محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

Loopback Processing چیست؟ بررسی مفهوم Loopback در گروپ پالیسی

در تنظیمات Group Policy در ویندوز سرور گزینه ای به نام Loopback Processing وجود دارد که بسیار مشاهده می شود مفهوم این مسئله به درستی بیان نمی شود. در حقیقت تنها راه اینکه به درستی مفهوم این موضوع درک شود استفاده از یک سناریو است. اکثر کارشناسان و حتی برخی از مدرسین زمانیکه نام Loopback Processing را می شنوند تنها چیزی که عنوان می کنند و اکثرا بدون تحقیق و کار عملی می باشد این است که بصورت پیشفرض Policy های User Configuration بر روی Computer Configuration در اصطلاح Override می کند یا اولویت دارد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. حالت Replace Mode
  2. حالت Merge Mode
مفهوم Loopback Processing در Group Policy

در صورتیکه این Policy را فعال کنید عکس این عمل صورت می گیرد و Policy های Computer Configuration بر روی User Configuration اولویت پیدا می کند ، در جاهایی از آن استفاده می کنیم که معمولا سرورها یا کامپیوترهای کیوسک یا لابراتوار وجود دارد و ما می خواهیم که یک کاربر زمانیکه وارد یکی از این سیستم ها می شود فارق از اینکه عضو کدام گروه مدیریتی است Policy های Computer ها به آن اعمال شود.

تا اینجا مشکلی نیست اما ابهام در اینجا پیش می آید که مگر Policy های Computer Configuration و User Configuration یکسان هستند که در صورت بروز تداخل در بین این دو برتری برای یکی قائل شویم ؟ با نگاه کرده به Policy های قسمت Computer Configuration و User Configuration در Group Policy متوجه می شوید که این دو نوع Policy تداخل چندانی با هم ندارند و Policy های متفاوتی دارند . اینجاست که درک مفهوم Loopback Processing کمی مبهم می شود.

همانطور که عنوان کردم بهترین راهکار برای درک موضوع Loopback Processing استفاده از یک سناریو است . فرض کنید در یک سازمان قرار دارید که ساختار اکتیودایرکتوری آن دارای دو عدد Organizational Unit به نام های ITPRO-Servers و ITPRO-Users می باشد.

  • ITPRO-Servers
  • ITPRO-Users

در Organizational Unit به نام ITPRO-Servers کامپیوترها یا Computer Account های ما قرار دارند و در Organizational Unit به نام ITPRO-Users کاربران یا User Account های ما قرار دارند. فرض کنید که برای ITPRO-Servers شما یک GPO درست کرده اید و آن را به این OU لینک کرده اید ، طبیعی است که تنظیمات زیر برای این OU وجود خواهد داشت :

  • Computer Configuration
  • User Configuration

برای ITPRO-Users هم به همین شکل یک GPO ایجاد کرده اید که به این OU لینک داده شده است و Policy های زیر هم طبیعی است که برای این OU نیز وجود خواهد داشت :

  • Computer Configuration
  • User Configuration

نکته مهم در اینجاست ، اگر کاربری که در ITPRO-Users قرار دارد وارد یکی از سرورهایی شود که در ITPRO-Servers قرار دارد آنوقت چه اتفاقی خواهد افتاد ؟ در اینجا در هنگام ورود کاربر 2 نوع Policy وجود دارد که می تواند اعمال شود که به ترتیب موارد زیر هستند :

  • Computer Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است
  • User Configuration مربوط به GPO ای که به ITPRO-Users لینک داده شده است.

بنابراین در این حالت کاربر مورد نظر ما در هر جایی که وارد این سرورها شود در نهایت تنظیمات مربوط به Policy های کاربری به او اعمال خواهد شد که در ITPRO-Users اعمال شده است و در هنگام ورود به سیستم این تنظیمات بر روی سایر تنظیمات User Configuration ای که وجود دارد اولویت خواهد داشت. این تنظیمات پیشفرض است. شما می خواهید که اگر کاربر مورد نظر شما بر روی سرورهای موجود در ITPRO-Servers وارد شد تنظیمات User Configuration ای به وی اعمال شود که در این OU قرار دارد. بنابراین اینجا همان لحظه ای است که به سراغ یک Policy به نام User Group Policy Loopback Processing Mode می رویم. زمانیکه شما این Policy را فعال می کنید می توانید دو امکان مختلف به نام های Replace و Merge را انتخاب کنید. در ادامه با توجه به سناریو موجود این دو مورد را توضیح خواهیم دارد.

حالت Replace Mode

زمانیکه شما User Group Policy Loopback Processing Mode را در حالت Replace Mode قرار می دهید و این Policy را به ITPRO-Servers لینک می کنید ، ببینید وضعیت اعمال شدن Policy ها به چه شکلی خواهد بود :

  • Computer Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است
  • User Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است .

توجه کنید که در این حالت هیچیک از Policy های مربوط به ITPRO-Users به کاربران اعمال نخواهد شد.

حالت Merge Mode

زمانیکه شما User Group Policy Loopback Processing Mode را در حالت Merge Mode قرار می دهید و این Policy را به ITPRO-Servers لینک می کنید ، ببینید وضعیت اعمال شدن Policy ها به چه شکلی خواهد بود :

  • Computer Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است
  • User Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است .
  • و User Configuration مربوط به GPO ای که به ITPRO-Users لینک داده شده است.

نکته در اینجاست که در صورتیکه در این میان تداخلی وجود داشته باشد Policy های ITPRO-Servers بر روی Policy های ITPRO-Users اولویت خواهند داشت و آنها اجرا می شوند. به دلیل اینکه GPO کامپیوترها زودتر از GPO کاربرها پردازش می شود اگر تداخلی باشد تنظیمات کامپیوترها اولویت پیدا خواهند کرد.

اما چرا این تنظیمات می تواند اینقدر مهم باشد ، این Policy را زمانی می توانید استفاده کنید که در شبکه دامین شما کاربرانی وجود دارند که پوشه های خودشان را توسط Group Policy به حالت Redirect در آورده اند اما شما نمی خواهید این Redirect شدن زمانی رخ دهید که کاربر با استفاده از Remote Desktop Services به سیستم ها وارد وی شود.

در این حالت شما این Policy را با استفاده از حالت Replace Mode بر روی GPO ای تنظیم می کنید که به OU ای اشاره می کند که Computer Account های مربوط به سرورهای Remote Desktop Services در آن قرار دارد. در این حالت زمانی که کاربر به این سرورها Remote وارد شود Redirect شدن فولدرها انجام نخواهد شد.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات