Kurumsal Otomasyon Çözümlerinde Zirve

Windows Server 2008’de Group Policy

Group Policy’ler, kullanıcı ve bilgisayar denetimini daha basite indirgemek ve yönetimsel kolaylık sağlamak amacıyla kullanılırlar.

Windows Server 2003 ilk çıktığında Group Policy’leri yapılandırmak için, herhangibir kuruluma gerek kalmadan, Group Policy’i yapılandıracağımız nesne (OU, domain vb) üzerine sağ tıklayıp Properties à Group Policy tab sekmesine gelip gerekli yapılandırmayı buradan yapıyorduk. Daha sonra ise Microsoft, Group Policy Management Console aracını geliştirdi ve bunu kendi sitesinde gpmc.msi ismi ile ücretsiz olarak yayınladı. İşte bu gpmc.msi aracını indirip kurduğunuzda artık Group Policy yapılandırmalarınızı Group Policy Management Console yardımıyla yapıyordunuz.

Microsoft, Windows Server 2008’de ise artık Group Policy yapılandırmaları için sadece Group Policy Management Console’u kullanmanızı istiyor. Group Policy Management aracına Start à Administrative Tools à Group Policy Management yolunu izleyerek ulaşabilirsiniz.

Group Policy Management’ı açtığımızda Group Policy Objects altında varsayılan olarak 2 tane Group Policy ayarı görüyoruz. Default Domain Controllers Policy ve Default Domain Policy. Default Domain Controllers Policy sadece Domain Controllerlara, Default Domain Policy ise domaininizdeki tüm bilgisayar ve user accountlarına etki eder.

Windows Server 2008’de Group Policy yapılandırmasını incelemeye başlamak için à Administrative Tools àGroup Policy Management’ı açalım.

windows-server-2008de-group-policy-3

windows-server-2008de-group-policy-3

 

Dikkat edilirse yukarıdaki ekranda varsayılan olarak 2 tane Group Policy Object’i oluşturulmuş, bunlardan Default Domain Policy zirvedekibeyinler.net domainine link olarak verilmiş. Dolayısıyla yeni bir Group Policy oluştururken artık her zaman Group Policy Objects üzerine sağ click yapıp New diyerek bir GPO oluşturulacak ve burada yapılan ayarları herhangibir OU yada domaine uygulamak için ilgili nesne üzerine sağ click yapıp, Link an existing GPO seçeneği kullanılacaktır.

Örneğin Default Domain Policy GPO’su üzerinde yapılmış olan ayarları bir rapor halinde görmek istiyorsanız, Group Policy Objects altında Default Domain Policy seçili iken Settings butonuna tıklayalım.

 

windows-server-2008de-group-policy-2

windows-server-2008de-group-policy-2

Yukarıdaki ekranda Default olarak domaine uygulanmış bazı ayarları görüyorsunuz. Bu ayarları kısaca açıklamak gerekirse;

 

Enforce password history Kullanıcılar parolalarını değiştirdiklerinde kullandıkları eski parolaların kaç tanesinin hafızada tutulacağını gösterir. Bir Active Directory ortamında varsayılan değer 24’tür. Yani kullanıcı bugün şifresini abc.123 yapmış olsa, bu şifreyi ancak 24 şifre değişikliğinden sonra tekrar kullanabilir.
Maximum password age Kullanıcıların, parolalarını değiştirmeleri gereken zamanı belirler. Varsayılan olarak 42 gündür. 43. günde kullanıcıdan parolasını değiştirmesi istenir. En küçük gün sayısı “0” olup parolanın asla değişmeyeceği anlamını taşır.
Minimum password age Kullanıcıların, parolalarını değiştirmeden önce parolalarını ne kadar süre kullanmaları gerektiği bu ayarla belirlenir. 0 yapılırsa kullanıcılar gün içerisinde şifrelerini istedikleri kadar değiştirebilme hakkında sahip olurlar. Maximum password age’in tam manasıyla kullanılabilmesi için bu değer 0’dan büyük olmalıdır. Varsayılan değer 1 gündür. Örneğin bu değer 2 gün yapılırsa, kullanıcı şifresini bugün değiştirmiş olsa tekrar değiştirmek için 2 gün beklemek zorunda kalacaktır.
Minimum password length Bu policy, parola uzunluğu için minimum karakter sayısını belirler. Active Directory ortamında minimum 7 karakterden oluşan bir şifre kullanmanın zorunlu olması işte bu policyden kaynaklanmaktadır. Örneğin bu değer 5 yapılırsa userlarınız minimum 5 karakterden oluşan bir şifre kullanmak zorunda kalacaklardır.
Password must meet complexity requirements Kullanıcı şifrelerinin karmaşık olması zorunluluğu bu policy ile belirlenir. Varsayılan olarak enabled haldedir. Yani kullanıcılarınız şifrelerinde rakam, harf ve @ . gibi non-alfanümerik değerler kullanmak zorundadırlar. Bunun yanında örneğin kullanıcı isminiz ahmet ise bu kullanıcı, şifresini ahmet.123 şeklinde de yapamaz. Çünkü karmaşık bir şifre, içerisinde kullanıcı ismini barındırmaz.

 

Şimdi, bu Default Domain Policy üzerinde güzel bir değişiklik yapalım. Örneğin kullanıcıların şifreleri varsayılan olarak 7 karakter ve komplex olmak zorundadır. Biz bunu minimum 5 karaktere düşürelim ve komplex özelliğini kaldıralım. Böylece artık kullanıcılarımız 12345 gibi bir şifreyi rahatlıkla kullanabilecektir. Bu işlem için Default Domain Policy üzerine sağ click yapalım ve Edit diyelim.

 

windows-server-2008de-group-policy-6

windows-server-2008de-group-policy-6

Gelen ekranda aşağıdaki yolu izleyerek, Minimum password age ve Password must meet complexity requirements policyleri üzerinde gerekli değişikliği yapalım.

 

windows-server-2008de-group-policy-4

windows-server-2008de-group-policy-4

Bu ayarlardan sonra kullanıcılarınız artık şifre olarak 5 karakteri kullanabileceklerdir ve komplex bir şifre kullanmak zorunda kalmayacaklardır.

Şimdi de biz sıfırdan bir group policy ayarı uygulayalım. Group Policy Objects üzerine sağ click à New diyelim ve GPO’muza bir isim verelim, OK butonuna tıklayalım.

 

windows-server-2008de-group-policy-5

windows-server-2008de-group-policy-5

Daha sonra ayarlar GPO’su üzerine sağ click yapıp, Edit diyelim.

 

windows-server-2008de-group-policy-6

windows-server-2008de-group-policy-6

Aşağıdaki değişiklikleri yapalım:

 

windows-server-2008de-group-policy-7

windows-server-2008de-group-policy-7

Ayarlarımızı yaptıktan sonra yukarıdaki pencereyi kapatalım. Örneğin bu ayarlar GPO’sunun ankaraOU isimli Organizational Unit altındaki tüm kullanıcılara etki etmesini istiyorsanız, ankaraOU üzerine sağ click yapıyor ve Link an existing GPO diyorum.

 

windows-server-2008de-group-policy-8

windows-server-2008de-group-policy-8

windows-server-2008de-group-policy-9

windows-server-2008de-group-policy-9

Yukarıdaki ekranda ayarlar seçeneğini işaretliyor ve OK butonuna tıklıyorum. Group Policy Management’taki son görüntünüz aşağıdaki gibi olacaktır.

 

windows-server-2008de-group-policy-10

windows-server-2008de-group-policy-10

Dikkat edilirse ankaraOU zirvedekibeyinler.net domaini altında yer aldığı için hem domaine uygulanan Default Domain Policy hem de ayarlar GPO’su ankaraOU’ya etki edecektir. Şimdi sonucu görmek adına domaine üye herhangibir makinaya ankaraOU altındaki bir user account’u ile logon olalım. Sonuç aşağıdaki gibi olacaktır.

 

windows-server-2008de-group-policy-11

windows-server-2008de-group-policy-11

Klasik bir Start menü gelecek ve Notification Area’da (Saatin görüldüğü kısım) hiçbir ikon görünmeyecektir.

Son olarak Group Policy’ler anında uygulanmayabilir. Group Policy’lerin uygulanma işlemini biraz daha hızlandırmak için ilgili makinede start à run’a cmd ve gelen komut satırı ekranına gpupdate yazıp işlemlerinizi biraz daha hızlandırabilirsiniz.

 

windows-server-2008de-group-policy-12

windows-server-2008de-group-policy-12

Geldik bir makalenin daha sonuna. Başka bir makalede tekrar görüşmek üzere, hepinize iyi çalışmalar…

 

Yorum Yapılmamış

Bir cevap yazın