در قسمت اول ،برخی از دلایل اعمال نشدن GP در اکتیودایرکتوری را مورد بررسی قرار دادیم .در این قسمت نیز به معرفی دلایلی دیگر از اعمال نشدن GP خواهیم پرداخت.
- اعمال تنظیمات مربوط به Security Filtering در GPO
همانطور که در مقاله Security filtering و WMI filters و تفاوت آنها با یکدیگر، صحبت کردم،Security filtering مشخص میکند که پالسی های تعریف شده به چه کاربران،کامپیوترها و گروههایی اعمال میشود که البته به صورت پیش فرض تنها Authenticated Users در آن لیست وجود دارد.درواقع Security filtering چیزی غیر از ACL یا Access List Control نمی باشد.Security Filtering برخلاف سادگی که به نظر میرسد دارد،دارای پیچیدگی های به خصوصی میباشد.شکل زیر کنسولی را نمایش میدهد که شما از طریق آن میتوانید گروهها،کاربران و کامپیوترهایی که میخواهید پالسی به آنها اعمال شود را تعریف میکنید.
درواقع با اضافه کردن هر کاربر،کامپیوتر و گروه ،شما به ACL مربوط به آن GPO یک آبجکت افزوده اید و در تب Delegation به آن دسترسی Read و Apply Group Policy داده اید . این عملیات را در شکل زیر میتوانید مشاهده کنید.
خوب حال بیایید Detailوارتر صحبت کنیم.برای اینکه به شکل بالا دسترسی پیداکنیم،لازم است وارد کنسول مدیریتی GP شوید (GPMC ) و GPO ای را که میخواهید جزئیات آن را مشاهده کنید را انتخاب کنید.حال به جای انتخاب تب Scop ، تب Delegation را انتخاب کنید. تب Delegation ،قابلیت هایی که برای هر آبجکت در GPMC تعریف شده است ،را لیست کرده است.همانطور که گفتم Authenticated users در default GPO وجود دارد.ابتدا باید آبجکت مورد نظر را انتخاب کنید که در اینجا ما Authenticated users را انتخاب میکنیم.با انتخاب گزینه ی Advanced در گوشه ی پایین سمت راست،قادر خواهید بود تنظیمات امنیتی آن GPO ای که انتخاب کرده اید ( یا Authenticated users ) را مشاهده کنید.حال به پنجره ی باز شده در بالا خواهید رسید. پس از این طریق شما میتوانید وارد تنظیمات امنیتی هر آبجکت و دسترسی های آن در گروپ پالسی شوید.در اینجا شما میتوانید دسترسی های مجاز را به هر گروه،کاربر و کامپیوتر در شبکه تعریف کنید.در برخی موارد این دسترسی ها ممکن است به صورت نادرست اعمال شده باشد که این باعث اعمال نشدن گروپ پالسی میشود.
دربیشتر موارد Authenticated Users ( به صورت پیش فرض نیز وجود دارد ) مشکل ساز میشود.اکثر مدیران شبکه براین تصورند که Authenticated Users تنها شامل user account ها میباشد.در صورتی که بدین صورت نیست.Authenticated Users شامل کلیه ی آبجکتهایی میباشد که در اکتیودایرکتوری احراز هویت میشوند که این شامل همه ی کاربران و گروههای دامین ( که یا در اکتیودایرکتوری ایجاد شده اند یا به صورت پیش فرض جزئی از آن بوده اند ) و کامپیوترهایی که به عضویت دامین در آمده اند، میباشد.
در آخر مساله ای که باید به آن دقت داشته باشید این است که پالسی ها تنها به کاربران و کامپیوترها قابل اعمال و اجرا میباشد.زمانی که شما یک گروه را برای اعمال پالسی ها انتخاب میکنید در واقع به جای تعریف تک تک کاربران و کامپیوترها ، از طریق آن گروه ،آنها را گروه بندی کرده اید.در نهایت این کاربران و کامپیوترهامیباشند که برای اعمال پالسی ها در دامنه ی مدیریتی قرار میگیرند .
- اعمال تنظیمات مربوط به ( Enforced ( No override در GPO
به صورت پیش فرض هر GPO که تعریف میشود دارای Security filtering ، Enforced ( No override ) ، block inheritance و ... نمی باشد.حتما لازم است شخصی این تنظیمات را اعمال کند.در قسمت قبلی در مورد تنظیمات مربوط به Security filtering صحبت کردم،در این قسمت به بحث در رابطه با Enforced خواهم پرداخت.Enforced قابلیتی است که این امکان را به شما میدهد زمانی که شما میخواهید GPOای که تعریف کرده اید ،بدون در نظر گرفتن پالسی های با اولویت بالاتر از خود، اعمال شود.از اینرو درک این موضوع که GPO ها به ترتیب دارای اولویت local,site,domain,OU که به اختصار به آنها LSDOU میگویند،حائز اهمیت است.یعنی زمانی که یک GPO تعریف میشود،این GPO در گرفتن پالسی ها از این ترتیب اولویت ها پیروی میکند،در ابتدا پالسی های اعمال شده به OU ایی را میگیرد که در آن قرار دارد،سپس پالسی های دامینی که عضو آن است،سایت و در نهایت کامپیوتر لوکالی که با آن بالا آمده است .اما زمانی که از قابلیت Enforced استفاده میشود،در واقع تعریف میکنید که بدون در نظر گرفتن این ترتیب اولویتها،پالسی هایی که در GPO مورد نظر وضع شدن اند باید اعمال شوند.
خوب حال اینکه Enforced به چه طریق میتواند در اعمال شدن گروپ پالسی خللی ایجاد کند به این برمیگردد که شما فراموش کنید که با تیک دار کردن این گزینه ،GPO مورد نظرتان اولویتی بالاتر از دیگر GPO ها پیدا خواهد کرد.مسئله ی بسیار مهمتری که باید به آن دقت داشته باشید و در بسیاری موارد سبب ایجاد ابهام و عدم اعمال شدن گروب پالسی میشود را در زیر در قالب یک مثال برایتان توضیح خواهم داد:
خوب میدانید که ساختار گروپ پالسی به صورت سلسله مراتبی می باشد و با ایجاد هر OU ی جدید ، OU هایی در مرتبه ی بالاتری نیز قرار خواهند داشت.تصور کنید که در بالای این ساختار سلسله مراتبی یک OU جدید ایجاد میکنید و قابلیت Enforced را به آن اعمال میکنید.همچنین ممکن است بعد از مدتی این قابلیت را به OU ای در پایین ساختار اعمال کنید،توجه داشته باشید که در این شرایط OU موجود در بالای ساختار سلسله مراتبی نسبت به OU پایینی دارای اولویت بالاتری خواهد بود.این مسئله در بسیاری موارد سبب ایجاد ابهام و عدم اعمال گروپ پالسی میشود.ممکن است شما پالسی های جدیدی را در OU موجود در پایین ساختار سلسله مراتبی تعریف کنید و قابلیت Enforced را هم به آن اعمال کنید اما این پالسی ها اعمال نشود،زیرا که ممکن است پالسی های اعمال شده در OU های بالای ساختار با قابلیت Enforced ،پالسی ای مخالف با آن را دارا بوده باشند و چون اولویت بالاتری دارند سبب عدم اعمال پالسی های مورد نظر شما در پایین ساختار میشود.
