Active Directory - User Template Kullanımı

 

Merhaba. 

Active Directory üzerinde çok fazla kullanıcı oluşturmanız gerektiğinde oluşturduğunuz her yeni kullanıcı için grupları, departmanları ve porfile path'leri gibi ortak ayarları tanımlamanız çok fazla zamanınızı alabilir. Bu tür durumlar için ilgili kullanıcıların bulunacağı Organizational Unit'ler içerisinde tüm ortak ayarların tanımlandığı birer kullanıcı hesabı oluşturup daha sonra bu kullanıcı hesabından kopyalar oluşturabilirsiniz. 

Örneğimizde, IT OU'su içerisinde kullanılabilecek bir user template account oluşturacağım.

Oluşturacağınız template için istediğiniz ismi belirleyebilirsiniz fakat bu kullanıcının en üstte yer alması için "_" karakteri ile başlayan bir isim kullanmanız tavsiye edilir. 

Bu hesabın AD üzerinde oturum açma işlemi için kullanılmasını istemiyorum. Bu nedenle hesabı disabled duruma getireceğim.
Örnek olması için ilgili template üzerinde birkaç tanımlama yapacağım. Öncelikle Profile sekmesinden profile path belirliyorum. 
Organization sekmesindeki Department attribute'u için IT değerini yazıyorum. 
Member of sekmesinden kullanıcının üye olduğu gurupları düzenleyebilirsiniz. Bu kullanıcı hesabını IT_Grubu isimli gruba üye yaptım. 
Template'imiz hazır. Bu hesabı kullanarak istediğiniz kadar kullanıcı hesabı oluşturabilirsiniz. 
Benzer template'leri Satış, Muhasebe gibi departmanlarınız için de hazırlayıp kullanabilirsiniz. 

Görüldüğü üzere kopyadan oluşturduğum sedatvatanci isimli kullanıcı için daha önceden template üzerinde belirlediğim tüm öznitelikler tanımlı olarak geldi. 




Active Directory - Group Policy'de Block Inheritance & Enforced Kavramları

 

Merhaba. 

Group Policy'de bazı OU'ların GPO'lardan etkilenmemesini, bazı GPO'ların ise tüm alt OU'larda geçerli olmasını isteyebilirsiniz. Bu konuda, Block Inheritance ve Enforced kavramlarını anlatacağım. 

Test ortamım için aşağıdaki yapıyı oluşturup, IT OU'su içerisinde user isimli kullanıcıyı oluşturdum.

Kullanıcılar OU'sunun içinde CTRL+ALT+DEL kombinasyonu kullanıldığında ekrana çıkan seçenekler arasında Task Manager'ın bulunmamasını sağlayacak bir GPO oluşturuyorum.
Ortam OU'sunun içerisinde ise bu kuralın tam tersini uygulayacak bir GPO oluşturuyorum. 

GPO'ların kural üstünlükleri aşağıdaki gibidir.



Bu durumda en aşağıda yer alan Remove TaskMngr isimli GPO geçerli olacaktır. 
Test edelim;
IT'de yer alan hiçbir kullanıcının GPO'lardan etkilenmemesi için ilgili OU'nun üzerine sağ tıklayıp Block Inheritance seçeneğini işaretleyebilirsiniz. 
Block Inheritance aktifken ilgili OU'nun üzerinde mavi renkli ünlem işareti çıkacaktır. Bu OU artık Default Domain Policy dahil olmak üzere kendisinin üzerinde yer alan hiçbir GPO'dan etkilenmeyecektir. 

Eğer herhangi bir GPO'yu Enforced ederseniz, kendisinin altında yer alan GPO kurallarına karşı enforced edilen GPO daha baskın olacak ve alt kuralları ezecektir.
Enforced edilmiş kuralların üzerinde kilit simgesi belirecektir. Bu kural, Block Inheritance'tan etkilenmez. Ezer geçer. :)


Alt OU'larda bulunan fakat GPO'dan etkilenmemesini istediğiniz kullanıcılarınız varsa, ilgili OU'yu seçtikten sonra Delegation tab'ına geçip Advanced seçeneğine tıklayıp GPO'nun perm ayarlarına ulaşabilirsiniz. İlgili kullanıcıyı bu listeye ekledikten sonra Apply group policy ayarını deny olarak belirlerseniz, seçmiş olduğunuz grup/kullanıcı, artık ilgili GPO'dan etkilenmeyecektir. 


Active Directory - Group Policy'de WMI Filters Kullanımı

 

Merhaba. 

WMI Filters ile GPO'lar için çeşitli şartlar tanımlayabilirsiniz. WMI Filters sayesinde örneğin bir uygulamanın dağıtımını RAM'i 4 GB'tan büyük PC'ler için sağlayabilirsiniz. Aynı şekilde örneğin HDD'si 250 GB'tan büyük olan sistemler için uygun filtre oluşturup bunları GPO'lara bağlayabilirsiniz. Burada uygulayacağınız WMI Filters'ın sınırı yok diyebiliriz. Her türlü donanım/sistem bazlı filtreleri oluşturabilirsiniz.

Örnek uygulamamızda sadece Windows 10 makinelerde çalışacak bir Group Policy Object oluşturacağız. Bunun için öncelikle WMI Filter oluşturmamız gerekiyor. 


İşletim sistemi sorguları için örnekler: https://social.technet.microsoft.com/wiki/contents/articles/31701.windows-sample-wmi-filter-strings.aspx
Filtremizi oluşturduktan sonra test amacıyla bir GPO oluşturup filtreyi bu GPO'ya bağlayacağım.

GPO'yu oluşturduktan sonra oluşturduğum GPO'ya bir kez tıklayıp En altta yer alan WMI Filtering kısmından oluşturduğum WMI filtresini seçiyorum. Artık bu GPO'dan sadece Windows 10 makineler etkilenecek.  

WMI filtreleri üretmek için WMI Code Creator'dan yararlanabilirsiniz. Bu uygulamayla ilgili İnternet'te çok fazla kaynak var. 


Active Directory - Group Policy'de Starter GPOs Kullanımı

 

Merhaba. 

Birden çok Organizational Unit'iniz varsa ve bu OU'ların hepsi için geçerli ortak ayarlarınız olacaksa Starter GPO'lardan yararlanabilirsiniz. Bu ortak ayarları Starter GPO'lar üzerinde oluşturup daha sonra ilgili OU'lar içerisinde GPO'lar oluşturarak ayarları daha hızlı bir şekilde uygulayabilirsiniz. 

Ortak ayar olarak Taskbar'da Windows Store uygulanmasının sabitlenmesini önleyecek bir Starter GPO oluşturacağım.



Ortam > Kullanıcılar OU'su içerisinde bir GPO oluşturacağım. Bu GPO'nun adı ve içeriği şu an için önemli değil. Starter GPO olarak az önce oluşturduğum GPO'yu seçeceğim. Böylece yeni oluşturduğum GPO üzerinde Windows Store uygulamasının Taskbar'da sabitlenmesiyle ilgili ayar yapmama gerek kalmayacak. İstediğiniz kadar OU'ya bu Starter GPO'yu birer poliçe ile bağlayabilirsiniz. Örneğin Muhasebe, IT, Satış gibi birçok departmanınızın olduğunu düşünürsek Starter GPO'larla çalışmak işinizi hafifletecektir. 

NOT : Herhangi bir GPO'ya Starter GPO bağladıktan sonra Starter GPO'nun içeriğini değiştirirseniz, Starter GPO'nun birlikte kullanıldığı GPO'lar bu değişiklikten etkilenmeyecektir. 

© 2015 - Vatanci.NET Tüm Hakları Saklıdır.