Active Directory ortamımızda istemci bilgisayarları yönetmek için Group Policy Object (GPO) nun gücünü kullanırız. GPO politikalarımızı tasarlarken Active Directory OU kırılım yapımızı, şirketin hiyerarşik yapısı v.b. gibi kriterleri dikkate alırız. Çünkü sadece belirli bir Departmana, Kullanıcı grubuna, Lokasyona özgü politikalar yazmamız gerekebilir.
GPO Filtreleme Seçenekleri
Bir GPO nun kimlere uygulanacağını birkaç alandan belirleyebiliriz.
Yukarıdaki resmi incelersek;
- GPO nun uygulandığı OU : Sadece belirli OU lara uygulayabiliriz.
- Security Filtering : Sadece belirli kullanıcı hesabı, bilgisayar hesabı yada gruba uygulayabiliriz.
- WMI Filtering : Sadecebelirli bir WMI sorgusuna uyan bilgisayar hesaplarına uygulayabiliriz. (Örneğin İşletim Sistemi Windows 7 64 Bit olanlar gibi)
- Delegation : Security Filtering ile benzer. Ancak burada Uygulanmamasını istediğimiz kullanıcı hesabı, bilgisayar hesabı, grup a Deny yetkisi verebiliriz.
Öte yandan Bir GPO düzenlediğinizde yanlış hatırlamıyorsam Windows Server 2008 R2 ile birlikte Policies kısmına ilaveten Preferences bölümü de eklendi.
Önce Örnek bir Policies ekranına bakalım.
Göreceğiniz gibi sadece bu politikaya özgü bir filtreleme seçeneği yoktur. Yani GPO nun geneli yukarıda bahsettiğim 4 alandaki tanımlara göre kime uygulanırsa bu politika da o hedeflere uygulanacaktır.
Ancak Preferences altındaki seçeneklere baktığımızda aşağıdaki gibi Common sekmesini görebilirsiniz.
Common sekmesine geçtiğimizdeyse aşağıdaki gibi bu yazının asıl konusu olan “Item Level Targeting” seçeneğini görebilirsiniz. Bu da demek oluyor ki Preferences kısmındaki seçenekleri aynı GPO nun içinde ilaveten filtreleyebiliriz.
Peki policies kısmında belirlediğimiz politikanın aslında clientte gidip regedit de birtakım parametreleri değiştirdiğini düşünürsek, policies kısmından yapmak istediğimiz bir politikayı preferences altındaki Registry bölümünden Item Level Targeting kullanarak aynı GPO içinde filtrelemiş oluruz.
Bu sefer de Policies altındaki hangi politika registry de hangi alanda ne gibi değişiklikler yapıyor bilgisine ihtiyacımız olacak. Bunun içinse biçilmiş kaftan olan site ise www.getadmx.com. Bu siteden hem 3.party ürünlerin admx templatelerini indirebilir hemde politikaların registry karşılıklarını görebilirsiniz.
Örneğin Screensaver Timeout için : https://getadmx.com/?Category=ScreenPass&Policy=FullArmor.Policies.37E73E82_47E4_4046_B60C_C930512F46A1::ScreensaverTimeout#
Item Level Targeting Kullanımı
Varsayılanda bu seçenek pasif gelir. Eğer biz belirli kriterlere göre filtreleme yapmak istersek aktiflememiz gerekmektedir.
Aktiflediğimiz zaman yukarıdaki gibi “Targeting Editor” penceresi gelir. Artık filtrelerimizi bu alana sıralayacağız. Bunun için New Item a basarak nelere göre filtreleme yapabiliyoruz bir bakalım.
Buradaki seçenekleri açıklayacak olursak;
Battery Present
Bu seçenek ile ilgili preferences seçeneğinin sadece bataryası olan (laptop) bilgisayarlara uygulanmasını filtreleyebilirsiniz.
Computer Name
Bu seçenek ile ilgili preferences seçeneğinin sadece belirli bilgisayar adına sahip bilgisayar yada bilgisayarlar için filtrelenmesini sağlayabilirsiniz.
Yukarıdaki ekran tek bir bilgisayar içindir. Birden fazla Computer Name Item ekledğinizde her bir satırı AND ile birbirine bağlayacaktır.
Bu şekilde birden fazla satır eklerseniz varsayılanda AND (ve) ile birbirine bağlayacaktır. Yani bunun açılımı bilgisayar adı K….1 ve C……N ise şeklinde. Bir bilgisayarın 2 adı olamayacağı için bu yazdığımız filtre çalışmayacaktır. Bu nedenle AND olan seçeneği OR (veya) ile değiştirmemiz gerekmektedir. Bunun için AND ile başlayan satır seçilyken Item Options a basıp OR seçeneğini seçelim.
Artık filtre bu iki bilgisayar adındaki bilgisayarlara uygulanacaktır.
Item Options daki IsNot seçeneklerini de örneğin Bilgisayar adı K…..1 değilse uygulansın istediğimiz bir senaryoda seçebiliriz.
Bu filtrlemeye göre bilgisayar adı K….1 olmayan tüm bilgisayarlara uygulanacaktır.
Bu IsNot, AND ve OR seçeneklerini tüm item level targeting seçeneklerinde kombine kullanabilirsiniz.
CPU Speed
Bu seçenek ile ilgili preferences seçeneğinin sadece CPU Hızı 1000 Mhz den yüksek bilgisayarlara uygulanmasını sağlayabilirsiniz. Örneğin Preferences ile zamanlanmış görev oluşturuyorsunuz ve bu görevin yüksek hızda CPU ihtiyacı olduğu bir durumda bu seçeneği kullanabilirsiniz.
1000 değerini listeden seçebilir, isterseniz elle de bir değer girebilirsiniz.
Date Match
Bu seçenek ile ilgili preferences seçeneğinin sadece belirli tarihlerde uygulanmasını sağlayabilirsiniz. Buradaki kırmızı çerçeve içindeki alanları ben resim editörü ile ilk resmin üstüne ekledim. Weekly seçeneğinin diğer alternatifleridir.
Örneğin Haftanın Pazar günleri, Her ayın birinde, Her yıl 26 Martta gibi.
Disk Free
Bu seçenek ile ilgili preferences seçeneğinin sadece belirli boş disk kapasitesine sahip bilgisayarlarda uygulanmasını sağlayabilirsiniz.
Domain
Bu seçenek ile ilgili preferences seçeneğinin sadece belirli domaindeki bilgisayarlara uygulanmasını sağlayabilirsiniz. Burada Browse yaptığınızda Trust ilişkisi kurduğunuz domainler yada Child domainleriniz listelenecektir.
Environment Variable
Bu seçenek ile ilgili preferences seçeneğinin sadece Environment Variable değeri istediğiniz değer olan bilgisayarlara uygulanmasını sağlayabilirsiniz.
Örneğin Sadece 64 Bit bilgisayarlar için aşağıdaki gibi kullanabilirsiniz. 32 Bit bilgisayarlar için Value kısmına x86 yazın.
File Match
Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz klasör yada dosyanın bilgisayarda var olup olmamasına yada varsa bile versiyonunun ne olduğuna göre filtreleme yapabilirsiniz. Bu seçenek en çok kullanılan seçeneklerden birisidir.
Örneğin yukarıdaki ekrana göre C:\winamp\winamp.exe dosyası bilgisayarda mevcut ise ilgili preference seçeneği uygulanacaktır. Item Options dan IsNot seçersek bu sefer dosya yoksa uygulanacaktır.
Match Type kısmını Folder Exist yaparak ve IsNot seçerek C:\winamp klasörü yoksa şeklinde tanımladım.
Path kısmında sabit değer yazmak yerine İmleç Path kutusundayken F3 e basarak sistem değişkenlerini de kullanabilirim.
Örneğin yukarıdaki ekranda ise Windows dizini altında tmp dizini altında asd.tmp dosyası varsa şeklinde bir filtre kullandım.
Match Type kısmını Match File Version seçerek belirteceğimiz dosyanın versiyonunun istediğimiz değerde yada aralıkta olmasına göre de filtreleme yaptırabiliriz.
IP Address Range
Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz ip aralığındaki bilgisayarlara uygulanmasını sağlayabilirsiniz.
Language
Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz dildeki bilgisayarlara uygulanmasını sağlayabilirsiniz.
LDAP Query
Bu seçenek ile ilgili preferences seçeneğinin sadece gireceğiniz LDAP sorgusuna göre uygulanmasını sağlayabilirsiniz.
MAC Address Range
Bu seçenek ile ilgili preferences seçeneğinin belirteceğiniz MAC Adres aralığına uygulanmasını sağlayabilirsiniz.
MSI Query
Bu seçenek ile ilgili preferences seçeneğinin bilgisayarlarda daha önceden msi kurulumu ile kurulmuş yazılımların bazı parametrelerine göre filtreleyebilirsiniz.
Query type kısmında aşağıdaki gibi seçenekleri bulabilirsiniz.
- Target Exist
- Version match
- Get Property
- Match Property
- Get Information
- Match Information
Network Connection
Bu seçenek ile ilgili preferences seçeneğinin bilgisayarın network bağlantı türüne göre filtreleyebilirsiniz.
Operating System
Bu seçenek ile ilgili preferences seçeneğinin uygulanmasını istediğiniz İşletim Sistemini belirleyebilirsiniz.
Organizational Unit
Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz kullanıcı yada bilgisayar OU larına uygulanmasını sağlayabilirsiniz.
PCMCIA Present
Bu seçenek ile ilgili preferences seçeneğinin sadece PCMCIA slotuna sahip bilgisayarlara uygulanmasını sağlayabilirsiniz.
Portable Computer
Bu seçenek ile ilgili preferences seçeneğini sadece Dock Station çalışan yada çalışmayan bilgisayarlar şeklinde filtreleyebilirsiniz.
Processing Mode
Bu seçenek ile ilgili preferences seçeneğinin GPO nun process mode değerine göre uygulanmasını filtreleyebilirsiniz.
RAM
Bu seçenek ile ilgili preferences seçeneğinin belirleyeceğiniz RAM değerinden yüksek RAM e sahip bilgisayarlara uygulanmasını filtreleyebilirsiniz.
Registry Match
Bu seçenek ile ilgili preferences seçeneğinin uygulanacağı bilgisayardaki registry değerinin eşleşip eşleşmemesine göre filtreleme yapabilirsiniz.
Burada Match Type kısmında aşağıdaki değerleri kullanabilirsiniz.
- Key Exists
- Value Exists
- Match Value Data
- Get Value Data
Security Group
Bu seçenek ile ilgili preferences seçeneğinin sadece belirli bilgisayar yada kullanıcı hesaplarını içeren gruplara uygulanmasını sağlayabilirsiniz.
Site
Bu seçenek ile ilgili preferences seçeneğinin bilgisayarın oturum açtığı Active Directory Sitesine göre filtrelenmesini sağlayabilirsiniz.
Terminal Session
Bu seçenek ile ilgili preferences seçeneğinin terminal oturumunun türüne ve parametrelerine göre filtrelenmesini sağlayabilirsiniz.
Burada Parameter kısmında aşağıdaki seçenekleri bulabilirsiniz.
- Any
- Application Name
- Client Name
- Initial Program
- Session Name
- Working Directory
- Client TCP/IP Address
Time Range
Bu seçenek ile ilgili preferences seçeneğinin belirleyeceğiniz saat aralığında uygulanmasını filtreleyebilirsiniz.
User
Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz kullanıcı hesabına uygulanmasını sağlayabilirsiniz. Bu seçenek benim GPO uygulamadan önce testlerde test kullanıcımı ekleyerek kendimi garantiye aldığım ve sık kullandığım bir seçenektir.
WMI Query
Bu seçenek ile ilgili preferences seçeneğinin WMI sorgusuna göre uygulanmasını filtreleyebilirsiniz.
Gördüğünüz gibi Item Level Targeting de kullanabileceğimiz çok daha fazla filtreleme seçeneği mevcut. Bu seçenekleri tek başına yada birbirlerine OR (veya) ve AND (ve) ile bağlayarak kullanabilirsiniz.
Örneğin aşağıdaki ekranda;
Bilgisayar Default sitede oturum açarsa ve (JavaUpdate Registrysi varsa veya IP aralığı 192.168.1.10-20 arasındaysa) bu preferences değerini uygula şeklinde kural yazabilirsiniz.
Nihayet yazının sonuna geldim. Umarım faydalı olur. Her türlü konuda yorum bölümünden yazabilirsiniz.