:: ( مجموعات الأمان في Win2000 ) ::

الجنرال · 02-06-2003, 09:37 AM

السلام عليكم ورحمة الله وبركاته

هذا الموضوع وجدته في أحد المواقع وأعجبني كثيراً وأحببت أن
أريكم إياه .
===========================
مجموعات الأمان Group Policy

إذا كنت مسؤولاً عن شبكة ويندوز2000 فأنت بتأكيد تكون مشغول البال عن الطريقة المناسبة لأدارة موارد ومستخدمين شبكتك ، والويندوز2000 سيرفر يتيح لك التحكم ببيئة مرتفعة الأمان ، فمع معرفة كيفية تعين أذونات NTFS وكيفية وضع تشكيلات إلزامية للمستخدمين كذالك يمكنك التحكم بمستخدمين متفرقين أو مجموعات معينة بوضع خطة إدارية بواسطة الـ Group Policy

بعض الفوائد من تطبيق Group Policy

منع مستخدمين أو مجموعات من تثبيت البرامج

منع الوصول إلى برامج ومجلدات

منع حذف برنامج أو بيانات

التحكم ببيئة سطح المكتب

التحكم في القائمة Start

تشغيل ملفات تشغيل أو برامج عندما يسجل المستخدم الدخول

إنشاء Group Policy

يمكنك استخدام الـ Group Policy عند فتح كائن موجود أو إنشاء كائن جديد ، ويمكنك إنشاء كائن Group Policy لميدان أو وحدة تنظيمية وذالك بإستخدام Active Directory Users and Computers ، وكذالك يمكنك إستخدام الـ Group Policy على كل محطة ويندوز 2000 بروفيشنال وتكون بذالك إعدادات محلية على المحطة نفسها ،،، لمراجعة تغير وتثبيت Group Policy محلي على نفس المحطة
انقرا هنا

ملاحظة :
لفتح الـ Group Policy محلي يمكنك كتابة الامر التالي من Start ثم Run ثم تكتب gpedit.msc ، والـ Group Policy موجودة أيضاً في النسخة XP-P وليست موجودة في النسخة XP-Home Edition
*************************

ولفتح الـ Group Policy موجود على ميدان افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy كما في المثال التالي

كما تشاهد في المثال لا يوجد غير Policy وحيد للميدان وهو الكائن الافتراضي عند تثبيت أي ميدان ، ولمشاهدة وتغير خيارات GPO علم عليه ثم من الزر Edit لفتح خطة المجموعة وسع العقد وراجع سياسات الأمن للميدان ، وهذا القالب التلقائي للأمن هو القالب الاضعف في الويندوز سيرفر ويوجد عدد من القوالب الاكثر قوة وتعقيداً يمكنك الاختيار منها إذا اردت ذالك كما ستشاهد لاحقاً

التغير في الإعدادات

دائماً ينصح بترك الاعدادات الافتراضية للميدان كما هي بدون تغير حتى تستطيع أن ترجع إليها عند حدوث مشاكل في سياسات الأمن والطريقة السليمة هي أن تعطل سياسات الأمن الافتراضية وتنشئ Policy جديد وتشكله كما تريد وتستطيع بعد ذالك حذفه ، تغيره ، تعطيله ، ولكن في البداية نلقي نظرة على واحد من أهم نقاط الأمن على الشبكة وهي كلمة المرور ، افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy ثم علم على القالب الافتراضي للأمن ثم من الزر Edit ثم من النافذة الجديدة إتبع المسار التالي Computer Configuration > Windows Settings > Security Settings > Account Policies >password Policey ستشاهد في الوح الايمن سياسات كلمة المرور على الميدان كما في المثال التالي- أنقر هنا

تشاهد في الخيار طول كلمة المرور عدد الاحرف يساوي 0 في هذه الحالة يمكن للمستخدمين تسجيل الدخول بدون كلمة مرور ، ولتغير هذه الخاصية انقر على الخيار نقراً مزدوجاً تفتح نافذة الاعدادات لطول كلمة المرور كما في المثال وضعنا الطول = 7 ،

تعطيل Group Policy الافتارضي

كما قلنا سابقاً يجب الاحتفاض بـ Group Policy الافتراضي للاحتياط وتنشئ واحد جديد بدلاً منه ، ولكن قبل الانشاء يجب تعطيل الـ Group Policy الافتراضي كما يلي : افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy ثم علم على القالب الافتراضي ثم اضغط على الزر Options تشاهد نافذة كما في الشكل

ضع علامة امام الخيار الثاني Disabled the Group Policy وستشاهد بعد ذالك رسالة التحذير التالية

اضغط على yes ثم ok وبذالك تكون قد عطلت القالب الافتراضي للأمن ، ويجب عليك بعد ذالك ان تنشئ قالب جديد تستخدمه لإدارة الأمن

إنشاء Group Policy

افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy ثم من الزر New يمكنك الان تغير اسم الـGroup بما يناسب الهدف من إنشائها وليكن NOR2000 Policy ويمكنك تحريك الترتيب بإستخدام UP وإذا كان لديك عدد من Group Policy تم تمكينها فإن الويندوز يطبقهم بالترتيب من الأعلى للأسفل

الان Group Policy الجديد جاهز للاستخدام كما تريد ، وفي البداية نقوم بخطوة مهمة وهي خصائص Group Policy العامة وهي من الزر Properties تفتح لك نافذة بها ثلاث علامات تبويب العلامة الاولي General فيها يمكن أن تحدد وضيفة Group Policy هل هي من اجل المستخدم أو من اجل المحطة أو من اجلهما معاً كما في المثال

الخيار الاول يعطل اعدادات المحطة

الخيار الثاني يعطل اعدادات المستخدم

من علامة التبويب Links يمكنك التاكد من الوصول للميدان والميدان يمكنه اختبار الـGroup Policy وأنه قابل للتطبيق ، من الزر Find Now يمكنك الاختبار كما في المثال إذا لم يتم العثور على الميدان أو الوحدة التنظيمية التي تنشئ الـGroup Policy من أجلها فذالك يعني وجود خلل ما يجب عليك اصلاحه

من علامة التبويب Security يمكنك تحديد الاشخاص أو المجموعات التي يمكنها التغير في الـ Group Policy

إستيراد قالب جاهز للأمن

يوجد في الويندوز 2000 سيرفر عدد من القوالب الجاهزة للأمن يمكنك استخدامها ، وبشكل افتراضي يتم تخزين هذه القوالب في المسار التالي systemroot\security\Templ
ates ولنجرب واحدة وهو القالب Securews.inf ، نفتح الـ Group Policy الجديد NOR2000 ثم من الزر Edit ثم اتبع المسار التالي Computer Configuration > Windows Settings > ثم بالزر الايمن على العقدة Security Settings ثم اختار Import Policy

من النافذة انقر نقراً مزدوجاً على القالب Securews.inf ، الآن حرك إلى خصائص كلمة المرور على المسار التالي Computer Configuration > Windows Settings > Security Settings > Account Policies >password Policey تشاهد في الجانب الايمن سياسات متشددة على كلمة المرور

أمثلة
ولكن تضل بعض إعدادات الأمان تحتاج إلى مراجعة وتعديل حسب حاجتك

مثال 1 - بعض خيارات قائمة Start التي يمكن أن تأهلها أو تلغيها عن المستخدم

مثال 2 - خيارت المتصفح انترنت اكسبلورر وهي مهمة لمن لديهم اتصال بالانترنت في داخل الشبكة

إستيراد من وحدة تنظيمية

قد يكون لديك وحدات تنظيمية متعددة أو مجالات وكنت قد جهزت لبعض منها كائن أمن Group Policy وتريد أن تستورد هذا الكائن للأمن من هذا المجال أو الوحدة التنظيمية لوحدة تنظيمية آخرى بدلاً من إنشاء Group Policy جديد

ويوجد اختلاف طفيف بين استيراد الـ Group Policy من مجال إلى مجال ، وبين استيراده من وحدة تنظيمية لأخرى ، ولكن تبقى الخطوات الرئيسية واحدة في كلاتا الحالتين ، وعند الرغبة في استيراد Group Policy من ميدان يجب أن يكون كلا الميدانين في حالة إتصال وتكون لك الصلاحية في إدارة الميدان والـ Group Policy فيه

مثال حي لإستيراد Group Policy من وحدة تنظيمية لوحدة آخرى في نفس الميدان
خطوة تستحق التفكير

كثير هي الخطوات في الأمن وإدارته تستحق التفكير والتجربة مثل تثبيت البرامج وحذفها ومثل استخدام الالعاب وحفظ وتشغيل البرامج المضغوطة ومثل استخدام Run ، ومثل استخدام وتشغيل محرر السجل رجستري ومحث الاوامر Command Prompt

وعندما تعطل تشغيل Command Prompt على الميدان تظهر هذه الرسالة عند محاولة تشغيله وتخبرك بأن مدير النظام على الشبكة قد عطل التشغيل لهذا التطبيق ويرشدك لضغط أي مفتاح للخروج

خطوات إيقاف تشغيل الرجستري و Command Prompt

==========================

أخيراً هذا الموضوع ليس مني كما قلت بأول شيء وإنما وجدته
في أحد المنتديات وأعجبني .

الجنــــــــــــــــــــــــــــــــــــرال

02-06-2003, 09:37 AM	#1
الجنرال عـضـو تاريخ التسجيل: Dec 2001 المشاركات: 2,290	:: ( مجموعات الأمان في Win2000 ) :: السلام عليكم ورحمة الله وبركاته هذا الموضوع وجدته في أحد المواقع وأعجبني كثيراً وأحببت أن أريكم إياه . =========================== مجموعات الأمان Group Policy إذا كنت مسؤولاً عن شبكة ويندوز2000 فأنت بتأكيد تكون مشغول البال عن الطريقة المناسبة لأدارة موارد ومستخدمين شبكتك ، والويندوز2000 سيرفر يتيح لك التحكم ببيئة مرتفعة الأمان ، فمع معرفة كيفية تعين أذونات NTFS وكيفية وضع تشكيلات إلزامية للمستخدمين كذالك يمكنك التحكم بمستخدمين متفرقين أو مجموعات معينة بوضع خطة إدارية بواسطة الـ Group Policy بعض الفوائد من تطبيق Group Policy منع مستخدمين أو مجموعات من تثبيت البرامج منع الوصول إلى برامج ومجلدات منع حذف برنامج أو بيانات التحكم ببيئة سطح المكتب التحكم في القائمة Start تشغيل ملفات تشغيل أو برامج عندما يسجل المستخدم الدخول إنشاء Group Policy يمكنك استخدام الـ Group Policy عند فتح كائن موجود أو إنشاء كائن جديد ، ويمكنك إنشاء كائن Group Policy لميدان أو وحدة تنظيمية وذالك بإستخدام Active Directory Users and Computers ، وكذالك يمكنك إستخدام الـ Group Policy على كل محطة ويندوز 2000 بروفيشنال وتكون بذالك إعدادات محلية على المحطة نفسها ،،، لمراجعة تغير وتثبيت Group Policy محلي على نفس المحطة انقرا هنا ملاحظة : لفتح الـ Group Policy محلي يمكنك كتابة الامر التالي من Start ثم Run ثم تكتب gpedit.msc ، والـ Group Policy موجودة أيضاً في النسخة XP-P وليست موجودة في النسخة XP-Home Edition ************************* ولفتح الـ Group Policy موجود على ميدان افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy كما في المثال التالي كما تشاهد في المثال لا يوجد غير Policy وحيد للميدان وهو الكائن الافتراضي عند تثبيت أي ميدان ، ولمشاهدة وتغير خيارات GPO علم عليه ثم من الزر Edit لفتح خطة المجموعة وسع العقد وراجع سياسات الأمن للميدان ، وهذا القالب التلقائي للأمن هو القالب الاضعف في الويندوز سيرفر ويوجد عدد من القوالب الاكثر قوة وتعقيداً يمكنك الاختيار منها إذا اردت ذالك كما ستشاهد لاحقاً التغير في الإعدادات دائماً ينصح بترك الاعدادات الافتراضية للميدان كما هي بدون تغير حتى تستطيع أن ترجع إليها عند حدوث مشاكل في سياسات الأمن والطريقة السليمة هي أن تعطل سياسات الأمن الافتراضية وتنشئ Policy جديد وتشكله كما تريد وتستطيع بعد ذالك حذفه ، تغيره ، تعطيله ، ولكن في البداية نلقي نظرة على واحد من أهم نقاط الأمن على الشبكة وهي كلمة المرور ، افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy ثم علم على القالب الافتراضي للأمن ثم من الزر Edit ثم من النافذة الجديدة إتبع المسار التالي Computer Configuration > Windows Settings > Security Settings > Account Policies >password Policey ستشاهد في الوح الايمن سياسات كلمة المرور على الميدان كما في المثال التالي- أنقر هنا تشاهد في الخيار طول كلمة المرور عدد الاحرف يساوي 0 في هذه الحالة يمكن للمستخدمين تسجيل الدخول بدون كلمة مرور ، ولتغير هذه الخاصية انقر على الخيار نقراً مزدوجاً تفتح نافذة الاعدادات لطول كلمة المرور كما في المثال وضعنا الطول = 7 ، تعطيل Group Policy الافتارضي كما قلنا سابقاً يجب الاحتفاض بـ Group Policy الافتراضي للاحتياط وتنشئ واحد جديد بدلاً منه ، ولكن قبل الانشاء يجب تعطيل الـ Group Policy الافتراضي كما يلي : افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy ثم علم على القالب الافتراضي ثم اضغط على الزر Options تشاهد نافذة كما في الشكل ضع علامة امام الخيار الثاني Disabled the Group Policy وستشاهد بعد ذالك رسالة التحذير التالية اضغط على yes ثم ok وبذالك تكون قد عطلت القالب الافتراضي للأمن ، ويجب عليك بعد ذالك ان تنشئ قالب جديد تستخدمه لإدارة الأمن إنشاء Group Policy افتح الدليل النشط Active Directory ثم من على اسم الميدان او الوحدة التنظيمية بالزر الايمن ثم اختر خصائص ثم من النافذة الجديدة اختر علامة التبويب Group Policy ثم من الزر New يمكنك الان تغير اسم الـGroup بما يناسب الهدف من إنشائها وليكن NOR2000 Policy ويمكنك تحريك الترتيب بإستخدام UP وإذا كان لديك عدد من Group Policy تم تمكينها فإن الويندوز يطبقهم بالترتيب من الأعلى للأسفل الان Group Policy الجديد جاهز للاستخدام كما تريد ، وفي البداية نقوم بخطوة مهمة وهي خصائص Group Policy العامة وهي من الزر Properties تفتح لك نافذة بها ثلاث علامات تبويب العلامة الاولي General فيها يمكن أن تحدد وضيفة Group Policy هل هي من اجل المستخدم أو من اجل المحطة أو من اجلهما معاً كما في المثال الخيار الاول يعطل اعدادات المحطة الخيار الثاني يعطل اعدادات المستخدم من علامة التبويب Links يمكنك التاكد من الوصول للميدان والميدان يمكنه اختبار الـGroup Policy وأنه قابل للتطبيق ، من الزر Find Now يمكنك الاختبار كما في المثال إذا لم يتم العثور على الميدان أو الوحدة التنظيمية التي تنشئ الـGroup Policy من أجلها فذالك يعني وجود خلل ما يجب عليك اصلاحه من علامة التبويب Security يمكنك تحديد الاشخاص أو المجموعات التي يمكنها التغير في الـ Group Policy إستيراد قالب جاهز للأمن يوجد في الويندوز 2000 سيرفر عدد من القوالب الجاهزة للأمن يمكنك استخدامها ، وبشكل افتراضي يتم تخزين هذه القوالب في المسار التالي systemroot\security\Templ ates ولنجرب واحدة وهو القالب Securews.inf ، نفتح الـ Group Policy الجديد NOR2000 ثم من الزر Edit ثم اتبع المسار التالي Computer Configuration > Windows Settings > ثم بالزر الايمن على العقدة Security Settings ثم اختار Import Policy من النافذة انقر نقراً مزدوجاً على القالب Securews.inf ، الآن حرك إلى خصائص كلمة المرور على المسار التالي Computer Configuration > Windows Settings > Security Settings > Account Policies >password Policey تشاهد في الجانب الايمن سياسات متشددة على كلمة المرور أمثلة ولكن تضل بعض إعدادات الأمان تحتاج إلى مراجعة وتعديل حسب حاجتك مثال 1 - بعض خيارات قائمة Start التي يمكن أن تأهلها أو تلغيها عن المستخدم مثال 2 - خيارت المتصفح انترنت اكسبلورر وهي مهمة لمن لديهم اتصال بالانترنت في داخل الشبكة إستيراد من وحدة تنظيمية قد يكون لديك وحدات تنظيمية متعددة أو مجالات وكنت قد جهزت لبعض منها كائن أمن Group Policy وتريد أن تستورد هذا الكائن للأمن من هذا المجال أو الوحدة التنظيمية لوحدة تنظيمية آخرى بدلاً من إنشاء Group Policy جديد ويوجد اختلاف طفيف بين استيراد الـ Group Policy من مجال إلى مجال ، وبين استيراده من وحدة تنظيمية لأخرى ، ولكن تبقى الخطوات الرئيسية واحدة في كلاتا الحالتين ، وعند الرغبة في استيراد Group Policy من ميدان يجب أن يكون كلا الميدانين في حالة إتصال وتكون لك الصلاحية في إدارة الميدان والـ Group Policy فيه مثال حي لإستيراد Group Policy من وحدة تنظيمية لوحدة آخرى في نفس الميدان خطوة تستحق التفكير كثير هي الخطوات في الأمن وإدارته تستحق التفكير والتجربة مثل تثبيت البرامج وحذفها ومثل استخدام الالعاب وحفظ وتشغيل البرامج المضغوطة ومثل استخدام Run ، ومثل استخدام وتشغيل محرر السجل رجستري ومحث الاوامر Command Prompt وعندما تعطل تشغيل Command Prompt على الميدان تظهر هذه الرسالة عند محاولة تشغيله وتخبرك بأن مدير النظام على الشبكة قد عطل التشغيل لهذا التطبيق ويرشدك لضغط أي مفتاح للخروج خطوات إيقاف تشغيل الرجستري و Command Prompt ========================== أخيراً هذا الموضوع ليس مني كما قلت بأول شيء وإنما وجدته في أحد المنتديات وأعجبني . الجنــــــــــــــــــــــــــــــــــــرال __________________ :: ][ لمن أراد بريد يحمل أسم مدينته buraydahcity@buraydah.cc ][ ::