گروه پالسی Group Policy

در طول کار حرفه ای شبکه، به احتمال زیاد شما برای یوزرها، درایوهای شبکه را مپ Mapped Network drives کردید که برای اینکار از اسکریپت Script در لاگین Logon استفاده کردید. این کار احتیاج به زمان زیاد برای نوشتن یک اسکریپت، برطرف کردن اشکال اسکریپت، ذخیره کردن اسکریپت در یک محل مشخص و سپس ایجاد کردن یک گروه پالسی و لینک کردن آن و غیره در شبکه را دارا میباشد. به این فکر کنیم که تنظیماتی مشابه آن که از این متد استفاده میشود نیز به همین صورت دارای مشکلات و صرف زمان میباشند. اگر ما یک سیستم سنترال داشته باشیم که بتوانیم این تنظیمات را بدون احتیاج به تغییرات گوناگون انجام دهیم، کار را برای ما بسیار آسان میکند.

سازمانها اصولا دارای دو نوع تنظیمات بر روی شبکه هستند، تنظیمات مدیریتی و غیر مدیریتی.
تنظیمات مدیریتی تنظیماتی است که باید سیاست سازمان حتما انجام شود enforce و شما به یوزرها اجازه نمیدهید که بر روی این تنظیمات تغییراتی انجام دهند. این تنظیمات سبب میشود تا مقدار هزینه های پشتیبانی کمتر شود، راندمان کاری بیشتر شود و همچنین دارائیها یا اطلاعات سازمان محافظت شوند.

گروه پالسی Group Policy بهترین تکنولوژی است که از آن در مورد توضیحات بالا میشود در یک شبکه که با ویندوز یا مایکروسافت پیکربندی شده است، استفاده کرد.

تنظیمات غیر مدیریتی را میتوان ترجیحی Preferences نامید. بعد از اعمال تنظیمات مدیریتی، شما به یوزرها اجازه میدهید که این ترجیحات را بعد از اینکه شما آنها را ایجاد کردید، تغییر دهند. بطور مثال شما تغییراتی که خودتان ایجاد کردید را به جای تنظیمات پیشفرض یا استاندارد سیستم عامل که مطابق با محیط سازمان است را استفاده میکنید. اما برخی از این تنظیمات ترجیحی در محیطهای معروف به قفل شده locked-down نباید توسط کاربران تغییر پیدا کنند. مثلا مواردی همچون پیشفرض پروفایل یوزر User Profile، نوشتن در رجیستری، عکس صفحه دسکتاپ و یا اسکریپت لاگین Logon Script. اما به هر حال اکثر روشها بسیار پیچیده میباشند.

برای همین ما از Group Policy Preferences در رابطه با تنظیمات ترجیحی استفاده میکنیم. این کار سبب میشود که ما یک سنترال برای استقرار تنظیمات داشته باشیم و این به این معنا است که به سادگی میشود از آن استفاده کرد، درصد ایرادات و اشکالات را کم میکند و همچنین سبب پایین آمدن هزینه ها میشود.

خوب حال مثال اول در مورد مپ کردن درایوها Mapped Network drives را به خاطر بیاورید، با این روش جدید شما فقط یک گروه پالسی جدید ایجاد میکنید و سپس در قسمت درایو مورد نظر خود را مپ میکنید Drive Maps preference item و یا آن را تغییر میدهید، بدون نیاز به نوشتن اسکریپت و غیره.

 

همیشه اولین سوالی که در ذهن ما خطور میکند این است: چه فرقی بین GPO و GPP وجود دارد؟
در جدول زیر یک مقایسه بین این دو را انجام میدهیم.

