GPO Üzerinden Administrative Template (.adm file) Uygulanması

27.01.2008 | 18:25 Dokümanlar , Windows Server 8 Yorum

Bildiğiniz gibi ADM dosyaları, GPO ile sağlayamadığımız ya da sağladığımız ama biraz daha özelleştirerek uygulamak istediğimiz ayarlarda imdadımıza yetişen ve çok kullanışlı dosyalardır.

ADM dosyaları, registry’e işlenebilen anahtarlar ve değerler içerir. Şöyle ki;

Active Directory ortamı içinde merkezi olarak uygulanan tüm GPO (Group Policy Object) ayarları, aslında terminaller üzerinde duran registry’e etki eder ve ayar bu sayede aktif olur.

GPO için Administrative Template Nedir?

Kabaca bahsedersek; bir kullanıcı için Çalıştır kutusunu devre dışı bırakmak istiyoruz ve ilgili GPO ayarını AD içinde aktif yapıyoruz. Yaptığımız bu ayarın uygulama bilgisi, DC üzerinde paylaşımda olan SYSVOL dizinine atılır. Bu ayarın içeriği ise istemci bilgisayar üzerindeki uygun regisrty anahtarı altındaki değeri, uygun şekilde düzenlemek yada yaratmaktır.

Domain’e dahil şekilde çalışan PC’ler oturum açmak istediğinde bu dizinini kontrolü eder ve kendine uygulanmış bir ayarın olup olmadığına bakar. Eğer ki uygulanmış bir ayar varsa, bu ayarı okur ve kendi registry’si üzerine yazar. (kullanıcı ve ya bilgisayar bazlı olarak) Böylece uyguladığımız GPO ayarı aktif olur.

Biz yukarıdaki bu işlemi GPO kullanmadan da yapabiliriz. Terminal üzerinde regedit.exe açarız ve uygun anahtar altında, uygun değeri düzenleyip aynı sonuca varabiliriz.

Aslında anlatmak istediğim, GPO ayarları aslında registry üzerine girilen anahtar ve değerlerden ibarettir. ADM dosyaları da GPO ile yapamadığımız ya da daha spesifik şekilde uygulamak istediğimiz ayarlar için kullanabileceğimiz registry anahtarları ve değerleri içeren dosyalardır. Temelde text dosyası içinde bulunan ve registry için anlamlı olan verinin, adm uzantısı ile kayıt edilmiş halidir. (Farklı kaydet> *.adm)

Şimdi bir ADM dosyasını domain ortamımıza nasıl uygulayabileceğimize bakalım.

GPO için Administrative Template Kullanımı

Örnekte kullanacağım dosya, domain ortamındaki PC’ler üzerinde USB Disk, CD ve Floppy sürücüleri devre dışı bırakıyor.

AD Users and Computers içinde ilgili OU ya yeni bir GPO bağlıyoruz ve Bilgisayar Yapılandırması altında Yönetim Şablonlarına sağ tıklayıp Şablon Ekle/Kaldır diyoruz. (Bu ADM’i uygulayacağımız OU altında Bilgisayar Hesapları bulunmalı.)

GPO Düzenleyicisi

Gelen pencerede Ekle butonuna basarak ADM dosyamızın yolunu gösteriyoruz.

GPO Yönetim Saşbolnları Ekle-Kaldır

Bu işlemden sonra ADM dosyamız, aşağıdaki gibi listede görünüyor olmalı.

ADM Ekle

Listede görünüyor olması ekleme işlemi için yeterli. Kapat diyerek Şablon Ekle/Kaldır penceresini kapatıyoruz.

Bu işlemden sonra oluşturduğumuz GPO içinde, Yönetim Şablonları altına yeni bir seçenek ekleniyor.

ADM Policy Özellikleri

Ancak sağ tarafta ayarları görünmüyor. Seçeneklerin görünür olması için, Görünüm menüsünden Süzgeç kısmına geliyoruz.

GPO Süzgeç

Aşağıdaki iki seçeneğin işaretlenmemiş olmasını sağlıyoruz ve tamam diyoruz.

GPO Süzgeç 2

Artık ayarlar aşağıdaki gibi görünür durumda.

GPO USB Disk Engelleme

Uygulamak istediğimiz ayarı tıklıyoruz ve aktif yapmak için aşağıdaki şekilde yapılandırıyoruz.

GPO Ayarı

Diğer seçenekleri de ihtiyaca göre yapılandırabilirsiniz. Bu işlemden sonra GPO penceresini kapatabiliriz, ayarımız tamam.

Bu noktadan sonra ayarın etki ettiği terminallerde (GPO’yu bağladığımız OU altındakiler) USB diskler kullanılamaz duruma gelir.

Dikkat etmeniz gereken bir nokta ise bu ayarın nasıl geri alınacağı. Bu ayar registry tabanlı olduğu ve bilgisayara atki ettiği için GPO nun ilgili OU üzerinden silinmesi yeterli olmuyor. Ayarı eski haline getirmek için tam tersini uygulamak gerekli. Yani aşağıdaki gibi “sürücüyü disable yapma” şeklinde yeniden uygulamalıyız.

GPO Ayarı 2

Bu ayarın terminallere doğru şekilde uygulandığından emin olduktan sonra GPO silinebilir.

Ayrıca ayarların terminaller üzerinde etkili olması için bazen birkaç restart gerekebiliyor.

Tüm ADM dosyalarını bu şekilde kullanabilirsiniz. Herhangi bir ADM dosyasını editör yardımı ile açarsanız içeriğinde neler olduğunu görebilir ve düzenleyebilirsiniz.

Makalede kullanılan ADM dosyası.

Yazı Etiketleri: , ,

Sayfa Başı ▲

Yorumlar (8)

  1. eren

    anlatımınız için teşekkürler öncelikle. yeni başlayan bir bilgi işlemciyim. bu makaledeki anlatımızı denedim ama sadece usb flash memoryler için geçerli. peki diğer taşınabilir hdd ler için iptali için ne yapmamız gerekli. çok teşekkür ederim yardımlarınıza.

  2. Serhat AKINCI

    Selam Eren: External disk’ler genelde local disk gibi çalışırlar ve bazen bu GPO bu diskleri yakalayamayabiliyor. Bu durumda yine GPO ile sürücü harfi kısıtlamasına gidebilirsin.

  3. Erdoğan Türkmen

    serhat hocam emeğinize sağlık, teşekkürler. Anlatmış olduğunuz uygulamayı başarılı bir şekilde yaptım. Ancak ben bu uygulamayı computer bazlı değil de user bazlı yapmak istiyorum. Normal kullanıcı usb taktığında çalışmasın ama benim oturumumda çalışsın gibi.. bunun için ne yapmalıyım ? Teşekkürler.

  4. Serhat AKINCI

    Selam Erdoğan: Bu policy malesef computer bazlı çalışır. İstediğini third-party uygulamalar ile yapabilirsin. Devicelock gibi..

  5. Hamit

    Sedat hocam bilgileriniz için çok teşekkürler bu ypatığınız .adm file bu sayfada yayınlarsanız çok makbüle geçer teşekkür ederim

  6. Serhat AKINCI

    Selam Hamit: ADM dosyası makalenin sonunda yer alıyor :)

  7. Erdinc

    Serhat bey, bu adm dosyasını kullandıktan sonra eski ayarlara dönüş yapmayı denediniz mi? Şu an bu iş için yarattığım group policy yi silmemem rağmen halal bilgisayarlar cihazları görmüyor. Sanırım hepsini elle tanıtmam gerekecek?
    Bu konu hakkında hiç denemeniz oldumu?

  8. Serhat AKINCI

    Policy’i silmek ayarın geri dönmesi için yeterli olmaz. Tekrar eski haline getiren policy’i uygulamalısınız. Yani şu şekilde: http://www.serhatakinci.com/wp-content/uploads/2008/01/012708-1523-gpozerinden9.png

    Makalenin en alt bölümünde bilgi de yer alıyor.

Yorum Ekle