Bu yazımız da Günümüzde özellikle Büyük ve orta ölçekli birçok Şirket te önemle kullanılan Group Policy nedir neden kullanılır buna değineceğiz ve örnek uygulamalar yapacağız. Konumuza geçmeden Group Policy hakkında Group Policy işleyişi hakkında kısa bir bilgi vermeyi yararlı görüyorum. Group Policy Windows 2000 Windows 2003 Windows XP PRO gibi sistemlerde Yaygın olarak kullanılan Bir Microsoft servisi diyebiliriz. Peki işletim Sistemim Windows XP HOME bu işletim sisteminde Group Policy yok mu? Pek tabi ki var fakat uygulama sırası ve uygulama şekli biraz farklı. Aşağıdaki linkte Windows XP HOME işletim sistemleriyle ilgili Group Policy ayarları nasıl ve nereden yapılır gerekli bilgiyi bulabilirsiniz. http://www.j79zlr.com/gphome.php
Policy Nedir?
Günümüzde bilgisayarlar ev yâda iş ortamlarında çok yaygın olarak kullanılmaktadır. Özellikle internet’in çok geniş kullanımı da göz önüne alındığında bilgisayarların ihtiyaç duyduğu güvenlik göz ardı edilemeyecek bir hal alır. Tabi ki bu söz konusu ettiğimiz güvenlik seviyesi, kurumlar, networkler ve bilgisayarın hangi işlevde kullanılıyor olduğuna bağlı olarak değişiklik göstermektedir. Örnek olarak 10 bilgisayardan oluşmuş ve sadece günlük yazışmalar için kullanılan bir network ile belki binlerce bilgisayardan oluşmuş, bankacılık alanında hizmet veren bir network’un ihtiyaç duyduğu güvenlik seviyesi aynı değildir. İşte bu değişik seviyelerde ki güvenlik ihtiyaçlarını policyler ayarlamaktadır.
Policy’ler, güvenliğin yanı sıra kullanıcıların ihtiyaç duyduğu çalışma ortamlarının yaratılması, kullanıcılara belli bazı hakların verilmesi veya kısıtlanması, kullanıcıların ihtiyaç duyduğu programların kurulması gibi manuel yapıldıklarında çok zaman harcayacak işlemlerin merkezi bir yerden otomatik yapılmasına izin veren yönetimsel araçlar olarak tarif edilebilir.
Policy’nin çalışması obje tabanlıdır. Tıpkı Microsoft Word’ün bilgiyi “doc” uzantılı dosyada saklaması gibi, Policy ile uygulanmasını istediğimiz ayarlar ve kurallar Group Policy Object (GPO) dediğimiz dosyalarda saklanır. Bu bahsettiğimiz kuralların belirlenmesi ve yaratılması için Group Policy Editör’ü kullanırız. Yarattığımız GPO (Group Policy Object) bilgisayar tarafından okunur ve belirtilen ayarlar makine tarafından işlenerek gereken ayarlamalar yapılır.
Genel olarak iki tür policy’nin varlığından söz edebiliriz. Bunlardan ilki tek bir bilgisayar için düzenlenen ve bilgisayarda yerel olarak bulunan policy’dir. İkinci tür Policy domain ortamında merkezi bir yerden (Domain Controller) ayarlanıp birden fazla bilgisayar için düzenleme yapan policy’dir. Bir bilgisayara local (yerel) ve domain policyleri aynı anda uygulanabilir. Ama her zaman domain group Policy yerel policy’e göre üstünlük sağlar. Bu konuya daha sonra tekrar döneceğiz. Şimdi local (yerel) Policy’lerin nasıl çalıştığından ve nasıl düzenlendiğinden bahsedelim
Policy Türleri
Genel olarak iki tür policy’nin olduğu söylenebilir. Local policyler ve domain ortamında bir den çok bilgisayara aynı anda uygulanabilen Group Policy. Uygulanma yöntemi ve hazırlanışı farklı olsa da her iki policy türünün amacı aynıdır. Bilgisayarda security, temel bazı kullanıcı hakları gibi konularda düzenlemeler yapmak. Local policyleri hazırlamak ve uygulamak için Local Group policy, Security Configuration and Analysis gibi araçlar kullanılırken, domain policy’de Active Directory ve Domain Group Policy veya group policy management console tarzı araçlar kullanılır.
Uygulanma Sırası
Policy’lerin uygulanmasının belli bir sırası vardır. Bu sıranın anlaşılması için öncelikle Group Policy Container’in ne olduğunu açıklamamız gerekir. Group Policy Container (GPC) bir policy’nin uygulandığı yerdir. Bu yer Site, Domain ya da Organizational Unit (OU) olabilir. İşte Group Policy’nin uygulanabildiği bu noktalara GPC yani Group Policy Container denir. Bir de domain’den bağımsız olarak her bir bilgisayara uygulanabilen policy vardır ki biz buna Local Policy adını veriyoruz. Kendisine local policy uygulanmış bir bilgisayar aynı zamanda bir Domaine üye olabilir. Üye olduğu domainde içinde bulunduğu container’a göre sırasıyla site, domain, sonrasında OU ve en nihayetinde local policy’lerden etkilenebilir. Farklı policylerin uygulanma sırası sayesinde çıkabilecek karmaşa bir nebze olsun önlenmeye çalışılmıştır. Buna göre her seviyede uygulanmış Policy’nin belli bir sırası vardır. İlk olarak uygulanan policy bilgisayarın local policy’sidir. Daha sonra sırasıyla Site, sonra Domain ve en nihayetinde OU seviyesinde uygulanmış olan policy uygulanır ve her zaman en son uygulanmış olan policy’nin kuralları geçerli kalır. Şayet değişik seviyelerde uygulanmış olan policyler arasında çakışma yoksa yukarıdan aşağıya olmak kaydıyla bütün policyler geçerli olurlar.
Local Policy ler %Systemroot%\System32\GroupPolicy altinda tutulurlar. Domain policy ler Domain tarafından birden çok bilgisayara etki etmesi için uygulanan policy lerdir. Group Policy Container Active Directory de Group Policy Template ler ise %Systemroot%\SYSVOL altinda tutulurlar. Domain policy ler uygulanma sırasına göre Site Domain OU olarak ayrılırlar.
Local policy
Site seviyesinde uygulanmış Group policy
Domain seviyesinde uygulanmış Group policy
OU seviyesinde uygulanmış Group policy
3. Windows Üzerindeki Genel Policy Ayarları
Local Policy (Yerel Policy)
Bir Domaine üye olsun olmasın, bir bilgisayarın güvenlik ihtiyacını yâda belli bazı yerel hakların tanımlanması için local policy’den faydalanırız. Local policy’nin ayarlanmasını ya GPO (Group Policy Object), yâda Template (şablon)leri kullanarak yapabiliriz. Template önceden hazırlanmış değişik seviyelerdeki policy şablonları olarak ifade edilebilir.
Local de kullanılmak üzere Group Policy’i yaratmak için yine MMC konsolundan ulaştığımız Group Policy Object Editör’ü kullanırız. Şimdi bu snap-in’i biraz yakından tanıyalım. Group Policy Objec Editör’ü açmak için:
Start / Run menüsünden MMC yazıp Enter tuşuna basarız.
Açılan boş yönetim konsolunda “File” menüsünden “Add/Remove snap-in” komutunu veririz.
Karşımıza çıkan “Add stand alone Snap-in” iletişim kutusunda “Add” düğmesine basarız (Şekil 1)
Şekil 1
“Add Standalone Snap-in” iletişim kutusunda “Group Policy object Editor”ü seçip “Add” düğmesine basarız. (Şekil 2)
“Select Group Policy Object” iletişim kutusunda “Local Computer” seçili iken “Finish” düğmesine, (Şekil 3) ardından “Close” ve “OK” düğmelerine basarız.
Şekil 3
Karşımıza Local Group policy yönetim konsolu çıkar. (Şekil 4). Buradaki ayarları kullanarak local bilgisayarı yapılandırabiliriz.
Şekil 4
Şekil 4 de göründüğü gibi policy’nin iki ana menüsü vardır; Computer configuration (bilgisayar ayarları) ve User configuration (kullanıcı ayarları). İsimlerinden de anlaşılacağı üzere bilgisayarın kendisi üzerinde yapılacak ayarlar computer configuration kısmından, kullanıcıyı ilgilendiren ve direk kullanıcı göz önüne alınarak yapılacak ayarlamalar ise User configuration’dan yapılır. Computer configuration’da yapılacak bir ayarlama bilgisayarı kullanan kullanıcıdan bağımsız olarak bizzat bilgisayarın kendisine uygulanır. Söz gelimi kendisinde kritik bilgilerin bulunduğu, bu nedenle de yüksek güvenlik gerektiren bir workstation, A ve ya B kullanıcısından bağımsız olarak bir takım güvenlik kurallarını zorunlu olarak isteyebilir. Bu tarz bir ihtiyaç karşısında Computer configuration’da yapılan değişiklik kullanıcıdan bağımsız olarak istenir. Aynı şekilde bir güvenlik ihtiyacı bilgisayara değil de kullanıcının kendisine de uygulanmak istenebilir. Bu durumda güvenlik ihtiyacı sadece user configuration’da ayarlanarak o bilgisayarı kullanabilecek başka kişiler göz ardı edilmemiş olur. Domain ortamında domain üyesi bütün bilgisayarlar, kullanıcıya uygulanmış kuralları Domain Controller’dan alarak kullanıcıya uygularlar. Tabi bu dediğimiz, ileride bahsedeceğimiz policy’ler arasında çakışma yâda Loopback processing söz konusu değilse olur. Şimdi Group Policy Object Editor’ün ana menülerine bir göz atalım.
Computer Configuration
Software Settings: Bu kısım, Group Policy Domain ortamında uygulanıyorsa Policy’nin uygulandığı bilgisayarlara merkezi bir yerden program kurmaya yarar. Local Group Policy’de kullanılmaz.
Windows Settings: Bu bölümde iki alt menü halinde güvenlik ve script çalıştırma ile ilgili ayarlar bulunur.
Scripts (start up/Shutdown): Bu Menü altında bilgisayar başlarken (start up) ve kapanırken (shutdown) bilgisayar tarafından çalıştırılacak scriptler atanabilir.
Security Settings: Bu menü altında Windows’un güvenlik ile alakalı ayarları yapılabilir.
Administrative Templates: Bu bölümde Windows’un Registry tabanlı ayarları düzenlenir. Bilindiği gibi Registry Windows’un kayıtlarının tutulduğu yerdir. Önceden hazırlanmış bazı şablon registry ayarları ile işletim sisteminin bazı fonksiyonları kısıtlanabilir yada nasıl davranacağı belirlenebilir. Sözgelimi kullanıcının ağ ayarlarına ulaşmasına yada Run menüsüne ulaşmasına engel olunabilir. Burada yapılan değişiklikler registry’de HKEY_LOCAL_MACHINE altında gerçekleşir. Normal şartlar altında burada yapılacak değişikliler normal bir registry Editor kullanılarak da elde edilebilir.
Burada registry’in Windows’un çok önemli kayıtlarının tutulduğunu belirtmekte fayda var. İstenmeyen bir değişiklik yanlışlıkla yapılırsa Windows normal bir şekilde başlamayabilir.
User Configuration
Software Settings: Aynı Computer ayarlarında olduğu gibi buradaki menü kullanılarak merkezi bir yerden program kurulumu sağlanır. Tek fark kurulan program bilgisayardan çok kullanıcının user accountuna atanır. Bunun anlamı Group Policy de kendisine program atanan kullanıcı domain içindeki başka bir bilgisayarı kullanmaya başlarsa, atanan programlar kullanıcı tarafından hala ulaşılabilir demektir. Söz konusu programlar kullanıcıyı bir anlamda takip ederler.
Windows Settings: Bu menüden log on/ log off scriptleri, remote installation ile ilgili seçenek ayarları ve Internet Explorer ile alakalı ayarları yapmak mümkündür.
Administrative Templates: Bu menü de registry tabanlı ayarlar ve kısıtlamaların yapıldığı alandır. Burada yapılan değişiklikler registryde Hkey_Current_User altında yapılırlar. Kullanıcıların desktop, start menü gibi ortamlarının düzenlemesi bu kısımdan yapıldığı için burası Group Policy’de çok sık kullanılır.
Domain policy
Bu policy’ler domain’deki container’lardan (Site, Domain, Organizational Unit) uygulanan ve aynı anda birçok bilgisayarı ve kullanıcıyı etkileyen policy’lerdir. Bu policy’ler, sadece domainde uygulandıkları container’ın altındaki bilgisayarları ve kullanıcıları etkiler.
4. Domain Policy’ler Kullanılarak Kullanıcı Ortamının Yönetilmesi
Domain Group Policy’ler aracılığı ile güvenlik ayarları, işletim sisteminin kullanıcıya davranışı ve kullanıcının çalışma ortamını denetleyebiliriz. Domain ortamında Group Policy’nin uygulanması her ne kadar Group Policy Object Editör’den edit edilecek Group Policy seçilerek yapılabilecekse de genelde Active Directory Sites and Services snap-in’i ile Active Directory Users and Computers snap-in’lerinin ilgili yerlerinden hareketle Group Policy Editor’un çağrılması ve gerekli değişikliklerin yapılması şeklinde olur. Yukarıda da anlattığımız gibi Domain Group Policy site, domain ya da OU seviyesinde uygulanabilir. Domain yada OU seviyesinde Group Policy uygulanacaksa Active Directory Users and Computers, eğer site seviyesinde Group policy uygulanacaksa Active Directory Sites and Services kullanılır.
