Windows Server21 Mayıs 20268 dakika okuma

Group Policy İleri Seviye: Tasarım, Sorun Giderme ve En İyi Uygulamalar

Group Policy Objects (GPO), Windows altyapısının merkezi yönetim motorudur. Miras zinciri, WMI filtresi, Loopback işlemi, Starter GPO'lar, GPO yedekleme ve gpresult/rsop ile sorun giderme konularını kapsamlı şekilde ele alıyoruz.

Group PolicyGPOActive DirectoryWMI FiltresiLoopbackWindows

Group Policy Temelleri

Group Policy, Active Directory ortamındaki kullanıcı ve bilgisayarlara merkezi yapılandırma uygulamak için kullanılan mekanizmadır. GPO'lar (Group Policy Objects), OU'lara, domain'e veya site'a bağlanarak uygulanır.

Windows'un hemen hemen her ayarı GPO ile yönetilebilir: Şifre politikaları, yazılım dağıtımı, ağ sürücüleri, ekran koruyucu, güvenlik duvarı kuralları, uygulama kısıtlamaları ve daha fazlası.

GPO Uygulama Sırası — LSDOU

Çakışan ayarlar olduğunda GPO uygulama sırası belirleyicidir:

  • L — Local Policy: Yerel bilgisayar politikası. En düşük öncelik.
  • S — Site: AD Site'a bağlı GPO'lar.
  • D — Domain: Domain kök OU'ya bağlı GPO'lar.
  • OU — Organizational Unit: İç içe OU'larda üstten alta doğru uygulanır; en derin OU en yüksek önceliğe sahiptir.

Kural: Sonraki sıradaki GPO öncekini ezer (last write wins). Birden fazla GPO aynı OU'ya bağlıysa link sırası belirleyicidir; en üstteki en yüksek önceliklidir.

Enforce (Zorunlu) ve Block Inheritance

  • Enforce (Zorla): GPO bağlantısına "Enforced" seçeneği eklenince alt OU'ların Block Inheritance ayarını geçersiz kılar. Domain genelinde kritik güvenlik politikaları için kullanılır.
  • Block Inheritance: Bir OU, üst container'lardan gelen GPO miras zincirini keser. Yalnızca doğrudan bağlı GPO'lar ve Enforced GPO'lar uygulanır. Test ortamı OU'ları için kullanışlı.

WMI Filtresi

GPO'yu yalnızca belirli koşulları karşılayan bilgisayarlara uygulamak için WMI sorgusu kullanılır:

  • Yalnızca Windows 11 bilgisayarlara uygula: SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.2%"
  • Yalnızca laptop'lara uygula (dizüstü bilgisayar): SELECT * FROM Win32_SystemEnclosure WHERE ChassisTypes="9" OR ChassisTypes="10"
  • Belirli marka/modele uygula: Enerji yönetimi GPO'larını yalnızca Dell bilgisayarlara uygulama.

WMI filtresi GPO işleme süresini uzatır; karmaşık sorgulardan kaçının.

Loopback İşlemi

Varsayılan davranış: Kullanıcı ayarları, kullanıcının bulunduğu OU'daki GPO'dan alınır. Loopback, bunun yerine bilgisayarın bulunduğu OU'daki GPO'nun kullanıcı ayarlarını da belirlemesini sağlar:

  • Merge Mode: Bilgisayar OU'sundaki kullanıcı ayarları, kullanıcı OU'sununkiyle birleşir; çakışmada bilgisayar OU'su kazanır.
  • Replace Mode: Yalnızca bilgisayar OU'sundaki kullanıcı ayarları uygulanır; kullanıcı OU'su yok sayılır.
  • Kullanım senaryosu: Kiosk, terminal server, sınıf bilgisayarları — hangi kullanıcı giriş yaparsa yapsın aynı kısıtlı ortam.

Önemli GPO Güvenlik Politikaları

Şifre Politikası (Default Domain Policy altında):

  • Minimum uzunluk: 12+ karakter
  • Karmaşıklık: Büyük/küçük harf, rakam, özel karakter zorunlu
  • Şifre geçmişi: Son 24 şifre tekrar edilemez
  • Maksimum kullanım süresi: 90 gün (veya MFA varsa sınırsız)

Hesap Kilitleme Politikası:

  • Hatalı giriş sayısı eşiği: 5 deneme
  • Kilitleme süresi: 30 dakika (admin manuel açabilir)
  • Sayaç sıfırlama süresi: 15 dakika

Audit Policy:

  • Account Logon Events: Başarılı ve başarısız
  • Account Management: Tüm değişiklikler
  • Policy Change: Tüm değişiklikler
  • Object Access: Başarısız (aşırı log üretilebilir; dikkatli kullanın)

Yazılım Dağıtımı (Software Installation)

  • GPO → Computer Configuration → Software Settings → Software Installation: MSI paketleri OU'daki bilgisayarlara otomatik kurulur.
  • Assign (Bilgisayar): Bilgisayar açıldığında otomatik kurulum; kullanıcıya seçenek sunulmaz.
  • Publish (Kullanıcı): Kullanıcı "Programlar ve Özellikler"den isteğe bağlı kurabilir.
  • Yalnızca MSI desteklenir; .exe paketler için dönüştürme veya Intune gibi MDM tercih edilmelidir.

GPO Sorun Giderme Araçları

  • gpupdate /force: GPO'yu hemen uygula (bekleme süresi olmadan).
  • gpresult /r: Mevcut kullanıcı ve bilgisayara hangi GPO'ların uygulandığını gösterir.
  • gpresult /h C: apor.html: Detaylı HTML rapor; hangi ayar nereden geliyor gösterir.
  • RSOP (Resultant Set of Policy): rsop.msc — Grafik arayüzle uygulanan tüm politikaları görüntüler.
  • Group Policy Management Console (GPMC): gpmc.msc — GPO oluşturma, bağlama, modelleme ve raporlama.
  • GPO Modeling: GPMC'de bir kullanıcının belirli bir bilgisayarda hangi politikaları alacağını simüle eder.

GPO Yedekleme ve Sürüm Kontrolü

  • GPMC'den tüm GPO'ları düzenli olarak yedekleyin (haftada bir).
  • GPO değişikliklerini bir ITSM sistemiyle kayıt altına alın; yanlış değişiklik durumunda geri dönüş yapılabilsin.
  • Starter GPO'lar: Sık kullanılan temel ayarları içeren şablon GPO; yeni GPO oluştururken başlangıç noktası olarak kullanılır.
  • Microsoft AGPM (Advanced Group Policy Management): GPO için sürüm kontrolü, onay iş akışı ve check-in/check-out özelliği.

Sonuç

Group Policy, kurumsal Windows yönetiminin en güçlü araçlarından biridir. Doğru tasarım, tutarlı adlandırma ve sorun giderme becerileri, IT yöneticilerinin verimliliğini ve güvenlik duruşunu doğrudan etkiler. Lider Network, AD ve GPO tasarımı, politika denetimi ve Active Directory danışmanlığı konularında hizmetinizdedir.

İlgili Makaleler

Windows Server

Windows Server 2025 Nedir? Yeni Özellikler ve Kurumsal Yenilikler

Oku Windows Server

Windows Server 2022 vs 2025: Hangisini Seçmeli?

Oku Windows Server

Windows Server Active Directory: Kurulum, Tasarım ve En İyi Uygulamalar

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi