1. Group Policy Nasıl Çalışır ?
Çoğunlukla Active Directory yapısında kullanılan Group Policy (GPO), sistem yöneticisi için vazgeçilmez kolaylıklar sağlayan bir araçtır. Bir bilgisayara uygulanan policy o bilgisayarda mevcut işletim sistemine ait olan Registry ayarlarında değer değişiklikleri veya değer eklenmesi/silinmesi işlemini yapar. Bu ayarı ister elle Registy ayalarına girerek yaparsınız, ister her bilgisayara has olan Local Policy ile yaparsınız, ister merkezi noktadan yapacağınız bir GPO ayarları ile yaparsınız.
Registry ayarlarında bildiğiniz gibi iki farklı yapı mevcuttur.
- HKEY_LOCAL_MACHINE
- HKEY_CURRENT_USER
GPO ayalarında yapılan “Computer Configuration” ayarları Registry de HKEY_LOCAL_MACHINE ayarları altındaki değerlere kumanda etmekte, “User Configuration” ayarları ise HKEY_CURRENT_USER ayarları altındaki değerlere kumanda etmektedir.
Bilgisayarlara uygulanan policy ler ise iki farklı şekilde uygulanmaktadır.
- Local Policy
- Group Policy (GPO)
Local Policy ayarları her bilgisayar için ayrı ayrı yapılan ayarlardır. Bu ayarları yapmak için Runàgpedit.msc enter diyerek girebilirsiniz. Burada yapacağınız ayarlar sadece o bilgisayarda geçerli olacak ayarlardır. Local Policy sistem yöneticileri tarafından pek başvurulan yöntem olmamasına rağmen, özellikle bağımsız bilgisayarlarda yapılacak ayarlar için kullanışlı olabilir.
2. Group Policy:
Bir domain yapısında group policy, sistem yöneticisi personeline kolaylıklar sağlamakta etkili bir yöntemdir. Group Policy ayarlarını yapabilmek için GPMC yüklü olması gerekir. Bunun için gpmc.msi paketini download edip yükleyebilirsiniz. Yükleme işleminden sonra Çalıştır–> gpmc.msc yazıp enter dediğinizde Group Policy Manager açılmış olacaktır.
Bir domain yapısında en üstte yer alan gpo “Site Policy” onun altında “Domain Policy” “onun altında “OU Policy” olarak devam eder. Özellikle Active Directory yapısını kurduğunuzda default olarak “Default Domain Policy” nin geldiğini görürsünüz. Bu GPO sizin domaininizdeki tüm bilgisayar ve kullanıcı nesnelerini etkileyecek GPO dur. Bu nedenle burada yapacağınız ayarların domaininizdeki tüm kullanıcı ve bilgisayarları etkilediğini unutmayınız. Diğer GPO lardan farkı herhangi bir “User Group Policy Loopback Processing” ayarı(ileriki sayfalarda anlatılmaktadır.) yapmaya gerek olmadan “Computer Configuration” ve “User Configuration” altında yapılan ayarlar uygulanmış olur.
Eğer tüm kullanıcı ve bilgisayarlara uygulamayacağınız bir policy söz konusu ise bunu “Default Domain Policy” ile uygulamamanız önerilir.
En temelinde şunu iyi bilmemiz gerekir ki bir GPO da “Computer Configuration” ayarları altında yapılan ayarlar sadece bilgisayar açılırken uygulanan ayarlar, “User Configuration” ayarları altında yapılan ayarlar ise sadece kullanıcı login olduğunda uygulanan ayarlardır.
3. GPO Oluşturma
GPO oluşturulması için “Create and Link a GPO Here” tıklayarak GPO oluşturmaya başlayalım.
Yoğun şekilde GPO kullanıyorsanız GPO’ ya vereceğiniz ismi dikkatli seçmelisiniz. Aksi taktirde daha sonra anlamlandıramadığınız bir liste ile karşılaşabilirsiniz.
Örneğin yukarıdaki gibi bir isim verebilirsiniz. User Configuration a yapılan bir ayar olduğu ve Run komutunu Start Menüden kaldıracağını anlayabiliriz. Edit diyerek GPO ayarlarını yapacağımız menüye erişelim.
Bir GPO da iki configuration vardır. “Computer Configuration” ve “Users Configuration”. “Computer Configuration” bilgisayar açılırken bilgisayarın ortamda mevcut DC ye bağlandığında/logon olduğunda (bunu DC nin security event loglarında görebilirsiniz.) alınan ayarlar, “Users Configuration” kullanıcı ctrl+alt+delete yapıp domain e login olduğunda aldığı ayarları kapsamaktadır.
GPO oluştururken dikkat etmemiz gereken diğer bir şey ise Explain altındaki açıklamaları dikkatlice okumak olmalıdır.
ir GPO nun aktif edilmesi için “Link Enabled” yapılması yeterlidir.
“Link Enabled” kaldırılırsa GPO uygulanmaz.