Fotoğrafı Gör

GPO Yasak Atama İşlemleri ve Driver Oluşturma

GPO Yasak Atama İşlemleri

Bu kısımda GPO'nun mükemmel özelliklerini görmeye başlıyoruz.

Yasak atamak için yasağın uygulanacağı GPO'nun üzerine sağ tıklayıp Edit dememiz gerekiyor.

Açılan pencerenin sol tarafında iki ana başlıkla karşılaşıyoruz. Bunlar, Computer Configuration ve User Configuration şeklinde. Eğer bir bilgisayara yasak atayacaksanız kırmızı kutucuk içerisinde çalışmanız gerekiyor; bir kullanıcıya yasak atayacaksanız mor kutucuk içerisinde çalışmalısınız.

Eğer bir bilgisayara yasak atarsanız o bilgisayarda oturum açan her kim olursa bu yasaktan etkilenir. Ancak, bir kullanıcıya yasak atarsanız o kullanıcı hangi bilgisayarda oturum açarsa açsın yasaktan etkilenecektir.

Şimdi, kullanıcı yasaklarıyla başlayalım biz. CySec/Hatay/ içerisine bir Driver oluşturmuştuk. Bu gruptaki kullanıcılar bilgisayara oturum açtığında C: sürücüsünü görüyordu ama biz bunu görmelerini istemiyoruz. Biz sadece kendileri için oluşturduğumuz Driver'ları görüntüleyebilsin istiyoruz. Onun C: ile işi yok zaten. O zaman bu yasağı atayalım.

Policies ve Prefences kısımlarını genişlettiğinizde genişletilebilen daha fazla klasör görüyorsunuz.

Evet, ben de bunları ilk gördüğümde "bu ne şimdi?" tarzında bir tepki verdim. O yüzden size rahatlıkla söyleyebilirim ki sakin olun ve alışmaya bakın. Zaten buradaki her şeyi ezbere bilecek halimiz yok. İhtiyacımız olan şeyi Google Amca'ya sorarsak bize yardımcı olacaktır.

Bizim amacımız CySec/Hatay/ kullanıcısına C: sürücüsünü gizlemekti. Bunu nereden yapabileceğimize bakalım. Nereden yapacağımızı bilmiyoruz ama Google Amca ile de zaman geçirmek istemiyoruz. O yüzden biraz mantık yürütelim; sonuçta bütün bu gördüğümüz şeyleri de insanlar yarattı ve onlar da mantığını kullandı.

C: Drive'ını gizlemek istiyorduk. Peki, C: Drive dediğimiz şey aslında bilgisayarın bir bileşeni değil midir? Yani bu sürücü aslında bizim depolama alanımızı ifade etmiyor mu? Kesinlikle evet. O zaman bu anahtar kelimeye bakalım; "bileşen".

Bir şeyler buldum sanırım. Administrative Templates altında Windows Components yani Windows Bileşenleri şeklinde bir klasör gördüm. İçine girip bir bakalım.

Burada bulunan herhangi bir şeyin üzerine tıklarsanız onun açıklamasını görürsünüz. Gezinirken File Explorer diye bir klasörün üzerine tıkladım ve buradan Drive'ları yönetebileceğimi anladım. Süper, bunun üzerine gidelim bakalım.

İçine girdiğimde bir sürü yasak ile karşılaştım. İsimlerine bakarken "Hide these specified drives in my computer" yani "belirtilen sürücüleri bilgisayarımdan gizle" diye bir şey gördüm. Tamamdır iyi gidiyoruz. Bunun üzerine tıklayalım bakalım.

Açılan pencerede en üst kısımda Enabled seçeneğini işaretliyorum çünkü bu yasağı aktif edeceğim. Sonrasında bir alt tarafta hangi sürücüyü gizlemek istediğimi soruyor. "C drive only" yani "sadece C sürücüsü" seçeneğini seçip Apply ve OK diyorum.

Pencere kapandıktan sonra az önce üzerine çift tıkladığım yasağın yanında Enabled yazdığını görüyorum. Bunu bir test edelim. Bunun için Windows11'e gidiyorum ve CySec/Hatay/ içerisinden biri ile örneğin Ghost Tank ile oturum açıyorum.

This PC alanına geldiğimde burada C: sürücüsüne dair hiçbir şey göremiyorum. Demek ki atadığımız yasak işe yaradı. Biz bu yasağı sadece Ghost Tank kullanıcısına atamadık; CySec/Hatay/ klasörü altındaki herkese atadık. Dolayısıyla o gruptan herhangi biriyle oturum açarsanız C: sürücüsünü göremeyeceksiniz.

Peki, diyelim ki her şeyi eksiksiz yaptınız ama çalışmadı. Bu iki şeyden kaynaklanır arkadaşlar. Birincisi, eğer yasak ataması yaptığınız kullanıcı veya bilgisayar online ise onun oturumu kapatıp tekrardan açması gerekiyor. Yani örneğin siz Windows11'de Ghost adına oturum açtınız ve gelip bu yasağı atadınız. Bunun işlemesi için Ghost oturumunu yeniden açmanız gerekiyor.

Bir diğer etkenimiz ise sistemin kendi gecikmeleridir. Sitem bu GPO'yu oluşturmakta geç kalabilir. Ancak, bunun da önüne geçebiliyoruz. Hemen bakalım.

GPO atamasından hemen sonra CMD'ye gelip gpupdate /force derseniz yaptığınız bu atama, atama yapılan yere zorla uygulanır. gpupdate komutundaki 'gp' 'group policy' anlamına gelirken 'update - güncelle', 'force - zorla' anlamına gelir. O yüzden işlerin daha sağlıklı ilerlemesi açısından her GPO sonrasında bu komutu çalıştırmanız lazım. Ancak, her seferinde yapmak istemiyorum diyorsanız bunu programlama dilleriyle otomatize edebilir veya komutu sorun oluştuğu takdirde uygulayabilirsiniz.

Network Driver Oluşturma

Şimdi, isterseniz bir Network Driver daha oluşturalım. Bu Driver için CySec/Hatay/ içerisindekiler günlük raporlarını yazsın istiyorum. Ancak, bunu normal bildiğimiz yoldan değil de GPO üzerinden oluşturmayı deneyelim; böyle bir şey mümkün mü?

Bunun için FileServer'a dönüp yeni bir klasör paylaşacağım.

Şu şekilde; herkes buraya günlük raporunu yazmak zorunda olsun.

Şimdi Server2016 makineme dönüyorum.

Oluşturduğumuz GPO'nun üzerine sağ tıklayıp Edit diyorum.

User Configuration > Preferences > Windows Settings > Drive Maps yolunu takip ediyorum ve bu alana ulaşıyorum.

Açılan pencerede boş bir alana sağ tıklayıp New > Mapped Drive yolunu seçiyorum. Açılacak olan pencerede hakkında Driver oluşturacağımız klasörün yolunu soracak. O yüzden FileServer'a dönüyorum ve klasörün Network Path'ine bakıyorum.

Gördüğünüz üzere \\FILESERVER\DailyReports şeklinde bir Path görünüyor. Şimdi bunu kullanacağız. Ana makineye dönüyorum.

Bu kısımda kırmızı kutucuk içerisinde bulunan kısma tıklayıp Create diyoruz çünkü bir Driver yaratacağız.

Sonrasında gelen mor kutucukta Location: kısmına az önce baktığımız Network Path'i yerleştiriyoruz. Ancak, dikkat ederseniz IP adresi falan yazmadım; direkt ismini yazdım. Sonrasında yine aynı kutucukta Reconnect: kısmına tik atıyorum. Bu sayede kullanıcılar her oturum açtığında bu sürücüyü görecek. Son olarak yine aynı kutucukta Label as: kısmında bu sürücüye CySec/Hatay/DailyReports şeklinde bir isim veriyorum.

Yeşil kutucuğa geldiğimizde burada sürücünün harfini seçiyoruz. Burada özgürsünüz; ben J harfini seçtim.

Turuncu kutuya geldiğimizde ise iki benzer alan görüyoruz. Bunlardan biri Hide/Show 'this' drive iken diğeri Hide/Show 'all' drives şeklinde. Demek ki sol taraftaki şu an oluşturduğumuz sürücü ile alaklı iken sağ taraftaki bütün sürücülerle alakalı. Dolayısıyla sol taraftan "Show this drive" diyerek bu sürücünün gözükmesini sağlıyoruz. Sağ taraftan ise No change diyerek herhangi bir değişiklik yapmamasını istiyoruz çünkü biraz önce bir sürücü gizledik ve bunun gözükmesini istemeyiz.

İşlemleri tamamladıktan sonra Apply ve OK diyoruz.

Sonrasında bu sürücünün burada gözüktüğünü görüyoruz. Şimdi, Windows11'e dönelim ve ne olduğuna bakalım. Oturum açacağınız lişi CySec/Hatay/ içerisinde bulunan biri olmalıdır çünkü şu an üzerinde çalıştığımız GPO bunlara ait. Ancak, tabii ki erişimimiz olmayacak çünkü henüz izin işlemlerini ayarlamadık.

Erişimimizin olmamasına takılmayın, dediğim gibi izinleri ayarlamadık. Asıl önemli olan şey, GPO ile bir Network içerisinde bir Driver oluşturmuş olmamızdır. Gördüğünüz gibi bu sürücü gayet başarılı bir şekilde burada gözükmeye başladı.

Ayrıca bu alanda oluşturduğunuz sürücünün üzerine sağ tıklarsanız onunla ilgili çeşitli işlemler de yapabilirsiniz.

Yayınlanma Tarihi: 2024-01-21 18:10:55

Son Düzenleme Tarihi: 2024-01-25 11:06:09