Grup policy windows 2000 'de adminin bir istegi user ve computer icin bir karede olusturmasini ve istegin devamli olarak yerine getirilmesine saglar. Ornegin admin grup policy ayarlarini bir startup script calistirarak organization unit (ou) icerisindeki butun bilgisayarlara uygulayabilir . Bir domaindeki hatali Logon girisimlerini Aut edebilir ( Kayit edip izleyebilir )

Microsoft Managemest Console'da group plicy snap –in kullanarak user ve computer'ler icin desktop ayarlarini yapilandirabilirsiniz. Assagidaki Group policy extension'lari ile ozel group policy ayri yapabilirsiniz;

Windows 2000 'de grup policy objesi yatirsiniz ve specific GPO icin yapilandirirsaniz. GPO grup policy ayarlari icin sanal depolama yeridir .(virtual storoge lacation) . Ayrilmiz GPO larin ayarlarini iceren koleksiyonlar tarafindan her bir GPO'yu ozel yapilandirabilirsiniz ve her bir GPO'yu istege bagli olarak ozel bilgisayarlara ve kullanicilara uygulayabilirsiniz.

GPO Icerikleri iki farkli lokasyonda tutulur; 1. Grup policy ve 2. Group policy template.

Yani objenin kendisine en yakin olan hierarsideki conteiner GPO setting'leri hierarside yukarlarda olan container'larin settings'lerinin ustunde olur ve windows 2000 siralamada kendime en yakin olan container'in yeri OU' nun Setting'lerini uygular.

Ana OU'da bir group policy ayarlari, alt container'lerde(child OU.larda) yapilandirilmadiginda Alt OU 'lardaki objeler Ana OU'nun GPO ayarlarini alirlar. Ancak bir grup policy ayari hem ana OU hemde alt OU icin GPO'da yapilandirabilirler.

Bu durumda grup policy ayarlarinin uyumlulugu sonucu tanimlar .

Hem ana OU hemde Alt OU Grup Policy Ayarini yapilandirildiginda ve ayarlar uyumlu oldugunda he iki OU' nun ayarida uygulanir. eger ana OU icin yapilandirilan grup policy ayari, alt OU icin yapilandirilan ayni grup policy ayari ile uyusmaz ise alt OU ana OU nun grup Policy ayarlarini devralmaz ( etkilenmez ). ama kendi policy ayrinini tutar.

Version information'deki bilginin senkronize olduguna emin olma

Group policy (GPC ) daki bilgi ile Groy policy Template ( GPT )

Inharitance Of Group Policy in Active Directoy(Aktif dizinde grup policy'nin kalitsal Ozelligi)

Bir GPO Yarattiginizda, Active Directory Container'inde sectiginiz bir site, domain veya Ou ile iliskilendirirsiniz .GPO Settingsleri bulundugunuz containerdeki computer ve user accountlari ve Alt (child) ogelerin containerlerini etkiler. Ayni GPO ile birden fazla ( coklu ) Active directory container'ini ,birden fazla ( coklu.) GPO ile Tek Active Directory container'ini iliskilendirebilirsiniz.

Windows 2000, computer ve user'da uzakta GPO yu start ederken Active Drectory cantainer ile degerlendirilir.Group policy inherritance(kalitsal etkileme)siralamasi sirasi ile; site domain ve OU seklindedir. Bu sira ile son grup policy uyesi olan bilgisayar ve kullanici grup policy settings'lerini Windows 2000 uygular.

1.No Override : Ust seviyesindeki conteynirlarin GPO'larinin alt conteynerdeki GPO tarafindan ayarlarinin iptal edilmesini engellemek icin kullan. bu secenek sirket kurallarini Grup planinda mecburi etmek icin yararlidir. yani sirket kurallarinin alttaki OU' lar ustune zoraki olarak baskin cikmasi icin bir yada birden cok GPO 'da bu secenegi ayarliyabilirsiniz.

Birden fazla GPO'ya overinde uygulandiginda Active directory hierersisinde en yuksek olan GPO oncelik alir.

2.Block In heritence: Ana container'den alt containerlere GPO settings'lerinin gecmesini engellemek icin kullan Bir OU yauni gui grup plicy settings yapmak gerekirse bu secenek kullanilmalidir .Block inheritance secenegi Ana containerden butun GPO'lara uygulanir. Cakisma (conftlict) olmasi durumunda no override secenegi once gelir .

Bir GPO bir siteye Link edildigi zaman bilgisayarlarin hangi domaine bagli olduguna bakmayarak sitedeki butun biisayarlar bu policy ayarlarindan etkilenir Bir GPO domain de saklanirsa bulundugu domaini domaini etkiler diger domainleri etkilemez cunki bir sitede birden fazla domain olabilir ve GPO bir siteye iliskilendirildiginde sitedeki domainlerin icindeki bilgisayarlar siteden devraldiklari ozellikleri (policy ayarlaarini) kabullenir site icindeki butun bilgisarlar GPO iceren Domain kontureller ile baglanti kurmak zorundadir bir siteye GPO yarattiginda netwok trafigini de hesaba katmalisiniz

Bir GPO , ,daki grup policy ayarlari spesifik bir siraya gore islenir Userler icin hazirlanmis bir Grup polisi ayrlari ,da

Etkiliyebilir Ornegin Start menudeki Run komutu icin uygulanan permission hem bilgisayari hemde User,I etkiler Windows 2000 grup policy ayarlarini isleme sirasini anlayarak ustune yazmasini onleyebiliriz

Grup policy ayarlari assagidaki siraya gore islenir

Grup Plicy ,yi uygulayabilmek icin once bir group policy objesi yaratmalisinniz veya varolan GPO ,yu Active Drectory containe,ine link etmelisiniz

Yeni bir GPO yaratmak veya varolan GPO ,yu Link etmek

Bir GPO Yarattign zaman Active directory containir,ine baglanir

BirGPO yaratip bir siteye link etmek icin star menuden Active Directory sites and Servicesi acip assagidaki prosuduru izleyin Dafault olarak site GPO su forest ,in rotty domainde tutulr Bir site OPS yarattiginizda GPO saklama yeri ni bir baska bir baska domainle Degistirebilirsiniz bir GPO yarattiginizda saklama yerini degistirmek icin site ,in Properties inde Group Policy Tab ina gelip Add butonuna basin burdan All tabina gecin Look kismindan domain,ini degistirin bir site GPO yaratabilmek icin Enterpise Admin uyesi olmalisiniz

Bir GPO yarattiktan sonra Veya link ettikten sonrs set edilmis permission ,lari kontrol etmelisiniz GPO ayarlanan GRO ayarlanan Group Policy sadece bilgisayar ve user,leri etkiler ve user computerler ,ler Read ve Apple Group policy permission .una sahiptir

Bir GPO yarattiginizda default olacak Assagida ki formasion ,lar verilir (izinler )

Bir GPO ,nun permisonlarini (haklarini ) duzenlemek icin

Tip (ipucu ) Bir GPO ,ya Permisision set istedigin zaman Denny kolonuna kullanmak yerine kutucuklari isaretliyerek veya kutucugu temizleyerek ayarlama yap Denny kolonundaki yetkiler Allw kolonundaki yetkilerden ustun gelir All kolonundaki yetkilerini gereksiz kilar Eger denny denny kolonunu kullanirsaniz o zaman celiskili durumlarla karsilasabilirsiniz

Guvenlik gurubu (security Group ) yaratmak GPO scope’unu filtreliyebilirsiniz ve sectiginiz bu guruba App Group policy ve reod haklari verebilirsiniz veya secilmis guruplarin haklarin romove edbilirsiniz

Ornegin : domaininizdeki OU hem kalici hemde gecici calisanlar icinde ayri bir securty gurubu yaratirsiniz ve o zaman her bir guruba sadece arzu ettiginiz GPO icin ayri ayri Apply Group Policy ve Read haklarini verebilirsiniz

Domain Admin grubu uyeleri hangi grup adminlerin GPO ‘ daki policy’ leri modiye ediceklerini tanimlayan permissonlari kullanilabilir bunu yapmak icin Network administrator’u Admin guruplari yaratir .(Ornegin Marketing Admimistrator group ) ve gruplara sectigi GPO ‘lar icin ayri Read write haklarini verir bu domain adminlerin GPO’nun kontrol yetkilerini devredebilmek icin yetki verir .

Bir GPO ,daki grup policy ayarlari spesifik bir siraya islenir

Userlerlar icin hazirlanmis bir grup polisi ayarlari bilgisayar ayarlarini,da etkiliyebilir Ornegin