Group Policy Object (GPO) Item Level Targeting Kullanımı
  1. Anasayfa
  2. GPO

Group Policy Object (GPO) Item Level Targeting Kullanımı

0

Active Directory ortamımızda istemci bilgisayarları yönetmek için Group Policy Object (GPO) nun gücünü kullanırız. GPO politikalarımızı tasarlarken Active Directory OU kırılım yapımızı, şirketin hiyerarşik yapısı v.b. gibi kriterleri dikkate alırız. Çünkü sadece belirli bir Departmana, Kullanıcı grubuna, Lokasyona özgü politikalar yazmamız gerekebilir.

GPO Filtreleme Seçenekleri

Bir GPO nun kimlere uygulanacağını birkaç alandan belirleyebiliriz.

group-policy-object-gpo-item-level-targeting-kullanimi-51

Yukarıdaki resmi incelersek;

  1. GPO nun uygulandığı OU : Sadece belirli OU lara uygulayabiliriz.
  2. Security Filtering : Sadece belirli kullanıcı hesabı, bilgisayar hesabı yada gruba uygulayabiliriz.
  3. WMI Filtering : Sadecebelirli bir WMI sorgusuna uyan bilgisayar hesaplarına uygulayabiliriz. (Örneğin İşletim Sistemi Windows 7 64 Bit olanlar gibi)
  4. Delegation : Security Filtering ile benzer. Ancak burada Uygulanmamasını istediğimiz kullanıcı hesabı, bilgisayar hesabı, grup a Deny yetkisi verebiliriz.

Öte yandan Bir GPO düzenlediğinizde yanlış hatırlamıyorsam Windows Server 2008 R2 ile birlikte Policies kısmına ilaveten Preferences bölümü de eklendi.

group-policy-object-gpo-item-level-targeting-kullanimi-2

Önce Örnek bir Policies ekranına bakalım.

group-policy-object-gpo-item-level-targeting-kullanimi-3

Göreceğiniz gibi sadece bu politikaya özgü bir filtreleme seçeneği yoktur. Yani GPO nun geneli yukarıda bahsettiğim 4 alandaki tanımlara göre kime uygulanırsa bu politika da o hedeflere uygulanacaktır.

Ancak Preferences altındaki seçeneklere baktığımızda aşağıdaki gibi Common sekmesini görebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-4

Common sekmesine geçtiğimizdeyse aşağıdaki gibi bu yazının asıl konusu olan “Item Level Targeting” seçeneğini görebilirsiniz. Bu da demek oluyor ki Preferences kısmındaki seçenekleri aynı GPO nun içinde ilaveten filtreleyebiliriz.

Peki policies kısmında belirlediğimiz politikanın aslında clientte gidip regedit de birtakım parametreleri değiştirdiğini düşünürsek, policies kısmından yapmak istediğimiz bir politikayı preferences altındaki Registry bölümünden Item Level Targeting kullanarak aynı GPO içinde filtrelemiş oluruz.

Bu sefer de Policies altındaki hangi politika registry de hangi alanda ne gibi değişiklikler yapıyor bilgisine ihtiyacımız olacak. Bunun içinse biçilmiş kaftan olan site ise www.getadmx.com. Bu siteden hem 3.party ürünlerin admx templatelerini indirebilir hemde politikaların registry karşılıklarını görebilirsiniz.

Örneğin Screensaver Timeout için : https://getadmx.com/?Category=ScreenPass&Policy=FullArmor.Policies.37E73E82_47E4_4046_B60C_C930512F46A1::ScreensaverTimeout# 

Item Level Targeting Kullanımı

group-policy-object-gpo-item-level-targeting-kullanimi-5

Varsayılanda bu seçenek pasif gelir. Eğer biz belirli kriterlere göre filtreleme yapmak istersek aktiflememiz gerekmektedir.

group-policy-object-gpo-item-level-targeting-kullanimi-6

Aktiflediğimiz zaman yukarıdaki gibi “Targeting Editor” penceresi gelir. Artık filtrelerimizi bu alana sıralayacağız. Bunun için New Item a basarak nelere göre filtreleme yapabiliyoruz bir bakalım.

group-policy-object-gpo-item-level-targeting-kullanimi-7

Buradaki seçenekleri açıklayacak olursak;

Battery Present

Bu seçenek ile ilgili preferences seçeneğinin sadece bataryası olan (laptop) bilgisayarlara uygulanmasını filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-8

Computer Name

Bu seçenek ile ilgili preferences seçeneğinin sadece belirli bilgisayar adına sahip bilgisayar yada bilgisayarlar için filtrelenmesini sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-10

Yukarıdaki ekran tek bir bilgisayar içindir. Birden fazla Computer Name Item  ekledğinizde her bir satırı AND ile birbirine bağlayacaktır.

group-policy-object-gpo-item-level-targeting-kullanimi-11

Bu şekilde birden fazla satır eklerseniz varsayılanda AND (ve) ile birbirine bağlayacaktır. Yani bunun açılımı bilgisayar adı K….1 ve C……N ise şeklinde. Bir bilgisayarın 2 adı olamayacağı için bu yazdığımız filtre çalışmayacaktır. Bu nedenle AND olan seçeneği OR (veya) ile değiştirmemiz gerekmektedir. Bunun için AND ile başlayan satır seçilyken Item Options a basıp OR seçeneğini seçelim.

group-policy-object-gpo-item-level-targeting-kullanimi-12

Artık filtre bu iki bilgisayar adındaki bilgisayarlara uygulanacaktır.

Item Options daki  IsNot seçeneklerini de örneğin Bilgisayar adı K…..1 değilse uygulansın istediğimiz bir senaryoda seçebiliriz.

group-policy-object-gpo-item-level-targeting-kullanimi-13

Bu filtrlemeye göre bilgisayar adı K….1 olmayan tüm bilgisayarlara uygulanacaktır.

Bu IsNot, AND ve OR seçeneklerini tüm item level targeting seçeneklerinde kombine kullanabilirsiniz.

CPU Speed

Bu seçenek ile ilgili preferences seçeneğinin sadece CPU Hızı 1000 Mhz den yüksek bilgisayarlara uygulanmasını sağlayabilirsiniz. Örneğin Preferences ile zamanlanmış görev oluşturuyorsunuz ve bu görevin yüksek hızda CPU ihtiyacı olduğu bir durumda bu seçeneği kullanabilirsiniz.
1000 değerini listeden seçebilir, isterseniz elle de bir değer girebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-14

Date Match

Bu seçenek ile ilgili preferences seçeneğinin sadece belirli tarihlerde uygulanmasını sağlayabilirsiniz. Buradaki kırmızı çerçeve içindeki alanları ben resim editörü ile ilk resmin üstüne ekledim. Weekly seçeneğinin diğer alternatifleridir.

group-policy-object-gpo-item-level-targeting-kullanimi-15

Örneğin Haftanın Pazar günleri, Her ayın birinde, Her yıl 26 Martta gibi.

Disk Free

Bu seçenek ile ilgili preferences seçeneğinin sadece belirli boş disk kapasitesine sahip bilgisayarlarda uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-16

Domain

Bu seçenek ile ilgili preferences seçeneğinin sadece belirli domaindeki bilgisayarlara uygulanmasını sağlayabilirsiniz. Burada Browse yaptığınızda Trust ilişkisi kurduğunuz domainler yada Child domainleriniz  listelenecektir.

group-policy-object-gpo-item-level-targeting-kullanimi-17

Environment Variable

Bu seçenek ile ilgili preferences seçeneğinin sadece Environment Variable değeri istediğiniz değer olan bilgisayarlara uygulanmasını sağlayabilirsiniz.

Örneğin Sadece 64 Bit bilgisayarlar için aşağıdaki gibi kullanabilirsiniz. 32 Bit bilgisayarlar için Value kısmına x86 yazın.

group-policy-object-gpo-item-level-targeting-kullanimi-18

File Match

Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz klasör yada dosyanın bilgisayarda var olup olmamasına yada varsa bile versiyonunun ne olduğuna göre filtreleme yapabilirsiniz. Bu seçenek en çok kullanılan seçeneklerden birisidir.

group-policy-object-gpo-item-level-targeting-kullanimi-19

Örneğin yukarıdaki ekrana göre C:\winamp\winamp.exe dosyası bilgisayarda mevcut ise ilgili preference seçeneği uygulanacaktır. Item Options dan IsNot seçersek bu sefer dosya yoksa uygulanacaktır.

group-policy-object-gpo-item-level-targeting-kullanimi-20

Match Type kısmını Folder Exist yaparak ve IsNot seçerek  C:\winamp klasörü yoksa şeklinde tanımladım.

Path kısmında sabit değer yazmak yerine İmleç Path kutusundayken F3 e basarak sistem değişkenlerini de kullanabilirim.

group-policy-object-gpo-item-level-targeting-kullanimi-21

Örneğin yukarıdaki ekranda ise Windows dizini altında tmp dizini altında asd.tmp dosyası varsa şeklinde bir filtre kullandım.

Match Type kısmını Match File Version seçerek belirteceğimiz dosyanın versiyonunun istediğimiz değerde yada aralıkta olmasına göre de filtreleme yaptırabiliriz.

group-policy-object-gpo-item-level-targeting-kullanimi-22

IP Address Range

Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz ip aralığındaki bilgisayarlara uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-23

Language

Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz dildeki bilgisayarlara uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-24

LDAP Query

Bu seçenek ile ilgili preferences seçeneğinin sadece gireceğiniz LDAP sorgusuna göre uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-25

MAC Address Range

Bu seçenek ile ilgili preferences seçeneğinin belirteceğiniz MAC Adres aralığına uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-26

MSI Query

Bu seçenek ile ilgili preferences seçeneğinin bilgisayarlarda daha önceden msi kurulumu ile kurulmuş yazılımların bazı parametrelerine göre filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-27

Query type kısmında aşağıdaki gibi seçenekleri bulabilirsiniz.

  • Target Exist
  • Version match
  • Get Property
  • Match Property
  • Get Information
  • Match Information

Network Connection

Bu seçenek ile ilgili preferences seçeneğinin bilgisayarın network bağlantı türüne göre filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-28

Operating System

Bu seçenek ile ilgili preferences seçeneğinin uygulanmasını istediğiniz İşletim Sistemini belirleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-29

Organizational Unit

Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz kullanıcı yada bilgisayar OU larına uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-30

PCMCIA Present

Bu seçenek ile ilgili preferences seçeneğinin sadece PCMCIA slotuna sahip bilgisayarlara uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-31

Portable Computer

Bu seçenek ile ilgili preferences seçeneğini sadece Dock Station çalışan yada çalışmayan bilgisayarlar şeklinde filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-32

Processing Mode

Bu seçenek ile ilgili preferences seçeneğinin GPO nun process mode değerine göre uygulanmasını filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-33

RAM

Bu seçenek ile ilgili preferences seçeneğinin belirleyeceğiniz RAM değerinden yüksek RAM e sahip bilgisayarlara uygulanmasını filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-34

Registry Match

Bu seçenek ile ilgili preferences seçeneğinin uygulanacağı bilgisayardaki registry değerinin eşleşip eşleşmemesine göre filtreleme yapabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-35

Burada Match Type kısmında aşağıdaki değerleri kullanabilirsiniz.

  • Key Exists
  • Value Exists
  • Match Value Data
  • Get Value Data

Security Group

Bu seçenek ile ilgili preferences seçeneğinin sadece belirli bilgisayar yada kullanıcı hesaplarını içeren gruplara uygulanmasını sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-36

Site

Bu seçenek ile ilgili preferences seçeneğinin bilgisayarın oturum açtığı Active Directory Sitesine göre filtrelenmesini sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-37

Terminal Session

Bu seçenek ile ilgili preferences seçeneğinin terminal oturumunun türüne ve parametrelerine göre filtrelenmesini sağlayabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-38

Burada Parameter kısmında aşağıdaki seçenekleri bulabilirsiniz.

  • Any
  • Application Name
  • Client Name
  • Initial Program
  • Session Name
  • Working Directory
  • Client TCP/IP Address

Time Range

Bu seçenek ile ilgili preferences seçeneğinin belirleyeceğiniz saat aralığında uygulanmasını filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-39

User

Bu seçenek ile ilgili preferences seçeneğinin sadece belirleyeceğiniz kullanıcı hesabına uygulanmasını sağlayabilirsiniz. Bu seçenek benim GPO uygulamadan önce testlerde test kullanıcımı ekleyerek kendimi garantiye aldığım ve sık kullandığım bir seçenektir.

group-policy-object-gpo-item-level-targeting-kullanimi-40

WMI Query

Bu seçenek ile ilgili preferences seçeneğinin WMI sorgusuna göre uygulanmasını filtreleyebilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-41

 

Gördüğünüz gibi Item Level Targeting de kullanabileceğimiz çok daha fazla filtreleme seçeneği mevcut. Bu seçenekleri tek başına yada birbirlerine OR (veya) ve AND (ve) ile bağlayarak kullanabilirsiniz.

Örneğin aşağıdaki ekranda;

Bilgisayar Default sitede oturum açarsa ve (JavaUpdate Registrysi varsa veya IP aralığı 192.168.1.10-20 arasındaysa) bu preferences değerini uygula şeklinde kural yazabilirsiniz.

group-policy-object-gpo-item-level-targeting-kullanimi-42

Nihayet yazının sonuna geldim. Umarım faydalı olur. Her türlü konuda yorum bölümünden yazabilirsiniz.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir