Windows Server - Restricted Groups

Selamlar,
Active Directory ortamınızdaki kullanıcılarınız, login oldukları makinelerde kısıtlı yetkilere sahiptirler. Bu durum güvenlik için önem arz etse de bazen can sıkıcı olabiliyor. 
Örneğin, kullanıcıların kendi makinelerine 3.parti programlar yüklemelerine izin vermeniz istenebilir. Böyle bir ortamda ya tek tek makinelere erişip Domain Administrator hesabınızla istenen uygulamaları sistemlere yüklersiniz, ya Group Policy üzerinden istenilen uygulamaları bilgisayarlara/kullanıcılara dağıtırsınız, ya da Domain ortamınızdaki  bazı kullanıcılara/gruplara local makinelerde yönetici hakları tanıyıp istedikleri uygulamaları kendilerinin yükleyebilmelerine olanak sağlarsınız. 3.seçenek aslında büyük risk taşımakta. Domain kullanıcıları, kullandıkları makinelerde local administrator olacakları için zararlı yazılımları bilgisayarlara istemeyerek de olsa yükleyebilirler. Ben, aşağıdaki örnek uygulamada AD ortamımdaki tüm kullanıcılara bu yetkiyi tanıdım. Eğer isterseniz bu hakları istediğiniz kullanıcılara ya da kullanıcı gruplarına tanımlayarak nisbeten daha güvenli bir ortam oluşturabilirsiniz. İlgili Group Policy ayarımızı bilgisayarlar için oluşturacağız. Bu nedenle, ortamımızdaki bilgisayarların bir Organizational Unit içerisinde bulunmaları gerekiyor. Ben, AD Users and Computers içerisinde Bilgisayarlar isimli bir OU oluşturarak, Computer isimli Container içerisindeki Client bilgisayarı/bilgisayarları bu OU içerisine taşıdım. 

Daha sonra Group Policy'i açıp Bilgisayarlar OU'sunun içinde bir policy oluşturun ve bu policy'nin ayarlarını açın.

Computer Configuration > Polices > Windows Settings > Security Settings > Restricted Groups'a gelin ve sağ tıklayıp Add Group'u seçin. Karşınıza aşağıdaki ekran gelecektir.

Bu kısma Administrators yazın. Bu grup, local makinede bulunan Administrators grubunu temsil etmektedir. Biz bu gruba biraz sonra farklı kullanıcı gruplarını dahil edeceğiz. Browse butonu ile Administrator ve Domain Admins grubunuzu buraya ekleyin.

Son olarak, makinelerde kimlerin yönetimsel haklara sahip olmasını istiyorsanız onları buraya dahil edin. İsterseniz kullanıcı veya kullanıcı gruplarını buraya ekleyebilirsiniz.
Client'lerde Domain Administrator ile Komut İstemi'ni son kez açmanız ve Policy değişikliklerini çekmeniz gerekiyor. (Policy ayarları sistemlere etki edeceğinden dolayı sistemleri restart etmek daha sağlıklı olacaktır.)

Client sistemlerdeki domain kullanıcılarımız artık kullanmakta oldukları sistemlerde yönetici konumuna geldiler. Kendi sistemlerine istedikleri programları yükleyebilir, sistem ayarlarında değişiklikler yapabilirler. 

Sağlıcakla kalın.