Kurallar… Aslında kimse kuralları sevmez. Ama Bilgi işlem yapısında kurallar kritik derecede önemli ve vazgeçilmezdir. Özellikle iş ortamlarında, sistem yöneticileri, özgürlük ve serbestlik kavramlarını pek sevmezler. Çünkü biraz gevşek bıraktığınız ya da olmayan kurallardan, genellikle kaybolan yada çalınan veriler, yeniden yükleme yapılması gereken bir bilgisayar, kaybolan saatler ve günler, iş kaybı, kaybolan paralar şeklinde bir anlam çıkartabilirsiniz.
Genelde bir kullanıcı işini yapmak için saatlerini harcar ama gerçekten gereksiz ve boş şeyler için çok daha fazla zaman harcar. Tüm Bunlardan da şunu çıkartabiliriz : Bilgi işlem yapısında demokrasiye pek fazla yer yoktur.
Group policy ( grup ilkesi yada poliçesi ) sunucu, istemci ve kullanıcıları kurallara bağlayarak, çalışmalarını etkileyen, yüzlerce kuraldan oluşan bir yapıdır. Windows işletim sisteminin anayasasıdır pek desek yanlış olmaz sanırım.
Ne sağlar ?
Group policy, çok sayıda bilgisayar yada kullanıcının merkezi bir şekilde, işletim sistemini ve üzerindeki yüklü olan uygulamaları nasıl, ne şekilde, ne zaman kullanabileceğini belirler. Group policy ile bilgisayarlarla tek tek uğraşıp yapabileceğiniz ayarları, bir defada tek bir yerden yapıp, tüm bilgisayarlara yada sadece istediğiniz belli bir dizi bilgisayara uygulayabilirsiniz.
Mesela, bir antivirüs programının, firmadaki tüm iş istasyonlarına yüklenmesini istiyorsunuz. Diyelim ki, iş istasyonu sayınız 500. Eğer Group policy kullanmıyorsanız, 500 bilgisayara tek tek uygulamayı kurmak günlerinizi alabilir. Bu iş için görevlendirdiğiniz IT ekibinin, diğer işlerini gerçekleştirmek için gereken zamanını fazlasıyla harcayacaksınız. Group policy ile, istediğiniz yazılımı merkezden kurulmasını sağlarsınız ve bilgisayarlar başlatılırken, uygulamayı herhangi bir katılım olmaksızın kurar.
Bir başka örnek verelim. Bir printerın 100 bilgisayara kurulması ya da tanıtılması gerekiyor. Basit bir iş olmakla birlikte, printerları çok sayıda bilgisayara kurmak ve tanıtmak için çok fazla zaman kaybedebilirsiniz. Group policy ile ise, merkezi olarak printerı kurulmasını sağlayıp tüm bilgisayarların printerı kullanmasını sağlarsınız.
Firmanızda ki kullanıcılar, genelde iş bilgisayarını evdeki bilgisayarıyla karıştırır ve istediği gibi ayarlar. Siz ise, kullanıcıların masaüstünde güllü çiçekli duvar kağıtları, tamamıyla dolmuş bir masaüstü, kaybolan simgeler, bozulan araç çubukları vb. Sorunlarla boğuşursunuz. Oysa group policy ile kullanılcıların masaüstü ortamlarını istediğiniz gibi şekilllendirir, istediğiniz duvar kağıdını force edebilir, çubukları kilitler, masaüstünü ise boş bırakılmasını sağlayabilirsiniz.
Bunlar, Group policy ile yapılabilecek şeylere birkaç örnektir. Genel olarak bakacak olursak, Group policy ile
Güvenlik Yönetimi, Yazılım yönetimi, Masaüstü Yönetimi, Uygulama yönetimi,</LI>
yapılabilir. Bunların tam olarak ne anlama geldiğini yazımızın ilerleyen bölümlerinde bahsedeceğiz.
Group Policy, Local Policy ve LGPO’lar
Windows 2000 ve sonrası tüm Windows sürümleri, bir group policy istemcisi olabilir. Windows 2000 Ailesi, Windows XP ailesi, Windows Server 2003 ailesi ( R2 dahildir ) işletim sistemlerinde, bir adet local policy vardır. Windows 2008 ve Windows Vista’dan itibaren ise LGPO ( Local Group policy object ) denilen bir özellik gelmiştir. LGPO ile birlikte, bir bilgisayarda kullanıcı ve gruplara ayrı ayrı Group policy uygulanabilemektedir. Yukarıda da bahsettiğim gibi, 2000, XP ve 2003′ler de ise tüm local kullanııc ve gruplar aynı Group policy kurallarını paylaşırlar.
Ama burada bahsettiğimiz policyler nihayetinde Local Policylerdir, ve sadece uygulandığı bilgisayar ve onun kullanıcı/gruplarına özgüdür.
Gerçekten bahsetmek istediğimiz, geniş ölçekli, binlerce bilgisayar ve gruba uygulanan policy, işte gerçek Group Policydir. Şunu da söylemeliyim ki, ister local olsun ister domain olsun, her ikisi bir arada kullanılırlar. İlerleyen bölümlerde, bu omain ve local policylerinin birbirine olan baskınlıklarını açıklayacağım.
Ben bu yazıda daha ziyada Active Directory ortamında uygulanan policylerden bahsedeceğiz. Group policy Active Directory ortamında, Domain Controller bilgisayarlarca yönetilen ve depolanan policylerdir. Bir dizi policy kurallarının bir arada toplanıp, kullanıldığı her bir nesneye Group policy Object (artık, kısaca GPO diye bahsedeceğim ) denir. Active Directory’nin bir avantajı olarak, aynı anda, bilgisayar/kullanıcı ve gruplara birden fazla GPO uygulayabilirsiniz. Tabii ki her zaman böyle olcak diye bir kaide yoktur. Domain ortamında çalışan bilgisayarları tek bir policy ile de yönetebilrsiniz.
Ölçeklerine göre GPO’ları sırayacak olursak :
Site Policy’leri : Her bir Active Directory Site’ı na ayrı ayrı uygulanan GPO’lardır. Aynı site içindeki tüm nesneleri (Söz konusu olan GPO olduğu için, nesne derken hep, bilgisayar ve kullanıcı olarak anlayınız ) etkileyen policylerdir. Normalde hiçbir A.D. Site’ına policy uygulanmamıştır. Dolayısıylai sşte sevşyesinde bir policy uygulanacaksa, bir sistem yöneticisinin, ayrıca bir site policy’si oluşturması gereklidir.
Domain policyleri : Aynı Active Directory domaini içindeki tüm nesneleri etkileyebilen policylerdir. Domain seviyesinde, varsayılan olarak sadece bir GPO vardır ve adı Default Domain Policy’dir. Default domain policy, domain içindeki tüm nesneleri etkileyebildiği için, dikkatli kullanılması gerekir. Bu policy’i sadece domain çapında önemli ayarları yapmak için kullanırız. Buna örnek olarak Password Policyleri, Auditing, Kerberos ve Account Lockout policyleri örnek olarak verebilirim.
Özellikle belirtmeliyim ki, Domain çapında password ayarları sadece bu GPO üzerinden yapılandırılır. Site yada local policyler üzerinden yapılan password ayarlarınız, sadce etkilenen local bilgisayarlar üzerindeki local kullanıcıları etkiler.
OU Policyleri : Organizational Unitler gibi konteyner objelerinin normal işlevleri dışında bir özelliği daha vardır, o da üzerlerine ayrıca GPO uygulanabilmesidir. OU seviyesinde uygulanan GPO’lar, OU altından bulunan nesneleri etkiler. Nesne ve departman tabanlı kurallarınızı OU seviyesindeki GPO’lar ile yapmanızı tavsiye ederiz, çünkü böylece policylerin yönetimi son derece kolaylaşır. Peki bu ne demektir ? Örnek verelim, AD yapınızda, Muhasebe, IK, Pazarlama gibi OU’larınız var ve bu OU’lar içinde, ilgili departmanların bilgisayar, kullanıcı ve gruplarını tutuyorsunuz. Diyelim ki, Sadece Pazarlama departmanı için bir yazılımı dağıtmak istiyorsunuz. Bu durumda, ilgili ayarı Site yada Domain seviyesinde yaparsanız, bu Policyler hiyerarşik olarak daha üst seviyede oldukları için, Tüm domaini ya da lokasyonu kapsayacaktır. Ancak Pazarlama OU’su üzerinde bir bir GPO oluşturursanız, sadce pazarlama departmanındaki bilgisayarlara ilgili uygulama dağıtılır.
Varsayılan olarak, Bir OU oluşturulduğunda, üzerinde herhangi bir GPO oluşturulmaz. Ancak bundan OU altındaki nesnelerin, herhangi bir GPO’dan etkilenmeyeceği sonucunu çıkarmayınız, zira tüm OU’lar geçirgen nesnelerdir, site yada domain gibi üst seviyeden gelen policyleri, altındaki objelere ulaştıracaklardır. Şimdi aşağıdaki şekille ne demek istediğimi daha şekilde göstereyim;
Policylerin Birbirine Baskınlıkları ve Uygulanma sırası
Eğer bilgisayarımız, workgroup ortamında çalışıyorsa, başka bir deyişle, A.D. üyesi değilse, karmaşık bir yapıdan bahsedemeyeceğim. Bilgisayar kendi üzerindeki local policy’i çalıştırır ve uygular. Ancak bilgisayar bir A.D. domaini ne üye yapıldığında işler biraz daha karmaşık bir hal almaya başlar. Pek çok sistem yöneticisi bu konuda en azından en başta sıkıntı yaşamıştır. Hangi policy efektiftir, hangi policy neden, ne sıra ile uygulanır yada neden uygulanmaz. Şimdi bunlara bir açıklık getirelim.
Şekil 1′deki gibi bir yapımız olduğunu düşünelim ve yine şekildeki gibi policylerin oluşturulduğunu düşünelim.
İlk olarak, bilgisayarımızı boot ederiz ve bilgisayar açılır, daha bilgisayar Domain Controller üzerinde kimlik doğrulamadan, bilgisayarın Local Policy’si yada policyleri ( LGPO’yu hatırlayın ) uygulanır. Ardından site policy’si uygulanır ( tabii ki oluşturulmuş ve yapılandırılmışlarsa ) ardından Domain seviyesindeki policy ( Default domain policy ) yada yine domain seviyesindeki diğer policyler (biraz daha ilerleyen kısımlarda bunu açıklayacağım ) ve nihayetinde OU policy’si uygulanır. Biraz daha basitçe açıklayacak olursam :
Local Policy àSite Policy àDomain Policy àOU Policy şeklinde bir sıralama vardır.
Eğer bu policyler arasından herhangi bir çakışma yoksa, bilgisyar ve kullanıcı bu dört policynin tamamını algılar ve uygular.
Ancak, policyler arasında bazen çakuışma olabilir, örneğin diyelim ki domain policy’de, notification area’daki saat gizlenmek üzere ayarlanmış olsun, local policy’de ise tam tersi saat gösterilmek üzere ayarlanmış olsun. Acaba bu durumda ne olur?
Böyle bir durumda, aynı policy farklı seçeneklerle yapılandırılmış ise, bilgisayar yada kullanıcı kendisine en yakın olan policy’deki ayarı tercih eder. Şekil 1′e geri dönelim, bilgisayara ve kullancıya en yakın olan policy hangisi?Elbette Local policy !! Bu sebeple, local policy geçerli olur.
Ancak aklımızda olsun ki, normalde Local policy’deki hiçbir ayar yapılandırılmamıştır : Policy Not configured/ Yapılandırılmamış olarak ayarlıdır ve işletim sistemi varsayılanını çalıştırır. Bu durumda, Domain seviyesindeki policy çalışır ve saat gizlenir.
Benze bir örnek verelim : Domain seviyesinde, CTRL+Alt+Delete tuş kombinasyonu, oturum için iptal edilmiştir. Yani oturum açarken bu tuşlara basmanızı isteyen yazı ve ekran olmayacaktır. Pazarlama OU’sunun policysinde ise, tam tersi, CTRL+Alt+Delete mutlaka girilmesini gerektirecek şekilde ayarlanmıştır ve olağan bir şekilde, Local Policy ise not configured olarak bırakılmıştır. Bu durumda, policyler çakışır ve uygulanacak olan policy Pazarlama OU’sunun policysidir.
Son bir örnek verelim. Site seviyesinde, CTRL+Alt+Delete devre dışı olsun, Domain seviyesinde, açılışta “Merhaba” adlı bir yazı çıksın, OU policysinde Office 2003 Professional uygulaması bilgisayarlara kurulsun ve local policyde ise, start menü klasik formatta çalışmaya zorlansın. Bu durumda çakışan hiçbir policy yoktur ve kullanıcının gördüğü şey, oturumda görünmeyen Ctrl+Alt+Delete, Açılışta çıkan bir merhaba yazısı, bilgisayara kurulan Office 2003 Professional ve eski tip açılan bir start menüdür.
Bazen, aynı seviyede birden fazla GPO oluşturulup yapılandırılır. Örneğin, pazarlama OU’suna pazarlama 1 ve pazarlama 2 adlı iki tane GPO uygulanabilir. Bu durumda policylerin sıralaması önemlidir ve üstte olan policynin geçerliliği vardır. Ancak, bu policyler arasında herhangi bir çakışma yoksa, kardeşçe çalışırlar ve nesnelere her iki policy’de uygulanır.Bu konudan daha sonrada tekrar bahsedeceğim.
Umarım bu karmaşık konuyu anlatabilmişimdir.Zira bu kısımı anlarsanız, GPO’lar konusunda sıkıntı yaşamazsınız.
GPO’ların Oluşturulması & Yönetimi
GPO’larımızı oluşturmak ve yönetmek için birkaç farklı araç kullanabiliriz. Bunları kısaca sırayacak olursam,
Active Directory Users And Computers(ADUC), Active Directory Sites And Services(ADSS) : Aslen A.D. obje yönetimi için kullnılan bu araçla, GPO’ları oluşturmak, Linklemek, silmek, adlandırmak, Domain policyleri görmek, özelliklerini, revizyonlarını denetlemek, zorlamak, üstten almayı iptal etmek ve policy tamamen yada kısmen iptal etmek için ADUC, aynı görevleri site policyleri için gerçekleştirmek için ADSS kullanabiliriz. Ancak bilgisayara Group policy management Console(GPMC) yüklenmiş ise, bu görevleri ancak GPMC üzerinden yapabiliriz. ADUC’u kısaca runàdsa.msc ile ADSS’yi ise runàdssite.msc yoluylada açabilirsiniz. Gpedit.Msc : Sadece local policyleri görüntülemek ve ayarlarını değiştirmek için kullanılan bir MMC eklentisi. Çalıştıra, Gpedit.msc yazarsanız bu araç açılır. Bunun yanında denetim masasındaki Administrative Tools altından da ulaşılabilir ( Local Computer Policy / Yerel Güvenlik İlkesi ) Group Policy Object Editor : Herhangi bir GPO’yu düzenlemek için kullanılabilen bir düzenleme aracı. Yine MMC tabanlı bir araç. Policyler üzerinde değişiklik yapmak için kullanılabilir. Group Policy Management Console(GPMC) : GPO ile ilgili herşeyi bir arada toplayan, kullanımı oldukça basit ve çok işlevsel bir araç. Microsoft, GPO yönetimi için GPMC kullanılmasını tavsiye eder. Windows Vista ve 2008′de dahili olarak Windows Feature’ları içinde bulunur. 2008 ve sonrası Active Directory kurulumu esnasında otomatik olarak yüklenir. Windows XP ve 2003 için ayrıca yüklenmelidir.
Daha sonra GPMC ile ilgili detaylı bir makale daha yazacağım. GPMC yüklendikten sonra, Administative tools altındanà Group Policy management yada runàgpmc.msc yoluyla bu araca ulaşabilrsiniz. GPMC’yi indirmek için : http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en adresini ziyaret ediniz ( ücretsizdir! )
Windows Powershell : Windows Powershell üzerinden de artık GPO yönetimi gerçekleştirilebilmektedir. Resultant Set Of Policies ( RsoP ) : GPO’ların bilgisayar yada kullanıcıya nasıl etkilediği, hangi GPO’ların alındığını, GPO yapısında bir problem olup olmadığı, varsa nereden ve neden kaynaklandığını ve planing mode’da nesnelerin nasıl etkilenebileceğini gösteren kabiliyetli ama nedense az bilinen bir araç. Ona bilgisayarda runà rsop.msc yada ADUC’da nesne üzerindeki context menüden ulaşabilirsiniz. Gpresult.exe : gpresult.exe, komut satırından çalışan bir araç. Bilgisayar ve user policylerinin nereden alındığını, nesnelerin grup üyelikleri, ou ve domainleri ,slowlink bilgilerini vb. Bir çok bilgiyi sağlar. Genelde hata tespit amaçlı kullanılır.
Şimdi nasıl GPO’ların oluşturulacağını ve görüntülenebileceğini görelim. Artık bu işi birkaç farklı yolla yapabileceğimizi biliyoruz. Bunu yanında yukarıda da bahsettiğim gibi, GPMC Microsoft’un GPO yönetimi için tavsiye ettiği araçtır ve kullanımı son derece basittir. Bu yüzden ben GPMC ile yazıya devam edeceğim.
Öncelikle StartàRunàgpmc.msc ile GPMC’yi açalım.Ardından Tüm oluşturulan GPO’ları görmek için, Forest(ForestAdı)àDomainsàKolukisa.net(Sizin kendi domain adınız görünecek)àGroup Policy Objects konteynerini genişletin
Yeni bir GPO oluşturmak için, Group Policy Objects‘ e sağ tıklayın ve New komutunu verin, aşağıdaki gibi bir pencere göreceksiniz(Şekil 3). Name kısımına GPO’nun adını yazın. Source Starter GPO bölümünü boş bırakın. Sonra OK’leyin.
- Starter GPO : Windows Server 2008 ilegelen bir yenilik. Amacı bir takım Administrative Template şablonları oluşturmak ve bu şablonlardaki ayarları her oluşturulan yeni policy’e eklemek. Böylelikle, her policy oluşturulduğundan Administrative Template’ler ile tek tek uğraşmanız gerekmeyecek. Daha sonraki bir yazımda ayrıca bundan bahsedeceğim.
GPO’muz oluşturuldu. GPO’muzu görmek için, Group Policy Objects ekranına bakalım, işte orada… Şimdi Bu policy’nin içeriğini görüntüleyelim.
Konsolda, oluşturulan policye sağ tıklayın ve Edit seçeneğini tıklayın.Aşağıdaki gibi Group Policy Management Editor Açılacaktır.
Policymizin iki temel bölümü vardır. İlki Computer, diğeri ise User Configuration. Basitçe, Computer Configuration, bilgisayarları etkileyen kuralların olduğu bölümdür, User Configuration ise, kullanıcıları etkileyen ayarların bulunduğu bir bölümdür. Nihayetinde policy bir bütündür ve her iki nesne türünüde etkileyebilir.
Ancak bilinmesi gereken bir şey vardır, o da computer ve user configuration bölümündeki bazı ayarların birbiriyle aynı olduğudur. Bu nedenle, yine bazı çakışmalar olabilir. Eğer computer ile userdaki aynı olan ayarlardan birisi çakışıyorsa, geçerli efektif olan ayar, user tarafından alınır.Zira önce Computer ardından User policy uygulanır. Bu sebeple user policy, computer policy’i ezer.
Bu konuda yine bazı özel durumlarda mevcuttur. Örneğin çoğu sistem yöneticisi, bilgisayarları “Computers” konteynırında bırakırken, kullanıcı ve grupları OU’lar içine taşırlar yada oluştururlar. Daha sonra, OU’da bir GPO oluştururlar, policylerini ayarlarlar ve bir bakarlarki, computer tarafındaki policylerin hiçbiri uygulanmamış hala aynı duruyor. Ve sonra başlarlar, hatayı aramak için sistemin altını üstüne getirmeye.. Eğer böyle bir durum var ise, etkin policy hem domain seviyesinden hemde OU’dan alınır. Bilgisayar domain policy’i alır, user ise OU’daki policy’i alır.
Bilgisayarımızın yada kullanıcımızın hangi policy yada policyleri aldığını ve GPO’larınız ile ilgili bir takım detaylı ayarları öğrenmek için, bilgisayarda, gpresult /R komutunu çalıştırabilirsiniz.Aşağıdaki şekilde örnek bir gpresult çıktısını görmektesiniz
Kayıtlar
0 comments :
Yorum Gönder