Group Policy Management:
این بخش به صورت استاندارد با کلیک بر روی Tools
و انتخاب Group Policy Management در ویندوز Server قابل دسترسی است .
به صورت پیش فرض بر روی Domain که ایجاد می کنید ، یک Default Domain Policy وجود دارد که اگر بر روی آن Edit بگیرید ، Policy های این قسمت از 2 بخش تشکیل شده است :
✔️
Computer Configuration
: در این بخش Policy ها به کامپیوتر اعمال خواهد شد ، صرف نظر از اینکه کدام User
به سیستم Login کرده باشد .
✔️ User Configuration : در این بخش Policy ها فقط به User اعمال خواهد شد .
اعمال Policy بر روی OU :
✔️ بر روی Container کلیک راست و گزینه Create a GPO in the domain, and Link it here انتخاب کنید . ( یک GPO بساز و آن را فعال کن )
✔️ بعد از ساخته شدن به صورت پیش فرض در آن Policy قرار ندارد ، بنابراین بر روی آن کلیک راست و Edit را انتخاب کنید .
مثلا ، Control Panel برای User فلان کلاً حذف شود .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ از بخش Administrative Templates ، گزینه Control Panel را انتخاب کنید .
✔️ قانون Prohibit access to Control Panel and PC settings را کلیک کنید .
✔️ Enabel را فعال کنید .
مثلا ، User فلان بر روی My Computer کلیک راست کند ، Propertise نداشته باشد .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ از بخش Administrative Templates ، گزینه Desktop را انتخاب کنید .
✔️ قانون Remove Propertise From The Computer را کلیک کنید .
✔️ Enabel را فعال کنید .
مثلا ، User فلان وقتی به سیستم Login کرد ، Desktop Wallpaper آن تغییر کند .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ از بخش Administrative Templates ، گزینه Desktop را انتخاب کنید .
✔️ قانون Desktop Wallpaper را کلیک کنید .
✔️ Enabel را فعال کنید .
✔️ عکس مورد نظر را در یک فولدر قرار دهید و آن را Share کنید . در قسمت Wallpaper Name مسیر شبکه
ای آن را تایپ کنید .
بخش Software Restriction Policies در (GPOs) :
با استفاده از این قابلیت می توانید تعیین کنید که ، ویندوز کدام نرم افزار ها را
اجرا کند یا اجرا نکند . ( مثلا ، یک فایل exe اجرا نشود )
این گزینه معمولا در شرکت ها خیلی به کار می آید . مثلا ، بچه های بخش حراست هر روز صبح FreeCell را بازی می کنند . لذا دستور از بالا رسیده که باید FreeCell را از آنها بگیریم .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب و وارد Windows Settings شوید .
✔️ بخش Security Settings و بر روی Software Restriction Policies کلیک راست کنید .
✔️ به صورت پیش فرض محدودیتی نیست ، بنابراین با کلیک راست و انتخاب گزینه New Software Restriction Policies محدودیت اعمال می کنیم .
✔️ از سمت راست Additional Rules را انتخاب کنید .
✔️ New Hash Rule
را انتخاب و از قسمت
Browse فایل مورد نظر را نشان دهید .
✔️ بخش Security Level را بر روی Disallowed تنظیم کنید .
در قسمت Browse برای اینکه فایل اجرایی FreeCell ویندوز 8 را به Server نشان دهید 2 راه وجود دارد:
1
در ویندوز 8 ، فایل اجرایی FreeCell را در پوشه Share شده قرار دهید و از
طریق تایپ آدرس شبکه ای در آدرس بار به آن متصل شوید .
2
پارتیشن های ما ( C - D - E - F ) بر روی ویندوز به صورت اتوماتیک Share خواهد
شد ، که Share آن به صورت Hidden و Default است . بنابراین از یک علامت ( $ ) ، پشت
نام ویندوز استفاده کنید . ( البته به شرط آنکه گروه Network بر روی پارتیشن Deny
نباشد )
بخش Software Installation در (GPOs) :
فرض کنید در یک مجموعه بزرگ با 200 کامپیوتر قرار است ، تلفن های نرم افزاری Cisco نصب کنید . کسانی که قرار است با تلفن های نرم افزاری Cisco کار کنند ، نیاز به نرم افزار دارند .
سوال :
آیا User ها این قدرت را دارند که نرم افزار را خودشان نصب کنند ؟
از طریق شبکه این کار امکان پذیر نیست ، حتی اگر فایل را به همراه فولدر Share
کنید تا User ها از طریق شبکه آن را نصب کنند ، این قدرت را نخواهند داشت و فقط
شخص Administrator قدرت نصب نرم افزار را خواهد داشت .
👈 بهترین راه حل این است که ، از طریق Group Policy Management این نرم افزار را برای 200 کامپیوتر نصب کنید ، اما نکاتی را باید قبل از نصب نرم افزار در نظر گرفت :
1
فایل نصبی که می خواهید از طریق (GPOs) برای ملت نرم افزار را Published کنید
، باید پسوند آن msi
باشد و exe قبول نیست .
2
فایل را به همراه فولدر آن Share کنید ، زیرا
افراد باید از طریق این فولدر Share شده Data را بخوانند .
البته هدف ما از به اشتراک گذاری ، این نیست که از طریق شبکه به فولدر متصل شوند و نرم افزار را نصب کنند ، در واقع هدف ما از این Share کردن این بود که از طریق (GPOs) و یک Package نرم افزاری ، فایل با پسوند msi را بر روی سیستم های آنها پخش کنیم .
✔️ در بخش User Configuration ، گزینه Policies را انتخاب کنید .
✔️ بخش Security Settings
و بر روی Software Installation کلیک راست کنید .
✔️گزینه New و سپس Package را کلیک کنید .
نکته ای که حائز اهمیت است ، درست است که فایل نزد خودمان است ، اما باید حتماً مسیر شبکه ای را تایپ کنید . ( یعنی به خودت وصل می شوی و فایل msi را نشان می دهید ) . بنابراین اگر به روش Local فایل msi را به سیستم نشان دهید ، اشتباه است .
اگر گزینه Published را انتخاب کنید ، پتانسیل نصب نرم افزار را از طریق (GPOs) به User ها دادید و هر User باید از مسیر زیر نرم افزار را نصب کند :
✔️ Control Panel
را انتخاب و وارد بخش Programs and Features
سیستم شوید .
✔️ از سمت چپ گزینه Install a Program From The Network را انتخاب و فایل را نصب کنید .
البته این قابلیت وجود دارد که ، قبل از اینکه کاربر به سیستم Login کند ،
Automatic نرم افزار نصب و بعد از Restart شدن ، نرم افزار بر روی صفحه
Desktop قابل روئیت باشد .
در بخش Deployment State حالت های نصب نرم
افزار مشخص شده است . اگر بخواهید نصب نرم افزار به صورت اتوماتیک اتفاق بیفتد باید از حالت Published خارج شود .
✔️ در تب Deployment گزینه Assigned را انتخاب و تیک Install this application at logon را فعال کنید .
نکته دیگری که وجود دارد ، اگر Package نرم افزاری را حذف کنید ، مسلماً از این لحظه به بعد نصبی به صورت دستی یا اتوماتیک انجام نخواهد شد . البته بعد از حذف ، سیستم از ما سوال عجیبی می پرسد که به 2 صورت می توانید Pacakge نرم افزاری را حذف کنید :
… Immediately uninstall the software : علاوه بر حذف Package نرم افزاری ، حتی آن User هایی که فایل را نصب کردند ، Uninstall می کند .
… Allow users to continue to use the software : این گزینه Packegae نرم افزاری را حذف می کند ، اما بر روی سیستم های دیگر Uninstall نمی کند .
نکاتی در بحث GPOs :
بر روی هر Policy یک فلش آبی رنگ وجود دارد که به ما می گوید ، این Shurtcut است . هر Policy که می سازید ، Shurtcut آن روی Container قرار می گیرد و اصل آن در مخزن یعنی Group Policy Objects قرار دارد . این برای زمانی است که اگر شما Shurtcut را پاک کردید ، بتوانید از قسمت مخزن آن را برگردانید .
این امکان وجود دارد که ، Policy هایی که تنظیم کردید را بر روی Container دیگر
هم اعمال کنید :
✔️ وارد مخزن (GPOs) شوید و Policy را به صورت Drag & Drop در Container مورد نظر قرار دهید .
نکته که وجود دارد ، قائده به ارث بری ( Group Policy Inheritance ) در Policy ها است .
وقتی بر روی یک Container بیش از یک Policy قرار دهیم ، مجموع Policy ها به ارث می رسند . اگر بخواهیم که Container ما از دیگران Policy به ارث نبرد ، کافی است بر روی Container کلیک راست و گزینه Block Inheritance را انتخاب کنید . بعد از اعمال ، بر روی Container یک علامت دایره آبی رنگ با نشان تعجب ظاهر خواهد
شد .
این امکان وجود دارد که ، لیست Policy های تنظیم شده بر روی هر Container را در تب Settings مشاهده کنید . گزارشی را برای شما تهیه می کند ، که در این گزارش می نویسد که در قسمت Computer Configuration یا User Configuration این Policy در کدام مسیر ، چه نوع Policy هایی تنظیم شده است .
در هنگام ساخت Policy جدید ، بخشی به اسم Source Starter GPO وجود دارد که به صورت پیش فرض در آن چیزی تنظیم نشده است . اگر وارد قسمت Starter GPOs شوید ، این موضوع قابل روئیت است ، البته می توانید با انتخاب Create Starter GPO Folders آن را فعال کنید .
بعد از ساخت یک Starter جدید نکته ای که حائز اهمیت است ، فقط بخش Administrative Templates در Starter GPOs وجود دارد و هر نوع Policy که فعال کنید ، بر روی هیچ کسی تاثیر نمی گذارد ، زیرا فقط Starter هستند . بنابراین شما می توانید عبارت هایی که پر مصرف هستند را در یک Starter قرار دهید . Policy جدید که می سازید ، به آن بگویید از Starter شروع کند .
البته به خاطر داشته باشید که ، اگر در بخش Starter GPOs تصمیم به تغییر Starter شدید ، این Starter بر روی Policy قبل تأثیر نمی گذارد و فقط بر روی Policy جدیدی که از این به بعد ساخته می شود ، تأثیر گذار خواهد بود .