Forum
kolay gelsin arkadaşlar..
ad üzerine sehir adına tanımlı bir ou ve onun altına da kullanıcılar , bilgisayarlar gibi ou lar açarak bilgisayarları ve kulllanıcıları bu ou lar içerisne yerleştirdim..domain konusunda sıkıntı yok ama gpo ile şöyle bir sıkıntım var...domain isminin hemen altına açtığım gpo tüm pc leri etkiliyor...ancak ben server lar ile clientleri ayrı ayrı ou içerisinde tutuyorum ki clientlerin local admin passw..script ile değiştirdiğimde veya bir şekilde birinin eline geçtiğinde server lara ulaşamasın..ancak ou üzerine uyguladığım gpo ların hiç biri çalışmıyor...yani domainin hemen altına uygulanan gpo çok güzel çalışıyor ama her bir ou üzerine ayrı ayrı uyguladığım gpo lar çalışmıyor...makaleleri okudum çok güzel elleine sağlık arkadaşların ama bu gpo lar ile ilgili yani nasıl ve nereye uygulayacağız...tüm domaine uygulanan gpo çalışırken ou üzerine uygulanan gpo lar niye çalışmıyor..nasıl bişi tavsiye edersiniz...örneğin serverler server ou su içinde clientler bilgisayar ou sunun içinde..ama uygulayacağım gpo farklı farklı olsun istiyorum..herbir conteiner a yapıyorum rsop.msc ile baktığımda sadece en üstte uyguladığım gpo çalışıyor diğerlerinde tık yok..yardımlarınız için şimdiden teşekkürler iyi çalışmalar...
Selam;
GPO ları elimizdeki bir "kurallar listesi" olarak düşünebilirsiniz. Örneğin : Bir üniversite kampüsünde olduğumuzu düşünelim. Elimizdeki "kurallar listelerini" kullanarak öğrencilere bir takım kurallar koymak istiyoruz. Eğer bu "kurallar listesini" kampüsün ana kapısına asarsanız kampüse giren tüm öğrenciler bu listeyi görüp kurallara uyarlar, eğer "kurallar listesini" A bloğun giriş kapısına asarsanız sadece bu blokta eğitim gören öğrenciler ilgili kurallara tabi olacaktır, eğer bir sınıfın kapısına bu kuralları asarsınız sadece o sınıfın öğrencileri bu kurallara tabi olur. Üniversite örneğine devam edersek, bir öğrenci sınıfına girene kadar önce ana kapıdaki, sonra binanın girişindeki en son sınıfındaki kural listesini okur. Eğer bu listelerde farklı farklı kurallar varsa, sonuçta öğrenci bu kuralların hepsine uyar. Eğer ana kapıdaki listede "duvar kağıdını değiştiremezsin" diyen bir kural, oysa sınıfının kapısında ise "duvar kadığını değiştirebilirsin" kuralı varsa, en son gördüğü kural, yani sınıf kapısındaki kural geçerlidir.
GPO oluştururken makina bazlı mı yoksa kullanıcı bazlımı oluşturduğunuza ve hangi OU ya uyguladığınıza dikkat edin.
merhabalar
uygulamış olduğunuz OU'lar üzerinde BlockPolicy inheritance olayını ne yapıyorsunuz? aktif hale getirdiniz mi yoksa getirmediniz mi?
malum her OU'ya bağlamış olduğunuz GPO'ların geçerli olabilmesi için üstten gelen mirasları engellemeniz gerekmetedir. bunun adı da Block Policy inheritance'dır. bu durumu bir kontrol edin.
örnek:
OU1 ---- GPO1
block policy inheritance
OU2-------GPO2
block policy inheritance
block policy inheritance aktif hale getirmek için de GPO management konsolunda OU'ya sağ tıklayın göreceksiniz.
kolay gelsin
çok teşekkür ederim. gerçekten çok açıklayıcı oldu..peki en mantıklısı yada olması gereken kullanıcı bazlı olan mı makina bazlı olan mı...yani biz bunları oluştururken tecrübelerinize göre hangisini uygulamalıyız...yani aradaki fark nedir? birde Restricted Groups için şunu sormak istiyorum..yine aynı şekilde böyle bir sorum vardı..ama yönlendirilen makaleleri anlamak inanın biraz zor..hazıra kaçmak gibi bir niyetim asla yok ama bazen kafa şarj etmiyor bu kadar yoğunluk içerisinde...bazen işin kolayına kaçıp bazı kullanıcılar için işte program yükleme kaldırma veya makinalar sonradan domaine dahil edildikleri için administrator kullanıcısında kalan belgelerine ulaşsınlar diye local olarak denetim masası kullanıcılardan o arkadaşın hesabına administrator yetkisi verip localde admin olmasını sağlıyoruz..dediğim gibi aslında tüm yetkileri aldıktan sonra geri vermeyi bende istemiyorum ama dediğim gibi adamın bi ton belgesi orda kalmış alması lazım ve bunun gibi 150 makina olduğunu varsayarsak bizimde kayış atıyor ister istemez ve işin kolayına kaçıp dediğim uygulamayı yapmak zorunda kalıyorum..ben bu Restricted Groups içerisine domain admin enterprise admin tanımladıktan sonra başka bir tanım yapmam gerekmiyor dimi....daha önce konuşulmuştu ama nereye neyi nasıl atayacağız kısmını basit bir şekilde aktarabilirseniz sevinirim..ad ye yeni geçen benim gibi bir çok arkadaşada faydası olacağı kanaatindeyim..dediğim gibi hazıra kaçmak gibi bir niyetim yok.......şimdiden tekrar tüm dostlara teşekkür ve selamlar....
ok. sağ klik block inheritance işaretlimi olacak işaretleyince mavi bir ünlem atıyor..doğrumudur...ayrıca ilgilenen herkese teşekkür ederim..
ünlem doğrudur...
windows server 2003 yapısında kullanıcı bazlı GPO uygulaması yapamazsınız. bu işlemi windows Server 2008 yapısında yapabilirsiniz.
GPO'larınızı uygun bir şekilde hangi OU'lara uygulamak isterseniz o OU'ya link etmeniz yeterlidir. ardından artık düzenlemelerinizi yapmanız lazım.
tabi o OU'da olacak olan kullanıcıları ve bilgisayar hesaplarını da unutmayın.
kolay gelsin