خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
ترتیب اعمال گروپ پالیسی در دامین
Order های GPO در دامین کمی می تواند گیج کننده باشد. برای درک اینکه ویندوز دقیقاً چگونه یک GPO (Group Policy Object) را در مقابل GPO دیگر اعمال می کند، با ما در ادامه مطلب همراه باشید.
هنگام برخورد با Policy Policy همیشه باید از خود دو سوال بپرسید:
➊شما کجا هستید (local، site، domain یا organizational unit)؟
➋شما (User یا Computer) چیست؟
با کمک این دو سوال خیلی ساده تر می توانید درک کنید که سیستم Group Policy Objects را چگونه Apply می کند و چه Object هایی از GPO یا GPO های تنظیم شده تاثیر می گیرند. اگر دوره های MCSE مایکروسافت را گذرانده باشید، قطعا این موضوع را می دانید که پالیسی ها در 4 محل اعمال می شود که به ترتیب local، Site، Domain و OU است.
شما می توانید GPO را برای Computer ها و User ها ایجاد و اعمال کنید، اما اکثرا کاربران تازه کار این تصور را دارند که GPO در دامین اعمال می شود. البته این تاحدی درست است ولی نه کاملا. چون شما روی گروپ پالیسی لوکال سیستم تان هم می توانید پالیسی تنظیم کنید و پالیسی اعمال می شود. این بدان معنی است که شما می توانید GPO ها را به روش های مختلف اعمال کنید، اما GPO ها به ترتیب خاص برای کامپیوترها یا User ها اعمال می شوند. در تصویر زیر از بالا به پایین، ترتیب اعمال پالیسی را مشاهده می کنید:
حالا به تشریح این هر کدام از این موارد که در تصویر مشاهده می کنید می پردازیم.
با وارد شدن به لوکال گروپ پالیسی می توانید تنظیمات مورد نظرتان را اعمال کرده تا فقط برای همین سیستم یا کاربران این سیستم اعمال شود. اگر صراحتا پالیسی ای را تغییر داده باشیدف اولویت اول با آن است ولی اگر پالیسی را بصورت Not configured یا تنظیم پیشفرض رها کرده باشید، در صورتی پالیسی بالا دستی برای آن تنظیمی داشته باشند، آنها اعمال می شوند. ولی در هر صورت مطلع باشید که اولویت اول با Local Group policy است.
اگر سازمان شما از یک محیط بزرگ برخوردار باشد، ممکن است طراحی زیرساخت مانند شکل بالا باشد. حتی اگر فقط یک دامنه در محیط خود داشته باشید ، می توانید از AD site ها استفاده کنید، اما به طور معمول این مورد را نمی بینید. شما می توانید یک AD site را به مانند subnet در شبکه خود درک کنید. ما می توانیم ماشین ها، سیستم ها، کاربران و غیره را که در یک subnet خاص قرار دارند سازماندهی یا گروه بندی کنیم. سپس می توانیم GPO خاصی را برای آن Object ها اعمال کنیم حتی اگر این موارد در یک دامین (یا حتی Forest) نباشند. برخی از سازمان ها ممکن است از این ویژگی استفاده کنند. تا به امروز مجبور به استفاده از آن نشده ام ولی یک روش عالی برای سازماندهی GPO شما در Domain ها و Forest ها است به خصوص برای سرورهایی که ممکن است در Data Center وجود داشته باشند که به گروه ها، سازمان های زیر شاخه(sub-organization) یا دامین های مختلف تعلق دارند.
اگر پیکربندی یا تنظیم خاصی دارید که می خواهید روی همه سیستم ها اعمال شود، باید آن GPO را ایجاد کرده و به Root دامین خود لینک دهید.البته اگر تنظیماتی دارید که متوجه اکثر کاربران و سیستم ها است را در Root دامین تان ایجاد کنید ولی چون قرار نیست این پالیسی روی همه کاربران یا سیستم ها اعمال شود باید برای آن filter بنویسید. شما می توانید یک GPO را از چند طریق مختلف فیلتر کنید اما متداول ترین روش ها استفاده از بخشهای Security Filtering در تب Scope آن GPO یا استفاده از WMI Filtering (که در تب Scope نیز قرار دارد) است. فیلتر بصورت پیشفرض روی همه کاربران تایید شده یا Authenticated Users ها اعمال می شود(توجه داشته باشید که منظور از Authenticated Users، تمام User ها و Computer های تایید اعتبار شده در دامین است). ما در صورت تمایل، می توانید به جای Authenticated Users ها، گروه ها، یا User ها و حتی Computer ها را معرفی کنید.
ولی به جز مورد فوق، WMI Filter هم در اختیار شماست. مثلا پالیسی فوق را به گونه ای می خواهیم تنظیم کنیم که فقط متوجه laptop ها و سورفیس ها باشد. پس به گونه ای کوئری نویسی WMI filter را انجام می دهیم که اگر سیستم دارای باتری بود(نشان از پرتابل بودن آن دستگاه دارد) پالیسی متوجه آن سیستم شود.
Default Domain Policy به تمام OU هایی که دارای User و Computer هستند می تواند اعمال شود. باز هم، بطور معمول این GPO شامل تمام تنظیمات Account ، Account Lockout و Kerberos برای کل دامین و احتمالاً پیکربندی ها و تنظیمات دیگر است. لطفا به تصویر زیر دقت کنید:
یک Domain و سپس OU که Parent OU شناخته می شود که درون آن یک OU دیگر است و آن Child OU نام دارد. حالا Parent OU لایه دوم است. اگر در Parent OU که هر نامی می تواند داشته باشد، GPO ای لینک شده باشد و هر تظنیمی در آن اعمال شده باشد، به Default Domain Policy اولویت دارد و به تمام زیر مجموعه های خود تاثیر خواهد گذاشت. البته اگر در Default Domain Policy پالیسی ای ست شده باشد ولی در GPO مربوط به Parent OU برای همان پالیسی تنظیمی وجود نداشته باشد، پالیسی Default Domain Policy اعمال می شود. یعنی پالیسی تنظیم شده در Default Domain Policy، به Parent OU و Child OU اعمال می شود.
همانطور که مشاهده می کنید، Child OU آخرین لایه است. درون Child OU یک آبجکت با نام Computer داریم(اکانت کامپیوترهایی که به دامین جوین شده اند که البته حتما نیاز نیست Computer باشد این آبجکت می تواند یوزر و حتی گروه باشد). نزدیک ترین پالیسی به آبجکت Computer، همان GPO ای است که در Child OU تعریف شده است. اگر پالیسی در Site، Domain و حتی Parent OU تعریف شده باشد و در Child OU پالیسی به گونه دیگری تعریف شده باشد، چیزی که در Child OU تعریف شده، اولویت خواهد داشت چون Child OU به آبجکت نزدیک تر است. حالا اگر در Group policy Local آن کامپیوتر، پالیسی به گونه دیگری تنظیم شده باشد، در نهایت Group policy Local اعمال می شود چون Group policy Local نزدیک تر است.
پس به ترتیب ابتدا گروپ پالیسی Local اعمال می شود. اگر تنظیمی در local نباشد، نزدیک ترین پالیسی، GPO ای است که در OU لینک شده اعمال می شود. در لایه بالاتر که Domain است، اگر در دو سطح پایین(یعنی سطح OU و سطح Local) پالیسی تنظیم نشده باشد، پالیسی تنظیم شده در لایه Domain اعمال می شود و در نهایت پالیسی Site آخرین سطح اعمال پالیسی است.
هنگام برخورد با Policy Policy همیشه باید از خود دو سوال بپرسید:
➊شما کجا هستید (local، site، domain یا organizational unit)؟
➋شما (User یا Computer) چیست؟
با کمک این دو سوال خیلی ساده تر می توانید درک کنید که سیستم Group Policy Objects را چگونه Apply می کند و چه Object هایی از GPO یا GPO های تنظیم شده تاثیر می گیرند. اگر دوره های MCSE مایکروسافت را گذرانده باشید، قطعا این موضوع را می دانید که پالیسی ها در 4 محل اعمال می شود که به ترتیب local، Site، Domain و OU است.
شما می توانید GPO را برای Computer ها و User ها ایجاد و اعمال کنید، اما اکثرا کاربران تازه کار این تصور را دارند که GPO در دامین اعمال می شود. البته این تاحدی درست است ولی نه کاملا. چون شما روی گروپ پالیسی لوکال سیستم تان هم می توانید پالیسی تنظیم کنید و پالیسی اعمال می شود. این بدان معنی است که شما می توانید GPO ها را به روش های مختلف اعمال کنید، اما GPO ها به ترتیب خاص برای کامپیوترها یا User ها اعمال می شوند. در تصویر زیر از بالا به پایین، ترتیب اعمال پالیسی را مشاهده می کنید:
حالا به تشریح این هر کدام از این موارد که در تصویر مشاهده می کنید می پردازیم.
Local Group Policy
با وارد شدن به لوکال گروپ پالیسی می توانید تنظیمات مورد نظرتان را اعمال کرده تا فقط برای همین سیستم یا کاربران این سیستم اعمال شود. اگر صراحتا پالیسی ای را تغییر داده باشیدف اولویت اول با آن است ولی اگر پالیسی را بصورت Not configured یا تنظیم پیشفرض رها کرده باشید، در صورتی پالیسی بالا دستی برای آن تنظیمی داشته باشند، آنها اعمال می شوند. ولی در هر صورت مطلع باشید که اولویت اول با Local Group policy است.
Site-based Group Policy
در Active Directory، در بالاترین سطح، Group Policy Objects می تواند در سطح Site اعمال شود. برای درک چگونگی عملکرد یک Group Policy مبتنی بر Site ابتدا باید بطور کلی درک کنیم که چگونه سازمانهای بزرگ می توانند محیط خود را ساختار بندی کنند. در Active Directory، بالاترین لایه به نام AD forest داریم. یک سازمان می تواند چندین forest داشته باشد. در داخل هر AD forest، می توانیم چندین دامین داشته باشیم.
اگر سازمان شما از یک محیط بزرگ برخوردار باشد، ممکن است طراحی زیرساخت مانند شکل بالا باشد. حتی اگر فقط یک دامنه در محیط خود داشته باشید ، می توانید از AD site ها استفاده کنید، اما به طور معمول این مورد را نمی بینید. شما می توانید یک AD site را به مانند subnet در شبکه خود درک کنید. ما می توانیم ماشین ها، سیستم ها، کاربران و غیره را که در یک subnet خاص قرار دارند سازماندهی یا گروه بندی کنیم. سپس می توانیم GPO خاصی را برای آن Object ها اعمال کنیم حتی اگر این موارد در یک دامین (یا حتی Forest) نباشند. برخی از سازمان ها ممکن است از این ویژگی استفاده کنند. تا به امروز مجبور به استفاده از آن نشده ام ولی یک روش عالی برای سازماندهی GPO شما در Domain ها و Forest ها است به خصوص برای سرورهایی که ممکن است در Data Center وجود داشته باشند که به گروه ها، سازمان های زیر شاخه(sub-organization) یا دامین های مختلف تعلق دارند.
Domain-based Group Policy
Group Policy Object ها مبتنی بر Domain در سازمان ها بسیار رایج هستند. وقتی یک دامین جدید راه اندازی می کنید، در Root دامین بصورت پیشفرض یک Default Domain Policy ایجاد می شود . روی این پالیسی بصورت پیشفرض تنظیماتی اعمال شده است که به عنوان مثال می توان از password policy برای کاربران نام برد. علاوه بر این، برخی از سازمان ها این Policy پیش فرض را تغییر می دهند و مشخصات و تنظیمات خود را اضافه می کنند. قطعاً که می توانید Default Domain Policy را تغییر دهید، اما شاید بهتر باشد که یک GPO جدید در root دامین خود ایجاد کنید. بهتر است در Root دامین تان تنظیماتی را اعمال کنید که فقط یکبار و برای تمامی User ها و Computerها مشترک است استفاده کنید.اگر پیکربندی یا تنظیم خاصی دارید که می خواهید روی همه سیستم ها اعمال شود، باید آن GPO را ایجاد کرده و به Root دامین خود لینک دهید.البته اگر تنظیماتی دارید که متوجه اکثر کاربران و سیستم ها است را در Root دامین تان ایجاد کنید ولی چون قرار نیست این پالیسی روی همه کاربران یا سیستم ها اعمال شود باید برای آن filter بنویسید. شما می توانید یک GPO را از چند طریق مختلف فیلتر کنید اما متداول ترین روش ها استفاده از بخشهای Security Filtering در تب Scope آن GPO یا استفاده از WMI Filtering (که در تب Scope نیز قرار دارد) است. فیلتر بصورت پیشفرض روی همه کاربران تایید شده یا Authenticated Users ها اعمال می شود(توجه داشته باشید که منظور از Authenticated Users، تمام User ها و Computer های تایید اعتبار شده در دامین است). ما در صورت تمایل، می توانید به جای Authenticated Users ها، گروه ها، یا User ها و حتی Computer ها را معرفی کنید.
ولی به جز مورد فوق، WMI Filter هم در اختیار شماست. مثلا پالیسی فوق را به گونه ای می خواهیم تنظیم کنیم که فقط متوجه laptop ها و سورفیس ها باشد. پس به گونه ای کوئری نویسی WMI filter را انجام می دهیم که اگر سیستم دارای باتری بود(نشان از پرتابل بودن آن دستگاه دارد) پالیسی متوجه آن سیستم شود.
Container-based Group Policy
بسته به اینکه چه کسی ساختار Active Directory OU شما را طراحی یا سازماندهی کرده باشد ، شما معمولاً مجموعه ای از کانتینرها یا فولدر ها را خواهید داشت. OU می توانند شامل آبجکت های مختلفی در AD مانند کامپیوتر، یوزر، گروه و غیره.. باشند. تمام GPO ها دارای Filter هستند که توسط آن می توانید مشخص کنید که تنظیمات برای Users یا Computer هایی که در OU داریم اعمال شوند.
Default Domain Policy به تمام OU هایی که دارای User و Computer هستند می تواند اعمال شود. باز هم، بطور معمول این GPO شامل تمام تنظیمات Account ، Account Lockout و Kerberos برای کل دامین و احتمالاً پیکربندی ها و تنظیمات دیگر است. لطفا به تصویر زیر دقت کنید:
یک Domain و سپس OU که Parent OU شناخته می شود که درون آن یک OU دیگر است و آن Child OU نام دارد. حالا Parent OU لایه دوم است. اگر در Parent OU که هر نامی می تواند داشته باشد، GPO ای لینک شده باشد و هر تظنیمی در آن اعمال شده باشد، به Default Domain Policy اولویت دارد و به تمام زیر مجموعه های خود تاثیر خواهد گذاشت. البته اگر در Default Domain Policy پالیسی ای ست شده باشد ولی در GPO مربوط به Parent OU برای همان پالیسی تنظیمی وجود نداشته باشد، پالیسی Default Domain Policy اعمال می شود. یعنی پالیسی تنظیم شده در Default Domain Policy، به Parent OU و Child OU اعمال می شود.
همانطور که مشاهده می کنید، Child OU آخرین لایه است. درون Child OU یک آبجکت با نام Computer داریم(اکانت کامپیوترهایی که به دامین جوین شده اند که البته حتما نیاز نیست Computer باشد این آبجکت می تواند یوزر و حتی گروه باشد). نزدیک ترین پالیسی به آبجکت Computer، همان GPO ای است که در Child OU تعریف شده است. اگر پالیسی در Site، Domain و حتی Parent OU تعریف شده باشد و در Child OU پالیسی به گونه دیگری تعریف شده باشد، چیزی که در Child OU تعریف شده، اولویت خواهد داشت چون Child OU به آبجکت نزدیک تر است. حالا اگر در Group policy Local آن کامپیوتر، پالیسی به گونه دیگری تنظیم شده باشد، در نهایت Group policy Local اعمال می شود چون Group policy Local نزدیک تر است.
پس به ترتیب ابتدا گروپ پالیسی Local اعمال می شود. اگر تنظیمی در local نباشد، نزدیک ترین پالیسی، GPO ای است که در OU لینک شده اعمال می شود. در لایه بالاتر که Domain است، اگر در دو سطح پایین(یعنی سطح OU و سطح Local) پالیسی تنظیم نشده باشد، پالیسی تنظیم شده در لایه Domain اعمال می شود و در نهایت پالیسی Site آخرین سطح اعمال پالیسی است.
دسته بندی مطالب خوش آموز
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: