close

Windows Server 2012 Group Policy Management

windows

 

 

GROUP POLICY Nedir, Ne sağlar?


Group Policy domain ortamında merkezi policy yönetimini sağlar.

Daha net bir şekilde bakacak olursak az çalışanla çok iş yapılmasını sağlar. Sistem yöneticileri Group Policy yönetimi ile tek bir noktadan büyük bir alanı yönetebilir. Ortamınızda ki her kullanıcının(client tarafı, server tarafı) makinelerinin istediğiniz doğrultuda çalışmasını sağlayabiliriniz. Buna başlat menünüsünü açamamaktan tutunda, istediğiniz programlar dışında o bilgisayarda başka hiç bir işlem yapılmamasını sağlayabilirsiniz. Group Policy size 5 alanda merkezi yönetim sağlayacaktır.

• Masaüstü yönetimi

• Yazılım yönetimi

• Güvenlik yönetimi

• Uygulama yönetimi

• Blok yönetimi

Yönettiğiniz ortam(lar) üzerinden örnek verecek olursak 100 bilgisayarlı bir ortamda bir programın dağıtılmasını istiyorsanız bunu tek tek 100 bilgisayara da yapmanız hem maliyeti yüksek, hem networkünüzü sömürecek hemde çok eleman ihtiyacınız olmasına yol açacaktır. Group Policy ile istediğiniz yapılandırmayı yaptıktan sonra bütün bilgisayarlara programı tek bir merkezden yükleyebilirsiniz.

Başka bir örnek vermek gerekirse şirketinizin kullanıcıları(çalışanları) nesneleri bir teknik eleman gibi yöneteceğinizi düşünmeyin. Kullanıcılarınızın şirkette onlara ait olan bilgisayarlarının bütün sorumluluğunu onlara vermeniz sonucunda doğacak sorunları hayal edebiliyor musunuz? Girilmemesi gereken, kimi zaman networkünüzü sömürecek, kimi zaman domain yapısına ya da tekil bilgisayarlara zarar verecek yazılımları, uygulamaları rahatlıkla indirebileceği bir ortam sağlamak ya da profesyonellikten uzak çicekli böcekli masaüstü arka planları, çalışma saatleri içinde sizin yönetiminiz dışında download hakkı vermek gibi bir çok kötü senaryoyu düşünebilirsiniz. Kısaca örnek vermek gerekirse Group Policy ile istediğimiz blok ya da tüm yapıya program dağıtabilir, yasaklar koyabiliriz ‘store erişimini kapatmak gibi.’

Group Policy Çeşitleri

4 adet Policy çeşidi vardır ve bunların bir çalışma sırası vardır.

• Local Policy

• Site Policy

• Domain Policy

• OU Policy/Organization Unit Policy

Local Policy’ler : Windows 2000 ve sonrası bütün işletim sistemleri policy istemmcisi olabilir. Windows 98 ya da 95, N.T 4.0 işletim sistemlerinden Active Directory’e logon olan kullanıcılar ortamda ki Policy’lerden etkilenmez. Windows 2000 ve sonrası işletim sistemlerinin hepsinde bir Local Policy vardır. Windows 2008 ve sonrası için LGPO(Local Group Policy Object) adlı özellik gelmiştir. Daha önce bir bilgisayarda tüm kullanıcılar, gruplar aynı local policy kurallarını paylaşırken bu özellik ile artık bir bilgisayarda kullanıcı ve gruplara farklı policyler uygulanabiliyor. Burada verdiğimiz örnek tekil/kişisel kısacası evde kullandığınız bireysel bilgisayarınızdan bahsediliyor, domain ortamından değil. Bilgisayarların domain ortamında olup/olmaması farketmez açılışta aldığı ilk Policy Kuralları Local Policy‘lerdir. Group Policy çeşitleri arasında olan baskınlığı makalemin ileri ki kısımlarında bulabileceksiniz.

Site Policy’ler : Active Directory Site’larına uygulanan Group Policy‘lerdir. Uyguladığınız site içinde ki tüm kullanıcıları ve bilgisayarları etkileyen Policy Kurallarıdır. Active Directory site’larına normalde uygulanan Default Policy’ler yoktur. Ayrıca bir site policy oluşturmadan sitelara policy uygulayamazsınız.

Domain Policy’ler :  Active Directory domain yapısı içinde bulunan tüm nesneleri etkileyen policylerdir. Domain seviyesinde bulunan ve varsayılan olan tek bir Group Policy Object vardır o da Default Domain Policy‘dir. Default Domain Policy‘de bulunan policy kuralları domain yapısında ki tüm nesneleri(kullanıcıları, bilgisayarları, grupları) etkiler. Bu yüzden bu objeyi sadece domain çapında olmasını istediğimiz kurallar/ayarlar için kullanırız.

Organization Unit Policy’ler : OU’lar gibi container objeleri dışında olan işlevi de üzerlerine GPO‘lar uygulanabilmesidir. OU‘lara yaptığınız GPO‘lar sadece o OU‘nun altında ki nesneleri etkiler bu da size blok yönetimi sağlar. Örnek vermem gerekirse şirketinizde bulunan departmanlara farklı kurallar uygulamak zorundasınız. Buna örnek olarak program dağıtmak diyebiliriz. Muhasebe departmanınız sizden departmanda bulunan tüm bilgisayarlara bir program kurmanızı istedi şimdi siz Muhasebe OU‘su yerine bir üst bloğunda ki ”Departmanlar” OU‘suna bu GPO‘yu tanımlasanız bütün departmanlara muhasebe programı kurulacak. Fakat direkt olarak Muhasebe departmanına yapacağınız bir GPO ile programı sadece o departmana dağıtabiliriz.

not : bir OU oluşturduğunuzda varsayılan olarak üzerine bir GPO gelmez fakat unutmayın ki OU’lar da site ve domain policy’lerden etkilenmektedir. Alt bloklarına da bu geçirgenliğini göstererek bu policyleri uygular.

GROUP POLICY’LER ARASI BASKINLIKLAR VE UYGULANMA SIRALARI

Active Directory ortamında olmayan bir bilgisayar yukarıda bahsettiğim şekilde kendi Local Policy kurallarını uygular ve bu şekilde çalışır fakat Active Directory ortamında olan bir bilgisayar için durum farklıdır. Hangi Policy’nin hangi sırayla uygulanacağının nedenlerini iyi bir şekilde anlamanız gerekir. Bu kısmı dikkatli okumanızı öneririm.

Active Directory ortamında bulunan bir bilgisayarın açıldığını düşünelim. Açıldığında önce kendisinde bulunan Local Policy‘leri uygular. Bu işlemi bulunduğu ortamda ki Domain Controller’ın üstünde kimlik doğrulaması yapmadan önce yapar. Ardından Site Policy varsa uygulanacaktır. Ardından domain yapımızda bulunan Policy’ler uygulanacaktır. Son olarakta Organization Unit(OU) Policy’ler uygulanacaktır. Sıralamaya kısacası bakacak olursak şöyle bir görüntü daha akılda kalıcı olacaktır :

Local Policy ⇒  Site Policy⇒ Domain Policy ⇒ Organization Unit Policy(OU)

not : Bu dört policy arası herhangi bir çakışma yoksa bütün Policy’ler bilgisayara düzgün bir şekilde uygulanacaktır.

Örnek verelim Domain Policy‘de bilgisayarın store erişimi kapatılmış olsun fakat Local Policy‘de ise tam tersi olarak store erişimi açık. Böyle bir durumda aynı kural farklı policy’lerde, farklı bir şekilde yapılandırılmış ise kullanıcı ya da bilgisayar kendisine en yakın olan Policy’i uygular. Yani Local Policy‘de bulunan kural çalışacaktır. Bilgisayar açıldığında ona en yakın olan Policy odur. Fakat şunu unutmayalım ki Local Policy‘ler normalde yapılandırılmamış olarak gelir ve işletim sistemi varsayılanı olarak çalışır, bu yüzden Domain Policy çalışacak ve store açılmayacaktır.

(bu kısımlar az oldu Deniz buraya bana PS yapacak <3<3<3)

Diğer bir örnek verecek olursak Local Policy klasik şekilde konfigre edilmemiş ve işletim sistemi varsayılanı olarak çalışıyor, Site Policy‘de CTRL+ALT+DELETE logon ekranında çalışmayacak şekilde ayarlanmış, Domain Policy‘de logon ekranında şirket gizlilik kurallarını anlatan bir yazı geliyor ve OU Policy‘de ise kullanıcının bulunduğu departmana ait bir program dağıtılıyor, bu durumda ne olur? Bütün Policy’ler düzgün bir şekilde çalışacaktır çünkü çakışan hiç bir Policy yoktur.

GROUP POLICY OLUŞTURULMASI VE YÖNETİMİ 

GROUP POLICY MANAGEMENT CONSOLE(GPMC)

GPMC ile GPO yönetimi tek bir konsolda toplanmıştır ve sistem yöneticileri için daha rahat bir hal almıştır.

Server Manager üzerinden tools > Group Policy Management’ı açıyoruz.

GROUP Policy oluşturmak için iki yöntem vardır.

Linked GPO ve Unlinked GPO.

Linked GPO : GPO nesnesini ilk oluşturma anında site, domain ya da ou gibi birimler üzerinde oluşturduğumuzda oluşan GPO nesnesine linked-GPO adı verilir. Linked GPO oluşturmak için GPO uygulayacağınız birim ya da bloğa sağa tıkladığınız da görünen “Create a GPO in this domain and Link it here” yazıya tıklamalısınız.

GPO adını veriyoruz.

Gördüğünüz gibi GPO‘muz Active Directory’de linklediğimiz birimde oluştu.

Oluşturduğumuz GPO her ne kadar kendi ve altında ki bloklara etki edecek olsa da oluşturduğumuz her GPO Group Policy Objects kısmında da oluşacaktır.

Şimdi ise site ya da sitelara bir GPO oluşturalım. Site’ların üzerine gelip sağ tık ve Show Sites diyoruz.

İstediğimiz site(ları) seçiyoruz ve OK diyoruz.

Link and Existing GPO‘ya tıklayarak devam ediyoruz.

ANKARA site’ına uygulamak istediğimiz Policy’i seçiyoruz ve OK diyoruz.

Gördüğünüz gibi artık Ankara site’ına uygulanacak Policy biraz önce oluşturduğumuz deneme Policy’si oldu.

Site GPO oluşturmak ya da GPO bağlamak için en az enterprise admin olmanız gerektiğini unutmayın.

UNLINKED GPO (Linklemeden GPO oluşturmak)

Gelelim Unlinked GPO‘lara bunu sizlere güzel bir örnek vererek açıklayacağım.

Yapımızda çok sayıda departman olduğunu varsayalım. Bu örneğe farklı domainler de verebiliriz. Bütün forest yapısı olarak düşünün lütfen. Departmanlarımızın hepsine aynı kuralları içeren bir Policy uygulayacağız. Basit bir örnek verelim IT departmanı hariç kalan departmanların notepadi açmamasını istiyoruz. Şimdi bütün departmanlara tek tek notpad engellemek için gereken ayarları yapmak oldukça uzun değil mi? Aynen öyle bu yüzden Windows ailesi bize bir kolaylık sunmuş resimleri inceleyelim.

Önce Group Policy Objects‘den New diyoruz.

GPO‘muzun adını giriyor ardından OK diyoruz.

Oluşturduğumuz GPO‘nun üzerine sağ tıklayıp Edit diyoruz.

User Configuration > System alanından ”Run only specified Windows Applications” alanına tıklıyoruz.

Kuralımızı Enabled edip engellemek istediğimiz uzantıyı giriyoruz ve OK diyoruz.

İstediğimiz departmanın üzerine sağ tıklayıp ‘‘Link an Existing GPO” diyoruz.

Policy’mizi seçiyoruz ve OK diyoruz.

Gördüğünüz gibi Finans departmanımıza daha önceden oluşturup, konfigre ettiğimiz Policy’mizi linkledik. Bu yöntemle her seferinde notdefterini
engellemeden rahatlıkla sadece linkleyerek istediğimiz departmana atayabiliriz.

GPO OLUŞTURMAK, BAĞLAMAK VE LİNK BAĞLAMAYI HANGİ YETKİ/GRUPLAR YAPABİLİR?

OU veya DOMAİN Policy’lere ayar yapmak veya oluşturmak için Domains Admin grubuna üye olunmalıdır. Fakat elemanınız sıradan bir kullanıcı ile domain ortamında aktif bulunuyor. O zaman yapmanız gereken işlem onu Domains Admin grubuna üye etmek yerine  Group Policy Creator Owners grubuna üye ederek ona linksiz GPO oluşturma yetkisi veriyorsunuz. Fakat unutmayın ki bir birimin üzerine gidip GPO linkleyemez bu grubun üyeleri.

Active Directory Users And Computers > Users bölümüne gidip Group Policy Creator Owners grubunu buluyoruz ve istediğimiz kullanıcıyı ekliyoruz.

Bu gruba eklediğimiz kullanıcının GPO‘ları birimlere linklemesini de istiyorsanız Active Directorys Users and Computers bölümü içerisinde o birim üzerinde Delegasyon(Delegate Control) vermeniz gerekiyor. Vermemiz gereken yetki Manage Group Policy Links.

Seçtiğimiz unit’e sağa tıklayıp Delegate Control diyoruz.

OU’nun içinde kullancımızı seçiyoruz.

Manage Group Policy Links kısmını tickleyip, delegasyonu veriyoruz.

Group Policy Inheritance (Group Policy Miras)

Active Directory yapısında uygulanan GPO‘lar miras şeklinde bir alt birimine ve onun bir alt birimine sırasıyla en alt birime kadar etki eder. Örnek vermemiz gerekirse bir domaine uyguladığınız siz aksini belirtmedikçe o domain içinde bulunan herkese etki edecektir. Kısacası bütün kullanıcılar bu GPO‘dan etkilenecektir.

INHERITANCE BLOCK (Mirası Blocklamak)

Üst birimlere uygulanan GPO‘lardan birinin alt birimlere etki etmesini istemiyorsanız Block Inheritance işlemini yapmamız gerekiyor. Group Policy Management‘ı açıyoruz.

Burada UP OU‘suna Block Inheritance uyguladık. Artık yukarıdan gelen GPO‘lardan etkilenmeyecektir.

OU üzerinde çıkan ünlem işareti artık onun yukarıdan gelen hiç bir Policy‘den etkilenmeyeceğini gösteriyor.

Yukarıdan gelen miras Policy‘leri red ederek aslında yapmaya çalıştığımız şey ihtiyacımız olduğuında alt OU‘ların diğerlerinden farklı GPO almaları gerektiğinde bu işlemi uygulayabiliriz.

Not : UP > Departmanlar > Finans bu tarz bir üçlü OU yapısında, UP’ye uygulayacağınız bir Block ile Departmanlar ve Finans da bundan etkilenecektir. Fakat Departmanlarda örnek vermemiz gerekirse Yonetim departmanı da bu bloktan etkilenecektir. Dikkat etmeniz gereken en önemli nokta budur.

ENFORCED

Biz yukarıda UP OU‘suna bir blok uyguladık ama bu şekilde üstten gelen hiç bir Policy‘i almıyor ve biz bir ya da birden fazla Policy‘mizi her şekilde UP OU‘sununda etkilenmesini istiyoruz. İşte böyle bir durumda Enforced işlemi uyguluyoruz.

İşlem yapmak istediğimiz GPO‘ya gelip Enforced‘a tıklıyoruz.

Gördüğünüz gibi GPO‘muzun solunda bir ikon belirdi.

Artık işlem yaptığımız Umut Polat – Deneme GPO‘su blok uygulanan OU ya da diğer birimlere de işleyecek.

Not : İki GPO arasında bir çakışma olursa ve GPO‘lardan birinde Enforced özelliği varsa Enforced özelliği olan GPO üstün olacak ve onda bulunan Policy ayarları geçerli olacaktır.

GPO DISABLE

Herhangi bir işlem yapmanız lazım ve bir GPO bu işlemi yapmanızı engelliyor. Bu durumda GPO‘yu kaldırmak ve sonra yeniden düzenleyip koymak oldukça uzun bir iş olabilir. Bu ve bunun gibi durumlarda GPO‘yu istediğiniz sürece disable edebilirsiniz.

All Settings Disabled : Bu şekilde hem kullanıcı, hem bilgisayar bazlı bu Policy’i iptal edecektir.

Computer Configuration Settings Disabled : Sadece bilgisayar bazlı disable edilecektir.

User Configuration Settings Disabled : Sadece kullanıcı bazlı disable edecektir.

Enabled : Bu ayarla Policy’miz tekrar aktif hale gelecektir.

 

GROUP POLICY FILTERING (Group Policy filitrelemesi)

Yukarıda bahsettiğimiz blok işleminin aslında kullanıcı bazlı yapılması. Örnek vermemiz gerekirse bir OU içinde bir kullanıcı grubu ya da kullanıcıya o GPO‘nun etki etmesini istemiyoruz. O zaman GPO filitrelemesi yapacağız.

GPO‘muza gelip ADD diyoruz.

GPO‘dan etkilenmemesini istediğimiz kullanıcı ya da grubu seçiyoruz ve OK diyoruz. Ben IT grubunu seçtim.

Sağ alttan Advanced diyoruz.

Apply Group Policy ayarını Deny diyoruz.

Delegasyonu verdiğimiz IT grubu artık bu GPO‘dan etkilenmeyecektir.

Group Policy Object Yedeklemesi (GPO BACKUP)

Bütün GPO‘lar ya da belirlediğimiz GPO‘ları yedekleyebiliriz. Bu şekilde oluşabilecek sorunlardan dolayı ileride yedeklerden daha kolay dönebiliriz.

GPO‘muzun üzerine sağ tıklayıp Back Up.. diyoruz.

Lokasyonunu ve açıklamasını belirleyip Back Up diyoruz.

OK diyoruz.


Gördüğünüz gibi GPO yedeğimiz başarıyla oluştu.

YEDEK GPO’MUZU GERİ YÜKLEMEK

Silinen bir GPO ya da yedek halinde olan ayarıyla getirmek istediğiniz bir GPO‘yu yedeklemek için Group Policy Objectse sağa tıklayıp Manage Backups diyoruz.

Açılan pencerede direkt olarak yedek aldığınız lokasyonu buluyor ve Restore diyerek yedeğimizi geri getiriyoruz. Farklı konumlarda yedekleriniz bulunuyorsa Browse diyerek o dosyalara erişebilir, yedeğinizi oradan getirebilirsiniz.

GPO IMPORT (Policy ayarı aktarımı)

İstediğiniz bir GPO‘daki ayarları, başka bir GPO‘ya aktarabilirsiniz. Bunu yapmak için mevcut GPO’nun yedeğini alıyoruz.

Az önce yedeğini aldığımız diper GPO’nun ayarlarını aynen geçiriyoruz.

GROUP POLICY LOGLANMASI/RAPORLANMASI

Bir GPO içinde yapılmış bütün ayarların loglarını inceleyebilirsiniz. Çalışan ya da çalışanlarınızın neler yaptığını rahatlıkla raporlayabilir, inceleyerek kontrol edebilirsiniz.

Save Report diyoruz.


HTML ya da XML uzantılı olarak kaydedebiliriz.

GROUP POLICY MODELING (BURAYI DEĞİŞCEN UMUT)

GPMC’nin değer katan özelliklerinden bir tanesi de GPO ayarlarının kullanıcı ve bilgisayarlara uygulanmadan önce simulasyon ile sonuçlarının izlenmesidir. Simülasyon bir sonuç raporu üretir ve bu raporda kullanıcının organizational unit’i, bilgisayarın organizational unit’i, grup üyelikleri ya da WMI (Windows Management Instrumentation) filtrelemesi dikkate alınır. Ayrıca group policy çakışmaları ya da miras(inheritance) olayları da görüntülenir.

 

Group Policy Modeling sorgulaması yapmak için, kullanıcılar Group Policy Modeling sihirbazını kullanırlar. Kullanıcı Group Policy Modeling sihirbazını tamamladıktan sonra, Group Policy Management konsol ağacının altındaki Group Policy Modeling altında sonuçları görüntüleyen yeni bir düğüm belirir.Group Policy Modeling seçili iken gelen sağ ekrandaki details panosunda Contents tabında kullanıcının yaptığı GPO sorguları görüntülenir.

 

Her sorgulama sonucunda aşağıdaki bilgiler görüntülenir:

 

¨       Name:Kullanıcı tarafından model sonucuna verilen isim.

¨       User:Model sorgulamasının bağlı olduğu kullanıcı ya da kullanıcının bulunduğu OU adı.

¨       Computer: Model sorgulamasının bağlı olduğu bilgisayar ya da bilgisayarın bulunduğu OU adı.

¨       Last Refresh Time:Model sorgulamasının yenilendiği en son zaman bilgisi.

 

 

Her sorgulama için Model Sorgulamasının details panosu aşağıdaki tabları içerir:

 

 

¨       Summary:Özet bilgilere ait HTML rapor.Bu raporda GPO’ların listesi, grup üyelikleri, ve VMI filtrelemeleri bulunur.

¨       Settings:Simülasyonda uygulanmış policy ayarlarının listesi.

¨       Query:Sorgulamayı çalıştıracak olan sorgulama parametrelerini içerir.

 

 

Group Policy Modeling sayesinde, ayarlanmış GPO’ların pratikte olmayan bir kullanıcı ya da bilgisayar üzerindeki etkilerinin görüntülenmesi de sağlanmış olur.

 

Group Policy Modeling’i kullanmak için:

 

  1. Group Policy Management içerisinde konsol ağacında, Group Policy Model sorgulaması yapılacak forest’açift tıklanır ve açılır.Group Policy Modeling üzerinde sağ tuşa basılarak, Group Policy Modeling sihirbazı çalıştırılır.

GPO UPDATE (FORCE UPDATE)

Bir GPO güncellemeniz ya da oluşturmanızın Active Directory içinde client bilgisayarlarda güncelleme süresi 90 dakika, Domain Controller makinelerinizde ise 5 dakikadır.

Komut satırında 4 şekilde bunu yapabiliriz.

  • gpupdate
  •  gpupdate /boot
  • gpupdate /force /wait:100
  • gpupdate /target:computer
  • Ya da 2012 ile gelen özellikle bunu GPMC aracılığıyla da yapmak mümkün.

Domain Controller makinelerimize GPO update yaptık.

Not : PowerShell aracılığıyla gpupdate komutunun patametrelerini görebilir ve ne işe yaradıklarını inceleyebilirsiniz.

 

Kaelnoxa

The author Kaelnoxa

Leave a Response