درک مفهوم Loopback Processing Mode در تنظیمات Group Policy

در تنظیماتGroup Policy در ویندوز سرور گزینه ای به نامLoopback Processing وجود دارد که بسیار مشاهده می شود مفهوم این مسئله به درستی بیان نمی شود. در حقیقت تنها راه اینکه به درستی مفهوم این موضوع درک شود استفاده از یک سناریو است. اکثر کارشناسان و حتی برخی از مدرسین زمانیکه نامLoopback Processing را می شنوند تنها چیزی که عنوان می کنند و اکثرا بدون تحقیق و کار عملی می باشد این است که بصورت پیشفرضPolicy هایUser Configuration بر رویComputer Configuration در اصطلاحOverride می کند یا اولویت دارد.

در صورتیکه اینPolicy را فعال کنید عکس این عمل صورت می گیرد وPolicy های Computer Configuration بر رویUser Configuration اولویت پیدا می کند ، در جاهایی از آن استفاده می کنیم که معمولا سرورها یا کامپیوترهای کیوسک یا لابراتوار وجود دارد و ما می خواهیم که یک کاربر زمانیکه وارد یکی از این سیستم ها می شود فارق از اینکه عضو کدام گروه مدیریتی استPolicy های Computer ها به آن اعمال شود. تا اینجا مشکلی نیست اما ابهام در اینجا پیش می آید که مگرPolicy هایComputer Configuration وUser Configuration یکسان هستند که در صورت بروز تداخل در بین این دو برتری برای یکی قائل شویم ؟ با نگاه کرده بهPolicy های قسمتComputer Configuration وUser Configuration درGroup Policy متوجه می شوید که این دو نوعPolicy تداخل چندانی با هم ندارند وPolicy های متفاوتی دارند . اینجاست که درک مفهوم Loopback Processing کمی مبهم می شود.

همانطور که عنوان کردم بهترین راهکار برای درک موضوعLoopback Processing استفاده از یک سناریو است . فرض کنید در یک سازمان قرار دارید که ساختار اکتیودایرکتوری آن دارای دو عددOrganizational Unit به نام های IT-Servers وIT-Users می باشد.

  • IT-Servers
  • IT-Users

درOrganizational Unit به نامIT-Servers کامپیوترها یاComputer Account های ما قرار دارند و درOrganizational Unit به نامIT-Users کاربران یاUser Account های ما قرار دارند. فرض کنید که برای IT-Servers شما یکGPO درست کرده اید و آن را به اینOU لینک کرده اید ، طبیعی است که تنظیمات زیر برای اینOU وجود خواهد داشت:

  • Computer Configuration
  • User Configuration

برایIT-Users هم به همین شکل یکGPO ایجاد کرده اید که به اینOU لینک داده شده است وPolicy های زیر هم طبیعی است که برای اینOU نیز وجود خواهد داشت:

  • Computer Configuration
  • User Configuration

نکته مهم در اینجاست ، اگر کاربری که درIT-Users قرار دارد وارد یکی از سرورهایی شود که درIT-Servers قرار دارد آنوقت چه اتفاقی خواهد افتاد ؟ در اینجا در هنگام ورود کاربر 2 نوعPolicy وجود دارد که می تواند اعمال شود که به ترتیب موارد زیر هستند:

  • Computer Configuration مربوط بهGPO ای که بهIT-Servers لینک داده شده است
  • User Configuration مربوط بهGPO ای که بهIT-Users لینک داده شده است.

بنابراین در این حالت کاربر مورد نظر ما در هر جایی که وارد این سرورها شود در نهایت تنظیمات مربوط بهPolicy های کاربری به او اعمال خواهد شد که در IT-Users اعمال شده است و در هنگام ورود به سیستم این تنظیمات بر روی سایر تنظیماتUser Configuration ای که وجود دارد اولویت خواهد داشت. این تنظیمات پیشفرض است. شما می خواهید که اگر کاربر مورد نظر شما بر روی سرورهای موجود درIT-Servers وارد شد تنظیماتUser Configuration ای به وی اعمال شود که در اینOU قرار دارد. بنابراین اینجا همان لحظه ای است که به سراغ یکPolicy به نامUser Group Policy Loopback Processing Mode می رویم. زمانیکه شما اینPolicy را فعال می کنید می توانید دو امکان مختلف به نام هایReplace وMerge را انتخاب کنید. در ادامه با توجه به سناریو موجود این دو مورد را توضیح خواهیم دارد.

حالتReplace Mode


زمانیکه شماUser Group Policy Loopback Processing Mode را در حالت Replace Mode قرار می دهید و اینPolicy را بهIT-Servers لینک می کنید ، ببینید وضعیت اعمال شدنPolicy ها به چه شکلی خواهد بود:

  • Computer Configuration مربوط بهGPO ای که بهIT-Servers لینک داده شده است
  • User Configuration مربوط بهGPO ای که بهIT-Servers لینک داده شده است.

توجه کنید که در این حالت هیچیک ازPolicy های مربوط بهIT-Users به کاربران اعمال نخواهد شد.

حالتMerge Mode


زمانیکه شماUser Group Policy Loopback Processing Mode را در حالت Merge Mode قرار می دهید و اینPolicy را بهIT-Servers لینک می کنید ، ببینید وضعیت اعمال شدنPolicy ها به چه شکلی خواهد بود:

  • Computer Configuration مربوط بهGPO ای که بهIT-Servers لینک داده شده است
  • User Configuration مربوط بهGPO ای که بهIT-Servers لینک داده شده است.
  • وUser Configuration مربوط بهGPO ای که بهIT-Users لینک داده شده است.

نکته در اینجاست که در صورتیکه در این میان تداخلی وجود داشته باشدPolicy هایIT-Servers بر رویPolicy هایIT-Users اولویت خواهند داشت و آنها اجرا می شوند. به دلیل اینکهGPO کامپیوترها زودتر ازGPO کاربرها پردازش می شود اگر تداخلی باشد تنظیمات کامپیوترها اولویت پیدا خواهند کرد. اما چرا این تنظیمات می تواند اینقدر مهم باشد ، اینPolicy را زمانی می توانید استفاده کنید که در شبکه دامین شما کاربرانی وجود دارند که پوشه های خودشان را توسطGroup Policy به حالتRedirect در آورده اند اما شما نمی خواهید اینRedirect شدن زمانی رخ دهید که کاربر با استفاده ازRemote Desktop Services به سیستم ها وارد وی شود. در این حالت شما اینPolicy را با استفاده از حالتReplace Mode بر رویGPO ای تنظیم می کنید که بهOU ای اشاره می کند کهComputer Account های مربوط به سرورهایRemote Desktop Services در آن قرار دارد. در این حالت زمانی که کاربر به این سرورها Remote وارد شودRedirect شدن فولدرها انجام نخواهد شد. IT باشید.

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

منابع ورودی تیم رسیدگی به رخدادهای رایانه ای

مهم ترین نیاز یک مرکز/تیم رسیدگی به رخدادهای رایانه ای پیشتر گفته شد منابع ورودی …