Forum

Windows 2008 R2 GPO
 
Bildirimler
Hepsini Temizle

Windows 2008 R2 GPO

2 Yazılar
2 Üyeler
0 Reactions
523 Görüntüleme
(@sinancakmakcilar)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Merhabalar,

 

  windows 2008 R2  std de Active Direcktory servisi aktif olarak kullanmaktayım. kullanıcılarda  defout GPO' u kullanıyorum.  default gpo da kullanıcılar makineye login olabiliyor fakat hiç birşey yapamıyorlar sadece açıp kullanabiliyorlar herhangi bir ayar değiştiremiyorlar. ben bu yetkiler yerine windows da herşeyi yapabilsinler sadece program kuramasınlar istiyorum bunun için baya bir araştırdım deneme yaptım birtürlü başarılı olamadım. kullanıcılara full yetki verip sadece program kurmalarını istemiyorum bunun için hangi  gpo policylerini açmalıyım neleri kapatmalıyım ?

 varsa gpo policylerle iligili en ince ayrıntısana kadar  anlatan bir  makale o bile işimi görebilir...

 

 

teşekkürler, iyi çalışmalar..    

 
Gönderildi : 21/08/2013 20:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba

Öncelikle GPO buna uygun bir çözüm değildir, ek olarak yaptığınız yöntem doğru bir yöntem değildir.

Varsayılan GPO üzerinde değişiklik yapılması tavsiye edilmez, o GPO yu bırakıp kendinize yeni bir GPO açmanız ve yeni bir OU altında bunu uygulamanız gerekli, yani domain bazında GPO tasarlamak çok ciddi iştir, çünkü bundan herkes etkilenir. Bu nedenle ayrı bir GPO ve ayrı bir OU ile bu çözmeniz gerekli.

İsteğinize gelince, dediğim gibi bunu GPO ile yapmak için çok boş vaktiniz ve GPO da uzman seviyede olmanız gerekli, bunun yerine kullanıcıları kendi makinelerinde lokal admin yapmaktan vaz geçin yeter. Bu sayede power user grubuna üye yaparsanız ki bunu da GPO ile merkezi olarak yapabilirsiniz ( bakınız restricted group pek çok kez anlatılmıştır ) bu sayede sınırlı bir erişimleri olacaktır.

Ancak günün sonunda bu konuda çok istisna durumlar var. Bırakın GPO ile yasaklamayı Domain User bir kullanıcı düşünün, bu kulllanıcı bile program kurabilir. Sınırlı bir kullanıcının program kuramıyor olmasının sebebi

1 - C:\Program Files gibi dizinlerde yazma izni yok

2 - Kayıt Defterinde yazma izni yok

3 - Dll kayıt ettirme vb işlemleri yapmaya yetkisi yok.

Ama önreğin firefox yani bir browser, bunların hiç birini istemiyor, sadece kurulum dizini olarak program files olarak kendi masa üstünü gösterse kurar.

 

Bu nedenle uğraştığınız iş çok zor bir alan, bu işin en doğrusu onları sınırlı kullanıcı olarak bırakmak, browser vs dışında zaten ciddi bir program kurma şanları yoktur, mesela photshop vs...

Yok ben hem domain user olsunlar hemde program kuramasınlar diyorsanız bu durumda GPO üzerinde software restriction policy uygulamanız gerekli ki bu konuda da makaleleri inceleyebilirsiniz.

İstemci makineler Windows 7 ve üstü ise Applocker da kullanabilirsiniz.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/08/2013 13:49

Paylaş: