آزمایشگاه سیستم عامل (Group Policy)

صفحه 1:


صفحه 2:
Group Policy 

صفحه 3:
۱ اس ۱ ‏ل‎ sen esate ee Computer Configuration ® Sen. aero erwin Te "1 و و۱۱۳ با ورود كاربر اين برضادم ها اعمال مي شود. 

صفحه 4:
مر ‎(Wi computer conigraton‏ مومت سالگ زاو دوه ‎fle Acton Yew Heb‏ 5 5اه ها + | 0 عدا 5 ‎Gi Software Settings‏ ها ‎Ca Windonssettras‏ 4 ‎Adnan Teles‏ ذا ‎Gh use confareton‏ ‎oftvate Sets‏ ‎el Windows Stings‏ حصي دسم ‏زونه نومه ادمما 3 ‎Select an item to view its descriptor ‎ ‎ ‎ 

صفحه 5:
در هر۲ قسعت بالا ۳ بخش وجود دارد: ۷۵ 250/۷0۳۵ در نصب انوماتیک ‎ts Application‏ كاريرد دارد . . ‏بيشتر براى تنظيمات امنيتى كاربرد دارد. مثلا حداقل طول رمزها‎ Windows Setting ‎Glo} » Administrative Templates‏ در ظاهر يا بوسته ويندوز بخواهيم مواردى را فعال يا غيرفعال كنيم . سراغ اين كزينه مى آبيم. ‏مثلا برداشتن بره ها و منوها ؛ برداشتن كنترا ‎ 

صفحه 6:
:group policy ‏اجرای‎ !" Start>Run>gpedit.msc 

صفحه 7:
مثال: مى خواهيم بركه 52/11 در خصوصيات مانيتور را مخفى كنيم 1 ازسیر زیر به گزینه ‎hide setting tab‏ رسیده و آن را فعال مى كنيم . User configuration — administrative templates - control panel — display - hide setting tab: Enable ! ‏مثال: می خواهیم از کاربران اجازه دسترسی و اجرای کنترل پنل را بگیریم‎ ازسیر زیر به 423 ‎Prohibit access to the control panel‏ رسیده و آن را فعال مى كنيم . User configuration — administrative templates — control panel- Prohibit access to the control panel ‏نداشته باشند ؟‎ Change password Gal aij oly CtrltAlrtDel ‏مثال: مى خواهيم وقتی کاربران‎ ازمسير زير به 35 43 ‎OT § om) Remove Change Password‏ را فعال می کنيم . User configuration— administrative templates — System — Ctrl+Alt+Del — Remove Change Password 

صفحه 8:
منال: می خواهيم کاربران امگان ۲0۲۵۵۱ گرفتن از 0707۷۸۵ ۱/۱ را نداشنه باشند ؟ ازسير زير يه كزينة اس ‎Remove Properties from the my computer Context‏ رنیده و آن را فمال مى كنيم . User configuration- administrative templates -Desktop-Remove Properties from the my computer Context Menu مثال: مى خواهيم وقتى سيستم بالامى آبد با 1.0207 مى كنيم آخرين 115671071 قبلى موقع 10917 محدد نشان داده نشود ؟ بطور كلى تنظيماتى كه مى خواهيم مفهوم امنيتى داشته باشد و به همه کاربرها اعمال شوند نه یک گروه خاص ما در قسمت :8067117 ‎«wa ot lel Shue Options‏ Computer Configuration - Windows setting - Security setting - Local policies- security options - Interactive Logon: Don't Display Last username 

صفحه 9:
منال: می خواهیم کاری بکنیم که رمزها بجای ۴۲ روز پس از ۷۰ روز منقضی شونه » همچنین موقع تغیبر رمزها یا ساختن کاربر جدید رمزها حداقل ۷ کاراکتوی باشد 1 هر وقت بخواهيم خصوصبات رمزها راتقیبربدهیم باید به سراغ ‎«egy Password Policy‏ Computer Configuration ~ Windows setting — Security setting- Account Policies ~ Password Policy , ‏حداقل طول رمزها : اگر این پارامتر را روی صفر بگذاریم یعنی وجود رمزها الزامی نیست‎ Minimum password-\ ‎Maximum password age-t‏ حداکثر طول عمر رمزها که پس از این مدت 1۳106 می شود ‎. ‏این پارامتر را روی ۳ روز قرار دهیم . بعنی رمزها تا ۳ روز نمی توانند تغیر کنند‎ Meo SFI :Minimum password age . ‏ایستی پیچیده باشند پعنی شامل حروف و رقم و علامت باشند‎ Lal ‏ااج وت ۸۸۸۵۲۱۱۵۵۱ ۳۱۱۱۱0۸ رمزها‎ requirement ‏در این حالت رمز کاربر به شکل کدگذاری شده‎ Store password using reversible encryption for all users in the domain-» . ‏ذخیره می شود كه البته ابن خاصيت در محبط دومین قابل انجام است‎ ‎We FhEnforce password history-%‏ این پارامتر را روی ۷ قرار دهیم وقتی کاربری می خواهد خود را ‎Change password‏ كند ؛ ‏رمز جدید او را با ۷ رمز قبلی خود مقایسه می کند . اگر تکراری باشد از کاربر قبول نمی کند . 

صفحه 10:
Seam Account Lockout Policy 3) yikes) iu ‏وقنى آن را روى 0 مى گذاريم. افراد می توانند ای سیستم‎ : slo (Threshold) ‏قضبه بدين صورت است که یک پارامتر حداکثر یعنی‎ ‏موقع 1.00 برای یک کاربر مثل ۰110۸ ۵ بار سعی کنند رمز آن را وارد کنند . اگر هر ۵ بار اشتباه وارد کنند کارپر در حالت :1.061 قرار‎ ‏مى كيرد . مدت ابن قفل بودن را با پارامتر 100۸130 می توائیم تنظیم کنند . مثلا ۳۰ دقیقه پس از ابن مدت انوماتیک کاربر از حالت قفل‎ ‏کاربر پرود و تیک چک باکس‎ propertis 4 ‏توائد وارد 065 و‎ oe Administrator Cute gy! plad 99 Gl. ‏خارج می شود‎ . ‏را بردارد تا از حالت قفل خارج شود‎ Account is locked out 265 © dol Administrator 9 ‏شوند‎ go ‏7تذگر: اعضای گروه 015/«اعنتسالا حتی اگر رمز آنها را اشتباه وارد کنیم قفل‎ ویندوز برای ما ساخته است قفل نمی شود . 

صفحه 11:
مثال: به طور بيش فرض ‎go Adininistrators g Power users og 36 glacl‏ توانند ساعت سیستم را عوض کنند ؛ می خواهیم حتی کساربران عادی هم قادر باشند ساعت سیستم را تغيير دهند ؟ هر وقت بخواهيم اختیارات گروه ها را از حالت پیش فرض ویندوز خارج کنیم ‏ به اين مسير زير .9233 9 433 ‎Change system time‏ را پید کرده و در آن گروه کاربران عادی(5015]/را اضافه می كنيم . Security setting- local policies — user rights assignment: change system time 

صفحه 12:
‎)١‏ مى خواهيم وقنى كاريران از تفت اکسپلورر :77006 می گیرنه :بر گه /0:/۵۵/0) نداشته باد . جون با این برگهکاربران ‎(oe Internet connection‏ سمازید , ‎connection page 4 3° yj yaa jf‏ عدا #ادادكذل را بيدا كرده و آن را فعال ميكنيم . ‎User Configuration - Administrative templates - windows component ~ internet explorer - internet explorer ‎control panel: disable the connection page 

صفحه 13:
ان ) تت نابل a Woe See a OCU eB "1 ‏ممه‎ shes FAT32 ® ‏از سیستم عامل ۸66 به بعد پشتيباني مي‌شود.‎ ۳ NTFS @ ۱ eee RI NCSC VA ‏با سيستم عام 002600000 به وجود‎ : 00086 © 0 ‏ل‎ cance ta 

صفحه 14:
تبدیل ۳۸۲ يا ۳۸۲32 به ۳۷۷ ۱ کرت سرا ۱۱۳۹۵ ۰ ‏سا‎ ۳۰۱۱۱/20۵ Fan ecg 5 Ears OOS sR Om ERO PE OX 0) ANY -1 ws OFS Da chkdsk d: ۳ ‏دستور‎ * به کمک نرم‌افزارهای جانبی مثل 391 ۴۵۳1100 

صفحه 15:
۱۱ homey ee ele yee (Encrypt) «lis a @ (Compress) ¢cjle 02.23 (OLUTo) Drs KC ere (Security) ‏امنيت‎ "" 

صفحه 16:
(Encryption) g 935 0 )١ ‏ار یک کاربر فایل با فایلهایی را كد كذارى كند , آن فايل به عبارتى قفل مى شود . خود کاربر به راحتی می تواند آن را استفاده کند اما‎ ‏کاربرهای دیگر حتی :0001 نمی توانند آن فایل را باز و مشاهده کنند و نمی توانند از آن کبی بگبرند . هر کسی مى تواند فايلهابى را كه‎ ‏آنها است کدگذاری کند . همچنین فایلهای دیگران را به شرطی که نسبت به آنها مجوزهای زیر را داشته باشد‎ (Owner) Coto b ‏مالك‎ ‎. ‏کدگداری نماید‎ List Folder / Write Data.1 Create Files / Write Data.r Write Attributes 7 تمام این ‎T‏ عنوان در ‎med go Permission 3 Advanced s Security‏ و بعد از ۸۸00 كردن فرد مورد نظر ليست اختیارات داده می شود طریقه کدگذاری:کلیک راست روی فایل و ‎«Fy propertios‏ م6 - دکمه ۱۱3۳۵6۵0 - و گزینه زیر را تيكك مى زيم Encrypt contents 10 secure data 

صفحه 17:
#تذكراتة ۱افقط کسی می تواند یک فایل کدگذاری شده را بازکند که خودش کدگذاری کرده باشد . یعنی اگر ۱1:88 فابلی را کدگذاری کرده باشد فقط خودش می تواند آن را کدشایی کند . ۲)اگر یک فایل کدگذاری شده را روی فلاپی بخواهيم ‎a‏ چون فلاپی 15" نیست ممکن است تصور کنیم که فایل روی فلایی باز و کد گشابی خواهد شد ؛ غافل از اینکه اصلا فایل قابل کپی نیست ۰ ۳ هر وقت فولدری کدگذاری شده باشد ‏ بعد از کدگذاری هر فایلی را داخل آن کپی کنیم یا بازيم اين فایل هم کدگذاری خواهد. شد. 

صفحه 18:
۲)فشرده سازی ‎(Compress)‏ ‏متظور اینست که کاربران می توانتد فابلها و فولدرها را فشرده کنند بدون استفاده از برنامه های کمکی ‎CS. WinZip foe‏ کاربر بشرطی می تواند یک فایل را فشرده کند که نسبت به آن فایل مجوز 1۷1166 داشته باشد . ۱) عکسهایی مثل ای و ‎Jpeg‏ را اکر فشرده سازی کنیم ی ندارد چون این عکسها انا فشرده هستند . ۲)یک فابل را نمی توان همم کدگذاری کرد و هم فشرده . ۳)کر فولدری را فرده کرده بایم » هر چیزی را که داخل آن کپی(۳:۵/0) ‎inal «gla‏ فشرده خواهد شد . )گر یک فایل فشرده را روى فلاپی یا روی درایو ۳۸7۳۲ کپی کنیم : كبى مى شود اما در متصد به صورت فایل بدون فشرده خواهد بود و حجم اصلی خودش خواهد بود سیر فشوده سازی: کلیک راست روی فایل و 0۲006۲1/8۰ ‎ke gg Advanced as General &* y‏ زير را تيك مى زنيم ی 

صفحه 19:
"')سهم كذارى ‎(Quota)‏ خاصيتى است كه ما مى توانيم يك درابو را طورى محدود كنيم ؛ تا هر کاربر فقط فضای محدود و خاصی را بتواند براى ذخيره و كبى يا 0 استفاده كند . مثال: فرض کنید ۳ تا کاربر داریم : مى خواهيم آنها را بصورت زير محدود كنيم : User) \+kb Usert kb Usert r-kb طریقه استفاد روی درایو مورد نظر کلیک راست می كنيم ‎Quota 45 (1‏ )| انتخاب می کنیم . و تیک اول ‎Deny disk space to users g Enable Quota Management‏ را تيك مى زنيم . ؟)وقتى می خواهیم کاربرها سیم های ‎(Quota)‏ آنها با هم متغاوت باشد از 120187015 00010 استفاده می کنیم 

صفحه 20:
۴ب رکه ‎Security‏ در این بره مجوزهای (۳0۳۳9155100) بیشتری را می توان 561 کرد . مشاهده محتویات و صفات فایلها 06 ‏مشاهده محتویات و صفات فایلها ۸ اجرای فابلهای‎ :Read & execute ‏تغبیر محتویات و صفات فایل و ذخبره آن‎ 0 ‎“Modify‏ همان امکانات ۱۷/۵ امکان حذف فایلها ‎:List folder contents‏ مشاهده لیست فابلها و زیر شاخه های یک فولدر ‎“Full Control‏ تمام مجوزهای قبلی ‏برای مشاهده ب رکه موه باید در قسمت وه ۳۵ و در سربرگ معا گزینه زیر را غیر فعال کرد. ‎Ove vtople Pie starters‏ ‎ ‎ ‎ ‎ 

صفحه 21:
)گر به یک فولدر برای گروه یا گروههایی مجوزهایی را 56۷ کنیم , اين مجوزها به تمام زیر شاخه ها و فایلهای داخل آن فولدر نیز ارث می رسد . مثلااگر رو 12۷011006 مجوز 10901 نسبت به فولدری داشته باشد سبت به تعام فایلها و زیر شاخه های آن نیز مجوز ‎Read‏ ‏خواهد داشت (به طور پیش فرض) ار بخواهيم به یکی از زیر شاخه ها مجوزها به ارث ترسد روی زیر شاخه کلیک راست می کنیم و ‎properties‏ می گیریم به بره 501 می رویم و دکمه ‎Ly Advanced‏ می زنیم و یک این کزینه را برمی داریم ...... ‎Inherit form parent‏ در جواب این برداشتن ۲ دتمه در اختیار ما قرار مى “ميرد .: ۲( ): مجوزهایی که از قبل به 50101001 به ارث رسیده اند سوجای خود باقی می بانند ولی از اين بهبعد دیگر مجوزی به 50۳10180 به ارث نمی رسد. : ‏چه مجوزهای قبلی و چه مجوزهایی که از این به بعد روی فولدر اصلی تنظیم می شود دیگر به 500101001 به ارث نمی رسد‎ Remove به آن اصطلاحا (تبلوی ورائت مطلفا معنوع) می گویيم.