یوزرنیم پسوردهای جدید نود 32 عمو حسن
مقالات رایانه و اینترنت و ویندوز و نرم افزار و سخت افزاریوزرنیم پسوردهای جدید نود 32 عمو حسن
مقالات رایانه و اینترنت و ویندوز و نرم افزار و سخت افزار
رازهای ویندوز ویستا قدرت Group Policy
رازهای ویندوز ویستا قدرت Group Policy
پیشرفت های Group Policy
Group Policy در ویندوز ویستا دستخوش تغییراتی شده است. این موضوع
کاملاً اجتناب ناپذیر و منطقی به نظر می رسد. این تغییرات شامل تنظیمات اضافی
Policy، یک تغییر در ساختار و موارد دیگر است. حتی بعضی از تغییرات این بخش تا
زمانیکه Windows Server2008 عرضه نشده بود، بطور کامل درک نشده بودند. اما ویندوز
ویستا یک نگاه اجمالی از آینده را در اختیار کاربران قرار داد.
Group Policy یک موضوع بسیار گسترده است که توضیح کامل آن در یک مقاله نسبتاً دشوار است و به یک کتاب کامل نیاز دارد. فرض ما این است که شما تا حدودی با مقدمات این مبحث آشنایی دارید. Group Policy فناوری مدیریت پیکر بندی اصلی است که در ارتباط با Active Directory برای کنترل امنیت، دسک تاپ، استقرار نرم افزاری و سایر جنبه های یک سیستم مورد استفاده قرار می گیرد.
برای افراد عاشق کار با GPMC) Group Policy (Management Console) که در ابتدا بصورت یک بارگذاری برای ویندوز XP و Windows Server2008 ارائه شد، باید بگوئیم که GPMC در ویندوز ویستا ادغام گردیده است. بنابراین، تمام کاری که برای دسترسی به این ابزار باید انجام دهید، تایپ عبارت Gpmc.msc در فیلد جستجو است.
توجه داشته باشید که حتی کاربران خانگی نیز می توانند از دانش خود درباره Policy بهره گیری نمایند، زیرا هر کامپیوتر دارای یک Policy محلی است که کاربران می توانند آن را بصورت دستی پیکر بندی نمایند. Group Policy با یک راه حل بزرگتر و Enter Prise جهت اعمال تغییرات بر روی یک سیستم بدون مراجعه فیزیکی به ماشین و تغییرات Local Policy آن سرو کار دارد. اگر می خواهید به Policy محلی خود دسترسی پیدا کنید، می توانید از طریق Group policy Object Editor- inبه آن برسد. برای این منظور، بر روی Start کلیک کرده و سپس عبارت gpedit.msc را در فیلد Search تایپ کنید.
این یک خبر عالی به حساب می آید. هر چه Policy های بیشتر باشند، کنترل بهتری در اختیار ما قرار می گیرد. ما بدون شک در آینده شاهد افزایش تعداد این تنظیمات خواهیم بود.Micheal Pietroforte که 15 سال سمت سرپرستی سیستم ها را بر عهده داشته و اکنون به عنوان سرپرست ارشد بخش IT دانشگاه مونیخ فعالیت می کند، می گوید:
"اگر جداول Excel حاوی تمام تنظیمات را مقایسه کنید، می توانید تعداد تنظیمات جدیدی را که با ویندوز ویستا معرفی شده اند را محاسبه نمائید. تعداد 1671 تنظیم در Windows 2000/XP/2003 وجود داشته اند. ویندوز ویستا 824 تنظیم جدید را به این مجموعه اضافه کرده است. در نتیجه ما اکنون 1495 سوئیچ را برای تنظیم ویندوز در اختیار داریم. به این ترتیب تحت کنترل داشتن Group Policy دائماً دشوارتر و دشوارتر می گردد. "
ممکن است تعجب کنید که منظور از جداول Excel چیست، اما اگر از مرکز بارگذاری مایکروسافت بازدید کرده و به جستجوی Vista GP settings xls بپردازید، یک فهرست گسترده از 2495 تنظیم Policy و همچنین فهرستی از اطلاعات مهم مربوط در اختیارتان قرار می گیرد. جدول ( 1) مثالی از آنچه که فهرست مذکور برای هر تنظیم Policy فراهم می نماید را نشان می دهد:
تمام تغییرات با استفاده از یک سیستم ویستا برای مدیریت GP اعمال می شوند.
پس از آنکه کار آشنا نمودن ویستا با محیط خود را آغاز کردید، باید مدیریت GP را از
سیستمهای ویستا شروع نمائید. در واقع، تنظیمات ویستا یک Superset از موارد موجود در
XP هستند. بنابراین شما می توانید یک GPO را بر روی ویستا ایجاد نمائید که بر GP و
ویستا تأثیر می گذارد، اما اقلام جدید مخصوص ویستا صرفاً توسط ویندوزهای XP/2003 و
نظایر آنها نادیده گرفته خواهند شد.
بنابراین، ایستگاه کاری سرپرستی Domain Policy شما باید در حال اجرای ویندوز ویستا باشد. ویستا می تواند برای مدیریت تمام سیستم های عاملی که از Group Policy پشتیبانی می کنند ( از Windows2000 به بالا) مورد استفاده قرار گیرد.
فایل های ADM، الگوهائی ( الگوهای سرپرستی) هستند که بطور پیش فرض در فولدر windir%inf% قرار گرفته اند. بعضی از مثال های فایل های ADM عبارتند از system.adm ( برای تنظیمات سیستم عامل ) و inetres.adm ( برای تنظیمات IE ). هنگامیکه شما GP Object Editor یا Management Console را باز می کنید، الگوهای موجود بر روی ماشین خودتان را می بینید. هنگامیکه یک تغییر Policy را اعمال می کنید، یک فایل registry.pol با تمام تنظیمات رجیستری تعریف شده مطابق با فایل الگو، در GPO Container( Group Policy Object) ایجاد می گردد.
ماشینی که این Policy را دریافت می کند، به هیچ وجه نیازی به همه آن فایل های ADM نخواهد داشت زیرا دارای یک رجیستری بوده و می تواند تغییرات را در آن اعمال نماید. در شکل ( 1) شما می توانید مثالی از فرمت ADM را مشاهده نمائید.
اگر با ترکیب گنگ و نامفهوم فایلهای ADM به اندازه کافی آشنائی پیدا کنید، می توانید Policy های رجیستری خودتان را ایجاد کرده و کلاینتهایتان را به شیوه خودتان پیکربندی نمائید. با اینحال، ویندوز ویستا این ترکیب ( Syntax ) را کاملاً به XML تغییر داده و فایل ها اکنون به فرمت ADMX تبدیل شده اند که می توانید آنها را در فولدر Windir/% Policy Definition بیابید.
فایل های جدید ADMX/ADML کار خود را دقیقاً از همان نقطه ای آغاز می کنند که فایل های ADM متوقف شده بودند. آنها هنوز تنها نقش الگوها را بازی می کنند و تنها برای سرپرستانی مورد استفاده قرار می گیرند که در حال ایجاد یا ویرایش Policyهای گروهی، محلی و یا دامنه هستند. "end-Machin" ها و " end-User "های مدیریت شده به هیچوجه این موضوع که تنظیمات Policy در ویندوز ویستا ( با استفاده از فایل های ADML/ADMX ) پیکربندی شده اند یا Windows2000/2003 ( با استفاده از فایل های ADM)، آگاه نخواهند شد. ما هنوز صرفاً فایل های registry.pol را ویرایش و توزیع می کنیم. به همین دلیل است که فایل های ADM و ADML/ADMX می توانند به همزیستی بپردازند. شما در طول کارهای سرپرستی Policy روزمره خود متوجه حضور فایل های ADMX نخواهید شد.
بنابراین ممکن است بپرسید که چرا اکنون هر دو نوع فایل های الگوی ADML و ADMX را در اختیار داریم. خوب، دلیل این وضعیت آن است که فایل های ADM تنها از یک زبان واحد پشتیبانی می کردند، اما اکنون ما به پشتیبانی چند زبانه واقعی رسیده ایم. بر روی یک ویندوز XP فرانسوی، تنها فایل های ADM فرانسوی درج می شدند و بر روی یک ویندوز XP دانمارکی نیز فایل های ADM دانمارکی درج شده بودند. در واقع شما نمی توانستید هر دو آنها را داشته باشید. فایل های ADMX از نظر زبانی خنثی هستند و برخلاف فایل های ADM ، توضیحات Policy را در خود درج نمی کنند. در مقابل، آنها به ADML مراجعه می نمایند که فایل های با زبان مخصوص هستند: برای هر زبان مورد نظر به یک فایل ADML جداگانه نیاز خواهد بود که باعث می شود فایل های ADMX بدون هیچ تلاش چشمگیری بصورت "چند زبانه" درآیند.
فایل های ADMX و ADML از یک فرمت مبتنی بر XML بهره گیری می نمایند که خواندن ، نوشتن و درک آن آسانتر خواهد بود ( هر چند که ما هنوز فکر می کنیم ایجاد فایل های خودتان بصورت دستی کار دشواری است) . شاید اکنون ایجاد Administrative Templates برای برنامه نویسان و یا ابزارهای Group Policy طرف ثالث آسانتر شده باشد، اما نه برای یک کاربر عادی. ما عملاً تصور نمی کنیم که با XML در Notpad خوب قدیمی کار آسانتری را پیش رو داشته باشیم. متأسفانه، این روزها شما نمی توانید اطلاعات چندانی را درباره ایجاد یا سفارشی سازی الگوهای ADMX خودتان بدست آورید. به نظر می رسد که این موضوع در حال حاضر به یک "راز" شباهت دارد، اما شما می توانید از یک یوتیلیتی نظیر XML Notpad2006v1.0 برای مشاهده و ویرایش مضمون آنها استفاده کنید. ویژوال استودیو نیز با استفاده از Intellisense ( فناوری که به برنامه نویس در طول کار وی کمک کرده و کلاس ها، متدها، خصوصیات، ترکیب و سایر موارد قابل دسترسی را نمایش می دهد) قادر به پشتیبانی و " درک " فرمت XML می باشد. شما همچنین می توانید از سایر ابزارهای XML یا کتابخانه های برنامه ای XML ( نظیر NET Framework ) برای ایجاد / ویرایش فایل های ADMX استفاده نمائید. البته باید به یاد داشته باشید که " بهترین روش " هنوز این است فایل های ADMX پیش فرض را دست نخورده باقی گذاشته و نسخه های سفارشی سازی شده خودتان را از آنها ایجاد نمائید. شما می توانید مرجع ADMX Schema را بطور آنلاین مشاهده کنید. در شکل ( 2) شما می توانید یک مثال از فرمت ADMX را مشاهده نمائید.
با ADM، شما باید بیش از یک فایل را برای پشتیبانی از زبان های متعدد ایجاد می کرد اما ADMX شامل پشتیبانی از زبان های چند گانه است. بعلاوه، شما یک مخزن واحد مرکزی برای فایل های خود در اختیار خواهید داشت. این وضعیت به جلوگیری از داشتن نسخه های متعددی از یک فایل واحد ( که با فایل های ADM دائماً اتفاق می افتد ) کمک خواهد کرد. فایل های ADMX در یک محل واحد ذخیره می شوند که تکرار می گردد. این ویژگی، در فضای شما بر روی کنترلرهای دامنه تان صرفه جوئی نموده و مدیریت فایلها را بسیار آسانتر می کند.
شما با ADMX Migrator در عین حال یک ویرایشگر ADMX را نیز دریافت می کنید که یک GUI را برای ایجاد و ویرایش الگوها در اختیارتان می گذارد. به جای آنکه بطور دستی با فایل های خود کار کنید، می توانید تنظیمات را از گزینه های منو انتخاب نمائید.
چرا ویژگی مذکور تا این اندازه جالب است؟ خوب، پیاده سازی های قبلی Group Policy های حوزه دامنه، فایل های ADM را در فولدر SYSVOL با آدرس SystemRoot%/SYSVOL/sysvol/domain name/Policies/{GPO-GUID}/ADM% ذخیره سازی می کردند که { GUID-GPO } در آن فولدری است که بر اساس ( GUID ( globally unique identifier ) هر GPO مجزا نامگذاری می شد. بنابراین، اگر25 GPO برای دامنه خود داشتید، 25 کپی از هر یک از فایل ها ADM را در فولدر SYSVOL خود ذخیره کرده بودید که تازه باید تکرار می شد. در چنین شرایطی، هر GPO حداقل به 4 مگابایت فضا نیاز خواهد داشت.
این وضعیت بطور غیر ضروری بر ترافیک Replication در مواقعی که ( FRS (File Replication Services ) مضمون SYSVOL را مابین کنترل های دامنه در دامنه شما تکرار می کند، خواهد افزود. با این حال در Windows server 2008 شما می توانید یک کپی واحد از هر فایل ADMX را در SYSVOL ذخیره نموده و در نتیجه ترافیک Replication را کاهش دهید که ویژگی خوبی به حساب می آید. البته این وضعیت تنها در صورتی عملی خواهد بود که ماشین های کلاینت شما در حال اجرای ویندوز ویستا باشند زیرا نسخه های قدیمی تر ویندوز از فایل های ADMX پشتیبانی نمی کنند.
همانطور که قبلا نیز اشاره کردیم، Windows Server 2008 به شما امکان می دهد تا تمام فایلهای ADMXرا در SYSVOL یا بطور دقیق تر آدرسPolicyDefinitions%/ Policies SystemRoot%/sysvol/domain/ ذخیره نمائید، برخلاف روش ذخیره سازی فایل های ADM در داخل هر GPO. اما در نظر داشته باشید که ( CG (Central Store ) به معنای آن نیست که شما الزاماً به Server 2008 نیاز خواهید داشت.CS می تواند به SYSVOL یک دامنه Windows 2000/2003 اضافه شده و بخوبی کار کند. Group Policy برای سازماندهی و استقرار تنظیمات از Active Directory و همچنین برای ذخیره سازی و تکرار داده ها از فولدر SYSVOL استفاده می نماید ، اما Group Policy در اعماق خود یک معماری طرف کلاینت به حساب می آید.
CS هیچ ابزاری برای ایجاد این فولدر بر روی کنترلرهای دامنه شما ندارد. هیچ اینترفیس کاربری برای ایجاد و تکثیر Central Store در ویندوز ویستا وجود ندارد، اما فرآیند انجام اینکار بسیار ساده بود و بایستی تنها یکبار برای هر دامنه انجام شود. تمام کاری که باید انجام دهید ایجاد فولدر Central Store است که ترجیحاً باید بر روی کنترلر دامنه اصلی ( PDC Emulator ) ایجاد گردد زیرا GPMC و GPOE هر دو بطور پیش فرض به PDC متصل می شوند. سپس، تمام فایل های ADMX را به این دایرکتوری کپی کرده ، یک فولدر فرعی برای هر زبان ایجاد نموده، فایل های ADML را به این دایرکتورها کپی کرده و به ( FRS (File Replication Service ) اجازه دهید تا وظیفه خود برای کپی نمودن مضمون به تمام DC ها را انجام دهد.
در اینجا به چند نکته اشاره می کنیم که بهتر است آنها رابه یاد داشته باشید:
- ابزارهای Group Policy نظیر GPOE/GPMC زبان نمایشی خود را بر اساس زبان پیکربندی شده سیستم عامل سرپرست تنظیم می کنند. ویندوز ویستا دارای یک مکانیزم Language fallback است که اگر هیچ فایل زبانی برای زبان سیستم عامل کابر در دسترس قرار نداشته باشد، وارد عمل خواهد شد. زبان انگلیسی بعنوان زبان پیش فرض Fallback در نظر گرفته می شود و به همین دلیل یک فایل زبانی از فولدر US-EN ارجحیت خواهد داشت. اگر فایل ADML انگلیسی نیز قابل دسترسی نباشد، تنظیمات Policy بدون هیچ متن و توضیحی تحت Extra Registry Settings نمایش داده می شوند.
- همچنین در نظر داشته باشید که مکان فایل الگوهای Administrative Template در ویندوز ویستا تغییر کرده است. نسخه های قبلی ویندوز، فایل های ADM را در دایرکتوری WINDIR%/inf% قرار می دادند اما در ویندوز ویستا فایل های ADMX در داخل دایرکتوری Policy Definitions WINDIR%/%inf و فایل های ADML متناظر آنها در Language Folder% >Policy Definitions WINDIR%> قرار می گیرند.
<Language Folder> می تواند برای انگلیسی U.S بصورت EN-US و یا برای فرانسوی بصورت FR باشد.
( SLD (Slow Link Detection)) یکی از ویژگیهای نرم افزار کاربردی Policy بود که برای تعیین این نکته که آیا یک اتصال کند ( بطور پیش فرض، کندتر از 500 کیلوبیت بر ثانیه ) مابین DC و سیستم قرار گرفته است یا خیر، از (ICMP ( Internet Control Message Protocol )) استفاده می کرد. با اینحال، گاهی اوقات ICMP ( درخواست Ping/Echo ) توسط روترها فیلتر شده و یا فایروالها به این پیامها اجازه عبور از خود را نمی دهند که در نتیجه Policyها هرگز اعمال نمی شوند زیرا این واقعیت که یک لینک سریع یا کند در مسیر قرار گرفته است هرگز قابل تائید نمی باشد.
این همان جائی است که ( NLS Ver2.0 ( Network Location Awareness)) وارد میدان می شود. NLS بطور پیوسته بر شرایط شبکه نظارت داشته و به تغییرات ایجاد شده در شرایط شبکه و دسترس پذیری منابع، واکنش نشان می دهد.
در گذشته، Group Policy تنها زمانی نوسازی می شد که شما Login می کردید. کاربران خواستار یک مکانیزم زمانبندی شده تر بودند. اگر شما یک تنظیم امنیتی داشتید به یک دسک تاپ فرستاده شود، مطمئناً نمی خواستید برای اعمال آن تنظیمات 90 دقیقه منتظر بمانید. اگر یک کلاینت به شبکه متصل شده و یک تغییر شبکه را تشخیص دهد ( برای مثال، اگر یک کاربر وضعیت خود را از شبکه کابلی به شبکه بی سیم تغییر دهید ) Group Policy بلافاصله نوسازی خواهد شد.
هنگامیکه یک کامپیوتر در حال بوت است، زمانی که برای تلاش جهت اعمال Policy حتی در وضعیتی که شبکه هنوز قابل دسترسی نمی باشد صرف می گردد، می تواند طاقت فرسا باشد. ویندوز ویستا شاخص هایی را برای نرم افزارهای کاربردی Group Policy تأمین می کند که نشان می دهند NIC فعال یا غیرفعال است و همچنین شاخص هائی را برای تعیین دسترس پذیری شبکه فراهم می نماید.
ویندوز ویستا توانایی یک کلاینت برای تشخیص مواقعی که یک کنترلر دامنه قابل دسترسی می باشد و یا زمانی که یک کنترلر دامنه پس از مدتی Offline بودن مجدداً قابل دسترسی می شود را معرفی کرد. این ویژگی برای ارتباطات دسترسی از راه دور نظیر Dial-up و VPN بسیار ایده آل است.
دیگر برای تعیین سرعت ارتباط با کامپیوتر، به ( ACMP ( PING ) تکیه نخواهد شد. این روش برای ارتباطات شبکه کند مورد نیاز بود اما اگر ICMP به دلایل امنیتی غیر فعال می شد، کامپیوتر درخواست PING را رد می کرد و در نتیجه نرم افزار کاربردی Group Policy ناکام می ماند. حالا آگاهی از موقعیت شبکه ( Network Location Awareness )NLA وظیفه تعیین پهنای باند را اداره کرده و امکان نوسازی موفق Policy را فراهم می سازد.
به این ترتیب می تواند دید که ( NLA (Network Location Awareness)) می تواند با نرم افزارهای کاربردی GP برای ما مفید باشد. این بهبودها تضمین می کنند که Policyها در هنگام دسترس پذیری DC ها، بر روی ارتباطات VPN، از طریق تنظیمات فایروال، هنگامیکه سیستم از وضعیت Hibernation بازیابی می شود، هنگامی که شما به/ از یک شبکه بی سیم داخل یا خارج می شوید، هنگامیکه لپ تاپ خود را بر روی ایستگاه DOCK آن قرار می دهید و بسیاری شرایط دیگر، اعمال خواهد شد.
این ارتقاء در عین حال باعث بهبود امنیت خواهد شد، زیرا Policy ها به سرعت اعمال می شوند، بنابراین اگر شما تغییری را بر روی جنبه های امنیتی شبکه خود ایجاد کرده باشید، این تغییرات با سرعت و اعتمادپذیری بیشتری اعمال خواهند گردید.
ویندوز ویستا دارای ( MLGPO ( Multiple Local Group Policy Object برای محیط non-AD ما می باشد که در آن می توانیم Policyهای متفاوتی را در بین کاربران و سرپرستان پیکربندی نمائیم. بنابراین، ما Default Local GPO ( که تنظیمات پیکربندی کامپیوتر و کاربر را دربر می گیرد)، یک Local Group Membership GPO که Admins و non-Admins را در بر می گیرد، بصورتیکه non-Admins هر فردی است که یک سرپرست سیستم محلی به حساب نمی آید و یک Local Users GPO ( که با کاربران خاص یک سیستم سرو کار دارد) را در اختیار خواهیم داشت. Policyها نیز به همین ترتیب اعمال می شوند: Default Users GPO سپس Group Membership GPO و نهایتاً Local Users GPO.
در صورتیکه بخواهید پردازش تمام Policyهای محلی را متوقف نمائید، می توانید یک تنظیم Policy جدید ( Templates/ System/ Group Policy/Turn off Local Group Policy objects Processing Computer Settings/ Administrative را برای کامپیوترها و کاربران دامنه پیکربندی کنید.
اگر Policyهای متعددی وجود داشته باشند، به این ترتیب اعمال خواهند شد که آخرین Policy اعمال شده قدرتمند ترین آنها بوده و هر گونه برخورد ما بین Policy ها را برطرف می نماید. با اینحال، در انتها صرفنظر از اینکه چه مجموعه برآیندی از Policy ها در طرف محلی قرار گرفته اند، هر یک از Policy های Active Directory برآنها اولویت خواهند داشت. آخرین Policy اعمال شده، برنده خواهد بود. بنابراین در شرایط یک دامنه ، Policy ها به ترتیب Local GP، سایت دامنه و سپس OU را اعمال می کنند.
اگر گزینه Brows را انتخاب کنید، جعبه های محاوره ای Computers/Users با دو برگه باز می شود که در آن می توانید کاربران مجزا را برای پیکربندی و یا Policy های Administrators/Non- Administators را انتخاب نمائید.(شکل 3)
شما می توانید کاربر یا گروه ) admin یا non-admin ) مورد نظر خود را برای کار بر روی آن انتخاب کنید. سپس، کنسول MMC را با گزینه های پیکربندی کاربردر اختیار خواهد داشت که می توانید به تنظیم آن بپردازید. با اینحال، همانطور که در شکل ( 4 ) نمایش داده شده است، شما می توانید Snap-in های دیگری را اضافه کنید. این قابلیت به شما امکان می دهد تا همه Policy های خود را از یک کنسول واحد پیکربندی نمائید. شما می توانید تمام کاربران و گروه های خود را در داخل یک کنسول اضافه کرده و آن کنسول را برای استفاده های بعدی ذخیره نمائید. به این ترتیب می توانید به آسانی به ماشین خود دسترسی پیدا کرده و آن را پیکر بندی نمائید. برای مشاهده موقعیت Local GPO، به GroupPolicy WINDIR%/System32%/ بروید. برای مشاهده GPOهای ویژه کاربر یا گروه، به%WINDIR%/System32/ GroupPolicy Users بروید که در آن Policy را در داخل ساختارهای فولدری با نام هائی بر اساس SIDهای (Security ID ) کاربران یا گروه ها خواهید دید.
برای کاربران خانگی، ویژگیهای مدیریت مصرف برق ویستا احتمالاً به عنوان موضوعی با اهمیت حیاتی جهت استفاده از ویندوز به حساب نمی آیند. اما برای بنگاه های تجاری، مدیریت مصرف برق بطور اخص برای کنترل هزینه ها از اهمیت فوق العاده ای برخوردار خواهد بود.
توانائی پیکربندی تنظیمات مدیریت مصرف برق با استفاده از GroupPolicy به تنهایی می تواند سالیانه 50 دلار برای هر کامپیوتر دسک تاپ در شبکه شما صرفه جوئی به همراه داشته باشد که در یک شبکه متوسط یا بزرگ، صرفه جوئی غیر قابل تصوری را ایجاد خواهد نمود.
دلایل کنترل مصرف برق می توانند یک تأثیر فوری را برای شرکت ها به همراه داشته باشند، زیرا هر دو شرکت مایکروسافت و EPA آزمایش کرده و گزارش داده اند که شما می توانید با پیاده سازی تنظیمات مدیریت مصرف برق بر روی دسک تاپها، سالیانه 50 دلار را برای هر کامپیوتر صرفه جوئی نمائید. ایده اصلی بسیار ساده است: دلیلی وجود ندارد که حتی وقتی کاربر نهائی در محل کار خود حاضر نیست، کامپیوتری را وادار کنید که تا در وضعیت مصرف برق کامل خود فعال باشد. پیش از ویندوز ویستا، شرکتها جهت کنترل مصرف برق برای Windows 2000/XP باید به محصولات Desktop Standard و Full Armor تکیه می کردند.
Computer Configuration/Administrative Templates/System/Device Installation قرار گرفته اند.
تنظیمات مذکور به شما امکان می دهند تا نصب ابزارها بر روی کامپیوتر های داخل شبکه خود را محدود نمائید. با این سطح از کنترل ، شما خواهید توانست تنظیمات Policy را پیاده سازی و اجرا نمائید که قادرند دسترسی به درایوهای USB,CD-RW یا DVD-RW و همچنین سایر انواع رسانه های قابل حمل را مسدود کنند.
برای مثال، ما یک Policy را ایجاد نموده ایم که تعیین می کند آیاشما می توانید یک درایو دیسک سخت USB را به ماشین خود متصل نمائید یا خیر. ما می توانیم این Policy را به صورتی تنظیم کنیم که تنها دسترسی Read را در اختیار کاربران قرار دهد. بسیاری از شرکت ها می خواهند کارکنان آنها قادر به استفاده از ابزارهای ذخیره سازی USB باشند، اما نمی خواهند به آنها اجازه دهند که اطلاعاتی را با خود از شرکت خارج کنند. با استفاده از این ویژگی در کنار فایروال هوشمند داخلی ویندوزویستا، شما می توانید دسترسی به اینترنت را واقعاً به ماشین هایی که تنها در بخش و دامنه مورد نظر شما مورد استفاده قرار می گیرند، محدود نمائید.
Security Computer Configuration/Windows Settings/ Security Settings/ Windows Firewall with Advance قرار گرفته اند.
دو فناوری مرتبط با امنیت یعنی IPSec و فایروال در GroupPolicy ترکیب شده اند تا به شما امکان دهند که از هر دو آنها بهره گیری نمائید. محافظت می تواند برای ارتباطات سرور به سرور بر روی اینترنت، کنترل منابعی که یک کامپیوتر می تواند بر روی شبکه به آن دسترسی داشته باشد( بر اساس سطح سلامت کامپیوتر مورد نظر) و دسترسی به منابع بر اساس ملزومات قانونی مربوط به امنیت و حریم خصوصی داده ها، مورد بهره برداری قرار گیرد.
Settings/Deployed Printers computer Configuration/Windows Settings/ Deployed Printers and User Configuration/ Windows قرار گرفته اند.
مدیریت چاپگرها با افزایش تعداد کاربران لپ تاپ که از یک مکان به مکان دیگری در سراسر شبکه جابه جا می شوند، بسیار دشوارتر شده است. GroupPolicy های ویندوز ویستا به شما امکان می دهند تا چاپگرها رابر اساس مکان سایت Active Directory پیکر بندی نمائید. بنابراین، هنگامی که یک کاربر به مکان جدیدی جابه جا می شود، GroupPolicy نیز چاپگر را بر اساس سایت ( که معمولاً بصورت جغرافیایی و یا توپولوژی فیزیکی سازماندهی شده است) برای آن موقعیت جدید بروز رسانی می کند.
Computer Configuration/ Administrative Templates/ Windows Components/ Windows Defender قرار گرفته اند.
نرم افزار کاربردی Antispyware مایکروسافت یعنی Windows Defender بطور پیش فرض بصورت از پیش نصب شده بر روی ویندوز ویستا ارائه می گردد و یک مزیت آن برای ما این است که از طریق GroupPolicy قابل پیکر بندی باشد.
Computer Configuration/ Administrative Templates/ System/ Driver Installation قرار گرفته اند. سرپرستان اکنون می توان توانایی نصب درایورهای چاپگر ( و سایر درایورهای ابزار) را از طریق GroupPolicy به کاربران محول کنند. این وضعیت به کاربران اختیار تام نمی دهد تا هر درایوی را نصب نماید. شما باید از طریق یک فهرست از GUID های کلاس راه اندازی ابزار مشخص کنید که کاربر قادر به نصب کدام درایور بر روی سیستم خواهد بود. درایورهای مورد نظر بایستی بر اساس Windows Driver Signing Policy و یا توسط ناشرینی که از قبل در مجموعه Trusted Publisher قرار گرفته اند امضاء شده باشند.
Computer Configuration/ Windows Settings/ Security Settings/ Local Policies / Security Options قرار گرفته اند.
تنظیماتی که تحت عنوان Policy قرار دارند، به شما امکان می دهند تا تنظیمات User Account Control خود و اعلانهائی که دریافت می کنید را پیکربندی نمائید. این تنظیمات عبارتند از :
- User Account Control: Admin Approval Mode for Built – in Administrator Account
- User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
- User Account Control: Behavior of the elevation prompt for Standard Users
- User Account Control: Detect application installation and prompt for elevation
- User Account Control: only elevate executables that are signed and validated
- User Account Control: Run all Administrators in Admin Approval Mode :
- User Account Control: Switch to the secure desktop when prompting for elevation
- User Account Control: Virtualize file and Registry write failures to per-user location
شما متوجه خواهید شد که اکثر این گزینه ها به اعلانهای " Elevation " مربوط هستند. شما می توانید تعیین کنید که آیا می خواهید برای دریافت موافقت یا اعتبار نامه های خود اعلانهائی را دریافت کنید و یا اینکه می خواهید اعلانها بطور کامل غیر فعال شوند ( وضعیتی که تا حدودی هدف اصلی UAC را از بین می برد ).
کلاینت های کابلی و بی سیمی که ویندوز ویستای مایکروسافت را اجرا می کنند، از پیشرفت هایی پشتیبانی می نمایند که می توانند از طریق تنظیمات GroupPolicy پیکر بندی شوند و توسط کنترلرهای دامنه ای که Windows server2008را اجرا می کنند، پشتیبانی می شوند.
برای پشتیبانی از این پیشرفتها در دامنه ای که Windows server2003 یا W222indows server2003 R2 را اجرا می کند، schema Active Directoryباید گسترش پیدا کند. مایکروسافت در مورد پیشرفتهای بدست آمده در زمینه پیکربندی مبتنی بر GroupPolicy به موارد زیر اشاره می کند:
- تنظیمات LAN کابلی: برخلاف ویندوزXP، ویندوز ویستا اکنون از پیکربندی اتصالات کابلی IEEE802.1X-authenticated از طریق GroupPolicy پشتیبانی می کند.
- حالت امنیتی ترکیبی (Mixed Security Mode): شما اکنون می توانید پروفایل های متعددی را با SSIDهای یکسان و با شیوه های امنیتی متفاوت پیکربندی نمائید، بصورتیکه تمام کلاینتهائی با قابلیت های امنیتی مختلف بتوانند به یک شبکه بی سیم واحد متصل شوند.
- فهرست های ALLOW/Deny برای شبکه های بی سیم: شما می توانید فهرستی از شبکه های بی سیم که کلاینت های بی سیم ویستا می توانند با آنها ارتباط برقرار نمایند و همچنین فهرست شبکه های بی سیمی که کلاینتهای بی سیم ویندوز ویستا نمی توانند با آنها ارتباط برقرار کنند را پیکربندی نمائید.
- توسعه پذیری ( Extensibility ): شما می توانید پروفایل هائی را Import کنید که دارای تنظیمات امنیتی و ارتباطی خاص فروشندگان بی سیم هستند ( نظیر انواع مختلف EAP).
Computer Configuration Settings و User Configuration setting در /Computer Configuration Adminstrative Templates/ Windows Components/ Windows Error Reporting و User Configuration /Windows Components/ Administrativ Templantes / Windows Error REporting قرار گرفته اند.
این تنظیم ، Windows Feedback را تنها برای ویندوز و یا برای تمام مؤلفه های غیرفعال می نماید. بصورت پیش فرض WindowsFeedback برای تمام مؤلفه های ویندوز فعال است.
ویندوز ویستا دارای یک سیستم Event log کاملاً جدید است . موتور GroupPolicy از این سیستم جدید Windows Evening 6.0 ( که عموماً تحت عنوان Event log شناخته می شود) بهره برداری نموده و رویدادها را به دو log خاص تقسیم می نماید. System log آشنا ( که اکنون به عنوان یک log Administrative دیده می شود) حاوی مشکلات GroupPolicy است. اگر یک خطا در رابطه با موتور GroupPolicy روی دهد، در System log ظاهر شده و بعنوان یک ورودی از GroupPolicy service( نه پردازش Userenv ) فهرست می شود.
یک " Application and services log " جدید ( که یک log عملیاتی است ) به GroupPolicy اختصاص دارد و رویدادهای عملیاتی را ذخیره می نماید. این log اساساً جایگزین قابل عیب یابی حجیم وسنگینlog . Userenv شده است ، بصورتیکه هر مرحله از موتور Group Policy برای امکان قرائت آسانتر در این جا فهرست شده است.
منبع:نشریه بزرگراه رایانه شماره 122
Group Policy یک موضوع بسیار گسترده است که توضیح کامل آن در یک مقاله نسبتاً دشوار است و به یک کتاب کامل نیاز دارد. فرض ما این است که شما تا حدودی با مقدمات این مبحث آشنایی دارید. Group Policy فناوری مدیریت پیکر بندی اصلی است که در ارتباط با Active Directory برای کنترل امنیت، دسک تاپ، استقرار نرم افزاری و سایر جنبه های یک سیستم مورد استفاده قرار می گیرد.
برای افراد عاشق کار با GPMC) Group Policy (Management Console) که در ابتدا بصورت یک بارگذاری برای ویندوز XP و Windows Server2008 ارائه شد، باید بگوئیم که GPMC در ویندوز ویستا ادغام گردیده است. بنابراین، تمام کاری که برای دسترسی به این ابزار باید انجام دهید، تایپ عبارت Gpmc.msc در فیلد جستجو است.
توجه داشته باشید که حتی کاربران خانگی نیز می توانند از دانش خود درباره Policy بهره گیری نمایند، زیرا هر کامپیوتر دارای یک Policy محلی است که کاربران می توانند آن را بصورت دستی پیکر بندی نمایند. Group Policy با یک راه حل بزرگتر و Enter Prise جهت اعمال تغییرات بر روی یک سیستم بدون مراجعه فیزیکی به ماشین و تغییرات Local Policy آن سرو کار دارد. اگر می خواهید به Policy محلی خود دسترسی پیدا کنید، می توانید از طریق Group policy Object Editor- inبه آن برسد. برای این منظور، بر روی Start کلیک کرده و سپس عبارت gpedit.msc را در فیلد Search تایپ کنید.
افزایش تعداد Policyها
تعداد Policy هایی که می توانید از آنها استفاده کنید، افزایش یافته است. در واقع ، آنها تقریباً دو برابر شده اند. Danny kim مدیر ارشد فناوری FullArmor Corp می گوید:" XP SP2 بین 1200 تا 1500 تنظیم دارد. در ویندوز ویستا، این تعداد به 3000 تنظیم رسیده است. در مایکروسافت یک الزام " نرم " وجود داشته است که تمام گروه های مختلف باید قابلیت های Group Policy را به محصولات خود اضافه نمایند. تقریباً 80 درصد از تنظیمات جدید به امنیت مربوط می شوند."این یک خبر عالی به حساب می آید. هر چه Policy های بیشتر باشند، کنترل بهتری در اختیار ما قرار می گیرد. ما بدون شک در آینده شاهد افزایش تعداد این تنظیمات خواهیم بود.Micheal Pietroforte که 15 سال سمت سرپرستی سیستم ها را بر عهده داشته و اکنون به عنوان سرپرست ارشد بخش IT دانشگاه مونیخ فعالیت می کند، می گوید:
"اگر جداول Excel حاوی تمام تنظیمات را مقایسه کنید، می توانید تعداد تنظیمات جدیدی را که با ویندوز ویستا معرفی شده اند را محاسبه نمائید. تعداد 1671 تنظیم در Windows 2000/XP/2003 وجود داشته اند. ویندوز ویستا 824 تنظیم جدید را به این مجموعه اضافه کرده است. در نتیجه ما اکنون 1495 سوئیچ را برای تنظیم ویندوز در اختیار داریم. به این ترتیب تحت کنترل داشتن Group Policy دائماً دشوارتر و دشوارتر می گردد. "
ممکن است تعجب کنید که منظور از جداول Excel چیست، اما اگر از مرکز بارگذاری مایکروسافت بازدید کرده و به جستجوی Vista GP settings xls بپردازید، یک فهرست گسترده از 2495 تنظیم Policy و همچنین فهرستی از اطلاعات مهم مربوط در اختیارتان قرار می گیرد. جدول ( 1) مثالی از آنچه که فهرست مذکور برای هر تنظیم Policy فراهم می نماید را نشان می دهد:
|
Active XInstall Service.admx |
Filename |
|
Machine |
Scop |
|
Windows Components /Active Xinstaller Service |
Policy Path |
|
Approved Installation Sites For Active X Controls |
Policy Setting Name |
|
Atleast Windows Vista |
Supported On |
|
|
Explain Text |
|
HKML/SOFT WARE/ Policies/Microsoft/
Windows/Axinstaller! Approved List |
Registy settings |
|
No |
Reboot Required |
|
No |
Log Off Required |
|
None |
Active Directory Schema or Domain Requirement |
بنابراین، ایستگاه کاری سرپرستی Domain Policy شما باید در حال اجرای ویندوز ویستا باشد. ویستا می تواند برای مدیریت تمام سیستم های عاملی که از Group Policy پشتیبانی می کنند ( از Windows2000 به بالا) مورد استفاده قرار گیرد.
فایلهای ADMX
همانطور که احتمالاً متوجه شده اید، نام فایل Policy که قبلاً به آن اشاره کردیم، یک فایل ADMX بود. این یک ویژگی جدید در Group Policy ویستا است. جهت شناخت و تحسین واقعی مزایای آن برای ما، باید با نحوه کار فایل های ADM آشنا شویم.فایل های ADM، الگوهائی ( الگوهای سرپرستی) هستند که بطور پیش فرض در فولدر windir%inf% قرار گرفته اند. بعضی از مثال های فایل های ADM عبارتند از system.adm ( برای تنظیمات سیستم عامل ) و inetres.adm ( برای تنظیمات IE ). هنگامیکه شما GP Object Editor یا Management Console را باز می کنید، الگوهای موجود بر روی ماشین خودتان را می بینید. هنگامیکه یک تغییر Policy را اعمال می کنید، یک فایل registry.pol با تمام تنظیمات رجیستری تعریف شده مطابق با فایل الگو، در GPO Container( Group Policy Object) ایجاد می گردد.
ماشینی که این Policy را دریافت می کند، به هیچ وجه نیازی به همه آن فایل های ADM نخواهد داشت زیرا دارای یک رجیستری بوده و می تواند تغییرات را در آن اعمال نماید. در شکل ( 1) شما می توانید مثالی از فرمت ADM را مشاهده نمائید.
اگر با ترکیب گنگ و نامفهوم فایلهای ADM به اندازه کافی آشنائی پیدا کنید، می توانید Policy های رجیستری خودتان را ایجاد کرده و کلاینتهایتان را به شیوه خودتان پیکربندی نمائید. با اینحال، ویندوز ویستا این ترکیب ( Syntax ) را کاملاً به XML تغییر داده و فایل ها اکنون به فرمت ADMX تبدیل شده اند که می توانید آنها را در فولدر Windir/% Policy Definition بیابید.
فایل های جدید ADMX/ADML کار خود را دقیقاً از همان نقطه ای آغاز می کنند که فایل های ADM متوقف شده بودند. آنها هنوز تنها نقش الگوها را بازی می کنند و تنها برای سرپرستانی مورد استفاده قرار می گیرند که در حال ایجاد یا ویرایش Policyهای گروهی، محلی و یا دامنه هستند. "end-Machin" ها و " end-User "های مدیریت شده به هیچوجه این موضوع که تنظیمات Policy در ویندوز ویستا ( با استفاده از فایل های ADML/ADMX ) پیکربندی شده اند یا Windows2000/2003 ( با استفاده از فایل های ADM)، آگاه نخواهند شد. ما هنوز صرفاً فایل های registry.pol را ویرایش و توزیع می کنیم. به همین دلیل است که فایل های ADM و ADML/ADMX می توانند به همزیستی بپردازند. شما در طول کارهای سرپرستی Policy روزمره خود متوجه حضور فایل های ADMX نخواهید شد.
بنابراین ممکن است بپرسید که چرا اکنون هر دو نوع فایل های الگوی ADML و ADMX را در اختیار داریم. خوب، دلیل این وضعیت آن است که فایل های ADM تنها از یک زبان واحد پشتیبانی می کردند، اما اکنون ما به پشتیبانی چند زبانه واقعی رسیده ایم. بر روی یک ویندوز XP فرانسوی، تنها فایل های ADM فرانسوی درج می شدند و بر روی یک ویندوز XP دانمارکی نیز فایل های ADM دانمارکی درج شده بودند. در واقع شما نمی توانستید هر دو آنها را داشته باشید. فایل های ADMX از نظر زبانی خنثی هستند و برخلاف فایل های ADM ، توضیحات Policy را در خود درج نمی کنند. در مقابل، آنها به ADML مراجعه می نمایند که فایل های با زبان مخصوص هستند: برای هر زبان مورد نظر به یک فایل ADML جداگانه نیاز خواهد بود که باعث می شود فایل های ADMX بدون هیچ تلاش چشمگیری بصورت "چند زبانه" درآیند.
فایل های ADMX و ADML از یک فرمت مبتنی بر XML بهره گیری می نمایند که خواندن ، نوشتن و درک آن آسانتر خواهد بود ( هر چند که ما هنوز فکر می کنیم ایجاد فایل های خودتان بصورت دستی کار دشواری است) . شاید اکنون ایجاد Administrative Templates برای برنامه نویسان و یا ابزارهای Group Policy طرف ثالث آسانتر شده باشد، اما نه برای یک کاربر عادی. ما عملاً تصور نمی کنیم که با XML در Notpad خوب قدیمی کار آسانتری را پیش رو داشته باشیم. متأسفانه، این روزها شما نمی توانید اطلاعات چندانی را درباره ایجاد یا سفارشی سازی الگوهای ADMX خودتان بدست آورید. به نظر می رسد که این موضوع در حال حاضر به یک "راز" شباهت دارد، اما شما می توانید از یک یوتیلیتی نظیر XML Notpad2006v1.0 برای مشاهده و ویرایش مضمون آنها استفاده کنید. ویژوال استودیو نیز با استفاده از Intellisense ( فناوری که به برنامه نویس در طول کار وی کمک کرده و کلاس ها، متدها، خصوصیات، ترکیب و سایر موارد قابل دسترسی را نمایش می دهد) قادر به پشتیبانی و " درک " فرمت XML می باشد. شما همچنین می توانید از سایر ابزارهای XML یا کتابخانه های برنامه ای XML ( نظیر NET Framework ) برای ایجاد / ویرایش فایل های ADMX استفاده نمائید. البته باید به یاد داشته باشید که " بهترین روش " هنوز این است فایل های ADMX پیش فرض را دست نخورده باقی گذاشته و نسخه های سفارشی سازی شده خودتان را از آنها ایجاد نمائید. شما می توانید مرجع ADMX Schema را بطور آنلاین مشاهده کنید. در شکل ( 2) شما می توانید یک مثال از فرمت ADMX را مشاهده نمائید.
یک ابزار تبدیل از ADM به ADMX
بعضی از سرپرستان احتمالاً به این موضوع فکر می کنند که باید الگوهای موجود خود را برای انتقال به ADMX بازنویسی نمایند. اگر از ابزار رایگان ADMX Migrator استفاده کنید ( که می توانید آن را بر روی مرکز بارگذاری مایکروسافت بیابید)، نیازی به بازنویسی این الگوها نخواهید داشت. این ابزار برای تبدیل فایل های ADM شما به فرمت جدید ADMX مورد استفاده قرار می گیرد.با ADM، شما باید بیش از یک فایل را برای پشتیبانی از زبان های متعدد ایجاد می کرد اما ADMX شامل پشتیبانی از زبان های چند گانه است. بعلاوه، شما یک مخزن واحد مرکزی برای فایل های خود در اختیار خواهید داشت. این وضعیت به جلوگیری از داشتن نسخه های متعددی از یک فایل واحد ( که با فایل های ADM دائماً اتفاق می افتد ) کمک خواهد کرد. فایل های ADMX در یک محل واحد ذخیره می شوند که تکرار می گردد. این ویژگی، در فضای شما بر روی کنترلرهای دامنه تان صرفه جوئی نموده و مدیریت فایلها را بسیار آسانتر می کند.
شما با ADMX Migrator در عین حال یک ویرایشگر ADMX را نیز دریافت می کنید که یک GUI را برای ایجاد و ویرایش الگوها در اختیارتان می گذارد. به جای آنکه بطور دستی با فایل های خود کار کنید، می توانید تنظیمات را از گزینه های منو انتخاب نمائید.
مخزن مرکزی
Derek Melber یکی از مدیران DesktopStandard Crop. در مقاله ای می نویسد:" یکی از ویژگی های مورد علاقه من در ویستا، معرفی مخزن مرکزی ADMX است. این ویژگی یک شیوه متمرکز برای بروزرسانی ، ذخیره سازی و مدیریت فایل های ADMX را فراهم می نماید. دیگر نیازی نیست که فایل های ADMX در داخل هر GPO ذخیره شوند. در مقابل، هر GPO برای یافتن فایل های ADMX به جستجو در یک مخزن مرکزی می پردازد. این وضعیت باعث صرفه جوئی در فضای مورد استفاده بر روی کنترلرهای دامنه گردیده و امکان مدیریت آسانتر این فایل ها را بوجود می آورد."چرا ویژگی مذکور تا این اندازه جالب است؟ خوب، پیاده سازی های قبلی Group Policy های حوزه دامنه، فایل های ADM را در فولدر SYSVOL با آدرس SystemRoot%/SYSVOL/sysvol/domain name/Policies/{GPO-GUID}/ADM% ذخیره سازی می کردند که { GUID-GPO } در آن فولدری است که بر اساس ( GUID ( globally unique identifier ) هر GPO مجزا نامگذاری می شد. بنابراین، اگر25 GPO برای دامنه خود داشتید، 25 کپی از هر یک از فایل ها ADM را در فولدر SYSVOL خود ذخیره کرده بودید که تازه باید تکرار می شد. در چنین شرایطی، هر GPO حداقل به 4 مگابایت فضا نیاز خواهد داشت.
این وضعیت بطور غیر ضروری بر ترافیک Replication در مواقعی که ( FRS (File Replication Services ) مضمون SYSVOL را مابین کنترل های دامنه در دامنه شما تکرار می کند، خواهد افزود. با این حال در Windows server 2008 شما می توانید یک کپی واحد از هر فایل ADMX را در SYSVOL ذخیره نموده و در نتیجه ترافیک Replication را کاهش دهید که ویژگی خوبی به حساب می آید. البته این وضعیت تنها در صورتی عملی خواهد بود که ماشین های کلاینت شما در حال اجرای ویندوز ویستا باشند زیرا نسخه های قدیمی تر ویندوز از فایل های ADMX پشتیبانی نمی کنند.
همانطور که قبلا نیز اشاره کردیم، Windows Server 2008 به شما امکان می دهد تا تمام فایلهای ADMXرا در SYSVOL یا بطور دقیق تر آدرسPolicyDefinitions%/ Policies SystemRoot%/sysvol/domain/ ذخیره نمائید، برخلاف روش ذخیره سازی فایل های ADM در داخل هر GPO. اما در نظر داشته باشید که ( CG (Central Store ) به معنای آن نیست که شما الزاماً به Server 2008 نیاز خواهید داشت.CS می تواند به SYSVOL یک دامنه Windows 2000/2003 اضافه شده و بخوبی کار کند. Group Policy برای سازماندهی و استقرار تنظیمات از Active Directory و همچنین برای ذخیره سازی و تکرار داده ها از فولدر SYSVOL استفاده می نماید ، اما Group Policy در اعماق خود یک معماری طرف کلاینت به حساب می آید.
CS هیچ ابزاری برای ایجاد این فولدر بر روی کنترلرهای دامنه شما ندارد. هیچ اینترفیس کاربری برای ایجاد و تکثیر Central Store در ویندوز ویستا وجود ندارد، اما فرآیند انجام اینکار بسیار ساده بود و بایستی تنها یکبار برای هر دامنه انجام شود. تمام کاری که باید انجام دهید ایجاد فولدر Central Store است که ترجیحاً باید بر روی کنترلر دامنه اصلی ( PDC Emulator ) ایجاد گردد زیرا GPMC و GPOE هر دو بطور پیش فرض به PDC متصل می شوند. سپس، تمام فایل های ADMX را به این دایرکتوری کپی کرده ، یک فولدر فرعی برای هر زبان ایجاد نموده، فایل های ADML را به این دایرکتورها کپی کرده و به ( FRS (File Replication Service ) اجازه دهید تا وظیفه خود برای کپی نمودن مضمون به تمام DC ها را انجام دهد.
چند نکته اضافی
اگر بخواهید الگوهای جدیدی را با فایل های ADM اضافه کنید، باید از جعبه محاوره ای Add/Remove Templates در GP Object Editor استفاده نمائید. اینکار هنوز با فایل های ADM امکان پذیر است، اما در مورد فایل های ADMX شما چنین گزینه ای را در اختیار نخواهید داشت. GP Object Editor جدید تمام فایل های ADMX را در هنگام راه اندازی خود از CS ( یا دایرکتوی محلی ) خوانده و بارگذاری می کند. اگر می خواهید فایل های ADMX سفارشی سازی شده را اضافه نمائید،صرفاً باید فایل مورد نظر را در دایرکتوری محلی یا CS کپی کرده و سپس GP Object Editor را مجدداً راه اندازی نمائید.در اینجا به چند نکته اشاره می کنیم که بهتر است آنها رابه یاد داشته باشید:
- ابزارهای Group Policy نظیر GPOE/GPMC زبان نمایشی خود را بر اساس زبان پیکربندی شده سیستم عامل سرپرست تنظیم می کنند. ویندوز ویستا دارای یک مکانیزم Language fallback است که اگر هیچ فایل زبانی برای زبان سیستم عامل کابر در دسترس قرار نداشته باشد، وارد عمل خواهد شد. زبان انگلیسی بعنوان زبان پیش فرض Fallback در نظر گرفته می شود و به همین دلیل یک فایل زبانی از فولدر US-EN ارجحیت خواهد داشت. اگر فایل ADML انگلیسی نیز قابل دسترسی نباشد، تنظیمات Policy بدون هیچ متن و توضیحی تحت Extra Registry Settings نمایش داده می شوند.
- همچنین در نظر داشته باشید که مکان فایل الگوهای Administrative Template در ویندوز ویستا تغییر کرده است. نسخه های قبلی ویندوز، فایل های ADM را در دایرکتوری WINDIR%/inf% قرار می دادند اما در ویندوز ویستا فایل های ADMX در داخل دایرکتوری Policy Definitions WINDIR%/%inf و فایل های ADML متناظر آنها در Language Folder% >Policy Definitions WINDIR%> قرار می گیرند.
<Language Folder> می تواند برای انگلیسی U.S بصورت EN-US و یا برای فرانسوی بصورت FR باشد.
آگاهی از موقعیت شبکه
دلایل فراوانی وجود داشته و دارند که یک Policy ایجاد شده توسط شما نباید برای یک مدت زمان طولانی بر روی یک سیستم اعمال گردد. بر روی شبکه منظم شما، یک Policy بصورتی تنظیم می شود تا تنها در هنگام راه اندازی ماشین ( برای تنظیمات کامپیوتر) و یا در هنگام Logon کاربر ( برای تنظیمات کاربر ) و سپس هر90 دقیقه یکبار ( با یک زمان انتقال 30 دقیقه ای ) بعنوان فواصل نوسازی بر روی کامپیوتر اعمال گردد. شما همچنین می توانید بصورت فیزیکی به سراغ ماشین مورد نظر رفته و آن را وادار به بروز رسانی نمائید. اما محیط های ناپایدار شبکه، ارتباطات VPN و سیستمهائی که هرگز خاموش یا Reboot نمی شوند( سیستم هائی که صرفاً در وضعیت Hibernate یا Standby قرار می گیرند)، همگی می توانند با این فرآیند تداخل داشته باشند. در واقع، این فرآیند می تواند برای وادار نمودن یک Policy استاندارد به اعمال سریع، ناامید کننده باشد.( SLD (Slow Link Detection)) یکی از ویژگیهای نرم افزار کاربردی Policy بود که برای تعیین این نکته که آیا یک اتصال کند ( بطور پیش فرض، کندتر از 500 کیلوبیت بر ثانیه ) مابین DC و سیستم قرار گرفته است یا خیر، از (ICMP ( Internet Control Message Protocol )) استفاده می کرد. با اینحال، گاهی اوقات ICMP ( درخواست Ping/Echo ) توسط روترها فیلتر شده و یا فایروالها به این پیامها اجازه عبور از خود را نمی دهند که در نتیجه Policyها هرگز اعمال نمی شوند زیرا این واقعیت که یک لینک سریع یا کند در مسیر قرار گرفته است هرگز قابل تائید نمی باشد.
این همان جائی است که ( NLS Ver2.0 ( Network Location Awareness)) وارد میدان می شود. NLS بطور پیوسته بر شرایط شبکه نظارت داشته و به تغییرات ایجاد شده در شرایط شبکه و دسترس پذیری منابع، واکنش نشان می دهد.
در گذشته، Group Policy تنها زمانی نوسازی می شد که شما Login می کردید. کاربران خواستار یک مکانیزم زمانبندی شده تر بودند. اگر شما یک تنظیم امنیتی داشتید به یک دسک تاپ فرستاده شود، مطمئناً نمی خواستید برای اعمال آن تنظیمات 90 دقیقه منتظر بمانید. اگر یک کلاینت به شبکه متصل شده و یک تغییر شبکه را تشخیص دهد ( برای مثال، اگر یک کاربر وضعیت خود را از شبکه کابلی به شبکه بی سیم تغییر دهید ) Group Policy بلافاصله نوسازی خواهد شد.
هنگامیکه یک کامپیوتر در حال بوت است، زمانی که برای تلاش جهت اعمال Policy حتی در وضعیتی که شبکه هنوز قابل دسترسی نمی باشد صرف می گردد، می تواند طاقت فرسا باشد. ویندوز ویستا شاخص هایی را برای نرم افزارهای کاربردی Group Policy تأمین می کند که نشان می دهند NIC فعال یا غیرفعال است و همچنین شاخص هائی را برای تعیین دسترس پذیری شبکه فراهم می نماید.
ویندوز ویستا توانایی یک کلاینت برای تشخیص مواقعی که یک کنترلر دامنه قابل دسترسی می باشد و یا زمانی که یک کنترلر دامنه پس از مدتی Offline بودن مجدداً قابل دسترسی می شود را معرفی کرد. این ویژگی برای ارتباطات دسترسی از راه دور نظیر Dial-up و VPN بسیار ایده آل است.
دیگر برای تعیین سرعت ارتباط با کامپیوتر، به ( ACMP ( PING ) تکیه نخواهد شد. این روش برای ارتباطات شبکه کند مورد نیاز بود اما اگر ICMP به دلایل امنیتی غیر فعال می شد، کامپیوتر درخواست PING را رد می کرد و در نتیجه نرم افزار کاربردی Group Policy ناکام می ماند. حالا آگاهی از موقعیت شبکه ( Network Location Awareness )NLA وظیفه تعیین پهنای باند را اداره کرده و امکان نوسازی موفق Policy را فراهم می سازد.
به این ترتیب می تواند دید که ( NLA (Network Location Awareness)) می تواند با نرم افزارهای کاربردی GP برای ما مفید باشد. این بهبودها تضمین می کنند که Policyها در هنگام دسترس پذیری DC ها، بر روی ارتباطات VPN، از طریق تنظیمات فایروال، هنگامیکه سیستم از وضعیت Hibernation بازیابی می شود، هنگامی که شما به/ از یک شبکه بی سیم داخل یا خارج می شوید، هنگامیکه لپ تاپ خود را بر روی ایستگاه DOCK آن قرار می دهید و بسیاری شرایط دیگر، اعمال خواهد شد.
این ارتقاء در عین حال باعث بهبود امنیت خواهد شد، زیرا Policy ها به سرعت اعمال می شوند، بنابراین اگر شما تغییری را بر روی جنبه های امنیتی شبکه خود ایجاد کرده باشید، این تغییرات با سرعت و اعتمادپذیری بیشتری اعمال خواهند گردید.
GPOهای محلی متعدد
در سیستم های پیش از ویستا، شما یک خط مشی گروهی محلی ( Local Group Policy) واحد را برای پیکربندی در اختیار داشتید. این وضعیت در شرایطی که تلاش می کنید چیزی را برای کاربران غیر فعال نمائید ( نظیر فرمان RUN ) اما نمی خواهید برای سرپرست محلی غیر فعال شود، نا امید کننده خواهد بود. اگر تاکنون ماشین های کیوسک را پیکربندی کرده باشید، بدون تردید خودتان را در شرایط جدال با Policy محلی برای تغییر Policy، اعمال تغییرات و سپس فعال نمودن مجدد Policy یافته اید.ویندوز ویستا دارای ( MLGPO ( Multiple Local Group Policy Object برای محیط non-AD ما می باشد که در آن می توانیم Policyهای متفاوتی را در بین کاربران و سرپرستان پیکربندی نمائیم. بنابراین، ما Default Local GPO ( که تنظیمات پیکربندی کامپیوتر و کاربر را دربر می گیرد)، یک Local Group Membership GPO که Admins و non-Admins را در بر می گیرد، بصورتیکه non-Admins هر فردی است که یک سرپرست سیستم محلی به حساب نمی آید و یک Local Users GPO ( که با کاربران خاص یک سیستم سرو کار دارد) را در اختیار خواهیم داشت. Policyها نیز به همین ترتیب اعمال می شوند: Default Users GPO سپس Group Membership GPO و نهایتاً Local Users GPO.
در صورتیکه بخواهید پردازش تمام Policyهای محلی را متوقف نمائید، می توانید یک تنظیم Policy جدید ( Templates/ System/ Group Policy/Turn off Local Group Policy objects Processing Computer Settings/ Administrative را برای کامپیوترها و کاربران دامنه پیکربندی کنید.
اگر Policyهای متعددی وجود داشته باشند، به این ترتیب اعمال خواهند شد که آخرین Policy اعمال شده قدرتمند ترین آنها بوده و هر گونه برخورد ما بین Policy ها را برطرف می نماید. با اینحال، در انتها صرفنظر از اینکه چه مجموعه برآیندی از Policy ها در طرف محلی قرار گرفته اند، هر یک از Policy های Active Directory برآنها اولویت خواهند داشت. آخرین Policy اعمال شده، برنده خواهد بود. بنابراین در شرایط یک دامنه ، Policy ها به ترتیب Local GP، سایت دامنه و سپس OU را اعمال می کنند.
ایجاد Policyهای جایگزین
شما باید کار را از Microsoft Management Console آغازکرده و Group Policy Object Editor Snap-in را اضافه نمائید. توجه داشته باشید که این روش مشابه باز کردن Policy با فرمان gpedit.msc نخواهد بود زیرا در شیوه مذکور عملاً خود Policy محلی باز می شود. شما تلاش می کنید تا یک Policy متفاوت را پیکربندی نمائید. وقتی GPOE snap-in را اضافه کنید، خواهید دید که Group Policy Wizard آغاز می شود.اگر گزینه Brows را انتخاب کنید، جعبه های محاوره ای Computers/Users با دو برگه باز می شود که در آن می توانید کاربران مجزا را برای پیکربندی و یا Policy های Administrators/Non- Administators را انتخاب نمائید.(شکل 3)
شما می توانید کاربر یا گروه ) admin یا non-admin ) مورد نظر خود را برای کار بر روی آن انتخاب کنید. سپس، کنسول MMC را با گزینه های پیکربندی کاربردر اختیار خواهد داشت که می توانید به تنظیم آن بپردازید. با اینحال، همانطور که در شکل ( 4 ) نمایش داده شده است، شما می توانید Snap-in های دیگری را اضافه کنید. این قابلیت به شما امکان می دهد تا همه Policy های خود را از یک کنسول واحد پیکربندی نمائید. شما می توانید تمام کاربران و گروه های خود را در داخل یک کنسول اضافه کرده و آن کنسول را برای استفاده های بعدی ذخیره نمائید. به این ترتیب می توانید به آسانی به ماشین خود دسترسی پیدا کرده و آن را پیکر بندی نمائید. برای مشاهده موقعیت Local GPO، به GroupPolicy WINDIR%/System32%/ بروید. برای مشاهده GPOهای ویژه کاربر یا گروه، به%WINDIR%/System32/ GroupPolicy Users بروید که در آن Policy را در داخل ساختارهای فولدری با نام هائی بر اساس SIDهای (Security ID ) کاربران یا گروه ها خواهید دید.
تنظیمات جدید GroupPolicy
ما در آغاز این مقاله اشاره کردیم که 800 تنظیم Policy جدید در ویندوز ویستا اضافه شده اند. مایکروسافت تلاش می کند تا حتی جنبه های بیشتری را تحت کنترل GroupPolicy در آورد. با اینحال، کدامیک از این تنظیمات در ویندوز ویستا را می توان در فهرست 10 انتخاب برتر مورد علاقه کاربران قرارداد؟ تنظیماتی که بیش از سایرین مورد توجه قرار گرفته اند، عبارتند از:Power Management
تنظیمات Power Management در مسیرManagementconfiguration/AdministrativeTemplates/System/Power Computer قرار گرفته اند.برای کاربران خانگی، ویژگیهای مدیریت مصرف برق ویستا احتمالاً به عنوان موضوعی با اهمیت حیاتی جهت استفاده از ویندوز به حساب نمی آیند. اما برای بنگاه های تجاری، مدیریت مصرف برق بطور اخص برای کنترل هزینه ها از اهمیت فوق العاده ای برخوردار خواهد بود.
توانائی پیکربندی تنظیمات مدیریت مصرف برق با استفاده از GroupPolicy به تنهایی می تواند سالیانه 50 دلار برای هر کامپیوتر دسک تاپ در شبکه شما صرفه جوئی به همراه داشته باشد که در یک شبکه متوسط یا بزرگ، صرفه جوئی غیر قابل تصوری را ایجاد خواهد نمود.
دلایل کنترل مصرف برق می توانند یک تأثیر فوری را برای شرکت ها به همراه داشته باشند، زیرا هر دو شرکت مایکروسافت و EPA آزمایش کرده و گزارش داده اند که شما می توانید با پیاده سازی تنظیمات مدیریت مصرف برق بر روی دسک تاپها، سالیانه 50 دلار را برای هر کامپیوتر صرفه جوئی نمائید. ایده اصلی بسیار ساده است: دلیلی وجود ندارد که حتی وقتی کاربر نهائی در محل کار خود حاضر نیست، کامپیوتری را وادار کنید که تا در وضعیت مصرف برق کامل خود فعال باشد. پیش از ویندوز ویستا، شرکتها جهت کنترل مصرف برق برای Windows 2000/XP باید به محصولات Desktop Standard و Full Armor تکیه می کردند.
مسدود کردن نصب ابزار
این تنظیمات درComputer Configuration/Administrative Templates/System/Device Installation قرار گرفته اند.
تنظیمات مذکور به شما امکان می دهند تا نصب ابزارها بر روی کامپیوتر های داخل شبکه خود را محدود نمائید. با این سطح از کنترل ، شما خواهید توانست تنظیمات Policy را پیاده سازی و اجرا نمائید که قادرند دسترسی به درایوهای USB,CD-RW یا DVD-RW و همچنین سایر انواع رسانه های قابل حمل را مسدود کنند.
برای مثال، ما یک Policy را ایجاد نموده ایم که تعیین می کند آیاشما می توانید یک درایو دیسک سخت USB را به ماشین خود متصل نمائید یا خیر. ما می توانیم این Policy را به صورتی تنظیم کنیم که تنها دسترسی Read را در اختیار کاربران قرار دهد. بسیاری از شرکت ها می خواهند کارکنان آنها قادر به استفاده از ابزارهای ذخیره سازی USB باشند، اما نمی خواهند به آنها اجازه دهند که اطلاعاتی را با خود از شرکت خارج کنند. با استفاده از این ویژگی در کنار فایروال هوشمند داخلی ویندوزویستا، شما می توانید دسترسی به اینترنت را واقعاً به ماشین هایی که تنها در بخش و دامنه مورد نظر شما مورد استفاده قرار می گیرند، محدود نمائید.
تنظیمات امنیتی با فایروال پیشرفته
این تنظیمات درSecurity Computer Configuration/Windows Settings/ Security Settings/ Windows Firewall with Advance قرار گرفته اند.
دو فناوری مرتبط با امنیت یعنی IPSec و فایروال در GroupPolicy ترکیب شده اند تا به شما امکان دهند که از هر دو آنها بهره گیری نمائید. محافظت می تواند برای ارتباطات سرور به سرور بر روی اینترنت، کنترل منابعی که یک کامپیوتر می تواند بر روی شبکه به آن دسترسی داشته باشد( بر اساس سطح سلامت کامپیوتر مورد نظر) و دسترسی به منابع بر اساس ملزومات قانونی مربوط به امنیت و حریم خصوصی داده ها، مورد بهره برداری قرار گیرد.
تخصیص چاپگر بر اساس موقعیت
این تنظیمات درSettings/Deployed Printers computer Configuration/Windows Settings/ Deployed Printers and User Configuration/ Windows قرار گرفته اند.
مدیریت چاپگرها با افزایش تعداد کاربران لپ تاپ که از یک مکان به مکان دیگری در سراسر شبکه جابه جا می شوند، بسیار دشوارتر شده است. GroupPolicy های ویندوز ویستا به شما امکان می دهند تا چاپگرها رابر اساس مکان سایت Active Directory پیکر بندی نمائید. بنابراین، هنگامی که یک کاربر به مکان جدیدی جابه جا می شود، GroupPolicy نیز چاپگر را بر اساس سایت ( که معمولاً بصورت جغرافیایی و یا توپولوژی فیزیکی سازماندهی شده است) برای آن موقعیت جدید بروز رسانی می کند.
کنترل Windows Defender از طریق GroupPolicy
این تنظیمات درComputer Configuration/ Administrative Templates/ Windows Components/ Windows Defender قرار گرفته اند.
نرم افزار کاربردی Antispyware مایکروسافت یعنی Windows Defender بطور پیش فرض بصورت از پیش نصب شده بر روی ویندوز ویستا ارائه می گردد و یک مزیت آن برای ما این است که از طریق GroupPolicy قابل پیکر بندی باشد.
اعطای وکالت نصب درایور چاپگر به کاربران
این تنظیمات درComputer Configuration/ Administrative Templates/ System/ Driver Installation قرار گرفته اند. سرپرستان اکنون می توان توانایی نصب درایورهای چاپگر ( و سایر درایورهای ابزار) را از طریق GroupPolicy به کاربران محول کنند. این وضعیت به کاربران اختیار تام نمی دهد تا هر درایوی را نصب نماید. شما باید از طریق یک فهرست از GUID های کلاس راه اندازی ابزار مشخص کنید که کاربر قادر به نصب کدام درایور بر روی سیستم خواهد بود. درایورهای مورد نظر بایستی بر اساس Windows Driver Signing Policy و یا توسط ناشرینی که از قبل در مجموعه Trusted Publisher قرار گرفته اند امضاء شده باشند.
User Account Control
این تنظیمات درComputer Configuration/ Windows Settings/ Security Settings/ Local Policies / Security Options قرار گرفته اند.
تنظیماتی که تحت عنوان Policy قرار دارند، به شما امکان می دهند تا تنظیمات User Account Control خود و اعلانهائی که دریافت می کنید را پیکربندی نمائید. این تنظیمات عبارتند از :
- User Account Control: Admin Approval Mode for Built – in Administrator Account
- User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
- User Account Control: Behavior of the elevation prompt for Standard Users
- User Account Control: Detect application installation and prompt for elevation
- User Account Control: only elevate executables that are signed and validated
- User Account Control: Run all Administrators in Admin Approval Mode :
- User Account Control: Switch to the secure desktop when prompting for elevation
- User Account Control: Virtualize file and Registry write failures to per-user location
شما متوجه خواهید شد که اکثر این گزینه ها به اعلانهای " Elevation " مربوط هستند. شما می توانید تعیین کنید که آیا می خواهید برای دریافت موافقت یا اعتبار نامه های خود اعلانهائی را دریافت کنید و یا اینکه می خواهید اعلانها بطور کامل غیر فعال شوند ( وضعیتی که تا حدودی هدف اصلی UAC را از بین می برد ).
Policy های مربوط به شبکه های کابلی و بی سیم
Craig Pringle می گوید:" اگر تصمیم گرفته اید ویندوز ویستا را در محیط شرکتی خود پیاده سازی نمائید و یک دامنه مبتنی بر Active Directory دارید، می توانید از GroupPolicy برای پیکربندی تنظیمات شبکه سازی بی سیم بر روی کلاینتها استفاده کنید. برای انجام این کار، شما باید شمای داخلی ( schema ) را گسترش دهید تا خصوصیات اضافی مورد نیاز Policy ها را در بر گیرد."کلاینت های کابلی و بی سیمی که ویندوز ویستای مایکروسافت را اجرا می کنند، از پیشرفت هایی پشتیبانی می نمایند که می توانند از طریق تنظیمات GroupPolicy پیکر بندی شوند و توسط کنترلرهای دامنه ای که Windows server2008را اجرا می کنند، پشتیبانی می شوند.
برای پشتیبانی از این پیشرفتها در دامنه ای که Windows server2003 یا W222indows server2003 R2 را اجرا می کند، schema Active Directoryباید گسترش پیدا کند. مایکروسافت در مورد پیشرفتهای بدست آمده در زمینه پیکربندی مبتنی بر GroupPolicy به موارد زیر اشاره می کند:
- تنظیمات LAN کابلی: برخلاف ویندوزXP، ویندوز ویستا اکنون از پیکربندی اتصالات کابلی IEEE802.1X-authenticated از طریق GroupPolicy پشتیبانی می کند.
- حالت امنیتی ترکیبی (Mixed Security Mode): شما اکنون می توانید پروفایل های متعددی را با SSIDهای یکسان و با شیوه های امنیتی متفاوت پیکربندی نمائید، بصورتیکه تمام کلاینتهائی با قابلیت های امنیتی مختلف بتوانند به یک شبکه بی سیم واحد متصل شوند.
- فهرست های ALLOW/Deny برای شبکه های بی سیم: شما می توانید فهرستی از شبکه های بی سیم که کلاینت های بی سیم ویستا می توانند با آنها ارتباط برقرار نمایند و همچنین فهرست شبکه های بی سیمی که کلاینتهای بی سیم ویندوز ویستا نمی توانند با آنها ارتباط برقرار کنند را پیکربندی نمائید.
- توسعه پذیری ( Extensibility ): شما می توانید پروفایل هائی را Import کنید که دارای تنظیمات امنیتی و ارتباطی خاص فروشندگان بی سیم هستند ( نظیر انواع مختلف EAP).
Windows Error Reporting
این تنظیمات تحت دو گروهComputer Configuration Settings و User Configuration setting در /Computer Configuration Adminstrative Templates/ Windows Components/ Windows Error Reporting و User Configuration /Windows Components/ Administrativ Templantes / Windows Error REporting قرار گرفته اند.
این تنظیم ، Windows Feedback را تنها برای ویندوز و یا برای تمام مؤلفه های غیرفعال می نماید. بصورت پیش فرض WindowsFeedback برای تمام مؤلفه های ویندوز فعال است.
ویندوز ویستا دارای یک سیستم Event log کاملاً جدید است . موتور GroupPolicy از این سیستم جدید Windows Evening 6.0 ( که عموماً تحت عنوان Event log شناخته می شود) بهره برداری نموده و رویدادها را به دو log خاص تقسیم می نماید. System log آشنا ( که اکنون به عنوان یک log Administrative دیده می شود) حاوی مشکلات GroupPolicy است. اگر یک خطا در رابطه با موتور GroupPolicy روی دهد، در System log ظاهر شده و بعنوان یک ورودی از GroupPolicy service( نه پردازش Userenv ) فهرست می شود.
یک " Application and services log " جدید ( که یک log عملیاتی است ) به GroupPolicy اختصاص دارد و رویدادهای عملیاتی را ذخیره می نماید. این log اساساً جایگزین قابل عیب یابی حجیم وسنگینlog . Userenv شده است ، بصورتیکه هر مرحله از موتور Group Policy برای امکان قرائت آسانتر در این جا فهرست شده است.
منبع:نشریه بزرگراه رایانه شماره 122
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد