group policy

Active Directory'de, bir grup kullanıcının ya da bir grup bilgisayarın ayarlarını merkezi olarak değiştirmek için kullanılan altyapı.

Group Policy (GP) ile, kullanıcıların logon script'lerini değiştirebilir, desktop'larını kısıtlayabilir, merkezi olarak yazılım kurabilirsiniz.

GP, 3 alanda uygulanabilir.

  1. Site
  2. Domain
  3. Organizational Unit

Site uygulaması çok yaygın değildir, genelde uygulama Domain ve OU bazında olur.

Best Practices:

  • Uygulamak istediğiniz genel ayarları (herkeste aynı wallpaper olması gibi) en tepeden, mesela domain seviyesinden verin. Istisna yapmanız gerekirse, altta OU seviyesinde yaparsınız.
  • GP, sadece kullanıcı ve bilgisayarlara uygulanabilir. Bu yüzden, ayar uygulamak istediğiniz kullanıcıları ve bilgisayarları mantıksal şekilde ayrı OU'larda toparlayın. Mesela, hem Server hem de İstemci, temelde bir bilgisayardır. Ama Server'ların güvenlik ihtiyaçları ile, İstemcilerinki çok farklıdır. Bu ayarları GP ile vereceğinize göre, Server bilgisayarları için bir OU, Istemci bilgisayarları için başka bir OU açın ve GP'yi bu mantığa göre ayrı ayrı uygulayın.
  • Yaygın bilinen bir yanlışın aksine, gruplara GP uygulanamaz.
  • Group Policy uygulanma sırası şudur: Local Policy -> Site -> Domain -> OU. Ayarlarda çakışma varsa, en son uygulanan geçerlş olur.
  • Bu nedenle, en kuvvetli'den policy OU seviyesinde uygulanandır. Local Policy'ye doğru gider.. (Yukarıdakinin tersi sıra)
  • Tepeden policy uygulandığı zaman, bundan etkilenmemesi gerekenlerin bulunduğu bir OU var ise, "Block Inheritance" işaretlenerek bu OU korunabilir. Bu özellik, tepeden hiçbir policy'nin etki etmemesini sağlar.
  • Bunun tek istisnası, policy'nin "Enforce" özelliğinin açılmasıdır. Bir Policy'de "Enforce" (Zorla Uygula) işaretli ise, altta "Block Inheritance" işaretli bile olsa tepeden gelenler ezer.