گروپ پالیسی در ویندوز سرور

ویندوز سرور (جلسه ششم) گروپ پالیسی

ویندوز سرور (جلسه ششم) گروپ پالیسیReviewed by مهندس حسین فاطمی on Jan 27Rating: 5.0ویندوز سرور (جلسه ششم) گروپ پالیسیGroup Policy یا همان سیاست گروه در سرور ساختاری است که برای اعمال مجموعه‌ای از تنظیمات یا سیاست ها (حال یا امنیتی یا غیرامنیتی) به مجموعه‌ای از کاربران و...

در جلسه پیش آموزش ساخت OU در ویندوز سرور را قرار دادیم و اکنون به مبحث قوانین و سیاست های مربوط به گروه می رسیم که در ادامه قدم به قدم آموزش داده می شود.

Group Policy (گروپ پالیسی) یا همان سیاست گروه در سرور ساختاری است که برای اعمال مجموعه‌ای از تنظیمات یا سیاست ها (حال یا امنیتی یا غیرامنیتی) به مجموعه‌ای از کاربران و کامپیوترهای یک ساختار اکتیودایرکتوری به کار می رود. شما از طریق Group Policy یا به اختصار GP می‌توانید یک سری تنظیمات امنیتی و کاربری را در سیستم‌تان انجام دهید؛ در کامپیوترهای Local یا کامپیوترهایی که به عنوان سرور استفاده می‌شدند و دارای دامین کنترلر و اکتیودایرکتوری نیستند. شما می‌توانستید یک GP را به مجموعه‌ای از کاربران Assign یا اعمال کنید ولی در شبکه که دارای دامین کنترلر و اکتیودایرکتوری است شما می‌توانید بی نهایت GP را به کامپیوترها، کاربران و OU ها Assign کنید ، Group Policy دراین شبکه ها یک Object می باشد و شما می‌توانید به ازای هرکدام از Object ها در دامین تان، یک Group Policy داشته باشید، از این رو آن را Group Policy Object یا به اختصار GPO می‌نامند. نکته‌ی دیگری که باید دقت کنید این است که شما به یک کاربر یا کامپیوتر بیشتر از ۹۹۹ عدد GPO نمی‌توانید اعمال کنید.

سطوح مختلف اعمال Group Policy:

Group Policy درسطوح مختلفی وجود دارد که از نظر اولویت به ترتیب زیر می‌باشند:
Local Group Policy → اولویت اول

Site Group Policy → اولویت دوم

Domain Group Policy → اولویت سوم

OU Group Policy → اولویت چهارم

همان‌طور که از اسم هر سطح پیداست، LGP همان GP مربوط به سیستم‌های local است. DGP هم GP های اعمال شده به دامین کنترلر می باشد.SGP هم GPهای اعمال شده به سایت (به فضایی که سیستم ها در آن قرار می‌گیرند سایت گفته می‌شود) می‌باشد و UGP هم GP هایی است که به هر OU اعمال می‌شود. حال نکاتی را باید در نظر داشته باشید:

به صورت پیش فرض تمامی سیستم ها قبل از آنکه به عضویت دامین در آیند از LGP یا local group policy تبعیت می‌کنند.

به صورت پیش فرض اگر به هیچکدام از OU ها یا سایت، GP اعمال نشود، از GP مربوط به دامین استفاده می‌کنند.

اضافه کردن یک GPO به OU:

به Server Manager می رویم از آنجا Features و سپس به فارست مان می رویم در اینجا مثلاً Forest:mohandeseit.ir و سپس به Domains می رویم و بر روی دامنه مورد نظر کلیک می کنیم. اکنون بر روی نام OU کلیک راست می کنیم  و GPO in this domain را می سازیم.

gpo_microsoft_server

آشنایی با تب های موجود در تنظیمات OU و GPO:

با کلیک بر روی GPO مد نظر در سمت راست تصویر یک سری تنظیمات را مشاهده می‌کنید به شکل زیر نگاه کنید :

در تب Scope می‌توانیم ببینیم که این GPO به کجاها Assign شده است. در قسمت Links می‌بینیم که این GPO به چه Siteها ، Domainها و یا OUهایی Assign شده و در قسمت پایین‌تر یعنی Security Filtering می‌توانید مشخص کنید که این GPO چه یوزرها، گروه‌ها و یا کامپیوترهایی را تحت تاثیر قرار داده است، همان‌طور که مشاهده می‌کنید در اینجا Authenticated users به صورت پیش‌فرض وجود دارد به این معنی که GPO ساخته شده می‌تواند تمامی یوزرها، گروه‌ها و یا کامپیوترهایی که احراز هویت شده اند و دارای username و password ( که البته این پسورد می‌تواند blank باشد ) هستند را تحت تاثیر قرار می دهد.

gpo_microsoft_server

تب بعدی Details هست که در آن می‌توانید وضعیت GPO را مشاهده کنید همچنین می‌توانید تعیین کنید که این GPO به کامپیوترها اعمال شود یا یوزرها ، هیچ کدام و یا هر دو آن‌ها .

تب بعد Setting هست که گزارش می‌دهد که چه تغییراتی در این GPO انجام شده.

گروپ پالیسی سرور

و در تب آخر که Delegation هست شما می‌توانید انجام یک سری از تنظیمات را به کاربران واگذار کنید. از آنجا که در شبکه های بزرگ یا متوسط، چندین نفر در بخش شبکه مشغول فعالیت هستند از این رو هر شخص وظایف مختلفی خواهند داشت. در این بخش شما می‌توانید کارها را در شبکه تقسیم بندی کنید و به هر شخص متناسب با کاری که باید انجام دهد، دسترسی هایی را تعریف کنید. بدین صورت که یک یوزر را Add می‌کنید بعد روی یوزر کلیک کرده و Advanced را می‌زنید و Permission های مد نظر خود را اعمال می‌کنید.

خوب حال در سمت چپ شما می‌توانید کلیه OU هایی که ایجاد کرده‌اید را مشاهده کنید. اگر بر روی هر OU درسمت چپ کلیک کنید گزینه های زیر را مشاهده خواهید کرد، با هم نگاهی کوتاه به آن‌ها می اندازیم:

تب اول Linked Group Policy Objects که GPOهای لینک شده به OU را به ترتیب اولویت نشان می‌دهد.

تب دوم Group policy Inheritance هست که نشان می‌دهد که چه GPOهایی و با چه اولویت‌هایی به آن Assign شده اند.

و تب سوم Delegation هست که برای واگذاری تغییر تنظیمات به عهده کاربر است.

ترتیب اثر در OU Group Policy:

ترتیب اثر و اولویت پالیسی‌ها به گونه‌ای هست که چنان‌چه یک Policy در OU والد تنظیم شده باشد و در OU فرزند نیز همان Policy تنظیم شده باشد، Policy فرزند بر Policy والد برتری خواهد داشت و سیاست فرزند اعمال خواهد شد. در واقع Policy والد بی اثر خواهد بود. پس Policy والد در اولویت است. برای مثال به شکل روبرو نگاه کنید:

در این شکل در مواقعی که دو یا چند پالیسی یکسان در GPOها اعمال شده باشد Policy 2 بر روی Policy1 اولویت داشته و همچنین Policy3 بر تمامی این‌ها اولویت دارد یعنی اگر تنظیماتی در Policy 3 داشته باشیم و مشابه آن را در Policy 1 و Policy 2 داشته باشید، سیاست‌های در Policy 1 در شبکه اعمال می‌شود.
اگر بخواهیم کاری کنیم که یک OU تنظیمات خود را از بالاسری خود نگیرد چه کنیم؟ در این حالت روی OU مد نظر راست کلیک کرده و Block Inheritance را میزنیم ، همچنین با راست کلیک بر روی GPO و انتخاب Enforce کاری می‌کنیم که GPO ما، تنها سیاست‌های اعمال شده‌ی خود را در بالاترین اولویت قرار دهد.

به بیانی دیگر اگر ما بر GPO مد نظر خود Enforce را بزنیم در صورتی که همان Policy در GPOهای دیگر وجود داشته باشد، Policy ای که در GPOی Enforce شده وجود دارد اولویت بالاتری داشته و اعمال می‌شود. از ترکیب Enforce و Block Inheritance در یک GPO می‌توانیم کاری کنیم که تنها تنظیماتی که در آن GPO داشته‌ایم در بالاترین اولویت قرار گیرد همچنین هیچ تنظیماتی را هم از بالاسر خود هم نگیرد.

حالا اگر چند GPO را یک‌جا در OU داشتیم چطور اولویت آن را تعیین کنیم؟ شما خیلی راحت می‌توانید با کلیک بر OU مورد نظر در سمت راست، در تب Policy Objects Linked Group لیست GPOهای لینک شده را به ترتیب اولویت مشاهده و با ابزاری که در شکل مشخص شده اولویت آن را تغییر دهید.

چند Policy مهم در GPO:

۱- مدیریت Account :

Server Manager →Features → Group Policy Managment →Forest:google.com →Domains →google.com →Difault Domain Policy →Right Click →Edit →Computer Configuration →Policies→Windows Setting →Security Setting →Account Policies→Password Policy

۲- مدیریت Control Panel , Desktop ,… :

Server Manager →Features → Group Policy Managment →Forest:google.com →Domains →google.com →Difault Domain Policy →Right Click →Edit →User Configuration →Policies→Administrative Template→Control Panel ; Desktop ; Network ; Folder Sharing …

آموزش چه طور بود؟ سوالی در این باره دارید؟ مشکلی داشتید؟ در بخش نظرات مطرح نمایید.

1 پاسخ

ارسال یک پاسخ

در گفتگو ها شرکت کنید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *