AD Hazır Gruplar - Profil Ayarları Group Policy e Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu 21.10.2013 Active Directory Hazır Gruplar Administrators (Domain Admins) Yöneticilerin bilgisayar/etki alanına tam ve sınırsız erişim hakkı vardır. Backup Operators Yedek İşletmenler, yalnızca dosya yedeklemek ya da geri yüklemek amacıyla güvenlik sınırlamalarını geçersiz hale getirebilir. Guest Konuklar, varsayılan olarak Kullanıcılar gurubunun sahip olduğu erişime sahiptir; ancak Konuk hesabıyla biraz daha kısıtlama uygulanır. Network Configuration Operators Bu grubun üyeleri, ağ iletişimi özellikleri yapılandırmasını yönetmek üzere bazı yönetici ayrıcalıklarına sahip olabilir. Performance Log Users Bu grubun üyelerinin bu bilgisayardaki performans sayaçlarının günlük kayıtlarını zamanlamak için uzaktan erişimi vardır. Performance Monitor Users Bu grubun üyelerinin bu bilgisayarı izlemek için uzaktan erişimi vardır. Power Users Uzman Kullanıcılar, bazı kısıtlamalarla çoğu yönetim erkini elinde tutar. Böylece, Uzman Kullanıcılar sertifikalı uygulamalar yanında eski uygulamaları da çalıştırabilir. Print Operators Üyeler, etki alanındaki yazıcıları yönetebilir. Remote Desktop Users Bu grubun üyelerine uzaktan oturum açma hakkı verilir. Replicator Etki alanı içinde dosya çoğaltmasını destekler. Users (Domain Users) Kullanıcıların yanlışlıkla ya da bilerek sistem değişikliği yapması önlenir. Kullanıcılar, sertifikalı uygulama çalıştırırken, çoğu eski uygulamayı çalıştıramaz. HelpServicesGroup Yardım ve Destek Merkezi için Grup. TelnetClients Bu grubun üyeleri bu sistemdeki Telnet Sunucusu'na erişime sahiptir. Kullanıcı Profili ve Ayarları (User Profile) Kullanıcı profilleri kullanıcıların, masaüstü yapılandırması ve menü seçenekleri gibi ağ ortamı ayarları içerir. Windows 2003 server kullanıcı profillerini yönetmek için değişik yollar sağlar. Bunlar    Profil yolunu, Active Directory Kullanıcı ve Bilgisayarları bölümünden kullanıcı özelliklerine girerek atayabiliriz. Control Panel içindeki Sistem yardımcı programı ile var olan yerel profili kopyalayabilir, silebilir ve türünü değiştirebiliriz. Kullanıcıların kendi ortamlarının belli kısımları üzerinde işlem yapmayı önleyen sistem ilkeleri düzenleye bilirsiniz. Kullanıcı profilleri yerel, gezici ve zorunlu profil olmak üzere üç çeşittir. Yerel profil: Eğer oluşturacağımız kullanıcı profilini sadece bir bilgisayar üzerinde geçerli olmasını istiyorsak bu profili kullanıyoruz. Yerel profil oluşturduğumuz bilgisayar üzerinde saklandığı için sadece o bilgisayar üzerinde, oluşturduğumuz profil geçerli olur. Bunun bazı sakıncaları vardır. Örneğin bir kullanıcı üç farklı terminalde oturum açarsa, her bir sistem üzerinde üç farklı profile sahip olur. Sonuç olarak da kullanıcının hangi ağ kaynaklarını hangi sistem üzerinde kullanabilir olduğu ile ilgili kafası karışır. Gezici Profili: Bu profil aracılığıyla kullanıcılar etki alanındaki hangi bilgisayarı kullandıklarına bakılmaksızın aynı profile erişirler. Bu ise profilin server üzerinde saklanmasıyla sağlanır. Bir kullanıcı dolaştırma profiliyle oturum açtığında kullanıcının bilgisayarına kullanıcı profilinin bir kopyası indirilir. Kullanıcı oturumu kapattığında ise profil değişiklikleri, sunucu üzerinde güncellenir. Zorunlu Profil: Bu profil yöneticiler tarafından denetlenen profildir. Zorunlu profile sahip olan kullanıcılar ortamlarında yalnızca geçici değişiklikler yapabilirler. Bu durumda, kullanıcının yerel ortamda yaptığı herhangi bir değişiklik kaydedilmez ve bir sonraki oturum açıldığında özgün profile geri dönülür. Burada amaç, eğer kullanıcılar ağ ortamında kalıcı değişiklikler yapamazlarsa, sorunlara yol açabilecek değişiklikler de yapamazlar. Zorunlu profilin önemli bir sakıncası ise kullanıcılar profile erişemiyor ise oturum açamayabilirler. Şimdi ise bu profilleri nasıl oluşturduğumuza bir göz atalım; Yerel Profil Oluşturmak: Windows 2003’de kullanıcı profilleri bir varsayılan dizinde yada kullanıcının özellikleri iletişim kutusundaki profil yolunda düzenlenen yerde korunur. Kullanıcı profili %system drive%\Document And Settings\%User Name’de bulunur. Örneğin F:\Document And Settings\josephy gibi. Kullanıcı bir etki alanı denetçisinden oturum açarsa profil yolu F:\Document And Settings\josephy.yusuf gibi (%System Drive%\Document and Settings\%user name%<oturum açma sunucusu>). Eğer varsayılan profil yolunu değiştirmezseniz kullanıcı yerel kullanıcı olur. Gezici Profili Oluşturmak: Dolaştırma profilleri Windows 2003 Server sunucusunda depolanır. Bu yüzden profil dizini için sunucu tabanlı bir yer düzenlemelisiniz. Bu işlemleri yapmak için şu sırayı takip etmelisiniz.     Windows 2003 Server üzerinde bir klasör oluşturun ve Everyone kullanıcısına tam erişim hakkı verin. Active Directory Kullanıcıları içinde kullanıcıların Özellikler iletişim kutusuna erişin ve Profil sekmesini seçin. Profil yolu alanına paylaşılan dizinin yolunu girin. Yol, \\sunucu adı \profil dizini\kullanıcı adı şeklinde düzenlenmelidir. Örneğin \\Muhasebe\user_profiles\josephy gibi burada Muhasebe sunucu adı, User_Profiles paylaşılan dizin ve josephy de kullanıcı adıdır. Dolaştırma profili, \\Muhasebe\user_profiles\josephy\ntuser.dat dosyası içinde saklanır. Kullanıcının profilinde yaptığı tüm değişiklikler kullanıcı oturumu kapatırken kaydedilir. Böylece bir sonraki oturumu açtığında da kullanıcı kişisel profile sahip olur. Not: Paylaşımlarda paylaşım adının sonuna dolar işareti ($) konursa bu verilen paylaşım gizli kalır. Dolayısıyla paylaşım adını bilmeyen bu paylaşıma ulaşamaz. Örneğin; profiller$ Zorunlu Profil Oluşturmak: Zorunlu profiller Windows 2003 sunucularda saklanırlar. Bir kullanıcının zorunlu profile sahip olmasını istiyorsak profili aşağıdaki biçimde tanımlayın:   Önceki bölüm “Gezici Profil oluşturmak” işleminde 1-3 adımları izleyin. NTUSER.DAT dosyasının adını %username%\NTUSER.MAN olarak değiştirerek bir zorunlu profili oluşturmuş olursunuz. Kullanıcı bir sonraki oturumu açtığınızda zorunlu profile sahip olacaktır. Terminalde Oturum Açıldığında Bir Ağ Bağlatısı oluşturmak Bir kullanıcıya ait server bilgisayar üzerinde paylaşım oluşturup bu paylaşımı otomatik olarak kullanıcı oturum açtığında bağlantı yapılabilir. Bu işlem için Active Directory Users and Computers programında kullanıcının özelliklerinden profil sekmesine gelinir. Home folder bölümünde alttaki seçenek seçilir. Sürücünün adı seçilir. to bölümünede ağ paylaşım adresi yazılır. Örneğin; \\server01\p$\h1 Ayarlar kaydedilir. Grup İlkesi (Group Policy) Nasıl baya yol kat ettik değil mi? Aslında bu noktada sistemimiz ciddi ciddi çalışmaya başladı. Bir süre sonra bir de baktık ki, kullanıcılar masaüstüne bazı "uygunsuz" duvar kâğıtları koymaya başlamışlar. Biz de sistem yöneticisi olarak buna uyuz oluyoruz. İstiyoruz ki hiç kimse duvar kâğıdını değiştiremesinler. İşte böyle basit bir kısıtlamadan, kullanıcının sadece tek bir programı açmasına izin vermeye kadar bir takım kısıtlamalar, bunların yanı sıra kullanıcılara uzaktan program yükleme gibi gelişmiş özelliklerin hepsini Group Policy'ler yani grup ilkesi ile yapılabilir. Önce şunu söylemek lazım, grup poliçelerinin az önce oluşturduğumuz kullanıcı grupları ile pek alakası yok. Ancak bir grup ayarın bir arada uygulanmasından dolayı bu isim verilmiş olabilir. Grup poliçeleri Windows Server 2003'ün en güçlü yanlarından birisidir. Grup poliçelerini elinizdeki bir "kurallar listesi" olarak düşünebilirsiniz. Bir üniversite kampüsünde olduğumuzu düşünelim. Elimizdeki "kurallar listelerini" kullanarak öğrencilere bir takım kurallar koymak istiyoruz. Eğer bu "kurallar listesini" kampüsün ana kapısına asarsanız kampüse giren tüm öğrenciler bu listeyi görüp kurallara uyarlar (site bazında group policy), eğer "kurallar listesini" A bloğun giriş kapısına asarsanız sadece bu blokta eğitim gören öğrenciler ilgili kurallara tabi olacaktır (domain bazında). İsterseniz daha spesifik olarak bir sınıfın kapısına bu kuralları asarsınız ve sadece o sınıfın öğrencileri bu kurallara tabi olur(Yapısal Birim). Şimdi bu üniversite örneğine devam edersek, bir öğrenci sınıfına girene kadar önce ana kapıdaki, sonra binanın girişindeki en son sınıfındaki kural listesini okur. Eğer bu listelerde farklı farklı kurallar varsa, sonuçta öğrenci bu kuralların bileşkesine, yani hepsine uyar. Eğer ana kapıdaki listede "duvar kâğıdını değiştiremezsin" diyen bir kural, oysa sınıfının kapısında ise "duvar kâğıdını değiştirebilirsin" kuralı varsa, en son gördüğü kural, yani sınıf kapısındaki kural geçerlidir. Üniversite kampüsünün girişi olarak tanımladığımız "Site" kavramını biraz açıklayım. Eğer birden fazla Domain Controller varsa, bunlardan 3 tanesi İstanbul'daki merkez binada aynı yerel ağda birbirine bağlı ise, diğer 2 DC ise Ankara'da şube binasında yerel ağa bağlı ise elimizde iki "Site" var demektir (Ankara ve İstanbul siteleri). Siteler kendi içinde hızlı bağlantıyla bağlı bilgisayarlar demektir. Daha sonra "Siteler" birbirine yavaş bağlantılarla (kiralık hatlar vs.) bağlanırlar. Bizim şimdilik bunlarla bir işimiz yok. Kampüsün içinde A blok olarak tanımladığımız ise Domainimizdir (birden fazla DC üzerinde tutuluyor olsa bile). Alttaki ekran görüntüsünde sirket.com üzerine sağ tıklayıp>Özellikler>Grup İlkesi tabına geçerseniz tüm domain'e etki eden grup ilkeleri oluşturabilirsiniz. En son sınıf olarak tasvir ettiğimiz ise Yapısal Birim denilen ve bizim kullanacağımız bölüm. Şimdi isterseniz Active Directory Kullanıcıları ve Bilgisayarları ekranını açalım: Domain ismi üzerinde (sirket.com) sağ tıklayıp>Yeni>Yapısal Birim diyelim ve bir isim verelim. "Bilgiİşlem" isminde bir yapısal birim oluştu. İlk başta kullanıcılarımızı (Gökhan TURAN gibi), Users klasörü içinde oluşturmuştuk. Users hiçbir özelliği olmayan, sadece içindeki objeleri bir arada tutan bir klasörden ibaret. Oysa yapısal birimler şekil olarak Users klasörünü benzeseler de, daha işlevseller. Şimdi Gökhan TURAN'ı Users içinden "Bilgiİşlem" yapısal birimine taşıyalım. Users içinden Gökhan TURAN üzerine gelin, sağ tıklayıp Taşı deyin ve Bilgiİşlem'i seçin. Şimdi baktığımızda Gökhan TURAN’ın “Bilgiİşlem” altına geçtiğini görüyoruz. Şimdi de "Bilgiİşlem" üzerine sağ tıklayıp>Özellikler diyelim. Grup İlkesi tabına geçelim. Yeni düğmesine basalım ve bir isim verelim. İsim verdik ve "Bilgiİşlem" yapısal birim içindeki nesnelere (şimdilik sadece Gökhan TURAN kullanıcısı) etki edecek bir grup ilkesi oluşturduk. Ama içi boş, yani hiç bir tanımlama yapılmamış durumda. Düzenle düğmesine basınca, karşımıza Grup İlkesi ekranı geliyor. İşte bu ekranda istediğimiz tanımlamaları/kısıtlamaları yapacağız. Solda "Bilgisayar Yapılandırılması" ve "Kullanıcı Yapılandırılması" diye iki ana bölüm olduğuna dikkat edin. Aslında bunlar Windows registry yapısı ile paralellik gösteriyor. Registry'de de "Hkey Local Machine" ve "Hkey Users" diye iki ana bölüm söz konusu. Bizim burada yapacağımız birçok ayar ve kısıtlama aslında bu ilkenin etki edeceği bilgisayarda bu iki registry alanında değişiklik yapacaktır. Bazen aynı ayarın bu iki bölümde de olduğunu görebilirsiniz. "Bilgisayar Yapılandırılması" da yaptığınız değişiklikler bilgisayar açılır açılmaz geçerli olur (login olunmadan önce). "Kullanıcı Yapılandırılması" ise kullanıcı login olunca geçerli olur. Grup İlkesi’nde bir değişikliği geri alınca, terminalde, yani ilkenin etki ettiği makinede da bu kısıtlama geri alınır (NT4'te böyle değildi, eğer "duvar kâğıdını gösterme" diye bir kural tanımlarsanız, sonra da "duvar kâğıdını göster" diye ikinci bir kural ile düzeltebiliyordunuz.) Biz kullanıcıların duvar kâğıdını değiştirmesini engellemek istiyorduk. "Duvar Kâğıdı Değiştirmeyi engelle" özelliğine çift tıklıyoruz. "Devre Dışı" yapıyor ve Tamam ile kapatıyoruz.