hiva-network.com

کارگاه تخصصی شبکه - هیوا شبکه

فصل ششم: Group Policy Infrastructure

مقدمه

در فصل اول آموختید که AD DS سرویس های اصلی احراز هویت و تعیین سطح دسترسی (Identity & Access) را مهیا می سازد. در فصل های بعدی با User ها، Group ها، و Computer ها بیشتر آشنا شدید و مدیریت آنها را با ابزار های محدودی که در اختیار داشتید تا حدی آموختید. در این فصل ابزار بسیار قدرتمند تری برای مدیریت Object های اکتیو دایرکتوری به شما معرفی می کنیم: Group Policy

Group Policy امکان یک مدیریت متمرکز را فراهم می کند به گونه ای که از ابزار های دیگر بی نیاز شوید. برخی از مدیران شبکه اقدام به نصب نرم افزار های جانبی در کنار اکتیو دایرکتوری می کنند تا تسلط بیشتری روی شبکه داشته باشند ولی این اشتباه آنها به دلیل عدم شناخت توانمندی های Group Policy است. اگر شما روی این ابزار قدرتمند تسلط پیدا کنید متوجه خواهید شد که نیاز به هیچ گونه نرم افزار جانبی ندارید. به علاوه توصیه می شود که هیچ گونه نرم افزار جانبی در ویندوز سروری که اکتیو دایرکتوری روی آن قرار دارد نصب نشود چون ممکن است باعث باز شدن پورت های اضافی شود و امنیت اکتیو دایرکتوری را به خطر بیاندازد.

در این فصل با مفهوم Group Policy و نحوه کار با Group Policy Object (GPO) آشنا خواهید شد.

 مواردی که برای آزمون باید یاد بگیرید:

  •  Creating & Maintaining Active Directory Objects
  •  Create & Apply GPOs
  •  Configure GPO templates
  •  Maintaining the Active Directory Environment
  •  Monitor Active Directory

 {tab  درس 1: پیاده سازی Group Policy}

Group Policy  دارای چندین بخش است که هر بخش عملکرد خاص خودش را دارد. مهم است که شما درک کاملی از مفهوم و عملکرد هر بخش داشته باشید، هم چنین ارتباط بین این بخش ها را نیز باید به خوبی درک کنید. در این درس با اجزا، وظایف و ساختار Group Policy آشنا می شوید.

 خلاصه درس اول:

  •   هر GPO شامل یک سری Policy است که روی یک هدف اعمال می شود، منظور از هدف  OU یا Domain یا Site می باشد و روی User ها و Computer های داخل آن هدف تنظیمات خود را اعمال می کند.
  •   کامپیوتر های کلاینت به طور متناوب بین 90 تا 120 دقیقه، چک می کنند که آیا GPO جدیدی برای آنها وجود دارد یا خیر. این GPO ها می توانند مربوط به کامپیوتر یا کاربر باشند.
  •   ویندوز سرور از نسخه 2008 به بعد، گزینه جدیدی با عنوان Group Policy Preferences اضافه نمود که شامل بیشتر از 20 عدد CSE برای مدیریت راحت تر Group Policy ها می باشد.
  •   برای داشتن مدیریت متمرکز تر روی Administrator templates می توانید یک Central Store بسازید.
  •  در ویندوز سرور 2008 این قابلیت وجود دارد که به GPO توضیحات اضافه کنید.

{tab  درس 2: مدیریت محدوده یGroup Policy }

یک GPO به طور کلی شامل یک سری تنظیمات است که توسط CSE روی سایر کامپیوتر ها اعمال می شود. تا زمانی که برای یک GPO یک هدف در نظر نگیرید (مثالا یک OU یا Site) آن GPO روی هیچ User یا Computer اعمال نخواهد شد. در واقع هدف یک GPO مشخص می کند که کدام کامپیوتر ها پذیرای تنظیمات GPO باشند و کدام کامپیوتر ها نه.

برای مشخص کردن هدف یک GPO روش های مختلفی وجود دارد از جمله:

  • لینک کردن GPO به Site یا Domain یا OU ، چه آن لینک فعال باشد و چه غیر فعال.
  • Enforce کردن GPO
  • جلوگیری کردن از ارث بری در OU
  • Security group filtering
  •  WMI filtering
  • فعال کردن یا غیر فعال کردن Policy
  • استفاده از Preference ها
  • Loopback policy processing

در این درس با انواع هدف های GPO آشنا می شوید.

 خلاصه درس 2:

  •  یکی از راحت ترین راه های انتخاب هدف برای GPO ، لینک کردن GPO مورد نظر به OU یا Site یا Domain مورد نظر است. می توانید با کمک Security Filtering و یا WMI Filtering استفاده بیشتری از یک GPO داشته باشید.
  • سلسله مراتب تاثیر پذیری Object ها از GPO ها:

1.       Object ها در مرحله اول از همان GPO ی تاثیر می پذیرند که Group آنها در لیست Security Filtering آن GPO قرار گرفته باشد.

2.       دوم از GPO ی که به Site آنها Link شده باشد.

3.       سوم از GPO ی که به Domain  آنها Link شده باشد.

4.       چهارم از GPO ی که به OU آنها Link شده باشد.

  •   همان طور که می دانید Policy ها از طریق ارث بری منتقل می شوند، اگر می خواهید جلوی ارث بری را بگیرید کافیست Group Policy Management را باز کنید، سپس روی OU یا Domain مورد نظر کلیک راست کرده و Block Inheritance را انتخاب کنید.
  •  Enforce کردن یک GPO دو قابلیت برای شما فراهم می کند: GPO حتی روی بخش هایی که Block Inheritance شده باشند هم تاثیر می گذارد. دوم اگر دو Policy با یکدیگر تضاد داشته باشند Policy اعمال می شود که GPO آن Enforce شده باشد.
  • با کمک بخش Security Filtering می توانید مشخص کنید GPO روی چه Group هایی اعمال شود. فقط Group هایی را می توان در این Security Filtering اضافه کرد که Global Security باشند، یعنی Group Type آنها از نوع Security ، و Group Scope آنها ازنوع Global باشد.
  •   به طور کلی Policy ها یا User Configuration هستند و یا Computer Configuration . سیستم عامل ویندوز در هنگام Log on شدن یک کاربر، از سرور Domain Controller سوال می پرسد که آیا policy جدیدی برای آن وجود دارد یا خیر، پس از آن به طور پیشی فرض هر 120- 90 دقیقه چک می کند که Policy  جدیدی وجود دارد یا خیر. (آیا می دانید که حکمت و فلسفه 120- 90 دقیقه چیست؟ تصور کنید که ویندوز هر 90 دقیقه چک کند که Policy جدیدی برایش وجود دارد یا خیر، در سازمانی شروع ساعت کاری آن مثلا 8 صبح است و تمام کارمندان ساعت 8 صبح کامپیوتر خود را روشن می کنند، 90 دقیقه بعد یعنی ساعت 9:30 تمام کامپیوتر بسمت سرور هجوم می آورند تا چک کنند که Policy جدیدی برای آنها وجو دارد یا خیر، با توجه به افزایش ناگهانی ترافیک شبکه احتمال منفجر شدن شبکه بسیار بالا می رود J به همین دلیل یک بازه زمانی تعریف شد که ویندوز به صورت رَندم یکی از دقایق این بازه را انتخاب کند تا آن فشار ناگهانی و لحظه ای روی یک بازه ی 30 دقیقه ای پخش شود. - مترجم)
  •  چنانچه یک Policy که از نوع User Configuration با یک Policy دیگر از نوع Computer Configuration تداخل یا تضاد داشته باشد به طور پیش فرض User Configuration نسبت در اولویت است. Loopback Policy Processing زمانی مفید است که بخواهید این پیش فرض را تغییر دهید. اگر Loopback Processing را فعال کنید و در حالت Merge قرار دهید هم Policy های User Configuration و هم Policy های Computer Configuration اعمال می شود با این تفاوت که Computer Configuration در اولویت قرار خواهد داشت. اگر آن را در حالت Replace قرار دهید فقط و فقط Policy های Computer Configuration اجرا خواهند شد.

{tab  درس 3: پشتیبانی از Group Policy}

درک و آنالیز Group Policy ها ممکن است کمی پیچیده شود، مخصوصا زمانی که چندین GPO با چندین روش مختلف روی چندین Object اعمال شوند. یک مدیر شبکه باید به خوبی بتواند Group Policy را آنالیز کند، خطا یابی کند، مشکلات احتمالی را پیش بینی کند، و بتواند اشکالاتی که پیش آمده را برطرف کند. ویندوز در این زمینه دو ابزار خوب داراست: Resultant Set of Policy (RSoP)  و  Group Policy Operational Logs که در این درس با آنها آشنا خواهید شد.

 خلاصه درس 3:

  •  ابزار RSoP از روش قابل استفاده است: روش اول استفاده از Group Policy Result Wizard است که در بجای نام اصلی نویسنده مطلب بنویسید">ایجاد توسط نام مستعار
  • تقویم
  • تقویم
  • تقویم
  •  

گزینه های مطلب


تنظیمات صفحه ویرایش

گزینه های متا

روزی یک خط، فرمان با خط فرمان

با هر کامپیوتر یا Device ای که تازگیا داخل LAN باهاش در تماس بودی، IP و MAC اون رو ببین:
ARP /a

بیشتر بگو!

دوره های جدید

 

کانال تلگرام و اینستاگرام هیوا شبکه

telegram Hivashabakeinstagram hiva.network

تجهیزات شبکه

هر جای ایران که هستید...
ما پشتیبان و مشاور شما هستیم...

 

سامانه مشاوره و پشتیبانی

سازمان ها و ادارات ...

کارخانه ها و شرکت ها ...

 

تا راه اندازی و نگهداری از

سرویس های شبکه شما ...

با ما در تماس باشید ...

 

تلفن: 33241269-13

تلفن: 33260041-13

ایمیل: info@hiva-network.com

محصول ویژه برای شما

در جستجوی محصول آموزشی خاصی هستید اما هرچه جستجو می کنید آن را نمی یابید ؟

به ما بگویید...