امیرحسین کریم پور
مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

معرفی 16 نکته مهم در رفع اشکال گروپ پالیسی (Group Policy)

در این مقاله میخواهیم به معرفی مهم ترین نکات برطرف کردن مشکلات Group Policy و اعمال نشدن Policy به یوزر ها و کامپیوتر ها بپردازیم. با در نظر گرفتن این نکات صد در صد شما میتوانید از پس عیب یابی و رفع اشکال اکثر مشکلات Group Policy بربیایید. پس بدون اتلاف وقت به سراغ معرفی نکات میرویم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

1. DNS

اولین مورد را با مهم ترین نکته که در مورد DNS است شروع می کنیم. دامین کنترلر های شما که در واقع DNS Server های شما نیز هستند باید به یکدیگر اشاره کنند و کلاینت هایتان نیز باید به دامین کنترلر ها اشاره کنند. اگر کلاینت های شما به DNS سرور هایی غیر از دامین کنترلر ها اشاره کنند در واقع کلاینت هایتان نمیتوانند دامین کنترلر را ببینند و در نتیجه Policy ها را نمیتوانند از دامین کنترلر دریافت کنند. اگر کلاینت های شما به DNS Server های خارجی نیاز دارند از طریق تنظیم کردن Forwarder روی DNS Server این کار را برای آنها انجام دهید.

2. Top Level Policies

به این نکته حتما توجه داشته باشید که Default Domain Policy بایستی Top Level GPO ی شما باشد مگر اینکه یک دلیل منطقی و خوب برای اضافه کردن یک GPO به عنوان Top Level GPO داشته باشید. Default Domain Policy به سختی و به ندرت باید ویرایش شود ، چرا ؟ چون هر چیزی که شما به Default Domain Policy اضافه کنید به تمام زیرمجموعه ها در دامین تان اعمال خواهد شد. آیا شما میخواهید که تمامی سرور ها و یوزر اکانت های ادمین دامین تان با همان پالسی که Default Domain Policy را ویرایش کردید و به آن اضافه کردید و قصد داشتید فقط یوزر اکانت های محدود و Workstation هایتان تحت تاثیر این پالسی قرار بگیرند Lock Down شوند ؟ به شما پیشنهاد می کنم بر اساس ساختار سازمانی تان برای OU های خود GPO های مربوطه را اعمال کنید نه به Top Level Policy.

3. GPO نمیتواند به Group ها اعمال شود

لطفا گول اسم Group را نخورید ! شما بصورت مستقیم نمیتوانید یک GPO را به یک Group اعمال کنید. به این معنی که درون یک OU تعدادی Group اضافه کنید و از طریق Group Policy انتظار داشته باشید که Policy شما روی آن Group و یوزر های عضو آن اعمال شوند. GPO ها تنها و تنها میتوانند روی Computer account ها و User account ها اعمال شوند. اگر شما قصد داشتید به گروهی از یوزر ها و کامپیوتر ها GPO اعمال کنید شما بایستی از قسمت Security Filtering آن GPO گزینه Authenticated Users را غیرفعال کنید و Group مورد نظرتان را اضافه کنید.

4. 5 دقیقه برای اعمال شدن Policy هنگام Logon باید صبر کنید

اگر GPO ای ایجاد کردید که هنگام Logon یوزر به آن اعمال نمی شود ( ماننند Logon Script ) به طور پیش فرض باید مدت زمان 5 دقیقه منتظر بمانید تا GPO اعمال شود.

5. Group Policy Preferences به ویندوز XP و نسخه های قدیمی تر اعمال نمی شود 

آیا CSE یا Client Side Extension را روی ویندوز XP نصب کرده اید ؟ نسخه های ویندوز قدیمی تر از ویندوز 7 از Group Policy Preferences پشتیبانی نمی کنند و آنرا Ignore می کنند مگر اینکه Client Side Extension روی آنها نصب شده باشد.

6. Enforced policies و Block inheritance

اگر GPO ی شما در سطوح بالایی از ساختار سلسله مراتبی OU هایتان قرار دارد و شما نمیخواهید Child OU ها و Object های درون آنها از آن OU آن GPO را به ارث ببرند و روی آنها اعمال شود شما میتوانید از گزینه Enforced برای آن GPO استفاده کنید. و چنانچه بخواهید GPO ی مورد نظرتان از OU های بالاسری تنظیمات را Inherit نکند باید از گزینه Block Inheritance استفاده کنید. پیشنهاد می کنم از این دو گزینه زیاد استفاده نکنید که به نوبه خود میتوانند دردسرساز شوند.

7. GPO باید Enable شده باشد

بصورت پیش فرض زمانیکه یک GPO ایجاد می کنید بصور فعال در می آید. شما وقتی که دستور gpresult.exe را اجرا کنید میتوانید وضعیت فعال بودن یا غیرفعال بودن GPO را مشاهده کنید. بصورت دستی میتوانید با راست کلیک کردن روی GPO و کلیک روی گزینه Link Enabled آن GPO رو غیرفعال و یا فعال کنید.پس در وهله اول حتما مطمئن شوید که گزینه Link Enabled تیک خورده است. با رفتن به تب Details یک GPO و در قسمت GPO Status میتوانید وضعیت فعال بودن GPO را مشاهده کنید.

8. آیا GPO را به نسخه ویندوز مربوطه اش اعمال کرده اید ؟

اگر در سازمان خود از نسخه های مختلفی از سیستم عامل ویندوز استفاده می کنید مثل ویندوز XP ، سون و یا 10 بایستی مطمئن شوید که GPO ای که اعمال می کنید به کلاینتی با نسخه ویندوز مربوطه اش اعمال می شود. برخی از Policy ها در Group Policy تنها از نسخه خاصی از سیستم عامل ویندوز پشتیبانی می کنند زمانی که یک Policy را ویرایش می کنید در قسمت Supported on نوشته شده که چه نسخه ویندوز را این Policy پشتیبانی می کند. برای مثال Policy ای به نام control use of bitlocker on removable drives وجود دارد که تنها از سیستم عامل های خانواده ویندوز 7 پشتیبانی می کند. یعنی شما نمیتوانید این Policy را روی کلاینتی با ویندوز XP اعمال کنید.

9. Permission های مناسب به GPO حتما اختصاص داده شود

Permission ها یا مجوز های دسترسی برای GPO ها هم صدق می کند. Permission های یک GPO را با اجرای دستور gpresult.exe نیز میتوانید مشاهده کنید. بصورت پیش فرض Security Filtering برای یک GPO روی Authenticated Users تنظیم می شود که شامل Domain User ها و Domain Computer ها میشود. دلیلی وجود ندارد که این گزینه را تغییر دهید مگر آنکه بخواهید آن GPO به یوزر ها یا کامپیوتر های خاصی در شبکه اعمال شود. شما از گزینه Deny هم میتوانید برای GPO استفاده کنید اما من معمولا پیشنهاد نمی کنم این کار را انجام دهید.

10. File or Share Permissions

اگر شما خارج از پوشه Sysvol اسکرپیت هایی را ذخیره کرده اید ، نرم افزاری را به کلاینت ها Deploy می کنید ، Map Drive به کلاینت ها اختصاص میدهید یا از Folder Redirection استفاده می کنید File Permission یا Share Permission ها بدترین دشمنان شما هستند. اگر شما نتوانستید به یک Resource ای در شبکه دسترسی داشته باشید سعی کنید بصورت دستی به آن دسترسی پیدا کنید تا ببینید آیا واقعا نمیتوانید به آن Resource متصل شوید یا مشکل از جای دیگری است. پیشنهاد می کنم Event Log ها را هم حتما چک کنید اگر یوزر یا کامپیوتر شما نمیتواند به یک Resource دسترسی پیدا کند.

11. Precedence یا اولویت GPO را در نظر داشته باشید

GPO هایی که به پایین ترین ساختار سلسله مراتبی OU ها Link شده اند اولویت بیشتری بر GPO های Link شده به OU های بالادستی دارند مگر آنکه روی GPO گزینه Enforced فعال شده باشد. زمانی که به این موضوع شک کردید در کنسول GPMC روی OU کلیک کنید و به تب Group Policy Inheritance بروید و Precedence پالسی ها را تغییر بدهید. من بار ها و بار ها و بار ها با تغییر دادن Precedence پالسی ها مشکل اعمال نشدن GPO را برطرف کرده ام.

12. Slow links

من بعضا در شبکه ها دیده ام که برخی از کلاینت ها که از سرعت شبکه پایینی برخوردار هستند Policy روی آنها اعمال نمی شود. در این گونه مواقع شما میتوانید قابلیت Slow link detection را از مسیر زیر غیرفعال کنید :

Computer Config , Policies , Administrative Templates , System, Group Policy , 

روی پالسی Group Policy slow link detection دابل کلیک کنید و مقدار صفر را جلوی Connection speed برای آن در نظر بگیرید.

13. Loopback processing

به زبان ساده Loopback Processing را بدین جهت به یوزر ها اعمال می کنیم که هنگامی که یک یوزر به یک کامپیوتر دیگر در شبکه با اطلاعات احرازهویتی خود لاگین کرد یا Policy های یوزر اعمال شود یا Policy های Computer. اگر Policy مورد نظر به Computer account ها اعمال می شود پس اطمینان حاصل کنید که Loopback Processing را روی Merge mode تنظیم کرده اید. زیرا که Policy های مربوط به Computer در زمان Startup سیستم اعمال می شوند.

14. آیا GPO به User اعمال خواهد شد یا Computer

بار ها کسانی که در رفع اشکال Group Policy کمک کرده ام تاکید کرده ام که حتما مطمئن شوید که Policy را روی Object مناسبش دارید اعمال می کنید. این را همیشه به خاطر داشته باشید Policy مربوط به User به Computer اعمال نمی شود. User object ها را درون یک OU و Computer object ها را در داخل OU ی جداگانه قرار دهید. این کار باعث می شود تداخل در کار اعمال شدن Policy بوجود نیاید و از پیچیدگی کار نیز میکاهد.

15. مشکلات عجیب و غریب ناشی از Folder Redirection

اگر از Folder Redirection در شبکه استفاده می کنید پس منتظر بوجود آمدن مشکلات عجیب و غریب آن هم باشید. اگر به یک سرور دیگر Migrate می کنید مطمئن شوید که گزینه Move the users files to the new location را غیرفعال کرده اید. در غیر این صورت کاربران عزیزتان در شبکه حسابی از خجالت شما در می آیند. اگر این گزینه در ویندوز 7 غیرفعال باشد زمانی که کاربر برای اولین بار به سیستمش لاگین کرد پوشه های قدیمی هنوز هم سر جای خود باقی می مانند که شما در این گونه مواقع یا باید پوشه های آنها را پاک کنید و یا اینکه گزینه را به Move the contents of the folder تغییر بدهید. اگر پوشه My Documents یوزر را Redirect می کنید مطمئن شوید که نامی که GPMC استفاده می کند را به خاطر دارید. برای مثال اگر File server شما از نام My Documents استفاده می کند GPMC ممکن است نام آن را به Documents تغییر بدهد.

16. هماهنگ بودن زمان دامین کنترلر با کلاینت ها

یکی از مواردی که حتما بایستی از درست بودن آن مطمئن شوید هماهنگ یا Synchronize بودن ساعت و تاریخ کلاینت ها با سرور دامین کنترلر است. در نظر نگرفتن همین مورد باعث می شود که GPO ها به درستی به کلاینت ها اعمال نشوند.


امیرحسین کریم پور
امیرحسین کریم پور

مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

امیرحسین کریم پور ، مدیر ارشد توسینسو ، متخصص شبکه ، تخصص در حوزه سیستم عامل های کلاینت و سرور مایکروسافت و سرویس های مربوطه ، سیستم عامل لینوکس و... ، سابقه کار با سازمان ها و شرکت های مختلف در زمینه سرویس های مایکروسافت در قالب پروژه ، مشاوره و آموزش. علاقه مند به حوزه امنیت اطلاعات و تست نفوذ سنجی

نظرات