Forum

Uzak Kullanıcıların...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Uzak Kullanıcıların Gpo ları alamaması

12 Yazılar
4 Üyeler
0 Likes
1,314 Görüntüleme
(@NecatiBayar)
Gönderiler: 10
Eminent Member
Konu başlatıcı
 

Windows 2012 R2 AD yapımız mevcut.

İnternet çıkışımızda firewall'umuz mevcut.

Local networkdeki tüm kullanıcılar uygulamış olduğumuz policyleri rahatlıkla alabiliyor. AD ile aynı networkde oldukları için problem yaşamıyorlar.

Localdeki bazı kullanıcılarımız bazen uzakda çalışmaları gerekiyor. Uzakta çalıştıkları zaman yerel kaynaklara ulaşmaları için  Firewall üzerine ssl vpn bağlantısı yaptıradrak local networke erişimlerini sağlamaktayız.

Fakat bu uzakta çalışan  kullanıcılarımız AD makinesine erişim yaptıkları halde AD üzerinden uyguladığımız policyleri alamamaktadırlar. client tarafından gpupdate /force yaptıgımızda policy lerin update edilemediğini uyaran mesaj almaktayız. Kullanıcılar enson local networke bağlandıklarında aldıkları policy ile çalışmalara devam ediyorlar. Örnek olarak 10 günde bir şifre degiştirmemiz gerekiyor. Local de bağlı olan kullanıcılara şifre değiştirme uyarısı gelirken uzaktaki kullanıcıya bu gelmiyor. Uzaktaki kullanıcı kendisi şifresini degiştirmek isterde değiştiremiyor. Firewall üzerinden baktığımızda bloklanan hiç bir şey görünmüyor. Bunun sebebi ne olabilir. Uzak kullanıcıları AD ye bağlamanın doğru yolu nedir.

Yardımlarınız için teşekkür ederim.

 
Gönderildi : 23/01/2021 23:55

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32933
Illustrious Member Yönetici
 

Merhaba,

Öncelikle şifre değiştirme istemci ile ilgili değildir, bunu force eden DC dir ve DC sürekli çalışıyor, bu nedenle burada başka bir sorun var. Yani istemciye GPO ile siz şifre değiştirin demiyorsunuz, şifre policy domain de tektir o da dc ye uygulanır dc de hesapların şifresinin değişmesi gerektiğinde kullanıcı zaten login dahi olmaz, login olurken şifre değiştirmelisiniz diye uyarı çıkar.

Burada sanırım örnek verdiğiniz GPO ile ilgili başka bir sorun var.

VPN üzerinde uzaktaki makineler dc makinelere file share yani dosya paylaşımı seviyesinde eriştiğini kontrol eder misiniz?

GPO update işlemi temelde dc makinelerin üzerindeki sysvol paylaşımlarından geçer.

Sadece RDP vb benzeri portlar açık ise GPO nun çalışmaması normal bir durum.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/01/2021 20:34

(@NecatiBayar)
Gönderiler: 10
Eminent Member
Konu başlatıcı
 

Merhaba,

Firewall dan kaynaklanan problemden dolayı sorun oluyormuş. Sorun çözüldü.

Clientlar hem policy leri alabiliyor hemde istedikleri zaman şifrelerini degiştirebiliyorlar. 

Bizim şu şekilde bir senaryomuz bulunuyor.

Her kullaunıcı boş bulduğu notebook'u kullanıyor.

Kulanıcı bilgisayarlarında local userlar kapalı.

Kullanıcılar hangi bilgisayarları kullanacaklarsa  bilgisayarlar local networkde olduğu sürece  AD userları ile  açabiliyorlar.  

Son 30 günde bu bilgisayarlarla daha önceden giriş yapmış tüm kullanıcılar. Bu bilgisayarları evlerine götürdüklerinde, AD ile herhangi bir bağlantısı olmasa bile kendi kullanıcı adı ve şifreleri ile giriş yapabiliyorlar.  Fakat 30 günü geçtiyse Enson login olan kullanıcı hariç diğer hiçbir kullancı bu bilgisayarları kullanıcı adı ve şifresini girerek giriş yapamıyor.

Sadece bu bilgisayarlar AD ile aynı networke bağlanırsa yada en son giren kullanıcının hesabı ile giriş yapılıp ssl vpn kurulup bilgisayarın AD ile konuşması sağlanınca yeni kullanıcı giriş yapabiliyor.

Bu bilgisayarların AD ile konuştuğunda tüm kullanıcı hesap bilgilerini önbellekleme yapması mümkünmüdür.

AD de user1 , user2, user3 kullanıcım olsun, user1 ile bilgisayarı açalım. daha sonra  AD ile bağlantısı olmasa bile user2 kullanıcı bilgisayarı açabilirmi ?

Bunun bir çözümü varmıdır.

Teşekkür ederim

 

 

 
Gönderildi : 25/01/2021 20:34

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32933
Illustrious Member Yönetici
 

Merhaba,

Geçmiş olsun, geri dönüş için teşekkürler.

Sorunuz ise hayır, bu mümkün değil, cache credentials sadece adı üstünde daha önce o makinede login olan kullanıcıları kapsar. Zaten PC = Personel Computer kullanım amacına aykırı bir senaryo sizinkisi, yani çalışma modelinizi değiştirin derim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/01/2021 20:52

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4255
Co-Helper
 

Yoktur bu süreç AD erişimini mecbur kılar kısayoldan Hakan hocam anlattı kullanıcı bilgileri client da tutulmaz AD'e sorulmak zorunda. Daha iyi anlamak için AD mimarisini makalelerinden okumanız lazım. Böylece oluşmadan önce sorularınızdan kurtulmuş, daha doğru bir çözüm yöntemi geliştirmiş olursunuz.

"

Enson login olan kullanıcı hariç diğer hiçbir kullancı bu bilgisayarları kullanıcı adı ve şifresini girerek giriş yapamıyor.

Sadece bu bilgisayarlar AD ile aynı networke bağlanırsa yada en son giren kullanıcının hesabı ile giriş yapılıp ssl vpn kurulup bilgisayarın AD ile konuşması sağlanınca yeni kullanıcı giriş yapabiliyor"

Yani bu süreç yaşadığınız gibi oldukça normal. Bunu çözebilmeniz için oturum açmadan önce cihazın vpn ile bağlanması gerekir o da pek kolay değil ve kullanıcının bağlantısına göre zaman gerektirir yakın zamanda benzer bir şey soruldu aramayı kullanınız benzer başka konularda var.
https://www.cozumpark.com/community/windows_server-4/lokalde-olmayan-bilgisayarlari-domaine-dahil-etme/

"Her kullaunıcı boş bulduğu notebook'u kullanıyor.
Alternatif senaryoda sizin yönetimle konuşarak bunu çözmeniz gerekir. Bu durum her zaman desteğin bağlanmasına, soruna, User tarafta zaman kaybına yol açar. Kısaca herkes cihazını bilmeli artık dünyanın evden çalışmaya geçtiği sistemde. Çünkü bence konu sadece AD oturumu açmak değil Win10 da bir çok ayar, profil gerekli müdahaleleri var. Kişi o cihazda daha önce hiç oturum açmadıysa sıfır bir profil oluşuyor hiç mi ayar değişikliklerine ihtiyaç duymuyorlar. Bunu bir standard uygulama şekilde çözmeniz için çok fazla gpo policy yazmanız yada 3rd uygulama ile client'ları manage etmeniz gerekir. Bunların da vpn sonrası cihaza transferi gerekir. Zaman ve gerektiğinde logoff-logon/restart.

Bu arada şunları da ekleyeyim.
Benzer bir durum bir müşteride uygulamıştık kısıtlı sayıda havuz laptop'u kullanımda şöyle bir kural getirmiştik. Kişi ev veya toplantıya cihazı dışarı almadan önce mutlaka ofiste oturumu açıyordu. Geri kalan vpn profilinin oluşması, ayarlar, uygulamalar vs iç networkteyken hızlı bir şekilde cihaza aktarılmış oluyordu. Yalnız o dönem win7 vardı. Win10 da policy'ler geliştirmek çok daha yorucu onu belirteyim.:)
Ve helpdesk'in işini azaltmıyor örneğin sade bir konu olarak personel sayısına göre bir cihazda onlarca, yüzlerce profil oluşuyor bu devasa alan kaybı demek o cihaz kendi içine veya dışarı yedekleniyorsa da... Malum desktop'lar gibi değil laptop'larda bu tip yollara başvuran firmalar hep daha kısıtlı donanımlı cihazları seçer. 🙂 

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/01/2021 21:11

(@NecatiBayar)
Gönderiler: 10
Eminent Member
Konu başlatıcı
 

Merhaba,

Checkpoint FW ve vpn client'ı ile oluyor. Checkpoint client'ının windows login olmadan önce vpn kurma özelliği var  fakat kullandığımız FW başka bir marka olduğu için yapamıyoruz.

Hepinize  yardımlarınızdan dolayı ve zaman ayırdığınız için teşekkür ederim

 

 

 
Gönderildi : 25/01/2021 23:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32933
Illustrious Member Yönetici
 

Rica ederiz, biz zaten Microsoft için cevap verdik aksi halde söylediğiniz gibi kullandığınız network vpn teknolojilerine göre bu değişir. Zaten bu da söylediğiniz şeyi yapmıyor, sizi network e bağlıyor teknik olarak sorunuzun cevabı bu değil, bu sadece bir çözüm yöntemi.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/01/2021 13:01

(@alpayakyol)
Gönderiler: 121
Estimable Member
 

Bu konuya benzer bir soru sormak istiyorum.

VPN kullanilmayan bir ortamda GPO lari uzaktan calisan personelin tasinabilir bilgisayarlarina nasil gondeririz ?

Azure bu durum icin cozum secenegi olabilir mi ?

 
Gönderildi : 06/01/2022 14:24

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4255
Co-Helper
 

https://www.cozumpark.com/community/windows_server-4/lokalde-olmayan-bilgisayarlari-domaine-dahil-etme/

Bu konuyla temel de aynıdır.
GPO policy için SMB iletişimi şart olduğu için VPN topolojisi şarttır.
Eski yöntem için DirectAccess, Azure için always on vpn araştırabilirsiniz.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 06/01/2022 15:12

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32933
Illustrious Member Yönetici
 

Ne yazık ki VPN olmadan bunu yapamazsınız. Alternatif olarak intune MDM ile GPO benzeri bir yönetim sağlayabilirsiniz.

Azure çözümü ise biraz maliyetli ve karışık.

Enable domain-joined Windows 10 devices to be managed by Microsoft 365 for business - Microsoft 365 admin | Microsoft Docs

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 06/01/2022 17:04

(@alpayakyol)
Gönderiler: 121
Estimable Member
 

Cevaplar icin tesekkur ederim.

 
Gönderildi : 06/01/2022 17:07

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32933
Illustrious Member Yönetici
 

Rica ederiz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 06/01/2022 17:17

Paylaş: