عند تطبيقك لـ سياسة مجموعة (GPO) لكائن Active Directory (AD) عبر المئات أو حتى الآلاف من أجهزة الكمبيوتر المستهدفة، من المرجح أن يستغرق الأمر وقتًا لاستلامها جميعها. كيف تعرف عندما يتلقى جهاز كمبيوتر سياسة جديدة أو يسترجع إعدادات السياسة المحدثة؟ باستخدام أداة RSOP.
أداة RSOP أو المجموعة الناتجة للسياسة، هي أداة مدمجة في نظام Windows تتيح لك اكتشاف الإعدادات التي تم تطبيقها على أجهزة الكمبيوتر المحلية وعن بعد. إذا كنت تتساءل عن الإعدادات التي تقوم بتكوينها سياسات GPO على جهاز الكمبيوتر الخاص بك، تابع القراءة!
لنبدأ.
المتطلبات
ستقوم هذه الدورة التعليمية بشرح بعض العروض التوضيحية المختلفة. إذا كنت ترغب في متابعتها، تأكد من أنك تمتلك ما يلي:
- نطاق Active Directory – سيعمل أي إصدار من AD. ستستخدم هذه الدورة التعليمية نطاقًا يسمى HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- منافذ TCP 445 و 135، منافذ RPC الديناميكية، و جميع المنافذ لـ WMI مفتوحة على الكمبيوتر البعيد. يمكنك إنشاء GPO بداية تسمى مجموعة سياسة المجاللتقارير ميناء جدار الحماية لضمان فتح جميع المنافذ.
- حقوق المسؤول المحلي على كل من الكمبيوتر المحلي والكمبيوتر البعيد.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
ما هو أداة RSOP؟
عندما تسند GPO إلى كمبيوتر في Active Directory، يجب أن يتصل هذا الكمبيوتر بمركز التحكم في المجال وبناءً على فاصل التحديث السياسة المجموعة المنتعشة المحدد، يجب أن يرى هذا الكمبيوتر تلك السياسة المجموعة ويحاول تطبيق الإعدادات التي تعرفها السياسة المجموعة.
عندما يُطبِّق الكمبيوتر إعدادات مجموعة السياسات (GPO)، يتم تخزين تلك الإعدادات في قاعدة البيانات النمطية لإدارة المعلومات المشتركة (CIMOM) باستخدام أداة إدارة النوافذ (WMI). لفحص هذه الإعدادات المُطبَّقة، قم بتشغيل أداة RSOP. تقوم أداة RSOP بإنشاء تقرير حول السياسات التي تم تطبيقها (أو التي تم التخطيط لتنفيذها) للمستخدمين والكمبيوترات على الكمبيوتر.
تعتبر RSOP رائعة لحل المشكلات في الحالات التي تكون فيها هناك سياسات متعددة ومتعارضة. باستخدام RSOP، يمكنك فحص السياسات التي تولَّت الأسبقية وتجاوزت الأخرى.
الوضعين
تحتوي RSOP على وضعين مختلفين لمساعدتك في اكتشاف كيفية تأثير GPOs على أجهزة الكمبيوتر المستهدفة؛ وهما وضع تسجيل البيانات ووضع التخطيط.
- وضع التسجيل – هو الاستخدام الأكثر شيوعًا لـ RSOP والذي يُستخدَم لإنشاء تقرير حول جميع السياسات المطبقة لجميع المستخدمين المسجلين والكمبيوتر نفسه.
- وضع التخطيط – هو استخدام أقل شيوعًا لـ RSOP الذي يتيح لك محاكاة الإعدادات التي ستطبق على جهاز كمبيوتر إذا تم تطبيق واحدة أو أكثر من GPOs عليه. يعمل وضع التخطيط على تحديد ما سيحدث عند نقل مستخدم إلى مجموعة نشطة مختلفة، على سبيل المثال.
فحص السياسات المُطبَّقة محليًا باستخدام RSOP
لنبدأ الآن ببعض العروض التوضيحية العملية لـ RSOP. أولاً، دعونا نغطي كيفية إحضار أداة RSOP ونوع المعلومات التي يمكنك أن تتوقع رؤيتها.
على جهاز الكمبيوتر الشخصي الخاص بك المتصل بالنطاق المحلي، قم بفتح نافذة الأوامر أو نافذة PowerShell بصفة مسؤول.
إذا لم تقم بتشغيل نافذة الأوامر أو PowerShell بصفة مسؤول، فلن يكون لدى RSOP الوصول إلى إعدادات الكمبيوتر (إلا إعدادات المستخدم المسجل). عند تشغيل RSOP، ستتلقى رسالة خطأ تشير إلى أن لديك صلاحيات غير كافية.
بعد ذلك، قم بتشغيل الأمر rsop.msc. ستقوم هذه الخطوة بإحضار إدخال RSOP MMC.
عندما تقوم بإحضار RSOP، ستبدأ فوراً في قراءة جميع السياسات المطبقة وإنشاء تقرير. يفترض أن يكون RSOP في وضع تسجيل افتراضياً. أدناه، سترى نتائج تشغيل RSOP على جهاز كمبيوتر يُسمى WIN10VM1 مسجل كمستخدم يُسمى LabAdmin .
قم بتوسيع كل من المجلدات وسترى كل إعداد عبر جميع GPOs المطبقة على ذلك المستخدم أو الكمبيوتر الخاص به.
إذا لم تر الإعداد المتوقع لـ GPO لـ GPO تم إنشاؤه مؤخرًا، قم بتشغيل أمر gpupdate /force على جهاز الكمبيوتر لتحديث إعدادات السياسة يدويًا.
بعنوان مثال، أدناه سترى سياسة محلية تسمى HostName.bat مخصصة لـ تسجيل الدخول للمستخدم على الكمبيوتر. داخل السياسة يوجد ملف دفعي يسمى HostName.bat تحت تكوين المستخدم —> إعدادات Windows —> سكربتات —> تسجيل الدخول.
عند تشغيل RSOP على كمبيوتر مكون لديه سياسة محلية مكونة، سترى تطبيق سكربت تسجيل الدخول واسم السياسة التي نفذتها.
اختبار تغييرات السياسة باستخدام وضع التخطيط في RSOP
ربما كنت جاهزًا لنشر سياسة مهمة للعديد من الكمبيوترات. يمكنك “اختبارها في الإنتاج” عن طريق تطبيقها فورًا على جميع الكمبيوترات دفعة واحدة، أو يمكنك استخدام وضع التخطيط في RSOP. باستخدام وضع التخطيط، يمكنك محاكاة العديد من السيناريوهات المختلفة إذا كنت ستطبق GPO على جهاز كمبيوتر مثل:
عندما:
- يكون لديك اتصال بالشبكة بطيء على الكمبيوتر المستهدف
- تقوم بتمكين معالجة الحلقة
- يتم تطبيق العديد من GPOs على الكمبيوتر المستهدف لاختبار أولوية السياسة
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
سيساعد وضع التخطيط في حساب جميع المتغيرات الشرطية التي يمكن أن تواجهك في GPOs.
لتشغيل RSOP في وضع التخطيط:
1. افتح نافذة الأوامر أو وحدة التحكم باورشيل المرتفعة واكتب mmc. سيفتح ذلك وحدة تحكم MMC.
يرجى ملاحظة أنه لا يمكنك ببساطة تشغيل rsop.msc في هذا الحالة. الطريقة الوحيدة لتغيير وضع RSOP هي عند إضافة MMC snap-in، كما سترى.
2. في وحدة التحكم MMC، افتح قائمة الملف وانقر على إضافة / إزالة Snap-in، كما هو موضح أدناه.
3. في مربع الحوار إضافة أو إزالة Snap-ins، حدد نتيجة تعيين السياسة وانقر على إضافة لنقل snap-in من النافذة اليسرى إلى النافذة اليمنى.
4. بعد ذلك، انقر بزر الماوس الأيمن على MMC snap-in نتيجة تعيين السياسة، كما هو موضح أدناه، انقر فوق توليد بيانات RSOP و التالي لتخطي خطوة المقدمة.
5. في شاشة اختيار الوضع، حدد وضع التخطيط وانقر فوق التالي للوصول إلى شاشة اختيار الكمبيوتر.
6. بعد ذلك، انقر فوق تصفح تحت معلومات المستخدم لتحديد المستخدم الذي قد يتأثر بسياسة مجموعة السياسات القادمة. أيضًا، انقر فوق الحاوية و تصفح تحت معلومات الكمبيوتر لتحديد وحدة تنظيم المراسلة التي سيتم تسجيل الدخول إليها هذا المستخدم فيها.
في لقطة الشاشة التالية، ستقدم المحاكاة جميع الإعدادات التي سيحصل عليها المستخدم المسمى HOMELAB\User01 عند تسجيل الدخول إلى أي كمبيوتر في وحدة التنظيم Desktop VMs.
7. الآن، حدد الخيارات إذا كنت ترغب في محاكاة مواقف إضافية:
- اكتشاف رابط الارتباط البطيء لسياسة المجموعة
- معالجة الحلقة المحلية – اختيار Replace أو Merge سيقوم بتعويض/دمج إعدادات سياسة المستخدم وإعدادات سياسة الكمبيوتر في حالة حدوث تضارب.
- الموقع – لمحاكاة تسجيل الدخول إلى موقع AD الخاص بسطح المكتب.
انقر على Next عند الانتهاء.
8. إذا كنت لا تخطط لتطبيق مباشر لـ GPO على OU التي سيكون فيها المستخدم أو الكمبيوتر، انقر على Browse لتغيير OU لأي كائن. عند الانتهاء، انقر على Next.
في الخطوة السادسة، قمت بتحديد وحدات التنظيم التي ستوجد فيها المستخدم والكمبيوتر المستهدف. هنا، تقوم بتحديد OU التي تخطط لتطبيق GPO عليها.
9. الآن، أدخل مجموعة AD التي تخطط لأن يكون المستخدم فيها بالنقر على إضافة. في هذا البرنامج التعليمي، سيكون المستخدم في مجموعة DeniedGPOUsers.
سترى أدناه أن مجموعة DeniedGPOUsers ممنوعة من تطبيق هذا الـ GPO.
10. التالي، لهذا البرنامج التعليمي، قم بالانتقال خلال الشاشات لتعريف تصفيات WMI ومجموعات الكمبيوتر. إذا كنت تخطط بالفعل لإعداد تصفية WMI على سياسة المجموعة أو تمنع/تسمح بتطبيق سياسة المجموعة بواسطة مجموعة AD التي تنتمي إليها حساب الكمبيوتر في، فيمكنك إجراء هذه التغييرات المحاكاة.
11. في النهاية، على الشاشة الملخصة، قم بمراجعة جميع التفاصيل. اترك خيار جمع معلومات الخطأ الموسعة ممكنًا وانقر فوق التالي. عند تمكين خيار جمع معلومات الخطأ الموسعة، يقوم مكون RSOP بجمع مزيد من معلومات الخطأ عند تنفيذ الاستعلام. تتضمن رسالة الخطأ هذه مشاكل الشبكة أو AD التي تؤثر على السياسة عند تنفيذها. قد يزيد تمكين هذا الخيار بشكل كبير من الوقت المستغرق في معالجة المحاكاة، ولكن سيوفر معلومات أكثر تفصيلًا إذا حدث خطأ.
بعد إنشاء لوحة RSOP، انقر بزر الماوس الأيمن على تكوين الكمبيوتر أو تكوين المستخدم وانقر فوق الخصائص. ثم انقر فوق علامة التبويب معلومات الخطأ لعرض أي أخطاء يتم إنشاؤها أثناء محاكاة السياسة.
12. بمجرد الانتهاء من RSOP، قم بالتنقل من خلال المجلدات تحت تكوين الكمبيوتر و تكوين المستخدم للتحقق من السياسات التي تم تطبيقها.
سترى نافذتين أدناه؛ على اليسار، سترى السياسة المطبقة الفعلية (RSOP في وضع التسجيل) وعلى اليمين، سترى كيف سيبدو RSOP إذا تمت إزالة المستخدم من مجموعة AD DeniedGPOUsers.
فحص السياسات المطبقة عن بُعد باستخدام RSOP
لتجنب الذهاب إلى وحدة التحكم المحلية لكل كمبيوتر، يسمح RSOP أيضًا لك بفحص الإعدادات عن بُعد لكل من وضعي تسجيل البيانات والتخطيط. في هذا العرض التوضيحي، سيتم استخدام وضع التسجيل.
1. قم بفتح RSOP عن طريق اتباع الخطوات من 1 إلى 4 في القسم اختبار تغييرات السياسة باستخدام وضع التخطيط في RSOP أعلاه.
2. على شاشة اختيار الوضع، اختر وضع التسجيل وانقر على التالي للانتقال إلى شاشة اختيار الكمبيوتر.
3. على شاشة اختيار الكمبيوتر، اختر كمبيوتر آخر لأنك ستقوم باستعلام كمبيوتر بعيد وانقر على تصفح.
4. في مربع اختيار الكمبيوتر، أدخل اسم الكمبيوتر البعيد وانقر على التحقق من الأسماء. ستبحث هذه الخطوة عن حساب كمبيوتر AD. إذا تم العثور عليه، سيقوم بتسطير اسم الكمبيوتر، كما هو موضح أدناه.
5. انقر على التالي على شاشة اختيار الكمبيوتر. هنا، يمكنك اختيار عدم عرض إعدادات السياسة للكمبيوتر المحدد في النتائج… ولكنك ستقوم بفحص إعدادات الكمبيوتر والمستخدم على حد سواء.
6. بعد ذلك، اختر المستخدم الذي ترغب في فحص السياسات المطبقة عليه. سترى قائمة المستخدمين الذين قاموا بتسجيل الدخول إلى الكمبيوتر البعيد على الأقل مرة واحدة.
حدد مستخدمًا من القائمة وانقر على التالي.
لاحظ خيار المستخدم الحالي مخفي. RSOP لا يدعم العثور على المستخدم الذي سجل الدخول عن بُعد. يجب عليك اختيار واحد بشكل صريح.
7. إلغِ تحديد مربع الاختيار جمع معلومات الخطأ الموسعة. انقر على التالي للمتابعة. ستقوم RSOP الآن بالاتصال بالكمبيوتر عن بُعد ومحاولة استرداد جميع إعدادات RSOP لكل من المستخدم المحدد والكمبيوتر.
8. انقر على إنهاء عند الانتهاء.
9. سترى الآن نفس العرض المنزلق MMC الذي رأيته عند فحص الإعدادات المحلية. لكن هذه المرة، جاءت الإعدادات من جهاز كمبيوتر عن بُعد.
الاستنتاج
أداة RSOP مفيدة عندما تحتاج إلى العثور بسرعة على جميع إعدادات GPO المطبقة المستهدفة لكمبيوتر أو مستخدم. باستخدام هذه الأداة، يُمكنك رؤية الإعدادات المطبقة؛ ليس فقط جميع الإعدادات للسياسات المجمعة المستهدفة لكمبيوتر أو مستخدم محدد.
أين ترى نفسك استخدام RSOP في المستقبل؟