Group policy ها در ویندوز بخشی جدایی‌ناپذیر از مدیریت سیستم هستند. در ادامه نگاهی خواهیم داشت به کاربرد این ابزار در سروری با خانواده سیستم‌عامل ویندوز.

چرا به Group policy نیاز داریم؟

در یک تعریف ساده، Group policy یک ابزار ساختار Active Directory یا دایرکتوری هوشمند است که به شما اجازه می‌دهد تنظیمات سرورها و ترمینال‌های متصل به دامین را به صورت متمرکز مدیریت کنید. همچنین استفاده از Group policy ها باعث سهولت در توزیع نرم‌افزار می‌شود. مدیر سیستم می‌تواند سیاست‌های یک گروه را به صورت یک‌جا تعریف کند و سپس آنها را برای گروه کاربران هدف درنظر بگیرد.

به عنوان یک قاعده، بسیاری از شرکت‌ها فعالیت‌های خود را به واحد‌های مختلف تقسیم می‌کنند. از جمله واحد منابع انسانی، حسابداری، وکلا و مدیریت سیستم. فرض کنید که هر کدام از این واحدها نیاز به مجموعه نرم‌افزاری خاص خود باشد. دفاتر کاری نیز می‌باید بنابر نیازها و وظایف خاص هر واحد تجهیز شوند. اینجاست که به لطف Group policy ها، امکان ایجاد تنظیمات ویژه برای هر گروه از کاربران در دامین وجود خواهد داشت. یک مدیری سیستم می‌تواند با استفاده از Active Directory GPO می‌تواند به مدیریت مجموعه‌ای از تنظیمات، به‌ویژه برای بخش‌های حسابداری یا منابع انسانی بپردازد.

به این وسیله تنظیم محیط‌های دفاتر کاری (کامپیوترها و کاربران) بسیار ساده‌تر و مؤثرتر خواهد بود؛ چرا که موقعیت آنها به صورت مرکزی مشخص شده و هر کامپیوتر PC وضعیت تعیین شده‌ای دارد.

اجزای تشکیل دهنده GPO یا Group policy

دو مؤلفه برای Group policy‌ ها وجود دارد؛ کلاینت و سرور. به عبارت دیگر، ساختار «کلاینت – سرو» تشکیل‌دهنده آنهاست.

بخش سرور شامل کنسل مدیریتی مایکروسافت (MMC) است که برای تنظیم Group policy‌ ‌ها در ویندوز طراحی شده است. MMC می‌تواند برای ایجاد سیاست‌ها در سیستم، و همین‌طور کنترل و مدیریت قالب‌ها، تنظیمات امنیتی (نصب نرم‌افزار، اسکریپت و …) مورد استفاده قرار گیرد. عنوان مورد استفاده برای قابلیت‌های این ابزار اکستنشن (extension) است. هر کدام از اکستنشن‌ها می‌تواند یک اکستنشن زیرمجموعه یا child extension داشته باشد که عناصری به آن اضافه یا کم و یا آنها را بروزرسانی کند.

بخش کلاینت تنظیمات Group policy را دریافت و اِعمال می‌کند. اکستنشن‌های کلاینت عناصری هستند که بر روی سیستم‌عامل کلاینت اجرا می‌شوند و مسئول تفصیر و پردازش آبجکت‌های Group policy شناخته می‌شوند.

برای یک مدیر سیستم، یک GPO ابزاری است که از دو جزء کلی کنسول مدیریت Group policy (GPMC) و ویرایشگر Group Policy Management استفاده می‌کند.

سناریوهای کاربری Active Directory GPO

تنظیمات متمرکز بسته نرم‌افزار مایکروسافت آفیس
تنظیمات متمرکز مدیریت نیروی کامپیوتر
تنظیم مرورگرهای وب و چاپگرها
نصب و بروزرسانی نرم‌افزار
اِعمال برخی قواعد خاص بر اساس موقعیت مکانی کاربر
تنظیمات متمرکز امنیتی
ارجاع دایرکتوری درون دامین
تنظیم دسترسی‌ها به اپلیکیشن‌ها و برنامه‌های سیستمی

مدیریت Group policy ها

ابتدا ابزار سرور Active Directory Domain Service (AD DS) را بر روی کنترلر دامین نصب کنید. پس از این کار، ابزار Group Policy Management snap-in در دسترس قرار می‌گیرد. برای اجرای این ابزار، باید آن را از طریق Run ویندوز فراخوانی کنید. بر این اساس، در پنجره‌ای که ظاهر می‌شود، فرمان زیر را تایپ کنید.


gpmc.msc

سپس دکمه OK را بزنید.

شاید این ابزار نتواند اجرا شود؛ چرا که قبلاً به‌درستی نصب نشده است. این مشکل را با هم رفع می‌کنیم.

۱) برنامه مدیریت سرور را باز کنید و بخش نصب roles and components را انتخاب نمایید.

۲) در زمان انتخاب نوع نصب، پارامتر “Installing roles and components” را درنظر داشته باشید. سپس باید روی دکمه Next کلیک کنید.

۳) از آنجایی که نصب در سرور کنونی انجام می‌شود، دوباره Next را بزنید.

۴) سپس با کلیک بر روی Next، از نصب قواعد سرور گذر می‌کنیم.

۵) در مرحله انتخاب اجزای نصب، تیک گزینه “Group policy management” را فعال کنید. سپس دکمه Next را بزنید.

حالا به شکل همیشگی، نصب اجزا را به اتمام می‌رسانیم.

ساخت آبجکت‌های Group policy

برای این منظور، در سمت چپ، مسیر زیر را دنبال کنید.


Forest → Domains → <Your Domain> → Group policy objects

در سمت راست پنجره، روی فضای خالی راست‌کلیک کنید. در منویی که باز می‌شود، گزینه “Create” را انتخاب کنید.

در پنجره جدیدی که برایتان نمایش داده می‌شود، نام policy جدید را وارد کنید و دکمه OK را بزنید.

آبجکت اضافه‌شده در لیست کلی نمایش داده می‌شود.

تنظیم آبجت ساخته‌شده

برای تنظیم یک آبجکت جدید باید روی آن راست‌کلیک کنید. در منویی که ظاهر می‌شود، گزینه “Change” را انتخاب کنید.

در نتیجه، پنجره ویرایشگر group policy management باز می‌شود. بیایید یک کار مفید در اینجا انجام دهیم؛ یعنی فولدر همراه با بازی‌های استاندارد را در منوی استارت حذف کنیم. برای این منظور در منوی سمت چپ، مسیر زیر را دنبال کنید:


User Configuration → Policies → Administrative Templates: Policy definitions (ADMX files) were received from the local computer → Start menu and taskbar

در بخش سمت راست پنجره، می‌توانید گزینه Remove the link Games from the Start menu را پیدا کنید. برای راحتیِ جستجو، می‌توانید مرتب‌سازی بر اساس عنوان انجام دهید.

در بالای پنجره، روی این پارامتر راست‌کلیک کرده و گزینه “Change” را انتخاب کنید.

در پنجره‌ای که برایتان ظاهر می‌شود، وضعیت را به “Enabled تغییر دهید. برای تکمیل تنظمیات، روی OK کلیک کنید.

در اینجا، می‌توانید ساخت آبجت برای Group policy ها را تمام‌شده درنظر بگیرید.

جستجوی آبجکت‌ها

در محیط‌های اینترپرایز، معمولاً تعداد زیادی از آبجکت‌های GPO ساخته می‌شوند. در نتیجه، پیدا کردن آبجکت‌های مناسب اهمیت خواهد داشت. کنسول دارای چنین قابلیتی است. برای این منظور، روی بخش forest در سمت چپ پنجره کلیک کنید. در منویی که برایتان باز می‌شود، گزینه “Find …” را انتخاب نمایید.

در پنجره جدید، باید دامین موردنظر برای جستجو را انتخاب کنید. می‌توانید جستجو را برای تمام دامین‌ها انجام دهید، ولی درنظر داشته باشید که این کار می‌تواند مدت‌زمان زیادی طول بکشد.

در اینجا، به عنوان نمونه می‌خواهیم آبجکتی را که در قسمت قبل ساخته‌ایم، پیدا کنیم.

در فیلد “Search element” از لیست بازشونده، گزینه “Group policy object name” را انتخاب کنید. در اینجا ما گزینه “Contains” را فعال می‌کنیم. در بخش Value، عنوان policy قبلی را مشخص می‌کنیم. به همین دلیل است که باید یک عنوان ساده و روشن برای policy ها انتخاب کنید. سپس روی دکمه Add کلیک می‌کنیم.

در نتیجه، معیارهای جستجو مشخص شدند و می‌توانید دکمه Find را بزنید و نتایج را ببینید.

حذف یک آبجکت Group policy ها

اگر دیگر به یک آ‌بجکت GPO احتیاجی نداشته باشید، بهتر است آن را حذف کنید. برای این منظور، با دکمه سمت راست موس روی این آبجکت کلیک می‌کنیم و در منوی ظاهر شده، گزینه “Delete” را انتخاب می‌کنیم. در صورتی که از تصمیم خود مطمئن بودید، در پنجره تأیید، دکمه Yes را بزنید.