Group Policy Microsoft tarafından geliştirilen bilgisayarların ve kullanıcıların merkezi yönetimini sağlayan kurallardır. Domain yapısı içerisinde bilgisayar ve kullanıcılara gerekli görünen kısıtlamalar, uygulama dağıtımı , kişileştirme güvenlik ayarları ve konfigürasyonları tek merkezden uygulanmasına olanak sağlar.
Policy Türleri
- Local Policy: Sadece tek bilgisayar için düzenlenir. Bilgisayarda güvenlik ayarları , kısıtlamalar , konfigürasyon gibi işlemleri sadece kendi yerel bilgisayara uygulanan policy türüdür.
- Domain Policy: Domain policy çeşidi ise bir çok bilgisayar , kullanıcıya veya belli kullanıcı , bilgisayara uygulanabilen policy türüdür.
Biz bu yazımızda Domain Policy üzerine konuşacağız. Domain Policyler neden uygulanır , Nasıl oluşturulur ve uygulanır bunlar konusunda detaylı bir anlatım yapmaya çalışacağız.
Öncelikle bir kurum için Domain Policy neden uygulanır ?
Uygulanması merkezi olarak güvenlik ayarlarının yapılandırılması, konfigürasyonlar, görselleştirme ve uygulama dağıtımı yapılmasıdır. Ayrıca aşağıda özel olarak nedenlerini sıraladım.
- Güvenlik ayarlarının tek merkezden yönetilmesi , kullanıcıya bırakılmaması
- Çeşitli uygulama dağıtımı için
- Her bilgisayarda paylaşım oluşturma
- Masaüstü özelleştirmesinden tutun , logon ekranına kadar standart oluşturma
- Kullanıcılar için belirli kısıtlamalar uygulanması örnek olarak bazı paylaşımlara erişim engeli gibi
- Her kullanıcının cmd , powershell veya program yükleyememesi
- Kullanıcıların USB,DVD,CD gibi sürücelerin devre dışı kalması
- Her kullanıcının belirli bir şifre standart politikası oluşturma gibi birçok sebepten biridir.
Ayrıca sistem yöneticileri için sağladığı bir çok avantaj vardır. Bunlar yönetim kolaylığı , tek noktadan yönetim , güvenlik politikalarının oluşturulması gibi avantajlara sahiptir.
Group Policy Uygulanma Sırası
Active Directory yapısında mantıksal olarak;
- Local Policy
- Site Policy
- Domain Policy
- OU Policy
Group Policy Oluşturma
Policy Oluşturmak için Active Directory makinesinde aramaya Group Policy Management yazabilir veya server Administrative Tools da bulabilirsiniz.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy1.jpg)
Group Policy Management açıldığında Group Policy Objects içerisinde 2 adet Policy görürüz.
- Default Domain Controller Policy: Domain controllerlara uygulanan default ayarlardır.
- Default Domain Policy: Tüm herkese uygulanan default ayarlardır.
![group policy management](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy2.jpg)
İstenilen OU ya veya direk olarak site’a uygulanabilecek policyler yaratabiliriz. İstersek Direk olarak Group Policy Objects içerisinde create ederek daha sonradan istenilen OU ya link yapabiliriz.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy3.jpg)
Biz sizlerle CMD yasaklama yapalım. Bunun için bir policy oluşturalım. Policy editlenerek açılan ekran aşağıdaki gibidir. User ve Computer Configuration ayrılmıştır.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy4.jpg)
User Configuration altında Prevent access to the command prompt bölümünü enable etmemiz gerekmektedir.
![group policy ayarları](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy5.jpg)
Enable etmiş olduk. Ayrıca istersek command prompt script processing kapatabilir ekstra olarak.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy6.jpg)
Şu an Policy’imiz Kullanıcılar altında bulunan tüm herkesi etkilemektedir. Fakat bizler ekstra olarak sadece bunu belli bir gruba uygulayalım. Bunun için delagation kısmına geçip advanced kısmına tıklayınız
![group policy delagasyon](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy9.jpg)
Bunun için CMD-Yasak olarak bir grup oluşturduk. Sadece bu grubun üyelerine uygulayacağız. O zaman Authenticated Users apply this policy allow seçeneğini kapatıyoruz. İstenilen grubu ekliyoruz ve read ve apply this policy allow olarak işaretliyoruz.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy7-1.jpg)
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy8-1.jpg)
Peki Group Policy Uygulandın mı Nasıl Öğreneceğiz ?
Öncellikle makineye policylerin hemen uygulanması için cmd veya powershell satırına gpupdate /force komutu uygulanır
![Group Policy Force](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy10.jpg)
Bazen bu işlemden sonra restart istemektedir. Daha sonra makineye policy uygulanıp uygulanmadığını öğrenmek için çalıştır veya run rsop.msc yazınız.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/rsop.jpg)
![Grup Policy Sonuçları](https://koraycankaraduman.com/wp-content/uploads/2022/02/rsopsonuc.jpg)
Gördüğünüz gibi policy uygulanmış olarak gözükmektedir.
![](https://koraycankaraduman.com/wp-content/uploads/2022/02/grouppolicy11.jpg)
Group Policy nedir , neden uygulanır ve nasıl oluşturur konusunda sizlere yardımcı olmaya çalıştım. Diğer yazılarımızı takipte kalın. Ayrıca Active directory güvenliği için tıklayınız.