33
İstanbul - Maltepe
, ---
178.10
548
0
Grup Policy'lerine Giriş
Windows 2000 ortamında yöneticiler tarafından farklı Policy'ler kullanılarak kullanıcılar ve bilgisayarlar yönetilebilir. Policy'ler lokal bilgisayarlara ve kullanıcılarına uygulanabileceği gibi, domain, site ve OU düzeyinde de uygulanabilir. W2K ortamında 2 ana çeşit Policy kullanılır:
· System Policy (Sistem Politikaları): W2K ağ yapısındaki W2K olmayan bilgisayarları ve kullanıcılarını yönetmek için kullanılır
· Group Policy (Grup Politikaları): W2K ağlarındaki W2K bilgisayarları ve kullanıcılarını yönetmek için kullanılır.
Grup Policy Object Mimarisi
GPO'lar DC'ler arasında replike edilebilir. Bu Replikasyon default olarak DC'ler arasında 5 dak. W2k Clientlar arısında ise 90 dak. Dır. Her yaratılan Policy, aslında bir objedir. Policy'lerin mümkün olduğu kadar az olması tavsiye edilir. Çünkü çok fazla Policy kullanmak, DC'ler üzerindeki iş yükünü artırabileceği gibi, DC'ler arasındaki replikasyonu da çoğaltarak network performansını da düşürebilir.
1-) System Policies (Sistem Policyleri)
System Policy'leri W2K ağındaki Windows NT 4.0, Windows 98 ve 95 tabanlı bilgisayarları Sistem Policy'leri mandatory profiller için sistem Policy'lerı yaratılabilir. gibi kullanıcıların çalışma alanlarını istenilen ölçüde kısıtlar fakat profillere göre daha fazla ayarlanabilir özellik içerir.
Registry Editor veya Run komut isteminin kaldırılması gibi opsiyonlarla da sınırlı bir Sistem Policy'lerinin 3 türü güvenlik aracı olarak da kullanılabilir.
* User System Policy
* Group System Policy
* Computer System Policy
User System Policy
Kullanıcıların programlar ve ağ opsiyonlarının kısıtlanması için kullanılır. W2K olmayan bir client W2K ağında logon olduğunda, registry'deki HKEY_CURRENT_USER anahtarının üstüne policy ayarını KALICI (PERMANENT) bir biçimde yazar İki çeşit User System Policy vardır:
* Individual User Policy: Tek ve spesifik kullanıcılar için yaratılan Policy'ler.
* Default User Policy: Admin tarafından yaratılması gereken ve individual user policy sahibi olmayan kullanıcılara uygulanacak policy dir.
Group System Policy
Kullanıcı gruplarına uygulanan Policydır, uygulanan grubun individual policy sahibi olmayan kullanıcılarına uygulanır. Group System Policy'ler birden fazla kullanıcının aynı Policy'lera ihtiyaç duyduğu durumlarda yaratılır.
Kullanıcının birden fazla gruba üye olduğu durumlarda Group System Policy'ler belli bir sırayla uygulanır. Bu sırada unutulmaması gereken nokta; birbiri ardına uygulanan her Policynın kendinde öncekinin üstüne yazmasıdır.
Örnek vermek gerekir ise NKEREMK kullanıcısının üç ayrı gruba üye olduğu durumda, üye olduğu gruplar listesinde en üst sıradaki gruba ait Policy en son uygulanacaktır ve user en üstteki gruba ait policy'e sahip olacaktır.
Computer System Policy
Computer System Policy, lokal bilgisayarın özelliklerinin kısıtlanması için uygulanan Policy'ler bütünüdür. Bir kullanıcı, W2K olmayan bir client'a W2K ağında logon olduğunda, registry'deki HKEY_LOCAL_MACHINE anahtarının üstüne policy ayarını KALICI (PERMANENT) bir biçimde yazar. Iki çeşidi vardır.Individual Computer Policy: tek ve spesifik bir bilgisayar için kullanılan Policydır, default policy dışında özel ihtiyaçlar doğrultusunda oluşturulur.
*
* Default Computer Policy: System policy dosyası yaratıldığında admin tarafından yaratılan, ve individual computer policy'si olmayan bilgisayarda kullanılan Policydır
Sistem Policy'nin Uygulanışı
1. Kullanıcının Individual User Policy'si varsa uygulanır
2. Yoksa, kullanıcının üye olduğu grup(lar)'a ait Group System Policy var ise bu uygulanır. (Birden fazla gruba üye olma durumunda, üye olduğu gruplar listesinde en üstte yer alan gruba ait Policy son olarak uygulanacağı için üstünlük sağlar)
3. Individual Policy yok ise default User Policy uygulanır, ve group system policy den sonra uyguandığı için group system policye üstünlük sağlar
4. W2K olmayan bilgisayar ise, var ise Individual, individual yok ise Default Computer Policy uygulanır.
System Policy Yaratılması
* Sistem Policy'si varsayılan olarak yaratılmamış durumdadır.
* Admin tarafından poledit.exe kullanılarak yaratılır
* W2K Server'da ki System Policy Editör ile NT 4.0 için Policy yaratılabilir
* Bu editörü kullanabilmek için W2K Prof. ADMINPAK install edilmelidir
* Yaratılan Policy herhangi bir DC'nin NETLOGON paylaşımına kayıt edilmelidir
* NT4.0 için yaratılan Policy dosyası ntconfig.pol olarak kaydedilmelidir
* Windows 95/98 için Policy dosyaları, Win9x bilgisayarlar üstündeki Policy Editor (poledit.exe) ile yaratılmalı ve DC'nin NETLOGON paylaşımına config.pol ismiyle kaydedilmelidir
* Group System Policy, grubun tüm üyelerine uygulanamıyor ise, üyelerin üye oldukları diğer gruplara ait Policy'ler arasındaki çakışma kontrol edilmelidir.
* System Policy dosyası silindikten sonra bile Policy'ye ait ayarlar kalır, çünkü sistem Policy'si registry'i kalıcı olarak değiştirir, bu durumu tersine çevirmek ancak ters ayarlara sahip bir system Policy'si ile mümkündür.
2-) Group Policy (Grup Policy'si)
Grup Policy W2K ağlarındaki, W2K bilgisayarları ve kullanıcılarını yönetmek için kullanılan kurallar ve ayarlar bütünüdür. AD Data Store da tutulur. System Policy'nin geliştirilmiş halidir.
Grup Policy'lerı ile;
* User Environments (Kullanıcı ortamları) – Desktop ayarları, Start Menu ayarları vb. ayarlar yapılabilir.
* Scripts (Betikler): Logon-off, Startup-Shutdown Scriptler gibi ayarlar yapılabilir.
* Folder Redirection (Klasör Yönlendirme): Kullanıcıya ait klasörün NW Server üstündeki paylaşıma yönlendirilmesi gibi ayarlar yapılabilir.
* SW Deployment (Yazılım Kurma): Yazılımların kurulma ve kaldırılma özellikleri ile ilgili ayarlar yapılabilir
Grup Policy'si AD içinde uygulanır, fakat lokal bilgisayarda da uygulamak mümkündür, buna LOCAL GROUP POLICY denir. Local group Policy'sina ait dosyalar; SystemRoot\System32\GroupPolicy klasöründe tutulur.
LOCAL GROUP POLICY lokal bilgisayara ve lokal bağlanan kullanıcılara uygulanır. Group policy 2 önemli bileşenden oluşur;GPO yaratıldığında oluşan dosyalar ve klasörler GPO'lar AD içinde ise DC üstündeki \SystemRoot\SYSVOL\sysvol\domain_name de tutulur.
Her GPO bir AD Container'ı ile bağlantılıdır; (Site, Domain veya OU bazında) AD Container'larına birden fazla GPO uygulanabilir. Grup Policy'si yaratmak için container üstünde READ, WRITE ve CREATE ALL CHILD OBJECTS haklarına sahip olmak gerekir.( Enterprise-Domain Admins Rights) (Exam Q)
GPO nun uygulanması içinde Kullanıcının veya bilgisayarın READ ve APPLY GROUP POLICY haklarına sahip olması gererkir. ( Default – Authenticated Users Rights) (Exam Q)
GPO'lar yaratıldıklarında hiç bir ayar yapılmamış şekilde gelirler.
Domain ve Ou lar için GPO Ad Users & Computers ile, Site ler içinse AD sites & Services ile yaratılır.
Grup Policy'sinın Uygulanışı
1. Kullanıcı logon olduğunda kullanıcıya ait Roaming veya Lokal profil uygulanır
2. Lokal Group Policy'si uygulanır
3. Grup Policy'si uygulanır. En son uygulandığı için Grup Policy'si önceki policy'lere üstünlük sağlar.
a. Startup Script varsa çalıştırılır
b. Grup policy ayarları uygulanır
c. Logon script varsa çalıştırılır
d. Logoff olduğunda logoff script çalıştırılır
e. Shutdown durumunda da shutdown script çalıştırılır
Inheritance (Miras)
* Polict'lerin uygulanma hiyerarşisi yukarıdan aşağıya doğrudur.
* Önemli nokta grup Policy'lerının çakıştığı noktada en son uygulanan politkanın üstünlük kazanmasıdır.
* Miras ise grup Policy'lerinin bir üst noktadan alınması durumudur.
* AD Container'larının özelliklerinde bulunan “Block Policy Inheritance” seçeneği ile Parent(üst noktalardan)'lardan gelen group policy ayarlarının container üstünde uygulanması engellenir
* GPO özelliklerinde yer alan “No Override” ayarı ile de GPO nun alt noktalarda (CHILD) üstünlük sağlanması sağlanır.
* “No Override” opsiyonu “Block Policy Inheritance” a gore üstündür, yani yukarı noktalardaki GPO “No Override” olarak ayarlanmış ise child'larındaki “Block Policy Inheritance” ayarı geçerliliğini yitirir.
* Eğer bir GPO da sadece User veya sadece Computer ayarları yer alıyor ise, yer almayan ayarların DISABLE edilmesi performansı arttırır. Ayarlanmayan kısım, GPO özelliklerindeki, Disable Computer Configuration Settings veya Disable User Configuration Settings kutucukları vasıtası ile disable edilir.
* GPO listesinde en son uygulanan GPO üstünlük sağlar. GPO'lar listenin altından başına doğru uygulanır, böylece en üstteki GPO en son uygulanan olur ve üstünlük sağlar
Örnek bir GPO Şeması
Grup Policy'sinİn Güvenliği
* GPO'nun uygulandığı kullanıcıları veya bilgisayarları belirlemek için veya GPO'yu yöneten kullanıcıların veya grupların belirlenmesi için güvenlik ayarları yapılır.
* Group policy'nin, uygulandığı container'daki her kullanıcıya uygulanmaması için GPO'ya ait izinlerden Authenticated Users kaldırılmalı ve gereken kullanıcılar tanımlanmalıdır.
* Farklı GPO lar container içindeki farklı gruplara uygulanabilir. (Filtering Group Policy Scope)
* READ and APPLY GROUP POLICY dışında WRITE hakkı da verilir ise GROUP POLICY delege edilmiş olur.
Grup Policy'sinın Bağlanması ( Linking GPO)
* Aynı GPO ayarlarının birden fazla containera uygulanması istendiğinde bir GPO'nun diğer container'lara bağlanması işlemi gündeme gelir.Bu işleme “Linking” adı verilir.
* Linking işlemi ile aynı GPO uygulanan tüm container'larda kullanılır fakat her link için AD de bir pointer objesi yaratılır.
* Yeni link edilmiş GPO ya farklı kullanıcı, grup ve bilgisayarlar atanabilir fakat GPO içindeki ayarlar değiştirilemez, değiştirildiği takdirde orijinal kopya da bundan etkilenir.
GPO'ların Kullanım Alanları
1-) GPO'lar ile Kullanıcı Ortamları Yönetimi
2-) GPO'lar ile Script Yönetimi
3-) GPO'lar ile Güvenlik Yönetimi
4-) GPO'lar ile Dizin Yönlendirme
5-) GPO'lar ile Yazılım geliştirme
1-) Grup Policy'leri ile Kullanıcı Ortamları Yönetimi
GPO'lar Computer ve User Configuration olmak üzere 2 ana bölümden oluşur. Kullanıcı ortamları yönetim değişkenleri Administrative Templates Klasörü altında yer alır:
Computer Settings > Administrative Templates altında şu ayarlar yapılır:
* Windows Components: Netmeeting, IE, Task Scheduler, Windows Installer ayarları
* System: W2K'nin logon sırasındaki processleri ile ilgili ayarlar. Disk Quotas, DNS Suffix, File Protection gibi.
* Network: Network ayarları ile ilgili değişkenler yer alır. Offline Files, Dialup Connections ve Connection Sharing ayarları gibi.
* Printers: AD de publish edilecek printer'lar, ve Web-based printing ile ilgili ayarlar.
User Setting > Administrative Templates altında şu ayarlar yapılır:
* Windows Components: Netmeeting, IE, Task Scheduler, Windows Explorer, MMC, Task Scheduler ve Windows Installer ayarları
* Start Menu & Taskbar: Start Menu ve taskbar ın görünüm ve işlevsellik ayarları.
* Desktop: Active desktop ve diğer masaüstü ile ilgili ayarlar
* Control Panel: Kullanıcının Control Panel'i kullanmasının kısıtlanması
* Network: Offline Files, Dial up bağlantılar ile ilgili bağlantılar gibi kullanıcının Network ile ilgili işlevsellik ayarları
* System: Logon Logoff sırasında kullanılan özellikler ayarlanır: password ayarları gibi.
2-) Grup Policy'ler ile Script Yönetimi
GPO .js (javascript), .bat (msdos batch file) ve .vbs (visual basic script) uzantılı scriptleri destekler. Login Script yönetimleri GPO özelliklerinden “Windows Settings”bölümüne girilerek yapılır. Computer Config ve User Config olmak üzere iki tip Script çeşidi vardır.
3-) Grup Policy'leri ile Güvenlik Yönetimi
Windows Settings altında Security Settings yer alır ve güvenlik ayarları da buradan yapılır. Hem user hem de computer configuration altında bulunmasına rağmen, önemli ayarlar computer configuration altında olanlardır.
Güvenlik ayarlarının yapılabileceği Security Settings:
* Account Policies: password ve account lockout opsiyonları
* Local Policies: Audit Policy'lerı, kullanıcı haklarıyla ilgili opsiyonlar ve güvenlik opsiyonları. Otomatik logoff etme gibi.
* Event Log: Application, Security ve System Logları ile ilgili ayarlar
* Restiricted Groups: W2K'nin gruplara ait üyelikleri sürekli monitör etmesi sağlanarak, bu gruplara ait üyeliklerin local adminler tarafından değiştirilmemesi sağlanır.
* System Services: System servislerine ait ayarların yapılması sağlanır, belli servisler devre dışı bırakılabilmesi gibi.
* Registry: Grup Policy'sinden etkilenen tüm bilgisayarlarının registryleri ile ilgili opsiyonlar
* File System: GPO'nun uygulandığı farklı bilgisayarlardaki ortak dosya ve klasörlere ait güvenlik ayarları
* Public Key Policies: Farklı sertifikalarla ilgili Policy'lerin ayarları yapılır
* IpSec Policies on AD: Client, Server ve Secure Server'lar için IPSec kuralları belirlenebilir.
4-) Grup Policy'ler ile Folder Redirection
· GPO kullanılarak bir klasör yönlendirildiğinde, o klasör lokalden alınarak server paylaşımına taşınır. (My Documents'ın taşınması gibi)
· Data korunur, Roaming profil yüklenmesi hızlanır, her noktadan erişim sağlanır ve kullanıcı datası üstünde güvenlik sağlanır
· Applicatiıon Data, Desktop, My Documents, My Pictures ve Start Menu kalsörleri yönlendirilebilir
· User Configuration > Windows Settings > Folder Redirection'dan ayarlanır.
· Basic Settings'de ayarlanmış folder redirection ile, klasörler \\Server_Name\Share_Name\%username% de tutulur.
5-) Grup Policy'ler ile Software Deployment
GPO'lar ile uygulamalar, Service Pack'ler, ve upragde ler kullanıcıların ortamlarına kurulabilir veya kaldırılabilir. SW deployment 3 şekilde yapılabilir:
Assign to User: Bir uygulama assign edildiğinde kullanıcının start menüsünde shortcut'ı cıkar ve kullanıcı tıklayınca kurulum başlar. Eğer uygulama kaldırılırsa, bir dahaki kullanımda baştan kurulur.
Assign to Computer: Uygulama bilgisayar başlatıldığında kurulur. Uygulama o bilgisayara logon olan tüm kullanıcıların kullanımına açıktır. Kaldırılırsa, bir dahaki restartda yeniden yüklenir.
Publish to User: Uygulama ile ilgili uzantılarda bir dosya açılmak istendiğinde uygulama kurulur. Uygulama kurulana kadar start menu de yer almaz. Ayrıca Add/Remove Programs' dan kurulabilir. Publish durumunda uygulamalar otomatik olarak yeniden kurulmaz.
Publish to Users
Assign to Users
Assign to Computers
Kurulumun Uygulanışı
Sonraki Logon
Sonraki Logon
Sonraki Startup
Kurulumun Yapılışı
Add/Remove Programs
Start Menu Shurtcut Add/Remove Programs
Install Edilmiş
Extension ile Kurulum
Evet
Evet
Install Edilmiş
Add/Removedan Kaldırma
Evet
Evet (Re-advertise)
Hayır (Sadece Local Admin)
Desteklenen Dosya Tipleri
.msi .zap
.msi
.msi
Software Deployment için hazırlık
* Deployment yapılmadan önce kurulum dosyaları network server üzerinde bir paylaşıma yerleştirilmelidir.
* Grup Policy'leri .msi uzantılı kurulum dosyalarını destekler
*
msi uzantılı olmayan dosyalar .zap uzantılı kurulum dosyaları ile publish edilebilir veya W2k Srv+ CD sindeki \VALUEADD\3RDPARTY\WinINSTALLLE programıyla paketlenerek .msi uzantılı hale getirilir.
* Computer/User Configuration > Software Settings‘den > New > Package ile publish veya assign işlemleri gerçekleştirilir
* Software Settings in özelliklerinden Add/Remove Porgrams da yer alan Add Programs from Network tabı için kategoriler belirtilebilir.
* Deploy edilmiş uygulamanın üstünde all tasks > remove ile de deploy edilmiş uygulamalar kaldırılabilir
![Nemesis[Berk]](datas/avatars/24903-avatar.gif){kind=avatar}