درس چهل و سوم : تعریف GPO

 

با لینک کردن پالیسی ها به سایت ها، دامین ها و OU ها شما می توانید به راحتی و سرعت بالا بر روی تعداد زیادی یوزر یا کامپیوتر تنظیمات یکنواختی را اعمال کنید. با استفاده از پالیسی به راحتی هر چه بیشتر می توانید بر موارد زیر تغییرات را ایجاد و مدیریت کنید.

  • Windows and app settings
  • Software deployment
  • Folder redirection
  • Security settings
  • Infrastructure settings 

 

مفاهیم Local Policy و Group Policy

     ابتدا باید به تفاوت بین Group Policy Managment و Local Group Policy Editor اشاره کرد:

 Group Policy Managment ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کلاینت ها را به صورت متمرکز مدیریت کنید. Group Policy Managment  می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود. برای ساختن یک تنظیم خاص باید یک  GPO ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy  نیز داشته باشد.

     Local group Policy Editor کنسولی است که  هر کامپیوتری دارد و پالیسی های تعیین شده در این کنسول فقط و فقط روی خود آن کامپیوتر اعمال میشود. در واقع معمولا زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد.

     روی کامپیوتری که دارای ویندوز سرور است، هر دو کنسول را از طریق MMC میتوان اجرا کرد. البته گروپ پالیسی را از طریق administrative tools نیز میشود اجرا کرد.

     در محیطهای Cmd و powershell هم دستوراتی برای اجرای این ابزارها وجود دارد:

  • دستور msc جهت اجرای Local Group Policy Editor
  • دستور msc برای اجرای Group Policy Management

  پالیسی های تعریف شده Group Policy Management (محیط دامین) در مسیر ذیل قابل مشاهده اند:

%systemroot%\sysvol\sysvol\domain name\polices

نکته: مشخص است که بجای عبارت Domain name ، نام دامین ما ITPerfection.local قرار خواهد داشت.

  پالیسی های تعریف شده در لوکال پالیسی نیز در مسیر ذیل قرار دارند:

Systemroot%\System32\GroupPolicyUsers

     به پالیسی هایی که توسط GPO ها در سطح اکتیودایرکتوری تعریف میشود، اصطلاح nonlocal policy اطلاق میشود.

      اساس کار Group Policy به اینگونه است که ابتدا یک GPO می سازیم و تنظیمات لازم و مدنظرمان را در آن ست می کنیم. اکنون باید این GPO را به یک آبجکت لینک کرد تا GPO در قلمروی آن آبجکت اعمال و اجرا شود. تمام مقاصد ممکن عبارتند از :

  • Site: جهت اعمال GPO به تمامی دامین های موجود در یک سایت فیزیکی
  • Domain: جهت اعمال به تمام دامین
  • OU: جهت اعمال به یکسری کامپیوتر یا سرور یا کاربر

     پس GPO ها را بر روی کانتاینرهای پیش ساخته اکتیودایرکتوری نظیر computers ، Users و Groups نمی توان لینک کرد.

     به صورت پیش فرض، با نصب اکتیودایرکتوری، دو Group Policy ساخته می شوند که عبارتند از:

  • Default Domain Policy : این سیاست روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.
  • Default Domain Controllers Policy : این سیاست روی تمام OU دامین کنترلرها اعمال می شود.

     در شکل زیر نمای کلی از کنسول Group Policy Management مشاهده میشود. مشخص است که ریشه کنسول، به فارست ( ITPerfection.local ) اشاره میکند. کشوهای Domain و Site به ترتیب دربرگیرنده تمام دامین ها و سایت های شبکه هستند. هر دامین هم در خود دارای Default Domain Policy و Default Domain Controller و تمامی OU های خود می باشد.

شکل 1-43

ضمایم1

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار