Group Policy Management:

این بخش به صورت استاندارد با کلیک بر روی Tools و انتخاب Group Policy Management در ویندوز Server قابل دسترسی است .
به صورت پیش فرض بر روی Domain که ایجاد می کنید ، یک Default Domain Policy وجود دارد که اگر بر روی آن Edit بگیرید ، Policy های این قسمت از 2 بخش تشکیل شده است :

✔️ Computer Configuration : در این بخش Policy ها به کامپیوتر اعمال خواهد شد ، صرف نظر از اینکه کدام User به سیستم Login کرده باشد .
✔️ User Configuration : در این بخش Policy ها فقط به User اعمال خواهد شد .


AD

اعمال Policy بر روی OU :

✔️ بر روی Container کلیک راست و گزینه Create a GPO in the domain, and Link it here انتخاب کنید . ( یک GPO بساز و آن را فعال کن )


AD

✔️ بعد از ساخته شدن به صورت پیش فرض در آن Policy قرار ندارد ، بنابراین بر روی آن کلیک راست و Edit را انتخاب کنید .

مثلا ، Control Panel برای User فلان کلاً حذف شود .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ از بخش Administrative Templates ، گزینه Control Panel را انتخاب کنید .
✔️ قانون Prohibit access to Control Panel and PC settings را کلیک کنید .
✔️ Enabel را فعال کنید .


AD

مثلا ، User فلان بر روی My Computer کلیک راست کند ، Propertise نداشته باشد .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ از بخش Administrative Templates ، گزینه Desktop را انتخاب کنید .
✔️ قانون Remove Propertise From The Computer را کلیک کنید .
✔️ Enabel را فعال کنید .


AD

مثلا ، User فلان وقتی به سیستم Login کرد ، Desktop Wallpaper آن تغییر کند .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ از بخش Administrative Templates ، گزینه Desktop را انتخاب کنید .
✔️ قانون Desktop Wallpaper را کلیک کنید .
✔️ Enabel را فعال کنید .
✔️ عکس مورد نظر را در یک فولدر قرار دهید و آن را Share کنید . در قسمت Wallpaper Name مسیر شبکه ای آن را تایپ کنید .


AD

بخش Software Restriction Policies در (GPOs) :

با استفاده از این قابلیت می توانید تعیین کنید که ، ویندوز کدام نرم افزار ها را اجرا کند یا اجرا نکند . ( مثلا ، یک فایل exe اجرا نشود )
این گزینه معمولا در شرکت ها خیلی به کار می آید . مثلا ، بچه های بخش حراست هر روز صبح FreeCell را بازی می کنند . لذا دستور از بالا رسیده که باید FreeCell را از آنها بگیریم .

✔️ در بخش User Configuration ، گزینه Policies را انتخاب و وارد Windows Settings شوید .
✔️ بخش Security Settings و بر روی Software Restriction Policies کلیک راست کنید .
✔️ به صورت پیش فرض محدودیتی نیست ، بنابراین با کلیک راست و انتخاب گزینه New Software Restriction Policies محدودیت اعمال می کنیم .
✔️ از سمت راست Additional Rules را انتخاب کنید .


AD

✔️ New Hash Rule را انتخاب و از قسمت Browse فایل مورد نظر را نشان دهید .
✔️ بخش Security Level را بر روی Disallowed تنظیم کنید .

در قسمت Browse برای اینکه فایل اجرایی FreeCell ویندوز 8 را به Server نشان دهید 2 راه وجود دارد:

1 در ویندوز 8 ، فایل اجرایی FreeCell را در پوشه Share شده قرار دهید و از طریق تایپ آدرس شبکه ای در آدرس بار به آن متصل شوید .
2 پارتیشن های ما ( C - D - E - F ) بر روی ویندوز به صورت اتوماتیک Share خواهد شد ، که Share آن به صورت Hidden و Default است . بنابراین از یک علامت ( $ ) ، پشت نام ویندوز استفاده کنید . ( البته به شرط آنکه گروه Network بر روی پارتیشن Deny نباشد )


AD

بخش Software Installation در (GPOs) :

فرض کنید در یک مجموعه بزرگ با 200 کامپیوتر قرار است ، تلفن های نرم افزاری Cisco نصب کنید . کسانی که قرار است با تلفن های نرم افزاری Cisco کار کنند ، نیاز به نرم افزار دارند .

سوال :
آیا User ها این قدرت را دارند که نرم افزار را خودشان نصب کنند ؟
از طریق شبکه این کار امکان پذیر نیست ، حتی اگر فایل را به همراه فولدر Share کنید تا User ها از طریق شبکه آن را نصب کنند ، این قدرت را نخواهند داشت و فقط شخص Administrator قدرت نصب نرم افزار را خواهد داشت .

👈 بهترین راه حل این است که ، از طریق Group Policy Management این نرم افزار را برای 200 کامپیوتر نصب کنید ، اما نکاتی را باید قبل از نصب نرم افزار در نظر گرفت :

1 فایل نصبی که می خواهید از طریق (GPOs) برای ملت نرم افزار را Published کنید ، باید پسوند آن msi باشد و exe قبول نیست .
2 فایل را به همراه فولدر آن Share کنید ، زیرا افراد باید از طریق این فولدر Share شده Data را بخوانند .


AD

البته هدف ما از به اشتراک گذاری ، این نیست که از طریق شبکه به فولدر متصل شوند و نرم افزار را نصب کنند ، در واقع هدف ما از این Share کردن این بود که از طریق (GPOs) و یک Package نرم افزاری ، فایل با پسوند msi را بر روی سیستم های آنها پخش کنیم .

✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ بخش Security Settings و بر روی Software Installation کلیک راست کنید .
✔️گزینه New و سپس Package را کلیک کنید .

نکته ای که حائز اهمیت است ، درست است که فایل نزد خودمان است ، اما باید حتماً مسیر شبکه ای را تایپ کنید . ( یعنی به خودت وصل می شوی و فایل msi را نشان می دهید ) . بنابراین اگر به روش Local فایل msi را به سیستم نشان دهید ، اشتباه است .


AD

اگر گزینه Published را انتخاب کنید ، پتانسیل نصب نرم افزار را از طریق (GPOs) به User ها دادید و هر User باید از مسیر زیر نرم افزار را نصب کند :

✔️ Control Panel را انتخاب و وارد بخش Programs and Features سیستم شوید .
✔️ از سمت چپ گزینه Install a Program From The Network را انتخاب و فایل را نصب کنید .


AD

البته این قابلیت وجود دارد که ، قبل از اینکه کاربر به سیستم Login کند ، Automatic نرم افزار نصب و بعد از Restart شدن ، نرم افزار بر روی صفحه Desktop قابل روئیت باشد .
در بخش Deployment State حالت های نصب نرم افزار مشخص شده است . اگر بخواهید نصب نرم افزار به صورت اتوماتیک اتفاق بیفتد باید از حالت Published خارج شود .

✔️ در تب Deployment گزینه Assigned را انتخاب و تیک Install this application at logon را فعال کنید .


AD

نکته دیگری که وجود دارد ، اگر Package نرم افزاری را حذف کنید ، مسلماً از این لحظه به بعد نصبی به صورت دستی یا اتوماتیک انجام نخواهد شد . البته بعد از حذف ، سیستم از ما سوال عجیبی می پرسد که به 2 صورت می توانید Pacakge نرم افزاری را حذف کنید :

… Immediately uninstall the software : علاوه بر حذف Package نرم افزاری ، حتی آن User هایی که فایل را نصب کردند ، Uninstall می کند .
… Allow users to continue to use the software : این گزینه Packegae نرم افزاری را حذف می کند ، اما بر روی سیستم های دیگر Uninstall نمی کند .


AD

نکاتی در بحث GPOs :

بر روی هر Policy یک فلش آبی رنگ وجود دارد که به ما می گوید ، این Shurtcut است . هر Policy که می سازید ، Shurtcut آن روی Container قرار می گیرد و اصل آن در مخزن یعنی Group Policy Objects قرار دارد . این برای زمانی است که اگر شما Shurtcut را پاک کردید ، بتوانید از قسمت مخزن آن را برگردانید .


AD

این امکان وجود دارد که ، Policy هایی که تنظیم کردید را بر روی Container دیگر هم اعمال کنید :
✔️ وارد مخزن (GPOs) شوید و Policy را به صورت Drag & Drop در Container مورد نظر قرار دهید .


AD

نکته که وجود دارد ، قائده به ارث بری ( Group Policy Inheritance ) در Policy ها است .
وقتی بر روی یک Container بیش از یک Policy قرار دهیم ، مجموع Policy ها به ارث می رسند . اگر بخواهیم که Container ما از دیگران Policy به ارث نبرد ، کافی است بر روی Container کلیک راست و گزینه Block Inheritance را انتخاب کنید . بعد از اعمال ، بر روی Container یک علامت دایره آبی رنگ با نشان تعجب ظاهر خواهد شد .


AD

این امکان وجود دارد که ، لیست Policy های تنظیم شده بر روی هر Container را در تب Settings مشاهده کنید . گزارشی را برای شما تهیه می کند ، که در این گزارش می نویسد که در قسمت Computer Configuration یا User Configuration این Policy در کدام مسیر ، چه نوع Policy هایی تنظیم شده است .


AD

در هنگام ساخت Policy جدید ، بخشی به اسم Source Starter GPO وجود دارد که به صورت پیش فرض در آن چیزی تنظیم نشده است . اگر وارد قسمت Starter GPOs شوید ، این موضوع قابل روئیت است ، البته می توانید با انتخاب Create Starter GPO Folders آن را فعال کنید .

بعد از ساخت یک Starter جدید نکته ای که حائز اهمیت است ، فقط بخش Administrative Templates در Starter GPOs وجود دارد و هر نوع Policy که فعال کنید ، بر روی هیچ کسی تاثیر نمی گذارد ، زیرا فقط Starter هستند . بنابراین شما می توانید عبارت هایی که پر مصرف هستند را در یک Starter قرار دهید . Policy جدید که می سازید ، به آن بگویید از Starter شروع کند .

البته به خاطر داشته باشید که ، اگر در بخش Starter GPOs تصمیم به تغییر Starter شدید ، این Starter بر روی Policy قبل تأثیر نمی گذارد و فقط بر روی Policy جدیدی که از این به بعد ساخته می شود ، تأثیر گذار خواهد بود .


AD