Bu yazımdan önce Powershell v2 ile Active Directory Yönetimi isimli bir yazım olmuştu. Yazı dizimize devam ediyoruz. Burada Group Policy modülüne değineceğiz.
Biliyorsunuz ki Group Policy yönetimi için Group Policy Management konsoldan faydalanıyoruz. Biz bu işlemleri Power Shell ile yapmak istiyorsak biraz zahmetli görünebilir ama emin olun çok hoşunuza gidecektir. Powershell ile GPO oluşturulması, GPO ayarları (registry-based GPO ayarları), GPO’nun istediğimiz OU’ya linklenmesi, GPO security ayarları gibi birçok işlemi Power Shell ile yönetmek mümkün.
Test için Windows Server 2008 R2 Hyper-v platformunu kullandım.
Lab ortamımızda bulunan makinemiz;
Domain : nwtraders.msft
DC makine adı: testdc.nwtraders.msft
DC ip adresi : 10.11.27.245 /24
DC mizde Group Policy Management konsolunu bir görelim.
Resim-1
Şu anda tanımlanmış ve uygulanmış herhangi bir Group Policy objesi bulunmamaktadır. Sadece default policy objelerini görmekteyiz.
Öncelikle powershell’e Group Policy modülünü yüklemeliyiz.AD için ihtiyacımız olan cmdlet’ler de varsa AD modülünü yüklemeliyiz.
Resim-2
Yeni bir Group Policy objesi oluşturalım.
Resim-3
Henüz hiyerarşinin herhangi bir yerine link’lenmemiş bir GPO’muz oldu.
Resim-4
Şimdi ise içerisinde bir kaç ayar yapalım. Mesela control panele erişim engellemek, wallpaper sabitlemek, start menüye ekleyip çıkarmak gibi… Yani oluşturduğumuz GPO üzerinde editleme işlemi yapalım. Set-GPRegistryValue komutu ile ilgili bilgi alalım.
Resim-5
Group Policy ayarlarını yapmaya başlayalım. Yani uygulayacağımız Group Policy ayarının aslında registry de ki yerini ve değerini belirtmemiz gerekecek (aslında arka planda yapılan ayarlar ). Group Policy’de yaptığımız ayarların registry value’ları ile ilgili MS Download Center’da reference haricinde doküman bulamadım. Fakat registry.pol dosyasını yorumlayan bir tool ile bu işlemi gerçekleştirdim. GPO reference dokümanından da istediğiniz değerleri edinebilirsiniz.
http://www.microsoft.com/download/en/details.aspx?id=25250
Önceden örneğin desktop wallpaper sabitleyince aslında registry de nasıl bir değer giriliyor diye baktım. Sonra da bunu powershell ile uyguladım. Sonucu ilerleyen satırlarda,
Desktop wallpaper belirleme;
Resim-6
Wallpaper fill (yani masaüstünü tam kaplaması) için;
Resim-7
Control Panel e erişimi engelledim;
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoControlPanel ( reference’a bakarsanız da yolu bulmak zor değil)
Resim-8
Klasik Start Menu ayarı;
Resim-9
Start Menuye logoff butonu ekleme;
Resim-10
Start Menuye Run ekleme;
Resim-11
Ctrl + Alt + DEL ile Task Manager a erişimi engelleme;
Resim-12
Ve ayarlardan sonraki işlem;
Resim-13
Şimdi nw_test GPO sunu test ou’suna linkleyelim.
Resim-14
Test OU’su içindeki kullanıcılardan yada gerekiyorsa bilgisayarlardan faydalanarak, yapılandırmamızın çalıştığını gözleyebiliriz.
Buna karşın her Group Policy objesi için de registry değerleri bulamayabilirsiniz. Örneğin; User Rights Assisgnments , Kerberos , Audit , Password , Accounts: Rename administrator account , Network access: Allow anonymous SID/Name translation , Network security: Force logoff when logon hours expire , Prevent local guests group from accessing application log gibi policy objeleri ( security key’ler) registry anahtarları değildir. Shell tarafı ve scripting bir bakıma hayal gücünüzler sınırlı değil mi?
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Technet , GPO Reference Guide