close

Enter

Log in using OpenID

AD Hazır Gruplar - Profil Ayarları - Group Policy

embedDownload
AD Hazır Gruplar - Profil Ayarları Group Policy
e
Öğr.Gör. Gökhan TURAN
Gölhisar Meslek Yüksekokulu
21.10.2013
Active Directory Hazır Gruplar
Administrators (Domain Admins)
Yöneticilerin bilgisayar/etki alanına tam ve sınırsız erişim hakkı vardır.
Backup Operators
Yedek İşletmenler, yalnızca dosya yedeklemek ya da geri yüklemek amacıyla güvenlik sınırlamalarını geçersiz hale
getirebilir.
Guest
Konuklar, varsayılan olarak Kullanıcılar gurubunun sahip olduğu erişime sahiptir; ancak Konuk hesabıyla biraz
daha kısıtlama uygulanır.
Network Configuration Operators
Bu grubun üyeleri, ağ iletişimi özellikleri yapılandırmasını yönetmek üzere bazı yönetici ayrıcalıklarına sahip
olabilir.
Performance Log Users
Bu grubun üyelerinin bu bilgisayardaki performans sayaçlarının günlük kayıtlarını zamanlamak için uzaktan erişimi
vardır.
Performance Monitor Users
Bu grubun üyelerinin bu bilgisayarı izlemek için uzaktan erişimi vardır.
Power Users
Uzman Kullanıcılar, bazı kısıtlamalarla çoğu yönetim erkini elinde tutar. Böylece, Uzman Kullanıcılar sertifikalı
uygulamalar yanında eski uygulamaları da çalıştırabilir.
Print Operators
Üyeler, etki alanındaki yazıcıları yönetebilir.
Remote Desktop Users
Bu grubun üyelerine uzaktan oturum açma hakkı verilir.
Replicator
Etki alanı içinde dosya çoğaltmasını destekler.
Users (Domain Users)
Kullanıcıların yanlışlıkla ya da bilerek sistem değişikliği yapması önlenir. Kullanıcılar, sertifikalı uygulama
çalıştırırken, çoğu eski uygulamayı çalıştıramaz.
HelpServicesGroup
Yardım ve Destek Merkezi için Grup.
TelnetClients
Bu grubun üyeleri bu sistemdeki Telnet Sunucusu'na erişime sahiptir.
Kullanıcı Profili ve Ayarları (User Profile)
Kullanıcı profilleri kullanıcıların, masaüstü yapılandırması ve menü seçenekleri gibi ağ ortamı ayarları içerir.
Windows 2003 server kullanıcı profillerini yönetmek için değişik yollar sağlar. Bunlar



Profil yolunu, Active Directory Kullanıcı ve Bilgisayarları bölümünden kullanıcı özelliklerine girerek
atayabiliriz.
Control Panel içindeki Sistem yardımcı programı ile var olan yerel profili kopyalayabilir, silebilir ve
türünü değiştirebiliriz.
Kullanıcıların kendi ortamlarının belli kısımları üzerinde işlem yapmayı önleyen sistem ilkeleri
düzenleye bilirsiniz.
Kullanıcı profilleri yerel, gezici ve zorunlu profil olmak üzere üç çeşittir.
Yerel profil: Eğer oluşturacağımız kullanıcı profilini sadece bir bilgisayar üzerinde geçerli olmasını istiyorsak
bu profili kullanıyoruz. Yerel profil oluşturduğumuz bilgisayar üzerinde saklandığı için sadece o bilgisayar
üzerinde, oluşturduğumuz profil geçerli olur. Bunun bazı sakıncaları vardır. Örneğin bir kullanıcı üç farklı
terminalde oturum açarsa, her bir sistem üzerinde üç farklı profile sahip olur. Sonuç olarak da kullanıcının
hangi ağ kaynaklarını hangi sistem üzerinde kullanabilir olduğu ile ilgili kafası karışır.
Gezici Profili: Bu profil aracılığıyla kullanıcılar etki alanındaki hangi bilgisayarı kullandıklarına bakılmaksızın
aynı profile erişirler. Bu ise profilin server üzerinde saklanmasıyla sağlanır. Bir kullanıcı dolaştırma profiliyle
oturum açtığında kullanıcının bilgisayarına kullanıcı profilinin bir kopyası indirilir. Kullanıcı oturumu
kapattığında ise profil değişiklikleri, sunucu üzerinde güncellenir.
Zorunlu Profil: Bu profil yöneticiler tarafından denetlenen profildir. Zorunlu profile sahip olan kullanıcılar
ortamlarında yalnızca geçici değişiklikler yapabilirler. Bu durumda, kullanıcının yerel ortamda yaptığı
herhangi bir değişiklik kaydedilmez ve bir sonraki oturum açıldığında özgün profile geri dönülür. Burada
amaç, eğer kullanıcılar ağ ortamında kalıcı değişiklikler yapamazlarsa, sorunlara yol açabilecek değişiklikler de
yapamazlar. Zorunlu profilin önemli bir sakıncası ise kullanıcılar profile erişemiyor ise oturum
açamayabilirler.
Şimdi ise bu profilleri nasıl oluşturduğumuza bir göz atalım;
Yerel Profil Oluşturmak:
Windows 2003’de kullanıcı profilleri bir varsayılan dizinde yada kullanıcının özellikleri iletişim kutusundaki
profil yolunda düzenlenen yerde korunur.
Kullanıcı profili %system drive%\Document And Settings\%User Name’de bulunur. Örneğin F:\Document
And Settings\josephy gibi. Kullanıcı bir etki alanı denetçisinden oturum açarsa profil yolu F:\Document And
Settings\josephy.yusuf gibi (%System Drive%\Document and Settings\%user name%<oturum açma
sunucusu>). Eğer varsayılan profil yolunu değiştirmezseniz kullanıcı yerel kullanıcı olur.
Gezici Profili Oluşturmak:
Dolaştırma profilleri Windows 2003 Server sunucusunda depolanır. Bu yüzden profil dizini için sunucu tabanlı
bir yer düzenlemelisiniz. Bu işlemleri yapmak için şu sırayı takip etmelisiniz.




Windows 2003 Server üzerinde bir klasör oluşturun ve Everyone kullanıcısına tam erişim hakkı verin.
Active Directory Kullanıcıları içinde kullanıcıların Özellikler iletişim kutusuna erişin ve Profil
sekmesini seçin. Profil yolu alanına paylaşılan dizinin yolunu girin. Yol, \\sunucu adı \profil
dizini\kullanıcı adı şeklinde düzenlenmelidir. Örneğin \\Muhasebe\user_profiles\josephy gibi
burada Muhasebe sunucu adı, User_Profiles paylaşılan dizin ve josephy de kullanıcı adıdır.
Dolaştırma profili, \\Muhasebe\user_profiles\josephy\ntuser.dat dosyası içinde saklanır.
Kullanıcının profilinde yaptığı tüm değişiklikler kullanıcı oturumu kapatırken kaydedilir. Böylece bir
sonraki oturumu açtığında da kullanıcı kişisel profile sahip olur.
Not: Paylaşımlarda paylaşım adının sonuna dolar işareti ($) konursa bu verilen paylaşım gizli kalır. Dolayısıyla
paylaşım adını bilmeyen bu paylaşıma ulaşamaz.
Örneğin; profiller$
Zorunlu Profil Oluşturmak:
Zorunlu profiller Windows 2003 sunucularda saklanırlar. Bir kullanıcının zorunlu profile sahip olmasını
istiyorsak profili aşağıdaki biçimde tanımlayın:


Önceki bölüm “Gezici Profil oluşturmak” işleminde 1-3 adımları izleyin.
NTUSER.DAT dosyasının adını %username%\NTUSER.MAN olarak değiştirerek bir zorunlu profili
oluşturmuş olursunuz. Kullanıcı bir sonraki oturumu açtığınızda zorunlu profile sahip olacaktır.
Terminalde Oturum Açıldığında Bir Ağ Bağlatısı oluşturmak
Bir kullanıcıya ait server bilgisayar üzerinde paylaşım oluşturup bu paylaşımı otomatik olarak kullanıcı oturum
açtığında bağlantı yapılabilir. Bu işlem için Active Directory Users and Computers programında kullanıcının
özelliklerinden profil sekmesine gelinir. Home folder bölümünde alttaki seçenek seçilir. Sürücünün adı seçilir.
to bölümünede ağ paylaşım adresi yazılır.
Örneğin; \\server01\p$\h1 Ayarlar kaydedilir.
Grup İlkesi (Group Policy)
Nasıl baya yol kat ettik değil mi? Aslında bu noktada sistemimiz ciddi ciddi çalışmaya başladı. Bir süre sonra bir de
baktık ki, kullanıcılar masaüstüne bazı "uygunsuz" duvar kâğıtları koymaya başlamışlar. Biz de sistem yöneticisi olarak
buna uyuz oluyoruz. İstiyoruz ki hiç kimse duvar kâğıdını değiştiremesinler.
İşte böyle basit bir kısıtlamadan, kullanıcının sadece tek bir programı açmasına izin vermeye kadar bir takım
kısıtlamalar, bunların yanı sıra kullanıcılara uzaktan program yükleme gibi gelişmiş özelliklerin hepsini Group Policy'ler
yani grup ilkesi ile yapılabilir.
Önce şunu söylemek lazım, grup poliçelerinin az önce oluşturduğumuz kullanıcı grupları ile pek alakası yok. Ancak bir
grup ayarın bir arada uygulanmasından dolayı bu isim verilmiş olabilir.
Grup poliçeleri Windows Server 2003'ün en güçlü yanlarından birisidir. Grup poliçelerini elinizdeki bir "kurallar listesi"
olarak düşünebilirsiniz. Bir üniversite kampüsünde olduğumuzu düşünelim. Elimizdeki "kurallar listelerini" kullanarak
öğrencilere bir takım kurallar koymak istiyoruz.
Eğer bu "kurallar listesini" kampüsün ana kapısına asarsanız kampüse giren tüm öğrenciler bu listeyi görüp kurallara
uyarlar (site bazında group policy), eğer "kurallar listesini" A bloğun giriş kapısına asarsanız sadece bu blokta eğitim
gören öğrenciler ilgili kurallara tabi olacaktır (domain bazında). İsterseniz daha spesifik olarak bir sınıfın kapısına bu
kuralları asarsınız ve sadece o sınıfın öğrencileri bu kurallara tabi olur(Yapısal Birim).
Şimdi bu üniversite örneğine devam edersek, bir öğrenci sınıfına girene kadar önce ana kapıdaki, sonra binanın
girişindeki en son sınıfındaki kural listesini okur. Eğer bu listelerde farklı farklı kurallar varsa, sonuçta öğrenci bu
kuralların bileşkesine, yani hepsine uyar. Eğer ana kapıdaki listede "duvar kâğıdını değiştiremezsin" diyen bir kural,
oysa sınıfının kapısında ise "duvar kâğıdını değiştirebilirsin" kuralı varsa, en son gördüğü kural, yani sınıf kapısındaki
kural geçerlidir.
Üniversite kampüsünün girişi olarak tanımladığımız "Site" kavramını biraz açıklayım. Eğer birden fazla Domain
Controller varsa, bunlardan 3 tanesi İstanbul'daki merkez binada aynı yerel ağda birbirine bağlı ise, diğer 2 DC ise
Ankara'da şube binasında yerel ağa bağlı ise elimizde iki "Site" var demektir (Ankara ve İstanbul siteleri). Siteler kendi
içinde hızlı bağlantıyla bağlı bilgisayarlar demektir. Daha sonra "Siteler" birbirine yavaş bağlantılarla (kiralık hatlar vs.)
bağlanırlar. Bizim şimdilik bunlarla bir işimiz yok.
Kampüsün içinde A blok olarak tanımladığımız ise Domainimizdir (birden fazla DC üzerinde tutuluyor olsa bile). Alttaki
ekran görüntüsünde sirket.com üzerine sağ tıklayıp>Özellikler>Grup İlkesi tabına geçerseniz tüm domain'e etki eden
grup ilkeleri oluşturabilirsiniz.
En son sınıf olarak tasvir ettiğimiz ise Yapısal Birim denilen ve bizim kullanacağımız bölüm. Şimdi isterseniz Active
Directory Kullanıcıları ve Bilgisayarları ekranını açalım:
Domain ismi üzerinde (sirket.com) sağ tıklayıp>Yeni>Yapısal Birim diyelim ve bir isim verelim.
"Bilgiİşlem" isminde bir yapısal birim oluştu. İlk başta kullanıcılarımızı (Gökhan TURAN gibi), Users klasörü içinde
oluşturmuştuk. Users hiçbir özelliği olmayan, sadece içindeki objeleri bir arada tutan bir klasörden ibaret. Oysa yapısal
birimler şekil olarak Users klasörünü benzeseler de, daha işlevseller. Şimdi Gökhan TURAN'ı Users içinden "Bilgiİşlem"
yapısal birimine taşıyalım. Users içinden Gökhan TURAN üzerine gelin, sağ tıklayıp Taşı deyin ve Bilgiİşlem'i seçin.
Şimdi baktığımızda Gökhan TURAN’ın “Bilgiİşlem” altına geçtiğini görüyoruz.
Şimdi de "Bilgiİşlem" üzerine sağ tıklayıp>Özellikler diyelim. Grup İlkesi tabına geçelim.
Yeni düğmesine basalım ve bir isim verelim. İsim verdik ve "Bilgiİşlem" yapısal birim içindeki nesnelere (şimdilik sadece
Gökhan TURAN kullanıcısı) etki edecek bir grup ilkesi oluşturduk. Ama içi boş, yani hiç bir tanımlama yapılmamış
durumda.
Düzenle düğmesine basınca, karşımıza Grup İlkesi ekranı geliyor. İşte bu ekranda istediğimiz tanımlamaları/kısıtlamaları
yapacağız. Solda "Bilgisayar Yapılandırılması" ve "Kullanıcı Yapılandırılması" diye iki ana bölüm olduğuna dikkat edin.
Aslında bunlar Windows registry yapısı ile paralellik gösteriyor. Registry'de de "Hkey Local Machine" ve "Hkey Users"
diye iki ana bölüm söz konusu. Bizim burada yapacağımız birçok ayar ve kısıtlama aslında bu ilkenin etki edeceği
bilgisayarda bu iki registry alanında değişiklik yapacaktır. Bazen aynı ayarın bu iki bölümde de olduğunu görebilirsiniz.
"Bilgisayar Yapılandırılması" da yaptığınız değişiklikler bilgisayar açılır açılmaz geçerli olur (login olunmadan önce).
"Kullanıcı Yapılandırılması" ise kullanıcı login olunca geçerli olur.
Grup İlkesi’nde bir değişikliği geri alınca, terminalde, yani ilkenin etki ettiği makinede da bu kısıtlama geri alınır (NT4'te
böyle değildi, eğer "duvar kâğıdını gösterme" diye bir kural tanımlarsanız, sonra da "duvar kâğıdını göster" diye ikinci
bir kural ile düzeltebiliyordunuz.)
Biz kullanıcıların duvar kâğıdını değiştirmesini engellemek istiyorduk. "Duvar Kâğıdı Değiştirmeyi engelle" özelliğine çift
tıklıyoruz. "Devre Dışı" yapıyor ve Tamam ile kapatıyoruz.
Author
Document
Category
Uncategorized
Views
4
File Size
789 KB
Tags
1/--pages
Report inappropriate content