"Group Policy" etiketi için bulunan tüm sonuçlar:

Active Directory Restricted Groups Policy – Sınırlı Gruplar

Bazı durumlarda etki alanı içerisinde çalışan bilgisayarlar üzerindeki yerel gruplara (local groups) hangi kullanıcı hesaplarının üye olması gerektiğini belirlemek, dahası bu listeyi belirli kullanıcı hesapları ile sınırlandırmak isteyebilirsiniz. Örneğin local administrators grubu bu konudaki güzel örneklerden biridir. Local administrators grubu, etki alanı içerisindeki bilgisayarlar üzerinde bulunan en yüksek yetkilere sahip gruptur ve bu grup üyesi kullanıcı hesapları o bilgisayar üzerinde 10 kaplan gücündedir :) Yerel administrator hesabı ve eğer bilgisayar etki alanı üyesi ise Domain Admins grubu varsayılan olarak yerel Administrators grubuna üye durumdadır.

Özellikle hassas yerel grupların üye listesinde her zaman belirli kullanıcı hesaplarının yer almasını ve bir şekilde manuel olarak liste dışından hesaplar eklendiğinde dahi ilk gpupdate’de ezilip orijinal listeye geri dönmesini istiyorsanız kullanmanız gereken GPO Restricted Groups policy ayarıdır. Restricted Groups policy ayarı bir yerel gruba hangi kullanıcı hesaplarının veya hangi grupların üye olacağını veya bu yerel grubun hangi diğer gruplara üye olacağını belirlemek ve sınırlandırmak için kullanılır.

Restricted Groups (sınırlı gruplar) policy ayarı çok eski Windows sürümlerinde bu yana vardır ama Local Users and Groups policy ayarı kadar kapsamlı ve esnek değildir çünkü sadece belirli bir amaç için kullanılır; yerel gruplara üye olan hesapların her zaman aynı kalmasını garanti etmek. Eğer söz konusu yerel grup için tüm istemci bilgisayarlar üzerindeki ihtiyaç (yani üye olan hesaplar listesi veya üye olunan diğer gruplar listesi) aynı ise, bu GPO’yu o gruba yeni bir hesabı üye yapmak için de kullanabilirsiniz. Ama şunu unutmayın: yeni hesap bu GPO’dan etkilenen tüm bilgisayarlar üzerindeki ilgili gruba üye yapılır ve gönderilen listeyle örtüşmeyen tüm kullanıcı hesaplarının üyelikleri yerel gruptan silinir.

Devamını oku…

GPO ile Local Group’lara yeni kullanıcı ekleme – AD

Çeşitli nedenlerden ötürü Active Directory (AD) etki alanı üyesi Windows tabanlı bilgisayarlar üzerindeki local (yerel) gruplara yeni kullanıcı hesapları eklemek isteyebilirsiniz. Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkün. Ama bunu birden fazla bilgisayar için yapmanız gerekiyorsa tek tek uğraşmak zaman kaybı olacaktır.

Örneğin otomatikleştirilmiş ve merkezileştirilmiş birtakım operasyonel işlerde kullanmak üzere ve Active Directory organizasyonu içerisindeki tüm bilgisayarlar üzerinde yerel yönetici (local administrator) yetkilerine sahip bir etki alanı hesabı (domain user account) oluşturmak istiyorsunuz. Bu operasyonel işler için domain administrator hesabını kullanmayı da tercih edebilirsiniz ama Domain Admins grubuna üye bir hesap muhtemelen gereğinden fazla yetkili olacak ve daha önemlisi bir güvenlik tedbiri olarak bu seviyede yetkili hesapları bu gibi operasyonel işlerde kullanmamalısınız.

Öncelikle Active Directory Users and Computers yönetim konsolunu kullanarak bir kullanıcı hesabı (user account) oluşturun. Bu hesabın sadece Domain Users grubuna üye olması yeterli çünkü asıl hedef bu hesabın istemci bilgisayarlar (clients) üzerinde yetkili olması.

Aşağıda logon name’i clientadmin olan ve Domain Users üyesi bir hesap görebilirsiniz.

ad-kullanci-hesabi-uyelik

Bu domain user account’u organizasyon içerisindeki tüm bilgisayarların local administrators (yerel yöneticiler) grubuna topluca üye yapmak için birkaç şansınız var. Bunlar arasında en kolayı ise hiç şüphesiz Group Policy Object (GPO) mekanizmasını kullanmak. GPO’lar organizasyon içerisindeki sunucu ve istemci bilgisayarlarda gerçekleştirmek durumunda olduğunuz birçok operasyonel işi topluca uygulamanıza yardımcı olan objelerdir ve merkezi olarak oluşturulup yönetilirler.

Devamını oku…