Grup Policy’nin Amacı:
Group policy, çok sayıda bilgisayar yada kullanıcının merkezi bir şekilde, işletim sistemini ve üzerindeki yüklü olan uygulamaları nasıl, ne şekilde, ne zaman kullanabileceğini belirler. Group policy ile bilgisayarlarla tek tek uğraşıp yapabileceğiniz ayarları, bir defada tek bir yerden yapıp, tüm bilgisayarlara yada sadece istediğiniz belli bir dizi bilgisayara uygulayabilirsiniz.
Mesela, bir antivirüs programının, firmadaki tüm iş istasyonlarına yüklenmesini istiyorsunuz. Diyelim ki, iş istasyonu sayınız 500. Eğer Group policy kullanmıyorsanız, 500 bilgisayara tek tek uygulamayı kurmak günlerinizi alabilir. Bu iş için görevlendirdiğiniz IT ekibinin, diğer işlerini gerçekleştirmek için gereken zamanını fazlasıyla harcayacaksınız. Group policy ile, istediğiniz yazılımı merkezden kurulmasını sağlarsınız ve bilgisayarlar başlatılırken, uygulamayı herhangi bir katılım olmaksızın kurar.
Bir başka örnek verelim. Bir printerın 100 bilgisayara kurulması ya da tanıtılması gerekiyor. Basit bir iş olmakla birlikte, printerları çok sayıda bilgisayara kurmak ve tanıtmak için çok fazla zaman kaybedebilirsiniz. Group policy ile ise, merkezi olarak printerı kurulmasını sağlayıp tüm bilgisayarların printerı kullanmasını sağlarsınız.
Firmanızda ki kullanıcılar, genelde iş bilgisayarını evdeki bilgisayarıyla karıştırır ve istediği gibi ayarlar. Siz ise, kullanıcıların masaüstünde güllü çiçekli duvar kağıtları, tamamıyla dolmuş bir masaüstü, kaybolan simgeler, bozulan araç çubukları vb. Sorunlarla boğuşursunuz. Oysa group policy ile kullanılcıların masaüstü ortamlarını istediğiniz gibi şekilllendirir, istediğiniz duvar kağıdını force edebilir, çubukları kilitler, masaüstünü ise boş bırakılmasını sağlayabilirsiniz.
Bunlar, Group policy ile yapılabilecek şeylere birkaç örnektir. Genel olarak bakacak olursak, Group policy ile
· Güvenlik Yönetimi,
· Yazılım yönetimi,
· Masaüstü Yönetimi,
· Uygulama yönetimi,
yapılabilir. Bunların tam olarak ne anlama geldiğini yazımızın ilerleyen bölümlerinde bahsedeceğiz.
Grup Policy Baskınlıkları
Local Policy àSite Policy àDomain Policy àOU Policy
Yukarıdaki sıralamada baskınlık sağdan sola doğru artar.Örnek vermeye geçmeden önce bu policylerin ne olduklarını ve ne işe yaradıklarını öğrenelim.
Yukarıdaki sıralamada baskınlık sağdan sola doğru artar.Örnek vermeye geçmeden önce bu policylerin ne olduklarını ve ne işe yaradıklarını öğrenelim.
Local Policy:Domaine dahil olmamış bir bilgisayarın,kendi localindeki policydir.Yani sadece kendi üstündeki nesleri ve kullanıcıları etkileyebilir.
Peki nasıl ulaşılır ve editlenir?
Peki nasıl ulaşılır ve editlenir?
Gpedit.Msc : Sadece local policyleri görüntülemek ve ayarlarını değiştirmek için kullanılan bir MMC eklentisi. Çalıştıra, Gpedit.msc yazarsanız bu araç açılır. Bunun yanında denetim masasındaki Administrative Tools altından da ulaşılabilir .
Site Policy : : Her bir Active Directory Site’ı na ayrı ayrı uygulanan GPO’lardır. Aynı site içindeki tüm nesneleri etkileyen policylerdir. Normalde hiçbir A.D. Site’ına policy uygulanmamıştır. Dolayısı ile site seviyesinde bir policy uygulanacaksa, bir sistem yöneticisinin, ayrıca bir site policy’si oluşturması gereklidir.
Peki nasıl ulaşılır ve editlenir ?
Peki nasıl ulaşılır ve editlenir ?
Site Policyleri oluşturmak ve editlemek için ADSS’den ulaşabilirsiniz.Yada komut satırından DSSITE.MSC ile ulaşabilirsiniz.
Domain policyleri : Aynı Active Directory domaini içindeki tüm nesneleri etkileyebilen policylerdir. Domain seviyesinde, varsayılan olarak sadece bir GPO vardır ve adı Default Domain Policy’dir. Default domain policy, domain içindeki tüm nesneleri etkileyebildiği için, dikkatli kullanılması gerekir. Bu policy’i sadece domain çapında önemli ayarları yapmak için kullanırız. Buna örnek olarak Password Policyleri, Auditing, Kerberos ve Account Lockout policyleri örnek olarak verebilirim.
Özellikle belirtmeliyim ki, Domain çapında password ayarları sadece bu GPO üzerinden yapılandırılır. Site yada local policyler üzerinden yapılan password ayarlarınız, sadce etkilenen local bilgisayarlar üzerindeki local kullanıcıları etkiler.
Peki nasıl ulaşılır ve nasıl editlenir ?
Group Policy Management Console(GPMC) : GPO ile ilgili herşeyi bir arada toplayan, kullanımı oldukça basit ve çok işlevsel bir araç. Microsoft, GPO yönetimi için GPMC kullanılmasını tavsiye eder. Windows Vista ve 2008′de dahili olarak Windows Feature’ları içinde bulunur. 2008 ve sonrası Active Directory kurulumu esnasında otomatik olarak yüklenir. Windows XP ve 2003 için ayrıca yüklenmelidir.
Yada komut satırından GPMC.MSC yazarak ulaşabilirsiniz.
OU Policyleri : Organizational Unitler gibi konteyner objelerinin normal işlevleri dışında bir özelliği daha vardır, o da üzerlerine ayrıca GPO uygulanabilmesidir. OU seviyesinde uygulanan GPO’lar, OU altından bulunan nesneleri etkiler. Nesne ve departman tabanlı kurallarınızı OU seviyesindeki GPO’lar ile yapmanızı tavsiye ederiz, çünkü böylece policylerin yönetimi son derece kolaylaşır. Peki bu ne demektir ? Örnek verelim, AD yapınızda, Muhasebe, IK, Pazarlama gibi OU’larınız var ve bu OU’lar içinde, ilgili departmanların bilgisayar, kullanıcı ve gruplarını tutuyorsunuz. Diyelim ki, Sadece Pazarlama departmanı için bir yazılımı dağıtmak istiyorsunuz. Bu durumda, ilgili ayarı Site yada Domain seviyesinde yaparsanız, bu Policyler hiyerarşik olarak daha üst seviyede oldukları için, Tüm domaini ya da lokasyonu kapsayacaktır. Ancak Pazarlama OU’su üzerinde bir bir GPO oluşturursanız, sadce pazarlama departmanındaki bilgisayarlara ilgili uygulama dağıtılır.
Peki nasıl ulaşılır ve editlenir?
GPMC.MSC ile ulaşırız ve oluşturdugumuz konteyner’a sağ tıklayıp create GPO in this domain,and link it here.. diyebiliriz.
GPMC.MSC ile ulaşırız ve oluşturdugumuz konteyner’a sağ tıklayıp create GPO in this domain,and link it here.. diyebiliriz.
Grup Policy Baskınlıklarını:Baskınlıkların nasıl olduklarını örnekler ile pekiştirelim.
Örnek 1:Local policy’mizde Help menuyü Start menüden silinme seçeneğini enabled yapalım sonra Domain Policyde aynı özelliği disabled yapalım. Açılışta bakalım ne olucak?
Local Policy de Start Menu’den silinsin dedik.(gpedit.msc)
Domain Policy’de iste disable seçeneğini seçerek silinmesini engelledik.(gpmc.msc).Ben Default Domain Policyde yaptım bu ayarı.Şimdi log off –log on oluyoruz. Sonuç:
Görüldüğü gibi help seçeneği start menümüzde duruyor.
Çakışma yaşandığı zaman yazının üst kısımlarında da bahsettiğim gibi bir sıralama var ve bilgisayarınız o sıralamayı takip ediyor.
Peki ya çakışma yaşanmadığı zaman ne oluyor?
Local policymizdeki ayarımız aynı kalsın domain policymizdeki ayarımızı şu şekilde değiştirelim:
Çakışma yaşandığı zaman yazının üst kısımlarında da bahsettiğim gibi bir sıralama var ve bilgisayarınız o sıralamayı takip ediyor.
Peki ya çakışma yaşanmadığı zaman ne oluyor?
Local policymizdeki ayarımız aynı kalsın domain policymizdeki ayarımızı şu şekilde değiştirelim:
Not Configurred seçeneğini defaultta gelen bir ayardır ve hiçbir fikrinin bulunmadığını belirtir.
Tekrar log off-log on oluyoruz:
Çakışma yaşanmadığı zaman üstte saydığımız 4 policynin 4’ü de çalışır.
Örnek 2:Peki şimdi biraz işleri karıştıralım Local Policy-Domain Policy ve OU policy arasında bi kıyaslama yapalım.
Ama bundan önce ADUC de şu şekilde bir yapımızın olması gerekli.
Ank Ou’sunu oluşturduğumuzdaki gibi bir ekran gelicek ve oraya Departmanımızı belirtceğiz Yani IT,IK,Depo,Satış,Satın Alma gibi bir departman ekliyeceğiz.
Ben IT yapıyorum.
IT’nin içerisine diğer OU’ları oluşturduğumuz gibi Computer ve User adında 2 adet o oluşturuyorum.(Dikkat etmeniz gereken şey IT üzerinde NEWàOU yapmanızdır.)
User OU’sunun içerisine bir user oluşturmamız gerekiyor bunun için User Ou’suna sağ tıklayıp
NEWà User demeliyiz.Şifre ve kullanıcı adı size kalmış durumda.
NEWà User demeliyiz.Şifre ve kullanıcı adı size kalmış durumda.
Son Yapımız şu şekilde olmalıdır.
Şimdi makalenin başlarında da söz ettiğim gibi It OU’su için bir Grup Policy yaratıcağız.
Bunun için gpmc.msc ile yada aşşağıdaki basamaklar ile GPMC ye ulaşabiliriz.
IT için bir Group Policy Oluşturma.IT üzerinde sağ tuşa tıklıyoruz ve :
Evet yapımızı oluşturduk.Şimdi sıra örneğimizi yapmaya ve gözlemlemeye geldi.
İlk olarak Gpedit.msc ‘de Run Start menüde silinme seçeneğine not configured yapalım
sonra Gpmc.msc’de run start menüden silinsin yani enabled olsun(default domain policy’de yani)
sonra da Ou ya bağladığımız GPO da Silinmesin yapalım ve olayları gözlemliyelim.
sonra Gpmc.msc’de run start menüden silinsin yani enabled olsun(default domain policy’de yani)
sonra da Ou ya bağladığımız GPO da Silinmesin yapalım ve olayları gözlemliyelim.
Log off oluyoruz ve ilk olarak Administrator Kullanıcısı ile log on oluyoruz.
Görüldüğü gibi Run seçeneği yok.Tekrar Log off olup It için oluşturduğumuz kullanıcı ile log on olalım bakalım ne değişicek.
Ama bundan önce büyük ihtimal ile It kullanıcısı ile Dc de log on olamiyacağınız için IT kullanıcısını Administrator Grubuna dahil etmenizi öneririm.
Şimdi bakalım değişiklik olarak ne gelicek karşımıza:
Şimdi bu işlem nasıl gerçekleşti biraz ondan bahsedelim.
Düzgün OU yapılı bir Active Directory ortamının yönetimi her zaman daha basittir.
Örneğimiz ile açıklıyacak olursak.
GPEDIT ‘te run seçeneğini not configured yaptığımız için orda hiç bir işlem gerçekleşmicek.Sonrasında Default Domain Policyde Run Start Menuden sillinsin seçeneğini Enabled yaptık.Yani bütün domain ortamımızı etkiledik.Ama sıralamayı hatırlarsanız domainden daha baskın olan bir policy türü daha vardı oda Ou policy idi.It içersinde oluşturduğumuz OU da ise Disabled yaptığımız için It kullanıcısı Start menüsünde Run seçeneğini gördü.
Peki Administrator kullanıcımız niye göremedi ?
Çünkü IT Ou’inde bir User değildi.
Örneğimiz ile açıklıyacak olursak.
GPEDIT ‘te run seçeneğini not configured yaptığımız için orda hiç bir işlem gerçekleşmicek.Sonrasında Default Domain Policyde Run Start Menuden sillinsin seçeneğini Enabled yaptık.Yani bütün domain ortamımızı etkiledik.Ama sıralamayı hatırlarsanız domainden daha baskın olan bir policy türü daha vardı oda Ou policy idi.It içersinde oluşturduğumuz OU da ise Disabled yaptığımız için It kullanıcısı Start menüsünde Run seçeneğini gördü.
Peki Administrator kullanıcımız niye göremedi ?
Çünkü IT Ou’inde bir User değildi.
Grup Policy Baskınlıklarını etkileyen 2 şey vardır.
Bunlar : Enforce ve Block Inheritancedir.
Block inheritance:Varsayılan olarak Bir OU ya GPO uygulandığı zaman , alt OU lara da bu GPO ayarları otomatik uygulanır.Alt OU lara GPO nun uygulanmasını engellemek için , Block Inheritance özelliği kullanılır.Block Inheritance özelliğini uygulamak için , özelliğin uygulanacağı OU ya Group Policy Management ekranında sağ tuş ile basılarak Block Policy Inheritance sekmesine tıklanır.
Bizim yapımızda IT ou’su bulunmaktaydı.Bir OU daha oluşturalım ve O Ou’nun hangi GPO dan etkilendiğini gözlemliyelim.
Bir Ou’nun hangi GPO’dan etkilendiğini O Ou’ya tıkladıktan sonra şu şekilde görebilliriz:
Görüldüğü üzere yeni yarattığımız OU Default Domain Policy’den etkileniyor.Peki block inheritance yaptığımız zaman ne olucak onuda görelim ? :
Sağ tıkladıktan sonra block inheritance seçeneğini tıklıyoruz ve Group Policy İnheritance Bölümü şu şekilde oluyor:
IK OU’su artık default Domain Policyden Etkilenmiyor.
2 Group Policy etkisini değiştiren seçenek ise.
Enforce: Block Inheritance seçimine rağmen GPO ayarlarının alt OU larda da etkili olması istenirse , Enforced seçeneği uygulanır.Enforced seçeneğini devreye sokmak için , Group Policy Management uygulaması içinde , Enforced seçeneğinin uygulanacağı üst OU nun altından bu özelliğin geçerli olacağı GPO bulunur.GPO üzerine sağ tuş ile basılarak Enforced sekmesi tıklanır.
Enforce’u anlamak için yapımızdaki IT departmanını ele alalım.IT departmanımız için oluşturduğumuz bir GPO mevcut ve Group Policy Inheritance Kısmı işe şu şekilde:
Ve biz Defaul Domain Policy’nin IT departmanında geçerli olmasını istiyoruz.Defaul Domain Policy’mize sağ tıklayıp enforce diyelim ve sonucu görelim:
Görüldüğü gibi Default Domain Policymiz’in Inheritance sırası değişti.
Grup Policy ,Ou yapısı ve Grup Policy baskınlıkları ve Baskınlıkları Etkileyen etkenler hakkında bildiğim bilgileri size aktardım.
Başka bir Yazıda görüşmek üzere
Murat DELİBAL
Sistem Ve Ağ Uzmanı
Murat Delibal 
Leave a comment