تنفيذ نطاق عناصر نهج المجموعة وتوريثه

  • 7 دقائق

تحدد إعدادات النهج في عناصر نهج المجموعة التكوين. على الرغم من ذلك، يجب تحديد أجهزة الكمبيوتر أو المستخدمين الذين يتم تطبيق عنصر نهج المجموعة عليهم قبل أن تؤثر تغييرات التكوين في عناصر نهج المجموعة على أجهزة الكمبيوتر أو المستخدمين في المؤسسة. وهذا ما يسمى تعيين نطاق عنصر نهج المجموعة. إن نطاق عنصر نهج المجموعة عبارة عن مجموعة من المستخدمين وأجهزة الكمبيوتر التي سيتم تطبيق الإعدادات الموجودة في عنصر نهج المجموعة عليها.

هام

ويمكنك تعيين نطاق عنصر نهج المجموعة بواسطة ربطه إلى الوحدة التنظيمية التي تحتوي على المستخدمين وأجهزة الكمبيوتر الهدف.

تعيين نطاق عنصر نهج المجموعة

يمكنك استخدام عدة أساليب لإدارة نطاق عناصر نهج المجموعة المستندة إلى المجال. الأول عبارة ارتباط عنصر نهج المجموعة. في AD DS، يمكنك ربط عناصر نهج المجموعة ب:

  • المواقع
  • المجالات
  • وحدات تنظيمية

وعندها يصبح الموقع أو المجال أو الوحدة التنظيمية الحد الأقصى لنطاق عنصر نهج المجموعة. فيما ستؤثر التكوينات التي تحدد إعدادات النهج في عنصر نهج المجموعة على كافة أجهزة الكمبيوتر والمستخدمين داخل الموقع أو المجال أو الوحدة التنظيمية، بما في ذلك تلك الموجودة في الوحدات التنظيمية التابعة. ويمكنك ربط عنصر نهج المجموعة إلى أكثر من مجال واحد أو وحدة تنظيمية أو موقع.

تنبيه

يمكن أن يؤدي ربط عناصر نهج المجموعة بمواقع متعددة في مجموعة تفرعات متعددة المجالات إلى حدوث مشكلات في الأداء عند تطبيق النهج، ويجب تجنب ربط عناصر نهج المجموعة بمواقع متعددة في هذه الحالة. وذلك نظرًا إلى أنه يتم في شبكة متعددة المواقع متعددة المجالات تخزين عناصر نهج المجموعة على وحدات التحكم بالمجال في المجال الذي تم فيه إنشاء عناصر نهج المجموعة. والنتيجة هي أن أجهزة الكمبيوتر في المجالات الأخرى قد تحتاج إلى اجتياز ارتباط شبكة بطيئة واسعة النطاق (WAN) للحصول على عناصر نهج المجموعة.

ويمكنك تضييق نطاق عنصر نهج المجموعة مع أحد نوعي عوامل التصفية التي تمت مناقشتها في الجدول التالي.

Filter

الوصف

الأمان

تحدد هذه مجموعات الأمان أو المستخدم الفردي أو عناصر الكمبيوتر التي تتعلق بنطاق عنصر نهج المجموعة، ولكن يجب أو لا ينبغي تطبيق عنصر نهج المجموعة عليها صراحةً.

WMI

يحدد نطاقًا باستخدام خصائص النظام، مثل إصدار نظام التشغيل أو مساحة القرص الخالية.

لقطة شاشة لوحدة تحكم إدارة نهج المجموعة. لقد حدد المسؤول عنصر نهج المجموعة المرتبط بالوحدة التنظيمية للتسويق. يظهر في جزء التفاصيل عامل تصفية WMI يسمى أجهزة Windows 10، وعامل تصفية أمان تم تعيينه إلى مجموعة التسويق.

استخدم عوامل تصفية الأمان وعوامل التصفية WMI لتضييق أو تحديد النطاق ضمن النطاق الأولي الذي قام ارتباط عنصر نهج المجموعة بإنشائه. وفيما يلي مثال عن عامل تصفية WMI الذي ينتج قائمة من أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

أمر معالجة عنصر نهج المجموعة

لا يتم تطبيق عناصر نهج المجموعة التي تنطبق على مستخدم أو كمبيوتر أو كليهما في الوقت نفسه. يتم تطبيق عناصر نهج المجموعة في ترتيب معين. وقد تقوم الإعدادات المتعارضة التي تتم معالجتها في وقت لاحق بالكتابة فوق الإعدادات التي تقوم بالعملية أولاً.

يتبع نهج المجموعة ترتيب المعالجة الهرمي التالي:

  1. عناصر نهج المجموعة المحلية.
  2. عناصر نهج المجموعة المرتبطة بالموقع.
  3. عناصر نهج المجموعة المرتبطة بالمجال.
  4. عناصر نهج المجموعة المرتبطة بالوحدة التنظيمية.
  5. عناصر نهج المجموعة المرتبطة بالوحدة التنظيمية الفرعية.

هام

في تطبيق نهج المجموعة، القاعدة الافتراضية هي أن النهج الأخيرة (النهج الأكثر تحديدًا) المطبقة هي السائدة.

على سبيل المثال، يمكن عكس النهج التي تقيد الوصول إلى لوحة التحكم المطبقة على مستوى المجال من خلال نهج مطبقة على مستوى الوحدة التنظيمية للعناصر الموجودة في تلك الوحدة التنظيمية المحددة.

وإذا قمت بربط عدة عناصر متعددة إلى الوحدة التنظيمية، تحدث المعالجة الخاصة بها بالترتيب الذي يحدده المسؤول على علامة التبويب «Linked Group Policy Objects» في وحدة تحكم إدارة نهج المجموعة. بشكل افتراضي، يتم تمكين المعالجة لكافة ارتباطات عناصر نهج المجموعة. ويمكنك تعطيل ارتباط عناصر نهج المجموعة لحاوية من أجل حظر تطبيق عنصر نهج المجموعة بشكل كامل لمجال معين أو وحدة تنظيمية. على سبيل المثال، إذا أجريت تغييرًا مؤخرًا على عنصر نهج المجموعة وتسبب في حدوث مشكلات في الإنتاج، يمكنك تعطيل الارتباط أو الارتباطات حتى يتم حل المشكلة.

ملاحظه

لاحظ أنه إذا كان عنصر نهج المجموعة مرتبطا بالحاويات الأخرى، فسيستمرون في معالجة عنصر نهج المجموعة إذا تم تمكين ارتباطاتهم.

ويمكنك أيضًا تعطيل تكوين المستخدم أو الكمبيوتر الخاص بعنصر نهج المجموعة بشكل مستقل عن المستخدم أو الكمبيوتر. إذا كان أحد أقسام السياسة فارغًا، فقد يؤدي تعطيل القسم الآخر إلى تسريع معالجة السياسة بشكل طفيف. على سبيل المثال، إذا كان لديك نهج يقوم فقط بتسليم تكوين سطح المكتب المستخدم، يمكنك تعطيل مقطع الكمبيوتر من النهج.

وراثة عنصر نهج المجموعة

يمكنك تكوين إعداد نهج في أكثر من عنصر نهج واحد، ما قد يؤدي إلى وجود عناصر نهج متعددة متعارضة مع بعضها. في هذه الحالة، تحدد أسبقية عناصر نهج المجموعة إعداد النهج الذي يطبقه العميل. يسود عنصر نهج المجموعة ذو الأسبقية الأعلى على عنصر نهج المجموعة مع أسبقية أقل. ويتم تحديد الأسبقية رقميًا. كل عنصر نهج المجموعة له قيمة أسبقية. كلما انخفض العدد، كانت الأسبقية أعلى. لذلك، يسود عنصر نهج المجموعة الذي له أسبقية واحدة على جميع عناصر نهج المجموعة الأخرى.

يتمثل السلوك الافتراضي لنهج المجموعة في أن عناصر نهج المجموعة المرتبطة بحاوية ذات مستوى أعلى يتم توارثها بواسطة حاويات ذات مستوى أدنى. عند بدء تشغيل جهاز كمبيوتر أو تسجيل دخول مستخدم، تفحص ملحقات عميل نهج المجموعة موقع الكمبيوتر أو عنصر المستخدم في AD DS وتقيم عناصر نهج المجموعة مع النطاقات التي تتضمن الكمبيوتر أو المستخدم. وعندها تطبق ملحقات من جانب العميل إعدادات النهج من عناصر نهج المجموعة هذه. ويتم تطبيق النهج بالتتابع، بدءًا من السياسات التي ترتبط بالموقع، متبوعة بتلك التي ترتبط بالمجال، متبوعة بتلك التي ترتبط بالوحدات التنظيمية. ويؤدي هذا التطبيق التسلسلي من عناصر نهج المجموعة إلى إنشاء تأثير يسمى وراثة النهج. إن النُهج موروثة، ما يعني أن المجموعة الناتجة من النُهج (RSoPs) لمستخدم أو كمبيوتر سيكون التأثير التراكمي للموقع، والمجال، ونُهج الوحدة التنظيمية.

حظر التوريث

يمكنك تكوين مجال أو وحدة تنظيمية لمنع توريث إعدادات النهج. وهذا ما يعرف بحظر التوريث. لحظر التوريث، انقر بزر الماوس الأيمن فوق قائمة السياق أو الوصول إليها للمجال أو الوحدة التنظيمية في شجرة وحدة تحكم في إدارة نهج المجموعة، ثم حدد "Block Inheritance".

لقطة شاشة لقائمة السياق للوحدة التنظيمية للتسويق في وحدة تحكم إدارة نهج المجموعة. لقد حدد المسؤول حظر التوريث.

يعد خيار "حظر التوريث" خاصية حاوية، لذا فإنه يمنع كافة إعدادات نهج المجموعة من عناصر نهج المجموعة التي ترتبط بالأصل في التسلسل الهرمي لنهج المجموعة.

تنبيه

استخدم خيار حظر التوريث باعتدال لأنه يزيد من صعوبة تقييم أسبقية نهج المجموعة والوراثة.

بقشيش

مع تصفية مجموعة الأمان، يمكنك تعيين نطاق عنصر نهج المجموعة بعناية، بحيث يتم تطبيقه على المستخدمين وأجهزة الكمبيوتر الصحيحة فقط في المقام الأول، ما يجعل من غير الضروري استخدام خيار "حظر التوريث".

بالإضافة إلى ذلك، يمكنك تعيين ارتباط عنصر نهج مجموعة ليتم فرضه. لفرض ارتباط عنصر نهج المجموعة انقر بزر الماوس الأيمن أو الوصول فوق قائمة السياق لارتباط عنصر نهج المجموعة في شجرة وحدة التحكم ثم حدد «Enforced» من القائمة المختصرة.

لقطة شاشة لقائمة السياق ل GPO إعدادات أمان مجال Contoso في وحدة تحكم إدارة نهج المجموعة. لقد حدد المسؤول فرض.

عند تعيين ارتباط عنصر نهج المجموعة إلى فرض، يأخذ عنصر نهج المجموعة أعلى مستوى من الأسبقية. تسود إعدادات النهج في عنصر نهج المجموعة هذا على أي إعدادات نهج متعارضة في عناصر نهج المجموعة الأخرى.

هام

وينطبق الارتباط المفروض على الحاويات الفرعية حتى عندما يتم تعيين هذه الحاويات على حظر التوريث. يؤدي خيار الفرض إلى تطبيق النهج على جميع العناصر داخل نطاقها.

ويكون الفرض مفيدًا عندما يتعين عليك تكوين عنصر نهج المجموعة الذي يحدد التكوين الذي تم إلزامه بواسطة نهج الاستخدام وأمان تكنولوجيا المعلومات الخاصة بشركتك. لذلك، تريد التأكد من أن عناصر نهج المجموعة الأخرى المرتبطة بنفس المستويات أو المستويات الأدنى لا تتجاوز هذه الإعدادات. ويمكنك القيام بذلك عن طريق فرض ارتباط عنصر نهج مجموعة.

تقييم الأسبقية

لتسهيل تقييم أسبقية كائن نهج المجموعة، يُمكنك تحديد الوحدة التنظيمية أو المجال ببساطة، ومن ثمَّ تحديد علامة التبويب "Group Policy Inheritance". تعرض علامة التبويب تلك الأسبقية الناتجة عن كائنات نهج المجموعة، ورابط محاسبة كائن نهج المجموعة، وترتيب الارتباطات، وحظر التوريث وفرض الارتباط.

لقطة شاشة لوحدة تحكم إدارة نهج المجموعة. لقد حدد المسؤول علامة التبويب

هام

ولا تأخذ علامة التبويب هذه في الاعتبار النهج المرتبطة بموقع أو أمان عنصر نهج المجموعة أو تصفية WMI.