Group Policy Microsoft tarafından geliştirilen bilgisayarların ve kullanıcıların merkezi yönetimini sağlayan kurallardır. Domain yapısı içerisinde bilgisayar ve kullanıcılara gerekli görünen kısıtlamalar, uygulama dağıtımı , kişileştirme güvenlik ayarları ve konfigürasyonları tek merkezden uygulanmasına olanak sağlar.
Policy Türleri
- Local Policy: Sadece tek bilgisayar için düzenlenir. Bilgisayarda güvenlik ayarları , kısıtlamalar , konfigürasyon gibi işlemleri sadece kendi yerel bilgisayara uygulanan policy türüdür.
- Domain Policy: Domain policy çeşidi ise bir çok bilgisayar , kullanıcıya veya belli kullanıcı , bilgisayara uygulanabilen policy türüdür.
Biz bu yazımızda Domain Policy üzerine konuşacağız. Domain Policyler neden uygulanır , Nasıl oluşturulur ve uygulanır bunlar konusunda detaylı bir anlatım yapmaya çalışacağız.
Öncelikle bir kurum için Domain Policy neden uygulanır ?
Uygulanması merkezi olarak güvenlik ayarlarının yapılandırılması, konfigürasyonlar, görselleştirme ve uygulama dağıtımı yapılmasıdır. Ayrıca aşağıda özel olarak nedenlerini sıraladım.
- Güvenlik ayarlarının tek merkezden yönetilmesi , kullanıcıya bırakılmaması
- Çeşitli uygulama dağıtımı için
- Her bilgisayarda paylaşım oluşturma
- Masaüstü özelleştirmesinden tutun , logon ekranına kadar standart oluşturma
- Kullanıcılar için belirli kısıtlamalar uygulanması örnek olarak bazı paylaşımlara erişim engeli gibi
- Her kullanıcının cmd , powershell veya program yükleyememesi
- Kullanıcıların USB,DVD,CD gibi sürücelerin devre dışı kalması
- Her kullanıcının belirli bir şifre standart politikası oluşturma gibi birçok sebepten biridir.
Ayrıca sistem yöneticileri için sağladığı bir çok avantaj vardır. Bunlar yönetim kolaylığı , tek noktadan yönetim , güvenlik politikalarının oluşturulması gibi avantajlara sahiptir.
Group Policy Uygulanma Sırası
Active Directory yapısında mantıksal olarak;
- Local Policy
- Site Policy
- Domain Policy
- OU Policy
Group Policy Oluşturma
Policy Oluşturmak için Active Directory makinesinde aramaya Group Policy Management yazabilir veya server Administrative Tools da bulabilirsiniz.
Group Policy Management açıldığında Group Policy Objects içerisinde 2 adet Policy görürüz.
- Default Domain Controller Policy: Domain controllerlara uygulanan default ayarlardır.
- Default Domain Policy: Tüm herkese uygulanan default ayarlardır.
İstenilen OU ya veya direk olarak site’a uygulanabilecek policyler yaratabiliriz. İstersek Direk olarak Group Policy Objects içerisinde create ederek daha sonradan istenilen OU ya link yapabiliriz.
Biz sizlerle CMD yasaklama yapalım. Bunun için bir policy oluşturalım. Policy editlenerek açılan ekran aşağıdaki gibidir. User ve Computer Configuration ayrılmıştır.
User Configuration altında Prevent access to the command prompt bölümünü enable etmemiz gerekmektedir.
Enable etmiş olduk. Ayrıca istersek command prompt script processing kapatabilir ekstra olarak.
Şu an Policy’imiz Kullanıcılar altında bulunan tüm herkesi etkilemektedir. Fakat bizler ekstra olarak sadece bunu belli bir gruba uygulayalım. Bunun için delagation kısmına geçip advanced kısmına tıklayınız
Bunun için CMD-Yasak olarak bir grup oluşturduk. Sadece bu grubun üyelerine uygulayacağız. O zaman Authenticated Users apply this policy allow seçeneğini kapatıyoruz. İstenilen grubu ekliyoruz ve read ve apply this policy allow olarak işaretliyoruz.
Peki Group Policy Uygulandın mı Nasıl Öğreneceğiz ?
Öncellikle makineye policylerin hemen uygulanması için cmd veya powershell satırına gpupdate /force komutu uygulanır
Bazen bu işlemden sonra restart istemektedir. Daha sonra makineye policy uygulanıp uygulanmadığını öğrenmek için çalıştır veya run rsop.msc yazınız.
Gördüğünüz gibi policy uygulanmış olarak gözükmektedir.
Group Policy nedir , neden uygulanır ve nasıl oluşturur konusunda sizlere yardımcı olmaya çalıştım. Diğer yazılarımızı takipte kalın. Ayrıca Active directory güvenliği için tıklayınız.