این راهنما شامل دستورالعمل‌های دقیق است که نشان می‌دهد چگونه تنظیمات سیاست گروه محلی را به کاربران یا گروه‌های خاص در ویندوز 11 و ویندوز 10 اعمال کنید. این راهنما نکاتی درباره مدیریت سیاست گروه محلی در ویندوز، همچنین رفع اشکال و بهترین شیوه‌ها برای مدیریت سیاست‌های گروهی خاص کاربران در مقیاس بزرگ را شامل می‌شود.

یاد بگیرید چگونه سیاست‌های گروه محلی را به کاربران خاص اعمال کنید تا کنترل دقیقی بر آنچه که کاربران خاص می‌توانند و نمی‌توانند انجام دهند، داشته باشید و کنترل دقیق بر برنامه‌ها و قابلیت‌هایی که می‌توانند استفاده کنند، اعمال کنید.

درک سیاست گروه محلی در ویندوز

سیاست گروه (Group Policy) ویژگی است در ویندوز که اجازه می‌دهد تا مدیریت مرکزی دستگاه‌های ویندوز، شامل تنظیمات سیستم و کاربر و همچنین پیکربندی برنامه‌ها، انجام شود. این شامل مدیریت سیاست‌های امنیتی، مجوزهای کاربری، پیکربندی شبکه و نحوه مدیریت پروفایل‌های کاربری است. سیاست گروه فقط در نسخه‌های Pro و Enterprise ویندوز در دسترس است — اگر از ویندوز 11 Home یا ویندوز 10 Home استفاده می‌کنید، نمی‌توانید به این قابلیت دسترسی داشته باشید.

سیاست‌های گروه شامل اشیاء سیاست گروهی (GPOs) هستند که مجموعه‌ای از گزینه‌های پیکربندی است که بر نحوه رفتار ویژگی‌ها یا برنامه‌های ویندوز تأثیر می‌گذارد. GPOها به‌صورت پیکربندی کامپیوتر (که به یک دستگاه خاص ویندوز و هر کاربری که وارد آن دستگاه شده باشد، اعمال می‌شود) یا پیکربندی کاربر (که فقط به یک حساب کاربری خاص برای مدت زمانی که وارد دستگاه ویندوز است، اعمال می‌شود) تنظیم می‌شوند.

شما می‌توانید سیاست گروه محلی را برای یک کاربر خاص با استفاده از سیاست‌های گروه محلی ویندوز و اشیاء سیاست گروهی پیکربندی کنید تا:

• به‌طور خودکار به اشتراک‌های شبکه و چاپگرهای آنلاین متصل شوید.
• اسکریپت‌ها را هنگام ورود یا خروج کاربر اجرا کنید.
• تنظیمات امنیت مرورگر وب را پیکربندی کنید.
• اطمینان حاصل کنید که فایروال و ضدویروس فعال هستند (و نمی‌توان آن‌ها را خاموش کرد).
• دسترسی به برنامه‌ها یا ویژگی‌های خاص ویندوز را مسدود کنید (مثلاً دسترسی به خط فرمان برای کاربران خاص را غیرفعال کنید).

سیاست گروه ویندوز می‌تواند روی دستگاه محلی تنظیم شود یا به‌عنوان بخشی از یک دامنه ویندوز برای استفاده در سازمان‌ها تنظیم گردد:

• سیاست گروه محلی: سیاست‌های گروه محلی فقط به دستگاه خاصی که روی آن تنظیم شده‌اند، اعمال می‌شوند. در صورت بروز تضاد، اشیاء سیاست گروه محلی توسط اشیاء سیاست گروه دامنه از Active Directory لغو می‌شوند.

• سیاست گروه در Active Directory: اشیاء سیاست گروهی نیز می‌توانند در دامنه ویندوز Active Directory تعریف شوند (برای مثال در یک کسب‌وکار کوچک، آموزش یا سناریوهای سازمانی). این به شما کنترل مرکزی بر کاربران و کامپیوترهای متصل به شبکه می‌دهد. سیاست‌های گروه در Active Directory بر اساس واحد سازمانی (Organizational Unit) کاربر یا دستگاه تعریف می‌شود.

چرا باید سیاست گروه را به کاربران خاص اعمال کنیم؟

سیاست گروه معمولاً در محیط‌های سازمانی به‌عنوان بخشی از دامنه Active Directory برای کنترل دستگاه‌های ویندوز در زیرساخت بزرگ فناوری اطلاعات شرکتی پیکربندی می‌شود. با این حال، این قابلیت در پیاده‌سازی‌های مقیاس کوچک ویندوز نیز مفید است زیرا به کسب‌وکارهای کوچک و افرادی که از کاربران خانگی پشتیبانی می‌کنند، این امکان را می‌دهد که کارهایی مانند:

• پیکربندی بروزرسانی‌های ویندوز و اطمینان از نصب به‌موقع آن‌ها.
• تنظیم برنامه‌های پیش‌فرض مانند مرورگر وب یا کلاینت ایمیل امن.
• اجرای تنظیمات سیستم برای جلوگیری از غیرفعال شدن ویژگی‌های امنیتی مهم مانند ضدویروس و فایروال ویندوز.
• جلوگیری از نصب برنامه‌ها و اجرای اسکریپت‌ها توسط کاربران غیرمجاز (به‌ویژه اگر برخی کاربران به‌طور مکرر ضمائم ایمیل‌های مخرب را باز کنند یا نرم‌افزارهایی از وب‌سایت‌های مشکوک دانلود کنند).
• اطمینان از اینکه کاربران خاص فقط می‌توانند برنامه‌ها یا وب‌سایت‌های خاص را باز کنند، به‌عنوان مثال، تنظیم یک کاربر که فقط به یک برنامه یا وب‌سایت خاص دسترسی دارد برای استفاده به‌عنوان کیوسک وب یا برای دموهای محصول.

پیش‌نیازها برای تنظیم سیاست‌های گروه محلی برای کاربران خاص

نام کاربری کسانی را که می‌خواهید به گروه اضافه کنید وارد کرده و سپس روی OK کلیک کنید.

بعد از اضافه کردن کاربران و گروه‌ها، می‌توانید به طور خاص آنها را با Local Group Policies هدف قرار دهید. به طور کلی، بهتر است کاربران را به یک گروه اضافه کنید تا بتوانید تنظیمات را برای تمام کاربران آن گروه تنظیم کرده و بعداً کاربران جدید را به آن گروه اضافه کنید، به جای اینکه تنظیمات را به طور جداگانه برای هر کاربر اعمال کنید.

راهنمای گام به گام: اعمال Local Group Policy برای کاربران خاص

برای اعمال Local Group Policies به کاربران خاص در ویندوز، باید یک پنجره مدیریت کنسول مایکروسافت (MMC) سفارشی ایجاد کنید که تنها برای آن کاربران یا گروه خاص، گروه‌پالیسی‌ها را ویرایش کند:

1. روی دکمه Start راست‌کلیک کرده، سپس Run را انتخاب کنید.
2. mmc را وارد کرده، روی OK کلیک کرده و در پیام کنترل حساب کاربری روی Yes کلیک کنید تا MMC باز شود.
3. در نوار منو، روی File کلیک کرده و سپس Add/Remove Snap-In… را انتخاب کنید.
4. از فهرست اسنپ-این‌های موجود، Group Policy Object Editor را انتخاب کنید.
5. روی دکمه Add > کلیک کنید تا آن را به فهرست اسنپ-این‌های انتخاب شده اضافه کنید.

روی دکمه Browse در پنجره Select Group Policy Object کلیک کنید.
زبان Users را انتخاب کرده، سپس کاربران یا گروه‌های خاصی را که می‌خواهید انتخاب کنید و در نهایت روی OK کلیک کنید.

1. روی Finish در پنجره Select Group Policy کلیک کرده و سپس روی OK در پنجره Add or Remove Snap-ins کلیک کنید.
2. پنجره MMC حالا Local Group Policy Editor را برای کاربران خاص در پنل ناوبری نمایش خواهد داد.
3. روی File کلیک کرده سپس Save As را انتخاب کنید و این نمای سفارشی MMC را روی دسکتاپ به نام Group Policy Editor for specific users ذخیره کنید (برای راحتی، نام گروه را در نام MMC بگنجانید).
4. حالا می‌توانید هر زمان که بخواهید سیاست‌های کاربران را برای آن کاربر یا گروه مدیریت کنید، این فایل MMC ذخیره‌شده در دسکتاپ خود را استفاده کنید.

هر تغییری که در این پنجره MMC انجام دهید تنها برای کاربران یا گروه مشخص‌شده اعمال خواهد شد. به عنوان مثال، می‌توانید یک سیاست گروهی پیکربندی کنید که دسترسی اعضای یک گروه خاص به Control Panel را مسدود کند:

1. فایل MMC را که قبلاً ایجاد کرده‌اید باز کنید.
2. به مسیر Local Computer/specific users Policy/User Configuration/Administrative Templates/Control Panel بروید.
3. روی تنظیم Prohibit access to Control Panel and PC settings دوبار کلیک کنید.

در پنجره تنظیمات، گزینه Enabled را انتخاب کرده و سپس روی OK کلیک کنید.

برای اعمال تغییرات، سیستم را مجدداً راه‌اندازی کرده یا دستور gpupdate /force را از PowerShell یا خط فرمان اجرا کنید.

این تغییرات را می‌توان با بازگشت به تنظیمات Prohibit access to Control Panel and PC settings و انتخاب Disabled یا Not Configured برگرداند.

مهم است که هرگونه Group Policy Object (GPO) که ایجاد می‌کنید را آزمایش کنید تا مطمئن شوید که اثرات دلخواه را دارد.

رفع مشکلات رایج در Group Policy محلی:

برای رفع مشکلات هنگام تنظیم Group Policy برای هر کاربر، می‌توانید موارد زیر را بررسی کنید:

• مطمئن شوید که سیاست‌ها به کاربر یا گروه مورد نظر اختصاص یافته است.
• تأیید کنید که کاربرانی که قصد ایجاد سیاست برای آنها را دارید، عضو گروهی هستند که سیاست به آن اختصاص یافته است.

برای بررسی بیشتر، دستور gpresult /r را اجرا کنید تا تمامی سیاست‌های فعال را فهرست کنید. توجه داشته باشید که در صورت بروز تضاد، سیاست‌های محدودکننده‌تر تأثیر می‌گذارند.

اگر هنگام ایجاد Local Group Policies اشتباهی مرتکب شدید یا نمی‌توانید منبع مشکل را پیدا کنید، می‌توانید تمامی سیاست‌ها را با اجرای دستورات زیر به‌عنوان مدیر بازنشانی کنید:

نحوه مدیریت کارآمد Windows Group Policy در مقیاس سازمانی

استفاده از Local Group Policy برای محدود کردن دسترسی به کاربران خاص برای چندین دستگاه ویندوز در حالی که سعی دارید پیکربندی خود را ایمن و سازگار نگه دارید، می‌تواند وقت‌گیر باشد. علاوه بر این، احتمال ارتکاب اشتباهات وجود دارد که ممکن است نادیده گرفته شوند. برای پیکربندی بیشتر از چند دستگاه ویندوز در یک سازمان، بهترین روش این است که یک دامنه Active Directory راه‌اندازی کنید تا Group Policy و سایر تنظیمات ویندوز به‌طور مرکزی مدیریت شوند. این کار کنترل و دید بیشتری بر دارایی‌های IT شما ارائه می‌دهد.