Windows 2000 ve Windows 2003 sistem yöneticilerinin Group Policy yönetiminde işlerini bir hayli kolaylaştıracak bir eklenti olan Group Policy Management Console’u ele alacağız. Bu eklentiden önce sistemimizdeki Group Policy Object’lerini yönetmek için Active Directory Users and Computers ve Active Directory Sites and Services gibi asıl amacı Group Policy Object’lerinin yönetimi olmayan birden fazla eklentiyi kullanıyorduk Bu eklenti sayesinde sistem yöneticileri tüm Group Policy yönetimini tek bir arayüz kullanarak gerçekleştirebilecekler ve bunun yanında, mevcut Group Policy Object’lerinin yedeğinin alınması, yedeklerden geri yüklenmesi vb. gibi önceden üçüncü parti yazılımlar kullanarak gerçekleştirilebilen yeni özellikleri de kullanabilecekler. Group Policy Management Console ile gelen yeni özelliklere değinmeden önce Group Policy Management Console (GPMC) ile neler yapılabildiğine göz atalım.
Öncelikle Group Policy Management Console’u http://www.microsoft.com/windowsserver2003/gpmc/default.mspx adresinden indirmeniz gerekiyor. Bunun yanında Group Policy Management Console’u sadece Windows XP ve Windows 2003 yüklü işletim sistemlerine kurabilirsiniz. Eğer kurulumu Windows XP yüklü bir bilgisayara yapacaksanız bu bilgisayarda Windows XP Service Pack 1, Microsoft .NET Framework ve KB 326469’daki post-SP1’in yüklü olması gerekiyor.
Group Policy Management Console’u kullanarak Windows 2003 ve Windows 2000 (Service Pack 2 ve daha yukarı bir service pack yüklü olmalı) Active directory domainlerindeki Group Policy Onject’lerini yönetebilirsiniz. Group Policy Management Console’u açtığınızda karşınıza Şekil-1’de gösterildiği gibi bir konsol çıkacaktır.
Şekil-1: Group Policy Management Console
Group Policy Management Console’unun sol tarafındaki kısmında dört temel node bulunur. Bunlar sırasıyla :
· Domains
· Sites
· Group Policy Modeling
· Group Policy Result
Varsayılan olarak Group Policy Management Console’un çalıştırıldığı bilgisayarın ait olduğu forest ve domain listelenir. Bu listeye başka domainler ve forest’lar da ekleyebilirsiniz. Yalnız eğer ekleyeceğiniz forest bir Windows 2000 forest’ı ise bu durumda o forest’a ait Group Policy Modeling node’u görülmeyecektir.
Domain node’unu genişlettiğinizde bu domain’deki Domain Controllers konteynırı ile sizin sonradan oluşturduğunuz Organizational Unit (OU)’lerin yanında, Group Policy Objects ve WMI Filters adlı iki tane daha node bulunur. Active Directory’de oluşturduğunuz GPO’ları Group Policy Objects kısmında görebilirsiniz.
İlgili GPO’ya tıkladığınızda Group Policy Management Console’un sol tarafında bu GPO üzerinde Group Policy Management Console ile yapabileceğiniz ayarlardan bazıları listelenecektir. Sol taraftaki pencerede Scope, Detail, Settings ve Delegation olmak üzere dört tane sekme bulunur. Scope sekmesinde oluşturduğunuz bu GPO’nun etkileyeceği alanı belirleyeceğiniz ayarlar bulunuyor. Bu sekmedeki Links kısmında GPO’nun hangi site, domain yada OU’ya bağlandığını görebiliyorsunuz. Ayrıca bu bağlantıların Enable ve Enforce özelliklerinin ne durumda olduğunu yani aktif mi yoksa pasif mi olduğunu da görebilirsiniz. Security Filtering kısmında bu GPO’nun kimlere uygulanacağını belirleyebiliyorsunuz. Hatırlatma yapmak gerekirse, bir GPO’nun bir kullanıcı yada bilgisayara uygulanabilmesi için o kullanıcının yada bilgisayarın veya bunların dahil oldukları gruplardan herhangi birisinin o GPO üzerinde Read ve Apply Group Policy izinlerinin olması gerekiyor. Sizin Security Filtering kısmına ekleyeceğiniz her kullanıcı, bilgisayar yada gruba bu GPO üzerinde Read ve Apply Group Policy izinleri verilecektir. Son olarak bu sekmenin alt kısmında bulunan WMI filtering kısmını kullanarak önceden oluşturmuş olduğunuz WMI filtrelerinden birisini bu GPO’ya bağlayabiliyorsunuz. WMI filtering konusunda detaylı bilgiyi yazının ilerleyen kısımlarında bulabilirsiniz.
Details tabına tıkladığınızda ise karşınıza Şekil-2’deki gibi bir ekran çıkacaktır. Bu ekranda GPO’nun bulunduğu domain, GPO’nun sahibi (owner), ne zaman oluşturulduğu ve en son ne zaman bu GPO’da bir değişiklik yapıldığı gibi bilgilerin yanında versiyon bilgileri ile bu GPO’nun Unique ID’si bulunur. Son olarak GPO Status kısmında ise bu GPO’nun o anki durumu ile alakalı bilgiler bulunur ve GPO’nun durumunda herhangi bir değişiklik yapılacaksa buradan yapılır. Bir GPO’nu durumu, All settings disabled (GPO’yu pasif yapar), Computer configuration settings disabled (GPO’nun sadece User Configuration kısmı aktif olur ve işlenir), User configuration settings disabled (GPO’nun sadece Computer Configuration kısmı aktif olur ve işlenir) ve Enabled (GPO’yu aktif yapar) olmak üzere dört farklı durumda olabilir. Buradaki Computer configuration settings disabled ve User configuration settings disabled ayarları bazı durumlarda işinize arayabilir. Örneğin oluşturduğunuz GPO’da sadece User Configuration kısmındaki policy’lerde tanımlama yaptıysanız bu GPO’nun Computer Configuration kısmını disabled ederek bu GPO’nun işlenme süresini hızlandırabilirsiniz.
Şekil-2: Oluşturduğunuz bir GPO’nun detaylı bilgilerine Details tabından ulaşabilirsiniz.
Settings tabına tıkladığınızda ise belirli bir süre bekledikten sonra (Bu süre zarfında ekranda Genereting report… yazısı görünür) o GPO’da tanımlı policy’lerin listelendiği ve Şekil-3’de bir benzerini görebileceğiniz bir rapor gösterilir. Bu rapor sayesinde GPO’da tanımladığınız policy’lerin hepsini tek bir pencerede görebilirsiniz. Bu raporda GPO’daki tanımlanmamış policy’ler yani Not Configured olarak kalan policy’ler listelenmez.
Şekil-3: Bir GPO’da tanımlı bulunan policy’lerin listesini almak için Settings tabını kullanabilirsiniz.
Delegation tabına tıkladığınızda ise bu GPO üzerinde kimlerin hangi haklara sahip olduğunu görebileceğiniz Şekil-4’deki gibi bir pencere çıkacaktır. Eğer bu GPO üzerinde birilerine hak vermek istiyorsanız yada verilmiş bir hakkı geri almak istiyorsanız Add yada Remove butonlarını kullanabilirsiniz. Bir GPO üzerinde buradan verebileceğiniz haklar Read, Edit Settings ve Edit Settings, delete, modify security olmak üzere üç tanedeir. Read hakkına sahip kullanıcılar bu GPO’da tanımlı policy’lerin neler olduğuna bakabilir, Edit Settings hakkına sahip kullanıcılar bu GO’daki policy’leri değiştirebilir ve son olarak Edit Settings, delete, modify security hakkına sahip kullanıcılar ise bu GPO’daki policy’leri değiştirebilir, bu GPO’yu silebilir ve bu GPO’nun izinleri üzerinde değişiklik yapabilir.
Şekil-4: GPO üzerinde kimlerin hangi haklara sahip olduğunu görmek istiyorsanız Delegation tabını kullanabilirsiniz.
Oluşturduğunuz GPO’ları GPMC’deki site, domain yada OU’lardan istediğinize bağlayabilirsiniz. Bunun için yapmanız gereken ilgili site, domain yada OU üzerinde mouse ile sağ tıklamak ve Şekil-5’de gösterilen menüden Link an Existing GPO… seçeneğini seçerek karşınıza gelecek Select GPO başlıklı pencereden ilgili GPO’yu seçmek olacaktır. Burada açılan menüdeki Create and Link a GPO Here… seçeneğini seçerseniz seçtiğiniz yere bağlanmak üzere yeni bir GPO oluşturulacak ve buraya bağlanacaktır.
Şekil-5:Oluşturduğuz GPO’ları site, domain yada OU’lara bağlayabilirsiniz.
|
Not: GPO bağlantıları ile GPO’lar farklı şeylerdir. Varsayılan olarak GPO bağlantıları ile GPO’lar aynı isimleri taşırlar.
|
Group Policy’nin etki alanını (scope) belirleyen bir diğer unsur ise WMI filtreleridir. Örneğin oluşturacağınız WMI filtreleri sayesinde GPO’nun sadece Windows XP yüklü bilgisayarları etkilemesini yada RAM miktarı belirli bir değerin üzerinde olan bilgisayarlara uygulanmasını sağlayabilirsiniz. WMI filtreleri WQL (WMI Query Language) olarak adlandırılan ve SQL dili ile benzerlik gösteren sorgu dili ile yazılırlar. Şekil-6’da görülen örnek WMI sorgusunda bu WMI filtresinin bağlandığı GPO’nun sadece Windows XP yüklü bilgisayarlara uygulanmasını sağladık.
Şekil-6:WMI filtrelerini kullanarak GPO’nun etki alanına çok daha fazla esneklik kazandırabilirsiniz.
Group Policy Modeling kısmında ise çalıştıracağınız Group Policy Wizard sayesinde Active directory objelerinin konteynırlar arasında taşınması durumunda bu objelere etki edecek Group Policy ayarlarının ne olacağını önceden öğrenebilirsiniz. Örneğin Satış adlı OU’daki bir kullanıcıyı Pazarlama adlı OU’ya taşımanız durumunda bu kullanıcıya etki edecek GPO ayarlarının neler olacağını önceden öğrenebilirsiniz.
Group Policy Result kısmında çalıştıracağınız Group Policy Result Wizard sayesinde bir kullanıcıyı yada bilgisayarı etkileyen GPO ayarlarının o an için neler olduğunu görebilirsiniz. Bu sayede eğer kullanıcının yada bilgisayarın bulunduğu site, domain yada OU’ya bağlanan GPO’ların tamamının bu kullanıcı yada bilgisayar üzerindeki en son etkisinin ne olduğunu görebilirsiniz.
Group Policy Management Console ile birlikte gelen en güzel özelliklerden birisi de GPO’ların yedeğini alınması işlemini gerçekleştirebilmemiz. Eğer tek bir GPO’nun yedeğini almak istiyor yada yedekten geri yüklemek istiyorsanız bu GP’nun üzerine mouse ise sağ tıklayıp açılan menüden Back Up yada Restore from Backup seçeneğini seçmeniz gerekiyor. Eğer mevcut GPO’ların tamamını yedek almak istiyorsanız bu durumda Group Policy Objects üzerine mouse ile sağ tıklayıp Back Up All seçeneğini seçmelisiniz. Önceden almış olduğunuz yedekleri görmek ve bu yedekleri yönetmek istiyorsanız açılan menüden Manage Backups seçeneğini seçerek Şekil-7’deki pencereyi açmanız gerekiyor. Bu pencere sayesinde sisteminizde önceden almış olduğunuz GPO yedeklerini görebilir, bu yedekleri geri yükleyebilir, silebilir ve View Settings butonuna basarak bu GPO yedeğindeki ayarları bir rapor halinde görebilirsiniz.
Şekil-7: GPO yedeklerinizi Manage Backups penceresi yardımıyla kolayca yönetebilirsiniz.
