۱. آپدیت سرور و FSMO Roles
این اپیزود به بررسی مفاهیم پیشرفته مدیریت دامین، تفویض اختیار، نقشهای حیاتی سرور و کالبدشکافی عمیق گروپ پالیسی میپردازد.
ارتقا و آپدیت ویندوز سرور (DC)
برای آپدیت کردن ویندوز سروری که نقش Domain Controller دارد، دو رویکرد وجود دارد:
- In-place Upgrade: آپدیت مستقیم روی همان سرور که به دلیل احتمال بروز خطاهای ساختاری، به هیچوجه پیشنهاد نمیشود.
- Migration (روش اصولی): یک سرور جدید با ویندوز آپدیتشده بالا میآوریم، دیتابیس و رولها را به آن منتقل (Migrate) کرده و سپس سرور قدیمی را از مدار خارج میکنیم.
نکات حیاتی مدیریت پروفایلها و کنسولها
- پروفایل موقت (Temp Logon): بسیار مهم است که از طریق GPO، لاگین با پروفایل Temp را غیرفعال کنیم. تا اگر ارتباط کلاینتِ دارای «رومینگ پروفایل» با DC قطع شد، ویندوز برای او پروفایل موقت نسازد که باعث از دست رفتن موقتی فایلهایش شود.
- دسترسی ادمین به پروفایل کاربران: با فعالسازی پالیسی
Add the Administrator group to roaming user profiles مشکل عدم دسترسی ادمین به پوشه پروفایل کاربران حل میشود و ادمین هم میتواند محتوای پروفایل رومینگ آنها را ببیند.
- محدودسازی MMC برای Help Desk: میتوانیم برای نیروهای پشتیبانی، کنسول MMC سفارشی بسازیم و Author Mode آن را روی حالت Limited قرار دهیم تا نتوانند اسنپاین (Snap-in) جدیدی اضافه کنند.
- نرمافزار UserLock: یک ابزار جانبی فوقالعاده قدرتمند برای کنترل دقیق لاگینها، مانیتورینگ نشستها و اعمال محدودیتهای پیشرفته در اکتیودایرکتوری است.
- غیرفعالسازی محدودیت مرورگر: در Server Manager، باید قابلیت
IE Enhanced Security Configuration را غیرفعال کنیم تا سرور هنگام باز کردن فایلهای HTML ارور ندهد.
معماری FSMO Roles (Operation Masters)
در اکتیودایرکتوری ۵ نقش کلیدی و منحصربهفرد وجود دارد که بین سرورهای DC تقسیم میشوند:
1. Domain Naming Master
مسئول تخصیص نام به دامینهای جدید و جلوگیری از تکراری شدن نامها.
2. PDC Emulator Master
بسیار مهم! وظیفه اصلی آن دریافت متمرکز گروپپالیسیها و اعمال/همگامسازی آنها به تمام DCهای دیگر است.
3. Schema Master
تنها سروری که اجازه تغییر در ساختار و شاسی اکتیودایرکتوری (اسکیما) را دارد.
4. Infrastructure Master
مسئول بهروزرسانی رفرنسهای اشیاء بین دامینهای مختلف.
5. RID Master
مسئول تخصیص بلوکهای شناسه امنیتی (SID) به DCها برای ساخت موجودیتهای جدید.
مکانیزم و سطوح Group Policy
گروپپالیسی در اکتیودایرکتوری به ۳ سطح اصلی اعمال میشود (مدل LSDOU): Site، Domain و OU. توجه داشته باشید که پالیسی مستقیماً به کانتینر (مثل کانتینر پیشفرض Computers) اعمال نمیشود.
- اولویتبندی (Precedence): پالیسی اعمال شده به دامین، به تمام OUها ارث میرسد. اما اگر در سطح یک OU قانونی متضاد با قانون دامین قرار دهیم، اولویت با نزدیکترین پالیسی (پالیسی OU) است و قانون دامین Override نمیشود.
- موجودیتها: گروپپالیسیها در نهایت همیشه به دو موجودیت اعمال میشوند: یا User یا Computer.
- بررسی تنظیمات: از طریق تب
Settings میتوانیم بفهمیم که در یک پالیسی خاص چه مواردی اعمال شده است.
- Default Domain Policy: پالیسی پیشفرض دامین است که شامل سیاستهای بنیادین (مثل پسورد پالیسی) میشود.
پاسخ به جستجوهای کلیدی (Search!!!)
SearchADMX چیست؟
فایلهای Administrative Templates هستند که تنظیمات رجیستری را مبتنی بر زبان XML به رابط کاربری گرافیکی تبدیل میکنند تا ادمین بتواند با چند کلیک آنها را کانفیگ کند. (جایگزین فرمت قدیمی ADM).
SearchPSO چیست؟
مخفف Password Settings Object. چون یک دامین فقط یک سیاست پسورد اصلی دارد، با PSO میتوانیم برای کاربران یا گروههای خاص (مثل مدیران)، پالیسی پسورد مجزا و سختگیرانهتری تعریف کنیم.
SearchStarter GPO چیست؟
یک الگو یا Template آماده است. اگر تنظیمات استانداردی دارید که باید در تمام GPOهای جدید رعایت شود، یک Starter میسازید و پالیسیهای جدید را از روی آن مشتق میکنید.
زمانبندی و اجبار در آپدیت پالیسیها
به طور پیشفرض، کلاینتها هر ۹۰ دقیقه یکبار گروپ پالیسی را آپدیت میکنند.
تغییر تایم پیشفرض (Search)
برای تغییر این زمان ۹۰ دقیقهای، باید پالیسی Set Group Policy refresh interval for computers را در مسیر System > Group Policy فعال و زمان دلخواه را تنظیم کنید.
تفاوت Block Inheritance و Enforced:
- با بلاک کردن Inheritance روی یک OU، از ورود پالیسیهای بالادستی (مثلاً دامین) به درون آن جلوگیری میکنیم.
- اما قابلیت Enforced بالاترین قدرت را دارد. اگر یک پالیسی دامین را Enforced کنیم، حتی خطِ Block Inheritance را هم میشکند و در هر صورت به صورت اجباری اعمال میشود.
حل تضاد با Link Order
اگر چندین GPO مختلف با هم Conflict داشته باشند، ویندوز سرور بر اساس عددی به نام Link Order در کنار پالیسیها تصمیمگیری میکند. عدد ۱ بیشترین اولویت را دارد و هرچه پایینتر میرود اولویت کمتر میشود.
مادلینگ و رزالت در گروپ پالیسی
Modeling (شبیهسازی)
مادلینگ ابزاری است که شبیهسازی میکند تا ببینیم اگر یوزری لاگین کند چه اتفاقی میافتد. در صورت کانفلیکت، بخش Winning GPO مشخص میکند کدام پالیسی واقعاً برنده شده. مادلینگ فقط پیشبینی سرور است و پشت سیستم تست نمیکند، لذا ممکن است با واقعیت فرق کند.
Results (واقعیت)
اگر بخواهیم وضعیت دقیق و فعلی پالیسیهای اعمال شده روی سیستم کاربر را ببینیم (نه شبیهسازی)، از Results استفاده میکنیم که مستقیماً لاگها و واقعیتِ سیستم هدف را بررسی میکند.
فیلترینگ و استثنائات در GPO
- فیلتر WMI Search: فیلتری شرطی است که اعمال پالیسی را به ویژگیهای سختافزاری/نرمافزاری گره میزند (مثلاً اعمال پالیسی فقط روی سیستمهای ویندوز ۱۱ یا دارای باتری).
- Security Filtering: در تب Scope هر پالیسی، میتوانیم گروه Authenticated Users را پاک کرده و نام یک کاربر خاص را بنویسیم تا پالیسی استثنائاً فقط به او اعمال شود.
- استثنا با Delegation: اگر بخواهیم یک پالیسی به یک یوزر درون OU اعمال نشود، در تب Delegation نام او را وارد کرده و تیک Deny را برای
Apply Group Policy میزنیم.
تضاد بین تنظیمات User و Computer
بخش کوچکی از تنظیمات بین یوزر و کامپیوتر مشترک است. اگر در Computer بگوییم USB بسته باشد، ولی در User بگوییم باز باشد، چون User در مرحله آخر اعمال میشود به Computer اصطلاحاً Override دارد و در نهایت USB باز میماند.
پاسخ به جستجوهای کلیدی (Search!!!)
Loopback Processing چیست؟
به طور استاندارد تنظیمات User براساس محل قرارگیری یوزر در شبکه اعمال میشود. با فعال کردن Loopback به سرور میگوییم: «تنظیمات User را بر اساس کامپیوتری که شخص پشت آن نشسته اعمال کن». (بسیار کاربردی برای کیوسکها و RDS).
ارتباط کند (Slow Network Connection)
اگر سرعت ارتباط از حدی (پیشفرض 500kbps) کمتر باشد، ویندوز آن را کند تشخیص میدهد. در این حالت پالیسیهای سنگین کار نمیکنند، از جمله: Folder Redirection، Software Installation و Roaming Profiles.
قدرت Group Policy Preferences (GPP)
قابلیت Preferences که در سرور ۲۰۰۸ معرفی شد، یک ابزار فوقالعاده کاربردی است که در گروپ پالیسیهای لوکال کلاینتها وجود ندارد. در گذشته برای انجام این کارها روی سیستم کلاینت باید اسکریپت مینوشتیم!
- مپ درایو (Map Drive): یکی از قابلیتهای مهم GPP این است که فولدرهای شیر شده در سرور را مستقیماً به عنوان یک درایو روی My Computer تمامی کلاینتها متصل (Map) میکند.
- تغییر اکشن (Create vs Delete): وقتی یک Preference ایجاد میکنید اکشن روی Create است. نکته مهم: اگر آن را از کنسول دیلیت کنید، از روی سیستم کاربر پاک نمیشود! باید اکشن را از Create به Delete تغییر دهید و اجازه دهید اعمال شود تا از روی سیستم کاربر حذف گردد.
هدفگذاری دقیق (Item-Level Targeting)
این ویژگی در Preferences به معنای واقعی کلمه «گروپ پالیسیِ شرطدار» است. کاندیشنها و شروط آن بسیار کاربردی هستند. مثلاً:
- میتوانیم تنظیم کنیم این پالیسی فقط در ساعات خاصی کار کند.
- شرط بگذاریم که پورت USB کاربر فقط زمانی باز باشد که با سیستم اختصاصی خودش لاگین کرده و اگر روی سیستم دیگری رفت USB مسدود شود.
مدیریت و اعمال ترکیبی پالیسیها
پسورد پالیسی هرگز روی یک OU کار نمیکند و باید Default Policy را تغییر داد (مگر استفاده از PSO). اما برای اعمال پالیسیهای پیچیده:
وقتی میخواهیم پالیسی دو یا چند OU را به یوزری که داخل آنها نیست اعمال کنیم: باید در آن OUها یک گروه (Group) بسازیم، یوزر را عضو آن گروه کنیم تا از هر دو استفاده کند. سپس برای بقیه اعضای OU در تب Security Filter اعمال پالیسی را مستثنی میکنیم.
هشدار امنیتی بسیار مهم
هرگز با پالیسی Default Domain Controllers بازی نکنید و آن را دستکاری ننمایید. اشتباه در این بخش باعث میشود سرورهای DC اصطلاحاً بترکند و از کار بیفتند!
پاسخ به جستجوهای کلیدی امنیت (Search!!!)
Searchمکانیزم LAPS چیست؟
ابزار Local Administrator Password Solution پسورد ادمین محلی (Local) کلاینتها را به صورت خودکار به رمزهای رندوم، کامپلکس و کاملاً متفاوت از هم تغییر داده و آنها را به صورت امن در دیتابیس اکتیودایرکتوری ذخیره میکند تا امنیت شبکه در برابر نفوذ تضمین شود.
Searchپالیسی روی برنامههای جانبی
برای اینکه بتوانیم روی مرورگرهایی مثل کروم، فایرفاکس یا ادوبی از طریق سرور پالیسی اعمال کنیم، باید فایلهای ADMX و ADML مربوط به آنها را از سایت سازنده دانلود و در پوشه PolicyDefinitions ویندوز یا SYSVOL قرار دهیم تا تنظیماتشان به کنسول گروپ پالیسی اضافه شود.
تفویض اختیار (Delegation) و RSAT
با قابلیت Delegate Control میتوانیم تسکهای رایج یا سفارشی را به یوزر عادی اختصاص دهیم تا بدون دسترسی ادمین کل، آن کارها را انجام دهد. نکته مهم این است که یوزر عادی نمیتواند مستقیماً به DC لاگین کند!
او باید از پشت سیستم کلاینت خودش کار کند. برای این منظور، نرمافزار RSAT (Remote Server Administration Tools) را روی ویندوز او نصب میکنیم تا کنسولهای اکتیودایرکتوری به سیستمش اضافه شود.
Searchمحدودسازی Snap-in برای کاربران عادی
برای محدود کردن هلپدسکها در محیط MMC از طریق گروپ پالیسی مسیر زیر را طی میکنیم:
User Configuration > Administrative Templates > Windows Components > Microsoft Management Console
- روش اول: در پوشه
Restricted/Permitted snap-ins هر ابزاری که نمیخواهیم ببیند را Disabled میکنیم.
- روش اصولیتر (وایتلیست): در همان ریشه MMC، پالیسی
Restrict users to the explicitly permitted snap-ins list را فعال میکنیم تا تمام دسترسیها مسدود شود، مگر مواردی که خودمان صراحتاً اجازه دادهایم.