התחברחיפושהרשםרשימת חבריםFAQקבוצות משתמשיםאינדקס

Share | 
 

  Group policy - מדריך בעברית

צפה בנושא הקודם צפה בנושא הבא Go down 
מחברהודעה
Admin
Admin
avatar

מספר הודעות : 137
Join date : 05.06.09

הודעהנושא: Group policy - מדריך בעברית   Sun 01 Aug 2010, 02:43

New Group Policy Settings in Windows 2008


מבוא

Group policy הוא כלי עבודה שימושי אצל מנהלי הרשתות.

כלי זה משמש לצורך אכיפת מדיניות על המתשמשים או המחשבים, ואף להפצת תוכנות בארגון העובד בסביבת שרת-לקוח, כלומר Domain.

ה - Group Policy Object Editor) GPOE) הוא כלי ניהול מרכזי שחלק מתפקידיו הוא להגדיר פרמטרים שונים ב - Registry של המחשבים. כמוכן ה - Group Policy הוא כלי מאוד גמיש בגלל יכולתו להיות מופעל לא רק על Site, Domain או Organizational Unit) OU) אלא גם על קבוצות ספציפיות (Security Groups) באמצעות פעולת Filtering.

ה - Group Policy של Windows 2008 מכיל כ - 700 אפשרויות שחלקן חדשות וחלקן משופרות (נכון לגרסת Beta 3).

חלק מהקטגוריות החדשות הן:


Network Access Protection

Device Installation Control

Removable Storage Restrictions

Power Management

Printer Driver Installation Delegation

Hybrid Hard Disk

User Account Control
ישנם שינויים ותוספות לקטגוריות קיימות:


IPsec and Firewall

AD-based Printer Deployment

Taskbar and Start Menu

Shell Virtualization

Synchronization Scheduling

Customized Help Resources


למרות שהקובץ מתייחס ל - Windows Vista, הפרמטרים שייכים גם ל - Windows 2008.

ראשית כל בכדי לצפות ולערוך את ה - Group Policy נדרש להוסיף את ה - Group Policy Management למערכת ההפעלה כ - Feature דרך ה - Server Manager ולאחר מכן להריץ בשורת הפקודה GPMC.msc בכדי להפעילו.

יש לבחור את ה - Policy הרצוי (לדוגמא: Default Domain Policy) ולבחור Edit לאחר לחיצה ימנית על העכבר עליו.

כעת מחלון Group Policy Management Editor ניתן לערוך את ה - Group Policy.

יש לציין כי רוב הקטגוריות שיוצגו נתמכות בעמדות קצה מבוססות Windows Vista בלבד.


Network Access Protection



נמצא בנתיב: Computer Configuration > Windows Settings > Security Settings > Network Access Protection.

ה - NAP הוא כלי האוכף את תקינות המחשבים בהתאם לדרישות המוגדרות ב - Group Policy, לדוגמא: ניתן להגדיר שאם Firewall אינו פעיל בתחנת עבודה, לא תהיה לה גישה לשרת. יתר על כך במידה וה - Firewall במצב Disabled הוא אוטומטית יעבור ל - Enabled ללא התערבות המשתמש.

בנוסף NAP מאפשר ביצוע הפנייה (Redirection) ל - Clients "שאינם בריאים" , כלומר ה - Clients שאינם עומדים בדרישות ה - Policy יופנו ל - Subnet או Subdomain אחר בכדי "להבריא". לדוגמא: במידה והוגדר שה - Clients יהיו מחוייבים באנטיוירוס עדכני אך אחד מהם לא התעדכן עקב אי חיבור לרשת במשך שבועיים, ה - Client יופנה ל - Restricted Subdomain (שם לדוגמא) בו יעדכן האנטיוירוס את קובץ חתימות הוירוסים שלו ולאחר מכן יחזור לאזור המאושר לעבודה.

את ביצוע ההפניה ניתן לממש באמצעות (DHCP (Dynamic Host Configuration Protocol ברשת מקומית או (RRAS (Routing and Remote Access בגישה מרחוק


Device Installation Control


נמצא בנתיב: Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions

ניתן להגביל את השימוש בהתקנת Drivers לפי סוגי Class שונים.

כלומר במידה ומנהל IT מחליט שלא ניתן יהיה להתקין התקני UPS) uninterruptible power supply) ניתן להגביל זאת באמצעות (GUID (Globally Unique Identifier ספציפי להתקני UPS (שהוא שייך ל - Class של הסוללות) במאפיין הנקרא Device Class GUID, או באמצעות ID של הרכיב עצמו במאפיין הנקרא Hardware\Compatible ID - כך תוגבל התקנת רכיב ספציפי.

ניתן למצוא את ה - ID's הללו ב - Device Manager >> Right Click on Driver >> Properties. בחלון שיפתח יש לעבור ללשונית Details.

Removable Storage Restrictions



נמצא בנתיב: Computer Configuration > Administrative Templates > System > Removable Storage Restrictions

באמצעות מדיניות זו ניתן לחסום (Deny) אפשרויות קריאה ו/או כתיבה על ההתקנים הבאים:


CD ו - DVD

כונני דיסקטים - Floppy

מדיה נתיקה (כגון Disk On Key)

טייפים לגיבויים

התקני (WPD (Windows Portable Device, כגון התקני מחשבי כף יד ופלאפונים.

התקנים לפי סוגי Class בהכנסת ערך ה - GUID שלו.
Power Management


נמצא בנתיב: Computer Configuration > Administrative Templates > System > Power Management

במערכות ההפעלה קודמות נדרש היה להשתמש בתוכנות צד שלישי (כמו EZ GPO של חברת Energy Star) בכדי להגדיר את אופן ניהול הספק המתח במחשב.

בנוסף ב - Windows XP SP2 התווסף קובץ הנקרא PowerCFG.exe המאפשר את הגדרת קונפיגורציות הספק המתח. במידה ומפיצים את הקובץ ב - SMS או ב - GPO הוא יחול גם על מערכות Windows 2000 SP3 ומעלה.

כעת ב - Windows Vista ניתן לקבוע את הגדרות הספק המתח עבור לחצני הכיבוי, סגירת מסך המחשב הנייד, כוננים קשיחים, מסכים ומצב שינה (מצב חדש המשלב את הגדרות מצב השינה הרגילות עם מצב ה - Hibernate, נקרא Hybrid Sleep).

דבר מעניין נוסף הוא שב - Windows Vista ו - Windows 2008 יכולים להיות מספר לחצני הספק כגון: כיבוי ומצב שינה , לדוגמא: לחצן הכיבוי בתפריט ה - Start יכול לבצע Hibernate ואילו לחיצה פיזית על הכיבוי במחשב הנייד תכבה אותו.

לכן במערכות ההפעלה הללו לחצני תפריט ה - Start מופרדים באמצעות Group Policy.

הערה: ברמת האבטחה מומלץ לקבוע כי לאחר חזרה ממצב שינה המשתמש יתבקש להזין סיסמא.



Printer Driver Installation Delegation


נמצא בנתיב: Computer Configuration > Administrative Templates > System > Driver Installation > Allow non-administrators to install drivers for these device setup classes.

קיימת בעיה שבה צריך לתת הרשאות על המכונות המקומיות בכדי לאפשר התקנת Drivers (כגון מדפסות), אך לפי ה - Best Practices בנושאי אבטחה לא מומלץ לתת יותר הרשאות ממה שמשתמש צריך.

בכדי לפתור את הבעיה קיים המאפיין הנ"ל ב - Group Policy המאפשר התקנת Driver ללא צורך במתן הרשאות מקומיות.

הגדרת המאפיין תכלול הכנסת ה - GUID של סוג הרכיב (לצורך העניין - מדפסת), ולאחר מכן תתאפשר ההתקנה לחברים בקבוצת Domain Users.

יתר על כך חשוב להדגיש כי התקנת ה - Driver תאופשר אך ורק במידה והוא חתום.


Hybrid Hard Disk


נמצא בנתיב: Computer Configuration > Administrative Templates > System > Disk NV Cache

קיים התקן חדש הנקרא Hybrid Hard Disk (HHD) שפותח בשיתוף החברות Microsoft, Samsung ועוד. ההתקן הוא שילוב בין דיסקה מגנטית מסתובבת (כמו כונן קשיח טיפוסי) לבין מקום אחסון בלתי נדיף (כמו זכרון Flash).

כלומר HHD הוא כונן קשיח רגיל שנוסף לו זיכרון חוצץ מסוג (NVRAM (Non-volatile random access memory. באמצעות שילוב של זיכרון זה בכונן ניתן לקרוא ולכתוב לתוך הכונן הקשיח באופן מיידי גם כאשר הפלטות המגנטיות אינן מסתובבות - מה שמגביר את מהירות עבודתו. עיקר השימוש בדיסקים כאלו היום הוא במחשבים ניידים.

האפשרויות הניתנות להגדרה הן ביטול או אפשור שמירת מידע מסוגים שונים על ה - NVRAM.

קיימת בעיה: כברירת מחדל נשמר בזיכרון ה - NVRAM מידע קריטי כגון חלקים מה - Registry. פורץ יכול לגשת לזיכרון זה ולנצלו. לכן כשמדובר על שיקולים אבטחתיים מומלץ לבטל את השימוש באפשרות זו.

User Account Control


נמצא בנתיב: Computer Configuration > Windows Settings > Local Policies > Security Options. יש לעבור לסוף הרשימה לקטגוריה User Account Control.

תוכנות זדוניות ווירוסים מהווים סכנה רבה כשהם רצים עם פריבילגיות של משתמש חזק כמו Local Administrator. לא תמיד ה - Administrator יודע מה רץ ברקע אף על פי שיכולות לרוץ תוכנות העלולות לפגוע באבטחת המידע.

ה - User Account Control) UAC) פותר את בעיית סיכון החשבונות החזקים בכך שמוקפצת הודעה המתריעה על בקשת הרצת התוכנית, ורק לאחר אישור התוכנית תרוץ.

כברירת מחדל, גם למשתמשים רגילים (שאינם Administrators) מוקפצת הודעה בה יש להזין את שם המשתמש והסיסמא של ה - Administrator כשיש צורך בשימוש בפריבילגיה הגבוהה.

כמוכן קיימת אפשרות למנוע לחלוטין את הקפצת ההודעה עבור המשתמשים הרגילים, ובכך לא תתאפשר הרצת תוכניות עם פריבילגיות של Administrator.


--------------------------------------------
חזרה למעלה Go down
צפה בפרופיל המשתמש http://mcitp.co.nr
 
Group policy - מדריך בעברית
צפה בנושא הקודם צפה בנושא הבא חזרה למעלה 
עמוד 1 מתוך 1

Permissions in this forum:אתה לא יכול להגיב לנושאים בפורום זה
MCITP Forum :: פורום ומדריכים ניהול רשתות :: Windows Server 2008 and 2012-
קפוץ אל: