تا %60 تخفیف خرید برای 5 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش Group Policy و مدیریت پالیسی ها در ویندوز سرور قسمت 1

در این مقاله به معرفی کلی Group Policy در ویندوز سرور 2012 خواهیم پرداخت و ساختار کاری ، کنسول های مدیریتی و نیز قابلیت های جدید اضافه شده به آن را بررسی خواهیم کرد. همانگونه که می دانیم Group Policy مبحث بسیار وسیعی است که بحث در مورد آن مسلما در یک مقاله نمی گنجد بنابراین در اینجا به طور اجمالی به شرح برخی قابلیت های Group policy می پردازیم . مایکروسافت ابزارهای مدیریتی متعددی را برای ساخت و مدیریت Group Policy سیستم های Local و تحت Domain فراهم آورده است .

بواسطه ی Group Policy می توانیم تنظیماتی خاص را به کاربران و کامپیوتر ها اعمال کنیم .تنظیمات Group Policy در بخش group policy objects یا GPO قرار دارند که به سایت ها و دومین ها ویا OU ها لینک داده می شوند . می توان گفت Group Policy یکی از دلایل مهم استفاده از اکتیو دایرکتوری است چرا که بواسطه آن می شود کاربران ، اشیا و کامپیوتر ها را مدیریت کرد. همانطور که می دانیم برای اینکه تنظیمات Group Policy تنها به کاربران و یا کامپیوتر لوکال اعمال شود از Local Group Policy Editor استفاده می کنیم و نیز برای مدیریت تنظیمات گروپ پالسی در محیط اکتیو دایرکتوری از Group Policy Management Console یا GPMC بهره می گیریم .

معرفی کنسول های مدیریتی Group Policy


کنسول مدیریتی Group Policy یا GPMC چیست؟

Group policy management console یکی از Feature های ویندوز سرور است که می توان آن را از طریق Server manager و یا با استفاده از دستور Install-WindowsFeature GPMC نصب کرد . علاوه بر راه های ذکر شده می دانیم که این کنسول با نصب دومین کنترلر به صورت خودکار ایجاد خواهد شد چراکه یکی از Feature های نصب سرویس ADDS محسوب می شود. کنسول مدیریتی Group Policy یا GPMC یک ابزار بسیار کاربردی و مفید برای ایجاد و مدیریت Group Policy ها در اکتیودایرکتوری، می باشد.

GPMC پس از انتشار ویندوز سرور 2003 ، معرفی شده و ابزار اصلی برای مدیریت زیر ساخت Group Policy محسوب می شود. GPMC یک کنسول مدیریتی مایکروسافت یا MMC snap-in است که می تواند به یک کنسول اختصاصی(custom console) اضافه شود.GPMC snap-inدامنه عملکرد وسیعی را برای مدیرانی که وظیفه مدیریت Group Policy یک دومین را بر عهده دارند ، فراهم می آورد.قابلیت های مدیریتی ارائه شده در GPMC ویندوز سرور 2012 به شکل زیر است :

  • فعال کردن قابلیت Starter GPO و ساخت Starter GPO های جدید . (ِ “Starter GPOs”یک container است که تنظیمات مربوط به Template های اجرایی برای یوزرها و کامپیوتر ها بصورت از پیش تعریف شده در آن موجود می باشد ،وقتی یک Group Policy جدید از یک starter GPO می سازیم در واقع از تمامی این تنظیمات بهره می گیریم )
  • ایجاد Group Policy های جدید برای دومین
  • ایجاد یک Group Policy جدید با استفاده از Starter GPOs به عنوان یک الگو یا Template
  • ساخت و پیکربندی GPO و لینک دادن آن به سایت ها ، دومین ها و OU ها
  • مشاهده وضعیت و مدیریت GPO ها در دومین بصورت لوکال و در forest هایی از اکتیو دایرکتوری که به آنها Trust داریم.
  • قابلیت گرفتن نسخه پشتیبان و بازگردانی آن برای یک GPO و یا همه ی GPO ها در یک دومین
  • گرفتن بکاپ و بازگردانی این بکاپ گرفته شده از یک و یا همه ی Starter GPO های موجود در یک دومین
  • مدیریت GPO link enforcement و فعال یا غیر فعال کردن لینک ها ( Enforce کردن یک GPO برای OU باعث می شود که تنظیمات آن روی تنظیمات گروپ پالسی OU زیر مجموعه که اصطلاحا به آن Subfolder می گویند ، Override نکند )
  • پیاده سازی تنظیمات block inheritance برای سایت ها ، دومین ها و OU ها . ( استفاده از Block inheritance موجب می شود که سایت ، دومین یا OU پایین دستی از GPO لینک داده شده به سایت ، دومین و یا OU بالا سری خود تبعیت نکند)
  • مدیریت وضعیت GPO برای کنترل اینکه کدام گره در GPO فعال یا غیر فعال است.
  • ایجاد WMI فیلترینگ و لینک دادن آن به GPO ها .(WIM فیلترینگ مکانیزمی است که باعث می شود مدیران به صورت اتوماتیک محدوده GPO ها را بر اساس ویژگی های کامپیوتر هدف تعیین کنند. این قابلیت بصورت چشم گیری شرایط فیلترینگ GPO را بسیار امن تر نسبت به امنیت ایجاد شده بوسیله ی مکانیزم فیلترینگ پیشین فراهم می آورد)
  • مدیریت Security filtering در GPO ، بصورت پیش فرض GPO به تمامی یوزرها و کامپیوتر های موجود در سایتی که GPO به آن لینک داده شده اعمال می شود . با این حال می توان با استفاده از قابلیت Security filtering در GPO و اصلاح permission های یک GPO تعیین کنیم که که تنها بر کاربران ویژه و یا اعضای یک گروه امنیتی اثر گذار باشد .

توجه : برای کسب اطلاع از شیوه ی کار WMI filters و Security filtering به مقاله مهندس قرباوی در این خصوص مراجعه کنید.

  • امنیت اجرایی و مدیریت واگذاری اختیارات که به بواسطه آن می توان برای کاربران یک سری دسترسی ها و اختیارات برای انجام یک سری امور خاص در محدوده ای که آن کاربر ممکن است به آن دسترسی نداشته باشد ، در نظر گرفت .
  • مدیریت و ساماندهی پردازش های روی Container ها که با GPO link های چند گانه صورت می گیرند.
  • نمایش کلیه ی تنظیمات انجام شده برای Group Policy های موجود و سایر اطلاعات اضافی دیگر از قبیل Revision number ها ،filtering ، واگذاری اختیارات و گرفتن گزارش از تنظیمات .
  • چک کردن وضعیت همسان سازی و Replication زیرساخت های GPO
  • ایجاد گزارشهای HTML که به طور خلاصه به بیان گزارش پیاده سازی و تنظیمات Group Policy می پردازند.
  • اجرای یک ویزارد مدلسازی برای تشخیص اینکه چگونه Group Policy باید به یوزرها و کامپیوتر ها و نیز Container های خاص اعمال شود.
  • اجرای یک ویزارد نمایش نتایج برای بررسی اینکه Policy ها چگونه به کامپیوتر های خاص و User Object ها اعمال شده اند.
  • Import کردن Group Policy از دومین های خارجی و Migrate کردن تنظیمات امنیتی با استفاده از جدول مربوط به Migration برای اطمینان از مناسب و صحیح بودن مسیر Import .(به کمک عملیات Import می توان تنظیمات را از یک GPO به GPOای دیگر در همان دومین و یا به GPO ای در دومینی دیگر در یک Forest مشترک و نیز به GPO ای در یک دومین در Forest ای غیر مشترک انتقال داد. همچنین برای کپی و یا Import کردن یک GPO از یک دومین به دیگری از Migration table استفاده می کنیم. migration table جدول ساده ایست که مسیر مبدا و مقصد copy یا import تنظیمات GPO را مشخص می کند )

Group Policy Object Editor چیست؟

The Group Policy Object Editor یا GPOE ابزاریست که برای Edit کردن Policy های کامپیوتر و یوزر های گروه لوکال استفاده می شود . به صورت پیش فرض هر سرور و هر کامپیوتر Workstation ای یک local security policy دارد. کنسول مدیریتی Local Security Policy بصورت Shortcut در فولدر Administrative Tools قابل مشاهده و دسترسی است:

وب سایت توسینسو

در حال حاضر ویندوز های ویستا ، ویندوز سرور 2008 و سایر ویندوزهای منتشر شده ی اخیر از Local Group Policy های چند گانه نیز پشتیبانی می کنند.بنابراین GPOE باید برای ایجاد و مدیریت هر local group policy غیر از پیش فرض مورد استفاده قرارگیرد.GPOE برای ویرایش تمامی تنظیمات و پیکربندی های یک Policy مورد استفاد قرار می گیرد که پیکربندی Security Setting،Installation Software & Packages و ایجاد Restriction Policy ها و تعریف اسکریپت مورد استفاده ی یوزرها و کامپیوتر ها و بسیاری دیگر از این قبیل قابلیت ها را شامل می شود.

Group Policy Management Editor چیست؟

برای مدیریت دومین Group Policy ها ازGroup Policy Management Editor یا GPME استفاده می شود که تمامی قابلیت های GPOE را به علاوه ی یکسری قابلیت های اضافی دیگر را که تنها با استفاده از این ابراز مسیر است ، در اختیارمان قرار می دهد. یکی از بزرگترین تفاوت های GPOE با GPME در این است که GPME نه تنها گره ی Policy Settings را در بر دارد بلکه در بردارنده ی گره ی preferences setting که تنها در سطح دومین ها در دسترس است ، نیز می باشد. GPME روی ویندور های ویستا و ویندوزهای بعدی دیگر بواسطه دانلود ونصب ابزارهای RSAT یا (Remote Server Management Tool) برای هر سرویس پک خاص یک سیستم عامل ، نصب می شود. در ویندوز سرور های 2008 و 2008 R2 و 2012 ابزارهای Group Policy را با استفاده از اپلت Add Features موجود در Server Manager می توان نصب کرد.

Group Policy Starter GPO Editor چیست؟

در Group Policy ویندوز سرور 2008 یک Container جدید بنام "Starter GPOs " در نسخه دوم کنسول مدیریتیGroup Policy ایجاد شد که می توان این نسخه را به صورت مجزا برای ویندوز ویستا سرویس پک یک نیز دانلود کرد. Starter GPOs تمامی Template ها را برای ایجاد یک GPO جدید، در خود نگه می دارد. بنابراین برای سهولت و افزایش سرعت در ایجاد GPO هایی با پیکربندی یکسان قادر خواهیم بود از Starter GPO به عنوان یک الگو استفاده کنیم.

Starter GPO Editor برای ویرایش Starter GPO هایی که توسط ادمین های Group Policy ایجاد می شوند ، استفاده می شود. این کنسول تنها گره های Administrative templates را بعنوان زیر مجموعه ی بخشهای User/Computer Configuration نمایش می دهد . به صورت پیش فرض تنظیمات موجود در Administrative Templates همان تنظیماتی هستند که در Starter GPO ایجاد شده اند. در ویندوز سرور 2012 نیزGroup policy starter GPO در ابزار RSAT گنجانده شده است.

وب سایت توسینسو

حال که در این بخش از مقاله از Administrative Template ها نام بردیم ارائه توضیحی مختصر در رابطه با Administrative template فایل ها نیز خالی از لطف نیست:

Template فایل های اجرایی در Group policy

Administrative template ها مستقیما تنظیمات بسیاری از محصولات و سرویسهای مختلف را ارائه می دهند.بعنوان مثال Desktop ، Event Log ها ، Power ، Printing و Windows Remote Management تنها تعداد محدودی از template های اجرایی شناخته شده هستند که امکانات اجرایی و کنترل را برای ما فراهم می آورند .Administrative template ها در قالب فایل های متنی با پسوند .ADM یا .ADMX تعریف شده اند. ADM Template فایلها تنظیمات مدیریتی هستند که می توانند ابزارهای Group Policy را پیکربندی کنند .

وقتی که یک Group Policy Object جدید ایجاد می شود ، بصورت پیش فرض دو ADM فایل به نام های Inters.adm یا Internet Explorer Setting و System.admیا Windows operating system component settings بارگذاری می شوند. ADM template ها در بخش %SystemRoot%\Inf folder موجود در ویندوز گنجانده شده اند.Administrative template های Group Policy در ویندوزهای سرور 2000و 2003و ویندوز XP از نوع ADM هستند و تنها پنج Admin templates به نامهای Conf.adm، Inetres.adm، System.adm Wmplayer.admو Wuau.adm. برای آنها موجود است .اما در ویندوزهای سرور 2008 و 2008R2 و2012 و ویندوزهای 7 و 8 از نوع جدیدی ازAdministrative template ها که مبتی بر XML بوده با پسوند ADMX و ADML(برای الگو های خاص یک زبان) بهره گرفته شده و تعداد آنها به میزان قابل توجهی نسبت به نسخه های قبلی ویندوز افزایش یافته است.

Print Management Console

این کنسول برای اولین بار در ویندوز سرور 2003 R2 معرفی شد . کنسول مدیریت چاپ یا همان Print management Console برای مدیریت Printer های اکتیو دایرکتوری و سرورهای Local و ایستگاه های کاری استفاده می شود . از این کنسول برای مشاهده ی تنظیمات ، پیکربندی درایور ها و آپشن ها ، مدیریت Printer ها و Print job ها ی موجود روی یک سیستم خاص و یا یک اکتیو دایرکتوری استفاده می شود .

از کنسول Print Management می توانیم جهت Deploy کردن پرینترها برای کامپیوترها و یوزرهایی که از گره ی Deployed Printers استفاده می کنند ، بهره بگیریم . Deploying Printers بواسطه قابلیت موجود در Group Policy شرایطی را فراهم می کند که Printerها برای مجموعه ای از پیش تعیین شده از کاربران و یا Computer Object هایی که یک GPO به آنها لینک داده شده است ، deploy شوند.

وب سایت توسینسو

در GPOE و GPME نسخه های مختلف ویندوز ویستا و ویندوزهای پس از آن ، گره ی Deployed Printers به عنوان زیر گره ی Windows settings موجود در بخشهای User/Computer Configuration تعریف شده بود . اما در سری ویندوز سرور های 2008 کنسول Print Management باید بواسطه ی بخش Features موجود در ُServer Manager نصب شود .در ویندوز سرور 2012 نیز برای نصب کنسول Print Management در اپلت Add Features موجود در Server Manager گزینه ی Print & Document Services Tools را از زیر منوی Remote Administration Tools انتخاب می کنیم .

وب سایت توسینسو

دستورات ابزار Gpupadate.exe

ابزار gpupdate.exe یک ابزار Command-line است که به کاربران ادمین کمک می کند تا به عیب یابی پردازشهای یک GPO و یا شروع یک پردازش GPO بر حسب درخواستها بپردازند. فقط بخشی از تنظیمات Group Policy بهنگام logon کردن یک یوزر و یا از Startup کامپیوتر به آنها اعمال می شوند در حالیکه باقی تنظیمات انجام شده پس از طی یک بازه زمانی و یا پس از گذشت یک زمان تناوبی در نظر گرفته شده برای Refresh ، اجرا خواهند شد. برای تنظیماتی که از طریق logon کردن کاربر و یا به هنگام راه اندازی یک کامپیوتر apply می شوند ، در صورتیکه در طول این بازه، ارتباطات شبکه ای با دومین کنترلر ها دچار اختلال شوند ، این تنظیمات ممکن است هرگز در دسترس کامپیوتر ها و یوزرها قرار گرفته نشود.

همچنین ایستگاههای کاری که بصورت ریموت با دومین کنترلر ارتباط برقرار می کنند و سیستم هایی که Sleep یا Hibernate مانده اند و نیز کاربرانی که با یوزرهای کش شده login می کنند ، معمولا قادر به دریافت Policy های اعمال شده نخواهند بود. اینجا است که سرویس Network Location Awareness وارد عمل می شود. این سرویس تشخیص می دهد که دومین کنترلر در دسترس بوده و بازه ی در نظر گرفته شده برای Refresh را راه اندازی می کند.ابزار gpupdate.exe کمک می کند تا بتوانیم Policy های مربوط به کاربران و کامپیوتر ها را در لحظه اعمال کنیم . یکی از رایج ترین نوع استفاده از این ابزار نوشتن اسکریپت و ارسال آن از طریق ارتباطات VPN به ایستگاههای کاری ریموت است تا تنظیمات Group Policy را به آنها اعمال کند .این ابزار آپشنهای ذکر شده ی زیر را در بردارد :

  • gpupdate.exe /Target : {Computer | user : بواسطه این آپشن پردازش و اجرای تنظیمات برای کامپیوتر و یا یوزر مشخص شده انجام می شود.
  • gpupdate.exe /Force:این آپشن به اعمال مجدد تنظیمات Policy پرداخته و موجب Reboot کامپیوتر و Log off یوزر به صورت خودکار نخواهد شد.
  • gpupdate.exe /Wait : این آپشن تعیین می کند که چند ثانیه زمان می برد تا پردازش GPO به اتمام برسد . به صورت پیش فرض زمان تعیین شده 600 ثانیه و یا 10 دقیقه می باشد. در اینجا در نظر گرفتن عدد 0 به معنی عدم صرف وقت و -1 به معنی صرف زمان به طور نامحدود می باشد.
  • gpupdate.exe /Logoff : این آپشن پس از تکمیل پردازش GPO موجب Log off شدن یوزرها می شود و معمولا برای اجرای Policy هایی همچون تنظیمات مربوط به software installation و folder restriction که با Refresh شدن ، apply نمی شوند و برای اعمال نیاز به log on کردن یوزرها دارند، در سمت کلاینت ها استفاده می شود.
  • gpupdate.exe /Boot : این آپشن پس از اتمام پردازش Group Policy سیستم را reboot می کند. این امکان برای زمانی کاربرد دارد که کامپیوتر برای دریافت Policy های در نظر گرفته شده باید مجددا راه اندازی و بوت شود .مثل اعمال تنظیمات مربوط به software installation.
  • gpupdate.exe /Sync : آپشن sync معمولا پردازش و اعمال تنظیماتی از GPO را که از طریق start up کامپیوتر ها و log on کردن یوزرها پذیرش و اجرا می شوند را به عهده دارد که به این گونه از تنظیمات foreground Policy می گویند. این آپشن مستلزم این است که ادمین تعیین کند که کامپیوتر restart و یوزر log off شود.
  • Ggpupdate.exe/؟ استفاده از این آپشن بخش help ابزارgpupdate را در Command prompt نشان می دهد .

در قسمت بعدی مقاله نیز به بررسی برخی از قابلیت های جدید اضافه شده در Group Policy ویندوز سرور 2012 خواهیم پرداخت . با ما همراه باشید.

نویسنده : مریم حیات رمضانی

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد .

نظر شما
برای ارسال نظر باید وارد شوید.
18 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند