Active Directory یک سرویس دایرکتوری بوده که در Windows Server 2003 قرار داده شده است.
Active Directory شامل یک دایرکتوری بوده که اطلاعات مربوط به شبکه را ذخیره میکند، علاوه بر آن دارای تمامی سرویسهایی است که اطلاعات را قابل استفاده کرده و در دسترس قرار میدهد.
Active Directory ویژگیهای زیر را ارائه میکند:
.
ذخیرهی متمرکز داده (Centralized data store)
.
مقیاس پذیری (Scalability)
.
قابلیت توسعه (Extensibility)
.
قابلیت مدیریت (Manageability)
.
استفاده و تمرکز بر سیستم نامگذاری دامنه (Integration with Domain Name System)
.
مدیریت تنظیمات سرویس گیرنده (Client configuration management)
.
مدیریت بر مبنای سیاست (Policy-based administration)
.
تکرار اطلاعات (Replication of information)
.
شناسایی ایمن و انعطاف پذیر (Flexible, secure authentication and authorization)
.
برنامهها و زیرساختارهای مبتنی بر دایرکتوری
Directory-enable applications and infrastructures))
.
تطبیق با سایر سرویسهای دایرکتوری
(Interoperability with other directory services)
.
ترافیک رمزگذاری شده و امضا شده LDAP (Signed and encrypted LDAP traffic)
اشیای موجود در Active Directory
هر دادهای که در Active Directory ذخیره میشود، به صورت اشیایی (Objects) متفاوت سازمان مییابد.
یک شئ مجموعه مجزایی از صفات است که منابع شبکه را مشخص میکند.
صفات (Attributes)، خصوصیات اشیای موجود در یک دایرکتوری را شامل میشود.
به عنوان نمونه صفات یک User account (حساب کاربر) میتواند شامل نام، نام خانوادگی و نام Log on برای آن کاربر باشد.
در حالی که صفات یک computer account ممکن است که شامل نام و مشخصات آن شئ باشد.
بعضی از اشیا ، که از آنها به نام Container یاد میشود ، خود دربردارنده اشیایی دیگرند.
به عنوان مثال یک domain، خود یکcontainer است که میتواند شامل اشیایی مانند حساب کاربران و کامپیوترها باشد.
در شکل 1 پوشهی کاربران، یکcontainer بوده که دارای اشیای مربوط به حساب کاربران است
اشیای موجود در Active Directory هر دادهای که در Active Directory ذخیره میشود، به صورت اشیایی (Objects) متفاوت سازمان مییابد.
در حالی که صفات یک computer account ممکن است که شامل نام و مشخصات آن شئ باشد.
بعضی از اشیا ، که از آنها به نام Container یاد میشود ، خود دربردارنده اشیایی دیگرند.
در شکل 1 پوشهی کاربران، یکcontainer بوده که دارای اشیای مربوط به حساب کاربران است.
شکل 1 : اشیا و صفات در Active Directory اجزای Active Directory برای ایجاد یک ساختار دایرکتوری، اجزای زیادی مورد نیاز است.
این اجزا به دو دستهی منطقی و فیزیکی تقسیم میشوند.
اجزای منطقی عبارتند از : •دامنهها (Domains) •واحدهای سازمانی (Organizational Units) •درختها (Trees) •جنگلها (Forests) اجزای فیزیکی که ساختار فیزیکی Active Directory را شکل میدهند عبارتند از : •سایتها (Physical Subnets) •Domain Controllerها (DC) ساختار منطقی در Active Directory، میتوان منابع را به صورت یک ساختار منطقی سازمان داد (ساختاری که منعکس کنندهی مدلهای سازمانی باشد).
گروهبندی منطقی منابع این امکان را فراهم میآورد تا یک منبع با استفاده از نامش به سادگی پیدا شود و این امر ما را از یادآوری محل فیزیکی منبع بینیاز میسازد.
در شکل 2 رابطهی domainها، OUها، treeها و forestها دیده میشود.
شکل2 : رابطه میان اجزای منطقی Active Directory 1.
دامنه Domain هستهی اصلی ساختار منطقی در Active Directory، domain یا دامنه بوده که قادر به ذخیرهی میلیونها شئ است.
تمامیdomainها در دو ویژگی زیر مشترکند.
•تمام اشیای شبکه در یک Domain قرار دارند و هر Domain اطلاعات مربوط به همان Domain را داراست.
•Domain یک محدودهی امنیتی است.
دسترسی به اشیای Domainها از طریق لیستهای کنترل دسترسی یا ACL (Access Control List) میسر میشود.
ACLها شامل مجوزهایی هستند که مرتبط با اشیای مورد نظر است.
این مجوزها بیان میدارند که کدام یک از کاربران میتوانند بهیک شی دسترسی داشته باشند و این دسترسی از چه نوع و در چه سطحی است.
در خانوادهی Windows Server 2003، اشیا شامل فایلها، پوشهها، اشتراکات، چاپگرها و سایر اشیای Active Directory است.
این نکته میبایست در نظر گرفته شود که هیچ یک از تنظیمات و سیاستهای امنیتی مانند اختیارات مدیریتی، سیاستهای امنیتی و ACLها نمیتوانند از یک Domain به Domain دیگر تغییر یابند.
این امر بدان معنا است کهیک مدیر در سطح یک Domain تنها دارای اختیاراتی است که وی را محدود به وضع سیاستها در همان Domain میکند.
سطح عملیاتی دامنه (Domain Functional Level) که تحت عنوان حالت دامنه (Domain Mode) در Windows 2003 شناخته میشود، ویژگیهای خاصی را در پهنه دامنه (Domain-Wide) و در محیط شبکه فراهم میآورد.
چهار سطح عملیاتی دامنه وجود دارد: •Windows 2000 mixed •Windows 2000 native •Windows 2003 interim •Windows Server 2003 سطح عملیاتی “Windows 2000 mixed” بهیک DC با سیستم عامل Windows Server 2003 اجازه میدهد تا با سایر DCها در همان Domain که دارای سیستم عاملهای Windows NT4 ، Windows 2000 و Windows server 2003 هستند ارتباط داشته باشند.
سطح عملیاتی “Windows 2000 native”، تنها امکان ارتباط DCهای Windows 2003 با Windows 2000 را فراهم میآورد.
سطح عملیاتی “Windows 2003 interim” ارتباط DCهای Windows Server 2003 با DCهای NT4 را ممکن میسازد.
سطح عملیاتی “Windows Server 2003” تنها DCهای 2003 را با یکدیگر مرتبط میسازد.
تنها در زمانی میتوان سطح عملیاتی یک Domain را بالا برد که تمامیDomain Controllerها در آن Domain نسخههای مناسبی از Windows را اجرا کنند.
به عنوان نمونه اگر سطح عملیاتی Domain “Windows Server 2003” باشد، در این صورت میبایست که تمامیDCها در این Domain دارای سیستم عامل windows server 2003 باشند.
2.
Organization Units)OUs) واحدهای سازمانی OU خود یک container بوده که اشیای یک دامنه (Domain) را در گروههای مدیریتی سازمان دهی میکند.
یک OU برای اعمال و اجرای وظایف مدیریتی (مانند مدیریت منابع و کاربران) به کار رفته و میتواند شامل اشیایی مانند حسابهای کاربران، گروهها، کامپیوترها، چاپگرها، برنامهها، فایلهای به اشتراک گذاشته شده و حتی سایر OUها از همان domain باشد.
ساختار سلسله مراتبی یک OU در یک domain مستقل از ساختار سلسله مراتبی OU در domainهای دیگر است.
میتوان با اضافه کردن یک OU در داخل OU دیگر (nesting)، مدیریتی سلسله مراتبی را سازمان داد.
در شکل 3، domain با نام microsoft.com منعکس کنندهی سازمانی بوده که دارای سه OU است : US،Orders و Disp.
Orders و Disp در واحد سازمانی (OU) US آشیانهای شدهاند.به صورت پیشفرض تمامیاشیای فرزند (OUهای Disp وOrder) مجوزهای خود را از والدین به ارث میبرند (US OU).
ایجاد مجوز در سطوح بالاتر و استفاده از امکانات وراثت، وظایف مدیریتی را کاهش میدهد.
شکل 3 : استفاده از OU برای به عهده گرفتن وظایف مدیریتی 3.
درختها Trees یک درخت(Tree)، سازمان دهی یا گروهبندی منطقی یک یا چند دامنه بوده که از طریق ایجاد یا اضافه کردن چند دامنهی فرزند (Child Domain) به دامنهی پدر (Parent Domain) فعلی به وجود میآید.
دامنهها در یک درخت، دارای یک فضای اسمی(Contiguous Namespace) یا ساختار نامی سلسله مراتبی مشترک هستند.
بر اساس استانداردهای DNS، نام یک دامنهی فرزند، ترکیبی از نام خود دامنهی فرزند به همراه نام دامنهی پدر است.
در شکل 4 Domain با نام microsoft.com به عنوان دامنهی والد، و Domainهای us.microsoft.com و uk.microsoft.com دامنههای فرزند آن هستند.
علاوه بر آن خود دامنهی uk.microsoft.com دارای یک دامنهی فرزند با نام sls.uk.microsoft.com است (به روند دنبالهوار نام دامنهها دقت کنید).
شکل 4 : A Domain Tree 4.
جنگلها Forests یک جنگل (Forest) دستهبندی یا سازماندهی سلسله مراتبی از یک یا چند درخت (Domain Tree) کاملاً مستقل و مجزا از هم است.
یک جنگل دارای ویژگیهایی است: درختها در یک جنگل با توجه به دامنههایشان، دارای ساختار نامیمتفاوت هستند.
دامنهها در یک جنگل به صورتی کاملاً مستقل از هم عمل میکنند، ولی یک جنگل امکان ارتباط در تمامیسازمان را برقرار میسازد.
در شکل 5 دو درخت microsoft.com و msn.com از یک جنگل دیده میشوند.
میتوان مشاهده کرد که فضای نامیدر هر درخت دنبالهوار است.
شکل5: A forest of Trees سطح عملیاتی جنگل (Forest Functional Level)، ویژگیهای خاصی را در سطح جنگل و در محیط شبکه فراهم میآورد(Forest-wide Active Directory Features) .
سه سطح دسترسی جنگل وجود دارد: •Windows 2000 ( پیش فرض ) •Windows 2003 interim •Windows Server 2003 سطح عملیاتی “Windows 2000” به یک DC با سیستم عامل Windows Server 2003 اجازه میدهد تا با سایر DCها در شبکه که دارای سیستم عاملهای Windows NT4 ،Windows 2000 وWindows Server 2003 هستند ارتباط داشته باشد.
سطح عملیاتی “Windows 2003 interim” ارتباط DCهای Windows Server 2003 با DCهای ویندوز NT4 و ویندوز سرور 2003 را ممکن میسازد.
سطح عملیاتی “Windows Server 2003” تنها DCهای 2003 را با یکدیگر مرتبط میسازد.
تنها در زمانی میتوان سطح عملیاتی یک Forest را بالا برد که تمامیDomain Controllerها در آن جنگل نسخههای مناسبی از Windows را اجرا کنند.
به عنوان نمونه اگر سطح عملیاتی “Windows Domain Server 2003” باشد، در این صورت میبایست که تمامیDCها در این جنگل دارای سیستم عامل windows server 2003 باشند.
ساختار فیزیکی 1.سایتها (Sites) یک سایت اجتماع یک یا چند زیر شبکه (IP (Subnet است که به وسیلهی یک اتصال فیزیکی مطمئن و سریع به هم مرتبط شدهاند تا بتوان تا آنجا که ممکن است در جهت بهبود ترافیک شبکه اقدام کرد.
سایتها تنها شامل اشیای کامپیوتری و ارتباطی هستند که به منظور تنظیم چگونگی تکرار در سایت (Replication) به کار گرفته شدهاند.
همان گونه که در شکل 6 نشان داده شده است، یک دامنه مجزا میتواند شامل یک یا بیش از یک سایت (از لحاظ جغرافیایی) باشد، و یک سایت مجزا میتواند شامل حسابهای کاربران و کامپیوترهایی باشد که متعلق به چندین دامنه هستند.
شکل 6 : رابطه بین سایت و دامنه 2.(Domain Controller )DC یک Domain Controller کامپیوتری است که دارای سیستم عامل Windows Server باشد و یک نسخه از دایرکتوری دامنه (Local Domain Database) یا replica را در خود ذخیره کند.
هر دامنه میتواند بیش از یک Domain Controller داشته باشد.
یک Domain Controller تنها میتواند بهیک دامنه سرویس دهد.
یک DC وظیفهی شناسایی کاربرانی را که تلاش برای log on به دامنه دارند، را بر عهده دارد.
علاوه بر آن سیاستهای امنیتی برای یک دامنه را نیز تنظیم و حفظ میکند.
2— مقدمه (ادامه) در ادامهی مطالب بیان شده، در این بخش با مفاهیم پایه در Active Directory آشنا میشویم.
کلمات کلیدی: تکرار یا Replication،Replica ، Partition، Global Catalog، سیاستهای گروهی یا Group Policies، و ارتباطات مطمئن یا Trust Relationships درک مفاهیم Active Directory در خانوادهی ویندوز سرور 2003، با مفاهیم جدیدی در ارتباط با Active Directory روبرو میشویم.
این مفاهیم شامل موارد زیر است : •تکرار (Replication) •ارتباطات مطمئن (Trust Relationships) •سیاستهای گروهی (Group Policies) انعکاس یاReplication کاربران و سرویسها میبایست در هر زمانی و از هر کامپیوتری در domain، به اطلاعات دایرکتوری دسترسی داشته باشند.
انعکاس (Replication) این امر را تضمین مینماید که هر تغییری در یک domain controller در سایر DCها از همان domain نیز منعکس میشود.
اطلاعات دایرکتوری در domain controllerهای داخل و بین سایتها تکرار میشود.
چه اطلاعاتی تکرار میشود ؟
آنچه که در دایرکتوری ذخیره میشود (در فایل Ntds.dit) به صورت منطقی به چهار دسته تقسیم میشود.
به هر یک از این دستههای اطلاعاتی، لفظ directory partition اطلاق میگردد.
یک پارتیشن دایرکتوری را با عنوان متن نامی (naming context) نیز میشناسند.
دایرکتوری دارای پارتیشنهای زیر است: Schema Partition : این پارتیشن اشیایی را مشخص میسازد که میتوانند در دایرکتوری ساخته شوند.
علاوه بر آن، این پارتیشن ویژگیها و صفات این اشیا را نیز مشخص میسازد.
این اطلاعات و دادهها در کل یک forest مشترک بوده و در تمامیDCهای موجود در یک forest تکرار میشود.
Configuration Partition : این پارتیشن ساختار منطقی چیدمان Active Directory را بیان میدارد و شامل دادههایی دربارهی ساختار domain و یا توپولوژی تکرار است.
این دادهها نیز در تمامیdomainهای موجود در یک forest مشترک بوده و در تمامیDCهای موجود در آن جنگل تکرار میشوند.
Domain Partition : این پارتیشن تمامیاشیای موجود در یک domain را تعریف میکند.
این دادهها و اطلاعات مخصوص بهیک domain بوده و منحصر به فرد در همان domain است و بنابراین در دیگر domainهای موجود در یک forest تکرار نخواهد شد.
Application Directory Partition : این پارتیشن شامل اطلاعات پویای کاربردی است.
ذخیرهی این اطلاعات در این پارتیشن موجب کنترل حوزهی تکرار و محل نسخههای تکرار (replica) میگردد و این امر کوچکترین تأثیر نامطلوبی در کارائی شبکه را به دنبال نخواهد داشت.
این پارتیشن میتواند هر نوع شی را دارا باشد (به غیر از اشیای امنیتی که شامل کاربران گروهها و کامپیوترها میباشد.) بدین ترتیب داده میتواند به صورتی مشخص به DCهایی هدایت شود که برای کارهای مدیریتی در نظر گرفته شدهاند و این امر ترافیک غیر ضروری تکرار (Replication) را کاهش میدهد.
یک Domain Controller موارد زیر را ذخیره کرده و تکرار مینماید : •دادهی موجود در schema partition در سطح forest •دادهی موجود در configuration partition به تمامیdomainها در سطح یک forest •دادهی موجود در domain partition (تمامیاشیای دایرکتوری و مشخصات آنها) برای همان domain.
این دادهها در تمامیdomain controllerهای اضافی موجود در آن domain تکرار خواهد شد.
به منظور یافتن بهینهی اطلاعات ، بخشی از نسخهی تکرار (replica) که شامل صفاتی از تمام اشیایی است که به صورتی دائمیدر domain مورد استفاده قرار میگیرند، در کاتالوگ سراسری (Global Catalog) نیز تکرار میگردد.
کاتالوگ سراسری محلی مرکزی برای نگهداری اطلاعات در مورد اشیا در یک درخت یا جنگل است.
یک global catalog اطلاعات زیر را ذخیره و تکرار مینماید : •دادههای موجود در schema partition برای یک forest •دادههای موجود در configuration partition برای تمامیdomainها در یک forest •بخشی از replica که شامل صفاتی از تمام اشیای دایرکتوری است که معمولا در یک forest مورد استفاده قرار میگیرند ( این اطلاعات تنها بین Global Catalogها تکرار میشود).
•تمامیreplica که شامل کل صفات تمام اشیای دایرکتوری در domainهایی است که کاتالوگ سراسری در آن قرار دارد.
اطلاعات چگونه منعکس میشود؟
Active Directory اطلاعات را به دو صورت منعکس میکند : intrasite (در داخل یک سایت) و intersite (بین سایتها) .
انعکاس در داخل سایت (Intrasite Replication) در داخل یک سایت، سرویسی از ویندوز سرور 2003 تحت عنوان Knowledge Consistency checker که به اختصار آن را KCC مینامیم، به صورت خودکار یک توپولوژی برای تکرار در میان domain controllerها در همان دامنه و با استفاده از یک ساختار حلقه ایجاد میکند.
KCC یک پروسهی خودکار است که در تمامیDCها اجرا میشود.
توپولوژی اعمال شده مسیری برای به روز رسانیهای دایرکتوری فراهم میآورد تا از یک DC به DC دیگر جریان یابد و این انتقال تا زمانی ادامه مییابد که DCهای موجود در یک سایت به روزرسانیهای دایرکتوری را دریافت نمایند .
KCC تصمیم میگیرد که کدام یک از سرورها برای انجام عمل انعکاس با یکدیگر مناسبتر هستند و سایر DCها را به عنوان شرکای انعکاس آنها در نظر میگیرد.
این تصمیمگیری بر اساس مواردی چون نحوهی اتصال، سابقهی انعکاس موفق و بر مبنای تطابق با نسخههای انعکاس جزئی و یا کامل است.
هر DC میتواند بیش از یک شریک برای انعکاس داشته باشد.
بعد از آن KCC اشیای ارتباطی را میسازد که ارتباط میان شرکای انعکاس را نمایش خواهد داد.
ساختار حلقه تضمین میکند که حداقل دو مسیر انعکاس از یک DC به DC دیگر وجود دارد.
به همین دلیل اگر یکی از DCها از کار بیفتد، عمل انعکاس (Replication) به سایر DCها ادامه خواهد یافت.
شکل 7 توپولوژی انعکاس در داخل سایت را نشان میدهد.
شکل 7 : Intrasite replication topology KCC توپولوژی انعکاس در داخل سایت را هر پانزده دقیقهیکبار بررسی کرده و از کارکرد آن اطمینان حاصل میکند.
با اضافهیا خارج کردن یک DC از شبکه، KCC توپولوژی انعکاس را مجددا پیکربندی میکند تا این تغییرات در آن منعکس شود.
هنگامیکه بیش از هفت Domain controller بهیک سایت اضافه میشوند، KCC اشیای ارتباط اضافی را در ساختار حلقه دخیل میکند تا این اطمینان حاصل شود که اگر تغییری در هر یک از DCها ایجاد شود، هیچ یک از DCها بیش از سه Hop (گام) از DC دیگر فاصله نداشته باشند.
این ارتباطات بهینه به صورت تصادفی ایجاد میشوند و الزامیبرای ساخت آنها در هر DC نیست.
شکل 8 این مورد را نشان میدهد.
انعکاس بین سایتها (Intersite Replication) به منظور اطمینان از برقراری انعکاس میان سایتها، میبایست که سایتها به صورت دستی و از طریق ایجاد اتصالات سایتی (Site Link) به هم مرتبط شوند.
اتصالات سایتی ارتباطات شبکه را نشان داده و وقوع انعکاس را ممکن میسازند.
یک KCC مجزا در یک سایت تمامیارتباطات میان سایتها را برقرار میسازد.
این امر در شکل 9 نشان داده شده است.
شکل 9: Intersite Replication Topology رابطه اعتماد Trust Relationship یک Trust، اتصالی میان دو دامنه است که در آن دامنهی اعتماد کننده (trusting domain)، اطلاعات مربوط به دسترسی و شناسایی را از دامنهی مورد اعتماد (trusted domain) کسب میکند.دو دامنه وجود دارند که موجب برقراری یک رابطهی مطمئن و یا یک trust میشوند: دامنهی اعتماد کننده (trusting) و دامنهی مورد اعتماد (trusted).
دامنهی اعتماد کننده دامنهای است که منابع را در اختیار داشته و به سایر دامنهها برای استفاده از این منابع اعتماد دارد.
دامنهی مورد اعتماد در حقیقت استفاده کننده از منابع است.
این مسئله در شکل زیر بهتر نمود مییابد.
شکل 10: دامنهی اطمینان کننده و دامنهی مورد اعتماد قرار گرفته با یک اعتماد یک طرفه trustها ویژگیهای زیر را دارا هستند: •چگونگی ایجاد (Method of creation): trustها میتوانند به صورت صریحexplicitly)) یا تلویحی (implicitly) ساخته شوند.
هیچ trustی نمیتواند به هر دو صورت ساخته شود.
•ترانهادگی (Transitivity): یک trust ترانهاده یعنی آنکه اگر Domain A به Domain B و Domain B به Domain C اعتماد یا trust دارد، آنگاه Domain A نیز به Domain C اعتماد میکند.
یک trust غیر ترانهاده یعنی آن که اگر Domain A به Domain B و Domain B به Domain C اعتماد یا trust دارد، بین Domain A و Domain C هیچ ارتباط مطمئن یا Trust برقرار نیست.
•جهت (direction): trustها میتوانند یک طرفه(one-way) یا دو طرفه(two-way) باشند.
در یک اعتماد یک طرفهDomain A به Domain B trust دارد.
در یک trust دو طرفه اگر Domain A به Domain B اعتماد داشته باشد، آنگاه Domain B نیز به Domain A اعتماد دارد.
•ویندوز سرور 2003 از انواع trustهایی که در زیر آمده است پشتیبانی میکند.
•Tree-root trust •Parent-child trust •Shortcut trust •External trust •Forest Trust •Realm Trust Parent-Child trust با ایجاد یک درخت و به صورت اتوماتیک میان تمامیدامنههای موجود در آن درخت به وجود میآید.
با اضافه شدن یک دامنهی جدید بهیک درخت، پروسهی ایجاد اتوماتیک Trust صورت میپذیرد.
این نوع trust دو طرفه و ترانهاده است.
Tree-Root Trust نیز به صورت اتوماتیک و با اضافه شدن یک درخت به ساختار جنگل (a new root tree) برقرار میشود شکل زیر این Trustها را نشان میدهد.
این نوع trust نیز دو طرفه و دارای خاصیت ترانهادگی است.
شکل 11: ساختار دامنه به همراه دو نوع Trust : parent-child و tree-root سیاستهای گروهی (Group Policies) سیاستهای گروهی مجموعهای از تنظیمات برای کاربران و کامپیوترهاست که میتواند به کامپیوترها سایتها، دامنههاو OUها اعمال گردد تا بدین ترتیب عملکرد کاربران بهتر مشخص گردد.
GPOها مجموعهای از سیاستهای گروهی تنظیم شده است.
برای معلوم کردن تنظیمات desktop برای گروهی از کاربران مشخص، اشیای سیاست گروهی (Group Policy Objects or GPOs) ساخته میشوند.
هر کامپیوتر با سیستم عامل ویندوز دارای یک GPO داخلی بوده (Local GPO) و علاوه بر آن میتواند با یک سری از سیاستهای غیر محلی (مبتنی بر Active Directory) مرتبط گردد.
GPOهای غیر محلی بر GPO داخلی اولویت مییابند.
GPOهای غیر محلی یا به کاربران (بدون در نظر گرفتن کامپیوتری که به آن Log on میکنند) و یا به کامپیوترها (بدون در نظر گرفتن کاربری که به آن log on میکنند) اعمال میگردد و مربوط به اشیای خاص Active Directory (دامنهها، سایتها و OUها) است.
این نوع از سیاستها به صورت سلسله مراتبی و از گروه با کمترین محدودیت (Site) به گروه با بیشترین محدودیت (OU) اعمال میشود.
در حقیقت چگونگی و ترتیب اعمال به صورتی که در زیر آمده ، است: 1.Local GPO: هر سیستم عامل ویندوز تنها دارای یک سیاست گروهی است که به صورت محلی ذخیره شده است.
2.GPOs linked to sites: هر GPO که بهیک سایت مرتبط باشد در مرحلهی بعد اعمال میشود.
این اعمال برای تمامیسیاستهای مرتبط با یک سایت همزمان صورت میگیرد و مدیر یک شبکه تعیین کنندهی ترتیب اعمال است.
3.GPOs Linked to Domains: اولویت اعمال این دسته از سیاستها نسبت به دو مورد اول بیشتر است.
اما اولویت اعمال چندین سیاست مربوط بهیک دامنه را مدیر شبکه تعیین میکند.
4.GPOs linked to OUs: GPOهایی که در بالای ساختار سلسله مراتبی یک OU قرار دارند زودتر اعمال میشوند.
پس از آن GPOهای مربوط به OUهای فرزند اعمال شده و در نهایت GPOهای مربوط به OU شامل کاربران و کامپیوترها اعمال میشود.
در هر سطح از OU میتوان بیش از چند GPO را اعمال نمود (حتی میتوان هیچ GPO را اعمال نکرد).
شکل زیر چگونگی اعمال سیاست گروهی برای دو OU ی نمونهی Server و marketing را نشان میدهد.