برای اعمال Policy های مورد نظرمان بروی کامپیوتر های موجود در شبکه  از این قسمت استفاده می­کنیم . استفاده از GPO هم در محیط workgroup  و هم در محیط Domain  امکان پذیر می باشد. دستور باز کردن gpedit.msc که در Run اجرا میکنیم.

Group Policy شامل دو قسمت می­باشد:

   – Computer Configuration : تنظیماتی است که برای یک کامپیوتر اجرا می­شود و هیچ ارتباطی به یوزرها ندارد ، یعنی برای تمام یوزرهایی که در کامپیوتر مورد نظر لاگین کنند اعمال می­شود .

   – User Configuration : تنظیمات مربوط به یوزر می­باشد . یعنی برای یوزر تنظیم می­شود و اگر مثلا در دامین باشیم ، یوزر در هر کامپیوتری لاگین کند Policyy برایش اعمال می­شود.

در حال قصد داریم قسمت Security Settings را بررسی کنیم . قسمتی که مربوط به Policyهای پسورد می­باشد.

حال به ترتیب به بیان توضیحات گزینه ها می­پردازیم .

Enforce Password History :

یعنی کاربر تا چند پسورد قبلی خود را نمی­تواند به عنوان پسورد جدید قرار دهد. مثلا اگر در این قسمت عدد ۵ قرار گیرد ، کاربر در هنگام تغییر پسورد نمی­تواند تا ۵ پسورد قبلی خود را به عنوان پسورد جدید برای خودش انتخاب کند.

Maximum / Minimum Password Age :

نشان­ دهندی ماکزیمم و مینیمم عمر پسورد می­باشد. پیش فرض ماکزیمم عمر پسورد ۴۲ روز معادل ۶ هفته می­باشد و پیش فرض مینیمم عمر پسورد یک روز می­باشد.

Minimum Password Length :

نشان دهنده این مورد است که پسورد حداقل باید شامل چند کاراکتر باشد.

Password must meet complexity requirements  :

منظور پیچیدگی پسورد به اندازه کافی می­باشد. با انتخاب این گزینه کاربران می بایستی حداقل ۶ کاراکتر پسورد بعلاوه اینکه ۳ نوع کاراکتر از ۴ نوع کاراکتر که شامل حروف کوچک و بزرگ اعداد و کاراکتر های None -alphabetic را انتخاب نمایند و شامل بخشی از نام کاربری نیز نباشد.

نکته : این مورد پیش فرض در ویندوز سرورها فعال و در ویندوز کلاینت­ها غیرفعال می باشد.

چند مورد مهم و بسیار کاربردی در Group Policy  GPO :

نحوه ی بستن Run در محیط Group Policy: 

نحوه ی بستن Registery در محیط Group Policy :

نحوه ی بستن Task Managerدر محیط Group Policy 

نحوه ی بستن CMD در محیط Group Policy 

بستن منو های General و Connection  در Internet Option (مدیریت منو ها در Internet Option)

مخفی کردن آیتم ها و بخش های مختلف کنترل پنل Control Palnel

جلوگیری از اتصالُ USB device Storage به کامپیوتر

غیر فعال کردن Properties Computer  و عدم مشاهده آن

جلوگیری از تغییر IP آدرس کامپیوتر توسط کاربران

نحوه ی بستن درایو (پارتیشن) در My Computer (مخفی کردن پارتیشن های کامپیوتر)

نظیمات مربوط به Account Policy 

Account Lockout Duration  :

نشان­ دهنده­ مقدار زمانی است ( مثلا ۳۰ دقیقه ) که اگر پسورد یوزر به اندازه Threshold اشتباه وارد شود ، یوزر Lock می­شود.

Account Lockout Threshold  :

حداکثر تعداد دفعاتی که  پسورد یوزر می­تواند اشتباه وارد شود . در صورت رسیدن به Threshold ، یوزر لاک Lock می­شود.

Reset Account Lockout counter after :

نشان­دهنده­ی مقدار زمانی است ( مثلا ۳۰ دقیقه ) که اگر تعداد پسوردهای اشتباه  یوزر به Threshold نرسد، با گذشت این زمان ، شمارنده­ی پسوردهای اشتباه Reset شده و باز هم کاربر می­تواند به اندازه ” یکی کمتر از Threshold ” پسورد اشتباه وارد کند.

مثال : می­توانیم تعیین کنیم اگر پسورد یک یوزر ۴ بار اشتباه وارد شود ، یوزر به مدت ۳۰  دقیقه Lock شود. حال اگر پسورد سه بار یا کمتر اشتباه وارد شود ، بعد از گذشت ۲۰۰ دقیقه شمارنده­ی پسوردهای اشتباه صفر شود. حال کاربر می­تواند مجدد تا سه بار پسورد را اشتباه وارد کند.

نکته : بعد از Lock شدن یوزر، گزینه­ ی Account is Lockout فعال می­شود.