Active Directory Restricted Groups Policy – Sınırlı Gruplar

Bazı durumlarda etki alanı içerisinde çalışan bilgisayarlar üzerindeki yerel gruplara (local groups) hangi kullanıcı hesaplarının üye olması gerektiğini belirlemek, dahası bu listeyi belirli kullanıcı hesapları ile sınırlandırmak isteyebilirsiniz. Örneğin local administrators grubu bu konudaki güzel örneklerden biridir. Local administrators grubu, etki alanı içerisindeki bilgisayarlar üzerinde bulunan en yüksek yetkilere sahip gruptur ve bu grup üyesi kullanıcı hesapları o bilgisayar üzerinde 10 kaplan gücündedir :) Yerel administrator hesabı ve eğer bilgisayar etki alanı üyesi ise Domain Admins grubu varsayılan olarak yerel Administrators grubuna üye durumdadır.

Özellikle hassas yerel grupların üye listesinde her zaman belirli kullanıcı hesaplarının yer almasını ve bir şekilde manuel olarak liste dışından hesaplar eklendiğinde dahi ilk gpupdate’de ezilip orijinal listeye geri dönmesini istiyorsanız kullanmanız gereken GPO Restricted Groups policy ayarıdır. Restricted Groups policy ayarı bir yerel gruba hangi kullanıcı hesaplarının veya hangi grupların üye olacağını veya bu yerel grubun hangi diğer gruplara üye olacağını belirlemek ve sınırlandırmak için kullanılır.

Restricted Groups (sınırlı gruplar) policy ayarı çok eski Windows sürümlerinde bu yana vardır ama Local Users and Groups policy ayarı kadar kapsamlı ve esnek değildir çünkü sadece belirli bir amaç için kullanılır; yerel gruplara üye olan hesapların her zaman aynı kalmasını garanti etmek. Eğer söz konusu yerel grup için tüm istemci bilgisayarlar üzerindeki ihtiyaç (yani üye olan hesaplar listesi veya üye olunan diğer gruplar listesi) aynı ise, bu GPO’yu o gruba yeni bir hesabı üye yapmak için de kullanabilirsiniz. Ama şunu unutmayın: yeni hesap bu GPO’dan etkilenen tüm bilgisayarlar üzerindeki ilgili gruba üye yapılır ve gönderilen listeyle örtüşmeyen tüm kullanıcı hesaplarının üyelikleri yerel gruptan silinir.

Restricted Groups Policy Nasıl Kullanılır?

Bu GPO’yu merkezi olarak uygulamak için, etkilenmesini istediğiniz bilgisayar hesaplarının bulunduğu OU’ya yeni bir GPO bağlayın ve Computer Configuration > Windows Settings > Security Settings > Restricted Groups yolunu takip ederek Add Group deyin.

restricted-groups-policy

Denetim altına almak istediğiniz yerel grubun ismini doğrudan yazabilir veya Browse ile AD yapısından bir Computer Account bulup yerel grubu direkt üzerinden alabilirsiniz. Daha sonra ise bu gruba üye olmasını istediğiniz hesap ve grupları Members of this group bölümüne, bu grubun üye olmasını istediğiniz grupları This group is a mamber of bölümüne ekleyin.

restricted-groups-policy-administrators

Buraya dikkat: Administrators gibi bir grupla ilgili denetim yapmak istiyorsanız varsayılan durumda olması gereken kullanıcı hesabı ve grupları eklemeyi sakın unutmayın. Yukarıdaki örnekte yerel administrator hesabı ve o etki alanına özgü IPW\Domain Admins grubu muhakkak listede olması gereken objelerdir. IPW\clientadmin hesabı ise benim opsiyonel olarak eklediğim ve tüm bilgisayarlardaki yerel Administrators grubuna üye yapılmasını istediğim bir hesap.

Ardından onaylayarak kapatın. Restricted Groups policy ayarı hazır.

İlgili GPO’yu bağladığınız OU içerisindeki bilgisayarlardan birine gidip en basitinden gpupdate /force yaparsanız, restart’a gerek olmadan yerel administrators grubunun üyelerinin bu listedekilerle değiştirildiğini görürsünüz.

Davranışı görmek adına yine doğrudan o bilgisayar üzerinde yerel administrators grubuna manuel olarak farklı bir hesap üye yapın. Yapılabildiğini göreceksiniz. Ancak ilk gpupdate’de Restricted Groups policy ayarı tarafından bu grubun üye listesi eski haline dönüştürülür.

restricted-gpo-administrators

Group Policy güncelleme (gpupdate) işlemi genellikle aşağıdaki durumlarda tetiklenir.

  • Bir bilgisayar açılırken. (boot)
  • Bir bilgisayar yeniden başlatıldığında. (restart)
  • AD yapısındaki yenileme sıklığına bağlı olarak bir sonraki gpupdate döngüsünde.
  • Manuel olarak gpupdate /force çalıştırıldığında.

Restricted Groups policy ayarıyla ilgili aklınızda bulunsun

  • Windows Server 2000’den bu yana vardır. Daha eskiyi anımsayamadım.
  • Sadece bilgisayar (computer configuration) bazlı uygulanabilir. Bu sebeple Restricted Groups policy ayarının bağlı olduğu OU altında mutlaka bilgisayar hesaplarının yer alması gerekir.
  • Bir yerel grubun üye listesini Restricted Groups policy ile düzenlediğinizde, GPO’dan etkilenen bilgisayarlar üzerindeki bu gruba üye kullanıcı hesap listesi GPO’dan gelen liste ile değiştirilir. GPO ile gönderdiğiniz listede olup da yerel grupta olmayanlar eklenir, listede olmayıp yerel grupta olanlar ise çıkartılır. Yani bu policy ayarı update değil overwrite yaparak çalışır.

Restricted Groups policy ayarının yetenekleri de dahil olmak üzere Local Users and Groups altıdaki neredeyse tüm operasyonel işleri gerçekleştirebilen bir başka GPO ise local users and groups policy ayarıdır. Ayrıca inceleyebilirsiniz.

Yazı Etiketleri: , ,

Sayfa Başı ▲

Yorumlar (1)

  1. Okan

    Hocam ne yaptıysam bu policy i test ortamımda çalıştıramadım. Server 2012 dc de ilgili policy i oluşturdum ve seçtiğim bir ou ya linkledim. client tarafında win 7 var ve gpupdate /force yapmama rağmen Administrator grubundaki listede değişme olmuyor. Çözemedim gitti bu sorunu

Yorum Ekle