Group Policy Yapılandırması. [Döküman]
-
Öncelikle bu dökümanı underzero'ya daha sonrada tüm tahribat ailesine adıyorum. Group policy ile tanışmadan önce döküman arşivinde network bölümündeki DNS,Active Directory ve DHCP Stratejisi Planlaması dökümanlarına bir göz atmanızı ,olayı daha iyi kavramanız açısından da dikkatlice okumanızı tavsiye ederim. http://www.tahribat.com/doccatlist.asp
Başlayalım..
GROUP POLICY YAPILANDIRMASI - AÇIKLAMALAR

Group Policy: Merkezi şekilde kuralları ve yapılandırmaları oluşturmayı sağlayan başlı başına bir kontrol mekanizmasıdır.
*Computer’lara veya user’lara etki edecek şekilde yapılandırırlır.
*Group Policy her zaman kullanıcılara veya computerlara veya her ikisine birden etki eder.
*Group policy’ler site’lara, domain’lere ve OU’lara yapılabilir.
*User’lara etki eden policy’ler user account’lara,computer’lara etki eden policy’ler computer account’lara etki eder.
*OU yaratınca her zaman her OU’nun altına bir users bir de computers OU’su yaratma zorunluluğu vardır.
*Tüm ayarlar GPO dediğimiz Group Policy Object içinde yer alır. GPO SYSVOL klasörü içindedir.
*SYSVOL dosyasında replication’lar eş zamanlı olmaz. Önce karşıdan gelene bakar. Güncel hangisi ise onu eşitler ve karşıya atar.Bu bize ne kazandırır? 1-Hız 2-Kordinasyon 3-Verim.
GRUOP POLICY ELEMANLARI
Administrative Templates:
Tamamen registry tabanlı ayarların yapıldığı bölümdür. Kullanıcı ya da computer’lara registry tabanlı kısıtlama yapmak istiyorsak buradan yaparız.
Software Installation:
*.msi uzantılı dosyaları tek merkezden client’lara yüklemek için bu policy kullanılır. Çok ama çok öenmli bir uygulama. Bu konuya detaylı girmeyeceğim ama siz araştırıp mutlaka bilgi sahibi olun.
Scripts:
Computerlarda : Start up veya shut down sırasında başlar ve biter.
User’larda: Logon olurken veya logout olurken başlar ve biter.
Kullanıcı eğer sadece bir program kullanıyor ve o makinede başka hiçbirşey yapmıyorsa bir script yazarak o makine açıldığında programının çalışıp, kapatıldığında ise makinenin kapanmasını sağlayabiliriz. Merkezi bir uygulamadır.
RIS:
Remote installation Services: Otomatik kurulum
GP birden fazla yere atanabilir.
Mesela GP01’e internet exp. disable dersek ve gidip GP04’e internet ext. enable dersek; GP01 tüm site’a etki eder. Ama sadece GP04’ün olduğu OU’ya etki etmez. En alttaki policy’ler üsttekilere baskındır. Ama bunu da çözmenin bir yolu var.
İki ayrı hiyerarşik objemiz var.
1-Block policy interitence: OU bazlıdır. Yukarıdan gelen hiçbir policy bana işlemesin demektir.
2-No override (enforced): group bazlıdır. Alttaki policy’leri yok say. Eğer en üstte bir policy’e bu yetki verirlirse altta onun tam tersi bir oılicy bile olsa onu yok sayar ve bu policy devreye girer. No override her zaman baskındır.
Örneğin GP01’e no override yetkisi verirsek GP04’deki internet exp. Enable policy’si yok sayılır ve GP01 policy’si GP04’ün bulunduğu OU’ya da etki eder.
GPO Bileşenleri :
GPO:
- Group policy ayarlarını içerir.
- İçeriği iki ayrı lokasyonda saklar.
Group Policy Container:
- Active Directory içinde saklanır.
- Version bilgilerini sağlar.
Group Policy Template (şablon) :
- Paylaşılmış SYSVOL dosyası içinde saklanır.
- Group policy ayarlarını sağlar.

WMI Filters Nedir?
W2K3’ün yeni özelliği. Örneğin client’lara Office yüklemek istiyoruz ve bunun için her bir client’da 500 mb boş alana ihtiyaç var. Hangi makineye Office yükleyebilrim hangisine yükleyemem WMI filter tarafından tespit ediliyor. Güzel bir uygulama değil mi?
Policy’nin security tab’ında hangi kişilerin bu policy üzerinde ne tür yetkileri olacak onlar belirlenir. Özellikler client’lara sadece read ve Apply group policy özellikleri verilmelidir. Read policy’yi okur. Apply ise uygular. Bunun dışında yetki verilmemelidir.

Policy hazırlandıktan sonra etkin hale nasıl gelir?
1- cmd: gpupdate
2- Kullanıcılar log-of olup tekrar logon olunca (eğer user configuration ise)
3- 1 saat sonra
4- Kullanıcılar Resart yapınca (eğer computer configuration ise)

GPO1: Internet Proxy: 192.168.10.3
Proxy ayarı değiştiremesin
GPO2: MSN Messenger yasak (msnmsgr.exe)
Internet exporer açılmasın
GPO3: Internet Proxy: 192.168.10.100
Adwerd Lab OU’daki XP makineye gelse bile Proxy ayarları değişip 192.168.10.100 olsun istiyoruz. Yani bu domainden kim gelirse gelsin bu OU’daki policy’ler geçerli olsun istiyoruz. Bunu nasıl sağlarız?
Burada block policy ya da no owerride işlemez. Çünkü ou’ların rütbesi aynı.
Bunu loopack processing ile yaparız. Loopack processing’i 2 türlü uygulayabiliriz
1- Replace: Üstüne yaz… Bu computer ile giriş yapan herhangi user üzerindeki tüm policy’leri iptal eder ve sadece kendi policy’sini aktive eder.
2- Marge: Birleştir… Bu computer ile giriş yapan herhangi bir user’ın policy’lerini değiştirmez. Ama çakışan policy’ler olursa o policy’yi kendisininki ile değiştirir. User’ın diğer policy’leri aynen kalır.
POLİCY NE ZAMAN AKTİF HALE GEÇER?
Computer policy ise : Restart olunca
User policy ise : log-off , log-on olunca
SCRIPTS:
Scripts’ler user yada computer açıldığında ya da logon olduğunda aktive olması için hazırlanan küçük uygulamalardır. Örn. User logon olduğunda server üzerinde bir paylaşım dosyası network drive olarak oluşsun. Ya da logon olunca bir hoş geldiniz mesajı gelsin.
Computer Configuration’da Start up script, Logon Configuration’da ise logon scripts uygulanır.
Birden fazla script oluşturduk diyelim. Makine logon olduğunda 2 script’de eş zamanlı çalışır. Ve bu durumda W2K3 afallar. 6 dk. bekler, sonra önce birini 6 dk. sonra da diğerini devreye sokar. Bunu önlemek ve eş zamanlı deil de sıralı olarak çalışmasını istiyorsak administrative templates sekmesinden “syncnorized” seçeneği disable edilmelidir.
8mm tarafından Tahribat.com için yazılmıştır. 8mm@tahribat.com
-
şöyle bir hızla baktım hepsini şimdi okucamda gayet kısa öz ve başarılı olmuş resimleri ve şemaları çok iyi kullanmışsın
-
yazık adam o kadar ugraşmış birşeyler yapmış ama kimsenin ne okudugu nede yorum yaptıgı var....Sanırsam magazin haberi tarzında başlıklar yada MSN HACK yazsaydı 1000 hitten aşagı olursa yüzüme tükürün..........Neyse ne diyim birde buraya gelenler güya yazılım network felan kasan adamlar
-
Benim alışık olduğum bir durum.
Bu tarz konular ilgi görmez. Sadece "aaa içeride ne var acaba başlık Group Policy Yapılandırması ama acaba içinden dansöz falan çıkar mııı??" diye bakılıp çıkılır :)
İçeriden ne dansöz çıkar ne de başka birşey.
-
senin anlatımını seviom hoca :) anlıyom yani :D cok sagol her dokumanda soledigim gibi : devamını bekliyoruz :)
sandman bunu yazdı:
-----------------------------
yazık adam o kadar ugraşmış birşeyler yapmış ama kimsenin ne okudugu nede yorum yaptıgı var....Sanırsam magazin haberi tarzında başlıklar yada MSN HACK yazsaydı 1000 hitten aşagı olursa yüzüme tükürün..........Neyse ne diyim birde buraya gelenler güya yazılım network felan kasan adamlar
-----------------------------haklısın sandman hoca
-
8mm abi yine yakmışsın ortalığı sayende netwokcu olduk henüz okumadım ama yorumlara baktığımda yorum eksikliğinden sikyetci olunduğunu gördüm.yazim dedim bişiler.iyi insanların iyi şeylerin kıymeti bilinmiyo bu ülkede.
-
Estağfurullah. Yararı olacaksa ne mutlu bana,bunlar güzel ve önemli konular aslında değerini bilmek lazım.
Bundan sonraki döküman Exchange Server 2003 olacak. Yazarkede kurarkende çok zevk alıyorum. Bakalım..
-
8mm bunu yazdı:
-----------------------------Estağfurullah. Yararı olacaksa ne mutlu bana,bunlar güzel ve önemli konular aslında değerini bilmek lazım.
Bundan sonraki döküman Exchange Server 2003 olacak. Yazarkede kurarkende çok zevk alıyorum. Bakalım..
-----------------------------benimde en sevdigim microsoft ürünüdür özellikle powershell scripting olayı çıktıgından beri çoşuyorum:D
-
dökümanın için çok teşekkür ederim 8mm hoca.Gerçekten değerli bilgiler vermişsin. Exchange Server dökümanını da dört gözle bekliyoruz.
-
8mm guzel dokuman yapmissin yine
ellerine saglik
