Group Policy‎‏ در ويندوز سرور 2008 و ويندوز7(2)


 






 

ويژگي هاي Policy-Enabled جديد
 

آخرين تغييراتي که من در اين مقاله درباره آنها صحبت خواهم کرد عبارتند از خط مشي هاي جديدي که به منظور پشتيباني از مديريت ويژگي هاي جديد قابل دسترس در Server 2008 R2 و Windows 7 اضافه گرديده اند. بيشتر اين خط مشي ها جديد در ارتباط با تنظيمات امنيتي هستند، اما تعداد کمي از تنظيمات به روز شده براي Group Plicy preferences ايجاد گرديده است. اجازه دهيد کار را با Group Plicy preferences شروع کنيم:
پشتيبان براي مديريت Power Plans جديد به منظور مديريت توان (Power management) که در Vista معرفي شد. علاوه بر اين همه اينها در Power Options و Power Schemes قابل دسترس هستند. Power Plans نياز دارد که کاربري که آنها را دريافت مي کند حداقل با Windows Vista کار کند.
اکنون Updated Scheduled Tasks preferences, Task Scheduler جديدتر را پشتيباني مي نمايد که توسط نسخه Server 2008 و نسخه هاي پس از آن ارائه شده اند، همان طوري که در Windows Vista صورت مي پذيرد. اين Task Scheduler جديد گزينه هاي بيشتر از Task Scheduler مربوط به Windows 2003 و Windows XP را پشتيباني مي نمايد.
علاوه بر اين، مايکروسافت Immediate Tasks براي Vista و محصولات پس از آن اضافه نموده است که به شما اجازه مي دهد يک وظيفه برنامه ريزي شده يک زمانه را به سرعت فرآيندهاي خط مشي ها اجرا نماييد. علاوه بر Internet Explorer در Internet Setting Preferences، که اجازه مي دهد شما گزينه هاي ويژه اي را براي IE 8 تشکيل دهيد.

خط مشي هاي امنيتي جديد
 

بزرگترين بخش اضافه شده در ناحيه خط مشي امنيتي بر پايه Group Plicy عبارت است ازApplicaton Control Policies، يا Applocker.
اين خط مشي ها را تحت اين نشاني مي توانيد پيدا کنيد:
‎\Computer Configuration\Application Control Policies
اساساً، اين يک ارتقا مهم در زمينه SRP قديمي مي باشد (Software Restriction Policies ‎ :‏SRP‎ ‎‎‏که هنوز توسط Server 2008 R2 و Windows 7 پشتيباني مي گردد).
اين بهينه سازي و ارتقا به شما اين امکان را مي دهد تا عملياتي که مي توانند بر روي سيستم هاي ويندوز شما اجرا گردند را کنترل نماييد. خصوصا Applocker به شما اجازه مي دهد براي عمليات گوناگون ليست سياه يا ليست سفيد ايجاد کنيد، تا بطور صريح از انجام يک عمليات جلوگيري نماييد و يا بالعکس به آن اجازه اجرا شدن را دهيد ( منظور از ليست سياه، ليست تمام عملياتي است که ممنوع مي باشد و بالعکس ليست سفيد، شامل عملياتي است که مجاز مي باشد). يک تفاوت عمده بين آنچه که در Applocker و SRP ها وجود دارد آن است که شما اکنون قوانين انعطاف پذيرتري براي مشخص کردن عمليات گوناگون در اختيار داريد. مطابق آنچه که در شکل 5 نشان داده شده است، براي نمونه، شما مي توانيد قوانيني را بوسيله ناشر (Publisher)، نام عمليات (Application Name)، و اطلاعات مخصوص نسخه نرم افزار (Version Information) که در درون فايلي ذخيره شده، ايجاد نماييد.
شما همچنين مي توانيد قوانيني براي کنترل برنامه هاي اجرايي بسازيد که در نسخه هاي قبلي ويندوز پشتيباني نمي گرديد.
همچنين براي هر نوع قانوني که شما ايجاد مي کنيد، قادر خواهيد بود آنرا اجرا نماييد يا صرفاً از آن در محيط آزمايشي استفاده نماييد. در محيط آزمايشي هنگامي که يکي از اين قوانين با عملياتي درحال اجرا تلاقي داشت و باعث ايجاد اختلال گرديد، به جاي آنکه قانون ايجاد شده توسط شما، بوسيله کامپيوتر مسدود شود و يا صرفاً اجازه اجرا به عمليات مذکور داده شود، تعديلي بين برنامه اجرا شده و قانون مورد نظر کاربر ايجاد مي گردد. شما مي توانيد قبل از اجرا کامل قانوني که ايجاد کرده ايد، آنرا در محيط آزمايشي اجرا نماييد تا مطمئن شويد که اين قانون با عمليات هاي مجاز سازگار است و هنگام اجرا برروزي سيستم شما اخلالي بوجود نمي آورد. تنها نقطه منفي که در مورد AppLocker مي توان گفت آنست که فقط بر روي Server 2008 R2 و Windows 7 قابل اجرا است، بنابراين شما نمي توانيد آنرا براي نسخه هاي قبلي بکار بريد.

خط مشي بازبيني پيشرفته (Advanced Audit Policy)
 

از ديگر ويژگي هاي امنيتي که شما در Server 2008 R2 و Windows 7 خواهيد يافت مي توان به دسته بندي بيشتر زيرساخت هاي مربوط به بررسي و بازبيني سيستم، اشاره کرد. اگر شما مسير زير را دنبال کنيد:
‎\Computer rConfiguration\Windows Setting\Security Settings\Advanced Audit Policy Configuaraion
شما 10 رده بازرسي مختلف را خواهيد يافت که شما اکنون مي توانيد بوسيله آن ها کارآيي سيستم خود را به منظور کنترل دقيق انواع رويدادها و فعاليت هايي که بازرسي هاي امنيتي را بر روي Server 2008 R2 و Windows 7 ايجاد مي کنند، افزايش دهيد. البته اين بخش جديد فقط براي جديدترين نسخه OS در نظر گرفته شده است، اما بايد اذعان داشت که قابليت مديريت سيستم از طريق خط مشي گروه به قدري ارزشمند است که نمي توان از آن چشم پوشي نمود.

خط مشي هاي ليست شبکه (Network List Policies)
 

آخرين خط مشي امنيتي جديد که در اينجا درباره آن سخن خواهم گفت اين امکان را براي شما فراهم مي نمايد تا ليست هاي شبکه را کنترل نماييد. بصورت پيش فرض، هنگامي که Server 2008 R2 و Windows 7 يا سيستم هاي Vista شبکه اي را شناسايي مي کنند، که آيا اين شبکه بصورت شبکه عمومي بي سيم مي باشد يا شبکه يکپارچه LAN مي باشد، يک کاربر با پيامي از سوي سيستم خود مواجه مي شود که نوع شبکه را مشخص مي کند ( يعني شبکه عمومي، يا شبکه اي که حوزه خاصي را در بر مي گيرد، يا شبکه اي که براي مصارف خانگي تعريف شده است). اما با استفاده از خط مشي هاي ليست شبکه در خط مشي گروه، شما اکنون مي توانيد دريابيد که شبکه هاي خاص چگونه رفتار مي کنند و کدام ناحيه از اين شبکه ها بايد به سوي کاربري که آنها را شناسايي کرده متمايل گردد تا اتصال به شبکه ايجاد گردد.
شما همچنين مي توانيد آيکون ها و اسامي شبکه ها را که براي کاربر آشکار شده است را کنترل نماييد. تنها ضعف استفاده از حوزه خط مشي براي پيکربندي اوليه نقاط دسترسي بي سيم آن است که شما نياز داريد نام WAP را قبل از ايجاد پيکربندي همه گزينه هاي گوناگون، بدانيد (WAP: Wireless Access Point). اما خط مشي اين ناحيه ايجاب مي کند علاوه بر کنترل کاربراني که بين شبکه ها پرسه مي زنند، هنوز هم ورود کاربر را به شبکه خوش آمد خواهد گفت.

خط مشي مصوبه نام (Name Resolution Policy)
 

آخرين ناحيه خط مشي جديد، اگر چه اکيداً يک خط مشي امنيتي نيست شما مي توانيد آنرا تحت مسير زير بيابيد:
‎\Computer Configuration\Windows Settings\Name Resolution Policy in GPE
به شما اجازه مي دهد تا الحاقات امنيتي DNS و پيکربندي هاي Microsoft DirectAccess DNS را بر اساس نام دامنه Pre-DNS، کنترل نماييد. براي نمونه، شما مي توانيد پيکربندي هايي را ايجاد کنيد که ويژگي هاي DNSSEC:DNS Security Extensions)‎) ‏DNSSE ) براي يک کاربر يا خدمات گيرنده به سرور DNS اعلام شود، يا اينکه کدام DNS و سرورهاي پروکسي يک سرويس خدمات گيرنده متصل به شبکه شما از طريق DirectAccess مورد استفاده خواهد بود. اگر چه اين سيستم توسط همه فروشگاه ها مورد استفاده نمي باشد، اما اگر شما DirectAccess را به کاربران خود معرفي نماييد اين ويژگي به سهولت در خط مشي گروه در دسترس شما خواهد بود.

حرکتي تکاملي، نه انقلابي
 

پيشرفت در زمينه خط مشي در Server 2008 R2 و Windows 7 يک حرکت کاملاً تکاملي است نه انقلابي. با افزودن برخي پشتيبان هاي خودکار PowerShell براي مديريت خط مشي گروه، اين بخش تبديل به يک محصول جنجالي براي طرفداران خط مشي گروه خواهد شد. متاسفانه، ما بايد کمي بيشتر به انتظار بنشينيم تا شاهد يک توسعه عظيم در طراحي و ويرايشي باشيم که کاربران براي بيش از 10 سال است در جستجوي آن بوده اند.
اما اگر شما قصد داريد Windows 7 را به کاربران خود عرضه کنيد، ويژگي هاي جديد به قدر کفايت در اختيار داريد به سهولت بتوانيد شبکه خود را براي کاربران پيکربندي نماييد. من توصيه مي کنم اگر هنوز استفاده از PowerShell را تجربه نکرده ايد هر چه سريع تر آنرا امتحان نماييد تا دريابيد شما چه کارهايي که با خط مشي گروه و فن آوري اجرايي جديد مي توانيد انجام دهيد.

منبع: بزرگراه رايانه، شماره ي 137 .