تبادل لینک هوشمند در این مجموعه مقالات، به تغییرات سیاست گروهی و نحوه استفاده بهینه از آن برای امنسازی شبكه ویندوزی نگاهی خواهیم انداخت.
مقدمه
سیاست گروهی (Group Policy) یكی از قویترین و راحتترین ابزارهایی است كه مدیران شبكه و متخصصان امنیت فناوری اطلاعات برای كنترل محیط ویندوز و تعیین حدود اختیارات كاربران در اختیار دارند. تنظیم سیاستهای محلی و/یا دامنهای بسیار راحتتر و كمخطرتر از ویرایش رجیستری برای انجام همان كارها است. سیاست گروهی بهترین ابزار برای تنظیم محدودیتهای كامپیوتر (كلاینت و سرور) یا حسابهای كاربری خاص است.
مایكروسافت با عرضه جدیدترین سیستم عاملها یعنی ویندوز سرور 2012، ویندوز 8 و ویندوز RT، تغییراتی را در سیاست گروهی ایجاد كرده است. چندین ویژگی جدید در سیاست گروهی ایجاد شده و برخی از ویژگیهای قبلی نیز برای ارائه عملكردهای جدید بهروز شدهاند. در این مجموعه مقالات، به این تغییرات و نحوه استفاده بهینه از آنها برای امن نگه داشتن شبكه ویندوزی نگاهی خواهیم انداخت.
ویندوز RT سیاست گروهی را پشتیبانی میكند
یكی از نكات آزاردهنده در مورد ویرایشهای خانگی ویندوز (Windows Home Edition)، كمبود ابزار ویرایش سیاست گروهی محلی است. به همین دلیل این نكته بسیار خوشحال كننده است كه ویندوز RT كه بیشتر برای تبلتها طراحی شده است، سیاست گروهی محلی را پشتیبانی میكند. بدیهی است كه مایكروسافت به این نكته رسیده است كه در دنیای امروز، بسیاری از كارمندان از سیستم شخصی خود در شبكه ویندوزی محل كار استفاده میكنند و همین موضوع، باعث امتیاز تبلتهای ویندوز RT نسبت به همتایان خود با پلتفورمهایی مانند iOS یا اندروید شده است.
البته به خاطر داشته باشید كه مطابق شكل 1، سرویس كلاینت سیاست گروهی بهطور پیشفرض غیرفعال است. اما شما به راحتی میتوانید آن را فعال نمایید. كافی است services.msc را در جعبه Run در صفحه Start تایپ كنید، كلاینت سیاست گروهی (Group Policy Client) را پیدا كنید و بر روی آن دوبار كلیك نمایید. این كار صفحه Properties را باز میكند و شما باید Startup Type را به Automatic تغییر دهید. سپس بر روی آن كلیك راست كرده و بر روی Start كلیك كنید تا این سرویس فعال گردد.
شكل 1: فعال سازی سرویس كلاینت سیاست گروهی در ویندوز RT
به خاطر داشته باشید كه یك سیستم ویندوز RT نمیتواند عضوی از یك دامنه ویندوزی باشد، به همین دلیل نمیتواند از طریق سیاست گروهی دامنه مدیریت گردد، اگرچه میتواند مانند سیستمهای ویندوز ویرایش خانگی برای لاگین به حساب یك كاربر دامنه مورد استفاده قرار گیرد.
همانطور كه در شكل 2 مشاهده میكنید، ویندوز RT اغلب تنظیمات امنیتی سیاست گروهی محلی مورد استفاده در نسخههای پیشین ویندوز را دارا است.
شكل 2: سیاست گروهی محلی در ویندوز RT با تنظیمات امنیتی مشابه نسخههای قبل
ویژگیها و مسائل جدید سیاست گروهی در ویندوز 8 / سرور 2012
ادامه این مقاله در مورد ویژگیها و مسائل جدید مطرح در سیاست گروهی در ویندوز 8 و ویندوز سرور 2012 بحث خواهد كرد.
بهروز رسانی سیاست گروهی از راه دور
این یك ویژگی جدید در ویندوز سرور 2012 است كه كار انجام تنظیمات سیاست گروهی را بر روی كامپیوترهای راه دور كمی راحتتر میكند. زمانی كه شما در یك واحد سازمانی (OU) گروهی از كامپیوترهای راه دور دارید و میخواهید تنظیمات سیاست گروهی را بر روی تمامی این كامپیوترها تغییر دهید، میتوانید به جای ایجاد ارتباط راه دور با تكتك این كامپیوترها و اجرای دستور gpupdate.exe بر روی هریك بهصورت جداگانه، این كار را در مورد همه این كامپیوترها بهصورت همزمان و یكجا انجام دهید. این كار میتواند صرفهجویی زیادی در زمان شما ایجاد كند.
دو روش برای انجام این كار وجود دارد:
· استفاده از كنسول مدیریت سیاست گروهی
· استفاده از PowerShell ویندوز
هریك از دو راه فوق كه برای اجرای بهروز رسانی از راه دور بر روی كامپیوترهای یك واحد سازمانی استفاده شود، باعث ایجاد یك برنامه زمانبندی شده برای هر كاربر كه به این كامپیوترها وارد میشود، میگردد. این برنامه زمانبندی شده باعث اجرای gpupdate.exe /force بر روی كامپیوتر میشود. این برنامههای زمانبندی شده با تأخیرهای تصادفی تنظیم میگردند تا بار ترافیكی شبكه كاهش یابد. اگر شما بخواهید كه این بهروز رسانی بلافاصله اجرا گردد (یا اینكه زمان تأخیر را كنترل نمایید)، باید از PowerShell برای این كار استفاده كنید.
استفاده از GPMC برای اجرای بهروز رسانی سیاست گروهی از راه دور
برای اعمال بهروز رسانی سیاست گروهی از راه دور از طریق اجرای gpupdate.exe بر روی تمام كامپیوترهای واحد سازمانی با استفاده از GPMC، باید كارهای زیر را انجام دهید:
1. بر روی OU مربوط به كامپیوترهای مورد نظر خود كلیك راست نمایید.
2. Group Policy Update … را انتخاب كنید.
3. در صفحه باز شده كه از شما میپرسد آیا مایل هستید یك بهروز رسانی سیاست گروهی را اعمال كنید، Yes را انتخاب نمایید.
4. اكنون میتوانید وضعیت پردازه زمانبندی را برای هر كامپیوتر مشاهده كنید. توجه داشته باشید كه این بهروز رسانی بر روی تمامی كامپیوترهای موجود در واحد سازمانی (OU) انتخاب شده و تمامی كامپیوترهای موجود در زیر واحدهای آن اعمال خواهد شد.
یك مشكل كوچك این است كه این صفحه به شما نمیگوید كه كار بهروز رسانی با موفقیت انجام شده است یا خیر. برای حصول اطمینان از این موضوع، باید از ابزار Resultant Set of Policy استفاده نمایید.
استفاده از PowerShell برای اجرای بهروز رسانی سیاست گروهی از راه دور
استفاده از PowerShell برای زمانبندی یك بهروز رسانی از راه دور برای تمامی كامپیوترهای یك واحد سازمانی، میتوانید از Invoke-GPUpdate cmdlet استفاده كنید. یكی از امتیازات استفاده از PowerShell این است كه علاوه بر توانایی تعیین تأخیر شروع بهروز رسانیها، میتوانید بهروز رسانی از راه دور را برای تمامی كامپیوترهای موجود در بخش Computers در Active Directory اعمال نمایید. این كاری است كه از طریق GPMC قادر به انجام آن نیستید. برای این كار ابتدا باید با استفاده از Get-ADComputer cmdlet، فهرستی از تمامی نامهای كامپیوترها به دست آورید. همچنین میتوانید بهروز رسانی سیاست گروهی را فقط برای مجموعهای از كامپیوترها زمانبندی نمایید.
همچنین میتوانید Invoke-GPUpdate cmdlet را در پسزمینه اجرا كرده و به كامپیوترها دستور دهید كه پس از انجام تغییرات سیاست گروهی مجدداً راهاندازی شده یا logoff گردند.
برای مثال دستور زیر میتواند برای اعمال بهروز رسانی سیاست گروهی در تمامی تنظیمات سیاست گروهی بر روی تمامی كامپیوترهای یك واحد سازمانی به كار گرفته شود:
Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
فاكتورهای مهم در بهروز رسانی سیاست گروهی از راه دور
بهروز رسانی از راه دور میتواند بر روی كامپیوترهای یك واحد سازمانی كه ویندوز ویستا، ویندوز 7، ویندوز 8، سرور 2008، سرور 2008 R2یا سرور 2012 را اجرا میكنند اعمال گردد (این كار در مورد ویندوز XP و سرور 2003 قابل انجام نیست). شما باید بهروز رسانی از راه دور را از یك كامپیوتر ویندوز سرور 2012 یا یك سیستم ویندوز 8 كه از ابزار Remote Server Administration استفاده میكند، انجام دهید.
همچنین توجه داشته باشید كه اگر كار بهروز رسانی از راه دور را از طریق فایروال انجام میدهید، قوانین فایروال باید مجوز عبور ترافیك از پورت مربوطه را صادر نماید. این كار با یك Starter GPO به نام Group Policy Remote Update Firewall Ports كه یكی از Starter GPO های جدید در ویندوز سرور 2012 است بسیار سادهتر میشود. این یك ویژگی جدید دیگر است كه بعداً در مورد آن صحبت خواهیم كرد. اینStarter GPO شامل تنظیم سیاستها برای پیكربندی پورتهای فایروال نیز میباشد.
خلاصه
تغییرات سیاست گروهی در ویندوز سرور 2012 و ویندوز 8 و پشتیبانی سیاست گروهی محلی در ویندوز RT، كنترل بیشتری بر روی كامپیوترهایی كه بخشی از شبكه شركت شما بوده یا به آن متصل میشوند ایجاد میكند. در مجموع هفت ویژگی یا عملكرد جدید مرتبط با سیاست گروهی در این سیستم عاملهای جدید وجود دارد و همچنین پنج ویژگی نیز بهروز شده یا بهبود یافته است. در این بخش از این سلسله مقالات، در مورد پشتیبانی سیاست گروهی محلی در ویندوز RT و ویژگی جدید بهروز رسانی سیاست گروهی از راه دور بحث شد. در بخشهای بعدی به سایر ویژگیهای جدید یا بهبود یافته خواهیم پرداخت.
.: Weblog Themes By Pichak :.