Gözlemlediğimiz kadarıyla, Microsoft yeni server ailesi için bir çok özelliğini değiştirdiğini beta sürümünde fark ettik ve merakla tam sürümünü beklemeye başladık. Bana göre gözle görülen ilk değişikliği görüntüsünde yapmış ve kendi kanaatimce bir Server ailesi için hiç de benimsenmeyecek bir görsellik katmış durumda olup, daha önce ki server işletim sistemlerinde olmadığı kadar görsel sölen ile biz sistemcilere sunmaya hazırlanmakdadır. Bu özelliğini ileride çok tartışılacağını tahmin ettiğim için belirtmek istedim.
Makalemizde değinecek olduğumuz konu Server ile Group Policy Uygulamasıdır. Uygulamaya geçmeden önce Goup Policy hakkında kısaca bilgi vermek isterim ki Domain ortamı olan bir networkde merkezi bir server üzerinden Client bilgisayarların hemen hemen bütün security işlemlerini, özelleştirmelerini, program yüklemelerini, client ve kullanıcı kısıtlamalarını vb.. bir çok yönetimsel işlemlerimizi yapmış olduğumuz ve bir sistem kurulumu sırasında olmaz ise olmaz yapılandırmalarımızın başında gelmekte olan uygulamalardır. Bir kullanıcı, bir grup, bir domain ortamının ihtiyaç duyduğu hemen hemen bütün işlemleri gerçekleştirebileceğimiz bir yönetim aracıdır. Aynı şekilde bu uygulamaları Windows Xp Professionel işletimine sahip bireysel bilgisayarlarımızda uygulayabilmekteyiz.
Sağlamış olduğu bir çok kolaylık ile bir çok yönetimsel işlemlerimizi tek elden yapan, iş yükümüzü hafifleten Policy Uygulamaları yukarıda ki resimde de görüldüğü gibi yeni server işletim sistemi olacak olan Windows Server 2008 içerisinde bulunmamaktadır..
Default olarak, ilk kurulumu ile birlikte gelen mevcut policy Local Securty Policy’sidir. Zaten bu local seurty policy’sine ulaşabilmemiz için her hangi bir Domain ortamına da gerek yoktur.
Local Securty Policy’ler bir bilgisayar için gerekli olan ( server olması zorunlu değildir ) bütün güvenlik ayarlarını içermektedir. İlk kurulduğu zaman Microsoft tarafından belirlenen yapılandırma bilgisayarımıza uygulnmış olarak hazır gelir.
Bu policye ihtiyaç duymamızın nedeni ise bir takım güvenlik ayarlarına ihtiyaç duymamız ve kullanım, yapılandırmamız için gerekli olan haklardan ileri gelmektedir. Domain ortamı kuruldukdan sonra bu policy’miz Domain Controller Policy’si ile yer değiştirmektedir.
Server 2008 ile birlikte default olarak gelen bu iki Policy haricinde üçüncü bir policy uygulama şansımız bulunmamakta olup, yeni bir OU oluşturduğumuz zaman 2000 ve 2003 server ailelerin de olduğu gibi bu konteynır için, kendi belirlemiş olduğumuz özel bir uygulama yapabilmek üzere her hangibir Group Policy Uygulaması bulamamaktayız.
Bulamamaktayız diyerek yeni server işletim sistemimiz içerisinde Group Policy uygulamaları yapamamaktayız anlamına gelmemektedir. İşte bu noktada ek bir bilgi vererek Microsoft firmasının kendi gözlemlemiş olduğum çalışma mantığını sizler ile paylaşmak istiyorum.
Bilindiği gibi Microsoft firması yeni bir ürün ve/veya ürünün yeni sürümlerini piyasaya çıkartmadan önce bu ürün ile ilgili çalışmalarını BETA adı altında piyasaya sürdüğü gibi, yeni işletim sistemlerinde, yeni yazılımların da yapmak istediği uygulamaları yeni ürünü piyasaya çıkmadan önce, çıkartacak olduğu ürünün bir önceki sürümlerinde değişiklikleri kullanıcıları ile paylaşmaktadır.
