Group Policy Management (GPO)

Group Policy

Group Policy’ler ihtiyaçlar doğrultusunda, güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar ve uygulama dağıtımı gibi işlemleri yapmaları için kullanılan bir merkezi yönetim aracıdır. Ayrıca söz konusu ayarları, tüm Network ortamımıza uygulamak yerine, belirli bir gruba ve bilgisayara da uygulama imkânı vermektedir. Group Policy Active Directory ile gelen bir özelliktir.

Local Policy

Bu Policy türü tek bir bilgisayar için düzenlenir ve bilgisayarda yerel olarak bulunmaktadır.

Domain Policy

Bu policy’ler domain’deki container’lardan (Site, Domain, Organizational Unit) uygulanan ve aynı anda birçok bilgisayarı ve kullanıcıyı etkileyen policy’lerdir. Bu policy’ler, sadece domainde uygulandıkları container’ın altındaki bilgisayarları ve kullanıcıları etkiler.

Uygulanma Sırası

Policy’lerin uygulanmasının belli bir sırası vardır. Bilgisayarlar üye olunan Domain içerisinde bulunduğu Container’a göre sırayla Site, Domain, OU ve son olarak Local Policy’den etkilenirler. Bir bilgisayar ilk açıldığında ilk olarak Local Policy’e ardından Site sonrasında Domain ve en son olarak OU seviyesinde uygulanmış olan ayarları alacaktır. Ayrıca her zaman en son olarak uygulanan Policy’nin kuralları baskın olacaktır.

Group Policy Management Açılması ve İncelenmesi

Start/Windows Administrative Tools “Group Policy Management” altından açılır. Yapı üzerindeki tüm GPO’lar “Group Policy Objects” altında bulunur.

AD kurulduktan sonra iki tane GPO ayarının varsayılan olarak oluşturulmuş olarak geldiğini görebilirsiniz. Bunlar Default Domain Controller Policy ve Default Domain Policy’dir.

Default Domain Controller Policy : AD dizinin de yer alan “Domain Controllers” OU’su altındaki DC olarak yapılandırılmış sunucuları etkiler. Default Domain Controller Policy içerisinde DC’ler için default ayarlar bulunmaktadır.

Default Domain Policy : AD dizininin tepesine bağlıdır. Dolayısıyla genel olarak AD dizininde ki tüm nesneleri etkiler (kullanıcı ve bilgisayarlar). Default Domain Policy üzerinde yapıdaki kullanıcı ve bilgisayarlar için default ayarlar bulunmaktadır.

Group Policy Oluşturma ve Düzenleme

Group Policy objeleri “C:/Windows/SYSVOL” klasörü altında domain adımızın yazılı olduğu bir klasörde tutulmaktadır. Basit bir GPO yapacak olursak, client makinelerde “run” (Çalıştır) fonksiyonunu yasaklayabiliriz.

Group Policy Oluşturma İşlemi

AD üzerinden Group Policy Management açılır. Açılan Group Policy Management penceresi içerisinde GPO uygulanmak istenen OU’ya sağ tıklanır ve Create a GPO in this domain, and Link it here seçeneği seçilir.

Açılan ekranda oluşturacağımız politikaya bir isim verilir ve OK tuşuna basılır.

Yan taraftaki Scope alanının altında Link’lenen OU bilgiside görünecektir. Security Filtering altında Default olarak Authentication User yer almaktadır. Bu kısma eklenen Kullanıcılar ve Gruplar bu Policy’den etkilenecektir. Authentication User olduğu için OU içerisindeki tüm kullanıcılar bu politikayı alacaklardır.

Settings kısmında politika içerisinde yapılan düzenlemeleri görebiliriz. Biz herhangi bir düzenleme yapmadığımız için şuanda boş durumdadır.

Delegation sekmesi altında, oluşturulan GPO üzerinde kimlerin işlem yapma hakkına sahip olduğunu görebilmekteyiz. Bu bir Kullanıcı olabilirken Grup’ta olabilmektedir.

Örnek olarak oluşturmuş olduğumuz Policy’i düzenleyerek Run’ı (çalıştır) ilgili OU’daki kullanıcı bilgisayarlarında yasaklayacağız. Run (çalıştır) genelde sistem yöneticileri tarafından kullanılan bir uygulama olduğu için, kurum çalışanlarında bu özellik kapatılmaktadır. Oluşturmuş olduğumuz GPO nesnesine sağ tıklıyoruz ve Edit seçeneğini seçiyoruz.

Açılan Group Policy Management Editor ekranında UserConfiguration/Policies/Administrative Templates /Start Menu and Taskbar alanına geliyoruz. Ardından Sol tarafta açılan listede Remove Run menu from Start Menu seçeneğini seçerek, üzerine çift tıklıyoruz.

Açılan ekranda Enabled işaretlenir ve OK tuşuna basılarak işlem aktifleştirilir.

Artık Settings altında bir ayarımız bulunmaktadır

Sonrasında GPO’yu uyguladığımız OU altındaki bir kullanıcı ile bilgisayarda oturum açıp, yapmış olduğumuz değişikliği kontrol edebiliriz.

Ali Pamuk kullanıcısı ile makinesine login oluyoruz. Login olduktan sonra hazırlamış olduğum politikanın bilgisayara hemen uygulanması için komut satırı üzerinden gpupdate /force komutunu kullanıyorum.

Makine politikayı aldıktan sonra, run (çalıştır) komutunu kullanmak istediğimizde, aşağıda hata ile karşılaşmaktayız. Bu işlem ile ilgili OU’daki kullanıcılarda run (çalıştır) fonksiyonunu yasaklamış olduk.

Bu politikayı Organizasyonlar/Ankara/Musteri Operasyonlari altına uygulamadığımız için sadece bu OU altında yer alan kullanıcılarda bu özellik kapatılmış oldu, diğer OU’lara uygulamadığımız için oralarda bu ayar bulunmayacağından çalışacaktır.

Group Policy Result

Group Policy Management üzerinden “Group Policy Results” üzerinden Group Policy Result Wizard üzerinden bilgisayara bağlanmadan, bilgisayara ve kullanıcıya uygulanan politikaları görüntüleyebiliriz.

Group Policy Results’ı uygulamak için:

Group Policy Management açılır, Group Policy Results üzerine gelinerek, Group Policy Results Wizard tıklanır.

Karşılama ekranından next diyerek devam ediyoruz.

Gelen ekranda hangi bilgisayara uygulanan politikaları görmek istiyorsak, bu bilgisayarın adını girerek devam ediyoruz.

Karşımıza bu bilgisayara daha önce giriş yapan kullanıcılara ait bilgiler gelmektedir, hangi kullanıcı üzerinden kontrol etmek istiyorsak, seçerek devam ediyoruz.