مهمترین تنظیمات Group Policy در شبکه چیست؟ عزیزان و همکارانی که در زمینه شبکه فعالیت می کنند حتما با واژه Group Policy آشنایی دارند ، در این مقاله جامع قصد دارم شما را تا جای ممکن با امکانات این سرویس بسیار کاربردی آشنا کنم و در این راستا از ابتدای مسئله شروع خواهیم کرد ، Group Policy در ساده ترین تعریف امکان اعمال تغییرات امنیتی و نظارت امنیتی بر روی کلیه شبکه های عضو دامین ما را به مدیر شبکه می دهد و شما می توانید تنظیمات خود را بصورت متمرکز انجام دهید .
در مقاله ای تحت عنوان معرفی کنسول Group Policy Management در ویندوز سرور 2008 در رابطه با این کنسول و نحوه اعمال تغییرات در آن صحبت شده در این مقاله تصمیم داریم با تنظیماتی که در Group Policy Object ها میتوان انجام داد آشنا شویم ، تعداد Policy هایی که در این کنسول وجود دارد بسیار زیاد هستند و شما بیشتر می بایست بر حسب نیاز به دنبال Policy مورد نظر نیاز خود بروید ، هر کدام را که باز کنید در پنجره باز شده یک سری توضیحات برای آن نوشته شده که شما را در استفاده از آن راهنمایی می کند. در اینجا سعی بر این داریم که یک اشاره بسیار مختصر و گذرا به سیاست های Group Policy داشته باشیم و در آخر چند مورد مثال می زنیم.
در Group Policy دو نوع تنظیمات وجود دارد شما می توانید این تنظیمات را برای کاربران ، کامپیوترها و یا هر دو آنها انجام دهید User Configuration کاربران و Computer Configuration کامپیوترهای موجود در شبکه را تحت تاثیر قرار می دهد . برای مثال زمانی که Computer Configuration را برای یک کامپیوتر اعمال می کنید بدون در نظر گرفتن اینکه چه کاربری به آن کامپیوتر لاگین می کند این Group Policy بر روی آن اعمال خواهد شد همچنین با اجرای User Configuration برای یک کاربر خاص ، این Group Policy بدون توجه به اینکه کاربر از چه کامپیوتری در شبکه به آن لاگین کند بر روی او اعمال خواهد شد ، حال با هم نگاهی بسیار مختصر به Policyهای موجود می اندازیم:
وارد زیر شاخه Policies می شویم
دقت داشته باشید که پوشه ای که در آن نرم افزار مورد نظر وجود دارد باید Share شده باشد و کاربر مورد نظر باید دسترسی های لازم را به آن داشته باشد. برای نصب نرم افزار وارد Software Settings شده و بر روی Software Installation راست کلیک کنید و New و بعد Package را بزنید
همانطور که مشاهده میکنید بدلیل اینکه بنده از مسیر User Configuration وارد شده ام میتوانم نرم افزارهایی با پسوند msi و zap را نصب کنم. در ادامه آدرس فایل مورد نظر را وارد میکنیم(برای مثال یک فایل با پسوند msi) و بعد از انتخاب فایل با پنجره زیر روبرو میشویم
خوب در ادامه وارد قسمت Account Policies می شویم
به Account Policies برگشته و این بار وارد Account Lockout Policy میشویم ،
همانطور که گفته شد در این قسمت شما می توانید تعیین کنید که اگر کاربر به تعداد مشخصی رمز عبور اشتباه وارد کرد سیستم چه واکنشی نشان دهد.
حال به Security Settings برگشته و با هم نگاهی کوتاه به وظایف Local Policy می اندازیم
Security Options : در این قسمت یک سری اختیارات امنیتی دیگر وجود دارد مثلا :
همچنین میتوانید بوسیله Policyهای زیر پیغامی را در نظر بگیرید که قبل از ورود کاربر نمایش داده شود
تا به حال نگاهی کوتاه به قسمت Policies داشتیم
بعد از ویندوز سرور 2003 در Group Policy ویندوز سرور 2008 ، Preferences اضافه شده که خود بنده از کار کردن با آن واقعا لذت بردم ، در این قسمت شما میتوانید برخی تنظیمات ویندوز رو با راست کلیک بر روی گزینه مربوطه و انتخابNew ، پنجره تنظیمات منتخب خود را مشاهده و تغییرات مورد نظر را انجام دهید یکی از مزیتهای آن رابط کاربری بسیار ساده آن است به عنوان مثال اگر در قسمت Folder Options ، New را انتخاب کنید یک پنجره مانند Folder Options برای شما نمایان میشود و شما هر تغییراتی را که روی آن اعمال می کنید در کامپیوتر مد نظر خود اعمال میشود ، همچنین میتوانید سرویسهای کامپیوتر مد نظر خود را مدیریت کنید
در Group Policy برای تغییرات در رجیستری شما مبایستی از فایلهای ADM استفاده کنید و یک کلید را در رجیستری ایجاد کنید ولی بدلیل اینکه ساختن اینگونه فایلها کار چندان ساده ای نیست ، بیشتر از فایلهای آماده و ساخته شده استفاده میشود ولی در ویندوز سرور 2008 در قسمت Preferences شما میتوانید به سادگی و با صرف زمان کمی یک کلید رجیستری را برای کاربر و یا کامپیوتری در شبکه ایجاد ، ویرایش و یا حذف کنید
همانطور که در اول مقاله اشاره شد User Configuration تنها کاربران موجود در شبکه را تحت تاثیر قرار میدهد که شامل تنظیمات ویندوز و ظاهر تنظیمات کنترل پنل و قابلیت محدودسازی آن ، قابلیت نصب نرم افزار برای یوزرها ، قابلیت اجرای Script و غیره میباشد ولی چون Script ، به کاربر اختصاص داده شده در زمان Logon و Log off از آن استفاده میشود همچنین بسیاری امکانات دیگر هست که دیگر به آنها اشاره نمیکنیم
دو قسمت در اینجا اضافه شده و بیشتر به چشم میخورد که تنها به این دو اشاره می کنیم
خوب حالا برای اینکه تاثیر Group Policy رو در محیط ویندوز بیشتر احساس کنید چند مثال برای شما گذاشتم
تغییر Homepage در Internet Explorer
User Configuration ==> Policies ==> Windows Setting ==> Internet Explorer Maintenance ==> URLs
وارد Important URLs شده و Customize page URL را تیک دار کرده و در پایین آدرس URL مورد نظر خود را ( به همراه http ) وارد میکنیم مانند :
https://tosinso.com/
User Configuration ==> Policies ==> Administrative Templates: ==> Desktop ==> Desktop
وارد Desktop Wallpaper شده و پس از Enabled کردن در قسمت Wallpaper Name: آدرس UNC فایل مورد نظر خود را مینویسید به عنوان مثال \\servername\Share folder name\filename.jpg و در قسمت Wallpaper Style میتوانید نوع Style خود را انتخاب کنید دقت داشته باشید در صورتی که آدرس در شبکه را وارد کنید لازم است فولدر مد نظر Share شده و دسترسی مناسب برخوردار باشد.
Computer Configuration ==> Policies ==> Administrative Templates: ==> Windows Components ==> Remote Desktop Services ==> Remote Desktop Session Host ==> Connections
اگر شما Allow users to connect remotely using Remote Desktop Service را Enabled کنید ریموت کامپیوتر مورد نظر فعال و اگر Disabled کنید ریموت غیر فعال میشود.
در بالا به بخش مربوط به Ruleها و تنظیمات پیشرفته اشاره شد ولی با رفتن به آدرس زیر میتوانید فایروال را به کل خاموش یا روشن کنید
Computer Configuration ==> Policies ==> Administrative Templates: ==> Network ==> Network Connections
بر حسب نیاز در Domain Profile و یا Standard Profile وارد شده و Windows Firewall: Protect all network connections را Enabled یا Disabled میکنیم
جلوگیری از آپدیت شدن اتوماتیک ویندوز , جلوگیری از اجرا کردن Command Prompt و جلوگیری از اجرا کردن Register
User Configuration ==> Policies ==> Administrative Templates: ==> System
اگر دقت کرده باشید زمانی که یک کابر تغییراتی در دسکتاپ خود ایجاد میکند (البته بعضی از تغییرات) از جمله موقعیت پنجره ها و اندازه آنها ، همچنین اندازه و موقعیت نوار وظیفه ، پس از خروج از آن ، آن تغییرات در حافظه ثبت شده و در استفاده در دفعات بعد آن تغییرات را مشاهده میکند ، با ورود به مسیر زیر وEnabled کردن Don't save setting at exit میتوانید کاری کنید که این تغییرات ثبت نشده و کاربر نقشی در تغییر آن تنظیمات نداشته باشد .
User Configuration ==> Policies ==> Administrative Templates: ==> Desktop
همچنین در همین مسیر به توضیح چند مورد دیگر می پردازیم، اگر Hide and disable all items on the desktop را انتخاب و Enabled کنید ، بدینوسیله تمامی آیتم های دسکتاپ را مخفی و غیر فعال می کنیم . سپس برای اعمال تغییرات ریستارت کنید.
برای برداشتن My Computer از روی دسکتاپ Remove My Computer icon on the desktop را Enable کنید
برای برداشتن My Documents از روی دسکتاپ Remove My Documents icon on the desktop را Enable کنید
برای برداشتن Recycle Bin از روی دسکتاپ Remove Recycle Bin icon from desktop را Enable کنید
به مسیر زیر بروید
Computer Configuration ==> Policies ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options
برای غیر فعال کردن CTRL + ALT + DELدر محیط دامین قبل از آنکه کاربر احراز هویت کند (Username و Password را وارد کند) Interactive logon: Do not require CTRL+ALT+DEL را Enabled میکنیم
برای آنکه Username وارد شده توسط کاربری که دفعه قبل در سیستم لاگین کرده هم در استفاده های بعدی نمایش داده نشود Interactive logon: Do not display last user name را Enabled میکنیم.
در مسیر زین میتونید تعیین کنید که کاربر بعد از زدن CTRL + ALT + DEL در محیط ویندوز چه اختیاراتی داشته باشد
User Configuration ==> Policies ==> Administrative Templates: ==> System ==> CTRL + ALT + DEL Options
در آدرس زیر
User Configuration ==> Policies ==> Administrative Templates: ==> Control Panel
اگر Hide specified Control Panel applets را Enabled کنید و دکمه Show را بزنید لیستی که در پنجره بازشده میتوانید ایجاد کنید و از آن پس کاربر دیگر نمیتواند ابزارهای معرفی شده را مشاهده و یا حتی اجرا کند. همچنین از طریق Show only specified Control Panel میتوانید لیستی را وارد کنید و کاربر تنها میتواند آن لیست را مشاهده کند .اگر Prohibit access to the Control Panel را Enabled کنید اجازه دسترسی به Control panel بطور کامل از او سلب می شود.
زمانی که شما یک فلش مموری را برای اولین بار وارد میکنید ویندوز بصورت اتوماتیک اقدام به نصب درایور آن میکند ، وارد مسیر زیر شوید
Computer Configuration ==> Policies ==> Administrative Templates: ==> System ==> Device Installation ==> Device Installation Restrictions
شما میتوانید با Enabled کردن Prevent installation of removable device حق نصب درایور رو از کامپیوتر مد نظر بگیرید ، در نتیجه دیگر درایور هیچ فلشی در آن کامپیوتر نصب نخواهد شد.همچنین اگر Hardware ins یک فلش مموری را بدست آورید ، میتوانید وارد Prevent installation of device that math any of these device IDs شده و در پنجره باز شده Enabled و بعد Show را بزنید و در آن آدرس Hardware ins را بدهید ، از آن پس فلش مموری با این Hardware ins دیگر اجازه استفاده در سیستم را ندارد. شاد و پیروز باشید .