AD GPO İle Yerel Gruplara Kullanıcı Hesabı Eklemek

15.03.2015
3

Çeşitli nedenlerden ötürü Active Directory etki alanı üyesi Windows tabanlı bilgisayarlar üzerindeki yerel (local) gruplara yeni kullanıcı hesapları eklemek isteyebilirsiniz. Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkün ancak bunu çok sayıda bilgisayar için aynı anda yapmanız gerekiyorsa zahmetli olacaktır. Örneğin otomatikleştirilmiş ve merkezileştirilmiş birtakım operasyonel işlerde kullanmak için ve Active Directory organizasyonu içerisindeki tüm bilgisayarlar üzerinde yerel yönetici (local administrator) yetkilerine sahip bir etki alanı hesabı yetkilendirmek istiyorsunuz. Bu iş için öncelikle bir AD kullanıcı hesabı oluşturun. Bu hesabın sadece Domain Users grubuna üye olması yeterli çünkü asıl hedef bu hesabın istemci bilgisayarlar üzerinde yetkili olması. Aşağıda logon name’i “clientadmin” olan ve Domain Users üyesi bir hesap görebilirsiniz.

ad-kullanci-hesabi-uyelik

Bu domain user account’u organizasyon içerisindeki tüm bilgisayarların local administrators grubuna topluca üye yapmak için birkaç seçeneğiniz var. Bunlar arasında en kolayı ise hiç şüphesiz AD Group Policy Object (GPO) mekanizmasını kullanmak. GPO’lar organizasyon içerisindeki sunucu ve istemci bilgisayarlarda gerçekleştirmek durumunda olduğunuz birçok operasyonel işi topluca uygulamanıza yardımcı olan objelerdir ve merkezi olarak oluşturulup yönetilirler.

Local Users and Groups Policy Ayarı

Bu Group Policy ayarı Windows Server 2008 & Windows Vista ile birlikte gelir ve daha sonraki Windows sürümlerinde de yer alır. Eğer AD organizasyonunuz hala Windows Server 2003 ise bu GPO’yu göremezsiniz. Bu policy ayarına ulaşmak için Group Policy Management konsolunda yeni bir GPO oluşturduktan sonra Group Policy Preferences > Control Panel Settings > Local Users and Groups yolunu takip edin. Şayet Add the current user veya Remove the current user gibi seçenekleri kullanmayacaksanız önerim bu GPO’yu bilgisayar bazlı uygulamanız olur. Bilgisayar bazlı policy oluştururken dikkat etmeniz gereken şey ise GPO’yu etkilenmesini istediğiniz bilgisayar hesaplarının (computer accounts) bulunduğu OU’ya bağlamanız. Aksi durumda yaptığınız ayar aktif olamayacaktır. Eğer kullanıcı bazlı (user configuration) göndermek istiyorsanız bu sefer de ilgili OU altında kullanıcı hesapları yer alıyor olmalı. Bu ayrıma dikkat.

Etkilenmesi istenen bilgisayar hesaplarının yer aldığı Ipw-Computers OU’suna bağlı Adds clientadmin account to local administrators isimli bir GPO’yu aşağıda görebilirsiniz.

local-users-and-groups-policy

Local Users and Computers > New > Local Group yolunu takip edin. Açılan pencerede Action bölümü Update olarak kalsın. Bu, az sonra seçeceğiniz gurup üzerinde bir güncelleme (ekleme) yapacağınız anlamına geliyor. Group name bölümünde ise Administrators (built-in) veya kullanıcıyı eklemek istediğiniz bir başka grubu seçin. Bu açılır kutu içerisindekiler kolaylık olması açısından ön tanımlı gruplardır. Eğer burada yer almayan bir grup seçmek isterseniz doğrudan Group name bölümüne ismini yazabilirsiniz. GPO uygulandığında, etkilenen bilgisayarlar üzerinde yazdığınız grup ismiyle eşleşen bir grup bulunursa şayet belirlediğiniz kullanıcı hesabı o gruba üye yapılır.

group-name-administrators

Yukarıdaki 3. adımda (Add…) söz konusu gruba eklemek istediğiniz kullanıcı hesabını veya hesaplarını belirliyorsunuz. Action olarak Add seçtiğinizden emin olun. Bu, ekle yapmak istediğinizi belirtir. Ardından onaylayarak pencereleri kapattın. GPO’nuz hazır. Bu GPO’nun bağlı olduğu OU altındaki bilgisayarlar bir sonraki açılışlarında veya bir sonraki gpupdate döngüsünde bu ayarı almış olurlar. Ya da sonucu hızlıca görmek için bir istemci üzerinde gpupdate /force çalıştırıp Local Administrators grubu üyelerini kontrol edebilirsiniz.

local-users-and-groups-policy-update-add

Bu GPO İçin Aklınızda Bulunsun:

  • Windows Server 2008 & Windows Vista ve sonrasında yer alır.
  • Bu GPO’yu sadece yerel gruplara kullanıcı eklemek için değil, örneğin bir grubun ismini değiştirmek, yeni bir grup oluşturmak veya tamamen yeni yerel kullanıcı hesapları oluşturmak gibi işler için de kullanabilirsiniz. Kısaca bu GPO bir bilgisayar üzerindeki Local Users and Group altında yapılabilecek her şeyi yapabilir.
  • Bilgisayar veya kullanıcı bazlı olarak uygulanabilir. Bu noktadaki tercihinize göre OU altında doğru AD objeleri bulunduğundan emin olun.
  • Windows Server 2008 veya daha üst sürüm bir DC’den göndermek koşuluyla Windows XP istemcilere de uygulanabilir ama Windows XP’ler üzerinde Group Policy Preference Client Side Extensions for Windows XP  veya kapsayıcı bir güncellemenin yüklü olması gerekir.
  • Bu GPO ile Update aksiyonu olarak yapacağınız ekleme işlemi sırasında ilgili grup üzerinde var olan eski üyelere dokunulmaz. Belirttiğiniz kullanıcı hesapları yeni üyeler olarak diğerlerinin yanına eklenir.
  • Eğer özellikle delete all member users gibi bir seçim yapmazsanız ilerleyen zamanlarda söz konusu yerel gruba örneğin manuel olarak ekleyeceğiniz ilave kullanıcı hesapları bu GPO tarafından ezilmez. Yani Restricted Groups policy ayarı gibi davranmaz.

Yorumlar (3)

  1. Ali Osman

    Emeğinize sağlık, teşekkürler…

  2. Gökhan

    Merhaba,
    Server 2012r2 de New local user yapınca şifre kısımı pasif geliyor. Server 2008r2 de bakıyorum aktif. script ile mi yapmalıyım.

  3. emre

    Elinize sağlık, çok teşekkürler.

Yorum Ekle

* Gerekli

* Gerekli

* Tercihen