Group Policy ile Proxy Ayarı
1 Eyl
Group Policy veya Login Script kolayca kullanıcıların etki alanı veya OU düzeyinde Proxy ayarı uygulamak mümkündür.
Active Directory Users and Computers.
Proxy uygulayacağınız OU üzerinde sağ tıklayarak Properties tıklayın ben deneme adında bir OU oluşturdum ve buraya iki tane user adında kullanıcı oluşturdum.
Group Policy tıklayın.Yeni bir Group Policy oluşturun ben proxy adını verdim.
Edit tıklayın çıkan ekranda User Configuration > Windows Settings > Internet Explorer Maintenance > Connection Proxy Settings çift tıklayarak açın.
Karşınıza çıkan ekranda Proxy ayarlarını yapılandırabilirsiniz Proxy tanımladığınız IP adresini ve Proxy portunu girin.
OK tıklayarak Proxy Settings sayfasını kapatabilirsiniz.
Group Policy Object Editor ve OU Properties kapatın artık bu OU içinde bulunan kullanıcılarınıza bir Proxy tanımladınız.
Remote Desktop Portunu Değiştirmek
11 Tem
Windows tabanlı işletim sistemlerinde uzaktan erişim için kullanılan standart port “3389″ dur. Bu portu değiştirerek güvenliğinizi bir nebzede olsa arttırabilirsiniz…
Bu işlemi regedit aracılığı ile yapabiliriz. Start > Run > Regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server\WinStations\RDP-Tcp
bölümünden PORT NUMBER Dword değerini tabanını ondalık değere çevirince 3389 standart port numarasını göreceksiniz bu değeri 0-65000 değerleri arasında bir değer vererek değişikleri kaydedip kapatalım. Bilgisayarımıza restart attıktan sonra port numarası değişecektir.
Active Directory Backup File ile Additional DC Kurulumu
11 Tem
Şirket ortamında domain bilgilerinin sağlama alınması ve bu bilgilerin tutulduğu 2. bir serverın olması hayati önem taşımaktadır. Bu yüzden de şirkette additional yani ilave, ek bir server kurarız. Bu server domainin bir kopyasını tutar dolayısıyla asıl serverımız çökse bile bu server onun yerine çalışmaya devam eder. İkisi beraber de çok rahat çalışır. Siz bu serverların herhangi birinde bir kullanıcı, ou vs. gibi bir domain nesnesi oluşturduğunuz an bu bilgiler diğerine de replike edilecek ve aynısından orda da oluşacaktır.
Additional DC aynı ortamda network üzerinden, farklı ortamlarda ise asıl DC’deki Active Directory’nin yedeğinin alınıp diğer servera taşınması ve o yedeğin uygun bir klasöre restore edilip komutla kurulmasından da yapılabilir. Her iki durumda da ana DC ile Additional DC’nin dataların replikasyonu için iletişim kurabilmesi gerekir. Farklı lokasyon için bunu VPN yardımıyla çok rahat halledebilirsiniz…
İşte bu hayati önem taşıyan Additional DC’nin nasıl oluşturulduğunu hep beraber görelim
Kurulum Aşamaları:
1-PDC(Primary DC) üzerinden NTBACKUP ile System State ‘in Backup alınması
2-PDC ‘den alınan Backup ‘ın ADC ‘ye taşınması
3-ADC(Additional DC) üzerinde Backup’ın Restore Edilmesi
4-ADC üzerinde Restore edilen Backup ile ADC kurulumu
1-PDC üzerinden NTBACKUP ile System State ‘in Backup alınması
Primary Domain Controller rolünü üstlenen makinamız üzerinde NTBACKUP komutunu çalıştırıyoruz
Klasik bir Welcome Screen bizi karşılayacaktır Next diyerek geçiyoruz.
Bu aşamada BACKUP alacağımız için “Backup files and Settings” seçiyoruz.
Burada da neleri Backup’lamak istediğimizi soruyor. Biz Active Directory Database’ini içeren “System State” backup’ını alacagımız için“Let me choose what to back up” seçeneğini işaretliyoruz.
“System State” seciyoruz ve Next diyoruz.
Backup dosyamızı kaydedeceğimiz dizini browse edip belirleyebiliriz sonrasında tekrar Next diyoruz.
Finish diyoruz ve Active Directory Database’imizin yedeği belirttiğimiz dizine kopyalanmaya başlıyor.
PDC ‘den alınan Backup ‘ın ADC ‘ye taşınması
Sıra Geldi Bu yedeği ADC(Additional Domain Controller) olarak yapılandıracagımız makinamıza taşımaya.Eger bu Makina aynı lokasyonda ise Network uzerınden değilse bir Medya(Cd-DVD-External HDD-Usb Disk) yardımı ile en basit yoldan bu sorunu çözüyoruz
Backup dosyamızı ADC ‘a taşıdığımızı varsayarak 3ncü aşamaya geçiyorum
3-ADC(Additional DC) üzerinde Backup’ın Restore Edilmesi
ADC olarak yapılandıracağımız makinamız üzerinde NTBACKUP ‘ı çalıştırıyoruz.
