های Computer Configuration بازسازی می شوند و مراحل 2 و 3 و 4 تکرار می شوند.

7. در هر 90 – 120 دقیقه یکبار پس از Logon ، سیاست های User Configuration بازسازی می شوند و مراحل 5 و 3 و 4 تکرار می شوند

استثناء ها :
1 – کامپیوتر های عضو Workgroup : بدیهی است که کامپیوتر هایی که عضو دامین نیستند، تنها LGPO برای آنها اعمال می شود.

2 – NO Override : هر سیاستی که اعمال می شود، می تواند تنظیم شود که سیاست دیگری روی آن برتری پیدا نکند، در این صورت در صورت آنکه حتی با سیاست فرزندان ناسازگار باشد، آن سیاست اعمال خواهد شد. ضمن آنکه چنانچه چند سیاست ناسازگار با یکدیگر No Override باشند، سیاستی که در ساختار درختی اکتیو دایرکتوری بالاتر است، آن سیاست اعمال می شود.

3 – Block Policy Inheritance : فرزندان می توانند جلوی به ارث بردن را بگیرند البته چنانچه No Override شده باشد، نمی توان جلوی به ارث بردن را گرفت. همچین Block Policy Inheritance می تواند برای تمام یک سایت، دامین یا OU اعمال شود و نمی تواند برای یک GPO خاص به کار رود.

4 – Loopback Settings : این ویژگی جالب در شرایط خاص و بیشتر در سناریو های محیط های آموزشی یا عمومی کاربرد دارد. به صورت پیش فرض هر زمان که فردی از هر کامپیوتری استفاده می کند، یک User Configuration برای او اعمال می شود. چرا که او یک User Account دارد و جای User Account او هم در ساختار اکتیو دایرکتوری تغییر نمی کند، بنابراین همیشه یک سیاست به او اعمال می شود. سناریویی را در نظر بگیرید که در آن می خواهید در یک کنفرانس Background تمام کامپیوتر های اتاق کنفرانس یکی باشد. حال چگونه می توان چنین سناریویی را پیدا سازی کرد؟ در قسمت User Configuration سیاست را تنظیم می کنید؟ در این صورت بدون توجه به آنکه در کجا کاربر Login می کند، Background او عوض می شود. به صورت پیش فرض، نمی توان این کار را انجام داد، در واقع در آشنایی با Group Policy یاد گرفتیم که User Configuration بدون توجه به Computer به کاربر اعمال می شود و Computer Configuration بدون توجه به کاربر، به کامپیوتر ها اعمال می شود. بنابراین با این روش اعمال مجوز ها نمی توان این سناریو را پیدا سازی کرد. سناریو دیگر در یک دانشکده، رئیس دانشکده از سیاست هایی در شبکه بهره می برد که سیاست های محدود کننده ای نیستند. حال رئیس دانشکده به کلاس درس می رود. آیا می توان همان سیاست ها را در آنجا داشته باشد؟ LoopBack Policy Processing نحوه اعمال مجوز ها را تغییر می دهد. با استفاده از LoopBack Policy Processing به جای آنکه گستره تنظیمات کاربر از روی تنظیماتی که به کاربر در User Configuration اعمال می شود مشخص گردد ، از گستره تنظیمات کامپیوتر از روی User Configuration با node کامپیوتر اعمال می شود و یقینا این جمله به توضیحات بیشتری نیاز دارد!
سیاست User Group Policy loopback Processing mode Policy در قسمت Computer Configuration پیدا می شود. به Computer Configuration \ Administrative Templates \ System \ Group Policy بروید و همانند سایر Policy های دیگر می توانید آن را Enable ، Disable ، Not Configured تنظیم کنید. علاوه بر آنکه دو Mode مختلف وجود دارد:
آ. Replace : سیاست های یوزر، با سیاست هایی که در زمان Startup اعمال می شود جایگزین می شود. این سیاست در سناریوی رئیس دانشکده یا سناریو های مشابه می تواند مفید باشد.
ب . Merge : در این حالت، سیاست های به هم مرتبط می شوند به این معنا که سیاست هایی که در زمان strartup برای کامپیوتر در نظر گرفته می شود با سیاست هایی که در زمان login کردن کاربر در نظر گرفته می شود پیوند می خورد. به مثال های زیر توجه کنید، برای بزرگ شدن تصویر روی آن ها کلیک کنید.

پ.ن1 : اعتراف می کنم ترجمه لغت Scope را نمی دانم و گستره را شانسی ترجمه کردم. باید دید چقدر شانس و اقبال با بنده یار خواهد بود.
پ.ن2 : همچنان این بحث نا تمام است، چرا که در خصوص ها هنوز صحبتی نشده است. بسیاری از مطالب که در حال حاضر درک آن ها آسان نیست، پس از مطلب “معماری سیاست های گروهی” روشن خواهند شد. در هر حال درک کامل این مطلب نیازمند دانش مناسبی در خصوص ساختار اکتیودایرکتوری دارد.

iranjoman.com

پاسخ دهید