Active Directory ortamında onlarca, yüzlerce bilgisayarı ve kullanıcıyı tek tek elle yönetmek hem zaman alır hem de hataya açıktır. Grup İlkesi (Group Policy), parola kurallarından masaüstü kısıtlamalarına, sürücü eşlemelerinden yazıcı dağıtımına kadar pek çok ayarı merkezi olarak tanımlamanızı ve etki alanındaki bilgisayarlara otomatik uygulamanızı sağlar. Bu rehberde, bir Grup İlkesi Nesnesi (GPO) oluşturmayı, doğru kapsayıcıya bağlamayı, en sık kullanılan ayarları ve uygulanan ilkeleri doğrulamayı temel düzeyde, adım adım ele alıyoruz.
Ön Koşullar
- Grup İlkesi Yönetim Konsolu (GPMC): Bir etki alanı denetleyicisinde (Domain Controller) varsayılan olarak kuruludur. Yönetim iş istasyonlarında Remote Server Administration Tools (RSAT) ile eklenebilir. Konsolu açmak için Çalıştır kutusuna yazıp Enter'a basın.
- Yetki: Bir GPO'yu bir siteye, etki alanına veya kuruluş birimine (OU) bağlamak için ilgili kapsayıcıda değiştirme (modify) iznine ihtiyacınız vardır. Bu izne varsayılan olarak yalnızca Domain Admins ve Enterprise Admins gruplarının üyeleri sahiptir.
- Yapı: Ayarlarınızın yalnızca hedeflediğiniz bilgisayar/kullanıcı grubuna uygulanması için hedef nesnelerin uygun bir OU içinde toplanmış olması önerilir.
İlke İşleme Sırası (LSDOU)
Grup İlkesi varsayılan olarak kalıtsaldır ve birikimlidir; bir AD kapsayıcısındaki tüm bilgisayar ve kullanıcıları (ve alt nesnelerini) etkiler. GPO'lar şu sırayla işlenir ve sonra uygulanan ayar, önceki ayarı geçersiz kılar:
1. L — Yerel (Local) bilgisayar ilkesi 2. S — Siteye (Site) bağlı GPO'lar 3. D — Etki alanına (Domain) bağlı GPO'lar 4. OU — Kuruluş birimlerine bağlı GPO'lar
İç içe OU yapısında üst (parent) OU'ya bağlı GPO'lar önce, alt (child) OU'ya bağlı GPO'lar sonra işlenir. Kullanıcıya veya bilgisayara en yakın kapsayıcı, üst düzey kapsayıcıdaki ayarı geçersiz kılar. Ayrıca bilgisayar yapılandırması (Computer Configuration) ayarları, kullanıcı yapılandırması (User Configuration) ayarlarına göre önceliklidir.
Aynı kapsayıcıya birden fazla GPO bağlıysa, bağlantı sırası (link order) en düşük olan varsayılan olarak öncelik kazanır. Bir bağlantıyı Enforced (Zorla) işaretlerseniz, alt düzey kapsayıcılardaki GPO'ların bu ayarı geçersiz kılması engellenir; Block Inheritance (Kalıtımı Engelle) ise üst düzeylerden gelen ilkelerin uygulanmasını durdurur. Bu ikisi çakıştığında Enforced, Block Inheritance'a üstün gelir (Enforced bir bağlantı özelliği, Block Inheritance ise kapsayıcı özelliğidir).
Adımlar
1. GPMC'yi açın
Etki alanı denetleyicisinde Başlat menüsüne yazın ve Grup İlkesi Yönetimi konsolunu açın. Konsol ağacında ormanınızı (forest) ve etki alanınızı (domain) genişletin.
2. Yeni bir GPO oluşturun
Konsol ağacında, hedef etki alanı altındaki Group Policy Objects (Grup İlkesi Nesneleri) klasörüne sağ tıklayın ve New (Yeni) seçeneğini seçin. Açılan pencerede GPO'ya açıklayıcı bir ad verin (örneğin ) ve OK ile onaylayın.
3. GPO'yu bir OU'ya bağlayın
Ayarların gerçekten uygulanması için GPO'nun bir kapsayıcıya bağlanması gerekir. Hedef OU'ya sağ tıklayın ve Link an Existing GPO (Mevcut Bir GPO'yu Bağla) seçeneğini seçip oluşturduğunuz GPO'yu belirleyin. Alternatif olarak, OU üzerine sağ tıklayıp Create a GPO in this domain, and Link it here (Bu etki alanında GPO oluştur ve buraya bağla) ile yeni bir GPO'yu tek adımda oluşturup bağlayabilirsiniz. GPO'lar etki alanı düzeyinde saklanır; OU'ya yalnızca bir bağlantı (link) eklenir.
4. Ayarları düzenleyin
GPO'ya sağ tıklayıp Edit (Düzenle) ile Grup İlkesi Yönetim Düzenleyicisi'ni açın. Bilgisayara yönelik ayarlar Computer Configuration, kullanıcıya yönelik ayarlar ise User Configuration altında yer alır.
Sık kullanılan ayar yolları:
- Parola ve hesap kilidi ilkesi: altında Password Policy (parola uzunluğu, karmaşıklık, geçerlilik süresi) ve Account Lockout Policy (hesap kilidi eşiği, kilit süresi, sayaç sıfırlama süresi) bulunur. Etki alanı genelindeki parola ve hesap kilidi kuralları genellikle Default Domain Policy üzerinden, etki alanı düzeyinde tanımlanır.
- Masaüstü kısıtlama: altında Denetim Masası, Başlat menüsü ve sistem kısıtlamaları.
- Sürücü eşleme ve yazıcı dağıtımı: altında Drive Maps (ağ sürücüsü eşleme) ve altında Printers (yazıcı dağıtma). Tercih (Preferences) öğeleri listede yukarıdan aşağıya sırayla işlenir.
5. GPO'yu hedefe daraltın (isteğe bağlı)
GPO'nun yalnızca belirli kullanıcı veya bilgisayar gruplarına uygulanması için Scope (Kapsam) sekmesinde Security Filtering (Güvenlik Filtreleme) kullanın. Daha gelişmiş senaryolarda WMI filtreleri ile koşula bağlı uygulama da mümkündür; bir WMI filtresini bağlamadan önce filtreyi oluşturmanız gerekir ve GPO yalnızca filtre sorgusu doğru sonuç verdiğinde uygulanır.
6. İlkeyi hemen uygulayın
GPO değişiklikleri istemcilere arka planda varsayılan olarak yaklaşık 90 dakikada bir (sisteme ek olarak 30 dakikaya kadar rastgele bir gecikme eklenir) uygulanır; etki alanı denetleyicileri ise bilgisayar ilkesi değişikliklerini her 5 dakikada bir kontrol eder. Beklemeden uygulamak için hedef bilgisayarda komut istemini yönetici olarak açıp şunu çalıştırın:
````
Uzaktaki bir bilgisayarı tetiklemek için PowerShell'de:
````
Ayrıca GPMC içinde bir OU'ya sağ tıklayıp Group Policy Update ile o OU altındaki bilgisayarlarda yenilemeyi tetikleyebilirsiniz.
7. Uygulanan ilkeleri doğrulayın
Hedef bilgisayarda hangi GPO'ların uygulandığını görmek için:
````
Bu komut, oturum açan kullanıcıya ve bilgisayara uygulanan GPO'ları, üyesi olunan etki alanını ve OU'ları listeler. Ayrıntılı bir HTML raporu için:
````
İpuçları
- GPO'lara işlevini anlatan açıklayıcı adlar verin; yönetim ve sorun giderme kolaylaşır.
- Bir GPO yalnızca bilgisayar veya yalnızca kullanıcı ayarı içeriyorsa, kullanılmayan bölümü GPO Status üzerinden devre dışı bırakın; böylece hedef bilgisayar GPO'nun o kısmını taramaz ve oturum açma ile başlatma süresi kısalır.
- Çok sayıda küçük GPO yerine ilgili ayarları daha az sayıda GPO'da birleştirmek, uygulanan GPO sayısını azaltarak işleme süresini ve sorun giderme yükünü düşürür.
- Üretime almadan önce Group Policy Modeling ile sonucu simüle edin; ayarların hedef kullanıcı/bilgisayara nasıl yansıyacağını önceden görebilirsiniz.
- Değişiklik beklenen makineye yansımıyorsa, GPO'nun önce ilgili etki alanı denetleyicisine çoğaltılmasını (replication) bekleyin. Aynı site içinde Active Directory çoğaltması genellikle bir dakikadan kısa sürer; SYSVOL klasörünün çoğaltması (DFSR) ise site içinde her 15 dakikada bir gerçekleşir, farklı sitelerde en az 15 dakika sürebilir.
Kurumsal Windows Server ve Office ihtiyaçlarınızda Enlisans, %100 orijinal lisansları ve hızlı destek anlayışıyla yanınızdadır.















