GROUP POLICY ÇALIŞMA VE ÇATIŞMA MANTIĞI Hazırlayan: Halit AYDIN (16.09.2013) 1
İÇİNDEKİLER 1. POLICY ÇALIŞMA MANTIĞI... 3 2. GROUP POLICY... 4 3. GPO OLUŞTURULMASI... 6 4. GPO AYARLARININ GÖZDEN GEÇİRİLMESİ... 16 5. GPO YA EK AYARLAR EKLEMEK... 22 6. GPO COMPUTER CONFIGURATIN/USER CONFIGURATION... 27 7. GROUP POLICY UYGULAMA SIRALAMASI ve ÇAKIŞMA MANTIĞI... 29 8. GROUP POLICY DİKKAT EDİLMESİ GEREKENLER... 37 Hazırlayan: Halit AYDIN (16.09.2013) 2
1. POLICY ÇALIŞMA MANTIĞI Çoğunlukla Active Directory yapısında kullanılan Policy, sistem yöneticisi için vazgeçilmez kolaylıklar sağlayan bir araçtır. Bir bilgisayara uygulanan policy o bilgisayarda mevcut işletim sistemine ait olan Registry ayarlarında değer değişiklikleri veya değer eklenmesi/silinmesi işlemini yapar. Bu ayarı ister elle Registy ayalarına girerek yaparsınız, ister her bilgisayara has olan Local Policy ile yaparsınız, ister merkezi noktadan yapacağınız bir group policy (GPO) ayarları ile yaparsınız. Registry ayarlarında bildiğiniz gibi iki farklı yapı mevcuttur. 1. HKEY_LOCAL_MACHINE 2. HKEY_CURRENT_USER GPO ayalarında yapılan Computer Configuration ayarları Registry de HKEY_LOCAL_MACHINE ayarları altındaki değerlere kumanda etmekte, User Configuration ayarları ise HKEY_CURRENT_USER ayarları altındaki değerlere kumanda etmektedir. Bilgisayarlara uygulanan policy ler ise iki farklı şekilde uygulanmaktadır. 1. Local Policy 2. Group Policy (GPO) Local Policy ayarları her bilgisayar için ayrı ayrı yapılan ayarlardır. Bu ayarları yapmak için Run gpedit.msc enter diyerek girebilirsiniz. Burada yapacağınız ayarlar sadece o bilgisayarda geçerli olacak ayarlardır. Local Policy sistem yöneticileri tarafından pek başvurulan yöntem olmamasına rağmen, özellikle bağımsız bilgisayarlarda yapılacak ayarlar için kullanışlı olabilir. Hazırlayan: Halit AYDIN (16.09.2013) 3
2. GROUP POLICY Bir domain yapısında group policy, sistem yöneticisi personeline kolaylıklar sağlamakta etkili bir yöntemdir. Group Policy ayarlarını yapabilmek için GPMC yüklü olması gerekir. Bunun için gpmc.msi paketini download edip yükleyebilirsiniz. Yükleme işleminden sonra Çalıştır--> gpmc.msc yazıp enter dediğinizde Group Policy Manager açılmış olacaktır. Bir domain yapısında en üstte yer alan gpo Site Policy onun altında Domain Policy onun altında OU Policy olarak devam eder. Özellikle Active Directory yapısını kurduğunuzda default olarak Default Domain Policy nin geldiğini görürsünüz. Bu GPO sizin domaininizdeki tüm bilgisayar ve kullanıcı nesnelerini etkileyecek GPO dur. Bu nedenle burada yapacağınız ayarların domaininizdeki tüm kullanıcı ve bilgisayarları etkilediğini unutmayınız. Diğer GPO lardan farkı herhangi bir User Group Policy Loopback Processing ayarı(ileriki sayfalarda anlatılmaktadır.) yapmaya gerek olmadan Computer Configuration ve User Configuration altında yapılan ayarlar uygulanmış olur. Hazırlayan: Halit AYDIN (16.09.2013) 4
Eğer tüm kullanıcı ve bilgisayarlara uygulamayacağınız bir policy söz konusu ise bunu Default Domain Policy ile uygulamamanız önerilir. En temelinde şunu iyi bilmemiz gerekir ki bir GPO da Computer Configuration ayarları altında yapılan ayarlar sadece bilgisayar açılırken uygulanan ayarlar, User Configuration ayarları altında yapılan ayarlar ise sadece kullanıcı login olduğunda uygulanan ayarlardır. Hazırlayan: Halit AYDIN (16.09.2013) 5
3. GPO OLUŞTURULMASI GPO oluşturulması için Create and Link a GPO Here tıklayarak GPO oluşturmaya başlayalım. Hazırlayan: Halit AYDIN (16.09.2013) 6
Yoğun şekilde GPO kullanıyorsanız GPO ya vereceğiniz ismi dikkatli seçmelisiniz. Aksi taktirde daha sonra anlamlandıramadığınız bir liste ile karşılaşabilirsiniz. Hazırlayan: Halit AYDIN (16.09.2013) 7
Örneğin yukarıdaki gibi bir isim verebilirsiniz. User Configuration a yapılan bir ayar olduğu ve Run komutunu Start Menüden kaldıracağını anlayabiliriz. Edit diyerek GPO ayarlarını yapacağımız menüye erişelim. Hazırlayan: Halit AYDIN (16.09.2013) 8
Bir GPO da iki configuration vardır. Computer Configuration ve Users Configuration. Computer Configuration bilgisayar açılırken bilgisayarın ortamda mevcut DC ye bağlandığında/logon olduğunda (bunu DC nin security event loglarında görebilirsiniz.) alınan ayarlar, Users Configuration kullanıcı ctrl+alt+delete yapıp domain e login olduğunda aldığı ayarları kapsamaktadır. Hazırlayan: Halit AYDIN (16.09.2013) 9
GPO oluştururken dikkat etmemiz gereken diğer bir şey ise Explain altındaki açıklamaları dikkatlice okumak olmalıdır. Hazırlayan: Halit AYDIN (16.09.2013) 10
Bir GPO nun aktif edilmesi için Link Enabled yapılması yeterlidir. Hazırlayan: Halit AYDIN (16.09.2013) 11
Link Enabled kaldırılırsa GPO uygulanmaz. Hazırlayan: Halit AYDIN (16.09.2013) 12
Bir GPO yu disable/enable yapmanın diğer bir yolu Details ayarlarıdır. Burada GPO nun Computer Configuration veya User Configuration ayarlarını da ayrı ayrı disable yapabiliyoruz. Hazırlayan: Halit AYDIN (16.09.2013) 13
Enable ettiğimiz GPO nun nesnelere (bilgisayar veya kullanıcı) uygulanması için gpupdate /force komutunu çalıştırmamız gerekmektedir. Böylece GPO yu hemen uygulamış oluruz. Bazı ayarlar (örneğin CDROM aç/kapat gibi ) bilgisayarın yeniden başlatılmasını gerektirebilir. Bu nedenle bir GPO enable edildiği zaman tam olarak uygulanması ve aklımızda şüphe kalmaması için bilgisayarın yeniden başlatılması daha iyi olacaktır. Hazırlayan: Halit AYDIN (16.09.2013) 14
Oluşturulan GPO lar mevcut DC nizi dcpromo komutu ile kurmaya başladığınızda otomatik olarak oluşturulan ve paylaşıma açılan \\server\sysvol dosyası altında oluşturulmuş olurlar. Burada \\server\sysvol\domain.edu.tr\policies altında oluşturduğunuz GPO ların Unique ID leri den oluşan klasörlerde olduğunu görebilirsiniz. Tam bu noktada şöyle bir şey aklınıza gelebilir. Bu paylaşıma kullanıcılar ulaşabilirmi? EVET. Çünkü siz GPO ya Read yetkisi vermek zorundasınız. Bu nedenle local admin şifre resetleme gibi GPO larınızı oluştururken gerekli güvenlik önlemlerinizi (örn HASH) almanız önerilir. Hazırlayan: Halit AYDIN (16.09.2013) 15
4. GPO AYARLARININ GÖZDEN GEÇİRİLMESİ Scope ayarlarında Links altında GPO nun verildiği linkler ve Security Filtering altında uygulanan gruplar görülebilmektedir. Hazırlayan: Halit AYDIN (16.09.2013) 16
Details bölümünde GPO yu oluşturan kişi/grup, Unique ID gibi detayları gözlemleyebiliriz. Hazırlayan: Halit AYDIN (16.09.2013) 17
Settings ayarlarında uyguladığımız GPO nun detaylarını görebiliriz. Hazırlayan: Halit AYDIN (16.09.2013) 18
Delegation ayarlarında Authentication Users, söz konusu OU da bulunan nesneleri kapsamaktadır. Bu nesneler bilgisayar da olabilir kullanıcı da olabilir. Hazırlayan: Halit AYDIN (16.09.2013) 19
Delegation Advanced ayarlarında bu gruba Apply Group Policy olduğunu görürsünüz. Bir gruba policy uygulanması için Apply Group Policy ve Read allow olarak işaretlenmiş olmalıdır. Hazırlayan: Halit AYDIN (16.09.2013) 20
GPO yu uygulamak istemediğimiz grubu yukarıdaki gibi ekleyip Apply Group Policy de Deny işaretlememiz yeterli olacaktır. DİKKAT!!! Bilgisayarlardan oluşan bir gruba DENY vermeniz durumunda mevcut GPO da sadece Computer Configuration altındaki ayarları DENY etmiş olursunuz. Yine aynı şekilde kullanıcılardan oluşan bir gruba DENY vermeniz durumunda GPO da sadece User Configuration altındaki ayarları DENY etmiş olursunuz. DİKKAT!!! Örneğin; Kullanıcılar OU sundaki bir GPO nun User Configuration altındaki bir ayarın belirlediğiniz bir bilgisayarlar veya bilgisayar grubuna uygulanmasın DİYEMEZSİNİZ. Hazırlayan: Halit AYDIN (16.09.2013) 21
5. GPO YA EK AYARLAR EKLEMEK Bir GPO da mevcut ayarların dışında bir ayar yapmak isterseniz txt de yazdığınız bir.adm uzantılı dosya oluşturup Administrative Templates Add/Remove Templates ile ekleyebilirsiniz. Hazırlayan: Halit AYDIN (16.09.2013) 22
Masaüstü duvar kağıdını değiştiren örnek bir.adm dosya içeriği ekteki gibi olabilir.. Hazırlayan: Halit AYDIN (16.09.2013) 23
Yukarıdaki gibi.adm dosyamızı ekleyebiliriz. Hazırlayan: Halit AYDIN (16.09.2013) 24
Administrative Templates e ekleme yapıldıktan sonra yukarıdaki gibi Desktop Settings ayarını eklemiş oluruz. Bunun gibi eklemelerle liste dışındaki eklemelerimizi yaparak ayarlar yapabiliriz. Bu.adm dosyalarına internet üzerinden de ulaşmak mümkündür. Hazırlayan: Halit AYDIN (16.09.2013) 25
Diğer bir ek ayar yükleme seçeneği de VBS kullanılmasıdır. Bir Registry ayarı için komut satırlarından oluşan vbs dosyası hangi nesneye uygulanacaksa (bilgisayar veya kullanıcı) onun Logon/Startup bölümüne Script şeklinde eklenmesi gerekmektedir. Çoğu ayar için internet üzerinde hazır vbs dosyaları mevcut. Bunları kullanarak kolaylıkla GPO üzerinde ek ayarlar yapabilirsiniz. Hazırlayan: Halit AYDIN (16.09.2013) 26
6. GPO COMPUTER CONFIGURATIN/USER CONFIGURATION Normal şartlarda yukarıdaki gibi sadece user nesnesi içeren Kullanıcılar grubundaki GPO larda User Configuration ayarları yapılması gerekir. Computer Configuration ayarları geçersiz olmaktadır. Hazırlayan: Halit AYDIN (16.09.2013) 27
Normal şartlarda yine aynı şekilde Bilgisayarlar OU suna uygulanacak GPO larda da yukarıdaki gibi Computer Configuration ayarları yapılması gerekir. User configuration ayarlarını ekleseniz bile bunlar kullanıcı login olduğunda geçerli olmayacaktır. Hazırlayan: Halit AYDIN (16.09.2013) 28
7. GROUP POLICY UYGULAMA SIRALAMASI ve ÇAKIŞMA MANTIĞI GPO uygulama sırası önemli bir konu olup, GPO oluşturulduğunda buna dikkat edilmesi gerekir. GPO nun uygulanması en tepeden yani Default Domain Policy den başlayıp en son, uygulanacak nesneye en yakın GPO uygulanmaktadır. Yukarıda önce Default Domain Policy daha sonra gpo_1 veya gpo_2 uygulanır. Dolayısı ile en son uygulanan GPO geçerli olacağı için bir üst GPO ile alt GPO nun çakışması durumunda alt GPO geçerli olacaktır. Buna dikkat edilmesi gerekir. Eğer Local Policy de de ayar yapıldıysa uygulama sırası şöyle olacaktır. 1. Local Policy 2. Site GPO 3. Domain GPO 4. OU GPO 5. Alt OU GPO Hazırlayan: Halit AYDIN (16.09.2013) 29
6. Alt alt OU GPO 7. --------------------- 8. --------------------- Dolayısı ile en son uygulanan policy geçerli olacağından çakışma durumunda 8. sıradaki GPO geçerli olacaktır. Aynı OU ya uygulanmış gpo1 ve gpo2 GPO larında uygulama sırası ise Linked Group Policy Object ayarlarında yaptığınız sıralamaya göre belirlenecektir. Yukarıdaki örnekte 2. ve sonra 1. olacaktır. Yani üstteki alttakini ezer. Dolayısı ile gpo_1 ve gpo_2 GPO larında bir çakışma söz konusu olduğunda çakışan ayar için gpo_2 deki ayarlar geçerli olacaktır. Hazırlayan: Halit AYDIN (16.09.2013) 30
Bir OU daki nesnelere üstten bir GPO uygulanmasını istemediğimiz durumda Block Inheritence işaretleyerek reddi miras yapabiliriz. Böylece üstten gelen GPO lar bu OU ya uygulanmayacaktır. Peki aynı hizada ki/rütbedeki diğer OU bu Block Inheritance ı delip geçebilirmi? EVET. Dolayısı ile şunu bilmek lazım Block Inheritence sadece üstten gelen GPO ları engellemektedir. ( Enforced yapılmış üst GPO lar hariç) Hazırlayan: Halit AYDIN (16.09.2013) 31
Block Inheritance ı delmenin diğer yolu Enforced işaretlemek. Yukarıdaki gibi enforced işaretlenen GPO lar Block Inheritance olarak işaretlenen OU lar dahil tüm alt OU ve nesnelere uygulanmaktadır. Enforced Block Inheritance ı delip geçer. Hazırlayan: Halit AYDIN (16.09.2013) 32
GPO uygulanma işlem sırası normal şartlarda aşağıdaki gibidir. 1. Bilgisayar açılıyor 2. Bilgisayar DC ye bilgisayar hesabı ile logon oluyor.. 3. Bilgisayar OU sunda oluşturulan GPO lar dan Computer Configuration ayarları bilgisayara sırası ile uygulanıyor. Bu GPO larda User Configuration ayarları olsa bile UYGULANMIYOR.. 4. Kullanıcı DC ye kullanıcı hesabı ile logon oluryor 5. Kullanıcılar OU sunda oluşturulan GPO lar dan User Configuration ayarları bilgisayara sırası ile uygulanıyor. Bu GPO larda Computer Configuration ayarları olsa bile UYGULANMIYOR.. 6. GPO işlemleri tamamlanmıştır. Hazırlayan: Halit AYDIN (16.09.2013) 33
GPO larda çakışmaları önlemek için yukarıdaki gibi Computer Configuration ayarları altında User Group Policy Loopback Processing Mode ayarı mevcuttur. Bu ayarın iki modu vardır. Replace: Bu durumda işlemler şöyle sırasıyla olur. 1. Bilgisayar açılıyor 2. Bilgisayar DC ye bilgisayar hesabı ile logon oluyor.. 3. Bilgisayar OU sunda oluşturulan GPO lar dan Computer Configuration ayarları bilgisayara sırası ile uygulanıyor. 4. Eğer Bilgisayar OU sunda oluşturulan GPO lar dan birisinde User Group Policy Loopback Processing Mode enable edilip Replace modu seçildi ise bilgisayar, kullanıcı logon olduktan sonra benimde User Configuration ayarlarım mevcut der bekler. 5. Kullanıcı DC ye kullanıcı hesabı ile logon oluryor 6. Kullanıcılar OU sunda oluşturulan GPO lar dan User Configuration ayarları bilgisayara sırası ile uygulanıyor 7. User Group Policy Loopback Processing Mode Replace olduğu için User Configuration ayarlarının tümü iptal edilir (çakışmayanlar dahil) ve User Group Policy Loopback Processing Mode Enable edilmiş GPO daki User Configuration ayarları uygulanıyor.. 8. GPO işlemleri tamamlanmıştır. Hazırlayan: Halit AYDIN (16.09.2013) 34
GPO larda çakışmaları önlemek için yukarıdaki gibi Computer Configuration ayarları altında User Group Policy Loopback Processing Mode ayarı mevcuttur.bu ayarın iki modu vardır. Merge: Bu durumda işlemler şöyle sırasıyla olur. 1. Bilgisayar açılıyor 2. Bilgisayar DC ye bilgisayar hesabı ile logon oluyor.. 3. Bilgisayar OU sunda oluşturulan GPO lar dan Computer Configuration ayarları bilgisayara sırası ile uygulanıyor. 4. Eğer Bilgisayar OU sunda oluşturulan GPO lar dan birisinde User Group Policy Loopback Processing Mode enable edilip Merge modu seçildi ise bilgisayar kullanıcı logon olduktan sonra benimde User Configuration ayarlarım mevcut der bekler. 5. Kullanıcı DC ye kullanıcı hesabı ile logon oluryor 6. Kullanıcılar OU sunda oluşturulan GPO lar dan User Configuration ayarları bilgisayara sırası ile uygulanıyor 7. User Group Policy Loopback Processing Mode Merge olduğu için User Configuration ayarlarında çakışmalar hariç User Group Policy Loopback Processing Mode enable edilmiş GPO daki User Configuration ayarlarıda Kullanıcılar OU sundaki GPO lara EK olarak uygulanıyor. Çakışma varsa Loopback Processing Mode enable edilmiş GPO daki User Configuration ayarları geçerli oluyor 8. GPO işlemleri tamamlanmıştır. Hazırlayan: Halit AYDIN (16.09.2013) 35
User Group Policy Loopback Processing Mode u internette en iyi anlatan şekil aşağıdadır. Hazırlayan: Halit AYDIN (16.09.2013) 36
8. GROUP POLICY DİKKAT EDİLMESİ GEREKENLER 1. GPO oluşturmadan önce yapmak istediğiniz ayarların diğer GPO lar da yapılmadığından emin olunuz. 2. Tüm domain kullanıcı ve bilgisayar nesnelerinde geçerli olmasını istediğiniz ayarları Default Domain Policy de yapmanız yeterli olacaktır. İkinci bir GPO oluşturmanız gerekmemektedir. 3. Terminal Server yapıları gibi istisnalar hariç aynı GPO da hem Computer Configuration hem de User Configuration ayarları yapmaktan kaçının. 4. GPO ayarlarında Enforced işaretini Block Inheritance işaretlenmiş bir OU olmadıkça veya var olan Block Inheritance olarak işaretlenmiş OU ya da uygulamak istemedikçe işaretlememelisiniz. 5. Bilgisayar nesnelerine uygulanan GPO da Loopback Processing Mode enable etmeden önce bir daha düşünün. Çünkü bu ayar sizin kullanıcılara uyguladığınız GPO ları direk etkilemektedir. Ve en son bu GPO daki User Configuration ayarları geçerli olmaktadır. 6. Kullanıcılara uygulanan GPO larda Computer Configuration ayarı yapmaktan kaçının. 7. Kullanıcılara uygulanan GPO larda Loopback Processing Mode enable yapmaktan kaçının. Hazırlayan: Halit AYDIN (16.09.2013) 37