Group Policyکد 640-70

مدیریت گروه های local با استفاده از Group Policy – بخش اول – مفهوم Group Policy Restricted Groups

یکی از کارهای ابتدایی که شما به عنوان مدیر IT یک سازمان انجام می دهید، مدیریت صدها و یا هزاران کامپیوتر و سرور است. برخی از کارهای مدیریتی روی این کامپیوترها، کنترل اعضای گروه های local سرورها و کلاینت ها می باشد. همانطور که می دانید، در محیط های دامین نیز، برخی از کاربران نیاز دارند تا به سیستم خود، دسترسی  local Admin نیز داشته باشند و یا برخی از کاربران که به عنوان help desk هستند و برای رفع مشکلات احتمالی کلاینت ها، نیاز به این دسترسی دارند. حال فرض کنید، شبکه تحت مدیریت شما، صدها کامپیوتر با کاربری های مختلف دارد و شما قصد دارید که تعدادی از کاربران را روی برخی از کامپیوترها، به عنوان local admin معرفی کنید. در محیط های دامین، به دلیل وجود Active Directory، بهترین کار استفاده از Group Policy می باشد. همچنین، برای مثال، به دلایلی قصد دارید که اعضای گروه Local Administrators را حذف یا ویرایش کنید. 

Group Policy Restricted Groups 

حال، چگونه می توانید از یک محل، اعضای گروه های local را روی چندین کامیپوتر کنترل کنید؟ 

این عمل از چندین روش قابل پیاده سازیست. اولین روشی که به توصیف آن خواهیم پرداخت، استفاده از Group Policy Restricted Groups استبا استفاده از این مکانیسم، Group Policy به شما امکان کنترل اعضای گروه های دامینی و local را روی کامپیوترهای join شده به دامین می دهد. 

توجه! Restricted Groups فقط روی computer account تاثیرگذار است و روی user account اعمال نمی شوداین بدان معناست که وقتی شما GPO ایی را برای این تنظیمات ایجاد می کنید، این GPO می بایست به OU ای اعمالش که در آن computer account ها وجود دارند (در واقع می توانید OU ای ایجاد کرده و computer account های مورد نظر خود را در آن اضافه کنید). اگر شما این تنظیمات را روی GPO مربوط به default domain controller انجام دهید، به همه کامیپوترها وdomain controller ها اعمال خواهد شددر استفاده از این GPO دقت کنید. 

Restricted Groups در GPO هایی که ایجاد می کنید، بصورت پیشفرض کانفیگ نشده استبنابراین، اگر قصد استفاده از این ویژگی را دارید، می بایست بصورت دستی و manual کانفیگ کنید 

توجه داشته باشید که قبل از استفاده از این ویژگی، تمامی این مقاله را بطور کامل مطالعه کرده و در یک محیط تست پیاده سازی کنید. 

خب، Restricted Group چه کاربردهایی دارد؟ برای مثال، شما می توانید کاربران را به گروه ها اضافه کرده و یا با استفاده از  Restricted Group، اعضای یک گروه و یا گروه خاصی را حذف کنیدهمچنین، می توان با استفاده از این ویژگی، برای نگهداری از اعضای Domain Admins group در همه گروه های Local Administrators استفاده کرد. 

با Restricted Group می توانید اعضای گروه های حساس مانند، Domain Admins، Enterprise Admins و Schema Admins را کنترل کرده تا فقط کاربران مورد تایید شما در این گروه ها قرار گیرندهمچنین Restricted Group به شما اجازه می دهد تا اعضای گروه های local روی سرورها و کامپیوترها را مدیریت کنید. 

یکی از ویژگی های جالب Restricted Group این است که شما می توانید گروه هایی که هنوز ایجاد نشده اند را مدیریت کردبرای مثال، شما می توانید گروهی با نام Future Local Group ایجاد کرده و کاربری با نام Future User را به آن اضافه می نماییدبه دلیل اینکه چنین گروه و کاربری هنوز در کامپیوترها ایجاد نشده است، در این زمان هیچ تغییری روی کامپیوترها اعمال نخواهد شددر اولین فرصت که چنین گروهی روی یکی از کامپیوترهای مورد نظر GPO ایجاد شود، بطور خودکار کانفیگ شده و فقط کاربربه با نام Future User در آن قرار گرفته و اگر هیچ کاربری نباشد، گروه خالی می ماند و هیچ کاربری نمی تواند عضو آن شود. 

توجه داشته باشید که اگر، گروه ایجاد شده شما در Restricted Group هیچ عضوی نداشته باشد، وقتی به کامپیوتری اعمال گردد، اعضای آن گروه روی کامپیوتر نیز حذف شده هیچ کاربری نمی تواند عضو آن شود. 

Restricted Group به شما این امکان را می دهد که در دو حالت گروه و کاربران آن را مدیریت کنید (توضیح این بخش صرفا جهت فهم مطلب بوده و آشنایی با کنسول و پیکربندی آن در ادامه بطور کامل ارائه می شود). اگر به صفحه مدیریت Restricted Group مراجعه کنید، با دو بخش مجزا روبرو خواهید شد: 

  • Members of this group هنگامی که در این بخش گروهی را اضافه می کنید، در واقع همان گروهیست که  کامپیوترهایی که این GPO به آنها اعمال می گردد، وجود دارد (مگر اینکه قصد داشته باشید گروه جدیدی را که قرار است در آینده ایجاد شود کانفیگ کنید) برای مثال همه کامپیوترها، چه سرور و چه کلاینت، گروهی با نام Administrators را در خود دارند. بنابراین هنگامی که در Restricted group، گروه Administrators را اضافه می کنید، می بایست اعضای آن را مشخص نمایید. وقتی اعضای گروه در بخش  Restricted group، به گروه Administrators اضافه می شوند، تمامی کاربرانی که در گروه Administrators روی کامپیوترهای هدف (همان کلاینت هایی که این GPO به آنها اعمال می شود) عضو هستند، حذف شده و اعضای جدیدی که شما در Restricted group اضافه کرده اید، عضو آن خواهند شد.  

گاهی اوقات، تعدادی از کاربران روی تعدادی کامپیوتر به عنوان مثال، local admin هستند و شما قصد دارید همه کاربران را از حالت ادمین local خارج کرده وفقط Administrator باقی بماند. در این حالت، شما گروه را در Restricted Group ایجاد کرده و کاربری را برای آن انتخاب نمی کنید!پس از اینکه این GPO به کامپیوترها اعمال گردد، تمامی کاربران آن گروه حذف شده فقط کاربر Administrator خواهد ماند. 

توجه! اگر تمامی اعضای گروه Administrators را حذف کنید، فقط کاربر Administrator باقی خواهد ماند. دقت کنید که در این قسمت، هم گروه و هم کاربر قابل اضافه شدن است. بطور خلاصه، این بخش، اعضای یک گروه را در کامپیوترهای تحت تاثیر این GPO، مشخص می کند. 

نحوه پیاده سازی و پیکربندی عملی این بخش، در ادامه توضیح داده خواهد شد. 

  • This group is a member of این بخش بیشتر برای منعطف کردن و باز گذاشتن دست شما در عضویت گروه ها به یکدیگر است. با این بخش شما می توانید گروه خاصی را به گروه های یک یا چند کامپیوتر اضافه کنید. در واقع، در این قسمت می توان مشخص نمود که کدام گروه در دامین یا local، بایستی عضو کدام گروه در کامپیوترهای تحت تاثیر این GPO شوند. برای مثال، قصد دارید که اعضای گروه Help Desk دامین شما، بتوانند روی تمامی یا تعدادی از کلاینت ها دسترسی ادمین داشته باشند. بنابراین، تمامی کامپیوتر ها  را در یک OU قرار داده و GPO ای را به آن لینک میکنید. حال گروه Help Desk را انتخاب کرده و در بخش member of گروه Administrators را انتخاب کنید تا گروه Help Desk به گروه Administrators اضافه شود. در اینصورت اعضای گروه Help Desk، می توانند با دسترسی ادمین روی کامپیوترهایی که شما مشخص کرده اید، وارد شوند. 

توجه داشته باشید که برخلاف گزینه قبلی، اگر گروه را خالی بگذارید، هیچ گروهی از کامپیوترهای مقصد حذف نخواهد شد. 

مشاهده بیشتر

نوشته های مشابه

2 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا