GROUP POLICY
Bir önceki yazımda, Domain Controller sunucusu üzerine Active Directory Domain Servisini kurduk.
Bir önceki yazıma aşağıdaki linkten erişebilirsiniz.
→ Domain Controller ve AD DS Kurulumu
Bir Active Directory ağını yönetmek, ağdaki cihazlar ve kullanıcılar arttıkça zahmetli bir hal alabilir. Güvenlik izinleri, yazılım kurulumu, kullanıcılar ve bilgisayarlar için masaüstü ayarları, yönetici ayrıcalıkları ve daha pek çok şey gibi kontrol edilmesi gereken sayısız şey örnek verebiliriz.
Group Policy, Active Directory ağındaki tüm bu ayarları yönetmeyi kolaylaştırır. Yani merkezi bir şekilde yönetilmesini sağlayan Microsoft’un bir teknolojisidir.
Group Policy uygulamak istediğimiz bir yapıya öncellikle o yapının organizasyon şemasını ağaç yapısı şeklinde düşünerek oluşturmalıyız. Böylelikle planlamamız, yönetmemiz daha kolay olacaktır. Aşağıdaki
Şekil 1'de Group Policy Management konsolunda, örnek olarak oluşturduğum ağaç yapısı görülmektedir. Ağacın en tepesinde forest olarak ilkerokur.com görülmektedir.
Group Policy’ler, Local Group Policy ve Domain Group Policy olarak ikiye ayrılır. Her iki policy türünün de amacı aynıdır. Local Group Policy uygulanmış bir bilgisayar aynı zamanda domainde olabilir.
Domain Group Policy’ler Site, Domain ve OU seviyelerinde uygulanabilirler.
Uygulanan Group Policy’lerin uygulanma sırası aşağıdaki gibidir:
→ Local Group Policy
→ Site seviyesinde uygulanan Domain Group Policy
→ Domain seviyesinde uygulanan Domain Group Policy
→ OU seviyesinde uygulanan Domain Group Policy
Yukarıda Şekil 2'de en tepede bulunan Default Domain Policy, ağacın en tepesinde olduğu için altındaki yani ağacın (şemanın) aşağısına doğru domaindeki bütün organizational unit’lere etki eder. Default Domain Controllers Policy ise sadece Domain Controllerı etkiler.
GPO’lar bir ağacın dalları gibi en tepeden en aşağıya doğru uygulanır ama iç içe geçmiş OU’larda yani Organizational Unitler’de iç içe yazılmış policyler bulunuyorsa bir karmaşa söz konusu olacağı için her zaman en alttaki policy uygulanır. Eğer üstteki poliçe force edilmiş ise üstteki poliçe geçerli olur. Diyelim ki, alttaki ve üstteki poliçelerde force edildi yani yine bir karmaşa durumu söz konusuysa force edilenlerden en üstteki geçerli olur. Normal bir durumda, OU üzerinde miras reddedilirse, reddediliği noktadan itibaren üstteki poliçeler geçersiz olur ama reddedilse bile eğer üstteki force edilirse, her zaman force edilen geçerli olur, bu önemli detayları unutmamak gerekir.
Şekil 2'de Group Policy Objects altında ise görülen poliçeler, o ağaçta oluşturulan bütün poliçeleri gösterir. Bir Organizational Unit’e (OU)
etki etsin yada etmesin, Group Policy Objects altında görüntüleyebilirsiniz.
Tutulan ayarların bulunduğu bu nesneye Group Policy Object (GPO) adı verilir. Bir OU’ ya etki eden Group Policy Object (GPO), istemci (client) tarafından Domain Controller’dan indirilir. Bu işlem istemci tarafında Pull, Active Directory Domain Controller tarafında ise Push olarak tanımlanır. GPO istemci tarafından indirildikten sonra sisteme uygulanır. İstemci tarafında yapılan bu işleme Client Side Extensions adı verilir.
Uygulanan GPO’ları yani Group Policy Extensions bölümünü Registry Editor’de aşağıdaki yolda görüntülenebilir. (Şekil 3)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions\
Şekil 3'teki GPExtension dizininde, Group Policy Extension’ın kendine ait klasörü olduğu görülür. Bu klasörlerden birine tıklandığında uygulanan Group Policy Client Extension’ın adı görülür. Örnekte Software Installation Group Policy Extension’u görülmektedir.
Group Policy Management Editor
Sizlere örnekleyerek gösterebilmek adına, Group Policy Objects üzerine sağ tıklayıp “deneme” isimli GPO oluşturdum. (Şekil 4)
Yukarıdaki şekilde deneme GPO’suna ait detayları görebiliyoruz. Görüldüğü gibi poliçeye ait unique ID ve SYSVOL klasörü içerisinde bulunduğu görülmektedir. Microsoft’un 2012 sonrası sistemlerinde SYSVOL klasörü DFSR ile replike olmaktadır. SYSVOL sayesinde diğer Active Directory veri tabanlarına yani Domain Controller’lara DFSR ile replikasyonu tamamlanır.
Şekil 4'te belirttiğim deneme GPO’sunu SYSVOL klasörü içerisinde göstermek istersek; Şekil 5'te görüldüğü gibi arama çubuğuna \\localhost yazarak SYSVOL klasörü içerisinde Policies’e gidilir.
deneme GPO’su üzerine sağ tıklatıp edit diyerek Group Policy Management Editör açılır. Group Policy, Computer Configuration ve User Configuration olarak iki bölüme ayrılır. (Şekil 6)
Computer Configuration bölümünde uygulanan poliçeler doğrudan bilgisayarlara uygulanır. Yani bilgisayarda hangi kullanıcının oturum açtığının bir önemi yoktur.
User Configuration bölümünde uygulanan poliçeler ise doğrudan kullanıcılara uygulanır. Yani kullanıcının hangi bilgisayarda oturum açtığının önemi yoktur.
Computer Configuration ve User Configuration bölümlerinde Policies ve Preferences isimlerinde iki bölüm bulunur. (Şekil 7)
Policies altındaki ilk bölüm Software Settings’tir. Eğer Group Policy ile bir uygulama yazılımı dağıtımı ya da yönetimi düşünülüyorsa Software Settings bölümü kullanılır.
Computer Confg. Policies altındaki ikinci bölüm ise Windows Settings’tir. Bu bölümde uygulanacak policyler tüm bilgisayarı etkileyecek Windows ayarlarının değiştirilmesini sağlarlar. Örnek olarak Startup/Shutdown Script bu bölümden ayarlanabilir. Benzer şekilde User Configuration bölümünde de Logon/Logoff Script yer alır.
Policies altındaki üçüncü bölüm ise Administrative Templates’dir. Administrative Templates. Group Policy ayarlarını toplu olarak içerir. Burada Denetim Masası, Ağ, Başlat Menüsü ve Görev Çubuğu gibi bir çok yönetimsel ayar yapılabilir. (Şekil 8)
Preferences altındaki ilk bölüm Windows Settings’tir. Bu bölümde dosyalar, klasörler, kayıt defteri, kısayollar gibi bir çok Windows ayarı yapılabilir. (Şekil 9)
Preferences altındaki ikinci bölüm ise Control Panel Settings’tir. Bu bölümde aygıtlar, yerel kullanıcı ve gruplar, ağ seçenekleri, güç seçenekleri gibi bir çok Denetim Masası ayarı yapılabilir. (Şekil 10)
Bu arada unutmamak gerekir ki, Policy’ler varsayılan olarak 90 ile 120 dakika arasında güncellenir ancak bazen oluşabilecek senaryolarda bu kadar uzun süre bekleyemezsiniz. GPO’yu force etmek zorunda kalabilirsiniz, bu sayede poliçeleri hemen yenileme görevinin gerçekleştirilmesine ve client’lara dağıtılmasına yardımcı olabilir.
Policy, kullanıcılar oturumu kapatıp tekrar açtığında da yenilenir, ancak her kullanıcıdan oturumu kapatıp tekrar açmasını isteyemezsiniz. Örnek olarak Group Policy’i nasıl force edebileceğinizi göstermemiz gerekecekse;
Şekil 11'de görüldüğü gibi ilk yöntem, Group Policy Management açılır, Domain Controller üzerine sağ click yapılır ve Group Policy Update seçilir.
İkinci bir yöntem ise, command prompt açılarak gpupdate /force komutu çalıştırılır. (Şekil 12)
Umarım faydalı olmuştur, bir sonraki yazımda Group Policy için uygulamalı örnekler paylaşmayı düşünüyorum, görüşmek üzere.
İyi okumalar dilerim.
