Group policy uygulamaları

Merhabalar..  

Yeni bir makale ile karşınızdayım. Bu makalemde Group Policy’ler ve Group Policy üzerinden uzak merkezde bulunan Client bilgisayarlarımız üzerine nasıl yazılım yükleneceği konusunda bilgi vermeye çalışacağım. Makaleme, Group Policy hakkında bilgi vererek başlamak istiyorum. 

Group Policy, Domain Controller rolüne sahip bilgisayarlar üzerinde veya local network üzerindeki bilgisayarlar üzerine yüklenerek, bu bilgisayarlar üzerinde gerek kullanıcı bazında, gerekse, bilgisayar bazında kısıtlama yapmamıza imkan vermektedir. Makalemizin giriş kısmında da belirtmiş olduğum gibi, Group Policy sayesinde, kısıtlama yapmamızın dışında uzak merkezde bulunan bilgisayarlarımız üzerine yazılım yükleyebilmekteyiz. Bu işlemi hem kullanıcılar üzerine, hemde bilgisayarlar üzerinde uygulayabilmekteyiz.

Group Policy uygulamasını domain controller bilgisayarlarımız üzerine yüklemek için aşağıdaki adreste belirtmiş olduğum ve microsoft tarafından geliştirilmiş olan Group Policy Management Console aracını kullanacağız. İndirme linki;
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en 

Yukarıda ki linkten vermiş olduğum Group Policy Management Console aracını indiriyoruz.
 

Yukarıdaki resimde de görüldüğü gibi, masaüstümüze kaydetmiş olduğumuz gmpc.msi dosyasına çift tıklıyoruz ve uygulama aracının çalıştırılmasını sağlıyoruz. 

Programın çalıştırılmasının ardından karşımıza resimde de görülen Welcome to the Microsoft Group Policy Console with SP1 Setup Wizard penceresi çıkacaktır. Bu ekranı next’e tıklayarak geçiyoruz. 

Next adımının akabinde karşımıza License Agreement ekranı çıkacaktır. Lisans anlaşmasını onayladıktan sonra next adımı ile bir sonraki kurulum aşamasına geçiş yapıyoruz. Bir sonraki aşamada karşımıza kurulum dosyalarının kopyalandığı pencere çıkcaktır 

.
 

Kurulum dosyalarının kopyalanması işleminden sonra Completing the Microsoft Group Policy Management Console with SP1 Setup Wizard ekranına ulaşıyoruz. Finish’e tıklayarak kurulum işlemini tamamlamış bulunuyoruz. 

Group Policy Management SP1’in kurulum işleminin ardından Administrative Tools (Yönetimsel Araçlar) klasörü içerinde Group Policy Management uygulaması eklenmiş olacaktır. 

Group Policy Management penceresi içerisinde, resimde de görüldüğü gibi forest olarak domain ismimiz yer almakta. Forest içerisinde, yine domainler ve siteler bulunmakta. 

Group Policy ile uzak lokasyonda bulunan client bilgisayarlarımız üzerine uygulama dağıtımı yapmak için veya sistemimize login olan kullanıcılar veya bilgisayarlar üzerinde kısıtlama yapabilmemiz için GPO oluşturmamız gerekmektedir. GPO oluşturmak için domains tabı altında bulunan domain ismimize sağ tuş yaparak açılan menüden Create and Link a GPO Here seçeneğini seçiyoruz. 

Create and Link a GPO Here seçeneğinin seçilmesinin ardından oluşturacağımız GPO için isim gireceğimiz New GPO ekranı karşımıza çıkacaktır.

Name alanına oluşturulacak olan GPO için bir isim girildikten sonra OK tuşuna basıyoruz. OK tuşunun ardından oluşturmuş olduğumuz GPO Group Policy Management penceresinde görüntülenecektir.

Oluşturmuş olduğumuz GPO üzerine gelip çift tıkladığımızda ise, karşımıza bazı seçenekler çıkacaktır. Bunlar; 

• Scope
• Details
• Settings
• Delegation

Scope penceresinde, location bölümünde Active Directory Domain ismimiz, Security Filtering bölümünde ise default olarak Authenticated Users görünmektedir. Add tuşuna basarak karşımıza gelen kullanıcı ekleme penceresinde, oluşturacağımız GPO ‘nun hangi kullanıcılar üzerinde geçerli olmasını istiyorsak o kullanıcıyı seçip ardından OK tuşuna basıyoruz. 

Kullanıcı seçiminin ardından seçilmiş olan kullanıcı Security Filtering ekranında görünecektir. Ben oluşuracağım GPO ‘nun Authenticated Users kullanıcısı üzerinde etkili olmasını istiyorum. 

Details bölümünde, domain ismi ve oluşturulan GPO ‘nun oluşturulduğu tarih ve saat gibi bilgiler yer almaktadır. Alt tarafta bulunan GPO Status bölümünde ise, karşımıza bazı seçenekler çıkacaktır. Bunlar; 

• All settings disabled
• Computer configuration settings disabled
• User Configuration is disabled
• Enabled

All Settings disabled: Group Policy Management içerisinde oluşturulan tüm gpo ları devre dışı bırakır.
Computer configuration settings disabled: Computer configuration için oluşturulan policyler’i devre dışı bırakır. Sadece Computer configuration policyler’i dışındaki yapılandırmalar geçerli olur.
User Configuration is disabled: User Configuration bazında uygulanan policyler’i devre dışı bırakır. Sadece Computer Configuration bazında uygulanan policyler geçerli olur.
Enabled: Group Policy Management içerisinde oluşturulan bütün policyler geçerli olur.

Settings bölümünde, Computer Configuration ve User Configuration üzerinde yapılandırılmış olan policyler’i göstermektedir.

Delegation bölümünde ise, Group Policy Management üzerinde oluşturulan policy’ler üzerinde işlem yapabilme hakkında sahip olan kullanıcılar ve kullanıcı grupları yer almaktadır.

Oluşturulan policy’ler üzerinde işlem yapabilecek kullanıcıları ve grupları bu pencerede Add tuşuna basarak ekleyebilir ve aynı zamanda policy’ler üzerinde işlem yapmasını istemediğimiz kullanıcı ve grupları Remowe tuşunu kullanarak silebiliriz. Oluşturmuş olduğumuz policy’ler üzerinde işlem yapabilme yetkisine sahip kullanıcı ve grupları seçtikten sonra kullanıcı üzerinde sağ tuş yaparak gelen menüden kullanıcıya ait vermek istediğimiz (permission) yetkileri de belirleyebiliyoruz.

Kullanıcılara isteğimize bağlı olarak sadece (read) yani sadece okuma hakkı verebilir, veya (Edit Settings) yani oluşturmuş olduğumuz policy’ler üzerinde sadece işlem yapabilme hakkını verebiliriz.Group Policy ilk oluşturulduğu anda default olarak Not Configured şeklinde gelmektedir. 

Oluşturulan policy’leri enable veya disable durumuna getirmek için karşımıza iki seçenek çıkmakta. Bunlardan birincisi, policy üzerine gelip çift tıklayarak gelen ekranda enable veya disable seçeneğini seçmek. 

İkincisi ise mevcut policy’ler üzerinde iken sağ tuş yaparak gelen menüden properties’e tıklamak.

UYGULAMA
Evet, Group Policy Managemet içerisinde bulunan İnternet Explorer ile ilgili policy’leri kullanarak internet explorer üzerinde bulunan Tools menüsü içerisinde bulunan internet options altındaki General bölümünde bulunan sayfalara bilgisayar bazında kısıtlama getirerek sayfa üzerinde görünmelerini engelleyeceğiz. 

işlem için aşağıdaki adımları takip edebilirsiniz. 

• Group Policy Management Konsolu içerisinde oluşturmuş olduğumuz policy üzerine geliyoruz ve sağ tuş yaparak gelen menüden edit seçeneğini seçiyoruz.

Edit seçeneğinin ardından karşımıza Group Policy Object Editör penceresi çıkacaktır. 

Resimde de görüldüğü gibi Group Policy Object Editör içerisinde Computer Configuration ve User Configuration olmak üzere iki seçenek karşımıza çıkmış olacaktır. Makalemde de belirtmiş olduğum gibi ben Computer bazında kısıtlama gerçekleştireceğim için, Computer Configuration seçeneği üzerinden işlemleri gerçeşleştireceğim. Bahetmiş olduğumuz uygulamayı gerçekleştirmek için Computer Configuration >>> Administrative Templates >>> Windows Components >>> İnternet Explorer >>> İnternet Control Panel adımlarını takip ediyoruz. 

Yukarıdaki resimde de görüldüğü gibi karşımıza internet explorer ile ilgili bir çok policy uygulaması karşımıza çıkmakta. Biz bu policyler’in içerisinden Disable the General Page policy’sini kullanarak işlemimize devam edeceğiz. Disable the General Page policy üzerinde işlem yapabilmek için, üzerine gelip çift tıklıyoruz ve karşımıza gelen pencere içerisinden enable seçeneğini seçiyoruz. 

Enabled seçeneğinin ardından uygulamış olduğumuz policy’nin etkin olmasını sağlamalıyız. Bunun için aşağıdaki işlemleri gerçekleştirebilirsiniz.
Start >>> Run >>> gpupdate /force komutunu açılan diyalog kutusuna girerek oluşturmuş olduğumuz policy’nin etkin olmasını sağlıyoruz. 

Yukarıdaki resimde de görüldüğü üzere, gpupdate /force komutunun ardından karşımıza komut istemi penceresi çıkmakta ve oluşturulan policy’nin uygulandığına dair ileti karşımıza çıkmakta. gpupdate /force işleminin ardından, uygulanan policy sonucunda meydana gelen değişiklikleri görmek için, internet explorer tarayımızı açıyoruz ve ardından tools menüsüne tıklıyoruz. Açılan menü içerisinde tekrar İnternet Options seçeneğine tıklıyoruz. 

Yukarıdaki resimde de görüldüğü üzere İnternet Options penceresinde General seçeneğinin artık olmadığını görüyoruz. Group Policy Management üzerinde yukarıda gerçekleştirmiş olduğumuz örnek uygulama gibi, bir çok policy uygulamasını gerek kullanıcı bazında, gerekse bilgisayar bazında gerçekleştirebilirsiniz. 

GROUP POLİCY İLE UZAKTAN UYGULAMA YÜKLEME:
Makalemizde de belirtildiği gibi Group Policy ile uzak lokasyonda bulunan client bilgisayarlarımız üzerine uygulama yükleyebiliyoruz. Group policy üzerinden client bilgisayarlarımız üzerinde uygulama dağıtımı yapmak için aşağıdaki işlemleri takip edebilirsiniz. Policy uygulamamıza ilk önce Active Directory içerisinde bir Organizational Unit oluşturmamız gerekecektir.Oluşturacağınız Organizatioanal Unit için herhangibir isim verebilirsiniz.Ben örnek olarak Installation Software isminde bir Organizational Unit oluşturacağım. Active Directory içerisinde Organizational Unit oluşturmak için; 

• Start >>> Programs >>> Administrative Tools içerisinde Active Directory Users And Computers seçeneğine tıklıyoruz.

Karşımıza Active Directory Users And Computers ekranı çıkacaktır. Active Directory içerisinde, Domain ismimiz, Kullanıcı hesapları ve domaine logon olan client bilgisayar bilgileri yer almaktadır. Group Policy ile uzak makinamız üzerine uygulama yüklemek için, domain ismimiz üzerinde sağ tuş yaparak gelen menüden New >>> Organizational Unit seçeneğine tıklıyoruz. 

Organizational Unit işleminin ardından karşımıza, yeni bir Organizational Unit oluşturabileceğimiz ekran çıkacaktır.
 

Resimde de görüldüğü gibi oluşturacağımız organizational unit klasörü, yavuztasci.com domaini altına eklenecektir. Name bölümüne oluşturacağımız organizational unit için bir isim giriyoruz. İsim tanımlam işleminden sonra OK tuşuna basıyoruz ve tekrar Active Directory ekranına geçiş yapıyoruz.
 

Oluşturmuş olduğumuz Organizational Unit klasörü, ekranda da görüldüğü gibi Active Directory içerisine eklenmiş durumda. Organizational Unit oluşturma işleminden sonra policy işlemini uygulayacağımız uzak lokasyonda bulunan client bilgisayarımızı, oluşturduğumuz Organizational Unit içerisine Move seçeneğini kullanarak taşıyacağız. Client bilgisayarımızı oluşturmuş olduğumuz klasör içerisine taşımak için Active Directory içerisinde bulunan Computers klasörü içerisine giriyoruz. Computers klasörü içerisinde DC ( Domain Controller) bilgisayarımıza login olan client bilgisayarlarımız bulunmakta. Client bilgisayarımızı taşımak için üzerine gelip sağ tuş yaparak Move seçeneğini tıklıyoruz.

Move seçeneğinin ardından karşımıza client bilgisayarımızı taşımak istediğimiz container penceresi çıkacaktır.
 

Bu pencere içerisinde birden çok Container mevcut. Biz, bu container listesi içerisinden az önce Group Policy uygulaması için oluşturduğumuz pro conteriner’i içerisine bilgisayarımız taşıyacağız. OK tuşuna basarak client bilgisayarımızı pro container’i içerisine taşıyoruz. 

Taşıma işleminin ardından, resimde de görmüş olduğunuz gibi client bilgisayarımız, pro containeri içerisine eklenmiş durumdadır.Bilgisayarımız üzerine gelip sağ tıklayarak gelen meüden properties seçeneğini tıklayarak gelen ekranda, uzakta bulunan client bilgisayarınız ile ilgili bilgileri bulabilirsiniz. Bu seçeneklerden bazılarından bahsedek olursak; 

General bölümünde, uzaktaki client bilgisayarımızın DNS Name adresi ve bilgisayar ismi gibi bilgiler yer almakta. 

Operation System bölümünde ise, Client bilgisayarımızın sahip olduğu işletim sistemi ismi, işletim sistemine ait version bilgisi, ve üzerinde yüklenmiş olan service pack gibi bilgiler yer almaktadır. Görüldüğü üzere client bilgisayarımız üzerinde service pack 3 yüklenmiş durumda. 

Member Of bölümünde, client bilgisayarımızın üye olmuş olduğu gruplar yer almaktadır. Resimde de görüdüğü gibi client bilgisayarımız, Domain Admins, Domain Computers, Domain Users, ve Enterprise Users gruplarına üye olmuş durumda. Client bilgisayarınızın üye olacağı grupları Add tuşuna basarak ekleyebilirsiniz. Ekran üzerindeki seçeneklerden kısaca bahsettikten sonra Group Policy uygulamamıza devam edebiliriz.
Group Policy uygulaması için oluşturduğmuz organizational unit container’inin üzerine sağ tıklıyoruz ve açılan menü içerisinden Properties seçeneğine tıklıyoruz. 

Properties seçeneğinin ardından, karşımıza aşağıdaki resimde de görülen bir pencere çıkacaktır. 

Pencere üzerinde Group Policy tabına geliyoruz ve ardından Open tuşuna basıyoruz. Open tuşunun ardından karşımıza Group Policy Management ekranı çıkacaktır. 

Group Policy Management ekranında, mevcut domainimiz altında Domain Controllers bilgisayarlar için oluşturulmuş olan default policy’ler ve Group Policy objeleri bulunmakta. Biz, oluşturduğumuz organizational unit objesi üzerine gelip sağ tıklıyoruz ve açılan menüden Create and Link a GPO Here seçeneğine tıklıyoruz. 

Create and Link a GPO Here seçeneğinden sonra karşımıza New GPO ekranı gelecektir. New GPO ekranında Name bölümüne oluşturulacak olan yeni policy için bir isim yazıyoruz ve ardından OK tuşuna basıyoruz. 

OK tuşunun ardından oluşturmuş olduğumuz policy, Group Policy Management penceresinde eklenmiş olarak karşımıza çıkacaktır. 

Yeni bir policy ekleme işleminden sonra, tekrar oluşturduğumuz policy üzerine gelip sağ tıklıyoruz ve açılan menüden Edit seçeneğini seçiyoruz. Edit seçeneğinin ardından karşımıza Group Policy Object Editör penceresi çıkacaktır.
 

Group Policy Object Editör ekranında, uygulama yüklemek için Computer Configuration >>> Software Settings >>> Software Installation işlemlerini uyguluyoruz.Uygulama yüklemek için Software Installation üzerinde sağ tıklıyoruz ve açılan menü penceresinde New >>> Package işlemlerini uyguluyoruz.


Package işleminin ardından client bilgisayarımız üzerine yükleyeceğimiz uygulama dosyalarının yer aldığı pencere karşımıza çıkacaktır. Burada dikkat etmemiz gereken nokta ise, yüklemek istediğimiz uygulama dosyası network üzerinde paylaşıma açılmış bir klasör içerisinde bulunmalı ve MSI uzantılı olmalıdır. 

Yüklemek istediğimiz uygulama dosyasını seçip ardından Open tuşuna basıyoruz. 

Bu pencerede ise yüklemek istediğimiz uygulamanın dağıtım yönetmini belirlememiz geekmektedir. Bu pencereyi de Assigned seçeneğini seçerek OK tuşuna basıyoruz. 

Yukarıdaki resimde de görüldüğü gibi seçmiş olduğumuz uygulama dosyamız ekranda yerini almış durumda. Şimdi oluşturmuş olduğumuz policy uygulamasının geçerli duruma gelmesi için gpupdate /force komutunu kullanacağız. Gpupdate /force komutunu kullanmak için aşağıdaki adımları takip edebilirsiniz. 

• Start menüden Run’a gelinir.
• Açılan diyalog kutusuna gpupdate /force komutu yazılır ve ardından Enter tuşuna basılır.

Enter tuşunun ardından karşımıza komut istemi penceresi gelecektir. 

Gpupdate /force komutunun ardından client bilgisayarımızı yeniden başlatıyoruz. Sistemimizin açılışı esnasında, oluşturmuş olduğumuz uygulamanında client bilgisayarımıza yüklendiğini göreceksiniz. 

Evet, yukarıdaki resimde de görmüş olduğunuz gibi oluşturmuş olduğumuz uygulama uzak lokasyonda bulunan client bilgisayarımız üzerine Install ediliyor durumdadır.Evet arkadaşlar, Bu makalemizde Gorup Policy uygulamaları ve Group Policy üzerinden uzakta ki client bilgisayarımız üzerine nasıl uygulama dağıtımı yapılır konusunda bilgi sahibi olduk.

Bir dahaki makalemde görüşmek üzere hoşcakalın… 

Yavuz TAŞCI