GROUP POLICY OBJECT(GPO) GPO NEDIR. Grup policy çalışma ortamyla ilgili kullanıcı ve computer ayarlarını içeren teknolojinin genel adıdır. GPO merkezi yönetimi sağlar GPO admin maliyetini düşürür GPO KIMLERE UYGULANIR: GPO sadece Site Domain veya OU e uygulanır Kullannici Tabanli Policy ayarlari(User Configuration) Bilgisayar Tabanli Policy ayarlari(Computer Configuration) GPO OLUSTRUMA YONTEMLERI Linkli Policy(Linked GPO)**** Linksiz Policy(Unlinked GPO)******
GROUP POLICY OBJECT(GPO) FILE SYSTEM. Dosya ve klasörlerle ilgili izin ve denetleme ayarlarının yapılması ile bağlı policy ayarlarını içerir. Computer Configuration Windows Settings\security Setings\File System. YOLUNDAN ULAŞILABİLİR
GROUP POLICY OBJECT(GPO) PASSWOR POLICY Enforce password history: Eski şifrelerin tekrar kullanılmasını engellemek amacıyla belirtilen miktardaki kadar eski şifrelerin database'de tutulmasını sağlar. 0-24 arası değer alabilir. Dcfault değeri l'dir. Maximum passvvord age: Kullanıcıya atanan şifrenin maksimum geçerlilik süresi. 0-999 arası değer alabilir. Sıfır(O) verilirse şifre sonsuza kadar değiştirilmeden kullanılabilir yani password ncver cxpires olmuş olur Dcfault olarak bir şifre 42 gün geçerlidir. Minimum passvvord age: Kullanıcıya atanan bir şifrenin değiştirilebilmesi için geçmesi gereken minimum süre. 1-999 arası değer alabilir Sıfır(O) değeri atanırsa şifre hemen değiştirilebilir. Minimum password length Şifrenin minimum karakter sayısı. 0-14 arası değer alabilir. Sıfır(O) verilirse şifre seçeneği boş bırakılabilir. Passwords must meet complexity requirements of tbe installed passvvord filter: Şifrenin komplex olmasını zorunlu kılan policy ayandır. Yani hem aifanümerik(A. . Z) (a...z), hem sayisal (0...9), hem de özel karakterler (Örneğin, !, S#, %) içermesi gerekir. Store passvvord using reversible encryption for ali users in the domain: Şifreyi database'de encryption'a tabi tutarak depolar. Eğer zorunlu değilse kullanılması performansı düşüreceğinden tavsiye edilmez.
GROUP POLICY OBJECT(GPO) ACCOUNT POLICY. Account lockout threshold: Şifre kaç kez yanlış girilirse kullanıcı hesabı kilitlensin, 1 -999 arası değer alabilir. Sıfır(O) değerini verirseniz şifre istenildiği sayıda yanlış girilsin kullanıcı hesabı hiç kilitlenmez. Account lockout duration: Kilitlenen kullanıcı hesabı ne kadar süreyle kilitli kalsın,Bu süre sonunda administrator kullanıcısının kilidi açmasına gerek kalmadan otomatik olarak kullanıcı hesabının kilidi açılır. Reset account lockout counter after:Yanlış şifre girilmelerinin tutulduğu sayaç, i -99999 arası değer alabilir.Şifrenin yanlış girilmesi durumunda yanlış girme sayacının değeri 1 artar.Eğer doğru tahmin yapılıp logon işlemi başarıyla gerçekleşirse, ve yukarıda belirlenen süre geçene kadar bir daha yanlış logon denemesi yapılmazsa bu süre sonunda yanlış girme sayısının tutulduğu sayaç sıfırlanır.
GROUP POLICY OBJECT(GPO) AUDIT POLICY. Account Logon . Kullanıcı hesabı, bir güvenlik veritabanı tarafından tanımlanır. Bir kullanıcı lokale logon olduğunda bu kaydedilir. Bir kullanıcı domainc logon olduğunda bunun kaydı DC tarafından tutulur. Account Management: Bir yöneticinin bir kullanıcı hesabını yada grubu oluşturması, değiştirmesi yada silmesi ile ilgili başarılı ve başarısız olayları izlemeyi sağlar. Directory Service Access: Bir kullanıcı Active Directory nesnesine ulaşması ile ilgili başarılı ve başarısız olaylarla ilgili denetlemeyi sağlar.Bunu yapmak için Active Directory nesnelerini buna göre yapıiandırmalısınız, yani kaynaklar üzerinde de auditing ayarlarını yapmanız gerekir. Logon: Bir kullanıcının logon yada logoff olması esnasında , yada bir bilgisayarın ağ bağlantısında değişiklik yapması ile ilgili başarılı ve başarısız olaylarla ilgili denetleme yapmayı sağlar. Bu tür bir olay lokalde kavdedîlir
GROUP POLICY OBJECT(GPO) USER RIGHTS ASSIGNMENT Kullanıcı izinleri ve yapılacak işlerde kullanıcılara verilecek yetkiler burda tanımlanır. örn.Bil.domaine katma yetkisi,yedek alma yetkisi,bilgisayarları kapatma yetkisi. Vb.
GROUP POLICY OBJECT(GPO) SECURITY OPTIONS Kulanıcılara güvenlik amaclı verilecek yetkilerin ve kısıtlamaların tanımlandığı bölüm
GROUP POLICY OBJECT(GPO) USER ORTAMI İLE İLGİLİ POLICY AYRL. İşletim sistemi uygulamalarında bazı obje ve uygulama yazılımlarının kaldırılması gizltilmesi.Kullanılmasının engellenmesi vb.düzenlemelerin olduğu bölüm.
GROUP POLICY OBJECT(GPO) FILE SYSTEM. Dosya ve klasörlerle ilgili izin ve denetleme ayarlarının yapılması ile bağlı policy ayarlarını içerir. Computer Configuration Windows Settings\security Setings\File System. YOLUNDAN ULAŞILABİLİR
GROUP POLICY OBJECT(GPO) FILE SYSTEM. Dosya ve klasörlerle ilgili izin ve denetleme ayarlarının yapılması ile bağlı policy ayarlarını içerir. Computer Configuration Windows Settings\security Setings\File System. YOLUNDAN ULAŞILABİLİR
GROUP POLICY OBJECT(GPO) FILE SYSTEM. Dosya ve klasörlerle ilgili izin ve denetleme ayarlarının yapılması ile bağlı policy ayarlarını içerir. Computer Configuration Windows Settings\security Setings\File System. YOLUNDAN ULAŞILABİLİR
NTFS İZİNLERİNİN UYGULANMASI Not:Yandaki pencerede default olarak gelen izin Everyone grubuna yani herkese Full Control izinidir.İzin atamalarında önce default olarak gelen bu izin kaldırılmalıdır. Not2:NTFS izinlerinde Everyone grubunu bu listeden soldaki Remove butonu ile kaldıramazsınız.
NTFS İZİNLERİNİN UYGULANMASI Not:Yandaki pencerede default olarak gelen izin Everyone grubuna yani herkese Full Control izinidir.İzin atamalarında önce default olarak gelen bu izin kaldırılmalıdır. Not2:NTFS izinlerinde Everyone grubunu bu listeden soldaki Remove butonu ile kaldıramazsınız.
NTFS İZİNLERİNİN UYGULANMASI Kullanıcılara izin ataması Soru:Eger bir kullanıcı veya grubu NTFS izin listesine ekleyip hicbir Allow veya Deny kutusunu doldurmaz iseniz kullanıcı hangi hakka sahip olur.