آیا تا به حال از خودتان پرسیده اید که با اعمال تغییرات در Local Group Policy در یک کلاینت، این تغییرات در کجا ذخیره سازی می شوند؟ اگر چنانچه بتوانید به این سوال پاسخ صحیح دهید، پس می توان با حذف این تغییرات کاری کرد که تغییرات صورت گرفته در Local Group Policy به حالت اولیه بازگردند. به صورت پیش فرض، تغییرات انجام گرفته در Local Group Policy، در یک فولدر مخفی در مسیر C:\Windows\System32 نگهداری می شوند. این فولدر GroupPolicy نام داشته و در شکل زیر می توانید محتویات آن را مشاهده کنید: در شکل زیر می توانید محتویات این فولدر را مشاهده کنید: نکته: به صورت پیش فرض فولدر فوق وجود نداشته و تنها زمانی ایجاد می گردد که برای اولین بار از دستور gpedit.msc استفاده کنید. این در حالیست که حتی با باز شدن ابزار مدیریت Local Group Policy (به علت اجرای دستور gpedit.msc) و بستن آن، بدون آنکه تغییری را لحاظ نماییم، فولدر مذکور ساخته می شود.
منبع : iransec
- - - Updated - - -
همانطور که می دانید به همراه نصب سرویس Active Directory، دو GPO نیز به صورت خودکار ایجاد و سپس اعمال می گردند. این GPOها عبارتند از:
- Default Domain Controller Policy
این دو GPO آنقدر مهم هستند که مایکروسافت جز در موارد خاص، پیشنهاد می نماید که تغییری در آنها اعمال نگردد. متاسفانه در پروژه های متعددی با مواردی مواجه شده ام که مدیر شبکه سازمان مربوطه با انجام تغییرات متعدد در این دو GPO و عدم ثبت این تغییرات، باعث بروز مشکلاتی در شبکه شده بود. در این حالت چگونه می توان مشکل بوجود آمده را برطرف نمود و یا به عبارت دیگر چگونه می توان تنظیمات موجود در این دو GPO را به حالت پیش فرض بازگرداند؟
خوشبختانه شرکت مایکروسافت برای این مشکل نیز چارهای اندیشیده است. این کار را می توان با ابزار dcgpofix به انجام رسانید.
نکته: با استفاده از این ابزار می توان به یکباره دو GPOی مذکور را به حالت پیش فرض بازگرداند و یا آنکه عملیات بازگرداندن به حالت پیش فرض را بر روی یکی از آنها به انجام رسانید.
استفاده از این ابزار بسیار ساده است. در ادامه به سناریوهای مختلف جهت استفاده از این ابزار خواهم پرداخت: سناریوی اول: فرض کنید که می خواهید تنظیمات موجود در Default Domain Controller Policy را به حالت پیش فرض بازگردانید. در این حالت کافیست طبق تصویر زیر اقدام نمایید: سناریوی دوم: فرض کنید که می خواهید تنظیمات موجود در Default Domain Policy را به حالت پیش فرض بازگردانید. در این حالت کافیست طبق تصویر زیر اقدام نمایید: سناریوی سوم: فرض کنید که می خواهید تنظیمات موجود در دو پالیسی Default Domain Policy و Default Domain Controller Policy را همزمان به حالت پیش فرض بازگردانید. در این حالت کافیس طبق شکل زیر اقدام کنید: منبع : iransec
- - - Updated - - -
فرض کنید که تنظیماتی را بر روی پالیسی مربوط به Default Domain Policy به انجام رسانیده اید و حال تنظیمات صورت پذیرفته بر روی کلاینت های موجود در دامین اعمال شده و باعث مشکلاتی گردیده است. در این حالت می خواهید که تنظیمات موجود در Default Domain Policy را به حالت اولیه خود بازگردانید. چگونه می توان این کار را به انجام رساند؟
در گذشته مقاله ایی در این رابطه در سایت قرار دادم که در آن دستور dcgpofix به منظور انجام عملیاتی مشابه، معرفی گردید (جهت دسترسی به این مقاله، اینجا را کلیک کنید). در این مقاله قصد دارم که به روش دیگری جهت انجام این کار بپردازم. بدین منظور کافیست طبق مراحل زیر اقدام نمایید: مرحله اول – ویرایش فایل GptTmpl.inf: در این مرحله می بایست فایل GptTmpl.inf را که در مسیر زیر قرار دارد را گشوده و متن آورده شده در پایین را در آن جایگزین نماییم: C:\WINDOWS\SYSVOL\Sysvol\DomainName\Policies\{31B2 F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit
[Unicode]
Unicode=yes
[System Access]
MinimumPasswordAge = 1
MaximumPasswordAge = 42
MinimumPasswordLength = 7
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
ClearTextPassword = 0
[Kerberos Policy]
MaxTicketAge = 10
MaxRenewAge = 7
MaxServiceAge = 600
MaxClockSkew = 5
TicketValidateClient = 1
[Version]
signature="$CHICAGO$"
Revision=1
به شکل زیر نگاه کنید: سپس فایل مذکور را بسته و تغییرات انجام گرفته را ذخیره می نماییم. مرحله دوم – ویرایش فایل Gpt.ini: در این مرحله می بایست به مسیر زیر رفته و سپس فایل Gpt.ini را باز کنیم. به شکل زیر نگاه کنید: {C:\WINDOWS\SYSVOL\Sysvol\Domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9
سپس می بایست عدد نمایش داده شده در فایل را به اندازه ایی افزایش دهیم که مانع از از بین رفتن تغییرات فوق به دلیل انجام عملیات Replication گردد. پیشنهاد می گردد که به انتهای عدد موجود، عدد 0 را اضافه کرده و یا آنکه به ابتدای عدد نمایش داده شده، عدد 1 را قرار دهید. به شکل زیر نگاه کنید: مرحله سوم – اعمال تغییرات انجام گرفته: به منظور اعمال تغییرات انجام گرفته و تست سریع آن، از دستور gpupdate /force بر روی یکی از کامپیوترهای موجود در دامین خود استفاده کنید.
منبع : iransec