Group Policy چیست و چه کاربردی در مدیریت ویندوز دارد؟

در دنیای مدیریت شبکه‌های ویندوزی، Group Policy  یکی از ابزارهای حیاتی و پرکاربرد است که در بستر ویندوز سرور ارائه می‌شود. گروپ پالیسی نقش مهمی در پیکربندی، مدیریت متمرکز و افزایش امنیت کاربران و دستگاه‌ها در یک شبکه دارد. با استفاده از Group Policy می‌توانید ده‌ها تنظیم مهم سیستمی، امنیتی و کاربردی را در سطح کلاینت‌ها و سرورها به‌صورت دقیق و یکپارچه اعمال کنید.

در این مقاله فالنیک به‌طور کامل بررسی می‌کنیم Group Policy  چیست، چه کاربردهایی دارد و چگونه می‌توانید با کمک GPO (Group Policy Object) سیاست‌های دلخواه را تعریف و پیاده‌سازی کرد. اگر قصد دارید ساختار شبکه سازمانی خود را به‌صورت اصولی و پایدار مدیریت کنید، آشنایی و بهره‌گیری از این قابلیت ضروری است.

همچنین اگر به دنبال پیاده‌سازی حرفه‌ای Group Policy و سایر تنظیمات حیاتی ویندوز سرور در بستر شبکه سازمانی‌تان هستید، پیشنهاد می‌کنیم از خدمات اکتیو شبکه فالنیک استفاده کنید. برای ثبت سفارش می‌توانید روی لینک زیر بزنید یا با شماره 0218363 تماس بگیرید.

 Group Policy چیست؟

Group Policy مکانیزم اصلی مدیریت در اکتیو دایرکتوری است. مدیران شبکه از آن برای ایجاد قوانینی استفاده می‌کنند که رفتار شبکه‌ای کاربران و کامپیوترها را تعیین و استانداردهای امنیتی و استانداردسازی را به‌طور هم‌زمان روی چندین کامپیوتر و کاربر اعمال می‌کند.

Group Policy یک قابلیت ویندوزی است و شامل مجموعه تنظیماتی پیچیده در رجیستری ویندوز است. مدیران شبکه با این تنظیمات می‌توانند کنترل بیشتری بر محیط کاری کاربران و کامپیوترها در Active Directory داشته باشند. این مدیریت و کنترل شامل کاربران تجاری، کاربران دارای دسترسی ویژه مانند مدیران IT، ایستگاه‌های کاری، سرورها، کنترل‌کننده‌های دامنه (DCs) و سایر دستگاه‌ها می‌شود.

با وجود سیستم پیاده‌سازی خودکار در گروپ پالیسی، هزاران پیکربندی دستی حذف می‌شود و با اجرای الزامات امنیتی استاندارد، میزان دخالت انسانی به حداقل می‌رسد.

مزایا و کاربرد Group Policy در شبکه و سیستم‌عامل ویندوز

سازمان‌ها با استفاده از Group Policy به دو مزیت اصلی را بدست می‌آورند:

1. ایجاد دفاع‌های امنیتی پیشرفته: تیم‌های امنیتی برای اجرای قوانین و استانداردهای حفاظتی داخلی به گروپ پالیسی متکی هستند که امنیتی استاندارد برای نقاط انتهایی شبکه تامین می‌کند. تنظیمات امنیتی شامل مواردی مانند الزامات رمز عبور، عضویت در گروه‌ها، پیکربندی پورت‌های فایروال، تنظیمات IPsec و سایر موارد امنیتی است.
2. بهبود کارایی عملیاتی: مدیران شبکه از فرآیندهای خودکار گروپ پالیسی برای استقرار نرم‌افزارها، راه‌اندازی سرویس‌های سیستمی و کنترل رابط کاربری بدون ایجاد اختلال در روند کاری استفاده می‌کنند.

با مدیریت مرکزی که گروپ پالیسی تامین می‌کند، مدیران می‌توانند هزینه‌های عملیاتی را کاهش داده و در عین حال پایداری نقاط انتهایی را از طریق پیکربندی‌های پیش‌بینی‌پذیر و اشکال‌زدایی سیستمی ساده‌تر افزایش دهند، به‌گونه‌ای که کاربران تجربه دیجیتالی یکپارچه‌ای را در تمام دستگاه‌های خود حفظ کنند.

یکی از جنبه‌های اساسی Group Policy ویندوز فراهم کردن ابزارهای موردنیاز کاربران است. ممکن است که Group Policy  به‌عنوان راهی برای محدود کردن انتخاب‌ها و گزینه‌های کاربران توصیف شود، اما به همان اندازه مهم است که آن را به‌عنوان ابزاری برای پیکربندی ویندوز با ابزارهای موردنیاز کاربران جهت انجام وظایفشان در نظر بگیریم.

Group Policy ویندوز، ابزاری بسیار قدرتمند و ارزشمند است و باعث تقویت امنیت، بهبود کارایی، کاهش هزینه و کاهش زمان دان‌تایم می‌شود. اما اگر به‌درستی مدیریت نشود می‌تواند به یک نقطه ضعف بزرگ تبدیل شود.

تفاوت Group Policy با  Active Directory

در ادامه با تفاوت Group Policy با  Active Directory آشنا می‌شویم. گروپ پالیسی و اکتیو دایرکتوری، مفاهیمی مجزا اما مرتبط به هم هستند که در مدیریت شبکه‌های ویندوزی استفاده می‌شوند.

• اکتیودایرکتوری: سرویسی است که مایکروسافت از آن به عنوان دیتابیس مرکزی برای ذخیره و مدیریت اطلاعات مربوط به کاربران، گروه‌ها، دستگاه‌ها و منابع شبکه استفاده می‌کند. همچنین وظیفه احراز هویت و مجوزهای دسترسی را نیز بر عهده دارد.
• گروپ پالیسی: ویژگی‌ای در ویندوز است که امکان پیکربندی‌ها و تنظیمات مختلف روی کاربران و کامپیوترها را برای ادمین‌ها فراهم می‌کند. گروپ پالیسی از طریق اکتیو دایرکتوری اجرا می‌شود و می‌توان از آن برای استانداردسازی تنظیمات امنیتی، نصب نرم‌افزار، مدیریت تنظیمات سیستم‌عامل و کنترل رفتار برنامه‌های کاربردی استفاده کرد.

جدول مقایسه Group Policy با  Active Directory

در جدول زیر تفاوت Group Policy با  Active Directory به طور کامل و دسته‌بندی‌شده قابل بررسی است.

مایکروسافت گروپ پالیسی را همراه با Active Directory در Windows 2000 معرفی کرد.

gpo چیست؟ 

گروپ پالیسی شامل مجموعه‌ای از سیاست‌ها است که به‌عنوان gpo شناخته می‌شوند. GPO مخفف Group Policy Object است. مثال‌هایی از رایج‌ترین gpoها که می‌توانید برای پشتیبانی از بهترین شیوه‌های IT تنظیم کنید به صورت زیر است:

1. ایجاد و اجرای سیاست‌های رمز عبور برای تعیین حداقل طول و پیچیدگی رمزها به‌منظور جلوگیری از حملات حدس زدن رمز عبور
2. ممانعت از استفاده از درایوهای قابل حمل که می‌توانند عامل انتشار بدافزارها و سرقت داده‌ها باشند.
3. محدود کردن دسترسی به خط فرمان (Command Prompt) برای جلوگیری از اجرای کدهای غیرمجاز توسط کاربران و جلوگیری از آسیب و آلودگی شبکه
4. استقرار سیستم‌عامل‌ها و سایر نرم‌افزارها روی تمام سرورهای ویندوز و کامپیوترها به‌منظور ایجاد محیط استاندارد در سراسر دامنه.
5. جلوگیری از نصب نرم‌افزارهای جدید توسط کاربران برای کاهش مشکلات امنیتی، بهره‌وری و مسائل مربوط به مجوزهای نرم‌افزاری.
6. افزودن سایت‌های پرکاربرد یا توصیه‌شده به مرورگر کاربران جهت افزایش بهره‌وری و اطمینان از دسترسی به اطلاعات صحیح.
7. غیرفعال کردن احراز هویت NTLM که از نظر امنیتی ضعیف‌تر از روش مدرن Kerberos است. برای آشنایی با این ابزار امنیتی «Kerberos چیست» را مطالعه کنید.
8. جلوگیری از ذخیره هش‌های رمز عبور LM توسط ویندوز که به راحتی قابل نفوذ و هک شدن هستند.
9. ممانعت از ایجاد فایل‌های PST توسط کاربران که می‌تواند مشکلات مربوط به پشتیبان‌گیری، رعایت مقررات و کشف اطلاعات الکترونیکی را ایجاد کند.
10. اجرای اسکریپت‌های خاص در هنگام روشن یا خاموش شدن کامپیوتر یا ورود و خروج کاربران مانند اسکریپتی که قبل از خاموش شدن کامپیوتر، عملیات پاک‌سازی را انجام دهد یا هنگام ورود کاربران یک برنامه حیاتی کسب‌وکار را اجرا کند.

هنگام ایجاد دامنه در اکتیو دایرکتوری، دو GPO به‌صورت خودکار ساخته می‌شوند:

1. Default Domain Policy: امکان انجام تنظیمات پایه برای همه کاربران و کامپیوترهای موجود در یک دامنه را فراهم می‌کند و سه بخش اصلی دارد: پالیسی رمز عبور، پالیسی قفل شدن حساب کاربری و پالیسی Kerberos.
2. Default Domain Controllers Policy: امکان انجام تنظیمات پایه امنیتی و ممیزی برای همه دامین کنترلرها فراهم می‌کند.

اکثر سازمان‌ها فقط از بخش کوچکی از سیاست‌های ارایه‌شده توسط مایکروسافت استفاده می‌کنند اما ممکن است در طول سال‌ها صدها یا حتی هزاران GPO را برای کنترل دقیق جنبه‌های مختلف محیط IT خود اجرا کرده باشند.

Group Policy ویندوز چگونه اعمال می‌شود؟ 

gpo باید به یک یا چند کانتینر اکتیو دایرکتوری مانند سایت، دامنه یا واحد سازمانی (مثل واحد فروش) وصل شود. پس از این اتصال و لینک است که می‌توانید تنظیمات را روی بخش‌های گسترده یا محدود از محیط IT خود اعمال کنید. برای مثال، می‌توان از گروپ پالیسی استفاده کرد تا تمامی کاربران در دامنه Technical ملزم به استفاده از رمزهای عبور پیچیده‌تر شوند یا استفاده از رسانه‌های قابل حمل را فقط در کامپیوترهای واحد مالی در دامنه  Technicalممنوع کرد.

اتصال GPO و کانتینر، ساده و یک‌به‌یک نیست یعنی هر GPO می‌تواند به چندین کانتینر لینک شود و هر کانتینر می‌تواند دارای چندین GPO متصل به آن باشد. همچنین کانتینرها، سیاست‌های GPO را به ارث می‌برند. برای مثال، یک gpo که به یک واحد سازمانی متصل شده است، به صورت وراثتی به تمام کاربران و کامپیوترهای موجود در واحدهای سازمانی فرزند نیز اعمال می‌شود. البته می‌توان این قابلیت را بلاک کرد. حتی می‌توان یک سایت، دامنه یا واحد سازمانی را به یک gpo در دامنه‌ای دیگر لینک کرد. این روش توصیه نمی‌شود اما امکان‌پذیر است.

RSoP چیست؟

gpoهای مختلف ممکن است با یکدیگر هم‌پوشانی داشته باشند یا حتی متناقض باشند. به‌طور پیش‌فرض، gpoها به ترتیب زیر پردازش می‌شوند و تنظیمات GPOهای بعدی بر تنظیمات GPOهای قبلی اولویت دارند اما می‌توانید نحوه اعمال gpoها را تغییر دهید:

1. لوکال و محلی (کامپیوتر فردی)
2. سایت
3. دامنه
4. واحد سازمانی

درک اینکه کدام سیاست‌ها به یک کاربر یا کامپیوتر خاص اعمال شده‌اند می‌تواند بسیار دشوار باشد. به سیاست‌های نهایی اعمال شده روی یک کاربر یا کامپیوترResultant Set of Policy (RSoP)  گفته می‌شود. RSoP نشان می‌دهد پس از اعمال تمام gpoها، چه تنظیماتی به‌صورت نهایی روی سیستم موردنظر فعال شده‌اند. با استفاده از ابزار خط فرمان GPResult می‌توانید گزارش RSoP را مشاهده کنید.

نحوه ساخت و ویرایش GPO در Windows Server

برای ساخت GPO، ابتدا باید با حساب کاربری که مجوز ساخت GPO را دارد، وارد سیستم شوید. نحوه ساخت و ویرایش GPO در Windows Server به صورت زیر است:

1. نصب کنسول مدیریتی GPMC

برای ایجاد Group Policy، باید از کنسول GPMC – Group Policy Management Console استفاده کنید. این ابزار در واقع یک ویرایشگر رایگان گروپ پالیسی است که امکان مدیریت GPOها را فراهم می‌کند. برای اینکه این ابزار را نصب کنید مراحل زیر را انجام دهید:

1. در منوی Start روی فلش APPs کلیک کنید.
2. در صفحه Apps، عبارت Server Manager را تایپ کنید سپس رویServer Manager  کلیک کنید.
3. در پنجره اصلی Server Manager روی Add roles and features کلیک کنید.
4. مراحل نصب را درAdd Roles and Features Wizard  دنبال کنید تا به منوی Features برسید.
5. از لیست ویژگی‌های موجود،Group Policy Management  را انتخاب کنید. روی Install کلیک و مراحلWizard  را دنبال کنید.
6. حال که کنسول GPMC را نصب کردیم باید آن را اجرا کنیم. برای باز کردن GPMC، سه روش وجود دارد:
7. در منوی Start روی فلش APPs کلیک کنید. در صفحه Apps، عبارت gpmc.msc را تایپ کنید. روی OK کلیک کنید یاEnter  را فشار دهید.
8. می‌توانید از مسیر زیر استفاده کنید:

Start –> Administrative Tools –>Group Policy Management

• در داخل پنجره ویندوز سرور، در گوشه بالا راست، روی Tools کلیک کنید سپس Group Policy Management را از لیست انتخاب کنید.

2. ساخت GPO جدید در Windows Server

برای ساخت GPO در ویندوز سرور به صورت زیر عمل کنید:

1. در منوی کشویی، گره Group Policy Objects مرتبط با دامنه خود را پیدا کنید. برای این کار، روی دراپ دان forest و Domains بزنید تا لیست باز شود.
2. روی کانتینر مورد نظرتان راست کلیک کنید و گزینه Create and Link a GPO Here را بزنید.
3. نام GPO جدید خود را وارد کرده و Ok کنید.

• پس از ساخت GPO، باید دستگاه‌هایی را که این GPO روی آن‌ها اعمال می‌شود، تنظیم کنید. Domain را گسترش دهید، GPO جدید را انتخاب و روی Add کلیک کنید.

کادر محاوره‌ای Select User, Computer, or Group نمایش داده می‌شود.

• در کادر Object Name Box، دستگاه‌ها یا گروه‌هایی را که قرار است از GPO استفاده کنند وارد کنید سپس روی OK کلیک کنید.

توصیه می‌شود به جای وارد کردن نام هر دستگاه به‌صورت جداگانه، از نام گروه استفاده کنید. اگر نام دقیق گروه را نمی‌دانید، یک قسمت از نام را وارد کنید و گزینه Check Names را انتخاب کنید.

3. ویرایش GPO ساخته شده در Windows Server

برای ویرایش GPO در ویندوز سرور به صورت زیر عمل کنید:

در قسمت سمت چپ، کانتینرGroup Policy Objects  را گسترش دهید، روی GPO ایجاد‌شده راست کلیک کنید، و گزینه Edit را انتخاب کنید. پنجره Group Policy Management Editor باز می‌شود تا بتوانید پالیسی مورد نظر خود را تنظیم کنید. برای این کار از مسیر زیر اقدام کنید:

Computer Configuration -> Policies -> Windows Settings -> Security Setting -> Local Policies -> User Rights Assignment.

پالیسی مورد نظر خود را پیدا و دابل کلیک کنید. سپس Define these policy settings را انتخاب و گزینه Enabled را انتخاب کنید.

4. لینک کردن GPO به کانتینر در Windows Server

برای لینک کردنGPO  با تنظیماتی که پیکربندی کرده‌اید، مراحل زیر را دنبال کنید:

1. به واحد سازمانی با نام Domain Controllers بروید.
2. روی Domain Controllers راست‌کلیک کنید.
3. گزینه Domains را انتخاب کنید.
4. گزینه Link a GPO را انتخاب کنید.

با این کار،GPO  موردنظر به دامنه انتخاب‌شده متصل می‌شود و تنظیمات آن اعمال خواهد شد.

سوالات متداول درباره گروپ پالیسی چیست

چگونه می‌توان گروپ پالیسی را باز کرد؟ 

برای باز کردن گروپ پالیسی می‌توانید از دستورgpedit.msc  در Run استفاده کنید. این ابزار تنظیمات محلی گروپ پالیسی را نمایش می‌دهد.

تفاوت بین Local Group Policy و Group Policy در دامنه چیست؟ 

Local Group Policy فقط روی یک کامپیوتر اعمال می‌شود، در حالی که گروپ پالیسی در دامنه از طریق اکتیو دایرکتوری اعمال شده و روی چندین کامپیوتر و کاربر در شبکه تاثیر می‌گذارد.

چگونه می‌توان تغییرات گروپ پالیسی را اعمال کرد؟ 

پس از اعمال تغییرات در گروپ پالیسی، می‌توانید با اجرای دستورgpupdate /force  در Command Prompt، تغییرات را فوراً اعمال کنید.

آیا گروپ پالیسی می‌تواند برای محدود کردن دسترسی به برنامه‌ها استفاده شود؟

 بله، با استفاده از گروپ پالیسی می‌توان دسترسی به برنامه‌های خاص را محدود کرد یا اجازه اجرای برنامه‌های مشخصی را داد. این کار از طریق تنظیمات Software Restriction Policies یاAppLocker  انجام می‌شود.

آنچه درباره گروپ پالیسی خواندیم

Group Policy به‌عنوان یکی از ابزارهای کلیدی در مدیریت شبکه‌های ویندوزی، امکان پیکربندی متمرکز، تقویت امنیت و افزایش بهره‌وری کاربران و دستگاه‌ها را فراهم می‌کند. در این مقاله، نحوه پیاده‌سازی GPO، ساختار آن، تفاوت با Active Directory و سناریوهای رایج استفاده از گروپ پالیسی را بررسی کردیم.

اگر قصد دارید از قابلیت‌های Group Policy به‌طور کامل در شبکه سازمانی خود استفاده کرده و تنظیمات امنیتی و سیستمی را به‌صورت حرفه‌ای اعمال کنید، پیشنهاد می‌کنیم از خدمات مشاوره شبکه فالنیک بهره‌مند شوید. کارشناسان ما آماده‌اند تا با بررسی نیازهای زیرساختی شما، مناسب‌ترین راهکار را طراحی و اجرا کنند.