Group Policy Scope

Scope

Scope (گستره) یک GPO، اجتماع کامپیوتر ها و یوزر هایی است که یک آن GPO روی آن ها اعمال می شود.متد های مختلفی برای تعیین Scope وجود دارد. اولین و ساده ترین راه، روش Link است. یک GPO می تواند به برخی از نقاط در محیط Active Directory، لینک شود. به عبارت دیگر، با روش لینک می توانیم معین کنیم که یک GPO دقیقا در کجا به کار گرفته شود؛ یک دامین، سایت و یا یک OU. بدیهی است که GPO برای تمام کامپیوتر ها و یوزر ها آن بخش به کار گرفته خواهد شد. برای بیشتر محدود کردن سیاست ها، روش های دیگری در دسترس است. که به روش های فیلتر کردن GPO مشهور اند.

  • Security Filters، که Global Security Group هایی را معین می کند که آن سیاست باید/نباید در آن به کار گرفته شوند.
  • Filters Windows Management Instrumentation یا به اختصار WMI Filters که از مشخصاتی از سیستم همانند سیستم عامل و یا میزان فضای خالی دیسک سخت استفاده می شود.

ترتیب اعمال لینک ها

مدیریت لینک ها در قسمت ساخت، ایجاد و ویرایش GPOs توضیح داده شد. همانطور که اشاره شد، ممکن است به یک کامپیوتر/کاربر چندین Policy از طریق لینک های مختلف اعمال شود؛ به عبارت دیگر یک کامپیوتر/کاریر ممکن است در Scope چندین GPO مختلف باشد. .ترتیب زیر، ترتیب اعمال شدن Policy هایی است که از چند لینک مختلف اعمال می گردند. هر سیاستی که آخر اعمال می شود، تاثیر بیشتری دارد. به عنوان مثال چنانچه در LGPO به کاربر اجازه Run داده شده باشد در سایت و دامین تصمیمی اتخاذ نشده باشد و در OU منع شده باشد، کاربر به run دسترسی نخواهد داشت. برای درک بهتر می توان در نظر گرفت: “مراحل بعدی، روی مراحل قبلی Overwrite می شوند.”

  • ۱ – هر کامپیوتر دقیقا یک LGPO دارد. در ویندوز ویستا و سرور ۲۰۰۸ می توان بیش از چند LGPO داشت. برای
  • ۲ – هر سیاستی که در سایت لینک شده باشد،اعمال می شود. در صورت لینک شدن چندین سیاست به یک سایت، به ترتیب اهمیت بیشتری خواهند داشت.
  • ۳ – هر سیاستی که در دامین لینک شده باشد، اعمال می شود. همانند ۲، ترتیب اعمال سیاست ها به ترتیبی است که معین شده است.
  • ۴ – هر سیاستی که در OU لینک شده باشد، اعمال می شود. همانند ۳ و ۲ ترتیب اعمال شدن سیاست ها به ترتیبی است که معین شده است.
  • * چنانچه اختلافی میان سیاست های Computer Configuration و User Configuration موجود باشد، User Configuration اعمال خواهد شد چرا که User Configuration خاص تر است. اما استفاده از لغت “برتری” برای این دو گروه تنظیمات اشتباه است.
  • توضیح بیشتر آنکه چنانچه به یک دامین، سایت یا OU بیش از یک GPOs لینک شده باشد، ترتیب اولویت آن ها با لینک های بالاتر است. همچنین می توانید شماره کنار هر گزینه را اولویت آن در نظر بگیرید. مثلا تمام سیاست های ۴ نسبت به ۲ در اولویت است. شکل زیر به خوبی ترتیب اعمال سیاست ها را نمایش می دهد. برای بزرگ تر شدن تصویر روی آن کلیک کنید.
  • در خصوص Policy هایی که روی Site ها اعمال می شوند توجه داشته باشید که یک Site می تواند شامل چندین Domain باشد. حال، آن Policy روی تمام Domain اعمال خواهد شد. زمانی که Policy جدید ایجاد می کنید روی Domain ای ساخته می شود که از طریق آن Policy را ایجاد کرده اید لذا لازم است Active Directory Link ها در Sites به طور مناسب تنظیم شده باشد.

وراثت

یک Policy به زیردستان به ارث می رسد و نه در خلاف آن. به عنوان مثال شاه می تواند برای وزیر، دستوری صادر کند مثلا در کامپیوتر خود Run نداشته باشد! اما وزیر نمی تواند سیاستی برای شاه اعمال کند. در Group Policy نیز Policyها از بالا به پایین به ارث می رسند. در واقع از والد (parent) به فرزند (Child). نحوه اعمال این Policy ها به این شرح است:

۱ – چنانچه Policy در OU والد تنظیم شده باشد و در OU فرزند تنظیم نشده باشد آن سیاست به فرزندان اعمال می شود. (چه Enable باشد چه Disable – فقط در حالت Not Configured بی اثر است)

۲ – چنانچه یک Policyدر OU والد تنظیم شده باشد و در OU فرزند نیز همان Policyتنظیم شده باشد، Policy فرزند بر Policy والد برتری دارد و سیاست فرزند اعمال می شود. در واقع Policy والد بی اثر است.

۳ – چنانچه سیاست های والد Not Configured باشد همانطور که در ۱ توضیح داده شد، به ارث برده نمی شوند.

۴ – چنانچه سیاست ها با هم ناسازگار نباشند، هر دو سیاست اعمال می شوند. به عنوان مثال چنانچه در OU والد سیاستی مبنی بر قرار گرفته یک Foler روی Desktop وجود داشته باشد، و در OU فرزند نیز همان Policy در مورد Folder دیگری باشد، هر دو Folder روی Desktop وجود خواهند داشت. زیرا دو سیاست در خصوص دو Folder جداگانه اعمال شده اند و تناقضی با هم ندارند.

۵ – چنانچه سیاست های OU والد با OU فرزند ناسازگار باشد، سیاست ها به OU والد به ارث نمی رسد و سیاست های فرزند اعمال می شود.

۶ – به صورت پیش فرض، سیاست های از Parent Domain به Child Domain به ارث نمی رسد و سیاست های جداگانه خود را خواهند داشت.

فرآیند Group Policy

گام های زیر، مراحلی است که یک کامپیوتر در محیط Active Directory طی می کند تا یک Policy به آن اعمال می شود:

۱- کامپیوتر شروع به کار می کند و سرویس دهی شبکه آغاز می شود. سپس RPCSS و MUP شروع به کار می کنند و سپس Group Policy Client آغاز به کار می کند.

۲- Group Policy Client یک لیست مرتب شده از GPOs هایی که در Scope سیاست های خودش است را آماده می کند و این لیست مرتب به صورت نحوه فرآیند اعمال Group Policy را معین می کند. که به صورت پیش فرض Local ، سیاست های Site ، سیاست های دامین ، سیاست های OU است.

الف: سیستم عامل های قبل از ویندوز ویستا و از ویندوز ۲۰۰۰ به بعد، فقط یک LGPO دارند و همان LGPO اعمال می شود. سیستم عامل های بعد از ویندوز ویستا، چند LGPOs دارند که در مورد اولویت آنها نسبت به هم صحبت شد.

ب: تمام سیاست های گروهی که به سایت link شده باشند، در لیست مرتب شده قرار می گیرند. چنانچه چندین سیاست link شده باشد، به همان ترتیب به لیست اضافه می شوند. GPO که در بالاتر باشد، اولویت بیشتری دارد بنابراین دیر تر به لیست اضافه می شود تا در صورت داشتن تضاد با سیاست های قبلی Overwrite شود. در مورد لغت Overwrite به تذکری که قبلا دادم توجه کنید.

پ: سیاست های دامنی به همان ترتیبی گفته شد اضافه می شوند.

ت: سیاست های OU به ترتیب بالاترین OU در ساختار سلسه مراتبی اکتیودایرکتوری اعمال می شوند تا به پایین ترین OU که در Scope است برسد. اولویت ها بر همان اساس که در قبل گفته شد خواهد بود و اولویت بیشتر دیر تر در لیست وارد می شود تا سیاست های قبلی را Overwrite کند.

ث: سیاست های اجبار کننده وارد لیست می شوند بنابراین این سیاست ها Override می شوند بر سیاست هایی که قبلا در لیست بودند و یعنی بیشترین اولویت را دارند.

* ترتیب اولویت ها را به خاطر بسپارید، عکس آن ترتیب به لیست اضافه می شوند.

۳٫ این مراحل پشت سر هم انجام می شود. در هر مرحله، تنظیمات مربوط به سیاست ها معین می شود ( Enable یا Disable ). در صورتی که فیلتر WMI وجود داشته باشد و سیستم عامل ویندوز XP به بعد باشد، یک WQL اتفاق خواهد افتاد.

۴- در این مرحله اتفاقاتی رخ می دهد که آنها را تا بحث “معماری سیاست های گروهی” بررسی نمی کنیم.

– Startup Script اجرا می شود. هر اسکریپت یا اجرایش تمام می شود و یا TimeOut می شود. زمان TimeOut به صورت پیش فرض ۶۰۰ ثانیه معادل ۱۰ دقیقه است. این پردازش به صورت پیش فرض در پشت صحنه اتفاق می افتد. می توان تنظیمات TimeOut و… را تغییر داد.

۵- زمامی که یوزر Logon می کند،ابتدا User Profile کامل لود می شود و سپس مشابه آنچه زمان Startup برای Computer Configuration اتفاق افتاد، در زمان Logon برای User Configuration اتفاق می افتد. چنانچه User loopback Policy تعیین شده باشد و Enable باشد، این پروسه فرق می کند که در “معماری سیاست های گروهی” بررسی بیشتری خواهیم کرد.

– Logon Script اجرا می شود. شرایط مشابه Startup Script است.

۶- هر ۹۰ – ۱۲۰ دقیقه یکبار پس از Strartup ، سیاست های Computer Configuration بازسازی می شوند و مراحل ۲ و ۳ و ۴ تکرار می شوند.

۷- در هر ۹۰ – ۱۲۰ دقیقه یکبار پس از Logon ، سیاست های User Configuration بازسازی می شوند و مراحل ۵ و ۳ و ۴ تکرار می شوند

استثنا ها

۱– کامپیوتر های عضو Workgroup : بدیهی است که کامپیوتر هایی که عضو دامین نیستند، تنها LGPO برای آنها اعمال می شود.

۲ – NO Override : هر سیاستی که اعمال می شود، می تواند تنظیم شود که سیاست دیگری روی آن برتری پیدا نکند، در این صورت در صورت آنکه حتی با سیاست فرزندان ناسازگار باشد، آن سیاست اعمال خواهد شد. ضمن آنکه چنانچه چند سیاست ناسازگار با یکدیگر No Override باشند، سیاستی که در ساختار درختی اکتیو دایرکتوری بالاتر است، آن سیاست اعمال می شود.

۳ – Block Policy Inheritance : فرزندان می توانند جلوی به ارث بردن را بگیرند البته چنانچه No Override شده باشد، نمی توان جلوی به ارث بردن را گرفت. همچین Block Policy Inheritance می تواند برای تمام یک سایت، دامین یا OU اعمال شود و نمی تواند برای یک GPO خاص به کار رود.

۴ – Loopback Settings : این ویژگی جالب در شرایط خاص و بیشتر در سناریو های محیط های آموزشی یا عمومی کاربرد دارد. به صورت پیش فرض هر زمان که فردی از هر کامپیوتری استفاده می کند، یک User Configuration برای او اعمال می شود. چرا که او یک User Account دارد و جای User Account او هم در ساختار اکتیو دایرکتوری تغییر نمی کند، بنابراین همیشه یک سیاست به او اعمال می شود. سناریویی را در نظر بگیرید که در آن می خواهید در یک کنفرانس Background تمام کامپیوتر های اتاق کنفرانس یکی باشد. حال چگونه می توان چنین سناریویی را پیدا سازی کرد؟ در قسمت User Configuration سیاست را تنظیم می کنید؟ در این صورت بدون توجه به آنکه در کجا کاربر Login می کند، Background او عوض می شود. به صورت پیش فرض، نمی توان این کار را انجام داد، در واقع در آشنایی با Group Policy یاد گرفتیم که User Configuration بدون توجه به Computer به کاربر اعمال می شود و Computer Configuration بدون توجه به کاربر، به کامپیوتر ها اعمال می شود. بنابراین با این روش اعمال مجوز ها نمی توان این سناریو را پیدا سازی کرد. سناریو دیگر در یک دانشکده، رئیس دانشکده از سیاست هایی در شبکه بهره می برد که سیاست های محدود کننده ای نیستند. حال رئیس دانشکده به کلاس درس می رود. آیا می توان همان سیاست ها را در آنجا داشته باشد؟ LoopBack Policy Processing نحوه اعمال مجوز ها را تغییر می دهد. با استفاده از LoopBack Policy Processing به جای آنکه گستره تنظیمات کاربر از روی تنظیماتی که به کاربر در User Configuration اعمال می شود مشخص گردد ، از گستره تنظیمات کامپیوتر از روی User Configuration با node کامپیوتر اعمال می شود و یقینا این جمله به توضیحات بیشتری نیاز دارد!

سیاست User Group Policy loopback Processing mode Policy در قسمت Computer Configuration پیدا می شود. به Computer Configuration Administrative Templates System Group Policy بروید و همانند سایر Policy های دیگر می توانید آن را Enable ، Disable ، Not Configured تنظیم کنید. علاوه بر آنکه دو Mode مختلف وجود دارد:

آ. Replace : سیاست های یوزر، با سیاست هایی که در زمان Startup اعمال می شود جایگزین می شود. این سیاست در سناریوی رئیس دانشکده یا سناریو های مشابه می تواند مفید باشد.

ب. Merge : در این حالت، سیاست های به هم مرتبط می شوند به این معنا که سیاست هایی که در زمان strartup برای کامپیوتر در نظر گرفته می شود با سیاست هایی که در زمان login کردن کاربر در نظر گرفته می شود پیوند می خورد. به مثال های زیر توجه کنید، برای بزرگ شدن تصویر روی آن ها کلیک کنید.

4 دیدگاه در Group Policy Scope

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *