group policies

 

🎯 Görev: OU’lara GPO Uygulamak (Grup Politikalarıyla Yapılandırma)

Şimdiye kadar kullanıcıları ve bilgisayarları OU’lara ayırdık. Asıl amaç, bu OU’lara özel politikalar (GPO) uygulayabilmek.

🧱 1. GPO Nedir? Ne İşe Yarar?

GPO (Group Policy Object) = Active Directory’de kullanıcılar veya bilgisayarlar için ayar toplulukları.

  • Her GPO, belirli ayarları içerir.

  • Bu ayarlar sadece bilgisayarlara, sadece kullanıcılara veya her ikisine birden uygulanabilir.

  • GPO'lar OU’lara linklenerek uygulanır.

🛠️ 2. GPO’ları Yönetme Aracı

Group Policy Management Console (GPMC) adlı araçla GPO’ları oluşturup düzenleyebilirsin.

Adımlar:

  1. Başlat menüsü > Group Policy Management yaz, tıkla.

  2. Sol menüde domain yapın ve OU’ların gözükmeli.

GPO’lar önce “Group Policy Objects” altında oluşturulur, sonra istediğin OU’ya bağlanır (link).

🔍 3. Örnek GPO'lar Üzerinden İnceleme

Sistemde bazı GPO’lar zaten var:

  • Default Domain Policy → Tüm domain’e uygulanır.

  • Default Domain Controllers Policy → Sadece Domain Controllers OU’suna uygulanır.

  • RDP Policy → Belirli bir GPO daha olabilir.

Unutma: Bir GPO, bağlı olduğu OU’ya ve tüm alt OU’lara etki eder.

🔓 4. GPO İçeriğini İnceleme: "Default Domain Policy"

  1. Default Domain Policy'ye sağ tıkla → Edit de.

  2. İçeriği görmek için şu sekmelere bak:

    • Scope: GPO hangi OU’ya bağlı.

    • Settings: Hangi ayarlar etkin.

      • Bu GPO, sadece bilgisayar ayarları içeriyor.

      • Örnek: Şifre uzunluğu, hesap kilitleme gibi temel güvenlik ayarları.

📌 Görev: Minimum şifre uzunluğunu 10 karaktere çıkar.

Adımlar:

  1. Default Domain Policy → Sağ tıkla → Edit.

  2. Git:
    Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy

  3. Minimum password length10 karakter yap.

🔁 5. GPO Güncelleme ve Dağıtım

  • GPO’lar domain içinde SYSVOL klasörü üzerinden paylaşılır.

  • Konumu: C:\Windows\SYSVOL\sysvol

  • Otomatik olarak tüm kullanıcılar bu GPO’ları alır, ama bu 2 saate kadar sürebilir.

Anında uygulamak için terminale yaz:

powershell
gpupdate /force

📌 6. Görev 1: Control Panel Erişimini Kısıtlamak

🔒 Amaç: Sadece IT dışındaki kullanıcıların Control Panel'e erişimini engellemek.

Adımlar:

  1. Yeni GPO oluştur: Restrict Control Panel Access

  2. Sağ tıkla → Edit

  3. Git:

    mathematica
    User ConfigurationAdministrative TemplatesControl Panel

  4. Şu ayarı Enabled yap:

    • Prohibit access to Control Panel and PC settings

  5. Bu GPO’yu şu OU’lara bağla (linkle):

    • Marketing

    • Sales

    • Management

IT OU’suna bağlama! Böylece sadece diğer departmanlarda kısıtlama olur.

📌 7. Görev 2: Otomatik Ekran Kilitleme (Tüm Bilgisayarlar İçin)

🔒 Amaç: 5 dakikadan fazla boş kalan bilgisayarların otomatik olarak kilitlenmesi.

Yöntem 1 (tercih edilen):

  • GPO’yu root domain’e uygula. (Tüm cihaz OU’ları alt OU olduğu için hepsine işler.)

Adımlar:

  1. Yeni GPO oluştur: Auto Lock Screen

  2. Sağ tıkla → Edit

  3. Git:

    mathematica
    Computer ConfigurationPoliciesAdministrative TemplatesControl PanelPersonalization

  4. Ayarı bul:

    • Interactive logon: Machine inactivity limitEnabled300 saniye (5 dakika) yap.

  5. Bu GPO’yu thm.local domain root’una bağla.

Not: Bu GPO bilgisayar ayarları içerdiği için sadece cihazları etkiler, kullanıcı OU’larına etki etmez.

Test Etme ve Doğrulama

  1. Mark adlı kullanıcıyla RDP yap (Sales departmanında).

    • Kullanıcı: THM\Mark

    • Şifre: M4rk3t1ng.21

  2. Control Panel’i açmaya çalış → Erişim engellendi mesajı alırsan GPO çalışıyor demektir.

  3. 5 dakika hiçbir şey yapmadan bekle → Ekran otomatik kilitleniyorsa, diğer GPO da çalışıyor.

🛠️ Sorun mu var? Şunu dene:

powershell
gpupdate /force

Labels: |