Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Grup İlkesi, Windows Server ve Windows İstemcisi işletim sistemlerini çalıştıran bilgisayarlarda kullanıcı ve bilgisayar ayarlarının yapılandırılmasını ve ayarlarının yönetilmesini sağlar. Grup İlkesi'ni kullanarak kullanıcı grupları ve istemci bilgisayarlarının yapılandırmalarını tanımlamaya ek olarak, sunucu bilgisayarlarını yönetmeye yardımcı olmak için sunucuya özgü birçok işletim ve güvenlik ayarı yapılandırarak Grup İlkesi'ni de kullanabilirsiniz.
Grup İlkesi nedir?
Grup ilkesi, ilke ayarlarını yerel olarak dosya sisteminde veya Active Directory Etki Alanı Hizmetleri'nde (AD DS) temsil edebilir. Active Directory (AD) ile kullanıldığında, Grup İlkesi ayarları bir Grup İlkesi Nesnesi'nde (GPO) bulunur. GPO, AD'deki kullanıcılara ve bilgisayarlara uygulayabileceğiniz sanal bir ilke ayarları, güvenlik izinleri ve yönetim kapsamı (SOM) koleksiyonudur. GPO iki ana bileşenden oluşur: Grup İlkesi kapsayıcısı ve Grup İlkesi şablonu. Grup İlkesi kapsayıcısı Active Directory'nin etki alanı bölümünde depolanırken, Grup İlkesi şablonu her etki alanı denetleyicisindeki (DC) SYSVOL klasöründe bulunur.
Bu bileşenler AD çoğaltması ve Dosya Çoğaltma Hizmeti (FRS) veya Dağıtılmış Dosya Sistemi Çoğaltması (DFSR) aracılığıyla DC'ler arasında çoğaltılır.
GPO'lar hem bilgisayar hem de kullanıcı ayarları için yapılandırmalar içerir. Bilgisayar yapılandırmaları sistem genelinde uygulanır ve güç yönetimi ve güvenlik duvarı kuralları gibi ayarları yönetir. Kullanıcı yapılandırmaları, Internet Explorer ayarları ve Klasör Yeniden Yönlendirme gibi seçeneklerle yalnızca geçerli kullanıcıyı etkiler. GPO'lar AD hiyerarşisinde, uygulama kapsamlarını tanımlayan siteler, etki alanları ve kuruluş birimleri (OU) gibi çeşitli düzeylere bağlanabilir.
İlke ayarları bilgisayar başlangıcında ve kullanıcı oturum açmada uygulanır. Grup İlkesi hizmeti, site, etki alanı ve OU üyeliğine göre AD'yi sorgulayarak ilgili GPO'ları belirler. A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. Bilgisayarlar açıldığında ve kullanıcılar oturum açtığında politika ayarları uygulanır. Bir bilgisayar başlatıldığında, Grup İlkesi hizmeti AD'yi denetleerek hangi GPO'ların bilgisayar nesnesine bağlı ve uygulanabilir olduğunu belirler, örneğin:
Bilgisayarın bulunduğu site.
Bilgisayarın üyesi olduğu etki alanı.
Bilgisayarın doğrudan üye olduğu üst kuruluş birimi ve üst OU'nun üzerindeki diğer kuruluş birimleri.
Grup İlkesi tercihleri, standart Grup İlkeleri ile benzer yönetim özellikleri sunar ve aynı şekilde yönetilir. Yöneticiler yerel ayarlar için Yerel Grup İlkesi Düzenleyicisi'ni (gpedit.msc) veya etki alanı genelindeki ayarlar için AD ile ilgili MMC ek bileşeninde Grup İlkesi Nesne Düzenleyicisi'ni kullanarak GPO'lar oluşturabilir ve yönetebilir. Her GPO genel olarak benzersiz bir tanımlayıcıya (GUID) sahiptir ve ilke değerlendirmesi için AD'nin hiyerarşik yapısını izler. Kapsamlı bir anlayış, Active Directory (AD) içindeki Grup İlkesi Nesneleri'nin (GPO'lar) nasıl oluşturulacağı, değiştirileceği ve bağlanacağı konusunda etkili ilke yönetimi için gereklidir. GPO'lar her DC'de hem AD hem de SYSVOL klasöründe depolanır ve merkezi yönetim ve ilke zorlamayı kolaylaştırır.
Client-side extensions
Grup İlkesi CSE, Grup İlkesi altyapısı tarafından teslim edilen belirli ilke ayarlarının işlenmesinden sorumlu yalıtılmış bir bileşendir. Her CSE, ilke verilerini, bu verilerin ayrıntılarını yorumlamayan veya yönetmeyen Grup İlkesi altyapısından bağımsız olarak kendi özel biçiminde yönetir ve depolar. Grup İlkesi'nin birincil işlevi, ayarları, her CSE'nin ilke ayarlarının kendi bölümünü birden çok Grup İlkesi Nesnesinden uyguladığı bir bilgisayara teslim etmektir.
Grup İlkesi altyapısını bir kitaplık sistemi olarak düşünün. Kitaplık sistemi, kitapları (veya verileri) yönetir ve çeşitli dallara (bilgisayarlara) teslim eder. Kitaplığın her kitabın içeriğini anlaması gerekmez; yalnızca doğru kitabın doğru dala ulaştığından emin olur. Bu benzetmede Grup İlkesi hizmeti, içeriklerini bilmeden kitap teslim eden kitaplık sistemi gibidir. Çeşitli ilke ayarları, farklı türler veya kitap koleksiyonları gibidir. Grup İlkesi Uygulama Geliştirme Uzmanı, her şubenin kendi koleksiyonlarını nasıl işleyeceklerini bilen bir kütüphane sorumlusunu temsil eder. Her kitaplık görevlisinin koleksiyonlarını yönetecek donanıma sahip olması gibi, her CSE kendi ilke ayarı bilgilerini okur ve bu ayarlarda bulduklarına göre eylemler gerçekleştirir.
Grup İlkesi nasıl çalışır?
Bilgisayarlar için, bilgisayar başlatıldığında Grup İlkesi uygulanır. Kullanıcılar için, oturum açma sırasında Grup İlkesi uygulanır. İlkenin bu ilk işlemesi ön plan ilkesi uygulaması olarak da adlandırılır.
Grup İlkesi'nin öncelikli uygulaması senkron veya asenkron olabilir. Zaman uyumlu modda, bilgisayar ilkesi başarıyla uygulanana kadar bilgisayar sistem başlatma işlemini tamamlamaz. Kullanıcı ilkesi başarıyla uygulanana kadar kullanıcı oturum açma işlemi tamamlanmaz. Zaman uyumsuz modda, zaman uyumlu işlemeyi gerektiren bir ilke değişikliği yoksa, bilgisayar başlangıç sırasını, bilgisayar ilkesi uygulaması tamamlanmadan önce tamamlayabilir. Kabuk, kullanıcı ilkesi uygulaması tamamlanmadan önce kullanıcı tarafından kullanılabilir. Sistem daha sonra grup ilkesini arka planda düzenli aralıklarla uygular (yeniler). Yenileme sırasında ilke ayarları zaman uyumsuz olarak uygulanır.
Grup İlkelerinin nasıl çalıştığı hakkında daha fazla bilgi edinmek için bkz. Grup İlkesi İşleme.
OU nedir?
OU, Grup İlkesi ayarlarını atayabileceğiniz en düşük düzey AD kapsayıcısıdır. Genellikle çoğu GPO'ya OU düzeyinde atarsınız, bu nedenle OU yapınızın Grup İlkesi tabanlı istemci yönetimi stratejinizi desteklediğinden emin olun. Etki alanı düzeyinde bazı Grup İlkesi ayarlarını, özellikle parola ilkelerini de uygulayabilirsiniz. Sitede yalnızca birkaç politika ayarı uygulanır. Kuruluşunuzun yönetim yapısını yansıtan ve GPO devralmadan yararlanan iyi tasarlanmış bir OU yapısı, Grup İlkesi uygulamasını basitleştirir. Örneğin, iyi tasarlanmış bir OU yapısı belirli GPO'ların çoğaltılmasını engelleyebilir, böylece bu GPO'ları kuruluşun farklı bölümlerine uygulayabilirsiniz. Mümkünse, yönetim yetkilisini temsilci olarak atamak ve Grup İlkesi'nin uygulanmasına yardımcı olmak için OU'lar oluşturun.
OU tasarımı, Grup İlkesi gereksinimlerinden bağımsız olarak yönetim haklarını devretmek için dengeleme gereksinimleri ve Grup İlkesi uygulamasının kapsamını belirleme gereksinimini gerektirir. Bir etki alanı içinde OU'lar oluşturabilir ve belirli OU'lar için yönetim denetimini belirli kullanıcılara veya gruplara devredebilirsiniz. OU'ların kullanıcı veya bilgisayar nesneleri gibi homojen nesneler içerdiği ancak her ikisini birden içermediği bir yapı kullanarak, GPO'nun belirli bir nesne türüne uygulanmayan bölümlerini kolayca devre dışı bırakabilirsiniz. OU tasarımına yönelik bu yaklaşım karmaşıklığı azaltır ve Grup İlkesi'nin uygulanma hızını artırır. OU yapısının daha yüksek katmanlarına bağlı GPO'lar, alt katmandaki OU'lar için varsayılan olarak devralınır ve bu da GPO'ları yineleme veya bir GPO'yu birden çok kapsayıcıya bağlama gereksinimini azaltır.