Group Policy Nedir
* Group Policy; Windows 2003 yapısı içinde kullanıcı ve bilgisayar denetiminde kullanılır. Üzerinde yapılan ayarlamaları, sürekli olarak kullanıcı ve bilgisayara uygular. Ayrıca söz konusu ayarları, tüm Network ortamınıza uygulamak yerine, belirli bir gruba ve bilgisayara da uygulama imkanı verir.
* Amaç: Merkezi yönetim. Oturduğunuz yerden herkesi yönetmek ve gereken kısıtlamaları koymak.
* Group Policy uygulaması ile kullanıcıların yapabilecekleri hatalı bilgisayar konfıgürasyonları ve bunun sonucunda gereken teknik destek ve güvenlik ihtiyacı minimize edilir.
* Policy'ler, güvenliğin yanı sıra kullanıcıların ihtiyaç duyduğu çalışma ortamlarının yaratılması, kullanıcılara belli bazı hakların verilmesi veya kısıtlanması, kullanıcıların ihtiyaç duyduğu programların kurulması gibi manuel yapıldıklarında çok zaman harcayacak işlemlerin merkezi bir yerden otomatik yapılmasına izin veren yönetimsel araçlar olarak tarif edilebilir
Group Policy Nerelere Uygulanır?
Group Policy yapısı: Site, Domain ve OU konteyner'larına uygulanabilir. Bu durumda uygulandığı konteyner içerisindeki tüm kullanıcı ve bilgisayarlara etki eder.
• Kısıtlayıcı ayarları, Site ve Domain seviyesinde uygulayarak, merkezileştirebilir ya da OU seviyesinde uygulayarak dağıtabilirsiniz.
• Kullanıcının tüm etkinliklerini kontrol altında tutabilirsiniz. Kullanıcının verilerini nerede depolayacağını belirler, ihtiyaç duyacağı yazılımları merkezi olarak yükleyebilir ve dolayısıyla kullanıcının kontrolsüz yazılım yüklemesini engelleyebilirsiniz.
• Kullanıcının, bilgisayar konfıgürasyonuna müdahalesini engelleyerek teknik destek gereksinimini minimize edebilir bu sayede mali kazanç da elde etmiş olursunuz.
• Organizasyonunuzun güvenlik gereksinimini karşılamaya yardımcı olabilirsiniz.
User ve Computer Configuration Ayarları Nelerdir?
• Kullanıcılar için Group Policy ayarlamaları:
Desktop settings
Software settings
Windows settings
Security settings
Bilgisayarlar için Group Policy ayarlamaları:
Desktop behavior
Software settings
Windows settings
Security settings
Policy Türleri
• Genel olarak iki tür policy’nin olduğu söylenebilir. Local policyler ve domain ortamında bir den çok bilgisayara aynı anda uygulanabilen Group Policy. Uygulanma yöntemi ve hazırlanışı farklı olsa da her iki policy türünün amacı aynıdır. Bilgisayarda security, temel bazı kullanıcı hakları gibi konularda düzenlemeler yapmak. Local policyleri hazırlamak ve uygulamak için Local Group policy, Security Configuration and Analysis gibi araçlar kullanılırken, domain policy’de Active Directory ve Domain Group Policy kullanılır.
Group Policy Tipleri
• Administrative Templates: Kullanıcının masaüstü (desktop) ile uygulamaların konfigürasyonunda kullanılan registry-tabanlı ayarlardır. Söz konusu ayarlar, kullanıcının erişim izni olan Control Panel seçenekleri ve off-line klasörler gibi işletim sistemi kompenent ve uygulamalarını içerir.
• Security: Local bilgisayar, Domain ve Network güvenlik ayarlarını içerir. Kullanıcının Network erişimi (Örneğin: kaç sefer hatalı giriş yaptığında hesabının kilitleneceği ve hesabın hangi koşullarla yeniden açılabileceği gibi.), şifresinin kontrolü, kullanıcıya ayrıcalık sağlayan kullanıcı haklarının(user rights) düzenlenmesi gibi işlemleri içerir
• Software Installation: Yazılımların yüklenmesi, düzenlenmesi ve kaldırılması işlemlerinin merkezileştirilmesi sağlanır. Uygulamanın, Control Panel içerisinde Add/ Remove Program kısmında görünecek şekilde yayımlanması (publish) ile sağlanabilir.
• Scripts: Kullanıcı logon/logoff veya bilgisayar start/shut down kısımlarına, spesifik script uygulanmasına olanak verir.
• Remote Installation Service: RIS uygulamalarının kontrolüne olanak verir.
• Internet Explorer Maintenance: Windows Server 2003 ile çalışan bilgisayarlarda IE ayarlan yapılır.
• Folder Redirection: Network ortamındaki sunucu bilgisayar üzerinde paylaşıma açılmamış klasör ile kullanıcı profilini içeren bir link kurulur. Kullanıcı, erişim izni olan herhangi bilgisayardan, bu klasöre erişebilir.
GPO İçeriği İki Ayrı Lokasyonda Depolanır
* Group Policy Container (GPC): GPO, nitelikleri ve versiyon bilgilerini tutan Active Directory objesidir. GPC'nin Active Directory içerisinde yer alması nedeni ile istemci bilgisayarlar Group Policy template yapısının lokasyonunu bulabilmek, DC bilgisayarlar ise versiyon bilgilerini alabilmek için, GPC'ye erişebilirler.
* DC'ler, versiyon değerine bakarak en son uygulanmış GPO'yu tespit etmeye çalışırlar. Eğer DC en son versiyon GPO'ya sahip değil ise, replikasyon ile uygulamanın güncellenmesi sağlanır.
Bilgisayar ve Kullanıcı İçin Group Policy Ayarları
* Computer Configuration: İşletim sistemi ve işleyişi, güvenlik ayarları, startup/shut down script'leri ve uygulama ayarlarını kapsar. Bilgisayara ilk açılışında veya periyodik tazeleme süresi içerisinde, GPO ayarı nakledilir.
* Bilgisayara uygulanan GPO, kullanıcıya uygulanan GPO'dan baskındır. Dolayısı ile bir çakışma olursa, bilgisayara uygulanan GPO geçerli olacaktır
* User Configuration: İşletim sistemi ve masa üzeri işleyişi, güvenlik ayarları, yayımlanmış veya atanmış uygulama seçenekleri, uygulama ayarları, klasör yönlendirme (folder redirection), kullanıcı logon/logoff script'lerini kapsar. Kullanıcıya, logon olduğunda veya periyodik tazeleme süresi içerisinde GPO ayarı nakledilir.
GPO Kimlere Uygulanır
* GPO'lar Site, Domain ve OU'lar ile ilişkilendirilmek veya link kurulmak sureti ile kısıtlamaların ve denetimin merkezileştirilmesi veya departman başına özelleştirilmesi için kullanılır.
* Active Directory konteyner'ları ile link kurulu GPO bilgileri; GPLink ve GPOptions konteyner'ları içerisinde depolanır.
* Bir GPO; Birçok site, domain veya OU'ya uygulanabilir.
* Bir site, domain veya OU‘ya: birden çok GPO uygulanabilir. Uygulanan bir GPO ile Network güvenlik ayarları, bir diğeri ile yazılım yüklemesi denetim altına alınabilir.
*** Users, Computers ve Built-in gibi default Active Directory Konteyner'larına, GPO uygulayamazsınız. Bu yapılar, OU olarak değerlendirilemez.
GPO Link Nedir?
GPO Çeşitleri; İlişkili ve ilişkisiz olmak üzere 2 çeşit GPO oluşturma şekli vardır. Bu bölümde sadece bağlamanın nasıl yapıldığını göreceğiz ve birkaç basit örnek vererek görelim.
NOT : GPO yönetimi PDC Emulator rolünü üstlenen DC üzerindedir
Gpo Ayarları Active Directory İçinde Nasıl Uygulanır
* Uygulama Sıralaması: GPO ilk önce Site, Domain veya OU yapılarına uygulanabilir.
Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.
* Miras akısı: Active Directory Tree yapısı boyunca Site'den Domain'e ve OU'lara doğru ilerler. Child konteyner, Parent konteyner'in GPO ayarlarını miras olarak al.
* Child konteyner üzerine GPO uygulanmasa dahi, Parent konteyner'daki GPO ayarlarından etkilenir. Yani, bir çakışma olmadığı sürece en alttaki objeye, üstten gelen tüm GPO'lar uygulanır.
Group Policy Ayarlarının İşleyişi
* Bir bilgisayar açıldığı ve bir kullanıcı logon olduğu zaman öncelikle bilgisayar ayarları, daha sonra kullanıcı ayarları uygulanır.
* Bilgisayar açılırken Startup Script, kullanıcı logon olurken Logon Script çalışır.
* Diğer bir deyişle, Startup sırasında bilgisayara; bilgisayar konfıgürasyon ayarları, logon sırasında kullanıcı konfıgürasyon ayarları uygulanır.
Group Policy İşleyişinin Kontrolü
* Senkronize ve Asenkronize İşleyiş: Default olarak Group Policy işleyişi, senkronizedir.
* Welcome to Windows mesajı gelmeden önce, bilgisayar için Group Policy ayarları uygulanır.
* Kullanıcı için Group Policy ayarları ise; işletim sistemi, kullanıcı için aktif hale gelmeden önce uygulanır.
* Dolayısı ile Group Policy uygulamaları önce bilgisayar, sonra kullanıcı konfigürasyonunu etkiyecek şekilde senkronize çalışır.
* Bu default düzenleme değiştirilebilir ve uygulamaların simültane bir şekilde; biri diğerini beklemeksizin etkimesi, yani asenkronize çalışması sağlanabilir (tavsiye edilmez).
Group Policy Ayarlarının Tazelenmesi:
* Belirlenmiş zaman aralıklarında, Group Policy ayarlarının tazelenmesi veya yeniden uygulanması sağlanır. Bilgisayar kapatılıp yeniden açılmasada, kullanıcı logoff olup yeniden logon olmasada, belirlenen süre dahilinde yeniden Group Policy ayarlarının uygulanması sağlanır.
* Windows XP Professional ile DC olmayan Windows Server 2003'ler, her 90 dk.da bir Group Policy uygulamasına maruz kalırlar.
* Tüm bilgisayarların yükünü, aynı anda sunucu karşılayamayacağı için, bu süreye 30 dk. eklenmiş ve tüm sistemin 90+30 dk. içerisinde Group Policy ayarlarından etkilenmesi sağlanmıştır (randomized time offset).
* DC'ler ise her 5 dk.da bir etkilenir. Bunun anlamı çok önemlidir. Kritik bir güvenlik ayarı, DC'lerde 5 dk. dan önce etkilenmez.
* Söz konusu Default ayarlar değiştirilebilir.
* Kullanıcı tarafından herhangi bir değişiklik yapılsa dahi, bu değişiklik Group Policy ayarları ile çakıştığı takdirde, ilk tazeleme zamanında iptal edilerek, kısıtlamanın uygulanması sağlanacaktır.
Group Policy Filtering
Default olarak Group Policy ayarları, uygulandığı konteyner'daki tüm kullanıcı ve bilgisayarlara etkir. Ancak, delege olarak atanan kullanıcılar gibi istisna durumlar olabilir ve bu hesapların GPO ayarlarından etkilenmemesi istenebilir. Bir veya daha fazla GPO için DACLs listesi kullanılarak filtreleme yapabilirsiniz.
Group Policy Ayarlarını Filtrelemek İçin
Filtreleme yöntemi:
* Security Grup oluşturup, OU yöneticisini bu gruba katınız.
* Properties diyalog kutusu içerisindeki Security Tab segmesinde bu grubu, ilgili GPO'ya ekleyiniz.
* Söz konusu grup ve Apply Group Policy için Deny seçiniz.
* DACL'den Authenticated Users grubunu çıkarınız
* Security Grup oluşturunuz ve OU yöneticisi hariç etkilenecek tüm (kullanıcı ve bilgisayar) hesaplarını katınız.
* Properties dialog kutusu içerisindeki Security Tab segmesinde bu grubu, ilgili GPO'ya ekleyiniz.
Söz konusu grup ve Apply Group Policy için Read seçiniz.
Group Policy Management Console
* Group Policy Management Console’u kullanarak Windows 2003 ve Windows 2000 (Service Pack 2 ve daha yukarı bir service pack yüklü olmalı) Active directory domainlerindeki Group Policy Onject’lerini yönetebilirsiniz.
* Varsayılan olarak Group Policy Management Console’un çalıştırıldığı bilgisayarın ait olduğu forest ve domain listelenir. Bu listeye başka domainler ve forest’lar da ekleyebilirsiniz. Yalnız eğer ekleyeceğiniz forest bir Windows 2000 forest’ı ise bu durumda o forest’a ait Group Policy Modeling node’u görülmeyecektir.
Domain node’unu genişlettiğinizde bu domain’deki Domain Controllers konteynırı ile sizin sonradan oluşturduğunuz Organizational Unit (OU)’lerin yanında, Group Policy Objects ve WMI Filters adlı iki tane daha node bulunur. Active Directory’de oluşturduğunuz GPO’ları Group Policy Objects kısmında görebilirsiniz.
Hata Denetim Araçları
Windows Server 2003\ Support\ Tools klasöründe yer alan araçlar:
* Netdiag.exe : Komut satırı ve diagnostic aracı, Network ve bağlantı ortamından izole ederek, Group Policy ayarlarında oluşmuş sorunları çözümlemek için, bir dizi test yapılmasını sağlar.
* Replmon.exe : GPC ve GPT replikasyonlarının tamamlanmamasına bağlı sorunları çözümlemek için kullanılır. Grafik ekranı üzerinden replikasyon oluşumunun izlenmesini sağlar.
* Her iki özelliği de çalıştırmak için Start/ Run kısmına, netdiag veya replmon yazmanız yeterlidir.
Group Policy ayarı etkili olmadı ise
* Miras çakışması olmuş olabilir. Çözüm için: Active Directory Tree yapısında, en üst konteyner'dan itibaren incelemeye başlanmalıdır. Daha sonra bilgisayar ile kullanıcı uygulamalarında çakışma olup - olmadığı kontrol edilir.
* İzin gereksinimi. GPO'nun DACLs listesini inceleyerek,izininizi kontrol ediniz. Herhangi bir kısımdan size Deny verilip-verilmediğini kontrol edin.
* GPO uygulamasının Disable olup-olmadığını kontrol ediniz.
* Replikasyon isteği. Active Directory ve Sysvol replikasyonlarının tamamlandığından emin olun.
* Site'ler arası link gereksinimi. Farklı bir Domain'e link kurulmuş ise, Trust üzerindeki sorunlar, GPO'ya da yansıyacaktır.
İlgili bilgisayar veya kullanıcının taşınmış olması. Bir başka Konteyner'a taşınan bilgisayar veya kullanıcı artık, yeni Konteyner'ına uygulanan GPO etkisindedir.
Ahmet Güneş ve Caner Mert’e kaynak için teşekkürler.
müthişşş anlatımm çok beğendim tşkrlerr :))
YanıtlaSil