یکی از ابزار های مفید در مدیریت سیاست های گروهی، Group Policy Management Console است. با استفاده از این ابزار می توانید بسیار ساده تر سیاست های گروهی را مدیریت کنید همچنین بر قراری لینک ها پیچیدگی ندارد. وراثت ها آشکار تر دیده می شوند به در سراسر جنگل دسترسی دارید. به صورت پیش فرض، این ابزار جزء ویژگی های ویندوز سرور 2008 است و برای ویندوز سرور 2003 نیز قابل دریافت است.
فعال سازی در ویندوز سرور 2008: به کنسول Sever Manager رفته، در قسمت Features ، گزینه Add Features را بزنید و Group Policy Managment را انتخاب کنید و نصب کنید.
دریافت و فعال سازی در ویندوز سرور 2003 : از اینجا می توانید این ابزار را دریافت کنید و نصب کنید (رایگان – لینک مستقیم مایکروسافت – 5.5MB )
* توجه کنید که روی ویندوز XP نیز قابل نصب است. دامین کنترلر باید ویندوز سرور 2000 سرویس پک 2 به بعد باشد و همچنین سرویس پک 3 توصیه می شود. زیرا در سرویس پک 2 به تمامی امکانات دسترسی نخواهید داشت.
شروع در GPMC
در Administrative Tools با باز کردن Group Policy Management می توانید به این ابزار دسترسی پیدا کنید. در اولین نگاه، در نوار سمت چپ نمایشی از ساختار جنگل را می توانید ببینید. که دامین ها و سایت ها در دو بخش جدا نمایش داده می شوند. همجنین OU ها نیز در زیر دامین ها قابل مشاهده اند. بنابراین دیگر به آن مراحل باز کردن Group Policy Object Editor نیاز نخواهید داشت. برای ویرایش کردن هر بخش از سیاست های گروهی ، کافی است روی آن کلیک راست کرده و گزینه Edit را بزنید. با این کار Group Policy Managment یک پنجره جدید به نام Group Policy Managment Editor باز خواهد کرد. که در گذشته GPO Editer نام داشت. با GPO Editer در مطالب قبلی کاملا آشنا شدیم و همه چیز مشابه قبل است. تنها تفاوت موجود آن است که در Computer Configuration و User Configuration دو بخش(گره) جدید داریم:
1- Policies : شامل تمام گزینه ها و بخش هایی است در ورژن های قبل از ویندوز سرور 2008 موجود بود. البته گزینه های جدیدی نیز اضافه شده که برای استفاده از آن ها باید کلاینت های به روز رسانی شوند.
2- Preferences : قسمت جدیدی است که در ویندوز سرور 2008 اضافه شده و با آن می توانید تعداد بی شماری تنظیمات اضافی (علاوه بر سیاست ها) اعمال کنید. با این قسمت خواهید توانست قسمت های زیر را مدیریت کنید:
– نرم افزارهایی مشابه Microsoft Office ورژن های 2003 به بعد
– Mapped Drive ( مپ کردن یک درایو روی کلاینت ها)
– تنظیماتی در Registry
– تنظیمات مصرف انرژی
– تنظیمات منطقه ای (regional)
– می توانید Files ها، Printer ها، scheduled Task ها و… را Deploy کنید.
– همچنین می توانید استفاده از سخت افزار ها را فعال یا غیر فعال کنید. به عنوان مثال می توانید از استفاده از هارد های پرتابل را جلوگیری کنید.
توجه کنید که تمامی سیستم عامل هایی که تاریخ انتشار آنها قبل از ویندوز سرور 2008 R1 است، برای استفاده از این قسمت باید به روز شوند، در غیر این صورت Policy های اعمال شده، بلا نتیجه خواهد بود. (شامل ویندوز ویستا سرویس پک 1)
دسته سیاست های برآیند
در گذشته مشاهده کردیم که چندین سیاست می تواند روی یک کلاینت/کاربر اعمال شود. ارث بری، سیاست های چندگانه، فیلترها و… یافتن نتیجه سیاستی که اعمال خواهد شد را دشوار می کند. ضمن آنکه با توجه به زیاد بودن تعداد سیاست ها، محاسبه دستی از لحاظ زمانی، عملی نخواهد بود. برای این از ابزار های Resultant Set of Policy استفاده می کنیم. RSoP تاثیری بر سیاست های اعمال شده نخواهد داشت و فقط نتایج را نمایش خواهد داد.ابزارهای RSoP راه های متفاوتی برای محاسبه نتیجه سیاست ها دارند. می توانند یک پرس و جو (Query) به کامپیوتر ارسال کنند و نتیجه سیاست ها را از آن دریافت کنند. همچنین می توانند با استفاده از مدل سازی نتیجه سیاست ها را محاسبه کنند و… .
در ویندوز سرور 2008 ابزار های زیر را برای آنالیز RSoP در اختیار داریم:
1- Group Policy Results Wizard
چنانچه می خواهید متوجه شوید دقیقا چه سیاستی به یک کامپیوتر/کاربر اعمال می شود باید از این ابزار استفاده کنید. GPMC خود شامل این ابزار است اما می توانید از طریق MMC نیز به آن دسترسی پیدا کنید. پیش نیاز های استفاده از این عبارت اند از:
– داشتن یک اعتبارات مدیریتی.
– کامپیوتر مقصد (کلاینت) دارای سیستم عامل ویندوز XP به بعد باشد.
– باید به WMI در کامپیوتر مقصد دسترسی داشته باشید. این به آن معنا است که سرویس WMI در حال اجرا باشد، پورت های 135 و 445 باز باشند و مشکل ارتباطی وجود نداشته باشد.
– چنانچه قرار است یک کاربر آنالیز شود، باید آن کاربر حداقل یک بار در کامپیوتر مقصد Login کرده باشد، اما نیازی نیست که در حال حاضر Login کرده باشد و Session باز داشته باشد.
برای شروع روی Group Policy Results کلیک راست کنید و گزینه Group Policy Results Wizard را بزنید. در انجام مراحل ویزارد دقت کنید، چنانچه یک کامپیوتر را انتخاب کنید، فقط می توانید از بین کاربرانی که یک بار Login کرده اند انتخاب کنید. همچنین می توانید مشخص کنید که فقط User Configuration یا Computer Configuration نمایش داده شود. در این صورت از انتخاب کاربر / کامپیوتر بی نیاز خواهید بود.
نکته قابل توجه آن است که حتی می توانید Event Log مخصوص policy های ذکر شده را مشاهده و مورد بررسی قرار دهید. دقت کنید که در زبانه (Tab) مربوط به Summery تنها اطلاعات مربوط به آخرین پردازش Group Policy نمایش داده می شود و در زبانه Settings نمایش کامل RSoP وجود خواهد داشت. همچنین پس از آنالیز RSoP شما می توانید مجدد Query بگیرید و یا گزارش را Save یا Print کنید.
2- Group Policy Modeling Wizard
اگر یک کاربر را از یک OU به OU دیگر یا از یک سایت به ساید دیگر Move کنید، اگر یک کامپیوتر را از یک OU به OU دیگر Move کنید یا گروه امنیتی که در آن عضو است را تغییر دهید، گستره سیاست ها تغییر پیدا می کند، بنابراین RSoP تغییر پیدا می کند. اگر با مشکل Slow Link رو به رو باشید و یا LoopBack Processing تنظیم شده باشد یا یک فیلتر مثلا فیلتر WMI اعمال شده باشد همگی می تواند سیاست هایی که به کاربر اعمال می شود را دچار تغییر کنند. پیش از Move کردن هر چیزی، ابتدا باید در مورد RSoP آن تحقیق کنید. هیچ گاه نمی توان بدون محاسبه سیاست های مقصد یک شیئ را Move کرد. همانطور که در گذشته دیدید، محاسبه دستی RSoP چندان عملی نیست لذا باید راهکاری برای محاسبه ی خودکار یافت.
برای یافتن جواب های سوال های “ اگر – چه “ در سیاست های گروهی از ابزار Group Policy Modeling Wizard استفاده می کنیم. با این ابزار می توانیم پیش بینی کنیم اگر تغییراتی اعمال شود، دسته سیاست های برآیند چه خواهند بود. در Group Policy Management Console روی Node (گره) Group Policy Modeling کلیک راست کنید و گزینه Group Policy Modeling Wizard را بزنید. مدل سازی با هدایت یک دامین کنترلر ویندوز سرور ۲۰۰۳ به بعد انجام می شود پس در ابتدا از شما سوال می شود روی کدام دامین کنترلر در اکتیو دایرکتوری مدل سازی صورت گیرد. سپس در خصوص موارد زیر سوال می شود:
۱- مشخص کردن کامپیوتر یا کاربر یا هر دو ، یا یک OU ، دامین یا سایت برای ارزیابی شدن
۲- مشخص کردن Slow Link و LoopBack Processing و معین کردن یک سایت خاص (برای محاسبه شدن سیاست هایی که در یک سایت اعمال شده اند)
۳- معین کردن Security Group
4- معین کردن فیلتر ها
آنچه در نمایش Group policy Results گفته شد در اینجا نیز صادق است.
3- GPresult.exe
ابزار Command Based برای Group Polucy Results Wizard است. در اینجا با برخی سوییچ های این دستور آشنا می شویم:
- s computername/ : نام یا IP آدرس می تواند جایگزین ComputerName شود و اگر در نام از چند بخشی استفاده نشود و یا از سوییچ استفاده نشود، RSoP برای کامپیوتر Local مشخص خواهد شد. مثال نام چند بخشی : dc5.contoso.com ( از FQDN استفاده کنید)
- Scope User|Computer/ : نمایش RSoP برای User یا کامپیوتر. اگر سوییچ نوشته نشود برای هر دو مورد (User و Computer ) دسته سیاست های برآیند محاسبه خواهد شد.
- User/ : مشخص کردن یک user خاص برای محاسبه RSoP .
- r/ : نمایش خلاصه نتایج RSoP .
برای اطلاعات بیشتر در خصوص این فرمان به اینجا مراجعه کنید و یا از سوییچ ?/ استفاده کنید.