إدارة كائنات سياسة المجموعة: إنشاء GPOs ، وربط GPOs ، وتحرير GPOs

الدروس التعليمية

إذا كنت محترفًا في تكنولوجيا الإنترنت تعمل مع Active Directory، يمكنك استخدام سياسة المجموعة لتكوين بيئات ويندوز أجهزة الكمبيوتر لمستخدميك وخوادم الشركة الخاصة بك باستخدام كائنات سياسة المجموعة (GPO). ومع ذلك، فإن الصراع من أجل الوصول إلى بيئة مفهومة وآمنة حقيقي. في هذه المقالة، سأشرح كيفية إنشاء GPO، وكيفية ربطها، وحذفها، وتعطيلها. عندما ننتهي، يجب أن تفهم بشكل أفضل تفاصيل عالم GPO المعقد بشكل رائع.

العمل مع GPOs

هناك طريقتان للعمل مع GPOs: يمكنك استخدام محرر سياسة المجموعة المحلي لضبط السياسات على جهاز كمبيوتر محلي أو استخدام وحدة تحكم إدارة سياسة المجموعة (GPMC) للعمل على بيئة الشركة الخاصة بك. بسبب أن السياسات المحلية يتم معالجتها أولا (قبل السياسات المجالية) وللحفاظ على بيئة قوية وتصميمها، سنركز على سيناريو الشركة في هذه المقالة.

الإعلان

تثبيت أداة RSAT لسياسة المجموعة

الـGroup Policy Management Console جزء من مجموعة أدوات Remote Server Administration Tool (RSAT) التقليدية. إنه أداة مبنية على MMC (Microsoft Management Console) والتي يتم تثبيتها مع تطبيق إعدادات Windows الحديث في نظام Windows. سأريك كيفية تثبيتها بعد ذلك.

على مراقب مجال (DC)، يتم تخزين إعدادات سياسة المجموعة في مجلد مشترك ‘SYSVOL’ ويتم تكرارها إلى جميع المراقبين الآخرين في المجال (والغابة، إذا كنت قد قمت بإعداد ذلك بهذه الطريقة). هذا يصف الاستمرارية المدمجة لبنية السياسة المجموعة.

لعرض كيفية تثبيت أداة مستكشف إدارة سياسة المجموعة، سأستخدم مختبر Hyper-V الخاص بي الذي يعمل بنظام مجال Active Directory Windows Server 2022. لقد قمت بتسجيل الدخول إلى جهاز العمل الخاص بي بنظام Windows 10 الإصدار 22H2، لنبدأ:

  • أولاً، انقر فوق زر بدء واكتب ‘ اختياري ‘.
Searching for ‘optional’ features in the Start Menu (Image credit: Michael Reinders)
  • انقر فوق ‘ إدارة الميزات الاختيارية ‘ وانقر على الزر ‘ + إضافة ميزة ‘ في الأعلى.
  • انتقل لأسفل وضع علامة على ‘ أدوات إدارة سياسة المجموعة RSAT ‘ وانقر تثبيت.
Selecting the Group Policy Management RSAT toolset (Image credit: Michael Reinders)
  • بعد اكتمال ذلك، انقر بدء وافتح ‘ أدوات الإدارة لنظام التشغيل Windows ‘.
  • انقر نقرًا مزدوجًا على ‘ إدارة سياسة المجموعة ‘.
Locating Group Policy Management in Administrative Tools (Image credit: Michael Reinders)

الآن نرى مستكشف إدارة سياسة المجموعة. هنا، يتم تقديمنا إلى الهيكل العام لكيفية ترتيب سياسة المجموعة وكيف يمكنك استهداف كيانات منطقية محددة في منظمتك.

إعلان

The Group Policy Management Console (Image credit: Michael Reinders)

في هذه النقطة، يمكن لمحترفو تكنولوجيا المعلومات، بالتشاور مع فرق الأمان والامتثال الخاصة بهم، القيام بأي من الإجراءات التالية:

  • تعديل كائنات سياسة المجموعة الحالية (GPOs)
  • إنشاء كائنات سياسة مجموعة جديدة
  • تعديل تصفية كائنات سياسة المجموعة المحددة على مستوى المجموعة
  • استخدم تصفية WMI لاستهداف أجهزة معينة
  • استخدم نمذجة السياسة الجماعية والنتائج لإجراء سيناريوهات “اختبارية” أو “ماذا لو”

بعد ذلك، سنبدأ بإنشاء GPO جديدة.

