به بررسی عواملی که سبب اعمال نشدن Group Policy می شوند می پردازم. به صورت کلی زمانیکه شما با مفهوم و نحوه ی عملکرد Group Policy در اکتیو دایرکتوری به خوبی آشنا نباشید،طراحی،پیاده سازی و عیب یابی Group Policy برایتان بسیار دشوار خواهد بود.برای مطالعه در مورد مفهوم گروپ پالسی می توانید به این مقاله مراجعه کنید.در برخی مواقع Group Policy تبدیل به کابوسی برای مدیران شبکه خواهد شد .دانستن پایه و اساس Group Policy و اینکه زمانی که در آن با مشکل مواجه شدید باید از کجا مشکل را بررسی و حل کنید،در عیب یابی آن بسیار موثر خواهد بود.به خصوص زمانیکه در یک شبکه نسبتا بزرگ مشغول به کار هستید و policy های اعمال شده در سطح شبکه نیز وسیع می باشند.در ادامه بر خی از دلایل اعمال نشدن Group Policy را بررسی خواهیم کرد.
IP Address های DNS به خوبی تنظیم نشده است !
برای اینکه GP به صورت کامل و بدون نقص کار کند،باید کامپیوتری که GP مدیریتش میکند به خوبی توسط اکتیودایرکتوری شناخته شده و احراز هویت شود.حال این فرآیند احراز هویت و شناسایی شدن کامپیوترها در شبکه به دوست همیشگی ادمینها، DNS برمی گردد.زمانی که کلاینت از DHCP در شبکه IP میگیرد، به DNS مراجعه میکند تا لیست دامین کنترلرهای شبکه را برای پیدا کردن دامینی که به عضویت آن درآمده است را بگیرد. سپس مجددا از طریق DNS به دامین رسیده و توسط پروتکل Kerberos در دامین احراز هویت میشود و در نهایت وارد دامین میشود.اگر DNS در شبکه به خوبی کار نکند،کامپیوترها نمی توانند از طریق آن دامین را پیدا کنند و مجددا از طریق آن توسط Kerberos احراز هویت شوند و در نهایت نمی توانند به اکتیودایرکتوری دسترسی پیدا کنند،پس تمامی سرویسهای اکتیودایرکتوری از جمله گروپ پالسی fail خواهند شد.پس مثل همیشه،پایه ی بسیاری از مشکلات ممکن است از DNS و خوب کار نکردن آن باشد.همیشه در وهله ی اول برقراری ارتباط در شبکه و صحت DNS را بررسی کنید.
GPO لینک داده نشده است !
با استفاده از کنسول مدیریت گروپ پالسی یا GPMC شما میتوانید گروپ پالسی آبجکت ایجاد و آن را به قسمتهای دیگر لینک دهید.ایجاد گروپ پالسی تنها یک دوم همه ی مراحلی است که برای داشتن گروپ پالسی موثر باید طی شود.سپس GPO باید به نودهای دامین ،OU یا سایت لینک شود.زمانیکه یک GPO به یکی از نودهای اکتیو دایرکتوری لینک میشود،سپس به همه ی آبجکتهای زیر نظر یا در دامنه ی آن نود اعمال میشود.خوب برای اینکه اطمینان حاصل کنید که گروپ پالسی به آن محدوده ای که میخواستید اعمال شده است یا نه،بهتر است تب scope در کنسول زیر را مورد بررسی قرار دهید،چرا که در برخی موارد GPO ای که ایجاد کرده اید به خوبی به دامنه های مورد نظرتان لینک داده نشده است و باعث fail شدن گروپ پالسی شما میشود.
تنظیمات GPO برای یک آبجکت از مسیری اشتباه وارد شده است !
