Domaindeki Bilgisayarda Oturum Açabilecek Kullanıcıların Sınırlandırılması
  1. Anasayfa
  2. GPO

Domaindeki Bilgisayarda Oturum Açabilecek Kullanıcıların Sınırlandırılması

0

Microsoft Active Directory domain yapısında varsayılan olarak tüm kullanıcı hesapları ile domaine dahil edilmiş tüm bilgisayarlarda oturum açılabilir. Öte yandan kullanıcı hesabının özelliklerinden sadece belirlenen bir veya birden fazla bilgisayarlarda oturum açılabilmesi tanımlanabilir.

Yani onur.aydin kullanıcı hesabı PC001,PC003 ve PC006 isimli bilgisayarlarda oturum açabilir şeklinde tanımlama yapılabiliyor. Bunun Nasil yapıldığını farklı bir yazıda yazacağım. Bu yazımızın konusu ise tersi düşünceyle örneğin PC001 isimli bilgisayarda sadece onur.aydin kullanıcısı oturum açabilsin.

Sabah mesaiye geldiğinizde bilgisayarı arızalanan bir arkadaşınızın sizin bilgisayarınızda oturum açtığını görebilir ve bunu istemiyor olabilirsiniz veya kurumda özel bir yazılımın çalıştığı bir istemci bilgisayar vardır ve bu bilgisayardaki yazılımı sadece onur.aydin kullanıcısının login olup kullanabilmesi gibi ihtiyaçlar olabilir.

Bilgisayarda oturum açabilecek kullanıcı hesapları Nasil belirlenir?.

Bunun için Group Policy Object (GPO) kullanacağız. Ancak kullanacağımız GPO bu sefer Yerel GPO olacak. Çünkü sadece tek bir makinede yapacağız. Eğer siz bu senaryoyu birden fazla bilgisayar grubu için yapacaksanız elbette DC üzerinden sadece o bilgisayar grubuna bir GPO uygulayabilirsiniz.

Gördüğünüz gibi test bilgisayarımda onur.aydin ve derya.aydin kullanıcıları oturum açmış.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Oturum Açmış Kullanıcılar

Şimdi bu bilgisayarda sadece onur.aydin kullanıcısının oturum açabilmesini sağlayacağız.

Bilgisayarda Yerel GPO düzenlemek için Çalıştır kutusuna gpedit.msc yazalım.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Gpedit.msc Açılması

Yerel GPO düzenlemek yetki gerektirir. Bu nedenle eğer lokal admin olmayan bir kullanıcı ile oturum açtıysak aşağıdaki gibi hata almamız kaçınılmaz.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Erişim Engellendi Hatası

gpedit.msc komutunu yetkili kullanıcı ile çalıştırdığımızda aşağıdaki gibi GPO düzenleme ekanı gelecek. Burada ilk kırmızı kutu içerisindeki “Local Computer Policy” ifadesine dikkat.

Bu bilgisayarda oturum açabilecek kullanıcı veya kullanıcıları belirlemek için aşağıdaki alana kadar geleleim.

“Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment” altında “Allow Logon Localy” seçeneğine girelim.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Yerel GPO Düzenleme Ekranı

Varsayılanda bu bilgisayarda oturum açabilecek kullanıcılar ve gruplar aşağıdaki gibidir.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Oturum Açmaya Yetkili Kullanıcı ve Gruplar

Buradaki listeyi boşalttığımızda aşağıdaki hatayı alırız.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Oturum Açmaya Yetkili Kullanıcı ve Grupların Temizlenmesi

Bu listeye mecburen “Administrators” grubunu ekliyoruz. Bu durumda Domain Admin kullanıcılar da oturum açabilecek ancak Diğer Kullanıcılar oturum açamayacak. Oturum açmasını istediğimiz kullanıcıyı da bu listeye ekleyelim.

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Oturum Açabilecek Kullanıcıların Eklenmesi

Şimdi test bilgisayarımda derya.aydin ile oturum açmayı deniyorum. Sonuç aşağıda…

Domaindeki-Bilgisayarda-Oturum-Acabilecek-Kullanicilarin-Sinirlandirilmasi
Login Olamayan Kullanıcı

 

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir