مریم حیات رمضانی
کارشناس شبکه های مایکروسافت و پایگاه داده

آموزش Group Policy ( گروپ پالیسی ) و مدیریت پالیسی ویندوز سرور

گروپ پالیسی ( Group Policy ) چیست؟ چگونه در ویندوز سرور Group Policy اعمال کنیم؟ چه ابزارهایی برای مدیریت Group Policy در ویندوز سرور وجود دارد؟  در این مقاله به معرفی کلی Group Policy در ویندوز سرور 2012 خواهیم پرداخت و ساختار کاری ، کنسول های مدیریتی و نیز قابلیت های جدید اضافه شده به آن را بررسی خواهیم کرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

همانگونه که می دانیم Group Policy مبحث بسیار وسیعی است که بحث در مورد آن مسلما در یک مقاله نمی گنجد بنابراین در اینجا به طور اجمالی به شرح برخی قابلیت های Group policy می پردازیم . مایکروسافت ابزارهای مدیریتی متعددی را برای ساخت و مدیریت Group Policy سیستم های Local و تحت Domain فراهم آورده است .

بواسطه ی Group Policy می توانیم تنظیماتی خاص را به کاربران و کامپیوتر ها اعمال کنیم .تنظیمات Group Policy در بخش group policy objects یا GPO قرار دارند که به سایت ها و دومین ها ویا OU ها لینک داده می شوند . می توان گفت Group Policy یکی از دلایل مهم استفاده از اکتیو دایرکتوری است چرا که بواسطه آن می شود کاربران ، اشیا و کامپیوتر ها را مدیریت کرد. همانطور که می دانیم برای اینکه تنظیمات Group Policy تنها به کاربران و یا کامپیوتر لوکال اعمال شود از Local Group Policy Editor استفاده می کنیم و نیز برای مدیریت تنظیمات گروپ پالسی در محیط اکتیو دایرکتوری از Group Policy Management Console یا GPMC بهره می گیریم .

معرفی کنسول های مدیریتی Group Policy

کنسول مدیریتی Group Policy یا GPMC چیست؟

Group policy management console یکی از Feature های ویندوز سرور است که می توان آن را از طریق Server manager و یا با استفاده از دستور Install-WindowsFeature GPMC نصب کرد . علاوه بر راه های ذکر شده می دانیم که این کنسول با نصب دومین کنترلر به صورت خودکار ایجاد خواهد شد چراکه یکی از Feature های نصب سرویس ADDS محسوب می شود. کنسول مدیریتی Group Policy یا GPMC یک ابزار بسیار کاربردی و مفید برای ایجاد و مدیریت Group Policy ها در اکتیودایرکتوری، می باشد.

GPMC پس از انتشار ویندوز سرور 2003 ، معرفی شده و ابزار اصلی برای مدیریت زیر ساخت Group Policy محسوب می شود. GPMC یک کنسول مدیریتی مایکروسافت یا MMC snap-in است که می تواند به یک کنسول اختصاصی(custom console) اضافه شود.GPMC snap-inدامنه عملکرد وسیعی را برای مدیرانی که وظیفه مدیریت Group Policy یک دومین را بر عهده دارند ، فراهم می آورد.قابلیت های مدیریتی ارائه شده در GPMC ویندوز سرور 2012 به شکل زیر است :

  • فعال کردن قابلیت Starter GPO و ساخت Starter GPO های جدید . (ِ “Starter GPOs”یک container است که تنظیمات مربوط به Template های اجرایی برای یوزرها و کامپیوتر ها بصورت از پیش تعریف شده در آن موجود می باشد ،وقتی یک Group Policy جدید از یک starter GPO می سازیم در واقع از تمامی این تنظیمات بهره می گیریم )
  • ایجاد Group Policy های جدید برای دومین
  • ایجاد یک Group Policy جدید با استفاده از Starter GPOs به عنوان یک الگو یا Template
  • ساخت و پیکربندی GPO و لینک دادن آن به سایت ها ، دومین ها و OU ها
  • مشاهده وضعیت و مدیریت GPO ها در دومین بصورت لوکال و در forest هایی از اکتیو دایرکتوری که به آنها Trust داریم.
  • قابلیت گرفتن نسخه پشتیبان و بازگردانی آن برای یک GPO و یا همه ی GPO ها در یک دومین
  • گرفتن بکاپ و بازگردانی این بکاپ گرفته شده از یک و یا همه ی Starter GPO های موجود در یک دومین
  • مدیریت GPO link enforcement و فعال یا غیر فعال کردن لینک ها ( Enforce کردن یک GPO برای OU باعث می شود که تنظیمات آن روی تنظیمات گروپ پالسی OU زیر مجموعه که اصطلاحا به آن Subfolder می گویند ، Override نکند )
  • پیاده سازی تنظیمات block inheritance برای سایت ها ، دومین ها و OU ها . ( استفاده از Block inheritance موجب می شود که سایت ، دومین یا OU پایین دستی از GPO لینک داده شده به سایت ، دومین و یا OU بالا سری خود تبعیت نکند)
  • مدیریت وضعیت GPO برای کنترل اینکه کدام گره در GPO فعال یا غیر فعال است.
  • ایجاد WMI فیلترینگ و لینک دادن آن به GPO ها .(WIM فیلترینگ مکانیزمی است که باعث می شود مدیران به صورت اتوماتیک محدوده GPO ها را بر اساس ویژگی های کامپیوتر هدف تعیین کنند. این قابلیت بصورت چشم گیری شرایط فیلترینگ GPO را بسیار امن تر نسبت به امنیت ایجاد شده بوسیله ی مکانیزم فیلترینگ پیشین فراهم می آورد)
  • مدیریت Security filtering در GPO ، بصورت پیش فرض GPO به تمامی یوزرها و کامپیوتر های موجود در سایتی که GPO به آن لینک داده شده اعمال می شود . با این حال می توان با استفاده از قابلیت Security filtering در GPO و اصلاح permission های یک GPO تعیین کنیم که که تنها بر کاربران ویژه و یا اعضای یک گروه امنیتی اثر گذار باشد .

توجه : برای کسب اطلاع از شیوه ی کار WMI filters و Security filtering به مقاله مهندس قرباوی در این خصوص مراجعه کنید.

  • امنیت اجرایی و مدیریت واگذاری اختیارات که به بواسطه آن می توان برای کاربران یک سری دسترسی ها و اختیارات برای انجام یک سری امور خاص در محدوده ای که آن کاربر ممکن است به آن دسترسی نداشته باشد ، در نظر گرفت .
  • مدیریت و ساماندهی پردازش های روی Container ها که با GPO link های چند گانه صورت می گیرند.
  • نمایش کلیه ی تنظیمات انجام شده برای Group Policy های موجود و سایر اطلاعات اضافی دیگر از قبیل Revision number ها ،filtering ، واگذاری اختیارات و گرفتن گزارش از تنظیمات .
  • چک کردن وضعیت همسان سازی و Replication زیرساخت های GPO
  • ایجاد گزارشهای HTML که به طور خلاصه به بیان گزارش پیاده سازی و تنظیمات Group Policy می پردازند.
  • اجرای یک ویزارد مدلسازی برای تشخیص اینکه چگونه Group Policy باید به یوزرها و کامپیوتر ها و نیز Container های خاص اعمال شود.
  • اجرای یک ویزارد نمایش نتایج برای بررسی اینکه Policy ها چگونه به کامپیوتر های خاص و User Object ها اعمال شده اند.
  • Import کردن Group Policy از دومین های خارجی و Migrate کردن تنظیمات امنیتی با استفاده از جدول مربوط به Migration برای اطمینان از مناسب و صحیح بودن مسیر Import .(به کمک عملیات Import می توان تنظیمات را از یک GPO به GPOای دیگر در همان دومین و یا به GPO ای در دومینی دیگر در یک Forest مشترک و نیز به GPO ای در یک دومین در Forest ای غیر مشترک انتقال داد. همچنین برای کپی و یا Import کردن یک GPO از یک دومین به دیگری از Migration table استفاده می کنیم. migration table جدول ساده ایست که مسیر مبدا و مقصد copy یا import تنظیمات GPO را مشخص می کند )

Group Policy Object Editor چیست؟

The Group Policy Object Editor یا GPOE ابزاریست که برای Edit کردن Policy های کامپیوتر و یوزر های گروه لوکال استفاده می شود . به صورت پیش فرض هر سرور و هر کامپیوتر Workstation ای یک local security policy دارد. کنسول مدیریتی Local Security Policy بصورت Shortcut در فولدر Administrative Tools قابل مشاهده و دسترسی است:

وب سایت توسینسو

در حال حاضر ویندوز های ویستا ، ویندوز سرور 2008 و سایر ویندوزهای منتشر شده ی اخیر از Local Group Policy های چند گانه نیز پشتیبانی می کنند.بنابراین GPOE باید برای ایجاد و مدیریت هر local group policy غیر از پیش فرض مورد استفاده قرارگیرد.GPOE برای ویرایش تمامی تنظیمات و پیکربندی های یک Policy مورد استفاد قرار می گیرد که پیکربندی Security Setting،Installation Software & Packages و ایجاد Restriction Policy ها و تعریف اسکریپت مورد استفاده ی یوزرها و کامپیوتر ها و بسیاری دیگر از این قبیل قابلیت ها را شامل می شود.

Group Policy Management Editor چیست؟

برای مدیریت دومین Group Policy ها ازGroup Policy Management Editor یا GPME استفاده می شود که تمامی قابلیت های GPOE را به علاوه ی یکسری قابلیت های اضافی دیگر را که تنها با استفاده از این ابراز مسیر است ، در اختیارمان قرار می دهد. یکی از بزرگترین تفاوت های GPOE با GPME در این است که GPME نه تنها گره ی Policy Settings را در بر دارد بلکه در بردارنده ی گره ی preferences setting که تنها در سطح دومین ها در دسترس است ، نیز می باشد.

GPME روی ویندور های ویستا و ویندوزهای بعدی دیگر بواسطه دانلود ونصب ابزارهای RSAT یا (Remote Server Management Tool) برای هر سرویس پک خاص یک سیستم عامل ، نصب می شود. در ویندوز سرور های 2008 و 2008 R2 و 2012 ابزارهای Group Policy را با استفاده از اپلت Add Features موجود در Server Manager می توان نصب کرد.

Group Policy Starter GPO Editor چیست؟

در Group Policy ویندوز سرور 2008 یک Container جدید بنام "Starter GPOs " در نسخه دوم کنسول مدیریتیGroup Policy ایجاد شد که می توان این نسخه را به صورت مجزا برای ویندوز ویستا سرویس پک یک نیز دانلود کرد. Starter GPOs تمامی Template ها را برای ایجاد یک GPO جدید، در خود نگه می دارد. بنابراین برای سهولت و افزایش سرعت در ایجاد GPO هایی با پیکربندی یکسان قادر خواهیم بود از Starter GPO به عنوان یک الگو استفاده کنیم.

Starter GPO Editor برای ویرایش Starter GPO هایی که توسط ادمین های Group Policy ایجاد می شوند ، استفاده می شود. این کنسول تنها گره های Administrative templates را بعنوان زیر مجموعه ی بخشهای User/Computer Configuration نمایش می دهد . به صورت پیش فرض تنظیمات موجود در Administrative Templates همان تنظیماتی هستند که در Starter GPO ایجاد شده اند. در ویندوز سرور 2012 نیزGroup policy starter GPO در ابزار RSAT گنجانده شده است.

وب سایت توسینسو

حال که در این بخش از مقاله از Administrative Template ها نام بردیم ارائه توضیحی مختصر در رابطه با Administrative template فایل ها نیز خالی از لطف نیست:

Template فایل های اجرایی در Group policy

Administrative template ها مستقیما تنظیمات بسیاری از محصولات و سرویسهای مختلف را ارائه می دهند.بعنوان مثال Desktop ، Event Log ها ، Power ، Printing و Windows Remote Management تنها تعداد محدودی از template های اجرایی شناخته شده هستند که امکانات اجرایی و کنترل را برای ما فراهم می آورند .Administrative template ها در قالب فایل های متنی با پسوند .ADM یا .ADMX تعریف شده اند. ADM Template فایلها تنظیمات مدیریتی هستند که می توانند ابزارهای Group Policy را پیکربندی کنند .

وقتی که یک Group Policy Object جدید ایجاد می شود ، بصورت پیش فرض دو ADM فایل به نام های Inters.adm یا Internet Explorer Setting و System.admیا Windows operating system component settings بارگذاری می شوند. ADM template ها در بخش %SystemRoot%\Inf folder موجود در ویندوز گنجانده شده اند.Administrative template های Group Policy در ویندوزهای سرور 2000و 2003و ویندوز XP از نوع ADM هستند

و تنها پنج Admin templates به نامهای Conf.adm، Inetres.adm، System.adm Wmplayer.admو Wuau.adm. برای آنها موجود است .اما در ویندوزهای سرور 2008 و 2008R2 و2012 و ویندوزهای 7 و 8 از نوع جدیدی ازAdministrative template ها که مبتی بر XML بوده با پسوند ADMX و ADML(برای الگو های خاص یک زبان) بهره گرفته شده و تعداد آنها به میزان قابل توجهی نسبت به نسخه های قبلی ویندوز افزایش یافته است.

Print Management Console چیست؟

این کنسول برای اولین بار در ویندوز سرور 2003 R2 معرفی شد . کنسول مدیریت چاپ یا همان Print management Console برای مدیریت Printer های اکتیو دایرکتوری و سرورهای Local و ایستگاه های کاری استفاده می شود . از این کنسول برای مشاهده ی تنظیمات ، پیکربندی درایور ها و آپشن ها ، مدیریت Printer ها و Print job ها ی موجود روی یک سیستم خاص و یا یک اکتیو دایرکتوری استفاده می شود .

از کنسول Print Management می توانیم جهت Deploy کردن پرینترها برای کامپیوترها و یوزرهایی که از گره ی Deployed Printers استفاده می کنند ، بهره بگیریم . Deploying Printers بواسطه قابلیت موجود در Group Policy شرایطی را فراهم می کند که Printerها برای مجموعه ای از پیش تعیین شده از کاربران و یا Computer Object هایی که یک GPO به آنها لینک داده شده است ، deploy شوند.

وب سایت توسینسو

در GPOE و GPME نسخه های مختلف ویندوز ویستا و ویندوزهای پس از آن ، گره ی Deployed Printers به عنوان زیر گره ی Windows settings موجود در بخشهای User/Computer Configuration تعریف شده بود . اما در سری ویندوز سرور های 2008 کنسول Print Management باید بواسطه ی بخش Features موجود در ُServer Manager نصب شود .در ویندوز سرور 2012 نیز برای نصب کنسول Print Management در اپلت Add Features موجود در Server Manager گزینه ی Print & Document Services Tools را از زیر منوی Remote Administration Tools انتخاب می کنیم .

وب سایت توسینسو

بررسی دستورات ابزار Gpupadate.exe

ابزار gpupdate.exe یک ابزار Command-line است که به کاربران ادمین کمک می کند تا به عیب یابی پردازشهای یک GPO و یا شروع یک پردازش GPO بر حسب درخواستها بپردازند. فقط بخشی از تنظیمات Group Policy بهنگام logon کردن یک یوزر و یا از Startup کامپیوتر به آنها اعمال می شوند در حالیکه باقی تنظیمات انجام شده پس از طی یک بازه زمانی و یا پس از گذشت یک زمان تناوبی در نظر گرفته شده برای Refresh ، اجرا خواهند شد.

برای تنظیماتی که از طریق logon کردن کاربر و یا به هنگام راه اندازی یک کامپیوتر apply می شوند ، در صورتیکه در طول این بازه، ارتباطات شبکه ای با دومین کنترلر ها دچار اختلال شوند ، این تنظیمات ممکن است هرگز در دسترس کامپیوتر ها و یوزرها قرار گرفته نشود.

همچنین ایستگاههای کاری که بصورت ریموت با دومین کنترلر ارتباط برقرار می کنند و سیستم هایی که Sleep یا Hibernate مانده اند و نیز کاربرانی که با یوزرهای کش شده login می کنند ، معمولا قادر به دریافت Policy های اعمال شده نخواهند بود. اینجا است که سرویس Network Location Awareness وارد عمل می شود. این سرویس تشخیص می دهد که دومین کنترلر در دسترس بوده و بازه ی در نظر گرفته شده برای Refresh را راه اندازی می کند.

ابزار gpupdate.exe کمک می کند تا بتوانیم Policy های مربوط به کاربران و کامپیوتر ها را در لحظه اعمال کنیم . یکی از رایج ترین نوع استفاده از این ابزار نوشتن اسکریپت و ارسال آن از طریق ارتباطات VPN به ایستگاههای کاری ریموت است تا تنظیمات Group Policy را به آنها اعمال کند .این ابزار آپشنهای ذکر شده ی زیر را در بردارد :

  • gpupdate.exe /Target : {Computer | user : بواسطه این آپشن پردازش و اجرای تنظیمات برای کامپیوتر و یا یوزر مشخص شده انجام می شود.
  • gpupdate.exe /Force:این آپشن به اعمال مجدد تنظیمات Policy پرداخته و موجب Reboot کامپیوتر و Log off یوزر به صورت خودکار نخواهد شد.
  • gpupdate.exe /Wait : این آپشن تعیین می کند که چند ثانیه زمان می برد تا پردازش GPO به اتمام برسد . به صورت پیش فرض زمان تعیین شده 600 ثانیه و یا 10 دقیقه می باشد. در اینجا در نظر گرفتن عدد 0 به معنی عدم صرف وقت و -1 به معنی صرف زمان به طور نامحدود می باشد.
  • gpupdate.exe /Logoff : این آپشن پس از تکمیل پردازش GPO موجب Log off شدن یوزرها می شود و معمولا برای اجرای Policy هایی همچون تنظیمات مربوط به software installation و folder restriction که با Refresh شدن ، apply نمی شوند و برای اعمال نیاز به log on کردن یوزرها دارند، در سمت کلاینت ها استفاده می شود.
  • gpupdate.exe /Boot : این آپشن پس از اتمام پردازش Group Policy سیستم را reboot می کند. این امکان برای زمانی کاربرد دارد که کامپیوتر برای دریافت Policy های در نظر گرفته شده باید مجددا راه اندازی و بوت شود .مثل اعمال تنظیمات مربوط به software installation.
  • gpupdate.exe /Sync : آپشن sync معمولا پردازش و اعمال تنظیماتی از GPO را که از طریق start up کامپیوتر ها و log on کردن یوزرها پذیرش و اجرا می شوند را به عهده دارد که به این گونه از تنظیمات foreground Policy می گویند. این آپشن مستلزم این است که ادمین تعیین کند که کامپیوتر restart و یوزر log off شود.
  • Ggpupdate.exe/؟ استفاده از این آپشن بخش help ابزارgpupdate را در Command prompt نشان می دهد .

آپدیت کردن تنظیمات Group Policy از طریق GPMC

در ویندوز سرور 2012 و ویندوز 8 برای آپدیت کردن Policy ها و اعمال شدن تنظیمات Policy ها به کلاینت ها علاوه بر استفاده از Command ، روشی گرافیکی نیز در نظر گرفته شده است که بواسطه آن کلاینت برای دریافت تنظیمات Refresh می شود .بنابراین ادمین ها از طریق GPMC می توانند تنظیمات و آپدیت ها را بر روی سیستم های موجود در یک OU خاص اعمال کنند.این قابلیت تنها برای کامپیوتر ها موجود بوده و برای یوزرها نمی باشد . برای استفاده از این امکان کافیست که در کنسول مدیریتی گروپ پالسی روی OU مربوط به اکتیو دایرکتوری راست کلیک کرده و گزینه ی Group Policy Update… را انتخاب کنیم .

وب سایت توسینسو

در پنجره ی باز شده مشخص شده که این عملیات روی چند کامپیوتر اثر گذار خواهد بود. اگر Container ای را انتخاب کرده باشیم که در آن کامپیوتری موجود نباشد، سیستم به ما پیغام خواهد داد .

وب سایت توسینسو

در نهایت همانند تصویر زیر می توانیم وضعیت آپدیت و چگونگی بروزرسانی یا روند اعمال شدن تنظیمات یک Policy را مشاهده کنیم . که از بعد عیب یابی این امکان یک مزیت محسوب می شود . پس از تکمیل فرایند با کلیک روی گزینه Save می توان گزارش گرفته شده از روند اعمال آپدیت را در قالب یک فایل با پسوند .CSV ذخیره کرد.

وب سایت توسینسو

Status Update چیست؟

Group Policy زیر ساختی پیچیده دارد که به ما اجازه می دهد تنظیمات Policy ها را به صورت remote به کاربران و کامپیوتر های دومین اعمال کنیم .در صورت عدم اجرای این تنظیمات ادمین باید به عیب یابی فرایند و رفع خطا بپردازد.اما این روش برای زمانی که هزاران GPO موجود است که باید تنظیمات آن به هزاران کاربر و کامپیوتر اعمال شوند، قطعا مناسب نخواهد بود.

بعنوان مثال یک شرکت بزرگ را در نظر می گیریم که در چندین کشور با محدوده زمانی متفاوت شعبه دارد که این شرایط می تواند تاثیر قابل توجهی روی تاخیر بوجود آمده در Replicate میان دومین کنترلر ها داشته باشد.می توان انتظار داشت که عدم تطابق GPO در شماره های ورژن بین Group Policy Container ها و Group Policy template ها و نیز عدم تطبیق GPO بین دومین کنترلر های مختلف، در تاخیر بوجود آمده اثر گذار باشد.

در نسخه های قبلی ویندوز ابزاری همچون GPOTOOL.exe برای ارائه یک الگو و گزارشی از فرایند Replication میان GPO ها استفاده می شد. که البته اطلاعات متناقضی را ارائه می داد.در ویندوز سرور 2012 یکی از بروزرسانی های انجام شده در کنسول مدیریتی گروپ پالسی ، اضافه شدن قابلیت نمایش وضعیت زیرساخت گروپ پالسی تحت دومین می باشد. با انتخاب دومین موجود در کنسول مدیریتی گروپ پالسی تب Status در پنل میانی نمایش داده می شود .

تب Status در واقع بخشی از اطلاعات است که سلامت زیر ساخت گروپ پالسی را با توجه به دومین کنترلر ها ، Replication GPO ها و ورژن های GPO نمایش می دهد.این قابلیت به شناسایی تناقضات بوجود آمده و پیش بینی مسائل، کمک شایان توجهی می کند.به کمک بخش Status یک ادمین می تواند وضعیت Replication و یکسان سازی GPO های موجود در تمامی دومین کنترلر های یک دومین را برای تشخیص اینکه عملیات Replicate موفقیت آمیز بوده و یا در حین عملیات خطایی پیش آمده و اینکه چه خطایی اتفاق افتاده و ....را بررسی کند.

درتب status تمامی جزئیات قابل مشاهده نیستند و با کلیک روی گزینه ی Detect now سیستم تمام ارتباطات دومین کنترلر ها را برای Replication با جزئیات آن نمایش خواهد داد. انتخاب گزینه detect now موجب می شود که GPMC با تمامی دومین کنترلر ها در دومین ارتباط برقرار کرده و در رابطه با Group Policy Object ها به جمع آوری اطلاعات از اکتیو دایرکتوری ها و SYSVOL ها بپردازد و از “Baseline” دومین کنترلر برای مقایسه اطلاعات GPO با اطلاعات GPO های تمامی دومین کنترلر ها استفاده می کند) در علم کامپیوترbaseline در واقع الگویی است که به عنوان مرجع مقایسه برای تشخیص تغییرات بوجود آمده در سیستم های کامپیوتری به کار برده می شود ).

در قسمت Domain controllers with replication in sync آن دسته از دومین کنترلر هایی قرار دارند که GPO information آنها با Baseline دومین کنترلر مطابقت دارد و آن تعداد از دومین کنترلر هایی که اطلاعات GPO آنها با Baseline دومین کنترلر همخوانی ندارد در بخش Domain controllers with replication in progress قرار می گیرند که این حالت بدین معنی است که مشکلی در حین عملیات synchronization به وقوع پیوسته و یا اینکه درفرایند Replication هنوز همگرایی لازم صورت نگرفته است.

وب سایت توسینسو

برای DC هایی که در بخش In progress قرار می گیرند، جزئیاتی اضافی نیز ارائه می شود که بیانگر علت عدم Replication می باشد. در این قسمت به بیان آنها برای دو بخش اکتیو دایرکتوری و فایل سیستم یا SYSVOL ها می پردازیم .

  • توجه: بخشی از یک GPO در اکتیودایرکتوری و قسمتی از آن در SYSVOL های دومین کنترلر ذخیره می شود .قسمتی که در اکتیو دایرکتوری ذخیره شده Group policy Container و بخشی از GPO که در SYSVOL ها ذخیره می شود را Group Policy Template می نامند.

پیام های عدم Replication مرتبط با اکتیو دایرکتوری و SYSVOL ها به قرار زیر هستند:

  • Accessibility یا قابلیت دسترسی : اگر سرویس اکتیو دایرکتوری و نیز SYSVOL ها قادر به ایجاد ارتباطات روی دومین کنترلر نباشند این پیغام نمایش داده خواهد شد.
  • GPO Version: اگر اطلاعات مربوط به ورژن GPO با Baseline دومین کنترلر در اکتیو دایرکتوری و همچنین اطلاعات ورژن GPO ذخیره شده در فایل GPT.ini موجود در SYSVOL ها با baseline دومین کنترلر تفاوت داشته باشد این پیام نمایش داده می شود .که برای مشاهده ی جزئیات بیشتر باید روی پیام کلیک کنیم
  • تعداد GPO ها : اگر تعداد کل GPO ها در SYSVOLها و نیز در اکتیو دایرکتوری با baseline دومین کنترلر متفاوت باشند این پیام مشاهده خواهد شد.
  • ACL ها : اگر SYSVOL permission ها و AD permission های هر GPO متمایز از baseline دومین کنترلر باشند این پیغام ظاهر می شود که برای مشاهده ی جزئیات در مورد این سطوح دسترسی می توانیم روی پیام کلیک کنیم .
  • Modified Dateیا تازیخ ویرایش: این پیام هنگامی نمایش داده می شود که تاریخ مربوط به تغییر و ویرایش های صورت گرفته برای هر GPO که در اکتیو دایرکتوری ذخیره شده با Baseline دومین کنترلر متفاوت باشد.
  • Create Date یا تاریخ ایجاد: در صورت متفاوت بودن تاریخ ایجاد هر GPO که در اکتیو دایرکتور ذخیره شده با Baseline دومین کنترلر متفاوت باشد این پیغام ظاهر خواهد شد.
  • GPO Contents یا مطالب GPO: اگر محتوای SYSVOL ها برای هر GPO با Baseline دومین کنترلر متفاوت باشد این پیغام نشان داده می شود که برای مشاهده ی جزئیات پیرامون GPO های با مطالب متناقض می توان روی پیام کلیک کرد. برای مقایسه محتوا باید یک هش فایل برای تمامی فایل های دورن فولدر GPO موجود در SYSVOL ایجاد کرد و به مقایسه هش Baseline دومین کنترلر با هش گرفته شده از هر DC پرداخت.

DFS Management چیست؟

فایلهای GPO در فولدر SYSVOL موجود در اکتیو دایرکتوری ذخیره می شوند .فایل های GPO در SYSVOL توسط سرویس DFS Replication یا DFS-R همسان سازی می شوند .کنسول مدیریتی DFS ادمین ها را قادر می سازد تا به پیکربندی آپشن های replication همچون برنامه ریزی و سایر وظایف مدیریتی بپردازند .SYSVOL به اشتراک گذاشته شده بعنوان یکی از Voliume های سیستم دومین شناخته می شود و replication این Volume از برنامه زمانبندی site link replication تبعیت می کند.

تغییر یا مدیریت برنامه زمانبندی همسان سازی Domain system volume ها میان دامین کنترلر های موجود در یک Active Directory site یکسان یک آپشن محسوب نمی شود. همانطور که قبلا گفتیم یک امکان جدیدکه به GPMC موجود در ویندوز سرور 2012 اضافه شده قابلیت مشاهده ی وضعیت زیرساختار گروپ پالسی می باشدکه در بردارنده ی وضعیت همسان سازی Back-end فایل های GPO که در SYSVOL ذخیره شده ، می باشد.

بررسی مدیریت Powershell در Group policy

با انتشار ویندوز سرور2012 و ویندوز 8 ، مایکروسافت قابلیت جدید مدیریت Group Policy از طریق Powershell را ارائه کرد.این قابلیت با نصب Group Policy Management feature روی ویندوز سرور 2012 یا ویندوز 8 به صورت اتوماتیک فعال خواهد شد. در صورت نصب بسته ی RSAT آخرین cmdlet های powershell را دریافت خواهیم کرد. Cmdlet ها دستوراتی تخصصی و سبک هستند که در محیط Powershell وظایف ویژه ای را انجام میدهند .الگوی دستورات cmdlet بصورت <اسم>-<فعل> می باشد. در جدول زیر تعدادی از cmdlet های مورد استفاده برای مدیریت Group Policy لیست شده اند:

وب سایت توسینسو

برای مشاهده ی cmdlet ها در powershell ویندوز سرور 2012 ، تنها کافیست در صفحه ی دسکتاپ اشاره گر موس روی قسمت راست صفحه قرار داده و از charm bar نمایان شده گزینه search را انتخاب کنیم . در بخش search باید عبارت Windows PowerShell ISE را جست و جو کنیم . تصویر زیر نمایی از group policy powershell cmdlets را نشان داده شده است:

وب سایت توسینسو

Event Viewer چیست؟

Event Viewer موجود در ویندوز سرور 2012 و ویندوز 8 ، event log های متعددی را در بر می گیرد . که در اینجا با توجه به موضوع مقاله به بحث در مورد GPO Log ها می پردازیم . گزارشات گرفته شده از یک GPO در بردارنده ی رویداد های مربوط بهGPO administrative و GPO operational می باشد. به صورت پیش فرض حداقل گزارشات از پردازش های Group Policy گرفته می شود . اگر به troubleshooting و یا log های بیشتری نیاز داشته باشیم ، می توانیم سطح Log برداری را افزایش دهیم .

Administrative event ها پردازش های انجام شده بواسطه ی GPO روی کامپیوتر و یا یوزری خاص را شامل می شود و اطلاعات سطح بالایی از جزئیات موفقیت و یا عدم موفقیت GPO در پردازش را ارائه می دهد. برای مشاهد ه ی Administrative event های Group Policy از بخش search app موجود در ویندوز 2012 ) همانند مراحل طی شده برای یافتن powershell ) ، Event Viewer را باز می کنیم . و از بخش Windows Log موجود در پنل سمت راست زیر گره ی System را انتخاب کرده و در پنل سمت چپ روی عبارت Filter Current Log کلیک می کنیم . در نهایت در Event sources در پنجره ی باز شده عبارت Group Policy(Microsoft-Windows-GroupPolicy) را مارکدار کرده و OK را می زنیم.

وب سایت توسینسو

بدین ترتیب گزارشات گرفته شده از Administrative event ها همراه با شرح جزئیات در پنل میانی Event Viewer مشاهده خواهند شد. با راست کلیک روی گزینه System انتخاب Clear filter و نیز با بستن Event Viewer می توان log های فیلتر شده را پاک کرد.

Operational Event ها یا رویداد های عملیاتی یک GPO در واقع جزئیات بسیار دقیق و ریز پردازش های GPO را بیان می کنند. هنگامیکه GPO پردازش عمیات را آغاز می کند ، ُسیستم از تمامی کارهای انجام شده در طی پردازشهای گروپ پالسی Log برداری می کند. این قابلیت جدید log برداری از پردازشهای GPO خطا یابی پردازش های GPO را بسیار آسان کرده است. برای مشاهده ی Operational Event های GPO باید در پنل سمت چپ موجود در Event Viewer به مسیر بیان شده در زیر رفت :

Applications and Service Logs => Microsoft => Windows => Group Policy => Operational
وب سایت توسینسو

در این مقاله سعی بر آن بود که به معرفیGroup Policy ویندوز سرور 2012 پرداخته و با قابلیت ها و نیز امکانات جدید اضافه شده به آن آشنا شویم . هرچند که مبحث Group Policy بسیار گسترده است اما امیدوارم که مرور اجمالی بر آنها مفید واقع شده باشد.

  • گروپ پالیسی ( Group Policy ) چیست؟

    گروپ پالیسی در واقع مجموعه ابزارهای مدیریتی ویندوز هستند که مجوزهای عملکردهای مختلف کاربر در سیستم عامل را تعریف می کنند ، به زبان ساده شما هر کاری که در ویندوز انجام می دهید یک Policy یا سیاست در پس زمینه برای آن تعریف شده است ، به زبان ساده تر اگر می توانید ویندوز را shutdown کنید یک پالیسی برای مجوز و امکان shutdown کردن کاربر برای شما تعریف شده است که شما را مجاز به اینکار می داند.
  • آیا گروپ پالیسی در ویندوز سرور متفاوت است؟

    گروپ پالیسی ( Group Policy ) در ویندوز سرور در قالب شبکه های دومین و تحت مدیریت اکتیودایرکتوری اعمال می شود و به همین ترتیب امکان اعمال شدن آن بصورت شبکه ای وجود دارد.

مریم حیات رمضانی
مریم حیات رمضانی

کارشناس شبکه های مایکروسافت و پایگاه داده

کارشناس سیستم عامل و زیرساخت های مایکروسافت MCTS:Active Directory 2008 MCTS:Network Infrastruture 2008 MCTS:Application Infrastructure 2008 MCTS:Active Directory 2008 MCITP:Enterprise Administrator MCSA 2008

نظرات