بحث هذه المدونة الإلكترونية

السبت، 26 مارس 2011

فهم نُهُجْ الأمان Security Policy وأدوات الإدارة :

التدابير والإعدادات الأمنية الحكيمة أساسية للحصول على إدارة ناجحة للأنظمة , إحدى الطرق لضبط نهج الأمان هي باستعمال قوالب الأمان .

تزوّد قوالب الأمان Security Policy طريقة مركزية لإدارة الإعدادات المتعلقة بأمان لمحطات العمل و السيرفرات , استعمل قوالب الأمان لتطبيق مجموعات مخصصة من تعريفات Group Policy المتعلقة بالأمان , تعريفات النُهُجْ تلك تؤثر على :
  • نهج الحسابات : إعدادات تتحكم بأمان كلمات المرور , قفل الحسابات , و Kerberos .
  • النهج المحلية : إعدادات تتحكم بالأمان الدقيق , تعيين حقوق المستخدم , وخيارات الأمان الأخرى.
  • نهج سجل الأحداث : إعدادات تتحكم بالأمان لتسجيل الأحداث.
  • نهج المجموعات المحظورة : إعدادات تتحكم لإدارة عضوية المجموعة المحلية.
  • نهج خدمات النظام : إعدادات تتحكم بالأمان وصيغة بدء التشغيل للخدمات المحلية.
  • نهج نظام الملفات : إعدادات تتحكم بالأمان لنظام الملفات المحلي.
  • نهج السجل : إعدادات تتحكم بقيم مفاتيح السجل المتعلقة بالأمان.
تتوفر قوالب الأمان في كل عمليات تثبيت Windows Server 2003 ويمكن استيرادها إلى أي نهج مجموعة GP , يتم تخزين هذه القوالب في المجلد
SystemRoot%\Security\Templates% ويمكنك الوصول إليها باستعمال الأداة الإضافية Security Templates لاحظ الشكل رقم 15 , يمكنك أيضاً استعمال الأداة Security Templates لإنشاء قوالب جديدة للأمان , القوالب القياسية الموزعة مع Windows Server 2003 تتضمن :
  • DC security.inf : يحتوي على إعدادات الأمان الافتراضية لمتحكمات الميدان Domain Controller
  • Setup security.inf : يحتوي على إعدادات الأمان الافتراضية للسيرفرات الأعضاء Member Server
  • Securedc.inf : يحتوي على إعدادات الأمان المعتدلة لمتحكمات الميدان Domain Controller
  • Securews.inf : يحتوي على إعدادات الأمان المعتدلة لمحطات العمل
  • Hisecdc.inf : يحتوي على إعدادات الأمان الصارمة جداً لمتحكمات الميدان Domain Controller
  • Hisecws.inf : يحتوي على إعدادات الأمان الصارمة جداً لمحطات العمل

الشكل رقم 15

تنبيه :
بعدما تنتقي القالب الذي تريد تطبيقه , يجب أن تفحص كل إعداد سيطبقه القالب في بيئة اختبار أولاً وتقيّم كيف سيؤثر على إعداد بيئتك , تطبيق القالب بشكل خطأ سيؤثر على بيئتك بشكل قوي جداً.
مرسلة بواسطة في ليست هناك تعليقات:

تعيين نصوص برمجية لبدء وإيقاف تشغيل الكمبيوتر:

النصوص البرمجية لبدء وإيقاف تشغيل الكمبيوتر يتم تعيينها كجزء من نهج المجموعة GP , بهذه الطريقة كل الكمبيوترات الأعضاء في الموقع أو الميدان أو الوحدة التنظيمية أو بها كلها ستنفذ النصوص البرمجية تلقائياً عندما يتم استنهاضها أو إيقاف تشغيلها.

لتعيين نص برمجي لبدء أو إيقاف تشغيل الكمبيوتر نفذ الخطوات التالية :
  1. لتسهيل الإدارة , انسخ النصوص البرمجية Scripts التي تريد استعمالها إلى المجلد Machine\Scripts\Startup أو Machine\Scripts\Shutdown للنهج المرتبط والذي تعلمت كيف تجده في هذا الشرح , راجع (إدارة نُهُجْ الموقع والميدان والوحدة التنظيمية Site , Domain, OU) , يمكنك أيضاً نسخه إلى مكانه الصحيح باختيار الزر Show Files كما سيأتي في الشرح التالي , ثم بعد فتح المجلد يمكنك نسخ الـ Script إليه مباشرةً .
  2. افتح وحدة التحكم Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه كما هو مشروح مسبقاً.
  3. في العقدة Computer Configuration وسّع المجلد Windows Settings ثم اختر Scripts كما هو في الشكل رقم 12 .
  4. للعمل مع النصوص البرمجية لبدء التشغيل انقر باليمين للماوس على Startup ثم انتق Properties , أو اختر Shutdown ثم انتق Properties كما تراه ملائماً لاحتياجك , هذا سيفتح مربع الحوار الذي تراه في الشكل رقم 13 .
  5. انقر Show Files , إذا كنت قد نسخت الملف الــ Script إلى المكان الصحيح في مجلد النهج يجب أن ترى الملف.
  6. انقر Add لتعيين ملف Script , هذا سيفتح مربع الحوار Add a Script , في الحقل Script Name اضغط على Browse واختر الملف الذي نسخته مسبقاً , إذا كنت لم تنسخ الملف إلى مجلده الصحيح و وضعته في مكان مخصص يمكنك اختيار ذلك المكان وانتقاء الملف , ولكن يجب أن يكون ذلك المكان كمجلد مشترك على الشبكة ليراه الجميع ويستطيعوا تنفيذ الــ Script .
  7. في الحقل Script Parameters اكتب أي وسيطات أو بدّالات لتمريرها إلى الـ Script , بعض السكريبتات يتطلب بارامترات خاصة وهذا يعتمد على اختيارك للسكريبت ومدى معرفتك به.
  8. خلال بدء أو إيقاف التشغيل يتم تنفيذ الــ Scripts بالترتيب المذكور في مربع حوار الخصائص , يمكنك تغيير ترتيب الأولوية بالضغط على الزر Up أو Down كما تراه ضرورياً .
  9. إذا كنت تريد تحرير بارامتر لــ Script موجود مسبقاً , انتق الــ Script في اللائحة ثم اختر Edit , كما يمكنك أيضاً تغيير مساره من جديد , لاحظ الشكل رقم 14 .
  10. لحذف Script موجود مسبقاً , اختاره من اللائحة ثم اضغط Remove .


الشكل رقم 12


الشكل رقم 13


الشكل رقم 14
مرسلة بواسطة في ليست هناك تعليقات:

إضافة أو إزالة القوالب :

يمكنك إضافة أو إزالة قوالب في وحدة التحكم Group Policy , لتحقيق هذا نفذ الخطوات التالية :
  1. افتح وحدة التحكم Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه كما هو مشروح مسبقاً.
  2. اذهب إلى العقدة Administrative Templates في العقدة Computer Configuration أو User Configuration حسب أيهما تريد ضبطه .
  3. انقر بالزر اليمين للماوس على العقدة Administrative Templates ثم اختار Add/Remove Templates .
  4. سيظهر لك المربع كما في (الشكل رقم 11 ) , لاحظ أنه سيظهر حجم الملف وآخر تاريخ تعديل عليه.
  5. لإضافة قوالب جديدة انقر على Add ثم اختر القالب الذي تريد إضافته , يجب أن يكون بالملحق .adm
  6. لإزالة قالب موجود اضغط على Remove .
  7. بعد أن تنتهي اضغط على Close .


الشكل رقم 11


مرسلة بواسطة في ليست هناك تعليقات:

تحديث نهج المجموعة Group Policy :

عندما ُتجري تغييرات على Group Policy ستكون تلك التغييرات فورية ولكنها لن تنتشر تلقائياً , الكمبيوترات العميلة تطلب النهج عندما :
  • يشتغل الكمبيوتر .
  • يسجل مستخدم دخوله إلى ويندوز.
  • يطلب برنامج أو مستخدم التحديث يدوياً
  • هناك فاصل زمني للتحديث مضبوط لــ Group Policy وقد انقضى ذلك الفاصل الزمني.

