Merhaba.
Group Policy'de bazı OU'ların GPO'lardan etkilenmemesini, bazı GPO'ların ise tüm alt OU'larda geçerli olmasını isteyebilirsiniz. Bu konuda, Block Inheritance ve Enforced kavramlarını anlatacağım.
Test ortamım için aşağıdaki yapıyı oluşturup, IT OU'su içerisinde user isimli kullanıcıyı oluşturdum.
Kullanıcılar OU'sunun içinde
CTRL+ALT+DEL kombinasyonu kullanıldığında ekrana çıkan seçenekler arasında
Task Manager'ın bulunmamasını sağlayacak bir
GPO oluşturuyorum.
Ortam OU'sunun içerisinde ise bu kuralın tam tersini uygulayacak bir
GPO oluşturuyorum.
GPO'ların kural üstünlükleri aşağıdaki gibidir.
Bu durumda en aşağıda yer alan
Remove TaskMngr isimli
GPO geçerli olacaktır.
Test edelim;
IT'de yer alan hiçbir kullanıcının
GPO'lardan etkilenmemesi için ilgili
OU'nun üzerine sağ tıklayıp
Block Inheritance seçeneğini işaretleyebilirsiniz.
Block Inheritance aktifken ilgili
OU'nun üzerinde mavi renkli ünlem işareti çıkacaktır. Bu
OU artık
Default Domain Policy dahil olmak üzere kendisinin üzerinde yer alan hiçbir
GPO'dan etkilenmeyecektir.
Eğer herhangi bir
GPO'yu
Enforced ederseniz, kendisinin altında yer alan
GPO kurallarına karşı
enforced edilen
GPO daha baskın olacak ve alt kuralları ezecektir.
Enforced edilmiş kuralların üzerinde kilit simgesi belirecektir. Bu kural,
Block Inheritance'tan etkilenmez. Ezer geçer. :)
Alt OU'larda bulunan fakat GPO'dan etkilenmemesini istediğiniz kullanıcılarınız varsa, ilgili OU'yu seçtikten sonra Delegation tab'ına geçip Advanced seçeneğine tıklayıp GPO'nun perm ayarlarına ulaşabilirsiniz. İlgili kullanıcıyı bu listeye ekledikten sonra Apply group policy ayarını deny olarak belirlerseniz, seçmiş olduğunuz grup/kullanıcı, artık ilgili GPO'dan etkilenmeyecektir.
