GPO Hakkında

Ou bazlı password policy yapamazsınız. Bu domain bazında olur ancak bazı kullanıcılara yine basit parola politikası uygulamak isteseniz bunu fine granied password policy özelliği ile yapabilirsiniz.

http://www.cozumpark.com/blogs/windows_server/archive/2011/10/30/windows-server-8-fine-grained-password-policies-fggp.aspx

Ou bazlı password policy yapamazsınız. Bu domain bazında olur ancak bazı kullanıcılara yine basit parola politikası uygulamak isteseniz bunu fine granied password policy özelliği ile yapabilirsiniz.

http://www.cozumpark.com/blogs/windows_server/archive/2011/10/30/windows-server-8-fine-grained-password-policies-fggp.aspx

Cevap için teşşekkürler Rıza Bey, peki password policy dışında başka hangi ana işlemleri sadece default domain policy üzerinden yapabiliyoruz?

Yanılmıyorsam bu durum sadece password policy için geçerli zaten bu durum yüzünden Fine Granied Password Policy özelliği geliştirildi. Büyük kurumlarda sorun yaşatıyordu.

Yanılmıyorsam bu durum sadece password policy için geçerli zaten bu durum yüzünden Fine Granied Password Policy özelliği geliştirildi. Büyük kurumlarda sorun yaşatıyordu.

verdiğiniz bilgiler için çok teşekkürler tekrardan. gerçekten çok yararlı oldu. yaptığım denemelerde FGPP üzerinden kullanıcı ve grup bazlı özel password policy ayarları belirledim ve sıkıntısız çalıştı. Anladığım kadarıyla sadece kullanıcı ve grup bazlı yapabiliyoruz bunu. ben denemelerimi Server 2008 R2 de yaptım. peki bu işlemi yeni sürümlerde (örn:server2012) ou bazlı olarak gene yapamıyormuyuz? ya da üçüncü parti bir yazılımla sadece ou bazlı yapmak mümkün değil mi?

Merhaba,

2012 ve 2016 üzerinde bu özellik geliyor.

Dahada kolaylaştırılmış durumda. Dediğim gibi bu durum şu an mümkün değil ancak fgpp gibi kolay bir özellik varken 3.rd yazılıma gerek yok.

Zaten artık günümüzde önemli olan şey standardizasyon ve güvenlik. Bu nedenle basit parolalar verine uzun ve karmaşık parola kullanımına insanları alıştırmak olmazsa olmaz.

Merhaba, sanal ortamda (virtualbox) test ve öğrenmek amaçlı DC ve Client Pc kurdum. Domain ortamı oluşturdum ve client pc yi domain üyesi yaptım. Muhasebe isimli bir OU oluşturdum ve içerisinde ayrıca bir user oluşturdum. OU ya bir GPO oluşturdum. Buraya kadar sıkıntı yok. Muhasebe GPO 'si üzerinde exe kısıtlamaları yaptım gayet iyi çalışıyor buraya kadarda sıkıntı yok. Fakat, Muhasebe GPO üzerinde "Password Policy" ayarlarını yaptığımda ayarlar bir türlü aktif olmadı. "Password Policy" için hep "Default Domain Policy" i baz aldı. Örneğin "Muhasebe GPO" üzerinde şifreleme oluştururken minimum 5 karakter olarak ayarladım. Ama kullanıcı şifre oluştururken "Deafult Domain Policy" yi baz alarak minimum 7 karakter oluşturmama izin verdi. "Default Domain Policy" yi disable etsemde, blocklasamda, Minimum Password Length seçeneğini "Not Defined" yapsamda bir şey değişmedi. Yani Muhasebe GPO üzerindeki seçenekleri bir türlü algılamadı ve Default Domain Policy de ne ayarladıysam sadece onu kabul etti.

- Bazı policy lerde sadece "Deafult Domain Policy" yi mi baz alıyor? Bunu değiştirebiliyormuyuz, değiştirebiliyorsak nereden yapılıyor.

- Bunun gibi, sadece "Default Domain Policy" den ayar aldığı başka policy ler var mı?

- Her oluşturduğum OU ya ayrı ayrı Pasword Policy uygulayabilirmiyim?

• Bazı policy lerde sadece "Deafult Domain Policy" yi mi baz alıyor? Bunu değiştirebiliyormuyuz, değiştirebiliyorsak nereden yapılıyor.

Def. Domain Policy' nin altında yarattığınız policy' e sağ click Enforce derseniz, def. domain policy yerine son yaptığınız geçerli olur. Default' un diğerlerini ezmesi gibi bir durum geçerli değil yani.

• Bunun gibi, sadece "Default Domain Policy" den ayar aldığı başka policy ler var mı?

Hayır yok. Hangi objeyi nereye basarsanız o geçerli olur.

• Her oluşturduğum OU ya ayrı ayrı Pasword Policy uygulayabilirmiyim?

Uygulayabilirsin. Bunun için OU'ların altına, ayrı password policy uygulamak istediğin kullanıcıları taşıyıp policy' i enforce etmen gerekir. "A" OUsunun içine ahmeti, "B" OUsunun içine mehmeti taşımak ve A' ya X policysini, B' ye de Y policysini ayrı ayrı uygulamak gibi yani. Aksi halde kendine en yakın OU' da hangi policy hangisiyse o kural geçerli olur. 

Son olarak, kuralların düzgün geçerli olması için, clientlar tarafından isim çözümlemenin doğru yapıldığına, SYSVOL klasörüne olan erişimin düzgün olduğuna dikkat edelim ve gpupdate /force ' u unutmayalım.

Merhaba, sanal ortamda (virtualbox) test ve öğrenmek amaçlı DC ve Client Pc kurdum. Domain ortamı oluşturdum ve client pc yi domain üyesi yaptım. Muhasebe isimli bir OU oluşturdum ve içerisinde ayrıca bir user oluşturdum. OU ya bir GPO oluşturdum. Buraya kadar sıkıntı yok. Muhasebe GPO 'si üzerinde exe kısıtlamaları yaptım gayet iyi çalışıyor buraya kadarda sıkıntı yok. Fakat, Muhasebe GPO üzerinde "Password Policy" ayarlarını yaptığımda ayarlar bir türlü aktif olmadı. "Password Policy" için hep "Default Domain Policy" i baz aldı. Örneğin "Muhasebe GPO" üzerinde şifreleme oluştururken minimum 5 karakter olarak ayarladım. Ama kullanıcı şifre oluştururken "Deafult Domain Policy" yi baz alarak minimum 7 karakter oluşturmama izin verdi. "Default Domain Policy" yi disable etsemde, blocklasamda, Minimum Password Length seçeneğini "Not Defined" yapsamda bir şey değişmedi. Yani Muhasebe GPO üzerindeki seçenekleri bir türlü algılamadı ve Default Domain Policy de ne ayarladıysam sadece onu kabul etti.

- Bazı policy lerde sadece "Deafult Domain Policy" yi mi baz alıyor? Bunu değiştirebiliyormuyuz, değiştirebiliyorsak nereden yapılıyor.

- Bunun gibi, sadece "Default Domain Policy" den ayar aldığı başka policy ler var mı?

- Her oluşturduğum OU ya ayrı ayrı Pasword Policy uygulayabilirmiyim?

• Bazı policy lerde sadece "Deafult Domain Policy" yi mi baz alıyor? Bunu değiştirebiliyormuyuz, değiştirebiliyorsak nereden yapılıyor.

Def. Domain Policy' nin altında yarattığınız policy' e sağ click Enforce derseniz, def. domain policy yerine son yaptığınız geçerli olur. Default' un diğerlerini ezmesi gibi bir durum geçerli değil yani.

• Bunun gibi, sadece "Default Domain Policy" den ayar aldığı başka policy ler var mı?

Hayır yok. Hangi objeyi nereye basarsanız o geçerli olur.

• Her oluşturduğum OU ya ayrı ayrı Pasword Policy uygulayabilirmiyim?

Uygulayabilirsin. Bunun için OU'ların altına, ayrı password policy uygulamak istediğin kullanıcıları taşıyıp policy' i enforce etmen gerekir. "A" OUsunun içine ahmeti, "B" OUsunun içine mehmeti taşımak ve A' ya X policysini, B' ye de Y policysini ayrı ayrı uygulamak gibi yani. Aksi halde kendine en yakın OU' da hangi policy hangisiyse o kural geçerli olur. 

Son olarak, kuralların düzgün geçerli olması için, clientlar tarafından isim çözümlemenin doğru yapıldığına, SYSVOL klasörüne olan erişimin düzgün olduğuna dikkat edelim ve gpupdate /force ' u unutmayalım.

Merhaba Alper Bey, ou ya bağlı policy için "enforced" seçtiğimde "Password Policy" ou bazlı değişmiyor. Gene Default domain policy den alıyor. Fakat örnek vermek gerekirse; OU ya ait policy 'den run yasakladığımda ou içerisindeki kullanıcılara etki ediyor. Fakat bunda gene "enforced" desemde demesemde aynı sonucu alıyorum. SEçiliykende seçili değilkende run yasaklı oluyor.

Yani özetlemek gerekirse; Password Policy politikaları haricindeki ayarları "enforced" seçsemde seçmesemde kendine en yakın gpo olan, bulunduğu OU 'nun policy ayarlarını alıyor kullanıcı. Enforced hangi durumlarda kullanılıyor anlamadım. Test ettiğim server 2008 R2. Kullanıcı windows7 dir.

Password Policy durumlarında OU bazlı uygulayamazsınız. Enforced bu policy baskın olsun durumunda kullanılır.

Selam,

Gerekirse uygun olduğunuzda bakalım.

Rıza, gpo durum ayrımı yapmaz 🙂 Muhtemelen arkadaşın uyguladığı policyde OU/User karışıklığı söz konusu. Yada ilgili policy apply olmuyor.

Selam,

Gerekirse uygun olduğunuzda bakalım.

Rıza, gpo durum ayrımı yapmaz 🙂 Muhtemelen arkadaşın uyguladığı policyde OU/User karışıklığı söz konusu. Yada ilgili policy apply olmuyor.

Alper Bey, karışıklık olabileceğini düşünmüyorum. çünkü test amaçlı yaptığım sıfır bir domain yapısı ve sadece tek bir OU oluşturdum. Bu da muhasebe OU 'sudur. Bu muhasebe OU 'na da kendi adında gpo oluşturdum. Yani default domain policy ve muhasebe policy var sadece. Zaten OU için oluşturduğum policy de yaptığım değişiklik, OU 'da bulunan kullanıcıyı etkiliyor ve sorunsuz çalışıyor. Çalışmasında sıkıntı yok. Sadece  "enforced" seçsemde-seçmesemde OU için oluşturduğum policy baskın oluyor. Yani "enforced" seçmek neyi değiştiriyor, hangi konuda baskınlık oluşturuyor onu anlamadım. ("Password Policy" ayarlaması hariç tabi) Bu birincisiydi.

İkinciside OU bazlı password oluşturamıyorsun. Grup ve kullanıcı bazlı "Password Policy" ayarı yapabiliyorsun sadece. Onu yapmak içinde Rıza Bey 'in dediği gibi "Fine Granied Password Policy" özelliğini kullanmak gerekiyor.

Benim testlerimde çıkan sonuçlar ve tecrübelerim bunlar, yanlışım varsa düzeltin lütfen. Aksi durum varsa testlerimin amacına ulaşması adına öğrenmek isterim.

Doğrudur ben yanilmisim dostum 🙂