mcsa intro

Group policy

 
 
در بخش هفتم از آموزش MCSA مایکروسافت  میپردازیم به مبحث gpo و یا group policy object ها
و آن را از مفاهیم پایه و مقدماتی شروع کرده و با  آموزش تنظیمات پیشرفته gpo به آن خاتمه میدهیم 
 
 در این مقاله میخواهیم توضیحاتی درباره مباحث مطرح شده در این بخش و همچنین دروس آن داشته باشیم
 
همچنین لازم به ذکر است که دروس آموزشی در این بخش به صورت ویدیویی و نوشتاری قابل دسترس شما دوستان عزیز میباشد 

 

 


 

مروری کلی بر بخش هفتم 

 

همانطور که گفته شد در این بخش سعی بر این شده است تا بتوانیم صفر تا صد مبحث group policy  را آموزش دهیم
اما بعد نیست در اینجا نیز اشاره ای داشته باشیم بر مفهوم group policy تا شما را بیشتر متوجه اهمیت این بخش بسازیم 
 
Group Policy ساختاری است که برای اعمال مجموعه ای از تنظیمات یا سیاست ها (حال یا امنیتی یا غیرامنیتی)
به مجموعه ای از کاربران و کامپیوترهای یک ساختار اکتیودایرکتوری بکار می رود.
شما از طریق Group Policy یا به اختصار GP می توانید یک سری تنظیمات امنیتی و کاربری را در سیستمتان انجام دهید
 
Group Policy دراین شبکه ها یک Object می باشد و شما میتوانید به ازای هرکدام از Object ها در دامین تان ، یک GP داشته باشید ،از این  رو به آن Group Policy Object یا به اختصار GPO مینامند.
 
تنظیمات Group Policy در Group Policy Object ها موجود می باشند، که به ترتیب به این کانتینر ها در Active Directory لینک می شوند
 
Group Policy دو نوع می باشد که عبارتند از:
1 { Local Group Policy }  ورژن ساده ای از Group Policy برای Standalone ها و سیستم های خارج از دامین می باشد.
قبل از ویندوز ویستا، LGP بر روی یک سیستم که همان سیستمی بود که GP روی آن تنظیم شده بود می توانست اجرا شود
و امکان تنظیم و اجرای پالیسی به یک گروه منفرد و کاربران روی همان سیستم نبود. اما از ویندوز ویستا به بعد این امکان فراهم شد.

 

2 {  Domain Group policy }  محدوده عملکردشون در سطح دامین می باشد، اما در نهایت DGP که اعمال می شود به یک LGP نیاز دارد.
شما می توانید به Domain, Site و OU آن را اعمال کنید. محل ذخیره سازی Group Policy در Domain Partition می باشد
و کلاینت ها به وسیله Share Folder ی که بر روی DC وجود دارد به این Group Policy دسترسی پیدا می کنند.

 

 سطوح مختلف اعمال Group Policy 

 

Group Policy درسطوح مختلفی وجود دارد که از نظر اولویت به ترتیب زیر می باشند : 

  • Sub OU Group Policy اولویت اول
  • OU Group Policy اولویت دوم
  • Domain Group Policy اولویت سوم
  • Site Group Policy اولویت چهارم
  • Local Group Policy اولویت پنجم
 
همانطور که از اسم هر سطح پیداست،LGP ،GP مربوط به سیستمهای local است.DGP هم GP های اعمال شده به دامین کنترلر می باشد.
SGP هم GPهای اعمال شده به سایت ( به فضایی که سیستم ها در آن قرار میگیرند سایت گفته می شود ) می باشد

 

و UGP هم GP هایی است که به هر OU اعمال می شود.حال نکاتی را باید در نظر داشته باشید: 

 

  • به صورت پیش فرض تمامی سیستم ها قبل از آنکه به عضویت دامین در آیند از LGP یا local group policy تبعیت می کنند.
  • به صورت پیش فرض اگر به هیچکدام از OU ها یا سایت ، GP اعمال نشود،از GP مربوط به دامین استفاده می کنند.

 


 

مروری بر دورس بخش هفتم 

 

خوب الان تا حدودی با group policy  ها آشنا شدید حالا میخواهیم در مورد مباحثی که در درس های بخش هفتم درباره آنها صحبت کردیم توضیح دهیم 

 

درس اول : تعریف GPO 

 

در این درس gpo رو معرفی کرده و درباره مفاهیم Local Policy و Group Policyتوضیح میدهیم

 

مفاهیم Local Policy و Group Policy
     ابتدا باید به تفاوت بین Group Policy Managment و Local Group Policy Editor اشاره کرد:
 
 Group Policy Managment ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کلاینت ها را به صورت متمرکز مدیریت کنید. Group Policy Managment  می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود.
 
برای ساختن یک تنظیم خاص باید یک  GPO ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy  نیز داشته باشد.
 
     Local group Policy Editor کنسولی است که  هر کامپیوتری دارد و پالیسی های تعیین شده در این کنسول فقط و فقط روی خود آن کامپیوتر اعمال میشود
 
در واقع معمولا زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد.
 
     روی کامپیوتری که دارای ویندوز سرور است، هر دو کنسول را از طریق MMC میتوان اجرا کرد. البته گروپ پالیسی را از طریق administrative tools نیز میشود اجرا کرد.
 
     در محیطهای Cmd و powershell هم دستوراتی برای اجرای این ابزارها وجود دارد:
 
  • دستور msc جهت اجرای Local Group Policy Editor
  • دستور msc برای اجرای Group Policy Management

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید
 

درس دوم : Multiple Local GPO

 

در این درس  پالیسی های  Local GPOs را تعریف کرده و نحوه استفاده از آنها را آموزش خواهیم داد

 

اگرچه مبحث پالیسی متمرکز بر پالیسی های تحت دامین است، ویندوز سرور 2016 و ویندوز 10 ، هر دو Local Group Policy را پشتیبانی می کنند.

 

با استفاده از Local GPOs می توانید تغییراتی بر کامپیوترها و یوزر اکانت های لوکال آنها ایجاد نمایید. این مساله میتواند کارگشای شما درباره کامپیوترهایی که بخشی از AD DS forest نیستند باشد.

 

شما قادر خواهید بود چندین Local GPOs بسازید.

 

  • Local Group policy : این GPO حاوی تنظیماتی است که بر کامپیوترهای لوکال و حالت کامپیوتر و یوزر اعمال می شود. هرگز بر گروه های امنیتی اعمال نمیشود.
  • Administrators and Non-Administrators Local Group Policy : اینها پالیسی هایی هستند که مستقیما به یوزرهای عضو Local Administrator Group اعمال می شوند. اینها فقط بر روی User node ها اعمال می شوند و نه کامپیوتر.
  • User Specific Local Group Policy : ویندوز 8 و 2012 و نسخه های جدیدتر ساپورت می کنند و فقط بر روی یوزرها اعمال می شوندنه کامپیوتر.

 

نکته : اگر تنظیمات بر روی چندین پالیسی اعمال شود اولویت اعمال با آخرین پالیسی است.
برای دسترسی به پالیسی های بالا به شکل زیر عمل کنید.

 

  • با یوزر Local Administrator لاگین کنید.
  • در منوی استارت گزینه exe را تایپ و Enter کنید.
  • در پنجره باز شده از منوی فایل گزینه Add/Remove Snap-In را انتخاب کنید.
  • در پنجره جدید از لیست گزینه Group Policy Object Editor را انتخاب و Add کنید.

