معرفی گروپ پالیسی در ویندوز

گروپ پالیسی در ویندوز که به اختصار GP هم گفته میشود، دارای ساختاری است که می تواند یک سری تنظیمات امنیتی و کاربری را در سیستمتان انجام دهد، در کامپیوترهای Local تنظیمات اعمال شده بر روی User/Computer توسط کاربر یا Administrator ایجاد شود و نهایتا بر روی همان کامپیوتر پیاده می شود. ولی در شبکه که دارای دامین کنترلر و اکتیودایرکتوری است، شما می توانید بینهایت GP را به کامپیوترها، کاربران و OU ها اختصاص دهید، Group Policy دراین شبکه ها یک Object می باشد و شما میتوانید به ازای هرکدام از Object ها در دامین اکتیودایرکتوری، یک GP داشته باشید ،از اینرو به آن Group Policy Object یا به اختصار GPO هم می گویند.

تنظیمات گروپ پالیسی در ویندوز توسط یک شخص ( ادمین شبکه ) صورت گرفته و بطور کلی بر تمام کاربران و یا سیستمهایی که توسط ادمین مشخص میشود، اعمال خواهد شد.

توجه داشته باشید که تنظیمات گروپ پالیسی در ویندوز تنها بر روی سیستم عامل های Windows XP Professional – Windows 2000 و Windows Server 2003 و بالاتر اعمال می شوند و بر روی ویندوز های قدیمی نظیر خانواده 9X و یا Millennium پیاده سازی نخواهند شد.

کنسول گروپ پالیسی در ویندوز

کنسول Group Policy Object Editor رابطی است که به کمک آن می توانیم تنظیمات دلخواه خود را در Group Policy مشخص کنیم.

دسترسی به کنسول group policy در سیستم local

با تایپ دستور gpedit.msc در run به کنسول مدیریت گروپ پالیسی روی سیستم محلی دسترسی خواهیم داشت.

دسترسی به کنسول group Policy در دامین

با استفاده از دستور gpmc.msc در run و یا از مسیر زیر می توانیم وارد کنسول مدیریتی گروپ پالیسی در دامین شویم.

start > administrative tools >group policy manager

انواع گروپ پالیسی در ویندوز

انواع Policyها به صورت عمومی به دو دسته تقسیم می گردند:

User Configuration پالیسی هایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه کامپیوتری به شبکه دسترسی دارد، روی کاربران در Scope خود اعمال می شوند.

Computer Configuration پالیسی هایی هستند که بدون در نظر گرفتن آنکه چه کاربری از کامپیوتر استفاده می کند، روی کامپیوتر ها در Scope خود اعمال می شود.

برخی از تنظیمات گروپ پالیسی در ویندوز فقط به User و برخی فقط به Computer ها قابل اعمال است. از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون دانستن محل دقیق یک آیتم، آن را پیدا کرد. یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و سرور ۲۰۰۸ نزدیک به ۳۰۰۰ آیتم مختلف وجود دارد و در ویندوز ۷ از مرز ۳۰۰۰ آیتم خواهد گذشت. قطعا نمی توان این ۳۰۰۰ گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیار از آیتم ها دسترسی نخواهید داشت.

یک Policy خود بدون در نظر گرفتن آنکه معین کننده ی چه Setting ای است، دارای سه وضعیت عمومی زیر است:

  • Not Configured: به صورت پیش فرض تمام Policy را روی این گزینه تنظیم شده اند. به آن معنا است که این سیاست در همان تنظیم معین هیچ نقشی ایفا نمی کند و بی اثر است.
  • Enabled: مشخص کننده آن است که تنظیم معین، فعال گردد.
  • Disabled: مشخص کننده آن است که تنظیم معین، غیر فعال گردد.
تنظیمات گروپ پالیسی در ویندوز

توجه داشته باشید که در Enabled و Disabled خود Policy در نتیجه موثر هستند و این دو گزینه تنها اثر آن را فعال را غیر فعال می کند. به عنوان مثال برای Prevent Access To Registry Editing Tools تنظیم گزینه Enabled به معنی آن است که از دسترسی کاربر جلوگیری خواهد شد.

برخی از Policy ها ممکن است شامل گزینه های بیشتری جهت مدیریت باشند. به عنوان مثال Prevent Access To Registry Editing Tools دارای option ای است که معین می کند آیا امکان merge کردن Register File ها وجود داشته باشد یا خیر.

