GPO ile Local Group’lara yeni kullanıcı ekleme – AD

Çeşitli nedenlerden ötürü Active Directory (AD) etki alanı üyesi Windows tabanlı bilgisayarlar üzerindeki local (yerel) gruplara yeni kullanıcı hesapları eklemek isteyebilirsiniz. Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkün. Ama bunu birden fazla bilgisayar için yapmanız gerekiyorsa tek tek uğraşmak zaman kaybı olacaktır.

Örneğin otomatikleştirilmiş ve merkezileştirilmiş birtakım operasyonel işlerde kullanmak üzere ve Active Directory organizasyonu içerisindeki tüm bilgisayarlar üzerinde yerel yönetici (local administrator) yetkilerine sahip bir etki alanı hesabı (domain user account) oluşturmak istiyorsunuz. Bu operasyonel işler için domain administrator hesabını kullanmayı da tercih edebilirsiniz ama Domain Admins grubuna üye bir hesap muhtemelen gereğinden fazla yetkili olacak ve daha önemlisi bir güvenlik tedbiri olarak bu seviyede yetkili hesapları bu gibi operasyonel işlerde kullanmamalısınız.

Öncelikle Active Directory Users and Computers yönetim konsolunu kullanarak bir kullanıcı hesabı (user account) oluşturun. Bu hesabın sadece Domain Users grubuna üye olması yeterli çünkü asıl hedef bu hesabın istemci bilgisayarlar (clients) üzerinde yetkili olması.

Aşağıda logon name’i clientadmin olan ve Domain Users üyesi bir hesap görebilirsiniz.

ad-kullanci-hesabi-uyelik

Bu domain user account’u organizasyon içerisindeki tüm bilgisayarların local administrators (yerel yöneticiler) grubuna topluca üye yapmak için birkaç şansınız var. Bunlar arasında en kolayı ise hiç şüphesiz Group Policy Object (GPO) mekanizmasını kullanmak. GPO’lar organizasyon içerisindeki sunucu ve istemci bilgisayarlarda gerçekleştirmek durumunda olduğunuz birçok operasyonel işi topluca uygulamanıza yardımcı olan objelerdir ve merkezi olarak oluşturulup yönetilirler.

Local Users and Groups Policy Ayarı

Bu Group Policy ayarı Windows Server 2008 & Windows Vista ile birlikte gelir ve daha sonraki Windows sürümlerinde de yer alır. Eğer AD organizasyonunuz hala Windows Server 2003 ise bu GPO’yu göremezsiniz.

Bu policy ayarına ulaşmak için Group Policy Management konsolunda yeni bir GPO oluşturduktan sonra Group Policy Preferences > Control Panel Settings > Local Users and Groups yolunu takip edin.

Şayet Add the current user veya Remove the current user gibi seçenekleri kullanmayacaksanız önerim bu GPO’yu bilgisayar bazlı (computer configuration) uygulamanız olur. Bilgisayar bazlı policy oluştururken dikkat etmeniz gereken şey ise GPO’yu etkilenmesini istediğiniz bilgisayar hesaplarının (computer accounts) bulunduğu OU’ya bağlamanız. Aksi durumda yaptığınız ayar aktif olamayacaktır. Eğer kullanıcı bazlı (user configuration) göndermek istiyorsanız bu sefer de ilgili OU altında kullanıcı hesapları yer alıyor olmalı. Bu ayrıma dikkat.

Etkilenmesi istenen bilgisayar hesaplarının yer aldığı Ipw-Computers OU’suna bağlı Adds clientadmin account to local administrators isimli bir GPO’yu aşağıda görebilirsiniz.

local-users-and-groups-policy

Local Users and Computers > New > Local Group yolunu takip edin. Açılan pencerede Action bölümü Update olarak kalsın. Bu, az sonra seçeceğiniz gurup üzerinde bir güncelleme (ekleme) yapacağınız anlamına geliyor.

Group name bölümünde ise Administrators (built-in) veya kullanıcıyı eklemek istediğiniz bir başka grubu seçin. Bu combobox içerisindekiler kolaylık olması açısından ön tanımlı gruplardır. Eğer burada yer almayan bir grup seçmek isterseniz doğrudan Group name bölümüne ismini yazabilirsiniz. GPO uygulandığında, etkilenen bilgisayarlar üzerinde yazdığınız grup ismiyle eşleşen bir grup bulunursa belirlediğiniz kullanıcı hesabı o gruba üye yapılır.

group-name-administrators

Yukarıdaki 3. adımda (Add…) söz konusu gruba eklemek istediğiniz kullanıcı hesabını veya hesaplarını belirliyorsunuz. Action olarak Add seçtiğinizden emin olun. Bu, ekle yapmak istediğinizi belirtir. Ardından onaylayarak pencereleri kapattın.

GPO hazır.

local-users-and-groups-policy-update-add

Bu GPO’nun bağlı olduğu OU altındaki bilgisayarlar bir sonraki açılışlarında veya bir sonraki gpupdate döngüsünde bu ayarı almış olacaklar. Ya da sonucu hızlıca görmek için bir istemci üzerinde gpupdate /force çalıştırıp Local Administrators grubu üyelerini kontrol edebilirsiniz.

Bu GPO İçin Aklınızda Bulunsun

  • Windows Server 2008 & Windows Vista ve sonrasında yer alır.
  • Bu GPO’yu sadece yerel gruplara kullanıcı eklemek için değil, örneğin bir grubun ismini değiştirmek, yeni bir grup oluşturmak veya tamamen yeni yerel kullanıcı hesapları oluşturmak gibi işler için de kullanabilirsiniz. Kısaca bu GPO bir bilgisayar üzerindeki Local Users and Group altında yapılabilecek her şeyi yapabilir.
  • Bilgisayar veya kullanıcı bazlı olarak uygulanabilir. Bu noktadaki tercihinize göre OU altında doğru AD objeleri bulunduğundan emin olun.
  • Windows Server 2008 veya daha üst sürüm bir DC’den göndermek koşuluyla Windows XP istemcilere de uygulanabilir ama Windows XP’ler üzerinde Group Policy Preference Client Side Extensions for Windows XP  veya kapsayıcı bir güncellemenin yüklü olması gerekir.
  • Bu GPO ile Update aksiyonu olarak yapacağınız ekleme işlemi sırasında o grup üzerinde var olan eski üyelere dokunulmaz. Belirttiğiniz kullanıcı hesapları yeni üyeler olarak diğerlerinin yanına eklenir.
  • Eğer özellikler delete all member users gibi bir seçim yapmazsanız ilerleyen zamanlarda söz konusu yerel gruba örneğin manuel olarak ekleyeceğiniz ilave kullanıcı hesapları bu GPO tarafından ezilmez. Yani Restricted Groups policy ayarı gibi davranmaz.
Yazı Etiketleri: , , ,

Sayfa Başı ▲

Yorumlar (1)

  1. Ali Osman

    Emeğinize sağlık, teşekkürler…

Yorum Ekle