فا

‫ تغييرات سياست گروهي در ويندوز سرور 2012، ويندوز 8 و ويندوز RT (بخش اول)

IRCAR201305173
تاريخ: 01/03/92
 
در اين مجموعه مقالات، به تغييرات سياست گروهي و نحوه استفاده بهينه از آن براي امن‌سازي شبكه ويندوزي نگاهي خواهيم انداخت.
 
مقدمه
سياست گروهي (Group Policy) يكي از قوي‌ترين و راحت‌ترين ابزارهايي است كه مديران شبكه و متخصصان امنيت فناوري اطلاعات براي كنترل محيط ويندوز و تعيين حدود اختيارات كاربران در اختيار دارند. تنظيم سياست‌هاي محلي و/يا دامنه‌اي بسيار راحت‌تر و كم‌خطرتر از ويرايش رجيستري براي انجام همان كارها است. سياست گروهي بهترين ابزار براي تنظيم محدوديت‌هاي كامپيوتر (كلاينت و سرور) يا حساب‌هاي كاربري خاص است.
مايكروسافت با عرضه جديدترين سيستم عامل‌ها يعني ويندوز سرور 2012، ويندوز 8 و ويندوز RT، تغييراتي را در سياست گروهي ايجاد كرده است. چندين ويژگي جديد در سياست گروهي ايجاد شده و برخي از ويژگي‌هاي قبلي نيز براي ارائه عملكردهاي جديد به‌روز شده‌اند. در اين مجموعه مقالات، به اين تغييرات و نحوه استفاده بهينه از آنها براي امن نگه داشتن شبكه ويندوزي نگاهي خواهيم انداخت.
 
ويندوز RT سياست گروهي را پشتيباني مي‌كند
يكي از نكات آزاردهنده در مورد ويرايش‌هاي خانگي ويندوز (Windows Home Edition)، كمبود ابزار ويرايش سياست گروهي محلي است. به همين دليل اين نكته بسيار خوشحال كننده است كه ويندوز RT كه بيشتر براي تبلت‌ها طراحي شده است، سياست گروهي محلي را پشتيباني مي‌كند. بديهي است كه مايكروسافت به اين نكته رسيده است كه در دنياي امروز، بسياري از كارمندان از سيستم شخصي خود در شبكه ويندوزي محل كار استفاده مي‌كنند و همين موضوع، باعث امتياز تبلت‌هاي ويندوز RT نسبت به همتايان خود با پلتفورم‌هايي مانند iOS يا اندرويد شده است.
البته به خاطر داشته باشيد كه مطابق شكل 1، سرويس كلاينت سياست گروهي به‌طور پيش‌فرض غيرفعال است. اما شما به راحتي مي‌توانيد آن را فعال نماييد. كافي است services.msc را در جعبه Run در صفحه Start تايپ كنيد، كلاينت سياست گروهي (Group Policy Client) را پيدا كنيد و بر روي آن دوبار كليك نماييد. اين كار صفحه Properties را باز مي‌كند و شما بايد Startup Type را به Automatic تغيير دهيد. سپس بر روي آن كليك راست كرده و بر روي Start كليك كنيد تا اين سرويس فعال گردد.
شكل 1: فعال سازي سرويس كلاينت سياست گروهي در ويندوز RT
 
به خاطر داشته باشيد كه يك سيستم ويندوز RT نمي‌تواند عضوي از يك دامنه ويندوزي باشد، به همين دليل نمي‌تواند از طريق سياست گروهي دامنه مديريت گردد، اگرچه مي‌تواند مانند سيستم‌هاي ويندوز ويرايش خانگي براي لاگين به حساب يك كاربر دامنه مورد استفاده قرار گيرد.
همان‌طور كه در شكل 2 مشاهده مي‌كنيد، ويندوز RT اغلب تنظيمات امنيتي سياست گروهي محلي مورد استفاده در نسخه‌هاي پيشين ويندوز را دارا است.
شكل 2: سياست گروهي محلي در ويندوز RT با تنظيمات امنيتي مشابه نسخه‌هاي قبل
 
ويژگي‌ها و مسائل جديد سياست گروهي در ويندوز 8 / سرور 2012
ادامه اين مقاله در مورد ويژگي‌ها و مسائل جديد مطرح در سياست گروهي در ويندوز 8 و ويندوز سرور 2012 بحث خواهد كرد.
 
به‌روز رساني سياست گروهي از راه دور
اين يك ويژگي جديد در ويندوز سرور 2012 است كه كار انجام تنظيمات سياست گروهي را بر روي كامپيوترهاي راه دور كمي راحت‌تر مي‌كند. زماني كه شما در يك واحد سازماني (OU) گروهي از كامپيوترهاي راه دور داريد و مي‌خواهيد تنظيمات سياست گروهي را بر روي تمامي اين كامپيوترها تغيير دهيد، مي‌توانيد به جاي ايجاد ارتباط راه دور با تك‌تك اين كامپيوترها و اجراي دستور gpupdate.exe بر روي هريك به‌صورت جداگانه، اين كار را در مورد همه اين كامپيوترها به‌صورت هم‌زمان و يك‌جا انجام دهيد. اين كار مي‌تواند صرفه‌جويي زيادي در زمان شما ايجاد كند.
دو روش براي انجام اين كار وجود دارد:
·         استفاده از كنسول مديريت سياست گروهي
·         استفاده از PowerShell ويندوز
هريك از دو راه فوق كه براي اجراي به‌روز رساني از راه دور بر روي كامپيوترهاي يك واحد سازماني استفاده شود، باعث ايجاد يك برنامه زمان‌بندي شده براي هر كاربر كه به اين كامپيوترها وارد مي‌شود، مي‌گردد. اين برنامه زمان‌بندي شده باعث اجراي gpupdate.exe /force بر روي كامپيوتر مي‌شود. اين برنامه‌هاي زمان‌بندي شده با تأخيرهاي تصادفي تنظيم مي‌گردند تا بار ترافيكي شبكه كاهش يابد. اگر شما بخواهيد كه اين به‌روز رساني بلافاصله اجرا گردد (يا اينكه زمان تأخير را كنترل نماييد)، بايد از PowerShell براي اين كار استفاده كنيد.
 
استفاده از GPMC  براي اجراي به‌روز رساني سياست گروهي از راه دور
براي اعمال به‌روز رساني سياست گروهي از راه دور از طريق اجراي gpupdate.exe بر روي تمام كامپيوترهاي واحد سازماني با استفاده از GPMC، بايد كارهاي زير را انجام دهيد:
1.       بر روي OU مربوط به كامپيوترهاي مورد نظر خود كليك راست نماييد.
2.       Group Policy Update … را انتخاب كنيد.
3.       در صفحه باز شده كه از شما مي‌پرسد آيا مايل هستيد يك به‌روز رساني سياست گروهي را اعمال كنيد، Yes را انتخاب نماييد.
4.       اكنون مي‌توانيد وضعيت پردازه زمان‌بندي را براي هر كامپيوتر مشاهده كنيد. توجه داشته باشيد كه اين به‌روز رساني بر روي تمامي كامپيوترهاي موجود در واحد سازماني (OU) انتخاب شده و تمامي كامپيوترهاي موجود در زير واحدهاي آن اعمال خواهد شد.
يك مشكل كوچك اين است كه اين صفحه به شما نمي‌گويد كه كار به‌روز رساني با موفقيت انجام شده است يا خير. براي حصول اطمينان از اين موضوع، بايد از ابزار Resultant Set of Policy استفاده نماييد.
 
استفاده از PowerShell  براي اجراي به‌روز رساني سياست گروهي از راه دور
استفاده از PowerShell براي زمان‌بندي يك به‌روز رساني از راه دور براي تمامي كامپيوترهاي يك واحد سازماني، مي‌توانيد از Invoke-GPUpdate cmdlet استفاده كنيد. يكي از امتيازات استفاده از PowerShell اين است كه علاوه بر توانايي تعيين تأخير شروع به‌روز رساني‌ها، مي‌توانيد به‌روز رساني از راه دور را براي تمامي كامپيوترهاي موجود در بخش Computers در Active Directory اعمال نماييد. اين كاري است كه از طريق GPMC قادر به انجام آن نيستيد. براي اين كار ابتدا بايد با استفاده از Get-ADComputer cmdlet، فهرستي از تمامي نام‌هاي كامپيوترها به دست آوريد. همچنين مي‌توانيد به‌روز رساني سياست گروهي را فقط براي مجموعه‌اي از كامپيوترها زمان‌بندي نماييد.
همچنين مي‌توانيد Invoke-GPUpdate cmdlet را در پس‌زمينه اجرا كرده و به كامپيوترها دستور دهيد كه پس از انجام تغييرات سياست گروهي مجدداً راه‌اندازي شده يا logoff گردند.
براي مثال دستور زير مي‌تواند براي اعمال به‌روز رساني سياست گروهي در تمامي تنظيمات سياست گروهي بر روي تمامي كامپيوترهاي يك واحد سازماني به كار گرفته شود:
Get-ADComputer –filter * -Searchbase "ou=Accounting, dc=Contoso,dc=com" | foreach{ Invoke-GPUpdate –computer $_.name -force}
 
فاكتورهاي مهم در به‌روز رساني سياست گروهي از راه دور
به‌روز رساني از راه دور مي‌تواند بر روي كامپيوترهاي يك واحد سازماني كه ويندوز ويستا، ويندوز 7، ويندوز 8، سرور 2008، سرور 2008 R2 يا سرور 2012 را اجرا مي‌كنند اعمال گردد (اين كار در مورد ويندوز XP و سرور 2003 قابل انجام نيست). شما بايد به‌روز رساني از راه دور را از يك كامپيوتر ويندوز سرور 2012 يا يك سيستم ويندوز 8 كه از ابزار Remote Server Administration استفاده مي‌كند، انجام دهيد.
همچنين توجه داشته باشيد كه اگر كار به‌روز رساني از راه دور را از طريق فايروال انجام مي‌دهيد، قوانين فايروال بايد مجوز عبور ترافيك از پورت مربوطه را صادر نمايد. اين كار با يك Starter GPO به نام Group Policy Remote Update Firewall Ports كه يكي از Starter GPO هاي جديد در ويندوز سرور 2012 است بسيار ساده‌تر مي‌شود. اين يك ويژگي جديد ديگر است كه بعداً در مورد آن صحبت خواهيم كرد. اين Starter GPO شامل تنظيم سياست‌ها براي پيكربندي پورت‌هاي فايروال نيز مي‌باشد.
 
خلاصه
تغييرات سياست گروهي در ويندوز سرور 2012 و ويندوز 8 و پشتيباني سياست گروهي محلي در ويندوز RT، كنترل بيشتري بر روي كامپيوترهايي كه بخشي از شبكه شركت شما بوده يا به آن متصل مي‌شوند ايجاد مي‌كند. در مجموع هفت ويژگي يا عملكرد جديد مرتبط با سياست گروهي در اين سيستم عامل‌هاي جديد وجود دارد و همچنين پنج ويژگي نيز به‌روز شده يا بهبود يافته است. در اين بخش از اين سلسله مقالات، در مورد پشتيباني سياست گروهي محلي در ويندوز RT و ويژگي جديد به‌روز رساني سياست گروهي از راه دور بحث شد. در بخش‌هاي بعدي به ساير ويژگي‌هاي جديد يا بهبود يافته خواهيم پرداخت.
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0