Örneğin etki alanınızda Domain Admins grubunu yönetmek istiyoruz. Bu durumda yapılacak işlem önce Domain Admins grubuna üye olacak kullanıcı hesaplarını belirlemek ve Group Policy Management'tan Restricted Groups ayarını girmektir.
Etki alanı için Domain Admins grubu ve yerel makinelerde (etki alanı üyesi) Administrators grubu üyelerini Restricted Groups ile belirleyen iki örnek yapalım.
A- Domain Admins grubu üyelerini Restricted Groups ile belirleme:
Bu işlem için en uygun GPO Default Domain Controller Policy'dir. İsteğe göre yeni GPO'da oluşturulabilir. Yeni GPO oluşturacaksanız, GPO'yu Domain Controller OU'suna eklemelisiniz.
Adım1: Denetim Masası > Administrative Tools > Group Policy Management'i açalım.
Adım2: Default Domain Controller Policy GPO'sunu düzenleme modunda açalım.
Adım3: Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups 'u açalım.
Adım4: Sağ pencerede fare ile sağ tıklayalım Add Group... seçelim.
Adım5: Browse ... butonuna tıklayarak veya doğrudan ETKIALANIADI\Kullanici_Grubu formatında ilgili kullanıcı grubunu yazalım, Örneğin: SIBERBLOG\Domain Admins ve OK butonuna tıklayarak işlemi onaylayalım.
Adım6: Gelen ekranda üst pencereye Members of this group: alanına üye eklemek için sağında bulunan Add... butonuna tıklayalım, Browse ... butonuna tıklayarak veya doğrudan ETKIALANIADI\Kullanici_Adi formatında sıra ile listemizde olan kullanıcıları buraya ekleyelim. Örneğin: SIBERBLOG\sisyon ve OK butonuna tıklayarak işlemi onaylayalım.
NOT: Alt pencereye Adım3'te girilen grubun veya hesabın üye olacağı gruplar yazılır. Örneğimizde alt kısmın boş bırakılması gerekmektedir.
Yapılan ayarlamalar bir süre sonra (en fazla 15 dakika) etki alanına uygulanacaktır. Yapılan değişikliğin hemen uygulanmasını istiyorsanız etki alanında komut satırına gpupdate /force yazabilirsiniz.
NOT2: Bu politika her politika güncellemede (en fazla 15 dakikada bir) Domain Admins grubu üyelerini kontrol edecek, liste dışında bir kullanıcı eklenmiş ise gruptan çıkaracak, listede olan bir kullanıcı yok ise yeniden gruba eklenecektir.
B- Yerel makinede (etki alanı üyesi) Administrators grubu üyelerini Restricted Groups ile belirleme:
Bu işlem için LokalAdminGrup adlı veya kendi belirleyeceğiniz bir adla yeni bir GPO oluşturabilirsiniz. Bu GPO'yu kullanıcı bilgisayarlarının bulunduğu OU'nun altına eklenmelidir.
Adım1: Denetim Masası > Administrative Tools > Group Policy Management'i açalım.
Adım2: LokalAdminGrup adlı yeni bir GPO'sunu ekleyelim.
Adım3: Eklediğimiz GPO'yu düzenleme modunda açalım.
Adım4: Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups 'u açalım.
Adım4: Sağ pencerede fare ile sağ tıklayalım Add Group... seçelim.
Adım5: Doğrudan Administrators grubunu yazalım ve OK butonuna tıklayarak işlemi onaylayalım.
Adım6: Gelen ekranda üst pencereye Members of this group: alanına üye eklemek için sağında bulunan Add... butonuna tıklayalım ve Lokal Admin kullanıcılarını sıra sıra ile ekleyelim. Örneğin: Administrator 'u ekleyelim.
NOT: Alt pencereye Adım3'te girilen grubun veya hesabın üye olacağı gruplar yazılır. Örneğimizde alt kısmın boş bırakılması gerekmektedir.
Adım7: Ayrıca bu bilgisayarda Lokal Admin yetkisine sahip olmasını istediğimiz etki alanı kullanıcı ve grupları var ise onları da ekleyebiliriz. Bunun için Browse ... butonuna tıklayarak veya doğrudan ETKIALANIADI\Kullanici_Adi, ETKIALANIADI\Kullanici_Grubu formatında sıra buraya ekleyelim. Örneğin: SIBERBLOG\TeknikDestek ve OK butonuna tıklayarak işlemi onaylayalım. Bu durumda yerel makinelerimizde sadece yerel Administrator kullanıcısı ve etki alanı TeknikDestek grubu üyeleri yerel yönetici hakkına sahip olacaktır.
Adım8: İşlem onaylandıktan sonra Restricted Groups penceresinde Administrators grubu üyelerinin SIBERBLOG\TeknikDestek,Administrator olduğunu görebiliriz.
Yapılan ayarlamalar bir süre sonra (en fazla 15 dakika) yerel makinelere uygulanacaktır. Yapılan değişikliğin hemen uygulanmasını istiyorsanız yerel makinede komut satırına gpupdate /force yazabilirsiniz.
NOT2: Bu politika her politika güncellemede (en fazla 15 dakikada bir) Administrators grubu üyelerini kontrol edecek, liste dışında bir kullanıcı eklenmiş ise gruptan çıkaracak, listede olan bir kullanıcı yok ise yeniden gruba eklenecektir.
Adım9: GPO uygulanmış etki alanı üyesi makinede Administrators kullanıcı grubunu incelersek sadece Administrator ve SIBERBLOG\TeknikDestek olduğunu görebiliriz.
Hiç yorum yok:
Yorum Gönder