Group Policy Object

Policy ها تحت عناصری به نام Group Policy Object تعریف می گردند. یک GPO شیئ است که شامل یک یا چند Policy است. با استفاده از ابزار Group Policy Management Console – GPMC مدیریت می شوند. برای ساخت یک GPO جدید کافی است روی گزینه مورد نظر در کنسول کلیک راست کرده و گزینه ی New را بزنید. برای ویرایش GPO های ایجاد شده، در GPMC روی آن کلیک راست کرده و گزینه Edit را بزنید. GPME هزاران Policy موجود در آن GPO را نمایش می دهد.

GPO Scope

متد های مختلفی برای تعیین Scope وجود دارد. اولین و ساده ترین راه، روش Link است. یک GPO می تواند به برخی از نقاط در محیط Active Directory، لینک شود. به عبارت دیگر، با روش لینک می توانیم معین کنیم که یک GPO دقیقا در کجا به کار گرفته شود؛ یک دامین، سایت و یا یک OU. بدیهی است که GPO برای تمام کامپیوتر ها و یوزر ها آن بخش به کار گرفته خواهد شد.

برای بیشتر محدود کردن سیاست ها، روش های دیگری در دسترس است. که به روش های فیلتر کردن GPO مشهور اند.
Security Filterها، که Global Security Group هایی را معین می کنند که آن سیاست باید/نباید در آن به کار گرفته شوند.
Filters Windows Management Instrumentation یا به اختصار WMI Filters که از مشخصاتی از سیستم همانند سیستم عامل و یا میزان فضای خالی دیسک سخت استفاده می شود.

هر دو دسته فیلترها، برای محدود کردن Scope ای است که توسط لینک معین شده است. در Windows Server 2008 به بعد عناصر جدیدی به نام Group Policy Preferences تعریف شدند که می توانند از دیدگاه های متعددی filter و یا targeted شوند. Targeted Preferences این امکان را فراهم می آوردند تا Scope برای Preferences بیش از پیش فیلتر گردد. این روش ها در ادامه بررسی شده اند.

انواع GPO

برای هر کامپیوتر می تواند تعدادی GPOs وجود داشته باشد که روی همان کامپیوتر ذخیره شده اند. به این GPO ها Local GPOs می گوییم. از طرف دیگر، هر کامپیوتر می تواند تحت اعمال تعداد هر تعدادی از GPO هایی قرار بگیرد که از سمت محیط Active Directory روی آن اعمال می شوند. به این GPOs ها Domain-Based GPOs می گوییم.

Local GPOs

یک کامپیوتر بدون در نظر گرفتن آنکه عضو Domain, Workgroup یا حتی اصلا به شبکه ای متصل است یا نه، دارای یک Local GPO است. این GPO در %SystemRoot%\System32\GroupPolicy ذخیره می شود و طبیعی است که Policy های آن، انحصارا روی همان کامپیوتر اعمال می گردد. به صورت پیش فرض تنها شاخه Security Settings از GPO پیش فرض تنظیم شده است و سایر تنظیمات Not Configured هستند.

در Windows Vista و Windows Server 2008 به بعد، دارای چندین GPO به صورت Local هستند. علاوه بر Local GPO ای که پیش تر اشاره شد، دو GPO جدید به نام های Administrators و Non-Administrators ایجاد شده اند و با توجه به نوع کاربر، آن ها اعمال می گردند. توجه داشته باشید که این نوع خاص از GPO که بر اساس نوع کاربر معین می شود تنها به صورت Local در دسترس است و در Domain-Based GPOs به این صورت وجود ندارد.

Domain-Based GPOs

این GPO ها در محیط Active Directory ایجاد می گردد و روی Domain Controllerها نگه داری می شوند. این GPO ها برای مدیریت مرکزی تنظیمات تحت شبکه مورد استفاده قرار می گیرند. زمانی که AD DS نصب می گردد، به صورت پیش فرض دو GPO ساخته می شود:

Default Domain Policy: این GPO روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.

Default Domain Controllers Policy: این GPO روی OU دامین کنترلر اعمال می شود. توجه داشته باشید که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

محدودیت زمانی مجاز به پایان رسید. لطفا کد امنیتی را دوباره تکمیل کنید.