يمكنك أن تطلب تحديثات Group Policy باستعمال سطر الأوامر CMD بتنفيذ الخطوات التالية:
  1. اذهب إلى القائمة Start ثم إلى Run واكتب الأمر التالي : gpupdate أو يمكنك تشغيل cmd ثم بعدها اكتب الأمر gpupdate لكي ترى الخرج الناتج عنه.
  2. الأمر gpupdate له بارامترات عديدة , يمكنك طلب الأمر بهذا الشكل ?/ gpupdate وبالتالي سيظهر لك وصف لكل بارامتر , عملياً كل بارامتر يصف نفسه ولست بحاجة للخوض في شرحه لذلك لو كنت تحتاج لمعلومات أكثر عن هذا الأمر راجع تعليمات ويندوز.
يمكنك نشر تحديثات النهج أيضاً بضبط فاصل زمني للتحديث , وهذا بالتالي يجبر الكمبيوترات العميلة على إجراء تحديث دوري , لكن في كلا الحالتين سيكون التحديث مجرد تحديث خلفي وقد لايتم تحديث بعض النُهُجْ التي تتطلب إعادة تشغيل الكمبيوتر , الطريقة الوحيدة لضمان التحديث لكل نهج الكمبيوتر هو إعادة تشغيل الكمبيوتر.


لضبط الفاصل الزمني للتحديث في Group Policy ستستعمل Group Policy نفسها لهذا الغرض , لضبط زمن التحديث لإعدادات الكمبيوتر نفذ الخطوات التالية :
  1. افتح علامة التبويب Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه.
  2. اذهب إلى العقدة Group Policy بتوسيع Computer Configuration \ Administrative Templates \ System \ Group Policy .
  3. في لوح التفاصيل انقر نقراً مزدوجا بالماوس على Group Policy refresh interval for computers وحدد زمن , يتحكم هذا النهج بسرعة التحديث الخلفي لنهج الكمبيوتر.
  4. الآن في التبويب Settingانتق Enable , يمكنك الآن ضبط الفاصل الزمني للتحديث , بواسطة الإعدادات الافتراضية يتم التحديث كل 90 دقيقة مع إزاحة عشوائية في الوقت تبدأ من 0 إلى 30 دقيقة , تذكر أن الإزاحة ستقلل كثيراً من احتمال أن يطلب عدة كمبيوترات التحديث في نفس الوقت , بعد أن تنتهي اضغط OK.

لضبط زمن التحديث لإعدادات المستخدم نفذ الخطوات التالية :
  1. افتح علامة التبويب Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه , كما هو مشروح مسبقاً .
  2. اذهب إلى العقدة Group Policy بتوسيع User Configuration \ Administrative Templates \ System \ Group Policy .
  3. في لوح التفاصيل انقر نقراً مزدوجا بالماوس على Group Policy refresh interval for Users وحدد زمن , يتحكم هذا النهج بسرعة التحديث الخلفي لنهج الكمبيوتر.
  4. الآن في التبويب Settingانتق Enable , يمكنك الآن ضبط الفاصل الزمني للتحديث , بواسطة الإعدادات الافتراضية يتم التحديث كل 90 دقيقة مع إزاحة عشوائية في الوقت تبدأ من 0 إلى 30 دقيقة , تذكر أن الإزاحة ستقلل كثيراً من احتمال أن يطلب عدة كمبيوترات التحديث في نفس الوقت , بعد أن تنتهي اضغط OK.

العالم الحقيقي :
عند تطبيق تحديث يتم توليد حركة مرور في الشبكة, خلال هذا التحديث قد يصبح الكمبيوتر المحلي أقل استجابة من أي وقت وهذا قد يؤثر على عمل المستخدم , لذلك تريد أن تضمن أن التحديثات لا تجري بتواتر سريع ولكنها متكررة بما يكفي التوقعات أو المتطلبات .

تذكر أنه كلما ازداد تواتر تحديث نهج ما كلما تم توليد حركة مرور أكبر في الشبكة , في بيئة شبكة كبيرة سترغب عادةً بضبط سرعة تحديث أطول كي لا تؤثر على عمل المستخدمين , تذكر أن تحديثاً كل يوم أو قد يكون كل أسبوع قد يكون كل مايلزم لإبقاء النهج محدثة بما يكفي .
مرسلة بواسطة في ليست هناك تعليقات:

حذف نهج المجموعة Group Policy :

يمكنك حذف نهج المجموعة بتنفيذ الخطوات التالية:
  1. افتح علامة التبويب Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه .
  2. انتق النهج الذي تريد حذفه ثم انقر Delete.
  3. إذا كان النهج مربوطاً سيكون لديك خيار حذف الارتباط من دون التأثير على الحاويات الأخرى التي تستعمل النهج , لتحقيق هذا انتق Remove The Link From The List والموجود في مربع الحوار Delete.
  4. إذا كان النهج مربوطاً يمكنك أيضاً حذف الارتباط وكائن النهج المرتبط به , طبعاً هذا سيحذف النهج بشكل دائم , لتحقيق هذا انتق Remove The Link and Delete The Group Policy Object Permanently .


الشكل رقم 10

تحذير :
يمكنك حذف نهج المجموعة سواءً المستعمل أو غير المستعمل , بمعنى أنه لو كنت تستعمل نهج مجموعة مرتبط به أكثر من كائن , فسيمكنك حذفه وستضيع ارتباطاته وإعداداته ولن تعود مطبقة , لذلك كن حذراً عند حذفك لأي نهج .
مرسلة بواسطة في ليست هناك تعليقات:

ُنهُجْ المجموعات Group Policy - المفاهيم - التطبيقات

فهم نُهُجْ المجموعات (Group Policy):

يمكنك تخيّل نُهُجْ المجموعات (Group Policy) كــ عدد من القواعد التي تساعدك على إدارة المستخدمين والكمبيوترات , يمكنك تطبيق Group Policy على عدة ميادين (Domains) , أو على ميادين منفردة , أو على مجموعات فردية ضمن الــ Domain أو حتى على أنظمة فردية ليست منضمّة إلى أي Domain وتعمل كــ Workgroup.

النُهُجْ التي تطبق على أنظمة فردية تسمى نُهُجْ مجموعات محلية (Local Group Policy) وهي مخزنة في النظام المحلي لنفس الكمبيوتر , أما نُهُجْ المجموعات الأخرى فتكون مرتبطة كـ كائنات (Objects) في خدمة الدليل Active Directory .

لفهم نُهُجْ المجموعات (Group Policy) يجب أن تعرف القليل عن بنية Active Directory (AD) , في AD التجمعّات المنطقية للـ Domains تسمى (Sites) والمجموعات الفردية ضمن الـ Domain تسمى وحدات تنظيمية Organization Units (OU) , لذا يمكن أن تتضمن شبكتك مواقع تدعى Damascus و Aleppo و Homs , ضمن الموقع Damascus يمكنك امتلاك Domains تدعى SYRDAM01 و SYRDAM02 و SYRDAM03 ضمن الــ Domain SYRDAM01 يمكنك امتلاك وحدات تنظيمية OU تدعى Sales و Engineering و غيرها ..

تطبّق Group Policy فقط على الأنظمة Windows 2000, XP, Server 2003 , يمكنك ضبط Group Policy لأنظمة Windows NT 4.0 بواسطة System Policy Editor أو البرنامج (Poledit.exe) لــ Windows 95, 98 , تحتاج إلى استعمال System Policy Editor المزوّد مع نظام Windows 95, 98 على التوالي , ثم نسخ ملف Group Policy إلى مكانه المخصص في المجلد المشترك Sysvol في الــ Domain Controller (DC) .

يتم تخزين إعدادات Group Policy في كائن نهج المجموعة (Group Policy Objects) والذي يختصر بــ GPOs , يمكنك تطبيق عدة GPO على Site أو Domain أو OU .

يتم تطبيق الــ Group Policy ضمن مفاهيم الوراثة , إذا كنت تتوقع أن مفاهيم العلاقات هي الجد ثم الأب ثم الإبن فأنت على حق وهي كذلك تماماً.

