طراحی ساختار واحدهای سازمانی برای پیاده‌‌سازی Group Policy به بهترین شکل ممکن

 

در طراحی Group Policy، می بایست مطمئن بود که ساختار Active Directory در شرایطی قرار دارد که به خوبی از سیاست‌های تعریف شده پشتیبانی خواهد کرد. پس از آن باید اهداف مد نظر هر یک از سیاست‌ها را به دقت تعریف کرد و مشکلات فنی و مدیریتی مربوط به هر کدام را در نظر گرفت. در پایان باید تعارضات احتمالی و همچنین پیشامدهای مربوط به نصب نرم‌افزارها از طریق GPO ها را به دقت بررسی و تحلیل کرد. شکل 1 مراحل مختلف فاز طراحی سیاست‌های گروهی را نشان می‌دهد:


شکل 1 – مراحل مختلف مربوط برنامه‌ریزی برای طراحی یک ساختار مناسب Group Policy

 

در یک محیط Active Directory ، سیاست‌های گروهی یا Group Policies را می‌توان با لینک کردن GPO ها به سایتها، دامین‌ها یا واحدهای سازمانی یا همان OU ها انجام داد و می‌دانیم که معمولا اکثر GPO ها در سطح OU اعمال می‌شوند بنابراین طراحی ساختار OU ها به گونه‌ای که استراتژی مدیریت کلاینت‌ها بر اساس سیاست‌های مد نظر شما را به بهترین نحو ممکن پشتیبانی کند از اهمیت بالایی برخوردار است. البته ممکن است بعضی Policy ها در سطح Domain تعریف و به کار گرفته شوند (مانند سیاست‌های تعریف رمز عبور). ضمنا Policy های بسیار کمی هم ممکن است وجود داشته باشند که در سطح سایت تعریف گردند. به هر حال یک ساختار و طراحی مناسب برای OU ها می‌تواند هم ساختار مدیریتی و عملکردی سازمان را به خوبی نشان دهد و هم کمک کند سیاست‌های گروهی به شکلی مناسب در آن تعریف شده و به کار گرفته شوند.

برای مثال، ارث‌بری (Inheritance ) از مفاهیم و قابلیت‌هایی است که تنها با تعریف مناسب این ساختار می‌تواند معنا و عملکرد داشته باشد. با این امکان می‌توان از تعریف چندباره تنظیمات در Policy ها و یا مرتبط کردن چند باره یک مجموعه سیاست گروهی به چندین OU جلوگیری کرد. از دیگر مفاهیم و کارکردهای بسیار مهم در Active Directory بحث تفویض اختیار (Delegation ) است. ساختار OU ها باید به صورتی طراحی شود که در کنار پیاده‌ سازی سیاست‌های گروهی به بهترین شکل ممکن، بتوان اختیارات مدیریتی را در سطوح پایین‌تر پخش نمود. شما می‌توانید OU هایی را در محل مناسب در ساختار AD خود ایجاد نمایید و کنترل آنها را به گروه‌ها و کاربران مد نظر خود بسپارید.

قطعا ممکن است در این حوزه با تعارضاتی روبرو شویم؛ پس هدف اصلی باید ایجاد یک تعادل مناسب بین ساختار سازمانی و طرح OU ها باشد به گونه‌ای که هم چارت سازمانی در آن به خوبی مشهود گردد و هم اینکه GPO ها و Delegation ها به بهترین شکل ممکن پیاده‌سازی گردند. برای کسب اطلاعات بیشتر در مورد تفویض اختیارات مدیریتی در ساختار Active Directory به مقاله زیر رجوع کنید.

Designing the Active Directory Logical Structure

 

از آنجایی که گفتیم تفویض اختیارات و اعمال سیاست‌های گروهی در سطح OU صورت می‌گیرد پس هدف اصلی ما باید ارائه یک طرح مناسب برای این ظرف باشد. برای مثال ممکن است شما در طراحی خود بخواهید OU ها را به صورت Servers, Workstations و Users دسته‌بندی کنید. همکار شما در سازمان دیگر شاید در طراحی خود ساختار جغرافیایی و محل فیزیکی کامپیوترها و کاربران را در نظر بگیرد و در زیر هر بخش همان ساختار بالا را تکرار کند. مطمئنا اضافه کردن هر OU در این ساختار باید با هدف پیاده‌سازی موثرتر سیاست‌های گروهی و امکان تفویض اختیار تا حد ممکن صورت پذیرد.

از نکات مهم دیگر این است که به نظر می‌آید جدا کردن اشیا در یک OU می‌تواند اثرات مطلوبی به همراه داشته باشد. اگر در یک OU فقط کاربر یا فقط کامپیوتر وجود داشته باشد می‌توان بخشهایی از GPO را که به آن شیء ارتباط ندارند به طور کلی غیر فعال کرد. چنین رویکردی می‌تواند پیچیدگی را کاهش داده و ضمنا سرعت اعمال GPO ها را افزایش دهد. به یک نمونه از پیاده‌سازی ساختار سازمانی در شکل 2 توجه کنید. باز هم به این مساله دقت کنید که این ساختار باید به شما در اعمال سیاست‌های گروهی، مدیریت دامین و تفویض اختیارات کمک کند.

 


 

شکل 2 – نمونه‌ای از پیاده‌سازی ساختار OU ها در Active Directory

 

دقت کنید نمی‌توان به ظروف (Container ) پیش‌فرض Users و Computers سیاست‌های گروهی را اعمال کرد. البته خواهیم دید که با استفاده از ابزارهای Rediusr.exe و Redircomp.exe این پیش‌فرض‌ها را می‌توان تغییر داد.

 

اعمال سیاست‌های گروهی به کاربران و کامپیوترهای جدید

همانگونه که می‌دانید اکانت‌های کاربران و کامپیوترهای جدید در CN=Users و CN=Computers ساخته می‌شوند. این ظروف، اگرچه سیاست‌های سطوح بالاتر را به ارث می‌برند اما نمی‌توان روی خود آنها Policy تعریف کرد. ابزارهای Redirusr.exe و Redircmp.exe ما را قادر می‌سازند ظروف پیش‌فرض مورد نیاز برای کاربران و رایانه‌های جدید را تغییر دهیم و در نتیجه سیاست‌های گروهی مد نظر برای آنها را سریعا اعمال نماییم. یکبار اجرای این دستورات برای هر دامین کافیست تا مشخص شود کاربران و کامپیوترهای جدید پس از ساخته شدن در کدام OU قرار می‌گیرند. بدین وسیله می‌توان یک سری سیاست‌ها را در همان ابتدای امر و قبل از اینکه مسوول شبکه، کامپیوتر یا کاربر را در OU مناسب خود قرار دهد به آنها اعمال کرد. برای مثال می‌توانید یک OU با سیاست‌های کاملا محدود کننده را برای کاربران جدید در نظر بگیرید تا مطمئن باشید دسترسی‌های آنها محدود است تا زمانی که شرایط‌شان پایدار گشته و در OU مناسب خود قرار گیرند و این امر قطعا به افزایش امنیت منجر خواهد شد. برای کسب اطلاعات بیشتر در این خصوص به لینک زیر مراجعه کنید.

"Redirecting the Users and Computers Containers in Windows Server 2003 Domains,"

 

 

ملاحظاتی در خصوص سایت‌ها و Replication

یکی از نکات مهمی که در ایجاد و تخصیص GPOها باید در نظر گرفت، جنبه فیزیکی Active Directory ، یعنی محل جغرافیایی قرارگیری سایت‌ها، دامین کنترلرها و سرعت Replication بین آنهاست.

دقت کنید که محل ذخیره‌سازی GPO ها در شاخه Sysvol، در هر دامین کنترلر می باشد. هر کدام از سایت‌ها ممکن است مکانیزم‌های Replication خاص خود را داشته باشند. در صورت مشکوک بودن به عدم Replicate یک GPO از یک DC به DC دیگر می بایست از ابزارهایی مانند Gpotool.exe برای رفع مشکل استفاده نمود.

محل قرارگیری DCها، خصوصا هنگامی که بحث وجود لینک‌های کند در سایت‌های دور وجود داشته باشد مطرح می‌شود. به صورت پیش‌فرض، اگر سرعت بین یک کلاینت و Logon DC آن کمتر از 500 Kbps شود، فقط تنظیمات مرتبط با رجیستری (Administrative Templates ) و تنظیمات امنیتی اعمال خواهند شد و همه موارد دیگر مانند Folder Redirection یا نصب نرم افزار نادیده گرفته می‌شوند.

می‌توان این قابلیت را با استفاده از تنظیمی با عنوان Group Policy Slow Link Detection تغییر داد اما مطمئنا بهترین راه استفاده از دامین کنترلرهای محلی در مکان سایت‌ها و برقراری شرایط Replication به صورت کارآمد است.

 
Designing an OU Structure that Supports Group Policy