Örnek vermemiz gerekirse Windows 98 işletim sistemi piyasaya ilk çıktığı zaman İnternet Explorer 5 ile sürülmüş, daha sonra 5.5 olarak güncellenmiş ve Windows Xp piyasaya çıkmaya yakın İnternet Explorer 6.0’ ın Windows 98 işletim sistemine sahip makinelerimizin üzerine yüklenmesine opsiyonel olarak izin vermiş fakat Windows Xp ile birlikte İnternet Explorer 6.0 kullanmayı mecburi kılmıştır.
Bir başka örnek ise yakın tarihimizde bunu İnternet Explorer 7 de yapmış olup, Windows Xp ürünümüz üzerine tekrardan opsiyonel olarak kurmamıza izin vermiş, beğenmez isek eğer kaldırmamıza ve bir önceki sürüm olan İnternet Explorer 6 ile işlemlerimizi yapmamıza izin vermiş fakat Yeni nesil işletim sistemi olan Vista ile İnternet Explorer 7’ yi kullanmayı mecburi kılmıştır.
Yukarıda vermiş olduğumuz örnekler tamamen konumuzun daha iyi anlaşılması için verilmiş örnekler olup, makalemizde değinecek olduğumuz asıl konumuzun Windows Server 2008 üzerinde bir Group Policy uygulaması yapabilmemiz için gerekli olan Group Policy Management Console’ nin zorunlu olarak yüklenmesi gerektiğini belirmek için verilmiş örneklerdir.
Group Policy Management Console Windows 2003 Server üzerinde bulunan Policylerimizi uygulamakda, policylerimizin yedeğini almamızda, bir policyi uygulamadan önce uygulayacak olduğumuz kullanıcı üzerinde ne gibi değişiklikler oluşacağına dair bizlere daha önceden bilgiler veren Microsoft Ailesinin bir toolu olup, yukarı da belirttiğimiz ve makalemiz içerisinde de değinecek olduğumuz bir çok özelliğine, 3rdParty bir yazılıma ihtiyaç duymaksızın gerçekleştirmemize yardımcı olan bir tool olup, bu toolu Microsofun sitesinden ücretsiz olarak indirebiliyoruz.
Not : Bu tool 2003 SBS Server üzerinde otomatik olarak yüklenmekte olup isteğe bağlı olarak bu toolu program ekle kaldırdan silerek standart policy uygulmaları yapabilmekteyiz.
Yeni Server işletim sistemimizde bu araç olmadan, Local Securty Policy si haricinde herhangi bir Policy değişikliği yapma şansımız bulunmamaktadır. Group Policy Management Console’ mizi yükleyebilmek için Start Administrator Tools Server Manager içine giriyoruz.
Açılan ekranımızda Server Manager Features içerisine girerek add Features bölümünü tıklıyoruz ve bilgisarımız üzerinde yüklü olan veya yüklü olacak olan toolları aramaya başlıyor. Dikkatinizi çekmemi istediğim nokta Windows Server 2008 ile birlikte bir çok yönetimsel işlemlerimizi yapabilmemiz için ayrı ayrı bu özellikleri yüklememiz gerektiğini bilmenizdir. Örnek vermem gerekirse eğer Windows Server Backup Features özelliğini yüklemeden NTBACK-UP toolunun dahi çalışmıyor olmasıdır.
Görüldüğü üzere Serverimiz üzerinde yüklenmeyi bekleyen toplam 35 adet özellik olup biz bunlardan makalemiz gereği Group Policy Management Console yi seçip işlemimize devam ediyoruz.
Active drictory User and Computers bölümü içinde oluşturmuş olduğumuz Fakaonline adında ki OU Group Policy Management Consolu içerisinde görebilmekteyiz. Fakaonline OU içine herhangi bir Group Policy uygulaması yapamadığımız için yukarıda ki resimde görüldüğü üzere boştur.
Serverimiz üzerinde yazımızın başında belirtmiş olduğumuz gibi iki adet policy bulunmakta olup bu policyleri ve daha sonradan kullanıma hazır hale getirecek olduğumuz policyleri Group Policy Object bölümü altında görebiliyoruz. OU lerimiz içerisinde bulunan kullanıcı veya bilgisayarlarımıza harhangi bir policy uygulayabilmemiz için ilk önce bir policy oluşturuyoruz. Yeni bir policy oluşturabilmek için Group Policy Objects bölümü üzerinde sağ tuş tıklayarak NEW GPO kısmını tıklıyor ve açılacak olan ekranda policymizi tanımlayan bir isim atıyoruz.
Görüldüğü gibi Fakaonline OU’ su için uygulamaya hazır hale getirdiğimiz policymizi diğer policylerimizin de barınmış olduğu Group Policy Objects bölümü altında görebiliyoruz.
Oluşturmuş olduğumuz policymiz üzerine tıkladığımız zaman sol tarafda ki bölüm içerisinde policymiz ile ilgili bizlere bilgi verecek ve uygulamlarımızı yapmamızda bizlere yardımcı olacak olan olan dört adet sekme görmekteyiz. Bu sekmelerimiz Scope, Details, Settings, Delegation olup bunları yazımızın ilerleyen kısmında sizler ile paylaşacağım.
Scope bölümü altında uygulamış olduğumuz policymizin bağlı bulunmuş olduğu lokasyonu görebilmekteyiz. Bu lokasyon serverimizin bağlı bulunmuş olduğu Foresti veya Domaini temsil etmektedir. Eğer varsa bu listeye bağlı bulunmuş olduğumuz diğer forest veya domainleride ekleyebilmekteyiz.
Security Filtering bölümü altında bu policymizin kimlere uygulanacağını belirleyebilmekteyiz. Default olarak Authenticated User (Fakaonline OU içinde bulunan ve log on olmayı başaran bütün kullanıcılar) olup, OU içinde bulunan bütün kullanıcılara uygulanacağını görebilmekteyiz. Dilersek bu kullanıcıları uygulamamıza bağlı olarak yni kullanıcılar, gruplar ekleyebilir veya çıkartabiliriz. Bilinmesi gereken en mnemli nokta policylerimizin uygulanmasını istediğimiz kullanıcıların bu policy üzerinde Read ve Apply Group Policy izinlerinin olması gerekmektedir.
WMI Filtering OU içerisinde bulunan belirli bilgisayarlara bu policynin uygulanmasını sağlayabiliriz. Daha önceden oluşturduğumuz Filteringler ile policy uygulamalarımızı kolaylaştırabiliyoruz. Bu filtrelemeye örnek vermemiz gerekirse; Policymiz içerisinde yazılım yükleme policysini aktif hale getirdik ve Ofis Yazılmını Policy ile yüklemek istiyoruz. Clientlerimizin disk kapasitesi yeterli değilse eğer policy yüklemesi sırasında bir takım problemler ile karşı karşıya kalacağız. Ve biz bu problemleri yaşamak istemiyorsak eğer WMI Filtering özelliği ile Disk alanında 500 Mb boş alana sahip olan bütün bilgisayarlara bu policyi uygula. Veya başka bir örnek bu policynin uygulnacak olduğu OU içerisinde bulunan Lenova Marka bilgisayarlara uygulanmsını belirtebiliriz.
Policymiz ile ilgili ikinci sekme ise Details sekmesidir. Bu sekme altında policymiz ile ilgili gerekli bilgileri bulabiliriz. Bu bilgiler Policymizin hangi domain içerisinde olduğunu, ne zaman oluşturulduğunu, düzenlendiğini, GPO anlık olarak durumunu görebilmekteyiz.
Üçüncü sekmemiz olan Settings bölümü altında GPO üzerinde yapmış olduğumuz policyleri rapor halinde görebiliyoruz. Policylerimizi iki bölüm altında ayırmış durumdadır. Bilindiği gibi policylerimizi kullanıcı ve bilgisayar bazlı uygulayabilmekteyiz. Görmüş olduğumuz Computer Configuration (OU içinde bulunan bilgisayarlara uygulanan policy) ve User Configuration (OU içinde bulunan kullanıcılara uygulanan policy) bölümleridir ve herhangi bir policy uygulaması yapmadığımız için No settings defined diyerek çalışma yapılmadığını bizlere belirtmektedir. Yazımızın ilerleyen kısımlarında bir policy uygulaması yapıldıkdan sonra bu bölümde oluşan değişikliği gördüğünüz zaman setting bölümünün amacını daha iyi anlamış olacağız.
Son sekmemiz olan Delegations bölümü altında GPO’ muz üzerinde hangi kullanıcının hangi haklara sahip olduğunu görebiliyoruz. Default olarak
Authentication Users grubuna üye olan kullanıcılarımızın policymizi sadece okumaya,
Domain Admins ve Enterprise Admins grubuna üye olan kullanıcılarımızın policymiz üzrinde her türlü hakka ship olduğunu gibi bilgilerimizi ve bu bölüme atadığımız ve/veya atayacak olduğumuz kullanıcıların ne tür haklara sahip olduğunu kolaylık ile görebilmekteyiz.
Add butonu ile yeni kullanıcılar ekleyebildiğimiz gibi, remove sekmesi ile gerekli kullanıcıları silebiliyoruz.
Group Policy Management Consolunu tanıtmamızın ardından artık Fakaonline OU için Policy uygulamasına başlayabiliriz. Group Policy Objects bölümü altında uygulama yapmak istediğimiz policy üzerinde sağ tuş Edit dememiz yeterlidir.
Karşımıza çıkan ekran tanıdık bir ekrandır ve biraz daha görselleştirmiş halidir. Amacımıza uygun olarak gerekli çalışmamızı yapıyoruz. Her sistemci arkadaşımızın yapması gerekli olan uygulamayı ben de uyguluyorum ve açılış sayfamı http://www.cozumpark.com olarak yapılandırıyorum.
Policymiz ile ilgili gerekli çalışmayı yaptıkdan sonra GPMC üzerinde ilgili OU üzerinde sağtuş Link an Existing GPO butonuna basarak policymizi Fakaonline OU suna bağlıyoruz. (uygulanmasını belirtiyoruz)
Yazımınız geri kalan bölümü içerisinde Settings sekmesi altında, kullanıcı bölümü içerisinde No settings defined yazarken, GPO üzerinde gerekli çalışmayı yaptıkdan sonra aynı bölüm altında uygulamış olduğumuz policylerimizi görebilmekteyiz. Bilgisayar ile ilgili bir policy uygulamadığım için Computer Configuration bölümünde bir değişiklik yok. Uygulamış olduğumuz policyler eğer fazla ise bu bölümde rapor çıkartılırken Generating diye bir yazı belirir ve raporun hazırlandığını görürüz.
Fakaonline OU içerisinde bulunan fkaraalioglu adlı kullanıcı ile oturum açtıkdan sonra policymizin uygulandığını gpresult /r komutu ile görebilmekteyiz.
Group Policy Management Console’ mizin bizlere sağlamış olduğu en büyük avantaj ise uygulamış olduğumuz policylerimizin yedeğini almamızdır. Almış olduğumuz bu yedekler ile geri dönüş yapmamız daha klay hale gelip veya standart bir template hazırlayıp farklı domainlere Restore From Backup butonu ile geri uygulamamız daka kolaylaşıyor.
Yedeklemeyi yukarıda görüldüğü gibi isteğimize bağlı olarak bütün policy uygulamalarımızı yedeklediğimiz gibi sadece ilgili policynin de yedeğini alabilmekteyiz.
Fatih KARAALİOGLU