در تنظیمات Group Policy یا GPO این امکان را به راحتی دارید که به کامپیوترها پالیسی ها را اعمال کنید. ساده ترین و متداول ترین کار این است که پالیس را به OU ای که کامپیوترهای مورد نظرتان در ان قرار دارند Link دهید. هدف ما در این پست اعمال پالیسی برای یک computer group در اکتیو دایرکتوری است.

How to Apply GPO to Computer Group in Active Directory

در این مثال همه کامپیوترها در یک دامین مشخصی جوین شده اند و دامین کنترلر هم یک ویندوز سرور 2012 می باشد(ورژن های دیگری از ویندوز هم باشد راه کار به همین صورت خواهد بود). تمام سیستم های مد نظر ما در ou ای با نام Prod قرار دارند.





یک پالیسی با نام Secured Computer Policy را از قبل ایجاد کرده و به همین ou لینک داده ایم. به طور پیش فرض ، GPO برای همه کامپیوترهای موجود در این OU اعمال می شود.



چیزی که در این پست روی آن تمرکز خواهیم کرد این است که چگونه پالیسی Secured Computer Policy را فقط به سیستم های WKS002 و WKS003 اعمال کنیم.

1. Create a group

در همین OU که پالیسی بدان اعمال شده اقدام به ایجاد یک group کنید. به OU مربوطه در کنسول Active Directory Users and Computer وارد شوید، با کلیک راست بر روی یک جالی خالی و سپس New> Group را انتخاب کنید.



نام دلخواه خود را وارد کرده و تنظیمات group scope و group type را مانند تصویر زیر انجام دهید.

2. Add targeted computers as the group member

روی گروهی که ایجاد کرده اید دابل کلیک کنید تا فرم تنظیمات آن باز شود. سپس به تب Members رفته و دکمه add را کلیک کنید.



دکمه Object Types را کلیک کنید و مطمئن شوید که گزینه Computers هم تیک خورده باشد.





به ترتیب اسامی کامپیوترها یا همان computer names ها را وارد کرده و با وارد کردن هر computer names دکمه Check Names را کلیک کنید تا صحت نام وارد شده را تایید شود.



شما هم در سناریوی خودتان مطمئن شوید که کامپیوترهای مورد نظرتان را در این گروه Add کرده باشید.

3. Modify the GPO Security Filtering

خب، حالا به کنسول Group Policy Management Console بروید و به سراغ پالیسی مورد رفته و مانند تصویر زیر گس از انتخاب آن پالیسی، به تب Scope بروید.



از قسمت Security Filtering، گروه Authenticated Users را انتخاب و Remove کنید.



پس از آن در همین بخش دکمه Add را کلیک کنید.



سپس در فرم باز شده مانند تصویر زیر نام همان گروهی که ایجاد کرده بودید و کامپیوترهای مورد نظرتان را عضو آن کردید را وارد و دکمه Check Names را کلیک کنید. اگر نام درست بود فرم را ok کنید.



بدین ترتیب خواهید دید که نام گروه در قسمت Security Filtering اضافه خواهد شد.



در آخر هم باید مطمئن شوید که پالیسی به درستی کار خواهد کرد. گروه Authenticated Users همچنان نیاز به دسترسی Read برای پالیسی دارند. در تنظیمات پالیسی از تب Scope به تب Delegations رفته و دکمه Add را کلیک کنید.



مانند تصویر زیر گروه Authenticated Users را با دسترسی Read اضافه کنید.

Verification

می توانیم بررسی کنیم که این پالیسی به درستی اعمال شده است. در سیستم کلاینت، Command Prompt را به صورت Run as administrator اجرا کرده و دستور gpresult /r /SCOPE COMPUTER را وارد و Enter کنید. کامپیوترهایی که عضو SECURED_COMPUTER هستند WKS002 و WKS003 می باشد و این دستور که در این سیستم ها اجرا شوند، پالیسی Applied شده نشان داده می شود.



ولی برای سیستم هایی که عضو این پالیسی نیستند، نتیجه متفاوتی را شاهد خواهید بود.



اگر پالیسی مربوطه شما هنوز به کامپیوتر مورد نظرتان اعمال نشده یا خروچی دستورات فوق چیزی که شما انتظار دارید نیست، سیستم کلاینت را یکبار ریستارت کنید تا با بالا آمدن مجدد، پالیسی از دامین کنترلر دریافت شود.