Group policy overview

Policy شامل یک سری قوانین و تنظیماتی است که بر روی تمام کامپیوترهای 2000 و 2003 یا کاربرانشان یا هردو اجرا می شود .

با GP چه کاری می توان انجام داد ؟

مدیر شبکه می تواند یک سری تنطیماتی را مدیریت کند که بر روی کاربران و کامپیوترهایشان اجرا می شود به عنوان مثال محیط کاربر ( Wallpaper ، تنطیمات Desktop ، Start Menu ) – Script ها ( Logon ، Logoff ، Startup ، Shutdown ) – یک سری تنطیمات مربوط به امنیت ( Account Policies ، Local Policies ، تنطیمات Event log ) – مسیر Folder ها را عوض کرده و مثلا به یک Share folder بر روی سرور منتقل کنید – می توانید نرم افزار نصب کنید . وقتی یک کاربر شروع به کار می کند یا یک فایل خاصی مثل pdf را باز می کند آن نرم افزار به طور اتوماتیک بر روی سیستم آن نصب می گردد .

 

GP کجا پیاده سازی می شود ؟

1- Local : اگر به صورت local باشد فقط بر روی آن کامپیوتر و کاربرانی که به آن کامپیوتر Logon می کنند اجرا می شود و مسیر ذخیره اش systemroot\system32\group policy folder می باشد فقط یک Local GPO می توانید بر روی یک سیستم داشته باشید .

2- در AD : Domain GPO بر روی تمام کامپیوترها و کاربرانی که عضو آن Site ، Domain ، OU ، Sub-OU هستند اجرا می شود و مسیر ذخیره اش پوشه Policies روی DC ها در Domain 2003 \systemroot\SYSVOL\sysvol\domain name\ می باشد . در این حالت چندین GPO می توان داشت .

GPO یک object ، AD است هر GPO یی مختص یک Container خاص مثل site ، Domain ، OU در AD است و روی کامپیوتر ، کاربران یا هر دو اجرا می شود یک Container در  AD می تواند حداقل یک GPO یا چندین GPO داشته باشد .

ترتیب اجرا شدن GPO ها بر روی کاربران به صورت زیر می باشد :

1- Local GPO 2- Site GPO 3- Domain GPO 4- OU GPO 5- sub-OU GPO

هر GPO یی دارای حداقل 650 تنطیمات است . اگر بر روی GPO ها Conflict ایجاد شود GPO یی ارجعیت دارد که آخر سر اجرا شده است و اگر Conflict ی ایجاد نشود با هم جمع می شوند به عنوان مثال :

Domain = MS.Com

OU = Engineering

Domain GPO = Domain برای همه کاربران display properties از داخل background پنهان کردن تب

OU GPO = Domain برای همه کاربران display properties از داخل background نشان دادن تب

نتیجه این است که تب نمایش داده شود زیرا OU GPO آخر اجرا شده است .

دوره ی به روز رسانی GPO برای همه کامپیوترهای 2000 و 2003 و خانواده ی آن ها که DC نیستند هر 90 دقیقه یک بار می باشد و DC ها از هم 5 دقیقه یکبار می باشد .

 

وراثت در GPO :

به طور پیش فرض تمام Child object ها تنطیمات GPO را از Parent object به ارث می برند پیش فرض وراثت می تواند با استفاده از block policy inheritance یا no override تغییر کند .

ابزاری که برای پیکربندی GP به کار می رود :

1- Local : از طریق start\ run\ gpedit.msc

2- site : از طریق start \ programs \ Administrative tools \ AD site and Services

3- Domain & OU : start \ programs \ Administrative tools \ AD users and Computers

برای این که کاربر این توانایی را داشته باشد که خود یک GPO برای یک Container بسازد باید یک سری سطح دسترسی خاص را برای آن Container در AD داشته باشد که این سطح دسترسی ها Read ، Write ، Create All Child object می باشد .

پیکرنبدی GPO دو هدف را دنبال می کند به این مفهوم که :

1- چه کسی می تواند آن GPO را مدیریت کند : شما می توانید کاربران و کامپیوترهایی که می توانید GPO را مدیریت کنید تعیین کنید .

2- این GPO قرار است بر روی چه کسانی اجرا شود : شما می توانید کاربران ، کامپیوترها یا هر دوی آن ها را تعیین کنید تا GPO بر روی آن ها اجرا شود .

برای این که یک کاربر بتواند GPO را مدیریت کند به آن کاربر یا گروه باید سطح دسترسی Read یا Write در GPO را تخصیص داد . برای این که یک GPO بر روی یک شخص خاصی اجرا شود و بر روی تنطیمات آن تأثیر بگذارد آن شخص باید سطح دسترسی read و apply را داشته باشد هر کاربری که Authenticate می کند به DC به طور پیش فرض این سطح دسترسی را دارد .

به طور پیش فرض مایکروسافت دو GPO ایجاد می کند :

1- Default Domain GPO : تنطیمات بر روی کاربران و کامپیوترهای Domain اجرا می شود .

2- Default Domain Controller GPO : تنطیمات آن بر روی DC ها در هر Domain اجرا می شود

GPO های فوق به صورت پیش فرض هستند و نباید آن ها را پاک کرد .

 

RSoP ( Resultant Set of Policy ) :

یک سری جزئیات درباره ی همه ی تنطیمات Policy که به وسیله ی Administrator پیکربندی شده به شما می دهد که دارای دو مد است :

1- Planning Mode : می توانید تأثیری را که تنظیمات GP وقتی بر روی یک کامپیوتر یا کاربر اجرا می شود دارد را شبیه سازی کنید .

2- Logging Mode : گزارش می دهد که چه تنطیمات Policy در حال حاضر بر روی کامپیوتر یا کاربری که Logon کرده است در حال اجرا است

 

ابزار RSoP :

1- RSoP snap-in(rsop.msc) : می توانید برای دیدن گزارشات در مورد تنطیمات policy استفاده کنید .

2- Advanced system information ( HTML View ) : نمایش تنظیمات policy هایی که اجرا شده است .

help and Support center \ support \ Advanced system information \ view group policy settings applied

 3- gpresult : نتیجه GP را به شما نمایش می دهد و از طریق خط فرمان است .

/ 0 نظر / 16 بازدید