در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

عزیزان و همکارانی که در زمینه شبکه فعالیت می کنند حتما با واژه Group Policy آشنایی دارند ، در این سری مقالات قصد دارم شما را تا جای ممکن با امکانات این سرویس بسیار کاربردی آشنا کنم و در این راستا از ابتدای مسئله شروع خواهیم کرد ، Group Policy در ساده ترین تعریف امکان اعمال تغییرات امنیتی و نظارت امنیتی بر روی کلیه شبکه های عضو دامین ما را به مدیر شبکه می دهد و شما می توانید تنظیمات خود را بصورت متمرکز انجام دهید . در مقاله ای تحت عنوان معرفی کنسول Group Policy Management در ویندوز سرور 2008 در رابطه با این کنسول و نحوه اعمال تغییرات در آن صحبت شده در این مقاله تصمیم داریم با تنظیماتی که در Group Policy Object ها میتوان انجام داد آشنا شویم ، تعداد Policy هایی که در این کنسول وجود دارد بسیار زیاد هستند و شما بیشتر می بایست بر حسب نیاز به دنبال Policy مورد نظر نیاز خود بروید ، هر کدام را که باز کنید در پنجره باز شده یک سری توضیحات برای آن نوشته شده که شما را در استفاده از آن راهنمایی می کند. در اینجا سعی بر این داریم که یک اشاره بسیار مختصر و گذرا به سیاست های Group Policy داشته باشیم و در آخر چند مورد مثال می زنیم.

در Group Policy دو نوع تنظیمات وجود دارد شما می توانید این تنظیمات را برای کاربران ، کامپیوترها و یا هر دو آنها انجام دهید User Configuration کاربران و Computer Configuration کامپیوترهای موجود در شبکه را تحت تاثیر قرار می دهد . برای مثال زمانی که Computer Configuration را برای یک کامپیوتر اعمال می کنید بدون در نظر گرفتن اینکه چه کاربری به آن کامپیوتر لاگین می کند این Group Policy بر روی آن اعمال خواهد شد همچنین با اجرای User Configuration برای یک کاربر خاص ، این Group Policy بدون توجه به اینکه کاربر از چه کامپیوتری در شبکه به آن لاگین کند بر روی او اعمال خواهد شد ، حال با هم نگاهی بسیار مختصر به Policyهای موجود می اندازیم:

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

تنظیمات کامپیوتر یا Computer Configuration


وارد زیر شاخه Policies می شویم

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Administrative Templates : محل انجام تنظیمات رجیستری و تنظیمات اساسی ویندوز همچنین تنظیمات مربوط به دسکتاپ ، ظاهر و نحوه عملکرد آن می باشد.
  • Software Setting : در اینجا شما میتوانید برنامه های مورد نظر خود را نصب ، حذف و یا پشتیبانی نمایید. شما میتوانید نرم افزارهایی با پسوند msi و zap را نصب کنید ، دقت داشته باشید که در Computer Configuration تنها قابلیت نصب msi وجود دارد . فایلهای msi را میتوانید بصورت آماده تهیه کنید و فایلهای zap را میتوانید درست کنید که به فایل exe اشاره کند.

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

دقت داشته باشید که پوشه ای که در آن نرم افزار مورد نظر وجود دارد باید Share شده باشد و کاربر مورد نظر باید دسترسی های لازم را به آن داشته باشد. برای نصب نرم افزار وارد Software Settings شده و بر روی Software Installation راست کلیک کنید و New و بعد Package را بزنید

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

همانطور که مشاهده میکنید بدلیل اینکه بنده از مسیر User Configuration وارد شده ام میتوانم نرم افزارهایی با پسوند msi و zap را نصب کنم. در ادامه آدرس فایل مورد نظر را وارد میکنیم(برای مثال یک فایل با پسوند msi) و بعد از انتخاب فایل با پنجره زیر روبرو میشویم

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Published : در این حالت پس از Log on نمودن کاربر تنها در صورت اجرای یک فایل که دارای پسوند مربوط به برنامه مورد نظر باشد آن برنامه نصب میگردد در این حالت نام برنامه در قسمت Add Remove Program قابل مشاهده است.
  • Assigned : در این حالت پس از Log on نمودن آیکون فایل مورد نظر بر روی دسکتاپ همچنین درون استارت منو قرار میگیرد و کاربر با کلیک بر روی آن میتواند برنامه مورد نظر را نصب کند.
  • Advanced : در این حالت به کاربر امکان انتخاب دو حالت Published و Assigned داده می شود.به این نکته توجه داشته باشید که در حالت Computer Configuration تنها گزینه Assigned قابل استفاده می باشد.
  • Windows Settings : شامل تنظیمات ویندوز از جمله تنظیمات امنیتی و Script ها میباشد که در زیر به آنها اشاره میکنیم

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Script : با استفاده از این قسمت میتوانید scriptهایی را اعمال کرد که بطور اتوماتیک در زمان روشن شدن و خاموش شدن کامپیوتر اجرا شوند شما میتوانید Scriptهای خود را به زبانهای برنامه نویسی مختلفی که درون ویندوز پشتیبانی میشود مانند vb script و یا java script بنویسید .
  • Security Settings : قوانینی است که میتوانید بر روی یک یا چندین کامپیوتر اعمال کنید تا از منابع موجود از شبکه محافظت نمایید، Security Setting میتواند اعمالی همچون نحوه شناسایی کاربران در شبکه و یا نوع منابعی که کاربران اجازه استفاده از آنها را دارند ، نوع اطلاعاتی که باید درون Event viewer ذخیره گردد و همچنین عضویت در گروههای مختلف را کنترل نماید حال گره Security Settings را باز میکنیم :

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Account Policies : امکان کنترل چگونگی ایجاد و مدیریت رمز عبور را فراهم میکند (در زیر مورد بررسی قرار می دهیم)
  • Local Policies : مربوط به سیاستهاییست که بر سیستم Local انجام میشود (در زیر مورد بررسی قرار می دهیم)
  • Event Log : تنظیمات مربوط به Log برداری Event viewer
  • Restricted Groups : که مربوط به عضویت در گروههای مختلف میباشد و در آن میتوانید کاربران را عضو گروهی کرده و یا همان گروه را عضو گروهی دیگر کنید.
  • System Service : برای مدیریت سرویسها و محدود کردن دسترسی آنها برای کاربران.
  • Registry : کاربرانی که عضو دامین هستند بصورت پیشفرض اجازه تغییرات در رجیستری ویندوز را ندارند ، شما در این قسمت میتوانید مجوز دسترسی یا ویرایش یک کلید یا کلیدها را برای کاربران صادر کنید
  • File System : در این قسمت می تونید آدرس فولدر و یا فایل مد نظرتون رو بدید و برای اون NTFS Permissions تعیین کنید.
  • Windows Firewall with Advanced Policy : که در اینجا میتوانید مدیریت فایروال کامپیوتر مد نظر خود را در دست بگیرید.
  • Wireless Network : در مقاله ای تحت عنوان "کنترول کلاینتهای تحت دامین در اتصال به شبکه های وایرلس" راجع به این پالیسی توضیح داده ام که برای مشاهده ی مقاله میتوانید اینجا کلیک کنید .
  • Software Restriction Policies : که در این قسمت شما میتوانید یک فایل یا فولدر و یا ... را معرفی کنید و از آن لحظه به بعد ، دیگر آن فایل قابل اجرا نخواهد بود. جهت آشنایی بیشتر و نحوه استفاده از این پالیسی میتوانید به مقاله جلوگیری از اجرای ویروس ها و نرم افزارهای غیرمجاز به وسیله Software Restriction از مهندس نصیری مراجعه کنید .
  • Application Control Policy : برای اعمال محدودیتهایی در نرم افزارها .

خوب در ادامه وارد قسمت Account Policies می شویم

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Password Policy : برای تنظیمات مربوط به رمز گذاری
  • Account Lockout Policy : در این قسمت شما میتوانید تعیین کنید که اگر کاربر به تعداد مشخصی رمز عبور اشتباه وارد کرد سیستم چه واکنشی نشان دهد.
  • Kerberos Policy : مربوط به سرویس Kerberos میباشد و بدلیل اینکه خارج از محدوده این مقاله است در مقالات دیگر به توضیح آن می پردازیم.

Password Policy


مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Enforce Password History : در صورت فعال کردن این قسمت لیستی از کلمات عبوری که قبلا برای خود استفاده نموده اید ذخیره شده و به شما اجازه استفاده دوباره از آن کلمه عبور را نمی دهد ، شما میتوانید در آن تعداد کلمات عبور نگهداری شده در حافظه را مشخص کنید.به عنوان مثال اگر این عدد را 4 بگذارید به معنی این است که رمز عبور کاربر نباید بین 4 رمز قبلی او باشد ، کمترین عددی که میتوانید برای آن در نظر بگیرید صفر (که در واقع غیر فعال میشود) و همچنین بیشترین مقدار 24 میتواند باشد.استفاده از این مورد برای جلوگیری از انتخاب رمزهای تکراری توسط کاربران انتخاب مناسبی میباشد همچنین افزایش مقدار آن باعث افزایش امنیت میشود.
  • Maximum password age : هر پسوردی میتواند تاریخ مصرفی داشته باشد در این قسمت شما میتوانید تعداد روزهایی که این پسورد جدید یا پسورد عوض شده معتبر است را مشخص کنید ، بعد از گذشت این زمان ، سیستم از کاربر تغییر رمز عبور او را در خواست میکند و کاربر تا زمانی که پسورد خود را تغییر نداده نمیتواند Log in کند. در صورتی که این عدد را صفر بگذارید به این معناست که پسورد هیچگاه منقضی نمیشود
  • Minimum password age : در این قسمت شما میتوانید حداقل زمان معتبر بودن پسورد را مشخص کنید ، به عنوان مثال اگر این عدد را 5 بگذارید کاربر تا 5 روز دیگر نمیتواند پسورد خود را عوض کند. در صورتی که این عدد را صفر بگذارید کاربر میتواند در هر زمانی که تمایل دارد پسورد خود را عوض کند.
  • Minimum password length : مقدار عددیست بر حسب تعداد کاراکتر ، که حداقل تعداد کاراکتر برای تعیین پسورد را مشخص میکند ، به عنوان مثال اگر این عدد را 5 بگذارید از آن لحظه به بعد کاربر هر گاه بخواهد پسورد خود را تغییر دهد باید رمز عبوری با حداقل 5 کاراکتر را انتخاب کند. در صورتی که این مقدار را صفر در نظر بگیرید کاربر میتواند بدون پسورد وارد شود که ( Password Blank) که بسیار کار اشتباهیست و باعث بروز مشکلات امنیتی در شبکه میشود .
  • Password must meet complexity requirement : اگر این گزینه Enable شود کاربر نمیتواند پسورد ساده ای انتخاب کند و باید کلمات عبور از پیچیدگی قابل قبولی برخوردار باشند ، پسورد خوب باید ترکیبی از اعداد – حروف بزگ – حروف کوچک – و علامتها باشد مانند P@ssw0rd
  • Store Passwords Using Reversible Encryption : این گزینه برای احراز هویت برای نرم افزارهای خاصی میباشد یعنی وقتی آن را فعال کنیم رمز عبور شما به صورت متنی در آمده و امنیت آن به شدت کاهش پیدا می کند پس سعی کنید همیشه آن را غیر فعال کنید ( به صورت پیش فرض هم غیر فعال هست )

به Account Policies برگشته و این بار وارد Account Lockout Policy میشویم ،

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

همانطور که گفته شد در این قسمت شما می توانید تعیین کنید که اگر کاربر به تعداد مشخصی رمز عبور اشتباه وارد کرد سیستم چه واکنشی نشان دهد.

  • Account lockout duration: در این قسمت شما مشخص میکنید که زمانی که یک حساب کاربری قفل شد پس از چند دقیقه دوباره فعال شود. در صورتی که این مقدار را صفر قرار دهید حساب کاربری قفل شده تنها بدست مدیر شبکه و بصورت دستی فعال میشود
  • Account lockout threshold : این قسمت مشخص میکند که کاربر حداکثر چند بار میتواند رمز عبور اشتباه وارد کند. اگر آن را صفر قرار دهید کاربر هیچ محدودیتی در وارد کردن رمز اشتباه نداشته و هیچگاه حساب او قفل نمیشود . پیشنهاد میشود که هیچ گاه عدد یک را برای این مورد انتخاب نکنید زیرا کاربر ممکن است گاهی به اشتباه رمز عبور خود را وارد کند
  • Reset account lockout counter after : هر گاه کاربری رمز خود را اشتباه وارد میکند این ورود ناموفق به صورت موقت در سیستم ثبت شده و پس از گذشت زمانی این ورودهای ناموفق نادیده گرفته میشوند. برای این که این این زمان را مشخص کنیم در این قسمت عدد مورد نظر خود را (به دقیقه) وارد میکنیم ، این عدد از مورد Account lockout duration میتواند کمتر یا مساوی باشد ولی بیشتر نمیتواند باشد.

حال به Security Settings برگشته و با هم نگاهی کوتاه به وظایف Local Policy می اندازیم

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

  • Audit Policy : این قسمت مربوط به ثبت گزارشات امنیتی می باشد، از جمله این گزارشات میتوان ورود های موفق و ناموفق کاربران ، گزارشات سیستمی ، تغییرات در پالیسی ها ، همچنین استفاده از فایلها و ویرایش آنها را نام برد . در این رابطه مقاله ای تحت عنوان معرفی فرآیند Auditing در شبکه نوشته شده که میتوانید مطالعه کنید.
  • User Rights Assignment : در این قسمت شما میتوانید مجوزهای دسترسی به برخی تنظیمات را برای کاربران مشخص کنید ، برای مثلا ، Access this computer from the network برای مشخص کردن اینکه چه کاربرانی اجازه دسترسی به شبکه را دارند ، و یا Change the system time برای اینکه چه کاربرانی اجازه تغییر ساعت را دارند

Security Options : در این قسمت یک سری اختیارات امنیتی دیگر وجود دارد مثلا :

  • Accounts: Rename administrator account: برای تغییر نام کاربر مدیر (که پیشنهاد میشود برای افزایش امنیت حتما انجام دهید)
  • Accounts: Rename guest account : برای تغییر نام کاربر Gust ( کاربر مهمان )

همچنین میتوانید بوسیله Policyهای زیر پیغامی را در نظر بگیرید که قبل از ورود کاربر نمایش داده شود

  • Interactive logon: Message text for users attempting to log on : محل نوشتن متن مورد نظر
  • Interactive logon: Message title for users attempting to log on : نوشتن عنوان مطلب

تا به حال نگاهی کوتاه به قسمت Policies داشتیم

بعد از ویندوز سرور 2003 در Group Policy ویندوز سرور 2008 ، Preferences اضافه شده که خود بنده از کار کردن با آن واقعا لذت بردم ، در این قسمت شما میتوانید برخی تنظیمات ویندوز رو با راست کلیک بر روی گزینه مربوطه و انتخابNew ، پنجره تنظیمات منتخب خود را مشاهده و تغییرات مورد نظر را انجام دهید یکی از مزیتهای آن رابط کاربری بسیار ساده آن است به عنوان مثال اگر در قسمت Folder Options ، New را انتخاب کنید یک پنجره مانند Folder Options برای شما نمایان میشود و شما هر تغییراتی را که روی آن اعمال می کنید در کامپیوتر مد نظر خود اعمال میشود ، همچنین میتوانید سرویسهای کامپیوتر مد نظر خود را مدیریت کنید

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

در Group Policy برای تغییرات در رجیستری شما مبایستی از فایلهای ADM استفاده کنید و یک کلید را در رجیستری ایجاد کنید ولی بدلیل اینکه ساختن اینگونه فایلها کار چندان ساده ای نیست ، بیشتر از فایلهای آماده و ساخته شده استفاده میشود ولی در ویندوز سرور 2008 در قسمت Preferences شما میتوانید به سادگی و با صرف زمان کمی یک کلید رجیستری را برای کاربر و یا کامپیوتری در شبکه ایجاد ، ویرایش و یا حذف کنید

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

تنظیمات کاربر یا User Configuration


همانطور که در اول مقاله اشاره شد User Configuration تنها کاربران موجود در شبکه را تحت تاثیر قرار میدهد که شامل تنظیمات ویندوز و ظاهر تنظیمات کنترل پنل و قابلیت محدودسازی آن ، قابلیت نصب نرم افزار برای یوزرها ، قابلیت اجرای Script و غیره میباشد ولی چون Script ، به کاربر اختصاص داده شده در زمان Logon و Log off از آن استفاده میشود همچنین بسیاری امکانات دیگر هست که دیگر به آنها اشاره نمیکنیم

دو قسمت در اینجا اضافه شده و بیشتر به چشم میخورد که تنها به این دو اشاره می کنیم

  • Internet Explorer : با استفاده از آن میتوانید تنظیمات مربوط به نرم افزار اینترنت اکسپلورر و نحوه اجرای آن برای کاربران را مشخص کنید
  • Folder Redirection : برای مدیریت بهتر اطلاعات مهم مانند محتویات My Document , Desktop و سایر فولدرهای مهم میتوانید از این گزینه استفاده نمایید و این فولدرها را به یک محل خاص مثل یک پوشه اشتراک گذاری شده در شبکه انتقال دهید تا کاربران پس از لاگین بر روی هر کلاینتی بتوانند به اطلاعات خود دسترسی داشته باشند. در این خصوص مقاله ای با عنوان معرفیFolder Redirection و روش پیاده سازی آن نوشته شده که میتوانید برای آشنایی بیشتر با این پالیسی به آن مراجعه کنید .

مهمترین تنظیمات Group Policy در ویندوز سرور 2008

معرفی چند Policy پرکاربرد و روش فعالسازی آنها


خوب حالا برای اینکه تاثیر Group Policy رو در محیط ویندوز بیشتر احساس کنید چند مثال برای شما گذاشتم

تغییر Homepage در Internet Explorer

User Configuration ==> Policies ==> Windows Setting ==> Internet Explorer Maintenance ==> URLs

وارد Important URLs شده و Customize page URL را تیک دار کرده و در پایین آدرس URL مورد نظر خود را ( به همراه http ) وارد میکنیم مانند :

http://www.tosinso.com

تغییر تصویر دسکتاپ

User Configuration ==> Policies ==> Administrative Templates: ==> Desktop ==> Desktop

وارد Desktop Wallpaper شده و پس از Enabled کردن در قسمت Wallpaper Name: آدرس UNC فایل مورد نظر خود را مینویسید به عنوان مثال \\servername\Share folder name\filename.jpg و در قسمت Wallpaper Style میتوانید نوع Style خود را انتخاب کنید دقت داشته باشید در صورتی که آدرس در شبکه را وارد کنید لازم است فولدر مد نظر Share شده و دسترسی مناسب برخوردار باشد.

فعال یا غیر فعال کردن Remote Desktop

Computer Configuration ==> Policies ==> Administrative Templates: ==>
 Windows Components ==> Remote Desktop Services  ==> Remote Desktop Session Host ==> Connections

اگر شما Allow users to connect remotely using Remote Desktop Service را Enabled کنید ریموت کامپیوتر مورد نظر فعال و اگر Disabled کنید ریموت غیر فعال میشود.

خاموش یا روشن کردن Firewall

در بالا به بخش مربوط به Ruleها و تنظیمات پیشرفته اشاره شد ولی با رفتن به آدرس زیر میتوانید فایروال را به کل خاموش یا روشن کنید

Computer Configuration ==> Policies ==> 
Administrative Templates: ==> Network ==> Network Connections

بر حسب نیاز در Domain Profile و یا Standard Profile وارد شده و Windows Firewall: Protect all network connections را Enabled یا Disabled میکنیم

جلوگیری از آپدیت شدن اتوماتیک ویندوز , جلوگیری از اجرا کردن Command Prompt و جلوگیری از اجرا کردن Register

User Configuration ==> Policies ==> Administrative Templates: ==> System
  • Prevent access to the command prompt : Enabled برای جلوگیری از اجرا کردن Command Prompt
  • Prevent access to registry editing tools : Enabled برای جلوگیری از اجرا کردن Registry
  • Windows Automatic Updates : Disabled برای جلوگیری از آپدیت شدن اتوماتیک ویندوز

جلوگیری از ذخیره تنظیمات پس از خروج از ویندوز

اگر دقت کرده باشید زمانی که یک کابر تغییراتی در دسکتاپ خود ایجاد میکند (البته بعضی از تغییرات) از جمله موقعیت پنجره ها و اندازه آنها ، همچنین اندازه و موقعیت نوار وظیفه ، پس از خروج از آن ، آن تغییرات در حافظه ثبت شده و در استفاده در دفعات بعد آن تغییرات را مشاهده میکند ، با ورود به مسیر زیر وEnabled کردن Don't save setting at exit میتوانید کاری کنید که این تغییرات ثبت نشده و کاربر نقشی در تغییر آن تنظیمات نداشته باشد .

User Configuration ==> Policies ==> Administrative Templates: ==> Desktop

همچنین در همین مسیر به توضیح چند مورد دیگر می پردازیم، اگر Hide and disable all items on the desktop را انتخاب و Enabled کنید ، بدینوسیله تمامی آیتم های دسکتاپ را مخفی و غیر فعال می کنیم . سپس برای اعمال تغییرات ریستارت کنید.

برای برداشتن My Computer از روی دسکتاپ Remove My Computer icon on the desktop را Enable کنید

برای برداشتن My Documents از روی دسکتاپ Remove My Documents icon on the desktop را Enable کنید

برای برداشتن Recycle Bin از روی دسکتاپ Remove Recycle Bin icon from desktop را Enable کنید

به مسیر زیر بروید

Computer Configuration ==> Policies ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options

برای غیر فعال کردن CTRL + ALT + DELدر محیط دامین قبل از آنکه کاربر احراز هویت کند (Username و Password را وارد کند) Interactive logon: Do not require CTRL+ALT+DEL را Enabled میکنیم

برای آنکه Username وارد شده توسط کاربری که دفعه قبل در سیستم لاگین کرده هم در استفاده های بعدی نمایش داده نشود Interactive logon: Do not display last user name را Enabled میکنیم.

اختیارات در CTRL + ALT + DEL

در مسیر زین میتونید تعیین کنید که کاربر بعد از زدن CTRL + ALT + DEL در محیط ویندوز چه اختیاراتی داشته باشد

User Configuration ==> Policies ==> Administrative Templates: ==> System ==> CTRL + ALT + DEL Options

محدود کردن دسترسی Control Panel

در آدرس زیر

User Configuration ==> Policies ==> Administrative Templates: ==> Control Panel

اگر Hide specified Control Panel applets را Enabled کنید و دکمه Show را بزنید لیستی که در پنجره بازشده میتوانید ایجاد کنید و از آن پس کاربر دیگر نمیتواند ابزارهای معرفی شده را مشاهده و یا حتی اجرا کند. همچنین از طریق Show only specified Control Panel میتوانید لیستی را وارد کنید و کاربر تنها میتواند آن لیست را مشاهده کند .اگر Prohibit access to the Control Panel را Enabled کنید اجازه دسترسی به Control panel بطور کامل از او سلب می شود.

زمانی که شما یک فلش مموری را برای اولین بار وارد میکنید ویندوز بصورت اتوماتیک اقدام به نصب درایور آن میکند ، وارد مسیر زیر شوید

Computer Configuration ==> Policies ==> Administrative Templates: ==>
 System ==> Device Installation ==> Device Installation Restrictions

شما میتوانید با Enabled کردن Prevent installation of removable device حق نصب درایور رو از کامپیوتر مد نظر بگیرید ، در نتیجه دیگر درایور هیچ فلشی در آن کامپیوتر نصب نخواهد شد.همچنین اگر Hardware ins یک فلش مموری را بدست آورید ، میتوانید وارد Prevent installation of device that math any of these device IDs شده و در پنجره باز شده Enabled و بعد Show را بزنید و در آن آدرس Hardware ins را بدهید ، از آن پس فلش مموری با این Hardware ins دیگر اجازه استفاده در سیستم را ندارد.

شاد و پیروز باشید .

نویسنده : سعید شمس آبادی

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#روشن_و_خاموش_کردن_فایروال_در_شبکه #آموزش_استفاده_از_gpmc #آموزش_Group_Policy #تنظیمات_Group_Policy #مهمترین_تنظیمات_group_policy #مهمترین_تنظیمات_password_policy #محدود_کردن_دسترسی_به_control_panel #نصب_نرم_افزار_از_طریق_GPO #تغییر_دادن_صفحه_پیشفرض_ie_در_شبکه
39 نظر
سعید خلیفی

توضیخاتتون خوب و جامع بود آقای شمس، مرسی :)

فقط یه نکته. در قسمت Computer Configuration نوشتی:

"Script : با استفاده از این قسمت میتوانید scriptهایی را اعمال کرد که بطور اتوماتیک در زمان روشن شدن و خاموش شدن دستگاه با زمانی که کاربری Log on میکند اجرا شوند شما میتوانید Scriptهای خود را به زبانهای برنامه نویسی مختلفی که درون ویندوز پشتیبانی میشود مانند vb script و یا java script بنویسید ."

Script هایی که در Computer Configuration اعمال میشن، فقط در هنگام Shutdown و یا Startup هستن.

اگر بخوایم Script ها در هنگام Logon و یا Logoff کردن کاربر اتفاق بیافتن، باید در قسمت User Configuration این کار رو انجام بدیم.

مرسی

سعید صغیر شمس آبادی

ممنون سعید جان

در قسمت تنظیمات User Configuration در خط سوم به این مورد اشاره شده ولی در Computer Configuration و در قسمت Script : همون قسمتی که خودتون اشاره کردید اشتباه نوشته شده بود که ویرایش شد.

باز هم ممنون از یادآوریتون

ilia

سلام . ببخشید من تازه مدیر یه شبکه شدم و اطلاعاتم زیاد نیست . میشه بگین این محدودیت ها و پالیسی ها رو رو کجا میشه پیاده کرد؟

سعید صغیر شمس آبادی

در صورتی که شبکه شما دامین نیست میتونید با تایپ عبارت gpedit.msc در Run به این کنسول دسترسی پیدا کنید همچنین با نصب اکتیو دایرکتوری و یکپارچه سازی کامپیوترها در شبکه خود شما میتونید به کنسول Group Policy Management دسترسی داشته باشید و در اوجا برای هر OU در ساختار اکتیو دارکتوری یک یا چند Group policy object ایجاد کنید و اعمال کنید میتونید از مقاله زیر هم کمک بگیرید :

محمد

با سلام . من با توجه به توضيحاتي که در مورد تغيير تصوير دسکتاپ کلاينت ها داديد تغييرات را انجام دادم .اما دور تمام آيکن هاي دسکتاپ سيستم ها يه نوار آبي رنگ ظاهر ميشه.چگونه اين مشکل رو رفع کنم؟

vahid.kh

با سلام مقاله تان عالی بود.فقط در رابطه با گروپ پالیسی یک منبع کامل از همین تنطیمات که بیان کردین رو میخوام .که توضیحات تمام این زیر شاخه ها رو داشته باشه .قبلا تو یکی از همین مقاله های انجمن که خوندم اسم از یک کتاب برده شده بود الان گشتم پیدا نکردم متاسفانه.فکر کنم زبان اصلی بود کتابش.اگر کسی یادشه ممنون میشم راهنمایی کنید.

vahid.kh

کتاب Group Policy: Management, Troubleshooting, and Security: For Windows Vista, Windows 2003, Windows XP, and Windows 2000 Paperback – April 9, 2007

by Jeremy Moskowitz

رو پیدا کزدم ولی منبع فارسی هم داریم در این زمینه

سعید صغیر شمس آبادی

بعید میدونم منبع فارسی بتونید پیدا کنید که همه ی پالیسی ها در اون وجود داشته باشه چون تعداد پالیسی ها بسیار زیاد هست و با آمدن هر ویندوز جدید هم دائما به اونها اضافه میشه ، معمولا وقتی نیاز به یک پالیسی پیدا کردید بر حسب مورد به دنبال اون پالیسی میگردید یا جست جو میکنید تا نیازتون برطرف میشه . همونطور که خودتون به این مورد اشاره کردید کتاب Group Policy: Management, Troubleshooting, and Security در این زمینه میتونه مفید باشه و سایت http://gpsearch.azurewebsites.net برای پیدا کردن پالیسی ها مرجع نسبتا کاملی هست.

vahid.kh

ممنون اقای شمس

Mahdi Amjadi

سلام ممنونم از توضیحات جامع آقای شمس . لطفا اگه میشه بگین چطور میتونم برای یک گروه یوزر یا یک گروه کامپیوتر یا اینکه کل یوزرها در شبکه تنظیمات رو اعمال کنم

سعید صغیر شمس آبادی

سلام دوست من

کافیه GPO رو به کل دامین اعمال کنید بعد روی GPO کلیک کرده و در سمت چپ در تب Delegation گروه کاربری یا کامپیوترهای مورد نظر رو وارد کرده و حداقل دسترسی Read رو بهشون بدید و بجز System مابقی رو حذف کنید با اینکار اجازه خواندن این GPO تنها به کامپیوتر یا یوزرهای وارد شده داده میشه و بقیه نمیتونن اون رو بخونن و اعمالش کنن

Mahdi Amjadi

ممنونم از توضیحاتتون لطفا اگه میشه بگین چور میتونم فقط بخش IP یا تنظیمات کارت شبکه رو ببندم از طریق پالیسی

سعید صغیر شمس آبادی

دوست من لطفا سوالات خودتون رو در تالار گفتگو مطرح کنید.

با تشکر

مجتبی حاجی کریم

چگونه میتوان مشخص کنم که بقیه یوزر ها در شبکه به یک کامپیوتر لاگ این نکنند ؟ و فقط یک یوزر خاص به ان وصل شوند.مرسی ار کمکتون.

سعید صغیر شمس آبادی

لطفا سوالتون رو در تالار گفتمان وب سایت مطرح کنید. بنده یا دوستان پاسخگوی شما هستیم.

m-ebrahimi

با سلام

در ویندوز 2008R2 مسیر User Configuration ==> Policies ==> Windows Setting گزینه Internet Explorer Maintenance وجود ندارد .ممنون میشم راهنمایی کنید

سعید صغیر شمس آبادی

من در Windows Server 2008 R2 هم در محیط Workgroup در کنسول gpedit.msc و هم در Domain در کنسول gpmc.msc این مسیر رو رفتم و چنین تنظیماتی وجود داشته !!!

وب سایت توسینسو

لطفا سوالتون رو در تالار گفتمان مطرح کنید تا دوستان راهکار یا ایده های خودشون رو برای حل این مشکل ارائه بدن. ممنون

a.j

با عرض سلام و احترام

در Windows Server 2008 R2، پالیسی برای عدم نمایش Desktop وجود دارد؟

(هنگامی که یک کلاینت به سرور متصل شده، به Desktop سرور دسترسی نداشته باشد و فقط Desktop خود را ببیند.)

vahid.kh

سلام

.منظورتان تصویر زمینه سرور است دیگه؟؟؟

معمولا در حالت دیفالت سیستم های تحت دامین با دسکتاپ خودشان بالا میایند.و دسکتاپ سرور را مشاهده نمیکنند .مگر اینکه در سرورتان پالیسی تعریف شده باشد که تمام یا برخی از سیستم ها با یک تصویر تعریف شده که در سرور Share شده بالا بیایند.

در سرور به مسیر زیر بروید:در run تایپ شود gpedit.msc.سپس به قسمت user configuration بروید .

User Configuration ==> Policies ==> Administrative Templates: ==> Desktop ==> Desktop

وارد Desktop Wallpaper شده و اگر enable بود میتوانید ان را disable کنید .یا برای ست کردن ان پس از Enabled کردن در قسمت Wallpaper Name: آدرس UNC فایل مورد نظر خود را مینویسید به عنوان مثال \\servername\Share folder name\filename.jpg و در قسمت Wallpaper Style میتوانید نوع Style خود را انتخاب کنید دقت داشته باشید در صورتی که آدرس در شبکه را وارد کنید لازم است فولدر مد نظر Share شده و دسترسی مناسب برخوردار باشد.

a.j

با سلام و تشکر

منظورم فایل ها و فولدر هایی است که در دسکتاپ سرور وجود دارد.

قصد داریم به صورت کلاینت از یک سیستم کاربر به سرور وصل شویم (با استفاده از نرم افزار TSPlus).

مشک کار در اینجاست که کاربر به دسکتاپ سرور دسترسی دارد. هنگام انتخاب فایل نباید به دسکتاپ سرور دسترسی داشته باشد اما نمیدانم چه پالیسی برای آن ست کنم.

سعید صغیر شمس آبادی

دوست من لطفا سئوالات فنی خودتون رو در تالار گفتمان مطرح کنید ممنونم .

صباح فتحی

عالی بودن ممنون

Stager

سلام

ممنون

میشه زبان فارسی رابرای یوزرهای دامین از طریق group policy تنظیم کرد که نیاز نباشد تک تک با یوزر خودشان لاگین کنیم و تنظیمات زبان را انجام دهیم؟

ممنون

سعید صغیر شمس آبادی

همونطور که میدونید از طریق گروپ پالیسی میشه در کلیدهای رجیستری تغییر ایجاد کرد. از راهنمایی هایی که دوستان در لینک زیر ارائه دادند میتونید برای رسیدن به هدفتون استفاده کنید.

Davood Azizi

با سلام و خسته نباشید خدمت شما مدیر عزیز سایت

سوال بنده این است که آیا امکانش هست مطالب رو بصورت فایل pdf به اشتراک بگذارید . ممنون از زحمات گرانبهای شما

سعید صغیر شمس آبادی

با سلام خدمت شما ITPro عزیز

در حال حاضر این امکان فراهم شده که شما بتونید هر مقاله یا مطلب آموزشی رو در این وب سایت را با استفاده از قابلیت مشخص شده در تصویر زیر بصورت PDF خروجی بگیرید اما یه اشکال کوچیک داره و اون هم اینه که در خروجی PDF بعضی از تصاویر قرار نمیگیرند که تیم توسعه وب سایت رفع این مشکل رو در برنامه قرار داده . البته از ابزارهایی مثل DoPDF هم میتونید از صفحات خروجی PDF بگیرید . موفق باشید

علیرضا یوسفیان

با سلام

در قسمت Maximum password age قابل ویرایش نیست

یک قفل روی اون وجود داره

چاره چیست ؟

didrayaneh

با عرض سلام

ما یک شبکه domain راه اندازی کرده ایم

بر روی سیستمی که پرینتر به آن متصل است تنظیمات sharing پرینتر را اعمال کردیم.

زمانی که با یوزر administrator به سیستم لاگین میکنیم بقیه سیستم ها امکان ارسال پرینت را دارند ولی زمانی که با یوزر لاگین می کنیم بقیه سیستم ها نمی توانند پرینت ارسال کنند در صورتی که در همان یوزر هم ما باز پرینتر را شر کردیم ولی پرینتی دریافت نمی کنیم.

ممنون می شوم اگر ما را راهنمایی بفرمایید.

vahid.kh

در cridential هر دو تا سیستم ip هاشونو و یوز سیستم رو تعریف کن. مثلا در سیستم که پرینتر به صورت لوکالی متصل هست ip یوزر و پسورد سیستمی که میخواد از طریق شبکه ارسال کنه رو بده و به عکس.

از مسیر کنترل پنل - cridential manager

سعید صغیر شمس آبادی

جناب ary7543 اگر از شبکه Domain استفاده میکنید میتونه دلیلش این باشه که از سمت سرور ، شما پالیسی های فوق رو دریافت میکنید به همین دلیل امکان تغییر اون پالیسی ها در کلاینتها وجود نداره ( چون پالیسی که از سرور اعمال شده دارای اولویت بالاتری هست) و همین باعث میشه که شما پالیسی ها رو بتونید باز کنید اما تنظیمات به رنگ خاکستری بوده و غیر قابل تغییر میباشد.

دوستان عزیزم من جواب دوستمون رو بصورت کوتاه دادم ولی معمولا برای پاسخگویی به سوالات فنی تا زمانی که مشکل رفع بشه ممکنه پستهای زیادی ثبت بشه و کمی شلوغ کاری بشه و ثبت این پستها در زیر مقالات جای مناسبی نیست . در سایت تالار گفتمان قرار داده شده تا شما عزیزان بتونید سوالات فنی خودتون رو مطرح کنید و دوستان متخصص در اون زمینه به سوالاتتون پاسخ بدن و شما رو راهنمایی کنند لذا خواهش میکنم ازتون که سوالات فنی رو صرفا در تالار گفتمان مطرح کنید تا در صفحه اول سایت قرار بگیره و اعضاء بیشتری بتونند سوالتون رو بخونند و پاسخ بدن .

ممنونم از همکاریتون . تیم مدیریت ITPRO

mary.r

عالی بود

در تنظیمات user config جهت اسکریپت لاگ ان یه bat file باید ایجاد کنیم مثلا برای نمایش یک عکس هنگام لاگ ان کردن یوزرها. میشه لطفا نحوه ایجاد اون bat file را توضحیح دهید من هرچی مینویسم جواب نمیده، ویندوز سرور دامین 2012 می باشد.

سعید صغیر شمس آبادی

لطفا سوال رو در تالار گفتگو مطرح کنید.

با تشکر

farid_p

سلام،یه شبکه دامین دارم و کاربرا عضو دامین یوزر هستند.ولی تو سیستم خودشون بهشون دسترسی administrator دادم(عضو گروه admin) .حالا یه چند تا policy میخوام رو یوزرام اعمال کنم ممنون میشم راهنمایی کنین

1-بستن system configuration(msconfig.exe)

2-بستن services

mohammad_sa23

سلام مهنسید عزیز. میخواستم بدونم چرا وقتی من یک یوزر را جزو domain user قرار میدهم پالیسی ها روی ان اعمال نمیشود و باید همان یوزر را جزو backup operators هم قرار بدهم تا پالیسی ها اعمال شود. ممنون

سعید صغیر شمس آبادی

لطفا سوالتون رو در قسمت پرسش و پاسخ مطرح کنید.

با تشکر

رضا کهدوئی

سلام من می خوام برای یکسری از یوزرها که توی یک ou هستند دسترسی به تنظیم کارت شبکه رو باز کنم برای اینکار پالیسی های قسمت

User Configuration ==> Policies ==> Administrative Templates ==> Network ==> Network connection

وب سایت توسینسو

رو فعال کردم ولی بازم جواب نمیده همه پالیسی های این بخش رو تست کردم فعال کردم بازم جواب نمیده البته چک هم کردم پالیسی دیگه ای نباشه که با این تداخل داشته باشه ولی بازم اوکی نمیشه می خواستم ببینم دوستان کسی راه حلی داره برای این رفع این مشکل ؟؟؟

سعید صغیر شمس آبادی

با سلام

اتفاقا من هم این مسئله رو بررسی کردم و به نتیجه نرسیدم

لطفا برای مطح کردن پرسش از گزینه "سوال بپرسید" استفاده کنید تا سوالتون در صحفه اول وب سایت درج بشه و دوستان اون رو ببینن و بتونن پاسخ بدن

با تشکر

spryboy

باعرض ادب و احترام خدمت تمام مهندسین عزیز

یه سوالی دارم از حضورتان

من داخل سرور پوشه ای دارم به اسم Share For All و تمامی کلاینت ها به آن دسترسی دارن

و می توانن فولدر ایجاد کنند ،تغییر نام بدهند و پاک کنند! حالا من می خوام دسترسی رو جوری تغییر بدم که کسی نتونه فایل یا فولدری پاک کند و فقط بتونن فولدر ایجاد کنند و یا تغییر نام بدهند!می خواستم بدونم این محدودیتی رو به چه صورت اعمال کنم؟

در ضمن ویندوز سرور 2008 روی سیستم نصب می باشد و اینکه تمامی کلاینت ها دسترسی Administrator را دارند

متشکرم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....