Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Varsayılan olarak, Grup İlkesi devralınır ve birikmeli olur ve bir Active Directory (AD) kapsayıcısında bulunan tüm bilgisayarları ve kullanıcıları ve alt öğelerini etkiler. Bilgisayarla ilgili ilke ayarları, kullanıcıyla ilgili ilke ayarlarını geçersiz kılar.
Grup İlkesi Nesneleri (GPO) aşağıdaki sırayla işlenir:
- Yerel GPO uygulanır.
- Sitelere bağlı GPO'lar uygulanır.
- Etki alanlarına bağlı GPO'lar uygulanır.
- Kuruluş birimlerine (OU) bağlı GPO'lar uygulanır. Hiyerarşik OU yapısında, önce ana OU'lara bağlı GPO'lar, ardından alt OU'lara bağlı GPO'lar uygulanır.
Tavsiye
Sonraki her ilke uygulaması önceki ilkeler tarafından uygulanan ayarları geçersiz kılabildiğinden GPO işleme dizisi çok önemlidir.
Varsayılan devralma yöntemi, Grup İlkesini en üst ana AD kapsayıcısından başlayarak değerlendirmektir. Bilgisayara veya kullanıcıya en yakın AD kapsayıcısı, daha üst düzey bir AD kapsayıcısında ayarlanan Grup İlkesini geçersiz kılar. Bu GPO bağlantısı için zorunlu seçeneği ayarladığınızda veya devralmayı engelle ayarı uygulandığında devralma yoksayılır. Yerel Grup İlkesi, etki alanı tabanlı ilkeler öncesinde işlenir. AD kapsayıcılarına bağlı GPO'lardan ilke ayarları yerel ilke ayarlarını geçersiz kılar.
Bir AD kapsayıcısına birden fazla GPO bağlayabilirsiniz. Grup İlkesi Nesne Bağlantıları listesindeki en düşük bağlantı sırasına sahip GPO bağlantısı varsayılan olarak önceliklidir.
Grup İlkesi işleme nasıl çalışır?
Bilgisayar başlatıldığında bilgisayar ayarları için Grup İlkesi uygulanır. Grup İlkesi, kullanıcılar için oturum açma sırasında uygulanır. İlkenin bu ilk işlemesi ön plan ilkesi uygulaması olarak da adlandırılır.
Grup İlkesi'nin ön plan işlemesi zaman uyumlu veya zaman uyumsuz olabilir. Zaman uyumlu modda, bilgisayar ilkesi başarıyla uygulanana kadar bilgisayar sistem başlatma işlemini tamamlamaz. Kullanıcı ilkesi başarıyla uygulanana kadar kullanıcı oturum açma işlemi tamamlanmaz. Zaman uyumsuz modda, zaman uyumlu işlemeyi gerektiren bir ilke değişikliği yoksa, bilgisayar başlangıç sırasını, bilgisayar ilkesi uygulaması tamamlanmadan önce tamamlayabilir. Masaüstü, eşzamanlı olmayan moddayken, kullanıcı ilkesi uygulaması tamamlanmadan önce de kullanıcı için kullanılabilir hale gelebilir. Sistem daha sonra grup ilkesini arka planda düzenli aralıklarla uygular (yeniler). Yenileme sırasında ilke ayarları zaman uyumsuz olarak uygulanır.
Tüm ilke işlemleri 60 dakika içinde tamamlanmalıdır. Bu zaman aşımı süresini değiştirmek için bir yöntem yoktur.
Grup İlkesi'nin ilk işlenmesinden sonra (ön plan ilkesi uygulaması olarak da adlandırılır), sistem grup ilkesini arka planda düzenli aralıklarla uygular (yeniler). Yenileme sırasında ilke ayarları zaman uyumsuz olarak uygulanır.
Varsayılan olarak, 90 dakikada bir yenileme gerçekleşir. Sistem yenileme aralığına 30 dakikaya kadar rastgele bir süre ekleyebilir. Bu varsayılan değerleri, Yönetim Şablonları uzantısında Grup İlkesi ayarı kullanarak değiştirebilirsiniz. Değerin sıfır dakika olarak ayarlanması, yenileme hızının yedi saniye olarak ayarlanmasına neden olur. Arka plan yenileştirmesi sırasında tüm Grup İlkesi uzantıları işlenmez. Örneğin, klasör yeniden yönlendirme işlemi yalnızca bir kullanıcı oturum açtığında gerçekleşir. Ayrıca yazılım yükleme ilkesinin işlenmesi yalnızca bir bilgisayar başlatıldığında ve bir kullanıcı oturum açtığında gerçekleşir.
Sistem, arka plan yenilemesi sırasında Grup İlkesi için betik uzantılarını işlese de, tek tek betikler yalnızca bilgisayar başlatıldığında, kapatıldığında, bir kullanıcı oturum açtığında ve oturumu kapattığında çalıştırılır.
İlke yenilemesi sırasında, istemci tarafı uzantısı varsayılan olarak ilke ayarlarını yalnızca GPO'larından birinde veya GPO listesinde değişiklik algılarsa yeniden kullanır. Bu davranış performans nedenleriyledir.
Zorunlu GPO'lar
Belirli kullanıcı veya bilgisayar grupları için her zaman zorunlu kılınması gereken ilke ayarları olup olmadığını belirleyin. Bu ilke ayarlarını içeren GPO'lar oluşturun, bunları uygun siteye, etki alanına veya OU'ya bağlayın ve bu bağlantıları zorunlu olarak belirleyin. Bu seçeneği ayarlayarak, alt düzey AD kapsayıcılarındaki GPO'ların bunları geçersiz kılmasını engelleyerek daha üst düzey bir GPO'nun ilke ayarlarını zorunlu kılabilirsiniz. Örneğin, etki alanı düzeyinde belirli bir GPO tanımlar ve zorunlu seçeneği ayarlarsanız, GPO'da yer alan ilkeler söz konusu etki alanı altındaki tüm OU'lar için geçerlidir. Alt düzey OU'lara bağlı GPO'lar, zorunlu tutulan etki alanı Grup İlkesini geçersiz hale getiremez. Aynı sitede, etki alanında veya OU'da birden çok GPO bağlıysa ve zorunlu seçeneği ayarlandıysa, zorunlu olarak ayarlanan en yüksek GPO bağlantısı öncelik kazanır.
Devralmayı Engelle
Grup İlkesi Yönetim Konsolu'nda (GPMC), İlke Devralmayı Engelle veya Devralmayı Engelle, Grup İlkesi işleme sırasını etkileyen bir özelliği ifade eder. AD'deki her etki alanı ve OU'nun devralmayı engelleyecek şekilde yapılandırılabilir bir GPOptions özniteliği vardır. Bu, yerel, site, etki alanı ve daha yüksek OU düzeylerinde uygulanan ilke ayarlarının OU içindeki bilgisayarları veya kullanıcıları etkilemesini engeller. Ancak engellenen devralma çoğu ayarın bir OU'ya uygulanmasını engellese de, zorlanan seçenekle GPO'lar aracılığıyla uygulanan ayarları etkilemez. Zorunlu bir bağlantı özelliğidir ve bir kapsayıcı özelliği olan blok ilkesinin devralınmasına göre önceliklidir.
Bir etki alanına bağlı ilke ayarları genellikle üst OU'larından bağımsız olarak etki alanı içindeki tüm bilgisayarlar ve kullanıcılar için geçerlidir. GPMC kullanarak, normal Grup İlkesi ayarlarının uygulanmasını durdurmak için bir etki alanında veya OU'da devralmayı engelleyebilirsiniz. Etki alanı düzeyinde devralmayı engelleme, bir AD sitesine bağlı GPO'ların ayarlarının etki alanına uygulanmasını durdururken, OU düzeyinde engelleme, sitelere ve etki alanlarına bağlı GPO'ların bu OU'ları etkilemesini önler.
Devralmayı engellemeye ek olarak:
- Bir GPO'nun kendisi tamamen devre dışı bırakılabilir
- GPO'da bilgisayar ayarları devre dışı bırakılabilir
- GPO'da kullanıcı ayarları devre dışı bırakılabilir
- GPO'nun tüm ayarları devre dışı bırakılabilir
Grup İlkesi Tercihi istemci tarafı uzantıları
Grup İlkesi Tercihi istemci tarafı uzantılarının kendi benzersiz işleme yöntemleri vardır. Tek bir GPO'da, işlenmek üzere belirli bir Grup İlkesi Tercihi uzantısı için bir veya daha fazla tercih öğesi yapılandırabilirsiniz. Örneğin, tek bir GPO birden çok Sürücü Haritalama Tercihi öğesi içerebilir.
Grup İlkesi işleme sırasında altyapı bir dizi eklentiden geçer. Her uzantı için, değişiklikleri olan GPO'ların listesi ve artık kullanıcı veya bilgisayar için geçerli olmayan GPO'ların listesi de dahil olmak üzere temel bilgiler sağlar. Altyapı, ağ bağlantısının yavaş kabul edilip edilmediği gibi bağlama özgü ayrıntıları da paylaşır. Grup İlkesi Tercihi uzantısı, ayarlarını işlemek için değiştirilen ve kapsam dışı GPO'lar hakkındaki bilgileri kullanır.
İstemci tarafı uzantıları, tercih öğelerini listenin en üstünden en altına doğru sıralı olarak işler. Her tercih öğesini işlemenin sonucu, yapılandırılan eylemine bağlıdır ve öğe düzeyinde hedefleme bir öğenin uygulanmasını engelleyebilir. Uzantı, listeyi tamamlayana kadar her öğeyi işler veya bu öğede bir hata oluşursa bu uzantıdaki öğeleri işlemeyi durdur veya Bir kez uygula ve yeniden uygulama gibi yapılandırma ayarları nedeniyle durur. Tüm tercih öğeleri işlendikten sonra, denetim Grup İlkesi hizmetine döner.
Grup İlkesi Filtreleme
Güvenlik filtreleme veya Windows Yönetim Araçları (WMI) filtrelerini kullanarak GPO'ların uygulanıp uygulanmayacağını filtreleyebilirsiniz.
Güvenlik filtrelemesi, bir GPO'da hangi kullanıcıların ve bilgisayarların ilke ayarlarını alacağını geliştirmenize ve uygulamanıza olanak tanır. Güvenlik grubu filtrelemesi, GPO'nun gruplara, kullanıcılara veya bilgisayarlara uygulanıp uygulanmayacağını belirler. Güvenlik grubu filtreleme, GPO içindeki farklı ilke ayarlarında seçmeli olarak kullanılamaz.
WMI, grup ilkesi uygulamasını filtrelemek için bir WMI sorgusu kullanmanıza olanak tanır. WMI filtrelemeyi kullandığınızda GPO, WMI sorgusunun koşullarını karşılayan güvenlik başlıklarına uygulanır. Her GPO bir WMI filtresine bağlanabilir; ancak, aynı WMI filtresi birden çok GPO'ya bağlanabilir. WMI filtresini bir GPO'ya bağlayabilmeniz için önce filtreyi oluşturmanız gerekir. WMI filtresi, Grup İlkesi işlenirken hedef bilgisayarda değerlendirilir. GPO yalnızca WMI filtresi true olarak değerlendirilirse geçerlidir.
Geri döngü işleme modu
Geri döngü işleme modu, kim oturum açtığından bağımsız olarak bilgisayara atanan Grup İlkesi Nesnelerinin kullanıcı yapılandırma ayarlarını uygular. Geri döngü işleme modu, kullanıcıya atanan GPO'lardan kullanıcı ayarlarını birleştirir ya da yerine yenilerini koyar. Bu ilke ayarı, sınıflar, genel bilgi noktaları ve resepsiyon alanları gibi özel kullanımlı bilgisayarlara sahip belirli yakın yönetilen ortamlarda uygundur.
Örneğin, kullanıcı ayarlarını kullanılmakta olan bilgisayara göre ayarlamak için belirli bir sunucuda bu ilke ayarını etkinleştirebilirsiniz. Geri döngü işleme modu ilke ayarını etkinleştirdiğinizde sistem, kimin oturum açtığına bakılmaksızın bilgisayarın yapılandırmasına göre kullanıcı ilkesi ayarlarını uygular. Bu, bilgisayarın GPO'ları tarafından tanımlandığı şekilde bilgisayardaki tüm kullanıcılar için tutarlı kullanıcı ilkesi ayarları sağlar.
GPO'da geri döngü işleme ilkesi ayarını etkinleştirerek, kullanıcı ilkesi ayarlarını oturum açtıkları bilgisayara göre yapılandırabilirsiniz. Geri döngü işleme olmadan, bir bilgisayar nesnesi uygulayan GPO'lar yalnızca bilgisayar yapılandırma ayarlarını işler. Kullanıcılara uygulanan GPO'lar yalnızca kullanıcı yapılandırma ayarlarını işler. Geri döngü işleme modu ilke ayarını etkinleştirdiğinizde, GPO'daki hem Bilgisayar Yapılandırması hem de Kullanıcı Yapılandırması ayarlarının etkinleştirildiğinden emin olmanız gerekir. Bu ilke ayarları, hangi kullanıcının oturum açtığından bağımsız olarak uygulanır.
GPO'nun düzenlenmesi için GPMC'yi kullanarak ve Bilgisayar Yapılandırması\İlkeler\Yönetim Şablonları\Sistem\Grup İlkesi altında Kullanıcı Grup İlkesi geri döngü işleme modunu yapılandır ilke ayarını etkinleştirerek geri döngü ilkesi ayarını yapılandırabilirsiniz. İki seçenek vardır:
Birleştirme modu: Bu modda, oturum açma işlemi sırasında kullanıcının GPO'larının listesi toplanır. Ardından, bilgisayar için GPO'ların listesi toplanır. Ardından, bilgisayarın GPO'lar listesi, kullanıcının GPO'larının sonuna eklenir. Sonuç olarak, bilgisayarın GPO'ları kullanıcının GPO'larından daha yüksek önceliğe sahiptir. İlke ayarları çakışırsa, kullanıcının normal ilke ayarları yerine bilgisayarın GPO'larındaki kullanıcı ilkesi ayarları uygulanır.
Değiştirme modu: Bu modda, kullanıcı için GPO'ların listesi toplanmaz. Bunun yerine, yalnızca bilgisayar nesnesine dayalı GPO'ların listesi kullanılır. Bu listedeki Kullanıcı Yapılandırması ayarları kullanıcıya uygulanır.
Grup İlkesi yenileme
Grup İlkesini yenilemeye yönelik birincil mekanizmalar başlatma ve oturum açma sırasındadır. Grup İlkesi de düzenli aralıklarla yenilenir. İlke yenileme aralığı GPO'lara yapılan değişikliklerin ne kadar hızlı uygulandığını etkiler. Varsayılan olarak, istemciler ve sunucular 30 dakikaya kadar rastgele uzaklık kullanarak GPO'larda yapılan değişiklikleri 90 dakikada bir denetler. GPO'daki değişikliklerin önce uygun etki alanı denetleyicisine çoğaltılması gerektiğinden, Grup İlkesi ayarlarında yapılan değişiklikler kullanıcıların masaüstlerinde hemen kullanılamayabilir.
Etki alanı denetleyicileri her beş dakikada bir bilgisayar ilkesi değişikliklerini denetler. Bu yoklama sıklığı, bu ilke ayarlarından biri, Bilgisayarlar için Grup İlkesi Yenileme Aralığı, Etki Alanı Denetleyicileri için Grup İlkesi Yenileme Aralığı veya Kullanıcılar için Grup İlkesi yenileme Aralığı kullanılarak değiştirilebilir. Ağ trafiğindeki olası artış ve etki alanı denetleyicilerine daha fazla yük yerleştirildiği için yenilemeler arasındaki sıklığın kısaltılması önerilmez.
GPO bileşenleri hem AD'de hem de etki alanı denetleyicilerinin SYSVOL klasöründe depolanır. GPO'nun diğer etki alanı denetleyicilerine çoğaltılması, iki bağımsız mekanizma ile gerçekleştirilir.
Yerleşik çoğaltma sistemi AD çoğaltmasını denetler. Varsayılan olarak, çoğaltma aynı site içindeki etki alanı denetleyicileri arasında genellikle bir dakikadan kısa sürer. Ağınız lan'dan daha yavaşsa bu işlem daha yavaş olabilir.
Dağıtılmış Dosya Sistemi Çoğaltması (DFSR), SYSVOL klasörünün çoğaltmasını denetler. Siteler içinde çoğaltma 15 dakikada bir gerçekleşir. Etki alanı denetleyicileri farklı sitelerdeyse, çoğaltma işlemi site topolojisi ve zamanlamasına göre belirlenen aralıklarda gerçekleşir; en düşük aralık 15 dakikadır.
Grup İlkesi güncelleştirmesini tetikleme
Gerekirse, grup ilkesi yenilemesini aşağıdaki yollarla el ile tetikleyebilirsiniz:
Yerel bir bilgisayardan komut satırından girin
gpupdate.exe. Çalıştırıldığındagpupdate.exe, komutun çalıştırıldığı bilgisayar için bir ilke yenilemesi tetiklenir.PowerShell cmdlet'ini
Invoke-GPUpdatekullanın. Yerel bilgisayarın yenilenmesini veya uzak bilgisayarın yenilenmesini tetiklemek için bu cmdlet'i kullanabilirsiniz.OU'ya sağ tıklayıp Grup İlkesi Güncelleştirmesi'ni seçerek OU düzeyinde bir grup ilkesi yenilemesi tetiklemek için GPMC'yi kullanın.
GPO işlemeyi iyileştirme
GPO'nun işlenmesi için gereken süreyi azaltmak için aşağıdakileri kullanmayı göz önünde bulundurun.
GPO yalnızca bilgisayar yapılandırması veya kullanıcı yapılandırma ayarları içeriyorsa, ilke ayarının geçerli olmayan bölümünü devre dışı bırakın. Bu iyileştirmeyle, hedef bilgisayar devre dışı bırakdığınız bir GPO'nun bölümlerini taramaz ve bu işlem süresini azaltır.
Birleştirilmiş GPO oluşturmak için daha küçük GPO'ları birleştirin. Bu iyileştirme, bir kullanıcıya veya bilgisayara uygulanan GPO sayısını azaltır. Kullanıcıya veya bilgisayara daha az GPO uygulamak, başlatma veya oturum açma sürelerini azaltabilir ve ilke yapısı sorunlarını gidermeyi kolaylaştırabilir.