.

Can's Windows Server Blog

AD GPO Linking

Bir gpo oluşturduktan sonra onu linklemek gerekir. Yoksa enforce olmaz.

Herhangi bir OU’ya GPO’yu sağtıklayarak ekleriz.Aslında olan şey bir GPO yaratılır ve bu “Group Policy Objects”e konur. Daha sonra sağ tıkladığımız OU’ya linklenir.

İstersek bir GPO’yu “Group Policy Objects” e koyup sonra onu istediğimiz bir OU’ya sağ tıklayarak linkleyebiliriz.

Linklenmiş GPO’nun non enforcing olmasını ama OU içinde durmasını istersek GPO’linkine sağ tıklayıp “Link Enabled” checkini kaldırırız.

GPO İşlem Sırası

  • GPO1 Local Group — Local Group Policies
  • GPO2 Site — Sıte Group Policies
  • GPO3 Domain — Domain GPs
  • GPO4 OU — OU GPs
  • GPO5 OU — Child OU GPs

öncelik alttan yukarı doğrudur. Yan, Domain GP ile OU GPs aynı ayarı farklı set ediyorsa OU GPs üstün gelecektir.

OU’ya tıkladığımızda yanda Linklenmiş GPO’ları görebiliriz. öncelik sırasıda burada ki gibi olacaktır. Önce TestGPO çalışacak daha sonra AdminTemplate çalışacaktır.

Ancak bu önceliği değiştirebiliriz.

Enforced ile bu GPO’yu child OU’ya pushdown yapıp onların GP’lerini override yapabiliriz.

Ayrıca istersek Parent OU’dan GPO gelmesini engelleyebiliriz. ChildOU’ya sağ tıklayıp “Block inheritence” seçebiliriz.

AD GPO Yönetim işlemleri

Backup GPO; bu işlemn basitçe backup ve recoverydir.

Copy GPO; sonra import.

BACKUP

Backup yaptığımda deneme için masa üstünü yer olarak gösterdim ve şu şekilde geldi.

Restore da wizard ile son derece kolay yerini bilmek yeterli.

Importta ise başka bir domainden GPO import edebiliriz. Bu durumda sadece settingler gelir. Linkleri almaz. Bunları sonradan bizim yeniden linklememiz gerekir. Sonuçta her domainde farklı OU’lar mevcuttur.

Import ve Restore dan önce mutlaka öncelikle bir GPO oluşturup import ve restore’u bunun üzerine yapıyoruz.

Copy paste ise aynı AD içerisinde birden çok domain arasında dahi olabilir. !!

Resettin GPO

Bir GPO’yu orijina durumuna geri getirmek için yapılır.

dcgpofix /ignoreschema /target:Domain

Domain Controller’ı orjinal haline getirmek için ise

dcgpofix /ignoreschema /target:DC

GPO oluştururken, ekip çalışması gerekebilir. Bu durumda domain admin, enterprise admin, built-in role GroupPolicyCreatorOwner yada çeşitli yetkiler verdiğimiz birisi olabilir.

GPO ile bağlantılı görevler bağımsız olarakda verilebilir.

  • Creating GPOs
  • Editing GPOs
  • bir Domain, OU veya Site için GPO linklerinin yönetimi
  • bir OU veya domain için modelleme analizi
  • Bir domain veya OU için GPO sonuçlarının okunması
  • Bir domain için WMI filtrelerinin oluşturulması

AD GPO’ları Yönetmek

  • Starter GPO bir şablondur(template) onu kopyalayarak istediğimiiz gibi çoğaltabiliriz. Örnek olarak “group policy” vardır.
  • Aslen bir cab dosyasıdır, dolayısıyla organizasyonlar arasında kopyalanarak da çoğaltılabilir. export–> .cab file –> import

Admin templates de çok önemlidir. Önemli olan nokta admin templates “Registryi modifiye eder”.

Admin template ile :

  • Computer kısmını değiştirirsek değişklik HKEY_LOCAL_MACHINE’e
  • User kısmını değiştirirsek HKEY_CURRENT_USER’a değişiklik yapılır.

Bazı ayarlar hem kullanıcı hemde computer kısmında vardır. Çakışma durumunda Computer kısmı üstün gelecektir.

ve buradan ihtiyaç duyulan ayarları yaparız.

AD DC ve Local Policies

AD içinde gelen built-in policyler mevcut.

Default Domain Policy – tüm domainde etkili olacak.

Default DC Policy – Tüm domain controllerlar üzerinde etkili olacaktır.

Local Group Policy

Default Domain Policy

  • bir domain’e bağlıdır.
  • Domaindeki tüm sistem ve kullanıcıları default olarak etkiler
  • İçinde account Policy settings: password, hesap kilitleme (lockout) ve Kerberos policyleri vardır.
  • Eğer domain’e etki eden başka bir GPO ihtiyaç duyarsak sıfırdan başlamak daha iyidir. Mevcut Default Domain GPO’sunu değiştirmemek iyi olur.

Default Domain Controllers Policy

  • DC’lerin olduğu OU’ya linklidir.
  • Sadece DC’leri etkiler.
  • Bu GPO’yu Auditing ve Kullanıcı Hakları ihtiyacı nedeniyle editleriz.

Local Group Policy

Sistemler domain’e bağlı olmadıklarında Local Group Policy etki eder. Örneğin laptop kullanıcıları gibi. Bunu editlemek içinde client sistemin üzerinde olmamız gerekir.

önce bir mmc snap-in açıyoruz ve “Group Policy Object” i seçiyoruz. Add dediğimizde “Local Computer” seçiyoruz. Browse ile başka kullanıcı ve bilgisayarda seçebiliriz. Ancak Home versiyonunda yok download edilip kurulması gerekli.

Beya baslata gpedit.msc yazarakda açabiliriz.

İstersek sisteme, istersekde login olan kullanıcılara GPO oluşturabiliriz.

Administrative Templates : registry’e yazılır.

AD Group Policy

Evet en sonunda en merak ettiğim konulardan birine geldik 🙂

GPO.

GPO oluşturmak için Server Manager –> tools –> Group Policy Management seçilir. Daha sonra ağaç yapısı içinde GPO’yu nereye koyacağımızı seçeriz. Örneğin IT OU’su içine. Bu durumda IT yazısına sağ tıklayıp “Create a GPO in this domain and link it here” bulur seçeriz.

Önce bir isim veriyoruz ve daha sonra bunu kaydedeceğiz. Ancak istersek başlama noktası olarak başka bir GPO’yuda kullanabilirdik. BU ilk GPO’muz olduğundan şu anda seçemiyoruz ama ilerde olabilir.

  1. oluşturduğumuz GPO burda kısayol olarak görülüyor.
  2. Mevcut bütün GPO’lar Group Policy Objects altında oluyor.

Bir GPO oluştururken SCOPE kavramı önemlidir. Nerede etki edecek. Bir GPO site,domain veya OU’ya linklenebilir.

  • Bu durumda oluşturulan linke göre site,domain veya OU içinde ki tüm bilgisayar ve kullanıcılar etkilenir.
  • Bir GPO birden fazla Site,domain veya OU’ya ilişkilendirilebilir.
  • GPO’nun birden fazla site ile linklenmesi performans sorunu oluşturabilir.

GPO’yu kimlerin alacağınıda belirlememiz lazım buda filtering ile oluyor.

  • Security Settings de “Read and apply group policy” nin olması gerekiyor.
  • Normalde authorized kullanıcılarda bu default geliyor.

Diğre bir yol ise WMI Filterdir.

  • WMI sorguları ile yapılır bu sorgular sistem donanım ve yazılımına ilişkindir.
  • WQL (WMI Query Language ) kullanılarak script edilir.

GPO Mirasçılığı (Inheriance )

Mesela bir OU’ya 3 tane GPO atanmış önce hangisi çalışacak en son hangisi?

Bunlardan birisi “Link Order”, diğeri “Enforced(GPO ya sağ tıklayıp yapılır.)”.

Enforced genelde Parent da yapılır böylece child OU içinde bir GPO Parent i blok etmez.

Gerekirse Disable edebiliriz. Genelde troubleshooting için kullanılır.

Bır containerda birden çok GPO olabilir. Normalde bir process bunları birleştirir ve conflict yoksa bütün ayarlar OU’ya uygulanır.

En düşük sıra numarası olan GPO en son yapılır. Yani 1,2 ve 3 nolu GPO’lardan önce 3 sonra 2 sonra 1 işlenir. Eğer aynı ayarı yapıyorlarsa (conflict – çakışma) 1 in dediği olur ve diğerlerinin üzerine yaılır o ayar.

GPO’lar Client sistemde aşağıda ki sıra ile işlenirler.

  • Local GPO
  • Site-level GPO
  • Domain Level GPO
  • OU GPO (nestedler dahil)
    En son uygulanan GPO etkili olandır.

GPO’lar “GPO management editör” ile ayarlanırlar. Bunun için oluşturduğumuz ve isim ve yer vermekten başka henüz bir işlem yapömadığımız GPO’ya sağ tıklayıp “Edit” deriz ve yeni bir pencere açılır.

AD Site Links

Bir yıldız topolojisi düşünün. Hepsi merkeze bağlı farklı lokasyonlarda ki sitelar. Bu yapı DEFAULTIPSITELINK olarak geçiyor ve site oluşturduğumuzda AD tarafından daha önce bahsettiğim gibi oluşturuluyor ancak mesela Berlin ile Tokyo arası ayrıca bir fiziksel hat mevcut ve bunuda replikasyon ve iletişim için kullanabiliriz. O zaman yeni bir SITELINK oluşturmamız gerekecektir.

1- yeni sitelar oluşturduk

2- Sites–> Inter-Site-Transports –> IP yet ıkladığımızda yan tarafda DEFAULTIPSITELINK geldi ona çift tıkladığımızda

3- oluşturduğumuz siteları görüyoruz.

Şimdi Berlin-Tokyo arası yeni sitelinki oluşturacağız.

Sites–> Inter-Site-Transports –> IP ye sağ tıklayıp “New Site-Link” seçiyoruz

Böylece sisteme Berlin ve Tokyo arasında ki linki replikasyon için kullanmak istiyorum diyoruz. Ancak her iki şehirde aynı zamanda DEFAULTIPSITELINK’de mevcut olarak duruyor.

AD Sites

Site = Lokasyon

AD oluşturulduğunda siteda oluşturur. İlk adı “default” dur.

Ama domainimiz birden çok site a bölünmüşse replikasyonda gerekecektir.

Site içinde network bağlantısı var demektir. Site içinde service lokalizasyonuda mevcuttur. Yani bir client boot yapınca DC onun ihtiyaç duyabileceği kaynakları öncelikle bulunduğu sitedan tahsis etmeye çalışacaktır.

Bir site a GPO’da link edilebilir ancak önerilmez çünkü o GPO’yu bulmak için o site’ın kurulduğu domaine gitmek gerekecektir ve bu domain remote bir yerde olabilir.

Site oluşturma “AD Sites and Services” ile yapılıyor.

Sites a sağ tıklayıp –> new Site ve bu yeni pencere geliyor.

Daha sonra bir isim verip DEFAULTIPSITELINK’i mutlaka seçiyorum.

Ok dedikten sonra site oluştu. Şimdi o site a bir subnet eklememiz gerekiyor. Oluştuacağımız yeni subnetler yeni lokasyonda ki gerçek fiziksel subnetleri temsil edecek ve onları gösteriyor olmak zorunda.

Subnet oluşturmak için “AD Sites and Services” de Sites–>Subnets e sağ tıklayıp ‘New Subnet’ diyoruz.

Eğer daha çok subnetimiz varsa onlarıda eklemeliyiz. Böylece replikasyonda kim ne kadar hızlı sistem tespit edebilecek.

Sitelar arası replikasyonlar normalde 5 dakikada bir yapılır ancak bağlantı hızlarına göre daha yavaş ve/veya hızlı olabilir. Bu schedule’ı biz tanımlayabiliriz. Acil yapılmasını sağlayabiliriz.

Link costlarına göre istersek replikasyonun hangi link ile yapılacağına da biz karar verebiliriz.

AD Trust güvenliği

  • SID Filter
  • Slective Authentication
  • Name Suffix Routing

Maalesef bunu göstermek için bir trust oluşturmam gerekli ancak bende şu anda bu mümkün değil.

Ama AD Domains and Trusts –> Domain’e sağ tık –> properties –> trusts–> kurulu trustu bulup onu seçiyoruz. Properties tıklayınca yeni pencere geliyor ve orada Authentication kısmı mevcut. 2 seçenek var.

Domain Wide Authentication : Default olan budur ve domain e login olan herkese izin verir.
Selective Authentication : Bunu yapmak için öncelikle AD Users and Computers in advanced View’i açık olmak zorundadır. Sonra

Burada en önemli şey Locations ı seçip orada Trustı seçmektir.

SID Filtering : SID Filtering default olarak tüm dışarı yöndeki trustlara enable edilmiştir.

Bunu kullanarak kötü kullanıcıların domain/enterprise admin seviyesinde yükseltilmiş haklarla trust üzerinden iş yapması engellenir.

Kullanıcılar oluşturulurken domain SID’side dahildir ve bu SID ile kullanıcının domain içinde hangi kaynaklara erişebileceği belirlenir. SID filtering ile trusted domaine ait olmayan tüm SID’lerin kullanılması engellenir.

Name Suffix Routing : Bunun için önce bir trust oluşturmak sonra bu oluşturulan trustın “AD Domains and Trusts”‘dan özelliklerine bakmak gerekiyor.

Screenshotta görüldüğü gibi kısıtlanabilir.

AD Trusts

Trust –>Türkçesi güven. Domainlerin birbirine güvenmesi anlamında.

Eğer bir domain altında child domain oluşturuyorsak AD iki domain arasında Parent-Child trustını otomatik olarak oluşturur.

Transitive Trust : Örneğin domain A domain B ye güveniyor ve domain B de domani C’ye güveniyor. O zaman transitive var ise domain A domain C’ye de güvenir oluyor. tabii domain C’de domain A’ya.

Forest Root Trust : forestlar arası trustdır. Karşılıklı kaz-ynakların kullanımına izin verir.

External Trust: biz harici bir domain e de trust edebiliriz.

Shortcut trust : bir forest içinde trust path ini kısaltmak için kullanılır.

Ok ların yönü önemli. Standard olarak şöyle ; ok A domaininden çıkıp B domainini gösteriyorsa. B domaininde ki kişi A domaininde ki kaynakları kullanabilir. Yani A B’ye güvenir.

Trust oluşturmak için AD Domains and Trusts’ı açarız.

Domain’e sağ tıkla –> properties –>Trusts –> New Trust

wızardı takip edip kurulur. Wizardı dikkatle okumak gerekir.

Trust oluşturma iyi bir planlama ile olmalıdır.

Forest Migration

Bunu yapmak için ADMT (Ad Migration tool) adında microsoft un sayfasında indirilebilecek bir tool mevcuttur.

A forestindan B forestına migrate ederken :
* Kullanıcı hesapları
* Managed Service Accounts
* Computer Accounts
* Gruplar
migrate edilir.

Ayrıca SID-History de istersek kullanıcılar ile bir forestdan diğerine gönderilir.
SID history özellikle B forestina göçerken A da kullandıkları şeyleri kullanmaya devam etmelerini sağlar bu nedenle önemlidir.

Migration dan önce yapılması gereken işlemler

  • Vista SP1 den veya Windows Server 2008 R2 den önceki sistemlerde Registry yi ayarlayıp cryptography’i Windows NT 4.0 ile uyumlu hale getirmek gerekmektedir.
  • Firewall dosya ve printer paylaşımına açılmalıdır.
  • Kaynak ve hedef AD DS ayarlanacak böylece users, groups ve kullanıcı profilleri çalışabilecek.
  • Rollback planı olmalı.
  • Trust bağlantısı kurulmalı.
  • Kaynak ve hedef AD DS’ler SID-History migration için enable edilmeli.
  • Göç edeccek servis hesapları belirlenmeli
  • Mutlaka test migration yapılmalı ve tespit edilen sorunlar çözülmeli.

Migration uzun bir süreçtir. Microsoftun web sayfasında bu konu ile ilgili 250 sayfalık doküman mevcuttur.

Güzel bir video bu konuda : https://www.youtube.com/watch?v=wXsLjzpb9ZA

Adım 1 : Yeni yapılanma planı oluşturun

  • Account migration planı oluşturun
  • Mevcut objectlerin yeni yerlerlerini planlayın (mapping)
  • Test planı geliştirin.
  • Rollback planı oluşturun.
  • İletişim planı oluşturun. personeli bilgilendirin işlemler yapılırken.

Adım 2:

  • 128-bit encryption kullanılacak.
  • en az tek yönlü trust gerekiyor.
  • Göç edecek hesapların kaynak ve hedef tarafında permissionları olmalı.
  • ADMT SID-Historyi otomatik yapacak.
  • Hedefte ki OU yapısını kontrol edin
  • ADMT yi hedef domainde kurun.
  • Password migration’ı enable edin.
  • Test migration’ı yapın (küçük bir test olarak da icra edilebilir)

Adım 3 : Hesapları Migrate edin

  • Service hesaplarını aktarın
  • Global grupları aktarın
  • Hesapları aktarın

Adım 4: Kaynakları (resources) migrate edin

  • Workstatin ve üye serverları aktarın.
  • Domain local grupları aktarın
  • DC’leri aktarın

Adım 5: Migration i tamamlayın

  • Yönetim processlerini hedef domaine aktarın.
  • En az 2 faal DC olduğundan emin olun.
  • Kaynak domain’i decomission yapın.

SID-History aktarımı çok önemli. Eski SIDlerin aktarıldığı yeni domainde kullanıcıların 2 SIDsi olacak ama böylece kullanıcılar eski resourceları kullanmaya devam edebilecekler. Herşey bittikten sonra eski domain kapandıktan sonra eski SID’ler artık silinebilir.