درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه هفتم

10 نظرات

آشنایی با گروپ پالیسی (GPO)

درود به همه دوستان خوب ITPRO

در ادامه آموزش های MCSE امروز به یکی از قدرتمندترین قابلیت های موجود در سیستم عامل های مایکروسافت یعنی Group Policy می پردازیم و با مفاهیم کلی آن و نیز برخی از تنظیمات آن آشنا خواهیم شد. در ابتدا ممکن است افرادی که از قبل با Group Policy و نحوه کارکرد آن آشنا بوده باشند، این مقاله به نظرشان ابتدایی به نظر برسد، اما بی شک درک صحیح از Group Policy قطعا تا آخر این دوره و حتی در دوره های بعد ویندوز سرور نیز به کار خواهد آمد. پس پیشنهاد می کنم همه کسانی که مشتاق به مباحث دوره آموزشی ویندوز 8 هستند آن را مطالعه فرمایند. ولی پیش از هر چیز اجازه دهید تا تاریخچه ای کوتاه از Group Policy را خدمت دوستان عرض نمایم.

Group Policy نام کنسولی در ویندوز می باشد که از ویندوز سرور 2000 به بعد بر روی تمامی سیستم عامل های مایکروسافت گنجانده شده و به واسطه آن افراد یا مدیران قادر خواهند بود تا تنظیمات ریز و درشتی را بر روی ویندوز انجام دهند، تنظیماتی که به وسیله هیچ یک از ابزارها یا برنامه های موجود شاید قابل انجام نباشد. اگرچه تا به امروز و پس از معرفی Group Policy تغییرات کمی در نسخه های آن به وجود آمده، اما به طور کلی پایه و اساس و نحوه کارکرد آن ثابت می باشد. در واقع به واسطه Group Policy ست که ادمین یا افراد قادر خواهند بود تا بر اساس سیاست ها یا صلاح دیدشان مجموعه ای از تنظیمات را بر روی کامپیوتر اعمال نمایند، که به عنوان نمونه می توان به بستن پورت های USB کامپیوتر یا مسدود کردن اجرای برنامه های خاص و یا حتی مسدود کردن یک سری سایت های خاص اینترنتی و صدها و هزاران موارد این چنینی دیگر اشاره کرد. پس افراد از طریق Group Policy یا به اختصار GP قادر خواهند بود تا یک سری تنظیمات امنیتی و کاربردی را بر روی کامپیوترشان انجام دهند. نکته ی دیگری که بایستی مد نظر داشت این است که بر روی هر کامپیوتر محدودیت 999 تنظیم وجود دارد، بدین معنا که با استفاده از GP تا 999 تنظیم مختلف و گوناگون را می توان بر روی هر کامپیوتر انجام و اعمال کرد. هم چنین لازم به ذکر است که آشنایی و شناخت تک تک این تنظیمات مبحثی ست بسیار گسترده که در حوصله و نیز مجال این مقاله نمی گنجد، ولی سعی بنده بر این خواهد بود تا شما را با برخی از مهم ترین های آن ها و نیز کلیات آشنا نمایم. اما پیش از شروع اجازه دهید تا نحوه چگونگی دسترسی به Group Policy را یاد بگیریم:

برای ورود به کنسول Group Policy، معمولا از دو طریق می توان عمل کرد:

1. با رفتن به منوی استارت و تایپ gpedit.msc و سپس زدن کلید Enter وارد کنسول می شویم

2. یا با فشردن هم زمان کلیدهای Windows+R و تایپ gpedit.msc وارد کنسول می شویم

3. یا راست کلیک بر روی نوار استارت و انتخاب گزینه Run ابتدا پنجره مربوطه را باز کرده و سپس با تایپ عبارت gpedit.msc و زدن کلید Enter وارد کنسول Group Policy بشویم

Image

پس از این که کنسول مربوطه برایمان باز شد، آن گونه که در شکل زیر نیز می توانید مشاهده کنید، خواهیم دید که دو قسمت اصلی با نام های Computer Configuration و User Configuration به همراه زیر مجوعه های آن در کنسول وجود دارند، که کاربرد هر یک از آن ها بر اساس سیاست های کلی شرکت و این که تنظیمات بر روی تنها یک کاربر خاص یا کل کامپیوتر اعمال گردد می تواند متفاوت باشد.

Image

ضمن این که بایستی این نکته را نیز مد نظر داشت که تنظیماتی که در زیر گروه Computer Configuration اعمال می شوند، بر تنظیماتی که در زیر گروه User Configuration وجود دارند اولویت و حق تقدیم خواهند داشت. بدین معنا که مثلا اگر تصویر پشت زمینه کامپیوتر را از طریق Computer Configuration به زمینه دریا تغییر دهیم و همزمان نیز تصویر پشت زمینه کامپیوتر دیگری را از طریق User Configuration به جنگل تغییر دهیم، صرف نظر از این که چند یوزر بر روی کامپیوتر وجود داشته باشد، اما پشت زمینه همه آنها به دریا تغییر خواهد کرد، چرا که اولویت همیشه با تنظیمات اعمال شده بر روی Computer Configuration خواهد بود.

حال که با برخی از مفاهیم کلی آشنا شده اید، اجازه دهید تا به بررسی قسمت های مختلف Group Policy و این که هر کدام چه کاربردی دارند بپردازیم.

همان گونه که در تصویر قبل و بالا مشاهده کردید، Group Policy دارای دو بخش اصلی با نام هایUser Configuration و Computer Configuration می باشد، که هر یک از این دو بخش نیز به نوبه خود دارای سه زیرمجموعه دیگر با نام های Software Settings، Windows Settings، و Administrative Templates می باشند، که در زیر به معرفی آن ها و این که کاربرد هر کدام چیست می پردازیم.

Software Settings

اولین قسمت از دو زیر شاخه اصلی Group Policy، مربوط به Software Settings می باشد. این قسمت و هر آن چه که در آن قرار گرفته به تنظیمات نرم افزارها و نصب آن ها بر روی کامپیوتر مرتبط می شود. یعنی به واسطه این قسمت است که افراد قادر خواهند بود تا به عنوان نمونه در یک نرم افزار تغییرات خاصی را بر اساس شرکت سازنده آن یا دیگر موارد این چنینی اعمال نمایند. اگرچه به صورت پیش فرض بر روی کامپیوترهایی که عضو شبکه دامین نیستند هیچ تنظیمی در این قسمت مشاهده نخواهد شد، اما هنگامی که کامپیوتر عضو دامین باشد تنظیمات گوناگونی مشاهده می شود. پس در نتیجه به دلیل عضو نبودن کامپیوتر قاعدتا چیزی را در این قسمت نخواهید، اما همین که کامپیوتر عضو دامین شد گزینه هایی مشاهده می گردد که در دوره های بعدی و ویندوز سرور به تشریح آن خواهیم پرداخت.

Windows Settings

این بخش مربوط به تنظیمات امنیتی ویندوز، چاپگرها، و نیز اجرای اسکریپت های خاص هنگام خاموش یا روشن شدن کامپیوتر می باشد. به عنوان نمونه از طریق گزینه های موجود در این بخش می باشد که افراد قادر خواهند بود تا اسکریپت های خاصی از قبیل VBScript, JScript, Perl, MS DOS batch files را برای اجرا شدن هنگام ورود به ویندوز و یا قبل از خاموش شدن آن اجرا کنند. مثلا ممکن است بخواهید تا اسکریپتی هنگام خاموش شدن کامپیوتر اجرا شود و با اجرای آن تمامی فایل های موجود در یک درایو یا پوشه حذف گردند، یا این که اسکریپتی بنویسیم که هنگام ورود به ویندوز برنامه یا فایل خاصی باز شود و نمونه های این چنینی دیگر. گفتنی ست که اگر چند اسکریپت را در این قسمت برای اجرا قرار دهیم، اولویت اجرای آن ها به ترتیب از اولین به آخرین خواهد بود.

از دیگر مواردی که در Windows Settings می توان داشت، اعمال سیاست های خاص امنیتی بر روی کامپیوتر می باشد. به عنوان نمونه می توان به اعمال محدودیت های خاص پسورد در ویندوز اشاره کرد، بدین صورت که مثلا ادمین کاربران را ملزم به وارد کردن پسوردهای خاصی کند، که اگر کاربری قصد تغییر رمز خود را داشته باشد، بایستی حتما طول رمزی که انتخاب می کند بین 4 تا 6 کاراکتر باشد و اگر طول آن از 4 کمتر و از 6 بیشتر بود با خطا مواجه شود. یا در یک مثال دیگر به واسطه این قسمت افراد می توانند اجرای برنامه خاصی را بر روی کامپیوتر مسدود کنند و الی آخر.

Administrative Templates

هر آن چه که در این بخش قرار دارد مربوط به تنظیمات مرتبط با کارهای مدیریتی بخش های گوناگون سیستم عامل هم چون شبکه و اینترنت (از قبیل DNS) یا سخت افزارهای کامپیوتر می باشد. به جز موارد این چنینی، تنظیماتی که در این قسمت می توان انجام داد، موارد مرتبط با شخصی سازی سیستم عامل نیز می باشد. هم به واسطه این بخش است که افراد می توانند دسکتاپ، نوار استارت، کنترل پانل و ... را شخصی سازی کنند. گفتنی ست که مواردی که در این بخش قرار دارند شامل 450 تنظیم گوناگون بر روی ویندوز می شود.

حال که با مفاهیم کلی Group Policy و نیز بخش های مختلف آن آشنا شدید، اجازه دهید تا با ذکر چند نمونه و مثال آن را بهتر نیز یاد بگیریم.

مثال:

فرض کنید به عنوان ادمین در شرکتی امنیتی کار می کنید و رییس شرکت از شما می خواهد تا ویندوزهای شرکت را طوری کانفیگ کنیم که کسی نتواند با وصل کردن حافظه های USB هم چون فلش یا هارد دیسک اکسترنال اطلاعات مهم سیستم ها را کپی و به خارج از شرکت منتقل نماید. راهکار شما چیست؟

خب، قطعا بایستی این کار به وسیله Group Policy انجام پذیرد. پس گام به گام مراحل را پیش می رویم:

1. ابتدا با تایپ gpedit.msc وارد کنسول مربوطه خواهیم شد.

2. سپس با توجه به آن چه که در بالا اشاره شد، می دانیم که کار محول شده به ما کاری ست مرتبط با کل کامپیوتر، و نه یک کاربر خاص. پس اولین قسمتی که باید به آن مراجعه کنیم، بخش Computer Configuration می باشد. در نتیجه به Computer Configuration می رویم.

3. با باز شدن Computer Configuration و نیز مشاهده زیر مجموعه های آن، که شامل سه زیر مجموعه دیگر با نام های Software Settings، Windows Settings، و Administrative Template می شود، و نیز طبق گفته های پیشین، در نتیجه می دانیم که حافظه های USB ربطی به بخش نرم افزارها (Software Settings) ندارند، پس کاری به این زیر مجموعه نخواهیم داشت.

همچنین می دانیم که حافظه های USB ربطی هم به تنظیمات شخصی ویندوز ندارند، در نتیجه زیر مجموعه Windows Settings را نیز از زیر چشم خواهیم گذراند.

پس تنها یک زیر مجموعه دیگر به نام Administrative Template برایمان باقی می ماند، و آن گونه که از معنای نام آن نیز بر می آید مربوط به الگوهای مدیریتی یا همان بخشی ست که برای ایجاد محدودیت بر روی حافظه USB بایستی به دنبال آن گشت. در نتیجه با کلیک بر روی این قسمت، آن را Expand یا اصطلاحا گزینه های موجود در این زیر شاخه ظاهر خواهند شد.

پس از باز شدن زیر مجموعه های این قسمت به گزینه های مختلفی بر می خوریم، که تک تک آن ها را برای شما تشریح خواهم کرد تا در نتیجه ببینیم فرایند ایجاد محدودیت بر روی حافظه USB بایستی در کدام یک از این زیر مجموعه ها انجام پذیرد:

Control Panel

می دانیم که کنترل پانل ربطی به حافظه جانبی نداشته و صرفا جهت شخصی سازی تنظیمات ویندوز به کار می رود، پس این قسمت را نادیده می گیریم

Network

هم چنین می دانیم که حافظه های جانبی مرتبط به تنظیمات شبکه نیز نمی باشد، پس از این قسمت نیز خواهیم گذشت

Printers

این قسمت نیز آن گونه که از نام آن پیداست مرتبط به تنظیمات چاپگرها شده و هیچ ارتباطی با حافظه های USB نخواهد داشت، پس از این قسمت نیز عبور می نماییم

Server

کاملا مشخص است که این قسمت مرتبط با سرور می باشد و در نتیجه تنظیمات حافظه USB نمی تواند در این بخش باشد. پس از این قسمت نیز خواهیم گذشت

Start Menu

قاعدتا حافظه USB هیچ ربطی به نوار استارت نداشته، پس این بخش را هم نادیده می گیریم

System

چون منطق افراد حکم خواهد کرد که حافظه USB احتمالا به بخش System که در اینجا بیشتر منظور سیستم سخت افزاری ست مرتبط می شود، پس در این قسمت ایست کرده و به بررسی زیر مجموعه های آن می پردازیم. شروع به مرور زیر مجموعه های این قسمت به صورت تک تک می کنیم تا این که چشممان به گزینه ای به نام Removable Storage Access یا همان حافظه های جانبی می خورد. بر روی آن کلیک کرده و گزینه های موجود در آن را نیز مرور می نماییم.

Image

در زیر مجموعه های این بخش چندین مورد وجود داشته، که گویا هر کدام متعلق به تنظیم خاصی از حافظه USB می باشند. قاعدتا ما بایستی به دنبال Deny یا Block که به معنای مسدودسازی می باشد و یا موارد این چنینی باشیم. یکی از این گزینه ها آن طور که از معنای ظاهری آن نیز بر میاید All Removable Storage Device: Deny نام دارد، درست همان چیزی ست که مد نظر ما بوده و به دنبال آن هستیم. پس با دابل کلیلک آن را باز می نماییم.

در صفحه ای که باز خواهد شد با انتخاب گزینه Enable تنظیم مربوطه برای ما فعال و قابل اجرا خواهد شد. یعنی پس از انتخاب Enable، افراد اگرچه قادر خواهند بود تا فلش یا هارد دیسک را به کامپیوتر وصل کنند، اما ویندوز آن ها را مسدود کرده و به کاربر نمایش نخواهد داد. (تصویر زیر)

Image

حال که تنظیم مورد نظرمان را یافته ایم و نیز Enable و فعال کرده ایم بایستی آن را اعمال نیز نماییم. بدین منظور از دستور

gpupdate

کمک خواهیم گرفت. پس با باز کردن کنسول CMD یا PowerShell و تایپ دستور

gpupdate

و زدن کلید Enter تنظیمات به صورت آنی برایمان اعمال خواهند شد. گرچه در مواقعی که به هر دلیلی تنظیمات اعمال نگردند می توان با دستور

gpupdate

فاصله اسلش force آنها را وادار به اعمال شدن نمود. ضمنا توجه داشته باشید که اگر نخواهیم از دو فرمان

gpupdate

و gpupdate

فاصله اسلش force

استفاده کنیم و عجله ای هم برای اعمال شدن فوری نداشته باشیم، ویندوز به طور خودکار پس از سپری شدن مدت زمان 90 الی 120 دقیقه آن را برایمان اعمال خواهد کرد.

Image

حال اگر هارد دیسک یا فلش جدید را به کامپیوتر وصل کنیم خواهیم دید که هیچ اتفاقی نیفتاده و فلش شناخته نمی شود تا بتوان از آن استفاده کرد.

نکته:

در مواقع بسیار استثنایی و نادر که هیچ کدام از دو فرمان بالا منجر به اعمال تغییرات نگردد، می توان با ریستارت کردن کامپیوتر از اعمال آن ها به طور قطع و یقین اطمینان حاصل کرد.

تمرین:

با توجه به آموزش بالا و در نظر گرفتن همه نکات، از طریق Group Policy دسترسی به درایو CD یا DVD تان را محدود و مسدود نمایید، طوری که افراد به هیچ وجه به CD یا DVD کامپپیوتر دسترسی نداشته باشند.

فرای آن چه گفته شد، اگر در یافتن تنظیمی خاص مشکل داشته و یا قادر به پیدا کردن آن نیستید، می توانید با زدن کلیدهای Ctrl+F و با انتخاب گزینه Find تنظیم مورد نظر را بیابید و یا نیز با جستجو در سایت های اینترنتی تنظیمات مورد نظرتان را پیدا کنید، مثلا در گوگل سرچ کنید prevent time changing via group policy که به معنای جلوگیری از تغییر دادن ساعت/زمان کامپیوتر به واسطه Group Policy می باشد. در زیر نیز به وبسایتی که می توانید از طریق آن راهنمای تغییرات کامپیوتر با استفاده از Group Policy را بیابید اشاره شده است:

راهنمای تغییرات کامپیوتر با استفاده از Group Policy

حال که با کلیات کار کردن با Group Policy آشنا شده اید، بهتر است تا چند تنظیم دلخواه خودتان را نیز به واسطه آن انجام دهید و نتیجه آن را ببینید. می توانید بدین منظور از لینک بالا نیز کمک بگیرید.

شاد و پرنشاط باشید

آیا این مطلب را پسندیدید؟
ردیف عنوان قیمت
1 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : مقدمه رایگان
2 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه اول رایگان
3 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه دوم رایگان
4 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه سوم رایگان
5 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه چهارم رایگان
6 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه پنجم رایگان
7 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه ششم رایگان
8 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه هفتم رایگان
9 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه هشتم رایگان
10 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه نهم رایگان
11 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه دهم رایگان
12 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه یازدهم رایگان
13 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه دوازدهم رایگان
14 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه سیزدهم رایگان
15 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه چهاردهم رایگان
16 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه پانزدهم رایگان
17 دوره آموزشی مدارک بین المللی MCSA مایکروسافت، کد 687-70 : جلسه شانزدهم رایگان
  • عالی ، مشتاقانه منتظر فصل های بعدی مقاله هستیم مهندس.

  • مهندس ممنون از زحماتتون

    واقعا مطالب در عین سادگی پرمحتوا و خلاصه هستند برای کسی که بخواد سریع و درست یاد بگیره روش تدریس خیلی مناسبی هستش. کاش یه چند تا مثال دیگه هم می ذاشتین

  • جناب جواهری، لینکی که با مضمون راهنمای تغییرات کامپیوتر با استفاده از Group Policy گذاشتم خودش یه عالمه مثال گذاشته. گرچه همین طور هم که گفتم خیلی راحت می تونید کاری رو که مد نظرتون هست با یه سرچ کوچیک توی گوگل پیدا کنید. مثلا همین الان سرچ کنید "پنهان کردن درایوها با گروپ پالیسی". می بینید که به سرعت سایت های زیادی مسیر آن را در Group Policy به شما خواهند داد. حتی اگر گاها تنظیمی را فارسی پیدا نکردید می توانید آن را به انگلیسی سرچ کنید. مثلا تایپ کنید Hide Computer Drives Using Group Policy

    ضمن این که اصلا نگران نباشید، کار ما تازه با گروپ پالیسی شروع شده، در جلسات بعد و دوره ویندوز سرور اینقدر با گروپ پالیسی های مختلف سر و کار داریم که دیگه کامل ملکه ذهنتون خواهد شد. پس از این بابت اصلا جای نگرانی نیست. این مطلب رو فقط جهت آشنایی کلی گذاشتم

  • سلام

    ممنون بابت آموزشهای عالیتون

    میخواستم بدونم که دوره آموزشی ویندوز 8 چند قسمت خواهد بود ؟

    و همچنین ویندوز سرور چند قسمت خواهد بود.

    باتشکر

  • جناب فراهانی هنوز دقیق حساب نکردم، حدس من اینه که بین 20-30 جلسه فقط این دوره بشه. این دوره فقط مباحث کلی ویندوز 8 و آشنایی هست. بعد از این دوره یه دوره ویندوز 8 دیگه با کد استاندارد 70-688 هست که مختص عیب یابی و رفع خطاهای ویندوز 8 هست، و پس از اتمام این دو دوره که احتمالا تا پایان تابستون به طول بیانجامه سه تا دوره ویندوز سرور 2012 داریم که احتمالا اونا هم تا اواخر اسفند امسال بشه. بعدشم اگر دوستان مایل بودن توی سال 96 دوره های سیسکو و میکروتیک رو ادامه میدم، و سال 97 ممکنه دوره و ویندوز سرور 2016 که به زودی وارد بازار میشه، و بعدشم دوره های VOIP و ....

    ممکنه اگر دستیار یا دوستی پیدا کنم دوره های بعدی رو حتی با ویدئو بذارم رو سایت.

    خلاصه تا هرچی که تکنولوژی جدید بیاد اگر حوصلشو داشته باشم مطلب آماده می کنم میذارم. مهم حوصله ست. این دوره ویندوز 8 رو چند سال پیش میخاسم بذارم، اما گفتم شاید استقبال نشه، ولی الان می بینم استقبال خوب بوده، اگر به همین منوال پیش بره تا هرچی که تکنولوژی جدید بیاد وارد دنیای کامپیوتر بشه من در خدمتم

  • سلام آقای مهندس، خیلی خیلی ممنونم ازتون. دست گلتون درد نکنه.

    فقط امیدوارم و خداکنه همه دوره هایی رو که گفتین ادامه دار باشه!! انشاالله استقبال دوستان هم خوب باشه.

    اگه کمکی از دستمون بر میاد در خدمتیم.بازم خداخیرتون بده و خدا قوت. در پناه حق.

  • سلام استاد گرامی

    یه سوال که واسه ی من پیش اومد این بود که اگر ما ادمین یه شبکه باشیم و یکسری group policy روی سیستم ها اعمال کنیم و در اختیار یوزر ها قرار دهیم بعد خود کارمندها اگه این تنظیمات رو بلد باشن به راحتی دسترسی به usb ر ا فعال کرده و استفاده یا سواستفاده میکنند...

    ایا راهی وجود دارد که دسترسی به این تنظیمات را فیلتر کنیم؟؟؟

  • جناب مظاهری:

    وقتی شبکه به صورت دامین باشه تنها ادمین هست که به گروپ پالیسی ها دسترسی داره و نه کاربران عادی. در نتیجه توی شبکه های تحت دومین یوزر معمولی همچین دسترسی نخواهد داشت که تنظیماتی از قبیل GPOها رو دستکاری کنه. مگر این که به کلاینت دسترسی ادمین بدیم که یه ادمین عاقل هیچ وقت این کار رو نمیکنه

  • دوست عزیز با تشکر از مطالب مفیدتون می‌خواستم بگم من نفهمیدم چطوری پالیسی‌های مختلف رو بر روی یک یوزر اعمال می کنیم. در ادامه مطالب به این قضیه اشاره کرده‌اید؟

  • فک نمیکنم مطلب اینقدر ناواضح بوده باشه ها، یه بار دیگه بخونین متوجه میشین، اما اگرم باز مطلب رو درک نکردین لطفا دقیق بگین چکار میخاین بکنین با پالیسی ها، تا راهنماییتون کنم

برای ارسال نظر ابتدا به سایت وارد شوید

arrow