فاطمه قرباوی
کارشناس شبکه و مجازی سازی

تفاوت Security Filtering و WMI Filters در گروپ پالیسی در چیست؟

در این مقاله تصمیم دارم در مورد Security filtering و WMI filters و همچنین به بررسی تفاوت آنها با یکدیگر صحبت کنم.همه ی دوستان عزیز که با اکتیودایرکتوری و دامین کنترلر آشنایی دارند ، به خوبی میدانند که در کنسول GPM یا GPMC که با دستور gpmc.msc در run اجرا میشود،یکی از گره های زیر مجموعه یا با لفظ فنی Node های زیر مجموعه هر دامین کنترلر WMI filters می باشد.
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

همچنین دوستان عزیز با پنجره ی زیر برای اعمال و مشاهده تنظیمات و پالسی هایی که در دامین اعمال کرده اند نیز بسیار درگیر بوده اند و به خوبی میدانند که در این پنجره نیز دو گزینه ی Security Filtering و WMI filters وجود دارد.
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

خوب حال به صورت کلی میدانیم با توجه به اینکه هر دوی اینها در تب scope وجود دارند،قاعدتا پس در هر دو دامنه ی مربوط به پالسی هایی که میخواهیم اعمال کنیم تعریف میشود.خوب ممکن است با خود بگویید که مایکروسافته دیگه !! یه قابلیت رو ممکنه چندین جا ،با عناوین متفاوت یا از چندین طریق تعریف کند !!

درست است که مایکروسافت در بسیاری موارد از این کارها انجام میدهد اما اینجا بدین صورت نیست و بین این دو مفهوم تفاوتهایی وجود دارد.البته به صورت کلی هر دوی اینها مربوط به دامنه ی ما در اعمال پالسی ها می شود اما در سطوح متفاوت ... خوب بهتر است زیاد مقدمه چینی نکنم و به سراغ اصل مطلب بروم.

Security Filtering چیست؟

در Security Filtering شما میتوانید تنها کلیه کاربران،کامپیوترها و گروههایی را که قصد دارید پالسی های مربوط به default domain controller یا هر GPO ایی دیگری که درست میکنید را دریافت کنند در این قسمت تعریف میکنید.زمانی که میخواهید یک GPO به کاربران یا کامپیوترها اعمال شود،آن کاربر یا کامپیوتر حتما باید دارای دسترسی Read و Apply Group Policy که اختصارا به آن AGP هم میگویند باشند.برای اعمال این دسترسی های به کاربران باید به تب delegation و گزینه ی Advanced مراجعه کنید.
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

به صورت پیش فرض در همه ی GPO هایی که درست میشود این دو دسترسی برای Authenticated users فعال یا Allow میباشد.Authenticated users شامل کلیه user ها و computer ها ( و همچنین کلیه ی آبجکت های دامین ) میشود.به همین دلیل است که همه ی کاربران Authenticated user تنظیمات مربوط به یک GPO را زمانی که به یک OU، سایت یا دامین اعمال میشود را دریافت میکنند.البته لازم به ذکر است که داشتن این دسترسی ها برای اعمال پالسی کافی نیست،فراموش نکنید که GPO تا زمانی که به OU ، site ، container ،domain یا child domain های دیگر لینک داده نشده است اعمال نمیشود ( همچنین نمی توانید GPO را به User ,Computer یا Group اعمال کنید ! )
دقت داشته باشید اگر در برخی موارد موفق به اعمال برخی پالسی ها نمی شوید ممکن است دسترسی های Read and AGP نیز Allow نباشد، یا مثلا در بعضی اوقات تنظیماتی که اعمال میکنید به همه ی user ها اعمال شده است،در این مورد هم بهتر است Authenticated users رو در Security filtering حذف کنید تا مشکلتان برطرف شود.

در نهایت ممکن است GPO را به OU ، site ، container ،domain یا child domain لینک نکرده باشید که این خود یکی دیگر از دلایل اعمال نشدن پالسی ها میباشد. در نهایت کافی است در تب scope ، در قسمت Security filtering نام کاربران،کامپیوترها و گروههایی که میخواهید پالسی های مربوط به آن OU ، Domain ، Site یا Container را بگیرند تعریف و عنوان کنید.اما در WMI filters ، این مسئله ی filtering کمی عمقی تر مورد بررسی قرار میگیرد.

WMI filters چیست؟

WMI filters که مخفف Windows Management Instrumentation (WMI) filters می باشد ، این امکان را در اختیار شما قرار میدهد که با جزئیات بیشتری بتوانید پالسی ها را اعمال کنید.خوب اینکه نحوه ی کارکرد WMI به چه صورت است:  اولا WMI براساس ساختار True and False کار میکند.خوب این یعنی چه؟ این یعنی اینکه در WMI مجموعه query های داده هایی تعریف میشود .این query ها ترکیبی از عملگرهای منطقی And & OR می باشند. شما در کنسول زیر این query ها را که مجموعه کدهایی میباشند را وارد میکنید:
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

با راست کلیک در تب contents در قسمت سفید رنگ:
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

انتخاب گزینه ی New:
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

و سپس انتخاب گزینه ی Add :
معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها

خوب در اینجا میتوانید کدهای خود را وارد کنید. گفتیم این query ها شامل مجموعه ای از property هایی هستند که به وسیله And و OR به یکدیگر متصل شده اند.زمانی که شما در تب Scope ( پایین security filtering ) این WMI هایی که ایجاد کرده اید را لینک میکنید،در سیستم های کلاینتها،هنگام لاگین،این WMI ها و پالسی ها توسط سرویس windows management instrumentation در ویندوزشان ( که در کل عمل data gathering را انجام میدهد ) بررسی میشود.

در صورتی که کلیه ی property ها با سیستم کلاینت مطابقت داشت و یا به عبارتی در نتیجه True را داشتیم ،پالسی ها در سیستم کلاینت اعمال خواهد شد،اما در صورتی که با False مواجه شد،پالسی ها اعمال نخواهد شد. حال اینکه چه property هایی را میتوانیم در query ها در نظر بگیریم، درواقع به خاطر این property ها است که میگویم WMI در عمق کار میکند.

این property ها یا داده های میتواند مشخصات نرم افزاری یا سخت افزاری سیستم کلاینتها یا مقصد،برخی از تنظیماتی که ممکن است در سیستم کلاینتها اعمال شده باشد و ساختار اطلاعات یا configuration information باشد . اجازه بدید یکم جزئی تر صحبت کنم: این مشخصات سخت افزاری می تواند شامل CPU سیستم مقصد ،memory ، disk space and manufacture باشد و مشخصات نرم افزاری میتواند شامل ساختار داده ها در ریجیستری،درایورها ، فایل سیستم ، اکتیودایرکتوری ، Windows Installer service, networking configuration، application dataو حتی سیستم عامل سیستم های مقصد باشد.
مثلا شما ممکن است یک query ایجاد کنید و در این query تعیین کنید که مثلا این پالسی ها به سیستم هایی اعمال شود که دارای سیستم عامل ویندوز XP ، فایل سیستم FAT32 ،دارای CPU دو هسته ای میباشند.خوب به جای این علامت های ویرگول یا کاما متناسب با نیاز شما AND و OR می نشیند.در صورتی که در سیستم کلاینت این مشخصات وجود داشت ،True باز گردانده میشود و پالسی ها اعمال میشود،در غیر اینصورت با برگرداندن False تغییری در سیستم کلاینت به وجود نخواهد آمد.
فراموش نکنید که برای apply کردن WMI filters به GPO شما باید این filter را به GPO ها در تب scope لینک کنید.هر GPO تنها میتواند یک WMI filter داشته باشد اما یک WMI filter میتواند متعلق به چندین GPO باشدکلاینتهایی که WMI filters را ساپورت میکنند باید دارای ویندوز XP و سرور 2003 به بعد باشند.کلاینتهای ویندوز 2000 WMI را ignore میکنند.WMI filters در دامینهایی قابل دسترس است که حداقل یک دامین کنترلر ویندوز سرور 2003 داشته باشند،در دامینهای ویندوز 2000 اصلا WMI filters در GPMC وجود ندارد. در نهایت این هم یک application به نام WMI Code Creator v1.0 است که برای ایجاد کدهای WMI توسط خود سایت مایکروسافت ارائه شده است.

نتیجه گیری

Security filtering و WMI filters برای اعمال و تعریف محدوده یا scope پالسی ها در دامین مورد استفاده قرار میگیرند .در security filtering ،پس از تعریف GPO و لینک دادن آن به OU، دامین ،سایت یا container مورد نظر،تنها میتوان گروهها ،کاربران و کامپیوترهایی را که میخواهیم این پالسی ها به آنها اعمال شوند را تعریف میکنیم.اما در WMI filters،یا استفاده از WQL که یک زبان query نویسی است ، بر اساس مجموعه ای از query ها ،پالسی ها در سیستم های مقصد به کلاینتهایی اعمال میشود که دارای property هایی باشند که در query مورد نظر ما تعریف شده است.

موفق،پیروز و سربلند باشید :)


فاطمه قرباوی
فاطمه قرباوی

کارشناس شبکه و مجازی سازی

کارشناس شبکه و مدیریت شبکه های مایکروسافتی ، دارای مدارک MCITP ، CCNA و VCP و علاقمند به مجازی سازی و توسعه شبکه های مجازی مبتنی بر VMware می باشم .

نظرات