hiva-network.com

کارگاه تخصصی شبکه - هیوا شبکه

فصل هفتم: Group Policy Settings

مقدمه

در فصل گذشته با کلیت Group Policy ها آشنا شدید مثلا با ساختار آنها، پیاده سازی آنها، اولویت بندی آنها، و... اکنون بهتر است که کمی دقیق تر و ریز تر به این بحث نگاه کنیم. در این فصل می آموزید که چگونه policy های مربوط به امنیت و نصب نرم افزار را شناسایی کنید و چگونه به بهترین شکل از آنها بهره ببرید. هم چنین با Security Configuration Wizard آشنا می شوید که به شما کمک می کند تا تشخیص دهید که بر اساس Role ی که روی سرور شما نصب شده است (مثلا DHCP یا Active directory یا ...) بهتر است از Policy هایی برای تنظیمات امنیتی استفاده کنید. در پایان این فصل هم Auditing  را مورد بررسی قرار می دهیم تا بهتر بتوانید اعمالی که توسط کاربران انجام می شود را نظارت کنید.

 مواردی که برای آزمون باید یاد بگیرید:

  •  Creating & Maintaining Active Directory objects
  • Create & apply Group Policy Objects (GPOs)
  •  Configure GPO templates
  •  Configure audit policy by using GPOs

 

 درس 1 :واگذاری اختیارات پشتیبانی از کامپیوترها 

در سازمان های بزرگ که شبکه های بزرگی نیز دارند مدیر شبکه معمولا یک یا چند دستیار دارد که به آنها Help Desk یا Desktop Support یا Support گفته می شود. هر چند که از این Help Desk ها انتظار نمی رود تا در فعالیت های بنیادین شبکه مشارکت داشته باشند مثل طراحی شبکه یا ارتقا شبکه، اما انتظار می رود تا خطایابی، انجام تنظیمات شبکه، کمک به رفع مشکلات کلاینت ها و فعالیت هایی نظیر آن را انجام دهند. برای انجام بعضی از این فعالیت ها، لازم است که Help Desk ها برخی از اختیارات Administrator را داشته باشند. به همین دلیل باید عضو Local Administrators Group باشند تا بتوانند روی کلاینت ها اختیار کامل داشته باشند. اما نباید Domain Administrators Group باشند چون قرار نیست کنترل کامل شبکه را در اختیار داشته باشند. بهتر است یک Group برای آنها ایجاد کنید و آنرا عضو Local Administrators Group کنید. در این درس می آموزید تا چگونه این کار را انجام دهید.

اگر معنی واژه Delegation را فراموش کرده اید یاد آوری می کنم که Delegation به معنی تفویض بخشی از قدرت خود به دیگری است ، و در اینجا همان عملی است که Administrator برای دستیارانش می کند.

 خلاصه درس 1:

  •  اگر می خواهید که Help desk ها بخشی از اختبارات مدیر شبکه را داشته باشند باید توانایی مدیریت گروه Administrators کامپیوتر ها را داشته باشید تا بتوانید Help Desk ها را عضو آن کنید.
  • تب “Member of” در هر Group مشخص می کند که آن Group عضو چه Group های دیگری است. می توانید یک Group برای Help Desk های خود ایجاد کنید و سپس آنرا عضو Group های مناسب کنید.
  • تب “Members” در هر Group مشخص کننده اعضای آن Group است. می توانید یک Group  برای Help Desk های خود ایجاد کنید و سپس اعضای آنرا از این تب به اضافه کنید.

درس 2 : مدیریت تنظیمات امنیتی

برای بسیاری از مدیران شبکه، امنیت نگرانی شماره یک است. ویندوز سرور 2008 در این زمینه پیشرفت خوبی نسبت نسخه های قبلی داشته است مثلا تنظیمات امنیتی که برای پورت های باز در نظر گرفته، تمهیداتی که برای که برای پکت های ارسالی یا دریافتی در نظر گرفته،  Right ها و Permission های کاربران، Auditing ، و... .  لازم است یاد بگیرید که چگونه از امکانات امنیتی ویندوز سرور 2008 به درستی استفاده کنید و متناسب با سرور خود بهترین تنظیمات ممکن را پیدا کنید. نمی توان یک فرمول یکسان برای تنظیمات امنیتی همه سرور ها تعریف کرد چون هر سرور، وظیقه و کار معینی را انجام می دهد و بنا به وظیفه خود نوع خاصی از امنیت را نیاز دارد. تنظیمات امنیتی علاوه بر نقشی که هر سرور ایفا می کند تابع دو فاکتور دیگر نیز هست: نوع سیستم عامل هایی که ویندوز سرور قرار است با آنها در ارتباط باشد(هر چه سیستم عامل ها متنوع تر باشند سطح امنیت پایین می آید) و سیاست های امنیتی سازمان. این هنر شماست که کشف کنید بهترین شکل تنظیمات برای هر سرور در شبکه شما چیست.

 خلاصه درس 2:

  • می توانید از طریق هر کامپیوتر کلاینت هم یک سری Policy اعمال کنید. (چنانچه می خواهید policy های مربوط به امنیت را ببینید کافیست در استارت ویندوز secpol.msc را تایپ کنید، اگر می خواهید تمام Policy ها را ببینید gpedit.msc را تایپ کنید. نکته دوم اینکه اگر کامپیوتر شما عضو شبکه Domain باشد Policy هایی که از طرف Domain Controller اعمال می شوند نسبت به Policy های خود کامپیوتر در اولویت بالاتری هستند - مترجم)
  • MMC.exe را باز کنید و در بخش Add/Remove Snap-in ، Security Templates را اضافه کنید. در Security Templates می توانید تنظیمات امنیتی بیشماری را تعریف کنید.
  • یک Snap-in دیگر می توان در MMC اضافه کرد به نام Security Configuration and Analysis که کارکرد مشابه Security Templates دارد البته نسبت آن گسترده تر است.
  • دستور Secedit می تواند عملکرد Security Configuration and Analysis Snap-in را انجام دهد حتی آنرا گسترش دهد.

 درس 3 :مدیریت نصب نرم افزاراز طریقGroup Policy

احتمالا با ابزار های Deploy کردن نرم افزار در ویندوز سرور آشنا هستید مثلا Microsoft System Center Configuration Manager ، یا Microsoft Systems Management Server . (یادآوری: منظور از Deploy کردن یک نرم افزار، نصب آن روی کامپیوتر های کلاینت از طریق سرور است). این ابزار ها مزایای خاص خودشان را دارند مثلا اندازه گیری میزان استفاده از نرم افزار، با این وجود برای Deploy کردن یک نرم افزار معمولا Group Policy ترجیح داده می شود چون تنظیمات بیشتری نسبت به ابزار های گفته در اختیار ما قرار می دهد.

این درس اختصاص دارد به نصب نرم افزار روی کامپیوتر های کلاینت از طریق Group Policy در سرور، با ما همراه باشید.

 خلاصه درس 3:

  •  با استفاده از Group Policy Software Installation (GPSI) می توانید یک نرم افزار را Deploy کنید، حذف کنید، و حتی Upgrade کنید.
  •   برای نصب نرم افزار یک GPO ایجاد کنید سپس به بخش Computer Configuration آن بروید و در بخش Software Installation به ازای هر نرم افزاری که می خواهید نصب کنید یک Software Package ایجاد کنید. (توصیه می شود که policy مربوط به نصب نرم افزار از نوع Computer Configuration باشد- مترجم)
  •   می توانید Policy نصب نرم افزار را از نوع User Configuration هم انتخاب کنید. در این صورت آن کاربر یا کاربران روی هر کامپیوتری که Log on کنند نرم افزار برای شان نصب می شود.(آن نرم افزار به صورت نصب شده باقی می ماند ولی کاربران دیگر نمی توانند از آن استفاده کنند). از مهم ترین نقص های Policy که از نوع User Configuration باشد عبارتند از: نصب یک نرم افزار که باعث سنگین تر شدن ویندوز می شود ولی فقط توسط یک کاربر قابل استفاده است، دوم اینکه آن کاربر روی هر کامپیوتری که Log on کند این اتفاق تکرار می شود به علاوه زمانی در ابتدا صرف نصب آن می شود- مترجم)
  •  نرم افزار را چه User Configuration و چه Computer Configuration نصب کنید نام آن در بخش Programs & Features سرور و کلاینت نمایش داده می شود. (البته کاربران اگر اجازه داشته باشند می توانند در کنترل پنل کامپیوتر خود نام آنها را ببینند)
  •  اگر سرعت شبکه شما پایین باشد GPSI عمل نخواهد کرد.

درس 4 : نظارت

Auditing در زبان فارسی با نام های گوناگونی ترجمه شده مثلا بازرسی، ممیزی، نظارت، رسیدگی، حسابرسی و... . که هیچ کدام از این نام ها نمی تواند به اندازه خود Auditing مفهوم آنرا برساند.

Auditing بخش مهمی از امنیت محسوب می شود ولی در حقش کمی ظلم شده چون معمولا کاربران هیچ توجهی به آن نمی کنند. Auditing log ها فعالیت های شبکه سازمان را ثبت می کند برای مشاهده آنها کافیست که Event Viewer را باز کنید، روی Windows logs  و سپس روی Security کلیک کنید. در این بخش مشاهده خواهید کرد که چه فعالیت هایی توسط چه کاربرانی انجام گرفته است.

Auditing سه ابزار در اختیار شما قرار می دهد: Audit  Policy ، Auditing  settings & objects ، و Security Logs . در این درس می آموزید که این سه بخش چه هستند و چه می کنند. با ما همراه باشید.

 خلاصه درس 4:

  •  Audit  Policy ها تعریف شده اند تا برخی از Event های خاص را ثبت کنند مثل Log on شدن کاربر، دسترسی به یک Object، تغییر مسیر یک فایل یا فولدر و...
  • Auditing ویندوز سرور 2008 پیشرفت خوبی داشته و می تواند اطلاعات کاملی در مورد تغییر در Object های AD در اختیار قرار می دهد، کافیست از دستور Auditpol استفاده کنید.

 خلاصه فصل

  • Group Policy ابزار قدرتمندی است که یک مدیر شبکه حتما لازم است بر آن تسلط داشته باشد. استفاده های گوناگونی می توان از Group Policy داشت مثلا پیاده کردن تنظیمات امنیتی، مدیریت نرم افزار های کلاینت ها، Auditing و...
  • در کنار Group Policy Management Console (GPMC) ابزار های دیگری وجو دارند که می توانند Group Policy ها را مدیریت کنند مثل Group Policy Management Editor ، Security Configuration Wizard ، دستور Scwcmd ، دستور Auditpol
  • بسیار مهم است که بدانید چگونه برای GPO ها هدف تعیین کنید. اغلب از این موضوع در امتحان بین المللی MCITP یک یا چند سوال می آید (نکته کنکوری J)
  • Security Configuration Wizard بر اساس Role ی که روی یک سرور نصب کرده اید می تواند مشخص کند که چه Policy هایی برای آن سرور مناسب تر است.
  • با استفاده از Group Policy میتوانید یک نرم افزار را از طریق سرور هم برای کامپیوتر نصب کنید و هم برای کاربر، ولی توصیه می شود که نرم افزار را برای کاربر نصب نکنید.

روزی یک خط، فرمان با خط فرمان

با هر کامپیوتر یا Device ای که تازگیا داخل LAN باهاش در تماس بودی، IP و MAC اون رو ببین:
ARP /a

بیشتر بگو!

دوره های جدید

 

کانال تلگرام و اینستاگرام هیوا شبکه

telegram Hivashabakeinstagram hiva.network

تجهیزات شبکه

هر جای ایران که هستید...
ما پشتیبان و مشاور شما هستیم...

 

سامانه مشاوره و پشتیبانی

سازمان ها و ادارات ...

کارخانه ها و شرکت ها ...

 

تا راه اندازی و نگهداری از

سرویس های شبکه شما ...

با ما در تماس باشید ...

 

تلفن: 33241269-13

تلفن: 33260041-13

ایمیل: info@hiva-network.com

محصول ویژه برای شما

در جستجوی محصول آموزشی خاصی هستید اما هرچه جستجو می کنید آن را نمی یابید ؟

به ما بگویید...