nino22

آشنایی با group policy در ویندوز

Recommended Posts

مقدمه و معرفي

Group Policy مجموعه اي از تنظيمات پيكره بندي مرتبط با User و يا Computer مي باشد كه تعريف نحوه عملكرد برنامه ها , منابع شبكه و سيستم عامل درارتباط با User و يا Computer است . Group Policy مي تواند بر روي Site , Domain و Organizational Unit اعمال شود . البته موارد مذكور جزو تعاريف محيط Active Directory هستند كه در اين مقاله بررسي نخواهند شد . در نهايت تنظيمات اعمال شده بر موارد فوق روي User ها و يا Computer ها تاثير مي گذارند .



در همين رابطه تعريف ديگري نيز وجود دارد كه تفاوت بين Group Plicy هاي اعمال شده را نشان مي دهد :



Local GPO : تنظيمات اعمال شده بر روي User/Computer در حالت Local است . اين تنظيمات بايستي روي كامپيوتر توسط كاربر يا Administrator ايجاد شود و نهايتا بر روي همان كامپيوتر پياده مي شود .



Non-Local GPO : در مقابل تعريف فوق حالتي وجود دارد كه در محيط شبكه ( بطور خاص محيط Active Directory ) توسط ناظر شبكه تنظيماتي ايجاد مي شود كه در هنگام ورود كاربران به شبكه اين تنظيمات بر روي User و يا Computer آنها اعمال مي شود .

اين تنظيمات توسط يك شخص ( ناظر شبكه ) صورت گرفته و بطور كلي بر تمام كاربراني كه وارد محيط شبكه مي شوند اعمال خواهد شد .

همانطور هم كه قبلا اشاره كرديم Group Policy هاي تنظيم شده در اين مرحله بايستي به يكي از موارد Site يا Domain و يا OU متصل شوند .



نكته : دقت كنيد كه تنظيمات Group Policy تنها بر روي سيستم عامل هاي Windows XP Professional – Windows 2000 و Windows Server 2003 اعمال مي شوند و بر روي ويندوز هاي قديمي نظير خانواده 9X و يا Millennium پياده سازي نخواهند شد .

Group Policy Object Editor



كنسول Group Policy Object Editor رابطي است كه به كمك آن مي توانيم تنظيمات دلخواه خود را در Group Policy مشخص كنيم .

اين كنسول با تاپيپ دستور زير در قسمت Run باز مي شود :

Gpedit.msc
[url=http://gabana.persiangig.com/image/GPO/1.JPG]photo1[/url]
همانطور كه در شكل ملاحظه مي كنيد اين كنسول متعلق به سيستم Local مي باشد .

روش ديگر براي باز كردن كنسول مربوط به Group Policy به طريق زير است :

1.
در قسمت Run عبارت mmc را تايپ كرده و Enter كنيد .
2.
در كنسول باز شده و از منوي فايل گزينه Add/Remove Snap In را انتخاب كنيد .
3.
مجددا كليد Add را بزنيد .
4.
در صفحه كوچكي كه در سمت راست باز مي شود عبارت Group Policy Object Editor را پيدا كرده و يكبار روي آن كليك كنيد و سپس Add را بزنيد . اين كار باعث مي شود تا صفحه جديدي باز شده و از شما در مورد كامپيوتري كه مي خواهيد Policy آن را ويرايش كنيد سوال مي كند .
5.
با كليد Browse مي توانيد در مورد انتخاب كامپيوتر هاي ديگر تصميم گيري كنيد .
6.
در اينجا كامپيوتر Local را انتخاب كرده و OK كنيد .
7.
صفحه انتخاب كنسول را Close كرده و نهايتا در بخش بعدي OK كنيد تا كنسول براي شما به نمايش در آيد .

دقت كنيد كه مي توانيد اين كنسول را با نام دلخواه ذخيره كنيد و در مراحل بعدي از آن براي تمرين استفاده كنيد .
بررسي Group Policy Object Editor

همانطور كه در شكل شماره 1 ملاحظه كرديد در كنسول Group Policy Object Editor دو بخش اصلي مشخص هستند :
[url=http://gabana.persiangig.com/image/GPO/2.JPG]photo2[/url]
همانطور كه از نامشان پيداست تنظيمات هر يك مختص User و يا Computer است . به دو نكته زير دقت كنيد :



User Configuration تنظيماتي است كه بر روي User ها اعمال مي شود بدون توجه به اينكه يوزر با چه كامپيوتري به شبكه Log On كرده است .



Computer Configuration تنظيماتي است كه بر روي Computer اعمال مي شود بدون توجه به اينكه چه يوزري از طريق آن به شبكه Log On كرده است .



اگر دقت كنيد متوجه خواهيد شد كه تعدادي از تنظيمات هم در بخش User و هم در بخش Computer ديده مي شود . شكل تعريف تنظيمات يكسان است منتها اعمال آنها براي روي User/Computer كمي تفاوت ايجاد مي كند . از جمله تنظيمات مشترك مي توان موارد زير را نام برد :



Software Settings

Windows Settings

Scripts

Security Settings

و ..



دقت كنيد كه در حالتي كه Group Policy را در محيط Domain مشاهده مي كنيد تنظيمات متفاوت و يا بيشتري را نيز خواهيد يافت . در اينجا بررسي ما تنها برروي Local خلاصه شده است . در شماره هاي بعدي مقاله به بررسي مطالبي مي پردازيم كه اساس عملكرد آنها براي روي محيط Domain خواهد بود .
معرفي بخش هاي Group Policy

در اين بخش از مقاله به معرفي و تشريح موارد اصلي و بدنه Group Policy مي پردازيم . بررسي جزئيات و تنظيمات بر را بر عهده شما مي گذاريم . از جمله موارد مهمي كه در User/Computer Node ديده مي شود Security Settings است . اين بخش را مي توانيد تحت شاخه Windows Settings ببينيد .
[url=http://gabana.persiangig.com/image/GPO/4.JPG]photo3[/url]


Account Policies

اين شاخه خود شامل دو زير شاخه ديگر با نام هاي Password Policy و Account Lockout Policy است كه به ترتيب بررسي خواهیم کرد :



Password Policy



تنظيمات اين بخش همانطور كه از نامش پيداست بر روي كلمه عبور سيستم تاثير مي گذارد . در اين بخش مي توانيد موارد زير را تنظيم كنيد :

* تعداد كلمات عبوري كه سيستم به خاطر مي سپارد تا به كلمه عبور اول برگردد
* حداكثر و حداقل عمر كلمه عبور
* حداقل طول كلمه عبور
* پيچيدگي در كلمه عبور

آخرين مورد را بدليل اينكه براي كابر معمولي اهميت چنداني نخواهد داشت ناديده ميگيريم.



Account Lockout Policy



تنظيمات اين بخش براي كنترل و مديريت قفل شدن اكانت كاربري پس از زدن تعداد خاصي كلمه عبور اشتباه است . به مورد 1 و 3 دقت كنيد ! و اگر تونستيد رابطه آنها را بيابيد .



Local Policies



اين شاخه نيز خود به 3 زير شاخه مهم تقسيم مي گردد كه به ترتيب بررسي مي كنيم :



Audit Policy



Audit در لغت به معناي بازرسي مي باشد . اما اينجا به نوعي بررسي عملكرد يك پروسه محسوب ميشود . حال چه اين پروسه موفقيت آميز انجام شده باشد چه اينكه دچار خطا يا مشكل شده باشد .

در اين بخش مي توانيد تنظيمات زير را كنترل كنيد :

*
ورود اكانت هاي كابري به محيط Domain و يا Local - سعي كنيد تنظيم مربطو به Domain و Local را بيابيد !
*
كنترل دسترسي به Object ها : مانند فايل ها ، فولدر ها و غيره . البته Audit Object براي فعال سازي دو مرحله دارد كه مورد ديگر آن فعال كرده Audit بر روي خود Object است
*
كنترل رخداد هاي سيستم و تغييرات Policy


User Rights Assignment



تعدادي تنظيمات متنوع براي تعريف حقوق كاربران – بهتر است اين تنظيمات را بررسي كنيد و در صورتيكه به مشكل خورديد در تاپيك مختص اين مقاله مطرح كنيد .



Security Options



اين بخش هم تنظيمات امنيتي فوق العاده اي ارايه مي دهد . توصيه مي كنم حتما اين بخش را به دقت مطالعه كنيد . از جمله موراد مهمي كه مي توان اشاره كرد :

* وضعيت اكانت Administrator و تغيير نام آن
* وضعيت اكانت Guest و تغيير نام آن
* محدود سازي دسترسي به CD-Rom
* محدوديت هاي خاص در دسترسي به شبكه

و بسياري ديگر .



Public Key Policies



در صورتيكه مقاله نحوه پياده سازي Recovery Agent را مطالعه كرده باشيد تا حدودي با نحوه كار اين بخش آشنا هستيد . در گام اول اين آشنايي كافي است . به ترتيب پس از بررسي بخش ديگر Group Policy از اين بخش هم بيشتر خواهيد دانست .



Software Restriction Policies



در اين مقاله اين بخش را Skip مي كنيم تا در شماره بعدي بطور كامل به آن بپردازيم . اين بخش يكي از مواردي است كه هم براي كاربران Local و هم تحت شبكه بسيار پر كاربرد است . بخش دوم مقاله را از دست ندهيد !



IP Security Policies



IPSec هم از جمله مواردي است كه ناچارا در اين مقاله ناديده مي گيريم . چراكه گستردگي و اهميت آن به حدي است كه مقاله اي جداگانه مي طلبد .

بررسي اجمالي و خلاصه آن قطعا مفيد نخواهد بود .



Administrative Templates



همانطور كه ملاحظه ميكنيد در هر دو بخش User/Computer Configuration قسمتي با نام Administrative Templates مي بينيد كه حاوي تنظيمات مبتني بر رجيستري مي باشد . در مجموع اين دو بخش مي توانيد حدود 550 تنظيم متفاوت را براي كنترل كاربر و يا كامپيوتر در اختيار داشته باشيد . همانطور كه اشاره شد اين تنظميات Registry Based هستند و محل ذخيره آنها در رجيستري به شكل زير است :



HKEY_LOCAL_MACHINESoftwarePolicies - Computer Settings



HKEY_CURRENT_USERSoftwarePolicies - User Settings



HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies - Computer Settings



HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies - User Settings



در بخش Administrative Templates مي توانيد زير مجموعه هاي Windows Components – Network – System كه مشترك بين User/Computer هست را ببينيد . هر كدام از بخش هاي فوق تنظيمات فراواني را در اختيار شما قرار مي هد و فقط كافي است تا نگاهي بر آنها داشته باشيد تا بتوانيد به عملكرد آنها پي ببريد .



دقت كنيد كه در Group Policy براي هر تنظيمي راهنماي بسيار خوبي هم گنجانده شده است . اين راهنما به 3 طريق در اختيار شما قرار مي گيرد :

1. حالت Extended در كنسول Group Policy
2. Explain Tab هنگامي كه از تنظيمي Properties مي گيريد
3. كليك راست و انتخاب گزينه Help

در شكل زير مي توانيد اين سه مورد را ببينيد :
[url=http://gabana.persiangig.com/image/GPO/5.JPG]photo4[/url]
Administrative Templates در واقع فايل هاي متني هستند كه در Group Policy بكار گرفته شده اند . اين فايل ها با پسوند adm در ويندوز سرور 2003 و XP ديده مي شوند . در مورد Administrative Templates بهتر است نكات زير را بدانيد :



اول اينكه بخش Administrative Templates در Group Policy تنها بخشي است كه مي توان آن را با اضافه كردن Template هاي ديگر ويرايش و اصلاح كرد . فايل هاي adm را مي توانيد از سايت مايكروسافت بر اساس ويندوز مد نظرتان دريافت كنيد . البته در انتهاي بحث لينك اين فايل ها را نيز معرفي خواهيم كرد .



مورد بعدي اينكه اصولا Administrative Templates به سه نوع زير تقسيم مي شود :



Default كه بصورت پيش فرض در Group Policy وجود دارد .



Vendor Supplied مواردي كه سازنده آنها را ارايه مي دهد . مانند همين فايل هاي adm كه مي توانيد از سايت مايكروسافت دريافت كنيد .



Custom كه بر اساس زبان .adm نوشته و مورد استفاده قرار مي گيرند .



مي توانيد با جستجوي عبارت adm Language Reference در Microsoft Technet جزئيات بيشتر و راهنماي مناسبتري را بيابيد .


Scripts

بخش Scrips هم مانند چند مثال قبل هم در User و هم در Computer ديده مي شود . بااين تفاوت كه نام و نحوه عملكرد آن در حالت User و Computer تفاوت خواهد داشت . در تنظيمات Computer Settings اين Script ها را با توضيح Startup/Shutdown مي بينيد . مشخص است كه اين Script ها در زمان Startup و Shutdown سيستم بدون توجه به كاربر جاري اجرا خواهند شد. در تنظيمات User Settings اين Script ها را با توضيح Logon/Logoff ملاحظه مي كنيد . اين Script ها در لحظه Logon و Logoff كاربر اجرا ميشوند و جداي از كامپيوتر خواهند بود .



در بخش بعدي با توضيح نحوه اعمال Policy ها ديد بهتري نسبت به اين Script ها و نحوه اجرا شدنشان بدست خواهيد آورد .
نحوه اعمال Policy - بررسي چند دستور مفيد

براي بررسي اينكه تنظيمات Group Policy چگونه تاثير مي گذارد پروسه ورود به ويندوز سرور 2003 را در نظر بگيريد .

دقت اينكه در اين پروسه اعمال Policy هاي شبكه را در نظر نمي گيريم . چرا كه همانطور كه در طول مقاله اشاره كرديم Group Policy مي تواند از طريق محيط Active Directory نيز بر User/Computer اعمال گردد .

1. در گام اول تنظيمات مربوط به كامپيوتر پردازش مي شوند . تا انتهاي اين مرحله واسط ارتباطي با يوزر ديده نمي شود
2. در گام دوم Startup Scripts اجرا مي شوند . هر Script بايستي كامل اجرا گردد تا نوبت به اجراي مورد بعدي برسد
3. در اين هنگام واسط ارتباط با كاربر فعال شده و پس از زدن كليد Ctrl+Alt+Del كاربر خاصي وارد مي شود
4. بعد از اينكه يوزر شناسايي شد آنگاه تنظيمات مربوط به يوزر اعمال مي شود
5. در گام آخر Logon Scripts اجرا خواهند شد

باز هم اشاره مي كنيم كه اين پروسه بدون در نظر گرفتن محيط شبكه بررسي شده و هنگامي كه محيط بررسي Active Directory باشد آنگاه بايستي در مورد Policy هاي Link شده به Site , Domain , OU نيز اظهار نظر كرد .




GPResult


اين دستور در محيط CMD اجرا مي شود و بطور كلي ( اگر بدون سوئيچ بكار رود ) به بررسي Policy هاي Apply شده بر روي سيستم پرداخته و در انتها گزارشي را ارايه مي دهد . از جمله سوئيچ هاي مهم اين دستور عبارتند از :

* S/ كه مي توان به سيستم ديگري متصل شده و Policy هاي اعمال شده آن را بررسي كرد
* U/ بررسي Policy هاي يوزر خاص
* P/ ارايه كلمه عبور براي يوزر خاص

راهنماي استفاده از gpresult

GPUpdate


اين دستور نيز در محيط CMD و براي Refresh و نو سازي Policy هاي اعمال شده بكار مي رود . در اين دستور مي توانيد سوئيچ هاي مهمي را ببينيد كه ميتوانند كار هاي متفاوتي را انجام دهند . بررسي سوئيچ ها بر عهده شما مي گذاريم .


راهنماي استفاده از gpupdate



Resultant Set Of Policy - RSOP


اين وسيله جديد در ويندوز سرور 2003 اجازه مي دهد تا به بررسي و كنترل دقيق Group Policy پرداخته و ايرادهاي آن را نيز مرتفع سازيد .



بدليل اينكه اين وسيله در ويندوز سرور 2003 بررسي شده و از حوزه اين مقاله خارج است لذا تنها به نحوه فعال سازي آن اشاره مي كنيم . در صورتيكه تمايل داشتيد حزئيات بيشتري بدانيد با ارايه سوال خود در تاپيك مربوط به اين مقاله مطلب را به بحث و بررسي بگذاريد . حتما شما را همراهي خواهيم كرد . بياد بياوريد مراحلي را كه براي ايجاد كنسول Group Policy Editor در mmc طي كرديد . همان مراحل را مجددا طي كنيد اما اين بار در پنجره انتخاب Add Standalone Snap-in عبارت Resultant Set Of Policy را انتخاب كرده و OK كنيد .



كنسول ايجاد شده را با اسم مورد نظرتان ذخيره كنيد و سپس در Console Root بر روي Resultant Set Of Policy كليك راست كرده و عبارت Generate RSOP Data را بزنيد
[url=http://gabana.persiangig.com/image/GPO/6.JPG]photo5[/url]
پس از اولين Next مي بينيد كه تنها يكي از 2 مد كاري RSOP را در اختيار داريد ( البته در Windos XP ) . اين مد ( Logging Mode ) به شما اين اجازه را مي دهد تا تنظيمات فعلي و اعمال شده بر روي سيستم خود يا سيستم Remote را باز بيني كنيد . در واقع كاري شبيه GPResult را انجام ميدهد .


پس از گذر از مرحله انتخاب مد با انتخاب كامپيوتر خود به مرحله بعدي برويد .


در اينجا مي توانيد كاربر مد نظر خود را انتخاب كنيد . كاربر فعلي را تغيير ندهيد و Next را بزنيد .


در اين صفحه پس از ارايه گزارشي از نحوه تنظيمات برنامه با زدن كليد Next بررسي شروع خواهد شد . پس از اتمام كار مشاهده مي كنيد كه در كنسول Policy ها دقيقا مشابه ويراشگر Group Policy چيده مي شوند . مواردي كه در سيستم شما فعال يا غير فعال هستند را مي توانيد در ستون هاي مقابل تنظيمات مشاهده كنيد .


براي اينكه نتيجه بهتري از بررسي و باز بيني بوسيله RSOP داشته باشيد بهتر است از قبل تعدادي Policy را بر روي سيستم خود تعريف كرده باشيد تا در اينجا بتوانيد نتيجه را ملاحظه كنيد .

منبع : سایت سخت افزار

نکته : به دلیل اینکه اکانت گالری ندارم عکس ها را به صورت لینک گذاشتم .از دوستانی که اکانت دارم خواهشمندم عکس را به گالری منتقل کرده تا این مقاله برای دوستان بیشتر مورد استفاده قرار گیرد.
با تشکر

به اشتراک گذاشتن این پست


لینک به پست
اشتراک در سایت های دیگر
مهمان
این موضوع نسبت به پاسخ بیشتر بسته شده است.