Forum

Clientlar GPO Polic...
 
Bildirimler
Hepsini Temizle

Clientlar GPO Policiyleri Reddediyor

16 Yazılar
3 Üyeler
0 Reactions
2,342 Görüntüleme
(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Merhaba,

Server üzerinde GPO Policiy oluşuturarak bazı engellemeler yaptım. Policy üzerinde değişiklik yaptığımda kullanıcılar değişiklikleri alamıyor. Client domainden çıkarılıp profil listesi silindikten sonra tekrar domaine alındı. Ama sonuç aynı.

RSOP çalıştırırken invalid namespace şeklinde hata alınıyor.

Client üzerinde gpupdate /force komutu başarılı olarak sonuçlanıyor. Gpresult ekran görüntüsü aşağıdadır. Server İşletim Sistemi Windows 2012. Bu konuda yardımcı olabilir misiniz ?

 

 

Grup İlkesi Yönetimi
body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
Ayar Yolu:
Açıklama
Bu ayar için açıklama yok.
Şunda Desteklenir:
Kullanılamaz
Grup İlkesi Sonuçları
XXX\xxxx.xxxx
Veri toplanma zamanı: 24.03.2016 08:58:01  
Özet
Bilgisayar Yapılandırması Özeti
Veri yok.
 
Kullanıcı Yapılandırması Özeti
Genel
Kullanıcı adı XXXXX\xxxxx.senyuva
Etki Alanı pelsan.local
Grup İlkesinin en son işlendiği zaman 24.03.2016 08:57:05
Grup İlkesi Nesneleri
Uygulanan GPO'lar
Ad Bağlantı Konumu Değişiklik
Yok
Reddedilen GPO'lar
Ad Bağlantı Konumu Neden Reddedildi
Default Domain Policy pelsan.local Boş
Grup İlkesi uygulandığındaki Güvenlik Grubu Üyeliği
PELSAN\Domain Users
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
KONSOL OTURUMU AÇMA
NT AUTHORITY\Authenticated Users
NT AUTHORITY\This Organization
LOCAL
S-1-18-1
PELSAN\RemoteUser
Zorunlu Etiket\Orta Zorunlu Düzey
WMI Filtreleri
Ad Değer Başvuru GPO'ları
Yok
Bileşen Durumu
Bileşen Adı Durum Son İşlem Saati
Grup İlkesi Altyapısı Başarılı 24.03.2016 08:57:06
 
Bilgisayar Yapılandırması
Veri yok.
 
Kullanıcı Yapılandırması
Ayar tanımlanmadı.
 
Gönderildi : 24/03/2016 11:47

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33313
Illustrious Member Yönetici
 

Merhaba, ne tür bir GPO ayarı yapıyorsunuz, yukarıdaki çıktıyı ingilizce olan bir işletim sisteminen alıp paylaşırmısınız lütfen?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/03/2016 21:58

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Merhaba Hakan Bey ,

Bilgisayarlarda çıkarılabilir diskleri erişimi kapatmıştım. Şimdi bazı ou'larda bu ayarın iptal edilmesi lazım. O sebeple bu ayarları iptal edip tekrar uygulamak istediğimde bu hatayı veriyordu.

Anladığım kadarı ile Bilgisayar yapılandırmasını kabul etmiyordu. Bu sebeple Kullanıcı yapılandırmasında da Çıkarılabilir Disk erişimini Devre Dışı bırakıp tekrar denediğimde GPResult sonucu aşağıdaki gibi oldu. Sistemde İngilizce makine bulunmadığı için malesef şu an ingilizce çıktısını veremiyorum.

  

 

Grup İlkesi Yönetimi
body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
Ayar Yolu:
Açıklama
Bu ayar için açıklama yok.
Şunda Desteklenir:
Kullanılamaz
Grup İlkesi Sonuçları
 
Veri toplanma zamanı: 24.03.2016 11:25:32  
Özet
Bilgisayar Yapılandırması Özeti
Veri yok.
 
Kullanıcı Yapılandırması Özeti
Genel
Kullanıcı adı XXXXXX\xxxxx.xxxxx
Etki Alanı pelsan.local
Grup İlkesinin en son işlendiği zaman 24.03.2016 11:25:12
Grup İlkesi Nesneleri
Uygulanan GPO'lar
Ad Bağlantı Konumu Değişiklik
Pelsan Satış pelsan.local/Satış AD (2), Sysvol (2)
Reddedilen GPO'lar
Ad Bağlantı Konumu Neden Reddedildi
Yok
Grup İlkesi uygulandığındaki Güvenlik Grubu Üyeliği
Yok
WMI Filtreleri
Ad Değer Başvuru GPO'ları
Yok
Bileşen Durumu
Bileşen Adı Durum Son İşlem Saati
Grup İlkesi Altyapısı Başarılı 24.03.2016 11:25:13
Kayıt defteri Başarılı 24.03.2016 11:25:13
 
Bilgisayar Yapılandırması
Veri yok.
 
Kullanıcı Yapılandırması
İlkeler
Yönetim Şablonları
Yönetim Şablonları için veri toplanırken hata oluştu.

Aşağıdaki hatalarla karşılaşıldı:
Ayrıştırılırken bir hatayla karşılaşıldı. Sistem hatası: -2130706429. Dosya C:\Windows\PolicyDefinitions\tr-TR\inetres.adml, satır 3, sütun 236
 
Gönderildi : 25/03/2016 11:56

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Hakan Bey, 

RSOP Sonucu ise,

 

Bu sebeple aşağıdaki kodları çalıştırıp tekrar gpupdate /force yaptım ama sonuç yine değişmedi.

 

net stop winmgmt

pause

c:

cd c:\windows\system32\wbem

rd /S /Q repository

regsvr32 /s %systemroot%\system32\scecli.dll

regsvr32 /s %systemroot%\system32\userenv.dll

mofcomp cimwin32.mof

mofcomp cimwin32.mfl

mofcomp rsop.mof

mofcomp rsop.mfl

for /f %%s in ('dir /b /s *.dll') do regsvr32 /s %%s

for /f %%s in ('dir /b *.mof') do mofcomp %%s

for /f %%s in ('dir /b *.mfl') do mofcomp %%s

mofcomp exwmi.mof

mofcomp -n:root\cimv2\applications\exchange wbemcons.mof

mofcomp -n:root\cimv2\applications\exchange smtpcons.mof

mofcomp exmgmt.mof

 
Gönderildi : 25/03/2016 12:00

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33313
Illustrious Member Yönetici
 

Merhaba,

Bu bilgiler ne yazık ki anlamlı değil, bu nedenle istemci makineden olay günlüklerini kontrol etmeniz gerekli.

Burada hangi event ID leri kontrol edeceğiniz yazılıdır

https://itworldjd.wordpress.com/2014/03/10/gpo-troubleshooting-using-log-files-on-win7-and-win-2008-r2/

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/03/2016 23:23

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Merhaba,

Bu bilgiler ne yazık ki anlamlı değil, bu nedenle istemci makineden olay günlüklerini kontrol etmeniz gerekli.

Burada hangi event ID leri kontrol edeceğiniz yazılıdır

https://itworldjd.wordpress.com/2014/03/10/gpo-troubleshooting-using-log-files-on-win7-and-win-2008-r2/

 

 

Merhaba Hakan Bey,

Önerdiğiniz makaledeki eventları incelediğimde herhangi bir hata döndürmemekte. İşlemlerin başarı ile yapıldığı bilgisini görüyorum.

Şu an tek sorunum Group Policy ile kapattığım Çıkarılabilir Aygıtlara Yeniden Erişimin Sağlanmasıdır. Bu işlemi Group Policy Dışında Kayıt Defterinden yapmamız mümkün mü ?

Saygılarımla

 
Gönderildi : 29/03/2016 14:10

(@AydinOzkapici)
Gönderiler: 12
Active Member
 

Merhaba

İlgili GPO üstüne gelip " Delegation " kısmında sağ altta " Advanced " kısmına gelip GPO yu almalarını istemediğiniz kullanıcıları ekleyerek " Read " ve " Apply group policy " ye Deny vermeyi denediniz mi? Daha güzeli AD de örnğin Removable Disk Write diye bir security grup yaratın bu gruba ilgili GPO yu çekmesini istemediğiniz kullanıcıları ekleyin  az önce tarif ettiğim yere bu grubu ekleyerek Deny ı grup için verin. Daha sonra sadece gruba kullanıcı ekleme çıkarma yaparak yönetimde kolaylık sağlamış olursunuz. İşlem sonunda tabiki gpupdate /force .
Kolay gelsin.

 
Gönderildi : 29/03/2016 14:32

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Merhaba

İlgili GPO üstüne gelip " Delegation " kısmında sağ altta " Advanced " kısmına gelip GPO yu almalarını istemediğiniz kullanıcıları ekleyerek " Read " ve " Apply group policy " ye Deny vermeyi denediniz mi? Daha güzeli AD de örnğin Removable Disk Write diye bir security grup yaratın bu gruba ilgili GPO yu çekmesini istemediğiniz kullanıcıları ekleyin  az önce tarif ettiğim yere bu grubu ekleyerek Deny ı grup için verin. Daha sonra sadece gruba kullanıcı ekleme çıkarma yaparak yönetimde kolaylık sağlamış olursunuz. İşlem sonunda tabiki gpupdate /force .
Kolay gelsin.

 

Aydın Bey Merhaba,

Dediğiniz işlemleri yaptım. Ama malesef yine bir sonuc alamadım. 

Kullanıcıyı Local Admin grubuna alıp Çıkarılabilir Diskleri Kontrol ettiğimde yine erişim yok. Erişim Engellendi şeklinde hata veriyor. 

Şimdilik ilk amacım kullanıcıların Çıkarılabilir Disklere erişimini sağlamaktır.

Kullanıcı bilgisayarında Administrator hesabı ile açtığımda herhangi bir problem yok.

 
Gönderildi : 29/03/2016 15:24

(@AydinOzkapici)
Gönderiler: 12
Active Member
 

Diski yasakladığınız GPO ya benzer yasaklama içeren başka bir GPO olabilir mi yapınızda? GPO eziliyor olabilir mi yani. Diğer GPO larınızı kontrol edermisiniz? Bir de sadece ilgili OU ya aynı yasaklamaları Disable eden bir GPO hazırlayıp uygulamayı dener misiniz?

Kolay gelsin.

 

 
Gönderildi : 29/03/2016 16:10

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Aydın Bey,

Diski yasakladığımız GPO'yu sildikten sonra ilgili OU için Yasağı Disable eden bir GPO hazırlayıp uyguladık. Şu an GPO sadece tek bir OU için uygulanıyor. Yeni yaptığımız GPO'da Parola İlkelerinde değişiklik yaptık ve sorunsuz bir şekilde uygulandı. Ama disk için erişim bir türlü kalkmadı. Rsop ile kontrol ettiğimizde invalid namespace şeklinde uyarı veriyor. GPResult /H komutu ile kontrol ettiğimizde GPO uygulanmış gözüküyor.Ama nedense bir türlü yasaklı olan diskler tekrar erişime açılmıyor.

Farklı bir kullanıcı da Kullanıcı Profillerini silip domainden çıkarıp tekrar dahil ettik ama yine aynı şekilde erişim engellendi.

Farklı bir kullanıcıda ise Local Admin verdim yine olmadı.

 
Gönderildi : 29/03/2016 17:32

(@AydinOzkapici)
Gönderiler: 12
Active Member
 

Tekrar merhaba;

GPO silme ile ilgili bir konu daha önce forumda tartışılmış. http://www.cozumpark.com/forums/thread/282444.aspx  
Yasaklama yaptığınız policyi direk silmenizden kaynaklı bir sorun yaşıyorsunuz gibi bir algı oluştu bende. Acaba aynı policyi aynı şekliyle tekrar basıp,herkesin çekmesini sağladıktan sonra; policyi çekmesini istemediğiniz kişileri ilk cevabımdaki gibi Deny etseniz ya da tam tersi policyi basarak ( ilgili OU ya ) sonucu gözlemleseniz istediğiniz sonucu alır mısnız? Benzer bir durumu bir test userında ve test OU de deneyeceğim yarın. Sonucu paylaşırım. Ama bence siz de bir deneyin...

Kolay gelsin.

 
Gönderildi : 01/04/2016 03:12

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Merhaba Aydın Bey,

Kusura bakmayın. Bu bilgiyi atlamışım. Yalnış hatırlamıyorsam GPO uyguladıktan sonra ters GPO yu basmadan direk OU'dan kaldırdım. Daha sonrasında bu şekilde sorunlar olunca GPO'dan kaynaklandığını düşündüğüm için GPO'yu silip yenilerini oluşturarak denemeler yaptım.

GPO konusunda bir özellik daha öğrenmiş bulunuyorum 🙂 Önceki GPO'da nasıl bir ayar yaptığımı açıkçası hatırlamıyorum. Bu durumda ne yapmam gerekir.

 
Gönderildi : 01/04/2016 16:14

(@AydinOzkapici)
Gönderiler: 12
Active Member
 

Merhaba;

http://www.cozumpark.com/blogs/windows_server/archive/2014/11/30/windows-server-2012-r2-gpo-ile-usb-disk-yasaklama.aspx  

Yukardaki makale referans olacaktır. Ayrıca, Computer bazlı uyguladıysanız " Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access " , User bazlı uyguladıysanız " User Configuration/Policies/Administrative Templates/System/Removable Storage Access " 

Kolay gelsin.

 
Gönderildi : 05/04/2016 20:52

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Aydın Bey,

 

Cevabınız için teşekkür ederim. Vermiş olduğunuz linkteki dosyayı malasef indiremiyorum. Bu dosyayı indirebileceğimiz başka bir yer var mı ?

Ben daha önceden yasaklama yaptığım için bu adresteki şlemlerin tersini yapmam yeterlidir diye düşünüyorum. 

Saygılarımla

 
Gönderildi : 08/04/2016 13:38

(@AydinOzkapici)
Gönderiler: 12
Active Member
 

Öncelikle;

" Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access " , User bazlı uyguladıysanız " User Configuration/Policies/Administrative Templates/System/Removable Storage Access " 
den deneyerek herkese yeniden yasaklama yapan bir GPO linkleyin ve herkesin çekmesini bekleyin. Sonra Delegation dan yukarda bahsettiğim şekilde GPO yu almasını istemediğiniz kişiler için ayar yapın. Bunu bir deneyin.

Client tarafında GPEDIT.MSC. ile de policy i kontrol edebilirsiniz. Bu yollada durumu düzeltebilirsiniz.
Run > gpedit.msc
Computer Configuration  > Administrator Templates > System > Removable Storage Access
ya da
User Configuration  > Administrator Templates > System > Removable Storage Access

Kolay gelsin.

 

 
Gönderildi : 08/04/2016 22:12

(@SebahattinYUREKLi)
Gönderiler: 9
Active Member
Konu başlatıcı
 

Aydın Bey,

Geç cevap verdiğim için kusura bakmayın. Her türlü denemeyi yaptım. Gpo client 'ta uygulanıyor. GPresult ile bunu görebiliyorum. Ama client bilgisayarda herhangi bir usb belleğe girmeye çalıştığımızda Bu aygıta erişim izniniz yok şeklinde hata veriyor.

Öncelikle;

" Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access " , User bazlı uyguladıysanız " User Configuration/Policies/Administrative Templates/System/Removable Storage Access " 
den deneyerek herkese yeniden yasaklama yapan bir GPO linkleyin ve herkesin çekmesini bekleyin. Sonra Delegation dan yukarda bahsettiğim şekilde GPO yu almasını istemediğiniz kişiler için ayar yapın. Bunu bir deneyin.

Client tarafında GPEDIT.MSC. ile de policy i kontrol edebilirsiniz. Bu yollada durumu düzeltebilirsiniz.
Run > gpedit.msc
Computer Configuration  > Administrator Templates > System > Removable Storage Access
ya da
User Configuration  > Administrator Templates > System > Removable Storage Access

Kolay gelsin.

 

 
Gönderildi : 03/05/2016 18:28

Paylaş: