Bu ayki püf noktasında sizlere Group Policy ve Active Directory’nin bize sunduğu güzel özelliklerden birisi olan Administrative Template’lerden bahsedeceğim. Bildiğiniz gibi Windows 2000 ile birlikte tüm domain’deki kullanıcıların yada yerel bilgisayarımızdaki kullanıcıların çalışma ortamlarını Group Policy kullanarak kısıtlayabiliyoruz. Bunların haricinde Group Policy’de kendimizin oluşturacağı Administrative Template dosyaları sayesinde tüm bu bilgisayarlardaki bir çok registry değişikliğini de merkezi bir yerden gerçekleştirebiliyoruz.. Bunun nasıl yapıldığını görmek için domain’deki tüm bilgisayarlarda APIPA’yı devre dışı bırakan registry değişikliğini Group policy kullanarak gerçekleştirelim. Bu durumda, oluşturduğumuz Administrative Template dosyasının import edildiği GPO’nun etki ettiği tüm bilgisayarlarda APIPA devre dışı bırakılmış olacak.
APIPA’yı disable etmek için registry’de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters anahtarının altındaki IPAutoconfigurationEnabled değerini 0 yapmamız gerekiyor. Bu değişikliği Administrative Template kullanarak nasıl yapacağımıza gelirsek, öncelikle aşağıdaki gibi bir template dosyası oluşturuyoruz.
CLASS MACHINE
CATEGORY “Apipa Konfigurasyonu “
POLICY “Apipa Kullanilmasin”
KEYNAME “System\CurrentControlSet\Services\Tcpip\Parameters”
VALUENAME “IPAutoconfigurationEnabled”
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
END POLICY
END CATEGORY
[strings]
Yukarıdaki satırları notepad tarzı herhangi bir text editör yardımıyla yazabilirsiniz. Ardından oluşturduğumuz bu text dökümanını uzantısı adm olacak şekilde kaydediyoruz. Bu satırların ne anlama geldiğine bir göz atalım. Class anahtarı Machine yada User olmak üzere iki değer alır. Eğer registry’de yapacağınız değişiklik HKEY_LOCAL_MACHINE altındaysa bu durumda Class anahtarı Machine, HKEY_CURRENT_USER altındaysa User değerini alacaktır. Category anahtarı yardımıyla GPO’daki Administrative Templates atında yeni bir kategori oluşturmanıza imkan tanınır. Bu kategori altında tanımlayacağınız policy’leri ise Policy anahtarı yardımıyla yapabilirsiniz. Keyname kısmında ise yapılacak registry değişikliğinin hangi registry alt anahtarı içinde gerçekleşeceğini belirliyorsunuz. Valuename kısmında bu alt anahtar içindeki hangi değeri değiştireceğinizi belirliyorsunuz. Valueon ve Valueoff kısımlarında ise policy’nin enable yada disable olmasına göre valuename kısmındaki ifadenin hangi değeri alacağını belirliyoruz. Bir adm dosyası içerisinde kullanılabilecek anahtarların tamamı hakkında geniş bilgiye http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/deploy/confeat/regappgp.asp adresinden ulaşabilirsiniz.
Şimdi sıra uzantısı adm olacak şekilde kaydettiğimiz bu administrative template dosyasını Group Policy’de kullanmaya geldi. Bu ayarın yapılacağı GPO’yu düzenlemek için açıyoruz. Ardından Computer Configuration->Administrative Templates’e mouse ile sağ tıklayıp açılan menüden Add/Remove Templates komutunu seçiyoruz. Karşımıza Şekil-1’deki pencere çıkıyor.
Şekil-1: Düzenlediğimiz GPO’ya kendi administrative template dosyalarımızdaki ayarları da dahil edebiliriz.
Bu penceredeki Add butonuna basarak az önce oluşturduğumuz administrative template dosyasını ekliyoruz. Ekleme işleminden sonra GPO Şekil-2’deki gibi gözükecektir. Bundan sonra yapmanız gereken tek şey “Apipa Kullanilmasin” isimli policy üzerine mouse ile çift tıklamak ve karşımıza çıkacak ekrandan Enable seçeneğini seçmek. Böylece bu GPO’nun etki ettiği tüm Windows 2000/XP/2003 yüklü bilgisayarlarda APIPA’yı disable etmiş olduk.
Şekil-2: Kendi oluşturduğumuz administrative template dosyalarını kullanarak merkezi bir noktadan registry yönetimini gerçekleştirebiliriz.
Eğer yönetim konsolunun sol tarafındaki policy’yi göremiyorsanız bu durumda konsolun View menüsünden Filtering seçeneğini seçin. Karşınıza Şekil-3’deki Filtering başlıklı pencere gelecektir. Bu pencerede bulunan ayarlardan “Only show policy settings that can be fully managed” seçeneği aktifse bu ayarı pasif yapın.
,
Şekil-3:GPO yönetim konsolunda sizin eklediğiniz policy’ler gözükmüyorsa bu durumda “Only show policy settings that can be fully managed” seçeneği pasif yapın.
Son olarak Windows Server 2003’deki GPO’larda bulunan Disable Dynamic Update policy’sinin Windows Server 2000’deki GPO’larda bizim oluşturacağımız Administrative Template dosyası sayesinde nasıl kullanılacağına değinelim. Bu policy, etkikediği tüm istemcilerdeki dinamik dns kayıt işleminin yasaklanmasını sağlar. Bunun için oluşturacağımız adm dosyasında aşağıdaki satırlar olmalı.
Class Machine
Category !!AdministrativeServices
Category !!DNSClient
Policy !!DisableDynamicUpdate
Keyname “System\CurrentControlSet\Services\Tcpip\Parameters”
Explain !!DisableDynamicUpdate_Help
Valuename “DisableDynamicUpdate”
End Policy
End Category ;;DNS Client
End Category ;;AdministrativeServices
[strings]
AdministrativeServices=”System”
DNSClient=”DNS Client”
DisableDynamicUpdate=”Disable Dynamic Update”
DisableDynamicUpdate_Help=”Stops the client from dynamically registering all adapters with DNS.\n\nWhen this setting is enabled it changes the DisableDynamicUpdate value to 1 in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\n\nWhen this setting is disabled, the value is set back to its default of zero. Note that when the policy is disabled, the registry value may be deleted from the registry.\n\nSee Q246804 for more details.”
Yukarıdaki adm dosyası bizim ilk oluşturduğumuz adm dosyasından biraz farklı. Öncelikle kategori kısımlarındaki ifadeler Strings kısmına refere edilmiş. Ayrıca Explain kısmı eklenerek bu kısımla alakalı Strings kısmında belirtilen açıklamaların Şekil-4’de görüldüğü gibi policy’nin özellikler penceresinde bir açıklama olarak gösterilmesi sağlanmış.
Şekil-4:Oluşturacağınız adm dosyasında policy ile ilgili Explain tabında gösterilecek açıklamaları da belirtebiliyorsunuz.