Kategorisindeki Bir Yayını Okuyorsunuz

 

Merhaba. 

Group Policy'de bazı OU'ların GPO'lardan etkilenmemesini, bazı GPO'ların ise tüm alt OU'larda geçerli olmasını isteyebilirsiniz. Bu konuda, Block Inheritance ve Enforced kavramlarını anlatacağım. 

Test ortamım için aşağıdaki yapıyı oluşturup, IT OU'su içerisinde user isimli kullanıcıyı oluşturdum.

Kullanıcılar OU'sunun içinde CTRL+ALT+DEL kombinasyonu kullanıldığında ekrana çıkan seçenekler arasında Task Manager'ın bulunmamasını sağlayacak bir GPO oluşturuyorum.
Ortam OU'sunun içerisinde ise bu kuralın tam tersini uygulayacak bir GPO oluşturuyorum. 

GPO'ların kural üstünlükleri aşağıdaki gibidir.



Bu durumda en aşağıda yer alan Remove TaskMngr isimli GPO geçerli olacaktır. 
Test edelim;
IT'de yer alan hiçbir kullanıcının GPO'lardan etkilenmemesi için ilgili OU'nun üzerine sağ tıklayıp Block Inheritance seçeneğini işaretleyebilirsiniz. 
Block Inheritance aktifken ilgili OU'nun üzerinde mavi renkli ünlem işareti çıkacaktır. Bu OU artık Default Domain Policy dahil olmak üzere kendisinin üzerinde yer alan hiçbir GPO'dan etkilenmeyecektir. 

Eğer herhangi bir GPO'yu Enforced ederseniz, kendisinin altında yer alan GPO kurallarına karşı enforced edilen GPO daha baskın olacak ve alt kuralları ezecektir.
Enforced edilmiş kuralların üzerinde kilit simgesi belirecektir. Bu kural, Block Inheritance'tan etkilenmez. Ezer geçer. :)


Alt OU'larda bulunan fakat GPO'dan etkilenmemesini istediğiniz kullanıcılarınız varsa, ilgili OU'yu seçtikten sonra Delegation tab'ına geçip Advanced seçeneğine tıklayıp GPO'nun perm ayarlarına ulaşabilirsiniz. İlgili kullanıcıyı bu listeye ekledikten sonra Apply group policy ayarını deny olarak belirlerseniz, seçmiş olduğunuz grup/kullanıcı, artık ilgili GPO'dan etkilenmeyecektir.