Group Policy (قسمت1)

مقدمه و معرفی

Group Policy مجموعه ای از تنظیمات پیکره بندی مرتبط با User و یا Computer  می باشد  که تعریف نحوه عملکرد برنامه ها , منابع شبکه و سیستم عامل درارتباط با User و یا Computer است . Group Policy می تواند بر روی Site  , Domain و Organizational Unit اعمال شود . البته موارد مذکور جزو تعاریف محیط Active Directory هستند که در این مقاله بررسی نخواهند شد . در نهایت تنظیمات اعمال شده بر موارد فوق روی User ها و یا Computer ها تاثیر می گذارند .

 در همین رابطه تعریف دیگری نیز وجود دارد که تفاوت بین Group Plicy های اعمال شده را نشان می دهد :

Local GPO : تنظیمات اعمال شده بر روی User/Computer در حالت Local است . این تنظیمات  بایستی روی کامپیوتر توسط کاربر یا Administrator ایجاد شود و نهایتا بر روی همان کامپیوتر پیاده می شود .

Non-Local GPO : در مقابل تعریف فوق حالتی وجود دارد که در محیط شبکه ( بطور خاص محیط   Active Directory ) توسط ناظر شبکه تنظیماتی ایجاد می شود که در هنگام  ورود کاربران به شبکه این تنظیمات بر روی User و یا Computer آنها اعمال می شود .

این تنظیمات توسط یک شخص ( ناظر شبکه ) صورت گرفته و بطور کلی بر تمام کاربرانی که وارد محیط شبکه می شوند اعمال خواهد شد .

همانطور هم که قبلا اشاره کردیم Group Policy های تنظیم شده در این مرحله بایستی به یکی از موارد Site  یا Domain و یا OU متصل شوند .

 نکته : دقت کنید که تنظیمات Group Policy تنها بر روی سیستم عامل های Windows XP Professional – Windows 2000 و Windows Server 2003 اعمال می شوند و بر روی ویندوز های قدیمی نظیر خانواده 9X و یا Millennium پیاده سازی نخواهند شد .

Group Policy Object Editor

 کنسول Group Policy Object Editor رابطی است که به کمک آن می توانیم تنظیمات دلخواه خود را در Group Policy مشخص کنیم .

این کنسول با تاپیپ دستور زیر در قسمت Run باز می شود : 

Gpedit.msc

 

همانطور که در شکل ملاحظه می کنید این کنسول متعلق به سیستم Local می باشد .

روش دیگر برای باز کردن کنسول مربوط به Group Policy به طریق زیر است :

1. در قسمت Run عبارت mmc را تایپ کرده و Enter کنید .
2. در کنسول باز شده و از منوی فایل گزینه Add/Remove Snap In را انتخاب کنید .
3. مجددا کلید Add را بزنید .
4. در صفحه کوچکی که در سمت راست باز می شود عبارت Group Policy Object Editor را پیدا کرده و یکبار روی آن کلیک کنید و سپس Add  را بزنید . این کار باعث می شود تا صفحه جدیدی باز شده و از شما در مورد کامپیوتری که می خواهید Policy آن را ویرایش کنید سوال می کند .
5. با کلید Browse می توانید در مورد انتخاب کامپیوتر های دیگر تصمیم گیری کنید .
6. در اینجا کامپیوتر Local را انتخاب کرده و OK کنید .
7. صفحه انتخاب کنسول را   Close کرده و نهایتا در بخش بعدی OK کنید تا کنسول برای شما به نمایش در آید .

دقت کنید که می توانید این کنسول را با نام دلخواه ذخیره کنید و در مراحل بعدی از آن برای تمرین استفاده کنید .

بررسی Group Policy Object Editor

همانطور که در شکل شماره 1 ملاحظه کردید در کنسول Group Policy Object Editor دو بخش اصلی مشخص هستند :

Computer Configuration

 

User Configuration

همانطور که از نامشان پیداست تنظیمات هر یک مختص User و یا Computer است . به دو نکته زیر دقت کنید :

User Configuration تنظیماتی است که بر روی User ها اعمال می شود بدون توجه به اینکه یوزر با چه کامپیوتری به شبکه Log On کرده است .

Computer Configuration تنظیماتی است که بر روی Computer اعمال می شود بدون توجه به اینکه چه یوزری از طریق آن به شبکه Log On کرده است .

اگر دقت کنید متوجه خواهید شد که تعدادی از تنظیمات هم در بخش User و هم در بخش Computer دیده می شود . شکل تعریف تنظیمات یکسان است منتها اعمال آنها برای روی User/Computer کمی تفاوت ایجاد می کند . از جمله تنظیمات مشترک می توان موارد زیر را نام برد :

Software Settings

Windows Settings

Scripts

Security Settings

و ..

دقت کنید که در حالتی که Group Policy را در محیط Domain مشاهده می کنید تنظیمات متفاوت و یا بیشتری را نیز خواهید یافت . در اینجا بررسی ما تنها برروی Local خلاصه شده است . در شماره های بعدی مقاله به بررسی مطالبی می پردازیم که اساس عملکرد آنها برای روی محیط Domain خواهد بود .

معرفی بخش های Group Policy

در این بخش از مقاله به معرفی و تشریح موارد اصلی و بدنه Group Policy می پردازیم . بررسی جزئیات و تنظیمات بر را بر عهده شما می گذاریم . از جمله موارد مهمی که در User/Computer Node دیده می شود Security Settings است . این بخش را می توانید تحت شاخه Windows Settings ببینید .

 شاخه Security settings در گروه Computer Settings

Account Policies

این شاخه خود شامل دو زیر شاخه دیگر با نام های Password Policy  و Account Lockout Policy است که به ترتیب بررسی خواهیم کرد :

Password Policy

تنظیمات این بخش همانطور که از نامش پیداست بر روی کلمه عبور سیستم تاثیر می گذارد . در این بخش می توانید موارد زیر را تنظیم کنید :

• تعداد کلمات عبوری که سیستم به خاطر می سپارد تا به کلمه عبور اول برگردد
• حداکثر و حداقل عمر کلمه عبور
• حداقل طول کلمه عبور
• پیچیدگی در کلمه عبور  

آخرین مورد را بدلیل اینکه برای کابر معمولی اهمیت چندانی نخواهد داشت نادیده میگیریم.

 Account Lockout Policy

تنظیمات این بخش برای کنترل و مدیریت قفل شدن اکانت کاربری پس از زدن تعداد خاصی کلمه عبور اشتباه است . به مورد 1 و 3 دقت کنید ! و اگر تونستید رابطه آنها را بیابید .

Local Policies

این شاخه نیز خود به 3 زیر شاخه مهم تقسیم می گردد که به ترتیب بررسی می کنیم :

 Audit Policy

 Audit در لغت به معنای بازرسی می باشد . اما اینجا به نوعی بررسی عملکرد یک پروسه محسوب میشود . حال چه این پروسه موفقیت آمیز انجام شده باشد چه اینکه دچار خطا یا مشکل شده باشد .

در این بخش می توانید تنظیمات زیر را کنترل کنید :

• ورود اکانت های کابری به محیط Domain و یا Local  - سعی کنید تنظیم مربطو به Domain  و Local را بیابید !
• کنترل دسترسی به Object ها : مانند فایل ها ، فولدر ها و غیره . البته Audit Object برای فعال سازی دو مرحله دارد که مورد دیگر آن فعال کرده Audit بر روی خود Object است
• کنترل رخداد های سیستم و تغییرات Policy
   

User Rights Assignment

تعدادی تنظیمات متنوع برای تعریف حقوق کاربران – بهتر است این تنظیمات را بررسی کنید و در صورتیکه به مشکل خوردید در تاپیک مختص این مقاله مطرح کنید .

Security Options

این بخش هم تنظیمات امنیتی فوق العاده ای ارایه می دهد . توصیه می کنم حتما این بخش را به دقت مطالعه کنید . از جمله موراد مهمی که می توان اشاره کرد :

• وضعیت اکانت Administrator  و تغییر نام آن
• وضعیت اکانت Guest و تغییر نام  آن
• محدود سازی دسترسی به CD-Rom
• محدودیت های خاص در دسترسی به شبکه 

و بسیاری دیگر .

Public Key Policies

در صورتیکه مقاله نحوه پیاده سازی Recovery Agent را مطالعه کرده باشید تا حدودی با نحوه کار این بخش آشنا هستید . در گام اول این آشنایی کافی است . به ترتیب پس از بررسی بخش دیگر Group Policy از این بخش هم بیشتر خواهید دانست .

Software Restriction Policies

در این مقاله این بخش را Skip می کنیم تا در شماره بعدی بطور کامل به آن بپردازیم . این بخش یکی از مواردی است که هم برای کاربران Local و هم تحت شبکه بسیار پر کاربرد است . بخش دوم مقاله را از دست ندهید !

IP Security Policies

IPSec هم از جمله مواردی است که ناچارا در این مقاله نادیده می گیریم . چراکه گستردگی و اهمیت آن به حدی است که مقاله ای جداگانه می طلبد .

بررسی اجمالی و خلاصه آن قطعا مفید نخواهد بود .

Administrative Templates

همانطور که ملاحظه میکنید در هر دو بخش User/Computer Configuration قسمتی با نام Administrative Templates می بینید که حاوی تنظیمات مبتنی بر رجیستری می باشد . در مجموع این دو بخش می توانید حدود 550 تنظیم متفاوت را برای کنترل کاربر و یا کامپیوتر در اختیار داشته باشید . همانطور که اشاره شد این تنظمیات Registry Based هستند و محل ذخیره آنها در رجیستری به شکل زیر است :

HKEY_LOCAL_MACHINESoftwarePolicies - Computer Settings

HKEY_CURRENT_USERSoftwarePolicies - User Settings

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies - Computer Settings

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies - User Settings

در بخش Administrative Templates می توانید زیر مجموعه های Windows Components – Network – System  که مشترک بین User/Computer هست را ببینید . هر کدام از بخش های فوق تنظیمات فراوانی را در اختیار شما قرار می هد و فقط کافی است تا نگاهی بر آنها داشته باشید تا بتوانید به عملکرد آنها پی ببرید .

دقت کنید که در Group Policy برای هر تنظیمی راهنمای بسیار خوبی هم گنجانده شده است . این راهنما به 3 طریق در اختیار شما قرار می گیرد :

1. حالت Extended در کنسول Group Policy
2. Explain Tab هنگامی که از تنظیمی Properties می گیرید
3. کلیک راست و انتخاب گزینه Help 

در شکل زیر می توانید این سه مورد را ببینید :

Administrative Templates در واقع فایل های متنی هستند که در Group Policy بکار گرفته شده اند . این فایل ها با پسوند adm در ویندوز سرور 2003 و XP دیده می شوند . در مورد Administrative Templates بهتر است نکات زیر را بدانید :

اول اینکه بخش Administrative Templates در Group Policy تنها بخشی است که می توان آن را با اضافه کردن Template های دیگر ویرایش و اصلاح کرد . فایل های adm را می توانید از سایت مایکروسافت بر اساس ویندوز مد نظرتان دریافت کنید . البته در انتهای بحث لینک این فایل ها را نیز معرفی خواهیم کرد .

مورد بعدی اینکه اصولا Administrative Templates به سه نوع زیر تقسیم می شود :

Default که بصورت پیش فرض در Group Policy وجود دارد .

Vendor Supplied مواردی که سازنده آنها را ارایه می دهد . مانند همین فایل های adm که می توانید از سایت مایکروسافت دریافت کنید .

Custom که بر اساس زبان .adm نوشته و مورد استفاده قرار می گیرند .

می توانید با جستجوی عبارت  adm Language Reference در Microsoft Technet جزئیات بیشتر و راهنمای مناسبتری را بیابید .

Scripts

بخش Scrips هم مانند چند مثال قبل هم در User و هم در  Computer دیده می شود . بااین تفاوت که نام و نحوه عملکرد آن در حالت User و Computer تفاوت خواهد داشت . در تنظیمات Computer Settings این Script ها را با توضیح Startup/Shutdown می بینید . مشخص است که این Script ها در زمان Startup و  Shutdown سیستم بدون توجه به کاربر جاری اجرا خواهند شد. در تنظیمات User Settings این Script ها را با توضیح Logon/Logoff ملاحظه می کنید . این Script ها در لحظه Logon و Logoff کاربر اجرا میشوند و جدای از کامپیوتر خواهند  بود .

در بخش بعدی با توضیح نحوه اعمال Policy ها دید بهتری نسبت به این Script ها و نحوه اجرا شدنشان بدست خواهید آورد .

نحوه اعمال Policy - بررسی چند دستور مفید

برای بررسی اینکه تنظیمات Group Policy چگونه تاثیر می گذارد پروسه ورود به ویندوز سرور 2003 را در نظر بگیرید .

دقت اینکه در این پروسه اعمال Policy های شبکه را در نظر نمی گیریم . چرا که همانطور که در طول مقاله اشاره کردیم Group Policy می تواند از طریق محیط Active Directory نیز بر User/Computer اعمال گردد .

1. در گام اول تنظیمات مربوط به کامپیوتر پردازش می شوند . تا انتهای این مرحله واسط ارتباطی با یوزر دیده نمی شود
2. در گام دوم Startup Scripts اجرا می شوند . هر Script بایستی کامل اجرا گردد تا نوبت به اجرای مورد بعدی برسد
3. در این هنگام واسط ارتباط با کاربر فعال شده و پس از زدن کلید Ctrl+Alt+Del کاربر خاصی وارد می شود
4. بعد از اینکه یوزر شناسایی شد آنگاه تنظیمات مربوط به یوزر اعمال می شود
5. در گام آخر Logon Scripts اجرا خواهند شد

باز هم اشاره می کنیم که این پروسه بدون در نظر گرفتن محیط شبکه بررسی شده و هنگامی که محیط بررسی Active Directory باشد آنگاه بایستی در مورد Policy های Link شده به Site , Domain , OU نیز اظهار نظر کرد .

GPResult

این دستور در محیط CMD اجرا می شود و بطور کلی ( اگر بدون سوئیچ بکار رود ) به بررسی Policy های Apply شده بر روی سیستم پرداخته و در انتها گزارشی را ارایه می دهد . از جمله سوئیچ های مهم این دستور عبارتند از :

• S/  که می توان به سیستم دیگری متصل شده و Policy های اعمال شده آن را بررسی کرد
• U/ بررسی Policy های یوزر خاص
• P/ ارایه کلمه عبور برای یوزر خاص

راهنمای استفاده از gpresult

GPUpdate

این دستور نیز در محیط CMD و برای Refresh و نو سازی Policy های اعمال شده بکار می رود . در این دستور می توانید سوئیچ های مهمی را ببینید که میتوانند کار های متفاوتی را انجام دهند . بررسی سوئیچ ها بر عهده شما می گذاریم .

 راهنمای استفاده از gpupdate

Resultant Set Of Policy - RSOP

این وسیله جدید در ویندوز سرور 2003 اجازه می دهد تا به بررسی و کنترل دقیق Group Policy پرداخته و ایرادهای آن را نیز مرتفع سازید .

بدلیل اینکه این وسیله در ویندوز سرور 2003 بررسی شده و از حوزه این مقاله خارج است لذا تنها به نحوه فعال سازی آن اشاره می کنیم . در صورتیکه تمایل داشتید حزئیات بیشتری بدانید با ارایه سوال خود در تاپیک مربوط به این مقاله مطلب را به بحث و بررسی بگذارید . حتما شما را همراهی خواهیم کرد . بیاد بیاورید مراحلی را که برای ایجاد کنسول Group Policy Editor در mmc طی کردید . همان مراحل را مجددا طی کنید اما این بار در پنجره انتخاب Add Standalone Snap-in عبارت Resultant Set Of Policy را انتخاب کرده و OK کنید .

کنسول ایجاد شده را با اسم مورد نظرتان ذخیره کنید و سپس در Console Root بر روی Resultant Set Of Policy کلیک راست کرده و عبارت Generate RSOP Data را بزنید .

پس از اولین Next می بینید که تنها یکی از 2 مد کاری RSOP را در اختیار دارید ( البته در Windos XP ) . این مد ( Logging Mode ) به شما این اجازه را می دهد تا تنظیمات فعلی و اعمال شده بر روی سیستم خود یا سیستم Remote را باز بینی کنید . در واقع کاری شبیه GPResult را انجام میدهد .

پس از گذر از مرحله انتخاب مد با انتخاب کامپیوتر خود به مرحله بعدی بروید .

در اینجا می توانید کاربر مد نظر خود را انتخاب کنید . کاربر فعلی را تغییر ندهید و Next را بزنید .

در این صفحه پس از ارایه گزارشی از نحوه تنظیمات برنامه با زدن کلید Next بررسی شروع خواهد شد . پس از اتمام کار مشاهده می کنید که در کنسول Policy ها دقیقا مشابه ویراشگر Group Policy چیده می شوند . مواردی که در سیستم شما فعال یا غیر فعال هستند را می توانید در ستون های مقابل تنظیمات مشاهده کنید .

برای اینکه نتیجه بهتری از بررسی و باز بینی بوسیله RSOP داشته باشید بهتر است از قبل تعدادی Policy را بر روی سیستم خود تعریف کرده باشید تا در اینجا بتوانید نتیجه را ملاحظه کنید .

سخن پایانی

در بخش اول از مقاله معرفی Group Policy به بررسی اجمالی این کنسول مدیریتی پرداختیم و با معرفی بخش و زیر بخش های مختلف آن تا حدودی شما را با این ابزار قدرتمند آشنا ساختیم . در Group Policy شما می توانید چیزی بیش از 600 تنظیم متفاوت داشته باشید . لذا اصلا احتیاجی نیست با حفظ کردن مکان تنظیمات مختلف وقت خود را تلف کنید . تنها همین که بدانید تنظیم مورد نظر در کجا قرار گرفته با Review کوتاهی می توانید به نتیجه برسید .

بررسی چند ابزار مهم در ارتباط با Group Policy از دیگر بخش های این مطلب بود . کار با دستورات Command Based می تواند توانایی شما را در ارتباط با تفهیم بهتر مسایل بالا ببرد . لذا توصیه ما این است که بیشتر با این ابزار کار کنید .