Block Inheritance, Enforced ve CMD Yasağı Atama
Bu bölümde mirasın nasıl kaldırılacağını, belli koşullar altında hangi GPO'nun geçerli olacağını göreceğiz.
Şimdi oluşturacağımız GPO, Komut İstemine yani CMD'ye erişim engeli GPO'su olacak. O yüzden ana makineme gelip Tools kısmından Group Policy Management alanına giriyorum.
Dikkat ederseniz bu sefer herhangi bir klasör içerisine değil, direkt domain'in içine bir GPO koydum. Şimdi, buna Edit diyelim ve devam edelim.
Edit dedikten sonra User Configuration > Policies > Administrative Templates > System > Prevent access to the command promt yolunu takip ediyoruz ve çift tıklıyoruz.
Açılan pencerede sadece Enabled seçeneğini seçip Apply ve OK diyoruz. Son olarak CMD'ye girip gpupdate /force diyelim ve işimiz bu kadar.
Şimdi, örneğin CySec/Hatay/ içerisinden Tim Irv ile oturum açalım ve CMD'ye bağlanmayı deneyelim.
İşte bu kadar. CMD'ye erişemiyorlar. Hatta ve hatta bunu cw.com üzerine yani Domain'e atadığım için cw.com içerisindeki hiçbir kullanıcı CMD'ye erişemez. Ancak, burada bir mantık hatası var. Tamam, normal kullanıcılar erişmesin zaten, onlara ne? Ancak, CySec gibi önemli bir departmanın CMD'ye erişememesi biraz saçma olur. O yüzden şimdi bu sorunu çözeceğiz.
Miras kaldırmak. Evet, yasaktan etkilenmesini istemediğiniz grubun üzerine sağ tıklayıp Block Inheritance seçeneğini seçerseniz o grup içerisindekiler yasaktan etkilenmeyeceklerdir. Hemen test edelim.
Block Inheritance dedikten sonra gayet de erişimimiz mevcut.
Şimdi, AD'ye dönelim.
Bakın, Hatay klasörü üzerinde bir ünlem işareti var. İşte, Block Inheritance uygulanan grupları buradan anlayabilirsiniz. Eğer bir klasörün üzerinde böyle bir ünlem işareti varsa bu, Block Inheritance uygulandığını gösterir. Peki, Hatay klasörü içerisinde olmayan bir kullanıcıyla oturum açıp ne olacağına bakalım.
Bunun için Hatay/IT/'nin yöneticisi olan Ali Yılmaz ile oturum açalım diyorum.
Engel sürüyor. Söylediğim gibi cw.com'a yasak atarsanız Block Inheritance uygulanmayan herkes bundan muzdarip olur.
Peki, diyelim ki ne olursa olsun Block Inheritance falan işe yaramasın bu yasak herkese uygulansın istiyoruz. O zaman ne yapabiliriz?
Eğer bir GPO'yu Enforced konuma getirirseniz şartlar ne olursa olsun bu GPO etki alanında bulunan herkes için uygulanacaktır. Enforced seçeneğini seçiyoruz.
Dikkat ederseniz GPO'nun üzerinde kilit işareti belirdi. Bu işaret, bu GPO'nun Enforced olarak işaretlendiğini belirtir. Zaten sağ tarafta bu GPO'nun detaylarına bakarsanız Enforced alanının Yes olarak işaretlenmiş olduğunu da görürsünüz.
Peki, az önce Tim Irv ile oturum açtık ve bulunduğu gruba Block Inheritance uyguladık. Şimdi tekrar Tim Irv ile oturum açalım ve ne olacağını görelim. Unutmayalım; Tim'in bulunduğu grupta hâlâ Block Inheritance etkisi var ama cw.com içerisindeki cmd yasaklari GPO'sunu Enforced ettik.
Demek ki bir GPO Enforced edilirse o GPO'nun uygulanması konusunda hiç kimse hiçbir engel koyamaz.
Bu bölümde Block Inheritance, Enforced kavramlarının yanında CMD yasağı atamayı gördünüz.
Yayınlanma Tarihi: 2024-01-23 15:25:22
Son Düzenleme Tarihi: 2024-01-26 11:26:27