Bir GPO yaratmak için:
Administrative Tools menüsündeki “Active Directory Users and Computer” aracını başlatırız. (Şekil 5)
Şekil 5
GPO uygulamak istediğimiz container’a sağ tıklayıp “Properties” komutunu veririz.
Açılan iletişim kutusunda “Group Policy” sekmesine geliriz. (Şekil 6)
Şekil 6
Bu sekmede:
New: Yeni bir GPO yaratır.
Add: Mevcut bir GPO’yu bu container’a uygulamak için kullanılır.
Edit: Listede, seçili olan GPO’yu yöneten konsolu açar.
Options: GPO seçeneklerini ayarlamak için kullanılır.
Delete: Seçili GPO’yu siler.
Properties: Seçili GPO’nun özelliklerini görüntüler.
Yeni bir GPO oluşturmak için “New” düğmesine basarız.
Oluşan GPO’yu yapılandırmak için “Edit” düğmesini kullanırız.
5. Policy’ lerde Çakışma Durumları ve Miras
Bir bilgisayara iki farklı policy’lerin uygulanabildiğini biliyoruz. Domain Group policy’nin ise üç farklı seviyede uygulanabilir olduğunu. Uygulanan policy’ler arasında çakışma olabilir. Çakışma, (conflict) iki policy’nin aynı seçenek üzerinde iki farklı ayar belirtmesi durumudur. Söz gelimi domain seviyesinde konumlanmış bir policy maximum password age için 15 gün limitini koyarken, daha alt seviyede bulunan bir OU’da aynı limit için 20 gün belirtilmişse iki policy arasında çakışma olmuş demektir. Çakışmanın olması için mutlaka policy’ler arasında seviye farkının olmasına gerek yoktur. Aynı container’a uygulanmış iki policy’de kendi aralarında çakışabilirler. Şimdi çakışma durumunda neler olduğuna bakalım
Üst seviyede konumlanmış bir policy çakışma olmadığı müddetçe bütün ayarlarını alt seviyelerdeki container’lara miras (Inherit) yoluyla geçirir bu durumda çakışma söz konusu değildir. Aynı NTFS permissionlarında olduğu gibi üst seviyedeki policy kurallarını alt seviye container’lara iletir.
Aralarında çakışma olan iki policy arasında her zaman en alt seviyedeki policy’nin kuralları geçerli olur. Söz gelimi OU seviyesindeki policy her zaman geçerli sayılır. Dikkat edilirse burada genelden özele doğru bir tercih söz konusudur. Bilgisayarın local’ine uygulanmış Policy en üst seviyede uygulanmış policy kabul edilerek (local policy’nin domain ile bir ilgisi bulunmadığı ve her hangi bir local adminin local policy oluşturabileceği gerçeğinden hareketle) sırasıyla Site, domain ve nihayet OU sıralaması geçerlidir.
Şayet çakışan policy’ler aynı container üzerindeyse Group Policy’lerin sıralandığı pencerede en üst seviyede listelenen GPO her zaman öncelik alır. Öncelik sırasını değiştirmek için UP ve DOWN tuşları kullanılarak GPO’nun listedeki yerleri değiştirilebilir. (Şekil 7)
Şekil 7
Block, No Override
Bazı durumlarda özellikle büyük ve nispeten çok sayıda GPO’nun uygulandığı domain lerde Group Policy’den istenen sonucun alınması için yukarıda saydığımız kuralların dışına çıkmamız gerekir. Böyle durumlarda işimize yarayacak üç işlem şunlardır
Block: Bazı durumlarda yukarıda anlattığımız policy’nin alt seviyedeki container’lara geçmesini (Inherit etmesi) istemeyebiliriz. Örnek olarak şifrelerin 8 karakterden fazla karakterden oluşmasını zorunlu kılan policy’nin IT bölümünde çalışanların oluşturduğu OU için geçerli olmamasını isteyebiliriz. Böyle bir durumda yapmamız gereken şey üst seviyede bulunan policy’den miras almasını istemediğimiz container üzerinde sağ tıklayıp properties menüsüne geçmek, oradan Group policy tabına geçtikten sonra alt tarafta bulunan “Block Policy inheritance” check box’ını işaretlemek olacaktır. (Şekil 7) Bunu yaptığımızda OU yukarıda bulunan hiçbir policy’den miras almayacaktır
No Override: Yukarıda ki çözüm bize istediğimizi verdi. Yani söz konusu OU için artık şifrelerimiz 8 karakterden daha kısa olabilecektir. Ama aynı şekilde daha üst seviyede bulunan ve mesela IPsec policy tanımlayan başka bir policy olabilir. Yaptığımız çözüm yukarıdan alınan bütün policy’lerin miras yolu ile geçmesini durdurduğu için aynı zamanda IPsec policy’nin de OU’ya miras yolu ile geçmesine engel olacaktır. Bu istenen bir şey değildir. Böyle bir durumda yapılması gereken şey, Block policy inheritance ile engellenemeyecek bir policy oluşturmaktır. Her hangi bir policy’yi No Override özelliği ile donatırsak, alt seviyelerde bulunan bir OU’da Block yapılmışsa dahi, policy geçerliliğini sürdürür ve alt seviye containerlarına Inherit eder. Bir policy’yi No Override yapabilmek için GPO üzerinde sağ tuş ile tıklar, gelen sağ tuş menüsünden “No Override” seçeneğini seçeriz. Böylece policy’yi No Override (ezilemez) yapmış oluruz.
Group policy işleyişi kullanım koşulları hakkında detaylı bilgiye Aşağıdaki linkten erişebilirsiniz.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03mngd/29_s3apb.mspx
Şimdi sıra geldi örnek policy ler yapmaya
Group Policy 20 Örnek Uygulama
İlk olarak uygulayacağımız policy Tüm pc ler de web site Şirket sitesi olsun ve kullanıcılar bunu değiştiremesin. Group policy editor > User Configuration > Windows Settings > Internet Explorer Maintenance > URLs > Important URLs > Customize Home Page URL > buraya
http://cozumpark.com/ yazalim ve ok leyelim .
2. Sıra geldi kullanıcılarımızın bu açılış sayfasını değiştirmelerini engellemeye . Group policy editor > User Configuration > Administrative Templates > Windows Components > Internet Explorer > Disable changing Home page settings > bu policy i enable yaparak ok leyelim .
3. Sıra geldi domain de domain users fakat local de power users olan kullanıcılarımızın Sistem tarihini değiştirmelerini engellemeye .
Group policy editor > Computer Configuration > Windows Settings > security settings > Local policies > user rights assignment > Change the system time > bu policy i editleyerek sistem saatini değiştirme hakkını vermek istediğimiz kullanıcı ve grup ları ekleyebilir .
4. Kullanıcılarımız pc leri domaine dahl etme sayısı olan 10 sayısını sınırsıza çekmek istiyoruz .
Group policy editor > Computer Configuration > Windows Settings > Security Settings > Local policies > User Rights Assignment > Add workstations to domain policy sini aktif ederek istediğimiz kullanıcı ve grup ları buraya ekleyelim
5. Domain Users grubuna üye kullanıcılarımızın terminal oturumları başlatabilmelerini sağlayalım .
Group policy editor > Computer Configuration > Windows Settings > security settings > Local policies > user rights assignment > Allow log on through Terminal Services bu policy i editleyerek terminal servisleri kullanmasını istediğiniz kullanıcı veya grup ları ekleyebilirsiniz
6. Sıra geldi kullanıcılarımıza aygıt sürücüsü kurma hakkı vermeye
Group policy editor > Computer Configuration > Windows Settings > Security Settings > Local policies > user rights assignment > Load and Unload device drivers > buraya istediğimiz kullanıcı ve grup ları ekleyelim .
7. Local Admin grubuna üye olan kullanıcılarımızın Local Area Connection propertis ine girmelerini engelleyelim .
User Configuration > Administrative templates > Network > Network Connections > Prohibit access to properties of a LAN connection > bu policy i editleyerek istediğimiz kullanıcı veya grup ları ekleyelim
8.Ek olarak Enable Windows 2000 Network Connections Settings for Administrators policy sini de enable etmeyi unutmayalım ...
9 .Local Area Connection Statu sunu kullanıcılarımız Enable Disable yapamasınlar .
User Configuration > Administrative Templates > Network > Network Connections > Prohibit Enabling /Disabling Components of a LAN Connection
10.Kullanıcılarımızın Control Panel e erişimlerini yasaklayalım
User Configuration > Administrative Templates > Control Panel > Prohibit access to the Control Panel > bu policy i enable yapmamız yeterlidir .
11. Kullanıcıların My Documents path ini değiştirmelerini engelleyelim .
User Configuration > Administrative Templates > Desktop > Prohibit user from changing My Documents path > bu policy i enable edelim
12. Bilgisayarlar 5 dakika kullanılmadığın da Ekran koruyucu devreye girsin ve password istesin .
User Configuration > Administrative Templates Control Panel > display > Screen Saver > Password Protect the Screen Saver > Screen Saver Timeout > policy lerini editlemeniz yeterlidir örnek olarak Screen Saver Timeout ayarini 300 saniye yapmalısınız
13.Kullanıcıların Wallpaper > Display settings ve Apperance gibi ayarları değiştirmesini engelleyin User Configuration > Administrative Templates > Control Panel > display > Prevent Changing Wallpaper > Hide settings tab > Hide Appearance and Themes tab > bu policy leri enable edelim
14.Kullanıcılarımızda Task manager ı yasaklayalım . User Configuration > Administrative Templates > System > CTRL + Alt + Del Options > Remove Task manager > bu policy i enable edelim
15. Kullanıcılarımızın Masaüstünden My Network Places ikonunu kaldıralım
User Configuration > Administrative Templates > Desktop > Hide My Network Places icon on desktop > bu policy i enable edelim .
16. Bilgi işlem IT calışanlarımız Domain Users grubundalar fakat kendilerine Server Sistemleri resetleme ve Shutdown etme yetkisi vermek istiyoruz
Computer Configuration > Windows Settings > Security Settings > Local policies > User Rights Assignment > Shutdown the system > bu policy enable ederek IT çalışanlarımızı ekleyelim
17.Kullanıcılarımızın Command Prompt yani cmd.exe ye erişimlerini yasaklayalım
Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies > New Software Restriction Policies > Additional Rules > Sağ click > New Hash Rule > Browse diyerek C:\WINDOWS\SYSTEM32\cmd.exe nin yerini belirtmeliyiz .
Ayni işlemi geçerli olabilmesi için User Configuration kısmında da yapmalıyız User Configuration > Windows Settings > Security Settings > Software Restriction Policies > New Software Restriction Policies > Additional Rules > Sağ click > New Hash Rule > Browse diyerek C:\WINDOWS\SYSTEM32\cmd.exe nin yerini belirtmeliyiz .
17.Kullanıcılarımız şifrelerini 3 kez yanlış girdiklerin de kullanıcı hesapları 15 dakikalığına kilitlensin
Computer Configuration > Windows Settings > Security Settings > Account Lockout Policy > Account Lockout threshold policy sini 3 olarak ayarlayalım ve ardından > Account lockout duration süresini 15 dakika olarak ayarlamamız lazım .
18.Kullanıcılarımız Şifreleri Expire olmadan 3 hafta yani 21 gün önceden uyarılsın .
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Interactive logon : Prompt user to change password before expiration : bu policy i editleyerek 21 yapalım .
19 . Kullanıcılarımızın güvenlik nedeniyle son giriş yaptıkları username ler gözükmesin
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Interactive logon : Do not display last user name bu policy i enable edelim .
20.Kullanıcılarımız pc lerine logon olduklarında otomatik olarak outlook express programı Çalıştırılsın .
User Configuration > Administrative Templates > System > Logon > Run these programs at user logon > policy i enable edilmeli ve ardından outlook express programının Program Files klasörünün tam yolu yazılmalıdır.
Evet yaptığımız uygulamalı örneklerle de Group Policy lerin bizler IT Çalışanlarına Merkezi Yönetim Güvenlik ve pratiklik açısından neler kazandırdığını hep birlikte görmüş olduk . Konu ile ilgili verilmesini uygun gördüğüm ek bilgiler ..
Bilgisayar açılısı Sırasında Bilgisayar için düzenlenen Policy ler işlemektedir.
Kullanıcı logon olma sırasında ise kullanıcı için düzenlenen policy ler işlemektedir.
Ayriyeten logon script vb script ler işlemektedir..
Gpupdate
Gpupdate /force
Secedit.exe /refreshpolicy gibi komutlarla policy güncellemeleri yapılabilir .
Bir makalemizin daha sonuna geldik okuyucularımıza faydalı olması açısından elimizden geldiğince tüm bilgileri eksiksiz aktarmaya özen gösterdik Bir sonraki makalem de görüşmek üzere
