Hepimiz biliyoruz ki Microsoft un yeni işletim sistemlerinde en çok güvenliği ön plana çıkarıyor, şüphesiz ki Domain ortamında güvenlik deyince ilk akla gelen “Grup İlkeleri” oluyor ve Microsoft yeni işletim sistemlerinde eski grup ilkelerini oldukça geliştirmiş ve de genişletmiş.
Bu Makalemde sizlere yeni sürüm işletim sistemlerinde ki gpo dosyalarının farklarını ve olası çakışmaların önlenmesi için neler yapılması gerektiğini anlatacağım.
Daha önceleri .adm formatında olup sadece kendi platformunda çalışabilen group ilkesi dosyaları ( En fazla notepad ile açabiliyorduk ki bu bizim düzenlememiz için düşünülmüş değil [ Her ne kadar fantezi yaparak düzenleyen arkadaşlarımız olsa da ], sadece notepad in herhangi bir dosya ile uyumlu olabilecek en basit program olmasından kaynaklanıyor. )
Artık .admx formatında ve xml programlarıyla görüntülenebiliyor.
Dosyaların arasında ki en büyük ve önemli fark ise şu .adm yani önceki işletim sistemlerinin kullandığı GPO uzantıları sadece orijinal yani işletim sisteminin kendi varsayılan dilini kullanırken .admx dosyaları belirtebileceğimiz farklı türdeki dillerde güncellenebiliyor, bu da .admx in hem “default language” hem de “specified language” desteği olduğunu gösteriyor.
Bununla beraber tabi ki GPO dosyalarının yerinin de değiştiğini hemen belirtmekte fayda var daha önce %systemroot%inf konumunda bulunan dosyalar artık %systemroot%policyDefinitions klasöründe bulunmaktadır ve aşağıda ki örnekte olduğu gibi varsayılan dilaltında bütün GPO dosyalarının tamamın bir kopyası bulunmaktadır.
Dosyaların içerik farklılıkları hakkında bir ön bilgi sahibi olduktan sonra birçok kişinin duymaktan hoşlanmadığı bir kelime geliyor aklımıza “implementasyon”, peki neden ?, tabi ki yeni işletim sistemleri gelir gelmez eskileri çöpe atacak değiliz ve biliyoruz ki her geçiş döneminde olduğu gibi uyumsuzluklar yaşanacaktır, ama en çok uyumsuzluk yaşayacağınız noktalardan biri de yine en çok kullanacağınız “Grup ilkeleri” nden kaynaklanacaktır.
Açıkçası yeni sürüm işletim sistemine sahip server ve client lar eklemeden önce eski server ve client larımızın burada bahsettiğim yeni ayarlar ve dosya türlerinde etkilenmemesini düşünmek olanaksız.
Pekâlâ, bu noktada ne yapacağız, .adm dosyalarının uzantılarını .admx olarak mı dönüştüreceğiz, kesinlikle hayır ( Ama örnekleri mevcut. ), tahmin ettiğiniz gibi Longhorn ve Vista da bulunan GPO editor ler Longhorn, Vista, Server 2003, 2000 ve Xp de kullanılan .adm dosyalarını düzenleyebilecek şekilde tasarlanmıştır. (adm yi düzenlemek de ne anlama geliyor diyorsanız Gpo objelerini ara yüzden modifiye ederken bu dosyaların üzerine yazıyorsunuz demek oluyor, örnek olarak, domain ortamında ki kullanıcıların Windows movie maker ı kullanmalarını yasaklamak için GPO ayarlarını yapılandırdınız, sonuç olarak ilgili .adm dosyasını aşağıda ki gibi yapılandırmış oldunuz.
———————————————-
CATEGORY !!MovieMaker
POLICY !!MovieMaker_Disable
#if version >= 4
SUPPORTED !!SUPPORTED_WindowsXPSP2
#endif
EXPLAIN !!MovieMaker_Disable_Help
KEYNAME “SoftwarePoliciesMicrosoftWindowsMovieMaker”
VALUENAME “MovieMaker”
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
—————-
Şimdi örnek bir yapı oluşturalım, yalnız ondan önce eğer “file replication service” in transfer zamanını beklemek istemiyorsanız bu yapıyı Pdc üzerinde oluşturmanızı tavsiye ederim.
Aşağıda ki yapıyı oluşturmaktaki amaç Longhorn ve Vista nın 2000-2003 ve Xp de ki gibi her bir grup policy için ayrı ayrı klasörler açmaması yani bunu tek bir merkezi klasörde toplaması ve bizim de merkezi bir klasörler grubu oluşturarak aynı domain de ki DC lerin de tek tek kendi içinde dosya oluşturması yerine aynı merkezi kullanması ve dosyaları bu dizinden replike etmesi.
İlk başta belirttiğim gibi klasörleri aşağıda ki gibi açalım.
%systemroot%sysvoldomainpoliciesPolicyDefinitions
%systemroot%sysvoldomainpoliciesPolicyDefinitionsEN-US
Daha sonra varsayılan klasördeki dosyaları almanız için önceden hazırlanmış Xcopy komutunu kullanabilirsiniz. ( Bat olarak kaydedebilir ya da direk komut satırına kopyalayabilirsiniz. )
CD C:
Xcopy %systemroot%PolicyDefinitions* %systemroot%sysvoldomainpoliciesPolicyDefinitions
Xcopy %systemroot%PolicyDefinitionsen-us* %systemroot%sysvoldomainpoliciesPolicyDefinitionsen-us
Daha sonra gpmc.msc komutu ile Proup Policy Object Editor u açın ve yeni bir GPO oluşturun , objeyi modifiye edip kapatın ve dosyanın yeni formatta modifiye edildiğini kontrol edin.
Ve additional server ın üzerinde replike olan eşdeğer dosyaları kontrol edersek :
Böylece Eski sistem Gpo dosyalarınızı kaybetmeden ve ya yeni dosyalarla çakışmalara uğramadan kullanabilirsiniz.
Bir Başka Server 2008 makalesinde daha görüşmek üzere…