5.Group Policy’ i yönetmek
GP nesneleri SYSVOL dizini içinde alt dizinlerde saklanmaktadır.
Group Policy Management Console, GP yönetimi için faydalı araçlardan biridir.
Grop Policy, sadece Site, Domain veya OU ya uygulanabilir.
Local GPO, %systemeroot%\system32\GroupPolicy dizininde bulunmaktadır.
Active Directory kurulduğunda, Default Domain Policy ve Default Domain Controller Policy adında iki GPO yaratılır.
GPO lar, sadece DC lerde aşağıdaki dizinlerde saklanır :
%systemroot%\ sysvol \ domainname \ policies \ GPO GUID \ Adm
GPO ayarları her 90 dakikada bir sistem tarafından kontrol edilir ve yenilenir.
Scripts bölümü, sistem betiklerinin yazılmasına imkan tanımaktadır. Kullanıcılar için Logon ve Logoff, bilgisayarlar için ise statup ve shutdown betikleri yazılabilir ve işletilebilir. Birden fazla betiğin ard arda yazıldığı hallerde ise, sırayla işletilmektedirler.
Group Policy’ nin uygulanma prosedürü
- Remote Procedure Call System Service (RPCSS) ve Multiple Universal Naming Convention Provider Service (MUP) servisleri başlatılır. Network başlar.
- GPO’ ların sırası ve listesi elde edilir.
- Computer Configuration GPO çalıştırılır. Local GPO > Site GPO > Domain GPO > OU GPO olarak sırasıyla ve senkron olarak uygulanır.
- Startup scriptleri çalıştırılır.
- Kullanıcı CTRL+ALT+DEL’ e basarak logon olur.
- Kullanıcı profili yüklenir.
- User Configuration GPO çalıştırılır. Local GPO > Site GPO > Domain GPO > OU GPO olarak sırasıyla ve senkron olarak uygulanır.
- Logon scriptleri çalıştırılır.
GPO sıralaması
- Önce local GPO uygulanır. Her W2K, XP veya W2K3 sistemde bir local GPO vardır.
- Site GPO uygulanır. Site GPO bilgisi forest root DC lerinde saklanmaktadır. Site seviyesinde GPO oluşturarak birden fazla etki alanının aynı GPO tarafından yönetilmesi sağlanabilir. Ancak Site seviesinde GPO kullanılacaksa, forest root DC leri mutlaka site tarafından erişilebilir olmalıdır. Ya da siteye bir forest root DC yerleştirilmelidir.
- Etki alanı GPO uygulanır.
- Son olarak OU GPO uygulanır.
Parent Domain ile Child Domain arasında GPO Inheritance yoktur. Olmaz ! ! !
Inheritance aşağıdaki yollarla engellenebilir :
No Override : Eğer birden çok GPO No Override ile işaretlenirse AD hiyerarşisi içinde en üstteki uygulanır.
Block Policy Inheritance : Bir Site, domain ya da OU Block Policy Inheritance ile işaretlenebilir.
Loopback
Normalde bir kullanıcı hesabının User GPO’dan etkilenmesinin tek bağlı olduğu etken Active Directory içinde kullanıcı hesabının yerleştirildiği yerle olan ilişkisidir. Ancak, öyle durumlar olur ki, kullanıcının User Configuration GPO yerine, Computer Configation GPO’ dan etkilenmesi gereken haller oluşur. Bu durumda Loopback özelliği kullanılacaktır.
User Group Policy Loopback Processing Mode aşağıdaki alandan ayarlanır :
Computer Configuration \ Administrative Templates \ System \ Group Policy
Filtering
Normal olarak GPO lar, sadwece Site, domain veya OU’ lara uygulanabilir. Ancak W2K3 ile gelen bir özellikle sadece bazı kullanıcılar veya Security Grouplara GPO uygulanabilmektedir.
GPO uygulanabilir olmak, GPO üzerinde Allow Read ve Allow Apply Group Policy yetkilerinin olması demektir.
Hiç yorum yok:
Yorum Gönder