شبکه , هک و امنیت اطلاعات

امام سجاد(ع):آن کس که بر دوستی ما در دوران غیبت قائم ما پایدار بماند، خداوند به او پاداش هزار شهید از شهیدان بدر واحد بدهد

 
آشنایی با زیرساخت های Active Directory در Windows Server 2003
نویسنده : منا حاتمی - ساعت ۱٠:٤٦ ‎ق.ظ روز جمعه ۱۳٩۱/٩/٢٤
 

یک دایرکتوری (Directory) مجموعه ذخیره شده از اطلاعات درباره اشیایی است که به نوعی با یکدیگر مرتبط اند. یک سرویس دایرکتوری (Directory Service) تمامی اطلاعاتی را که برای استفاده و مدیریت این اشیا لازم است، در یک محل متمرکز ذخیره نموده و بدین ترتیب نحوه  یافتن و مدیریت این منابع را تسهیل می بخشد. یک Directory Service  زمینه ای را فراهم می آورد تا دسترسی به منابع در سطح شبکه به بهترین نحو ممکن سازمان یابد . کاربران و مدیران ممکن است که نام دقیق یک شئ مورد نیاز را ندانند، اما با دانستن یک یا چند ویژگی از یک شئ و با استفاده از Directory Service می توانند ......


آشنایی با زیرساخت های Active Directory در Windows Server 2003



یک دایرکتوری (Directory) مجموعه ذخیره شده از اطلاعات درباره اشیایی است که به نوعی با یکدیگر مرتبط اند. یک سرویس دایرکتوری (Directory Service) تمامی اطلاعاتی را که برای استفاده و مدیریت این اشیا لازم است، در یک محل متمرکز ذخیره نموده و بدین ترتیب نحوه  یافتن و مدیریت این منابع را تسهیل می بخشد. یک Directory Service  زمینه ای را فراهم می آورد تا دسترسی به منابع در سطح شبکه به بهترین نحو ممکن سازمان یابد . کاربران و مدیران ممکن است که نام دقیق یک شئ مورد نیاز را ندانند، اما با دانستن یک یا چند ویژگی از یک شئ و با استفاده از Directory Service می توانند لیستی از اشیا با ویژگی مورد نظر خود را جستجو کنند.
در این بخش به معرفی سرویس Active Directory  در Windows Server 2003  پرداخته و به صورت مقدماتی با خصوصیات، اشیا موجود و اجزای آن (فیزیکی و منطقی) آشنا می شویم.


آشنایی با سرویس دایرکتوری موجود در ویندوز سرور 2003 (Active Directory)

Active Directory  یک سرویس دایرکتوری بوده که در Windows Server 2003 قرار داده شده است. Active Directory شامل یک دایرکتوری بوده که اطلاعات مربوط به شبکه را ذخیره می کند، علاوه بر آن دارای تمامی سرویس هایی است که اطلاعات را قابل استفاده کرده و در دسترس قرار می دهد.
Active Directory  ویژگی های زیر را ارائه می کند:

. ذخیره متمرکز داده  (Centralized data store)
. مقیاس پذیری  (Scalability)
. قابلیت توسعه  (Extensibility)
. قابلیت مدیریت  (Manageability)
. استفاده و تمرکز بر سیستم نام گذاری دامنه (Integration with Domain Name System)
. مدیریت تنظیمات سرویس گیرنده (Client configuration management)
. مدیریت بر مبنای سیاست (Policy-based administration)
. تکرار اطلاعات (Replication of information)
. شناسایی ایمن و انعطاف پذیر (Flexible, secure authentication and authorization)
. برنامه ها و زیرساختارهای مبتنی بر دایرکتوری
Directory-enable applications and infrastructures))

. تطبیق با سایر سرویس های دایرکتوری
(Interoperability with other directory services)

. ترافیک رمزگذاری شده و امضا شده (Signed and encrypted LDAP traffic)

اشیای موجود در Active Directory

هر داده ای که در Active Directory ذخیره می شود، به صورت اشیایی (Objects) متفاوت سازمان می یابد. یک شئ مجموعه مجزایی از صفات است که منابع شبکه را مشخص می کند. صفات (Attributes)، خصوصیات اشیای موجود در یک دایرکتوری را شامل می شود. به عنوان نمونه صفات یک User account (حساب کاربر) می تواند شامل نام، نام خانوادگی و نام Log on برای آن کاربر باشد. در حالی که صفات یک computer account  ممکن است که شامل نام و مشخصات آن شئ باشد.
بعضی از اشیا ، که از آن ها به نام Container یاد می شود ، خود دربردارنده اشیایی دیگرند. به عنوان مثال یک domain، خود یک container  است که می تواند شامل اشیایی مانند حساب کاربران و کامپیوترها باشد.

 

اجزای Active Directory

برای ایجاد یک ساختار دایرکتوری، اجزای زیادی مورد نیاز است. این اجزا به دو دسته  منطقی و فیزیکی تقسیم می شوند.

اجزای منطقی عبارتند از :

•دامنه ها (Domains)
•واحدهای سازمانی (Organizational Units)
•درخت ها (Trees)
•جنگل ها (Forests)

اجزای فیزیکی که ساختار فیزیکی  active Directory را شکل می دهند عبارتند از :

•سایت ها (Physical Subnets)
Domain Controller.ها (DC)


ساختار منطقی

در Active Directory، می توان منابع را به صورت یک ساختار منطقی سازمان داد (ساختاری که منعکس کننده  مدل های سازمانی باشد). گروه بندی منطقی منابع این امکان را فراهم می آورد تا یک منبع با استفاده از نامش به سادگی پیدا شود و این امر ما را از یادآوری محل فیزیکی منبع بی نیاز می سازد. در شکل 2 رابطه  domainها، OU ها، treeها و forest ها دیده می شود.


شکل2 : رابطه میان اجزای منطقی Active Directory


1. دامنه Domain
هسته ی اصلی ساختار منطقی در Active Directory، domain یا دامنه بوده که قادر به ذخیره  میلیون ها شئ است. تمامی domainها در دو ویژگی زیر مشترکند.

•تمام اشیای شبکه در یک Domain قرار دارند و هر Domain اطلاعات مربوط به همان Domain را داراست.

•Domain

یک محدوده  امنیتی است. دسترسی به اشیای Domain ها از طریق لیست های کنترل دسترسی یا ACL (Access Control List) میسر می شود.

ACL ها شامل مجوزهایی هستند که مرتبط با اشیای مورد نظر است. این مجوزها بیان می دارند که کدام یک از کاربران می توانند به یک شی دسترسی داشته باشند و این دسترسی از چه نوع و در چه سطحی است. در خانواده  Windows Server 2003، اشیا شامل فایل ها، پوشه ها، اشتراکات، چاپگرها و سایر اشیای Active Directory است. این نکته می بایست در نظر گرفته شود که هیچ یک از تنظیمات و سیاست های امنیتی مانند اختیارات مدیریتی، سیاست های امنیتی و ACL ها نمی توانند از یک Domain به Domain دیگر تغییر یابند. این امر بدان معنا است که یک مدیر در سطح یک Domain تنها دارای اختیاراتی است که وی را محدود به وضع سیاست ها در همان Domain می کند.
سطح عملیاتی دامنه (Domain Functional Level) که تحت عنوان حالت دامنه (Domain Mode) در Windows 2003 شناخته می شود، ویژگی های خاصی را در پهنه دامنه (Domain-Wide)و در محیط شبکه فراهم می آورد.

چهار سطح عملیاتی دامنه وجود دارد:

Windows 2000 mixed
Windows 2000 native
Windows 2003 interim
Windows Server 2003


سطح عملیاتی “Windows 2000 mixed” به یک DC با سیستم عامل Windows Server 2003 اجازه می دهد تا با سایر DCها در همان Domain که دارای سیستم عامل های Windows NT4 ، Windows 2000 و Windows server 2003 هستند ارتباط داشته باشند.

سطح عملیاتی “Windows 2000 native”، تنها امکان ارتباط DC های Windows 2003 با Windows 2000 را فراهم می آورد.

سطح عملیاتی “Windows 2003 interim” ارتباط DC های Windows Server 2003 با DC های NT4 را ممکن می سازد.

سطح عملیاتی “Windows Server 2003” تنها DC های 2003 را با یکدیگر مرتبط می سازد.

تنها در زمانی می توان سطح عملیاتی یک Domain را بالا برد که تمامی Domain Controller ها در آن Domain نسخه های مناسبی از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملیاتی Domain “Windows Server 2003” باشد، در این صورت می بایست که تمامی DCها در این Domain دارای سیستم عامل windows server 2003 باشند.

 Organization Units(OUs) واحدهای سازمانی
OU خود یک container بوده که اشیای یک دامنه (Domain) را در گروه های مدیریتی سازمان دهی می کند. یک OU برای اعمال و اجرای وظایف مدیریتی (مانند مدیریت منابع و کاربران) به کار رفته و می تواند شامل اشیایی مانند حساب های کاربران، گروه ها، کامپیوترها، چاپگرها، برنامه ها، فایل های به اشتراک گذاشته شده و حتی سایر OU ها از همان domain باشد. ساختار سلسله مراتبی یک OU در یک domain مستقل از ساختار سلسله مراتبی OU در domain های دیگر است. می توان با اضافه کردن یک OU در داخل OU دیگر (nesting)، مدیریتی سلسله مراتبی را سازمان داد.

Orders و Disp در واحد سازمانی (OU) US آشیانه ای شده اند.به صورت پیش فرض تمامی اشیای فرزند (OUهای Disp وOrder) مجوزهای خود را از والدین به ارث می برند (US OU). ایجاد مجوز در سطوح بالاتر و استفاده از امکانات وراثت، وظایف مدیریتی را کاهش می دهد.



درخت ها Trees
یک درخت(Tree)، سازمان دهی یا گروه بندی منطقی یک یا چند دامنه بوده که از طریق ایجاد یا اضافه کردن چند دامنه  فرزند (Child Domain) به دامنه  پدر (Parent Domain) فعلی به وجود می آید. دامنه ها در یک درخت، دارای یک فضای اسمی (Contiguous Namespace) یا ساختار نامی سلسله مراتبی مشترک هستند. بر اساس استانداردهای DNS، نام یک دامنه  فرزند، ترکیبی از نام خود دامنه فرزند به همراه نام دامنه پدر است. در شکل 4 Domain با نام microsoft.com به عنوان دامنه والد، و Domain های us.microsoft.com و uk.microsoft.com دامنه های فرزند آن هستند. علاوه بر آن خود دامنه uk.microsoft.com دارای یک دامنه فرزند با نام sls.uk.microsoft.com است (به روند دنباله وار نام دامنه ها دقت کنید(


 جنگل ها Forests

یک جنگل (Forest) دسته بندی یا سازماندهی سلسله مراتبی از یک یا چند درخت (Domain Tree) کاملاً مستقل و مجزا از هم است. یک جنگل دارای ویژگی هایی است:

  • <LI style="TEXT-ALIGN: justify">درخت ها در یک جنگل با توجه به دامنه هایشان، دارای ساختار نامی متفاوت هستند.
  • دامنه ها در یک جنگل به صورتی کاملاً مستقل از هم عمل می کنند، ولی یک جنگل امکان ارتباط در تمامی سازمان را برقرار می سازد.

در شکل 5 دو درخت microsoft.com و msn.com از یک جنگل دیده می شوند. می توان مشاهده کرد که فضای نامی در هر درخت دنباله وار است.


شکل5: A forest of Trees


سطح عملیاتی جنگل (Forest Functional Level)، ویژگی های خاصی را در سطح جنگل و در محیط شبکه فراهم می آورد(Forest-wide Active Directory Features) .

سه سطح دسترسی جنگل وجود دارد:

) Windows 2000 پیش فرض (
Windows 2003 interim
Windows Server 2003


سطح عملیاتی “Windows 2000” به یک DC با سیستم عامل Windows Server 2003 اجازه می دهد تا با سایر DCها در شبکه که دارای سیستم عامل های Windows NT4 ،Windows 2000 وWindows Server 2003 هستند ارتباط داشته باشد.

سطح عملیاتی “Windows 2003 interim” ارتباط DC های Windows Server 2003 با DC های ویندوز NT4 و ویندوز سرور 2003 را ممکن می سازد.

سطح عملیاتی “Windows Server 2003” تنها DCهای 2003 را با یکدیگر مرتبط می سازد.

تنها در زمانی می توان سطح عملیاتی یک Forest را بالا برد که تمامی Domain Controller ها در آن جنگل نسخه های مناسبی از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملیاتی “Windows Domain Server 2003” باشد، در این صورت می بایست که تمامی DCها در این جنگل دارای سیستم عامل windows server 2003 باشند.


ساختار فیزیکی
1.سایت ها (Sites)
یک سایت اجتماع یک یا چند زیر شبکه (IP Subnet) است که به وسیله  یک اتصال فیزیکی مطمئن و سریع به هم مرتبط شده اند تا بتوان تا آنجا که ممکن است در جهت بهبود ترافیک شبکه اقدام کرد. سایت ها تنها شامل اشیای کامپیوتری و ارتباطی هستند که به منظور تنظیم چگونگی تکرار در سایت (Replication) به کار گرفته شده اند. یک دامنه مجزا می تواند شامل یک یا بیش از یک سایت (از لحاظ جغرافیایی) باشد، و یک سایت مجزا می تواند شامل حساب های کاربران و کامپیوترهایی باشد که متعلق به چندین دامنه هستند.

 

 (Domain Controller )DC.2
یک Domain Controller کامپیوتری است که دارای سیستم عامل Windows Server باشد و یک نسخه از دایرکتوری دامنه (Local Domain Database) یا replica را در خود ذخیره کند. هر دامنه می تواند بیش از یک Domain Controller داشته باشد. یک Domain Controller تنها می تواند به یک دامنه سرویس دهد. یک DC وظیفه شناسایی کاربرانی  را که تلاش برای log on به دامنه دارند، را بر عهده دارد. علاوه بر آن سیاست های امنیتی برای یک دامنه را نیز تنظیم و حفظ می کند.


درک مفاهیم Active Directory
در خانواده ویندوز سرور 2003، با مفاهیم جدیدی در ارتباط با Active Directory روبرو می شویم. این مفاهیم شامل موارد زیر است :

•تکرار (Replication)
•ارتباطات مطمئن (Trust Relationships)
•سیاست های گروهی (Group Policies)


انعکاس یاReplication
کاربران و سرویس ها می بایست در هر زمانی و از هر کامپیوتری در domain، به اطلاعات دایرکتوری دسترسی داشته باشند. انعکاس (Replication) این امر را تضمین می نماید که هر تغییری در یک domain controller در سایر DCها از همان domain نیز منعکس می شود. اطلاعات دایرکتوری در domain controller های داخل و بین سایت ها تکرار می شود.

چه اطلاعاتی تکرار می شود ؟
آنچه که در دایرکتوری ذخیره می شود در فایل( Ntds.dit) به صورت منطقی به چهار دسته تقسیم می شود. به هر یک از این دسته های اطلاعاتی، لفظ directory partition اطلاق می گردد. یک پارتیشن دایرکتوری را با عنوان متن نامی (naming context) نیز می شناسند. دایرکتوری دارای پارتیشن های زیر است:

  1.  :<LI dir=rtl>Schema Partition  این پارتیشن اشیایی را مشخص می سازد که می توانند در دایرکتوری ساخته شوند. علاوه بر آن، این پارتیشن ویژگی ها و صفات این اشیا را نیز مشخص می سازد. این اطلاعات و داده ها در کل یک forest مشترک بوده و در تمامی DC های موجود در یک forest تکرار می شود.
     :<LI dir=rtl>Configuration Partition  این پارتیشن ساختار منطقی چیدمان Active Directory را بیان می دارد و شامل داده هایی درباره ساختار domain و یا توپولوژی تکرار است. این داده ها نیز در تمامی domain های موجود در یک forest مشترک بوده و در تمامی DC های موجود در آن جنگل تکرار می شوند.
     :<LI dir=rtl> Domain Partition این پارتیشن تمامی اشیای موجود در یک domain را تعریف می کند. این داده ها و اطلاعات مخصوص به یک domain بوده و منحصر به فرد در همان domain است و بنابراین در دیگر domain های موجود در یک forest تکرار نخواهد شد.
  2.  :Application Directory Partition  این پارتیشن شامل اطلاعات پویای کاربردی است. ذخیره این اطلاعات در این پارتیشن موجب کنترل حوزه تکرار و محل نسخه های تکرار (replica) می گردد و این امر کوچکترین تأثیر نامطلوبی در کارائی شبکه را به دنبال نخواهد داشت. این پارتیشن می تواند هر نوع شی را دارا باشد (به غیر از اشیای امنیتی که شامل کاربران گروه ها و کامپیوترها می باشد.) بدین ترتیب داده می تواند به صورتی مشخص به DC هایی هدایت شود که برای کارهای مدیریتی در نظر گرفته شده اند و این امر ترافیک غیر ضروری تکرار (Replication) را کاهش می دهد.

یک Domain Controller موارد زیر را ذخیره کرده و تکرار می نماید :


•داده موجود در schema partition در سطح forest
•داده موجود در configuration partition به تمامی domain ها در سطح یک forest
•داده موجود در domain partition (تمامی اشیای دایرکتوری و مشخصات آن ها) برای همان domain. این داده ها در تمامی domain controller های اضافی موجود در آن domain تکرار خواهد شد. به منظور یافتن بهینه اطلاعات ، بخشی از نسخه تکرار (replica) که شامل صفاتی از تمام اشیایی است که به صورتی دائمی در domain مورد استفاده قرار می گیرند، در کاتالوگ سراسری (Global Catalog) نیز تکرار می گردد. کاتالوگ سراسری محلی مرکزی برای نگهداری اطلاعات در مورد اشیا در یک درخت یا جنگل است.

یک global catalog اطلاعات زیر را ذخیره و تکرار می نماید :
•داده های موجود در schema partition برای یک forest
•داده های موجود در configuration partition برای تمامی domain ها در یک forest
•بخشی از replica که شامل صفاتی از تمام اشیای دایرکتوری است که معمولا در یک forest مورد استفاده قرار می گیرند ( این اطلاعات تنها بین Global Catalog ها تکرار می شود(
•تمامی replica که شامل کل صفات تمام اشیای دایرکتوری در domainهایی است که کاتالوگ سراسری در آن قرار دارد.


اطلاعات چگونه منعکس می شود؟
Active Directory اطلاعات را به دو صورت منعکس می کند : intrasite )در داخل یک سایت) و intersite)بین سایت ها(

انعکاس در داخل سایت (Intrasite Replication)
در داخل یک سایت، سرویسی از ویندوز سرور 2003 تحت عنوان Knowledge Consistency checker که به اختصار آن را KCC می نامیم، به صورت خودکار یک توپولوژی برای تکرار در میان domain controllerها در همان دامنه و با استفاده از یک ساختار حلقه ایجاد می کند. KCC یک پروسه خودکار است که در تمامی DC ها اجرا می شود. توپولوژی اعمال شده مسیری برای به روز رسانی های دایرکتوری فراهم می آورد تا از یک DC به DC دیگر جریان یابد و این انتقال تا زمانی ادامه می یابد که DC های موجود در یک سایت به روزرسانی های دایرکتوری را دریافت نمایند . KCC تصمیم می گیرد که کدام یک از سرورها برای انجام عمل انعکاس با یکدیگر مناسب تر هستند و سایر DC ها را به عنوان شرکای انعکاس آن ها در نظر می گیرد. این تصمیم گیری بر اساس مواردی چون نحوه اتصال، سابقه انعکاس موفق و بر مبنای تطابق با نسخه های انعکاس جزئی و یا کامل است. هر DC می تواند بیش از یک شریک برای انعکاس داشته باشد. بعد از آن KCC اشیای ارتباطی را می سازد که ارتباط میان شرکای انعکاس را نمایش خواهد داد.

ساختار حلقه تضمین می کند که حداقل دو مسیر انعکاس از یک DC به DC دیگر وجود دارد. به همین دلیل اگر یکی از DC ها از کار بیفتد، عمل انعکاس (Replication) به سایر DC ها ادامه خواهد یافت.



KCC توپولوژی انعکاس در داخل سایت را هر پانزده دقیقه یکبار بررسی کرده و از کارکرد آن اطمینان حاصل می کند. با اضافه یا خارج کردن یک DC از شبکه، KCC توپولوژی انعکاس را مجددا پیکربندی می کند تا این تغییرات در آن منعکس شود.
هنگامی که بیش از هفت Domain controller به یک سایت اضافه می شوند، KCC اشیای ارتباط اضافی را در ساختار حلقه دخیل می کند تا این اطمینان حاصل شود که اگر تغییری در هر یک از DC ها ایجاد شود، هیچ یک از DC ها بیش از سه Hopگام از DC دیگر فاصله نداشته باشند. این ارتباطات بهینه به صورت تصادفی ایجاد می شوند و الزامی برای ساخت آنها در هر DC نیست.

انعکاس بین سایت ها (Intersite Replication)
به منظور اطمینان از برقراری انعکاس میان سایت ها، می بایست که سایت ها به صورت دستی و از طریق ایجاد اتصالات سایتی (Site Link) به هم مرتبط شوند. اتصالات سایتی ارتباطات شبکه را نشان داده و وقوع انعکاس را ممکن می سازند. یک KCC مجزا در یک سایت تمامی ارتباطات میان سایت ها را برقرار می سازد.


رابطه اعتماد Trust Relationship
یک Trust، اتصالی میان دو دامنه است که در آن دامنه اعتماد کننده (trusting domain)، اطلاعات مربوط به دسترسی و شناسایی را از دامنه مورد اعتماد (trusted domain) کسب می کند.دو دامنه وجود دارند که موجب برقراری یک رابطه مطمئن و یا یک trust می شوند: دامنه اعتماد کننده (trusting) و دامنه مورد اعتماد (trusted). دامنه اعتماد کننده دامنه ای است که منابع را در اختیار داشته و به سایر دامنه ها برای استفاده از این منابع اعتماد دارد. دامنه مورد اعتماد در حقیقت استفاده کننده از منابع است. این مسئله در شکل زیر بهتر نمود می یابد.


trust ها ویژگی های زیر را دارا هستند:

•چگونگی ایجاد (Method of creation): trust ها می توانند به صورت صریح (explicitly) یا تلویحی (implicitly) ساخته شوند. هیچ trustی نمی تواند به هر دو صورت ساخته شود.
•ترانهادگی (Transitivity): یک trust ترانهاده یعنی آنکه اگر Domain A به Domain B و Domain B به Domain C اعتماد یا trust دارد، آنگاه Domain A نیز به Domain C اعتماد می کند. یک trust غیر ترانهاده یعنی آن که اگر Domain A به Domain B و Domain B به Domain C اعتماد یا trust دارد، بین Domain A و Domain C هیچ ارتباط مطمئن یا Trust برقرار نیست.
•جهت (direction): trustها می توانند یک طرفه(one-way) یا دو طرفه(two-way) باشند. در یک اعتماد یک طرفهDomain A به Domain B trust دارد. در یک trust دو طرفه اگر Domain A به Domain B اعتماد داشته باشد، آنگاه Domain B نیز به Domain A اعتماد دارد.
•ویندوز سرور 2003 از انواع trust هایی که در زیر آمده است پشتیبانی می کند.
Tree-root trust
Parent-child trust
Shortcut trust
External trust
Forest Trust
Realm Trust


Parent-Child trust با ایجاد یک درخت و به صورت اتوماتیک میان تمامی دامنه های موجود در آن درخت به وجود می آید. با اضافه شدن یک دامنه جدید به یک درخت، پروسه ایجاد اتوماتیک Trust صورت می پذیرد. این نوع trust دو طرفه و ترانهاده است.
Tree-Root Trust نیز به صورت اتوماتیک و با اضافه شدن یک درخت به ساختار جنگل (a new root tree) برقرار می شود شکل زیر این Trust ها را نشان می دهد. این نوع trust نیز دو طرفه و دارای خاصیت ترانهادگی است.


سیاست های گروهی (Group Policies)
سیاست های گروهی مجموعه ای از تنظیمات برای کاربران و کامپیوتر هاست که می تواند به کامپیوترها سایت ها، دامنه هاو OU ها اعمال گردد تا بدین ترتیب عملکرد کاربران بهتر مشخص گردد. GPO ها مجموعه ای از سیاست های گروهی تنظیم شده است. برای معلوم کردن تنظیمات desktop برای گروهی از کاربران مشخص، اشیای سیاست گروهی (Group Policy Objects or GPOs) ساخته می شوند. هر کامپیوتر با سیستم عامل ویندوز دارای یک GPO داخلی بوده (Local GPO) و علاوه بر آن می تواند با یک سری از سیاست های غیر محلی (مبتنی بر Active Directory) مرتبط گردد. GPO های غیر محلی بر GPO داخلی اولویت می یابند. GPO های غیر محلی یا به کاربران (بدون در نظر گرفتن کامپیوتری که به آن Log on می کنند) و یا به کامپیوترها (بدون در نظر گرفتن کاربری که به آن log on می کنند) اعمال می*گردد و مربوط به اشیای خاص Active Directory (دامنه ها، سایت ها و OU  ها) است. این نوع از سیاست ها به صورت سلسله مراتبی و از گروه با کمترین محدودیت (Site) به گروه با بیشترین محدودیت (OU) اعمال می  شود. در حقیقت چگونگی و ترتیب اعمال به صورتی که در زیر آمده ، است:

1.Local GPO: هر سیستم عامل ویندوز تنها دارای یک سیاست گروهی است که به صورت محلی ذخیره شده است.
2.GPOs linked to sites: هر GPO که به یک سایت مرتبط باشد در مرحله بعد اعمال می شود. این اعمال برای تمامی سیاست های مرتبط با یک سایت همزمان صورت می گیرد و مدیر یک شبکه تعیین کننده ترتیب اعمال است.
3.GPOs Linked to Domains: اولویت اعمال این دسته از سیاست ها نسبت به دو مورد اول بیشتر است. اما اولویت اعمال چندین سیاست مربوط به یک دامنه را مدیر شبکه تعیین می کند.
4.GPOs linked to OUs: GPO هایی که در بالای ساختار سلسله مراتبی یک OU قرار دارند زودتر اعمال می شوند. پس از آن GPO های مربوط به OU های فرزند اعمال شده و در نهایت GPO های مربوط به OU شامل کاربران و کامپیوتر ها اعمال می شود. در هر سطح از OU می توان بیش از چند GPO را اعمال نمود (حتی می توان هیچ GPO را اعمال نکرد).
شکل زیر چگونگی اعمال سیاست گروهی برای دو OU ی نمونه*ی Server و marketing را نشان می دهد.