10/12/2019

AD GPO oluşturma ve yönetme

Bir GPO’nun kimlere etkilediğini görmek için GPO’yu seçip delegation tab ına bakmamız gerekir.

Görüldüğü gibi “authenticated users” ta read var ama görülmesede “apply gpo” da var. İstersek tek tek de ekleyebiliriz. Delegation tabının altında “ADD” var oradan kişiyide ekleyebiliriz. Eklerken onlara haklarda verebiliriz. Ama bu kısıtlı olacaktır.

İstersek ekledikten sonra seçip advanced e tıklayarak daha da detaylı haklar verebiliriz.

Herhangi bir kişiyi ekleyip daha sonra özelliklerden “DENY” dersek o zaman o kişi bu GPO’dan etkilenmez.

Çok GPO olduğunda performans etkilenebilir. Bunun için computer veya user bölümlerinden kullanmadığımızı disable edebiliriz.

GPO Loopback Processing

Burada TestGPO’yu editliyoruz ve loopback özelliğini etkileyeceğiz. Yukarıda görüldüğü gibi aradığımız özelliği buluyoruz. Sonra ona çift tıklayıp ayarlıyoruz.

  • Önce Enable yapıyoruz.
  • Sonra karar veriyoruz “replace” mi “merge” mü?

Replace : Kullanıcı login olduğunda computer settings uygulanıyor ama user settings uygulanmıyor.

Merge : her ikiside uygulanıyor ama çakışmada computer settings üstün geliyor.

Kiosk veya Lab gibi bir ortamda kimin login olduğunu umursamıyorsak bunu kullanabiliriz.

Slow Link Detection :

eğer bir client 500 kb/sec dan yavaş ise çok yavaş clienttır. Bu durumda sadece önemli vew gerekli GPO’ları almasını sağlayabiliriz.

Yine yukardaki gibi GPO’yu editlerken

Computer Configuration -> Policies->Administrative Templates Policy Definition -> System-> Group Policy

içinde “Configure Group Policy Slow Link Detection” seçiyoruz.

  • önce enable ediyoruz
  • Windows 2000 den daha önceki sistemlerde etkili değilmiş
  • 500 kbps ye default olarak geliyor ama biz değiştirebiliriz.

Önemli Policyler

Slow link enable edildiğinde “Slow link Processing” on olanlar gönderilir diğerleri slow link ile bağlanan clienta gönderilmez.

GPO’lar ne zaman etkili olur ?

  • Öncelikle PDC DC GPO’ları diğer DC’lere push edecek.
  • Kullanıcı önce sing off sonra tekrar sign-in olmalı.
  • Computer Configuration bölümü editlenmiş ise Computer yeniden başlatılmalı.
  • Manual olarak da yapılabilir.
    • CMD ile
      • gpupdate /target:computer or /target:user
      • gpupdate /force /logoff /boot
      • gpupdate /force /wait:100
      • Yukarıda ki switchleri kullanabiliriz. böylece istersek kullanıcıları logoff yapabiliriz veya sistemleri reboot edebiliriz ve hatta bunları yaptırmadan önce istersek bekleyebiliriz.
    • Powershell ile
      • Invoke-gpupdate

GPO’Ların Güncellenmesi

GPO’lar default olarak 90dakika +-30 dakikada ve güvenlik ayarları her 16 saatte bir güncellenecektir.

Manual olarak CMD/Powershell ile veya GPO management üzerinde OU’ya sağ tıklayıp GPO Update ile.

Bunun sağlanması ise GPO Management Editor ile

detect edilerek yapılıyor. ve 3 ile görülen rapor geliyor.

GPO Processing

GPO’lar Clientlarda işlenirler. Bunun için client-side extensions kullanılır. Bunlar GPO’yu DC’den alırlar, download edip cachelerler ve sonra ayarları işlerler.

Eğer client üzerinde hangi GPO’ların işlendiğini görmek istersek CMD’den “gpresult” yaparız.

Leave a Reply