"GPO" etiketi için bulunan tüm sonuçlar:

Active Directory Restricted Groups Policy – Sınırlı Gruplar

Bazı durumlarda etki alanı içerisinde çalışan bilgisayarlar üzerindeki yerel gruplara (local groups) hangi kullanıcı hesaplarının üye olması gerektiğini belirlemek, dahası bu listeyi belirli kullanıcı hesapları ile sınırlandırmak isteyebilirsiniz. Örneğin local administrators grubu bu konudaki güzel örneklerden biridir. Local administrators grubu, etki alanı içerisindeki bilgisayarlar üzerinde bulunan en yüksek yetkilere sahip gruptur ve bu grup üyesi kullanıcı hesapları o bilgisayar üzerinde 10 kaplan gücündedir :) Yerel administrator hesabı ve eğer bilgisayar etki alanı üyesi ise Domain Admins grubu varsayılan olarak yerel Administrators grubuna üye durumdadır.

Özellikle hassas yerel grupların üye listesinde her zaman belirli kullanıcı hesaplarının yer almasını ve bir şekilde manuel olarak liste dışından hesaplar eklendiğinde dahi ilk gpupdate’de ezilip orijinal listeye geri dönmesini istiyorsanız kullanmanız gereken GPO Restricted Groups policy ayarıdır. Restricted Groups policy ayarı bir yerel gruba hangi kullanıcı hesaplarının veya hangi grupların üye olacağını veya bu yerel grubun hangi diğer gruplara üye olacağını belirlemek ve sınırlandırmak için kullanılır.

Restricted Groups (sınırlı gruplar) policy ayarı çok eski Windows sürümlerinde bu yana vardır ama Local Users and Groups policy ayarı kadar kapsamlı ve esnek değildir çünkü sadece belirli bir amaç için kullanılır; yerel gruplara üye olan hesapların her zaman aynı kalmasını garanti etmek. Eğer söz konusu yerel grup için tüm istemci bilgisayarlar üzerindeki ihtiyaç (yani üye olan hesaplar listesi veya üye olunan diğer gruplar listesi) aynı ise, bu GPO’yu o gruba yeni bir hesabı üye yapmak için de kullanabilirsiniz. Ama şunu unutmayın: yeni hesap bu GPO’dan etkilenen tüm bilgisayarlar üzerindeki ilgili gruba üye yapılır ve gönderilen listeyle örtüşmeyen tüm kullanıcı hesaplarının üyelikleri yerel gruptan silinir.

Devamını oku…

GPO ile Local Group’lara yeni kullanıcı ekleme – AD

Çeşitli nedenlerden ötürü Active Directory (AD) etki alanı üyesi Windows tabanlı bilgisayarlar üzerindeki local (yerel) gruplara yeni kullanıcı hesapları eklemek isteyebilirsiniz. Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkün. Ama bunu birden fazla bilgisayar için yapmanız gerekiyorsa tek tek uğraşmak zaman kaybı olacaktır.

Örneğin otomatikleştirilmiş ve merkezileştirilmiş birtakım operasyonel işlerde kullanmak üzere ve Active Directory organizasyonu içerisindeki tüm bilgisayarlar üzerinde yerel yönetici (local administrator) yetkilerine sahip bir etki alanı hesabı (domain user account) oluşturmak istiyorsunuz. Bu operasyonel işler için domain administrator hesabını kullanmayı da tercih edebilirsiniz ama Domain Admins grubuna üye bir hesap muhtemelen gereğinden fazla yetkili olacak ve daha önemlisi bir güvenlik tedbiri olarak bu seviyede yetkili hesapları bu gibi operasyonel işlerde kullanmamalısınız.

Öncelikle Active Directory Users and Computers yönetim konsolunu kullanarak bir kullanıcı hesabı (user account) oluşturun. Bu hesabın sadece Domain Users grubuna üye olması yeterli çünkü asıl hedef bu hesabın istemci bilgisayarlar (clients) üzerinde yetkili olması.

Aşağıda logon name’i clientadmin olan ve Domain Users üyesi bir hesap görebilirsiniz.

ad-kullanci-hesabi-uyelik

Bu domain user account’u organizasyon içerisindeki tüm bilgisayarların local administrators (yerel yöneticiler) grubuna topluca üye yapmak için birkaç şansınız var. Bunlar arasında en kolayı ise hiç şüphesiz Group Policy Object (GPO) mekanizmasını kullanmak. GPO’lar organizasyon içerisindeki sunucu ve istemci bilgisayarlarda gerçekleştirmek durumunda olduğunuz birçok operasyonel işi topluca uygulamanıza yardımcı olan objelerdir ve merkezi olarak oluşturulup yönetilirler.

Devamını oku…

GPO ile Web Sitesi Yasaklama

27.06.2008 | 17:08 Çözümler , Windows , Windows Server 29 Yorum

GPO (Group Policy Object) kullanarak web sitelerini yasaklama şansımız var. Aslında buna yasaklamak değil de izin vermek desek daha doğru olacak.

Öncelikle bunun tam bir çözüm olmayacağının altını çizmek istiyorum. Küçük yapılarda kullanabilirsiniz. Daha büyük yapılarda ise mutlaka gateway üzerinde bir Firewall veya içerik filtreleme sistemi kullanmanız tavsiye edilir. (ör: ISA Server, fortigate vs..)

Yazının amacı GPO ile sadece izin verilen sitelere erişimin sağlanması, diğer tüm sitelerin block ‘lanmasıdır.

Ben local policy üzerinde anlatıyorum, siz bunu tüm domain ortamına uygulayabilirsiniz.

Başlat> çalıştır> gpedit.msc açıyoruz ve aşağıdaki “Proxy Ayarları” kısmına geliyoruz.

GPO Proxy Ayarları

Devamını oku…

GPO Üzerinden Administrative Template (.adm file) Uygulanması

27.01.2008 | 18:25 Dokümanlar , Windows Server 8 Yorum

Bildiğiniz gibi ADM dosyaları, GPO ile sağlayamadığımız ya da sağladığımız ama biraz daha özelleştirerek uygulamak istediğimiz ayarlarda imdadımıza yetişen ve çok kullanışlı dosyalardır.

ADM dosyaları, registry’e işlenebilen anahtarlar ve değerler içerir. Şöyle ki;

Active Directory ortamı içinde merkezi olarak uygulanan tüm GPO (Group Policy Object) ayarları, aslında terminaller üzerinde duran registry’e etki eder ve ayar bu sayede aktif olur.

GPO için Administrative Template Nedir?

Kabaca bahsedersek; bir kullanıcı için Çalıştır kutusunu devre dışı bırakmak istiyoruz ve ilgili GPO ayarını AD içinde aktif yapıyoruz. Yaptığımız bu ayarın uygulama bilgisi, DC üzerinde paylaşımda olan SYSVOL dizinine atılır. Bu ayarın içeriği ise istemci bilgisayar üzerindeki uygun regisrty anahtarı altındaki değeri, uygun şekilde düzenlemek yada yaratmaktır. Devamını oku…

USB Diskler ReadOnly Kullanılsın

28.10.2007 | 23:38 Çözümler , Windows , Windows Server 6 Yorum

Merhaba,

USB disklerin (aslında taşınabilir bellekler) kullanımının engellenmesi işletmelerde sıkça gerek duyulan bir durumdur. Çünkü USB diskler, veri hırsızlığı yapmak için kullanılabilecek araçların başında geliyor. (kapasite, fiziksel boyut, kullanım kolaylığı) Bunun önüne geçmek için third-party yazılımlar mevcut ancak Windows üzerinde yapacağımız birkaç küçük değişiklik ile bu programlara gerek duymadan da bu işi halledebiliyoruz. Hem de tamamen engellemek yerine sadece okunabilir olacak şekilde. Yani kullanıcılar USB disk içine başka bilgisayardan atılmış verileri okuyabilecek ve alabilecekler. Ama kullanıcı, bilgisayarları üzerinden hiçbir veriyi USB diske atamayacak. Devamını oku…

Çoklu DNS Adresi Atama – Netsh

27.10.2007 | 09:52 Çözümler , Windows 7 Yorum

Bazı durumlarda komut ile çoklu DNS adresi atamak gerekebilir. Bu noktada yine Netsh komutu imdadımıza yetişiyor.

Aşağıdaki kodu bir BAT dosyası yapıp çalıştırın.

netsh interface ip add dns "Local" 10.0.0.1
netsh interface ip add dns "Local" 10.0.0.2 index=2

Gördüğünüz gibi sihirli kelime index=2

Aşağıdaki gibi devam edebilirsiniz.

netsh interface ip add dns "Local" 10.0.0.1
netsh interface ip add dns "Local" 10.0.0.2 index=2
netsh interface ip add dns "Local" 10.0.0.3 index=3
netsh interface ip add dns "Local" 10.0.0.4 index=4

“Local” ise DNS atayacağımız ağ bağlantısı ismi. GPO ile domain’e de uygulayabiliriz.

Ağ Bağlantısı İsmini Değiştirmek – Script

27.10.2007 | 09:51 Çözümler , Windows 0 Yorum

Bazı durumlarda ağ bağlantısı ismini bir VB Script yardımıyla değiştirmek isteyebilirsiniz.

Aşağıdaki kod üzerinde gerekli düzenlemeleri yaptıktan sonra uzantısını VBS yapıp kaydederek kullanabilirsiniz.

Const NETWORK_CONNECTIONS = &H31&

Set objShell = CreateObject(“Shell.Application”)
Set objFolder = objShell.Namespace(NETWORK_CONNECTIONS)

Set colItems = objFolder.Items
For Each objItem in colItems
If objItem.Name = “Local Area Connection” Then
objItem.Name = “Local”
End If
Next

“Local Area Connection” yazan değer değişecek ağ bağlantısı ismini temsil ediyor. “Local” yazan ise yeni atanacak ağ bağlantısı ismi.

Script’i GPO ile domain’e uygulayabilirsiniz.

GPO ile Default Gateway Değiştirme – Netsh

27.10.2007 | 09:51 Çözümler , Windows 0 Yorum

Bazı durumlarda terminallerin Default Gateway adreslerini GPO ile değiştirmek isteyebilirsiniz.

Aşağıdaki kodu düzenledikten sonra bir BAT dosyası yaparak kullanıcılara dağıtmanız yeterli.

netsh interface ip delete address "local area connection" gateway=all
netsh interface ip add address "local area connection" gateway=192.168.0.1 gwmetric=0

BAT dosyasının çalıştığı bilgisayarda sadece Default Gateway adresi değişir. (örneğin 192.168.0.1 olarak)

Komuttaki “local area connection” BAT dosyasının çalışacağı bilgisayardaki ağ bağlantısının ismi oluyor. Gerekiyorsa değiştirmelisiniz. Örneğin “Yerel Ağ Bağlantısı” gibi.

BAT dosyasını GPO ile domain ortamına dağıtabilirsiniz.