معرفی کنسول Group Policy Management در ویندوز سرور 2008

[VHAhoora]

در این تاپیک میخواهم درباره کنسول مهم Group Policy مقالات کاربردی رو ارسال کنم .
منبع این نوشته های از سایت itpro میباشد .


Group Policy چیست؟

Group Policy ساختاری است که برای اعمال مجموعه ای از تنظیمات یا سیاست ها (حال یا امنیتی یا غیرامنیتی) به مجموعه ای از کاربران و کامپیوترهای یک ساختار اکتیودایرکتوری بکار می رود.شما از طریق Group Policy یا به اختصار GP می توانید یک سری تنظیمات امنیتی و کاربری را در سیستمتان انجام دهید ، در کامپیوترهای Local یا کامپیوترهایی که به عنوان سرور استفاده می شدند و دارای دامین کنترلر و اکتیودایرکتوری نیستند شما می توانستید یک GP را به مجموعه ای از کاربران Assign یا اعمال کنید ولی در شبکه که دارای دامین کنترلر و اکتیودایرکتوری است شما می توانید بینهایت GP را به کامپیوترها، کاربران و OU ها Assign کنید ، Group Policy دراین شبکه ها یک Object می باشد و شما میتوانید به ازای هرکدام از Object ها در دامینتان ، یک GP داشته باشید ،از اینرو به آن Group Policy Object یا به اختصار GPO مینامند.نکته ی دیگری که باید دقت کنید این است که شما به یک کاربر یا کامپیوتر بیشتر از 999 GPO نمی توانید اعمال کنید.البته لازم به ذکر است که طراحی GP مبحثی است که در حوصله ی این مقاله نمیگنجد.

سطوح مختلف اعمال Group Policy

Group Policy درسطوح مختلفی وجود دارد که از نظر اولویت به ترتیب زیر می باشند :

• Local Group Policy اولویت اول
• Site Group Policy اولویت دوم
• Domain Group Policy اولویت سوم
• OU Group Policy اولویت چهارم

همانطور که از اسم هر سطح پیداست،LGP ،GP مربوط به سیستمهای local است.DGP هم GP های اعمال شده به دامین کنترلر می باشد.SGP هم GPهای اعمال شده به سایت ( به فضایی که سیستم ها در آن قرار میگیرند سایت گفته می شود ) می باشد و UGP هم GP هایی است که به هر OU اعمال می شود.حال نکاتی را باید در نظر داشته باشید:

• به صورت پیش فرض تمامی سیستم ها قبل از آنکه به عضویت دامین در آیند از LGP یا local group policy تبعیت می کنند.
• به صورت پیش فرض اگر به هیچکدام از OU ها یا سایت ، GP اعمال نشود،از GP مربوط به دامین استفاده می کنند.

GPOهای ساخته شده بصورت پیشفرض

برای اینکه به کنسول مدیریتی Group Policy Management دسترسی پیدا کنیم می بایست در Run تایپ کنیم gpmc.msc و بعد OK را بزنیم تا این کنسول نمایان شود مانند شکل زیر:

همانطور که در شکل مشاهده می کنید در اینجا دامین ما وجود دارد و به ما نشان میدهد که چه OUهایی داریم و چه Policyهایی به آنها Assign شده ، در Group Policy Management به صورت پیشفرض دو عدد GPO وجود دارد که خود به طور پیشفرض یک سری تنظیمات امنیتی در آنها وجود دارد:

• Default Domain Policy : که Policy های تنظیم شده دراین قسمت ،به کامپیوترها و یوزرهای Join شده به دامین را اعمال میشود.
• Default Domain Controller Policy : که Policy های اعمال شده به این قسمت ،تنها به دامین کنترولرهای شبکه اعمال میشود.

ایجاد ، حذف و لینک کردن GPO

برای اینکه یک GPO درست کنیم بر Group Policy Objects راست کلیک میکنیم و New را میزنیم و در پنجره باز شده یک نام برای آن نوشته و OK میکنیم تا GPO ساخته شود.حالا برای اینکه این GPO را به یک OU ، Assign کنیم می بایست روی OU راست کلیک کرده و Link an Existing GPO را بزنیم سپس در پنجره باز شده لیست Group Policy Object های ساخته شده نشان داده میشود و GPO مد نظر خود را انتخاب می کنیم تا Assign شود. برای اینکه یک GPO را از OU برداریم می بایست بر روی GPO ی Link شده در مسیر OU مد نظر ، راست کلیک کرده و Delete را بزنیم دقت داشته باشید که از این روش تنها لینک از OU پاک میشود و برای پاک کردن GPO بصورت کامل میبایست GPO مد نظر را از مسیر Group Policy Objects پاک کنیم .با راست کلیک بر روی Group Policy Objects میتوانید لیست GPOهای ساخته شده را مشاهده کنید و با راست کلیک بر روی هرکدام از آنها و انتخاب Edit وارد تنظیمات GP آن شوید.در Group Policy تنظیمات بسیار زیادی وجود دارد که برای آشنایی بیشتر آن می توانید به مقاله مهمترین تنظیمات Group Policy در ویندوز سرور 2008 مراجعه کنید.


آشنایی با تب های موجود در تنظیمات OU و GPO

با کلیک بر روی GPO مد نظر در سمت راست تصویر یک سری تنظیمات را مشاهده می کنید به شکل زیر نگاه کنید :

در تب Scope می توانیم ببینیم که این GPO به کجاها Assign شده است. در قسمت Links می بینیم که این GPO به چه Siteها ، Domainها و یا OUهایی Assign شده و در قسمت پایین تر یعنی Security Filtering میتوانید مشخص کنید که این GPO چه یوزرها ، گروهها و یا کامپیوترهایی را تحت تاثیر قرار داده است ، همانطور که مشاهده می کنید در اینجا Authenticated users به صورت پیشفرض وجود دارد به این معنی که GPO ساخته شده میتواند تمامی یوزرها ، گروهها و یا کامپیوترهایی که احراز هویت شده اند و دارای username و password ( که البته این پسورد می تواند blank باشد ) هستند را تحت تاثیر قرار می دهد.

تب بعدی Details هست که در آن میتوانید وضعیت GPO را مشاهده کنید همچنین میتوانید تعیین کنید که این GPO به کامپیوترها اعمال شود یا یوزرها ، هیچکدام و یا هر دو آنها .

تب بعد Setting هست که گزارش میدهد که چه تغییراتی در این GPO انجام شده.

و در تب آخر که Delegation هست شما می توانید انجام یک سری از تنظیمات را به کاربران واگذار کنید.از آنجا که در شبکه های بزرگ یا متوسط ، چندین نفر در بخش شبکه مشغول فعالیت هستند از اینرو هر شخص وظایف مختلفی خواهند داشت.در این بخش شما می توانید کارها را در شبکه تقسیم بندی کنید و به هر شخص متناسب با کاری که باید انجام دهد ، دسترسی هایی را تعریف کنید.بدینصورت که یک یوزر را Add میکنید بعد روی یوزر کلیک کرده و Advanced را می زنید و Permission های مد نظر خود را اعمال می کنید. خوب حال در سمت چپ شما می توانید کلیه OU هایی که ایجاد کرده اید را مشاهده کنید. اگر بر روی هر OU درسمت چپ کلیک کنید گزینه های زیر را مشاهده خواهید کرد ، با هم نگاهی کوتاه به آنها می اندازیم:

تب اول Linked Group Policy Objects که GPOهای لینک شده به OU را به ترتیب اولویت نشان میدهد.

تب دوم Group policy Inheritance هست که نشان میدهد که چه GPOهایی و با چه اولویتهایی به آن Assign شده اند.

و تب سوم Delegation هست که برای واگذاری تغییر تنظیمات به عهده کاربر است.

 

[VHAhoora]

رفع اشکال

رفع اشکال در مبحث Group Policy بسیار مهم هست ، در اینجا دو روش رفع اشکال به شما معرفی می کنم ، شما ممکن است یک GPO را به OU ای Assign کنید ولی ببینید که اثر نکرده و یا اولویتهای اثر آن با آن چیزی که اتنظار می رفت متفاوت بوده ، در اینجا شما می توانید بر OU مد نظر کلیک کرده و در سمت راست ، در تب Group policy Inheritance به ترتیب اولویت ، GPO هایی که به آن Assign شده و می بایست اعمال شود را مشاهده کنید.به شکل زیر دقت کنید:

خوب حالا اگر با استفاده از این روش باز هم نتیجه مطلوبی دریافت نکردیم چه کنیم؟ یکی دیگر از راهها استفاده gpresult است اگر ما بخواهیم ببینیم که به یک کاربر و کامپیوترش چه GPO هایی Assign شده می توانیم پشت کامپیوتر آن کاربر نشسته و با وارد کردن دستور زیر در Command Prompt یک گزارش از پالیسی های Assign شده بگیریم ، خروجی این دستور در مسیر درایو C و در فایلی به نام result.txt ذخیره می گردد.
1
Gpresult –z >c:\result.txt
اما در شبکه های بزرگ ، رفتن پای سیستم کاربر کار وقت گیری هست ، حالا چاره چیست ؟ شما می توانید وارد اکتیو دایرکتوری شوید ( در Run بنویسید dsa.msc ) و بر روی کاربر مد نظر راست کلیک کنید و در منوی باز شده وارد All Tasks شده:

• Resultant Set Of Policy Planning : برای اینکه ببینیم چه تنظیماتی میبایست به کاربر اعمال شود.
• Resultant Set Of Policy Logging : برای اینکه ببینیم در حال حاضر چه نتظیماتی به کاربر اعمال شده است.

بدلیل اینکه قصد تشریح این دو گزینه را نداریم با هم ساده ترین راه استفاده از این دو مورد را بررسی می کنیم.ابتدا Resultant Set Of Policy Planning را می زنیم ، پنجره ای به شکل زیر باز میشود :

مانند شکل بالا بر Computer کلیک کرده و آدرس یک کامپیوتر را به آن می دهیم تا گزارش گیری با توجه به استفاده کاربر از آن کامپیوتر محاسبه گردد ، همچنین گزینه Skip to the final page of this wizard without collecting additional data را تیک میزنیم ادامه داده و در پایان Finish میکنیم ، در نهایت یک پنجره برای ما نمایان میشود که در آن میتوانیم Policyهایی که میبایست برای کاربر و کامپیوتر مشخص شده ، اعمال شود را بصورت جداگانه مشاهده کنیم. همچنین میتوانیم موقع بستن پنجره آن را در حافظه با پسوند msc ذخیره کنیم تا در دفعات بعد با اجرای آن ، تغییرات را در همان زمان مشاهده کنیم .Resultant Set Of Policy Logging را اگر بزنیم پنجره ای مشابه پنجره قبلی نمایش داده میشود اما کمی ساده تر، به شکل زیر نگاه کنید

اگر This Computer را بزنیم تنظیمات با توجه به کامپیوتری که در آن هستیم محاسبه میگردد ، Another Computer را انتخاب میکنیم و آدرس یک کامپیوتر را به آن میدهیم تا گزارش گیری با توجه به استفاده کاربر از آن کامپیوتر محاسبه گردد سپس Next میکنیم تا آخر Fnish کرده و نتایج را مانند مورد قبلی ملاحظه میکنیم. فقط به این نکته دقت داشته باشید که در طی انجام این مراحل ممکن است با پیغام زیر برخورد کنید:

در چنین مواقعی شما میبایست در فایروال کامپیوتری که یوزر مد نظرتان با آن لاگین کرده ، رول (Windows Management Instrumentation (WMI-In را Enabled کنید.جناب مهندس نصیری در خصوص رفع اشکال GPO مطلبی در سایت تحت عنوان ساده ترین روشهای رفع مشکلات Group Policy ارائه دادند که پیشنهاد می کنم حتما مطالعه کنید.

ترتیب اثر در OU Group Policy

ترتیب اثر پالیسی ها یا اولویت اثر آنها به گونه ای هست که چنانچه یک Policyدر OU والد تنظیم شده باشد و در OU فرزند نیز همان Policyتنظیم شده باشد، Policy فرزند بر Policy والد برتری خواهد داشت و سیاست فرزند اعمال خواهد شد. در واقع Policy والد بی اثر خواهد بود . پس Policy والد در اولویت است. برای مثال به شکل زیر نگاه کنید :

در این شکل در مواقعی که دو یا چند پالیسی یکسات در GPOها اعمال شده باشد Policy 2 بر روی Policy 1 اولویت داشته و همچنین Policy3 بر تمامی اینها اولویت دارد یعنی اگر تنظیماتی در Policy 3 داشته باشیم و مشابه آن را در Policy 1 و Policy 2 داشته باشید ، سیاستهای در Policy 1 در شبکه اعمال میشود.
اگر بخواهیم کاری کنیم که یک OU تنظیمات خود را از بالاسری خود نگیرد چه کنیم؟ در این حالت روی OU مد نظر راست کلیک کرده و Block Inheritance را میزنیم ، همچنین با راست کلیک بر روی GPO و انتخاب Enforce کاری میکنیم که GPO ما ، تنها سیاستهای اعمال شده ی خود را در بالاترین اولویت قرار دهد. به بیانی دیگر اگر ما بر GPO مد نظر خود Enforce را بزنیم در صورتی که همان Policy در GPOهای دیگر وجود داشته باشد، Policy ای که در GPOی Enforce شده وجود دارد اولویت بالاتری داشته و اعمال میشود.از ترکیب Enforce و Block Inheritance در یک GPO میتوانیم کاری کنیم که تنها تنظیماتی که در آن GPO داشته ایم در بالاترین اولویت قرار گیرد همچنین هیچ تنظیماتی را هم از بالاسر خود هم نگیرد. حالا اگر چند GPO را یکجا در OU داشتیم چطور اولویت آن را تعیین کنیم؟ شما خیلی راحت میتوانید با کلیک بر OU مورد نظر در سمت راست ، در تب Linked Group Policy Objects لیست GPOهای لینک شده را به ترتیب اولویت مشاهده و با ابزاری که در شکل مشخص شده اولویت آن را تغییر دهید.

Backup گیری از Group Policy Object

وارد Group Policy Objects شوید و بر GPO ای که می خواهید نسخه پشتیبانی تهیه کنید راست کلیک کرده و Back Up… را انتخاب کنید

در اینجا در قسمت Location آدرس فولدری که میخواهید نسخه پشتیبانی در آن ذخیره شود میدهیم و در قسمت Description میتوانیم یکسری توضیحات را برای آن بنویسیم و بعد Backup را میزنیم تا نسخه پشتیبانی گرفته شود.همچنین برای Restore کردن آن میتوانید بر روی Group policy objects راست کلیک کرده و Manage Backups را بزنیم و در ادامه پنجره ای باز شده که در آن Browse را میزنیم ، آدرس فولدری که نسخه پشتیبانی در آن ذخیره شده را میدهیم و OK میکنیم سپس لیست GPOهای Backup گرفته شده در آن فولدر نمایش داده میشود و روی موارد مورد نیاز کلیک کرده و Restore را میزنیم. مانند شکل زیر:

شما میتوانید با راست کلیک بر روی Group policy objects و انتخاب Backup All از کلیه GPOها نسخه پشتیبانی تهیه کرده و با روشی مشابه روش قبل آن را Restore کنید.


استفاده از الگو برای ایجاد GPO

در Group Policy Management ، Starter GPOs دیده میشود که بوسیله آن میتوانید یک الگو برای GPO ایجاد کرده و تنظیمات مورد نظر خود را در آن انجام دهید ، سپس در هنگام ایجاد GPO جدید تعیین میکنید که GPO ساخته شده از چه الگویی پیروی کند.

برای ساخت الگو بر روی Starter GPOs راست کلیک کرده و New را میزنیم در پنجره باز شده یک نام برای آن وارد می کنیم و میتوانیم یه سری توضیحات هم برای آن بنویسیم ، OK میکنیم تا الگوی ما ساخته شود سپس روی الگوی ساخته شده راست کلیک کرده و Edit میکنیم تا پنجره ی Group Policy Starter GPO Editor جلوی ما نمایان شود که در آن سیاست های مد نظر خود را وارد می کنیم.خوب تا اینجا یک الگو ساخته ایم ، برای اینکه از این الگو یک GPO ایجاد کنیم بر Group Policy Objects راست کلیک میکنیم و New را میزنیم و در پنجره باز شده یک نام برای آن نوشته و در پایین در قسمت Source Starter GPO لیست الگوهای ایجاد شده را مشاهده میکنیم که بر حسب نیاز روی الگوی مد نظر کلیک کرده و OK میکنیم مانند

 

[VHAhoora]

Update کردن Group policy از طریق Cmd
همه ی شما میدانید که برای اعمال کردن تغییراتی که در Goup policy انجام داده اید باید یا سیستم را Restart کنید و یا اینکه از Commandprompt ویندوز استفاده کنید تا بتوانید براحتی و بدون Restart کردن سیستم این کار را انجام دهید چراکه در همه ی زمان ها نمیتوان سیستم را restart کرد پس باید دستوراتی وجود داشته باشد که بوسیله ی آن بتوانید تغییرات اعمال شده در group policy را اعمال کنید.دستوری که در این مقاله به شما آموزش داده میشود تا بوسیله ی آن این تغییرات داده شده را اعمال کنید دستور Gpupdate میباشد که در ادامه انواع آن را برای شما شرح خواهم داد. برای انجام شدن این دستور شما باید ابتدا commandprompt را با دسترسی administrators باز کنید و در آن دستور gpupdate را بزنید.دستور gpupdate تنها برای کلاینت ها استفاده میشود یعنی اگر شبکه ی شما یک شبکه ی workgroup است و تحت کنترل domain نیست برای اعمال تغییرات پالیسی میتوانید از همین دستور استفاده کنید و همانطور که برای شما نشان میدهد پیام update successfully را نشان داده و میتوانید از آن خارج شوید اما برای اطمینان از اعمال شدن group policy بهتر است این دستور را دوبار تکرار کنید.

نوع دیگر دستور gpupdate به فرم gpupdate /force /boot میباشد که از این دستور برای سرور استفاده میشود و زمانی که شبکه ی شما به صورت متمرکز و از طریق activedirectory و تحت domain میباشد برای اعمال کردن تغییرات پالیسی باید از این دستور استفاده کنید تا همه ی کلاینت ها را مجبور به دریافت تغییرات پالیسی کنید البته بر خلاف تصوری که در ذهن خیلی ها وجود دارد هیچوقت server تغییرات پالیسی را به زور به کلاینت ها اعمال نمیکند بلکه این خود کلاینت ها هستند که درخواست برای update شدن پالیسی برای server ارسال میکنند تا تغییرات پالیسی را برای خود ذخیره کنند و این کار در شبکه هر 90 دقیقه انجام میشود یعنی تمامی کلاینت ها هر 90 دقیقه برای server درخواست میفرستند که پالیسی آنان update شود.

دستور دیگری که برای اعمال پالیسی وجود دارد باز هم gpupdate میباشد اما به فرم gpupdate wait:value که بجای value شما میبایست عددی را معرفی کنید که مدت زمانی است که پردازش پالیسی به پایان میرسد که اگر مقدار 0 را برای آن بگذارید بدون وقفه ای پردازش پالیسی را به پایان میرساند.نوع دیگر دستور برای اعمال پالیسی دستور {gpupdatetarget:{computer|user هستش که اگر فقط computer را بنویسید آنگاه پالیسی مربوط به computer configuration را update میکند و اگر user بنویسید که پالیسی user configuration را update میکند زیرا همانطور که میدانید پالیسی در دو مورد مجزا اعمال میشود یکی user configuration و دیگری computer configuration میباشد که user configuration به هنگام log on و log off کردن user اعمال کیشود و computer configuration به هنگام shutdown و start کردن سیستم اعمال میگردد.برای مثال در شکل زیر ما پالیسی را به computer configuration اعمال کردیم.

دستور دیگر برای اعمال پالیسی gpupdate boot میباشد که در این دستور پس از update شدن group policy و restart شدن کلاینت ها شروع به اعمال شدن میکند تا زمانی که کلاینت ها خاموش شوند.و در انتها آخرین دستور که gpupdate logoff میباشد و زمانی پالیسی اعمال میشود که user log on کند و برای مثال شروع به نصب نرم افزاری کند آن گاه پالیسی مربوطه به وی اعمال شده و تا زمانی به وی اعمال میگردد که log off کند.تا قبل از log on کردن یوزر این پالیسی اعمال نمیشود و پردازش آن بسته است.​

 

[VHAhoora]

اگر بخواهیم از صفر شروع کنیم می گوییم : همانطور که می دانید Group Policy ساختاری است که برای اعمال مجموعه ای از تنظیمات یا policy ها به مجموعه ای از کاربران یا کامپیوترها استفاده می شود.Group Policy در شبکه حکم دست راست admin ها را دارد که اگر نباشد کار خیلی خیلی سخت خواهد بود.این ساختار از دو قسمت اصلی تشکیل شده است:Group Policy engine یا همان موتور GP و CSEs که مخفف client-side extensions است و مسئولیت نوشتن یک سری تنظیمات خاص را در کامپیوترهای مقصد کلاینتها برعهده دارد.در واقع می توان اینطور برداشت کرد که Group Policy Engine یک رئیس است که به عوامل خود دستور می دهد که کاری را بر روی افراد یا سیستم هایی که تحت امر آن هستند انجام دهد و Client Side Extensions در واقع همان عوامل هستند که دستور داده شده را بر روی اهداف اجرا می کنند.

تنظیمات GP در GPO ها یا همان Group Policy Object قرار دارندکه این GPO ها در دامین ها زندگی می کنند و می توانند به دیگر قسمتهای اکتیودایرکتوری های دیگر لینک داده شوند مانند سایت ها ، دامین ها یا OU ها.تنظیمات GPO ها از ساختار سلسله مراتبی اکتیودایرکتوری تبعیت می کنند و توسط object های مقصدی که تحت تاثیر قرار گرفته اند ارزیابی می شوند.در واقع GP یکی از دلایل اصلی گسترش اکتیودایرکتوری می باشد.GP یکی از گروه های تکنولوژی مدیریت است که همه ی این گروه ها به صورت کلی به عنوان IntelliMirror شناخته شده است، خدماتی که به کاربران ارائه می دهند شامل دسترسی دائم به برنامه های کاربردیشان ، تنظیمات کاربردیشان،پروفایل های roaming کاربران و داده های کاربران از هر کامپیوتر مدیریت شده ای حتی اگر به شبکه متصل نباشند.

اگر بخواهم ساختار کلی GP را به زبان ساده توضیح دهم ، client side و server side را در این مورد مثال میزنم.در واقع هسته GP یا Core Group Policy که به آن Group Policy engine هم گفته می شود حکم server side را در GP دارد که شما از طریق آن می توانید کلیه تنظیمات را به عنوان administrator انجام دهید و به کامپیوترها و کاربرانی که می خواهید در قالب GPO اعمال کنید. Client-side extension هم از نامش پیداست و مانند client side کلیه ی تنظیمات را می گیرد،تفسیر می کند و در نتیجه بر روی مقصدی که برایش تعریف شده اعمالشان می کند.حال اینکه GP Core از چه اجزایی تشکیل شده است را در ادامه بررسی خواهیم کرد.

Group Policy Component

به شکل زیر توجه کنید:

خوب اصلا نگران نباشید ، چون در ادامه به بررسی تک تک قسمتهای این شکل در ظاهر پیچیده اما بسیار زیبا خواهیم پرداخت.در واقع این شکل شالوده ی ساختمان GP را به شما نشان میدهد.

 

[VHAhoora]

• Group Policy Object : مجموعه ای از تنظیمات GP است که در دامین به عنوان یک شی مجازی (virtual object ) ذخیره شده است و از دو قسمت Group Policy container و Group Policy template تشکیل شده است.Group Policy container که شامل تنظیمات مربوط به یک GPO است ، در اکتیودایرکتوری هر دامین کنترلر بر روی دامین ذخیره شده است.Group Policy template شامل داده های یک GPO است و در Sysvol ( در ادامه در موردش صحبت خواهیم کرد ) درون /Policies subdirectory ذخیره شده است.

• Group Policy Object Editor : حتما این کنسول را بارها و بارها دیده اید .این کنسول با اجرای دستور gpedit.msc در run اجرا می شود و شما از طریق آن می توانید تنظیمات مربوط به GPO را ویرایش کنید.این کنسول تحت عناوین Group Policy snap-in، Group Policy Editor یا Gpedit شناخته می شود.از خصوصیات قابل توجه Group Policy Object Editor قابلیت توسعه پذیری اش است. شما می توانید کلیه تنظیمات مورد نیازتان را در هر object اعمال کنید،یا در صورت نیاز به صورت کامل یک GP جدید درست کنید .نکته ای که وجود دارد Group Policy Object Editor توانایی خواندن و نوشتن در AD ،Sysvol و local GPO را دارد.توجه داشته باشید که در ویندوز سرور 2008 این اجزا در Group Policy Management Editor قرار گرفته است.

• Server-side snap-in : نودهای Group Policy Object Editor ،MMC snap-in هستند.این snap-in ها شامل administrative templates ، scripts ،security settings ، software installation ، folder redirection ، remote installation services و internet explorer maintenance هستند.هرکدام از این snap-in ها قابل توسعه دادن هستند ،به عنوان مثال security setting snap-in شامل snap-in های توسعه داده شده ی مختلف دیگری هستند.کسانی که مایلند خودشان snap-in ها را متناسب با نیاز خودشان در Group Policy Object Editor طراحی کنند،می توانند policy های بیشتری را داشته باشند. این snap-in های توسعه داده شده همچنین قابلیت خواندن و نوشتن در local GPO را دارا می باشند.

• Domain Controller :در یک اکتیودایرکتوری فارست،دامین کنترلر سروری است که شامل یک کپی قابل نوشتن و خواندن از پایگاه داده اکتیودایرکتوری می باشد، در عمل replication اکتیودایرکتوری شرکت می کند و دسترسی به منابع شبکه را کنترل می کند.GPO ها در دو قسمت ذخیره می شوند: 1- در پایگاه داده اکتیودایرکتوری 2- در sysvol به اشتراک گذاشته شده.

• Client: در اکتیودایرکتوری کلیه GPO ها بر روی کلاینت ها که کامپیوترهای عضو دامین هستند اعمال می شوند.GPMC و RSoP snap-in از کلاینت ها query می گیرند تا تعیین کنند که policy ها چگونه به یک کاربر و کامپیوتر خاص اعمال شده است.

• (GPMC ( Group Policy Management Console : این کنسول با ارائه نمایی از GPO ها ،سایت ها،دامین ها و OU ها ،مدیریت GP را چندین برابر راحتتر می کند.این کنسول هم در ویندوز سرور 2003 استفاده می شود هم در ویندوز سرور 2008.GPMC مدیریت GP را با ارائه ی فضایی برای مدیریت جنبه های مختلف هسته GP مانند scoping، ,delegating ,filtering را آسانتر کرده است.شما همچنین می توانید از GPO ها back up بگیرید و آنها را restore نیز کنید.GPMC خصوصیتی را دارد که به ادمین ها این امکان را می دهد که پیشبینی کنند با اعمال این GPO ها در شبکه چه تغییراتی در کدام کامپیوتر ها و کاربران رخ خواهد داد.GPMC توانایی خواندن و دسترسی نوشتن در Sysvol با استفاده از پروتکل SMB را دارد.همچنین با استفاده از پروتکل LDAP توانایی خواندن و نوشتن در AD را فراهم می کند.به علاوه GPMC توانایی خواندن event log ها و RSoP را می دهد.

• Resultant Set of Policy (RSoP) infrastructure: RSoP یک MMC است که تعیین می کند کدام تنظیمات مربوط به policy ها به کامپیوترها و کاربران اعمال شده است یا تاثیرات این تنظیمات را پیش بینی می کند.این snap-in دارای همان باینری هایی است که snap-in مربوط به Group Policy Object Editor داراست (gpedit.dll ).شاید شما بخواهید تنظیمات مربوط به GPO را مشاهده کنید و ببینید که چه policy هایی اعمال شده است ،خوب شما قادر به مشاهده این تنظیمات خواهید بود اما تفاوتی در اینجا وجود دارد و آن این است که شما تنها قادرخواهید بود تنظیمات مربوط به یک GPO واحد را مشاهده کنید اما در RSoP شما تغییرات حاصل از GPO ها را به صورت یکجا و باهم مشاهده خواهید کرد.RSoP قابلیت نوشتن در AD ، Sysvol ، Event log ، ساختار RSoP و local GPO را دارد.اگرچه RSoP snap-in قابلیت نوشتن در AD و Sysvol را دارد،بیشتر کارهای مربوط به پیش بینی policy ها و گزارش دهی GP توسط ارتباطات مربوط به RPC/COM با استفاده از RSoP چه در کلاینت و چه در دامین کنترلر انجام میشود.

• WMI : مدیریت زیرساخت هایی را که کنترل و مانیتورینگ منابع سیستم را در طول مجموعه ای از ارتباطات معمول ، برعهده دارد و ساختاری منطقی و مدلی سازگار از ساختاربندی،حالت و عملکرد ویندوز را ارائه می دهد.WMI داده های مقصد را برای administrator آماده می کند،داده هایی مانند فهرست نرم افزار و سخت افزارها،تنظیمات و اطلاعات مربوط به پیکربندی ها.خوب به عنوان مثال می توان گفت که WMI در مورد سخت افزار اطلاعاتی مانند حافظه CPU و فضای دیسکها ، در مورد نرم افزار داده های مربوط به رجیستری،درایورها،فایل سیستمها،اکتیودایرکتوری،سرویس نصب ویندوز،پیکربندی شبکه و داده های کاربردی را در اختیار administrator قرار می دهد.همچنین WMI filtering در ویندوز سرور 2003 به شما این امکان را می دهد که query هایی بر اساس این اطلاعات ( که در بالا در موردشان صحبت شد ) گرفته شود.این query ها (WMI filter ) مشخص می کند که کدام کاربران و کامپیوترها همه ی تنظیمات policy در GPO ایی که شما query گرفتید،دریافت می کنند. همانطور که می بینید این بخش در قسمت کلاینت قرار دارد و کلیه اطلاعات لازم را از سیستم کلاینت گرفته و به admin می دهد تا عملیات لازم صورت گیرد. به نوعی این یک Agent نضب شده برای دریافت اطلاعات سخت افزاری و نرم افزاری از سیستم کلاینت ها می باشد.

• SYSVOL : یک پوشه به اشتراک گذاشته شده است که در سرور یک کپی از فایلهای public دامین را که البته در میان همه ی دامین کنترلرها replicate می شوند، ذخیره می کند. فولدر sysvol بصورت پیش فرض در Subfolder های پوشه( systemroot (%\systemroot\sysvol\sysvol ذخیره شده است و به صورت اتوماتیک وقتی که یک سرور دارای اکتیودایرکتوری می شود،ساخته می شود.sysvol شامل بزرگترین قسمت GPO ، که Group Policy Template است،می باشد.Group Policy template شامل تنظیمات مربوط به Administrative Template-based policy ، تنظیمات امنیتی،script file ها و اطلاعات مربوط به application هایی که برای software installation باید در دسترس باشند ،است.sysvol از طریق سرویسFRS یا File Replication Service بین تمامی دامین کنترلرها replicate می شود.

• LDAP : یک پروتکل استاندارد اینترنت است که توسط application ها برای دسترسی به اطلاعات موجود در یک اکتیودایرکتوری استفاده می شود.LDAP مستقیما از طریق TCP اجرا می شود.این پروتکل به عنوان راهی برای به حداقل رساندن پیاده سازی ها برای دسترسی کلاینتها به اکتیودایرکتوری ایجاد شد از اینرو می توان به راحتی از دایرکتوری ها در طول برنامه کاربردی استفاده کرد.

• SMB: یک پروتکل استاندار اینترنت است که ویندوز از آن برای به اشتراک گذاری فایل ها،پرینترها و سریال پورتها استفاده می کند.به عنوان مثال در محیط شبکه،سرور فایل سیستمها و منابع را برای دسترسی کلاینت آماده می کند،کلاینت درخواستهای SMB برای منابع می فرستد،سرور در جواب درخواست SMB کلاینت منابع مورد نیاز را برایش ارسال می کند.این خلاصه ای از عملکرد SMB بود.

• RPC : پروتکلی است که برای درخواست یک سرویس ازطریق شبکه از یک برنامه که در یک remote computer قرار گرفته است،استفاده می شود.این پروتکل نیز مانند دو پروتکل قبلی از مدل کلاینت/سرور استفاده می کند.یعنی کلاینت درخواست می دهد و سرور پاسخ می دهد. مدل های مختلفی از RPC وجود دارد که در حوصله این مقاله نمی گنجد.

خوب ، میدانم که هنوز به صورت کامل متوجه روند کار GPO نشدید ! به ادامه بحث توجه کنید: فرض کنید که شما به عنوان ادمین شبکه تصمیم به اعمال policy هایی در شبکه می گیرید.قاعدتا برای تعیین و اعمال policy ها در ویندوز سرور ( فرض کنید 2008 ) به مسیر زیر رفته و از پنجره زیر استفاده خواهید کرد:

خوب این پنجره همان GPMC است.سپس شما بعد از انتخاب گروهی که می خواهید به آن Policy اعمال کنید در نهایت وارد کنسول زیر خواهید شد:

این هم چیزی نیست غیر از همان Group Policy Object Editor .خوب زمانی که شما اینجا پالسی مورد نظرتون رو اعمال می کنید، این تنظیمات به (RSoP (RSoP یک MMC است که تعیین می کند کدام تنظیمات مربوط به policy ها به کدام کامپیوترها و کاربران اعمال شده است ) توسط پروتکل LDAP (که یک پروتکل استاندارد است برای دسترسی به اطلاعات موجود در یک اکتیودایرکتوری ) ارسال می شود.سپس LDAP یک نسخه از این تنظیمات را به اکتیودایرکتوری می برد و در آنجا ذخیره می کند.

همزمان با این عمل پروتکل SMB (یک پروتکل است که ویندوز از آن برای به اشتراک گذاری فایل ها،پرینترها و سریال پورتها استفاده می کند ) کلیه تنظیمات را از سه قسمت GP Object Editor ، GPMC و RSoP می گیرد و در sysvol ( sysvol یک پوشه به اشتراک گذاشته شده است که در سرور یک کپی از فایلهای public دامین را که البته در میان همه ی دامین کنترلرها replicate می شوند، ذخیره می کند ) ذخیره می کند. در واقع با اینکار تنظیمات شما به دیگر دامین کنترلرها نیز فرستاده میشود.

خوب در نهایت کلیه تنظیماتی که انجام شد توسط پروتکل RPC به کلاینت ارسال می شود.برای فرستادن این تنظیمات از دو قسمت RSoP و WMI استفاده می شود که این طبیعی است ،چرا که RSoP مثلا میگه که این پالسی ها باید بر روی کاربر مثلا x اعمال شود،WMI منابع این کاربر را بررسی می کند و در نهایت پالسی ها به کاربر مورد نظر اعمال خواهد شد. انشاا.. در قسمتهای بعدی در مورد عملکرد GP و راههای جلوگیری از fail شدن آن بیشتر صحبت خواهیم کرد.

 

[VHAhoora]

درک مفهوم Loopback Processing Mode در تنظیمات Group Policy
در تنظیمات Group Policy در ویندوز سرور گزینه ای به نام Loopback Processing وجود دارد که بسیار مشاهده می شود مفهوم این مسئله به درستی بیان نمی شود. در حقیقت تنها راه اینکه به درستی مفهوم این موضوع درک شود استفاده از یک سناریو است. اکثر کارشناسان و حتی برخی از مدرسین زمانیکه نام Loopback Processing را می شنوند تنها چیزی که عنوان می کنند و اکثرا بدون تحقیق و کار عملی می باشد این است که بصورت پیشفرض Policy های User Configuration بر روی Computer Configuration در اصطلاح Override می کند یا اولویت دارد.

در صورتیکه این Policy را فعال کنید عکس این عمل صورت می گیرد و Policy های Computer Configuration بر روی User Configuration اولویت پیدا می کند ، در جاهایی از آن استفاده می کنیم که معمولا سرورها یا کامپیوترهای کیوسک یا لابراتوار وجود دارد و ما می خواهیم که یک کاربر زمانیکه وارد یکی از این سیستم ها می شود فارق از اینکه عضو کدام گروه مدیریتی است Policy های Computer ها به آن اعمال شود. تا اینجا مشکلی نیست اما ابهام در اینجا پیش می آید که مگر Policy های Computer Configuration و User Configuration یکسان هستند که در صورت بروز تداخل در بین این دو برتری برای یکی قائل شویم ؟ با نگاه کرده به Policy های قسمت Computer Configuration و User Configuration در Group Policy متوجه می شوید که این دو نوع Policy تداخل چندانی با هم ندارند و Policy های متفاوتی دارند . اینجاست که درک مفهوم Loopback Processing کمی مبهم می شود.

همانطور که عنوان کردم بهترین راهکار برای درک موضوع Loopback Processing استفاده از یک سناریو است . فرض کنید در یک سازمان قرار دارید که ساختار اکتیودایرکتوری آن دارای دو عدد Organizational Unit به نام های ITPRO-Servers و ITPRO-Users می باشد.

• ITPRO-Servers
• ITPRO-Users

در Organizational Unit به نام ITPRO-Servers کامپیوترها یا Computer Account های ما قرار دارند و در Organizational Unit به نام ITPRO-Users کاربران یا User Account های ما قرار دارند. فرض کنید که برای ITPRO-Servers شما یک GPO درست کرده اید و آن را به این OU لینک کرده اید ، طبیعی است که تنظیمات زیر برای این OU وجود خواهد داشت :

• Computer Configuration
• User Configuration

برای ITPRO-Users هم به همین شکل یک GPO ایجاد کرده اید که به این OU لینک داده شده است و Policy های زیر هم طبیعی است که برای این OU نیز وجود خواهد داشت :

• Computer Configuration
• User Configuration

نکته مهم در اینجاست ، اگر کاربری که در ITPRO-Users قرار دارد وارد یکی از سرورهایی شود که در ITPRO-Servers قرار دارد آنوقت چه اتفاقی خواهد افتاد ؟ در اینجا در هنگام ورود کاربر 2 نوع Policy وجود دارد که می تواند اعمال شود که به ترتیب موارد زیر هستند :

• Computer Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است
• User Configuration مربوط به GPO ای که به ITPRO-Users لینک داده شده است.

بنابراین در این حالت کاربر مورد نظر ما در هر جایی که وارد این سرورها شود در نهایت تنظیمات مربوط به Policy های کاربری به او اعمال خواهد شد که در ITPRO-Users اعمال شده است و در هنگام ورود به سیستم این تنظیمات بر روی سایر تنظیمات User Configuration ای که وجود دارد اولویت خواهد داشت. این تنظیمات پیشفرض است. شما می خواهید که اگر کاربر مورد نظر شما بر روی سرورهای موجود در ITPRO-Servers وارد شد تنظیمات User Configuration ای به وی اعمال شود که در این OU قرار دارد. بنابراین اینجا همان لحظه ای است که به سراغ یک Policy به نام User Group Policy Loopback Processing Mode می رویم. زمانیکه شما این Policy را فعال می کنید می توانید دو امکان مختلف به نام های Replace و Merge را انتخاب کنید. در ادامه با توجه به سناریو موجود این دو مورد را توضیح خواهیم دارد.

حالت Replace Mode
زمانیکه شما User Group Policy Loopback Processing Mode را در حالت Replace Mode قرار می دهید و این Policy را به ITPRO-Servers لینک می کنید ، ببینید وضعیت اعمال شدن Policy ها به چه شکلی خواهد بود :

• Computer Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است
• User Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است .

توجه کنید که در این حالت هیچیک از Policy های مربوط به ITPRO-Users به کاربران اعمال نخواهد شد.

حالت Merge Mode
زمانیکه شما User Group Policy Loopback Processing Mode را در حالت Merge Mode قرار می دهید و این Policy را به ITPRO-Servers لینک می کنید ، ببینید وضعیت اعمال شدن Policy ها به چه شکلی خواهد بود :

• Computer Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است
• User Configuration مربوط به GPO ای که به ITPRO-Servers لینک داده شده است .
• و User Configuration مربوط به GPO ای که به ITPRO-Users لینک داده شده است.

نکته در اینجاست که در صورتیکه در این میان تداخلی وجود داشته باشد Policy های ITPRO-Servers بر روی Policy های ITPRO-Users اولویت خواهند داشت و آنها اجرا می شوند. به دلیل اینکه GPO کامپیوترها زودتر از GPO کاربرها پردازش می شود اگر تداخلی باشد تنظیمات کامپیوترها اولویت پیدا خواهند کرد. اما چرا این تنظیمات می تواند اینقدر مهم باشد ، این Policy را زمانی می توانید استفاده کنید که در شبکه دامین شما کاربرانی وجود دارند که پوشه های خودشان را توسط Group Policy به حالت Redirect در آورده اند اما شما نمی خواهید این Redirect شدن زمانی رخ دهید که کاربر با استفاده از Remote Desktop Services به سیستم ها وارد وی شود. در این حالت شما این Policy را با استفاده از حالت Replace Mode بر روی GPO ای تنظیم می کنید که به OU ای اشاره می کند که Computer Account های مربوط به سرورهای Remote Desktop Services در آن قرار دارد. در این حالت زمانی که کاربر به این سرورها Remote وارد شود Redirect شدن فولدرها انجام نخواهد شد.

 

[VHAhoora]

بررسی دلایل اعمال نشدن Group Policy - قسمت اول

قصد دارم در یک سری مقالات دوقسمتی به بررسی عواملی که سبب اعمال نشدن Group Policy می شوند می پردازم. به صورت کلی زمانیکه شما با مفهوم و نحوه ی عملکرد Group Policy در اکتیو دایرکتوری به خوبی آشنا نباشید،طراحی،پیاده سازی و عیب یابی Group Policy برایتان بسیار دشوار خواهد بود.برای مطالعه در مورد مفهوم گروپ پالسی می توانید به این مقاله مراجعه کنید.در برخی مواقع Group Policy تبدیل به کابوسی برای مدیران شبکه خواهد شد .دانستن پایه و اساس Group Policy و اینکه زمانی که در آن با مشکل مواجه شدید باید از کجا مشکل را بررسی و حل کنید،در عیب یابی آن بسیار موثر خواهد بود.به خصوص زمانیکه در یک شبکه نسبتا بزرگ مشغول به کار هستید و policy های اعمال شده در سطح شبکه نیز وسیع می باشند.در ادامه بر خی از دلایل اعمال نشدن Group Policy را بررسی خواهیم کرد.

IP Address های DNS به خوبی تنظیم نشده است !

برای اینکه GP به صورت کامل و بدون نقص کار کند،باید کامپیوتری که GP مدیریتش میکند به خوبی توسط اکتیودایرکتوری شناخته شده و احراز هویت شود.حال این فرآیند احراز هویت و شناسایی شدن کامپیوترها در شبکه به دوست همیشگی ادمینها، DNS برمی گردد.زمانی که کلاینت از DHCP در شبکه IP میگیرد، به DNS مراجعه میکند تا لیست دامین کنترلرهای شبکه را برای پیدا کردن دامینی که به عضویت آن درآمده است را بگیرد. سپس مجددا از طریق DNS به دامین رسیده و توسط پروتکل Kerberos در دامین احراز هویت میشود و در نهایت وارد دامین میشود.اگر DNS در شبکه به خوبی کار نکند،کامپیوترها نمی توانند از طریق آن دامین را پیدا کنند و مجددا از طریق آن توسط Kerberos احراز هویت شوند و در نهایت نمی توانند به اکتیودایرکتوری دسترسی پیدا کنند،پس تمامی سرویسهای اکتیودایرکتوری از جمله گروپ پالسی fail خواهند شد.پس مثل همیشه،پایه ی بسیاری از مشکلات ممکن است از DNS و خوب کار نکردن آن باشد.همیشه در وهله ی اول برقراری ارتباط در شبکه و صحت DNS را بررسی کنید.

GPO لینک داده نشده است !

با استفاده از کنسول مدیریت گروپ پالسی یا GPMC شما میتوانید گروپ پالسی آبجکت ایجاد و آن را به قسمتهای دیگر لینک دهید.ایجاد گروپ پالسی تنها یک دوم همه ی مراحلی است که برای داشتن گروپ پالسی موثر باید طی شود.سپس GPO باید به نودهای دامین ،OU یا سایت لینک شود.زمانیکه یک GPO به یکی از نودهای اکتیو دایرکتوری لینک میشود،سپس به همه ی آبجکتهای زیر نظر یا در دامنه ی آن نود اعمال میشود.خوب برای اینکه اطمینان حاصل کنید که گروپ پالسی به آن محدوده ای که میخواستید اعمال شده است یا نه،بهتر است تب scope در کنسول زیر را مورد بررسی قرار دهید،چرا که در برخی موارد GPO ای که ایجاد کرده اید به خوبی به دامنه های مورد نظرتان لینک داده نشده است و باعث fail شدن گروپ پالسی شما میشود.

تنظیمات GPO برای یک آبجکت از مسیری اشتباه وارد شده است !

زمانی که میخواهید تنظیمات مربوط به گروپ پالسی را انجام دهید،شما از دو قسمت میتوانید استفاده کنید:یکی Computer Configuration و دیگری User Configuration است.این دو قسمت به خوبی واضح و مشخص هستند و شما از طریق GUI به راحتی می توانید تنظیمات مربوط به GP را انجام دهید.بدیهی است که تنظیمات Computer Configuration محدوده ی مربوط به computer objectها را پشتیبانی میکند و تنظیمات مربوط به User Configuration تنها محدوده ی مربوط به تنظیمات و پالسی های مربوط به user ها تحت پوشش قرار میدهد. برای مثال اگر شما تنظیماتی در GPO خود برای اعمال شدن بر روی منوی Start کاربران اعمال کنید ، اما GPO خود را به OU ای مرتبط کنید که در محدوده آن هیچگونه حساب کاربری وجود نداشته و صرفا حساب کامپیوتری یا Computer Account در آن وجود دارد ، Policy شما بی تاثیر خواهد بود و اثری بر روی کامپیوتر ها ندارد. مثلا فرض کنید شما دو OU به نامهای امور مالی و آموزش دارید.دوکاربر UNITY و Jovial در OU امور مالی قرار دارند.شما یک GPO ایجاد میکنید و در آن تنظیمات مربوط به منوی استارت ( که در زیر مجموعه ی User Configuration است ) ایجاد میکنید.سپس این GPO را به OU آموزش لینک میکنید.خوب بدیهی است که هیچ کدام از کاربرانی که در OU امور مالی قرار دارند این پالسی را نمیگیرند.پس حتما دقت داشته باشید که پالسی ها را متناسب با اینکه میخواهید به کاربران اعمال شوند یا کامپیوترها،در قسمت درستی از GP اعمال کنید و به درستی آن را به OU های دیگر لینک کنید.

Valueهای مربوط به GPO ها ( Enable یا Disable ) به خوبی تنظیم نشده است!

زمانی که شما وارد کنسول مدیریت گروپ پالسی میشوید ،همانطور که مشاهده میکنید آپشن های مختلفی به صورت سلسله مراتبی در زیر هر گزینه مشاهده میکنید.در نهایت برای انجام تنظیمات به دو گزینه ی Enable یا Disable برخورد خواهید کرد.البته در Administrator Temple شما به 3 گزینه روبرو خواهید شد:Enable ,Disable و Not Configured. لازم به ذکر است که value ی هر کدام از این سه گزینه ،معادل value ی در ریجیستری است.حال در خیلی موارد اشتباهی که ممکن است پیش بیاید این است که شما با انتخاب Enable ،قابلیتی را حذف یا از بین ببرید یا با انتخاب Disable قابلیتی را ایجاد کنید.پس حتما فراموش نکنید که عنوان پنجره ای که باز شده را به دقت مشاهده کنید و براساس عنوان آن پنجره ،Enable یا Disable کردن آن قابلیت را انتخاب کنید.در مورد Not Configured نیز لازم به ذکر است که شما با انتخاب این گزینه ، هیچ تنظیمی را اعمال نکرده اید،بلکه آن قابلیت را خنثی نگه داشته اید.درواقع Not Configure از اعمال ریجیستری به مورد مورد نظرتان خودداری میکند.

Override کردن پالسی ها به یکدیگر

این قسمت را با دقت بخوانید چرا که در بیشتر موارد مشکل از همین Override کردن پالسی ها به یکدیگر است.زمانی که تعدا د GPO ها در اکتیودایرکتوری زیاد میشود و حجم پالسی های تعریف شده بالا میرود،گروپ پالسی پیچیده و مدیریتش سخت تر میشود.همانطور که میدانید گروپ پالسی از سطوح مختلفی تشکیل شده و هرکدام از این سطوح در کل گروپ پالسی برای خود دارای اولویت هستند.قبل از اینکه به بررسی مشکلی که ممکن است در این مورد پیش بیاید بپردازم به طور خلاصه به بررسی سطوح مختلف در گروپ پالسی میپردازم.

به عنوان مثال یک اکتیو دایرکتوری که دارای چندین دامین کنترلر است را در نظر بگیرید.هر کدام از این دامینها ممکن است دارای چندین کامپیوتر باشند.این کامپیوترها در فضایی در کنار یکدیگر قرار میگیرند و سایت را تشکیل میدهند.خوب بدیهی است که در تک تک این کامپیوتر ها کنسول مدیریتی گروپ پالسی وجود دارد.همچنین هر دامین نیز برای خود و کامپیوترهایی که به عضویت آن در آمده اند نیز این کنسول را دارا میباشد و در آن به صورت کلی پالسی هایی را برای تمامی کامپیوترهای تحت شعاع خودش تعریف کرده است یا به صورت پیش فرض دارای پالسی هایی میباشد .حال این وسط این کامپیوتر باید به حرف پالسی های لوکال خود گوش دهد یا به سازپالسی های دامین برقصد مطلبی است که در ادامه درمورد آن صحبت خواهم کرد.اولویت در پالسی ها به صورت زیر تعریف میشود.دقت داشته باشید که این اولویت ها از کم به زیاد در ادامه آورده شده اند:

1. Local Group Policy Object : هر کامپیوتری دارای کنسول مدیریتی گروپ پالسی است که به صورت لوکال در آن ذخیره شده است.این کنسول به صورت پیش فرض دارای تنظیماتی میباشد.در نهایت امر اولویت اجرای پالسی ها با کنسول مدیریتی گروپ پالسی لوکال میباشدو در اکتیودایرکتوری این قسمت از پایین ترین اولویت برخوردار است.

1. Site :اولویت بعداز Local Group Policy Object اولویت با GPO هایی است که به سایت شامل کامپیتورهای دامین و اکتیودایرکتوری لینک داده شده است ، است.پالسی ها بر اساس اولویتی که administrator در تب Linked Group Policy Objects تعیین میکند،مشخص میشود.GPO ای که کمترین link order را دارد،اخیرا اعمال شده پس بیشترین اولویت را دارد.

1. Domain: اولویت بعدی با دامینها است.زمانیکه چندین دامین وجود دارد .طبیعاتا GPO های زیادی به دامینها توسط administrator ها ،لینک زده شده اند .آخرین پالسی،آخرین آپدیت است پس بیتشرین اولویت را دارد.

1. Organizational Unit : گروپ پالیسی هایی که به OU های parent لینک زده شده اند،در بین دیگر OU ها بیشترین اولویت را دارند.بعد از OU های parent، اولویت با child هاست.

خوب پس مشخص شد که ضعیفترین و کم اولویت ترین پالسی مربوط به پالسی های لوکال کامپیوتر است و بالاترین اولویت با پالسی های است که به OU داده شده است.معمولا ترتیب این اولویتها را با LSDOU تعریف میکنند.

خوب برگردیم به بحث اصلیمون.حال شما تصور کنید که به کاربرانی که در دامین قرار دارند یک GPO مبنی بر disable شدن run در منوی استارت ،لینک کرده باشید و همچنین برای کاربران یک OU در دامین پالسی مبنی بر enable بودن این قابلیت لینک کرده باشید.در اینجا براساس اولویتها بدیهی است که کاربران OU پیروز خواهد بود چرا که اولویت پالسی هایی که به OU داده میشود نسبت به پالسی هایی که به دامین داده میشود بیشتر است.این اولویت بندی ها برای تک تک GPO ها ارزیابی میشود.در بسیاری موارد شما ممکن است یک پالسی در سطح دامین اعمال میکنید اما برای برخی از کاربران اجرا نمیشود.فراموش نکنید که در همچنین مواقعی پله به پله ابتدا دریابید که کدام قسمتها پالسی را دریافت نکرده اند،سپس براساس سطوح اولویت بندی شده،به دنبال ریشه ی مشکل باشید.

نکته: RSoP.msc یا Resultant Set of Policies کامندی است که با اجرای آن در سیستم مقصد میتوانید کلیه تنظیمات اجرا شده در آن سیستم ،و اینکه تنظیمات از کدام قسمتها گرفته شده اند را مشاهده کنید.مانند شکل زیر:

 

[VHAhoora]

ساده ترین روش های رفع مشکلات Group Policy

به عنوان یک کارشناس فناوری اطلاعات قطعا با ساختار های Group Policy کار کرده اید و بعضا به مشکلاتی نیز در این مورد برخورد کرده اید ، در این مقاله به شما برخی از اشتباهات معمولی که در پیاده سازی Group Policy ایجاد می شود و همچنین روش های مقدماتی رفع مشکلات مربوط به آنها را بررسی خواهیم کرد . زمانیکه تنظیمات Group Policy را طراحی و توسعه دادید و آنها را برای اعمال در محیط واقعی کار آماده کردید ( این یک اصل است نه یک پیشنهاد : اول فکر کنید ، طراحی کنید و سپس اعمال کنید ) همه چیز بایستی به درستی در شبکه اعمال شود مگر اینکه به حرف استادتون خوب گوش نداده باشید . اما اگر Group Policy همانطوری که انتظار می رود کار نکرد چطور ؟ اگر یک سری از کاربران و کامپیوترها تنظیمات مربوطه را دریافت نکردند چطور ؟ خوب در اینجاست که شما بایستی از ابزارهایی که خاص رفع ایراد تنظیمات Group Policy هستند استفاده کنید و متوجه بشوید که ایراد کار کجاست که آنرا برطرف کنید ، توجه کنید که ابزار همیشه یک نرم افزار نیست ، شیوه نگاه کردن شما به مشکلات و نحوه تحلیل موضوع خود به تنهایی بهترین ابزار برای رفع مشکلات است ، این دقیقا همان هدفی است که در این مقاله به آن خواهیم پرداخت .

ساده فکر کنید و با مبانی شروع کنید
قبل از اینکه به سراغ ابزارهای رفع اشکال Group Policy و روش های مختلف رفع اشکال بپردازیم ، یک لحظه به عقب برگردیم و چند سئوال ساده از خود بپرسیم . این قسمت از صحبت ما بر می گردد به یک سخن خیلی خیلی زیبا که یک ساعت فکر کردن بهتر از هزار ساعت عبادت است ، بسیار خوب قبل از اینکه مراحل پیچیده و حرفه ای تر را آزمایش کنیم ، مراحل ساده را پیش می بریم ، در ادامه سئوالاتی که مطرح می شود را قبل از اینکه به فرآیند رفع اشکال برسیم از خود بپرسید و با خود تجزیه و تحلیل کنید ، در بسیار از موارد همین سئوالها مشکلات شما را به سادگی برطرف می کنند :

1- این Policy بایستی به کاربران اعمال شود یا به کامپیوترها ؟ برای شروع فکر می کنم این بهترین سئوال باشد . بعضی اوقات پیش می آید که کاربری به شما مراجعه می کند و اعلام می کند که زمانیکه بر روی Shortcut یک نرم افزار بر روی دسکتاپ خود کلیک می کند نرم افزار مربوطه نصب نمی شود و به وی پیغام خطا داده می شود و همین کاربر عنوان می کند که کاربری دیگر در نزدیک او می تواند با کلیک کردن بر روی آیکن نرم افزار ، براحتی آن را نصب کند . در اینجاست که شما بایستی با خود مرور کنید که من Policy با عنوان Software Installation را به کاربران اعمال کرده ام و ممکن است این policy به کاربر مربوطه اعمال نشده باشد و این policy بر روی کاربری که در همان نزدیکی است اعمال شده است !! ممکن است کاربر دیگر مرتبط با یک قسمت سازمانی دیگر باشد ، در اینجا وقتی کاربر به شما می گوید کاربری دیگر ، حتما توجه کنید که کدام کاربر دیگر ؟ کاربر دیگر در کجای شبکه قرار دارد ؟ در کدام قسمت سازمانی قرار دارد ؟ شاید اصلا کاربر دیگر حق دسترسی به این نرم افزار را داشته باشد چون در قسمتی قرار دارد که به آن نرم افزار خاص نیاز دارند ، اما کاربر مربوطه امکان دسترسی به چنین نرم افزاری را نباید داشته باشد ، قرار نیست همه در شبکه بتوانند از نرم افزارهای مختلف استفاده کنند . در اینجا Group Policy شما مشکلی ندارد ، این کاربر شما است که دارای مشکل است ( اساسا کاربران مشکل ساز هستن ، به مقاله انواع گونه های کاربران IT از مهندس عارف پور عزیز مراجعه شود ) ، کاربران شبکه همیشه نسبت به یکدیگر حس حسادت دارند و تحمل این را ندارند که شخص دیگری به منبعی دسترسی داشته باشد و خودشان از آن محروم باشند. در اینجا از خود یک سئوال کلیدی بپرسید : این policy قرار است به چه کسی اعمال شود ؟

2-یک چیز معمول بین کامپیوترها و کاربران این است که چرا یک policy به یک سری از کاربران یا کامپیوترها اعمال نمی شود ؟ این سئوال زمانی پیش می آید که چندین نفر یا کامپیوتر policy که بایستی دریافت کنند را دریافت نمی کنند . 4 نفر از قسمت مالی به شما مراجعه می کنند و اعلام می کنند که دیگر قادر به مشاهده کنترل پنل از طریق منوی start نیستند . این چه چیزی را به شما می گوید ؟ خوب در اینجاست که شما بایستی GPO ای که به OU مربوط به قسمت مالی link شده است را چک کنید و ببینید که آیا policy به نام Prohibit access to the Control Panel برای این OU فعال شده است یا خیر ؟ این policy را می توانید در قسمت Configuration\Administrative Templates\Control Panel مشاهده کنید ، اگر این policy در حالت Disabled و یا Not Configured بود پس مشکل از اینجا نیست و بایستی جای دیگر را چک کنیم ، اولین اقدام این است که ممکن است این OU تنظیمات خود را از یک OU بالاسری به ارث ببرد. پس GPO ای که به OU والد یا بالاسری آن link شده است را نیز بایستی بررسی کنید .از جهت دیگر ممکن است ایراد از Security Filtering باشد که بصورت ناخواسته باعث شده است policy مورد نظر به کاربرانی که می خواهیم اعمال نشود و یا گروه مالی در قسمت Security Filtering قرار گرفته است .

3-جه زمانی کاربران شروع به تماس گرفتن با شما کردند ؟ آیا درست زمانی که شما یک سری تغییرات در Group Policy اعمال کردید تماس ها شروع شدند ؟ مثلا link کردن یک GPO جدید به OU ؟ این نکته خیلی برای شما می تواند مفید باشد. آیا زمانی که شما یک سری تغییرات مدیریتی بر روی ساختار اکتیودایرکتوری انجام دادید این تماس ها شروع شدند ؟ مثلا یک سری کاربر را از یک OU به یک OU جدید که بایستی به آن منتقل شوند ، انتقال داده اید ؟ در این حالت Computer ها تنظیمات مربوط به policy های خود را از GPO ای دریافت کرده اند که مربوط به Domain است ، اما الان هر GPO دیگری که به OU مورد نظر link شده باشد نیز به آنها اعمال خواهد شد . اما در همین حین اگر گزارش هایی که از کاربران دریافت می کنید ، نمایانگر این است که تنظیمات جدیدی اعمال نشده است و مدت ها است که تغییراتی بر روی GPO ها اعمال نشده است ، در این زمان است که قطعا مشکلی در فرآیند اعمال شدن GPO ها در شبکه به وجود آمده است و شما بایستی با استفاده از ابزارها و روش هایی که در ادامه ذکر می کنیم این مشکلات را برطرف کنید، باید این احتمال را هم بدهید که برخی از کاربران هنوز به شما در خصوص مشکل به وجود آمده خبر نداده اند .

4-سئوال بعدی این است که چه مقدار زمان از لحظه اعمال کردن GPO توسط شما گذشته است ؟ در این موارد شما تنظیمات GPO را انجام داده اید و آن را به یک سری کاربر و کامپیوتر اعمال کرده اید ، اما این تغییرات هنوز اعمال نشده اند . فراموش نکنید که Group Policy در وهله های زمانی معینی بروزرسانی می شود ، و شما پس از اعمال کردن Group Policy بایستی مدت زمانی صبر کنید که تغییرات مربوطه از طریق اکتیودایرکتوری اعمال شوند . Group Policy در پس زمینه بروز می شود و شما متوجه آن نخواهید شد بنابر این صبر کنید . به یاد یک ضرب المثل زیبا افتادم : گر صبر کنی ز غوره حلوا سازم . خوب ممکن است زمانی که شما تغییرات را اعمال کرده اید درست لحظه ای بعد از زمان تعیین شده برای اعمال و بروز رسانی روزانه تنظیمات بوده باشد و شما بایستی تا مرحله بعدی از این وهله زمانی منتظر بمانید و یا سیستم را ری استارت و یا log off کنید . برخی از policy های هستند که قطعا برای اعمال شدن آنها بایستی سیستم ها یا log off شوند و یا restart شوند ، برای مثال folder redirection ، software installation و بسیاری از اسکریپت های نوشته شده ، برای اینکه به درستی اعمال شوند نیازمند restart شدن سیستم هدف هستند . معمولا برای اعمال شدن این policy ها در قالب ایمیل به کاربران جهت اطلاع رسانی برای log off کردن و یا restart کردن سیستم خود اطلاع رسانی می شود ، از جهتی می توان صبر کرد تا در انتهای روز و اتمام زمان کاری کاربر کامپیوتر خود را خاموش کرده و یا log off می کند .

نکته در اینجاست که شما می توانید به زور و با استفاده از دستورات تحت شبکه کامپیوتر هدف را restart کنید اما اینکار پیشنهاد نمی شود زیرا ممکن است باعث از بین رفتن فعالیت های کاری کاربر سیستم شود . برخی اوقات ممکن است که شما policy مانند folder redirection را اعمال کنید اما حتی بعد از اینکه سیستم هدف restart شد ، policy مورد نظر اعمال نمی شود ، در اینگونه موارد حتما مشکلات و موارد مشترکی که بین کاربران و سیستم ها وجود دارند را شناسایی و پرس و جو کنید ، مشکلات مشترک کلید حل مشکل شما خواهد بود ، ممکن است کندی لینک WAN شما باعث تاخیر در اعمال شدن policy های تحت forest شده باشد ، اما در ادامه به بررسی راهکار های موجود خواهیم پرداخت .

از ابزارها استفاده کنید
سئوالات بالا شما را بسیار به حل مشکل نزدیک می کنند ، خوب الان که سئوالات مقدماتی بالا را ازخود پرسیدید اگر حتی به نتیجه نهایی نرسیده باشید محدوده مشکل به وجود آمده را کوچک کرده اید و می توانید در مراحل بعدی سریعتر راهکار مشکل را بیابید . الان وقت آن رسیده است که از ابزارهایی مثل ping و لاگ های userenv استفاده کنید . این خیلی سخت است که کلیه مسائل مربوط به حل مشکلات Group Policy را در یک مقاله بگنجانیم اما در این مقاله نکات مهم این موراد را به شما آموزش خواهیم داد :

1-تنظیمات ارتباطی شبکه کامپیوتر مشکل دار را بررسی کنید . شاید فقط Group Policy Processing نباشد که مشکل دارد و کلا کامپیوتر نمی تواند به شبکه دسترسی پیدا کند و کابل شبکه آن دچار مشکل شده است یا سوکت آن از جای درآمده است. شاید برای شما هم جالب باشد که مشکلی به این سادگی می تواند به نظر مشکلی بسیار حاد باشد . باید به این موضوع توجه کنید که فعالیت Group Policy به نوعی پیچیده است و درک مفهوم اینکه دقیقا به چه شکل فعالیت می کند می تواند بسیار به شما در خصوص رفع ایراد آن کمک کند ، اما تمام این فعالیت ها در قالب این مقاله نمیگنجد ، برای اینکه بتوانید به درستی با مفاهمی Group Policy و شیوه فعالیت آن آشنا شوید به شما پیشنهاد می کنم که کتاب Group Policy: Management, Troubleshooting, and Security نوشته Jeremy Moskowits را حتما مطالعه کنید. به شخصه دو کتاب در خصوص Group Policy خوانده ام اولی از انتشارات مایکروسافت بود اما این کتاب به نظرم از کتاب مایکروسافت بهتر بوده و بسیاری از تنظیمات Group Policy را که برای هر مدیر شبکه ای لازم است که بداند را بطور کامل تشریح کرده است ، در ضمن کلیه فرآیند ها و شیوه عملیات و اعمال شده و همچنین رفع ایراد Group Policy را نیز به خوبی تشریح کرده است . به نظرم با خواندن این کتاب یک Group Policy Expert خواهید شد .

2-تنظیمات DNS ماشین کاربر را بررسی کنید و مطمئن شوید که براحتی می توانید فرآیند Name Resolution را انجام دهد. شاید بتوان گفت بیش از پنجاه درصد مشکلاتی که در خصوص Group Policy با آن برخورد می کنید مربوط به تنظیمات DNS است ، ممکن است رکوردهای DNS دچار مشکل شده باشند و یا خود DNS سرور دچار مشکل شده باشد . در این میان ممکن است کاربر تنظیمات DNS خود را بصورت دستی تغییر داده باشد و یا تنظیمات DHCP سرور برای برقراری ارتباط درست با سرور DNS انجام نشده باشد و بسیاری دیگر از همین قبیل مشکلات . به خاطر داشته باشید برای پردازش یک Group Policy کامپیوتر ابتدا بایستی لیستی از GPO هایی که به آن مرتبط شده اند را بدست بیاورد . برای انجام اینکار بایستی از دامین کنترلر Query گرفته شود و در ادامه برای اینکه یک کامپیوتر بتواند دامین کنترلر را بیابد بایستی آدرس درستی از DNS سروری داشته باشد که دارای رکوردهای SRV باشد که به سرویس مرود نظر درخواست وی را هدایت کنند . بنابراین اگر DNS دچار مشکل شود قطعا Group Policy نیز دچار مشکل خواهد شد.ابزارهایی که با استفاده از آنها می توان مشکلات مربوط به DNS را حل کرد عبارتند از دستورات ipconfig ، nslookup ، netdiag ، dnscmd و ...

3-شما می توانید با استفاده از کنسول ( GPMC ( Group Policy Management Console و استفاده از ویزارد Group Policy Results یک کاربر یا کامپیوتر را مشخص کرده و نتیجه اعمال GPO ها بر روی آن را در قالب فایل HTML مشاهده کنید و ببینید که چه تنظیماتی بر روی کاربر یا کامپیوتر مورد نظر اعمال شده است . این ویزارد از query های WMI برای دریافت اطلاعات از سیستم ها استفاده می کند. شما این فایل را می توانید در جایی ذخیره کرده و بر روی هر کامپیوتری که دوست داشتید توسط مرورگر خود باز کرده و آن را تجزیه و تحلیل کنید . این ابزار واقعا می تواند برای رفع مشکلات GPO به شما کمک کند . روش جانبی و شاید جایگزینی که من خودم بیشتر از آن استفاده می کنم استفاده از دستور خط فرمانی به نام gpresult.exe است که در واقع یک ابزار از پیش نصب شده بر روی سیستم کاربران است که می تواند از کلیه تنظیمات مربوط به Group Policy که بر روی کامپیوتر اعمال شده اند query گرفته و آنرا به شما نمایش دهد ، اما نکته در اینجاست که این دستور را بایستی در کامپیوتری که دچار مشکل شده است اجرا کنید و حضو در آن محل به گفته ای اجباری است . در خصوص استفاده از این ابزار در مقاله ای جداگانه بصورت مفص صحبت خواهم کرد . علاوه بر ارائه گزارش های ( RSOP ( Resultant Set Of Policy توسط ویزارد GPMC ، ابزار GPMC می تواند به روش های دیگری نیز به شما جهت برطرف کردن مشکلات GP کمک کند . برای مثال اگر شما بر روی یک GPO راست کلیک کنید شما می توانید با استفاده از گزینه Save Report تمامی تنظیماتی که در آن GPO انجام شده است را بصورت یکجا در قالب یک فایل HTML مشاهده کنید .

با استفاده از این روش شما می توانید متوجه شوید که با اعمال شدن یا بهتر بگوییم link شدن این GPO به یک کامپیوتر یا کاربر چه تغییراتی می بایست بر روی کامپیوتر یا کاربر مورد نظر اعمال شود . طبیعی است که این روش خیلی خیلی بهتر از این است که با استفاده از Group Policy Editor یک GPO را باز کنیم و همه قسمت هایش را دانه به دانه باز کنیم که متوجه بشویم چه تنظیماتی توسط آن اعمال شده است !!!! یکی دیگر از مزایای GPMC این است که دقیقا به شما می گوید که کدام GPO در حالت Disabled قرار دارد و یا به کدام OU لینک شده است و آیا از جایی Inherit کرده است یا نه و بسیاری دیگر از موارد که می تواند توسط این کنسول پرکاربرد انجام شود .

نتیجه
رفع ایراد های مربوط به Group Policy خیلی خیلی از بحث این مقاله گسترده تر و بیشتر است ، اما با استفاده از همین نکات شما می توانید نقطه شروع خوبی در فرآیند رفع ایراد Group Policy را داشته باشید و بسیاری از مشکلات نه چندان پیچیده را به همین روش حل کنید و یا حداقل اگر نتوانستید مشکل را بصورت کامل رفع کنید آنرا محدود می کنید و می توانید بررسی های دقیقتری بر روی آن داشته باشید. برخی از افراد که بصورت حرفه ای به برطرف کردن مشکلات Group Policy می پردازند log برداری از فایل Userenv.dll که در واقع موتور اصلی کارکرد Group Policy است را پیشنهاد می کنند ، اینکار چندان آسان نیست . مایکروسافت در مقاله ای به نحوه انجام دادن چنین log برداری اشاره کرده است ، اما شیوه تجزیه و تحلیل کردن log های آن را توضیح نداده است ، برای اینکار بهتر است به همان کتابی که معرفی کردیم مراجعه کنید. روش دیگر این است که شما log های موجود در Event Viewer مربوط به رویدادهای Userenv را در قسمت Application Log چک کنید ، اما باز هم تجزیه و تحلیل کردن Event های ویندوز هم کار چندان آسانی نیست ، وب سایت www.eventid.net به بررسی بیشتر این event ها در ویندوز پرداخته است و بصورت تخصصی در قالب تالارهای گفتمان مشکلات احتمالی ناشی از هر log را بررسی کرده است که می تواند برای کار شما منبع خوبی باشد . در نهایت و البته شروع مقاله های بعدی در خصوص مشکلات بوجود آمده در خصوص Group Policy Processing حتما جستجو در اینترنت را پیشنهاد می کنم ، به عنوان کارشناس بایستی بتوانید نیاز خود را در اینترنت بیابید.