Windows Server 2008 Uzerinde GPO İncelemesi

Hepimiz biliyoruz ki Microsoft un yeni işletim sistemlerinde en çok güvenliği ön plana çıkarıyor, şüphesiz ki Domain ortamında güvenlik deyince ilk akla gelen “Grup İlkeleri” oluyor ve Microsoft yeni işletim sistemlerinde eski grup ilkelerini oldukça geliştirmiş ve de genişletmiş.

 

Bu Makalemde sizlere yeni sürüm işletim sistemlerinde ki gpo dosyalarının farklarını ve olası çakışmaların önlenmesi için neler yapılması gerektiğini anlatacağım.

 

 

Daha önceleri .adm formatında olup sadece kendi  platformunda çalışabilen group ilkesi dosyaları ( En fazla notepad ile açabiliyorduk ki bu bizim düzenlememiz için düşünülmüş değil [ Her ne kadar fantezi yaparak düzenleyen arkadaşlarımız olsa da ], sadece notepad in herhangi bir dosya ile uyumlu olabilecek en basit program olmasından kaynaklanıyor. )

Artık .admx formatında ve xml programlarıyla görüntülenebiliyor.

Dosyaların arasında ki en büyük ve önemli fark ise şu .adm yani önceki işletim sistemlerinin kullandığı GPO uzantıları sadece orijinal yani işletim sisteminin kendi varsayılan dilini kullanırken .admx dosyaları belirtebileceğimiz farklı türdeki dillerde güncellenebiliyor, bu da .admx in hem “default language” hem de “specified language” desteği olduğunu gösteriyor.

Bununla beraber tabi ki GPO dosyalarının yerinin de değiştiğini hemen belirtmekte fayda var daha önce  %systemroot%inf  konumunda bulunan dosyalar artık  %systemroot%policyDefinitions klasöründe bulunmaktadır ve aşağıda ki örnekte olduğu gibi varsayılan dilaltında bütün GPO dosyalarının  tamamın bir kopyası  bulunmaktadır.

Dosyaların içerik farklılıkları hakkında bir ön bilgi sahibi olduktan sonra birçok kişinin duymaktan hoşlanmadığı bir kelime geliyor aklımıza “implementasyon”, peki neden ?, tabi ki yeni işletim sistemleri gelir gelmez eskileri çöpe atacak değiliz ve biliyoruz ki her geçiş döneminde olduğu gibi uyumsuzluklar yaşanacaktır, ama en çok uyumsuzluk yaşayacağınız noktalardan biri de yine en çok kullanacağınız “Grup ilkeleri” nden kaynaklanacaktır.

Açıkçası yeni sürüm işletim sistemine sahip server ve client lar eklemeden önce eski  server ve client larımızın burada bahsettiğim yeni ayarlar ve dosya türlerinde etkilenmemesini düşünmek olanaksız.

Pekâlâ, bu noktada ne yapacağız, .adm dosyalarının uzantılarını .admx olarak mı dönüştüreceğiz, kesinlikle hayır ( Ama örnekleri mevcut. ), tahmin ettiğiniz gibi Longhorn ve Vista da bulunan GPO editor ler  Longhorn, Vista, Server 2003, 2000 ve Xp de kullanılan .adm dosyalarını düzenleyebilecek şekilde tasarlanmıştır. (adm yi düzenlemek de ne anlama geliyor diyorsanız Gpo objelerini ara yüzden modifiye ederken bu dosyaların  üzerine yazıyorsunuz demek oluyor, örnek olarak, domain ortamında ki kullanıcıların Windows movie maker ı kullanmalarını yasaklamak için GPO ayarlarını yapılandırdınız, sonuç olarak ilgili .adm dosyasını aşağıda ki gibi yapılandırmış oldunuz.

———————————————-

 

CATEGORY !!MovieMaker

 POLICY !!MovieMaker_Disable

#if version >= 4

SUPPORTED !!SUPPORTED_WindowsXPSP2

 #endif

 EXPLAIN !!MovieMaker_Disable_Help

KEYNAME “SoftwarePoliciesMicrosoftWindowsMovieMaker”

VALUENAME “MovieMaker”

VALUEON  NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

END CATEGORY

—————-

 

Şimdi örnek bir yapı oluşturalım, yalnız ondan önce eğer  “file replication service” in transfer zamanını beklemek istemiyorsanız bu yapıyı Pdc üzerinde oluşturmanızı tavsiye ederim.

Aşağıda ki yapıyı oluşturmaktaki amaç Longhorn ve Vista nın 2000-2003 ve Xp de ki gibi her bir grup policy için ayrı ayrı klasörler açmaması yani bunu tek bir merkezi klasörde toplaması ve bizim de merkezi bir klasörler grubu oluşturarak aynı domain de ki DC lerin de tek tek kendi içinde dosya oluşturması yerine aynı merkezi kullanması ve dosyaları bu dizinden replike etmesi.

İlk başta belirttiğim gibi klasörleri aşağıda ki gibi açalım.

%systemroot%sysvoldomainpoliciesPolicyDefinitions
%systemroot%sysvoldomainpoliciesPolicyDefinitionsEN-US

Daha sonra varsayılan klasördeki dosyaları almanız için önceden hazırlanmış Xcopy komutunu kullanabilirsiniz. ( Bat olarak kaydedebilir ya da direk komut satırına kopyalayabilirsiniz. )

CD C:
Xcopy %systemroot%PolicyDefinitions* %systemroot%sysvoldomainpoliciesPolicyDefinitions
Xcopy %systemroot%PolicyDefinitionsen-us* %systemroot%sysvoldomainpoliciesPolicyDefinitionsen-us

Daha sonra gpmc.msc komutu ile Proup Policy Object Editor u açın ve yeni bir GPO oluşturun , objeyi modifiye edip kapatın ve dosyanın yeni formatta modifiye edildiğini kontrol edin.

Ve additional server ın üzerinde replike olan eşdeğer dosyaları kontrol edersek :

Böylece Eski sistem Gpo dosyalarınızı kaybetmeden ve ya yeni dosyalarla çakışmalara uğramadan kullanabilirsiniz.

 

Bir  Başka Server 2008 makalesinde daha görüşmek üzere…

Exit mobile version