Last updated on 26 Şubat 2019
Grup İlkesi (Group policy)
Grup policy, kullanıcı ve bilgisayar yapılandırmasını yönetmenin merkezi bir yoludur. Grup policy, parola ve denetim ilkelerinden yazılım dağıtımına, masaüstü arka plan ayarlarına ve dosya uzantıları ile varsayılan uygulamalar arasındaki eşlemeleri yapılandırmak için kullanılır.
GPO Yönetimi
Grup İlkesi Yönetim konsolu, standart bir Windows Server ortamında Grup İlkesi’nin yönetildiği birincil yöntemdir. Bu araç ormandaki düzeyden Grup İlkesi öğelerini görüntülemenizi sağlar. Hangi GPO’ların etki alanı, site ve OU düzeyinde bağlantılı olduğu hakkında bilgi sağlar. Grup İlke Nesneleri düğümünün altındaki bir etki alanındaki tüm GPO’ların bir listesini görebilirsiniz. Ayrıca, etki alanı için yapılandırılmış tüm WMI filtrelerini içeren bir WMI Filtresi düğümü, tüm Başlatıcı GPO’ları içeren bir Başlangıç GPO’ları düğümü, Grup İlkesi Modelleme düğümü ve Grup İlkesi Sonuçları düğümü bulunur. Bir GPO’yu sağ tıklatıp Düzenle’yi seçerek, Grup İlkesi Yönetimi Düzenleyicisi’nde bir GPO’yu düzenleyebilirsiniz. Get-GPOReport komutunu kullanarak, hangi ayarların yapılandırıldığı ve hangi GPO’nun bağlı olduğu da dahil olmak üzere, bir GPO hakkında bilgi HTML formatında bir dosyaya dışarı alarak görebiliriz.
Gelişmiş Grup İlkesi Yönetimi
Gelişmiş Grup İlkesi Yönetimi (AGPM), Microsoft Güvence Denetimi müşterileri için Microsoft Masaüstü En İyileştirme Paketi aracılığıyla edinilebilir. AGPM, mevcut Grup İlkesi Yönetim konsolu ile bütünleşir ve işlevselliğini genişletir. AGPM, standart Grup İlkesi Yönetim konsolu üzerinde birçok avantaja sahiptir.
AGPM’nin en büyük avantajı, GPO yönetimine bir iş akışı uygulamanızı ve sürüm oluşturma ve çevrimdışı düzenlemeyi yapabilmenizi sağlar. Bu, standart Grup İlkesi Yönetim konsolunda, etkin bir Grup İlkesi’nde yapılan herhangi bir değişikliğin otomatik olarak bu ilkeden etkilenen istemcilere aktarılmasının avantajlarından biridir. GPO’ları düzenlemek için çevrimdışı işlevselliğe sahip olmak, daha önce etkin olan GPO’ların, revizyon işlemi sırasında geleneksel bir GPO dağıtımında olduğundan daha kapsamlı test edilmesini sağlar.
AGPM, yöneticilerin bir kuruluştaki bir kişiyi belirli bir GPO’da belirli bir değişiklik yapmış olduklarını tam olarak izlemelerine olanak tanıdığından, GPO’ları düzenlemek için daha gelişmiş bir model sunar. Geleneksel bir Windows Server dağıtımında, bir GPO’yu düzenlemek ve uygulamak için gerekli izinlerin kime ait olduğunu denetlemek mümkün olsa da, birden fazla kullanıcı bu izinlere sahipse, mevcut bir GPO’da kimlerin belirli bir değişiklik yaptığını belirlemek neredeyse imkansız olabilir. Yüksek güvenlikli bir ortamda, bir GPO’ya yapılan değişiklikleri izlemek çok önemlidir.
AGPM temsilci mimarisinde aşağıdaki rolleri kullanır:
AGPM Administrator. Bu rolü atayan kullanıcılar AGPM’deki tüm görevleri yerine getirebilirler. Bu, etki alanı geniş seçeneklerini yapılandırmanın yanı sıra izinleri temsilci seçme de içerir.
Approver. Bu rolü atayan kullanıcılar GPO’ları etki alanına yerleştirebilir. Onaylayıcılar, Editör rolünü atayan kullanıcıların isteklerini onaylayabilir veya reddedebilir. Bu role atanan kullanıcılar GPO’ları oluşturabilir ve silebilir.