در حقیقت تفاوت کلیدی بین GPO و GPP در فشار اجرایی یا باید اجرا شدن enforcement است. GPO به شدت و با تمام توان پالسی را اجرا میکند. GPO در ابتدا آغاز به نوشتن تمام پالسی ها در رجیستری میکند و همچنین نوشتن در لیست کنترل دسترسی Access Control Lists – ACLs تا از تغییر آنها توسط یوزرهای استاندارد Standard Users جلوگیری نماید. زمانی که گروه پالسی GPO یک نرم افزار Application یا یک قابلیت سیستم عامل Operating System feature به این تنظیمات مدیریتی نگاه میکند، در ابتدا به این پالسی ها توجه میکنند، اگر این پالسی ها تنظیم نشده باشند به تنظیمات رجیستری توجه میکند. ثانیا برای آنها رابط کاربری User interface تغییرات مدیریتی غیر فعال شده است تا یوزرها نتوانند آنها را تغییر دهند. در انتها در یک فاصله زمانی مشخص که بین ۹۰ تا ۱۲۰ دقیقه است، پالسی های جدید را چک و اعمال میکند که این زمان توسط ادمین قابل تغییر است .

در مقابل گروه پالسی، GPP را با شدت و تمام توان اجرا نمیکند. گروه پالسی Preferences تنظیمات را در در شاخه های پالسی رجیستری ذخیره نمیکند. در عوض تنظیمات Preferences را در همان مکانی که آن نرم افزار یا قابلیت سیستم به آن نگاه میکند مینویسد .منظور این است که اولا GPP از نرم افزارها Application و قابلیت های سیستم Operating System feature که از GPO استفاده نمیکنند، پشتیبانی یا ساپورت میکند. دوما رابط کاربری User interface مربوط به تنظیمات این نرم افزارها یا قابلیت های سیستم را غیر فعال نمیکند. در نتیجه یوزر میتواند بعد از اعمال این تغییرات، آنها را تغییر دهد. در ضمن گروه پالسی این تغییرات GPP را هم به مانند GPO با همان زمان مشخص چک و اعمال میکند. با این حال شما میتوانید با استفاده از قابلیت apply them only once جلوگیری از زمان چک و اعمال تغییرات کنید .
فیلتر کردن گروه پالسی GPP نیز بطور قابل توجه ای با GPO متفاوت است. گروه پالسی GPP از item-level targeting برای فیلتر کردن استفاده میکند اما شما در GPO از WMI برای فیلتر کردن استفاده میکنید و آن فیلتر مشخص میکند که پالسی مربوطه در تمام پالسی GPO اعمال شود یا خیر. شما نمیتوانید یک پالسی خاص را در کل GPO فیلتر کنید. البته شما میتوانید با ساختن GPO های مختلف این کار را انجام دهید، اما به این فکر کنید که این کار سبب میشود که GPO بسیار

زیادی داشته باشید که مدیریت آن بسیار سخت میشود. اما در سمت مقابل گروه پالسی GPP قابلیت item-level targeting را دارد که با این قابلیت میتوان آیتمهای متعددی را در یک گروه پالسی مورد هدف قرار داد. بطور مثال با این قابلیت میتوان مشخص کرد که در یک گروه پالسی، آیتم اول کامپیترهای دسکتاپ را هدف قرار دهد و آیتم دوم همین گروه پالسی کامپیوترهای لپ تاپ یا قابل حمل را مورد هدف قرار دهد. در آخر برای فیلتر کردن GPO شما احتیاج به نوشتن فیلتر WMI دارید اما در آن سمت گروه پالسی GPP دارای یک رابط کاربری بسیار آسان میباشد.

 

شکل زیر به ما در تصمیم گیری اینکه از کدام استفاده کنیم کمک میکند. مهمترین عامل این است که آیا باید آیتم با تمام توان و فشار اجرا enforce شود. برای آیتمی که احتیاج به enforce نیست از GPP استفاده میکنیم. عامل بعدی این است که آیا نرم افزار یا قابلیت سیستم گروه پالسی GPO را میشناسد یا برای آن GPO وجود دارد. اگر اینگونه نیست میتوانیم از گروه پالسی GPP استفاده کنیم

 

آیتم های گروه پالسی Preference
در شکل زیر مربوط GPP به قسمت کامپیوتر و یوزر را میتوانیم مشاهده کنیم. در داخل هر گروه پالسی ما میتوانیم چندین آیتم Preference را اضافه کنیم و هر کدام را به صورت جدا هدف گزاری کنیم. بطور مثال در داخل یک گروه پالسی ما میتوانیم چندین آیتم Preference برای مپ کردن درایو داشته باشیم و هرکدام را به صورت جدا به جاهایی که میخواهیم (یوزر، کامپیوتر و غیره) هدف گزاری کنیم .

 

همانطور که در شکل بالا مشاهده میکنید برخی از تنظیمات مربوط به قسمت Windows Settings و برخی دیگر مربوط به قسمت Control Panel Settings میباشد. تنظیمات مربوط بهWindows Settings حاوی تنظیماتی است که شما در قدیم برای تنظیم آنها از اسکریپت Script استفاده میکردید. آنها مدیریت متغیرهای محیط، فایل ها، فولدرها و تنظیمات رجیستری هستند. تنظیمات مربوط به Control Panel Settings حاوی تنظیماتی است که یوزر میتواند آنها را از طریق Control Panel ست کند، بطور مثال تنظیمات یک فولدر، تنظیمات پاور یا وظایف برنامه ریزی شده Scheduled tasks و غیره میباشند .

بطور کلی تنظیمات مربوط به قسمت کامپیوتر و یوزر شبیه به هم میباشند. اما با این حال تنظیمات مربوط به قسمت کامپیوتر دارای خواص متفاوتی در مقایسه با همان تنظیمات در قسمت یوزر میباشد. تنظیمات منحصر به فرد در قسمت کامپیوتر Network Shares و Services میباشند، در مقابل تنظیمات منحصر به فرد در قسمت یوزر Applications ، Drive Maps ، Internet Settings ، Regional Options وStart Menu میباشند .

Windows Settings تنظیمات مربوط به قسمت
Drive Maps

تنظیمات مربوط به قسمت Drive Maps به ما اجازه Create ، Replace ، Update و Delete درایوهای مپ شبکه را میدهد. این تنظیمات را ما بدون نوشتن اسکریپت و استفاده از لاگان اسکریپت انجام میدهیم و در ضمن استفاده از GPP برای مپ کردن درایو دارای ثبات بیشتری نسبت به اسکریپت لاگان دارد. ما میتوانیم چندین آیتم برای مپ کردن درایو ایجاد کنیم و هرکدام را به صورت جدا به جاهایی که میخواهیم (یوزر، کامپیوتر و غیره) هدف گزاری کنیم. با استفاده از GPP ما دارای قابلیت انعطاف پذیری بیشتری نسبت به استفاده از اسکریپت داریم و همچنین مشکلات کمتری نیز داریم .

Environment

تنظیمات مربوط به محیط Environment ما را قادر به مدیریت متغیرهای محیطی یوزر و سیستم میکند. همچنین میتوان یک مسیر متغیر مخصوص سیستم ویندوز را تغییر Change یا به روز رسانی Update کرد .

بهترین استفاده ای که ما میتوانیم از این تنظیم Environment کنیم، این است که یک محیط ویژه یا مشخص متغیرها را بر اساس شرایط خاص ست Set کنیم. سپس در یک GPP دیگر ما میتوانیم این متغیرها را فراخوانی Call کنیم. بطور مثال ما میتوانیم یک متغیر را که در شکل میبینیم، یک متغیر به نام Scripts را با مقدار نشان داده شده تعریف میکنیم، سپس میتوانیم این متغیر را در زمانی که احتیاج داریم یک GPP دیگر برای کپی کردن یا استفاده فایل ها بر اساس این متغیر، دوباره استفاده کنیم.

Files

تنظیم GPP مربوط به فایل به ما اجازه میدهد که فایل ها را از مکان مبداء به مکان مقصد کپی کنیم. مکان مبداء میتواند یک مسیر UNC یا ماشین لوکال Local Machine باشد و مکان مقصد نیز میتواند اینگونه باشد. متداولترین سناریو استفاده از این تنظیمات کپی کردن فایل ها از روی سرور Server در فولدر پروفایل یوزر، روی Desktop یا در درایو C میباشد.

Folders

این تنظیم GPP به ما اجازه میدهد که فولدرهای جدید ایجاد کرده یا فولدرهای موجود را حذف کرده و یا محتویات آنها را حذف کنیم. بطور مثال میتوان تنظیم کرد که فولدر مورد نظر پاک شود، به شرط آنکه درون فولدر خالی باشد .

Ini Files
تنظیم GPP مربوط به Ini این امکان را فراهم میکند تا خواص منحصر بفرد فایل های .ini را Create ، Update ، Replace و Delete کنیم.

Network Shares
اگر چه ویندوز یک راه برای مدیریت مرکزی اشتراک های شبکه Network Shares بر روی کامپیوترهای متعدد فراهم نمیکند، قابلیت GPP تنظیم Network Shares از مدیریت اشتراک شبکه بر روی کامپیوترهای هدف قرار گرفته شده targeted متعدد پشتیبانی میکند.
علاوه براین این امکان را نیز به شما میدهد تا دسترسی بر اساس مشخصات یا تشخیص Access-based Enumeration – ABE را مدیریت کنید که مانع از این میشود تا یوزرها زیر مجموعه فولدرهائی subfolders که فاقد اجازه دسترسی را دارند را ببینند و همچنین تنظیمات محدودیت برای یوزرها .

Registry

تنظیم GPP مربوط به رجیستری یکی از قدرتمندترین تنظیمات GPP است که به ما اجازه Create ، Update ، Replace و Delete رجیستری را میدهد. این قابلیت به شما اجازه هر تنظیمی برای رجیستری مانند REG_BINARY را میدهد که از زمان ADM یا ADMX قابل اجرا یا عمل نبود

رجیستری آیتم Registry Item به ما این اجازه را میدهد که خواص منحصر به فردی را ست کنیم، در حقیقت همه انواع رجیستری که ساپورت میشوند REG_SZ, REG_DWORD, REG_BINARY, REG_MULTI_SZ, REG_EXPAND_SZ و در تمام قسمتها HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER, HKEY_CLASSES_ROOT, HKEY_USERS, HKEY_CURRENT_CONFIG.
کلکسیون یا مجموعه آیتم Collection Item به ما این اجازه را میدهد که با تنظیم آن یک مجموعه از تنظیمات رجیستری هم زمان بر روی ماشین اعمال میشوند. بطور مثال شما با استفاده از میتوانید ابتدا با استفاده از item-level targeting شرایط یا معیارها اطمینان حاصل کنید و سپس مجموعه ریجستری را تغییر دهید. مثلا ابتدا من چک میکنم که کامپیوتر ساخت شرکت HP است و اگر بود تغیرات رجیستری را کلی انجام میدهم.
ویزارد رجیستری Registry Wizard این امکان را به ما میدهد مثال ها یا تنظیمات رجیستری موجود بر روی ماشین را دید و سپس آن رجیستری خاص که مد نظر است را پیدا و تغییر داد و سپس آنها را به ماشین لوکال یا ریموت اعمال کرد. همچنین ما میتوانیم رجیستری های منحصر به فرد را انتخاب کرد مقدار آنها را تغییر سپس به صورت کلی و یکجا عمل کنیم.

Shortcuts
تنظیم GPP مربوط به Shortcuts این امکان را میدهد که برای برنامه یا لینک URL و داکیومنت میانبر Shortcut ایجاد کنیم و آن را بطور مثال بر روی ِDesktop ، Startup folder ، Programs folders و غیره قرار دهیم.
File System Object برای ساخت میانبر Shortcut برنامه یا داکیومنت استفاده میشود، بطور مثال میتوان یک میانبر برای برنامه ساخت و سپس در قسمت Start menu قرار داد.