من خلال الوراثة النهج المطبّق على حاوية الأب سترثه حاوية الإبن , في الأساس هذا يعني أن إعداد نهج مطبّق على كائن أب سينتقل إلى كائن إبن , مثلاً إذا طبقت إعداد GPO في Domain فإن الوحدات التنظيمية OU ضمن الــ Domain سترث ذلك الإعداد , في هذه الحالة الكائن GPO للــ Domain هو الكائن الأب , والكائنات GPO للوحدات التنظيمية OU هي الكائنات الأبناء.

ترتيب الوراثة دائماً هو كالتالي :

Organization Units << Domain << Site

هذا يعني أن إعدادات Group Policy لأحد المواقع Site ستنتقل إلى الــ Domains الموجودة ضمن ذلك الموقع , وإعدادات كل Domain ستنتقل إلى الوحدات التنظيمية OU الموجودة ضمن ذلك الــ Domain .


------------------------------------------------------------------------------------------------------------------------
في أي ترتيب يتم تطبيق عدة نُهُجْ Group Policies ؟؟

عندما تكون هناك عدة نهج سيتم تطبيقها بالترتيب التالي:
  1. Group Policy Windows NT 4.0 (الملف Ntconfig.pol)
  2. نهج المجموعات المحلية Local Group Policy
  3. نهج مجموعات الموقع Site Group Policy
  4. نهج مجموعات الميدان Domain Group Policy
  5. نهج مجموعات الوحدة التنظيمية OU Group Policy
  6. نهج مجموعات الوحدة التنظيمية الإبن لو تم إنشاؤها.
------------------------------------------------------------------------------------------------------------------------------

متى يتم تطبيق نُهُجْ المجموعات Group Policy ؟?

الــ Group Policy تنطبق إلى فئتان عريضتان :
  1. تلك التي تنطبق على الكمبيوترات
  2. تلك التي تنطبق على المستخدمين
رغم أن نُهُجْ الكمبيوترات يتم تطبيقها خلال بدء تشغيل النظام إلا أن نهج المستخدم يتم تطبيقها خلال تسجيل الدخول , غالباً ما يكون التسلسل الدقيق للأحداث مهماً في اصطياد المشاكل , الأحداث التي تجري خلال بدء التشغيل وتسجيل الدخول هي كالتالي :
  1. يبدأ تشغيل الكمبيوتر وبعد تشغيل الاتصال الشبكي يبدأ تطبيق نهج الكمبيوتر الواحد تلو الآخر في الترتيب المحدد سابقاً , لا تظهر أية واجهة بينما تتم معالجة نهج الكمبيوتر
  2. يشغل ويندوز النصوص البرمجية Scripts لبدء التشغيل , بشكل افتراضي يتم تنفيذ هذه النصوص الواحد تلو الآخر في الترتيب , هذا مناقش لاحقاً في هذا الشرح
  3. يصل المستخدم إلى واجهة الدخول ويضغط Ctrl + Alt + Del ليسجل دخوله , بعد التحقق من صحة المستخدم يحمّل ويندوز الــ Profile الخاص بالمستخدم مع إعدادات GP
  4. يطبّق ويندوز نُهُجْ المستخدم , بشكل افتراضي يتم تطبيق نهج المستخدم الواحد تلو الآخر في الترتيب المحدد سابقاً
  5. يشغل ويندوز النصوص البرمجية Scripts لتسجيل الدخول , بشكل افتراضي يتم تنفيذ هذه النصوص الواحد تلو الآخر في الترتيب
بشكل افتراضي , يتم تحديث Group Policy فقط عندما يسجل المستخدم خروجه ثم دخوله إلى ويندوز , أو بعدما يعاد تشغيل الكمبيوتر 

------------------------------------------------------------------------------------------------------------------------------

متطلبات Group Policy وتوافقية الإصدار :
كما تعلمون بأنه قد تم تقديم نُهُج المجموعات (Group Policy) مع ويندوز 2000 , وهي تنطبق فقط على أنظمة ويندوز 2000 وما بعدها , وكما قد تتوقع كل إصدار جديد لأنظمة ويندوز يتم فيه تطوير (Group Policy) ويطرأ عليه تغييرات , أحياناً تلك التغييرات التي تطرأ على هذه النهج تجعل من النهج الأقدم منها بائدة , وفي هذه الحالة يعمل النهج فقط على إصدار معين لنظام تشغيل ويندوز ( لاحظ الشكل التالي )



الشكل رقم 1


لكن عادةً معظم النهج متوافقة للأمام , بمعنى أن هذه النُهُج المقدمة في ويندوز 2000 يمكن استعمالها في معظم الحالات مع ويندوز 2000 و XP و ويندوز سيرفر 2003 , ولكن ليس بالضرورة أن تكون جميعها متوافقة مع الأنظمة الأحدث , لذلك قد لا يتم تطبيقها وقد لا تكون جميعها مدعومة من الإصدارات الأحدث لويندوز ( لاحظ الشكل رقم 2 )



الشكل رقم 2

كما يعني أيضاً بأن نُهُج ويندوز XP غير قابلة للتطبيق في معظم الحالات على ويندوز 2000 , وأن أيضاً النهج المقدمة مع ويندوز سيرفر 2003 غير قابلة جميعها للتطبيق على أنظمة ويندوز 2000 و ويندوز XP .



الشكل رقم 3


ملاحظة هامة جداً :
يجب أن تعلم جيداً أنه إذا كان النهج (Group Policy) غير قابل للتطبيق على إصدار معين لنظام تشغيل ويندوز , فلا يمكنك فرضه أبداً على تلك الأنظمة .

كيف ستعرف أن هذا النهج (Group Policy) مدعوماً من قبل إصدار معين لويندوز أم لا ؟؟

سهل جداً , اذهب إلى مربع حوار خصائص ذلك النهج , وعند التبويب Setting بجانب الحقل Supported On ستجد حقل نصي يسرد لك توافقية هذا النهج مع الأنظمة الأخرى .



الشكل رقم 4

أيضاً يمكنك رؤية تفاصيل أكثر عن توافقية الأنظمة في اللوح Extended والمحاط بدائرة حمراء كما في كل صورة في هذا الشرح , طبعاً أغلب النهج الموجودة في الأنظمة الحديثة مدعومة ويتم تطبيقها على جميع الأنظمة ( لاحظ الشكل رقم 5 )



الشكل رقم 5

لذلك عندما تقوم بتطبيق نهج معين تأكد من توافقيته مع الأنظمة الأخرى قبل أن تقوم بضبطه وتكوينه , ولا تنسى أبداً أنك كلما ضبطت نُهُج كلما ازداد البطء في عملية تحميل نظام التشغيل وتسجيل الدخول .

وهنا مثال عن نهج لايمكن تطبيقه إلا على نظامين فقط ( لاحظ الشكل رقم 6 )




إدارة النُهُجْ المحلية Local Group Policy :

ستدير النهج المحلية بتنفيذ الخطوات التالية :

اذهب إلى القائمة Start ثم Run ثم اكتب gpedit.msc ثم انقر OK , هذا سيفتح الأداة Group Policy Object Editor التي يمكنك من خلالها بإدارة النهج وضبط إعداداتها.

يتم تخزين نهج المجموعات المحلية في المجلد (SystemRoot%\System32\GroupPolicy%) في كل كمبيوتر يشغل ويندوز 2000 وXP و Server 2003 , في هذا المجلد ستجد المجلدات الفرعية التالية التي ستتعرف عليها :
  • ADM يخزن ملفات القالب الإداري الجاري استخدامه حالياً , تنتهي تلك الملفات بالملحق .adm .
  • Machine يخزن نصوص الكمبيوتر البرمجية في المجلد Script ومعلومات GP المرتكزة على السجل لــ HKEY_LOCAL_MACHINE في الملف Registry.pol
  • User يخزن نصوص المستخدم البرمجية في المجلد Script ومعلومات GP المرتكزة على السجل لــ HKEY_LOCAL_MACHINE في الملف Registry.pol .

تحذير :
لا يجب أن تحرر هذه المجلدات أو الملفات مباشرةً , يجب أن يكون لديك فهم متين حول تعديلها , إن أي تغيير فيها عن عدم دراية سيقودك إلى مشاكل , بشكل افتراضي هذه المجلدات مخفية ويمكنك إظهارها من Windows Explorer 


إدارة نُهُجْ الموقع والميدان والوحدة التنظيمية Site , Domain, OU

كل Site أو Domain أو OU يمكن أن يملك GP واحدة أو أكثر , و كما قلنا سابقاً فإن الــ GP المضبوطة عند هذا المستوى مقترنة بــ Active Directory , هذا يضمن أنه سيتم تطبيق GP بشكل ملائم في كل أرجاء الــ Domain والوحدات التنظيمية المرتبطة .

تذكر دائماً أن نُهُجْ المجموعات المذكورة في لائحة Group Policy لها الأولوية على النُهُج المذكورة في أدنى اللائحة , لاحظ الشكل التالي :



الشكل رقم 7


ستنشئ وتحرر نُهُج الموقع والميدان والوحدة التنظيمية بتنفيذ الخطوات التالية :
  1. للمواقع (Sites) , ستشغل الأداة الإضافية لــ Group Policy من وحدة التحكم Active Director Sites and Services وتجدها في قائمة Start < Administrative Tools.
  2. للميادين والوحدات التنظيمية (Domains & OUs) , ستشغل الأداة الإضافية لــ Group Policy من وحدة التحكم Active Directory Users & Computers.
  3. في جذر وحدة التحكم , انقر بيمين الماوس على الموقع أو الميدان أو الوحدة التنظيمية الذي تريد إنشاء إدارة نهج مجموعة فيه , ثم انتق Properties من القائمة المختصرة , هذا سيفتح مربع حوار الخصائص التي من خلالها ستقود بضبط الإعدادات.
  4. في مربع حوار الخصائص انتق علامة التبويب Group Policy وسيظهر لك مربع الحوار كما في الشكل السابق (النُهُجْ الموجودة مذكورة في اللائحة Group Policy Object Links).
  5. لإنشاء GP جديدة انقر الزر New , يمكنك الآن ضبط تكوين هذا النهج .
  6. لتحرير نهج موجود مسبقاً , انتق النهج ثم انقر الزر Edit , يمكنك الآن تحرير النهج .
  7. لتغيير أولوية النهج , انتق النهج الذي تريد ثم استعمل الأزرار Up أو Down لتغيير مكانه في اللائحة Group Policy Object Links.

يتم تخزين نهج مجموعات الموقع والميدان والوحدة التنظيمية في المجلد (SystemRoot%\Sysvol\Domain\Policies%) في الــ Domain Controller , ستجد في هذا المجلد مجلداً فرعياً واحداً لكل نهج عرّفته في متحكم الميدان (DC) , أسماء مجلدات النهج هي المعرف الفريد العمومي (Guid) لكل نهج , يمكن إيجاد الهويات Guid في صفحة خصائص النهج في علامة التبويب General , ضمن المجلدات الفرعية تلك ستجد المجلدات الفرعية التالية :
  • ADM يخزن ملفات القالب الإداري الجاري استخدامه حالياً , تنتهي تلك الملفات بالملحق .adm .
  • Machine يخزن نصوص الكمبيوتر البرمجية في المجلد Script ومعلومات GP المرتكزة على السجل لــ HKEY_LOCAL_MACHINE في الملف Registry.pol
  • User يخزن نصوص المستخدم البرمجية في المجلد Script ومعلومات GP المرتكزة على السجل لــ HKEY_LOCAL_MACHINE في الملف Registry.pol .


منع الوراثة وتخطي وتعطيل النُهُجْ :

كما قد تتوقع , يمكنك منع وراثة النهج عند مستوى الموقع والميدان والوحدة التنظيمية , هذا يعني أنه يمكنك منع النهج التي كان سيتم تطبيقها , يمكنك أيضاًُ فرض نُهُجْ كان سيتم منعها أو مناقضتها , هذا سيعطي المسؤولين ذوي المستوى الأعلى القدرة على فرض نُهُجْ ومنع حظرها , هناك خيار آخر هو تعطيل النهج (Disable GP) , يمكنك تعطيل النهج جزئياً أو كلياً من دون حذفه , لاحظ الشكل رقم 7 .

