آشنايي با Group Policy در ویندوز

واضح آرشیو وب فارسی:سایت ریسک: View Full Version : آشنايي با Group Policy در ویندوز Jalal19-06-2007, 09:15 PMوقتي صحبت از قلب ويندوز به ميان مي آيد عموما تصويري از Registry در ذهن ايجاد مي شود . Registry ابزار قدرتمندي است كه قلب و هسته اصلي اعمال تغييرات در ويندوز است . اما در اين بين Group Policy نيز ابزاري حياتي و در عين حال ساده و User Friendly است كه مي تواند تغييرات بسيار جامع و كاملي را شامل شود . در مقايسه با Registry مي توان گفت كه سادگي كار و وجود توضيحات كافي , Group Policy را برتر از Registry جلوه مي دهد . در اين سري از مقالات ابتدا به معرفي Group Policy مي پردازيم و سپس چند عمليات مهم را توسط Group Policy بررسي و پياده سازي خواهیم کرد. مقدمه و معرفي Group Policy مجموعه اي از تنظيمات پيكره بندي مرتبط با User و يا Computer مي باشد كه تعريف نحوه عملكرد برنامه ها , منابع شبكه و سيستم عامل درارتباط با User و يا Computer است . Group Policy مي تواند بر روي Site , Domain و Organizational Unit اعمال شود . البته موارد مذكور جزو تعاريف محيط Active Directory هستند كه در اين مقاله بررسي نخواهند شد . در نهايت تنظيمات اعمال شده بر موارد فوق روي User ها و يا Computer ها تاثير مي گذارند . در همين رابطه تعريف ديگري نيز وجود دارد كه تفاوت بين Group Plicy هاي اعمال شده را نشان مي دهد : Local GPO : تنظيمات اعمال شده بر روي User/Computer در حالت Local است . اين تنظيمات بايستي روي كامپيوتر توسط كاربر يا Administrator ايجاد شود و نهايتا بر روي همان كامپيوتر پياده مي شود . Non-Local GPO : در مقابل تعريف فوق حالتي وجود دارد كه در محيط شبكه ( بطور خاص محيط Active Directory ) توسط ناظر شبكه تنظيماتي ايجاد مي شود كه در هنگام ورود كاربران به شبكه اين تنظيمات بر روي User و يا Computer آنها اعمال مي شود . اين تنظيمات توسط يك شخص ( ناظر شبكه ) صورت گرفته و بطور كلي بر تمام كاربراني كه وارد محيط شبكه مي شوند اعمال خواهد شد . همانطور هم كه قبلا اشاره كرديم Group Policy هاي تنظيم شده در اين مرحله بايستي به يكي از موارد Site يا Domain و يا OU متصل شوند . نكته : دقت كنيد كه تنظيمات Group Policy تنها بر روي سيستم عامل هاي Windows XP Professional – Windows 2000 و Windows Server 2003 اعمال مي شوند و بر روي ويندوز هاي قديمي نظير خانواده 9X و يا Millennium پياده سازي نخواهند شد . Group Policy Object Editor كنسول Group Policy Object Editor رابطي است كه به كمك آن مي توانيم تنظيمات دلخواه خود را در Group Policy مشخص كنيم . اين كنسول با تاپيپ دستور زير در قسمت Run باز مي شود : !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!http://new.iranupload.net/photo/img/051de43049d 81cd 00285ddfd 2f7f7367/1.JPG همانطور كه در شكل ملاحظه مي كنيد اين كنسول متعلق به سيستم Local مي باشد . روش ديگر براي باز كردن كنسول مربوط به Group Policy به طريق زير است : 1. در قسمت Run عبارت mmc را تايپ كرده و Enter كنيد . 2. در كنسول باز شده و از منوي فايل گزينه Add/Remove Snap In را انتخاب كنيد . 3. مجددا كليد Add را بزنيد . 4. در صفحه كوچكي كه در سمت راست باز مي شود عبارت Group Policy Object Editor را پيدا كرده و يكبار روي آن كليك كنيد و سپس Add را بزنيد . اين كار باعث مي شود تا صفحه جديدي باز شده و از شما در مورد كامپيوتري كه مي خواهيد Policy آن را ويرايش كنيد سوال مي كند . 5. با كليد Browse مي توانيد در مورد انتخاب كامپيوتر هاي ديگر تصميم گيري كنيد . 6. در اينجا كامپيوتر Local را انتخاب كرده و OK كنيد . 7. صفحه انتخاب كنسول را Close كرده و نهايتا در بخش بعدي OK كنيد تا كنسول براي شما به نمايش در آيد . دقت كنيد كه مي توانيد اين كنسول را با نام دلخواه ذخيره كنيد و در مراحل بعدي از آن براي تمرين استفاده كنيد . بررسي Group Policy Object Editor همانطور كه در شكل شماره 1 ملاحظه كرديد در كنسول Group Policy Object Editor دو بخش اصلي مشخص هستند : http://new.iranupload.net/photo/img/6892f37cb 5effdfeb 1806c89e24ed 04e/2.JPG http://new.iranupload.net/photo/img/c3c6697110f0c42360266b 20552fa 927/3.JPG همانطور كه از نامشان پيداست تنظيمات هر يك مختص User و يا Computer است . به دو نكته زير دقت كنيد : User Configuration تنظيماتي است كه بر روي User ها اعمال مي شود بدون توجه به اينكه يوزر با چه كامپيوتري به شبكه Log On كرده است . Computer Configuration تنظيماتي است كه بر روي Computer اعمال مي شود بدون توجه به اينكه چه يوزري از طريق آن به شبكه Log On كرده است . اگر دقت كنيد متوجه خواهيد شد كه تعدادي از تنظيمات هم در بخش User و هم در بخش Computer ديده مي شود . شكل تعريف تنظيمات يكسان است منتها اعمال آنها براي روي User/Computer كمي تفاوت ايجاد مي كند . از جمله تنظيمات مشترك مي توان موارد زير را نام برد : Software Settings Windows Settings Scripts Security Settings و .. دقت كنيد كه در حالتي كه Group Policy را در محيط Domain مشاهده مي كنيد تنظيمات متفاوت و يا بيشتري را نيز خواهيد يافت . در اينجا بررسي ما تنها برروي Local خلاصه شده است . در شماره هاي بعدي مقاله به بررسي مطالبي مي پردازيم كه اساس عملكرد آنها براي روي محيط Domain خواهد بود . معرفي بخش هاي Group Policy در اين بخش از مقاله به معرفي و تشريح موارد اصلي و بدنه Group Policy مي پردازيم . بررسي جزئيات و تنظيمات بر را بر عهده شما مي گذاريم . از جمله موارد مهمي كه در User/Computer Node ديده مي شود Security Settings است . اين بخش را مي توانيد تحت شاخه Windows Settings ببينيد . !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! شاخه Security settings در گروه Computer Settings Account Policies اين شاخه خود شامل دو زير شاخه ديگر با نام هاي Password Policy و Account Lockout Policy است كه به ترتيب بررسي خواهیم کرد : Password Policy تنظيمات اين بخش همانطور كه از نامش پيداست بر روي كلمه عبور سيستم تاثير مي گذارد . در اين بخش مي توانيد موارد زير را تنظيم كنيد : * تعداد كلمات عبوري كه سيستم به خاطر مي سپارد تا به كلمه عبور اول برگردد * حداكثر و حداقل عمر كلمه عبور * حداقل طول كلمه عبور * پيچيدگي در كلمه عبور آخرين مورد را بدليل اينكه براي كابر معمولي اهميت چنداني نخواهد داشت ناديده ميگيريم. Account Lockout Policy تنظيمات اين بخش براي كنترل و مديريت قفل شدن اكانت كاربري پس از زدن تعداد خاصي كلمه عبور اشتباه است . به مورد 1 و 3 دقت كنيد ! و اگر تونستيد رابطه آنها را بيابيد . Local Policies اين شاخه نيز خود به 3 زير شاخه مهم تقسيم مي گردد كه به ترتيب بررسي مي كنيم : Audit Policy Audit در لغت به معناي بازرسي مي باشد . اما اينجا به نوعي بررسي عملكرد يك