به عنوان يك MVP (Most Valuable Professional) در زمينه Group Policy، ديدن تغييرات، امكانات و پيشرفت هاي مربوط به اين زمينه بسيار برايم خوشايند است. با انتشار زودهنگام جديدترين نسخه سيستم عامل مايكروسافت ويندوز ويستا به نظر مي رسد مايكروسافت در سدد ايجاد تغييرات بنيادين و جالبي در Group Policy است. به عنوان راهبر و مشاور در امر Active Directory و Group Policy در 6 سال گذشته، به نظرم اين تغييرات بسيار چشمگير است. دليل اين امر اين است كه ديگر لازم نيست وقتي مردم از من در مورد استفاده از Group Policy براي حل مشكلات مربوط به مديريت توان (Power Options)، مديريت چاپگر و مديريت قطعات ( Device Management) سؤال مي پرسند جواب ندهم و يا آن ها را به استفاده از برنامه هاي جانبي Group Policy راهنمايي كنم. قابليت هاي ديگر اضافه شده به ويستا شامل Network Location Awareness و تمهيدات جديد در مورد قالب هاي ADM است.
تنظيمات جديد Group Policy در ويستا
در مقايسه با Windows XP SP2 ، ويندوز Vista فيلدهاي بسياري در Group Policy اضافه كرده است. حدود 2400 نوع تنظيم در Group Policy Object براي كامپيوتر با ويندوز ويستا ساخته شده است. ويستا تنها حدود 800 تنظيم اضافه مي كند كه در مقايسه با ويندوز XP Service Pack 2 به ميزان نصف اضافه شده است. تعداد زيادي از اين تنظيمات براي پاسخ به نيازهاي كاربران به وجود آمده اند و بقيه براي پشتيباني قابليت هاي جديد ويندوز ويستا اضافه شده اند. بعضي از مهمترين اين تغييرات در زير بررسي مي شود.
مديريت توان (Power Management)
مهمترين خواسته كاربران از زمان به وجود آمدن Group Policy همواره قابليت كنترل Power Management بوده است. بالاخره مايكروسافت اين قابليت را در ويندوز ويستا اضافه كرد. از آن جا كه مايكروسافت و EPA آزمايش و گزارش كرده اند كه مي توان با تنظيم توان كامپيوترهاي روميزي به ازاء هر كامپيوتر در سال 50% صرفه جويي كرد؛ كنترل توان مي تواند در مورد شركت ها سريعا مؤثر واقع شود. بسيار ساده است! لزومي ندارد كامپيوترها هميشه با تمام توان (Full Power) كاركنند، در حالي كه كارمندان اصلا در محل كار حضور ندارند. قبل از ويستا، شركت ها بايد از محصولات DesktopStandard و Full Armor استفاده مي كردند تا بتوانند توان را براي ويندوز XP و 2000 بهينه كنند.
كنترل هاي نصب لوازم (Device Installation Controls)
متخصصان IT كه در زمينه امنيت در شركت ها مشغول به فعاليت اند، در مورد لوازم ذخيره سازي قابل جابجايي (Removable Media Devices) بسيار حساسند. به طور كلي اين لوازم باعث ايجاد خطر جدي براي كامپيوترهاي روميزي و شبكه مي شوند. بدون كنترل روي نصب و استفاده از اين وسايل، كاربران مي توانند باعث ورود ويروس، كرم و نرم افزارهاي آسيب رسان با استفاده از اين وسايل شوند. ويستا شامل تنظيماتي براي كنترل و نصب درايوهاي USB، CD-RW، DVD-RW و لوازم قابل جابجايي ديگر نيز مي باشد .
تنظيمات امنيتي (Security Settings)
در ويستا، مايكروسافت دو تكنولوژي امنيتي مرتبط را با هم ادغام كرده است : Firewall و IPSec. استفاده از IPSec با Firewall براي مراقبت از كامپيوترها بسيار مفيد خواهد بود. ارتباط server-to-server روي اينترنت، كنترل سطوح دسترسي كامپيوترها به منابع شبكه با توجه به سلامت آن ها و استفاده از منابع با توجه به درخواست هاي متداول ، از جمله كاربردهاي اين نوع مراقبت است. از آن جايي كه اين تنظيمات امنيتي براي هر كامپيوتر مهم است، منطقي به نظر مي رسد كه در Group Policy جايي براي آن باز شده باشد.
مديريت چاپگرها با توجه به موقعيت در شبكه
مي توان گفت مديريت چاپگر ، كابوس همه مديران شبكه است. با وجود شركت هاي داراي كامپيوترهاي قابل حمل و حركت كاربران از ساختماني به ساختمان و از محلي به محل ديگر، مديريت چاپگر سخت تر هم شده است. ويستا اين مسئله را با تنظيم چاپگر با توجه به سايت Active Directory كه كامپيوتر به آن تعلق دارد حل كرده است. از آن جا كه سايت هاي Active Directory معمولا منطبق بر توپولوژي جغرافيايي ويا فيزيكي شبكه است، اين روش راه حل كاملي براي ارسال اسناد به چاپگر بوسيله كامپيوترهاي قابل حمل ارائه مي دهد. قبل از ويستا شركت ها بايد براي كنترل چاپگرها در ويندوز 2000 و XP از برنامه هاي شركت هايي مثل DesktopStandard و Full Armor استفاده مي كردند.
طراحي مجدد قالب هاي ADM
اگر شما مسئول Group Policy شركتتان باشيد حتما بايد با قالب ADM آشنا باشيد. قالب هاي ADM اولين بار با ويندوز NT4 و در قالب زبان نشانه گذاري (markup) براي تعريف و انجام تغييرات در رجيستري ظاهر شدند. با ظهور Group Policy، وجه استفاده از ADM تغييري نكرد اما قابليت هاي جديدي به آن اضافه شد. قالب هاي ADM راه حلي براي تغيير ارزش هاي رجيستري به شمار مي روند اما داراي مشكلاتي هستند، از جمله :
· حجيم شدن ADM كه دليل آن زياد شدن قالب هاي ADM در هر GPO مي باشد.
· ناسازگاري نسخه قالب ADM، كه به دفعات به دليل نصب service pack هاي جديد روي يك يا چند كامپيوتر رخ مي دهد.
· سردرگمي در سياست ها يا ارجحيت هاي اعمال شده كه بستگي به اين دارد كه كدام قسمت رجيستري دستكاري شده باشد.
· ناتواني در كنترل كردن ارزش هاي دودويي (binary) يا چند رشته اي (multi-string) در رجيستري مايكروسافت مي داند كه قالب هاي ADM به واقع يك حفره بازدارنده براي اهداف خرابكارانه در رجيستري است. اما در ويستا اين مشكل رفع شده است. در ويستا، اكثر اين مشكلات با تبديل قالب ADM به يك فرمت جديد بر مبناي XML و خلاص شدن از قالب ها حل شده است. فايل هاي با فرمت جديد كه فايل هاي ADMX خوانده مي شوند، به زبان هاي مختلف اجازه مي دهند در يك فايل واحد مرجوع شوند. همچنين تكنولوژي ADMX فايل هاي بزرگ و يكپارچه ADM را مي گيرد و آن را به فايل هاي كوچك تر ADMX با مديريت آسان تر تقسيم مي كند.
يكي از امكانات مورد علاقه من در ويستا معرفي مخزن مركزي ADMX (ADMX central store) است. اين امكان، يك روش متمركز ذخيره سازي، به روز رساني و مديريت فايل هاي ADMX را ارائه مي دهد. فايل هاي ADMX ديگر لازم نيست در GPO ذخيره شوند. به جاي آن، GPO به مخزن مركزي ADMX نگاه مي كند. اين ترفند فضاي كنترل گر دامنه را كمتر اشغال كرده و مديريت اين فايل ها را آسان تر مي كند.
Network Location Awareness
Group Policy و برنامه هاي مرتبط با تنظيم Group Policy Object به ، اندازه سرعت ارتباط دسترسي به شبكه (Network Availability) وابسته اند. ويستا قابليت هاي جديدي در مورد آگاهي از شبكه (Network awareness) ارائه داده است كه باعث كم شدن زمان بالا آمدن كامپيوتر و اعتبار بيشتر اعمال سياست ها مي شود. حوزه هاي زير كه در ارتباط با آگاهي از شبكه است در ويندوز ويستا مورد توجه قرار گرفته اند.
زماني را كه كامپيوتر در هنگام بالا آمدن ، صرف اعمال سياست ها مي كند، فارغ از اين كه شبكه قابل دسترس نيست، مي تواند قابل توجه باشد. ويستا نشانگرهايي براي شناسايي وضعيت NIC قرارداده است. اين نشانگرها وضعيت NIC را در حالت هاي فعال يا غير فعال مشخص مي كند. اين نشانگرها همچنين مي توانند دسترسي به شبكه را نيز مشخص كنند.
ويستا به Client ها اين امكان را مي دهد كه در دسترس بودن و يا در دسترس آمدن يك كنترل گر دامنه را پس از مدتي كار در وضعيت خارج از خط (offline) تشخيص دهد. اين يك وضعيت ايده آل براي ارتباطات Remote Access مثل dial-up يا VPN به وجود مي آورد.
ديگر احتياجي به ICMP (PING) براي تشخيص سرعت اتصال كامپيوتر نيست. اين براي شبكه هاي با سرعت پايين نياز بود، اما اگر ICMP به دلايل امنيتي غير فعال شده باشد، كامپيوتر به بسته هاي ارسالي PING پاسخ نمي دهد و باعث بروز خطا در اعمال Group Policy مي شود. اما اكنون Network Location Awareness عمل تعيين پهناي باند را انجام مي دهد و باعث مي شود تازه سازي (refresh) سياست ها با موفقيت صورت پذيرد.
هیچ نظری موجود نیست:
ارسال یک نظر