آشنایی با گروپ پالیسی در ویندوز

Posted by رایان 26 خرداد، 1396
گروپ پالیسی

معرفی ابزار گروپ پالیسی در ویندوز

ابزار گروپ پالیسی در ویندوز (Group Policy) یک ویژگی قدرتمند است که به مدیران شبکه و سیستم‌ها این امکان را می‌دهد تا تنظیمات و سیاست‌های مختلف را بر روی گروهی از کامپیوترها و کاربران اعمال کنند. این ابزار به‌ویژه در محیط‌های سازمانی و شبکه‌ای که نیاز به مدیریت متمرکز دارند، بسیار مفید است.

در این مقاله، به بررسی کاربردهای گروپ پالیسی در ویندوز و نحوه پیکربندی آن در حالت لوکال و شبکه و راهنمایی‌های عملی برای استفاده از این ابزار خواهیم پرداخت.

گروپ پالیسی در ویندوز که به اختصار GP هم گفته میشود، ساختاری است که می توان با استفاده از آن یک سری تنظیمات امنیتی و کاربری را در سیستم عمل ویندوز انجام داد، در کامپیوترهای Local تنظیمات اعمال شده بر روی User/Computer توسط کاربری با دسترسی ادمین یا یوزر Administrator ایجاد میشود و نهایتا بر روی همان کامپیوتر پیاده می شود.

ولی در شبکه‌هایی که دارای دامین کنترلر و اکتیودایرکتوری هستند، شما می توانید بینهایت GP را به کامپیوترها، کاربران و OU ها اختصاص دهید، Group Policy در این شبکه ها یک Object می باشد و شما میتوانید به ازای هر کدام از Object ها در دامین اکتیودایرکتوری، یک GP داشته باشید، از اینرو به آن Group Policy Object یا به اختصار GPO هم می گویند.

تنظیمات گروپ پالیسی در ویندوز توسط یک شخص که معمولا ادمین شبکه یا فردی که مسوول خدمات پشتیبانی شبکه است، صورت گرفته و بطور کلی بر روی تمام کاربران و یا سیستمهایی که توسط ادمین مشخص میشود، اعمال خواهد شد.

توجه داشته باشید که تنظیمات گروپ پالیسی در ویندوز تنها بر روی سیستم عامل های Windows XP Professional – Windows 2000 و Windows Server 2003 و بعد از آن اعمال می شوند و بر روی ویندوز های قدیمی نظیر خانواده 9X و یا Millennium پیاده سازی نخواهد شد.

نحوه پیکربندی گروپ پالیسی در ویندوز در حالت لوکال

دسترسی به کنسول گروپ پالیسی در سیستم محلی: برای پیکربندی گروپ پالیسی در ویندوز در حالت لوکال (Local Group Policy)، از طریق دستور gpedit.msc در پنجره Run (Win + R) می‌توانید به ابزار Group Policy Editor دسترسی پیدا کنید.

ویرایش گروپ پالیسی لوکال: پس از باز کردن Group Policy Editor، می‌توانید تنظیمات مختلف را در دو بخش “Computer Configuration” و “User Configuration” اعمال کنید. این تنظیمات به ترتیب برای کامپیوتر یا کاربران سیستم اعمال می‌شوند.

اعمال تغییرات: پس از پیکربندی تنظیمات موردنظر، می‌توانید با اجرای دستور gpupdate /force در خط فرمان (Command Prompt)، تغییرات را به‌سرعت اعمال کنید.

نحوه پیکربندی گروپ پالیسی در شبکه دامین مدل (Domain-based)

دسترسی به Active Directory و Group Policy Management Console: در شبکه‌های مبتنی بر دامین (Domain)، ابتدا باید از طریق ابزار Active Directory Users and Computers و سپس ابزار Group Policy Management Console (GPMC) به مدیریت گروپ پالیسی‌ها بپردازید.

ایجاد و ویرایش GPO (Group Policy Object): برای ایجاد یک سیاست جدید، باید یک Group Policy Object (GPO) ایجاد کرده و آن را به واحد سازمانی (OU) موردنظر لینک کنید. سپس می‌توانید تنظیمات مختلف را مانند لوکال، در بخش‌های “Computer Configuration” و “User Configuration” اعمال کنید.

اعمال و بررسی تغییرات: پس از اعمال تغییرات، سیاست‌های جدید به‌طور خودکار به تمام کامپیوترها و کاربران درون دامین اعمال می‌شود. با استفاده از ابزارهایی مانند gpresult می‌توانید نتایج اعمال گروپ پالیسی را بررسی کنید.

انواع گروپ پالیسی در ویندوز

انواع Policyهای موجود در کنسول گروپ پالیسی در ویندوز به صورت عمومی به دو دسته تقسیم می شوند:

User Configuration پالیسی هایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه کامپیوتری به شبکه دسترسی دارد، روی کاربران در Scope خود اعمال می شوند.

Computer Configuration پالیسی هایی هستند که بدون در نظر گرفتن آنکه چه کاربری از کامپیوتر استفاده می کند، روی کامپیوتر ها در Scope خود اعمال می شود.

برخی از تنظیمات گروپ پالیسی در ویندوز فقط به User و برخی دیگر فقط به Computer ها قابل اعمال هستند. از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون دانستن محل دقیق یک آیتم، آن را پیدا کرد.

یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و ویندوز سرور ۲۰۰۸ نزدیک به ۳۰۰۰ آیتم مختلف وجود دارد و در ویندوز ۷ از مرز ۳۰۰۰ آیتم خواهد گذشت. قطعا نمی توان این ۳۰۰۰ گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیار از آیتم ها دسترسی نخواهید داشت.

یک Policy خود بدون در نظر گرفتن آنکه مشخص کننده‌ی چه تنظیماتی است، دارای سه وضعیت عمومی زیر است:

  • Not Configured: به صورت پیش فرض تمام Policy را روی این گزینه تنظیم شده اند. به آن معنا است که این سیاست در همان تنظیم معین هیچ نقشی ایفا نمی کند و بی اثر است.
  • Enabled: مشخص کننده آن است که تنظیم معین، فعال گردد.
  • Disabled: مشخص کننده آن است که تنظیم معین، غیر فعال گردد.
تنظیمات گروپ پالیسی در ویندوز

توجه داشته باشید که حالت Enabled و Disabled خود Policy در نتیجه موثر هستند و این دو گزینه تنها اثر آن را فعال را غیر فعال می کند. به عنوان مثال برای Prevent Access To Registry Editing Tools تنظیم گزینه Enabled به معنی آن است که از دسترسی کاربر جلوگیری خواهد شد.

برخی از گزینه های گروپ پالیسی در ویندوز ممکن است شامل گزینه های بیشتری جهت مدیریت باشند. به عنوان مثال Prevent Access To Registry Editing Tools دارای گزینه هایی است که معین می کند آیا امکان merge کردن Register File ها وجود داشته باشد یا خیر.

مفهوم Group Policy Object در گروپ پالیسی ویندوز

Policy ها تحت عناصری به نام Group Policy Object تعریف می گردند. یک GPO شیئ است که شامل یک یا چند Policy است. با استفاده از ابزار Group Policy Management Console – GPMC مدیریت می شوند. برای ساخت یک GPO جدید کافی است روی گزینه مورد نظر در کنسول کلیک راست کرده و گزینه ی New را بزنید. برای ویرایش GPO های ایجاد شده، در GPMC روی آن کلیک راست کرده و گزینه Edit را بزنید. GPME هزاران Policy موجود در آن GPO را نمایش می دهد.

معرفی GPO در گروپ پالیسی ویندوز

مفهوم GPO Scope در گروپ پالیسی ویندوز

متدهای مختلفی برای تعیین Scope وجود دارد. اولین و ساده ترین راه، روش Link است. یک GPO می تواند به برخی از نقاط در محیط Active Directory، لینک شود. به عبارت دیگر، با روش لینک می توانیم معین کنیم که یک GPO دقیقا در کجا به کار گرفته شود؛ یک دامین، سایت و یا یک OU. بدیهی است که GPO برای تمام کامپیوتر ها و یوزر ها آن بخش به کار گرفته خواهد شد.

برای بیشتر محدود کردن سیاست ها، روش های دیگری در دسترس است. که به روش های فیلتر کردن GPO مشهور اند.
Security Filterها، که Global Security Group هایی را معین می کنند که آن سیاست باید/نباید در آن به کار گرفته شوند.
Filters Windows Management Instrumentation یا به اختصار WMI Filters که از مشخصاتی از سیستم همانند سیستم عامل و یا میزان فضای خالی دیسک سخت استفاده می شود.

هر دو دسته فیلترها، برای محدود کردن Scope ای است که توسط لینک معین شده است. در Windows Server 2008 به بعد عناصر جدیدی به نام Group Policy Preferences تعریف شدند که می توانند از دیدگاه های متعددی filter و یا targeted شوند. Targeted Preferences این امکان را فراهم می آوردند تا Scope برای Preferences بیش از پیش فیلتر گردد. این روش ها در ادامه بررسی شده اند.

انواع GPO گروپ پالیسی در ویندوز

برای هر کامپیوتر می تواند تعدادی GPOs وجود داشته باشد که روی همان کامپیوتر ذخیره شده اند. به این GPO ها Local GPOs می گوییم. از طرف دیگر، هر کامپیوتر می تواند تحت اعمال هر تعدادی از GPO هایی قرار بگیرد که از سمت محیط Active Directory روی آن اعمال می شوند. به این GPOs ها Domain-Based GPOs می گوییم.

آشنایی با Local GPOs

یک کامپیوتر بدون در نظر گرفتن آنکه عضو Domain یا Workgroup یا حتی اصلا به شبکه ای متصل است یا نه، دارای یک Local GPO است. این GPO در مسیر %SystemRoot%\System32\GroupPolicy ذخیره می شود و طبیعی است که Policy های آن، انحصارا روی همان کامپیوتر اعمال می گردد. به صورت پیش فرض تنها شاخه Security Settings از GPO پیش فرض تنظیم شده است و سایر تنظیمات Not Configured هستند.

گروپ پالیسی در ویندوز در نسخه های Windows Vista و Windows Server 2008 به بعد، دارای چندین GPO به صورت Local هستند. علاوه بر Local GPO ای که پیش تر اشاره شد، دو GPO جدید به نام های Administrators و Non-Administrators ایجاد شده اند و با توجه به نوع کاربر، آن ها اعمال می گردند. توجه داشته باشید که این نوع خاص از GPO که بر اساس نوع کاربر معین می شود تنها به صورت Local در دسترس است و در Domain-Based GPOs به این صورت وجود ندارد.

معرفی Domain-Based GPOs

این GPO ها در محیط Active Directory ایجاد می گردد و روی Domain Controllerها نگه داری می شوند. این GPO ها برای مدیریت مرکزی تنظیمات تحت شبکه مورد استفاده قرار می گیرند. زمانی که AD DS نصب می گردد، به صورت پیش فرض دو GPO ساخته می شود:

Default Domain Policy: این GPO روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.

Default Domain Controllers Policy: این GPO روی OU دامین کنترلر اعمال می شود. توجه داشته باشید که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود.

از ابزار گروپ پالیسی در ویندوز چه استفاده هایی میتوان کرد؟

کاربردهای گروپ پالیسی در ویندوز

مدیریت تنظیمات سیستم

با استفاده از گروپ پالیسی در ویندوز ، می‌توانید تنظیمات مختلفی مانند تنظیمات امنیتی، دیوار آتش (Firewall)، مدیریت به‌روزرسانی‌ها، و پیکربندی شبکه را به‌صورت متمرکز برای کامپیوترها و کاربران تعیین کنید.

افزایش امنیت سیستم با گروپ پالیسی ویندوز

ابزار گروپ پالیسی در ویندوز به شما این امکان را می‌دهد تا سیاست‌های امنیتی مانند پیچیدگی رمز عبور، قفل صفحه‌نمایش، و محدودیت دسترسی به فایل‌ها و پوشه‌ها را به‌صورت دقیق و کنترل شده پیاده‌سازی کنید.

مدیریت نصب و حذف نرم‌افزارهای روی سیستم با استفاده از گروپ پالیسی در ویندوز

با ساخت و ویرایش گروپ پالیسی در ویندوز ، می‌توانید نصب و حذف نرم‌افزارها را به‌صورت خودکار مدیریت کنید و از نصب نرم‌افزارهای غیرمجاز جلوگیری کنید.

پیکربندی مرورگرها و تنظیمات اینترنت

مدیران شبکه می‌توانند با استفاده از گروپ پالیسی، تنظیمات مرورگرهای وب مانند Internet Explorer یا Microsoft Edge را برای کاربران مشخص کنند و تنظیمات پروکسی و دسترسی به سایت‌ها را کنترل کنند.

مدیریت کاربران و دستگاه‌ها در شبکه با استفاده از ابزار گروپ پالیسی در ویندوز

در شبکه‌های بزرگ، گروپ پالیسی به مدیران این امکان را می‌دهد تا سیاست‌های مشخصی برای گروه‌های مختلف کاربران و دستگاه‌ها تنظیم کنند و از هماهنگی بین تنظیمات مختلف اطمینان حاصل کنند.

با استفاده از گروپ پالیسی در ویندوز ، می‌توانید تنظیماتی را برای سهولت دسترسی کاربران به پوشه‌ها و نرم‌افزارها ایجاد کنید و همچنین سیاست‌هایی را برای افزایش امنیت در برابر تهدیدات داخلی شبکه پیاده‌سازی کنید. در زیر به برخی از این اقدامات که از طریق ابزار گروپ پالیسی در ویندوز میتوان انجام داد پرداخته شده است:

سهولت دسترسی کاربران به پوشه‌ها و نرم‌افزارها و مپ کردن درایوهای شبکه (Drive Mapping)

با استفاده از ابزار گروپ پالیسی در ویندوز می‌توانید به‌صورت خودکار درایوهای شبکه را برای کاربران مپ کنید. این کار به کاربران اجازه می‌دهد تا بدون نیاز به دسترسی دستی، به پوشه‌ها و فایل‌های موردنیاز خود دسترسی پیدا کنند. این کار را باید از مسیر زیر انجام دهید:

User Configuration > Preferences > Windows Settings > Drive Maps

ایجاد شورت‌کات‌های سفارشی با استفاده از گروپ پالیسی در ویندوز

می‌توانید شورت‌کات‌های موردنیاز به نرم‌افزارها یا پوشه‌های خاص را بر روی دسکتاپ یا منوی Start کاربران ایجاد کنید. این کار باعث سهولت دسترسی کاربران به نرم‌افزارهای موردنیازشان می‌شود. این کار را از مسیر زیر میتوانید انجام دهید:

User Configuration > Preferences > Windows Settings > Shortcuts

نصب نرم‌افزارها از طریق گروپ پالیسی در ویندوز

با استفاده از گروپ پالیسی می‌توانید نرم‌افزارها را به‌صورت خودکار بر روی کامپیوترهای کاربران نصب کنید. این روش برای تضمین دسترسی یکسان همه کاربران به نرم‌افزارهای ضروری بسیار مفید است. این کار را از مسیر زیر میتوانید انجام دهید:

Computer Configuration > Policies > Software Settings > Software Installation

افزایش امنیت برای تهدیدات داخلی شبکه با محدودیت دسترسی به پوشه‌ها و فایل‌ها

می‌توانید دسترسی کاربران به پوشه‌ها و فایل‌های حساس را محدود کنید. این کار با تنظیم سطوح دسترسی مختلف (خواندن، نوشتن، اجرا) بر اساس گروه‌های کاربری انجام می‌شود. برای انجام این کار به مسیر زیر مراجعه کنید:

User Configuration > Policies > Administrative Templates > Windows Components > File Explorer

پیاده‌سازی پالیسی ها و سیاست‌های رمز عبور

گروپ پالیسی در ویندوز به شما اجازه می‌دهد تا سیاست‌های رمز عبور سخت‌گیرانه‌ای را پیاده‌سازی کنید. این سیاست‌ها شامل طول حداقلی رمز عبور، پیچیدگی، و تغییر دوره‌ای رمز عبور می‌شود. برای انجام این تنظیمات میتوانید به مسیر زیر مراجعه کنید:

Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy

قفل کردن دستگاه‌های کاربران در صورت عدم فعالیت

می‌توانید سیاست‌هایی را تنظیم کنید که دستگاه‌های کاربران پس از مدت‌زمان معینی از عدم فعالیت، قفل شوند. این کار برای محافظت از داده‌ها در برابر دسترسی‌های غیرمجاز داخلی بسیار مفید است. مسیر انجام این تنظیمات در زیر آمده است:

User Configuration > Policies > Administrative Templates > Control Panel > Personalization > Screen saver timeout

محدود کردن استفاده از نرم‌افزارهای خاص با استفاده از گروپ پالیسی در ویندوز

با استفاده از گروپ پالیسی می‌توانید استفاده از نرم‌افزارهای خاص را برای گروه‌های کاربری محدود یا مسدود کنید. این کار می‌تواند برای جلوگیری از اجرای نرم‌افزارهای غیرمجاز یا مخرب مفید باشد. این تنظیمات را از طریق مسیر زیر انجام دهید:

User Configuration > Policies > Administrative Templates > System > Don’t run specified Windows applications

فعال‌سازی Auditing برای نظارت بر فعالیت‌ها

با فعال‌سازی Auditing از طریق گروپ پالیسی، می‌توانید فعالیت‌های کاربران در شبکه و سیستم را نظارت کنید. این قابلیت به شما اجازه می‌دهد تا رویدادهای مشکوک و نقض‌های امنیتی را به‌سرعت شناسایی کنید. این تنظیمات را از طریق مسیر زیر میتوانید انجام دهید:

Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration

مدیریت دستگاه‌های USB و رسانه‌های قابل حمل

برای جلوگیری از انتقال داده‌های حساس یا نصب نرم‌افزارهای غیرمجاز، می‌توانید دسترسی به دستگاه‌های USB و رسانه‌های قابل حمل را محدود کنید. این تنظیمات را در مسیر زیر میتوانید بیابید:

Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access

این تنظیمات به شما کمک می‌کنند تا هم سهولت دسترسی کاربران را بهبود ببخشید و هم امنیت شبکه را در برابر تهدیدات داخلی تضمین کنید. به‌کارگیری صحیح گروپ پالیسی‌ها می‌تواند از بسیاری از مشکلات امنیتی و مدیریتی در شبکه‌های سازمانی جلوگیری کند.

برای راه اندازی و انجام تنظیمات شبکه توسط گروه استاد شبکه با شماره های  02163877763 و  09355213763 تماس بگیرید.

Tags: