پيشرفت هاي Group Policy
 

Group Policy در ويندوز ويستا دستخوش تغييراتي شده است. اين موضوع کاملاً اجتناب ناپذير و منطقي به نظر مي رسد. اين تغييرات شامل تنظيمات اضافي Policy، يک تغيير در ساختار و موارد ديگر است. حتي بعضي از تغييرات اين بخش تا زمانيکه Windows Server2008 عرضه نشده بود، بطور کامل درک نشده بودند. اما ويندوز ويستا يک نگاه اجمالي از آينده را در اختيار کاربران قرار داد.
Group Policy يک موضوع بسيار گسترده است که توضيح کامل آن در يک مقاله نسبتاً دشوار است و به يک کتاب کامل نياز دارد. فرض ما اين است که شما تا حدودي با مقدمات اين مبحث آشنايي داريد. Group Policy فناوري مديريت پيکر بندي اصلي است که در ارتباط با Active Directory براي کنترل امنيت، دسک تاپ، استقرار نرم افزاري و ساير جنبه هاي يک سيستم مورد استفاده قرار مي گيرد.
براي افراد عاشق کار با GPMC) Group Policy (Management Console) که در ابتدا بصورت يک بارگذاري براي ويندوز XP و Windows Server2008 ارائه شد، بايد بگوئيم که GPMC در ويندوز ويستا ادغام گرديده است. بنابراين، تمام کاري که براي دسترسي به اين ابزار بايد انجام دهيد، تايپ عبارت Gpmc.msc در فيلد جستجو است.
توجه داشته باشيد که حتي کاربران خانگي نيز مي توانند از دانش خود درباره Policy بهره گيري نمايند، زيرا هر کامپيوتر داراي يک Policy محلي است که کاربران مي توانند آن را بصورت دستي پيکر بندي نمايند. Group Policy با يک راه حل بزرگتر و Enter Prise جهت اعمال تغييرات بر روي يک سيستم بدون مراجعه فيزيکي به ماشين و تغييرات Local Policy آن سرو کار دارد. اگر مي خواهيد به Policy محلي خود دسترسي پيدا کنيد، مي توانيد از طريق Group policy Object Editor- inبه آن برسد. براي اين منظور، بر روي Start کليک کرده و سپس عبارت gpedit.msc را در فيلد Search تايپ کنيد.

افزايش تعداد Policyها
 

تعداد Policy هايي که مي توانيد از آنها استفاده کنيد، افزايش يافته است. در واقع ، آنها تقريباً دو برابر شده اند. Danny kim مدير ارشد فناوري FullArmor Corp مي گويد:" XP SP2 بين 1200 تا 1500 تنظيم دارد. در ويندوز ويستا، اين تعداد به 3000 تنظيم رسيده است. در مايکروسافت يک الزام " نرم " وجود داشته است که تمام گروه هاي مختلف بايد قابليت هاي Group Policy را به محصولات خود اضافه نمايند. تقريباً 80 درصد از تنظيمات جديد به امنيت مربوط مي شوند."
اين يک خبر عالي به حساب مي آيد. هر چه Policy هاي بيشتر باشند، کنترل بهتري در اختيار ما قرار مي گيرد. ما بدون شک در آينده شاهد افزايش تعداد اين تنظيمات خواهيم بود.Micheal Pietroforte که 15 سال سمت سرپرستي سيستم ها را بر عهده داشته و اکنون به عنوان سرپرست ارشد بخش IT دانشگاه مونيخ فعاليت مي کند، مي گويد:
"اگر جداول Excel حاوي تمام تنظيمات را مقايسه کنيد، مي توانيد تعداد تنظيمات جديدي را که با ويندوز ويستا معرفي شده اند را محاسبه نمائيد. تعداد 1671 تنظيم در Windows 2000/XP/2003 وجود داشته اند. ويندوز ويستا 824 تنظيم جديد را به اين مجموعه اضافه کرده است. در نتيجه ما اکنون 1495 سوئيچ را براي تنظيم ويندوز در اختيار داريم. به اين ترتيب تحت کنترل داشتن Group Policy دائماً دشوارتر و دشوارتر مي گردد. "
ممکن است تعجب کنيد که منظور از جداول Excel چيست، اما اگر از مرکز بارگذاري مايکروسافت بازديد کرده و به جستجوي Vista GP settings xls بپردازيد، يک فهرست گسترده از 2495 تنظيم Policy و همچنين فهرستي از اطلاعات مهم مربوط در اختيارتان قرار مي گيرد. جدول ( 1) مثالي از آنچه که فهرست مذکور براي هر تنظيم Policy فراهم مي نمايد را نشان مي دهد:

Active XInstall Service.admx	Filename
Machine	Scop
Windows Components /Active Xinstaller Service	Policy Path
Approved   Installation Sites  For  Active X Controls	Policy Setting Name
Atleast Windows Vista	Supported On
The Active X installer Service Is The Solution To delegate The install of per-machin Active X Controls to a Standard User in The enterprise. The List of approved Active X install Sites contains the host URL and the Policy Settings for each host URL. Windows are not supported.	Explain Text
HKML/SOFT WARE/ Policies/Microsoft/ Windows/Axinstaller! Approved List HKML/SOFTWARE/Microsoft/ Windows/Axinstaller! ApprovedActiveXInstallSites	Registy settings
No	Reboot Required
No	Log Off Required
None	Active Directory Schema or Domain Requirement

تمام تغييرات با استفاده از يک سيستم ويستا براي مديريت GP اعمال مي شوند. پس از آنکه کار آشنا نمودن ويستا با محيط خود را آغاز کرديد، بايد مديريت GP را از سيستمهاي ويستا شروع نمائيد. در واقع، تنظيمات ويستا يک Superset از موارد موجود در XP هستند. بنابراين شما مي توانيد يک GPO را بر روي ويستا ايجاد نمائيد که بر GP و ويستا تأثير مي گذارد، اما اقلام جديد مخصوص ويستا صرفاً توسط ويندوزهاي XP/2003 و نظاير آنها ناديده گرفته خواهند شد.
بنابراين، ايستگاه کاري سرپرستي Domain Policy شما بايد در حال اجراي ويندوز ويستا باشد. ويستا مي تواند براي مديريت تمام سيستم هاي عاملي که از Group Policy پشتيباني مي کنند ( از Windows2000 به بالا) مورد استفاده قرار گيرد.

فايلهاي ADMX
 

همانطور که احتمالاً متوجه شده ايد، نام فايل Policy که قبلاً به آن اشاره کرديم، يک فايل ADMX بود. اين يک ويژگي جديد در Group Policy ويستا است. جهت شناخت و تحسين واقعي مزاياي آن براي ما، بايد با نحوه کار فايل هاي ADM آشنا شويم.
فايل هاي ADM، الگوهائي ( الگوهاي سرپرستي) هستند که بطور پيش فرض در فولدر windir%inf% قرار گرفته اند. بعضي از مثال هاي فايل هاي ADM عبارتند از system.adm ( براي تنظيمات سيستم عامل ) و inetres.adm ( براي تنظيمات IE ). هنگاميکه شما GP Object Editor يا Management Console را باز مي کنيد، الگوهاي موجود بر روي ماشين خودتان را مي بينيد. هنگاميکه يک تغيير Policy را اعمال مي کنيد، يک فايل registry.pol با تمام تنظيمات رجيستري تعريف شده مطابق با فايل الگو، در GPO Container( Group Policy Object) ايجاد مي گردد.
ماشيني که اين Policy را دريافت مي کند، به هيچ وجه نيازي به همه آن فايل هاي ADM نخواهد داشت زيرا داراي يک رجيستري بوده و مي تواند تغييرات را در آن اعمال نمايد. در شکل ( 1) شما مي توانيد مثالي از فرمت ADM را مشاهده نمائيد.
اگر با ترکيب گنگ و نامفهوم فايلهاي ADM به اندازه کافي آشنائي پيدا کنيد، مي توانيد Policy هاي رجيستري خودتان را ايجاد کرده و کلاينتهايتان را به شيوه خودتان پيکربندي نمائيد. با اينحال، ويندوز ويستا اين ترکيب ( Syntax ) را کاملاً به XML تغيير داده و فايل ها اکنون به فرمت ADMX تبديل شده اند که مي توانيد آنها را در فولدر Windir/% Policy Definition بيابيد.
فايل هاي جديد ADMX/ADML کار خود را دقيقاً از همان نقطه اي آغاز مي کنند که فايل هاي ADM متوقف شده بودند. آنها هنوز تنها نقش الگوها را بازي مي کنند و تنها براي سرپرستاني مورد استفاده قرار مي گيرند که در حال ايجاد يا ويرايش Policyهاي گروهي، محلي و يا دامنه هستند. "end-Machin" ها و " end-User "هاي مديريت شده به هيچوجه اين موضوع که تنظيمات Policy در ويندوز ويستا ( با استفاده از فايل هاي ADML/ADMX ) پيکربندي شده اند يا Windows2000/2003 ( با استفاده از فايل هاي ADM)، آگاه نخواهند شد. ما هنوز صرفاً فايل هاي registry.pol را ويرايش و توزيع مي کنيم. به همين دليل است که فايل هاي ADM و ADML/ADMX مي توانند به همزيستي بپردازند. شما در طول کارهاي سرپرستي Policy روزمره خود متوجه حضور فايل هاي ADMX نخواهيد شد.
بنابراين ممکن است بپرسيد که چرا اکنون هر دو نوع فايل هاي الگوي ADML و ADMX را در اختيار داريم. خوب، دليل اين وضعيت آن است که فايل هاي ADM تنها از يک زبان واحد پشتيباني مي کردند، اما اکنون ما به پشتيباني چند زبانه واقعي رسيده ايم. بر روي يک ويندوز XP فرانسوي، تنها فايل هاي ADM فرانسوي درج مي شدند و بر روي يک ويندوز XP دانمارکي نيز فايل هاي ADM دانمارکي درج شده بودند. در واقع شما نمي توانستيد هر دو آنها را داشته باشيد. فايل هاي ADMX از نظر زباني خنثي هستند و برخلاف فايل هاي ADM ، توضيحات Policy را در خود درج نمي کنند. در مقابل، آنها به ADML مراجعه مي نمايند که فايل هاي با زبان مخصوص هستند: براي هر زبان مورد نظر به يک فايل ADML جداگانه نياز خواهد بود که باعث مي شود فايل هاي ADMX بدون هيچ تلاش چشمگيري بصورت "چند زبانه" درآيند.
فايل هاي ADMX و ADML از يک فرمت مبتني بر XML بهره گيري مي نمايند که خواندن ، نوشتن و درک آن آسانتر خواهد بود ( هر چند که ما هنوز فکر مي کنيم ايجاد فايل هاي خودتان بصورت دستي کار دشواري است) . شايد اکنون ايجاد Administrative Templates براي برنامه نويسان و يا ابزارهاي Group Policy طرف ثالث آسانتر شده باشد، اما نه براي يک کاربر عادي. ما عملاً تصور نمي کنيم که با XML در Notpad خوب قديمي کار آسانتري را پيش رو داشته باشيم. متأسفانه، اين روزها شما نمي توانيد اطلاعات چنداني را درباره ايجاد يا سفارشي سازي الگوهاي ADMX خودتان بدست آوريد. به نظر مي رسد که اين موضوع در حال حاضر به يک "راز" شباهت دارد، اما شما مي توانيد از يک يوتيليتي نظير XML Notpad2006v1.0 براي مشاهده و ويرايش مضمون آنها استفاده کنيد. ويژوال استوديو نيز با استفاده از Intellisense ( فناوري که به برنامه نويس در طول کار وي کمک کرده و کلاس ها، متدها، خصوصيات، ترکيب و ساير موارد قابل دسترسي را نمايش مي دهد) قادر به پشتيباني و " درک " فرمت XML مي باشد. شما همچنين مي توانيد از ساير ابزارهاي XML يا کتابخانه هاي برنامه اي XML ( نظير NET Framework ) براي ايجاد / ويرايش فايل هاي ADMX استفاده نمائيد. البته بايد به ياد داشته باشيد که " بهترين روش " هنوز اين است فايل هاي ADMX پيش فرض را دست نخورده باقي گذاشته و نسخه هاي سفارشي سازي شده خودتان را از آنها ايجاد نمائيد. شما مي توانيد مرجع ADMX Schema را بطور آنلاين مشاهده کنيد. در شکل ( 2) شما مي توانيد يک مثال از فرمت ADMX را مشاهده نمائيد.

يک ابزار تبديل از ADM به ADMX
 

بعضي از سرپرستان احتمالاً به اين موضوع فکر مي کنند که بايد الگوهاي موجود خود را براي انتقال به ADMX بازنويسي نمايند. اگر از ابزار رايگان ADMX Migrator استفاده کنيد ( که مي توانيد آن را بر روي مرکز بارگذاري مايکروسافت بيابيد)، نيازي به بازنويسي اين الگوها نخواهيد داشت. اين ابزار براي تبديل فايل هاي ADM شما به فرمت جديد ADMX مورد استفاده قرار مي گيرد.
با ADM، شما بايد بيش از يک فايل را براي پشتيباني از زبان هاي متعدد ايجاد مي کرد اما ADMX شامل پشتيباني از زبان هاي چند گانه است. بعلاوه، شما يک مخزن واحد مرکزي براي فايل هاي خود در اختيار خواهيد داشت. اين وضعيت به جلوگيري از داشتن نسخه هاي متعددي از يک فايل واحد ( که با فايل هاي ADM دائماً اتفاق مي افتد ) کمک خواهد کرد. فايل هاي ADMX در يک محل واحد ذخيره مي شوند که تکرار مي گردد. اين ويژگي، در فضاي شما بر روي کنترلرهاي دامنه تان صرفه جوئي نموده و مديريت فايلها را بسيار آسانتر مي کند.
شما با ADMX Migrator در عين حال يک ويرايشگر ADMX را نيز دريافت مي کنيد که يک GUI را براي ايجاد و ويرايش الگوها در اختيارتان مي گذارد. به جاي آنکه بطور دستي با فايل هاي خود کار کنيد، مي توانيد تنظيمات را از گزينه هاي منو انتخاب نمائيد.

