Group Policy (GPO)

  • Kullanıcı deneyimlerini kontrol eder, güvenliği ve sistemi yönetir, uygulama kurar.
  • ADMX file ile hem User hem Computer tarafında aynı değer farklı şekilde davranması için ayarlanmışsa Computer tarafındaki ayar geçerli olur.
  • Etki etme sırası şu şekildedir : OU > Domain > Site > Local GPO > Default OS Settings

GPO İşlem Süreleri

1- Startup (Computer)
2- Logon (User)
3- Client’ a etki etmesi 90-120 dakika
4- DC’ ler arası 5 dakika
5- gpupdate ile anında
6- GPMC ile ilgili OU, domain ya da site’ a sağ tıklanır ve Group Policy Update’ e basılır. İşlem 1-10 dakika arasında tamamlanır.

  • 1 ve 2 ön plan, 3 ve 4 arka plan olarak adlandırılır.
  • Eğer aynı ayar için farklı aksiyon ayarlanmış 2 GPO varsa ve bunlar aynı OU’ ya atanmışsa Precedence değeri düşük olan çalışır.
  • İlgili GPO’ ya sağ tıklayıp GPO Status kısmından çalışma şeklini değiştirebiliriz.
  • Bir veya daha fazla GPO Enforced edildiğinde eğer Block Inheritance yapılmış olan OU varsa enforced edilmiş GPO’ lar etkin olacaktır.
  • Etkin bir GPO’ nun Delegation tabına gelerek etki ettiği User hesaplarından dilediğimizi çıkarabiliriz. Varsayılan olarak gelen Authenticated Users kalsın. Örneğin User1 kullanıcısının GPO’ dan etkilenmemesini istersek, Advanced\Add kısmından User1’i ekler ve Apply Group Policy kısmını Deny olarak işaretleriz.

Loopback Processing

Bir OU içerisindeki kullanıcılara belirli konfigürasyonlar uyguladık. Sonra başka bir OU’ a ait kullanıcı ile oturum açarsak yani farklı bir GPO’ ya sahip birisi geldiği zaman bu yasakları delmiş olur. Loopback processing kullanıcıya uyguladığımız ayarları bilgisayara da uyguluyor. Bu durumu önlemek için Computer Configuration\Policies\Administrative Templates\System\Group Policy sekmelerinden User Group Policy loopback processing mode ayarını Enable ederek işlemi gerçekleştirebiliriz. 2 tane seçenek vardır. Bunlar ;

Merge Mode : Kullanıcı oturum açtığı bilgisayar ilkesi ile kendi kullanıcı ilkesini alır, çakışma durumunda oturum açtığı bilgisayar ilkesi geçerli olur.
Replace Mode : Kullanıcı gittiği OU’ nun hem kullanıcı hem de bilgisayar ilkelerini alır.

 

Group Policy Modeling Wizard

Bir plan veya test için GPO atayacaksak bunun simülasyonunu almamıza yarar.

 

Slow Link Processing

Bazı ayarlar yavaş bağlantı üzerinden çalışmak için ideal değildir. Bunlar;

  • IE maintenance
  • Scripts
  • IPSec
  • Wireless
  • Disk quota
  • Folder Redirection
  • Software Installation

Bu ayarlar yavaş bağlantı üzerinden işlem görmez. Bununla birlikte güvenlik ve kayıt anahtarı ayarları her zaman kabul edilir.

Yavaş bağlantının üst sınır bant genişliği ayarını değiştirir.Computer\Administrative Templates\System\Group Policy altındaki Configure Group Policy slow link detection
ADMX dosyalarının istemci makinede bulunduğu dizindir. C:\Windows\PolicyDefinitions

ADM/ADMX Şablonları

ADM Şablonları W2K3 ve öncesi içindir.
 C:\Windows\inf dizininde bulunur.
 Bağlı bulunduğu her GPO için ayrıca kopyalanır (Min. 3MB)
 SYSVOL dizinine yük getirir.
 Dil bağımsızlığı yoktur.
ADMX Şablonları W2K8 ve sonrası içindir
 Dil dosyaları (ADML) da W2K8 ve sonrası içindir
 C:\Windows\PolicyDefinitions altında bulunur
 Dil bağımsızlığı vardır
 GPO hala ADM okuyabilir
 GPO başına kopyalanmaz

ADMX Migrator uygulaması ile ADM dosyaları ADMX dosyası olarak dönüştürülür. https://technet.microsoft.com/en-us/magazine/2008.02.utilityspotlight.aspx

Scipts

  • Windows tüm script dillerini okuyabilir
    • PowerShell (W2K8R2 ve üzeri ile Windows 7 ve üzeri için)
    • VBScript
    • .bat , .cmd
  • Script’ lerin paylaşımda olması gerekir.
    • Tüm kimlik doğrulamasını geçebilen kullanıcı hesaplarının ve bilgisayar hesaplarının erişimi olduğundan NETLOGON dizini önerilir.

Software Deployment

  • İlkel fakat etkilidir.
  • Bu işlem için kullanılacak .msi dosyaları paylaşımda olmalıdır
  • Kullanıcı ve bilgisayar hesapları için zorla yüklenebilir
  • Kullanıcı hesapları için publish edilerek denetim masası üzerinden elle yüklenebilir.
  • .msi dosyalarını destekler
  • Uygulamayı kaldırma işlemi yapılabilir (Bu, software packages‘ e sağ tıklayıp Remove seçeneği ile mümkündür).

GPO Backup/Restore

Tüm GPO' ları yedekler. -All yerine -Name "GPOAdı" yazılırsa o GPO yedeklenir.

Backup-Gpo -All -Path \\SunucuAdı\PaylaşımDizini
Geri yükleme işlemini yapar. Eğer işlem başarısız olursa GPOAdı ismine sahip yeni bir GPO yaratılır. Sonra komut tekrar çalıştırılır ve geri yükleme işlemi tamamlanır. GPMC' a bakıldığında aynı isimde 2 adet GPO görünecektir. Boş olan silinebilir.Restore-Gpo -Name "GPOAdı" -Path \\SunucuAdı\PaylaşımDizini

GPMC\Group Policy Objects\ altından Manage Backups ile yedekleme ve geri yükleme işlemleri yapılabilir.

GPO silinmemişken geri yükleme işlemi yapmak istersek ilgili GPO’ ya sağ tıklar açılan menüden Restore From Backup seçeneğini seçeriz.

Migration

Aynı forest içerisindeki başka domain’ler arasındaki GPO’ların diğerine taşınmasıdır.

1- Kaynak sunucu üzerinde taşınacak GPO’ nun Delegation tabında bir Domain Global Group eklenir ve Read yetkisi verilir.
2- Hedef sunucu üzerinde GPMC\Group Policy Object\ sağ tuş Migration Table Editor açılır.
3- Tablo aşağıdaki örnekte olduğu gibi doldurulur.

Source NameSource TypeDestination Name
KaynakGrup@KaynakDomain.localDomain Global GroupHedefGrup@HedefDomain.local
\\KaynakSunucu\NETLOGONUNC Path\\HedefSunucu\NETLOGON

4- Migration Table Editor kaydedilir ve kapatılır. Böylelikle NETLOGON klasörü migration işlemi tamamlanır.
5- Hedef sunucuda yeni bir GPO yaratılır ve sağ tuş Import Settings’ e basılır.
7- Source GPO kısmında kaynak sunucudan aktarılacak GPO seçilir.
8- Using this migration table to map them in the destination GPO seçeneği seçilir ve kaydettiğimiz Migration Table gösterilir.

WMI Filters

İşletim sistemlerine göre sorgu kodları

WMI filtresi adıWQL sorgu deyimi
Windows Server 2012select * from Win32_OperatingSystem where Version like "6.2%" and ProductType = "3"
Windows 8select * from Win32_OperatingSystem where Version like "6.2%" and ProductType = "1"
Windows Server 2008 R2select * from Win32_OperatingSystem where Version like "6.1%" and ProductType = "3"
Windows 7select * from Win32_OperatingSystem where Version like "6.1%" and ProductType = "1"
Windows Server 2008select * from Win32_OperatingSystem where Version like "6.0%" and ProductType = "3"
Windows Vistaselect * from Win32_OperatingSystem where Version like "6.0%" and ProductType = "1"
Windows Server 2003select * from Win32_OperatingSystem where Version like "5.2%" and ProductType = "3"
Windows XPselect * from Win32_OperatingSystem where (Version like "5.1%" or Version like "5.2%") and ProductType = "1

Restore Default GPOs

Kullanılacak KonsolRunAsAdminPS
Default Domain Policy’ i varsayılan ayarlarına geri yükler.dcgpofix /target:domain
Default Domain Controller Policy’ i varsayılan ayarlarına geri yükler.dcgpofix /target:dc
Her ikisini de varsayılan ayarlarına geri yükler.dcgpofix /target:both
GPO Hakkında