Group Policy Preferences ve GPO Kavramları
GPO Preferences, mevcut GPO içerisinde yapabildiğimiz ayarların genişletilmesini sağlayan bir eklentidir. İlk olarak Windows 2008 ile beraber hayatımıza girmiştir. Varsayılan GPO ayarları ile yönetemediğimiz bazı ek ayarları yapmamızı sağlar.
Varsayılan olarak Windows Vista SP2 ve sonrası istemci makinelerinde çalışmaktadır. Ancak bundan önceki sürümler için yani Server 2003, XP ve Vista Sp1 için indirilebilir ek paketler yer almaktadır ( client side Extension – cse )
GPO Preferences ile gelen ek ayarlardan birkaç tanesi aşağıdaki gibidir;
Folder Options
Drive Maps
Printers
Scheduled Tasks
Services
Start Menu
GPO ile ilk olarak 17 Şubat 2000 tarihinde tanıştık. O zamandan beri hep aynı mimariyi kullandığımız için sonradan gelen bu Preferences biraz kafa karıştırıyor. Mevcut GPO ayarlarından farkı nedir?
GPO, bir kullanıcı – makine için uygulandığında bu değişiklik sürekli olarak uygulanır. Yani varsayılan olarak 90-120 dakikada bir arka planda gpo kontrol edilir ve gpo tarafında bir değişiklik var ise bunu uygular. Eğer bir değişiklik yok ise tekrar tekrar uygulamaz. Ancak bunun istisnası, bir GPO içerisindeki security ayarları her 16 saat te bir uygulanır. Yani tekrar ve tekrar uygulanır. ( birisi bunun ile gelen ayarları değiştirir ise, örneğin lokal admin hakkına sahip bir kullanıcı, 16 saat sonra bu ayarlar tekrar uygulanır )
Ancak GPO içerisindeki her şey yasaklama olarak algılanmaması gerekmektedir. Öneri, tavsiye niteliğinde ayarlar bulunmaktadır.
Yani tüm makine veya kullanıcılar için bir base line oluşturmak istiyorsunuz, ancak bu oluşturulan base line kesin çizgiler ile çizilmiş kurallar içermiyor. Yani bir nevi varsayılan ayarlar. Ama kullanıcı ister ise bu varsayılan ayarları değiştirebilir. İşte bu noktada devreye Preferences giriyor.
Preferences’ a baktığınız zaman geleneksel GPO ayarları gibi oluşturulur, OU ya bağlanır, kullanıcı veya makine için ayrılır. Yani bu noktalarda her şey varsayılan klasik gpo ayarları gibidir.
Yukarıda gördüğünüz gibi örnek Prerefences ayarlarını görmektesiniz. Aslında aklınıza şu gelebilir, bir logon script hepsine bedel. Evet, logon script ile aslında yukarıdaki işleri yapabilirsiniz ama bu işler için hızlıca script yazmak veya olası bir hata sonu sisteme zarar verme durumları söz konusudur.
GPP ayarlarına baktığınız zaman geleneksel GPO ayarlarından farklıdır. Geleneksel ayarlarda “Enabled/Disabled/Not Configured” gibi ayarları görüyorken GPP içerisinde bunları göremezsiniz.
GPP kullanmaya başlamadan önce dikkat etmeniz gereken bazı temel kurallar vardır.
Bunlardan ilki şirket organizasyonu içerisinde bir logon script var mı? Malum GPP ile zaten bu işi son derece kolay bir şekilde yapabileceğiniz için logon script ile çakışma olmaması için eğer mümkün ise logon script ile yaptıklarınızı GPP üzerinde ayar değişikliği yaparak devam ettirebilirsiniz.
İkinci adımda ise henüz logon script ile yapmadığınız ama GPP ile kolayca yapabileceğiniz ve bu sayede kullanıcı destek servisine gelecek çağrıları düşürebileceğiniz ayarların listesini çıkarabilirsiniz.
Üçüncü adımda ise yine kullanıcı destek servisine gelen çağrılara göre kullanıcıların sıklıkla yaptığı hatalar noktasında aksiyon alabilirsiniz. Örneğin şu kutucuğu mutlaka işaretleyin veya işaretlemeyin noktasında. Bir nevi kullanıcılar için bir baseline oluşturabilirsiniz.
Yine GPP sayesinde yukarıda da bahsettiğim gibi baseline oluşturmak istiyorsanız, bu durumda bu baseline için kullanacağınız ayarların sadece bir kere uygulanmasını sağlayabilirsiniz. Bu sayede kullanıcılar için örnek makine ve kullanıcı GPP leri hazırlarsınız, ancak şart olmayan ayarlar için tekrar çalışma seçeneğini aktif etmeyerek size önerilen ayarlar bunlardır deriz, ama kullanıcı isterse yetkisi dahilinde GPP ile yapılan değişiklikleri kendisine göre kişiselleştirebilir.
Yukarıdaki “Appl once and do not reapply” kutucuğunu işaretlemeniz halinde bu ayar tek bir sefer uygulanır.
GPO ve GPP arasındaki temel farklar aşağıdaki gibidir;
GPO
Bir kullanıcı kendisine uygulanan GPO kapsamı dışına çıkar ise yani, örneğin OU değiştirmesi gibi, bu durumda GPO ile set edilen değerler varsayılan değer olarak geri döner.
GPO ile bir uygulama için bir değer atanmış ise, yani bir ayar yapılmış ise bu ayar GPO kapsamı dışına çıkılmadığı sürece kullanılmaya devam eder.
GPO ile yönetilen uygulamaların ara yüzlerinde kullanıcının ayarları değiştirme şansı yoktur. Kullanıcılar ilgili pencereleri açtığı zaman gri olarak görmektedir.
GPP
Bir kullanıcı GPO kapsamı dışına çıksa bile bu GPO içerisinde GPP ayarları hala kalmaya devam eder, yani varsayılan değerine geri dönmez. Bunu kapsam dışına çıkmadan önce sistem yöneticisinin değiştirmesi gerekmektedir.
GPP ile bir uygulama için bir değer atanmış ise, bu değer atanmadan önceki kullanıcı tarafından tanımlanmış değer kaybedilir. Yani atanmış değer geçerli olur ve bir önceki değeri geri getirme şansınız yoktur.
GPP ile yapılan değişiklikler sonucunda kullanıcı tarafında etkileşim hala devam eder. Yani gri ekran gibi kullanıcının bu ayarı değiştirmesini engelleyen bir durum söz konusu değildir.
Ancak yukarıdaki durumların istisnaları vardır.
Örneğin GPO nun kapsam dışına çıkması durumunda GPP üzerinden yapılan değişikliğin de geri alınması için bazı GPP içerisinde “Remove this item when it is no longer applied” şeklinde bir seçenek vardır.
Yine GPP ile bir uygulama için bir değer atadınız, ancak bu değeri atadığınız GPP üzerindeki aşağıdaki kutucuğu işaretlediniz;
Remove this item when it is no longer applied
Bu durumda GPP, yani GPO kapsam dışına çıkar ise bu uygulama için varsayılan değer atanır, yani kullanıcının set ettiği değer uygulanmaz.
GPP tarafından set edilen ayarlar kullanıcılar tarafından değiştirililebilir demiştik, ancak yine GPP üzerinde aşağıdaki kutucuğu işaretlerseniz;
Apply once and do not reapply
Kullanıcı ayarı değiştirse bile GPO background Refresh süresi olan 90 – 120 dk arasında bu değeri tekrar ayarlayacaktır.
Yukarıdaki bilgiler ışığında bir yasaklama, yönlendirme vb merkezi yönetim yapmak istiyor ancak bunu GPO ile mi yoksa GPP ile mi yapmalıyım noktasındaysanız aşağıdaki şema size yardımcı olacaktır.
Bu tablo sayesinde artık şirket organizasyonunuz da GPO mu yoksa GPO ile bize sunulan GPP mi kullanacağımıza karar verebiliriz.