Merhaba, bu yazımda Group Policy ile Local Group’lara Nasıl Yeni Kullanıcı Eklenir? Sorusuna cevap vereceğim. Birçok sebepten dolayı Active Directory üyesi ve Windows tabanlı bilgisayarlar üzerinde local gruplara yeni kullanıcılar eklemek isteyebilirsiniz. Aslında bu işlemi bir bilgisayar üzerinde yapmak oldukça kolaydır. Local Users and Groups kısmına gelerek Groups sekmesinden kolaylıkla ekleyebilirsiniz. Fakat bu işlemi eğer birden farklı bilgisayarda yapmanız gerekli ise tek tek uğraşamazsınız. Ve bu zaman kaybı sizi oldukça etkileyecektir.
Örnek vermek gerekirse; otomatik ve merkezileşmiş operasyonel işlerde kullanmak amacıyla Active Directory içerisinde ortamdaki bütün bilgisayarlar üzerinde yerel yönetici yetkisine sahip olan bir domain user oluşturmak istediniz. Aslında bu tip operasyonel işler için Domain Administrator hesabını da kullanabilirsiniz. Ancak Domain Admins üyesi olan bir hesap gereğinden fazla yetkilere sahiptir. Yetkiden daha önemlisi ise bir güvenlik tedbiri olarak Domain Admins gibi hesapların kesinlikle kullanılmaması gereklidir.
İlk olarak yapılması gereken Active Directory and Users and Computers konsolunu kullanmak olacaktır. Burada dilediğiniz isimde bir kullanıcı hesabı oluşturmalısınız. Oluşturmuş olduğunuz bu hesabın sadece Domain Users grubu içerisinde yer alması yeterli olacaktır. Çünkü bu hesabın amacı client bilgisayarlar üzerinde yetkili olmasıdır.
Domain user account’u ortamdaki bütün bilgisayarlar local administrators grubu içerisine toplu halde üye yapabilmek için birkaç seçeneğiniz bulunmaktadır. En kolayı ve önerilen kullanım şekli Group Policy Object’dir. Group Policy’ler Active Directory organizasyonu içerisinde sunucu ve istemci bilgisayarlar üzerinde birçok operasyonel işinizi toplu bir şekilde yapmanızı sağlamaktadır. Merkezi bir şekilde oluşturularak yönetilebilirler.
Local Users and Group Policy Ayarı Nasıl Yapılır?
Bahsi geçen bu ayar Windows Server 2008 ve Windows Vista ile birlikte gelmektedir. Bundan sonraki Windows sürümlerinde de yer almaktadır. Eğer şirketteki Active Directory organizasyonunuz Windows Server 2003 ise bu Group Policy Object göremez durumdasınızdır.
İşinizi kolaylaştıracak olan bu policy ayarına ulaşabilmek için yapmanız gereken Group Policy Management konsolu içerisinde yeni bir Group Policy Object oluşturmalısınız. Hemen ardından Group Policy Preferences içerisinden Control Panel Settings ve ardından Local Users and Groups yoluna gitmelisiniz.
Burada uygulamanız için öneri şu şekilde ki; oluşturacağınız GPO’yu computer configuration içerisine uygulamalısınız. Bilgisayar yani computer bazlı group policy uygularken dikkat etmeniz gereken en önemli şey basmak istediğiniz GPO’yu etkilenmesini istediğiniz computer accounts bulundukları OU yani organizational unit üzerine uyguluyor olmanızdır. Yanlış bir yere policy’yi uygulamanız durumunda yaptığınız değişiklikler kesinlikle aktif duruma gelmeyecektir. Bunun yanında eğer kullanıcı bazlı bir ayar göndermek isterseniz user configuration tarafından user OU altında ilgili kullanıcılar yer almalıdır.
Dilediğiniz isimde bir GPO oluşturduktan sonra Local Users and Computers kısmından New ve Local Group içerisine gitmelisiniz. Açılan pencerede Action bölümü Update olarak kalmalıdır. Bu da sizin group içerisinde bir güncelleme yapmanız anlamına gelmektedir.
Group Name bölümüne geldiğiniz zaman Administrators ya da kullanıcı eklemek istemiş olduğunuz başka bir grubu seçebilirsiniz. Bunlar size daha kolay olması için tanımlanmış olan gruplardır. Bu kısımda olmayan bir grup seçmek isterseniz, direk olarak Group name bölümüne isim yazabilirsiniz. Siz bu GPO’yu uyguladığınız zaman, etkilenmiş olan bilgisayarlar üzerinde yazmış olduğunuz grup adıyla eşleşmiş olan bir grup bulunur ise belirlemiş olduğunuz kullanıcı hesabı o grup içerisine direk üye yapılacaktır. Söylediğimiz son kısımda gruba eklemek istemiş olduğunuz kullanıcı hesabını ya da hesaplarını belirledikten sonra, action kısmında add seçmiş olduğunuzdan emin olmalısınız. Çünkü bu ayar sizin ekle dediğinizi belirtmektedir. Bu işlemin hemen arkasından onay vererek tüm pencereleri kapatabilirsiniz.
Bütün bunları tamamladıktan sonra GPO hazır duruma gelmiş demektir. GPO’nuzun bağlı olduğu OU içerisindeki computer hesaplarınız bir sonraki açılış durumunda ya da bir sonraki gpupdate döngü kısmında yaptığınız değişiklik ayarını almış olacaktır. Eğer anlık olarak sunucudan update çekmek isterseniz, gpupdate /force çalıştırmalısınız. Hemen ardından Local Administrators kısmından yaptığınız değişikliği kontrol edebilirsiniz.