قابليت‌ها و پيكربندی سياست‌های گروهی (Group Policy) در شبكه‌ها و ساختار دامنه‌های سازمانی

سیاست‌های گروهی شاهکاری فنی و امنیتی در استقرار امنیت در شبکه‌های سازمانی است. سیاست‌های گروهی یا با نام تخصصی Group Policy، ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاست‌های امنیتی به مجموعه‌ای از کاربران و رایانه‌ها در یک ساختار شبکه‌ی سازمانی بکار می‌رود. با استفاده از سیاست‌های گروهی یا به اختصار GP می‌توانید یک سری پیکربندی‌های امنیتی و کاربردی را عملیاتی نمایید. در واقع استفاده از GP ابزار اعمال سیاست‌های امنیت فناوری اطلاعات در شبکه‌های سازمانی به صورت متمرکز و یکپارچه است. این سیاست‌های گروهی می‌توانند در سیستم‌های محلی و یا شبکه‌های مبتنی بر کنترل کننده‌ی دامنه به صورت متمرکز و سراسری اعمال شوند که استفاده از آن در شبکه‌هایی با ابعاد متوسط و بزرگ به صورت متمرکز از طریق سرویس‌دهنده‌ی کنترل‌کننده‌ی دامنه خواهد بود. در این مستند ضمن معرفی ساختار و قابلیت‌های فنی سیاست‌های گروهی، برخی از مهمترین سیاست‌های امنیتی موثر نیز معرفی و نحوه‌ی پیکربندی آن در شبکه‌های سازمانی آموزش داده خواهد شد.

2 معرفی
سیاست گروهی ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاست‌های امنیتی یا مرتبط با امنیت به مجموعه‌ای از کاربران و رایانه‌ها یک ساختار Active Directory به کار می‌رود. از طریق سیاست گروهی یا به اختصار GP می‌توان مجموعه‌ای از تنظیمات امنیتی و کاربردی را در سیستم‌های رایانه‌ای متصل به شبکه و زیرساخت سازمانی انجام داد. در سیستم‌های محلی یا سیستم‌های که به عنوان سرویس‌دهنده استفاده می‌شوند و دارای کنترل کننده‌ی دامنه و Active Directory نیستند، می‌توان یک GP را به مجموعه‌ای از کاربران اعمال کرد. ولی در شبکه‌هایی که شامل کنترل‌کننده‌ی دامنه و Active Directory هستند، می‌توان GP را به رایانه‌ها، کاربران و واحدهای سازمانی اعمال کرد.
سیاست گروهی در شبکه‌ها، به منزله یک شئ [1] است و می‌توان به ازای هرکدام از اشیاء در دامنه، یک GP داشت؛ از این رو به آن Group Policy Object یا به اختصار GPO گویند. نکته‌ی دیگری که باید دقت کرد، این است که به یک کاربر یا سیستم بیشتر از 999 شئ GP نمی‌توان اعمال کرد.
در محیط Active Directory، سیاست گروهی ابزاری است که امکان مدیریت متمرکز پیکربندی را فراهم می‌آورد. کوچکترین عنصر در سیاست گروهی، که یک پیکربندی را مشخص می‌کند، Policy Setting است که به اختصار به آن Policy یا سیاست گفته می‌شود. هزاران سیاست در سیاست گروهی وجود دارند که هر یک، معرف پیکربندی روی کاربران یا محدوده‌ای از سیستم‌هایی که روی آن اعمال می‌گردند. جهت ویرایش سیاست‌ها، ابزارهای Group Policy Management Editor (GPME) و PowerShell در دسترس‌اند، که در ادامه مستند به آن پرداخته می‌شود.

1-1 سیاست
سیاست‌ها به صورت عمومی به دو دسته با عناوین زیر تقسیم می‌شوند:

• پیکربندی کاربران [1]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه سیستمی به شبکه دسترسی دارد، در محدوده خود بر روی کاربران اعمال می‌شوند. پیکربندی سیاست‌های گروهی، زمانی که کاربران وارد سیستم می‌شوند و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.
• پیکربندی کامپیوترها [2]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه چه کاربری از سیستم رایانه‌ای استفاده می‌کند، در محدوده خود روی کامپیوترها اعمال می‌شود. پیکربندی کامپیوترها در زمانی که کامپیوتر اجرا و راه‌اندازی می‌شود و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.

هر دو مجموعه‌ی فوق شامل Policy و Preferenceهایی یا سیاست‌ها و اولویت‌هایی هستند که مجموعا شامل حدود ۶۰۰۰ شئ است.

------------------------------------------------------------------------------

[1] User Configuration
[2] Computer Configuration
[1] Object