آموزش ساخت و ویرایش گروپ پالیسی در ویندوز

Posted by رایان 23 بهمن، 1397
ساخت و ویرایش گروپ پالیسی در ویندوز

ساخت و ویرایش گروپ پالیسی در ویندوز

گروپ پالیسی در ویندوز یک ابزار مدیریتی است که توسط مایکروسافت در ویندوز ارائه شده است. این ابزار به مدیران سیستم اجازه می‌دهد تا سیاست‌های امنیتی و تنظیمات سیستم را به صورت مرکزی مدیریت کنند. این تنظیمات می‌توانند بر روی کاربران، کامپیوترها یا هر دو اعمال شوند.

دسترسی به ویرایشگر گروپ پالیسی برای ساخت و ویرایش گروپ پالیسی لوکالی

برای ساخت و ویرایش گروپ پالیسی در ویندوز به صورت لوکالی ابتدا باید بدانید که چگونه به ویرایشگر گروپ پالیسی (Group Policy Editor) دسترسی پیدا کنید:

برای دسترسی به ویرایشگر گروپ پالیسی در ویندوز با استفاده از Run کلیدهای ترکیبی Windows + R را فشار دهید تا پنجره Run باز شود.
سپس در پنجره Run، دستور gpedit.msc را تایپ کنید و Enter بزنید. این دستور ویرایشگر گروپ پالیسی را باز می‌کند.
نکته: ویرایشگر گروپ پالیسی در نسخه‌های Professional، Enterprise، و Ultimate ویندوز در دسترس است و ممکن است در نسخه‌های Home وجود نداشته باشد.

ساخت یک گروپ پالیسی جدید در ویندوز

برای ایجاد یک گروپ پالیسی جدید بر روی سیستم لوکالی، مراحل زیر را دنبال کنید:

1- باز کردن Group Policy Management Console: اگر سیستم شما بخشی از یک دامین نیست، می‌توانید از Local Group Policy Editor استفاده کنید.
2- ایجاد یک GPO جدید: در Group Policy Management، بر روی Group Policy Objects راست کلیک کنید و گزینه New را انتخاب کنید.
3- نام‌گذاری GPO: یک نام مناسب برای GPO جدید خود انتخاب کنید تا بتوانید آن را به راحتی شناسایی کنید.
4- اعمال تنظیمات مورد نظر: در پنجره Local Group Policy Editor، تنظیمات مورد نظر خود را اعمال کنید. این تنظیمات می‌توانند در بخش‌های مختلفی مانند Computer Configuration و User Configuration اعمال شوند.

ویرایش گروپ پالیسی‌ها در ویندوز

برای ویرایش یک گروپ پالیسی موجود ابتدا اقدام به انتخاب GPO مورد نظر باید کرد. GPO مورد نظر خود را در Group Policy Management Console پیدا کرده و روی آن راست کلیک کنید.
سپس گزینه Edit را انتخاب کنید تا ویرایشگر گروپ پالیسی باز شود. سپس تنظیمات جدید خود را انجام داده و تغییرات را ذخیره کنید.

اعمال و تست گروپ پالیسی‌ها در ویندوز

پس از ایجاد یا ویرایش یک گروپ پالیسی، باید آن را اعمال کنید و مطمئن شوید که به درستی کار می‌کند. اعمال تنظیمات بعد از ویرایش و ساخت گروپ پالیسی در ویندوز مرحله بعدی است اما باید بدانید که گروپ پالیسی‌ها به طور خودکار در فاصله‌های زمانی مشخص اعمال می‌شوند، اما شما می‌توانید با استفاده از دستور gpupdate /force آن‌ها را فوراً اعمال کنید.
تست تنظیمات: برای اطمینان از اعمال صحیح تنظیمات، می‌توانید از ابزارهایی مانند gpresult استفاده کنید تا بررسی کنید که کدام گروپ پالیسی‌ها اعمال شده‌اند.

نکات مهم در ساخت و ویرایش گروپ پالیسی‌ ویندوز

پشتیبان‌گیری از گروپ پالیسی ها در ویندوز : همیشه قبل از اعمال تغییرات بزرگ و ساخت و ویرایش گروپ پالیسی‌ از GPOها پشتیبان بگیرید.
استفاده از فیلترها: از فیلترهای WMI و Security برای اعمال تنظیمات به گروه‌های خاصی از کاربران یا دستگاه‌ها استفاده کنید.
پیشگیری از تداخل گروپ پالیسی‌ها: ساخت و ویرایش گروپ پالیسی‌ می‌تواند باعث تداخل گروپ پالیسی‌ها با یکدیگر شود، بنابراین باید ترتیب اولویت آن‌ها را به درستی تنظیم کنید.

آموزش ساخت و ویرایش گروپ پالیسی (Group Policy) در یک شبکه دامین ویندوز

ساخت و ویرایش گروپ پالیسی بعد از راه اندازی شبکه‌های دامین مدل به مدیران شبکه اجازه می‌دهند تا تنظیمات و سیاست‌های مختلفی را برای تمام کاربران و کامپیوترهای عضو دامین به صورت مرکزی اعمال کنند. این تنظیمات می‌توانند شامل محدودیت‌های امنیتی، پیکربندی نرم‌افزارها، و تنظیمات سیستم باشند.

چگونه به Group Policy Management Console دسترسی پیدا کنیم؟

برای دسترسی به Group Policy Management Console (GPMC) و ساخت و ویرایش گروپ پالیسی در شبکه دامین، مراحل زیر را دنبال کنید:

ورود به دامین کنترلر: ابتدا به سرور دامین کنترلر (Domain Controller) وارد شوید.
باز کردن GPMC: در منوی Start، عبارت Group Policy Management را جستجو کرده و بر روی آن کلیک کنید.
مرور گروپ پالیسی‌ها: در پنجره GPMC، می‌توانید تمام گروپ پالیسی‌های موجود در دامین خود را مشاهده و اقدام به ساخت و ویرایش گروپ پالیسی ها کنید.

ساخت یک گروپ پالیسی جدید در شبکه دامین

برای ایجاد یک گروپ پالیسی جدید در شبکه دامین باید مراحل زیر را طی کنید:

انتخاب دامین یا OU: در کنسول GPMC، دامین یا واحد سازمانی (Organizational Unit) را که می‌خواهید گروپ پالیسی جدید را به آن اعمال کنید، انتخاب کنید.
ایجاد GPO جدید: روی دامین یا OU مورد نظر راست کلیک کنید و گزینه Create a GPO in this domain, and Link it here… را انتخاب کنید.
نام‌گذاری GPO: یک نام مناسب برای GPO جدید خود انتخاب کنید.
ویرایش GPO: پس از ایجاد GPO، روی آن راست کلیک کنید و گزینه Edit را انتخاب کنید تا ویرایشگر گروپ پالیسی باز شود.

ویرایش گروپ پالیسی‌ها در شبکه دامین

برای ویرایش یک گروپ پالیسی موجود در شبکه‌ی دامین مدل باید مراحل زیر را طی کنید:

انتخاب GPO مورد نظر: GPO مورد نظر خود را در GPMC پیدا کرده و روی آن راست کلیک کنید.
انتخاب گزینه Edit: گزینه Edit را انتخاب کنید تا ویرایشگر گروپ پالیسی باز شود.
اعمال تغییرات: تنظیمات مورد نظر خود را در بخش‌های Computer Configuration و User Configuration اعمال کنید و تغییرات را ذخیره کنید.

نکته دیگر برای مدیریت یا ساخت و ویرایش گروپ پالیسی در شبکه‌ی دامین مدل لازم است از اکانت کاربری با سطح دسترسی مناسب استفاده کنید.

برای link کردن یک GPO در ساختار اکتیودایرکتوری روی یک Site, Domain یا OU مورد نظر در کنسول  Group Policy Management کلیک راست کنید و سپس گزینه ی Link An Existing GPO را بزنید.

آموزش ساخت و ویرایش گروپ پالیسی در ویندوز

به صورت پیش فرض هر دو کنسول GPMC و GPME به یک دامین کنترلر که نقش PDC emulator را دارد متصل می گردند. در هر کدام از کنسول ها می توانید با راست کلیک روی Root node و انتخاب connect to به یک Domain Controller دیگر متصل شوید. توجه داشته باشید که در یک محیط توزیع شده از نظر جغرافیایی، ممکن است PDC emulator در یک Site دور قرار داشته باشد و عملیات Replication زمان بر باشد.

ساخت و ویرایش گروپ پالیسی می‌تواند با چند تنظیم متمایز در Scope های متفاوت روی یک کاربر یا کامپیوتراعمال گردد. از آنجایی که Policy های مختلفی ممکن است برای یک setting مشخص از روی Scope های مختلف اعمال شود، دانستن آنکه چه setting در نهایت اعمال خواهد شد داری اهمیت است از این روی ابزار ارزیابی Resultant Set Of Policy (RSOP) بسیار قابل توجه است که در ادامه آنرا بررسی می کنیم.

برای دسترسی به Group Policy Object Editor در نسخه های قدیمی ویندوز می توانید به صورت زیر عمل کنید:

LGPO – Local Group Policy Objects

– در RUN عبارت MMC را وارد کنید و از منوی file گزینه Add/Remove Snap-In را انتخاب کنید.
– در زبانه Standalone tab گزینه Add/Remove Snap-In دکمه Add را بزنید.
– Group Policy Object Editor را Add کنید و دقت کنید که Local Computer انتخاب شده است.
– Finish را بزنید و سپس با زدن OK دایلاگ باکس را ببندید.

GPO Storage

کنسول گروپ پالیسی در شبکه‌ی دامین تنها تحت GPOs در کنسول Active Directory ظاهر می شوند اما در واقع شامل دو جزء هستند: Group Policy Container (GPC) و Group Policy Template (GPT). GPC

Group Policy Template یکی از اشیا Active Directory است که در Group Policy Object container نگه داری می شود و مشابه با تمام اشیاء دیگر دارای یک GUID است. GPC خصوصیت هایی از GPO را معین می کند اما شامل هیچ Policy Setting ای نمی باشد. GPT شامل Policy Setting است و شامل مجموعه ای از فایل هایی است که در sysvol در محل زیر نگهداری می شود. GUID در آدرس زیر، مقدار GUID مربوط به GPC نظیر است:

%SystemRoot%\SYSVOL\Domain\Policies\GPOGUID

بنابراین، بدیهی است زمانی که تغییراتی روی GPO اعمال می شود در GPT ذخیره می گردند و با توجه به دو شیئ متمایز فوق، هر کدام از آن ها توسط مکانیسم های متفاوتی بین DC ها Replicate می شوند. GPC شیئ است که توسط Directory Replication Agent (DRA) و از طریق توپولوژی که Knowledge Consistency Checker  یا همان KCC معین کرده است Replicate می شود.

در حالی که GPT از طریق Replicate شدن SYSVOL بین DC ها Replicate خواهد شد پس توسط File Replication Service (FRS) یا در Windows Server 2008+ توسط Distributed File System Replication (DFS-R) عملیات Replication برای GPT انجام خواهد شد.

با توجه به آنکه این دو شیئ که هر دو با هم یک GPO را معین می کنند، توسط مکانیسم های مجزایی Replicate می شوند، ممکن است بعد از ساخت و ویرایش گروپ پالیسی برای مدت کوتاهی یکی از دو شیئ out of sync باشند.

به صورت عمومی، GPC احتمالا ابتدا Replicate خواهد شد. با استفاده از ابزار Group Policy Verification Tool (Gpotool.exe) می توان این دو جزء مختلف را ردیابی کرد.

 

Tags: