Windows Server 2008 ile Group Policy Uygulaması

advertisement
Windows Server 2008 ile Group Policy Uygulaması (Group Policy Management
Console)
Gözlemlediğimiz kadarıyla, Microsoft yeni server ailesi için bir çok özelliğini değiştirdiğini
beta sürümünde fark ettik ve merakla tam sürümünü beklemeye başladık. Bana göre gözle
görülen ilk değişikliği görüntüsünde yapmış ve kendi kanaatimce bir Server ailesi için hiç de
benimsenmeyecek bir görsellik katmış durumda olup, daha önce ki server işletim
sistemlerinde olmadığı kadar görsel sölen ile biz sistemcilere sunmaya hazırlanmakdadır. Bu
özelliğini ileride çok tartışılacağını tahmin ettiğim için belirtmek istedim.
Makalemizde değinecek olduğumuz konu Server ile Group Policy Uygulamasıdır.
Uygulamaya geçmeden önce Goup Policy hakkında kısaca bilgi vermek isterim ki Domain
ortamı olan bir networkde merkezi bir server üzerinden Client bilgisayarların hemen hemen
bütün security işlemlerini, özelleştirmelerini, program yüklemelerini, client ve kullanıcı
kısıtlamalarını vb.. bir çok yönetimsel işlemlerimizi yapmış olduğumuz ve bir sistem
kurulumu sırasında olmaz ise olmaz yapılandırmalarımızın başında gelmekte olan
uygulamalardır. Bir kullanıcı, bir grup, bir domain ortamının ihtiyaç duyduğu hemen hemen
bütün işlemleri gerçekleştirebileceğimiz bir yönetim aracıdır. Aynı şekilde bu uygulamaları
Windows Xp Professionel işletimine sahip bireysel bilgisayarlarımızda uygulayabilmekteyiz.
Sağlamış olduğu bir çok kolaylık ile bir çok yönetimsel işlemlerimizi tek elden yapan, iş
yükümüzü hafifleten Policy Uygulamaları yukarıda ki resimde de görüldüğü gibi yeni server
işletim sistemi olacak olan Windows Server 2008 içerisinde bulunmamaktadır..
Default olarak, ilk kurulumu ile birlikte gelen mevcut policy Local Securty Policy’sidir.
Zaten bu local seurty policy’sine ulaşabilmemiz için her hangi bir Domain ortamına da gerek
yoktur.
Local Securty Policy’ler bir bilgisayar için gerekli olan ( server olması zorunlu değildir )
bütün güvenlik ayarlarını içermektedir. İlk kurulduğu zaman Microsoft tarafından belirlenen
yapılandırma bilgisayarımıza uygulnmış olarak hazır gelir.
Bu policye ihtiyaç duymamızın nedeni ise bir takım güvenlik ayarlarına ihtiyaç duymamız ve
kullanım, yapılandırmamız için gerekli olan haklardan ileri gelmektedir. Domain ortamı
kuruldukdan sonra bu policy’miz Domain Controller Policy’si ile yer değiştirmektedir.
Server 2008 ile birlikte default olarak gelen bu iki Policy haricinde üçüncü bir policy
uygulama şansımız bulunmamakta olup, yeni bir OU oluşturduğumuz zaman 2000 ve 2003
server ailelerin de olduğu gibi bu konteynır için, kendi belirlemiş olduğumuz özel bir
uygulama yapabilmek üzere her hangibir Group Policy Uygulaması bulamamaktayız.
Bulamamaktayız diyerek yeni server işletim sistemimiz içerisinde Group Policy uygulamaları
yapamamaktayız anlamına gelmemektedir. İşte bu noktada ek bir bilgi vererek Microsoft
firmasının kendi gözlemlemiş olduğum çalışma mantığını sizler ile paylaşmak istiyorum.
Bilindiği gibi Microsoft firması yeni bir ürün ve/veya ürünün yeni sürümlerini piyasaya
çıkartmadan önce bu ürün ile ilgili çalışmalarını BETA adı altında piyasaya sürdüğü gibi, yeni
işletim sistemlerinde, yeni yazılımların da yapmak istediği uygulamaları yeni ürünü piyasaya
çıkmadan önce, çıkartacak olduğu ürünün bir önceki sürümlerinde değişiklikleri kullanıcıları
ile paylaşmaktadır.
Örnek vermemiz gerekirse Windows 98 işletim sistemi piyasaya ilk çıktığı zaman İnternet
Explorer 5 ile sürülmüş, daha sonra 5.5 olarak güncellenmiş ve Windows Xp piyasaya
çıkmaya yakın İnternet Explorer 6.0’ ın Windows 98 işletim sistemine sahip makinelerimizin
üzerine yüklenmesine opsiyonel olarak izin vermiş fakat Windows Xp ile birlikte İnternet
Explorer 6.0 kullanmayı mecburi kılmıştır.
Bir başka örnek ise yakın tarihimizde bunu İnternet Explorer 7 de yapmış olup, Windows Xp
ürünümüz üzerine tekrardan opsiyonel olarak kurmamıza izin vermiş, beğenmez isek eğer
kaldırmamıza ve bir önceki sürüm olan İnternet Explorer 6 ile işlemlerimizi yapmamıza izin
vermiş fakat Yeni nesil işletim sistemi olan Vista ile İnternet Explorer 7’ yi kullanmayı
mecburi kılmıştır.
Yukarıda vermiş olduğumuz örnekler tamamen konumuzun daha iyi anlaşılması için verilmiş
örnekler olup, makalemizde değinecek olduğumuz asıl konumuzun Windows Server 2008
üzerinde bir Group Policy uygulaması yapabilmemiz için gerekli olan Group Policy
Management Console’ nin zorunlu olarak yüklenmesi gerektiğini belirmek için verilmiş
örneklerdir.
Group Policy Management Console Windows 2003 Server üzerinde bulunan Policylerimizi
uygulamakda, policylerimizin yedeğini almamızda, bir policyi uygulamadan önce
uygulayacak olduğumuz kullanıcı üzerinde ne gibi değişiklikler oluşacağına dair bizlere daha
önceden bilgiler veren Microsoft Ailesinin bir toolu olup, yukarı da belirttiğimiz ve
makalemiz içerisinde de değinecek olduğumuz bir çok özelliğine, 3rdParty bir yazılıma
ihtiyaç duymaksızın gerçekleştirmemize yardımcı olan bir tool olup, bu toolu Microsofun
sitesinden ücretsiz olarak indirebiliyoruz.
Not : Bu tool 2003 SBS Server üzerinde otomatik olarak yüklenmekte olup isteğe bağlı olarak
bu toolu program ekle kaldırdan silerek standart policy uygulmaları yapabilmekteyiz.
Yeni Server işletim sistemimizde bu araç olmadan, Local Securty Policy si haricinde herhangi
bir Policy değişikliği yapma şansımız bulunmamaktadır. Group Policy Management Console’
mizi yükleyebilmek için Start \ Administrator Tools \ Server Manager içine giriyoruz.
Açılan ekranımızda Server Manager \ Features içerisine girerek add Features bölümünü
tıklıyoruz ve bilgisarımız üzerinde yüklü olan veya yüklü olacak olan toolları aramaya
başlıyor. Dikkatinizi çekmemi istediğim nokta Windows Server 2008 ile birlikte bir çok
yönetimsel işlemlerimizi yapabilmemiz için ayrı ayrı bu özellikleri yüklememiz gerektiğini
bilmenizdir. Örnek vermem gerekirse eğer Windows Server Backup Features özelliğini
yüklemeden NTBACK-UP toolunun dahi çalışmıyor olmasıdır.
Görüldüğü üzere Serverimiz üzerinde yüklenmeyi bekleyen toplam 35 adet özellik olup biz
bunlardan makalemiz gereği Group Policy Management Console yi seçip işlemimize devam
ediyoruz.
Active drictory User and Computers bölümü içinde oluşturmuş olduğumuz Fakaonline adında
ki OU Group Policy Management Consolu içerisinde görebilmekteyiz. Fakaonline OU içine
herhangi bir Group Policy uygulaması yapamadığımız için yukarıda ki resimde görüldüğü
üzere boştur.
Serverimiz üzerinde yazımızın başında belirtmiş olduğumuz gibi iki adet policy bulunmakta
olup bu policyleri ve daha sonradan kullanıma hazır hale getirecek olduğumuz policyleri
Group Policy Object bölümü altında görebiliyoruz. OU lerimiz içerisinde bulunan kullanıcı
veya bilgisayarlarımıza harhangi bir policy uygulayabilmemiz için ilk önce bir policy
oluşturuyoruz. Yeni bir policy oluşturabilmek için Group Policy Objects bölümü üzerinde sağ
tuş tıklayarak NEW GPO kısmını tıklıyor ve açılacak olan ekranda policymizi tanımlayan bir
isim atıyoruz.
Görüldüğü gibi Fakaonline OU’ su için uygulamaya hazır hale getirdiğimiz policymizi diğer
policylerimizin de barınmış olduğu Group Policy Objects bölümü altında görebiliyoruz.
Oluşturmuş olduğumuz policymiz üzerine tıkladığımız zaman sol tarafda ki bölüm içerisinde
policymiz ile ilgili bizlere bilgi verecek ve uygulamlarımızı yapmamızda bizlere yardımcı
olacak olan olan dört adet sekme görmekteyiz. Bu sekmelerimiz Scope, Details, Settings,
Delegation olup bunları yazımızın ilerleyen kısmında sizler ile paylaşacağım.
Scope bölümü altında uygulamış olduğumuz policymizin bağlı bulunmuş olduğu lokasyonu
görebilmekteyiz. Bu lokasyon serverimizin bağlı bulunmuş olduğu Foresti veya Domaini
temsil etmektedir. Eğer varsa bu listeye bağlı bulunmuş olduğumuz diğer forest veya
domainleride ekleyebilmekteyiz.
Security Filtering bölümü altında bu policymizin kimlere uygulanacağını
belirleyebilmekteyiz. Default olarak Authenticated User (Fakaonline OU içinde bulunan ve
log on olmayı başaran bütün kullanıcılar) olup, OU içinde bulunan bütün kullanıcılara
uygulanacağını görebilmekteyiz. Dilersek bu kullanıcıları uygulamamıza bağlı olarak yni
kullanıcılar, gruplar ekleyebilir veya çıkartabiliriz. Bilinmesi gereken en mnemli nokta
policylerimizin uygulanmasını istediğimiz kullanıcıların bu policy üzerinde Read ve Apply
Group Policy izinlerinin olması gerekmektedir.
WMI Filtering OU içerisinde bulunan belirli bilgisayarlara bu policynin uygulanmasını
sağlayabiliriz. Daha önceden oluşturduğumuz Filteringler ile policy uygulamalarımızı
kolaylaştırabiliyoruz. Bu filtrelemeye örnek vermemiz gerekirse; Policymiz içerisinde yazılım
yükleme policysini aktif hale getirdik ve Ofis Yazılmını Policy ile yüklemek istiyoruz.
Clientlerimizin disk kapasitesi yeterli değilse eğer policy yüklemesi sırasında bir takım
problemler ile karşı karşıya kalacağız. Ve biz bu problemleri yaşamak istemiyorsak eğer WMI
Filtering özelliği ile Disk alanında 500 Mb boş alana sahip olan bütün bilgisayarlara bu
policyi uygula. Veya başka bir örnek bu policynin uygulnacak olduğu OU içerisinde bulunan
Lenova Marka bilgisayarlara uygulanmsını belirtebiliriz.
Policymiz ile ilgili ikinci sekme ise Details sekmesidir. Bu sekme altında policymiz ile ilgili
gerekli bilgileri bulabiliriz. Bu bilgiler Policymizin hangi domain içerisinde olduğunu, ne
zaman oluşturulduğunu, düzenlendiğini, GPO anlık olarak durumunu görebilmekteyiz.
Üçüncü sekmemiz olan Settings bölümü altında GPO üzerinde yapmış olduğumuz policyleri
rapor halinde görebiliyoruz. Policylerimizi iki bölüm altında ayırmış durumdadır. Bilindiği
gibi policylerimizi kullanıcı ve bilgisayar bazlı uygulayabilmekteyiz. Görmüş olduğumuz
Computer Configuration (OU içinde bulunan bilgisayarlara uygulanan policy) ve User
Configuration (OU içinde bulunan kullanıcılara uygulanan policy) bölümleridir ve herhangi
bir policy uygulaması yapmadığımız için No settings defined diyerek çalışma yapılmadığını
bizlere belirtmektedir. Yazımızın ilerleyen kısımlarında bir policy uygulaması yapıldıkdan
sonra bu bölümde oluşan değişikliği gördüğünüz zaman setting bölümünün amacını daha iyi
anlamış olacağız.
Son sekmemiz olan Delegations bölümü altında GPO’ muz üzerinde hangi kullanıcının hangi
haklara sahip olduğunu görebiliyoruz. Default olarak
Authentication Users grubuna üye olan kullanıcılarımızın policymizi sadece okumaya,
Domain Admins ve Enterprise Admins grubuna üye olan kullanıcılarımızın policymiz
üzrinde her türlü hakka ship olduğunu gibi bilgilerimizi ve bu bölüme atadığımız ve/veya
atayacak olduğumuz kullanıcıların ne tür haklara sahip olduğunu kolaylık ile görebilmekteyiz.
Add butonu ile yeni kullanıcılar ekleyebildiğimiz gibi, remove sekmesi ile gerekli
kullanıcıları silebiliyoruz.
Group Policy Management Consolunu tanıtmamızın ardından artık Fakaonline OU için Policy
uygulamasına başlayabiliriz. Group Policy Objects bölümü altında uygulama yapmak
istediğimiz policy üzerinde sağ tuş Edit dememiz yeterlidir.
Karşımıza çıkan ekran tanıdık bir ekrandır ve biraz daha görselleştirmiş halidir. Amacımıza
uygun olarak gerekli çalışmamızı yapıyoruz. Her sistemci arkadaşımızın yapması gerekli olan
uygulamayı ben de uyguluyorum ve açılış sayfamı http://www.cozumpark.com olarak
yapılandırıyorum.
Policymiz ile ilgili gerekli çalışmayı yaptıkdan sonra GPMC üzerinde ilgili OU üzerinde
sağtuş Link an Existing GPO butonuna basarak policymizi Fakaonline OU suna bağlıyoruz.
(uygulanmasını belirtiyoruz)
Yazımınız geri kalan bölümü içerisinde Settings sekmesi altında, kullanıcı bölümü içerisinde
No settings defined yazarken, GPO üzerinde gerekli çalışmayı yaptıkdan sonra aynı bölüm
altında uygulamış olduğumuz policylerimizi görebilmekteyiz. Bilgisayar ile ilgili bir policy
uygulamadığım için Computer Configuration bölümünde bir değişiklik yok. Uygulamış
olduğumuz policyler eğer fazla ise bu bölümde rapor çıkartılırken Generating diye bir yazı
belirir ve raporun hazırlandığını görürüz.
Fakaonline OU içerisinde bulunan fkaraalioglu adlı kullanıcı ile oturum açtıkdan sonra
policymizin uygulandığını gpresult /r komutu ile görebilmekteyiz.
Group Policy Management Console’ mizin bizlere sağlamış olduğu en büyük avantaj ise
uygulamış olduğumuz policylerimizin yedeğini almamızdır. Almış olduğumuz bu yedekler ile
geri dönüş yapmamız daha klay hale gelip veya standart bir template hazırlayıp farklı
domainlere Restore From Backup butonu ile geri uygulamamız daka kolaylaşıyor.
Yedeklemeyi yukarıda görüldüğü gibi isteğimize bağlı olarak bütün policy uygulamalarımızı
yedeklediğimiz gibi sadece ilgili policynin de yedeğini alabilmekteyiz.
Download