مخزن مرکزي
 

Derek Melber يکي از مديران DesktopStandard Crop. در مقاله اي مي نويسد:" يکي از ويژگي هاي مورد علاقه من در ويستا، معرفي مخزن مرکزي ADMX است. اين ويژگي يک شيوه متمرکز براي بروزرساني ، ذخيره سازي و مديريت فايل هاي ADMX را فراهم مي نمايد. ديگر نيازي نيست که فايل هاي ADMX در داخل هر GPO ذخيره شوند. در مقابل، هر GPO براي يافتن فايل هاي ADMX به جستجو در يک مخزن مرکزي مي پردازد. اين وضعيت باعث صرفه جوئي در فضاي مورد استفاده بر روي کنترلرهاي دامنه گرديده و امکان مديريت آسانتر اين فايل ها را بوجود مي آورد."
چرا ويژگي مذکور تا اين اندازه جالب است؟ خوب، پياده سازي هاي قبلي Group Policy هاي حوزه دامنه، فايل هاي ADM را در فولدر SYSVOL با آدرس SystemRoot%/SYSVOL/sysvol/domain name/Policies/{GPO-GUID}/ADM% ذخيره سازي مي کردند که { GUID-GPO } در آن فولدري است که بر اساس ( GUID ( globally unique identifier ) هر GPO مجزا نامگذاري مي شد. بنابراين، اگر25 GPO براي دامنه خود داشتيد، 25 کپي از هر يک از فايل ها ADM را در فولدر SYSVOL خود ذخيره کرده بوديد که تازه بايد تکرار مي شد. در چنين شرايطي، هر GPO حداقل به 4 مگابايت فضا نياز خواهد داشت.
اين وضعيت بطور غير ضروري بر ترافيک Replication در مواقعي که ( FRS (File Replication Services ) مضمون SYSVOL را مابين کنترل هاي دامنه در دامنه شما تکرار مي کند، خواهد افزود. با اين حال در Windows server 2008 شما مي توانيد يک کپي واحد از هر فايل ADMX را در SYSVOL ذخيره نموده و در نتيجه ترافيک Replication را کاهش دهيد که ويژگي خوبي به حساب مي آيد. البته اين وضعيت تنها در صورتي عملي خواهد بود که ماشين هاي کلاينت شما در حال اجراي ويندوز ويستا باشند زيرا نسخه هاي قديمي تر ويندوز از فايل هاي ADMX پشتيباني نمي کنند.
همانطور که قبلا نيز اشاره کرديم، Windows Server 2008 به شما امکان مي دهد تا تمام فايلهاي ADMXرا در SYSVOL يا بطور دقيق تر آدرسPolicyDefinitions%/ Policies SystemRoot%/sysvol/domain/ ذخيره نمائيد، برخلاف روش ذخيره سازي فايل هاي ADM در داخل هر GPO. اما در نظر داشته باشيد که ( CG (Central Store ) به معناي آن نيست که شما الزاماً به Server 2008 نياز خواهيد داشت.CS مي تواند به SYSVOL يک دامنه Windows 2000/2003 اضافه شده و بخوبي کار کند. Group Policy براي سازماندهي و استقرار تنظيمات از Active Directory و همچنين براي ذخيره سازي و تکرار داده ها از فولدر SYSVOL استفاده مي نمايد ، اما Group Policy در اعماق خود يک معماري طرف کلاينت به حساب مي آيد.
CS هيچ ابزاري براي ايجاد اين فولدر بر روي کنترلرهاي دامنه شما ندارد. هيچ اينترفيس کاربري براي ايجاد و تکثير Central Store در ويندوز ويستا وجود ندارد، اما فرآيند انجام اينکار بسيار ساده بود و بايستي تنها يکبار براي هر دامنه انجام شود. تمام کاري که بايد انجام دهيد ايجاد فولدر Central Store است که ترجيحاً بايد بر روي کنترلر دامنه اصلي ( PDC Emulator ) ايجاد گردد زيرا GPMC و GPOE هر دو بطور پيش فرض به PDC متصل مي شوند. سپس، تمام فايل هاي ADMX را به اين دايرکتوري کپي کرده ، يک فولدر فرعي براي هر زبان ايجاد نموده، فايل هاي ADML را به اين دايرکتورها کپي کرده و به ( FRS (File Replication Service ) اجازه دهيد تا وظيفه خود براي کپي نمودن مضمون به تمام DC ها را انجام دهد.

چند نکته اضافي
 

اگر بخواهيد الگوهاي جديدي را با فايل هاي ADM اضافه کنيد، بايد از جعبه محاوره اي Add/Remove Templates در GP Object Editor استفاده نمائيد. اينکار هنوز با فايل هاي ADM امکان پذير است، اما در مورد فايل هاي ADMX شما چنين گزينه اي را در اختيار نخواهيد داشت. GP Object Editor جديد تمام فايل هاي ADMX را در هنگام راه اندازي خود از CS ( يا دايرکتوي محلي ) خوانده و بارگذاري مي کند. اگر مي خواهيد فايل هاي ADMX سفارشي سازي شده را اضافه نمائيد،صرفاً بايد فايل مورد نظر را در دايرکتوري محلي يا CS کپي کرده و سپس GP Object Editor را مجدداً راه اندازي نمائيد.
در اينجا به چند نکته اشاره مي کنيم که بهتر است آنها رابه ياد داشته باشيد:
- ابزارهاي Group Policy نظير GPOE/GPMC زبان نمايشي خود را بر اساس زبان پيکربندي شده سيستم عامل سرپرست تنظيم مي کنند. ويندوز ويستا داراي يک مکانيزم Language fallback است که اگر هيچ فايل زباني براي زبان سيستم عامل کابر در دسترس قرار نداشته باشد، وارد عمل خواهد شد. زبان انگليسي بعنوان زبان پيش فرض Fallback در نظر گرفته مي شود و به همين دليل يک فايل زباني از فولدر US-EN ارجحيت خواهد داشت. اگر فايل ADML انگليسي نيز قابل دسترسي نباشد، تنظيمات Policy بدون هيچ متن و توضيحي تحت Extra Registry Settings نمايش داده مي شوند.
- همچنين در نظر داشته باشيد که مکان فايل الگوهاي Administrative Template در ويندوز ويستا تغيير کرده است. نسخه هاي قبلي ويندوز، فايل هاي ADM را در دايرکتوري WINDIR%/inf% قرار مي دادند اما در ويندوز ويستا فايل هاي ADMX در داخل دايرکتوري Policy Definitions WINDIR%/%inf و فايل هاي ADML متناظر آنها در Language Folder% >Policy Definitions WINDIR%> قرار مي گيرند.
<Language Folder> مي تواند براي انگليسي U.S بصورت EN-US و يا براي فرانسوي بصورت FR باشد.

آگاهي از موقعيت شبکه
 

دلايل فراواني وجود داشته و دارند که يک Policy ايجاد شده توسط شما نبايد براي يک مدت زمان طولاني بر روي يک سيستم اعمال گردد. بر روي شبکه منظم شما، يک Policy بصورتي تنظيم مي شود تا تنها در هنگام راه اندازي ماشين ( براي تنظيمات کامپيوتر) و يا در هنگام Logon کاربر ( براي تنظيمات کاربر ) و سپس هر90 دقيقه يکبار ( با يک زمان انتقال 30 دقيقه اي ) بعنوان فواصل نوسازي بر روي کامپيوتر اعمال گردد. شما همچنين مي توانيد بصورت فيزيکي به سراغ ماشين مورد نظر رفته و آن را وادار به بروز رساني نمائيد. اما محيط هاي ناپايدار شبکه، ارتباطات VPN و سيستمهائي که هرگز خاموش يا Reboot نمي شوند( سيستم هائي که صرفاً در وضعيت Hibernate يا Standby قرار مي گيرند)، همگي مي توانند با اين فرآيند تداخل داشته باشند. در واقع، اين فرآيند مي تواند براي وادار نمودن يک Policy استاندارد به اعمال سريع، نااميد کننده باشد.
( SLD (Slow Link Detection)) يکي از ويژگيهاي نرم افزار کاربردي Policy بود که براي تعيين اين نکته که آيا يک اتصال کند ( بطور پيش فرض، کندتر از 500 کيلوبيت بر ثانيه ) مابين DC و سيستم قرار گرفته است يا خير، از (ICMP ( Internet Control Message Protocol )) استفاده مي کرد. با اينحال، گاهي اوقات ICMP ( درخواست Ping/Echo ) توسط روترها فيلتر شده و يا فايروالها به اين پيامها اجازه عبور از خود را نمي دهند که در نتيجه Policyها هرگز اعمال نمي شوند زيرا اين واقعيت که يک لينک سريع يا کند در مسير قرار گرفته است هرگز قابل تائيد نمي باشد.
اين همان جائي است که ( NLS Ver2.0 ( Network Location Awareness)) وارد ميدان مي شود. NLS بطور پيوسته بر شرايط شبکه نظارت داشته و به تغييرات ايجاد شده در شرايط شبکه و دسترس پذيري منابع، واکنش نشان مي دهد.
در گذشته، Group Policy تنها زماني نوسازي مي شد که شما Login مي کرديد. کاربران خواستار يک مکانيزم زمانبندي شده تر بودند. اگر شما يک تنظيم امنيتي داشتيد به يک دسک تاپ فرستاده شود، مطمئناً نمي خواستيد براي اعمال آن تنظيمات 90 دقيقه منتظر بمانيد. اگر يک کلاينت به شبکه متصل شده و يک تغيير شبکه را تشخيص دهد ( براي مثال، اگر يک کاربر وضعيت خود را از شبکه کابلي به شبکه بي سيم تغيير دهيد ) Group Policy بلافاصله نوسازي خواهد شد.
هنگاميکه يک کامپيوتر در حال بوت است، زماني که براي تلاش جهت اعمال Policy حتي در وضعيتي که شبکه هنوز قابل دسترسي نمي باشد صرف مي گردد، مي تواند طاقت فرسا باشد. ويندوز ويستا شاخص هايي را براي نرم افزارهاي کاربردي Group Policy تأمين مي کند که نشان مي دهند NIC فعال يا غيرفعال است و همچنين شاخص هائي را براي تعيين دسترس پذيري شبکه فراهم مي نمايد.
ويندوز ويستا توانايي يک کلاينت براي تشخيص مواقعي که يک کنترلر دامنه قابل دسترسي مي باشد و يا زماني که يک کنترلر دامنه پس از مدتي Offline بودن مجدداً قابل دسترسي مي شود را معرفي کرد. اين ويژگي براي ارتباطات دسترسي از راه دور نظير Dial-up و VPN بسيار ايده آل است.
ديگر براي تعيين سرعت ارتباط با کامپيوتر، به ( ACMP ( PING ) تکيه نخواهد شد. اين روش براي ارتباطات شبکه کند مورد نياز بود اما اگر ICMP به دلايل امنيتي غير فعال مي شد، کامپيوتر درخواست PING را رد مي کرد و در نتيجه نرم افزار کاربردي Group Policy ناکام مي ماند. حالا آگاهي از موقعيت شبکه ( Network Location Awareness )NLA وظيفه تعيين پهناي باند را اداره کرده و امکان نوسازي موفق Policy را فراهم مي سازد.
به اين ترتيب مي تواند ديد که ( NLA (Network Location Awareness)) مي تواند با نرم افزارهاي کاربردي GP براي ما مفيد باشد. اين بهبودها تضمين مي کنند که Policyها در هنگام دسترس پذيري DC ها، بر روي ارتباطات VPN، از طريق تنظيمات فايروال، هنگاميکه سيستم از وضعيت Hibernation بازيابي مي شود، هنگامي که شما به/ از يک شبکه بي سيم داخل يا خارج مي شويد، هنگاميکه لپ تاپ خود را بر روي ايستگاه DOCK آن قرار مي دهيد و بسياري شرايط ديگر، اعمال خواهد شد.
اين ارتقاء در عين حال باعث بهبود امنيت خواهد شد، زيرا Policy ها به سرعت اعمال مي شوند، بنابراين اگر شما تغييري را بر روي جنبه هاي امنيتي شبکه خود ايجاد کرده باشيد، اين تغييرات با سرعت و اعتمادپذيري بيشتري اعمال خواهند گرديد.

GPOهاي محلي متعدد
 

در سيستم هاي پيش از ويستا، شما يک خط مشي گروهي محلي ( Local Group Policy) واحد را براي پيکربندي در اختيار داشتيد. اين وضعيت در شرايطي که تلاش مي کنيد چيزي را براي کاربران غير فعال نمائيد ( نظير فرمان RUN ) اما نمي خواهيد براي سرپرست محلي غير فعال شود، نا اميد کننده خواهد بود. اگر تاکنون ماشين هاي کيوسک را پيکربندي کرده باشيد، بدون ترديد خودتان را در شرايط جدال با Policy محلي براي تغيير Policy، اعمال تغييرات و سپس فعال نمودن مجدد Policy يافته ايد.
ويندوز ويستا داراي ( MLGPO ( Multiple Local Group Policy Object براي محيط non-AD ما مي باشد که در آن مي توانيم Policyهاي متفاوتي را در بين کاربران و سرپرستان پيکربندي نمائيم. بنابراين، ما Default Local GPO ( که تنظيمات پيکربندي کامپيوتر و کاربر را دربر مي گيرد)، يک Local Group Membership GPO که Admins و non-Admins را در بر مي گيرد، بصورتيکه non-Admins هر فردي است که يک سرپرست سيستم محلي به حساب نمي آيد و يک Local Users GPO ( که با کاربران خاص يک سيستم سرو کار دارد) را در اختيار خواهيم داشت. Policyها نيز به همين ترتيب اعمال مي شوند: Default Users GPO سپس Group Membership GPO و نهايتاً Local Users GPO.
در صورتيکه بخواهيد پردازش تمام Policyهاي محلي را متوقف نمائيد، مي توانيد يک تنظيم Policy جديد ( Templates/ System/ Group Policy/Turn off Local Group Policy objects Processing Computer Settings/ Administrative را براي کامپيوترها و کاربران دامنه پيکربندي کنيد.
اگر Policyهاي متعددي وجود داشته باشند، به اين ترتيب اعمال خواهند شد که آخرين Policy اعمال شده قدرتمند ترين آنها بوده و هر گونه برخورد ما بين Policy ها را برطرف مي نمايد. با اينحال، در انتها صرفنظر از اينکه چه مجموعه برآيندي از Policy ها در طرف محلي قرار گرفته اند، هر يک از Policy هاي Active Directory برآنها اولويت خواهند داشت. آخرين Policy اعمال شده، برنده خواهد بود. بنابراين در شرايط يک دامنه ، Policy ها به ترتيب Local GP، سايت دامنه و سپس OU را اعمال مي کنند.

ايجاد Policyهاي جايگزين
 

شما بايد کار را از Microsoft Management Console آغازکرده و Group Policy Object Editor Snap-in را اضافه نمائيد. توجه داشته باشيد که اين روش مشابه باز کردن Policy با فرمان gpedit.msc نخواهد بود زيرا در شيوه مذکور عملاً خود Policy محلي باز مي شود. شما تلاش مي کنيد تا يک Policy متفاوت را پيکربندي نمائيد. وقتي GPOE snap-in را اضافه کنيد، خواهيد ديد که Group Policy Wizard آغاز مي شود.
اگر گزينه Brows را انتخاب کنيد، جعبه هاي محاوره اي Computers/Users با دو برگه باز مي شود که در آن مي توانيد کاربران مجزا را براي پيکربندي و يا Policy هاي Administrators/Non- Administators را انتخاب نمائيد.(شکل 3)
شما مي توانيد کاربر يا گروه ) admin يا non-admin ) مورد نظر خود را براي کار بر روي آن انتخاب کنيد. سپس، کنسول MMC را با گزينه هاي پيکربندي کاربردر اختيار خواهد داشت که مي توانيد به تنظيم آن بپردازيد. با اينحال، همانطور که در شکل ( 4 ) نمايش داده شده است، شما مي توانيد Snap-in هاي ديگري را اضافه کنيد. اين قابليت به شما امکان مي دهد تا همه Policy هاي خود را از يک کنسول واحد پيکربندي نمائيد. شما مي توانيد تمام کاربران و گروه هاي خود را در داخل يک کنسول اضافه کرده و آن کنسول را براي استفاده هاي بعدي ذخيره نمائيد. به اين ترتيب مي توانيد به آساني به ماشين خود دسترسي پيدا کرده و آن را پيکر بندي نمائيد. براي مشاهده موقعيت Local GPO، به GroupPolicy WINDIR%/System32%/ برويد. براي مشاهده GPOهاي ويژه کاربر يا گروه، به%WINDIR%/System32/ GroupPolicy Users برويد که در آن Policy را در داخل ساختارهاي فولدري با نام هائي بر اساس SIDهاي (Security ID ) کاربران يا گروه ها خواهيد ديد.

تنظيمات جديد GroupPolicy
 

ما در آغاز اين مقاله اشاره کرديم که 800 تنظيم Policy جديد در ويندوز ويستا اضافه شده اند. مايکروسافت تلاش مي کند تا حتي جنبه هاي بيشتري را تحت کنترل GroupPolicy در آورد. با اينحال، کداميک از اين تنظيمات در ويندوز ويستا را مي توان در فهرست 10 انتخاب برتر مورد علاقه کاربران قرارداد؟ تنظيماتي که بيش از سايرين مورد توجه قرار گرفته اند، عبارتند از:

Power Management
 

تنظيمات Power Management در مسيرManagementconfiguration/AdministrativeTemplates/System/Power Computer قرار گرفته اند.
براي کاربران خانگي، ويژگيهاي مديريت مصرف برق ويستا احتمالاً به عنوان موضوعي با اهميت حياتي جهت استفاده از ويندوز به حساب نمي آيند. اما براي بنگاه هاي تجاري، مديريت مصرف برق بطور اخص براي کنترل هزينه ها از اهميت فوق العاده اي برخوردار خواهد بود.
توانائي پيکربندي تنظيمات مديريت مصرف برق با استفاده از GroupPolicy به تنهايي مي تواند ساليانه 50 دلار براي هر کامپيوتر دسک تاپ در شبکه شما صرفه جوئي به همراه داشته باشد که در يک شبکه متوسط يا بزرگ، صرفه جوئي غير قابل تصوري را ايجاد خواهد نمود.
دلايل کنترل مصرف برق مي توانند يک تأثير فوري را براي شرکت ها به همراه داشته باشند، زيرا هر دو شرکت مايکروسافت و EPA آزمايش کرده و گزارش داده اند که شما مي توانيد با پياده سازي تنظيمات مديريت مصرف برق بر روي دسک تاپها، ساليانه 50 دلار را براي هر کامپيوتر صرفه جوئي نمائيد. ايده اصلي بسيار ساده است: دليلي وجود ندارد که حتي وقتي کاربر نهائي در محل کار خود حاضر نيست، کامپيوتري را وادار کنيد که تا در وضعيت مصرف برق کامل خود فعال باشد. پيش از ويندوز ويستا، شرکتها جهت کنترل مصرف برق براي Windows 2000/XP بايد به محصولات Desktop Standard و Full Armor تکيه مي کردند.

مسدود کردن نصب ابزار
 

اين تنظيمات در
Computer Configuration/Administrative Templates/System/Device Installation قرار گرفته اند.
تنظيمات مذکور به شما امکان مي دهند تا نصب ابزارها بر روي کامپيوتر هاي داخل شبکه خود را محدود نمائيد. با اين سطح از کنترل ، شما خواهيد توانست تنظيمات Policy را پياده سازي و اجرا نمائيد که قادرند دسترسي به درايوهاي USB,CD-RW يا DVD-RW و همچنين ساير انواع رسانه هاي قابل حمل را مسدود کنند.
براي مثال، ما يک Policy را ايجاد نموده ايم که تعيين مي کند آياشما مي توانيد يک درايو ديسک سخت USB را به ماشين خود متصل نمائيد يا خير. ما مي توانيم اين Policy را به صورتي تنظيم کنيم که تنها دسترسي Read را در اختيار کاربران قرار دهد. بسياري از شرکت ها مي خواهند کارکنان آنها قادر به استفاده از ابزارهاي ذخيره سازي USB باشند، اما نمي خواهند به آنها اجازه دهند که اطلاعاتي را با خود از شرکت خارج کنند. با استفاده از اين ويژگي در کنار فايروال هوشمند داخلي ويندوزويستا، شما مي توانيد دسترسي به اينترنت را واقعاً به ماشين هايي که تنها در بخش و دامنه مورد نظر شما مورد استفاده قرار مي گيرند، محدود نمائيد.

تنظيمات امنيتي با فايروال پيشرفته
 

اين تنظيمات در
Security Computer Configuration/Windows Settings/ Security Settings/ Windows Firewall with Advance قرار گرفته اند.
دو فناوري مرتبط با امنيت يعني IPSec و فايروال در GroupPolicy ترکيب شده اند تا به شما امکان دهند که از هر دو آنها بهره گيري نمائيد. محافظت مي تواند براي ارتباطات سرور به سرور بر روي اينترنت، کنترل منابعي که يک کامپيوتر مي تواند بر روي شبکه به آن دسترسي داشته باشد( بر اساس سطح سلامت کامپيوتر مورد نظر) و دسترسي به منابع بر اساس ملزومات قانوني مربوط به امنيت و حريم خصوصي داده ها، مورد بهره برداري قرار گيرد.

تخصيص چاپگر بر اساس موقعيت
 

اين تنظيمات در
Settings/Deployed Printers computer Configuration/Windows Settings/ Deployed Printers and User Configuration/ Windows قرار گرفته اند.
مديريت چاپگرها با افزايش تعداد کاربران لپ تاپ که از يک مکان به مکان ديگري در سراسر شبکه جابه جا مي شوند، بسيار دشوارتر شده است. GroupPolicy هاي ويندوز ويستا به شما امکان مي دهند تا چاپگرها رابر اساس مکان سايت Active Directory پيکر بندي نمائيد. بنابراين، هنگامي که يک کاربر به مکان جديدي جابه جا مي شود، GroupPolicy نيز چاپگر را بر اساس سايت ( که معمولاً بصورت جغرافيايي و يا توپولوژي فيزيکي سازماندهي شده است) براي آن موقعيت جديد بروز رساني مي کند.

کنترل Windows Defender از طريق GroupPolicy
 

اين تنظيمات در
Computer Configuration/ Administrative Templates/ Windows Components/ Windows Defender قرار گرفته اند.
نرم افزار کاربردي Antispyware مايکروسافت يعني Windows Defender بطور پيش فرض بصورت از پيش نصب شده بر روي ويندوز ويستا ارائه مي گردد و يک مزيت آن براي ما اين است که از طريق GroupPolicy قابل پيکر بندي باشد.

اعطاي وکالت نصب درايور چاپگر به کاربران
 

اين تنظيمات در
Computer Configuration/ Administrative Templates/ System/ Driver Installation قرار گرفته اند. سرپرستان اکنون مي توان توانايي نصب درايورهاي چاپگر ( و ساير درايورهاي ابزار) را از طريق GroupPolicy به کاربران محول کنند. اين وضعيت به کاربران اختيار تام نمي دهد تا هر درايوي را نصب نمايد. شما بايد از طريق يک فهرست از GUID هاي کلاس راه اندازي ابزار مشخص کنيد که کاربر قادر به نصب کدام درايور بر روي سيستم خواهد بود. درايورهاي مورد نظر بايستي بر اساس Windows Driver Signing Policy و يا توسط ناشريني که از قبل در مجموعه Trusted Publisher قرار گرفته اند امضاء شده باشند.

User Account Control
 

اين تنظيمات در
Computer Configuration/ Windows Settings/ Security Settings/ Local Policies / Security Options قرار گرفته اند.
تنظيماتي که تحت عنوان Policy قرار دارند، به شما امکان مي دهند تا تنظيمات User Account Control خود و اعلانهائي که دريافت مي کنيد را پيکربندي نمائيد. اين تنظيمات عبارتند از :
- User Account Control: Admin Approval Mode for Built – in Administrator Account
- User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
- User Account Control: Behavior of the elevation prompt for Standard Users
- User Account Control: Detect application installation and prompt for elevation
- User Account Control: only elevate executables that are signed and validated
- User Account Control: Run all Administrators in Admin Approval Mode :
- User Account Control: Switch to the secure desktop when prompting for elevation
- User Account Control: Virtualize file and Registry write failures to per-user location
شما متوجه خواهيد شد که اکثر اين گزينه ها به اعلانهاي " Elevation " مربوط هستند. شما مي توانيد تعيين کنيد که آيا مي خواهيد براي دريافت موافقت يا اعتبار نامه هاي خود اعلانهائي را دريافت کنيد و يا اينکه مي خواهيد اعلانها بطور کامل غير فعال شوند ( وضعيتي که تا حدودي هدف اصلي UAC را از بين مي برد ).

Policy هاي مربوط به شبکه هاي کابلي و بي سيم
 

Craig Pringle مي گويد:" اگر تصميم گرفته ايد ويندوز ويستا را در محيط شرکتي خود پياده سازي نمائيد و يک دامنه مبتني بر Active Directory داريد، مي توانيد از GroupPolicy براي پيکربندي تنظيمات شبکه سازي بي سيم بر روي کلاينتها استفاده کنيد. براي انجام اين کار، شما بايد شماي داخلي ( schema ) را گسترش دهيد تا خصوصيات اضافي مورد نياز Policy ها را در بر گيرد."
کلاينت هاي کابلي و بي سيمي که ويندوز ويستاي مايکروسافت را اجرا مي کنند، از پيشرفت هايي پشتيباني مي نمايند که مي توانند از طريق تنظيمات GroupPolicy پيکر بندي شوند و توسط کنترلرهاي دامنه اي که Windows server2008را اجرا مي کنند، پشتيباني مي شوند.
براي پشتيباني از اين پيشرفتها در دامنه اي که Windows server2003 يا W222indows server2003 R2 را اجرا مي کند، schema Active Directoryبايد گسترش پيدا کند. مايکروسافت در مورد پيشرفتهاي بدست آمده در زمينه پيکربندي مبتني بر GroupPolicy به موارد زير اشاره مي کند:
- تنظيمات LAN کابلي: برخلاف ويندوزXP، ويندوز ويستا اکنون از پيکربندي اتصالات کابلي IEEE802.1X-authenticated از طريق GroupPolicy پشتيباني مي کند.
- حالت امنيتي ترکيبي (Mixed Security Mode): شما اکنون مي توانيد پروفايل هاي متعددي را با SSIDهاي يکسان و با شيوه هاي امنيتي متفاوت پيکربندي نمائيد، بصورتيکه تمام کلاينتهائي با قابليت هاي امنيتي مختلف بتوانند به يک شبکه بي سيم واحد متصل شوند.
- فهرست هاي ALLOW/Deny براي شبکه هاي بي سيم: شما مي توانيد فهرستي از شبکه هاي بي سيم که کلاينت هاي بي سيم ويستا مي توانند با آنها ارتباط برقرار نمايند و همچنين فهرست شبکه هاي بي سيمي که کلاينتهاي بي سيم ويندوز ويستا نمي توانند با آنها ارتباط برقرار کنند را پيکربندي نمائيد.
- توسعه پذيري ( Extensibility ): شما مي توانيد پروفايل هائي را Import کنيد که داراي تنظيمات امنيتي و ارتباطي خاص فروشندگان بي سيم هستند ( نظير انواع مختلف EAP).

Windows Error Reporting
 

اين تنظيمات تحت دو گروه
Computer Configuration Settings و User Configuration setting در /Computer Configuration Adminstrative Templates/ Windows Components/ Windows Error Reporting و User Configuration /Windows Components/ Administrativ Templantes / Windows Error REporting قرار گرفته اند.
اين تنظيم ، Windows Feedback را تنها براي ويندوز و يا براي تمام مؤلفه هاي غيرفعال مي نمايد. بصورت پيش فرض WindowsFeedback براي تمام مؤلفه هاي ويندوز فعال است.
ويندوز ويستا داراي يک سيستم Event log کاملاً جديد است . موتور GroupPolicy از اين سيستم جديد Windows Evening 6.0 ( که عموماً تحت عنوان Event log شناخته مي شود) بهره برداري نموده و رويدادها را به دو log خاص تقسيم مي نمايد. System log آشنا ( که اکنون به عنوان يک log Administrative ديده مي شود) حاوي مشکلات GroupPolicy است. اگر يک خطا در رابطه با موتور GroupPolicy روي دهد، در System log ظاهر شده و بعنوان يک ورودي از GroupPolicy service( نه پردازش Userenv ) فهرست مي شود.
يک " Application and services log " جديد ( که يک log عملياتي است ) به GroupPolicy اختصاص دارد و رويدادهاي عملياتي را ذخيره مي نمايد. اين log اساساً جايگزين قابل عيب يابي حجيم وسنگينlog . Userenv شده است ، بصورتيکه هر مرحله از موتور Group Policy براي امکان قرائت آسانتر در اين جا فهرست شده است.
منبع:نشريه بزرگراه رايانه شماره 122