Merhabalar, Bu yazımda Group Policy ile ilgili genel terimlerden bahsettikten sonra örnek uygulamalar yapacağız
Group Policy Nedir ?
Group Policy, bilgisayarların ve kullanıcıların merkezi bir şekilde yönetilmesini sağlayan yönetim aracıdır. Group policy ile bilgisayarların ve kullanıcıların izin ve kısıtlamalarını yönetebiliriz.
Policy Türleri Nelerdir ?
Temel olarak iki çeşit policy uygulaması vardır;
1-) Local Group Policy
2-) Domain Group Policy
Domain Group Policy’ler Site, Domain ve Organizational Unit seviyesinde uygulanabilmektedir.
Group Policy Uygulanma Sırası
Group Policy’ler Site, Domain, Organizational Unit(OU) seviyesinde uygulanabilirken birde domainden bağımsız şekilde uygulanabilen Local Group Policy’ler vardır. Local Group Policy uygulanan bilgisayar aynı zamanda bir domain üyesi olabilir.
Uygulanma sırası olarak ilk uygulanan policy bilgisayarın local policy’sidir. Sonrasında sırasıyla Site, Domain ve en son Organizational Unit(OU) seviyesinde uygulanmış olan policy uygulanır ve her zaman en son uygulanmış olan policy’nin kuralları geçerli olur.
1-) Local group policy
2-) Site seviyesinde uygulanan group policy
3-) Domain seviyesinde uygulanan group policy
4-) Organizational Unit(OU) seviyesinde uygulanan group policy
Group Policy Etki Süresi
Computer Configuration tarafında uygulanan Group Policy ayarları bilgisayar yeniden başlatıldığında, User Configuration tarafında uygulanan Group Policy ayarları ise logon sürecinde uygulanmaktadır.
Bunların dışında birde Group Policy tarafında background refresh süresi olarak 90 – 120 dakika arasında kullanıcı ve bilgisayar policyleri güncellenir . Eğer Group Policy tarafında bir değişiklik var ise bu değişiklikler uygulanır.
Bu uygulama süresi Bilgisayarlar için Computer Configuration> Policy> Administrative Templates> System> Group Policy> Set Group Policy refresh interval for computer kuralından
Kullanıcılar için Users Configuration> Policy> Administrative Templates> System> Group Policy> Set Group Policy refresh interval for users kuralından değiştirilebilir.
Bilgisayarlara Uygulanacak Group Policy Uygulamaları
1-) Uygulama Yasaklama
Client Bilgisayarlarda kullanıcıların kullanmasını istemediğimiz uygulamaları yasaklamak için Computer Configuration> Policy> Windows Settings> Security Settings> Software Restriction Policies> Additional Rules> New Path Rule denilir
Açılan pencerede “Path” kısmında yasaklanmasını istediğimiz programın yolu belirtilir.
Değişiklikler etki ettikten sonra yasaklanan program çalıştırıldığında aşağıdaki uyarıyla karşılaşılacaktır.
2-) USB Bellek Kullanımını Yasaklama
Client Bilgisayarlarda kullanıcıların USB bellek kullanımını engellemek için Computer Configuration> Policy>Administrative Templates> System>Removable Storage Access altında bulunan Removable Disks: Deny execute access , Removable Disks: Deny read access, Removable Disks: Deny write access kuralları Enable yapılarak kaydedilir.
Kullanıcıya Uygulanacak Group Policy Uygulamaları
Bunun için kullanıcıya uygulanacak “gpo” açılarak “User Configuration> Administrative Templates> Start Menu and Taskbar” menüsü altında bulunan “Remove Run menu from Start Menu” açılır.
1-) Run Menünün Yasaklanması
İlk olarak kullanıcının “run” menüsünü kullanmasını engelleyecek gpo uygulayarak başlayalım.
Açılan düzenleme penceresinde kural “Enabled” yapılarak kaydedilir.
Yapılan bu değişikliğin anında etki edilmesi isteniyorsa kullanıcı komut ekranını açarak “gpupdate /force” komutu kullanılabilir.
Değişikler etki ettikten sonra kullanıcı “run” menusünü açmak istediğinde aşağıdaki uyarıyla karşılaşacaktır.
2-) Komut Ekranı Yasaklama
Kullanıcının komut ekranınını(cmd) kullanmasını engellemek için User Configuration> Policy> Administrative Templates > System altında Prevent access to the command prompt kuralını seçerek düzenleme penceresi açılır.
Açılan düzenleme penceresinde kural Enabled yapılarak kaydedilir.
Uygulanan kuralın kullanıcıya etki etmesinden sonra komut ekranı açıldığından kullanılamadığı gözükmektedir.
3-) Task Manager Yasaklama
Kullanıcının task manager (görev yöneticisi) yasaklamak için User Configuration> Policy> Administrative Templates > System > Ctrl + Alt + Del Options altında Remove Task Manager kuralı düzenlemek için açılır.
Kural düzenleme penceresinde kural Enabled yapılarak kaydedilir.
Uygulanan kuralın kullanıcıya etki etmesinden sonra task manager’ın kullanılamadığı gözükmektedir.
Bir sonraki yazıda görüşmek üzere, Sağlıkla Kalın…