مدیریت جامع در ویندوز با Group Policy

بسیاری از مشکلات که پرسنل پشتیبانی و حتی مدیران شبکه باید برطرف کنند با کمک Group Policy  قابل پیشگیری است. چون دلیل بیشتر این مشکلات تغییرات عمدی یا سهوی پیکربندی سیستم است. به کمک Group Policy می توان این تنظیمات را به طور مرکزی انجام داده و مدیریت کرد. با این کار، خود ویندوز تنظیمات لازم را حداکثر تا راه اندازی بعدی سیستم، اعمال می کند. اگر هم این کافی نباشد می توانید بسیاری از گزینه های Control Panel را از دستکاری از سوی کاربر محافظت کنید.

امکانات Group Policy در ویندوز تقریباً هیچ جایگزینی ندارد. اگر چه برنامه هایی مانند Client Lifecycle Management و Patch Management برخی تنظیمات Registry  را انجام می دهند اما در مقایسه با Group Policy امکانات آن ها محدود و پردرسر است.

 Group Policy بخشی است که دقیقاً برای پیکربندی سیستم ها به طور یکپارچه و مرکزی تدارک دیده شده و حتی می توان با آن تنظمیات امنیتی را در شبکه های ویندوزی نیز انجام داد. اکنون این پرسش مطرح می شود که پس چرا Group Policy آنطور که باید و شاید در شبکه ها به کار گرفته نمی شود؟ پاسخ آن ساده است : استفاده از Group Policy چندان ساده نیست و نیاز به دانستن برخی نکات پایه ای دارد. اصولاً باید بدانیم که دقیقاً کدام تنظیمات روی کدام کامپیوترها باید اجرا شوند و کدام تنظیمات در کدام Group Policy قرار دارد. از آنجا که Group Policy صدها پارامتر و گزینه دارد، انجام این کار کمی زحمت خواهد داشت.

ابزار مدیریت  Group Policy

هم مایکروسافت و هم شرکت های دیگر ابزار لازم برای کار با Group Policy را عرضه کرده اند. برای آغاز کار و انجام تنظیمات عمومی در Group Policy وجود دو برنامه لازم است. یکی Group Policy Management Console است که به طور خلاصه به آن GPMC می گویند. این برنامه چیزی است که اگر آن را نداشته باشید، مایکروسافت به طور رایگان از نشانی

www.microsoft.com/technet/downloads/winsrvr/featurepacks/default.mspx
در اختیارتان می گذارد. GPMC پس از عرضه ویندوز 2003 آماده شد و دیگر بخشی از سیستم عامل نیست.
دومین وسیله، ویرایشگر Group Policy است که پس از نصب GPMC ، از آن قابل اجراست. اگر از GPMC استفاده نمی کنید می توانید آن را از محیط AD از طریق Users and Computers به کار بیندازید. اما فراموش نکنید که بدون GPMC کار زیادی نمی توانید بکنید چون GPMC کارهای مدیریتی را بسیار ساده می کند.

آنچه که حتماً باید درباره Group Policy بدانید

پیش از آغاز کار با Group Policy باید برخی نکات را بدانیم. به بیان دقیق تر برای به حداقل رساندن مشکلات احتمالی کار با Group Policy باید سه نکته را بدانید:

* همانگونه که از نام ویرایشگر آبجکت Group Policy بر می آید، آبجکت هایی برای Group Policy وجود دارد که به طور خلاصه GPO یا Group Policy Object نامیده می شود. این GPO ها را می توان در جاهای متفاوت مانند دامنه یا OU به کار برد. به این ترتیب می توان Group Policy را در چندین جا به کار برد. اما اگر آبجکت را تغییر بدهیم این تغییر در همه جا اعمال خواهد شد. بنابراین بهتر است خود را عادت بدهید که با آبجکت Group Policy  به طور مستقیم کار کنید.

* درون هر آبجکت Group Policy برخی تنظیمات برای کامپیوتر و برخی تنظیمات برای کاربر است. تنظیمات کامپیوتر به کل سیستم مربوط می شود و در نتیجه برای همه کاربران اعمال می گردد. اما برخی تنظیمات نیز مربوط به کاربر است که هر جا با کامپیوتر کار کند برایش در نظر گرفته می شود. اگر چه بیشتر تنظیمات یا به کامپیوتر یا به کاربر مربوط می شوند اما برخی پارامترها را برای هر دو بخش می توان تنظیم کرد. در این موارد باید کلاً مراقب باشید و بدانید که هرچیزی را برای چه کاری تنظیم می کنید.

مراقب اختیارات متضاد باشید

نکته سوم از همه مهمتر است و در عمل باعث آثار متناقض می شود. از همین رو برای این مورد باید وقت زیادی بگذارید :
آبجکت های Group Policy می توانند با دیگر آبجکت های AD از سایت ها، دامنه ها و OU ها ارتباط داشته باشند. باید بدانید که اگر چیزی را در Policy مربوط به سایت تغییر می دهید، تنظیمات متناظر در سطح بالاتر یعنی دامنه روی آن نوشته می شود. مهمترین Policyها در پائین ترین سطح OU ها قرار دارند. اگر از پیش، استفاده از Policyهای گوناگون را در سطوح مختلف تدوین کنید از مشکلات بعدی کاسته خواهد شد. گاهی به ویژه برای مدیران سیستم و Domain Controller برخی تنظیمات از سطوح بالاتر روی OU نوشته می شوند. اصولاً چنین چیزی نباید روی بدهد.

نکته آخر اینکه برای استفاده از Group Policy وجود AD ضروری است. اگر به دامنه نیازی ندارید و با گروه های کاری(workgroup) کار می کنید می توانید به صورت محلی تنظیمات را انجام داده و دنبال کنید. طبیعی است که ما در چنین مقاله ای فرصت پرداختن به همه امکانات و گزینه های Group Policy را نداریم و برای جزئیات بیشتر باید به راهنماهای تخصصی تر مراجعه کنید.

Policyهای استاندارد

هنگامی که GPMC را برای نخستین بار باز می کنید دو Policy را در آن می یابید که نام آنها Default Domain Policy و Default Domain Controllers Policy است. اولی، Policy  استاندارد برای دامنه و دومی ، تنظیمات خاص Domain Controller است.

گاهی لازم است که هر دوی این Policyها تغییر کند. نکته قابل توجه آن است که هرگونه خطا و اشتباه در تغییر این Policyها بسختی قابل جبران است.

برخی تنظیمات جالب

همانگونه که گفتیم ، Group Policy صدها گزینه دارد. برای نمونه بد نیست بدانید تنها، اختلاف میان SP1 و SP2 ویندوز XP آنهم فقط برای IE حدود 700 مورد است که اضافه شده و در Group Policy دیده می شود. اما از آنجا که پرداختن به همه گزینه ها سودی ندارد، در اینجا می خواهیم شما را به سمت برخی گزینه های بسیار جالب هدایت کنیم :

* تنظیمات امنیتی در Computer Configuration, Windows Settings, Security Settings قرار دارند که در زیر آن دوباره گزینه های دیگری مانند گزینه های مربوط به تنظیمات محلی قرار دارند.

* هم در Computer Configuration و هم در User Configuration بخشی با نام Administrative Templates وجود دارد که در آن تنظیماتی مانند گزینه های مربوط به رفتار IE وجود دارد.

* در User Configuration در بخش Administrative Templates و سپس System ، تنظیمات مربوط به Group Policy جالب است چون در خود آن می توانید کارکرد Group Policy را تنظیم کنید.

آنچه که گفتیم تنها بخش بسیار کوچکی از امکانات و توانایی های Group Policy بود. می توان گفت که تقریبا جایی در ویندوز وجود ندارد که کنترل آن از طریق Group Policy ممکن نباشد.

Group Policy  در نگارش های مختلف ویندوز

هنگام کار با Group Policy باید به یک نکته توجه داشت و آن نکته این است که بسیاری از تنظیمات تنها برای نگارش های خاصی از ویندوز هستند. مایکروسافت با هر Service Pack گزینه های تازه ای به Group Policy اضافه می کند. بیشتر تنظیمات Group Policy در Template های آن قرار دارد. این تنظیمات در ویندوزهای XP و 2003 فایل های متنی ساده هستند و از ویندوز ویستا به بعد بافت آن ها به فایل های XML تغییر یافته.
در کار با Group Policy باید مراقب  Templateی که با آن کار می کنید باشید. معمولاً تازه ترین پارامترها و گزینه های Group Policy را می توانید از سایت مایکروسافت برداشت کنید. از آنجا که در Group Policy ها شماره نگارش هم آمده برخی مشکلات پس از نصب، روی نخواهد داد. اگر می خواهید خودتان Policy هایی ایجاد کنید باید به دو نکته زیر توجه داشته باشید:

1        - تغییرات را نخست در GPOهایی که خودتان می سازید، اعمال کنید تا بعداً امکان پاک کردن آن ها وجود داشته باشد.

2        -  هرگونه تغییر را نخست در یک محیط آزمایشی اجرا و بررسی کنید تا بعداً با مشکلی روبرو نشوید.