[Çözüldü] Group Policy Security Filtering

Merhaba

Öncelikle Deny kullanmamanız gerekn bir yöntem, oradaki tüm grupları silin, sadece uygulanacak grup için izin verin.

Merhaba ;

Aşağıdaki konuda bu sorunu çözdüğünüzü yazmıştınız.

 

Group Policy ayarları – Windows Server – ÇözümPark Forum (cozumpark.com)

bahattin bey sorun çözülmüştü normalde ben ogün şirketten ayrıldım ertesi gün tüm yöneticiler başıma toplandı bize niye kapattın diye 🙂 o yuzden bu konuyu tekrar yazdım...hakan bey şimdi benim anlayamadıgım olay su ben bu policy'i bütün ouları içinde barındıran şirket ousuna linkliyorum ve altındaki bütün oular miras alıyo ve ben miras almamasını istediğim gruba izinlerden deny verdim bu yanlış bi uygulamamı olmuş oluyo bu durumda

Evet, çünkü miras istemiyorsanız eğer Block Policy Inheritance kutucuğunu işaretlemeniz gerekmektedir.

Evet Hakan hocamın dediği gibi tecrübeler ile sabittir çünkü deny ile değil de tüm OU değil bunun için group oluşturmanız daha doğrudur.

hakan bey durumu biraz daha acmak istiyorum oular şirket ousundan miras alıcak fakat bu oular içerisindeki yöneticiler bu mirasdan etkilenmicek.Bi örnek vermek istiyorum şirket ousu trifza bunun altında ık ıt satıs gibi gibi oular var ve her ounun içinde yöneticiler var bu yoneticiler bulundukları ouya verilen izinlerede sahip olacaklar fakat yukarıdan trifzadan gelen usb block engellemesine takılmıcaklar bunu nasıl yapabilirim

Makaleyi okuyarak yapabilirsiniz 🙂

 

Gönderen: @hakanuzuner

↑

Merhaba

Öncelikle Deny kullanmamanız gerekn bir yöntem, oradaki tüm grupları silin, sadece uygulanacak grup için izin verin.

 

Merhaba Hakan Bey İbrahim Bey

Anladığım kadarıyla , bir policy uygular iken , mantık olarak ;

" Bu gruptaki tüm kişilere   " Run Yasak"  fakat bir veya birkaç kişiye bu policy uygulanmasın"

teziyle hareket edilen durumlarda aşağıdaki resimdeki gibi "Apply Group Policy" kısmını " Deny" yapmamızı önermiyorsunuz ?

İbrahim Bey ,siz de aynı durumdan bahsettiniz.

Önerilmeyen uygulama ;

 

Bunun sebebini öğrenme şansım olur ise çok sevinirim. Böyle bir uygulama ,ilerde nasıl bir probleme yol açabilir , öğrenir isem çok sevinirim.

Yazdıklarınızdan anladığım kadarıyla önerdiğiniz uygulama şu şekilde mi ?

"Run Yasak" olan OU içinde ,  bu yasağın etki edeceği kişileri oluşturan bir grup oluşturuyoruz.

Bu yasağın etki edeceği kişileri bu grub'a alıyoruz.

Group Policy'de ,  "Run Yasak " Policy'sinde  ilgili gruba allow diyoruz.

 Doğru anlamış mıyım acaba ?

Fakat böyle yapar isek yine herkese serbest olmuş olmaz mı  ? Çünkü hemen üstteki gönderdiğim resimde ,

"Authenticated Users" var ve Read hakkı var ?

bir diğer soracağım soru ile beraber özet olarak ;

1)Bir gruptaki tüm kişilere   " Run Yasak"  fakat bir veya birkaç kişiye bu policy uygulanmasın"

teziyle hareket edilen durumlarda , "Apply Group Policy" kısmını " Deny" yapmamızı önermiyorsunuz ? Sebebini ögrenme şansım olur ise çok sevinirim

2) Önerdiğinizi doğru anlamış ve uygulamış isem ; ilgili OU içinde oluşturduğum "Run Yasak" grubuna 

"Apply grup policy" allow desem bile aslında yine tüm OU etkilenmiş olmuyor mu   ? Çünkü Authenticated Users'da allow durumda ?

3) "OU Best Practices" yazıları inceler iken genelde 2 farklı öneri gördüm.

1.si ;

 Lokasyon/Birim/Şehir veya Bölge  OU'su içine "Users" ve "Computers"  diye 2 ayrı OU açarak ilerlemek.

 

 

2. si ;

Kullanıcılar ve Bilgisayarlar diye 2 ayrı OU açıp ,bunların içine  Lokasyon/Birim/Şehir veya Bölge OU'su açmak

 

Uzun vade de Yönetim kolaylığı ,GP uygulanabilirliği  gibi durumlar için hangisi öneriniz olabilir.

 

 

 

Şimdiden çok teşekkür eder  iyi günler dilerim.

 

Saygılarımla

 

 

 

Tekrar Merhaba

Yazdıklarınızdan anladığım kadarıyla önerdiğiniz uygulamanın nasıl olduğunu sanırım anladım.

• Oluşturduğum, "Run Yasaklanacaklar" grubunu , "Security Filtering" alanına ekledim.
• "Authentication Users" grubunu ,"Security Filtering" alanından çıkardım.

Böylelikle , sadece "Run Yasaklanacaklar" grubuna etki etmiş oldu.Test ortamımda denedim ,sorun yok.

Cevabını arzu ettiğim soruları güncelleyerek iletiyorum.

1) Yaptığım işlem, sizin de bahsettiğiniz/önerdiğiniz yapılma şeklimidir ?  ?

2) Bir gruptaki tüm kişilere, "  "Run Yasak" ,  fakat bir veya birkaç kişiye bu policy uygulanmasın" teziyle hareket edilen durumlarda ,yani ;

"Bir OU içinde , bir kural herkese değil de belirli bir kullanıcı(lar)/bilgisayar(lar)  etkilesin  ama belirli bir kullanıcı(lar)/bilgisayar(lar)'ı etkilemesin."

türevlerinde işlemlerin "Delegasyon" alanından , Read ve Apply Group Policy seçeneklerini "Deny" yapmamızı önermiyor ve "Security Filtering" alanından yapılmasını mı öneriyorsunuz ?

Eğer böyle ise , sebebini öğrenme şansım olur ise çok sevinirim.

 

3) "OU Best Practices" yazıları/postları inceler iken genelde 2 farklı öneri gördüm.

1.si ;

 Lokasyon/Birim/Şehir veya Bölge  OU'su içine "Users" ve "Computers"  diye 2 ayrı OU açarak ilerlemek.

 

2. si ;

Kullanıcılar ve Bilgisayarlar diye 2 ayrı OU açıp ,bunların içine  Lokasyon/Birim/Şehir veya Bölge OU'su açmak

Tabii ki de Organizasyonun yapısına göre değişebilecek bu durum için ,uzun vade de yönetim kolaylığı ,GP uygulanabilirliği  gibi durumlar için hangisi öneriniz olabilir.

Şimdiden çok teşekkür eder,iyi günler dilerim.

 

Saygılarımla

 

 

Güzel sorular ama çok karışık olmuş sırayla gidilse daha iyi olurdu. Direkt cvp'lardan ziyada mantığı verelim. GPO ile ilgili tüm makaleleri okuyunuz Hakan hocanın GPP özellikle.

Fakat insanları mimariyi anlamaktan geri bıraktıran şöyle bir durum var anlama ve doğru dizayn için mutlaka Windows kernel ve register yapısının öğrenilmesi gerekiyor sorun genelde burada çıkıyor. 🙂
Basit olarak merkezi GPO dediğimiz şey member makinelere startup, task vs batch/script basmamızı yada hazır listeden konumlarını öğrenme gereği olmamak üzere register'larına değişiklik göndermemize yarar, windows'un herşeyi register da, listedeki seçeneklerin değişim yaptığı konumlar webden bulunabiliyor.
Basitçe register da dolayısıyla GPO da 2 temel ayrım var makine ve user. Diğer karmaşa bunun ayrımını yapamamadan çıkıyor. Machine register kayıtları Users dan üsteldir. Fakat ilgili olay için reg ağacı izin veriyorsa machine sınıfı user kayıtları ile bastırılabilir.
Çoğunluk etki geniş çaplı kayıtlar HKEY LOC.MACHINE ağacında yani doğru GPO dizaynı için register da öğrenilmesi gerekiyor.

Durumlar istere, uygulamaya göre değişken mesela hatırladığım kadarıyla usb etkileyen ayarlar makine bazlı işler, doğru uygulama için GPME de computer conf. da uygulamanız gerekir. Siz makinelere bu tip bir kuralı bastıktan sonra User OU 'ları ile şu userlara uygulanmasın diyemezsiniz bir işe yaramaz ilgili option değişiklikleri register'a gider, option'ı değiştiren tersi bir kural basılmadıkça da o ayarlar kalıcı halde devam eder. (bu salt kanun değil GPO, GPP, local policy farkı da öğrenilmeli.)
Bu sebeple basitçe temel bir kural yok uygulamaya göre değişir comput./user config. ikisini de kullanır uygulamamıza göre ilgili OU sınıfları oluşturduysak bağlarız. Filtering ve Delegation da yine buna paralel öğrenilmesi gereken bir durum. 
GPO da GP objeleri baskılayabilir fakat önemsizleştiremezsiniz delegation da obje, olay türüne göre computer yada user allow, deny ile doğru çalışır.
Umarım soruların kökenleri için yeterli olur. OU'lar için ise kobi ve middle+ alanda genellikle lokasyon (city/state/şube)>departman>desktop/mobile gibi makine türü oluşturulur malum yapı ve isterlere göre değişir. Comput. ve Users altında bir birinin aynı OU kategorisi oluşturmak bazıları için yine işi karıştırabiliyor, gerekte olmayabiliyor. Kategori basit tutulabilir fakat asıl karıştırılmaması gereken ilgili GP objenin, ilgili computer/user type'e uygun taşınmasıdır. Bu şekilde ilerlemediğinizde ağacın sonradan çözümlenmesi çok vakit alır.
Bir de doğru kurguya dair benzer yazımlarımız var forumda, kuralların ve scriptlerin doğru kurgulanması gerekiyor yoksa perf. hataları başlar bunun basit bir anlatımı yok maalesef çok konuya değiyor. Basitçe ne kadar az gpo, o kadar iyi.
Bir de zaten gpo ortadan kalkacak, geleceği olmayan bir mimari artık herkesin PS ve endpoint deployment öğrenmesi gerekiyor şimdilik GP yapısını tam karşılamıyor.

https://www.cozumpark.com/group-policy-slow-links-detection-nedir

https://www.cozumpark.com/community/windows_server-4/group-policy-check-script/  

@ibrahimyildiz 

Merhaba İbrahim Bey 

Detaylı yorumunuz için gerçekten çok teşekkür ederim.

Dediğiniz gibi kurgunun çok iyi yapılması lazım. O yüzden yavaş adımlarla inceleyerek/öğrenerek ilerliyorum. Hklm taraflarını da bu periyotta daha iyi kavrıyorum.

Hakan Bey'in Gpp Makalelerini inceliyorum

Her denediğim işlemi önce Test ortamında yapıyorum , sonra canlıya alıyorum.

Anlamadığım tek bir durum oldu.

Bir OU içinde belirli kişilere ters kural girmek için;

"Security Filters"  ile ilerlemenin   "Apply  Group Policy -->Deny  ile ilerlemeye göre avantajı ne olabilir onu düşünüyorum.

Yorumunuzu birkaç defa okudum ve benim anladığım şu :  Gpo basma/uygulama gibi işlemlerde ağırlaşma olabilir.

Ama bu esnada kendime de şunu sordum , "Security Filters" ile ilerlersekte sonuçta bir Policy yazıp OU'ya bağlayacağız.Burda da DC bir efor sarfedecek.

Yanlış anlamış isem çok özür dilerim.

 

Yorumlarınız için tekrar çok teşekkür ederim .

Saygılarımla

Ters kısmını anlamadım. Delegation istisna vermek için kullanılır. Pek karşılaşılmaz ama doğru machine/user kurgu yapıldıktan sonra ör sadece bir groups a atamak için de kullanılabilir. WMI filtering de bunun için kullanıyoruz.
Başlıkta ki konuya takılıyorsanız o uygulama hatasıydı. Hatalı kurguyu ters olarak anladığınız şeyle delegation ile çözemezsiniz genellikle.

Efor ve yavaşlık etkisi DC de değil client da gerçekleşiyor DC 'nin file tabında işlem yapmasının dışında policylerin uygulama sırası client da gerçekleşiyor ve hataları da.

@ibrahimyildiz 

Merhaba İbrahim Bey

Çok teşekkür ederim bilgilendirme için.

 

Saygılarımla