Windows Üzerindeki Genel Policy Ayarları (1 Viewer)

Gsmkolik

İphone Destek
Genel Moderatör
Usta Üye
[h=2]Windows Üzerindeki Genel Policy Ayarları[/h]
Windows Üzerindeki Genel Policy Ayarları
Local Policy (Yerel Policy)
Bir domaine üye olsun olmasın, bir bilgisayarın güvenlik ihtiyacını yada belli bazı yerel hakların tanımlanması için local policy’den faydalanırız. Local policy’nin ayarlanmasını ya GPO (Group Policy Object), yada Template (şablon)leri kullanarak yapabiliriz. Template önceden hazırlanmış değişik seviyelerdeki policy şablonları olarak ifade edilebilir.
Localde kullanılmak üzere Group Policy’i yaratmak için yine MMC consolundan ulaştığımız Group Policy Object Editor’ü kullanırız. Şimdi bu snap-in’i biraz yakından tanıyalım. Group Policy Objec Editor’u açmak için:
1. Start / Run menusünden MMC yazıp Enter tuşuna basarız.
2. Açılan boş yönetim konsolunda “File” menusünden “Add/Remove snap-in” komutunu veririz.
3. Karşımıza çıkan “Add stand alone Snap-in” iletişim kutusunda “Add” düğmesine basarız (Şekil 1)

Şekil 1
4. “Add Standalone Snap-in” iletişim kutusunda “Group Policy objectEditor”ü seçip “Add” düğmesine basarız. (Şekil 2)

Şekil 2
5. “Select Group Policy Object” iletişim kutusunda “Local Computer” seçili iken “Finish” düğmesine, (Şekil 3) ardından “Close” ve “OK” düğmelerine basarız.

Şekil 3
6. Karşımıza Local Group policy yönetim konsolu çıkar. (Şekil 4). Buradaki ayarları kullanarak local bilgisayarı yapılandırabiliriz.

Şekil 4
Şekil 4 de göründüğü gibi policy’nin iki ana menüsü vardır; Computer configuration (bilgisayar ayarları) ve User configuration (kullanıcı ayarları). İsimlerinde de anlaşılacağı üzere bilgisayarın kendisi üzerinde yapılacak ayarlar computer configuration kısmından, kullanıcıyı ilgilendiren ve direk kullanıcı göz önüne alınarak yapılacak ayarlamalar User configuration’dan yapılır. Computer Configuration’da yapılacak bir ayarlama bilgisayarı kullanan kullanıcıdan bağımsız olarak bizzat bilgisayarın kendisine uygulanır. Söz gelimi kendisinde kritik bilgilerin bulunduğu, bu nedenle de yüksek güvenlik gerektiren bir workstation, A ve ya B kullanıcısından bağımsız olarak bir takım güvenlik kurallarını zorunlu olarak isteyebilir. Bu tarz bir ihitiyaç karşısında computer configuration’da yapılan değişiklik kullanıcıdan bağımsız olarak istenir. Aynı şekilde bir güvenlik ihtiyacı bilgisayara değil de kullanıcının kendisine de uygulanmak istenebilir. Bu durumda güvenlik ihtiyacı sadece user configuration’da ayarlanarak o bilgisayarı kullanabilecek başka kişiler göz ardı edlilmemiş olur. Domain ortamında domain üyesi bütün bilgisayarlar, kullanıcıya uygulanmış kuralları Domain Controller’dan alarak kullanıcıya uygularlar. Tabi bu dediğimiz, ileride bahsedeceğimiz policy’ler arasında çakışma yada Loopback processing söz konusu değilse olur. Şimdi Group Policy Object Editor’ün ana menülerine bir göz atalım.
Computer Configuration
Software settings: Bu kısım, Group Policy Domain ortamında uygulanıyorsa Policy’nin uygulandığı bilgisayarlara merkezi bir yerden program kurmaya yarar. Local Group Policy’de kullanılmaz.
Windows Settings: Bu bölümde iki alt menu halinde güvenlik ve script çalıştırma ile ilgili ayarlar bulunur.
* Scripts (start up/Shutdown): Bu Menu altında bilgisayarı başlatırken (start up) ve kapanırken (shutdown) bilgisayar tarafından çalıştırılacak scriptler atanabilir.
* Security Settings: Bu menu altında Windows’un güvenlik ile alakalı ayarları yapılabilir.
Administrative Templates : Bu bölümde Windows’un Registry tabanlı ayarları düzenlenir. Bilindiği gibi Registry Windows’un kayıtlarının tutulduğu yerdir. Önceden hazırlanmış bazı şablon registry ayarları ile işletim sisteminin bazı fonksiyonları kısıtlanabilir yada nasıl davranacağı belirlenebilir. Sözgelimi kullanıcının ağ ayarlarına ulaşmasına yada Run menusüne ulaşmasına engel olunabilir. Burada yapılan değişiklikler registry’de HKEY_LOCAL_MACHINE altında gerçekleşir. Normal şartlar altında burada yapılacak değişiklikler normal bir registry editor kullanılarak da elde edilebilir.
Bu arada registry’nin Windows’un çok önemli kayıtlarının tutulduğunu belirtmekte fayda var. İstenmeyen bir değişiklik yanlışlıkla yapılırsa Windows normal bir şekilde başlamayabilir.
User Configuration
Software Settings : Aynı Computer ayarlarında olduğu gibi buradaki menu kullanılarak merkezi bir yerden program kurulumu sağlanır. Tek fark kurulan program bilgisayardan çok kullanıcının user accountuna atanır. Bunun anlamı Group Policyde kendisine program atanan kullanıcı domain içindeki başka bir bilgisayarı kullanmaya başlarsa, atanan programlar kullanıcı tarafından hala ulaşılabilir demektir. Söz konusu programlar kullanıcıyı bir anlamda takip ederler.
Windows Settings : Bu menuden log on/ log off scriptleri, remote installation ile ilgili seçenek ayarları ve Internet Explorer ile alakalı ayarları yapmak mümkündür.
Administrative Templates : Bu menu de registry tabanlı ayarlar ve kısıtlamaların yapıldığı alandır. Burada yapılan değişiklikler registryde Hkey_Current_User altında yapılırlar. Kullanıcıların desktop, start menu gibi ortamlarının düzenlemesi bu kısımdan yapıldığı için burası Group Policy’de çok sık kullanılır.
Domain Policy
Bu policy’ler domain’deki container’lardan (Site, Domain, Organizational Unit) uygulanan ve aynı anda bir çok bilgisayarı ve kullanıcıyı etkileyen policy’lerdir. Bu policy’ler, sadece domainde uygulandıkları container’ın altındaki bilgisayarları ve kullanıcıları etkiler.
5. Domain Policy’ler Kullanılarak Kullanıcı Ortamının Yönetilmesi
Domain Group Policy’ler aracılığı ile, güvenlik ayarları, işletim sisteminin kullanıcıya davranışı ve kullanıcının çalışma ortamını denetleyebiliriz. Domain ortamında Group Policy’nin uygulanması her ne kadar Group policy Object Editor’den edit edilecek Group Policy seçilerek yapılabilecekse de genelde Active Directory Sites and Services snap-in’i ile Active Directory Users and Computers snap-in’lernin ilgili yerlerinden hareketle Group Policy Editor’un çağrılması ve gerekli değişikliklerin yapılması şeklinde olur. Yukarıda da anlattığımız gibi Domain Group Policy site, domain ya da OU seviyesinde uygulanabilir. Domain yada OU seviyesinde Group Policy uygulanacaksa Active Directory Users and Computers, eğer site seviyesinde Group policy uygulancaksa Active Directory Sites and Services kullanılır.
Bir GPO yaratmak için:
1. Administrative Tools menüsündeki “Active Directory Users and Computer” aracını başlatırız. (Şekil 5)

Şekil 5
2. GPO uygulamak istediğimiz container’a sağ tıklayıp “Properties” komutunu veririz.
3. Açılan iletişim kutusunda “Group Policy” sekmesine geliriz. (Şekil 6)

Şekil 6
Bu sekmede :
New : Yeni bir GPO yaratır.
Add : Mevcur bir GPO’yu bu container’a uygulamak için kullanılır.
Edit : Listede, seçili olan GPO’yu yöneten konsolu açar.
Options : GPO seçeneklerini ayarlamak için kullanılır.
Delete : Seçili GPO’yu siler.
Properties : Seçili GPO’nun özelliklerini görüntüler.
4. Yeni bir GPO oluşturmak için “New” düğmesine basarız.
5. Oluşan GPO’yu yapılandırmak için “Edit” düğmesini kullanırız.
 
Üst