Bazı durumlarda AD etki alanı içerisinde çalışan bilgisayarlar üzerindeki yerel gruplara hangi hesapların üye olabileceğini belirlemek ve bu listeyi belirli kullanıcı hesapları ile sınırlandırmak isteyebilirsiniz. Örneğin local administrators grubu bu konudaki güzel örneklerden biridir. Local administrators grubu, etki alanı içerisindeki bilgisayarlar üzerinde bulunan en yüksek yetkilere sahip gruptur ve bu grup üyesi kullanıcı hesapları o bilgisayar üzerinde 10 kaplan gücündedir. Yerel administrator hesabı ve etki alanı üyeleri için Domain Admins grubu varsayılan olarak local administrators grubuna üye durumdadır. Özellikle hassas yerel grupların üye listesinde her zaman belirli kullanıcı hesaplarının yer almasını ve bir şekilde manuel olarak liste dışından hesaplar eklendiğinde dahi ilk gpupdate’de ezilip orijinal listeye geri dönmesini istiyorsanız Restricted Groups policy ayarını kullanabilirsiniz. Restricted Groups policy ayarı bir yerel gruba hangi kullanıcı hesaplarının veya hangi grupların üye olacağını veya bu yerel grubun hangi diğer gruplara üye olacağını belirlemek ve sınırlandırmak için kullanılır.
Restricted Groups policy ayarı çok eski Windows sürümlerinde bu yana vardır ama Local Users and Groups policy ayarı kadar kapsamlı ve esnek değildir çünkü sadece belirli bir amaç için kullanılır: yerel gruplara üye yapılan hesapların her zaman aynı kalmasını garanti etmek. Eğer söz konusu yerel grup için tüm istemci bilgisayarlar üzerindeki ihtiyaç (yani üye olan hesaplar listesi veya üye olunan diğer gruplar listesi) aynı ise, bu GPO’dan o gruba yeni bir hesabı üye yapmak için de faydalanabilirsiniz. Ama şunu unutmayın: yeni hesap bu GPO’dan etkilenen tüm bilgisayarlar üzerindeki ilgili gruba üye yapılır ve gönderilen listeyle örtüşmeyen tüm kullanıcı hesaplarının üyelikleri yerel gruptan kaldırılır.
Restricted Groups Policy Nasıl Kullanılır?
Bu GPO’yu merkezi olarak uygulamak için, etkilenmesini istediğiniz bilgisayar hesaplarının bulunduğu OU’ya yeni bir GPO bağlayın ve Computer Configuration > Windows Settings > Security Settings > Restricted Groups yolunu takip ederek Add Group seçin.
Denetim altına almak istediğiniz yerel grubun ismini doğrudan yazabilir veya Browse ile AD yapısından bir Computer Account bulup yerel grub ismini direkt uzak bilgisayar üzerinden de seçebilirsiniz. Daha sonra ise bu gruba üye olmasını istediğiniz hesap ve grupları Members of this group bölümüne, bu grubun üye olmasını istediğiniz grupları This group is a mamber of bölümüne ekleyin.
ⓘ Local Administrators gibi bir grupla ilgili denetim yapmak istiyorsanız varsayılan durumda olması gereken kullanıcı hesabı ve grupları eklemeyi sakın unutmayın. Yukarıdaki örnekte yerel administrator hesabı ve o etki alanına özgü IPW\Domain Admins grubu muhakkak listede olması gereken hesaplardır. IPW\clientadmin hesabı ise benim opsiyonel olarak eklediğim ve tüm bilgisayarlardaki yerel administrators grubuna üye yapılacak yeni hesaptır.
Ardından onaylayarak kapatın. Restricted Groups policy ayarı hazır. Sonucu hemen görmek içinilgili GPO’yu bağladığınız OU içerisindeki bilgisayarlardan birine gidip gpupdate /force
yaparsanız, restart’a gerek olmadan yerel administrators grubunun üyelerinin bu listedekilerle değiştirildiğini görürsünüz. Davranışı görmek adına yine doğrudan o bilgisayar üzerinde yerel administrators grubuna manuel olarak farklı bir hesap üye yapın. Yapılabildiğini göreceksiniz. Ancak ilk gpupdate’de Restricted Groups policy ayarı tarafından bu grubun üye listesi eski haline dönüştürülür.
Group Policy güncelleme (gpupdate) işlemi genellikle aşağıdaki durumlarda tetiklenir.
- Bir bilgisayar açılırken. (boot)
- Bir bilgisayar yeniden başlatıldığında. (restart)
- AD yapısındaki yenileme sıklığına bağlı olarak bir sonraki gpupdate döngüsünde.
- Manuel olarak gpupdate /force çalıştırıldığında.
Restricted Groups policy ayarıyla ilgili aklınızda bulunsun:
- Windows Server 2000’den bu yana vardır. Daha eskiyi anımsayamadım.
- Sadece bilgisayar (computer configuration) bazlı uygulanabilir. Bu sebeple Restricted Groups policy ayarının bağlı olduğu OU altında mutlaka bilgisayar hesaplarının yer alması gerekir.
- Bir yerel grubun üye listesini Restricted Groups policy ile düzenlediğinizde, GPO’dan etkilenen bilgisayarlar üzerindeki bu gruba üye kullanıcı hesap listesi GPO’dan gelen liste ile değiştirilir. GPO ile gönderdiğiniz listede olup da yerel grupta olmayanlar eklenir, listede olmayıp yerel grupta olanlar ise çıkartılır. Yani bu policy ayarı update değil overwrite yaparak çalışır.
Restricted Groups policy ayarının yetenekleri de dahil olmak üzere Local Users and Groups altıdaki neredeyse tüm operasyonel işleri gerçekleştirebilen bir başka GPO ise local users and groups policy ayarıdır.
14.05.2016 - 23:47
Hocam ne yaptıysam bu policy i test ortamımda çalıştıramadım. Server 2012 dc de ilgili policy i oluşturdum ve seçtiğim bir ou ya linkledim. client tarafında win 7 var ve gpupdate /force yapmama rağmen Administrator grubundaki listede değişme olmuyor. Çözemedim gitti bu sorunu