Reviewer. Gözden Geçirme rolüne sahip kullanıcılar GPO’ların içeriğini görüntüleyebilir ve GPO’ların içeriğini karşılaştırabilir, ancak GPO’ları değiştirme veya dağıtma becerisine sahip değildir.
Editor. Bu rolü atayan kullanıcılar, GPO’ları görüntüleyebilir ve karşılaştırabilir. Ayrıca GPO’ları arşivden kontrol edebilir, çevrimdışı olarak düzenleyebilir ve daha sonra bu GPO’ları arşivde kontrol edebilirler. GPO’ları dağıtamaz, ancak GPO dağıtımını isteyebilirler.
Yedekleme ve geri yükleme
Değişiklik yaptığınız herhangi bir ortamda, bu değişikliği geri alma seçeneğine sahip olmanız gerekir. AGPM’ye sahip olsanız bile, Grup İlkesi Nesnelerini düzenli olarak yedeklemek iyi bir fikirdir. Sistem durumu yedeklemesini gerçekleştirirken GPO’lar yedeklenirken, istenmeyen bir şekilde sildiklerinde veya değiştirdiklerinde geri yüklemek zahmetli olabilir. AGPM gibi bir araç kullanmak, önceki bir yapılandırmaya geri dönme şansınızı azaltabilir, ancak AGPM’ye sahip değilseniz, önemli veya hatta önemli olmayan bir ilke değişikliği yapmadan önce bir GPO’nun yedeğini almalısınız.
GPO’yu yedeklemek açıktır. Grup İlkesi Yönetimi konsolunda, ilkeyi sağ tıklatın ve sonra Yedekle’yi tıklatın. Grup İlkesi Nesnesini Yedekle iletişim kutusunda GPO’yu yedeklediğiniz klasörü girin ve bir açıklama girin. Grup İlkesi Yönetimi konsolundaki Grup İlkesi Nesneleri düğümünü sağ tıklatarak kuruluşunuzdaki tüm GPO’ları yedekleyebilirsiniz.
Grup İlkesi Nesneleri’nden aldığınız yedeklemeleri, Grup İlkesi Nesneleri düğümünü sağ tıklatıp Yedeklemeleri Yönet’i tıklatarak yönetebilirsiniz. Bu, Yedeklemeleri Yönet iletişim kutusunu açar. Bu iletişim kutusunu kullanarak, yedeklenen bir GPO’yu geri yükleyebilir, yedekleme GPO’sunda hangi ayarların uygulandığını doğrulayabilir, GPO’nun nerede bağlandığını ve nasıl filtrelendiğini, GPO’daki temsilci ayarlarını ve gerekirse silebilirsiniz. GPO’yu sağ tıklatıp ardından Yedekten Geri Yükle’yi tıklatarak tek bir GPO’yu da geri yükleyebilirsiniz. Bunu yaptığınızda, GPO’nun aldığınız herhangi bir yedekten geri yükleme seçeneğine sahipsiniz.
GPO’yu geri yüklemek bağlantıları geri yüklemez
Bir GPO’yu geri yüklemenin GPO’nun bağlantı noktasını geri yüklemediğini unutmayın. Ancak, GPO’sunu yedeklemeden önce, yedeklenen GPO hakkındaki bilgileri görüntüleyerek bunu yapılandırabilirsiniz.
Yedeklenmiş GPO’lardan ayarları varolan bir GPO’ya almak için Ayarları Alma Sihirbazı’nı kullanabilirsiniz. GPO’ları yedeklemek, yeni bir “boş” GPO oluşturmak ve ardından ayarları yeni GPO’ya almak suretiyle hızlı bir şekilde çoğaltmak için bu tekniği kullanabilirsiniz. Ayarları Alma Sihirbazı’nı çalıştırmak için Grup İlkesi Yönetimi konsolunun Grup İlkesi Nesneleri altındaki bir GPO’yu sağ tıklatın ve Ayarları Al’ı tıklatın. Ayarları bir GPO’ya içe aktarmak, geçerli GPO’yu yedeklenen GPO’su ile etkili bir şekilde değiştirerek GPO’daki tüm geçerli ayarları geçersiz kılar. Sihirbazı çalıştırırken üzerine yazacağınız GPO’yu yedekleme seçeneğine sahip olursunuz ve ne yaptıklarından emin olsanız bile bu iyi bir seçenektir.
İlke işleme (Policy processing)
Grup ilkesi aşağıdaki sırayla işlenir; daha sonraki politikalar, çakışmaların bulunduğu önceden uygulanan politikaları geçersiz kılar:
●Local
●Site
●Domain
●Organizational Unit
Örneğin, bir ilke AD Site düzeyinde bir ayarı yapılandırıyorsa ve başka bir ilke OU düzeyinde aynı ayarı yapıyorsa, ayarı OU düzeyinde yapılandıran ilke uygulanır.
Bunun istisnası, aşağıdaki ayarlardan birini yapılandırdığınızda gerçekleşir:
Block Inheritance. Devralmayı Engelleme seçeneği, akış yukarı ilkelerinin uygulanmasını engellemenize izin verir. Bu seçeneği Domain veya OU düzeyinde yapılandırabilirsiniz. No Override (Geçersiz Kılma) ayarı olan bir politika aracılığıyla yapılandırılmış olanlar dışındaki tüm upstream (yukarıdan gelen) ayarlarını engeller.
No Override. Blok ayarını durdurmak için Geçersiz Kılma ayarını kullanın. Bunu uygulamanız gereken politikalarda kullanmaya özen gösterin.
İlke Sonuç Kümesi (Resultant Set of Policy)
İlke Sonuç Kümesi aracı, etki alanındaki belirli nesneler için hangi ilkelerin uygulanacağını belirlemenize izin veren bir Grup İlkesi uygulaması modeli oluşturmanıza olanak tanır. İlke Sonuç Kümesi, Grup İlkesi uygulamasının neden beklediğiniz gibi davranmadığını ve Grup İlkesi çakışmalarını gidermenize olanak sağlayan neden olduğunu anlamanıza olanak tanır.
İlke Sonuç Kümesini hesaplamanın iki yolu vardır. Birincisi, Grup İlkesi Modellemeyi kullanmaktır. İkincisi, Grup İlkesi sonuçlarını kullanmaktır. Bunların arasındaki fark şu şekildedir:
- Grup İlkesi Modeli, site üyeliğini, güvenlik grubu üyeliğini, filtrelemeyi, yavaş bağlantıları, geri döngü işlemeyi ve hesapların ilkeye uygulanmasına ilişkin yeni OU’lara geçişini değiştirmenin etkisini görmenizi sağlar.
- Grup İlkesi Sonuçları, hangi ayarların belirli bir kullanıcı veya bilgisayar hesabına uygulanacağını söyleyerek ilke uygulamasını gidermenize izin verir.
Varsayılan olarak, Etki Alanı yöneticileri ve Kuruluş Yöneticileri üyeleri Grup İlkesi Modelleme veya Grup İlkesi Sonuçları bilgilerini oluşturabilir. Kullanıcıların bu görevleri OU veya etki alanı düzeyinde gerçekleştirebilmesi için izinleri temsilci seçebilirsiniz.
Policy in multi-domain forests
Çok alanlı ormandaki site düzeyinde bağlı olan ilkeler, kök etki alanında saklanır. Bu, bir siteye bağlı ilke uygulandığı, ancak yerel sitede kök etki alanı üyeliğine sahip hiçbir DC’nin bulunmadığı senaryolardaki grup ilkesi uygulamasıyla ilgili zorluklara neden olabilir.
Süzme (Filtering)
GPO filtrelemesi, grup üyeliğine veya bir WMI sorgusunun sonuçlarına bağlı olarak bağlı bir GPO’nun geçerli olup olmadığını belirlemenizi sağlar. Örneğin, bir GPO’nun yalnızca bilgisayarın 4 GB’den daha fazla RAM’i varsa geçerlidir, böylece bir onay gerçekleştiren bir WMI sorgusu yazabilirsiniz. Bilgisayarda 4 GB’den fazla RAM varsa, ilke normal şekilde uygulanır. Bilgisayarda 4 GB’dan daha az RAM varsa, GPO uygulanmaz.
Grup İlkesi Tercihleri (Group Policy Preferences)
Grup İlkesi Tercihleri, geleneksel başlangıç ve oturum açma komut dosyalarını ortadan kaldırmak ya da en azından önemli ölçüde azaltmak fikrinin etrafında çalışır. Oturum açma komut dosyalarının zamanla kıvraklaşmanın bir yolu vardır. Grup İlkesi Tercihleri, sürücü eşleştirmeleri ve ortam değişkenlerini ayarlama gibi ortak oturum açma ve başlatma komut dosyası görevlerinin basitleştirilmesine izin verir.
Bazı oturum açma komut dosyalarının karmaşıklığını azaltarak veya ortadan kaldırarak, yapılandırma hatalarını azaltmak için Grup İlkesi Tercihlerini kullanabilirsiniz. Aşağıdakileri yapılandırmak için Grup İlkesi Tercihlerini kullanabilirsiniz:
●Applications
●Drive mappings
●Environment variables
●File updates
●Folders
●Ini files
●Registry settings
●Shortcuts
●Data sources
●Devices
●Folder
●Internet
●Local users and groups
●Network options
●Power options
●Printer
●Regional options
●Scheduled tasks
●Start menu
Bu öğelerden bazıları geleneksel Grup İlkesi kullanılarak yapılandırılabilir. Bir öğenin hem ilke hem de tercihler kullanılarak aynı GPO’da yapılandırılması durumunda, geleneksel ayar önceliklidir. Grup İlkesi Tercihi ve normal bir Grup İlkesi ayarı arasındaki fark, kullanıcının uygun izinlere sahip olması durumunda bir Grup İlkesi Tercihi’ni değiştirebilmesidir. Örneğin, kullanıcılar haritalı bir ağ sürücüsünün haritasını çıkarabilirler. Kullanıcı yeniden oturum açana kadar disk gezilemez kalır ve bu noktada yeniden eşleştirilir. Genel olarak, bir ayarı zorlamak istiyorsanız, standart bir Grup İlkesi kullanın. Ayarı uygulamak ve kullanıcıların değiştirmesini sağlamak istiyorsanız, bir Grup İlkesi Tercihi kullanın. Bir Grup İlkesi Tercihi uygulamasına en yakın olanı, ilke öğesinin yapılandırmasında Bir Kez Uygula ve Tekrar Uygula ayarını devre dışı bırakmaktır. Bu şekilde, grup ilkesi her yenilendiğinde tercih uygulanır.
Grup İlkesi Tercihlerini hedefleyebilirsiniz, böylece farklı tercihler tek bir GPO içindeki aynı öğe türlerine uygulanabilir. Bir Grup İlkesi Tercihinin nasıl uygulanacağını kısıtlamak için aşağıdaki öğeleri kullanabilirsiniz:
●The computer has a battery
●The computer has a specific name
●The computer has a specific CPU speed
●Date
●The computer has a certain amount of disk space
●The computer is a member of a domain
●The computer has a particular environment variable set
●A certain file is present on the computer
●The computer is within a particular IP address range
●The computer uses specific language settings
●Meets the requirements of an LDAP query
●The computer has a MAC address within a specific range
●Meets the requirements of an MSI query
●The computer uses a specific type of network connection
●The computer is running a specific operating system
●The computer is a member of a specific OU
●The computer has PCMCIA present
●The computer is portable
●The computer uses a specific processing mode
●The computer has a certain amount of RAM
●The computer has a certain registry entry
●User or computer is a member of a specific security group
●The computer is in a specific Active Directory site
●Remote Desktop Setting
●Within a specific time range
●The user has a specific name
●Meets the requirements of a WMI query
Administrative templates
Grup İlkesi Yönetim Şablonları, Grup İlkesi’ni GPO’larda bulunan ayarların ötesine uzatmanıza izin verir. Microsoft Office gibi yaygın yazılım paketlerinde, genellikle yazılıma özel ayarları yönetmek için alabileceğiniz Yönetim Şablonları bulunur. Windows Server’ın önceki sürümlerinde, Yönetim Şablonları ADM biçiminde dosyalar olarak mevcuttu. Windows Server 2008’in yayınlanmasından bu yana, Yönetim Şablonları, ADMX adı verilen standartlara dayalı bir XML dosya biçiminde mevcuttur.
Bir Yönetim Şablonu’nu kullanabilmek için, Yönetim Şablonları düğümünü sağ tıklattığınızda Şablon Ekle / Kaldır seçeneğini kullanarak doğrudan bir GPO’ya alabilirsiniz. İkinci seçenek, Yönetim Şablonu dosyalarını herhangi bir etki alanı denetleyicisinde c: \ Windows \ Sysvol \ sysvol <domainname> \ Policies \ PolicyDefinitions klasöründe bulunan Merkezi Mağazaya kopyalamaktır. Zaten yoksa bu klasörü oluşturmanız gerekebilir. Klasör mevcut olduktan sonra tüm etki alanı denetleyicilerine çoğaltılır ve yeni alınan İdari Şablonlara bir GPO’nun Yönetim Şablonları düğümünden erişebilirsiniz.
AD yönetim makele serimizin devamında görüşmek üzere,