پروسه محسوب ميشود . حال چه اين پروسه موفقيت آميز انجام شده باشد چه اينكه دچار خطا يا مشكل شده باشد . در اين بخش مي توانيد تنظيمات زير را كنترل كنيد : * ورود اكانت هاي كابري به محيط Domain و يا Local - سعي كنيد تنظيم مربطو به Domain و Local را بيابيد ! * كنترل دسترسي به Object ها : مانند فايل ها ، فولدر ها و غيره . البته Audit Object براي فعال سازي دو مرحله دارد كه مورد ديگر آن فعال كرده Audit بر روي خود Object است * كنترل رخداد هاي سيستم و تغييرات Policy User Rights Assignment تعدادي تنظيمات متنوع براي تعريف حقوق كاربران – بهتر است اين تنظيمات را بررسي كنيد و در صورتيكه به مشكل خورديد در تاپيك مختص اين مقاله مطرح كنيد . Security Options اين بخش هم تنظيمات امنيتي فوق العاده اي ارايه مي دهد . توصيه مي كنم حتما اين بخش را به دقت مطالعه كنيد . از جمله موراد مهمي كه مي توان اشاره كرد : * وضعيت اكانت Administrator و تغيير نام آن * وضعيت اكانت Guest و تغيير نام آن * محدود سازي دسترسي به CD-Rom * محدوديت هاي خاص در دسترسي به شبكه و بسياري ديگر . Public Key Policies در صورتيكه مقاله نحوه پياده سازي Recovery Agent را مطالعه كرده باشيد تا حدودي با نحوه كار اين بخش آشنا هستيد . در گام اول اين آشنايي كافي است . به ترتيب پس از بررسي بخش ديگر Group Policy از اين بخش هم بيشتر خواهيد دانست . Software Restriction Policies در اين مقاله اين بخش را Skip مي كنيم تا در شماره بعدي بطور كامل به آن بپردازيم . اين بخش يكي از مواردي است كه هم براي كاربران Local و هم تحت شبكه بسيار پر كاربرد است . بخش دوم مقاله را از دست ندهيد ! IP Security Policies IPSec هم از جمله مواردي است كه ناچارا در اين مقاله ناديده مي گيريم . چراكه گستردگي و اهميت آن به حدي است كه مقاله اي جداگانه مي طلبد . بررسي اجمالي و خلاصه آن قطعا مفيد نخواهد بود . Administrative Templates همانطور كه ملاحظه ميكنيد در هر دو بخش User/Computer Configuration قسمتي با نام Administrative Templates مي بينيد كه حاوي تنظيمات مبتني بر رجيستري مي باشد . در مجموع اين دو بخش مي توانيد حدود 550 تنظيم متفاوت را براي كنترل كاربر و يا كامپيوتر در اختيار داشته باشيد . همانطور كه اشاره شد اين تنظميات Registry Based هستند و محل ذخيره آنها در رجيستري به شكل زير است : !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!در بخش Administrative Templates مي توانيد زير مجموعه هاي Windows Components – Network – System كه مشترك بين User/Computer هست را ببينيد . هر كدام از بخش هاي فوق تنظيمات فراواني را در اختيار شما قرار مي هد و فقط كافي است تا نگاهي بر آنها داشته باشيد تا بتوانيد به عملكرد آنها پي ببريد . دقت كنيد كه در Group Policy براي هر تنظيمي راهنماي بسيار خوبي هم گنجانده شده است . اين راهنما به 3 طريق در اختيار شما قرار مي گيرد : 1. حالت Extended در كنسول Group Policy 2. Explain Tab هنگامي كه از تنظيمي Properties مي گيريد 3. كليك راست و انتخاب گزينه Help در شكل زير مي توانيد اين سه مورد را ببينيد : http://new.iranupload.net/photo/img/6d 864d 8059c03b 968abc77fd 35310427/5.JPG Administrative Templates در واقع فايل هاي متني هستند كه در Group Policy بكار گرفته شده اند . اين فايل ها با پسوند adm در ويندوز سرور 2003 و XP ديده مي شوند . در مورد Administrative Templates بهتر است نكات زير را بدانيد : اول اينكه بخش Administrative Templates در Group Policy تنها بخشي است كه مي توان آن را با اضافه كردن Template هاي ديگر ويرايش و اصلاح كرد . فايل هاي adm را مي توانيد از سايت مايكروسافت بر اساس ويندوز مد نظرتان دريافت كنيد . البته در انتهاي بحث لينك اين فايل ها را نيز معرفي خواهيم كرد . مورد بعدي اينكه اصولا Administrative Templates به سه نوع زير تقسيم مي شود : Default كه بصورت پيش فرض در Group Policy وجود دارد . Vendor Supplied مواردي كه سازنده آنها را ارايه مي دهد . مانند همين فايل هاي adm كه مي توانيد از سايت مايكروسافت دريافت كنيد . Custom كه بر اساس زبان .adm نوشته و مورد استفاده قرار مي گيرند . مي توانيد با جستجوي عبارت adm Language Reference در Microsoft Technet جزئيات بيشتر و راهنماي مناسبتري را بيابيد . Scripts بخش Scrips هم مانند چند مثال قبل هم در User و هم در Computer ديده مي شود . بااين تفاوت كه نام و نحوه عملكرد آن در حالت User و Computer تفاوت خواهد داشت . در تنظيمات Computer Settings اين Script ها را با توضيح Startup/Shutdown مي بينيد . مشخص است كه اين Script ها در زمان Startup و Shutdown سيستم بدون توجه به كاربر جاري اجرا خواهند شد. در تنظيمات User Settings اين Script ها را با توضيح Logon/Logoff ملاحظه مي كنيد . اين Script ها در لحظه Logon و Logoff كاربر اجرا ميشوند و جداي از كامپيوتر خواهند بود . نحوه اعمال Policy - بررسي چند دستور مفيد براي بررسي اينكه تنظيمات Group Policy چگونه تاثير مي گذارد پروسه ورود به ويندوز سرور 2003 را در نظر بگيريد . دقت اينكه در اين پروسه اعمال Policy هاي شبكه را در نظر نمي گيريم . چرا كه همانطور كه در طول مقاله اشاره كرديم Group Policy مي تواند از طريق محيط Active Directory نيز بر User/Computer اعمال گردد . 1. در گام اول تنظيمات مربوط به كامپيوتر پردازش مي شوند . تا انتهاي اين مرحله واسط ارتباطي با يوزر ديده نمي شود 2. در گام دوم Startup Scripts اجرا مي شوند . هر Script بايستي كامل اجرا گردد تا نوبت به اجراي مورد بعدي برسد 3. در اين هنگام واسط ارتباط با كاربر فعال شده و پس از زدن كليد Ctrl+Alt+Del كاربر خاصي وارد مي شود 4. بعد از اينكه يوزر شناسايي شد آنگاه تنظيمات مربوط به يوزر اعمال مي شود 5. در گام آخر Logon Scripts اجرا خواهند شد باز هم اشاره مي كنيم كه اين پروسه بدون در نظر گرفتن محيط شبكه بررسي شده و هنگامي كه محيط بررسي Active Directory باشد آنگاه بايستي در مورد Policy هاي Link شده به Site , Domain , OU نيز اظهار نظر كرد . GPResult اين دستور در محيط CMD اجرا مي شود و بطور كلي ( اگر بدون سوئيچ بكار رود ) به بررسي Policy هاي Apply شده بر روي سيستم پرداخته و در انتها گزارشي را ارايه مي دهد . از جمله سوئيچ هاي مهم اين دستور عبارتند از : * S/ كه مي توان به سيستم ديگري متصل شده و Policy هاي اعمال شده آن را بررسي كرد * U/ بررسي Policy هاي يوزر خاص * P/ ارايه كلمه عبور براي يوزر خاص راهنماي استفاده از gpresult !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!GPUpdate اين دستور نيز در محيط CMD و براي Refresh و نو سازي Policy هاي اعمال شده بكار مي رود . در اين دستور مي توانيد سوئيچ هاي مهمي را ببينيد كه ميتوانند كار هاي متفاوتي را انجام دهند . بررسي سوئيچ ها بر عهده شما مي گذاريم . راهنماي استفاده از gpupdate !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!Resultant Set Of Policy - RSOP اين وسيله جديد در ويندوز سرور 2003 اجازه مي دهد تا به بررسي و كنترل دقيق Group Policy پرداخته و ايرادهاي آن را نيز مرتفع سازيد . بدليل اينكه اين وسيله در ويندوز سرور 2003 بررسي شده و از حوزه اين مقاله خارج است لذا تنها به نحوه فعال سازي آن اشاره مي كنيم . در صورتيكه تمايل داشتيد حزئيات بيشتري بدانيد با ارايه سوال خود در تاپيك مربوط به اين مقاله مطلب را به بحث و بررسي بگذاريد . حتما شما را همراهي خواهيم كرد . بياد بياوريد مراحلي را كه براي ايجاد كنسول Group Policy Editor در mmc طي كرديد . همان مراحل را مجددا طي كنيد اما اين بار در پنجره انتخاب Add Standalone Snap-in عبارت Resultant Set Of Policy را انتخاب كرده و OK كنيد . كنسول ايجاد شده را با اسم مورد نظرتان ذخيره كنيد و سپس در Console Root بر روي Resultant Set Of Policy كليك راست كرده و عبارت Generate RSOP Data را بزنيد . http://new.iranupload.net/photo/img/7eac00bc7ef988aa 0fcba 732c8a 638f3/6.JPG پس از اولين Next مي بينيد كه تنها يكي از 2 مد كاري RSOP را در اختيار داريد ( البته در Windos XP ) . اين مد ( Logging Mode ) به شما اين اجازه را مي دهد تا تنظيمات فعلي و اعمال شده بر روي سيستم خود يا سيستم Remote را باز بيني كنيد . در واقع كاري شبيه GPResult را انجام ميدهد . پس از گذر از مرحله انتخاب مد با انتخاب كامپيوتر خود به مرحله بعدي برويد . در اينجا مي توانيد كاربر مد نظر خود را انتخاب كنيد . كاربر فعلي را تغيير ندهيد و Next را بزنيد . در اين صفحه پس از ارايه گزارشي از نحوه تنظيمات برنامه با زدن كليد Next بررسي شروع خواهد شد . پس از اتمام كار مشاهده مي كنيد كه در كنسول Policy ها دقيقا مشابه ويراشگر Group Policy چيده مي شوند . مواردي كه در سيستم شما فعال يا غير فعال هستند را مي توانيد در ستون هاي مقابل تنظيمات مشاهده كنيد . براي اينكه نتيجه بهتري از بررسي و باز بيني بوسيله RSOP داشته باشيد بهتر است از قبل تعدادي Policy را بر روي سيستم خود تعريف كرده باشيد تا در اينجا بتوانيد نتيجه را ملاحظه كنيد . سخن پایانی در بخش اول از مقاله معرفي Group Policy به بررسي اجمالي اين كنسول مديريتي پرداختيم و با معرفي بخش و زير بخش هاي مختلف آن تا حدودي شما را با اين ابزار قدرتمند آشنا ساختيم . در Group Policy شما مي توانيد چيزي بيش از 600 تنظيم متفاوت داشته باشيد . لذا اصلا احتياجي نيست با حفظ كردن مكان تنظيمات مختلف وقت خود را تلف كنيد . تنها همين كه بدانيد تنظيم مورد نظر در كجا قرار گرفته با Review كوتاهي مي توانيد به نتيجه برسيد . بررسي چند ابزار مهم در ارتباط با Group Policy از ديگر بخش هاي اين مطلب بود . كار با دستورات Command Based مي تواند توانايي شما را در ارتباط با تفهيم بهتر مسايل بالا ببرد . لذا توصيه ما اين است كه بيشتر با اين ابزار كار كنيد . در انتها به معرفي چند منبع ذكر شده در مقاله مي پردازيم : دانلود فايل هاي Adm ( دسته بندي شده بر اساس سيستم عامل ) !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!!مرجع زبان Adm براي Administrative Templates !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! منبع : !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! لينك براي چاپ مقاله !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 2128]