ستضبط تلك الخيارات بتنفيذ الخطوات التالية :
  1. افتح علامة التبويب Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه , كما هو محدد في الخطوات 1-4 مسبقاً في إدارة نُهُجْ الموقع والميدان والوحدة التنظيمية .
  2. انتقٍ Block Policy Inheritance لمنع وراثة النهج التي لها مستوى أعلى (إلا إذا كان الخيار No Override لتلك النُهُجْ مُنتقى) لاحظ الشكل رقم 7 .
  3. استعمل الخيار No Override لمنع النهج التي لها مستوى أدنى من منع إعدادات هذا النهج , انتقٍ أو الغٍ الانتقاء بالوقوف على النهج ثم بالزر اليمين للماوس ثم اختر الخيار المناسب.
  4. استعمل الخيار Disable لتعطيل استخدام نهج , انتقٍ أو الغٍ الانتقاء بالوقوف على النهج ثم بالزر اليمين للماوس ثم اختر الخيار المناسب.

تعطيل جزء غير مستعمل من Group Policy :

هناك طريقة أخرى لتعطيل نهج وهي تعطيل جزء غير مستعمل من الكائن GPO , عندما تفعل هذا ستمنع الإعدادات Computer Configuration أو User Configuration أو كلاهما , ولن تسمح بأن يتم تطبيقها , تذكر أنه بتعطيل جزء من نهج غير مستعمل سيصبح تطبيق الكائنات GPO والأمان أسرع .

يمكنك تمكين أو تعطيل إعدادات التكوين في Group Policy بتنفيذ الخطوات التالية :
  1. افتح علامة التبويب Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه , كما هو محدد في الخطوات 1-4 مسبقاً في إدارة نُهُجْ الموقع والميدان والوحدة التنظيمية .
  2. اختر Properties في علامة التبويب Global Policy ثم انتق أو الغ انتقاء Disable Computer Config….. أو Disable User Config …. كما في الشكل رقم 8 :


الشكل رقم 8

تحذير :
أية إعدادات للعقدة المحظورة لن يتم تطبيقها وستضيع مبدئياً , لإعادة الحصول على تلك الإعدادات سيكون عليك إلغاء انتقاء الخيارات Disable Computer … أو Disable User … , لاحظ الشكل السابق رقم 8 .


تطبيق نهج موجود مسبقاً على مكان جديد :

أي نهج مجموعة كنت قد أنشأته مسبقاً يمكن أن تستعمله وتقرنه بموقع أو ميدان أو وحدة تنظيمية تريد العمل معها , بفضل هذه الميزة يمكنك استعمال إعدادات النهج وربطها مع نهج موجود مسبقاً من دون الاضطرار إلى إعادة إنشاء واحد جديد , هذا له حسنات كثيرة ...

ستطبق نهجاً موجوداً على مكان جديد بتنفيذ الخطوات التالية :
  1. افتح علامة التبويب Group Policy للموقع أو الميدان أو الوحدة التنظيمية التي تريد العمل معه.
  2. في علامة التبويب Group Policy انقر Add كما هو مبين في الشكل رقم 9 .
  3. استعمل علامات التبويب والحقول المزوّدة لإيجاد النهج الذي تريد تطبيقه على المكان الحالي , بعدما تحدد النهج اضغط OK.
  4. ينشئ Active Directory ارتباطاً بين الكائن GPO وبين الموقع أو الميدان أو الوحدة الحاوية التي تعمل معها , الآن عندما تحرر النهج في أي مكان , فعلياً سيكون قد تم تحرير النسخة الرئيسية للكائن GPO وستنتشر التغييرات لجميع الارتباطات.


الشكل رقم 9


مرسلة بواسطة في ليست هناك تعليقات:
الاشتراك في: التعليقات (Atom)