6.Kullanıcı Ortamını Group Policy ile Yönetmek
Windows Server 2003 kullanıcı profillerini ve özellikle Belgelerim klasörlerini Group Policy ile ağ üzerinde istenilen bir noktaya yönlendirmelerini ve Offline Folders seçeneği ile de ağ ortamında tutulan dosya ve klasörlerin çevrimdışı kopyalarını bilgisayarlarında saklamalarını sağlar.
Klasör Yönlendirme (Folder Redirection)
Kullanıcı profilinin saklandığı varsayılan alan %systemdrive%\Documents and Settings\Kullanıcı_Adı klasörüdür. Eğer bilgisayar NT4.0 veya Windows 98 / ME’den terfi ettirilmişse bu klasör %systemroot%\Profiles\Kullanıcı_Adı’dır.
Windows 2003 aşağıdaki klasörlerin yönlendirilmesine izin verir :
- Application Data
- Desktop
- My Documents
- My Pictures
- Start Menu
Klasör yönlendirmenin bir çok avantajı vardır.
- Değerli Kullanıcı bilgilerinin ağ üzerindeki kaynaklarda tutulması imkanıyla birlikte dağıtık kullanıcı bilgilerinin merkezi olarak merkezi olarak yedeklenebilmesini sağlar.
- Kullanıcı farklı bilgisayarlardan logon olsa bile verilerine daima ulaşabilir.
- Offline file tekonolojisi kullanıcının bilgilerinin bir kopyasını kendi bilgisayarında tutabilmesini ve ağ kaynaklarına erişemediği durumlarda dosyalarını kullanabilmesini sağlar.
- Sistem yöneticileri kota uygulaması ile ortak alanlardaki klasörlerde kullanıcıların kullanımlarını kontrol edebilirler.
Belgelerim klasörünün Home Folder’a yönlendirilmesi yeteneği Windows XP Pro.da olan bir özelliktir ve XP Home Edition, Windows 2000 veya NT 4.0’da çalışmamaktadır.
Belgelerim klasörü Home Folder’a yönlendirildiğinde Windows XP aşağıdaki durumların gerçekleştiğini varsayar :
Güvenlik – Yönlendirme yapıldığında Home Folder’a aktarılan klasörlerde güvenlik kontrolü yapılmaz ve yetkilerde değişiklik olmaz.
Sahiplik (Ownership) – Belgelerim yönlendirildiğinde sahiplik kontrolü yapılmaz. Eğer kullanıcı yönlendirilen klasörün sahibi değilse yönlendirme başarısız olur.
EFS (Encryption File System) ile şifrelenmiş klasörlerin yönlendirilmesi halinde kullanıcılar bu klasörleri okuyamazlar. Ancak sistem yöneticisi bu klasörlerin şifresini açabilir ve okunabilir hale getirebilir.
Klasör yönlendirme 4 farklı şekilde olabilir :
- Kök dizin alında her kullanıcı adına otomatik dizin oluşturulması
- İstenen klasöre yönlendirme. \\sunucuadı\paylaşım
- Yerel Kullanıcı profili klasörüne yönlendirme
- Kullanıcının home folder’ına yönlendirme. My Documents klasörü için
Klasör yönlendirme ile ilgili hata mesajları Event Viewer \ Applicatin altında izlenebilir.
Klasör yönlendirmeyi sağlayan GPO’nun uygulamadan kaldırılması halinde klasörlerin mevcut yerinde mi kalacağı yoksa eski yerine geri mi kopyalanacağı ayrıca ayarların içinde bulunmaktadır.
Klasör Yönlendirme ve Çevrimdışı Dosyalar (Offline Files)
Klasör yönlendirme ağ ortamında dosyaları tutulmasını sağlayan yararlı bir özelliktir ancak ağda sorun olması halinde kullanıcıların dosyalara erişiminde sorunlar oluşacaktır. Çevrimdışı dosyalar özelliği kullanıcıların ağda sorun olması halinde dosyaların disklerindeki kopyalarını kullanmalarını sağlayan faydalı bir özelliktir.
Eğer dosyanın çevrimdışı kopyası silinirse ancak bu arada başka birisi ağ üzerindeki kopyada değişiklik yaparsa, çevrimiçi olunduğunda ağdaki dosya silinmez.
Eğer dosyanın çevrimdışı kopyasında değişiklik yapılmış ancak bu arada ağ üzerindeki kopyası başkası tarafından silinmişse dosyanın bir kopyası saklanabilir veya bilgisayardaki kopyasının silinmesine izin verilebilir.
Eğer ağ ortamından çıkıldığında ağdaki klasöre yeni dosya eklenirse bilgisayar çevrimiçi hale geldiğinde dosyanın bir kopyası bilgisayardaki çevrimdışı kopyaya da eklenir.
Çevrimdışı Dosyalar için Windows 2003 server üzerinde üç farklı ayar bulunmaktadır.
- Sadece kullanıcının kullandığı dosya ve programlar çevrimdışı saklansın.
- Bütün kullanıcıların paylaşımdan açtıkları tüm dosyalar otomatik olarak çevrimdışı saklansın.
- Dosyalar veya programlar çevrimdışı saklanmasın.
Sunucuda ayarlar tamamlandıktan sonra PC’de de benzer ayarların yapılması gereklidir. Windows 2000, XP ve 2003 bu özelliği kullanabilirler.
Önemli : Bir sunucuda Remote Desktop özelliği aktif ise Çevrimdışı dosyalar özelliği kullanılamaz.
Çevrimdışı dosyaların şifrelenmesi özelliği bir Group Policy nesnesi ile kısıtlanmışsa veya çalışılan disk NTFS değilse veya şifreleme özelliğini desteklemiyorsa aktif olmaz.
Ağ üzerindeki farklı bilgisayarlarla olan çevrimdışı ilişkiler her makinaya göre ayrı ayrı düzenlenebilir.
Çevrimdışı dosyaların eşitlenmesi işlemi grafik ara yüz dışında komut satırından mobsync komutu ile de başlatılabilir.
En iyi uygulamalar (Best Practices)
- Bırakın klasörleri sistem kendisi oluştursun. Yetkileri siz vermeye çalışırsanız mutlaka bazılarını atlarsınız.
- Yol (path) belirtirken daima FQDN kullanın.
- Çoğunlukla varsayılan ayarlar en iyi ayarlardır.
- My Pictures klasörünü My Documents içine yerleştirin.
- Çevrimdışı Dosyalar seçeneğini aktif hale getirin.
Group Policy ile Yazılım Kurulumu
GP ile yazılım kurulumu Microsoft IntelliMirror’ un Group Policy ile ortaklaşa çalışan bir özelliğidir.
GP ile uzaktan yazılım yükleme özelliği aşağıdaki amaçlar için kullanılabilir :
- Kullanıcıların hangi bilgisayarda çalışırlarsa çalışsınlar işlerini yaparken ihtiyaçları olan tüm yazılımları kullanabilmeleri için.
- Bilgisayarlara gereken yazılımların teknik personelin müdahalesi olmadan yüklenebilmesi için.
- Kurumun ihtiyaçlarına göre uygulamaların yüklenmesi, güncellenmesi ya da kaldırılabilmesi için.
GP ile uzaktan yazılım yükleme özelliği Windows 2000’den başlayarak daha ileri tüm işletim sistemlerinde kullanılabilen bir özelliktir.
Yazılım yükleme iki şekilde yapılabilir. Atama (Assign) veya Yayınlama (Publish). Atama ile uygulanan yazılım yükleme işlemleri zorunludur ve kullanıcı müdahale edemez. Yayınlama ile sistem yöneticileri bazı yazılımları yüklenebilir olarak yayınlarlar ve kullanıcılar istedikleri yazılımları seçerek bilgisayarlarına yükleyebilirler. Her iki işlem de kullanıcıya veya bilgisayara yapılabilir.
Yüklenecek yazılımlar ağdaki sunucularda bulunan paylaşımlarda tutulabilir. Bu paylaşımlara Yazılım yükleme noktası (Software Distribution Point) SDP adı verilir.
Atanan Yazılım yüklemesi kullanıcıya bağlanmışsa, kullanıcı logon olduğunda Start menüsünde kendine kısayollarını oluşturur. Kullanıcı bu kısayolu ilk kliklediğinde kurulumu yapar.
Atanan Yazılım yüklemesi bilgisayara bağlanmışsa, sistem açıldığında CTRL+ALT+DEL seçeneği gelmeden önce yazılım kendisini bilgisayara kurar.
Yazılım yayınlanmışsa kendisini bir nesne olarak AD içinde tutar. Kullanıcı yayınlanmış yazılımları Denetim Masası \ Program Kur / Kaldır içinden görebilir ve yükleyebilir.
Yazılım yüklemelerinin birden çok bilgisayarda aynı anda yapılması isteniyorsa SDP ile istemciler arasında hızlı bir ağ bağlantısı bulunması tavsiye edilir.
Windows 2000’den daha düşük istemciler bulunuyorsa uzaktan yazılım yüklemesi GP ile yapılamaz. SMS kullanılması tavsiye edilir.
Yazılım yüklemeleri sırasında işlemleri hızlandırmak için aşağıdaki stratejiler kullanılabilir :
- OU’ ları yazılım ihtiyaçlarına göre oluşturma metodu : Aynı yazılımı kullanacak kullanıcı veya bilgisayarları organize etmek için kullanılabilir.
- Yazılım dağıtım nesnesini AD yapısı içinde en yukarılarda oluşturmak : Böylece en fazla sayıda kullanıcının GPO’dan etkilenmesi sağlanır. Farklı OU’larda farklı GPO’lar ile yazılım yüklemesini yönetmekten kurtulabilirsiniz.
- Birden fazla yazılımı tek bir GPO ile yüklemek : Birim zamanda daha fazla yazılım yüklenmesini sağlar. 10 tane yazılımı 10 ayrı GPO ile yüklemek, tek bir GPO ile yüklemekten çok daha uzun sürecektir.
SDP oluşturmak için uygun bir sunucuda paylaşım oluşturulur. \\sunucu\paylaşım. Yazılım yükleme paketleri bu alana kopyalanır. Eğer yazılım bilgisayarlara atanmışsa paylaşıma üzerindeki erişim yetkisi listesine mutlaka atanan bilgisayarlar da eklenir. Daha iyisi Domain Computers grubunu eklemektir. Read yetkisi yeterli olacaktır.
WAN üzerinde yazılım yüklemesi yapılıyorsa kullanıcıları kendilerine en yakın SDP’ye yönlendirmek için DFS kullanılması gerekir.
Bazı özel durumlarda GPO ile yüklenen yazılımların kaldırılmasında sorunlar yaşanabilir. Bu durumda MSICUU.EXE (Windows Installer Cleanup Utility) veya MSIZAP.EXE (Windows Installer Zapper) yardımcı programları kullanılarak hatalı kurulum kaldırılabilir.
DİKKAT : GPO’da yazılım ataması yaparken işlem GPO’nun Computer Configuration bölümünde yapılıyorsa yazılım yayınlama (Publishing) seçeneği yer almaz. Çünkü Yayınlama işlemi sadece kullanıcılara yapılabilir. Kullanıcılara ilişkin GPO ayarları ise User Configuration’da bulunmaktadır.
GPO ile Yüklenmiş paketleri yeniden yüklemek
Daha önceden yüklenmiş bir paketi yeniden yüklemek için ilgili GPO nesnesi açılır ve Redeploy Package seçeneği işaretlenir. Böylece yazılım üzerindeki küçük veya toplu değişiklikler kullanıcılara ve bilgisayarlarına aktarılabilir.
GPO ile Yüklenmiş Paket ve yazılımları güncellemek
Hazırlanan güncelleme paketi gerçek yükleme paketinin Upgrade sekmesinden eklenerek yüklenebilir. Update sekmesi geleneksel yazılımların paketlenmesi sonucunda oluşturulan .ZAP paketlerinde bulunmaz. Sadece .MSI paketlerinde bulunur.
GPO ile Yüklenmiş Paket ve yazılımları kaldırmak
Yazılımlar GPO ile yüklendikleri takdirde yazılımı kaldırmadan önce GPO silinirse yazılımın otomatik kaldırılması mümkün olmayacaktır. Bu nedenle yüklenen yazılımları kaldırmak için aşağıdaki metot uygulanmalıdır.
- uygulanacak yazılım kaldırma metoduna karar vermek
- Yazılım kaldırma aracının görevini tamamlamasına izin vermek
- GPO’ yu silmek.
Yazılım iki şekilde sistemden kaldırılabilir. Zorlayarak kaldırma (Forced Removal) ve Seçmeli Kaldırma (Optional Removal). Zorlayarak Kaldırmada yazılım anında sistemden silinir, seçmeli kaldırmada ise kullanıcı yazılımı kullanmaya devam eder ancak yeni sürüm ve güncellemelerin yüklenmesi engellenir.
- Bilgisayarlara atanmış yazılımlar bir sonraki açılışta sistemden kaldırılır.
- Kullanıcıya atanmış veya yayınlanmış yazılımlar bir sonraki logon sırasında sistemden kaldırılır.
Seçmeli Kaldırma ile GPO’dan silinmiş bir paket daha sonra GPO ile tamamen kaldırılmak isteniyorsa önce aynı paket yeniden GPO ile kurulmalı ve daha sonra Zorlayarak Kaldırma uygulanmalıdır.
GPO ile yüklenen yazılımlardaki sorunların giderilmesi
Windows 2003, Group Policy sorunlarının analiz edilmesi için bazı araçlar sunmaktadır.
- Resultant Set of Group Policy - Gpresult.exe
- Gpupdate.exe - Event Viewer
- Log Dosyaları
Yüklenmiş yazılımları ilişkin detaylı bilgiler CPO Console, Computer Configuration veya User Configuration’dan yüklenen yazılım üzerinde sağ kliklenerek görülebilir. Deployment \ Advanced.
Terminal Services istemcileri GPO ile yazılım yükleme özelliğinden faydalanamazlar.
Yazılım Kısıtlama Kurallarının Uygulanması
Yazılım kısıtlamaları sistem yöneticileri tarafından son kullanıcının kuralın uygulandığı bilgisayarda kullanmaya yetkisi olan yazılımları düzenler ve diğer yazılımların kullanılmasını engeller.
Eğer kısıtlama kuralı, kısıtlamasız (unrestricted) olarak ayarlanmışsa o bilgisayar üzerinde çalışan yazılımlar varsayılan kural olarak engellenmemiştir ve sistem yöneticileri engellenmesi istenen yazılımları GPO’ya kayıt ederek bir kural seti oluşturabilirler.
Kural, engellenmiş (disallowed) olarak ayarlanmışsa sistem yöneticileri sistem üzerinde çalıştırılmasına izin verilecek yazılımları GPO içine kayıt ederek kural seti oluşturabilirler.
Varsayılan GPO ayarı Kısıtlamasızdır.
GPO ayarı Disallowed olarak ayarlandığında otomatik olarak aşağıdaki 4 kayıt anahtarı oluşturulur. Bu kayıtlar ile kısıtlanmış bilgisayarlarda yanlışlıkla sistemin çalışması için gerekli sistem dosyalarının da kilitlenmesi engellenir.
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \SystemRoot%\*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \SystemRoot%\System32\*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ProgramFilesDir%
- Eğer bir bilgisayar login script ile bazı programları çalıştıracaksa bu programlar için bir istisna kayıt anahtarı oluşturulmalıdır.
- Bilgisayar başlatılırken çalışan programlar HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run altında listelenmiştir. Bu yazılımlar için de istisna oluşturmak gerekebilir.
- Bazı yazılımlar diğer başka programları başlatabilir. Örneğin ; Microsoft Word, Microsoft Clip Organizer’ ı başlatır.
Bir yazılım aşağıdaki yöntemlerle GPO içinde tanımlanabilir :
Hash : Bir program veya dosyayı tanımlamaya yarayan sabit değerdeki bir rakam serisi. MD-5 veya SHA-1 gibi algoritmalarla hesaplanır. Yazılım farklı yol (path) altına kaydırılsa bile Hash değeri değişmediği için daima GPO tarafından tanınacak ve engellenilecek veya izin verilecektir.
Sertifika : Karşılıklı doküman değiş tokuş etmeye yarayan güvenilir bir doküman.
Yol (Path) : Dosyanın disk üzerindeki yerini belirten yol. Burada bazı çevre değişkenlerini kullanmak mümkündür. %Appdata%,%UserProfile%,%ProgramFiles%
Internet Zone : Internet Explorer içinden belirlenen bir alt bölge.
Aynı anda birden fazla kural olması halinde aşağıdaki öncelik sırasıyla uygulanır :
1) Hash
2) Sertifika
3) Yol
4) Internet Zone
GPO oluşturulurken belirtilen dosya türleri GPO içindeki tüm kurallar için geçerlidir. Ancak Computer configuration veya User Configuration için ayrı ayrı dosya türleri listesi oluşturulabilir.
Bilgisayar güvenilir kipte (Safe Mode) açıldığında Yazılım Kısıtlamaları geçerli değildir.
Sistem Disallowed olarak ayarlandığında tüm yazılımlar kısıtlanmıştır. Çalıştırılması istenen yazılımların hepsi için kuralların ayrı ayrı oluşturulması gereklidir.