Group Policy

Konusu 'İnternet' forumundadır ve KaRaHaN tarafından 8 Mayıs 2008 başlatılmıştır.

  1. KaRaHaN Well-Known Member


    Nasıl bayaa yol kat ettik değil mi? Aslında bu noktada sistemimiz ciddi ciddi çalışmaya başladı. Bir süre sonra bir de baktık ki, kullanıcılar masaüstüne bazı "uygunsuz" duvar kağıtları koymaya başlamışlar. Biz de sistem yöneticisi olarak buna uyuz oluyoruz. İstiyoruz ki hiç kimse (veya sadece muzur olanlar) duvar kağıdını değiştiremesinler.

    İşte böyle basit bir kısıtlamadan, kullanıcının sadece tek bir programı açmasına izin vermeye kadar bir takım kısıtlamalar, bunların yanısıra kullanıcılara uzaktan program yükleme gibi gelişmiş özelliklerin hepsini Group Policy'ler yani grup poliçeleri ile yapılabilir.

    Önce şunu söylemek lazım, grup poliçelerinin az önce oluşturduğumuz kullanıcı grupları ile pek alakası yok. Ancak bir grup ayarın bir arada uygulanmasından dolayı bu isim verilmiş olabilir.

    Grup poliçeleri W2000'in en güçlü yanlarından birisidir. Grup poliçelerini elinizdeki bir "kurallar listesi" olarak düşünebilirsiniz. Bir üniversite kampüsünde olduğumuzu düşünelim. Elimizdeki "kurallar listelerini" kullanarak öğrencilere bir takım kurallar koymak istiyoruz(öğrenciler ne kadar sallar ayrı bir konu).

    Eğer bu "kurallar listesini" kampüsün ana kapısına asarsanız kampüse giren tüm öğrenciler bu listeyi görüp kurallara uyarlar (site bazında group policy), eğer "kurallar listesini" A bloğun giriş kapısına asarsanız sadece bu blokta eğitim gören öğrenciler ilgili kurallara tabi olacaktır (domain bazında). İsterseniz daha spesifik olarak bir sınıfın kapısına bu kuralları asarsınız ve sadece o sınıfın öğrencileri bu kurallara tabi olur(Organizational Unit).

    Şimdi bu üniversite örneğine devam edersek, bir öğrenci sınıfına girene kadar önce ana kapıdaki, sonra binanın girişindeki en son sınıfındaki kural listesini okur. Eğer bu listelerde farklı farklı kurallar varsa, sonuçta öğrenci bu kuralların bileşkesine, yani hepsine uyar. Eğer ana kapıdaki listede "duvar kağıdını değiştiremezsin" diyen bir kural, oysa sınıfının kapısında ise "duvar kadığını değiştirebilirsin" kuralı varsa, en son gördüğü kural, yani sınıf kapısındaki kural geçerlidir.

    Üniversite kampüsünün girişi olarak tanımladığımız "Site" kavramını biraz açıklayım. Eğer birden fazla Domain Controller varsa, bunlardan 3 tanesi İstanbul'daki merkez binada aynı yerel ağda birbirine bağlı ise, diğer 2 DC ise Ankara'da şube binasında yerel ağa bağlı ise elimizde iki "Site" var demektir(Ankara ve İstanbul siteleri). Siteler kendi içinde hızlı bağlantıyla bağlı bilgisayarlar demektir. Daha sonra "Siteler" birbirine yavaş bağlantılarla (kiralık hatlar vs.) bağlanırlar. Bizim şimdilik bunlarla bir işimiz yok.

    Kampüsün içinde A blok olarak tanımladığımız ise Domainimizdir(birden fazla DC üzerinde tutuluyor olsa bile). Alttaki ekran görüntüsünde sirket.com üzerine sağ tıklayıp>Properties>Group Policy tabına geçerseniz tüm domain'e etki eden grup poliçeler oluşturabilirsiniz.

    En son sınıf olarak tasvir ettiğimiz ise Organiztional Unit denilen ve bizim kullanacağımız bölüm. Şimdi isterseniz Active Directory Users and Computer ekranını açalım:

    [​IMG]

    Domain ismi üzerinde (sirket.com) sağ tıklayıp>New>Organizational Unit diyelim ve bir isim verelim.

    [​IMG]

    "Memurlar" isminde bir OU oluştu. İlk başta kullanıcılarımızı (Ahmet GÜVEN gibi), Users klasörü içinde oluşturmuştuk. Users hiçbir özelliği olmayan, sadece içindeki objeleri bir arada tutan bir klasörden ibaret. Oysa OU'lar şekil olarak Users klasörünü benzeseler de, daha işlevseller. Şimdi Ahmet GÜVEN'i Users içinden "Memurlar" OU'suna taşıyalım. Users içinden Ahmet GÜVEN üzerine gelin, sağ tıklayıp Move deyin ve Memurlar'ı seçin.

    [​IMG]

    [​IMG]

    Şimdi baktığımızda Ahmet GÜVEN'in Memurlar altına geçtiğini görüyoruz.

    [​IMG]

    Şimdi de "Memurlar" üzerine sağ tıklayıp>Properties diyelim. Group Policy tabına geçelim.

    [​IMG]

    New düğmesine basalım ve bir isim verelim. İsim verdik ve "Memurlar" Organiztional Unit'i içindeki nesnelere (şimdilik sadece Ahmet GÜVEN kullanıcısı) etki edecek bir group policy oluşturduk. Ama içi boş, yani hiç bir tanımlama yapılmamış durumda.

    Edit düğmesine basınca, karşımıza Group Policy ekranı geliyor. İşte bu ekranda istediğimiz tanımlamaları/kısıtlamaları yapacağız. Solda "Computer Configuration" ve "User configuration" diye iki ana bölüm olduğuna dikkat edin.

    Aslında bunlar Windows registry yapısı ile paralellik gösteriyor. Registry'de de "Hkey Local Machine" ve "Hkey Users" diye iki ana bölüm söz konusu. Bizim burada yapacağımız bir çok ayar ve kısıtlama aslında bu poliçenin etki edeceği bilgisayarda bu iki registry alanıda değişiklik yapacaktır. Bazen aynı ayarın bu iki bölümde de olduğunu görebilirsiniz. "Computer Configuration" da yaptığınız değişiklikler bilgisayar açılır açılmaz geçerli olur (login olunmadan önce). "User Configuration" ise kullanıcı login olunca geçerli olur.

    Group Policy'de bir değişikliği geri alınca, terminalde, yani poliçenin etki ettiği makinada da bu kısıtlama geri alınır (NT4'te böyle değildi, eğer "duvar kağıdını gösterme" diye bir kural tanımlarsanız, sonra da "duvar kağıdını göster" diye ikinci bir kural ile düzeltebiliyordunuz.)

    [​IMG]

    Biz kullanıcıların duvar kağıdını değiştirmesini engellemek istiyorduk. "Disable changing wallpaper" özelliğine çift tıklıyoruz. "Enabled" yapıyor ve OK ile kapatıyoruz.

    [​IMG]

    Şimdi çarpıya tıklayarak bu ekranı kapatabiliriz. Herhangi bir "kaydet" butonu yok. Yaptığımız bu ayar oluşturduğumuz "ekran ayarlarını değiştirmeyi engelle" isimli poliçenin içine girdi:

    [​IMG]

    Tekrar OU özelliklerine geri geldik. Bunu da Close ile kapatabiliriz.

    Şimdi ne yapmış olduk? Önce bir OU oluşturduk, sonra bu OU içine istediğimiz kullanıcıları taşıdık (OU içinde de kullanıcı oluşturulabilir), daha sonra "sadece" bu OU içindeki kullanıcılara etki etmesini istediğimiz bir grup poliçesi oluşturduk, bunu da zaten o OU'nun özelliklerine girerek yaptık.

    Şimdi tekrar terminalimizin başına geçelim, restart edelim ve Ahmet GÜVEN kullanıcısı ile açalım. Görüntü özelliklerine girdiğimizde:

    [​IMG]

    Background tabı gözüküyor (bunu gizlemek için başka bir poliçe var) ancak içinde hiçbir seçim yapılamıyor, seçenekler pasif hale gelmiş.

    OU ve grup poliçeleri bir arada kullanarak istediğiniz gibi bir yapı kurabilirsiniz. OU'ların içine başka OU'lar açılabilir, onların içine başkaları...

    Örneğin, 10 kullanıcınız var. Bunların hiçbirinin duvar kağıdını değiştirmesini istemiyorsunuz. 5 tanesinin ayrıca ekran koruyucu ayarlarına, diğer 5 tanesininde çözünürlük ayarlarına(settings tabı) erişmesini istemiyorsunuz. Bu durumda önce nowallpaper isimli bir OU oluşturusunuz, daha sonra onun içine noscreen ve nosettings diye iki alt OU oluştursunuz. En tepedeki nowallpaper OU'sunun özelliklerinden az önceki gibi bir poliçe yaratırsınız ve içerdeki OU'ların her birine de ilgili poliçeleri oluşturusunuz. 5 kullanıcıyı noscreen, 5 kullanıcıyı nosettings OU'larına taşıdınızmı iş tamam demektir. Örneğin noscreen OU'sundaki bir kullanıcı önce üstteki nowallpaper OU'sundan duvar kağıdı ile ilgili poliçeyi, sonra kendi OU'sundan ekran koruyucu ile ilgili poliçeyi alacaktır.

    [​IMG]

    Bu noktadan itibaren Windows 2000 yönetimi ile ilgili en önemli iki kavramı yani kullanıcı gruplarını ve grup poliçelerini öğrenmiş olduk.

    Kullanıcı gruplarını bir nesnenin erişim haklarını belirlerken kullanıyoruz. Örneğin paylaştırdığımız bir dizine kimlerin hangi seviyede erişeceğini belirlerken teker teker kullanıcıları seçmek yerine, kullanıcıların üyesi oldukları grupları kullanıyoruz.

    Grup Policy'ler ise kullanıcı gruplarıyla pek alakası olmayan bir kavram ve bu sayfada gördüğümüz gibi çeşitli kısıtlamalar tanımlamak için kullanıyoruz. Bu kısıtlamalara tabi olacak kullanıcıları, kullanıcı gruplarını veya bilgisayarları oluşturduğumuz Organiztional Unit'ler içine taşıyoruz ve bu OU'lar bazında istediğimiz grup poliçeleri oluşturabiliyoruz.
     



Sayfayı Paylaş