Can's Windows Server Blog

Preferences

• Preferences enforce edilmez, kullanıcı değiştirebilir.
• GPO ile aynı refresh cycle ile update olur ama 1 defalık da yapabiliriz.

GPO Prefenrences ile bazı ayarları yeni oluşturabiliriz, silebiliriz, yeniden yapabiliriz.

Item-Level Targetting

• Adminler Preferences in etkili olması için gerekli şartları listeleyebilirler.
• 27 farklı kategori ile sistemler ve kullanıcılar hedeflenebilir böylece hassas ayar yapılabilir.
• AND/OR ve boolean mantıkları çalışmaktadır.
• GPO background güncellemeleri ile güncellenirler.

Peki nerede kullanırız.

• Örneğin bir Drive mapping in belirli bir AD grubuna veya IP adres aralığına engellenmesinde.
• Enerji ayarlarında
• Printer kurulumlarında
• Shortcut oluşturmada.

GPO editlerken hem kullanıcı hemde bilgisayarlarda Preferences mevcuttur.

Örnek drivemapping

Drive Maps -sag klick->new -> Location’ı manual yazıyorum sonra Drive letter seçip –> common a tıklıyorum.

Ve yeni gelen listede kategoriler vs ayarlar ile item-level targetting e başlıyorum.

biraz oynamak gerekiyor. Burda bu şart sağlanıyor eğer

• Kullanıcı “mmuster” ise VE bağlandığı bilgisayarın C sinde 80 GB dan fazla boş alan varsa VEYA Bilgisayar C1-DC2 veya domain C1 değilse. Saçma ama şartlar ama nasıl olduğunu gösteriyor.

Folder redirection

Yeni bir GPO oluşturduk onu editliyoruz.

GPO Edit -> User Configuration -> Policies -> Windows Settings -> Folder Redirection

Buradan istediğimiz Klasör seçip sağ tıklıyoruz ve properties diyoruz.

İki seçenek var basic ve advanced. Basic seçtiğimizde herkesin aynı klasörünü aynı yere yönelmiş oluyoruz. Advanced ile ise kişi bazında ayarlama yapıyoruz.

GPO ile yazılım yükleme

GPO ile sistemlere yazılım yükleyebiliriz. bunun 4 yolu vardır.

• Yazılımı Computer Configuration’a atarız. Sistem yeniden boot edildiğinde yazılım yüklenmiş olur.
• Yazılımı User Configuration’a atarsak kullanıcı login olduğunda yazılım otomatik olarak yüklenir.
• Publish yaparsak sadece User Configurationa yapabiliriz. Bu durumda kullanıcı o programın kullanıldığı bir extensionla olan bir dosyaya çift tıkladığında yazılım çalışır.
• Add/Remove Programs kullanıllarak publish yaparsak kullanıcı oturduğu sistemde add/remove programstan yazılımı yüklemelidir.

Bu şekilde yazılım dağıtırken sadece .msi paketlerini kullanabiliriz.

Reporting yoktur. Kim yükledi, kim yüklemedi takip etmez.

Bir alternatif te “system center configuration manager” kullanmaktır.

Daha sonra .msi paketini seçiyoruz.

Script Deployment

Scripti ya Computer Configuration yada User Configurationa yapabiliriz.

Admin templates dosyaları .adm ve .admx dir.

.adm dosyaları Windows 2000/2003 tarafından kullanılır.

• SYSVOL ile her GPO’ya kopyalanır.
• Ayarlaması zordur.

Çok faydalı değildir.

.admx günceldir.

• .adml dosyası ile beraber gelir. Local dilede çalışması için
• yeri “Windows\PolicyDefinitions” tır.
• Ağ gibi merkezi bir yerde saklanabilir.
• XML ile geliştirilebilir.

GPO’lar domaine SYSVOL klasörü üzerinden yayılır. Biz templateler için bir merkezi storage oluşturabiliriz.

• önce “PolicyDefinitions” tam adıyla aşağıdaki lokasyonda bir klasör oluşturuyoruz.
  • \\FQDN\SYSVOL\FQDN\Policies
  • Ör: \\test.microsoft.com\SYSVOL\test.microsoft.com\policies
• Sonra kaynak bilgisayardan tüm dosyaları kopyalarız (Windows\PolicyDefinitions)
• Artık hedef sisteme ortak merkezi ( \\FQDN\SYSVOL\FQDN\Policies ) yerden kopyalıyoruz (Windows\PolicyDefinitions)

Bir GPO’nun kimlere etkilediğini görmek için GPO’yu seçip delegation tab ına bakmamız gerekir.

Görüldüğü gibi “authenticated users” ta read var ama görülmesede “apply gpo” da var. İstersek tek tek de ekleyebiliriz. Delegation tabının altında “ADD” var oradan kişiyide ekleyebiliriz. Eklerken onlara haklarda verebiliriz. Ama bu kısıtlı olacaktır.

İstersek ekledikten sonra seçip advanced e tıklayarak daha da detaylı haklar verebiliriz.

Herhangi bir kişiyi ekleyip daha sonra özelliklerden “DENY” dersek o zaman o kişi bu GPO’dan etkilenmez.

Çok GPO olduğunda performans etkilenebilir. Bunun için computer veya user bölümlerinden kullanmadığımızı disable edebiliriz.

GPO Loopback Processing

Burada TestGPO’yu editliyoruz ve loopback özelliğini etkileyeceğiz. Yukarıda görüldüğü gibi aradığımız özelliği buluyoruz. Sonra ona çift tıklayıp ayarlıyoruz.

• Önce Enable yapıyoruz.
• Sonra karar veriyoruz “replace” mi “merge” mü?

Replace : Kullanıcı login olduğunda computer settings uygulanıyor ama user settings uygulanmıyor.

Merge : her ikiside uygulanıyor ama çakışmada computer settings üstün geliyor.

Kiosk veya Lab gibi bir ortamda kimin login olduğunu umursamıyorsak bunu kullanabiliriz.

Slow Link Detection :

eğer bir client 500 kb/sec dan yavaş ise çok yavaş clienttır. Bu durumda sadece önemli vew gerekli GPO’ları almasını sağlayabiliriz.

Yine yukardaki gibi GPO’yu editlerken

Computer Configuration -> Policies->Administrative Templates Policy Definition -> System-> Group Policy

içinde “Configure Group Policy Slow Link Detection” seçiyoruz.

• önce enable ediyoruz
• Windows 2000 den daha önceki sistemlerde etkili değilmiş
• 500 kbps ye default olarak geliyor ama biz değiştirebiliriz.

Önemli Policyler

Slow link enable edildiğinde “Slow link Processing” on olanlar gönderilir diğerleri slow link ile bağlanan clienta gönderilmez.

GPO’lar ne zaman etkili olur ?

• Öncelikle PDC DC GPO’ları diğer DC’lere push edecek.
• Kullanıcı önce sing off sonra tekrar sign-in olmalı.
• Computer Configuration bölümü editlenmiş ise Computer yeniden başlatılmalı.
• Manual olarak da yapılabilir.
  • CMD ile
    • gpupdate /target:computer or /target:user
    • gpupdate /force /logoff /boot
    • gpupdate /force /wait:100
    • Yukarıda ki switchleri kullanabiliriz. böylece istersek kullanıcıları logoff yapabiliriz veya sistemleri reboot edebiliriz ve hatta bunları yaptırmadan önce istersek bekleyebiliriz.
  • Powershell ile
    • Invoke-gpupdate

GPO’Ların Güncellenmesi

GPO’lar default olarak 90dakika +-30 dakikada ve güvenlik ayarları her 16 saatte bir güncellenecektir.

Manual olarak CMD/Powershell ile veya GPO management üzerinde OU’ya sağ tıklayıp GPO Update ile.

Bunun sağlanması ise GPO Management Editor ile

detect edilerek yapılıyor. ve 3 ile görülen rapor geliyor.

GPO Processing

GPO’lar Clientlarda işlenirler. Bunun için client-side extensions kullanılır. Bunlar GPO’yu DC’den alırlar, download edip cachelerler ve sonra ayarları işlerler.

Eğer client üzerinde hangi GPO’ların işlendiğini görmek istersek CMD’den “gpresult” yaparız.

Bir gpo oluşturduktan sonra onu linklemek gerekir. Yoksa enforce olmaz.

Herhangi bir OU’ya GPO’yu sağtıklayarak ekleriz.Aslında olan şey bir GPO yaratılır ve bu “Group Policy Objects”e konur. Daha sonra sağ tıkladığımız OU’ya linklenir.

İstersek bir GPO’yu “Group Policy Objects” e koyup sonra onu istediğimiz bir OU’ya sağ tıklayarak linkleyebiliriz.

Linklenmiş GPO’nun non enforcing olmasını ama OU içinde durmasını istersek GPO’linkine sağ tıklayıp “Link Enabled” checkini kaldırırız.

GPO İşlem Sırası

• GPO1 Local Group — Local Group Policies
• GPO2 Site — Sıte Group Policies
• GPO3 Domain — Domain GPs
• GPO4 OU — OU GPs
• GPO5 OU — Child OU GPs

öncelik alttan yukarı doğrudur. Yan, Domain GP ile OU GPs aynı ayarı farklı set ediyorsa OU GPs üstün gelecektir.

OU’ya tıkladığımızda yanda Linklenmiş GPO’ları görebiliriz. öncelik sırasıda burada ki gibi olacaktır. Önce TestGPO çalışacak daha sonra AdminTemplate çalışacaktır.

Ancak bu önceliği değiştirebiliriz.

Enforced ile bu GPO’yu child OU’ya pushdown yapıp onların GP’lerini override yapabiliriz.

Ayrıca istersek Parent OU’dan GPO gelmesini engelleyebiliriz. ChildOU’ya sağ tıklayıp “Block inheritence” seçebiliriz.

Backup GPO; bu işlemn basitçe backup ve recoverydir.

Copy GPO; sonra import.

BACKUP

Backup yaptığımda deneme için masa üstünü yer olarak gösterdim ve şu şekilde geldi.

Restore da wizard ile son derece kolay yerini bilmek yeterli.

Importta ise başka bir domainden GPO import edebiliriz. Bu durumda sadece settingler gelir. Linkleri almaz. Bunları sonradan bizim yeniden linklememiz gerekir. Sonuçta her domainde farklı OU’lar mevcuttur.

Import ve Restore dan önce mutlaka öncelikle bir GPO oluşturup import ve restore’u bunun üzerine yapıyoruz.

Copy paste ise aynı AD içerisinde birden çok domain arasında dahi olabilir. !!

Resettin GPO

Bir GPO’yu orijina durumuna geri getirmek için yapılır.

dcgpofix /ignoreschema /target:Domain

Domain Controller’ı orjinal haline getirmek için ise

dcgpofix /ignoreschema /target:DC

GPO oluştururken, ekip çalışması gerekebilir. Bu durumda domain admin, enterprise admin, built-in role GroupPolicyCreatorOwner yada çeşitli yetkiler verdiğimiz birisi olabilir.

GPO ile bağlantılı görevler bağımsız olarakda verilebilir.

• Creating GPOs
• Editing GPOs
• bir Domain, OU veya Site için GPO linklerinin yönetimi
• bir OU veya domain için modelleme analizi
• Bir domain veya OU için GPO sonuçlarının okunması
• Bir domain için WMI filtrelerinin oluşturulması

• Starter GPO bir şablondur(template) onu kopyalayarak istediğimiiz gibi çoğaltabiliriz. Örnek olarak “group policy” vardır.
• Aslen bir cab dosyasıdır, dolayısıyla organizasyonlar arasında kopyalanarak da çoğaltılabilir. export–> .cab file –> import

Admin templates de çok önemlidir. Önemli olan nokta admin templates “Registryi modifiye eder”.

Admin template ile :

• Computer kısmını değiştirirsek değişklik HKEY_LOCAL_MACHINE’e
• User kısmını değiştirirsek HKEY_CURRENT_USER’a değişiklik yapılır.

Bazı ayarlar hem kullanıcı hemde computer kısmında vardır. Çakışma durumunda Computer kısmı üstün gelecektir.

ve buradan ihtiyaç duyulan ayarları yaparız.

AD içinde gelen built-in policyler mevcut.

Default Domain Policy – tüm domainde etkili olacak.

Default DC Policy – Tüm domain controllerlar üzerinde etkili olacaktır.

Local Group Policy –

Default Domain Policy

• bir domain’e bağlıdır.
• Domaindeki tüm sistem ve kullanıcıları default olarak etkiler
• İçinde account Policy settings: password, hesap kilitleme (lockout) ve Kerberos policyleri vardır.
• Eğer domain’e etki eden başka bir GPO ihtiyaç duyarsak sıfırdan başlamak daha iyidir. Mevcut Default Domain GPO’sunu değiştirmemek iyi olur.

Default Domain Controllers Policy

• DC’lerin olduğu OU’ya linklidir.
• Sadece DC’leri etkiler.
• Bu GPO’yu Auditing ve Kullanıcı Hakları ihtiyacı nedeniyle editleriz.

Local Group Policy

Sistemler domain’e bağlı olmadıklarında Local Group Policy etki eder. Örneğin laptop kullanıcıları gibi. Bunu editlemek içinde client sistemin üzerinde olmamız gerekir.

önce bir mmc snap-in açıyoruz ve “Group Policy Object” i seçiyoruz. Add dediğimizde “Local Computer” seçiyoruz. Browse ile başka kullanıcı ve bilgisayarda seçebiliriz. Ancak Home versiyonunda yok download edilip kurulması gerekli.

Beya baslata gpedit.msc yazarakda açabiliriz.

İstersek sisteme, istersekde login olan kullanıcılara GPO oluşturabiliriz.

Administrative Templates : registry’e yazılır.

Evet en sonunda en merak ettiğim konulardan birine geldik 🙂

GPO.

GPO oluşturmak için Server Manager –> tools –> Group Policy Management seçilir. Daha sonra ağaç yapısı içinde GPO’yu nereye koyacağımızı seçeriz. Örneğin IT OU’su içine. Bu durumda IT yazısına sağ tıklayıp “Create a GPO in this domain and link it here” bulur seçeriz.

Önce bir isim veriyoruz ve daha sonra bunu kaydedeceğiz. Ancak istersek başlama noktası olarak başka bir GPO’yuda kullanabilirdik. BU ilk GPO’muz olduğundan şu anda seçemiyoruz ama ilerde olabilir.

1. oluşturduğumuz GPO burda kısayol olarak görülüyor.
2. Mevcut bütün GPO’lar Group Policy Objects altında oluyor.

Bir GPO oluştururken SCOPE kavramı önemlidir. Nerede etki edecek. Bir GPO site,domain veya OU’ya linklenebilir.

• Bu durumda oluşturulan linke göre site,domain veya OU içinde ki tüm bilgisayar ve kullanıcılar etkilenir.
• Bir GPO birden fazla Site,domain veya OU’ya ilişkilendirilebilir.
• GPO’nun birden fazla site ile linklenmesi performans sorunu oluşturabilir.

GPO’yu kimlerin alacağınıda belirlememiz lazım buda filtering ile oluyor.

• Security Settings de “Read and apply group policy” nin olması gerekiyor.
• Normalde authorized kullanıcılarda bu default geliyor.

Diğre bir yol ise WMI Filterdir.

• WMI sorguları ile yapılır bu sorgular sistem donanım ve yazılımına ilişkindir.
• WQL (WMI Query Language ) kullanılarak script edilir.

GPO Mirasçılığı (Inheriance )

Mesela bir OU’ya 3 tane GPO atanmış önce hangisi çalışacak en son hangisi?

Bunlardan birisi “Link Order”, diğeri “Enforced(GPO ya sağ tıklayıp yapılır.)”.

Enforced genelde Parent da yapılır böylece child OU içinde bir GPO Parent i blok etmez.

Gerekirse Disable edebiliriz. Genelde troubleshooting için kullanılır.

Bır containerda birden çok GPO olabilir. Normalde bir process bunları birleştirir ve conflict yoksa bütün ayarlar OU’ya uygulanır.

En düşük sıra numarası olan GPO en son yapılır. Yani 1,2 ve 3 nolu GPO’lardan önce 3 sonra 2 sonra 1 işlenir. Eğer aynı ayarı yapıyorlarsa (conflict – çakışma) 1 in dediği olur ve diğerlerinin üzerine yaılır o ayar.

GPO’lar Client sistemde aşağıda ki sıra ile işlenirler.

• Local GPO
• Site-level GPO
• Domain Level GPO
• OU GPO (nestedler dahil)
  En son uygulanan GPO etkili olandır.

GPO’lar “GPO management editör” ile ayarlanırlar. Bunun için oluşturduğumuz ve isim ve yer vermekten başka henüz bir işlem yapömadığımız GPO’ya sağ tıklayıp “Edit” deriz ve yeni bir pencere açılır.

Bir yıldız topolojisi düşünün. Hepsi merkeze bağlı farklı lokasyonlarda ki sitelar. Bu yapı DEFAULTIPSITELINK olarak geçiyor ve site oluşturduğumuzda AD tarafından daha önce bahsettiğim gibi oluşturuluyor ancak mesela Berlin ile Tokyo arası ayrıca bir fiziksel hat mevcut ve bunuda replikasyon ve iletişim için kullanabiliriz. O zaman yeni bir SITELINK oluşturmamız gerekecektir.

1- yeni sitelar oluşturduk

2- Sites–> Inter-Site-Transports –> IP yet ıkladığımızda yan tarafda DEFAULTIPSITELINK geldi ona çift tıkladığımızda

3- oluşturduğumuz siteları görüyoruz.

Şimdi Berlin-Tokyo arası yeni sitelinki oluşturacağız.

Sites–> Inter-Site-Transports –> IP ye sağ tıklayıp “New Site-Link” seçiyoruz

Böylece sisteme Berlin ve Tokyo arasında ki linki replikasyon için kullanmak istiyorum diyoruz. Ancak her iki şehirde aynı zamanda DEFAULTIPSITELINK’de mevcut olarak duruyor.