إنشاء GPO

لنقم بإنشاء إعداد جديد سيوضح كيفية تعديل أجهزة المستخدمين بطريقة أخرى.

  • أولاً، سأقوم بالنقر بزر الماوس الأيمن على “أجهزة ويندوز في النطاق” وأنقر على “إنشاء GPO في هذا النطاق، وربطه هنا…”
Starting a new GPO in Domain Windows Computers (Image credit: Michael Reinders)
  • I will name it ‘Start Menu Cleanup‘ and click OK.
Naming our new GPO (Image credit: Michael Reinders)
  • ثم، سأقوم بالنقر بزر الماوس الأيمن على الـ GPO الجديدة والنقر على تحرير.
Our new GPO – ready to configure settings! (Image credit: Michael Reinders)
  • لنتصفح إلى تكوين الكمبيوتر -> السياسات -> القوالب الإدارية -> قائمة ابدأ وشريط المهام.
We’ve found our settings category for our Domain Windows computers (Image credit: Michael Reinders)
  • هنا، سأقوم بالنقر المزدوج على إزالة ومنع الوصول إلى أوامر إطفاء، إعادة التشغيل، السبات، والسبات الهجين.
Modifying a policy setting (Image credit: Michael Reinders)
  • بعد قراءة المساعدة، سأقوم بتبديل تمكين ثم النقر على موافق.
Adjusting settings with our ‘Start Menu Cleanup’ GPO (Image credit: Michael Reinders)

الآن، كن محذرًا، هذا الإعداد الآن متاح في البيئة. سترى كل كائن كمبيوتر في تلك الوحدة التنظيمية هذه الإعدادات خلال تحديث القادم. بشكل افتراضي، ستقوم أجهزة الكمبيوتر في النطاق والخوادم بمعالجة سياسة المجموعة كل 90 دقيقة مع تأخير عشوائي لمدة 30 دقيقة. ومع ذلك، عند الاختبار (وحل المشاكل)، فإن أمر gpresult هو صديقك.

إعلان

يمكنك أيضًا إجبار الكمبيوتر على تحديث سياسة المجموعة على الجهاز عن طريق تشغيل الأمر التالي gpupdate في محطة الطرفية/الشيل المفضلة لديك. ستقوم هذه الخطوة بمعالجة جميع تغييرات سياسة المجموعة للكمبيوتر والمستخدم المسجل الدخول. التبديل ‘/force’ يجبر على التغييرات دون طلب موافقة. 

gpupdate /force
Using gpupdate /force to process all related group policies right away (Image credit: Michael Reinders)

حسنًا، تم معالجة التغييرات الآن. دعني أقوم بالنقر بزر الماوس الأيمن على زر بدء وأذهب إلى قائمة إيقاف التشغيل أو تسجيل الخروج، و… لقد نجحت! تلك العناصر التي قمنا بإزالتها الآن مخفية.

The Shut Down, Restart, Sleep, and Hibernate commands are now hidden (Image credit: Michael Reinders)

هذا التغيير البسيط يمنع مستخدميك من إعادة تشغيل أو إيقاف تشغيل أجهزة الكمبيوتر الخاصة بهم. من الواضح أن هناك العديد من المتغيرات وحالات الاستخدام لإعدادات مثل هذه. إنه مثالي في بعض الحالات ومؤلم في حالات أخرى. هذا هو التوازن الذي ستمر به كمحترف تكنولوجيا المعلومات لتقرر ما يعمل بشكل أفضل لمؤسستك.

رابط GPO

دعني أريك كيفية ربط GPO موجود بموقع محدد في Active Directory. في حياتي السابقة، قمت بإنشاء GPO يُدعى “تأمين تحكم المراقب المجالي”. الإعدادات في هذا GPO تحتوي على معايير الامتثال الأمني لمراقبي المجال وفقاً لإرشادات شركتنا. يمكنني ربط هذه الإعدادات الجديدة بسهولة إلى مراقبي المجال في نطاقي – reinders.local.

  • أولاً، أنا أقوم بالنقر بزر الماوس الأيمن على وحدة التحكم المجالية وأختار ربط GPO موجود.
Linking an existing GPO to a container in AD (Image credit: Michael Reinders)
  • بعد ذلك، سأختار “تأمين تحكم المراقب المجالي” من القائمة وأنقر على موافق.
We linked an existing GPO to the Domain Controllers OU (Image credit: Michael Reinders)

الآن يمكنك أن ترى أن GPO مرتبط بمراقبي المجال. في المرة القادمة التي يتحقق فيها مراقبونا المجاليون من تحديثات سياسة المجموعة، سيقومون بمعالجة الإعدادات في تلك GPO. هذا هو جمال السيطرة المركزية التي تمتلكها. قم بإنشاء وصياغة مجموعة من الإعدادات مرة واحدة، ثم نشرها (ربطها) بسهولة إلى حاوية في بيئتك. انتهيت!

تعديل GPO موجود

لنلقي نظرة على نطاقي – reinders.local – ونرى ما لدينا.

كونها مختبرًا، فإنها بسيطة نوعًا ما، تقريبًا primitve. في الشركات الكبيرة، ليس من النادر اكتشاف مئات أو آلاف من GPOs في نطاق واحد. تعقيد توريث بعض GPOs، باستخدام WMI لاستهداف أنظمة التشغيل المحددة، التعامل مع GPOs المحلية، وحدات التنظيم الفرعية، والسياسات المحلية في الخليط – كل ذلك يمكن أن يكون مرهقًا للغاية.

بالإضافة إلى ذلك، سيبدأ العدد الهائل من GPOs في نطاقك في تحديد بعض العقوبات الأداءية العامة عندما تبدأ الكمبيوترات في التشغيل وعندما يقوم المستخدمون بتسجيل الدخول. هذا ربما هو أكبر جدل اليوم: هل تقوم بإنشاء مجموعة من GPOs وتتضمن فقط إعداد واحد في كل منها لسهولة الإدارة؟ أم أنك تقوم بإنشاء عدد قليل من GPOs مع تغييرات السياسة الخاصة بك لتقليل وقت المعالجة؟ يمكن أن يكون هذا موضوعًا يستحق مقالًا خاصًا!

نطاق GPO

I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.

The settings for our ‘WSUS_Config_01’ GPO (Image credit: Michael Reinders)

الموقع هو في جذر النطاق (reinders.local). هذا يعني، بشكل افتراضي، سيرون وينفذ كل كمبيوتر وكائن خادم في النطاق هذا GPO. مرة أخرى، هناك طرق لتصفية مستخدمين محددين، وكمبيوترات، ووحدات تنظيم الأعمال، ومجموعات الأمان. المزيد حول هذا لاحقًا.

هنا، يظهر قسم تصفية الأمان مجموعة المستخدمين المصادق عليهم. هذا يقول تقريبًا ‘الجميع’: أي حساب قد تم المصادقة عليه في النطاق سيرى هذا GPO.

تصفية WMI

الإعداد تصفية WMI أدناه هو حيث يمكنك استهداف SKU محددة. على سبيل المثال، يمكنك استهداف تثبيت WSUS محدد لمساعدة أجهزة الكمبيوتر التي تعمل بنظام Windows 10 الإصدار 21H2 و 22H2 فقط.

Using the WMI Filtering capability is straightforward (Image credit: Michael Reinders)

تحرير GPO

دعني أريك كيفية تحرير GPO.

  • أولاً، انقر بزر الماوس الأيمن على GPO الذي تريد تعديله وانقر على ‘ تحرير…
This is the initial screen after choosing to Edit a GPO (Image credit: Michael Reinders)
  • A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
  • للعثور على إعدادات WSUS، قم بتوسيع تكوين الكمبيوتر -> السياسات -> القوالب الإدارية -> مكونات Windows -> تحديث Windows.
  • هنا، يمكنك رؤية أن هناك إعدادين ‘تم تمكينه’ أو تم تكوينه. دعونا نفتح تكوين التحديثات التلقائية.
The settings for ‘Configure Automatic Updates’ (Image credit: Michael Reinders)

هذا إعداد أكثر تعقيدًا، ولكنك تحصل على الفكرة. هذه هي الإعدادات لكيفية تطبيق تحديثات Windows على نطاق النطاق الخاص بي. تفصيلية إلى حد ما، أليس كذلك؟ ولكن، النقطة هنا هي يمكنك إدارة جميع أجهزة الكمبيوتر الخاصة بك (أو جزء منها) مركزيًا هنا.

ها هو مثال على كيفية “قفل” الإعدادات على الحواسيب. هل لاحظت الخيار ‘تثبيت التحديثات لمنتجات مايكروسوفت الأخرى‘ محددًا في الأسفل؟ إذا قمت بتحديد تحديث Windows -> خيارات متقدمة على هذا محطة العمل، فلاحظ أن الإعداد الأول، ‘استقبال التحديثات لمنتجات مايكروسوفت الأخرى عند تحديث Windows’ يتم التحكم فيه الآن بواسطة سياسة المجموعة. هو محدد تشغيل ومعطل.

The 1st item is now controlled by Group Policy (Image credit: Michael Reinders)

هذا بالضبط ما يدل عليه النص “بعض الإعدادات تمت إدارتها بواسطة منظمتك” في الأعلى. من الناحية التقنية، يقول إن بعض سياسات المجموعة تم تطبيقها على هذا الكمبيوتر ولا يمكنك ضبط الإعداد.

إدارة سياسات المجموعة الافتراضية

يتم إنشاء سياستين للمجموعة عند إنشاء نطاق جديد – ‘سياسة النطاق الافتراضية’ و ‘سياسة تحكمات النطاق الافتراضية.’ على الأقل، ستحدد هذه السياسات سياسات كلمة المرور للنطاق، وسياسات قفل الحساب، وسياسات كيربروس، وخيارات الأمان الأساسية، وخيارات الأمان الشبكي الأخرى.

لقد كان من المعتقد بقوة على مدى عقود، بأنه كمحترف تقنية معلومات، يجب عليك عدم تعديل هاتين السياستين – يجب عليك إنشاء سياسات مجموعة جديدة بدلاً من ذلك. هناك أسباب عدة لذلك، ولكن أعتقد أن السبب الأساسي هو أنه عند حل مشكلة في نطاقك، يجب أن تكون على علم بأن هذا التكوين الافتراضي لم يتم تغييره.

هذا كان غالبًا أول سؤال يطرحه دعم تقنيا Microsoft عندما عملت معهم على مدى السنوات في قضايا الدليل النشط / سياسة المجموعة. إنهم يعرفون تلك الإعدادات الأساسية ويحتاجون إلى البدء من هناك، في قاع البحر، للتأكد من دقة قاعدتهم الأساسية.

لذلك، هذا أيضًا توصيتي بكيفية إدارة السياسات الافتراضية – لا تفعل ذلك!

تعطيل سياسة مجموعة

إذا كنت ترغب في تعطيل سياسة مجموعة ومنع تطبيق إعداداتها على أجهزة الكمبيوتر المستقبلية، ما عليك سوى النقر بزر الماوس الأيمن على السياسة الافتراضية والنقر على ربط التمكين. سيقوم ذلك بإزالة الرابط وتعيين السياسة الافتراضية إلى حالة “خاملة”.

After clicking the ‘Link Enabled’ checkbox, the GPO is now disabled (Image credit: Michael Reinders)

حذف سياسة مجموعة

إذا كنت تقوم بالتنظيف و / أو إصلاح الأخطاء، يمكنك حذف سياسة مجموعة عن طريق النقر بزر الماوس الأيمن عليها والنقر على حذف. لكي تكون شاملًا وفعالًا، أوصي بالانتقال إلى عرض كائنات سياسة المجموعة في الشجرة وحذفها من هناك.

Deleting a Group Policy Object (Image credit: Michael Reinders)

الاستنتاج

تنفيذ سياسة المجموعة بسيط بشكل مراوغ… في البداية. من السهل بالفعل وضع بنية كائنات سياسة المجموعة الخاصة بك. التأكد، التحقق، وفي وقت لاحق، إصلاح الأسباب التي تجعل تثبيتات Office على أجهزة الكمبيوتر محددة تحدث بشكل تلقائي وتطلب من المستخدمين… هنا تبدأ المرح.

في النهاية، الدرس الأخلاقي من القصة بسيط جدًا: اختبر، اختبر، اختبر! كلما استطعت التحقق والامتثال في البداية، كلما كانت بيئتك أكثر كفاءة وسلاسة. أسهل لإصلاح الأخطاء وتمكين السياسات الجديدة.

يرجى ترك تعليق أدناه إذا كان لديك أي أسئلة!

Source:
https://petri.com/create-gpo-link-gpo-edit-gpo/