Forum

Bildirimler
Hepsini Temizle

group policy

27 Yazılar
7 Üyeler
0 Reactions
1,368 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Arkadaşlar, group policyden authentication userların D bölümüne erişimini nasıl yasaklayabilirim.


Yapmak istediğim, kullanıcılar farklı bir pc de oturum açtığında o pc ye ait D bölümüne giremesin.

 
Gönderildi : 15/10/2011 20:56

(@serkanates)
Gönderiler: 1322
Üye
 

Aşağıdaki makale yardımcı olacaktır.

Dostlukla... 

http://support.microsoft.com/kb/231289  

 
Gönderildi : 15/10/2011 21:08

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Benim yapmak istediğim sürücü gizlemek değil.


Kullanıcılar başka pc üzerinden kendi accountları ile oturum açıp C dizinine erişemidiği gibi D dizininede erişememisini istiyorum.


Bu nasıl yapılabilir..

 
Gönderildi : 15/10/2011 21:16

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Konuyla ilgili fikriyatı olan yokmu arkadaşlar..

 
Gönderildi : 16/10/2011 20:58

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Merhaba,

User Conf / Administrative Temp./Windows Comp /Win.Explorer altında

Hide these specified drivers in my computer : Tüm sürücüleri gizler.

Prevent access to driver from my computer : Sürücülere girişi yasaklar. Hatırladığım kadarıyla buradan sürücüyü seçebiliyordunuz.

Keyifli çalışmalar. 

 
Gönderildi : 17/10/2011 21:00

(@serhatakinci)
Gönderiler: 4117
Famed Member
 


Benim yapmak istediğim sürücü gizlemek değil.


Kullanıcılar başka pc üzerinden kendi accountları ile oturum açıp C dizinine erişemidiği gibi D dizininede erişememisini istiyorum.


Bu nasıl yapılabilir..



Peki kendi PC'lerindeki D:/ sürücüsü için durum ne olacak?

 
Gönderildi : 18/10/2011 14:50

(@atilabulut)
Gönderiler: 7
Active Member
 

Ugur beyin dediğine ek olarak Prevent access yaptığımızda kullanıcı administrator olarak yetkilendirilsede sürücüye giriş engelleniyordu. Bunun çözümünü delegation kısmında administrator için gpo uygulamamayı seçerek yaptım.  Yeni başlayan biri olarak bulabildiğim bu.

Ben de ek olarak C dizinine girişide tamamen engellemeliyim ama engelledikten sonra da user giriş yaptığında doğal olarak desktop kullanamıyor. Bununla ilgilide çözüm önerisi olan varsa sevinirim.

 
Gönderildi : 18/10/2011 15:03

(@serhatakinci)
Gönderiler: 4117
Famed Member
 


Ben de ek olarak C dizinine girişide tamamen engellemeliyim ama engelledikten sonra da user giriş yaptığında doğal olarak desktop kullanamıyor. Bununla ilgilide çözüm önerisi olan varsa sevinirim.


Selam,


Bir sürücü için prevent access to drive policy uyguladıktan sonra sadece Windows Explorer üzerinden yapılmaya çalışılan erişim denemeleri engellenir. Örneğin uygulamalar ve diğer bazı yöntemler yine disk'e erişerişebilir. C: (system) sürücüsü için de durum aynı. Kullanıcı oturum açtığında Windows Explorer üzerinden sürücüye girip dizin/dosya'ları göremez ama masa üstü, C:'den gelen kısa yollar ve C:\Program Files altında bulunan tüm programlar yine çalışmaya devam eder.

 
Gönderildi : 18/10/2011 17:07

(@atilabulut)
Gönderiler: 7
Active Member
 

Evet haklısınız programlar sorunsuz çalışıyor. Fakat desktop ta bir klasör haliyle açılamıyor. Acaba C ye giriş söylenen şekilde engellenip sadece desktop dizinine özel bir izin verme gibi birşey yapılabilir mi?

 
Gönderildi : 18/10/2011 17:38

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Bu olmaz. Yani kullanıcı desktop'a da yazabiliyor olmalı çünkü bu, ntfs izinleri ile kontrol edilir ve profil üst ntfs tanımlarından miras alınır, varsayılan durumda kullanıcı disklere erişemese de desktop'a yazabilir. Eğer yazamıyorsa, ntfs ayarlarında bir değişiklik yapılmıştır.

 
Gönderildi : 18/10/2011 17:45

(@atilabulut)
Gönderiler: 7
Active Member
 

Evet dediğiniz gibi yazabiliyor. Metin belgesi olusturup okuyabiliyor ama klasör oluştursada oluşturduğu klasöre girmek istediğinde sistem yöneticinizle görüşün uyarısı geliyor. Anladığım kadarıyla bu kuralda desktopta izinli olsada alt dizinlerine giriş engelleniyor. Bununla ilgili alt dizinlerine özel bir izin tanımlamak istiyorum gpo da ama malesef nasıl yapacağımı bulamadım. Yeni başlayan biri olarak umarım anlamsız birşey istemiyorumdur. Yardımlarınız için teşekkürler

 
Gönderildi : 18/10/2011 18:04

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Bu senaryodaki bazı durumları ntfs izni tanımlayarak veya GPO ile aşma şansınız yok bu nedenle folder redirection ile sadece deskop'ı (veya tüm profili) yönlendirmek çok daha doğru bir seçim olur. Bu konu için iki şansınız var.


1) Local disk üzerinde yeni bir partition yaratın (örneğin F:/), kullanıcı veya tüm kullanıcıların desktop'larını bu sürücüye yönlendirin, ardından diğer tüm sürücü harflerine erişimi engelleyin (C:/ D:/ vs..). Kullanıcı açık olan F:/ sürücüsüne girebilse de sadece kendi klasörlerine erişebiliyor olacak. Hatta bu senaryoda özel ntfs izinleri ile çok daha ilginç şeyler yapılabilir.


2) Yine folder redirection ile desktop klasörlerini bir network share üzerine taşıyın. Ardından tüm sürücülere erişimi engelleyin.

 
Gönderildi : 18/10/2011 19:21

(@atilabulut)
Gönderiler: 7
Active Member
 

O halde folder redirection deneyeceğim.

Zaman ayırıp cevaplandırdığınız için teşekkür ediyorum. Kolay gelsin.

 
Gönderildi : 18/10/2011 19:43

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Konuyu ben açtım başkası soruyu değiştirip kapatmış[:)]


Serhat hocam, öncelikle elinize ağzınıza sağlık. Uğur hocamın  bahsettiği şekilde denedim ancak D sürücüsü tamamen erişilemez oldu. Kendi kullanıcısı bile erişemiyor.


Benim sorum şöyle;


Siz ofiste kendi bilgisayarınızı kullanıyorsunuz. Bilgisayarınız domain ortamında. Masanızdan kalktınız ve başkası geldi sizin bilgisayara oturdu ve kendi kullanıcısıyla oturum açtı. Bu şekilde C sürücüsü altındaki (Desktop belgelerim )vs gibi datalarınıza ulaşamıyor ancak D sürücüsündeki datalara ulaşabiliyor. Ben D sürücüsüne tıkladığında da erişim engellendi mesajı versin istiyorum.


Teşekkürler yardımlarınız için...

 
Gönderildi : 30/10/2011 04:03

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Fikriyatı olan yok mu arkadaşlar?

 
Gönderildi : 01/11/2011 17:20

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Kendi oturumlarından erişebiliyor olacaklar hocam..

 
Gönderildi : 03/11/2011 01:54

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Kendi oturumundan kullanabilir olacak..

 
Gönderildi : 03/11/2011 01:57

(@serkantas)
Gönderiler: 950
Prominent Member
 

İstediğin Mantık Olarak Ters Bişi Yani Konuyu Açıldığından Beri takip Ediyor Senin için Araştırıyorum Kendim Bazı Methodlar Deniyorum Ama Bunu Yapamıyorum Tree Part Bir Yazılım İle Olabilir Belki Daha Detaylı Araştırıp Eğer Bir Tree Part Yazılım Bulursam Seninle Paylaşacağım 

"Senin İstediğin Her Kullanıcı Domainde Olan X Bilgisarların Hepsini Açabilsin Yanlız Kendi Makinesi Hariç Hangi Makinede Oturum Açarsa Açsın D: Sürücüsüne Giremesin " Yanlız GPO'dan Bunu Şu Pc'ler İçin Diyemezsin Kullanıcı Bazlı Policy Olduğu İçin Tüm client'larda Geçerli olur Local Policy Üzerinden Bir Araştırma Yapacam Onunda Sonucunu Paylaşırım...

 
Gönderildi : 03/11/2011 02:40

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Ben aslında herkesin ihtiyacı olduğu bir soru sordum. Çoğu domain ortamı kullanan yerler bilgisayar adına göre oturum açma şeklinde ayarlama yapmıyor. Ben şu zamanda neden hala başka bilgisayarda oturum açamasınlar diye oturup 500 adet bilgisayar adını domaine kaydedim. Birde mantıksız olan durum, kullanıcılar başka pc de oturum açamıyacaksa domain çok önemli bir avantajını yitirmiş olmuyor mu? Bunun microsoft tarafından artık bir çözüme ulaştırılması gerekmiyor mu?


Yapılması gereken sadece C sürücüsü gibi diğer sürücülerede authentication user hakkını kaldıracak ancak biz istersek permisions ayarlarından eklediğimizde erişebilecek. Mantık aslında basit ama neden microsoft bu yönde işlerimizi artık kolaylaştırmıyor ve neden hala complex olmayan birşey için bile 3. party yazılımlara ihtiyaç duyuyoruz. İnşallah Server 8 de bunu düşünürler.


Cevaplar ve yorumlar için teşekkürler..


 


 

 
Gönderildi : 05/11/2011 03:34

Sayfa 1 / 2
Paylaş: