در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

تفاوت Security Filtering و WMI Filters در Group Policy

در این مقاله تصمیم دارم در مورد Security filtering و WMI filters و همچنین به بررسی تفاوت آنها با یکدیگر صحبت کنم.همه ی دوستان عزیز که با اکتیودایرکتوری و دامین کنترلر آشنایی دارند ، به خوبی میدانند که در کنسول GPM یا GPMC که با دستور gpmc.msc در run اجرا میشود،یکی از گره های زیر مجموعه یا با لفظ فنی Node های زیر مجموعه هر دامین کنترلر WMI filters می باشد.

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


همچنین دوستان عزیز با پنجره ی زیر برای اعمال و مشاهده تنظیمات و پالسی هایی که در دامین اعمال کرده اند نیز بسیار درگیر بوده اند و به خوبی میدانند که در این پنجره نیز دو گزینه ی Security Filtering و WMI filters وجود دارد.

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


خوب حال به صورت کلی میدانیم با توجه به اینکه هر دوی اینها در تب scope وجود دارند،قاعدتا پس در هر دو دامنه ی مربوط به پالسی هایی که میخواهیم اعمال کنیم تعریف میشود.خوب ممکن است با خود بگویید که مایکروسافته دیگه !! یه قابلیت رو ممکنه چندین جا ،با عناوین متفاوت یا از چندین طریق تعریف کند !! درست است که مایکروسافت در بسیاری موارد از این کارها انجام میدهد اما اینجا بدین صورت نیست و بین این دو مفهوم تفاوتهایی وجود دارد.البته به صورت کلی هر دوی اینها مربوط به دامنه ی ما در اعمال پالسی ها می شود اما در سطوح متفاوت ... خوب بهتر است زیاد مقدمه چینی نکنم و به سراغ اصل مطلب بروم.

Security Filtering


در Security Filtering شما میتوانید تنها کلیه کاربران،کامپیوترها و گروههایی را که قصد دارید پالسی های مربوط به default domain controller یا هر GPO ایی دیگری که درست میکنید را دریافت کنند در این قسمت تعریف میکنید.زمانی که میخواهید یک GPO به کاربران یا کامپیوترها اعمال شود،آن کاربر یا کامپیوتر حتما باید دارای دسترسی Read و Apply Group Policy که اختصارا به آن AGP هم میگویند باشند.برای اعمال این دسترسی های به کاربران باید به تب delegation و گزینه ی Advanced مراجعه کنید.

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


به صورت پیش فرض در همه ی GPO هایی که درست میشود این دو دسترسی برای Authenticated users فعال یا Allow میباشد.Authenticated users شامل کلیه user ها و computer ها ( و همچنین کلیه ی آبجکت های دامین ) میشود.به همین دلیل است که همه ی کاربران Authenticated user تنظیمات مربوط به یک GPO را زمانی که به یک OU، سایت یا دامین اعمال میشود را دریافت میکنند.البته لازم به ذکر است که داشتن این دسترسی ها برای اعمال پالسی کافی نیست،فراموش نکنید که GPO تا زمانی که به OU ، site ، container ،domain یا child domain های دیگر لینک داده نشده است اعمال نمیشود ( همچنین نمی توانید GPO را به User ,Computer یا Group اعمال کنید ! )

دقت داشته باشید اگر در برخی موارد موفق به اعمال برخی پالسی ها نمی شوید ممکن است دسترسی های Read and AGP نیز Allow نباشد، یا مثلا در بعضی اوقات تنظیماتی که اعمال میکنید به همه ی user ها اعمال شده است،در این مورد هم بهتر است Authenticated users رو در Security filtering حذف کنید تا مشکلتان برطرف شود.در نهایت ممکن است GPO را به OU ، site ، container ،domain یا child domain لینک نکرده باشید که این خود یکی دیگر از دلایل اعمال نشدن پالسی ها میباشد.

در نهایت کافی است در تب scope ، در قسمت Security filtering نام کاربران،کامپیوترها و گروههایی که میخواهید پالسی های مربوط به آن OU ، Domain ، Site یا Container را بگیرند تعریف و عنوان کنید.اما در WMI filters ، این مسئله ی filtering کمی عمقی تر مورد بررسی قرار میگیرد.

WMI filters


WMI filters که مخفف Windows Management Instrumentation (WMI) filters می باشد ، این امکان را در اختیار شما قرار میدهد که با جزئیات بیشتری بتوانید پالسی ها را اعمال کنید.خوب اینکه نحوه ی کارکرد WMI به چه صورت است:

اولا WMI براساس ساختار True and False کار میکند.خوب این یعنی چه؟ این یعنی اینکه در WMI مجموعه query های داده هایی تعریف میشود .این query ها ترکیبی از عملگرهای منطقی And & OR می باشند. شما در کنسول زیر این query ها را که مجموعه کدهایی میباشند را وارد میکنید:

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


با راست کلیک در تب contents در قسمت سفید رنگ:

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


انتخاب گزینه ی New:

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


و سپس انتخاب گزینه ی Add :

معرفی Security Filtering و WMI Filters در GP و بررسی تفاوت های آنها


خوب در اینجا میتوانید کدهای خود را وارد کنید. گفتیم این query ها شامل مجموعه ای از property هایی هستند که به وسیله And و OR به یکدیگر متصل شده اند.زمانی که شما در تب Scope ( پایین security filtering ) این WMI هایی که ایجاد کرده اید را لینک میکنید،در سیستم های کلاینتها،هنگام لاگین،این WMI ها و پالسی ها توسط سرویس windows management instrumentation در ویندوزشان ( که در کل عمل data gathering را انجام میدهد ) بررسی میشود.در صورتی که کلیه ی property ها با سیستم کلاینت مطابقت داشت و یا به عبارتی در نتیجه True را داشتیم ،پالسی ها در سیستم کلاینت اعمال خواهد شد،اما در صورتی که با False مواجه شد،پالسی ها اعمال نخواهد شد.

حال اینکه چه property هایی را میتوانیم در query ها در نظر بگیریم، درواقع به خاطر این property ها است که میگویم WMI در عمق کار میکند.این property ها یا داده های میتواند مشخصات نرم افزاری یا سخت افزاری سیستم کلاینتها یا مقصد،برخی از تنظیماتی که ممکن است در سیستم کلاینتها اعمال شده باشد و ساختار اطلاعات یا configuration information باشد . اجازه بدید یکم جزئی تر صحبت کنم: این مشخصات سخت افزاری می تواند شامل CPU سیستم مقصد ،memory ، disk space and manufacture باشد و مشخصات نرم افزاری میتواند شامل ساختار داده ها در ریجیستری،درایورها ، فایل سیستم ، اکتیودایرکتوری ، Windows Installer service, networking configuration، application dataو حتی سیستم عامل سیستم های مقصد باشد.

مثلا شما ممکن است یک query ایجاد کنید و در این query تعیین کنید که مثلا این پالسی ها به سیستم هایی اعمال شود که دارای سیستم عامل ویندوز XP ، فایل سیستم FAT32 ،دارای CPU دو هسته ای میباشند.خوب به جای این علامت های ویرگول یا کاما متناسب با نیاز شما AND و OR می نشیند.در صورتی که در سیستم کلاینت این مشخصات وجود داشت ،True باز گردانده میشود و پالسی ها اعمال میشود،در غیر اینصورت با برگرداندن False تغییری در سیستم کلاینت به وجود نخواهد آمد.

فراموش نکنید که برای apply کردن WMI filters به GPO شما باید این filter را به GPO ها در تب scope لینک کنید.هر GPO تنها میتواند یک WMI filter داشته باشد اما یک WMI filter میتواند متعلق به چندین GPO باشدکلاینتهایی که WMI filters را ساپورت میکنند باید دارای ویندوز XP و سرور 2003 به بعد باشند.کلاینتهای ویندوز 2000 WMI را ignore میکنند.WMI filters در دامینهایی قابل دسترس است که حداقل یک دامین کنترلر ویندوز سرور 2003 داشته باشند،در دامینهای ویندوز 2000 اصلا WMI filters در GPMC وجود ندارد.

در نهایت این هم یک application به نام WMI Code Creator v1.0 است که برای ایجاد کدهای WMI توسط خود سایت مایکروسافت ارائه شده است.

نتیجه گیری


Security filtering و WMI filters برای اعمال و تعریف محدوده یا scope پالسی ها در دامین مورد استفاده قرار میگیرند .در security filtering ،پس از تعریف GPO و لینک دادن آن به OU، دامین ،سایت یا container مورد نظر،تنها میتوان گروهها ،کاربران و کامپیوترهایی را که میخواهیم این پالسی ها به آنها اعمال شوند را تعریف میکنیم.اما در WMI filters،یا استفاده از WQL که یک زبان query نویسی است ، بر اساس مجموعه ای از query ها ،پالسی ها در سیستم های مقصد به کلاینتهایی اعمال میشود که دارای property هایی باشند که در query مورد نظر ما تعریف شده است.


موفق،پیروز و سربلند باشید :)

نویسنده : فاطمه قرباوی
منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد.
#ساختار_query_گرفتن_با_wmi_filtering #استفاده_از_wmi_برای_query_سیستم_ها #اعمال_نشده_Group_Policy #تفاوت_WMI_filters_با_Security_filtering #اجزا_Group_Policy #استفاده_از_wmi_filtering_در_group_policy
6 نظر
محمد نصیری

خیلی ساده و خوب توضیح دادین ممنونم ، فقط در تکمیل صحبت های شما که گفتین WMI به سرویس Windows Management Instrumentation وابستگی داره پس توجه کنید که برای اعمال شدن این Filtering این سرویس در کلاینت های شما بایستی در حالت Started باشه وگرنه به شما پاسخی در خصوص query ها نمیده ف در رفع اشکال بسیار میتونه مفید باشه ، شما نیازی نیست که تک تک سیستم ها رو برای بررسی فعال بودن این سروریس چک کنید فقط کافیه قبل از اعمال WMI Filtering از طریق GPO سرویس Windows Management Instrumentation رو Start کنید که خیالتون از بابت اعمال GPO راحت باشه ، موفق باشید.

sino65

سلام

میشه در مورد WMI filters یک مثال عملی بزنید

محمد نصیری

مثال عملیش این هست که شما در شبکه ای میخاین یک Policy صرفا به کامپیوترهایی اعمال بشه که فضای درایو C اونها 10 گیگا بایت هست ، در اینجا باید از طریق گرفتن اطلاعات هارد دیسک و فضای مورد استفاده اون توسط سیستم این تعیین رو انجام بدین که WMI این کار رو برای شما انجام میده و Policy شما صرفا بر روی این نوع کامپیوترها اعمال میشه.

Mehran Eshghi

سلام به همه دوستان

من این Query ها رو با پاورشل به راحتی میتونم بنویسم و تو محیط پاورشل هم بدرستی و راحتی جواب میده. اما به زبان دیگه متاسفانه نمیتونم.میشه یک منبع ساده که از پایه مفید و مختصر توضیح داده باشه معرفی کنید.

ممنون

Mehran Eshghi

سلام

من میخوام یک پالسی ساده به کاربرها اعمال بشه.20 تا گروه تو شبکه دارم که اعضای همه این گروهها شامل کاربران دفاتر سازمان هستند.میخواستم این پالسی به دوتا از دفاتر اعمال نشه.بیام Autheticated User رو تیک شو بردارم و اون 18 گروهی که میخوام این پالسی به هشون اضافه بشه رو یکی یکی در قسمت Security Filtering اضافه کنم.مشکل حله اینجوری؟این کار توصیه میشه؟شاید در هر گروه من 70تا کاربر داشته باشم.به نظر خودم باید راه دیگه ای وجود داشته باشه

ممنون

mehrpaad

من برای بستن usb ها گروهی از یوزر ها را اضافه کردم ولی متاسفانه متوجه شدم بستن storage روی کامپیوتر اکانت ها اثر گذار هست.

سوالم اینه اگر از گروه کامپیوتر اکانتها یکیو حذف کنم پالیسیه لینک شده برای اون یدونه کامپیوتر به حالت اول خودش بر می گرده؟ 

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....