x
تبلیغات

 

مدیریت Group Policy در شبکه های بزرگ می تواند به امری چالش برانگیز تبدیل شود. در این میان، نرم افزار Advanced Group Policy Management و یا به اختصار AGPM می تواند مدیریت Group Policy را در این گونه شبکه ها وارد مرحله جدیدی نموده و لذا امکانات بسیار کارآمدی را در این خصوص در اختیار مدیران شبکه قرار دهد. نکته قابل توجه در این خصوص آنست که این نرم افزار به صورت مجانی در اختیار کاربران قرار نگرفته و به منظور استفاده از آن می بایست از روش هایی همچون خرید لایسنس و یا خرید عضویت Technet Plus اشاره نمود.

 

نکته 1: مقالاتی که اینجانب قرار است در خصوص این ابزار در سایت قرار دهم، مربوط به نسخه AGPM 4.0 خواهد بود. این نسخه می بایست جهت مدیریت Group Policy در دامینی مبتنی بر Windows Server 2008 R2 بکارگیری شود. از آنجایی که نسخه مدیریتی این محصول را می توان بر روی کلاینت ها نیز نصب نمود، نسخه کلاینت مورد نیاز جهت انجام امور مدیریتی این محصول، می بایست Windows 7 و یا Windows Server 2008 R2 باشد.

 

نکته 2: این محصول به صورت مجزا در اختیار قرار نگرفته و به منظور استفاده از آن می بایست محصول Microsoft Desktop Optimization Pack و یا به اختصار MDOP را دریافت نمود. توجه داشته باشید که AGPM تنها یکی از محصولات موجود در MDOP می باشد. از دیگر محصولات موجود در MDOP می توان به Enterprise Desktop Virtualization، Diagnostics And Recovery Toolset، Asset Inventory Service، BitLocker Administration And Monitoring و Application Virtualization For Desktop اشاره نمود. جهت کسب اطلاعات بیشتر در خصوص MDOP، اینجا را کلیک کنید.

 

 به طور کلی می توان موارد زیر را به عنوان قابلیت های ارائه شده در خصوص ابزار AGPM بر شمرد:

 

ویرایش نمودن GPOها به صورت آفلاین: فرض کنید که می خواهید تنظیمات موجود در یک GPO را در GPMC مورد ویرایش قرار دهید. در این حالت به محض انجام این تغییرات، تغییرات انجام گرفته بر روی سیستم های و یا کاربران مقصد اعمال می گردند. لذا در این حالت شما هیچگونه کنترلری در خصوص تاخیر در اعمال این تغییرات نخواهید داشت، مگر آنکه قبل از انجام این تغییرات، GPO مورد نظر را غیر فعال نمایید که البته این امر می تواند مشکلاتی را نیز به همراه آورد. حال فرض کنید که تغییرات انجام گرفته از سوی شما به اشتباه بوده و یا حتی فردی به صورت مغرضانه اقدام به انجام تغییرات نموده است، لذا این تغییرات بلافاصله بر روی سیستم ها و یا کاربران مقصد اعمال شده و مشکلاتی را، اعم از مشکلات امنیتی به همراه می آورد.

 

 با توجه به سناریوی فوق، اگر شما چنانچه با استفاده از قابلیت ویرایش نمودن GPOها به صورت آفلاین، اقدام به ویرایش تنظیمات موجود در یک GPO را نمایید، این تغییرات تا زمانی که شما نخواهید، بر روی سیستم ها و یا کاربران مقصد اعمال نخواهند شد. به عبارت دیگر، AGPM می تواند آرشیوی از GPOها را در اختیار داشته باشد. مکان این آرشیو خارج از فولدر SYSVOL بوده و لذا تغییرات انجام گرفته بر روی GPOها، تا زمان خارج نشدن از فضای آرشیو و یا به عبارتی قرار نگرفتن GPOهای مورد نظر در فولدر SYSVOL اعمال نخواهند شد. به شکل زیر نگاه کنید:

 

 

نکته: همانطور که می دانید، اطلاعات مرتبط با هر GPO از دو بخش کلی تشکیل شده است. این دو بخش در دو مکان مختلف نگهداری می شوند. این دو مکان عبارتند از: فولدر SYSVOL و پایگاه داده Active Directory. قسمتی که در فولدر SYSVOL نگهداری می شود به اصطلاح Group Policy Template و یا به اختصار GPT نامیده شده و قسمتی که در Active Directory ذخیره می گردد، Group Policy Container و یا با اختصار GPC نامیده می شود. با توجه به این مطلب، تنها اطلاعات مرتبط با GPT در آرشیو مربوط به AGPM نگهداری و مدیریت می گردد.

 

کنترل تغییرات: همانطور که در بالا نیز بدان اشاره شد، با استفاده از AGPM، به صورت پیش فرض GPOهای مورد نظر در قسمت آرشیو نگهداری می شوند. بدین ترتیب افراد ذیصلاح می توانند محتویات این GPOها را مشاهده نموده و یا آنها را به صورت آفلاین مورد ویرایش قرار دهند، بدون آنکه تاثیر منفی بر عملکرد سیستم های موجود در دامین گذاشته باشند. همچنین AGPM می تواند تمامی تغییرات انجام گرفته بر روی GPOها را نیز ذخیره نماید. بدین ترتیب می توان در هر بازه زمانی متوجه شد که چه تغییراتی بر روی GPO مورد نظر اعمال شده است و یا حتی GPO مورد نظر را به حالت قبل بازگرداند. از دو واژه Check In و Check Out در خصوص قابلیت کنترل تغییرات استفاده می شود. به مثال زیر توجه کنید:

 

فرض کنید که در یک کتابخانه عضو هستید. هنگامی که شما کتابی را به امانت می گیرید (Check Out)، کتاب مورد نظر را به منزل و یا محل کار خود برده و اقدام به مطالعه آن خواهید نمود. در این حالت شخص دیگری نمی تواند کتاب مورد نظر را به امانت بگیرد. حال هنگامی که شما مطالعه کتاب را به اتمام رسانید، کتاب مورد را به کتابخانه باز خواهید گرداند (Check In). در این حالت افراد دیگر نیز می توانند از کتاب مورد نظر استفاده کرده و آن را به امانت ببرند. چنین سناریوی را می توان با استفاده از قابلیت کنترل تغییرات در AGPM در نظر گرفت.

 

هنگامی که فردی مایل به انجام تغییرات در یگ GPO می باشد، ابتدا می بایست GPO مورد نظر را از محل آرشیو آن خارج نموده (Check Out)، اقدام به ویرایش آن کرده و سپس آن را به محل آرشیو بازگرداند (Check In). در فاصله میان دو عملیات Check Out و Check In، شخص دیگری نمی تواند GPO مورد نظر را مورد ویرایش قرار دهد. همچنین تمامی تغییرات انجام گرفته در مرحله Check Out در محلی ذخیره شده و لذا براحتی می توان تغییرات انجام شده بر روی GPO مورد نظر را مشاهده نموده و یا حتی بفهمیم که چه کسی این تغییرات را در چه زمانی به انجام رسانیده است.

 

نکته 1: قابلیت فوق به صورت پیش فرض فعال بوده و لذا به منظور استفاده از آن نیاز به هیچگونه تنظیماتی نیست.

 

نکته 2: همچنین شما می توانید تغییرات انجام گرفته را با هم مقایسه نیز نمایید.

 

تفویض اختیار جهت مدیریت GPOها: AGPM می تواند این قابلیت را در اختیار شما قرار دهد که به واسطه آن بتوانید مدیریت GPOها را با افراد مورد نظر خود بسپارید. به طور کلی چهار نقش در AGPM وجود دارند که می توان آن را به افراد مختلفی تفویض اختیار نمود. این چهار نقش عبارتنداز: نقش Administrators، نقش Reviewers، نقش Editors و در نهایت نقش Approvers. با وجود این قابلیت می توان مدیریت صحیح GPO را به افراد مختلفی سپرده و در نهایت کنترل بهتری در مدیریت آنها داشته باشید. به شکل زیر نگاه کنید:

 

 

قابلیت جستجو و فیلتر نمودن: AGPM توانایی بسیار بالایی را در خصوص جستجو و یا فیلتر نمودن تمامی جنبه های مرتبط با GPOها را در اختیار مدیران قرار می دهد. به عنوان مثال می توانید بر اساس کسانی که در یک مدت زمان خاص اقدام به ویرایش نمودن GPOها نموده اند، لیست GPOهای موجود را فیلتر نمایید. توضیح در خصوص این قابلیت و چگونگی پیکربندی آن در شرایط گوناگون، مقالاتی در آینده نزدیک در سایت قرار خواهد گرفت.

 

تست تنظیمات انجام گرفته در GPOها قبل از اعمال آنها در شبکه عملیاتی: AGMP این اجازه رو به شما می دهد تا بتوانید GPOها را میان دو forest جابجا نمایید. به عبارت دیگر شما می توانید یک دامین آزمایشی ایجاد نموده، پالیسی های مورد نظر خود را ایجاد و مورد آزمایش قرار داده و در نهایت نیز آنها را به شبکه عملیاتی خود جهت انتقال به سیستم ها و کاربران مورد نظر، انتقال دهید. بدین ترتیب می توانید ریسک اعمال تنظیمات مشکل دار را به حداقل کاهش دهید.

 

استفاده از کنسول GPMC جهت مدیریت AGPM: جالب است که بدانید AGPM ابزاری مجزا جهت مدیریت خود نداشته و به منظور مدیریت آن می توان از GPMC استفاده کرد. به عبارت دیگر این ابزار به صورت کامل با کنسول GPMC ادغام می گردد.

 

در قسمت دوم از این سری مقالات به ساختار عملیاتی AGPM خواهیم پرداخت.