Transcript GPO ayarlar

GROUP POLICY OBJECT(GPO)
GPO NEDIR.
Grup policy çalışma ortamyla ilgili kullanıcı ve computer
ayarlarını içeren teknolojinin genel adıdır.
 GPO merkezi yönetimi sağlar
 GPO admin maliyetini düşürür
GPO KIMLERE UYGULANIR:
 GPO sadece Site Domain veya OU e uygulanır
Kullannici Tabanli Policy ayarlari(User Configuration)
Bilgisayar Tabanli Policy ayarlari(Computer
Configuration)
GPO OLUSTRUMA YONTEMLERI
Linkli Policy(Linked GPO)****
Linksiz Policy(Unlinked GPO)******
GROUP POLICY OBJECT(GPO)
FILE SYSTEM.
Dosya ve klasörlerle ilgili izin ve
denetleme ayarlarının yapılması
ile bağlı policy ayarlarını içerir.
Computer Configuration Windows
Settings\security Setings\File
System. YOLUNDAN ULAŞILABİLİR
GROUP POLICY OBJECT(GPO)
PASSWOR POLICY
Enforce password history: Eski şifrelerin tekrar kullanılmasını engellemek amacıyla belirtilen miktardaki kadar eski şifrelerin database'de tutulmasını sağlar. 024 arası değer alabilir. Dcfault değeri l'dir.
Maximum passvvord age: Kullanıcıya atanan şifrenin maksimum geçerlilik süresi. 0-999 arası değer alabilir. Sıfır(O) verilirse şifre sonsuza kadar
değiştirilmeden kullanılabilir yani password ncver cxpires olmuş olur Dcfault olarak bir şifre 42 gün geçerlidir.
Minimum passvvord age: Kullanıcıya atanan bir şifrenin değiştirilebilmesi için geçmesi gereken minimum süre. 1-999 arası değer alabilir Sıfır(O) değeri
atanırsa şifre hemen değiştirilebilir.
Minimum password length Şifrenin minimum karakter sayısı. 0-14 arası değer alabilir. Sıfır(O) verilirse şifre seçeneği boş bırakılabilir.
Passwords must meet complexity requirements of tbe installed passvvord filter: Şifrenin komplex olmasını zorunlu kılan policy ayandır. Yani hem aifanümerik(A. . Z)
(a...z), hem sayisal (0...9), hem de özel karakterler (Örneğin, !, S#, %) içermesi gerekir.
Store passvvord using reversible encryption for ali users in the domain: Şifreyi database'de encryption'a tabi tutarak depolar. Eğer zorunlu değilse kullanılması
performansı düşüreceğinden tavsiye edilmez.
GROUP POLICY OBJECT(GPO)
ACCOUNT POLICY.
Account lockout threshold: Şifre kaç kez yanlış girilirse kullanıcı hesabı kilitlensin, 1 -999 arası değer alabilir. Sıfır(O) değerini verirseniz
şifre istenildiği sayıda yanlış girilsin kullanıcı hesabı hiç kilitlenmez.
Account lockout duration: Kilitlenen kullanıcı hesabı ne kadar süreyle kilitli kalsın,Bu süre sonunda administrator kullanıcısının kilidi
açmasına gerek kalmadan otomatik olarak kullanıcı hesabının kilidi açılır.
Reset account lockout counter after:Yanlış şifre girilmelerinin tutulduğu sayaç, i -99999 arası değer alabilir.Şifrenin yanlış girilmesi
durumunda yanlış girme sayacının değeri 1 artar.Eğer doğru tahmin yapılıp logon işlemi başarıyla gerçekleşirse, ve yukarıda belirlenen süre
geçene kadar bir daha yanlış logon denemesi yapılmazsa bu süre sonunda yanlış girme sayısının tutulduğu sayaç sıfırlanır.
GROUP POLICY OBJECT(GPO)
AUDIT POLICY.
