تغییرات Group Policy در ویستا

در این مقاله به امكانات جدید Group Policy در ویستا می‌پردازیم. به عنوان یك MVP (Most Valuable Professional) در زمینه Group Policy، دیدن تغییرات، امكانات و پیشرفت‌های مربوط به این زمینه بسیار برایم خوشایند است. با انتشار زودهنگام جدیدترین نسخه سیستم عامل مایكروسافت – ویندوز ویستا – به نظر می‌‌رسد مایكروسافت در سدد ایجاد تغییرات بنیادین و جالبی در Group Policy است.
به عنوان راهبر و مشاور در امر Active Directory و Group Policy در ۶ سال گذشته، به نظرم این تغییرات بسیار چشمگیر است. دلیل این امر این است كه دیگر لازم نیست وقتی مردم از من در مورد استفاده از Group Policy برای حل مشكلات مربوط به مدیریت توان (Power Options)، مدیریت چاپگر و مدیریت قطعات ( Device Management) سؤال می‌پرسند جواب ندهم و یا آن‌ها را به استفاده از برنامه‌های جانبی Group Policy راهنمایی كنم. قابلیت‌های دیگر اضافه شده به ویستا شامل Network Location Awareness و تمهیدات جدید در مورد قالب‌های ADM است.
● تنظیمات جدید Group Policy در ویستا
در مقایسه با Windows XP SP۲ ، ویندوز Vista فیلدهای بسیاری در Group Policy اضافه كرده است. حدود ۲۴۰۰ نوع تنظیم در Group Policy Object برای كامپیوتر با ویندوز ویستا ساخته شده است. ویستا تنها حدود ۸۰۰ تنظیم اضافه می‌كند كه در مقایسه با ویندوز XP Service Pack ۲ به میزان نصف اضافه شده است. تعداد زیادی از این تنظیمات برای پاسخ به نیازهای كاربران به وجود آمده اند و بقیه برای پشتیبانی قابلیت های جدید ویندوز ویستا اضافه شده اند. بعضی از مهمترین این تغییرات در زیر بررسی می‌شود.
● مدیریت توان (Power Management)
مهمترین خواسته كاربران از زمان به وجود آمدن Group Policy همواره قابلیت كنترل Power Management بوده است. بالاخره مایكروسافت این قابلیت را در ویندوز ویستا اضافه كرد. از آن جا كه مایكروسافت و EPA آزمایش و گزارش كرده اند كه می‌توان با تنظیم توان كامپیوترهای رومیزی به ازاء هر كامپیوتر در سال ۵۰% صرفه جویی كرد؛ كنترل توان می‌تواند در مورد شركت‌ها سریعا مؤثر واقع شود. بسیار ساده است! لزومی ندارد كامپیوترها همیشه با تمام توان (Full Power) كاركنند، در حالی كه كارمندان اصلا در محل كار حضور ندارند. قبل از ویستا، شركت‌ها باید از محصولات DesktopStandard و Full Armor استفاده می‌كردند تا بتوانند توان را برای ویندوز XP و ۲۰۰۰ بهینه كنند.
● كنترل های نصب لوازم (Device Installation Controls)
متخصصان IT كه در زمینه امنیت در شركت‌ها مشغول به فعالیت اند، در مورد لوازم ذخیره سازی قابل جابجایی (Removable Media Devices) بسیار حساسند. به طور كلی این لوازم باعث ایجاد خطر جدی برای كامپیوترهای رومیزی و شبكه می‌شوند. بدون كنترل روی نصب و استفاده از این وسایل، كاربران می‌توانند باعث ورود ویروس، كرم و نرم‌افزارهای آسیب‌رسان با استفاده از این وسایل شوند. ویستا شامل تنظیماتی برای كنترل و نصب درایوهای USB، CD-RW، DVD-RW و لوازم قابل جابجایی دیگر نیز می باشد .
● تنظیمات امنیتی (Security Settings)
در ویستا، مایكروسافت دو تكنولوژی امنیتی مرتبط را با هم ادغام كرده است : Firewall و IPSec. استفاده از IPSec با Firewall برای مراقبت از كامپیوترها بسیار مفید خواهد بود. ارتباط server-to-server روی اینترنت، كنترل سطوح دسترسی كامپیوترها به منابع شبكه با توجه به سلامت آن‌ها و استفاده از منابع با توجه به درخواست‌های متداول ، از جمله كاربردهای این نوع مراقبت است. از آن‌‌جایی كه این تنظیمات امنیتی برای هر كامپیوتر مهم است، منطقی به نظر می‌رسد كه در Group Policy جایی برای آن باز شده باشد.
● مدیریت چاپگرها با توجه به موقعیت در شبكه
می‌توان گفت مدیریت چاپگر ، كابوس‌ همه مدیران شبكه است. با وجود شركت‌های دارای كامپیوترهای قابل حمل و حركت كاربران از ساختمانی به ساختمان و از محلی به محل دیگر، مدیریت چاپگر سخت‌تر هم شده است. ویستا این مسئله را با تنظیم چاپگر با توجه به سایت Active Directory كه كامپیوتر به آن تعلق دارد حل كرده است. از آن‌جا كه سایت‌های Active Directory معمولا منطبق بر توپولوژی جغرافیایی ویا فیزیكی شبكه است، این روش راه حل كاملی برای ارسال اسناد به چاپگر بوسیله كامپیوترهای قابل حمل ارائه می‌دهد. قبل از ویستا شركت‌ها باید برای كنترل چاپگرها در ویندوز ۲۰۰۰ و XP از برنامه‌های شركت‌هایی مثل DesktopStandard و Full Armor استفاده می‌كردند.
● طراحی مجدد قالب‌های ADM
اگر شما مسئول Group Policy شركتتان باشید حتما باید با قالب ADM آشنا باشید. قالب‌های ADM اولین بار با ویندوز NT۴ و در قالب زبان نشانه گذاری (markup) برای تعریف و انجام تغییرات در رجیستری ظاهر شدند. با ظهور Group Policy، وجه استفاده از ADM تغییری نكرد اما قابلیت‌های جدیدی به آن اضافه شد. قالب‌های ADM راه حلی برای تغییر ارزش‌های رجیستری به شمار می‌روند اما دارای مشكلاتی هستند، از جمله :
▪ حجیم شدن ADM كه دلیل آن زیاد شدن قالب‌های ADM در هر GPO می‌باشد.
▪ ناسازگاری نسخه قالب ADM، كه به دفعات به دلیل نصب service pack های جدید روی یك یا چند كامپیوتر رخ می‌دهد.
▪ سردرگمی در سیاست‌ها یا ارجحیت‌های اعمال شده كه بستگی به این دارد كه كدام قسمت رجیستری دستكاری شده باشد.
▪ ناتوانی در كنترل كردن ارزش‌های دودویی (binary) یا چند رشته‌ای (multi-string) در رجیستری
مایكروسافت می‌داند كه قالب‌های ADM به واقع یك حفره بازدارنده برای اهداف خرابكارانه در رجیستری است.
اما در ویستا این مشكل رفع شده است. در ویستا، اكثر این مشكلات با تبدیل قالب ADM به یك فرمت جدید بر مبنای XML و خلاص شدن از قالب‌ها حل شده است. فایل‌های با فرمت جدید كه فایل‌های ADMX خوانده می‌شوند، به زبان‌های مختلف اجازه می‌دهند در یك فایل واحد مرجوع شوند. همچنین تكنولوژی ADMX فایل‌های بزرگ و یكپارچه ADM را می‌گیرد و آن را به فایل‌های كوچك‌تر ADMX با مدیریت آسان‌تر تقسیم می كند.
یكی از امكانات مورد علاقه من در ویستا معرفی مخزن مركزی ADMX (ADMX central store) است. این امكان، یك روش متمركز ذخیره‌سازی، به روز رسانی و مدیریت فایل‌های ADMX را ارائه می‌دهد. فایل‌های ADMX دیگر لازم نیست در GPO ذخیره شوند. به جای آن، GPO به مخزن مركزی ADMX نگاه می‌كند. این ترفند فضای كنترل‌گر دامنه را كمتر اشغال كرده و مدیریت این فایل‌ها را آسان‌تر می‌كند.
● Network Location Awareness
Group Policy و برنامه‌های مرتبط با تنظیم Group Policy Object به ، اندازه سرعت ارتباط دسترسی به شبكه (Network Availability) وابسته اند. ویستا قابلیت‌های جدیدی در مورد آگاهی از شبكه (Network awareness) ارائه داده است كه باعث كم شدن زمان بالا آمدن كامپیوتر و اعتبار بیشتر اعمال سیاست‌ها می‌شود. حوزه‌های زیر كه در ارتباط با آگاهی از شبكه است در ویندوز ویستا مورد توجه قرار گرفته اند.
زمانی را كه كامپیوتر در هنگام بالا آمدن ، صرف اعمال سیاست‌ها می‌كند، فارغ از این كه شبكه قابل دسترس نیست، می‌تواند قابل توجه باشد. ویستا نشانگرهایی برای شناسایی وضعیت NIC قرارداده است. این نشانگرها وضعیت NIC را در حالت‌های فعال یا غیر فعال مشخص می‌كند. این نشانگرها همچنین می‌توانند دسترسی به شبكه را نیز مشخص كنند.
ویستا به Client ها این امكان را می‌دهد كه در دسترس بودن و یا در دسترس ‌آمدن یك كنترل‌گر دامنه را پس از مدتی كار در وضعیت خارج از خط (offline) تشخیص دهد. این یك وضعیت ایده‌آل برای ارتباطات Remote Access مثل dial-up یا VPN به وجود می‌آورد.
دیگر احتیاجی به ICMP (PING) برای تشخیص سرعت اتصال كامپیوتر نیست. این برای شبكه‌های با سرعت پایین نیاز بود، اما اگر ICMP به دلایل امنیتی غیر فعال شده باشد، كامپیوتر به بسته‌های ارسالی PING پاسخ نمی‌دهد و باعث بروز خطا در اعمال Group Policy می‌شود. اما اكنون Network Location Awareness عمل تعیین پهنای باند را انجام می‌دهد و باعث می‌شود تازه‌سازی (refresh) سیاست‌ها با موفقیت صورت پذیرد.