Forest ya da Domain yapınız içerisinde Admin görevini üstlenmiş kişileri Group Policy yaratma, düzenleme, silme gibi işlemler için kategorilere ayırmak bugüne kadar hep olmasını istediğimiz özelliklerden bir tanesiydi. Örneğin bazı admin hesaplarına sadece tüm policy’leri görme hakkını atarken, diğer bir admin’e tüm policy’leri görme ve düzenleme hakkını verebilirsiniz. Tabi bunları gerçekleştirirken yapılan tüm işlemlerin geri dönülebilir olması da işin güzel yanlarından sadece bir tanesi. Peki nedir bu mucizevi program!
Tabi ki Microsoft Desktop Optimization Pack (MDOP) içerisinde gelen Advanced Group Policy Management (AGPM) aracı. AGPM için yazacağım iki makalenin ilki olan bu makalede ürün ile ilgili kurulum ve genel bilgileri vermeye çalışacağım.
Bu araç ile neler yapabiliyoruz listeleyelim:
ü Adminler arasında yetkilendirme
ü GPO’da yapılan tüm değişikliklerin eventviewer (olay görüntüleyicisi)’da listelenmesi
ü Offline ve online policy yaratabilme
ü GPO’da yapılan bir değişikliğin restore edilebilmesi
ü Silinen policy’lerin geri alınabilmesi
ü Yaratılacak policy’ler için daha önceden hazırlanmış template’lerin kullanılabilmesi
ü İki policy arasındaki farkları HTML ya da XML olarak görüntüleyebilme
ü History özelliği ile policy üzerinde yapılan tüm değişiklikleri ve hangi admin’in yaptığının görüntülenmesi
Kurulum öncesi dikkat edilmesi gerekenler ise, şu anki versiyonla Microsoft Vista SP1’li sistemlere kurulum yapılamazken, SP1’siz sistemlerde sorun bulunmuyor. Ayrıca Windows XP SP2’li sistemlere de kurulum mümkün değil, yakın zamanda gelecek olan SP3 ile birlikte kurulum gerçekleştirilebilecek. Ayrıca kurulum yapılacak sistemlerde Group Policy Management Console’un (GPMC) mutlaka kurulu olması gerekiyor. GPMC’u burayı klikleyerek indirebilirsiniz.
AGPM’in iki tane setup’ı bulunuyor, bunlardan ilki sunucu üzerinde TCP 4600 portunu açan ve kurulan sisteme bir servis atan AGPM Server. Diğeri ise yukarıda bahsettiğim tüm yönetim işlerinin yapılabileceği arayüzü sağlayan AGPM Client. Standart bir kurulum için DC’lerinizden bir tanesine AGPM Server kurup diğer tüm adminlerinizin bilgisayarlarına AGPM Client’i yükleyip gerektiği ölçüde yetkilendirme gerçekleştirebilirsiniz. Yetkilendirme için kullanabileceğiniz üç tane rol bulunuyor:
· Reviewer: Yaratılan tüm policy’leri görebilen ve policy’ler arası kısaylama yapabilen rol. Düzenleme ve deploy etme hakkı bulunmuyor
· Editor: Yaratılan tüm policy’leri görebilen, policy’ler arası kıyaslama yapabilen, policy’leri düzenleyebilen rol. İşlemler için administrator’a istek yapmak gerekiyor.
· Approver: Herhangi bir yetki isteği gerçekleştirmeden policy’ler ile ilgili her türlü değişikliği yapmaya yetkisi olan rol.
Bu bilgilerden sonra artık kurulum işlemine geçelim. DC üzerine hem AGPM Server hem de AGPM Client kurulumunu gerçekleştireceğim. Daha sonrasında yapınızda bu iş için görevlendirdiğiniz her sisteme AGPM Client’ın yüklemesini gerçekleştirebilirsiniz.
1. MDOP paketi içerisindeki AGPM’e ulaşın ve ilk linke klikleyin.
Şekil-1
2. Lisans sözleşmesini kabul ederek Next’e klikleyin ve Application Path penceresinde kurulumun yapılacağı klasörü belirleyin.
3. Archive Path penceresinde tüm GPO bilgisinin ve verisinin tutulacağı klasörü belirleyin ve Next ile devam edin.
Şekil-2
4. AGPM Service Account penceresinde eğer AGPM Server rolünü sadece bir tane DC üzerinde kullanacaksanız Local System’i seçerek devam edebilirsiniz. Fakat birden fazla DC ya da member bilgisayar üzerinde AGPM Server rolünü yapılandıracaksanız bu noktada yetkili bir hesap seçerek ilerlemeniz gerekmektedir.
Şekil-3
5. Archive Owner penceresinde tüm operasyon için full-control vermek istediğiniz kullanıcı ya da grubu belirtin, bu adımda belirtilen kullanıcı ya da grup daha sonrasında arayüzden değiştirilebiliyor. Standart bir kurulumda Administrators grubunu kullanabilirsiniz.
6. Install diyerek AGPM Server kurulumunu bitirin ve AGPM Client kurulumunu gerçekleştirmek için MDOP paketi içerisindeki AGPM’e ulaşın ve ikinci linke klikleyin.
Şekil-4
7. Lisans sözleşmesini kabul ederek Next’klikleyin ve Application Path penceresinde kurulumun yapılacağı klasörü belirleyin.
8. AGPM Server penceresinde az önce kurduğunuz AGPM Server’ın FQDN’ini belirtin.
Şekil-5
9. Install diyerek kurulumu bitirin.
Bir sonraki makalemde kurulum sonrası konfigürasyonu inceliyor olacağız. Belki de en çok dikkat edilmesi gereken nokta ise, birden fazla AGPM Server kurulduğunda birbirleriyle senkron çalışmıyorlar ve oluşturulan archive (tüm GPO verisi) sadece yetkili AGPM Server’da tutuluyor. Aynı organizasyonda AGPM Client’ı hem Windows Vista kurulu sisteme hem de Windows Server 2003’e kurduğunuzda GPO’daki bazı alanlar (Folder redirection, Wireless Network 802.11, Wireless Network 802.3, Deployed Printers) Server 2003 ile uyuşmadığı için sıkıntı yaşanabiliyor.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