 

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس سوم :ساختار GPOs

 

در این درس دو کامپوننت GPOs را معرفی کرده و ساختار آنها را توضیح داده ایم و همچنین ابزار های مدیریتی که به سه روش

 

 Group Policy Management 
Group Policy Management Editor 
 
و از طریق فرمان ها در Windows Powershell انجام میشود را به صورت تصویری آموزش داده ایم 

 

ساختار GPOs
مفهوم GPOs برای 2 کامپوننت ذخیره شده در 2 مکان متفاوت است. این کامپوننت ها عبارتند :

 

  • Group Policy Container : این آبجکتی است که در دیتابیس اکتیودایرکتوری ذخیره می شود و با انجام عمل Replicate بین DC ها با استفاده از Intrasite یا Intersite منتقل می شود. این آبجکت تعریف خصیصه های اساسی GPO می باشد. به هر GPO یه شناسه منحصر به فرد به نام GUID در اکتیودایرکتوری نسبت داده می شود.
 
  • Group Policy Template : مجموعه ای از فایل ها و فولدرهای ذخیره شده در فولدر Sysvol است که این فولدر بین DC ها به اشتراک گذاشته می شود. این فایل ها حاوی تنظیمات واقعی GPO می باشند. تنظیمات برای یه پالیسی در مسیر زیر ذخیره می شود:
 
SystemRoot%\SYSVOL\Domain\Policies\GUID%
محتویات فولدر Sysvol بین DC ها در ویندوز 2008 و قبل از آن از طریق سیستم File Replication Service: FRS انجام می شد ولی در نسخه های بعد از 2012 و 2016 عمل Sysvol Replication با Distributed File System Replication: DFSR انجام می شود.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس چهارم : مدهای Computer Configuration و User Configuration

 

تنظیمات gpo بر دو نوع گروه میتواند اعمال شود
در Computer Configuration این تنظیمات بر روی کل کامپیوتر رخ میدهد اما در گروه مقابل یعنی User Configuration میتوانیم تعین کنیم
تنظیمات دلخواه ما بر روی کدام یک از user ها اعمال شود 

 

در این درس قصد داریم بخش های مختلف این دو گروه رو توضیح داده و  تا شما رو با روند کاری این گروه ها آشنا سازیم 

 

مدهای Computer Configuration و User Configuration

 

Computer Configuration 
تنظیمات مربوط به این پالیسی بر روی کامپیوترهایی اعمال می شود که به آن GPO لینک شده است. این تنظیمات به کامپیوترها در زمان Startup اعمال می شود و بصورت اتوماتیک هر 90 تا 120 دقیقه Refresh می شود.
این مد شامل شاخه های ذیل است:

 

  • Software settings :  به کمک این قسمت می توانید عمل Deploy, Update, Remove نرم افزار را در شبکه انجام دهید. این قسمت فقط یک زیرشاخه دارد

 

  • oftware Installation : از این قسمت می توانید Package نرم افزار مورد نظرتان را اضافه کنید.
 

 

  • Windows Settings : برای اعمال تنظیمات پایه بر روی کامپیوترها و یوزرها است و دارای زیر شاخه های:

 

Scripts(startup/shutdown): در Computer Configuration می توانید اسکریپتی که در زمان روشن/ خاموش شدن کامپیوتر اجرا شود را تنظیم کنید و در قسمت User Configuration می توانید اسکریپتی که در زمان login/ logout اجرا می شود را تنطیم کنید.

 

توجه کنید که ابتدا Startup Script و سپس Logon Script اجرا خواهند شد و همچنین ابتدا Log off Script و سپس Shut down Script اجرا می شود. نکته دیگر آنست که چنانچه چندین Script مختلف تنظیم شود ویندوز به ترتیب لیست از بالا به پایین اسکریپت ها را اجرا خواهد کرد.

 

موضوع قابل توجه دیگر آن است که به صورت پیش فرض حداکثر زمان اجرای اسکریپت 10 دقیقه است. از هر زبان ActiveX Script می توان استفاده کرد. نسخه اسکریپتینگ ( VBScript) یا Microsoft JScript یا Batch file ها پشتیبانی می شوند.

 

  • Security Settings : تنظیمات امنیتی زیادی در این قسمت شامل :
  • Account Policy and user right
  • Event log setting
  • Restricted group
  • System services
  • Registry
  • File system permission
  • Windows firewall rules

 

  و تعداد زیاد دیگری قابل انجام هستند.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس پنجم : AppLocker

 

گاهی اوقات نیاز است تا ما به عنوان مدیر یک شبکه استفاده و دسترسی عده ای از user هارو از برخی از اپلیکیشن های درون سیستم محدود کنیم
در این مواقع میتوانیم از بخش AppLocker کمک بگیریم 

 

در این درس به صورت کامل نحوه کارکرد AppLocker رو توضیح داده و نحوه استفاده مناسب از آن را آموزش میدهیم 

 

 

 

درس ششم : ایجاد GPO

 

در این درس نحوه ایجاد و همینطور تغیر یک gpo  را توضیح داده و در مرحله بعد  Client-side extensions را شرح و کارکرد آن را توصیف میکنیم و سپس انواع آن را معرفی میکنیم 

 

Client-side extensions
دامین کنترلرها پالیسی ها را بر روی خودشان ذخیره می کنند و کلاینت ها مسئولیت درخواست به DC را دارند تا پالیسی های مورد نظرشان را دریافت کنند.
 
یک سرویس به نام Group policy client به DC متصل می شود و GPOs های مورد نظر را دانلود می کند. سپس یه سری از کامپوننت های روی کلاینت که Client-side extension شناخته می شود، تنظیمات GPO را پردازش میکند.
 
چندین Client-side extension وجود دارد که تنظیمات GPO را پردازش می کند:
  • Registry policy
  • Internet Explorer maintenance policy
  • Software Installation policy
  • Folder Redirection policy
  • Scripts policy
  • Security policy
  • Internet Protocol security (IPsec) policy
  • Wireless policy
  • Encrypting File System recovery policy
  • Disk quota policy
 
در صورت مراجعه به آدرس زیر می توانید لیستی از Client-side extension های موجود را ببینید.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس هفتم : ترتیب و اولویت اعمال GPO ها 

 

قطعا اعمال gpo ها دارای معیار هایی میباشد که بر آن اساس انواع gpo به ترتیب اولویت ها اعمال میشود
در این درس قصد داریم نحوه چیدمان gpo ها و معیار های gpo برای ترتیب بندی ها و ترتیب اولویت های آن را توضیح دهیم

 

از سری مباحث دیگری که در این مقاله توضیح داده شده است شامل 

 

وراثت در GPO ها

 

 توضیح وراثت های یک gpo  و توضیح نحوه کارکرد آن و شرح استفاده ای که میتوان از آنها کرد 

 

ملزم کردن آبجکت ها به استفاده از یک GPO 

 

بعضی اوقات لازم است ابجکت ها را اجبار به استفاده از تنها یک gpo کرد و مشخص میکند که GPO باید به اجبار و بدون استثنا روی تمام child ها اعمال شود”

 

تعیین اولویت بین GPO های لینک شده به یک آبجکت 

 

  ممکن است که تعدادی GPO به یک آبجکت لینک شده و با یکدیگر conflict داشته باشند. 
در این پارت به توضیح رفع این مشکل پرداخته ایم 
 

تناوب زمانی اعمال GPO ها

 

     بصورت پیش فرض، تمام پالیسی ها روی DC ها هر 5 دقیقه و روی بقیه کامپیوترها ( اعم از سرورها و کلاینت ها) هر 90 دقیقه، یکبار بروزرسانی میشوند. 
اما میتوانید این مقادیر را تغیر دهید در اینجا اشاره ای داریم بر چگونگی  تغیر آن ها 

 

Remote Group Policy Update

 

و در اینجا نحوه بروزرسانی gpo به صورت دستی را توضیح داده ایم 

 

وراثت در GPO ها
     اصل ارث بری OU از Parent به Child ها : اگر یک GPO به به یک آبجکت ( سایت یا دامین یا OU )  لینک شده باشد ، تمام تنظیماتش به تمام زیرمجموعه ها و فرزندان آن آبجکت نیز اعمال میگردد.

 

     اما قابلیتی وجود دارد به نام Block Policy Inheritance که باعث قطع شدن سلسله مراتب وراثت میشود و باعث میشود که یک Child را بتوان از سیستم ارث بری خارج کرد.

 

یعنی مثلا یک OU به اسم Sales را از ارث بری تنظیمات از سلسه مراب بالاتر خود ( سایت و دامین) خارج کرد. این قابلیت روی GPO ست نمی شود بلکه روی آبجکت ها ست میشود.

 

     برای استفاده از قابلیت کافیست که روی OU یا Sub-OU یا دامینی که قصد داریم GPO ها را به ارث نبرد، در کنسول Group Policy Management راست کلیک کنیم و گزینه Block Inheritance را انتخاب کنیم.

 

     اکنون روی آیکن آبجکت فوق، دایره ای آبی رنگ با علامت ! ( به رنگ سفید) قرار می گیرد. پس این آیکن راه شناسایی آبجکت هایی است که قابلیت block policy inheritance روی آنها ست شده است.

 

ملزم کردن آبجکت ها به استفاده از یک GPO
     گاهی یک GPO چنان لازم است که میخواهیم تمام راههای دور زدن و نیز قطع وراثت از سوی فرزندان را سرکوب کنیم تا GPO فوق حتما و بی تردید در تمام فرزندان آن آبجکت هم اعمال شود. این کار با استفاده از قابلیتی به نام Enforces انجام میشود.

 

     این قابلیت حتی block policy inheritance را نیز نادیده میگیرد و بیان میکند که ” این GPO باید به اجبار و بدون استثنا روی تمام child ها اعمال شود”

 

     برای استفاده باید ابتدا GPO مورد نظر را ساخت و به مقصد مدنظر لینک کرد. سپس روی مقصد راست کلیک نمود و گزینه enforced را انتخاب کرد. اکنون یک علامت قفل روی آیکن آبجکت مقصد قرار خواهد گرفت.

 

تعیین اولویت بین GPO های لینک شده به یک آبجکت
     ممکن است که تعدادی GPO به یک آبجکت لینک شده و با یکدیگر conflict داشته باشند.

 

     چنانچه در group policy management روی آبجکت فوق دبل کلیک کنیم، در پنل سمت راست و در تب linked group policy ، میتوان تمام GPO های لینک شده به آن آبجکت را مشاهده کرد.

 

     ترتیب این GPO ها بسیار مهم است. از نظر زمانی ابتدا پایین ترینGPO و در انتها اولین GPO روی آبجکت اعمال میشوند اما اولویت اعمال در وضعیت conflict با پالیسی موجود در اولین GPO است.
ترتیب این GPO ها را میتوان با فلش های موجود ادیت کرد.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس هشتم : Starter GPOs

 

Starter GPOs عبارتند از GPO های پیش ساخته یا Template که می توان با ساخت آنها و استفاده موثر ، باعث تسریع در ساخت GPO های پیشرفته و کاربردی بعدی شد. 
 
در این بخش به صورت کامل نحوه ساخت و  استفاده از این قابلیت را شرح داده ایم 

 

Starter GPOs
  عبارتند از GPO های پیش ساخته یا Template که می توان با ساخت آنها و استفاده موثر ، باعث تسریع در ساخت GPO های پیشرفته و کاربردی بعدی شد. از Starter GPO ها فقط در ساخت پالیسی هایی از نوع Administrative template ( در هر دو مد) میتوان استفاده کرد.
 
      اساس کار اینست که میتوان یک Starter GPO با یه سری تنظیمات که ثابت است را ساخت. سپس از روی آن، GPO نهایی مد نظر را با تنظیمات اختصاصی و کاملتر ساخت و آنرا به آبجکتی لینک کرد.

 

برای ساخت و استفاده از Starter GPO
     روی Starter GPO کلیک کنید. در پنل سمت راست دکمه Create Starter GPOs Folder را فشار دهید.
اکنون با تعدادی تمپلیت از قبل ساخته شده و سیستمی مواجه میشوید که میتوانید از خود اینها استفاده کنید یا اینکه در یک فضای خالی کلیک راست کرده و با انتخاب New و سپس تعیین یک نام، Starter GPO بسازید. سپس روی آن کلیک راست و گزینه edit را انتخاب کنید.
 
 
 
برای دیدن ادامه این آموزش اینجا را کلیک کنید
 

درس نهم : تنظیمات مربوط به GPO

 
در این قسمت سه پارت جهت معرفی تنظیمات GPO وجود دارد 

 

تنظیمات مربوط به GPO : در آن توضیحات جهت ایفای تنظیمات  GPO توضیح داده شده است 
مشاهده کردن تنظیمات موجود در یک GPO : اموزش دیدن تنظیمات اعمال شده بر روی یک GPO 
 
آرشیو کردن GPO ها جهت مستندسازی : ممکن است بخواهیم تمام GPO های موجود را مستندسازی و آرشیو کنیم تا در مواقع لازم بلافاصله متوجه بشویم
که فلان GPO مورد نظر دارای چه پالیسی هایی است و به چه آبجکت هایی و با چه فیلترهایی لینک است 
 
در این نحوه انجام این کار را آموزش داده ایم 

 

فعال یا غیرفعال کردن یک GPO

در کنسول Group Policy Management ، وقتی که GPO موردنظر را انتخاب کنید، از قسمت بالا پنل سمت راست، در تب Details یک منوی کشویی وجود دارد به نام GPO Status که چهار حالت را نشان می دهد.
 
غیرفعال کردن تمام تنظیمات، فعال کردن تمام تنظیمات ( پیشفرض)، غیرفعال کردن تنظیمات مربوط به حالت computer configuration و غیرفعال کردن تنظیمات مربوط به حالت User Configuration . با انتخاب هر کدام از این حالت ها GPO براساس آن عمل خواهد کرد.

 

 

 

 

مشاهده کردن تنظیمات موجود در یک GPO

 

چنانچه قصد داشته باشیم که ببینیم یک GPO دارای چه تنظیماتی است، کافیست روی GPO کلیک کنیم، در قسمت بالا از پنل سمت راست، در تب Settings ، گزارشی از تنظیمات آن GPO فراهم میشود.

 

 
برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

 

پست های مشابه

ویژگی های جدید ویندوز سرور 2019... در این مقاله قصد داریم تا ویژگی هایه جدیدی که ویندوز سرور 2019 ارائه کرده است را معرفی کنیم   windows server 2019 بر پایه ویندوز سرور ۲۰۱۶ بنا ...
Data Center و یا مرکز داده چیست ؟ دیتاسنتر ( Data Center ) و یا مرکز داده ، مکانی است که سیستم های کامپیوتری و اجزای مرتبط مثل وسایل ارتباطات از راه دور و سیستم های ذخیره در آنجا...
معرفی سرور و انواع آن در این مقاله قصد داریم تا شما را با انواع سرور ها آشنا ساخته و توضیحاتی در مورد هر کدام از آنها ارائه دهیم    از جمله مباحثی که در این مقاله به...
اینترنت اشیا دنیای امروزی دنیایی است که در آن، اطلاعات حرف اول را می‌زند و به نوعی می‌توان به آن‌ها مفهوم طلای مجازی را اطلاق کرد؛ اینترنت اشیا نیز با دانستن ای...
آموزش DHCP در دو بخش از آموزش MCSA مایکروسافت تمرکز رو روی مبحث DHCP  گذاشته ایم   در مقاله  آشنایی با DHCP  جهت سهولت در یادگیری شما و همچنین آشنایی شما با این...

0 پاسخ به "Group policy"

    ارسال یک پیغام

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    1 × پنج =

    کپی رایت آکادمی ITperfection.