18/10/2019

AD Group Policy

Evet en sonunda en merak ettiğim konulardan birine geldik 🙂

GPO.

GPO oluşturmak için Server Manager –> tools –> Group Policy Management seçilir. Daha sonra ağaç yapısı içinde GPO’yu nereye koyacağımızı seçeriz. Örneğin IT OU’su içine. Bu durumda IT yazısına sağ tıklayıp “Create a GPO in this domain and link it here” bulur seçeriz.

Önce bir isim veriyoruz ve daha sonra bunu kaydedeceğiz. Ancak istersek başlama noktası olarak başka bir GPO’yuda kullanabilirdik. BU ilk GPO’muz olduğundan şu anda seçemiyoruz ama ilerde olabilir.

  1. oluşturduğumuz GPO burda kısayol olarak görülüyor.
  2. Mevcut bütün GPO’lar Group Policy Objects altında oluyor.

Bir GPO oluştururken SCOPE kavramı önemlidir. Nerede etki edecek. Bir GPO site,domain veya OU’ya linklenebilir.

  • Bu durumda oluşturulan linke göre site,domain veya OU içinde ki tüm bilgisayar ve kullanıcılar etkilenir.
  • Bir GPO birden fazla Site,domain veya OU’ya ilişkilendirilebilir.
  • GPO’nun birden fazla site ile linklenmesi performans sorunu oluşturabilir.

GPO’yu kimlerin alacağınıda belirlememiz lazım buda filtering ile oluyor.

  • Security Settings de “Read and apply group policy” nin olması gerekiyor.
  • Normalde authorized kullanıcılarda bu default geliyor.

Diğre bir yol ise WMI Filterdir.

  • WMI sorguları ile yapılır bu sorgular sistem donanım ve yazılımına ilişkindir.
  • WQL (WMI Query Language ) kullanılarak script edilir.

GPO Mirasçılığı (Inheriance )

Mesela bir OU’ya 3 tane GPO atanmış önce hangisi çalışacak en son hangisi?

Bunlardan birisi “Link Order”, diğeri “Enforced(GPO ya sağ tıklayıp yapılır.)”.

Enforced genelde Parent da yapılır böylece child OU içinde bir GPO Parent i blok etmez.

Gerekirse Disable edebiliriz. Genelde troubleshooting için kullanılır.

Bır containerda birden çok GPO olabilir. Normalde bir process bunları birleştirir ve conflict yoksa bütün ayarlar OU’ya uygulanır.

En düşük sıra numarası olan GPO en son yapılır. Yani 1,2 ve 3 nolu GPO’lardan önce 3 sonra 2 sonra 1 işlenir. Eğer aynı ayarı yapıyorlarsa (conflict – çakışma) 1 in dediği olur ve diğerlerinin üzerine yaılır o ayar.

GPO’lar Client sistemde aşağıda ki sıra ile işlenirler.

  • Local GPO
  • Site-level GPO
  • Domain Level GPO
  • OU GPO (nestedler dahil)
    En son uygulanan GPO etkili olandır.

GPO’lar “GPO management editör” ile ayarlanırlar. Bunun için oluşturduğumuz ve isim ve yer vermekten başka henüz bir işlem yapömadığımız GPO’ya sağ tıklayıp “Edit” deriz ve yeni bir pencere açılır.

Leave a Reply