Windows 2008 R2 GPO

Merhaba

Öncelikle GPO buna uygun bir çözüm değildir, ek olarak yaptığınız yöntem doğru bir yöntem değildir.

Varsayılan GPO üzerinde değişiklik yapılması tavsiye edilmez, o GPO yu bırakıp kendinize yeni bir GPO açmanız ve yeni bir OU altında bunu uygulamanız gerekli, yani domain bazında GPO tasarlamak çok ciddi iştir, çünkü bundan herkes etkilenir. Bu nedenle ayrı bir GPO ve ayrı bir OU ile bu çözmeniz gerekli.

İsteğinize gelince, dediğim gibi bunu GPO ile yapmak için çok boş vaktiniz ve GPO da uzman seviyede olmanız gerekli, bunun yerine kullanıcıları kendi makinelerinde lokal admin yapmaktan vaz geçin yeter. Bu sayede power user grubuna üye yaparsanız ki bunu da GPO ile merkezi olarak yapabilirsiniz ( bakınız restricted group pek çok kez anlatılmıştır ) bu sayede sınırlı bir erişimleri olacaktır.

Ancak günün sonunda bu konuda çok istisna durumlar var. Bırakın GPO ile yasaklamayı Domain User bir kullanıcı düşünün, bu kulllanıcı bile program kurabilir. Sınırlı bir kullanıcının program kuramıyor olmasının sebebi

1 - C:\Program Files gibi dizinlerde yazma izni yok

2 - Kayıt Defterinde yazma izni yok

3 - Dll kayıt ettirme vb işlemleri yapmaya yetkisi yok.

Ama önreğin firefox yani bir browser, bunların hiç birini istemiyor, sadece kurulum dizini olarak program files olarak kendi masa üstünü gösterse kurar.

Bu nedenle uğraştığınız iş çok zor bir alan, bu işin en doğrusu onları sınırlı kullanıcı olarak bırakmak, browser vs dışında zaten ciddi bir program kurma şanları yoktur, mesela photshop vs...

Yok ben hem domain user olsunlar hemde program kuramasınlar diyorsanız bu durumda GPO üzerinde software restriction policy uygulamanız gerekli ki bu konuda da makaleleri inceleyebilirsiniz.

İstemci makineler Windows 7 ve üstü ise Applocker da kullanabilirsiniz.