Account Logon . Kullanıcı hesabı, bir güvenlik veritabanı tarafından tanımlanır. Bir kullanıcı lokale logon olduğunda bu kaydedilir. Bir
kullanıcı domainc logon olduğunda bunun kaydı DC tarafından tutulur.
Account Management: Bir yöneticinin bir kullanıcı hesabını yada grubu oluşturması, değiştirmesi yada silmesi ile ilgili başarılı ve
başarısız olayları izlemeyi sağlar.
Directory Service Access: Bir kullanıcı Active Directory nesnesine ulaşması ile ilgili başarılı ve başarısız olaylarla ilgili denetlemeyi
sağlar.Bunu yapmak için Active Directory nesnelerini buna göre yapıiandırmalısınız, yani kaynaklar üzerinde de auditing ayarlarını
yapmanız gerekir.
Logon: Bir kullanıcının logon yada logoff olması esnasında , yada bir bilgisayarın ağ bağlantısında değişiklik yapması ile ilgili başarılı ve
başarısız olaylarla ilgili denetleme yapmayı sağlar. Bu tür bir olay lokalde kavdedîlir
GROUP POLICY OBJECT(GPO)
USER RIGHTS
ASSIGNMENT
Kullanıcı izinleri ve yapılacak
işlerde kullanıcılara verilecek
yetkiler burda tanımlanır.
örn.Bil.domaine katma
yetkisi,yedek alma
yetkisi,bilgisayarları kapatma
yetkisi. Vb.
GROUP POLICY OBJECT(GPO)
SECURITY OPTIONS
Kulanıcılara güvenlik
amaclı verilecek
yetkilerin ve
kısıtlamaların
tanımlandığı bölüm
GROUP POLICY OBJECT(GPO)
USER ORTAMI İLE
İLGİLİ POLICY AYRL.
İşletim sistemi uygulamalarında
bazı obje ve uygulama
yazılımlarının kaldırılması
gizltilmesi.Kullanılmasının
engellenmesi vb.düzenlemelerin
olduğu bölüm.
GROUP POLICY OBJECT(GPO)
FILE SYSTEM.
Dosya ve klasörlerle ilgili izin ve
denetleme ayarlarının yapılması
ile bağlı policy ayarlarını içerir.
Computer Configuration Windows
Settings\security Setings\File
System. YOLUNDAN ULAŞILABİLİR
GROUP POLICY OBJECT(GPO)
FILE SYSTEM.
Dosya ve klasörlerle ilgili izin ve
denetleme ayarlarının yapılması
ile bağlı policy ayarlarını içerir.
Computer Configuration Windows
Settings\security Setings\File
System. YOLUNDAN ULAŞILABİLİR
GROUP POLICY OBJECT(GPO)
FILE SYSTEM.
Dosya ve klasörlerle ilgili izin ve
denetleme ayarlarının yapılması
ile bağlı policy ayarlarını içerir.
Computer Configuration Windows
Settings\security Setings\File
System. YOLUNDAN ULAŞILABİLİR
NTFS İZİNLERİNİN UYGULANMASI
Not:Yandaki pencerede default olarak
gelen izin Everyone grubuna yani
herkese Full Control izinidir.İzin
atamalarında önce default olarak gelen
bu izin kaldırılmalıdır.
Not2:NTFS izinlerinde Everyone
grubunu bu listeden soldaki Remove
butonu ile kaldıramazsınız.
NTFS İZİNLERİNİN UYGULANMASI
Not:Yandaki pencerede default olarak gelen izin Everyone grubuna yani
herkese Full Control izinidir.İzin atamalarında önce default olarak gelen
bu izin kaldırılmalıdır.
Not2:NTFS izinlerinde Everyone grubunu bu listeden soldaki Remove butonu ile
kaldıramazsınız.
NTFS İZİNLERİNİN UYGULANMASI
Kullanıcılara izin ataması
Soru:Eger bir kullanıcı veya grubu NTFS izin listesine ekleyip hicbir Allow veya
Deny kutusunu doldurmaz iseniz kullanıcı hangi hakka sahip olur.