Biliyorsunuz ki group policy yönetimi için group policy management konsoldan faydalanıyoruz. Biz bu işlemleri power shell ile yapmak istiyorsak biraz zahmetli görünebilir ama emin olun çok hoşunuza gidecektir. Powershell ile GPO oluşturulması, GPO ayarları (registry-based gpo ayarları), GPO‘nun istediğimiz ou’ya linklenmesi, GPO security ayarları gibi birçok işlemi power shell ile yönetmek mümkün.
Test için Windows Server 2008 R2 Hyper-V platformunu kullandım.
Lab ortamımızda bulunan makinemiz;
Domain : nwtraders.msft
DC makine adı: testdc.nwtraders.msft
DC ip adresi : 10.11.27.245 /24
DC mizde group policy management konsolunu bir görelim.
Şu anda tanımlanmış ve uygulanmış herhangi bir group policy objesi bulunmamaktadır. Sadece default policy objelerini görmekteyiz.
Öncelikle powershell’e group policy modülünü yüklemeliyiz.AD için ihtiyacımız olan cmdlet’ler de varsa AD modülünü yüklemeliyiz.
Yeni bir group policy objesi oluşturalım.
Henüz hiyerarşinin herhangi bir seviyesine link’lenmemiş bir GPO’muz oldu.
Şimdi ise içerisinde bir kaç ayar yapalım. Mesela control panele erişim engellemek , wallpaper sabitlemek, start menüye ekleyip çıkarmak gibi…Yani oluşturduğumuz gpo üzerinde editleme işlemi yapalım. Set-GPRegistryValue komutu ile ilgili bilgi alalım.
Group policy ayarlarını yapmaya başlayalım. Yani uygulayacağımız group policy ayarının aslında registry de ki yerini ve değerini belirtmemiz gerekecek (aslında arka planda yapılan ayarlar ). Group policy’de yaptığımız ayarların registry value’ları ile ilgili MS Download Center’da reference haricinde döküman bulamadım. Fakat registry.pol dosyasını yorumlayan bir tool ile bu işlemi gerçekleştirdim. GPO reference dökümanından da istediğiniz değerleri edinebilirsiniz.
http://www.microsoft.com/download/en/details.aspx?id=25250
Önceden örneğin desktop wallpaper sabitleyince aslında registry de nasıl bir değer giriliyor diye baktım. Sonra da bunu powershell ile uyguladım. Sonucu ilerleyen satırlarda,
Desktop wallpaper belirleme;
Control Panel`e erişimi engelledim;
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoControlPanel ( reference’a bakarsanız da yolu bulmak zor değil)
Şimdi nw_test gpo sunu test ou’suna linkleyelim.
Test ou’su içindeki kullanıcılardan yada gerekiyorsa bilgisayarlardan faydalanarak , yapılandırmamızın çalıştığını gözleyebiliriz.
Buna karşın her group policy objesi için de registry değerleri bulamayabilirsiniz. Örneğin; User Rights Assisgnments , Kerberos , Audit , Password , Accounts: Rename administrator account , Network access: Allow anonymous SID/Name translation , Network security: Force logoff when logon hours expire , Prevent local guests group from accessing application log gibi policy objeleri ( security key’ler) registry anahtarları değildir. Shell tarafı ve scripting bir bakıma hayal gücünüzle sınırlı değil mi ?
Kaynak : Technet , GPO Reference Guide
Fernando Lugão Veltem edited Revision 2. Comment: alter tags and title