Forum
Merhaba,
Server üzerinde GPO Policiy oluşuturarak bazı engellemeler yaptım. Policy üzerinde değişiklik yaptığımda kullanıcılar değişiklikleri alamıyor. Client domainden çıkarılıp profil listesi silindikten sonra tekrar domaine alındı. Ama sonuç aynı.
RSOP çalıştırırken invalid namespace şeklinde hata alınıyor.
Client üzerinde gpupdate /force komutu başarılı olarak sonuçlanıyor. Gpresult ekran görüntüsü aşağıdadır. Server İşletim Sistemi Windows 2012. Bu konuda yardımcı olabilir misiniz ?
Grup İlkesi Sonuçları | |
XXX\xxxx.xxxx | |
Veri toplanma zamanı: 24.03.2016 08:58:01 |
Kullanıcı adı | XXXXX\xxxxx.senyuva |
Etki Alanı | pelsan.local |
Grup İlkesinin en son işlendiği zaman | 24.03.2016 08:57:05 |
Ad | Bağlantı Konumu | Değişiklik |
---|---|---|
Yok |
Ad | Bağlantı Konumu | Neden Reddedildi |
---|---|---|
Default Domain Policy | pelsan.local | Boş |
Everyone
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
KONSOL OTURUMU AÇMA
NT AUTHORITY\Authenticated Users
NT AUTHORITY\This Organization
LOCAL
S-1-18-1
PELSAN\RemoteUser
Zorunlu Etiket\Orta Zorunlu Düzey
Ad | Değer | Başvuru GPO'ları |
---|---|---|
Yok |
Bileşen Adı | Durum | Son İşlem Saati |
---|---|---|
Grup İlkesi Altyapısı | Başarılı | 24.03.2016 08:57:06 |
Merhaba, ne tür bir GPO ayarı yapıyorsunuz, yukarıdaki çıktıyı ingilizce olan bir işletim sisteminen alıp paylaşırmısınız lütfen?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba Hakan Bey ,
Bilgisayarlarda çıkarılabilir diskleri erişimi kapatmıştım. Şimdi bazı ou'larda bu ayarın iptal edilmesi lazım. O sebeple bu ayarları iptal edip tekrar uygulamak istediğimde bu hatayı veriyordu.
Anladığım kadarı ile Bilgisayar yapılandırmasını kabul etmiyordu. Bu sebeple Kullanıcı yapılandırmasında da Çıkarılabilir Disk erişimini Devre Dışı bırakıp tekrar denediğimde GPResult sonucu aşağıdaki gibi oldu. Sistemde İngilizce makine bulunmadığı için malesef şu an ingilizce çıktısını veremiyorum.
Grup İlkesi Sonuçları | |
Veri toplanma zamanı: 24.03.2016 11:25:32 |
Kullanıcı adı | XXXXXX\xxxxx.xxxxx |
Etki Alanı | pelsan.local |
Grup İlkesinin en son işlendiği zaman | 24.03.2016 11:25:12 |
Ad | Bağlantı Konumu | Değişiklik |
---|---|---|
Pelsan Satış | pelsan.local/Satış | AD (2), Sysvol (2) |
Ad | Bağlantı Konumu | Neden Reddedildi |
---|---|---|
Yok |
Ad | Değer | Başvuru GPO'ları |
---|---|---|
Yok |
Bileşen Adı | Durum | Son İşlem Saati |
---|---|---|
Grup İlkesi Altyapısı | Başarılı | 24.03.2016 11:25:13 |
Kayıt defteri | Başarılı | 24.03.2016 11:25:13 |
Aşağıdaki hatalarla karşılaşıldı: |
---|
Ayrıştırılırken bir hatayla karşılaşıldı. Sistem hatası: -2130706429. Dosya C:\Windows\PolicyDefinitions\tr-TR\inetres.adml, satır 3, sütun 236 |
Hakan Bey,
RSOP Sonucu ise,
Bu sebeple aşağıdaki kodları çalıştırıp tekrar gpupdate /force yaptım ama sonuç yine değişmedi.
net stop winmgmt
pause
c:
cd c:\windows\system32\wbem
rd /S /Q repository
regsvr32 /s %systemroot%\system32\scecli.dll
regsvr32 /s %systemroot%\system32\userenv.dll
mofcomp cimwin32.mof
mofcomp cimwin32.mfl
mofcomp rsop.mof
mofcomp rsop.mfl
for /f %%s in ('dir /b /s *.dll') do regsvr32 /s %%s
for /f %%s in ('dir /b *.mof') do mofcomp %%s
for /f %%s in ('dir /b *.mfl') do mofcomp %%s
mofcomp exwmi.mof
mofcomp -n:root\cimv2\applications\exchange wbemcons.mof
mofcomp -n:root\cimv2\applications\exchange smtpcons.mof
mofcomp exmgmt.mof
Merhaba,
Bu bilgiler ne yazık ki anlamlı değil, bu nedenle istemci makineden olay günlüklerini kontrol etmeniz gerekli.
Burada hangi event ID leri kontrol edeceğiniz yazılıdır
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba,
Bu bilgiler ne yazık ki anlamlı değil, bu nedenle istemci makineden olay günlüklerini kontrol etmeniz gerekli.
Burada hangi event ID leri kontrol edeceğiniz yazılıdır
Merhaba Hakan Bey,
Önerdiğiniz makaledeki eventları incelediğimde herhangi bir hata döndürmemekte. İşlemlerin başarı ile yapıldığı bilgisini görüyorum.
Şu an tek sorunum Group Policy ile kapattığım Çıkarılabilir Aygıtlara Yeniden Erişimin Sağlanmasıdır. Bu işlemi Group Policy Dışında Kayıt Defterinden yapmamız mümkün mü ?
Saygılarımla
Merhaba
İlgili GPO üstüne gelip " Delegation " kısmında sağ altta " Advanced " kısmına gelip GPO yu almalarını istemediğiniz kullanıcıları ekleyerek " Read " ve " Apply group policy " ye Deny vermeyi denediniz mi? Daha güzeli AD de örnğin Removable Disk Write diye bir security grup yaratın bu gruba ilgili GPO yu çekmesini istemediğiniz kullanıcıları ekleyin az önce tarif ettiğim yere bu grubu ekleyerek Deny ı grup için verin. Daha sonra sadece gruba kullanıcı ekleme çıkarma yaparak yönetimde kolaylık sağlamış olursunuz. İşlem sonunda tabiki gpupdate /force .
Kolay gelsin.
Merhaba
İlgili GPO üstüne gelip " Delegation " kısmında sağ altta " Advanced " kısmına gelip GPO yu almalarını istemediğiniz kullanıcıları ekleyerek " Read " ve " Apply group policy " ye Deny vermeyi denediniz mi? Daha güzeli AD de örnğin Removable Disk Write diye bir security grup yaratın bu gruba ilgili GPO yu çekmesini istemediğiniz kullanıcıları ekleyin az önce tarif ettiğim yere bu grubu ekleyerek Deny ı grup için verin. Daha sonra sadece gruba kullanıcı ekleme çıkarma yaparak yönetimde kolaylık sağlamış olursunuz. İşlem sonunda tabiki gpupdate /force .
Kolay gelsin.
Aydın Bey Merhaba,
Dediğiniz işlemleri yaptım. Ama malesef yine bir sonuc alamadım.
Kullanıcıyı Local Admin grubuna alıp Çıkarılabilir Diskleri Kontrol ettiğimde yine erişim yok. Erişim Engellendi şeklinde hata veriyor.
Şimdilik ilk amacım kullanıcıların Çıkarılabilir Disklere erişimini sağlamaktır.
Kullanıcı bilgisayarında Administrator hesabı ile açtığımda herhangi bir problem yok.
Diski yasakladığınız GPO ya benzer yasaklama içeren başka bir GPO olabilir mi yapınızda? GPO eziliyor olabilir mi yani. Diğer GPO larınızı kontrol edermisiniz? Bir de sadece ilgili OU ya aynı yasaklamaları Disable eden bir GPO hazırlayıp uygulamayı dener misiniz?
Kolay gelsin.
Aydın Bey,
Diski yasakladığımız GPO'yu sildikten sonra ilgili OU için Yasağı Disable eden bir GPO hazırlayıp uyguladık. Şu an GPO sadece tek bir OU için uygulanıyor. Yeni yaptığımız GPO'da Parola İlkelerinde değişiklik yaptık ve sorunsuz bir şekilde uygulandı. Ama disk için erişim bir türlü kalkmadı. Rsop ile kontrol ettiğimizde invalid namespace şeklinde uyarı veriyor. GPResult /H komutu ile kontrol ettiğimizde GPO uygulanmış gözüküyor.Ama nedense bir türlü yasaklı olan diskler tekrar erişime açılmıyor.
Farklı bir kullanıcı da Kullanıcı Profillerini silip domainden çıkarıp tekrar dahil ettik ama yine aynı şekilde erişim engellendi.
Farklı bir kullanıcıda ise Local Admin verdim yine olmadı.
Tekrar merhaba;
GPO silme ile ilgili bir konu daha önce forumda tartışılmış. http://www.cozumpark.com/forums/thread/282444.aspx
Yasaklama yaptığınız policyi direk silmenizden kaynaklı bir sorun yaşıyorsunuz gibi bir algı oluştu bende. Acaba aynı policyi aynı şekliyle tekrar basıp,herkesin çekmesini sağladıktan sonra; policyi çekmesini istemediğiniz kişileri ilk cevabımdaki gibi Deny etseniz ya da tam tersi policyi basarak ( ilgili OU ya ) sonucu gözlemleseniz istediğiniz sonucu alır mısnız? Benzer bir durumu bir test userında ve test OU de deneyeceğim yarın. Sonucu paylaşırım. Ama bence siz de bir deneyin...
Kolay gelsin.
Merhaba Aydın Bey,
Kusura bakmayın. Bu bilgiyi atlamışım. Yalnış hatırlamıyorsam GPO uyguladıktan sonra ters GPO yu basmadan direk OU'dan kaldırdım. Daha sonrasında bu şekilde sorunlar olunca GPO'dan kaynaklandığını düşündüğüm için GPO'yu silip yenilerini oluşturarak denemeler yaptım.
GPO konusunda bir özellik daha öğrenmiş bulunuyorum 🙂 Önceki GPO'da nasıl bir ayar yaptığımı açıkçası hatırlamıyorum. Bu durumda ne yapmam gerekir.
Merhaba;
Yukardaki makale referans olacaktır. Ayrıca, Computer bazlı uyguladıysanız " Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access " , User bazlı uyguladıysanız " User Configuration/Policies/Administrative Templates/System/Removable Storage Access "
Kolay gelsin.
Aydın Bey,
Cevabınız için teşekkür ederim. Vermiş olduğunuz linkteki dosyayı malasef indiremiyorum. Bu dosyayı indirebileceğimiz başka bir yer var mı ?
Ben daha önceden yasaklama yaptığım için bu adresteki şlemlerin tersini yapmam yeterlidir diye düşünüyorum.
Saygılarımla
Öncelikle;
" Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access " , User bazlı uyguladıysanız " User Configuration/Policies/Administrative Templates/System/Removable Storage Access "
den deneyerek herkese yeniden yasaklama yapan bir GPO linkleyin ve herkesin çekmesini bekleyin. Sonra Delegation dan yukarda bahsettiğim şekilde GPO yu almasını istemediğiniz kişiler için ayar yapın. Bunu bir deneyin.
Client tarafında GPEDIT.MSC. ile de policy i kontrol edebilirsiniz. Bu yollada durumu düzeltebilirsiniz.
Run > gpedit.msc
Computer Configuration > Administrator Templates > System > Removable Storage Access
ya da
User Configuration > Administrator Templates > System > Removable Storage Access
Kolay gelsin.
Aydın Bey,
Geç cevap verdiğim için kusura bakmayın. Her türlü denemeyi yaptım. Gpo client 'ta uygulanıyor. GPresult ile bunu görebiliyorum. Ama client bilgisayarda herhangi bir usb belleğe girmeye çalıştığımızda Bu aygıta erişim izniniz yok şeklinde hata veriyor.
Öncelikle;
" Computer Configuration/Policies/Administrative Templates/System/Removable Storage Access " , User bazlı uyguladıysanız " User Configuration/Policies/Administrative Templates/System/Removable Storage Access "
den deneyerek herkese yeniden yasaklama yapan bir GPO linkleyin ve herkesin çekmesini bekleyin. Sonra Delegation dan yukarda bahsettiğim şekilde GPO yu almasını istemediğiniz kişiler için ayar yapın. Bunu bir deneyin.Client tarafında GPEDIT.MSC. ile de policy i kontrol edebilirsiniz. Bu yollada durumu düzeltebilirsiniz.
Run > gpedit.msc
Computer Configuration > Administrator Templates > System > Removable Storage Access
ya da
User Configuration > Administrator Templates > System > Removable Storage AccessKolay gelsin.