[رزیتا]

تغییرات Group Policy در ویندوز ویستا

به عنوان یک MVP (Most Valuable Professional) در زمینه Group Policy، دیدن تغییرات، امکانات و پیشرفت های مربوط به این زمینه بسیار برایم خوشایند است. با انتشار زودهنگام جدیدترین نسخه سیستم عامل مایکروسافت – ویندوز ویستا – به نظر می رسد مایکروسافت در سدد ایجاد تغییرات بنیادین و جالبی در Group


Policy است. به عنوان راهبر و مشاور در امر Active Directory و Group Policy در 6 سال گذشته، به نظرم این تغییرات بسیار چشمگیر است.

دلیل این امر این است که دیگر لازم نیست وقتی مردم از من در مورد استفاده از Group Policy برای حل مشکلات مربوط به مدیریت توان (Power Options)، مدیریت چاپگر و مدیریت قطعات ( Device Management) سوال می پرسند جواب ندهم و یا آن ها را به استفاده از برنامه های جانبی Group Policy راهنمایی کنم. قابلیت های دیگر اضافه شده به ویستا شامل Network Location Awareness و تمهیدات جدید در مورد قالب های ADM است.

● تنظیمات جدید Group Policy در ویستا
در مقایسه با Windows XP SP2 ، ویندوز Vista فیلدهای بسیاری در Group Policy اضافه کرده است. حدود 2400 نوع تنظیم در Group Policy Object برای کامپیوتر با ویندوز ویستا ساخته شده است. ویستا تنها حدود 800 تنظیم اضافه می کند که در مقایسه با ویندوز XP Service Pack 2 به میزان نصف اضافه شده است. تعداد زیادی از این تنظیمات برای پاسخ به نیازهای کاربران به وجود آمده اند و بقیه برای پشتیبانی قابلیت های جدید ویندوز ویستا اضافه شده اند. بعضی از مهمترین این تغییرات در زیر بررسی می شود.

● مدیریت توان (Power Management)
مهمترین خواسته کاربران از زمان به وجود آمدن Group Policy همواره قابلیت کنترل Power Management بوده است. بالاخره مایکروسافت این قابلیت را در ویندوز ویستا اضافه کرد. از آن جا که مایکروسافت و EPA آزمایش و گزارش کرده اند که می توان با تنظیم توان کامپیوترهای رومیزی به ازاء هر کامپیوتر در سال 50% صرفه جویی کرد؛ کنترل توان می تواند در مورد شرکت ها سریعا موثر واقع شود. بسیار ساده است! لزومی ندارد کامپیوترها همیشه با تمام توان (Full Power) کارکنند، در حالی که کارمندان اصلا در محل کار حضور ندارند. قبل از ویستا، شرکت ها باید از محصولات DesktopStandard و Full Armor استفاده می کردند تا بتوانند توان را برای ویندوز XP و 2000 بهینه کنند.

● کنترل های نصب لوازم (Device Installation Controls)
متخصصان IT که در زمینه امنیت در شرکت ها مشغول به فعالیت اند، در مورد لوازم ذخیره سازی قابل جابجایی (Removable Media Devices) بسیار حساسند. به طور کلی این لوازم باعث ایجاد خطر جدی برای کامپیوترهای رومیزی و شبکه می شوند. بدون کنترل روی نصب و استفاده از این وسایل، کاربران می توانند باعث ورود ویروس، کرم و نرم افزارهای آسیب رسان با استفاده از این وسایل شوند. ویستا شامل تنظیماتی برای کنترل و نصب درایوهای USB، CD-RW، DVD-RW و لوازم قابل جابجایی دیگر نیز می باشد .

● تنظیمات امنیتی (Security Settings)
در ویستا، مایکروسافت دو تکنولوژی امنیتی مرتبط را با هم ادغام کرده است : Firewall و IPSec. استفاده از IPSec با Firewall برای مراقبت از کامپیوترها بسیار مفید خواهد بود. ارتباط server-to-server روی اینترنت، کنترل سطوح دسترسی کامپیوترها به منابع شبکه با توجه به سلامت آن ها و استفاده از منابع با توجه به درخواست های متداول ، از جمله کاربردهای این نوع مراقبت است. از آن جایی که این تنظیمات امنیتی برای هر کامپیوتر مهم است، منطقی به نظر می رسد که در Group Policy جایی برای آن باز شده باشد.

● مدیریت چاپگرها با توجه به موقعیت در شبکه
می توان گفت مدیریت چاپگر ، کابوس همه مدیران شبکه است. با وجود شرکت های دارای کامپیوترهای قابل حمل و حرکت کاربران از ساختمانی به ساختمان و از محلی به محل دیگر، مدیریت چاپگر سخت تر هم شده است. ویستا این مسیله را با تنظیم چاپگر با توجه به سایت Active Directory که کامپیوتر به آن تعلق دارد حل کرده است. از آن جا که سایت های Active Directory معمولا منطبق بر توپولوژی جغرافیایی ویا فیزیکی شبکه است، این روش راه حل کاملی برای ارسال اسناد به چاپگر بوسیله کامپیوترهای قابل حمل ارایه می دهد. قبل از ویستا شرکت ها باید برای کنترل چاپگرها در ویندوز 2000 و XP از برنامه های شرکت هایی مثل DesktopStandard و Full Armor استفاده می کردند.

● طراحی مجدد قالب های ADM
اگر شما مسیول Group Policy شرکتتان باشید حتما باید با قالب ADM آشنا باشید. قالب های ADM اولین بار با ویندوز NT4 و در قالب زبان نشانه گذاری (markup) برای تعریف و انجام تغییرات در رجیستری ظاهر شدند. با ظهور Group Policy، وجه استفاده از ADM تغییری نکرد اما قابلیت های جدیدی به آن اضافه شد. قالب های ADM راه حلی برای تغییر ارزش های رجیستری به شمار می روند اما دارای مشکلاتی هستند، از جمله :

▪ حجیم شدن ADM که دلیل آن زیاد شدن قالب های ADM در هر GPO می باشد.
▪ ناسازگاری نسخه قالب ADM، که به دفعات به دلیل نصب service pack های جدید روی یک یا چند کامپیوتر رخ می دهد.
▪ سردرگمی در سیاست ها یا ارجحیت های اعمال شده که بستگی به این دارد که کدام قسمت رجیستری دستکاری شده باشد.
▪ ناتوانی در کنترل کردن ارزش های دودویی (binary) یا چند رشته ای (multi-string) در رجیستری
مایکروسافت می داند که قالب های ADM به واقع یک حفره بازدارنده برای اهداف خرابکارانه در رجیستری است. اما در ویستا این مشکل رفع شده است. در ویستا، اکثر این مشکلات با تبدیل قالب ADM به یک فرمت جدید بر مبنای XML و خلاص شدن از قالب ها حل شده است. فایل های با فرمت جدید که فایل های ADMX خوانده می شوند، به زبان های مختلف اجازه می دهند در یک فایل واحد مرجوع شوند. همچنین تکنولوژی ADMX فایل های بزرگ و یکپارچه ADM را می گیرد و آن را به فایل های کوچک تر ADMX با مدیریت آسان تر تقسیم می کند.
یکی از امکانات مورد علاقه من در ویستا معرفی مخزن مرکزی ADMX (ADMX central store) است. این امکان، یک روش متمرکز ذخیره سازی، به روز رسانی و مدیریت فایل های ADMX را ارایه می دهد. فایل های ADMX دیگر لازم نیست در GPO ذخیره شوند. به جای آن، GPO به مخزن مرکزی ADMX نگاه می کند. این ترفند فضای کنترل گر دامنه را کمتر اشغال کرده و مدیریت این فایل ها را آسان تر می کند.

● Network Location Awareness
Group Policy و برنامه های مرتبط با تنظیم Group Policy Object به ، اندازه سرعت ارتباط دسترسی به شبکه (Network Availability) وابسته اند. ویستا قابلیت های جدیدی در مورد آگاهی از شبکه (Network awareness) ارایه داده است که باعث کم شدن زمان بالا آمدن کامپیوتر و اعتبار بیشتر اعمال سیاست ها می شود. حوزه های زیر که در ارتباط با آگاهی از شبکه است در ویندوز ویستا مورد توجه قرار گرفته اند.
زمانی را که کامپیوتر در هنگام بالا آمدن ، صرف اعمال سیاست ها می کند، فارغ از این که شبکه قابل دسترس نیست، می تواند قابل توجه باشد. ویستا نشانگرهایی برای شناسایی وضعیت NIC قرارداده است. این نشانگرها وضعیت NIC را در حالت های فعال یا غیر فعال مشخص می کند. این نشانگرها همچنین می توانند دسترسی به شبکه را نیز مشخص کنند.
ویستا به Client ها این امکان را می دهد که در دسترس بودن و یا در دسترس آمدن یک کنترل گر دامنه را پس از مدتی کار در وضعیت خارج از خط (offline) تشخیص دهد. این یک وضعیت ایده آل برای ارتباطات Remote Access مثل dial-up یا VPN به وجود می آورد.
دیگر احتیاجی به ICMP (PING) برای تشخیص سرعت اتصال کامپیوتر نیست. این برای شبکه های با سرعت پایین نیاز بود، اما اگر ICMP به دلایل امنیتی غیر فعال شده باشد، کامپیوتر به بسته های ارسالی PING پاسخ نمی دهد و باعث بروز خطا در اعمال Group Policy می شود. اما اکنون Network Location Awareness عمل تعیین پهنای باند را انجام می دهد و باعث می شود تازه سازی (refresh) سیاست ها با موفقیت صورت پذیرد.

مترجم : محسن امامی


مشورت مهندسی شبکه و راهبری تحقیقات همکاران سیستم

منبع : آفتاب