TEMEL GROUP POLICY (GPO) OLUŞTURMA VE UYGULAMA

Kurumsal güvenlik ve istemci konfigürasyonunun merkezi: GPO'ların oluşturulması, zorunlu Parola Politikası'nın uygulanması ve temel masaüstü kısıtlamalarının yapılandırılması.

Giriş: Group Policy Object (GPO), Active Directory'deki kullanıcı ve bilgisayar objelerine merkezi olarak ayarlar uygulamak için kullanılır. En güçlü yönetim aracıdır ve güvenlik, yazılım dağıtımı, masaüstü konfigürasyonu gibi birçok alanda kullanılır.

Bölüm 1: GPO Oluşturma ve OU'ya Bağlama (Linking)

GPO'lar, **Group Policy Management Console (GPMC)** üzerinden yönetilir. Bir GPO oluşturulduktan sonra, hedef OU'ya (Organizational Unit) bağlanmalıdır.

Adım Adım GPO Oluşturma (GUI)

  1. Konsolu Açma: Domain Controller (DC) üzerinde **Group Policy Management** konsolunu açın. (Komut: `gpmc.msc`)
  2. GPO Oluşturma: Domain adınıza sağ tıklayın ve **Create a GPO in this domain, and Link it here...** (Bu domainde bir GPO oluştur ve buraya bağla) seçeneğini seçin.
  3. GPO Adı: Politikanın amacını belirten anlamlı bir isim verin (Örn: `GPO_IT_Security_Restrictions`).
  4. OU'ya Bağlama: GPO'yu, uygulanmasını istediğiniz hedef OU'ya (Örn: `OU=IT,OU=Users,DC=PROD,DC=LOCAL`) sürükleyip bırakarak veya sağ tıklayarak bağlayın (**Link an existing GPO...**).

GPO Oluşturma (PowerShell)

PowerShell ile GPO oluşturma ve OU'ya bağlama:

# GPO'yu oluştur
New-GPO -Name "GPO_IT_Security_Restrictions"

# GPO'yu hedef OU'ya bağla
New-GPLink -Name "GPO_IT_Security_Restrictions" -Target "OU=IT,OU=Users,DC=PROD,DC=LOCAL"

Bölüm 2: Parola Politikası (Password Policy) Konfigürasyonu

Parola politikası, güvenliğin temelidir. Forest'taki tüm Domain'leri etkileyen temel Parola Politikası, **Default Domain Policy** GPO'su üzerinde ayarlanır.

Adım Adım Parola Politikası Ayarları

  1. Default Domain Policy'yi Düzenleme: GPMC konsolunda, **Domain Adınız > Group Policy Objects > Default Domain Policy** üzerine sağ tıklayın ve **Edit (Düzenle)** seçeneğini seçin.
  2. Politika Konumu: Ayarlar şurada bulunur:
    • `Computer Configuration (Bilgisayar Yapılandırması)` → `Policies` → `Windows Settings` → `Security Settings` → **`Account Policies`** → **`Password Policy`**
  3. Önerilen Güvenlik Ayarları: Parolaların güvenliğini artırmak için aşağıdaki ayarları yapılandırın:
    Ayarlar Önerilen Değer Açıklama
    **Enforce password history** 24 passwords Kullanıcının son 24 parolayı tekrar kullanmasını engeller.
    **Maximum password age** 90 days Parola değiştirme süresini belirler.
    **Minimum password length** 12 characters Parolanın en az 12 karakter olmasını zorlar.
    **Password must meet complexity requirements** Enabled Büyük/küçük harf, rakam ve sembol zorunluluğu getirir.
Kritik Uyarı: **Default Domain Policy** içerisindeki parola politikası ayarları **tüm domain'i** kapsar ve bu ayarlar, alt OU'larda oluşturulan başka GPO'lar tarafından **geçersiz kılınamaz (override edilemez)**. Eğer farklı parola gereksinimleri istenirse, **Fine-Grained Password Policies (FGPP)** kullanılmalıdır.

Bölüm 3: İstemci Kısıtlamaları ve Gizleme Politikaları (Masaüstü)

IT dışındaki kullanıcıların (Örn: Muhasebe, Satış) istemci bilgisayarlarında gereksiz ayarlara erişimini kısıtlamak, güvenlik ve yönetim kolaylığı sağlar.

Adım Adım Masaüstü Kısıtlamaları

  1. Yeni GPO Düzenleme: `GPO_Muhasebe_Restrictions` adında bir GPO oluşturun ve `OU=Muhasebe,OU=Users` OU'suna bağlayın. Sağ tıklayıp **Edit** edin.
  2. Politika Konumu: Kullanıcı masaüstü ayarları, GPO'nun **User Configuration** (Kullanıcı Yapılandırması) bölümünde yer alır:
    • `User Configuration` → `Policies` → **`Administrative Templates`** → **`System`**
  3. Kritik Kısıtlama Örnekleri:
    • **Prevent access to registry editing tools:** (Kayıt Defteri Düzenleyicisi'ne erişimi engelle) → **Enabled**
    • **Prevent access to the command prompt:** (Komut İstemi'ne erişimi engelle) → **Enabled**
  4. Masaüstü Gizleme Örnekleri: Başlat menüsünü kısıtlamak için:
    • `User Configuration` → `Policies` → `Administrative Templates` → **`Start Menu and Taskbar`**
    • **Remove Run menu from Start Menu:** (Çalıştır menüsünü kaldır) → **Enabled**

Bölüm 4: GPO Güncelleme ve Sorun Giderme

GPO ayarları, istemci bilgisayarlarında otomatik olarak belirli aralıklarla (varsayılan 90 dakika) güncellenir. Ancak acil uygulamalar için manuel güncelleme zorunludur.

GPO'yu Anında Uygulama (CLI)

  1. Hedef İstemcide Güncelleme: Güncellemenin hemen yapılmasını sağlamak için, istemci bilgisayarında Yönetici olarak Komut İstemi'ni açın ve aşağıdaki komutu çalıştırın: 
    gpupdate /force
  2. GPO Uygulamasını Doğrulama: Hangi GPO'ların uygulandığını, nereden geldiğini ve hata olup olmadığını kontrol etmek için: 
    gpresult /r
gpresult /h C:\temp\gpo_report.html
    **Açıklama:** İkinci komut, detaylı raporu HTML formatında kaydeder ve sorun giderme için en çok kullanılan araçtır.
Kritik Güvenlik Notu: GPO'lar varsayılan olarak **Authenticated Users** (Doğrulanmış Kullanıcılar) grubuna uygulanır. Ancak **Security Filtering** (Güvenlik Filtreleme) kullanarak GPO'nun yalnızca belirli Gruplara veya Kullanıcılara uygulanmasını sağlayabilirsiniz. (Örn: GPO'yu yalnızca `G-IT-Users` grubuna uygula.) Filtreleme, `gpmc.msc` konsolunda GPO'ya sağ tıklayarak yapılır.

SONRAKİ DÖKÜMAN: DNS & DHCP ENTEGRASYONU >>