- Block Inheritance
یکی دیگر از قابلیتهایی که پیشنهاد میشود در حالت معمول استفاده نشود،قابلیت Block Inheritance میباشد.همانطور که در این سری مقالات زیاد اشاره کردم،ترتیب اولویتها در گروپ پالسی از LSDOU تبعیت میکند.خصوصیت Block Inheritance زمانی که فعال باشد ،مانع از پیروی کردن GPO مورد نظر از این ترتیب میشود.به عبارتی این قابلیت باعث میشود GPO مورد نظر از بالاسری های خود چیزی را به ارث نبرد.به عنوان مثال مجددا ساختار سلسله مراتبی اکتیودایرکتوری و گروپ پالسی را به یاد بیاورید.اگر در سطح را در نظر بگیریم و در سطح دوم این قابلیت Block Inheritance را اجرا کنیم،سطح دوم کلیه ی پالسی های اعمال شده در سطح بالاسری خود را به ارث نخواهد برد و از آن تبعیت نخواهد کرد.در شکل زیر میتوانید تفاوت را در اعمال کردن و نکردن Block Inheritance مشاهده کنید:
از اینرو در برخی موارد با اعمال پالسی ها و تصور اینکه این پالسی ها به کلیه ی زیر مجموعه های GPO مورد نظرمان اعمال میشود،ممکن است یکی از OU ها در چندین سطح پایین،با داشتن این قابلیت از پیروی کردن از پالسی هایی که شما تنظیم کرده اید سرباز زند.پس بهتر است مراقب این گزینه نیز باشید.
- WMI filter
با توجه به این مقاله ،میدانید که WMI filter ابزاری قدرتمند است برای کنترل اینکه چه آبجکتهایی ( چه کاربران و کامپیوترهایی ) تنظیمات GPO مورد نظرمان را بگیرند.این قابلیت میتواند به یک یا چند GPO لینک شود.WMI filter برا ساس ساختار true/false کار میکند.زمانی که true بازگردانده شود WMI filter اعمال میشود و زمانی که false بازگردانده شود ،تنظیمات مورد نظر اعمال نخواهد شد.
البته موارد بسیاری ممکن است در WMI filter پیش بیاید که موجب اعمال نشدن گروپ پالسی شود.به عنوان نمونه،اگر فایل WMI filter تغییر کند یا پاک شود اما لینک آن در ظاهر همچنان وجود دارد،WMI filter و تنظیمات آن نیز اعمال نخواهد شد.یا اگردر WMI filter ، ارورهای گرامری و نحوی ایجاد شود ( WMI filter بر اساس and/or کار میکند )،این باعث میشود که query ها دچار مشکل شوند و در نهایت پالسی ها اعمال نخواهد شد و WMI filter نیز fail خواهد شد.و در نهایت اگر query ها به اشتباه طراحی شده باشند یا منطق آن در رسیدن به true درست نباشد ،GPO نیز اعمال نخواهد شد.
امروزه از این قابلیت زیاد استفاده نمی شود چرا که second party و third party های زیادی وجود دارد که عملکردی مشابه WMI filter را بسیار راحت تر و سریعتر انجام میدهند.
نتیجه گیری
در این سری مقالات به بررسی عللی پرداختم که ممکن است سبب اعمال نشدن گروپ پالسی شوند.همانطور که ملاحظه کردید درواقع این GPO نیست که اعمال نمیشود بلکه تنظیمات ، لینکهای بین GPO ها یا ساختار گروپ پالسی و .. است که fail میشوند و به سبب آنها نیز گروپ پالسی اعمال نمیشود.برای بررسی کردن اینکه مشکل اعمال نشدن تنظیمات گروپ پالسی از کجا سرچشمه میگیرد بهترین راه بررسی basic و تنظیمات پایه ای هسته ی گروپ پالسی است که به صورت خلاصه در این دوسری مقالات به شما دوستان معرفی شد.مسئله ی دیگری که باید به آن دقت کنید ساده نگه داشتن ساختار گروپ پالسی است.اجازه دهید گروپ پالسی که طراحی کرده است از قوانین پایه ای و default خود پیروی کند و در صورت امکان و ضرورت از Security filtering,Enforced,WMI filters و ... استفاده کنید.چرا که در بسیاری موارد و در ساختار های بزرگ گروپ پالسی،فراموش خواهید کرد که در چه قسمتهایی چه استثنائات و تنظیمات خاصی اعمال کرده ایدو همین به مرور باعث ایجاد collision و از تنظیم در رفتن گروپ پالسی میشود.
موفق ،پیروز و سربلند باشید
نویسنده : فاطمه قرباوی
منبع : انجمن حرفه ای های فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد.
