Group Policy در ويندوز سرور 2008 و ويندوز7(2)
ويژگي هاي Policy-Enabled جديد
پشتيبان براي مديريت Power Plans جديد به منظور مديريت توان (Power management) که در Vista معرفي شد. علاوه بر اين همه اينها در Power Options و Power Schemes قابل دسترس هستند. Power Plans نياز دارد که کاربري که آنها را دريافت مي کند حداقل با Windows Vista کار کند.
اکنون Updated Scheduled Tasks preferences, Task Scheduler جديدتر را پشتيباني مي نمايد که توسط نسخه Server 2008 و نسخه هاي پس از آن ارائه شده اند، همان طوري که در Windows Vista صورت مي پذيرد. اين Task Scheduler جديد گزينه هاي بيشتر از Task Scheduler مربوط به Windows 2003 و Windows XP را پشتيباني مي نمايد.
علاوه بر اين، مايکروسافت Immediate Tasks براي Vista و محصولات پس از آن اضافه نموده است که به شما اجازه مي دهد يک وظيفه برنامه ريزي شده يک زمانه را به سرعت فرآيندهاي خط مشي ها اجرا نماييد. علاوه بر Internet Explorer در Internet Setting Preferences، که اجازه مي دهد شما گزينه هاي ويژه اي را براي IE 8 تشکيل دهيد.
خط مشي هاي امنيتي جديد
اين خط مشي ها را تحت اين نشاني مي توانيد پيدا کنيد:
\Computer Configuration\Application Control Policies
اساساً، اين يک ارتقا مهم در زمينه SRP قديمي مي باشد (Software Restriction Policies :SRP که هنوز توسط Server 2008 R2 و Windows 7 پشتيباني مي گردد).
اين بهينه سازي و ارتقا به شما اين امکان را مي دهد تا عملياتي که مي توانند بر روي سيستم هاي ويندوز شما اجرا گردند را کنترل نماييد. خصوصا Applocker به شما اجازه مي دهد براي عمليات گوناگون ليست سياه يا ليست سفيد ايجاد کنيد، تا بطور صريح از انجام يک عمليات جلوگيري نماييد و يا بالعکس به آن اجازه اجرا شدن را دهيد ( منظور از ليست سياه، ليست تمام عملياتي است که ممنوع مي باشد و بالعکس ليست سفيد، شامل عملياتي است که مجاز مي باشد). يک تفاوت عمده بين آنچه که در Applocker و SRP ها وجود دارد آن است که شما اکنون قوانين انعطاف پذيرتري براي مشخص کردن عمليات گوناگون در اختيار داريد. مطابق آنچه که در شکل 5 نشان داده شده است، براي نمونه، شما مي توانيد قوانيني را بوسيله ناشر (Publisher)، نام عمليات (Application Name)، و اطلاعات مخصوص نسخه نرم افزار (Version Information) که در درون فايلي ذخيره شده، ايجاد نماييد.
شما همچنين مي توانيد قوانيني براي کنترل برنامه هاي اجرايي بسازيد که در نسخه هاي قبلي ويندوز پشتيباني نمي گرديد.
همچنين براي هر نوع قانوني که شما ايجاد مي کنيد، قادر خواهيد بود آنرا اجرا نماييد يا صرفاً از آن در محيط آزمايشي استفاده نماييد. در محيط آزمايشي هنگامي که يکي از اين قوانين با عملياتي درحال اجرا تلاقي داشت و باعث ايجاد اختلال گرديد، به جاي آنکه قانون ايجاد شده توسط شما، بوسيله کامپيوتر مسدود شود و يا صرفاً اجازه اجرا به عمليات مذکور داده شود، تعديلي بين برنامه اجرا شده و قانون مورد نظر کاربر ايجاد مي گردد. شما مي توانيد قبل از اجرا کامل قانوني که ايجاد کرده ايد، آنرا در محيط آزمايشي اجرا نماييد تا مطمئن شويد که اين قانون با عمليات هاي مجاز سازگار است و هنگام اجرا برروزي سيستم شما اخلالي بوجود نمي آورد. تنها نقطه منفي که در مورد AppLocker مي توان گفت آنست که فقط بر روي Server 2008 R2 و Windows 7 قابل اجرا است، بنابراين شما نمي توانيد آنرا براي نسخه هاي قبلي بکار بريد.
خط مشي بازبيني پيشرفته (Advanced Audit Policy)
\Computer rConfiguration\Windows Setting\Security Settings\Advanced Audit Policy Configuaraion
شما 10 رده بازرسي مختلف را خواهيد يافت که شما اکنون مي توانيد بوسيله آن ها کارآيي سيستم خود را به منظور کنترل دقيق انواع رويدادها و فعاليت هايي که بازرسي هاي امنيتي را بر روي Server 2008 R2 و Windows 7 ايجاد مي کنند، افزايش دهيد. البته اين بخش جديد فقط براي جديدترين نسخه OS در نظر گرفته شده است، اما بايد اذعان داشت که قابليت مديريت سيستم از طريق خط مشي گروه به قدري ارزشمند است که نمي توان از آن چشم پوشي نمود.
خط مشي هاي ليست شبکه (Network List Policies)
شما همچنين مي توانيد آيکون ها و اسامي شبکه ها را که براي کاربر آشکار شده است را کنترل نماييد. تنها ضعف استفاده از حوزه خط مشي براي پيکربندي اوليه نقاط دسترسي بي سيم آن است که شما نياز داريد نام WAP را قبل از ايجاد پيکربندي همه گزينه هاي گوناگون، بدانيد (WAP: Wireless Access Point). اما خط مشي اين ناحيه ايجاب مي کند علاوه بر کنترل کاربراني که بين شبکه ها پرسه مي زنند، هنوز هم ورود کاربر را به شبکه خوش آمد خواهد گفت.
خط مشي مصوبه نام (Name Resolution Policy)
\Computer Configuration\Windows Settings\Name Resolution Policy in GPE
به شما اجازه مي دهد تا الحاقات امنيتي DNS و پيکربندي هاي Microsoft DirectAccess DNS را بر اساس نام دامنه Pre-DNS، کنترل نماييد. براي نمونه، شما مي توانيد پيکربندي هايي را ايجاد کنيد که ويژگي هاي DNSSEC:DNS Security Extensions)) DNSSE ) براي يک کاربر يا خدمات گيرنده به سرور DNS اعلام شود، يا اينکه کدام DNS و سرورهاي پروکسي يک سرويس خدمات گيرنده متصل به شبکه شما از طريق DirectAccess مورد استفاده خواهد بود. اگر چه اين سيستم توسط همه فروشگاه ها مورد استفاده نمي باشد، اما اگر شما DirectAccess را به کاربران خود معرفي نماييد اين ويژگي به سهولت در خط مشي گروه در دسترس شما خواهد بود.
حرکتي تکاملي، نه انقلابي
اما اگر شما قصد داريد Windows 7 را به کاربران خود عرضه کنيد، ويژگي هاي جديد به قدر کفايت در اختيار داريد به سهولت بتوانيد شبکه خود را براي کاربران پيکربندي نماييد. من توصيه مي کنم اگر هنوز استفاده از PowerShell را تجربه نکرده ايد هر چه سريع تر آنرا امتحان نماييد تا دريابيد شما چه کارهايي که با خط مشي گروه و فن آوري اجرايي جديد مي توانيد انجام دهيد.
