[h=2]Policy’ lerde Çakışma Durumları ve Miras[/h]
Policy’ lerde Çakışma Durumları ve Miras
Bir bilgisayara iki farklı policy’lerin uygulanabildiğini biliyoruz. Domain Group policy’nin ise üç farklı seviyede uygulanabilir. Uygulanan policy’ler arasında çakışma olabilir. Çakışma, (conflict) iki policy’nin aynı seçenek üzerinde iki farklı ayar belirtmesi durumudur. Söz gelimi domain seviyesinde konumlanmış bir policy maximum password age için 15 gün limitini koyarken, daha alt seviyede bulunan bir OU’da aynı limit için 20 gün belirtilmişse iki policy arasında çakışma olmuş demektir. Çakışmanın olması için mutlaka policy’ler arasında seviye farkının olmasına gerek yoktur. Aynı container’a uygulanmış iki policy’de kendi aralarında çakışabilirler. Şimdi çakışma durumunda neler olduğuna bakalım
Üst seviyede konumlanmış bir policy çakışma olmadığı müddetçe bütün ayarlarını alt seviyelerdeki container’lara miras (Inherit) yoluyla geçirir bu durumda çakışma söz konusu değildir. Aynı NTFS permissionlarında olduğu gibi üst seviyedeki policy kurallarını alt seviye container’lara iletir.
Aralarında çakışma olan iki policy arasında her zaman en alt seviyedeki policy’nin kuralları geçerli olur. Söz gelimi OU seviyesindeki policy her zaman geçerli sayılır. Dikkat edilirse burada genelden özele doğru bir tercih söz konusudur. Bilgisayarın local’ine uygulanmış Policy en üst seviyede uygulanmış policy kabul edilerek (local policy’nin domain ile bir ilgisi bulunmadığı ve her hangi bir local adminin local policy oluşturabileceği gerçeğinden hareketle) sırasıyla Site, domain ve nihayet OU sıralaması geçerlidir.
Şayet çakışan policy’ler aynı container üzerindeyse Group Policy’lerin sıralandığı pencerede ün üst seviyede listelenen GPO her zaman öncelik alır. Öncelik sırasını değiştirmek için UP ve DOWN tuşları kullanılarak GPO’nun listedeki yerleri değiştirilebilir. (Şekil 7)
Şekil 7
Block, No Override
Bazı durumlarda özellikle büyük ve nispeten çok sayıda GPO’nun uygulandığı domainlerde Group Policy’den istenen sonucun alınması için yukarıda saydığımız kuralların dışına çıkmamız gerekir. Böyle durumlarda işimize yarayacak üç işlem şunlardır
• Block : Bazı durumlarda yukarıda anlattığımız policy’nin alt seviyedeki container’lara geçmesini (Inherit etmesi) istemeyebiliriz. Örnek olarak şifrelerin 8 karakterden fazla karakterden oluşmasını zorunlu kılan policy’nin IT bölümünde çalışanların oluşturduğu OU için geçerli olmamasını isteyebiliriz. Böyle bir durumda yapmamız gereken şey üst seviyede bulunan policy’den miras almasını istemediğimiz container üzerinde sağ tıklayıp properties menusüne geçmek, oradan Group policy tabına geçtikten sonra alt tarafta bulunan “Block Policy inheritance” check box’ını işaretlemek olacaktır. (Şekil 7) Bunu yaptığımızda OU yukarıda bulunan hiçbir policy’den miras almayacaktır
• No Override : Yukarıda ki çözüm bize istediğimizi verdi. Yani söz konusu OU için artık şifrelerimiz 8 karakterden daha kısa olabilecektir. Ama aynı şekilde daha üst seviyede bulunan ve mesela IPsec policy tanımlayan başka bir policy olabilir. Yaptığımız çözüm yukarıdan alınan bütün policy’lerin miras yolu ile geçmesini durduğu için aynı zamanda IPsec policy’nin de OU’ya miras yolu ile geçmesine engel olacaktır. Bu istenen bir şey değildir. Böyle bir durumda yapılması gereken şey, Block policy inheritance ile engellenemeyecek bir policy oluşturmaktır. Her hangi bir policy’yi No Override özelliği ile donatırsak, alt seviyelerde bulunan bir OU’da Block yapılmışsa dahi, policy geçerliliğini sürdürür ve alt seviye containerlarına inherit eder. Bir policy’yi No Override yapabilmek için GPO üzerinde sağ tuş ile tıklar, gelen sağ tuş menusunden “No Override” seçeneğini seçeriz. Böylece policy’yi No Override (ezilemez) yapmış oluruz.
Özgür ŞENERDOĞAN
Bir bilgisayara iki farklı policy’lerin uygulanabildiğini biliyoruz. Domain Group policy’nin ise üç farklı seviyede uygulanabilir. Uygulanan policy’ler arasında çakışma olabilir. Çakışma, (conflict) iki policy’nin aynı seçenek üzerinde iki farklı ayar belirtmesi durumudur. Söz gelimi domain seviyesinde konumlanmış bir policy maximum password age için 15 gün limitini koyarken, daha alt seviyede bulunan bir OU’da aynı limit için 20 gün belirtilmişse iki policy arasında çakışma olmuş demektir. Çakışmanın olması için mutlaka policy’ler arasında seviye farkının olmasına gerek yoktur. Aynı container’a uygulanmış iki policy’de kendi aralarında çakışabilirler. Şimdi çakışma durumunda neler olduğuna bakalım
Üst seviyede konumlanmış bir policy çakışma olmadığı müddetçe bütün ayarlarını alt seviyelerdeki container’lara miras (Inherit) yoluyla geçirir bu durumda çakışma söz konusu değildir. Aynı NTFS permissionlarında olduğu gibi üst seviyedeki policy kurallarını alt seviye container’lara iletir.
Aralarında çakışma olan iki policy arasında her zaman en alt seviyedeki policy’nin kuralları geçerli olur. Söz gelimi OU seviyesindeki policy her zaman geçerli sayılır. Dikkat edilirse burada genelden özele doğru bir tercih söz konusudur. Bilgisayarın local’ine uygulanmış Policy en üst seviyede uygulanmış policy kabul edilerek (local policy’nin domain ile bir ilgisi bulunmadığı ve her hangi bir local adminin local policy oluşturabileceği gerçeğinden hareketle) sırasıyla Site, domain ve nihayet OU sıralaması geçerlidir.
Şayet çakışan policy’ler aynı container üzerindeyse Group Policy’lerin sıralandığı pencerede ün üst seviyede listelenen GPO her zaman öncelik alır. Öncelik sırasını değiştirmek için UP ve DOWN tuşları kullanılarak GPO’nun listedeki yerleri değiştirilebilir. (Şekil 7)
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Şekil 7
Block, No Override
Bazı durumlarda özellikle büyük ve nispeten çok sayıda GPO’nun uygulandığı domainlerde Group Policy’den istenen sonucun alınması için yukarıda saydığımız kuralların dışına çıkmamız gerekir. Böyle durumlarda işimize yarayacak üç işlem şunlardır
• Block : Bazı durumlarda yukarıda anlattığımız policy’nin alt seviyedeki container’lara geçmesini (Inherit etmesi) istemeyebiliriz. Örnek olarak şifrelerin 8 karakterden fazla karakterden oluşmasını zorunlu kılan policy’nin IT bölümünde çalışanların oluşturduğu OU için geçerli olmamasını isteyebiliriz. Böyle bir durumda yapmamız gereken şey üst seviyede bulunan policy’den miras almasını istemediğimiz container üzerinde sağ tıklayıp properties menusüne geçmek, oradan Group policy tabına geçtikten sonra alt tarafta bulunan “Block Policy inheritance” check box’ını işaretlemek olacaktır. (Şekil 7) Bunu yaptığımızda OU yukarıda bulunan hiçbir policy’den miras almayacaktır
• No Override : Yukarıda ki çözüm bize istediğimizi verdi. Yani söz konusu OU için artık şifrelerimiz 8 karakterden daha kısa olabilecektir. Ama aynı şekilde daha üst seviyede bulunan ve mesela IPsec policy tanımlayan başka bir policy olabilir. Yaptığımız çözüm yukarıdan alınan bütün policy’lerin miras yolu ile geçmesini durduğu için aynı zamanda IPsec policy’nin de OU’ya miras yolu ile geçmesine engel olacaktır. Bu istenen bir şey değildir. Böyle bir durumda yapılması gereken şey, Block policy inheritance ile engellenemeyecek bir policy oluşturmaktır. Her hangi bir policy’yi No Override özelliği ile donatırsak, alt seviyelerde bulunan bir OU’da Block yapılmışsa dahi, policy geçerliliğini sürdürür ve alt seviye containerlarına inherit eder. Bir policy’yi No Override yapabilmek için GPO üzerinde sağ tuş ile tıklar, gelen sağ tuş menusunden “No Override” seçeneğini seçeriz. Böylece policy’yi No Override (ezilemez) yapmış oluruz.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Özgür ŞENERDOĞAN