Microsoft Advanced Group Policy Management Nedir?
Group Policy, Active Directory Domain ortamında bulunan kullanıcılarımızın, bilgisayarların ve sunucuların merkezi olarak yönetilebilmesi, kısıtlanabilmesi gibi işlemler için kullanılmaktadır. Group Policy sadece bir konsoldan oluşuyormuş gibi gözükse de aslında oldukça güçlü bir yapı emrimize sunulmaktadır. Group Policy kullanılarak yapılabilecek basit bir iki örnek vermek gerekirse;
· Kullanıcıların bilgisayarlarında çeşitli kısıtlamalar gerçekleştirmek,
· Terminal server larımız için Session Broker hizmetinin ayarlanmasını sağlamak,
· Kullanıcılarımız bilgisayarlarını açtıklarında belirli bir donanım sürücüsünün otomatik olarak yüklenmesini sağlamak, http://www.cozumpark.com/blogs/windows_server/archive/2010/01/17/devcon-arac-n-kullanarak-group-policy-ile-donan-m-s-r-c-s-n-n-y-klenmesi.aspx
· Kullanıcılarımız oturum açtıklarında özel bir exe uygulamasının yüklenmesini sağlamak, http://www.cozumpark.com/blogs/windows_server/archive/2011/01/22/group-policy-kullanarak-exe-uygulama-kurulmas.aspx
· Dilersek kendi policy kuralımızı (ADMX dosyaları) yazıp Group Policy Management konsolundan ekleyerek uygulanmasını sağlayabiliriz.
Group Policy yapısı üç temel bileşenden oluşmaktadır. Bunlar;
· Group Policy Container: Active Directory içerisinde Systemà Policies altında barındırılır. Poliçeler hakkında versiyonu, durumu gibi bilgiler tutulur. Ancak burada Group Policy Management konsolunda göründüğü gibi bakıldığında rahatça anlaşılacak şekilde değil GUID dediğimiz isimlendirme yapısında tutulmaktadır.
· Group Policy Template: Domain Controller larımızın group policy leri dağıtmak için kullandığı SYSVOLPolicies klasörü altında barındırılır. Buradan da bakıldığında policy ler GUID isimlendirme yapısında tutulmaktadır.
· Group Policy Objects: Policy ayarları için sanal bir depolama alanı görevi görmektedir.
Ancak Group Policy konsolunu kullanarak da yapabileceklerimizin bir sınırı bulunmakta. Group Policy Management konsolu kullanılarak yapılamayacaklara örnek olarak;
· Oluşturulan group policy lerinin versiyonlanmasının sağlanarak policy üzerinde zaman içerisinde yapılan değişikliklerin raporlanabilmesi ve farklılıkların görüntülenebilmesi,
· Group Policy ler üzerinde ki değişikliklerin kimin tarafından yapıldığının takip edilebilmesi,
· Yeni oluşturulan ya da düzenlenen bir group policy nin uygulanmadan önce onaylanmasının sağlanabilmesi,
· Şablon gpo ların oluşturulabilmesi,
· Silinen gpo ların geri getirilebilmesi,
şeklindeki istekleri verebiliriz. Bu taleplerin sağlanabilmesi için Microsoft, Advanced Group Policy Management yapısını bizlere sunmaktadır. Bu makalemde sizlere Advanced Group Policy Management yapısından ve kurulumundan bahsedip örnek uygulama ile yapının çalışma şeklini anlatmaya çalışacağım.
Microsoft’ un bu ürünü kısmen ücretsiz bir ürün diyebiliriz. İlgili aracı yapılandırabilmek için Volume Licensing anlaşması, MSDN ya da Technet üyeliği bulunan kurumların indirebildiği MDOP (Microsoft Desktop Optimization Pack) paketine ihtiyacımız var.
Advanced Group Policy Management Kurulumu
Advanced Group Policy Management Server (makalenin bundan sonraki bölümlerinde AGMP olarak isimlendirilecektir) kurulumu için önceden yapmamız gereken bazı hazırlıklar var. Öncelikle aşağıda ki özellikleri sunucumuza eklemeliyiz.
· Group Policy Management Console
· .NET Framework 3.5
· WCF Activation; Non-HTTP Activation
· Windows Process Activation Service
· Process Model
· .NET Environment
· Configuration APIs
Son dönemde Microsoft kurulum uygulamalarını geliştirdi ve önceden yüklenmesi gereken bileşenler eğer sistem üzerinde yüklü durumda değil ise uygulamanın kurulumu sırasında yüklenmekteler. AGMP Server kurulumunda da kurulum sırasında gerekli olan özellikler yüklenmekte. Bu işleme en güzel örnek ise Exchange Server 2010 with SP1 paketi ile birlikte gelen ve Exchange sunucumuz için gerekli olan rolleri ve özellikleri otomatik olarak sistemimize kurmasıdır.
Diğer bir ihtiyaç ise AGMP için bir service user hesabı oluşturmaktır. Bu kullanıcıya çok gerekli olmadıkça Domain Admins yetkisi verilmemelidir. Bunun yerine kullanıcıya AGPM suncusunda aşağıda ki yetkilendirmelerin yapılması yeterli ve çok daha sağlıklı olacaktır.
· AGMP servis hesabı GPO Creator Owners ve Backup Operators gruplarına üye olmalıdır.
· AGMP Arşiv klasörüne tam yetki ile erişim hakkı verilmelidir. Eğer bu arşiv AGMP sunucusu üzerinde tutulacak ise kurulum sırasında bu yetkilendirme otomatik olarak yapılmaktadır.
· %SystemRoot%Temp klasörü üzerinde tam yetkili olmalıdır.
· AGMP kurulumundan önce bulunan tüm Group Policy lere tam erişim yetkisi. Yetkilendirme Group Policy Management konsolunda ilgili policy seçildiğinde sağ taraftaki ekranda bulunan sekmelerden Delegation sekmesine geçip aşağıda bulunan Advanced butonuna tıklanarak yapılabilir.
Servis kullanıcısı olarak Active Directory üzerinde agpm isimli bir kullanıcı oluşturalım ve yukarıda ki yetkilendirme işlemlerini yapalım.
AGMP servis hesabı dışında bir de Arşiv bölümüne erişecek olan kullanıcı da kurulum öncesi belirlenmelidir. Bu kullanıcı seçilirken dikkatli olunmalıdır. Çünkü seçilen kullanıcı AGMP Administrator olarak yetkilendirilecektir. Kurulum da arşiv kullanıcısı olarak Domain Admins grubunu ekliyoruz.
AGMP kurulumunun üç farklı sürümü bulunmaktadır. Bunlar işletim sistemlerine göre aşağıda ki şekilde gruplanabilir.
· Windows Server 2008 R2 ve Windows 7 için AGMP 4.0
· Windows Server 2008 ve Windows Vista with SP1 için AGMP 3.0
· Windows Server 2003 ve Windows Vista için AGMP 2.5
NOT: AGMP yapısının çalışabilmesi için ortamda SMTP sunucusunun bulunması gerekmektedir.
Kurulum yapacağımız ortamda ki yapıdan bahsetmek gerekir ise;
· LABDC1 domain controller mız (Windows Server 2008 R2 with Sp1)
· LABAGPM Advanced Group Policy Management sunucumuz (Windows Server 2008 R2 with Sp1)
· LABCH1, LABDAG1 ve LABDAG2 ise Exchange yapımızı oluşturan sunucularımız (Windows Server 2008 R2 with Sp1)
· LABCLIENT1 ise testlerimizi yapacağımız client makinemiz (Windows 7 with Sp1)
NOT: AGPM Server kurulumunun Domain Admins grubuna üye olan bir kullanıcı tarafından yapılması gerekmektedir.
Normalde kurulum bir domain controller üzerine de yapılabilmekte ancak bu durumda tüm group policy lerimizi tek bir dc üzerinden yönetebileceğiz. Ortak bir alanda ve kullanıcıları dc mize direk eriştirmeden ayrı bir sunucu üzerine AGPM kurulumu çok daha sağlıklı bir yapı oluşturmamızı sağlayacaktır. Kurulumun büyük bir bölümü Next Next şeklinde ilerleyeceği için gerekli yerler dışında ekran görüntüsü kullanmayacağım.
AGPM Server kurulumumuzu MDOP arabiriminde ki Advanced Group Policy Management bölümünde bulunan Install Server (64 bit) linkine tıklayarak başlatalım. Karşılama ekranını Next diyerek geçtiğimizde karşımıza uygulamamızı nereye kuracağımızı belirleyeceğimiz bölüm gelecektir. Bu bölüm de bulunan kurulum yeri bizim için bir sorun teşkil etmiyor ise Next diyerek ilerleyelim. Karşımıza AGPM sunucumuzun arşiv klasörünün neresi olacağının sorulduğu bölüm gelecektir. Varsayılan olarak Arşiv klasörünün yeri C:ProgramDataMicrosoftAGPM şeklindedir. Bu bölüme dokunmadan Next diyerek ilerlediğimizde karşımıza AGPM için servis hesabını belirteceğimiz bölüm gelecektir. Ekran görüntüsü aşağıda ki gibidir.
NOT: Eğer AGPM Server kurulumu domain controller üzerine yapılıyor ise yukarıda ki ekranda Local System seçeneği de olacaktır. Burada servis için kullanıcı kullanımı yerine Local System seçeneği ile devam edilebilir.
Servis hesabı için kullanıcımızı belirledikten sonra Next diyerek ilerleyelim. Karşımıza Arşiv için yetkili bir kullanıcı belirtmemizi isteyen ekran gelecektir. Burada ki kullanıcının tüm AGPM üzerinde Tam Yetkili olacağını tekrar hatırlatarak bu büyük yetki için Domain Admins grubunu ekleyelim. Ekran görüntüsü aşağıda ki gibi olacaktır.
Arşiv sahibini de belirledikten sonra Next diyerek ilerlediğimizde karşımıza AGPM sunucusunun kullanacağı portu belirleyeceğimiz ekran gelecektir. Varsayılan olarak 4600 nolu port için ayar yapılacaktır ve “Add port exception to firewall” seçeneğini seçili bırakarak firewall üzerinde gerekli ayarların otomatik olarak yapılmasını sağlayabiliriz. Eğer port numarasını değiştirdiysek aynı port numarasını AGPM Client kurulumu sırasında da kullanmalıyız. Ekran görüntüsü aşağıda ki gibidir.
Yukarıda ki ekranı Next diyerek geçtiğimizde karşımıza kurulacak dillerin bulunduğu bir liste gelecektir. Varsayılan olarak burada ki tüm diller seçili olarak gelmekte ancak ben içlerinden sadece İngilizce seçeneğini seçili bıraktım. Dil seçimimizi de yaptıktan sonra Next diyerek ilerlediğimizde karşımıza kuruluma başlamak için hazır olduğumuzu belirten son ekran ile karşılacağız. Bu ekranda Details butonuna bastığımızda eğer sistemde bulunamazlar ise yüklenecek olan bileşenlerin listesini görebiliriz. Install butonuna tıklayarak kurulumu başlatalım ve tamamlanmasını bekleyelim.
AGPM Server kurulumumuz tamamlandığına göre artık AGPM Client kurulumuna başlayabiliriz. AGPM Client kurulumu AGPM Server kurulumunun yapıldığı sunucu üzerine yapılabileceği gibi AGPM yapısı üzerinde çalışacak olan kullanıcıların sistemlerine de kurulabilir. Bu yapıda AGPM Client kurulumunu Windows 7 Sp1 çalıştıran LABCLIENT1 sistemi üzerine yapacağız. Kuruluma başlamadan önce aşağıda ki hazırlıkları tamamlamamız gerekmektedir. Bunlar;
· AGMP Client kurulumuna başlamadan önce ilgili makinede Windows 7 için RSAT aracının yüklenmesi ve Group Policy Management konsolunun etkinleştirilmesi gerekmektedir. Windows 7 RSAT with SP1 paketini http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d adresinden indirebilirsiniz.
· Client tarafında kurulum için bir diğer gerekli bileşen olan .NET Framework 3.5 kurulum sırasında kontrol edilerek yüklü olmadığında otomatik olarak kurulacaktır.
Windows 7 için RSAT with Sp1 kurulumunun ardından Control Panel (Denetim Masası) konsolunu açalım. Programs bölümünün altında bulunan Uninstall a program linkine tıklayalım. Karşımıza gelen ekranın sol tarafında bulunan Turn Windows features on or off linkine tıklayalım. Karşımıza gelen Windows Features ekranında Remote Server Administration Toolsà Feature Administration Toolsà Group Policy Management Tools seçeneğini tıklayarak işaretleyelim ve OK butonuna tıklayarak Group Policy Management konsol kurulumunu tamamlayalım. Ekran görüntüsü aşağıda ki gibi olacaktır.
AGPM Server kurulumumuzu MDOP arabiriminde ki Advanced Group Policy Management bölümünde bulunan Install Client 32 bit ya da 64 bit linkine tıklayarak başlatalım. Kurulum sihirbazının karşılama ekranını Next diyerek geçtiğimizde karşımıza AGPM Client kurulumunun yapılacağı yerin sorulduğu ekran gelecektir. Varsayılan ayarları değiştirmeyelim ve Next diyerek ilerleyelim. Karşımıza AGPM Server ın bilgilerinin sorulduğu ekran gelecektir. Burada “DNS name or IP address bölümüne AGPM Server” sunucumuzun bilgilerini yazalım, Port bölümüne ise eğer server kurulumunda değiştirmediysek 4600 olarak bırakabiliriz. Ancak server kurulumunda portu değiştirmiş isek buraya yeni port numarasını yazmalıyız. Ekran görüntüsü aşağıda ki gibidir.
AGPM Server ayarlarımızı tamamlayıp Next diyerek ilerlediğimizde karşımıza kurulacak dillerin belirlendiği ekran gelecektir. Burada sadece English seçeneği işaretli olarak bırakalım ve Next diyerek ilerleyelim. Karşımıza kuruluma başlamak için hazır olduğumuzu göreceğimiz ekran gelecektir. Bu ekranda Details butonuna bastığımızda eğer sistemde bulunamazlar ise yüklenecek olan bileşenlerin listesini görebiliriz. Install butonuna tıklayarak kurulumu başlatalım ve tamamlanmasını bekleyelim.
Kurulumu başarılı bir şekilde tamamladıktan sonra diğer AGPM Client kullanıcılarının da AGPM Server sunucusunu rahatça bulabilmeleri için kurulum ile birlikte Group Policy ayarlarına eklenen AGPM bölümünü yapılandırmalıyız. Bu amaçla client bilgisayarımız da AGPM Server üzerinde Full yetkili olan bir kullanıcı ile (kurulum sırasında Arşiv yetkisini verdiğimiz kullanıcılardan herhangi birisi ile ki bu kurulumda Domain Admins grubuna üye olan bir kullanıcı olacaktır) Group Policy Management konsolunu açalım (search bölümüne gpmc.msc yazarak da konsolu açabiliriz). Karşımıza aşağıda ki ekran görüntüsü gelecektir.
Gördüğümüz gibi standart Group Policy Management konsolumuza Change Control isimli bir bölüm eklenmiş durumda. Bu bölümü detaylı olarak incelemeden önce yukarıda bahsetmiş olduğumuz ayarı yapalım. Bu amaçla Default Domain Policy poliçesine sağ tıklayalım ve açılan menüde Edit linkine tıklayarak Default Domain Policy üzerinde gerekli ayarı yapabileceğimiz Group Policy Management Editor penceresini açalım. Burada User Configurationà Policieà Administrative Templatesà Windows Componentsà AGPM bölümüne gelelim. Sağ tarafta bulunan AGPM: Specify default AGPM Server (all domains) seçeneğini çift tıklayarak açalım. Karşımıza gelen pencerede Enabled seçeneğini seçelim. Ardından Options bölümünde bulunan “Default AGPM Server for all domains” bölümüne AGPM Server sunucumuzun adını yazalım. Burada sunucumuzun NETBIOS adını kullanabileceğimiz gibi FQDN adını da kullanabiliriz. Sunucu isminin sonuna :4600 ifadesi ile port numarasını belirtmeye özen gösterelim. Eğer kurulum sırasında farklı bir port numarası belirlemiş isek burada ilgili port numarasını yazalım ve OK diyerek pencereyi kapatalım. Ekran görüntüsü aşağıda ki gibi olacaktır.
Group Policy Management konsoluna eklenen Change Control bölümünden bahsetmeye ve ayarları tamamlamaya devam edelim. Change Control bölümü dört ana sekmeden oluşmaktadır. Bunlar;
· Contents: Bu bölümde dört alt sekmeden oluşmaktadır. Bunlar;
o Controlled: Bu bölümde kontrol edilmiş ve onaylanmış olan Group Policy lerin listesini, durumunu ve son olarak kim tarafından değiştirildiğini görebiliriz. Burada ki policy lerden birisi seçilerek ayarları incelenebilir.
o Uncontrolled: Bu bölümde editör rolünde ki kullanıcıların oluşturmuş oldukları policy lerin durumları, kim tarafından değiştirildiği, değişikliğin yapıldığı tarih ve saat ile var ise policy ile ilgili yorumlar görülebilir. İstenen bir policy nin geçmişine bakılabilir ve geçmişinde yapılmış olan ayar değişiklikleri görüntülenebilir. İlk kurulumun ardından Default Domain Policy ve Default Domain Controller Policy poliçeleri bu bölümde görüntülenecektir.
o Pending: Bu bölümde editör rolünde ki kullanıcıların oluşturmak üzere talep ettikleri policy lerin durumları, kim tarafından değiştirildiği, değişikliğin yapıldığı tarih ve saat ile var ise policy ile ilgili yorumlar görülebilir.
o Templates: Daha sonra kullanılmak üzere hazır şablonlar oluşturabilir ya da daha önceden hazırlanmış olan şablonları görebilir ve bunlardan yeni policy ler oluşturabiliriz.
o Recycle Bin: Silinmiş olan policy ler bu bölümde tutulmaktadır. Bu bölümden dilenirse policy ler eski yerine alınabilir ya da tamamen silinebilir.
· Domain Delegation: Bu bölümde bulunan Send approval requests bölümünde oluşturulmak istenen policy taleplerinin hangi e-mail adresinden kime gönderileceği (kime kısmında Approval rolü hangi kullanıcı da ise onun e-mail adresi yazılmalı), gönderim sırasında kullanılacak olan smtp sunucusu ve maili atacak olan kullanıcının adı ile parolasının girileceği alanlar bulunmaktadır. Alt bölümde ise AGPM kullanıcıları ve rolleri görülebilir ve Full Control yetkisine sahip olan kullanıcı tarafından bu bölüme Editor, Approver ya da Reviewer rollerinde yeni kullanıcılar eklenebilir veya var olan kullanıcıların rolleri düzenlenebilir. Ekran görüntüsü aşağıda ki gibidi
Kullanıcıların eklenmesi sırasında hangi role atanacağının belirlenmesi ile ilgili ekran görüntüsü aşağıda ki gibidir. Toplam dört adet rol bulunmatadır. Rollerin yetkilerine bakacak olursak;
o Reviewer: Bu rol yetkisi olan kullanıcı sadece oluşturulmuş olan gpo ların ayarlarını raporları kullanarak görüntüleyip inceleyebilir. Aşağıda ki tüm rollerin bu yetkisi bulunmaktadır.
o Editor: Bu rol yetkisi olan kullanıcı yeni bir gpo oluşturmak için talepte bulunabilir ve onaylanan gpo lari inceleyebilir ve düzenleyebilir. Ancak oluşturulan gpo ların Approver tarafından onaylanması gerekmektedir.
o Approver: Bu rol yetkisi olan kullanıcı Editor rolünde ki kullanıcının oluşturmuş olduğu gpo ları onaylayarak ürün ortamına aktarır.
o Full Control: Bu rol yetkisi olan kullanıcı diğer tüm rollerin yetkilerine sahiptir. Ayrıca tüm AGPM ortamı üzerinde tam yetkisi bulunmaktadır. Archive Owner yetkisine sahip olan kullanıcı otomatik olarak Full Control yetkisine de sahip olmuş olur.
· AGPM Server: Bu bölümde arşivin hangi AGPM sunucusu tarafından yönetileceğini belirliyoruz. Host bölümünde AGPM sunucumuzun FQDN adı yazılı olmalıdır.
· Production Delegation: Ürün ortamında ki Controlled GPOs bölümünde bulunan gpo lara ulaşabilecek olan grup ya da kullanıcıların yetkilerini burdan görüp yönetilebilir.
Change Control bölümünü de tanıdıktan sonra artık AGPM i çalışırken görmenin vakti geldi. Bu amaçla aşağıda ki kullanıcıları oluşturdum ve gerekli rollere atadım.
· Hakan UZUNER – Approver
· Ege CAN – Editor
· Domain Admins – Full Control
NOT: Reviewer rolü sadece raporlardan gpo ları görüntüleyebildiği için bu rolde herhangi bir kullanıcı oluşturmadım. Ancak ürün ortamında gpo işlerini ileride devir alacak kişilerin yapılan işlemleri takip edebilmesi ve inceleyebilmesi için kişi ya da kişilerin bu role atanması uygun olacaktır.
Senaryomuzda Ege CAN kullanıcısı tüm client ların AutoPlay özelliğini kapatabilmek için bir gpo oluşturmak istemektedir. Bu amaçla öncelikle Hakan UZUNER kullanıcısına bu talebini e-mail yoluyla gönderecek. Bunun için Change Control bölümüne sağ tıklayarak New Controller GPO linkine tıklayalım. Karşımıza yeni bir gpo için talep oluşturacağımız pencere gelecektir. Ekran görüntüsü aşağıda ki gibidir.
GPO Name bölümüne oluşturmayı istediğimiz gpo nun adını yazalım. Cc bölümüne mail adresimizi yazarak Approver rolünde ki kullanıcıya gönderilen mailin bir kopyasının da bize gelmesini sağlayabiliriz. “Create in archive and production” seçeneği ile tamamlanan gpo nun poduction ortamında kullanılmasını sağlayalım. Eğer önceden oluşturduğumuz şablonlar var ise policy nin bunlardan türetilmesini de “From GPO Template” bölümünü kullanarak sağlayabiliriz. Bu işlemleri tamamladıktan sonra Submit butonuna tıklayarak talebimizi gönderelim. Karşımıza talebin başarılı bir şekilde iletildiğini belirten bir iletişim penceresi gelecektir. Bu pencereyi de Close diyerek kapatalım.
NOT: Gpo talebi, düzenlenmesi ve yayınında Comment kısımlarının doldurulması işlemin takibi ve geldiği düzey açısından bilgilendirici olacaktır.
Hakan UZUNER kullanıcısı maillerine baktığında yukarıda ki talep ile ilgili agpm kullanıcısından gelen bir e-mail görecektir. E-mail in içeriği aşağıda ki gibidir.
E-maili alan kullanıcı Group policy management konsolu açarak Change Control bölümüne gelip burada Pending sekmesine geçtiğinde oluşturulmak için bekleyen gpo talebini görecektir. Ekran görüntüsü aşağıda ki gibi olacaktır.
Burada izin bekleyen gpo ya sağ tıklandığında açılan menüde Approve linkine tıklandığında bekleyen işin onaylanmak istediğinden emin olup olmadığımızı soran bir ekran gelecektir. Burada ki Comment bölümüne bir açıklama yazarak (yazmak zorunluluğu yok ancak yazılması işlemlerin takibi açısından fayda sağlayacaktır) Yes butonuna tıkladığımızda onaylama işlemin başarılı bir şekilde tamamlandığını belirten ekran gelecektir. Bu ekranı da Close butonuna tıklayarak kapatabiliriz. Gpo onaylandıktan sonra talepte bulunan kullanıcı Turn Off Auto Play isimli gpo yu düzenleyebilecektir.
Approver rolünde ki kullanıcı tarafından gpo talebi onaylandıktan sonra Editor rolünde ki kullanıcı Group Policy Management konsolda ki Change Control alanında bulunan Controlled kısmına baktığında onaylanan Turn Off Auto Play isimli gpo yu görebilecektir. Kullanıcı, gpo yu düzenleyebilmek için öncelikle kendi üzerine almalıdır. Bu amaçla gpo ya sağ tıkladığında açılan menüde Check Out linkine tıklamalıdır. Bu işlemin ardından kullanıcının karşısına Check Out işlemi için Comment penceresi çıkacaktır. Buraya örneğin “Gpo düzenlenmeye başlandı” gibi bir açıklama yazılarak OK butonuna tıklandığında gerekli Check Out işlemi yapılacak ve Controlled bölümünde ki gpo ikonu aşağıda ki gibi gözükecektir.
Artık bu gpo nun üzerine sağ tıklayıp açılan menüden Edit linkine tıklayarak kullanıcı gpo yu düzenlemeye başlayabilir. Edit işlemine tıklandıktan sonrası normal bir gpo düzenleme işleminden farksızdır. Gpo düzenleme işlemi bittikten sonra tekrar onaylanması gerekmektedir. Bu nedenle tekrar gpo ya sağ tıklanır ve açılan menüden bu sefer Check In linkine tıklanır. Açılan Comment penceresinde istenirse mesaj yazılarak Ok tıklanır ve Check In işlemi tamamlanmış olur.
Editor rolünde ki kullanıcı işlemini tamamlayarak gpo yu oluşturmasının ardından son işlem olarak gpo nun Approver rolünde ki kullanıcı tarafından kontrol edilmesi ve ardından ilgili ou ya linkenmesi kalmış oluyor. Approver gpo yu kontrol etmek için farklı seçeneklere sahiptir.
Örneğin ilgili gpo ya sağ tıklandığında açılan menüden History linkine tıkladığında gpo nun o zamana kadar ki tüm versiyonları görülebilir. İstendiğinde her bir versiyonda yapılmış olan değişiklikler ya da iki versiyon arasında ki farklılıklar (Differences) bir rapor halinde Internet Explorer içerisinde açılarak incelenebilir. Turn Off Auto Play gpo su için History seçeneği tıklandığında karşılaşılan ekran görüntüsü aşağıda ki gibi olacaktır.
Eğer gpo üzerinde yapılmış olan ayarlar görüntülenmek istendiğinde gpo ya sağ tıklanarak açılan menüden Settingsà HTML Report seçeneği tıklanarak ayarların raporu Internet Explorer üzerinde görüntülenip incelenebilir. İlgili ekran görüntüsü aşağıda ki gibi olacaktır.
Ya da gpo üzerinde yapılan ayarların farklılıkları görüntülenmek istendiğinde gpo ya sağ tıklanarak açılan menüden Differencesà HTML Report seçeneği tıklanarak farklılıkların raporu yine Internet Explorer üzerinde görüntülenip incelenebilir. İlgili ekran görüntüsü aşağıda ki gibi olacaktır.
Bu makalemde sizlere Advanced Group Policy Management yapısından ve kurulumundan bahsedip örnek uygulama ile yapının çalışma şeklini anlatmaya çalıştım.
Faydalı olması dileğimle…
M. Hakan CAN