قابلیت‌ها و پیکربندی سیاست‌های گروهی (Group Policy) در شبکه‌ها و ساختار دامنه‌های سازمانی

1 مقدمه
سیاست‌های گروهی شاهکاری فنی و امنیتی در استقرار امنیت در شبکه‌های سازمانی است. سیاست‌های گروهی یا با نام تخصصی Group Policy، ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاست‌های امنیتی به مجموعه‌ای از کاربران و رایانه‌ها در یک ساختار شبکه‌ی سازمانی بکار می‌رود.
 

با استفاده از سیاست‌های گروهی یا به اختصار GP می‌توانید یک سری پیکربندی‌های امنیتی و کاربردی را عملیاتی نمایید. در واقع استفاده از GP ابزار اعمال سیاست‌های امنیت فناوری اطلاعات در شبکه‌های سازمانی به صورت متمرکز و یکپارچه است. این سیاست‌های گروهی می‌توانند در سیستم‌های محلی و یا شبکه‌های مبتنی بر کنترل کننده‌ی دامنه به صورت متمرکز و سراسری اعمال شوند که استفاده از آن در شبکه‌هایی با ابعاد متوسط و بزرگ به صورت متمرکز از طریق سرویس‌دهنده‌ی کنترل‌کننده‌ی دامنه خواهد بود. در این مستند ضمن معرفی ساختار و قابلیت‌های فنی سیاست‌های گروهی، برخی از مهمترین سیاست‌های امنیتی موثر نیز معرفی و نحوه‌ی پیکربندی آن در شبکه‌های سازمانی آموزش داده خواهد شد.

2 معرفی
سیاست گروهی ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاستهای امنیتی یا مرتبط با امنیت به مجموعه‌ای از کاربران و رایانهها یک ساختار Active Directory به کار می‌رود. از طریق سیاست گروهی یا به اختصار GP می‌توان مجموعه‌ای از تنظیمات امنیتی و کاربردی را در سیستمهای رایانه‌ای متصل به شبکه و زیرساخت سازمانی انجام داد. در سیستم‌های محلی یا سیستم‌های که به عنوان سرویس‌دهنده استفاده می‌شوند و دارای کنترل کنندهی دامنه و Active Directory نیستند، می‌توان یک #‫GPرا به مجموعه‌ای از کاربران اعمال کرد. ولی در شبکه‌هایی که شامل کنترل‌کنندهی دامنه و Active Directory هستند، می‌توان GP را به رایانه‌ها، کاربران و واحدهای سازمانی اعمال کرد.
سیاست گروهی در شبکه‌ها، به منزله یک شئ[1] است و می‌توان به ازای هرکدام از اشیاء در دامنه، یک GP داشت؛ از این رو به آن Group Policy Object یا به اختصار GPO گویند. نکته‌ی دیگری که باید دقت کرد، این است که به یک کاربر یا سیستم بیشتر از 999 شئ GP نمی‌توان اعمال کرد.
در محیط Active Directory، سیاست گروهی ابزاری است که امکان مدیریت متمرکز پیکربندی را فراهم می‌آورد. کوچکترین عنصر در سیاست گروهی، که یک پیکربندی را مشخص می‌کند، Policy Setting است که به اختصار به آن Policy یا سیاست گفته می‌شود. هزاران سیاست در سیاست گروهی وجود دارند که هر یک، معرف پیکربندی روی کاربران یا محدودهای از سیستم‌هایی که روی آن اعمال می‌گردند. جهت ویرایش سیاست‌ها، ابزارهای Group Policy Management Editor (GPME) و PowerShell در دسترس‌اند، که در ادامه مستند به آن پرداخته میشود.
1-2 سیاست
سیاست‌ها به صورت عمومی به دو دسته با عناوین زیر تقسیم می‌شوند:

• پیکربندی کاربران[1]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه سیستمی به شبکه دسترسی دارد، در محدوده خود بر روی کاربران اعمال می‌شوند. پیکربندی سیاستهای گروهی، زمانی که کاربران وارد سیستم می‌شوند و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.
• پیکربندی کامپیوترها[2]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه چه کاربری از سیستم رایانهای استفاده می‌کند، در محدوده خود روی کامپیوترها اعمال می‌شود. پیکربندی کامپیوترها در زمانی که کامپیوتر اجرا و راهاندازی می‌شود و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.

هر دو مجموعهی فوق شامل Policy و Preferenceهایی یا سیاستها و اولویتهایی هستند که مجموعا شامل حدود ۶۰۰۰ شئ است.