زمانی که میخواهید تنظیمات مربوط به گروپ پالسی را انجام دهید،شما از دو قسمت میتوانید استفاده کنید:یکی Computer Configuration و دیگری User Configuration است.این دو قسمت به خوبی واضح و مشخص هستند و شما از طریق GUI به راحتی می توانید تنظیمات مربوط به GP را انجام دهید.بدیهی است که تنظیمات Computer Configuration محدوده ی مربوط به computer objectها را پشتیبانی میکند و تنظیمات مربوط به User Configuration تنها محدوده ی مربوط به تنظیمات و پالسی های مربوط به user ها تحت پوشش قرار میدهد. برای مثال اگر شما تنظیماتی در GPO خود برای اعمال شدن بر روی منوی Start کاربران اعمال کنید ، اما GPO خود را به OU ای مرتبط کنید که در محدوده آن هیچگونه حساب کاربری وجود نداشته و صرفا حساب کامپیوتری یا Computer Account در آن وجود دارد ، Policy شما بی تاثیر خواهد بود و اثری بر روی کامپیوتر ها ندارد. مثلا فرض کنید شما دو OU به نامهای امور مالی و آموزش دارید.دوکاربر UNITY و Jovial در OU امور مالی قرار دارند.شما یک GPO ایجاد میکنید و در آن تنظیمات مربوط به منوی استارت ( که در زیر مجموعه ی User Configuration است ) ایجاد میکنید.سپس این GPO را به OU آموزش لینک میکنید.خوب بدیهی است که هیچ کدام از کاربرانی که در OU امور مالی قرار دارند این پالسی را نمیگیرند.پس حتما دقت داشته باشید که پالسی ها را متناسب با اینکه میخواهید به کاربران اعمال شوند یا کامپیوترها،در قسمت درستی از GP اعمال کنید و به درستی آن را به OU های دیگر لینک کنید.
Valueهای مربوط به GPO ها ( Enable یا Disable ) به خوبی تنظیم نشده است!
زمانی که شما وارد کنسول مدیریت گروپ پالسی میشوید ،همانطور که مشاهده میکنید آپشن های مختلفی به صورت سلسله مراتبی در زیر هر گزینه مشاهده میکنید.در نهایت برای انجام تنظیمات به دو گزینه ی Enable یا Disable برخورد خواهید کرد.البته در Administrator Temple شما به 3 گزینه روبرو خواهید شد:Enable ,Disable و Not Configured. لازم به ذکر است که value ی هر کدام از این سه گزینه ،معادل value ی در ریجیستری است.حال در خیلی موارد اشتباهی که ممکن است پیش بیاید این است که شما با انتخاب Enable ،قابلیتی را حذف یا از بین ببرید یا با انتخاب Disable قابلیتی را ایجاد کنید.پس حتما فراموش نکنید که عنوان پنجره ای که باز شده را به دقت مشاهده کنید و براساس عنوان آن پنجره ،Enable یا Disable کردن آن قابلیت را انتخاب کنید.در مورد Not Configured نیز لازم به ذکر است که شما با انتخاب این گزینه ، هیچ تنظیمی را اعمال نکرده اید،بلکه آن قابلیت را خنثی نگه داشته اید.درواقع Not Configure از اعمال ریجیستری به مورد مورد نظرتان خودداری میکند.
Override کردن پالسی ها به یکدیگر
این قسمت را با دقت بخوانید چرا که در بیشتر موارد مشکل از همین Override کردن پالسی ها به یکدیگر است.زمانی که تعدا د GPO ها در اکتیودایرکتوری زیاد میشود و حجم پالسی های تعریف شده بالا میرود،گروپ پالسی پیچیده و مدیریتش سخت تر میشود.همانطور که میدانید گروپ پالسی از سطوح مختلفی تشکیل شده و هرکدام از این سطوح در کل گروپ پالسی برای خود دارای اولویت هستند.قبل از اینکه به بررسی مشکلی که ممکن است در این مورد پیش بیاید بپردازم به طور خلاصه به بررسی سطوح مختلف در گروپ پالسی میپردازم.
به عنوان مثال یک اکتیو دایرکتوری که دارای چندین دامین کنترلر است را در نظر بگیرید.هر کدام از این دامینها ممکن است دارای چندین کامپیوتر باشند.این کامپیوترها در فضایی در کنار یکدیگر قرار میگیرند و سایت را تشکیل میدهند.خوب بدیهی است که در تک تک این کامپیوتر ها کنسول مدیریتی گروپ پالسی وجود دارد.همچنین هر دامین نیز برای خود و کامپیوترهایی که به عضویت آن در آمده اند نیز این کنسول را دارا میباشد و در آن به صورت کلی پالسی هایی را برای تمامی کامپیوترهای تحت شعاع خودش تعریف کرده است یا به صورت پیش فرض دارای پالسی هایی میباشد .حال این وسط این کامپیوتر باید به حرف پالسی های لوکال خود گوش دهد یا به سازپالسی های دامین برقصد مطلبی است که در ادامه درمورد آن صحبت خواهم کرد.اولویت در پالسی ها به صورت زیر تعریف میشود.دقت داشته باشید که این اولویت ها از کم به زیاد در ادامه آورده شده اند:
- Local Group Policy Object : هر کامپیوتری دارای کنسول مدیریتی گروپ پالسی است که به صورت لوکال در آن ذخیره شده است.این کنسول به صورت پیش فرض دارای تنظیماتی میباشد.در نهایت امر اولویت اجرای پالسی ها با کنسول مدیریتی گروپ پالسی لوکال میباشدو در اکتیودایرکتوری این قسمت از پایین ترین اولویت برخوردار است.
- Site :اولویت بعداز Local Group Policy Object اولویت با GPO هایی است که به سایت شامل کامپیتورهای دامین و اکتیودایرکتوری لینک داده شده است ، است.پالسی ها بر اساس اولویتی که administrator در تب Linked Group Policy Objects تعیین میکند،مشخص میشود.GPO ای که کمترین link order را دارد،اخیرا اعمال شده پس بیشترین اولویت را دارد.
- Domain: اولویت بعدی با دامینها است.زمانیکه چندین دامین وجود دارد .طبیعاتا GPO های زیادی به دامینها توسط administrator ها ،لینک زده شده اند .آخرین پالسی،آخرین آپدیت است پس بیتشرین اولویت را دارد.
- Organizational Unit : گروپ پالیسی هایی که به OU های parent لینک زده شده اند،در بین دیگر OU ها بیشترین اولویت را دارند.بعد از OU های parent، اولویت با child هاست.
خوب پس مشخص شد که ضعیفترین و کم اولویت ترین پالسی مربوط به پالسی های لوکال کامپیوتر است و بالاترین اولویت با پالسی های است که به OU داده شده است.معمولا ترتیب این اولویتها را با LSDOU تعریف میکنند.
خوب برگردیم به بحث اصلیمون.حال شما تصور کنید که به کاربرانی که در دامین قرار دارند یک GPO مبنی بر disable شدن run در منوی استارت ،لینک کرده باشید و همچنین برای کاربران یک OU در دامین پالسی مبنی بر enable بودن این قابلیت لینک کرده باشید.در اینجا براساس اولویتها بدیهی است که کاربران OU پیروز خواهد بود چرا که اولویت پالسی هایی که به OU داده میشود نسبت به پالسی هایی که به دامین داده میشود بیشتر است.این اولویت بندی ها برای تک تک GPO ها ارزیابی میشود.در بسیاری موارد شما ممکن است یک پالسی در سطح دامین اعمال میکنید اما برای برخی از کاربران اجرا نمیشود.فراموش نکنید که در همچنین مواقعی پله به پله ابتدا دریابید که کدام قسمتها پالسی را دریافت نکرده اند،سپس براساس سطوح اولویت بندی شده،به دنبال ریشه ی مشکل باشید.
نکته: RSoP.msc یا Resultant Set of Policies کامندی است که با اجرای آن در سیستم مقصد میتوانید کلیه تنظیمات اجرا شده در آن سیستم ،و اینکه تنظیمات از کدام قسمتها گرفته شده اند را مشاهده کنید.مانند شکل زیر:
موفق،پیروز و سربلند باشید :)
نویسنده : فاطمه قرباوی
منبع : انجمن حرفه ای های فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد.