Active Directory GPO(Group Policy Objects) Nedir ? Ne İşe Yarar ? Nasıl Uygulanır ?
Öncelikle group policy' i tanıyalım. GPO(Group Policy), Active Directory ile birlikte gelen bir özelliktir. Dc server üzerinden güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar, yazılım dağıtımı gibi işlemleri yapmamızı sağlayan bir merkezi yönetim protokolüdür. Bu protokol sites, OU, Domainler üzerinde bulunan bütün kullanıcı ve cihazlara uygulanabilir.
GPO iki bölümden oluşur. Bu da demek oluyor ki GPO iki farklı şekilde uygulanır. Bunlar;
- Computer Configuration
- User Configuration
Computer Configuration, Bilgisayar tabanlı policy ayarlarını kapsar. Dc makimanıza bağlı olan bilgisayarlar üzerinde işlem yapmamızı sağlar.
User Configuration ise kullanıcı tabanlı policy ayarlarını kapsar. Dc makinamızda kayıtlı olan kullancıların ayarlarını yapmamızı sağlar.
CPO hakkında bilgi sahibi olduktan sonra biraz kullanmaya başlayalım. Dc Serverimizde Server Maneger penceresini başlatalım.
Resimde gördüğümüz gibi Tools seçeneğinden Group Policy Management' ı başlatalım. GPMC' dan biraz bahsedeyim. Group Policy Manegament Console bize tek bir merkezden yönetim yapmamızı sağlıyor. Bu konsol ilk olarak Windows Server 2003 ile geldi. Bundan öncesinde GPO Active Directory Users and Computers, Active Directory Site and Servises gibi farklı konsollardan yönetiliyordu. W_S_2003 ile gelen bu yenilik bize büyük fayda sağlamaktadır. Bu konsol üzerinden neler yapabiliriz buna bakalım.
> GPO' lar geri yükleme ve yedekleme işlemi yapabiliriz.
> GPO' ları kopyalama ve import işlemi yapabiliriz.
> WMI(Windows Management Instrumentation) filtreleme işlemi yapabiliriz.
> GPO ve Rsop data raporlarını çıkarma işlemi ve bunlarında dışında birçok işlem yapabiliriz.
Group Policy Management servisini başlattıktan sonra karşımıza aşağıdaki gibi Group Policy Management penceresi gelecektir.
Burada işe bir GPO oluşturarak başlayalım. GPO iki şekilde oluşturulur. Bunlar;
- Linkli GPO(Linked GPO)
- Linksiz GPO(Unlinked CPO)
Linkli GPO ilk oluşturulurken Domain, Ou, Site gibi birimler üzerine oluşturduğumuz GPO' lardır. Yani oluşturduğunda anda o GPO' nun etki edeceği alan bellidir.
Linksiz GPO ise bağımsız bir linksiz GPO oluşturur. Bu bize çok fayda sağlar. Serverimize bağlı çok fazla Site, Ou veya Domain varsa hepsine tek tek GPO oluşturup yapılandırmak çok fazla zaman alır. Bu şekilde bir GPO oluşturursak bir defa yapılandırırız ve gereken birimlere link ederiz.
Ben örnek olarak bir Ou' ya Linkli GPO oluşturmak istiyorum.
Burada Dc Serverimiz üzerine sağ tıklayıp ilk seçenek olan Create a CPO in this domain, and link it there.. seçeneğine tıklayarak başlayabiliriz. Benim oluşturmuş olduğum bir Ou var ben onun içerisine oluşturmak istiyorum.
New GPO penceresinde bizden GPO ya bir isim vermemizi istiyor, ismi belirleyip OK dediğimizde GPO yonetici OU' su içerisine oluşacaktır. Yani bu GPO üzerindeki ayarlar sadece yönetici içindeki nesnelere uygulanacaktır.
Gördüğümüz gibi GPO oluşmuş durumda. Burada gördüğüm gibi bütün oluşturduğumuz GPO' lar Group Policy Objects içerisine eklenecektir.
Oluşturduğum GPO uzerine sağ tıklıyorum, edit diyorum ve editör sayfası açılıyor. Artık GPO hazır, istediğimiz şekilde yapılandırabiliriz.
Linksiz GPO oluşturmak için ise Group Policy Object menüsüne sağ tıklayıp New seçeneğine tıklayıp oluşturabiliriz. Bunu oluşturduktan sonra bağlamak istediğimiz bölüme sağ tıklayıp Link an Existing GPO seçeneğine tıklarız ve karşımıza Select GPO penceresi gelir, buradan bağlamak istediğimiz GPO' yu seçeriz, bu şekilde bağlamış oluruz.
Örnek olarak CPO ile Yönetici OU' su içerisinde bulunan kullanıcılara bilgisayarlarından denetim masası kullanmasını engelleyelim. İlk yapacağımız işlem yönetici OU' su için oluşturduğum yonetici_gpo' nun editör penceresini açmak. Bunu açtıktan sonra User Configutation => Policies => Administrative Templates => Control Panel içerisine girmek. Burada Prohibit access to control panel and PC settings dosyasına sağ tıklayıp edit seçeneğine tıklayalım.
Bu pencerede gördüğünüz gibi Enabled seçeneğini işatetleyip uygula deyip cıkıyoruz. Daha sonra GPO' yu refresh yapmamızda fayda var.
Şimdi yonetim OU' sunda uye olan bir kullancı ile Dc Servere bağlı olan bir client' a giriş yapalım.
Bu GPO işlemini yaptığımız sırada kullanıcı bilgisayarda online ise kullanıcının oturumu yeniden başlatması gerekir veya konsola # gpupdate /updatforce komutunu girmesi gerekir. Daha sonra yaptığımız ayarlamalar aktif olur.
Bu resimde gördüğünüz gibi Dc Server GPO sayesinde kullanıcının denetim masasına erişmesine izin vermedi. Bunun gibi ve bundan farklı aklınıza gelebilecek hertürlü yapılandırma GPO ile sağlanabilir. Bu yazımda GPO' nun ne olduğu, ne işe yaradığı ve nasıl konfigüre edildiğinden bahsettim.İlerleyen yazılarımda daha ayrıntılı yapılandırma örneklerinden bahsedeceğim.
Thanks for sharing Active Directory Group Policy Management tips. for more info i rfer cion systems Active Directory Group Policy Management in USA.
YanıtlaSil