A
Active Direct
Ziyaretçi
Group Policy Nedir? Ne amaçla ve nasıl kullanılır? Windows Server 2012 R2 üzernde Group Policy Örnek Uygulamaları gösterebilir misiniz?
Çok eski bir web tarayıcısı kullanıyorsunuz. Bu veya diğer siteleri görüntülemekte sorunlar yaşayabilirsiniz..
Tarayıcınızı güncellemeli veya alternatif bir tarayıcı kullanmalısınız.
Tarayıcınızı güncellemeli veya alternatif bir tarayıcı kullanmalısınız.
S
Server 2012
Ziyaretçi
Group Policy’ler domain ortamındaki ihtiyaçları karşılamak için; güvenlik ayarları, kısıtlamalar standart konfigürasyonlar, yazılım dağıtımı gibi işlemleri yapmak için kullanılan ve merkezden yönetim yapmamızı kolaylaştıran düzenlemelerden oluşmaktadır. Group Policy Active Directory ile gelen bir özelliktir.
S
Site Domain
Ziyaretçi
Group Policy’ler Sites seviyesinde, domain seviyesinde ve Organizational Unit seviyesinde uygulanabilir. ( Sites seviyesinde GPO ları sadece Enterprise Admin yetkisine sahip kişiler uygulayabilir, domain adminler bile buradan GPO uygulayamazlar, genelde buradan GPO uygulanması tavsiye edilmez.)
Group Policy
GPC olarak: Active Directory User and Computers içerisinde > view > Advanced Features > System > Policies
Altında oluşturulan herbir gpo için bir klasör oluşturulur. Bu klasörün ismi 128 bitlik guid: global unic id ile tanımlıdır. Klasörün içerisinde Machine ve User olmak üzere iki klasör vardır. Machine içerisinde makine bazlı ayarlar, User içerisinde kullanıcı bazlı ayarlar kaydedilir.
GPT olarak: C > Windows > SYSVOL > sysvol > sahasan.local > Policiy
Altında group policy template olarak kaydedilir.
REDEGIT üzerinde: GPO larda yapılan değişiklikler eğer Comp. Conf. Altında değişiklik yapılmışsa HKEY_LOCAL_MACHINE üzerine, User Conf. Altında değişiklik yapılmışsa HKEY_CURRENT_USER üzerine yazılır.
Group Policy Management (GPM)
GPO lar oluşturulmadan önce Active Directory Users and Computers bölümünde sistemin yapısını düzgün bir şekilde temsil eden organizational unit ler ( OU ) hazırlanmış olmalıdır. Sonrasında Group Policy Mgmt konsolunda istenilen herhangi bir OU üzerinde sağ tıklanarak linkli bir gpo oluşturulup ilgili OU ve varsa altındaki OU lar için direk çalışmaya başlar. Ancak önce GPO yu düzenleyip sonra istenilen bir OU ya bağlamak istiyorsak GPO ları Group Policy Objects altında oluşturmalıyız, düzenleme bittikten sonra bağlanmak istenilen OU üzerinde sağ tıklayarak ilgili GPO yu bağlayabiliriz.
GPM > Forest > Domains > sahasan.local > OU > Subou > GPO > Edit
Forest üzerinde sağ tıklayıp mevcut sahasan.local forest ı kaldırılıp istenirse bir başka forest eklenip onun GPM konsolu açılabilir.
Benzer şekilde Domain üzerinde sağ tıklayıp farklı domainler eklenip kaldırılarak GPO ları görülebilir. Yine Domain ve Forest üzerinde sağ tıklayıp Search denerek tüm GPO lar içinde arama yapılabilir.
- GPM > Domain > Status: kısmından birden fazla DC varsa bu DC ler üzerindeki GPO ların replikasyon durumları görülebilir. ( Sadece GPO=sysvol replikasyon durumunu gösterir. )
- GPM > OU > Linked GPO: Altında bu OU ya bağlı GPO lar görünür.
- GPM > OU > GP Inheritance: Altında bu OU ya uygulanan ve miras olarak gelen bütün GPO lar görünür.
- GPM > OU > Delegation: altından kullanıcı ve gruplar için GPO yetkilendirmeleri yapılabilir.
- GPO > Scope > Location: Bu GPO nun bağlı olduğu bütün OU lar görünür.
- GPO > Scope > Security Filtering: Bu GPO nun uygulandığı kullanıcı ve gruplar görünür. ( Authenticated Users kaldırılıp, belirli bir grup eklenirse bu GPO sadece o grubun üyelerine uygulanır, diğer üyelere ilgili OU nun altında olsalar bile uygulanmaz. )
- GPO > Scope > WMI Filtering: WMI komut diliyle ( SQL komutlarına benzer komutlar ) yazılan komutlarda GPO nun uygulanacağı bilgisayarlar sınırlandırılabilir. ( Örn: Sadece XP SP3 bilgisayarlara, user a, ip ye ..vb özelilleklere göre WMI Query ler yazıp ilgili GPO lar uygulansın gibi. ) Tabi WMI Filtering den wmi uygulanacak wmi filitlerelerini seçebilmek için öncelikle WMI Filters’dan bu filitrelerin oluşturulması gereklidir.
- GPO > Details:
> User Version: GPO da değişiklik olup olmadığını client buradaki versiyondan anlayıp GPO güncellemesi yapıyor.
> Computer Version: Değişiklik yoksa “ 0 ” olur.
AD deki GPC Container ile SYSVOL daki GPT Template aynı olmalıdır, değilse replike olamıyor demektir.
> Unique id: 128 bitlik benzersiz Guid Number dır.
> GPO Status:Enabled/Disabled
- GPO > Settings: GPO üzerindeki ayarlar görünür. Ekran üzerinde > Save Report yapılabilir.
- GPO > Delegation: GPO nun kimleri etkileyeceği ve yetki vb ayarlar yapılabilir.
Link siz GPO lar oluşturabilme yetkisi : Group Policy Creator Owners
Active Directory User and Copt. >Users > Group Pol. Creator Owners
Bu grubun üyeleri linksiz GPO lar oluşturabilirler ancak OU lara bağlayamazlar.
Eğer belirli bir OU ya belirli bir kişinin GPO bağlamasına da izin vermek istiyorsak:
Active Directory User and Computers > OU > Delegate Control > Add User > Next > Manage Group Policy Links > Next > Finish
Miras ile Gelen Ayarları Reddetme ve Zorla Miras Verme : Block Inheritance – Enforced
Block Inheritance >> OU ya Enforced >> GPO ya uygulanır.
İç içe OU ların altındaki kullanıcı ve bilgisayarlar üst dizinlerinden uygulanan GPO da bulunan ayarlardan inheritance ( miras ) olarak etkilenirler. Eğer altta bulunan bir OU nun miras olarak gelen ayarlardan etkilenmesini istemiyorsak:
> Group Pol. Mgmt. > sahasan.local > testOU > subtestou > Block Inheritance
Seçilir. Bu şekilde block inheritance yapılan OU üzerinde ünlem işareti görünür ve domain seviyesinden uygulanan GPO lardan bile etkilenmez.
Eğer yine de üst dizinden uygulanan GPO nun zorla alt OU larda istemedikleri için block inheritance yapanlara da uygulanmasını istiyorsak; ilgili GPO üzerinde üzerinde > Enforced
Seçmeliyiz. Bu şekilde Enforced seçilen GPO üzerinde kilit işareti görünür ve altında bulunan block inheritance seçilenler de dahil bütün subOU lara ilgili ayarlar uygulanır.
* Domain üzerinde sağ tıklayıp block inheritance dersek site den gelen GPO ayarlarını almaz, ancak site tarafında Enforced yapılmış bir GPO varsa yine zorla tüm domain e uygulanır.
GPO: Disable
Group Policy Mgmt > GPO > Details > Disable
Diyerek GPO nun uygulanmasını disable konumuna alabiliriz. Ya da hgerhangi bir OU üzerinde sağ tıklayıp GPO nun linkini kaldırarak o OU için uygylanmamasını sağlayabiliriz.
Bütün OU lar altında oluşturulan GPO ların hepsi Group Policy Objects altında da görünür. Herhangi bir GPO geçici olarak kullanılmayacaksa en iyi yöntem ilgili GPO yu disable konumuna almaktır.
Eğer silinmek istenirse de OU altından silinirse yine Group Policy Objects altında hiçbir OU ya bağlı olmayan linksiz yedek GPO kalmaya devam eder. Group Policy Objects altından da silinirse tamamen kaybedilir, ancak backup varsa GPO tekrar kurtarılabilir.
Eğer GPO delete ile OU altından silinirse tekrar herhangi bir OU üzerinde sağ tıklayıp “ link existing GPO “ denerek yeniden eklenebilir. Ancak bu silip tekrar link bağlama sonrasında daha önce varolan Inheritance ve Enforced benzeri ayarlar varsa kaybedilecektir.
Bu yüzden bir GPO geçici olarak kullanılmayacaksa ilgili GPO için “link enable” işaretini kaldırmak en iyisidir.
GPO Ayarlarının Çakışması Durumu
Eğer yukarıdan miras olarak gelen GPO ile alt OU da yapılan bir GPO çakışıyorsa alt Ou için kendisine yakın yerden yani aşağıdan uygulanan GPO geçerli olacaktır. ( Örn: yukarıdan run çalışmasın şeklinde bir GPO uygulanmış ve alt OU seviyesinden de run çalışsın şeklinde bir GPO uygulanmışsa aşağıdan uygulanan GPO uygulanır run çalışır. Onun dışında yukarında uygulanan GPO içerisindeki çakışmayan ayarlarda yine uygulanırlar.
* Eğer üstteki GPO üzerinde Enforced yapılmışsa, çakışma durumunda üstteki GPO geçerlidir.
* Eğer hem çakışma var hem de aşağıdaki ve yukarıdaki GPO ların ikisi üzerinde de Enforced yapılmışsa, yine aşağıdaki GPO geçerli olur.
* Aynı OU içerisindeki farklı GPO ların ayarlarında çakışma varsa burada “ link order ” öncelik sırası üstün olan ayarlar geçerli olur.
Group Policy Mgmt > OU ya tıklandğında sağ tarafata bağlı GPO lar görünür ve öncelikli olması istenen yukarı taşınabilir. Yine burada da eğer link order sırası altta olan GPO ya Enforced uygulanmışsa altta da olsa o geçerli olur. Eğer aynı OU altındaki GPO ların ikisine de Enforced uygulanmışsa yine link order önceliği üstte olan öncelikli uygulanır.
*Eğer GPO üzerindeki User Conf. ile Comp. Configuration bölümlerinden yapılan ayarlar çakışırsa Computer Configuration tarafından yapılan ayarlar geçerli olur.
Group Policy Filtering :GPO dan etkilenmeyecek kullanıcılar dışarda bırakılabilir
Eğer bir OU ya uygulanan GPO dan ilgili OU nun üyelerinden bazılarının etkilenmemesi isteniyorsa:
GPO > Delegation > Advanced > GPO Security Settings > Add > ilgili kullanıcı ya da grup seçilir > Apply Group Policy > Deny > Apply > OK
Gruop Policy Backup/Restore
- Group Policy Objects > Backup All: Mevcuttaki tüm GPO ların yedeğini alır.
- Group Policy Objects > Manage Backups: Daha önceden alınmış backup lar varsa bunların bulunduğu klasörden hepsinin görülüp istenenlerin tek tek restore edilebilmesini sağlar.
- Group Policy Objects > TestGPO > Backup > Tek GPO nun yedeğini alır.
- Group Policy Objects > TestGPO > Restore From Backup: Tek bir GPO nun backup ını geri yüklemeyi sağlar, farklı GPO ların backup ları birbirinin üzerine yazılamıyor, sadece ilgili GPO nun kendi backup ından restore yapabiliyor.
- Group Policy Objects > TestGPO > Import Settings: Herhangi bir GPO nun mevcut ayarlarını kayberek geçmişte alınan bir backup ayarlarını üstüne yazmayı sağlar.
Starter GPO: Hazır Kalıplar
Genel olarak çoğu GPO da yapılan ortak ayarlar mevcutsa, bu benzer ayarları her seferinde tekrar tekrar yapmaktansa:
GPM> Starter GPOs altından User ve Comp. İçin Administrative Temp. Seviyesinde hazır GPO kalıpları oluşturulur. Daha sonra herhangi bir GPO oluşturulurken
-Source Starter GPO: Altından seçilen Starter GPO daki ayarlar yeni oluşturulan GPO nun temelini oluşturur ve varsa onun üzerine ayarlar yapılarak devam edilir.
Group Policy Results: Gerçek Zamanlı Sonuçlar
GPM > Group Policy Results > Group Policy Results Wizard > Next > Computer seçilir > User Seçilir > Next > Finish
Bittiğinde bir rapor üretir. Bu raporlarda > Details > Component Status altında
- Last Process Time: Son çalışma zamanı.
- Time Taken: Ne kadar çalışmayı sürdürmüş?
- View Log: İlgili loğlar
Benzer şekilde client tarafında kendisine uygulanacak olan GPO ayarlarını görmek için:
Cmd > gpresult /R kullanılır.
Bu çıktıda Computer Settings ve User Settings şeklinde GPO ayarları görüntülenebilir:
- Applied GPO: Uygulanan GPO lar
- Not Applied GPO: Uygulanmayan GPO lar
Group Policy Modelling: GPO Test Edilir Raporu Görülür
GPM > Group Policy Modelling > Group Policy Modelling Wizard > DC Seçilir > User/Computer Seçilebilir > Slow Network Connection: 512 kb ve altındaki bağlantıları test etmek için seçilebilir > Loopback Processing: terminal serverlar, rds vb için kullanılır > Site: Eğer site den uygulanan bir GPO varsa o seçilir. > Security Groups: Sadece belli gruplara uygulanacaksa buradan onlar seçilir. > WMI Filters for Users: Wmi filter ile ilgili filitrelemeler varsa onlar seçilir. > Next > Finish
Bittiğinde bir rapor üretir, gerçekte olmayan durumların raporu böylece görülebilir.
Group Policy Update:
GPM > OU > Group Policy Update
Bu GPupdate in çalışabilmesi için ilgili GPO nun uygulandığı OU nun altında Computer Hesapları olmalıdır. Ayrıca bu gpupdate anlık değildir, bu işlem başlatıldığında ilgili computer hesaplarında bir gpupdate task ı oluşturur, yaklaşık 10 dk gibi gecikmeli olarak GPO ları update yaptırır.
GPO değişiklikleri Computer için: Bilgisayar kapatılıp açılınca, User için: logoff/logon sonrasında aktif olur. Bunun dışında genel olarak GPO değişiklikleri elle bir gpupdate uygulanmazsa 90 – 120 dk arasında uygulanırlar.
Cmd > gpupdate /force: Client tarafında GPO değişikliklerinin hemen aktifleşmesini sağlar.
GPO UYGULAMALARI
Group Policy Yapısında Köklü Değişiklikler:
Server 2000’de Active Directory User And Computer altında ou ya da domain properties altında geliyordu gpo. Server 2003 ten itibarek ayrı bir group policy mgmt console oluşturuldu.
Server 2008’de group policy ayarları içerisinde > group policy preferences (gpp) ayarları geldi.
Yine Server 2008 ile birlikte fine-grained password policy özelliği gelmiştir, bu sayede aynı ou ya da domain altındaki farklı kullanıcı ya da gruplara özel farklı password policy ler oluşturulabilmektedir. (Örn: ik dakilerin şifreleri 8 karakter, bgy dekileri şifreleri 14 karakter olsun denilebilir.)
Group policy ayarları içerisinde yaklaşık 5000 civarı ayar yapılabilmektedir. Bunlardan 3000 e yakını gpp ile 2008 den itibaren gelmiştir.
Local Group Policy:
Dc olmayan clientlar ve local bilgisayarlarda yapılabilir.
Herhengi bir bilgisayarda domainde olmasa da localde group policy ler uygulanabilir.
Start > Run > mmc > File >Add or Remove Snap-ins > Group Policy Object Editor > Add > Local Computer > Browse > Computer & User bazlı seçilip group policy uygulanabiliyor.
Burda Users altında, Administrators grubu, Non-Administrators Grubu ve tek tek kullanıcı seçilerek local userlar üzerinde group policyler uygulanabiliyor. ( Burada sadece user bazlı ayarlar mevcut, machine bazlı ayarlar yok, ayrıca software settings vb uygulayamıyoruz ve preferences ayarları da yok.)
Local Group Policy Editör : Run > gpedit.msc : Lokalden ve domainden lokal bilgisayarımıza uygulanmış policy lerin görüldüğü yerdir.
Gpo > sağ tık > Edit > Group Policy Mgmt Editör ( gpme ) : gpo ların düzenlendiği alan.
Biz bir makineye domain üzerinden gpo ile ayar değişiklikleri uyguladığımızda, defaulttaki ayarlar yine bir yerde saklanır, gpo ile gelen değişiklik ayarları registry üzerinde değişiklik yapılarak uygulanır. Eğer ilerde gpo silinir ya da disable yapılırsa eski default ayarlara bu şekilde geri dönebilir.
Background refresh : logof-logon olmadan arka planda 90 dk içinde çalışmaya başlayabilen gpo lar.
Computer Configuration
Software Settings :Uzaktan Clientlara Uygulama Kurma
GPO > Edit > Computer Conf. > Policies > Software installation > Sağ tık > New > Package > Paketin uzantısı msi olmak zorundadır. Önclikle programın bulunduğu klasörü paylaşıma açıyoruz. Programın yolunu gösterirken lokalden değil ağdaki yolunu gösteriyoruz.
Software installation > eklenen msi uzantılı program üzerinde > sağ tık > Deployment > üzerinden program yarıda kalırsa yüklemeyi kaldır diyebiliyoruz. > Upgrades üzerinden yüklenen programın güncel versiyonu çıkmıışsa add butonuyla eklenebilir. > Catagories üzerinden program için add-remove programs altından farklı katagorilere ilgili programları ekleyebiliriz.
GPO > Edit > User Conf. > Policies > Software installation > Sağ tık > New > Package > Properties > Deployment: Burada Deployment type: Assigned ve Published ikisi de seçilebilmektedir. ( Computer içerisinden yapılan Software installation da sadece Published seçilebiliyordu.)
Published seçilirse normal policy sync olduğunda program otomatik yüklenecektir.
Assigned seçildiğinde ise “ Auto install application by file extension activation “ da aktifse ilgili uzantısı açılmaya çalışılan program yüklenmeye başlayacaktır. ( Örneğin: kun.docx uzantılı bir dosya açılmaya çalışıldığında daha önceden software installation dan assign yapılan Office programı kurulmaya başlanacaktır. Ya da assign seçiliyken “install this app. At logon” dersek kullanıcı logon olduğunda yüklenir.
Herhangi Bir Kullanıcıya Logon Script Uygulamak İçin ( Geleneksel Yöntem )
DC > Active Directory Users and Computers > testuser > Properties > Profile > Logon script
Altına çalıştırılmak istenen script uzantısı ile birlikte yazılır. ( Örn: logon.bat yazılır )
Tabi burada yazılan logon.bat dosyasının ilgili client üzerinde çalışabilmesi için DC üzerinde aşağıdaki klasörün içerisinde bulunması gerekir.
DC > C > Windows > SYSVOL > sysvol > sahasan.local > scripts > logon.bat
Bu scripts klasörünün paylaşım adı netlogon dur.
GPO ile script ler yüklemek için yine scriptler dc züerinde yukarıdaki yoldaki netlogona koyulmalı:
GPO > Edit > Computer Conf. > Windows Settings > Scripts > Startup/Shutdown > Add
GPO > Edit > User Conf. > Windows Settings > Scripts > Logon/Logoff > Add
Denilerek çalışması istenilen scriptler eklenir.
Script ile birlikte Powershell script uygulanacaksa Poweshell scripts sekmesinden powershellin normal scripts den önce mi sonra mı kullanılacağını seçebiliriz.
Account Policies
Gpo > Comp. Conf. > Windows Settings > Security Settings > Account Policies
Account Policies altındaki ; Password Policy , Account Lockout Policy, Kerberos Policy
Gibi ayarlar eğer bir ou altındaki gpo dan uygulanırsa sadece ilgili ou nun altındaki computer ların lokalinde ( sam database inde ) bulunan lokal kullanıcıları etkiler, eğer domainde oturum açan kullanıcıların ayarlarında değişiklik yapılmak isteniyorsa mutlaka domain seviyesinde bir gpo üzerinden ( default domain policy gibi ) uygulanmalıdır.
Security Settings sekmesi User Conf. Da da Computer Conf. Da da vardır, ancak Comp. Conf. Üzerinden daha çok ayar mevcuttur ve genelde comp. Conf. Üzerinden bu ayarlar yapılır.
Fine-grained password policy: sayesinde kullanıcı ve grup bazlı password policyler de uygulanabilmektedir. ( Bu özellik 2008 ile birlikte gelmiştir. )
Account Policies > Password Policy
> Minumum Password Length : Şifrenin en az kaç karakter olacağını belirler. ( default 7 karakter )
> Password must meet complex. Requ. : Şifre büyük/küçük/rakam/özel karakter içermesini belirler.
> Enforced Pass. History : Geçmişe yönelik hatırlanıp, tekrar yeni kabul edilmeyen şifreler. ( def: 24 )
> Maximum pass. Age : Şifrenin en fazla kaçgün geçerli olacağı. ( def: 42 )
> Minumum pass. Age : Şifrenin değiştirilmesi için en az kaçgün geçeceğini belirler. ( def: 1 )
Account Policies > Account Lockout Policy
Şifrenin tekrarlı yanlış girilmesinde hesabın bir süre kilitlenmesini sağlayan ayar.(def: disable)
> Account lockout threshold : Şifre kaç kez yanlış şifre girildiğinde kilitleneceğini belirler. ( def: 0 )
Buraya 0 dan büyük bir değer girildiğinde, otomatikman reset account locout counter after ve account lockout duration değerleri de aktifleşir ve default olarak 30 dakika değerini alırlar.
> Account lockout duration : Kilitlenen hesabın kaç dakika sonra tekrar girişe açılacağını belirler. Eğer bu değer sıfır olarak belirlenirse hesabı kilitlenen kişinin hesabını sadece Administrator açabilir.
> Reset account lockout counter after: yanlış şifre girme sayacının sıfırlanma süresidir ve account lockout duration değerinden büyük olamaz. (Account lockout duration >=Reset acc. L. Counter after)
Account Policies > Kerberos Policy
Kerberos: Active Directory nin authentication yani kimlik doğrulama protokolüdür. Kullanıcı login olduğu zaman arkaplanda otomatik olarak kullanıcıya bir ticket (bilet) atıyor, ya da token (jeton) ataması yapıyor. Kullanıcı login olduğunda atanan ticket ın geçerlilik süresini buradaki ayarlarla belirleyebiliriz.
> Maximum lifetime for user ticket: User hesaplarına atanan ticketin en fazla yaşam süresi. (def:10 saat)
> Maximum lifetime for service ticket: Servis ticketinin geçerlilik süresi ( def: 600 dakika )
> Max. Lifetime for user ticket renewal: Bir user a atanan ticketin yenilenme süresi ( def: 7 gün )
> Max. Tolerance for computer clock synchronization : Bir client bilgisayarın saatinin dc nin saatinden kaç dakika farklı olmasına tolerans gösterileceğinin ayarıdır. ( def: 5 dakika ) Eğer ayarda 5 dakika ise saati 6 dakika farklı olan bir client dan domaine logon olunamayacaktır. Logon esnasında “Time difference” ile ilgili bir hata verecektir. Böyle bir durumda dc ile saat senkronizasyonu sağlanmalıdır.
Local Policies > Security Options
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Local Policies > Security Options
> Accounts: Administrator accounts status : Disabled yapılırsa domaindeki bu policy nin uygulandığı client bilgisayarlardaki lokal Administrator hesabı disable a çekilecektir. Benzer şekilde guest hesabı için de aynı işlem yapılabilir.
> Accounts: Rename Administrator account : Lokal Administrator hesabının adı istenilen başka bir adla otomatik değişmesini sağlar. Benzer şekilde guest hesabı için de aynı işlem yapılabilir.
> Interactive Logon: Do not display last user name: Son logon olan kullanıcı adını göstermez.
> Interactive Logon: Do not require CTRL + ALT + DELETE : Logon ekranında ctrl alt delete gerekmesin
> Interactive Logon: Message text for user attemting to log on : Logon olan kullanıcıların ekranına açılışta getirilmek istenen bir text yazısı varsa buraya yazılabilir.
> Interactive Logon: Message title: Logon olan kullanıcıya gösterilecek yazının başlığı buraya yazılır.
> Interactive Logon: Number of previous logons to cache ( in case domain controller is not available )
: Eğer client domain controller ile bağlantısını koparırsa tekrar bağlantı yapmadan cache den kaç kez oturum açabileceğinin ayarıdır, default değeri 10 dur.
> Interactive Logon: Prompt user to change pass. Before expiration : Kullanıcıların şifrelerinin geçerlilik süresi bitmeye yakın kullanıcılara şifrelerini değiştirmeleri için hatırlatma yapılmasının ayarıdır, default değeri: 14 gündür.
Local Policies > User Rights Assignment
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Local Policies > User Rights Assignment: Kullanıcıları belirli hak atamaları ve kısıtlamalar yapılabilen yerdir. Gruplara eklemeden daha alt seviyede yetkiler verilebilir.
> Back up files and directories: buradan bir kullanıcının ya da gruptakilerin domainde bulunan makinelerden sadece backup alabilmesine izin vermek istiyorsak buradan policy ayarıyla yetki verilebilir. ( Bunun yerine gpo üzerinden yetki vermek yerine kullanıcıyı backup-operators grubuna eklenirse bu kullanıcının sunucu ve domain controller lar üzerinden login olabilme gibi yetkileri de olabiliyor. Bu yüzden gereğinden fazla yetki vermeden istenen haklar verilebilmesi için User Rights Assignment altından gpo üzerinden belirli haklar verilebilir.
> Change the system time: Kullanıcıya sadece zaman ayarını değiştirme yetkisi verir.
> Deny log on locally: Bu bilgisayarda lokalde oturum açılması istenmeyen kullanıcı ve gruplar seçilebilir.
> Log on as a service: Standart user hesabını servis hesabı olarak kullancaksak buradan ilgili ayar yapılarak ilgili servislerin çalıştırılması ve yapılandırılmasında kullanılabilmesini sağlar.
Local Policies > Audit Policy
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Local Policies > Audit Policy
> Audit account management: Active Directory üzerinde hesap yönetim işlemlerinin başarılı/başarısız şeklinde izlenmesini sağlar. ( Habire hesap açıp kapatan bir systemadmin varsa buradan yaptığı işlemler takip edilebilir. )
> Audit directory service Access: Active Directory ye başarılı ve başarısız giriş denemelerini gösterir.
> Audit object Access: Printer ve klasör gibi nesnelerin başarılı ya da başarısız bağlantılarını gösterir.
> Audit Policy Change: Group Policy ayarlarının uygulanması ile ilgili durumların izlenmesini sağlar.
> Audit privilege use: User Rights assigmnet altından verilen hak ve yetkilerin düzgün kullanılıp kullanılamadığının takibinin yapılabilmesini sağlar.
> Audit Process tracking: Uygulamaların arka planda başarılı ve başarısız çalışma süreçlerinin takibinin yapılabilmesini sağlar, özellikle yazılımcılar kullanırlar.
> Audit system events: Sistemle ilgili loğların izlenebilmesini sağlar. ( Örneğin bir bilgisayar düğmesine basılarak mı kapatılmış yoksa normal kapat sekmesinden mi onun görülebilmesini sağlar )
Event Log
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Event Log:
Domain ortamındaki makinelerin eventviewer ile ilgili ayarlarının yapılandırıldığı bölümdür.
Restricted Groups
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Restricted Groups
: Domainde bulunan bellirli bir gruba siz farkında olmadan yeni bir kullanıcı ilave edilmişse, makinemizden logoff/logon olunduğunda sadece restricted groups bölümünden ilgili grup için eklenmiş kişi ya da gruplar kalacak, sonradan ilave yapılan kullanıcı o gruptan düşecektir.
Aynı durum lokaladmin grubu için de yapılabilir, makinede restricted group policy ayarı mevcutsa makine kapatılıp açaldığında yeni eklenen ve policy ayarı içinde olmayan lokaladminler tekrar lokaladmin grubu içerisinden düşürülecektir.
System Services
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > System Services
: Servislerin startup modunu başlangıçtaki çalışma durumları ( otomatik, manuel , disable gibi ) ayarlanır ve Edit Security kısmından bu servisin üzerinde kullanıcıların yetkilerini belirliyoruz.
Registry
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Registry
>Add Key> Machine > “HKEY LOCAL MACHINE” vb üzerinde belirli kullanıcılara belirli yetkiler verilebilmesini sağlar.
File System
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > File System
: > Add File diyerek makineler üzerindeki klasör ya da dosyaların üzerindeki NTFS permission yetkilendirmeler yapılabilir.
>Ya da genişletilip “Central Access Policy” kullanılabilir, bu dynamic Access policy kullanılıyorsa (Windows 2012 ve üstünde geldi) önce oradan gerekli yapılandırmalar yapıldıktan sonra kullanılabilir.
Wired Network Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Wired Network Policies
: Kablolu ağlar ile ilgili ayarların yapılabildiği yerdir.
Wireless Network Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Wireless Network Policies
: Kablosuz ağlar ile ilgili ayarların yapılabildiği yerdir. Wireless networklerin hangi kablolu networklere erişebileceği gibi ayarlar buradan yapılandırılabilir.
Windows Firewall with Advanced Security
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Windows Firewall with Advanced Security
: Bütün makineler için Windows firewall ayarları kapatılabilir, inbound ve outbound yeni rule tanımlamaları yapılabilir.
Public Key Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Public Key Policies
>Trusted Root Certification Authorities : altından import denilip root sertifika eklenerek tüm dc üzerinde güvenilen olduğu bildirilmiş olur.
>Bitlocker ve Encrypting File System ile ilgili sertifikalar da buradan eklenip yayılabilir.
Software Restriction Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Software Restriction Policies
:New Restriction Policy denilerek bilgisayarlar üzerindeki uygulamalara erişimler kısıtlanabilir. Additional Rules kısmından da sertifikaya, hash e , network zone a ve path e göre clientlar daki programların yüklenebilmesi ve çalışması kısıtlanabilir ya da engellenebilir. Defaultta unrestricted konumunda yani kısıt olmayan kurallar değiştirilip kısıtlamalar yapılabilir. ( Path’e göre bir program disallowed olarak kullanılması engellenmişse o program başka bir klasöre alınıp path i değiştirilerek çalıştırılabilir. Programlar için hash rule daha güvenlidir çünkü aynı dosya başka bir yere de gitse hash i değişmez. )
Network Address Protection
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Network Address Protection
NAP: Client ların sağlık durumlarının kontrölünü yapmaya yarayan servistir. Bir client ın üzerinde güncel antivirüs antispyware yazılımı yüklü mü, Windows update leri güncel mi bunları kontrol ederek makineye dhcp den ip vermeyi networke dahil etmeyi ayarlayabiliyoruz. Özellikle sscm configuration manager senaryolarında, dhcp server ip dağıtım senaryolarında ve remote dekstop bağlantı senaryolarında çok uygulanan güvenlik mekanizmalarından biridir.
Application Control Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Application Control Policies
: Uygulamalar üzerinde yetkilendirme ayarlarının yapılabildiği yerdir. AppLocker aracı software restiriction un biraz daha detaylı hali diyebiliriz. Applocker win 2008 ve win 7 ile birlikte gelmişti.
> Executable Rules: exe uzantılı çalıştırılabilir dosyalara izin ya da kısıt ayarlayabiliriz. Burada bir deny engellemesi yapacaksak; Publisher ( yayıncı ) , path ve file hash e göre kısıtlamalar yapılabilir. exe uzantılı bir programın sadece versiyona göre kısıtlaması yapılabilir ya da tamamen o exe uzantılı program engellenebilir.
> Windows Installer Rules: Msi ve msp gibi Windows installer lar için kısıtlama yapılabilir.
> Script Rules: Script ler için kısıtlamalar yapılabilir.
> Packaged app Rules: Paket uygulamaları için kısıtlamalar.
IP Security Policies on Active Directory
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > IP Security Policies on Active Directory
TCP/IP trafiği şifrelenmek istenirse ya da firewall gibi makineleri bloklomak için kullanılır.
Advanced Audit Policy Configuration
GPO > Comp. Conf. > Policies > Windows Settings > Sec. Settings > Advanced Audit Policy Configuration
Local policies altından yapılan audit policy ayarlarının daha detaylı şekilde yapılabileceği yerdir.
Auditle ilgili ayarlamalar cmd> auditpol.exe çalıştırılarak da yapılabilmektedir.
Policy-based QoS
GPO > Comp. Conf. > Policies > Windows Settings > Policy-based QoS
: Quality of Service ile ilgili ayarların yapılabildiği yerdir. Bir policy tanımlayıp bu policy den etkilenen bilgisayarların network bandwitinin şu kadarını kullansınlar şeklinde ayar yapılabilir.
Administrative Templates:
GPO > Comp. Conf. > Policies > Administrative Templates
: Regisrty tabanlı policy ayarları olarak nitelendirilir. Windows un birçok komponenti ilgili ayarlar buradan yapılandırılır.
Network, Start Menu and Taskbar, Control Panel ve Sytem … vb gibi Windows tarafında birçok ayar( kısır/izin ) buradan yapılandırılabilir.
Administrative Templates > System
Örneğin : GPO > Comp. Conf. > Policies > Administrative Templates > System > Group Policy altında
> Set Group Policy refresh interval for computers: bölümünden client bilgisayarların senkronize olup GPO ları yükleme süresi değiştirilebilir. ( defaultta: 90 + 30 dakikadır. )
Aynı ayarın benzeri User Conf. Altında Administrative Templates > System > Group Policy > Set Group Policy Refresh interval for users : altından kullanıcı bazlı GPO nun yüklenme süresi belirlenebilir. ( defaultta: 90 + 30 dakikadır. )
> Set Group Policy refresh interval for domain controllers: Domain controller lar arasındaki GPO replikasyonu süresi değişltirilebilir. ( defaultta: 5 dakikadır. )
Administrative Templates > Windows Components
: Windows altındaki uygulamarla ( file Explorer, internet Explorer, Calender, Task Scheduler, Windows update, media player … vb ) ilgili GPO ayarlarının yapılabildiği yerdir.
Administrative Templates > All Settings
: Administrative Templates altındaki tüm ayarların toplu halde sıralanıp görüldüğü yerdir.
User Configuration
User Conf. altında da yukardaki Computer Conf. ayarlarına benzer gpo ayarları yapılabilir.
Comp. Conf. ‘den en önemli fark olarak User Conf. ‘da folder redirection özelliği mevcuttur.
Folder Redirection
GPO > User Conf. > Policies > Windows Settings > Folder Redirection
: Kullanıcı çalışma ortamının farklı bilgisayarlara yönlendirilme işleminin yapılabildiği yerdir. Kullanıcı profili altındaki farklı klasörlerin ( Desktop, documents, pictures, downloads … vb ) aynı ağ üzerinde farklı bir file server benzeri bilgisayarda tutulmasını sağlar.
Örneğin: Documents > properties üzerinden basic ya da advanced olarak ayarlama yapılıp, Root Path girilirse verilen o root path içerisinde her logon olan kullanıcı için kendi adıyla bir klasör oluşturulur ve ilgili documents dosyaları orada saklanır. Roaming (gezici) kullanıcı açılırsa bu kullanıcılar hangi bilgisayardan oturum açarlarsa açsınlar folder redirection kısmından ayarlanan klasörlerine ulaşabilirler ve değişiklik yapabilirler.
Hatta herkesin documents klasörleri aynı yerde tutulmasın, belli grupların ayrı yerlerde tutulsun isteniyorsa “ Advanced – Specify locations for various user groups “ seçilerek buradan önceden oluşturulmuş farklı security gruplarına farklı hedefler ayarlanabilir.
Preferences ( iz bırakır )
: Normal şartlarda GPO üzerinden Policies tarafından bir ayar değişikliği yapıldığında, o bilgisayar üzerindeki mevcut ayarların bir kopyası farklı bir yerde saklanır ve değişiklik yapılan GPO disable yapıldığında ya da silindiğinde yedek olarak saklanan eski ayarlara restore yapılarak default ayarlara geri dönülür.
Ancak preferences üzerinden bir ayar değişikliği yapıldığında ilgili client ve sunucular üzerinde herhangi bir yedek saklanmadan direk mevcut ayarların üzerine override olarak yazılır ve preferences üzerinden yapılan ayarlar silinir veya kaldırılırsa yine de mevcut ayarların üzerinde izinin kaldığı görülecektir. Kullanıcı eğer o izleri de değiştirmek istiyorsa kendisinin elle değiştirmesi gerekir.
Preferences > Windows Settings
> Environment: Environment Varieble oluşturulabilir, mevcut variable ler üzerinde değişikliler yapılabilir.
> Files : kullanılarak client bilgisayarlara belirli bir lokasyondan istenilen dosyalar kopyalanabilir.
> Folders: kullanılarak bütün clientlar üzerinde istenilen bir klasör oluşturulabilir.
Örneğin: Path: kısmına “ C:\backup “ yazılırsa bütün clientlarda C’de backup klasörü oluşur.
> Registry: kullanılarak yeni resgistry kayıtları oluşturulup değiştirilebilir.
> Network Shares: kullanılarak network paylaşımları ayarlanabilir.
> Shortcuts: Bütün kullanıcıların desktop ına istenilen bir kısayol ör: web arayüzü eklenebilir.
Preferences > Control Panel Settings
> Data Sources: ODBC ( Veri Kaynakları ) bağlantıları buradan yapılandırılabilir. Birbirinden farklı veri tabanları arasında ilişki kurulan yerdir odbc.
> Devices: Device Manager içerisindeki istenilen device lar disable yapılabilir.
> Folder Options: Klasör seçenekleri yapılandırılabilir.
> Local User and Groups: Lokal bilgiyarlarda lokal kullanıcı ve gruplar oluşturup bunların özelliklerinde değişiklik yapılabilir, örneğin bütün localdeki Administrator ların şifreleri değiştirilebilir, never expires ve pass. Must change vb ayarlar yapılabilir. Ancak burada dikkat eidlemesi gereken bu ekrandan local Admin şifresi değiştirilmesi sırasında “ pass the hash “ saldırısıyla hash in içerisinden pass. Alınabilmektedir, bu nedenle Microsoft çıkardığı bir güncelleme ile bu ekrandaki pass. Değiştirme satırı pasif gelmektedir. Local adminlerin pass. Değiştimek için tavsiye edilen poweshell i etkinleştirerek remote powershell ile uzaktan pass. Değiştirmektir. Bununla ilgili msdn de bir script de yayınlanmıştır.
> Power Options: Buradan istenilen işletim sistemlerine göre makinelerin idle (boş) durumuna geçtiğinde belli bir süre sonra ekranlarının kapanması ayarlanabilir.
> Scheduled Tasks: Zamanlanmış görevlerin istenilen işletim sistemlerine göre çalıştırılması için ayarlamalar yapılabilir.
>Internet Sttings: Burada internet Explorer ın farklı versiyonlarına göre istenilen ayarlar yapılabilir. ( Bu ayar sadece User Conf. Altında vardır, Com. Conf. Altında yoktur.
Preferences altındaki değişiklik ekranlarında Common sekmesinde “ Apply once and do not reapply ” işaretlenirse; user conf. Altından yapılmışsa kullanıcının ilk logoff/logon unda değiştirilen ayar çalıştırılır bir daha çalıştırılmaz, comp. Conf. Altından yapılmışsa bilgisayarın ilk kapanış/açılışında değiştirilen ayar çalıştırılır bir daha çalıştırılmaz.
Preferences in policies den önemli bir farkı budur, policies altından yapılan değişiklikler kullanıcı ve bilgisayar yapılan ayarı değiştirse bile sürekli GPO dan gelen ayarı yüklemeye devam eder, ancak Preferences te yukarıdaki seçenek işaretlenerek ayar bir kez uygulansın sonrasında uygulanmasın denilebilir.
Yine aynı ekranda “ item level targeting “ kullanılarak belirli özelliklerine ( ip, cpu hızı, computer name, operating system, ram .. vb ) göre istenilen kriterleri sağlayan clientlara ilgili ayarların yüklenmesi filitrelenebilir.
Bütün bu ayarlardan başka yine Group Policy ler ile ilgili Security Template ler vardır, hazır inf dosyalarını kullanıp domain ortamındaki dc ve client larda belirli şablonlar direk etkin hale getirilebilir. Ayrıca Administrative Templates kısmında hazır gelen ADMX Template ler yerine template oluşturma yöntemleriyle hazırlanan xml tabanlı template leri kullanabiliriz.
GPC olarak: Active Directory User and Computers içerisinde > view > Advanced Features > System > Policies
Altında oluşturulan herbir gpo için bir klasör oluşturulur. Bu klasörün ismi 128 bitlik guid: global unic id ile tanımlıdır. Klasörün içerisinde Machine ve User olmak üzere iki klasör vardır. Machine içerisinde makine bazlı ayarlar, User içerisinde kullanıcı bazlı ayarlar kaydedilir.
GPT olarak: C > Windows > SYSVOL > sysvol > sahasan.local > Policiy
Altında group policy template olarak kaydedilir.
REDEGIT üzerinde: GPO larda yapılan değişiklikler eğer Comp. Conf. Altında değişiklik yapılmışsa HKEY_LOCAL_MACHINE üzerine, User Conf. Altında değişiklik yapılmışsa HKEY_CURRENT_USER üzerine yazılır.
Group Policy Management (GPM)
GPO lar oluşturulmadan önce Active Directory Users and Computers bölümünde sistemin yapısını düzgün bir şekilde temsil eden organizational unit ler ( OU ) hazırlanmış olmalıdır. Sonrasında Group Policy Mgmt konsolunda istenilen herhangi bir OU üzerinde sağ tıklanarak linkli bir gpo oluşturulup ilgili OU ve varsa altındaki OU lar için direk çalışmaya başlar. Ancak önce GPO yu düzenleyip sonra istenilen bir OU ya bağlamak istiyorsak GPO ları Group Policy Objects altında oluşturmalıyız, düzenleme bittikten sonra bağlanmak istenilen OU üzerinde sağ tıklayarak ilgili GPO yu bağlayabiliriz.
GPM > Forest > Domains > sahasan.local > OU > Subou > GPO > Edit
Forest üzerinde sağ tıklayıp mevcut sahasan.local forest ı kaldırılıp istenirse bir başka forest eklenip onun GPM konsolu açılabilir.
Benzer şekilde Domain üzerinde sağ tıklayıp farklı domainler eklenip kaldırılarak GPO ları görülebilir. Yine Domain ve Forest üzerinde sağ tıklayıp Search denerek tüm GPO lar içinde arama yapılabilir.
- GPM > Domain > Status: kısmından birden fazla DC varsa bu DC ler üzerindeki GPO ların replikasyon durumları görülebilir. ( Sadece GPO=sysvol replikasyon durumunu gösterir. )
- GPM > OU > Linked GPO: Altında bu OU ya bağlı GPO lar görünür.
- GPM > OU > GP Inheritance: Altında bu OU ya uygulanan ve miras olarak gelen bütün GPO lar görünür.
- GPM > OU > Delegation: altından kullanıcı ve gruplar için GPO yetkilendirmeleri yapılabilir.
- GPO > Scope > Location: Bu GPO nun bağlı olduğu bütün OU lar görünür.
- GPO > Scope > Security Filtering: Bu GPO nun uygulandığı kullanıcı ve gruplar görünür. ( Authenticated Users kaldırılıp, belirli bir grup eklenirse bu GPO sadece o grubun üyelerine uygulanır, diğer üyelere ilgili OU nun altında olsalar bile uygulanmaz. )
- GPO > Scope > WMI Filtering: WMI komut diliyle ( SQL komutlarına benzer komutlar ) yazılan komutlarda GPO nun uygulanacağı bilgisayarlar sınırlandırılabilir. ( Örn: Sadece XP SP3 bilgisayarlara, user a, ip ye ..vb özelilleklere göre WMI Query ler yazıp ilgili GPO lar uygulansın gibi. ) Tabi WMI Filtering den wmi uygulanacak wmi filitlerelerini seçebilmek için öncelikle WMI Filters’dan bu filitrelerin oluşturulması gereklidir.
- GPO > Details:
> User Version: GPO da değişiklik olup olmadığını client buradaki versiyondan anlayıp GPO güncellemesi yapıyor.
> Computer Version: Değişiklik yoksa “ 0 ” olur.
AD deki GPC Container ile SYSVOL daki GPT Template aynı olmalıdır, değilse replike olamıyor demektir.
> Unique id: 128 bitlik benzersiz Guid Number dır.
> GPO Status:Enabled/Disabled
- GPO > Settings: GPO üzerindeki ayarlar görünür. Ekran üzerinde > Save Report yapılabilir.
- GPO > Delegation: GPO nun kimleri etkileyeceği ve yetki vb ayarlar yapılabilir.
Link siz GPO lar oluşturabilme yetkisi : Group Policy Creator Owners
Active Directory User and Copt. >Users > Group Pol. Creator Owners
Bu grubun üyeleri linksiz GPO lar oluşturabilirler ancak OU lara bağlayamazlar.
Eğer belirli bir OU ya belirli bir kişinin GPO bağlamasına da izin vermek istiyorsak:
Active Directory User and Computers > OU > Delegate Control > Add User > Next > Manage Group Policy Links > Next > Finish
Miras ile Gelen Ayarları Reddetme ve Zorla Miras Verme : Block Inheritance – Enforced
Block Inheritance >> OU ya Enforced >> GPO ya uygulanır.
İç içe OU ların altındaki kullanıcı ve bilgisayarlar üst dizinlerinden uygulanan GPO da bulunan ayarlardan inheritance ( miras ) olarak etkilenirler. Eğer altta bulunan bir OU nun miras olarak gelen ayarlardan etkilenmesini istemiyorsak:
> Group Pol. Mgmt. > sahasan.local > testOU > subtestou > Block Inheritance
Seçilir. Bu şekilde block inheritance yapılan OU üzerinde ünlem işareti görünür ve domain seviyesinden uygulanan GPO lardan bile etkilenmez.
Eğer yine de üst dizinden uygulanan GPO nun zorla alt OU larda istemedikleri için block inheritance yapanlara da uygulanmasını istiyorsak; ilgili GPO üzerinde üzerinde > Enforced
Seçmeliyiz. Bu şekilde Enforced seçilen GPO üzerinde kilit işareti görünür ve altında bulunan block inheritance seçilenler de dahil bütün subOU lara ilgili ayarlar uygulanır.
* Domain üzerinde sağ tıklayıp block inheritance dersek site den gelen GPO ayarlarını almaz, ancak site tarafında Enforced yapılmış bir GPO varsa yine zorla tüm domain e uygulanır.
GPO: Disable
Group Policy Mgmt > GPO > Details > Disable
Diyerek GPO nun uygulanmasını disable konumuna alabiliriz. Ya da hgerhangi bir OU üzerinde sağ tıklayıp GPO nun linkini kaldırarak o OU için uygylanmamasını sağlayabiliriz.
Bütün OU lar altında oluşturulan GPO ların hepsi Group Policy Objects altında da görünür. Herhangi bir GPO geçici olarak kullanılmayacaksa en iyi yöntem ilgili GPO yu disable konumuna almaktır.
Eğer silinmek istenirse de OU altından silinirse yine Group Policy Objects altında hiçbir OU ya bağlı olmayan linksiz yedek GPO kalmaya devam eder. Group Policy Objects altından da silinirse tamamen kaybedilir, ancak backup varsa GPO tekrar kurtarılabilir.
Eğer GPO delete ile OU altından silinirse tekrar herhangi bir OU üzerinde sağ tıklayıp “ link existing GPO “ denerek yeniden eklenebilir. Ancak bu silip tekrar link bağlama sonrasında daha önce varolan Inheritance ve Enforced benzeri ayarlar varsa kaybedilecektir.
Bu yüzden bir GPO geçici olarak kullanılmayacaksa ilgili GPO için “link enable” işaretini kaldırmak en iyisidir.
GPO Ayarlarının Çakışması Durumu
Eğer yukarıdan miras olarak gelen GPO ile alt OU da yapılan bir GPO çakışıyorsa alt Ou için kendisine yakın yerden yani aşağıdan uygulanan GPO geçerli olacaktır. ( Örn: yukarıdan run çalışmasın şeklinde bir GPO uygulanmış ve alt OU seviyesinden de run çalışsın şeklinde bir GPO uygulanmışsa aşağıdan uygulanan GPO uygulanır run çalışır. Onun dışında yukarında uygulanan GPO içerisindeki çakışmayan ayarlarda yine uygulanırlar.
* Eğer üstteki GPO üzerinde Enforced yapılmışsa, çakışma durumunda üstteki GPO geçerlidir.
* Eğer hem çakışma var hem de aşağıdaki ve yukarıdaki GPO ların ikisi üzerinde de Enforced yapılmışsa, yine aşağıdaki GPO geçerli olur.
* Aynı OU içerisindeki farklı GPO ların ayarlarında çakışma varsa burada “ link order ” öncelik sırası üstün olan ayarlar geçerli olur.
Group Policy Mgmt > OU ya tıklandğında sağ tarafata bağlı GPO lar görünür ve öncelikli olması istenen yukarı taşınabilir. Yine burada da eğer link order sırası altta olan GPO ya Enforced uygulanmışsa altta da olsa o geçerli olur. Eğer aynı OU altındaki GPO ların ikisine de Enforced uygulanmışsa yine link order önceliği üstte olan öncelikli uygulanır.
*Eğer GPO üzerindeki User Conf. ile Comp. Configuration bölümlerinden yapılan ayarlar çakışırsa Computer Configuration tarafından yapılan ayarlar geçerli olur.
Group Policy Filtering :GPO dan etkilenmeyecek kullanıcılar dışarda bırakılabilir
Eğer bir OU ya uygulanan GPO dan ilgili OU nun üyelerinden bazılarının etkilenmemesi isteniyorsa:
GPO > Delegation > Advanced > GPO Security Settings > Add > ilgili kullanıcı ya da grup seçilir > Apply Group Policy > Deny > Apply > OK
Gruop Policy Backup/Restore
- Group Policy Objects > Backup All: Mevcuttaki tüm GPO ların yedeğini alır.
- Group Policy Objects > Manage Backups: Daha önceden alınmış backup lar varsa bunların bulunduğu klasörden hepsinin görülüp istenenlerin tek tek restore edilebilmesini sağlar.
- Group Policy Objects > TestGPO > Backup > Tek GPO nun yedeğini alır.
- Group Policy Objects > TestGPO > Restore From Backup: Tek bir GPO nun backup ını geri yüklemeyi sağlar, farklı GPO ların backup ları birbirinin üzerine yazılamıyor, sadece ilgili GPO nun kendi backup ından restore yapabiliyor.
- Group Policy Objects > TestGPO > Import Settings: Herhangi bir GPO nun mevcut ayarlarını kayberek geçmişte alınan bir backup ayarlarını üstüne yazmayı sağlar.
Starter GPO: Hazır Kalıplar
Genel olarak çoğu GPO da yapılan ortak ayarlar mevcutsa, bu benzer ayarları her seferinde tekrar tekrar yapmaktansa:
GPM> Starter GPOs altından User ve Comp. İçin Administrative Temp. Seviyesinde hazır GPO kalıpları oluşturulur. Daha sonra herhangi bir GPO oluşturulurken
-Source Starter GPO: Altından seçilen Starter GPO daki ayarlar yeni oluşturulan GPO nun temelini oluşturur ve varsa onun üzerine ayarlar yapılarak devam edilir.
Group Policy Results: Gerçek Zamanlı Sonuçlar
GPM > Group Policy Results > Group Policy Results Wizard > Next > Computer seçilir > User Seçilir > Next > Finish
Bittiğinde bir rapor üretir. Bu raporlarda > Details > Component Status altında
- Last Process Time: Son çalışma zamanı.
- Time Taken: Ne kadar çalışmayı sürdürmüş?
- View Log: İlgili loğlar
Benzer şekilde client tarafında kendisine uygulanacak olan GPO ayarlarını görmek için:
Cmd > gpresult /R kullanılır.
Bu çıktıda Computer Settings ve User Settings şeklinde GPO ayarları görüntülenebilir:
- Applied GPO: Uygulanan GPO lar
- Not Applied GPO: Uygulanmayan GPO lar
Group Policy Modelling: GPO Test Edilir Raporu Görülür
GPM > Group Policy Modelling > Group Policy Modelling Wizard > DC Seçilir > User/Computer Seçilebilir > Slow Network Connection: 512 kb ve altındaki bağlantıları test etmek için seçilebilir > Loopback Processing: terminal serverlar, rds vb için kullanılır > Site: Eğer site den uygulanan bir GPO varsa o seçilir. > Security Groups: Sadece belli gruplara uygulanacaksa buradan onlar seçilir. > WMI Filters for Users: Wmi filter ile ilgili filitrelemeler varsa onlar seçilir. > Next > Finish
Bittiğinde bir rapor üretir, gerçekte olmayan durumların raporu böylece görülebilir.
Group Policy Update:
GPM > OU > Group Policy Update
Bu GPupdate in çalışabilmesi için ilgili GPO nun uygulandığı OU nun altında Computer Hesapları olmalıdır. Ayrıca bu gpupdate anlık değildir, bu işlem başlatıldığında ilgili computer hesaplarında bir gpupdate task ı oluşturur, yaklaşık 10 dk gibi gecikmeli olarak GPO ları update yaptırır.
GPO değişiklikleri Computer için: Bilgisayar kapatılıp açılınca, User için: logoff/logon sonrasında aktif olur. Bunun dışında genel olarak GPO değişiklikleri elle bir gpupdate uygulanmazsa 90 – 120 dk arasında uygulanırlar.
Cmd > gpupdate /force: Client tarafında GPO değişikliklerinin hemen aktifleşmesini sağlar.
GPO UYGULAMALARI
Group Policy Yapısında Köklü Değişiklikler:
Server 2000’de Active Directory User And Computer altında ou ya da domain properties altında geliyordu gpo. Server 2003 ten itibarek ayrı bir group policy mgmt console oluşturuldu.
Server 2008’de group policy ayarları içerisinde > group policy preferences (gpp) ayarları geldi.
Yine Server 2008 ile birlikte fine-grained password policy özelliği gelmiştir, bu sayede aynı ou ya da domain altındaki farklı kullanıcı ya da gruplara özel farklı password policy ler oluşturulabilmektedir. (Örn: ik dakilerin şifreleri 8 karakter, bgy dekileri şifreleri 14 karakter olsun denilebilir.)
Group policy ayarları içerisinde yaklaşık 5000 civarı ayar yapılabilmektedir. Bunlardan 3000 e yakını gpp ile 2008 den itibaren gelmiştir.
Local Group Policy:
Dc olmayan clientlar ve local bilgisayarlarda yapılabilir.
Herhengi bir bilgisayarda domainde olmasa da localde group policy ler uygulanabilir.
Start > Run > mmc > File >Add or Remove Snap-ins > Group Policy Object Editor > Add > Local Computer > Browse > Computer & User bazlı seçilip group policy uygulanabiliyor.
Burda Users altında, Administrators grubu, Non-Administrators Grubu ve tek tek kullanıcı seçilerek local userlar üzerinde group policyler uygulanabiliyor. ( Burada sadece user bazlı ayarlar mevcut, machine bazlı ayarlar yok, ayrıca software settings vb uygulayamıyoruz ve preferences ayarları da yok.)
Local Group Policy Editör : Run > gpedit.msc : Lokalden ve domainden lokal bilgisayarımıza uygulanmış policy lerin görüldüğü yerdir.
Gpo > sağ tık > Edit > Group Policy Mgmt Editör ( gpme ) : gpo ların düzenlendiği alan.
Biz bir makineye domain üzerinden gpo ile ayar değişiklikleri uyguladığımızda, defaulttaki ayarlar yine bir yerde saklanır, gpo ile gelen değişiklik ayarları registry üzerinde değişiklik yapılarak uygulanır. Eğer ilerde gpo silinir ya da disable yapılırsa eski default ayarlara bu şekilde geri dönebilir.
Background refresh : logof-logon olmadan arka planda 90 dk içinde çalışmaya başlayabilen gpo lar.
Computer Configuration
Software Settings :Uzaktan Clientlara Uygulama Kurma
GPO > Edit > Computer Conf. > Policies > Software installation > Sağ tık > New > Package > Paketin uzantısı msi olmak zorundadır. Önclikle programın bulunduğu klasörü paylaşıma açıyoruz. Programın yolunu gösterirken lokalden değil ağdaki yolunu gösteriyoruz.
Software installation > eklenen msi uzantılı program üzerinde > sağ tık > Deployment > üzerinden program yarıda kalırsa yüklemeyi kaldır diyebiliyoruz. > Upgrades üzerinden yüklenen programın güncel versiyonu çıkmıışsa add butonuyla eklenebilir. > Catagories üzerinden program için add-remove programs altından farklı katagorilere ilgili programları ekleyebiliriz.
GPO > Edit > User Conf. > Policies > Software installation > Sağ tık > New > Package > Properties > Deployment: Burada Deployment type: Assigned ve Published ikisi de seçilebilmektedir. ( Computer içerisinden yapılan Software installation da sadece Published seçilebiliyordu.)
Published seçilirse normal policy sync olduğunda program otomatik yüklenecektir.
Assigned seçildiğinde ise “ Auto install application by file extension activation “ da aktifse ilgili uzantısı açılmaya çalışılan program yüklenmeye başlayacaktır. ( Örneğin: kun.docx uzantılı bir dosya açılmaya çalışıldığında daha önceden software installation dan assign yapılan Office programı kurulmaya başlanacaktır. Ya da assign seçiliyken “install this app. At logon” dersek kullanıcı logon olduğunda yüklenir.
Herhangi Bir Kullanıcıya Logon Script Uygulamak İçin ( Geleneksel Yöntem )
DC > Active Directory Users and Computers > testuser > Properties > Profile > Logon script
Altına çalıştırılmak istenen script uzantısı ile birlikte yazılır. ( Örn: logon.bat yazılır )
Tabi burada yazılan logon.bat dosyasının ilgili client üzerinde çalışabilmesi için DC üzerinde aşağıdaki klasörün içerisinde bulunması gerekir.
DC > C > Windows > SYSVOL > sysvol > sahasan.local > scripts > logon.bat
Bu scripts klasörünün paylaşım adı netlogon dur.
GPO ile script ler yüklemek için yine scriptler dc züerinde yukarıdaki yoldaki netlogona koyulmalı:
GPO > Edit > Computer Conf. > Windows Settings > Scripts > Startup/Shutdown > Add
GPO > Edit > User Conf. > Windows Settings > Scripts > Logon/Logoff > Add
Denilerek çalışması istenilen scriptler eklenir.
Script ile birlikte Powershell script uygulanacaksa Poweshell scripts sekmesinden powershellin normal scripts den önce mi sonra mı kullanılacağını seçebiliriz.
Account Policies
Gpo > Comp. Conf. > Windows Settings > Security Settings > Account Policies
Account Policies altındaki ; Password Policy , Account Lockout Policy, Kerberos Policy
Gibi ayarlar eğer bir ou altındaki gpo dan uygulanırsa sadece ilgili ou nun altındaki computer ların lokalinde ( sam database inde ) bulunan lokal kullanıcıları etkiler, eğer domainde oturum açan kullanıcıların ayarlarında değişiklik yapılmak isteniyorsa mutlaka domain seviyesinde bir gpo üzerinden ( default domain policy gibi ) uygulanmalıdır.
Security Settings sekmesi User Conf. Da da Computer Conf. Da da vardır, ancak Comp. Conf. Üzerinden daha çok ayar mevcuttur ve genelde comp. Conf. Üzerinden bu ayarlar yapılır.
Fine-grained password policy: sayesinde kullanıcı ve grup bazlı password policyler de uygulanabilmektedir. ( Bu özellik 2008 ile birlikte gelmiştir. )
Account Policies > Password Policy
> Minumum Password Length : Şifrenin en az kaç karakter olacağını belirler. ( default 7 karakter )
> Password must meet complex. Requ. : Şifre büyük/küçük/rakam/özel karakter içermesini belirler.
> Enforced Pass. History : Geçmişe yönelik hatırlanıp, tekrar yeni kabul edilmeyen şifreler. ( def: 24 )
> Maximum pass. Age : Şifrenin en fazla kaçgün geçerli olacağı. ( def: 42 )
> Minumum pass. Age : Şifrenin değiştirilmesi için en az kaçgün geçeceğini belirler. ( def: 1 )
Account Policies > Account Lockout Policy
Şifrenin tekrarlı yanlış girilmesinde hesabın bir süre kilitlenmesini sağlayan ayar.(def: disable)
> Account lockout threshold : Şifre kaç kez yanlış şifre girildiğinde kilitleneceğini belirler. ( def: 0 )
Buraya 0 dan büyük bir değer girildiğinde, otomatikman reset account locout counter after ve account lockout duration değerleri de aktifleşir ve default olarak 30 dakika değerini alırlar.
> Account lockout duration : Kilitlenen hesabın kaç dakika sonra tekrar girişe açılacağını belirler. Eğer bu değer sıfır olarak belirlenirse hesabı kilitlenen kişinin hesabını sadece Administrator açabilir.
> Reset account lockout counter after: yanlış şifre girme sayacının sıfırlanma süresidir ve account lockout duration değerinden büyük olamaz. (Account lockout duration >=Reset acc. L. Counter after)
Account Policies > Kerberos Policy
Kerberos: Active Directory nin authentication yani kimlik doğrulama protokolüdür. Kullanıcı login olduğu zaman arkaplanda otomatik olarak kullanıcıya bir ticket (bilet) atıyor, ya da token (jeton) ataması yapıyor. Kullanıcı login olduğunda atanan ticket ın geçerlilik süresini buradaki ayarlarla belirleyebiliriz.
> Maximum lifetime for user ticket: User hesaplarına atanan ticketin en fazla yaşam süresi. (def:10 saat)
> Maximum lifetime for service ticket: Servis ticketinin geçerlilik süresi ( def: 600 dakika )
> Max. Lifetime for user ticket renewal: Bir user a atanan ticketin yenilenme süresi ( def: 7 gün )
> Max. Tolerance for computer clock synchronization : Bir client bilgisayarın saatinin dc nin saatinden kaç dakika farklı olmasına tolerans gösterileceğinin ayarıdır. ( def: 5 dakika ) Eğer ayarda 5 dakika ise saati 6 dakika farklı olan bir client dan domaine logon olunamayacaktır. Logon esnasında “Time difference” ile ilgili bir hata verecektir. Böyle bir durumda dc ile saat senkronizasyonu sağlanmalıdır.
Local Policies > Security Options
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Local Policies > Security Options
> Accounts: Administrator accounts status : Disabled yapılırsa domaindeki bu policy nin uygulandığı client bilgisayarlardaki lokal Administrator hesabı disable a çekilecektir. Benzer şekilde guest hesabı için de aynı işlem yapılabilir.
> Accounts: Rename Administrator account : Lokal Administrator hesabının adı istenilen başka bir adla otomatik değişmesini sağlar. Benzer şekilde guest hesabı için de aynı işlem yapılabilir.
> Interactive Logon: Do not display last user name: Son logon olan kullanıcı adını göstermez.
> Interactive Logon: Do not require CTRL + ALT + DELETE : Logon ekranında ctrl alt delete gerekmesin
> Interactive Logon: Message text for user attemting to log on : Logon olan kullanıcıların ekranına açılışta getirilmek istenen bir text yazısı varsa buraya yazılabilir.
> Interactive Logon: Message title: Logon olan kullanıcıya gösterilecek yazının başlığı buraya yazılır.
> Interactive Logon: Number of previous logons to cache ( in case domain controller is not available )
: Eğer client domain controller ile bağlantısını koparırsa tekrar bağlantı yapmadan cache den kaç kez oturum açabileceğinin ayarıdır, default değeri 10 dur.
> Interactive Logon: Prompt user to change pass. Before expiration : Kullanıcıların şifrelerinin geçerlilik süresi bitmeye yakın kullanıcılara şifrelerini değiştirmeleri için hatırlatma yapılmasının ayarıdır, default değeri: 14 gündür.
Local Policies > User Rights Assignment
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Local Policies > User Rights Assignment: Kullanıcıları belirli hak atamaları ve kısıtlamalar yapılabilen yerdir. Gruplara eklemeden daha alt seviyede yetkiler verilebilir.
> Back up files and directories: buradan bir kullanıcının ya da gruptakilerin domainde bulunan makinelerden sadece backup alabilmesine izin vermek istiyorsak buradan policy ayarıyla yetki verilebilir. ( Bunun yerine gpo üzerinden yetki vermek yerine kullanıcıyı backup-operators grubuna eklenirse bu kullanıcının sunucu ve domain controller lar üzerinden login olabilme gibi yetkileri de olabiliyor. Bu yüzden gereğinden fazla yetki vermeden istenen haklar verilebilmesi için User Rights Assignment altından gpo üzerinden belirli haklar verilebilir.
> Change the system time: Kullanıcıya sadece zaman ayarını değiştirme yetkisi verir.
> Deny log on locally: Bu bilgisayarda lokalde oturum açılması istenmeyen kullanıcı ve gruplar seçilebilir.
> Log on as a service: Standart user hesabını servis hesabı olarak kullancaksak buradan ilgili ayar yapılarak ilgili servislerin çalıştırılması ve yapılandırılmasında kullanılabilmesini sağlar.
Local Policies > Audit Policy
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Local Policies > Audit Policy
> Audit account management: Active Directory üzerinde hesap yönetim işlemlerinin başarılı/başarısız şeklinde izlenmesini sağlar. ( Habire hesap açıp kapatan bir systemadmin varsa buradan yaptığı işlemler takip edilebilir. )
> Audit directory service Access: Active Directory ye başarılı ve başarısız giriş denemelerini gösterir.
> Audit object Access: Printer ve klasör gibi nesnelerin başarılı ya da başarısız bağlantılarını gösterir.
> Audit Policy Change: Group Policy ayarlarının uygulanması ile ilgili durumların izlenmesini sağlar.
> Audit privilege use: User Rights assigmnet altından verilen hak ve yetkilerin düzgün kullanılıp kullanılamadığının takibinin yapılabilmesini sağlar.
> Audit Process tracking: Uygulamaların arka planda başarılı ve başarısız çalışma süreçlerinin takibinin yapılabilmesini sağlar, özellikle yazılımcılar kullanırlar.
> Audit system events: Sistemle ilgili loğların izlenebilmesini sağlar. ( Örneğin bir bilgisayar düğmesine basılarak mı kapatılmış yoksa normal kapat sekmesinden mi onun görülebilmesini sağlar )
Event Log
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Event Log:
Domain ortamındaki makinelerin eventviewer ile ilgili ayarlarının yapılandırıldığı bölümdür.
Restricted Groups
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Restricted Groups
: Domainde bulunan bellirli bir gruba siz farkında olmadan yeni bir kullanıcı ilave edilmişse, makinemizden logoff/logon olunduğunda sadece restricted groups bölümünden ilgili grup için eklenmiş kişi ya da gruplar kalacak, sonradan ilave yapılan kullanıcı o gruptan düşecektir.
Aynı durum lokaladmin grubu için de yapılabilir, makinede restricted group policy ayarı mevcutsa makine kapatılıp açaldığında yeni eklenen ve policy ayarı içinde olmayan lokaladminler tekrar lokaladmin grubu içerisinden düşürülecektir.
System Services
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > System Services
: Servislerin startup modunu başlangıçtaki çalışma durumları ( otomatik, manuel , disable gibi ) ayarlanır ve Edit Security kısmından bu servisin üzerinde kullanıcıların yetkilerini belirliyoruz.
Registry
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Registry
>Add Key> Machine > “HKEY LOCAL MACHINE” vb üzerinde belirli kullanıcılara belirli yetkiler verilebilmesini sağlar.
File System
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > File System
: > Add File diyerek makineler üzerindeki klasör ya da dosyaların üzerindeki NTFS permission yetkilendirmeler yapılabilir.
>Ya da genişletilip “Central Access Policy” kullanılabilir, bu dynamic Access policy kullanılıyorsa (Windows 2012 ve üstünde geldi) önce oradan gerekli yapılandırmalar yapıldıktan sonra kullanılabilir.
Wired Network Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Wired Network Policies
: Kablolu ağlar ile ilgili ayarların yapılabildiği yerdir.
Wireless Network Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Wireless Network Policies
: Kablosuz ağlar ile ilgili ayarların yapılabildiği yerdir. Wireless networklerin hangi kablolu networklere erişebileceği gibi ayarlar buradan yapılandırılabilir.
Windows Firewall with Advanced Security
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Windows Firewall with Advanced Security
: Bütün makineler için Windows firewall ayarları kapatılabilir, inbound ve outbound yeni rule tanımlamaları yapılabilir.
Public Key Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Public Key Policies
>Trusted Root Certification Authorities : altından import denilip root sertifika eklenerek tüm dc üzerinde güvenilen olduğu bildirilmiş olur.
>Bitlocker ve Encrypting File System ile ilgili sertifikalar da buradan eklenip yayılabilir.
Software Restriction Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Software Restriction Policies
:New Restriction Policy denilerek bilgisayarlar üzerindeki uygulamalara erişimler kısıtlanabilir. Additional Rules kısmından da sertifikaya, hash e , network zone a ve path e göre clientlar daki programların yüklenebilmesi ve çalışması kısıtlanabilir ya da engellenebilir. Defaultta unrestricted konumunda yani kısıt olmayan kurallar değiştirilip kısıtlamalar yapılabilir. ( Path’e göre bir program disallowed olarak kullanılması engellenmişse o program başka bir klasöre alınıp path i değiştirilerek çalıştırılabilir. Programlar için hash rule daha güvenlidir çünkü aynı dosya başka bir yere de gitse hash i değişmez. )
Network Address Protection
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Network Address Protection
NAP: Client ların sağlık durumlarının kontrölünü yapmaya yarayan servistir. Bir client ın üzerinde güncel antivirüs antispyware yazılımı yüklü mü, Windows update leri güncel mi bunları kontrol ederek makineye dhcp den ip vermeyi networke dahil etmeyi ayarlayabiliyoruz. Özellikle sscm configuration manager senaryolarında, dhcp server ip dağıtım senaryolarında ve remote dekstop bağlantı senaryolarında çok uygulanan güvenlik mekanizmalarından biridir.
Application Control Policies
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > Application Control Policies
: Uygulamalar üzerinde yetkilendirme ayarlarının yapılabildiği yerdir. AppLocker aracı software restiriction un biraz daha detaylı hali diyebiliriz. Applocker win 2008 ve win 7 ile birlikte gelmişti.
> Executable Rules: exe uzantılı çalıştırılabilir dosyalara izin ya da kısıt ayarlayabiliriz. Burada bir deny engellemesi yapacaksak; Publisher ( yayıncı ) , path ve file hash e göre kısıtlamalar yapılabilir. exe uzantılı bir programın sadece versiyona göre kısıtlaması yapılabilir ya da tamamen o exe uzantılı program engellenebilir.
> Windows Installer Rules: Msi ve msp gibi Windows installer lar için kısıtlama yapılabilir.
> Script Rules: Script ler için kısıtlamalar yapılabilir.
> Packaged app Rules: Paket uygulamaları için kısıtlamalar.
IP Security Policies on Active Directory
GPO > Comp. Conf. > Policies > Windows Settings >Sec. Settings > IP Security Policies on Active Directory
TCP/IP trafiği şifrelenmek istenirse ya da firewall gibi makineleri bloklomak için kullanılır.
Advanced Audit Policy Configuration
GPO > Comp. Conf. > Policies > Windows Settings > Sec. Settings > Advanced Audit Policy Configuration
Local policies altından yapılan audit policy ayarlarının daha detaylı şekilde yapılabileceği yerdir.
Auditle ilgili ayarlamalar cmd> auditpol.exe çalıştırılarak da yapılabilmektedir.
Policy-based QoS
GPO > Comp. Conf. > Policies > Windows Settings > Policy-based QoS
: Quality of Service ile ilgili ayarların yapılabildiği yerdir. Bir policy tanımlayıp bu policy den etkilenen bilgisayarların network bandwitinin şu kadarını kullansınlar şeklinde ayar yapılabilir.
Administrative Templates:
GPO > Comp. Conf. > Policies > Administrative Templates
: Regisrty tabanlı policy ayarları olarak nitelendirilir. Windows un birçok komponenti ilgili ayarlar buradan yapılandırılır.
Network, Start Menu and Taskbar, Control Panel ve Sytem … vb gibi Windows tarafında birçok ayar( kısır/izin ) buradan yapılandırılabilir.
Administrative Templates > System
Örneğin : GPO > Comp. Conf. > Policies > Administrative Templates > System > Group Policy altında
> Set Group Policy refresh interval for computers: bölümünden client bilgisayarların senkronize olup GPO ları yükleme süresi değiştirilebilir. ( defaultta: 90 + 30 dakikadır. )
Aynı ayarın benzeri User Conf. Altında Administrative Templates > System > Group Policy > Set Group Policy Refresh interval for users : altından kullanıcı bazlı GPO nun yüklenme süresi belirlenebilir. ( defaultta: 90 + 30 dakikadır. )
> Set Group Policy refresh interval for domain controllers: Domain controller lar arasındaki GPO replikasyonu süresi değişltirilebilir. ( defaultta: 5 dakikadır. )
Administrative Templates > Windows Components
: Windows altındaki uygulamarla ( file Explorer, internet Explorer, Calender, Task Scheduler, Windows update, media player … vb ) ilgili GPO ayarlarının yapılabildiği yerdir.
Administrative Templates > All Settings
: Administrative Templates altındaki tüm ayarların toplu halde sıralanıp görüldüğü yerdir.
User Configuration
User Conf. altında da yukardaki Computer Conf. ayarlarına benzer gpo ayarları yapılabilir.
Comp. Conf. ‘den en önemli fark olarak User Conf. ‘da folder redirection özelliği mevcuttur.
Folder Redirection
GPO > User Conf. > Policies > Windows Settings > Folder Redirection
: Kullanıcı çalışma ortamının farklı bilgisayarlara yönlendirilme işleminin yapılabildiği yerdir. Kullanıcı profili altındaki farklı klasörlerin ( Desktop, documents, pictures, downloads … vb ) aynı ağ üzerinde farklı bir file server benzeri bilgisayarda tutulmasını sağlar.
Örneğin: Documents > properties üzerinden basic ya da advanced olarak ayarlama yapılıp, Root Path girilirse verilen o root path içerisinde her logon olan kullanıcı için kendi adıyla bir klasör oluşturulur ve ilgili documents dosyaları orada saklanır. Roaming (gezici) kullanıcı açılırsa bu kullanıcılar hangi bilgisayardan oturum açarlarsa açsınlar folder redirection kısmından ayarlanan klasörlerine ulaşabilirler ve değişiklik yapabilirler.
Hatta herkesin documents klasörleri aynı yerde tutulmasın, belli grupların ayrı yerlerde tutulsun isteniyorsa “ Advanced – Specify locations for various user groups “ seçilerek buradan önceden oluşturulmuş farklı security gruplarına farklı hedefler ayarlanabilir.
Preferences ( iz bırakır )
: Normal şartlarda GPO üzerinden Policies tarafından bir ayar değişikliği yapıldığında, o bilgisayar üzerindeki mevcut ayarların bir kopyası farklı bir yerde saklanır ve değişiklik yapılan GPO disable yapıldığında ya da silindiğinde yedek olarak saklanan eski ayarlara restore yapılarak default ayarlara geri dönülür.
Ancak preferences üzerinden bir ayar değişikliği yapıldığında ilgili client ve sunucular üzerinde herhangi bir yedek saklanmadan direk mevcut ayarların üzerine override olarak yazılır ve preferences üzerinden yapılan ayarlar silinir veya kaldırılırsa yine de mevcut ayarların üzerinde izinin kaldığı görülecektir. Kullanıcı eğer o izleri de değiştirmek istiyorsa kendisinin elle değiştirmesi gerekir.
Preferences > Windows Settings
> Environment: Environment Varieble oluşturulabilir, mevcut variable ler üzerinde değişikliler yapılabilir.
> Files : kullanılarak client bilgisayarlara belirli bir lokasyondan istenilen dosyalar kopyalanabilir.
> Folders: kullanılarak bütün clientlar üzerinde istenilen bir klasör oluşturulabilir.
Örneğin: Path: kısmına “ C:\backup “ yazılırsa bütün clientlarda C’de backup klasörü oluşur.
> Registry: kullanılarak yeni resgistry kayıtları oluşturulup değiştirilebilir.
> Network Shares: kullanılarak network paylaşımları ayarlanabilir.
> Shortcuts: Bütün kullanıcıların desktop ına istenilen bir kısayol ör: web arayüzü eklenebilir.
Preferences > Control Panel Settings
> Data Sources: ODBC ( Veri Kaynakları ) bağlantıları buradan yapılandırılabilir. Birbirinden farklı veri tabanları arasında ilişki kurulan yerdir odbc.
> Devices: Device Manager içerisindeki istenilen device lar disable yapılabilir.
> Folder Options: Klasör seçenekleri yapılandırılabilir.
> Local User and Groups: Lokal bilgiyarlarda lokal kullanıcı ve gruplar oluşturup bunların özelliklerinde değişiklik yapılabilir, örneğin bütün localdeki Administrator ların şifreleri değiştirilebilir, never expires ve pass. Must change vb ayarlar yapılabilir. Ancak burada dikkat eidlemesi gereken bu ekrandan local Admin şifresi değiştirilmesi sırasında “ pass the hash “ saldırısıyla hash in içerisinden pass. Alınabilmektedir, bu nedenle Microsoft çıkardığı bir güncelleme ile bu ekrandaki pass. Değiştirme satırı pasif gelmektedir. Local adminlerin pass. Değiştimek için tavsiye edilen poweshell i etkinleştirerek remote powershell ile uzaktan pass. Değiştirmektir. Bununla ilgili msdn de bir script de yayınlanmıştır.
> Power Options: Buradan istenilen işletim sistemlerine göre makinelerin idle (boş) durumuna geçtiğinde belli bir süre sonra ekranlarının kapanması ayarlanabilir.
> Scheduled Tasks: Zamanlanmış görevlerin istenilen işletim sistemlerine göre çalıştırılması için ayarlamalar yapılabilir.
>Internet Sttings: Burada internet Explorer ın farklı versiyonlarına göre istenilen ayarlar yapılabilir. ( Bu ayar sadece User Conf. Altında vardır, Com. Conf. Altında yoktur.
Preferences altındaki değişiklik ekranlarında Common sekmesinde “ Apply once and do not reapply ” işaretlenirse; user conf. Altından yapılmışsa kullanıcının ilk logoff/logon unda değiştirilen ayar çalıştırılır bir daha çalıştırılmaz, comp. Conf. Altından yapılmışsa bilgisayarın ilk kapanış/açılışında değiştirilen ayar çalıştırılır bir daha çalıştırılmaz.
Preferences in policies den önemli bir farkı budur, policies altından yapılan değişiklikler kullanıcı ve bilgisayar yapılan ayarı değiştirse bile sürekli GPO dan gelen ayarı yüklemeye devam eder, ancak Preferences te yukarıdaki seçenek işaretlenerek ayar bir kez uygulansın sonrasında uygulanmasın denilebilir.
Yine aynı ekranda “ item level targeting “ kullanılarak belirli özelliklerine ( ip, cpu hızı, computer name, operating system, ram .. vb ) göre istenilen kriterleri sağlayan clientlara ilgili ayarların yüklenmesi filitrelenebilir.
Bütün bu ayarlardan başka yine Group Policy ler ile ilgili Security Template ler vardır, hazır inf dosyalarını kullanıp domain ortamındaki dc ve client larda belirli şablonlar direk etkin hale getirilebilir. Ayrıca Administrative Templates kısmında hazır gelen ADMX Template ler yerine template oluşturma yöntemleriyle hazırlanan xml tabanlı template leri kullanabiliriz.
Benzer Konular
- Cevaplar
- 0
- Görüntüleme
- 883
- Cevaplar
- 0
- Görüntüleme
- 864