Yine Welcome Screen Next diyerek ilerliyoruz.
Şimdi Backup dosyamızı Restore Edeceğimiz için Restore Files and Settings secenegı ıle devam edıyoruz.
Backup dosyamızı yukledıgımız dızınden seciyoruz.
Tekrar Next diyoruz.
Finish tıklıyoruz.
ADC üzerinde Restore edilen Backup ile ADC kurulumu
Start => Run => dcpromo /adv komutunu çalıştırıyoruz.
Karşımıza yine Wizard geliyor Next diyerek ilerliyoruz.
Sistem uyumluluk uyarıları veren bu ekranıda Next dıyerek gecıyoruz.
Additional Domain Comtroller kuracağımızı belirterek Next diyoruz.
Active Directory Backup dosyamızı Restore ettiğimiz klasörü secip Next diyoruz.
Domain Admin Account bilgilerini girerek kuruluma devam ediyoruz.
Domain Admin Account bilgilerini girerek kuruluma devam ediyoruz.
Default olarak kuruluma devam etmenızı öneririm Next
Tekrar Next
Restore işlemleri için bir şifre girerek devam ediyoruz.
Kurulum özeti bilgileri geliyor karşımıza Next diyerek devam edelim.
Kurulum işlemimiz başladı.
Ve bitti Finish diyoruz.
Makinamızı restart etmek zorundayız.
Hepsi bu kadar Arkadaşlar.Şimdi ADC ve PDC bilgisayarlarımız kendi aralarında replikasyon yapıyorlar mı test edelim.
PDC(Primary Domain Controller Makinadayız)
“Active directory Sites And Services” tıklıyoruz.
Her iki DC ‘yi görebiliyoruz şimdi replikasyon yapmayı deniyoruz
Sorunsuz bir şekilde replikasyon işlemimiz gercekleşmiştir.
“PDC” üzerinde açacagınız herhangi bir USER yada OU Actıve Dırectory uzerındekı butun ıslemlerınız eszamanlı olarak ADC uzerınde uygulanacaktır.
Disk Volume Types
10 Tem
Windows 2003 Server kurulumu yapıldıktan sonraki en önemli aşamalardan biri elbette ki disk yönetimidir. Bu yönetim esnasında kullanılacak disk yönetim stratejisi bir hayli önem kazanmaktadır.
Disk yönetimi
Diskler 2 ye ayrılırlar Basic ve Dynamic.
Basic Diskler
Basic Disk MS-DOS uygulamalarından bu yana süregelen bir disk sistemidir.Win9x ve günümüzde de kullanımı bilinen XP-Pro ve Server2003 dahi bu sistemi destekler.Win2K3 Server Kullanıcıları genelde bu disk yapısını dual-boot esnasında kullanırlar.Eğer ki dual-boot gibi bir zorunluluk yoksa en mantıklısı Dynamic disk yapısını seçmektir.
Dynamic Diskler
Sınırsı volume oluşturabilme imkanı tanır.Mirrored,Striped,Raid-5,Extended volume tipleridir.Basic diskten Dynamic ‘e geçilir fakat aksi durumda ( Dynamic ‘ten Basic ‘e) veri kaybı yaşanmadan gerçekleştirilemez.Bu durumda önce yedek alınır daha sonra convert to basic disk işlemi yapılır ve data recover edilerek basic disk ortamına dönülmüş olunur.
Dynamic disklerde farklı yapılarda olabilirler.
Simple Volume
Dynamic disk üzerindeki boş alanlardan oluşan volume tipidir.
Spanned Volume
2 – 32 Disk arasında spanned volume yapılabilir.Bütün disklerin boyutları aynı olmak zorunda DEĞİLDİR!!!. Boşluklar birleştirilerek tek bir sürücü şeklinde gösterilerek kullanımı gerçekleşir.Fault-tolerance yoktur.Disklerden biri arızalandığında bütün data kaybolur.
Artıları
* Sisteminizde birden fazla HDD sürücüsü var ver siz bunu tek bir hdd altında toparlamak istiyorsanız bu volume tipi seçilebilir.
* Disklerdeki boşluk alanların tamamı kullanılır.Birinci disk dolduktan sonra 2 ye 2dolduktan sonra 3 ve bu şekilde devam eder.
Eksileri
* Fault Tolerance hakkı yoktur.1 Diskin arızalanması tüm datayı kaybetmenize sebep olur.
* System ve Boot partition’larını içeremez.
Örneğin
Elinizde 3 Adet Physical ( fiziksel ) hard diskiniz var.Bunlar sırasıyla 25-55-220GB şeklinde olsunlar.Bunları Tek bir hdd altında toplamak isterseniz.Elinize geçecek olan tek hdd’nin boyutu 300 GB olacaktır.
Striped Volume
RAID-0 adıyla da bilinen Striped volume tipi 2-32 disk arasında oluşturulabilir.Bütün diskler aynı boyutta olmalıdır.Spanned volumeden farklıdır.Data bölünerek 2 diske de aynı anda yazılır.Daha hızlı read (okuma) ve write(yazma) olanağı sağlanmış olur.Fakat faul-tolerance hakkı yoktur disklerden birinin arızalanması datayı kaybetmenize sebep olur.
Artıları
* Size daha hızlı okuma ve yazma hızı sunar.
Eksileri
* Striped Volume’de kullanılacak Hdd’lerin tümü aynı boyutta olmalı.
* Fault-tolerance hakkı yoktur.Disklerden biri arızalandığında tüm veri kaybolur.
* System ve Boot partitionlarını içeremez.
Örneğin
Elimizde 3 adet HDD var. Sırasıyla 60 – 85 – 90 GB Boyutlarındadırlar.
Striped volume yapmak istendiğinden sistem en az GB’ı olan baz alınarak kurulur yani tüm diskler 60GB esas alınarak toplamda 180GB lık bir hdd olarak kullanılır.
Mirrored Volume ( RAID-1 )
RAID-1 olarak ta bilinen bu volume tipi 2 diskten oluşmalı ve disk boyutlarının aynı olması zorunluluğundadır.Fault-tolerance hakkı vardır.Birinci diskteki datayı aynı anda ikinci diske de yazarak.Disklerden birinin arızalanması durumunda ikinci diskteki datayı kullanır.Bunun yanında bu işlem gerçekleşirken read & write performansı artar.System ve boot partitionlarını içerebilir.
Artıları
* Fault tolerance hakkı mevcuttur.Data kaybı fazla yaşanmaz.
* Boot ve System partition’u olabilir.
* NT 4.0 bünyesinde mirror setini upgrade ediyorsanız bu işlemini basic disk üzerinde aynı şekilde devam ettirir.
* FAT ve NTFS sistemlerinin ikisini de destekler
* RAID-5 e göre sistem hafızasını daha az kullanır.
Eksileri
* 2 Disk olma zorunluluğu
* Disk boyutlarının aynı olma zorunluluğu
* Disk Boyutunda %50 Kayba Neden Olur.
Örneğin
Elimizde 50 – 50 GB’lık iki hdd var ve Mirrored sistemini kullanacaksak elimizde sadece 50 GB’lık bir HDD olmuş olur
RAID-5 Volume Type
Fault-tolerance hakkı bulunan Striped volume olarak bilinir.En az 3 diskten oluşmak zorundadır.Data ilk iki diske yazıldıktan sonra 3diske de eşdeğer olan parity ‘i yazar.Disklerden birinin arızalanması durumunda data kaybı yaşanmaz ve kurtarılabilir.FAT ve NTFS sistemlerini destekler.RAID-5 Mirrored yapısına oranla daha ekonomiktir.Yazma performansı normal ama okuma performansı hızlıdır.Yüksek oranda sistem hafızası kullanır.
Artıları
* FAT ve NTFS Sistemlerini destekler.
* Fault-tolerance hakkı vardır.
* Mirrored yapısına oranla %50 kazanç sağlar.
Eksileri
* Fazla sistem hafızası kullanır.
* Disk boyutları aynı olmak zorundadır.
* System ve boot partition’ları içeremez.
Örneğin
Elimizde 3adet disk ve bunlar sırasıyla 400 – 500 – 250 GB’tır.Oluşturulacak RAID-5 sistemi 250′nin katı esas alınarak 750GB olarak oluşur.
Group Policy ile USB Flash Disk Engelleme
10 Tem
USB Flash Disk kullanımını engellemek için Logon.vbs scripti.
Uzun süredir şirjetimizde ki kullanıcıların USB Flash Disk kullanmalarını engellemeye çalışıyorduk. İnternetten çektiğimiz templatelerden bir çoğu sağlıklı çalışmadı. Registry değerlerinde bir kaç değişiklik yapan Logon Scripti ile sorunun önüne geçmiş olduk.
Script aşağıdaki gibidir. Notepad e kopyalayıp yapıştırarak dosyayı Logon.vbs olarak kaydedin. Daha sonra group policyde User Configuration altında, Windows Settings altındaki Scripts (Logon/Logoff) bölümünde Logon kısmına girerek Add ‘i tıklayın.Daha sonra Browse ‘ı tıklayın.
DİKKAT!! kaydettiğiniz Logon.vbs dosyasının orjinal yeri Browse ‘ı tıkladığınızda açılan yer olmalı.
Bende Logon.vbs dosyasını kaydettiğim yer;
\\domainim.corp\SysVol\domainim.corp\Policies\{8B4F3F26-DB81-40F6-87FE-1080A0DCDD4C}\User\Scripts\Logon klasörü.
Daha sonra pencereleri Ok diyerek kapatın. start>run>gpupdate /force yapın tamamdır.
Script Kodu:
Set WshShell = CreateObject(“Wscript.Shell”)
WshShell.RegWrite “HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\\\\WriteProtect”, 1, “REG_DWORD”
WshShell.RegWrite “HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\\\\Start”, 4, “REG_DWORD”
Set WshShell = Nothing
Sysprep Aracının Kullanılması
10 Tem
Sysprep, sistem yöneticileri, Özgün Donanım Üreticileri (OEM) ve Windows XP işletim sistemini birden çok bilgisayara otomatik olarak dağıtması gereken diğer kullanıcılar için tasarlanmıştır. İlk kurulum adımlarını tek bir bilgisayarda gerçekleştirdikten sonra, Sysprep aracını çalıştırıp örnek bilgisayarı kopyalamaya hazırlayabilirsiniz.
Sysprep aracını çalıştırma gereksinimleri
Sysprep aracını kullanabilmeniz için, bilgisayar donanımınızın ve ilgili aygıtların aşağıdaki gereksinimleri karşılaması gerekir:
Başvuru bilgisayarı ve hedef bilgisayarlar uyumlu HAL’lere sahip olmalıdır. Örneğin, Gelişmiş Programlanabilir Kesme Denetleyicisi (APIC) tabanlı MPS’lerde (çok işlemcili sistemler) aynı APIC HAL olmalıdır. Standart bir HAL Programlanabilir Kesme Denetleyicisi (PIC) tabanlı sistem, APIC HAL veya MPS HAL ile uyumlu değildir.
Başvuru bilgisayarı ve hedef bilgisayarlarda aynı Gelişmiş Yapılandırma ve Güç Arabirimi (ACPI) desteği olmalıdır.
Başvuru bilgisayarı ve hedef bilgisayarlardaki modemler, ses kartları, ağ bağdaştırıcıları ve ekran kartları gibi Tak ve Kullan aygıtlarının aynı üreticinin ürünleri olması gerekmez. Ancak, bu aygıtların sürücüleri olmalıdır.Üçüncü tarafa ait disk görüntüleme yazılımları veya disk çoğaltma donanım aygıtları gerekmektedir. Bu ürünler, bir bilgisayarın sabit diskinin ikili görüntülerini oluşturur ve bu görüntüyü başka bir sabit diske kopyalar veya ayrı bir diskteki bir dosyada saklar.
Hedef bilgisayardaki sabit diskin boyutu en az başvuru bilgisayarındaki sabit diskin boyutuna eşit olmalıdır. Hedef bilgisayarın daha büyük bir sabit diski varsa, aradaki fark birincil bölüme eklenmez. Ancak, birincil disk bölümü NTFS dosya sistemi kullanılarak biçimlendirilmişse, Sysprep.inf dosyasındaki ExtendOemPartition anahtarını kullanarak bu bölümü genişletebilirsiniz.
Başvuru bilgisayarını Sysprep dağıtımına hazırlama
Windows XP’de, bir başvuru bilgisayarını Sysprep dağıtımına hazırlamak için şu adımları izleyin:
1. Hedef bilgisayarlarınıza yüklenmesini istediğiniz işletim sistemini ve diğer programları başvuru bilgisayarına yükleyin.
2. Başlat’ı ve sonra Çalıştır’ı tıklatın, cmd yazın ve Tamam’ı tıklatın.
3. Komut satırında, C sürücüsünün kök klasörünü değiştirin ve md Sysprep yazın.
4. Windows XP işletim sistemi CD’sini, uygun CD-ROM veya DVD-ROM sürücüsüne yerleştirin ve \Support\Tools klasöründeki Deploy.cab dosyasını açın.
5. Sysprep.exe ve Setupcl.exe dosyalarını Sysprep klasörüne kopyalayın.
Not Sysprep.inf dosyasını kullanırsanız, bu dosyayı da Sysprep klasörüne kopyalayın. Sysprep aracının düzgün çalışabilmesi için, Sysprep.exe, Setupcl.exe ve Sysprep.inf dosyalarının aynı klasörde olması gerekir.
6. Windows XP işletim sistemi CD’sini sürücüden çıkarın.
7. Komut satırında, cd Sysprep yazıp Sysprep klasörüne geçin.
8. Sysprep aracını çalıştırmak için, komut isteminde aşağıdaki komutu yazın:
Sysprep /isteğe bağlı parametre
Not Kullanabileceğiniz parametrelerin listesi için, “Sysprep parametreleri” bölümüne bakın.
Sysprep.exe dosyasını %systemdrive%\Sysprep klasöründen çalıştırırsanız, Sysprep.exe dosyası, çalışmasını tamamladıktan sonra tüm klasörü ve içeriğini kaldırır.
9. Microsoft, Sysprep.exe dosyasını başvuru bilgisayarında çalıştırdıktan sonra, NetBIOS çakışmalarını engellemek amacıyla, başvuru bilgisayarını görüntünün dağıtılacağı yerel ağdan çıkarmanızı önerir. Bu, Sysprep aracının Kurulum programını tamamlamasına, belirtilen etki alanına bağlanmasına ve Sysprep.inf yanıt dosyasında belirtilen yeni bilgisayar adını kullanmasına olanak sağlar.
Sysprep.inf yanıt dosyasını oluşturma
Sysprep.inf yanıt dosyası, bir dizi grafik kullanıcı arabirimi (GUI) iletişim kutusu için yanıtları komut dosyası haline getiren bir metin dosyasıdır. Sysprep aracının kullandığı bir Sysprep.inf yanıt dosyası oluşturmak için, bir metin düzenleyicisi veya Windows XP CD’sinde ve Microsoft Windows XP Kaynak Setinde bulunan Kurulum Yöneticisi aracını kullanabilirsiniz. Yanıt dosyası Sysprep.inf olarak yeniden adlandırılmalı ve Windows XP’nin yüklü olduğu sürücünün kökündeki Sysprep klasöründe bulunmalıdır; bu dosyalar, bir diskette de saklanabilir. Sysprep klasörü farklı adlandırılırsa, Kurulum programı bu klasörü yok sayar. Mini Kurulum Sihirbazı yanıt dosyasını belirlemek için kullanılabilecek bir parametre yoktur.
Sysprep.inf yanıt dosyası biçim ve parametreleri
Sysprep.inf yanıt dosyasının biçim ve parametreleri, Windows XP için Unattended.txt dosyasıyla aynıdır; ancak, yalnızca aşağıdaki bölümler ve parametreler desteklenir:
[Unattended]
ExtendOemPartition
OemPnPDriversPath
OemSkipEula
InstallFilesPath
KeepPageFile
ResetSourcePath
UpdateHAL
UpdateUPHAL
UpdateInstalledDrivers
TapiConfigured
[GuiUnattended]
AdminPassword
Autologon
AutoLogonCount
OEMDuplicatorString
OEMSkipRegional
OEMSkipWelcome
TimeZone
[UserData]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[LicenseFilePrintData]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[GuiRunOnce]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[Display]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[RegionalSettings]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[Networking]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[Identification]
Unattend.txt dosyasıyla aynı girdi kümesini destekler.
[TapiLocation]
[Sysprep]
[SysprepMassStorage] bölümündeki girdileri otomatik olarak oluşturur.
[SysprepMassStorage]
Aynı görüntüyü farklı toplu depolama aygıtları olan bilgisayarlarda kullanmanıza izin verir.
Kurulum Yöneticisi aracını kullanarak Sysprep.inf yanıt dosyasını oluşturma
Kurulum Yöneticisi aracını yüklemek ve bir yanıt dosyası oluşturmak için şu adımları izleyin:
1. Bilgisayarım’ı açın ve ardından Windows XP CD’sindeki Support\Tools klasörünü açın.
2. Deploy.cab dosyasını çift tıklatıp açın.
3. Düzen menüsünde, Tümünü Seç’i tıklatın.
4. Düzen menüsünde, Klasöre Kopyala’yı tıklatın.
5. Yeni Klasör Oluştur’u tıklatın.
Kurulum Yöneticisi klasörü için kullanmak istediğiniz adı yazın ve ENTER tuşuna basın. Örneğin, setup manager yazın ve ENTER tuşuna basın.
6. Kopyala’yı tıklatın.
7. Oluşturduğunuz yeni klasörü açın ve Setupmgr.exe dosyasını çift tıklatın. Windows Kurulum Yöneticisi Sihirbazı başlatılır.
8. Sihirbazdaki yönergeleri izleyip, bir yanıt dosyası oluşturun.
Bir yanıt dosyası oluşturma hakkında ek bilgi için, Microsoft Knowledge Base’deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
308662 NASIL YAPILIR: Windows 2000′de Kurulum Yöneticisi kullanarak bir yanıt dosyası oluşturma (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
Sysprep parametreleri
Windows XP’de, aşağıdaki isteğe bağlı parametreleri Sysprep komutu ile kullanabilirsiniz:
-activated – Windows ürün etkinleştirmesi için kabul süresini sıfırlama. Bu parametreyi, yalnızca Windows kurulumunu fabrikada etkinleştirdiyseniz kullanın.
Önemli Windows kurulumunu etkinleştirmek için kullandığınız ürün anahtarı, bu bilgisayara yapıştırılan COA etiketindeki ürün anahtarıyla aynı olmalıdır.
-audit – Bilgisayarı, yeni güvenlik kimlikleri (SID) oluşturmaya veya Winbom.ini dosyasının [OEMRunOnce] bölümündeki öğeleri işlemeye gerek kalmadan, Fabrika modunda yeniden başlatır. Bu komut satırı parametresini, yalnızca bilgisayar zaten Fabrika modundaysa kullanın.
-bmsd – [SysprepMassStorage] bölümündeki kullanılabilen tüm toplu depolama aygıtlarını doldurur.
-clean – Sysprep.inf dosyasındaki [SysprepMassStorage] bölümü tarafından kullanılan kritik aygıtlar veritabanını temizler.
-factory – Windows’a Hoş Geldiniz veya Mini Kurulum’u görüntülemeden, ağ etkinleştirilmiş bir durumda yeniden başlatır. Bu parametre, sürücüleri güncelleştirmek, Tak ve Çalıştır numaralandırması çalıştırmak, programlar yüklemek, sınama yapmak, bilgisayarı müşteri verileriyle yapılandırmak veya fabrika ortamınızda başka yapılandırma değişiklikleri yapmak için kullanışlıdır. Disk görüntüleme (veya klonlama) yazılımı kullanan şirketlerde, Fabrika modu, gereken görüntü sayısını azaltabilir.
Fabrika modundaki tüm görevler tamamlandığında, Sysprep.exe dosyasını -reseal parametresi kullanılarak çalıştırıp, bilgisayarı son kullanıcıya teslim edilmek üzere hazırlayın.
-forceshutdown – Sysprep.exe dosyası tamamlandıktan sonra bilgisayarı kapatır.
Not Bu parametreyi, Sysprep.exe dosyasının varsayılan davranışıyla düzgün kapatılmayan bir ACPI BIOS’a sahip bilgisayarlarla kullanın.
-mini – Microsoft Windows XP Professional’ı, Windows’a Hoş Geldiniz yerine Mini Kurulum kullanacak biçimde yapılandırır. Bu parametre, ilk çalıştırma deneyiminin her zaman Windows’a Hoş Geldiniz olduğu Microsoft Windows XP Home Edition’ı etkilemez.
Sysprep.inf dosyasını Mini Kurulum’un otomatik olarak gerçekleştirilmesi için kullanmayı düşünüyorsanız, Sysprep aracını -mini anahtarıyla çalıştırmalı veya GUI arabiriminde MiniSetup onay kutusunu tıklatıp seçmelisiniz. Varsayılan olarak, Mini Kurulum’u çalıştırmayı seçmezseniz, Windows XP Professional, Windows’a Hoş Geldiniz’i çalıştırır.
-noreboot – Bilgisayar yeniden başlatılmadan veya kopyalamaya hazırlanmadan, kayıt defteri girdilerini (SID, OemDuplicatorString ve diğer kayıt defteri girdilerini) değiştirir. Bu parametre, genelde sınama amacıyla ve özellikle de kayıt defterinin düzgün değiştirilmiş olup olmadığını görmek için kullanılır. Microsoft, bu seçeneği önermemektedir; çünkü Sysprep.exe çalıştırıldıktan sonra değişiklik yapmak, Sysprep.exe dosyası tarafından tamamlanan hazırlığı geçersiz kılabilir. Bu parametreyi bir üretim ortamında kullanmayın.
-nosidgen – Sysprep.exe dosyasını, yeni SID’ler oluşturmadan çalıştırır. Bu parametreyi, Sysprep.exe dosyasını çalıştırdığınız bilgisayarı çoğaltmıyorsanız veya etki alanı denetleyicilerini önceden yüklüyorsanız kullanmalısınız.
-pnp – Mini Kurulum sırasında, tam Tak ve Çalıştır aygıt numaralandırmasını ve önceki aygıtların kurulumunu çalıştırır. İlk çalıştırma deneyimi Windows’a Hoş Geldiniz olduğunda, bu komut satırı parametresinin bir etkisi yoktur.
-pnp komut satırı parametresini, yalnızca Tak ve Çalıştır olmayan önceki aygıtları algılamanız ve yüklemeniz gerektiğinde kullanın. sysprep -pnp komut satırı parametresini, yalnızca Tak ve Çalıştır aygıtlar kullanan bilgisayarlarda kullanmayın. Aksi durumda, kullanıcıya hiçbir ek fayda sağlamadan ilk çalıştırma deneyimi süresini artırmış olursunuz.
Not İmzasız sürücüler kullanmanız kaçınılmazsa, -pnp komut satırı parametresi yerine, UpdateInstalledDrivers=yes parametresini OemPnPDriversPath= ve DriverSigningPolicy=ignore ile birlikte kullanarak daha sorunsuz bir kurulum sağlayın.
-quiet – Sysprep.exe dosyasını, ekranda onay iletileri görüntülenmeden çalıştırır. Bu, Sysprep.exe dosyasını otomatikleştiriyorsanız kullanışlıdır. Örneğin, Sysprep.exe dosyasını katılımsız Kurulum programı tamamlanır tamamlanmaz çalıştırmayı planlıyorsanız, sysprep -quiet komutunu, Unattend.txt dosyasının [GuiRunOnce] bölümüne ekleyin.
-reboot – Bilgisayarın otomatik olarak yeniden başlatılmasını zorlar ve ardından Windows’a Hoş Geldiniz Mini Kurulum veya Fabrika modunu başlatır. Bu, bilgisayarı denetlemek ve ilk çalıştırma deneyiminin başarıyla gerçekleştiğini doğrulamak istediğinizde kullanışlıdır.
-reseal – Olay Görüntüleyicisi günlüklerini temizler ve bilgisayarı müşteriye teslim edilmeye hazır hale getirir. Windows’a Hoş Geldiniz veya Mini Kurulum, bilgisayarın bir sonraki başlatılışında çalışacak biçimde ayarlanır. sysprep -factory komutunu çalıştırırsanız, önceden kurulum işleminin son adımı olarak kurulumu mühürlemelisiniz. Bunu yapmak için, sysprep -reseal komutunu çalıştırın veya Sysprep iletişim kutusunda Reseal düğmesini tıklatın.
DHCP Kurulumu
10 Tem
DHCP Kurulumu
DHCP kurulumu adım adım aşağıdaki gibidir:
1. “Control Panel”deki “Add or Remove Programs” simgesine çift tıklıyoruz.
2. Açılan pencerede “Add Romove Windows Components” düğmesine tıklıyoruz.
“Networking Services”i seçip “Details” düğmesine basıyoruz.
“Networking Services” iletişim kusunda “Dynamic Host Configuration Protocol (DHCP)” servisinin solundaki kutucuğu işaretleyip “OK” düğmesine basıyoruz.
“Next” düğmesine basıp sihirbazın devam etmesini sağlıyoruz.
Sihirbaz Windows Server 2003 kurulum dosyalarına ihtiyaç duyabilir. Bu durumda kurulum CD”sini isteyecektir.
Son olarak kurulumu bitirmek için “Finish” düğmesine basıyoruz.
DHCP servisini kurmak, sunucunun çalışması için yeterli değildir. DHCP sunucusunu Domain ortamında servis sunabilmesini sağlamak için “Authorize” (Yetkilendirme) etmek gerekir. Daha sonra da IP adresi havuzu ve diğer yapılandırma bilgilerini belirtmek için “Scope” oluşturmak gerekir.
Authorize Etme
Bir DHCP sunucusunun, servis sunabilmesi için yetkilendirilmesi gerekir. Bu işlemi sadece “Enterprise Admins” grubu üyesi olan kullanıcılar yapabilir. Yetkilendirme, kötü niyetli bir kullanıcının, networkte başka bir DHCP Server oluşturup karışıklık çıkarmasını engeller.
Bir DHCP Server”ı “Authorize” etmek için:
Start, Programs, Administrative Tools ve son olarak “DHCP” ye tıklıyoruz.
DHCP Server yönetim konsolunda Server’a sağ tıklayıp “Authorize” komutunu veriyoruz.
Scope Oluşturma
DHCP Server’ın, hangi IP adreslerini dağıtabileceğini, IP yapılandırma bilgilerini ve kira süresi gibi bilgileri Scope oluşturarak belirleriz. Scope oluşturmak için:
Start menüsündeki Administrative Tools alt başlığındaki DHCP yönetim konsolunu tıklıyoruz.
Açılan yönetim konsolunda Server’a sağ tıklayıp “New Scope” komutunu veriyoruz.
Açılan sihirbazda “Next” düğmesine basıyoruz.
Scope için bir isim ve tanımlama giriyoruz ve “Next” düğmesine basıyoruz.
Scope’un adını belirttikten sonra sıra bu Scope’un dağıtacağı IP adreslerini belirlemeye geliyor. Buraya bir IP adresi aralığı girip “Next” düğmesine basıyoruz.
• Start IP address: Scope’da verilebilecek il IP adresi.
• End IP address: Scope’da verilebilecek son IP adresi.
• Length: IP adreslerinin ilk kaç bitlerinin network kısmı olduğunu belirler.
• Subnet mask: Verilecek Subnet Mask’ı belirler.
DHCP sunucusunun, belirttiğimiz aralıktaki tüm IP adreslerini dağıtmasını istemeyebiliriz. Aşağıdaki şekildeki gibi sistemin dağıtmasını istemediğimiz bu IP adreslerini belirleriz.
Kapsamdaki IP adresleri istemcilere kiralanma yoluyla dağıtılmaktadır ve kapsamı oluşturuyorken IP adreslerinin kira süreleri de belirtilmelidir. Sihirbazın Kira Süresi ekranında IP Adreslerinin istemcilere ne kadar süreyle kiralanacağını belirleyebilirsiniz. Varsayılan kira süresi sekiz gündür. Çoğu LAN için varsayılan değer kabul edilebilir bir değerdir, ancak bilgisayarlar sık taşınmıyorlarsa veya yer değiştirmiyorlarsa, bu değer daha da artırılabilir. Ayrıca, sonsuz kira süreleri de ayarlanabilir, ancak dikkatli bir şekilde kullanılmalıdır. Kira süresini gün, saat ve dakika olarak belirleyip “Next” düğmesine basıyoruz.
İstemciler için temel TCP/IP yapılandırma ayarlarını belirledikten sonra, çoğu istemci, DHCP sunucusunun DHCP seçenekleri aracılığıyla başka bilgiler de vermesine gereksinim duyar. Bu seçenekleri ister yeni Scope oluşturma sırasında ister Scope’u oluşturduktan sonra belirleyebiliriz. Scope oluştururken belirtmek istersek “Yes, I want to configure these options now” seçeneğini, daha sonra belirtmek istersek “No, I will configure these options later” seçeneğini işaretleriz. Bu örnekte Scope oluştururken belirleyeceğiz.
Networkumuz de bulunan “Router”ın IP adresini yazıp “Next” düğmesine basıyoruz.
Ağda bir DNS sunucusu varsa bu sunucunun IP adresi istemcilere DHCP seçenekleri yoluyla atanabilir.
• Parent Domain : İsim çözümlemesinde kullanılacak domain adı.
• Server Name : DNS sunucusunun adı. Bu kısmı belirtmek gerekli değildir.
• IP Address : DNS Sunucularının IP adresleri. Networkte birden fazla DNS sunucusu olabilir. Hepsinin IP adresi bu alana girilebilir. İstemci bilgisayarlar bu listedeki ilk DNS sunucusuna sorgu atarlar ulaşamazlarsa ikinci ve üçüncüyü denerler.
• Resolve : Adı yazılan DNS sunucusunun IP adresinin otomatik olarak bulunmasını sağlar.
Eğer ortamda NetBIOS tabanlı sistemlere yönelik bir veya birden fazla WINS sunucusu varsa sihirbazın WINS Sunucuları kısmında listeye bu sunucuların IP adreslerini ekleyerek istemcileri WINS sunuculardan haberdar edebiliriz.
Oluşturulan Scope’un çalışabilmesi için etkinleştirilmesi gerekir.Bu adımda “Yes I want to activate this scope now” seçeneğini işaretlersek scope etkinleştirilir. Scope’u daha sonra etkinlerştirmek istiyorsak “No I will activate this scope later” seçeneğini işaretlemeliyiz.
Son olarak “Finish” düğmesine basarak sihirbazı sonlandırıyoruz.
Rezervasyon
Rezervasyon, belirli bir istemcinin her zaman aynı IP adresini almasını garantiler. Network Interface Print Device’lar ya da File Server gibi sunucular için kullanılabilir.
Rezervasyon yapmak için:
1. DHCP yönetim konsolunu açıyoruz.
2. “Reservations” klasörüne sağ tıklayıp “New Reservation” komutunu veriyoruz.
3. Açılan iletişim kutusuna (Şekil 15) gerekli bilgileri girdikten sonra “Add” düğmesine basıyoruz.
• Reservation Name : Rezervasyon adı. Yönetici tarafından belirlenir.
• IP address : Rezerve edilmek istenen IP adresi. Scope’da verilebilecek bir IP adresi olmak zorundadır.
• MAC Address : İstemci bilgisayarın MAC adresi.
• Description : Yönetici tarafından belirlenen tanımlayıcı bilgi.
• Suppoted Type : İstemcinin kira oluşturma sürecinde kullanacağı protokol.
DHCP ( Dynamic Host Configuration Protocol )
10 Tem
1. DHCP Tanımı
DHCP, IP adreslerini ve ağda kullanılan diğer yapılandırma detaylarını merkezi olarak yönetebilmek için tasarlanmış bir IP standardıdır. Microsoft Windows Server 2003 ailesinin herhangi bir üyesi DHCP sunucusu olarak yapılandırılabilir ve ağdaki DHCP etkin bilgisayarlara DHCP hizmeti sunabilir.
DHCP istemci-sunucu modeline dayanan bir protokoldür. Ağ yöneticisi, istemcilere sağlaması için TCP/IP yapılandırma bilgilerini kendi veritabanında saklayan bir veya birden çok DHCP sunucusu kurar. Bu veritabanı aşağıdaki bilgileri içerir:
• Ağdaki tüm bilgisayarlar için geçerli yapılandırma parametreleri.
• İstemcilere atanmak üzere bir havuzda saklanan geçerli IP adresleri, ayrıca el ile atamak için ayrılmış adresler.
• Sunucu tarafından sunulan kira süresi. Kira, atanan IP adresinin kullanılabileceği süreyi tanımlar.
Ağda bir DHCP sunucusu kurulu ve yapılandırılmışsa, IP adres ataması otomatikleştirilmiş olan istemcilerin TCP/IP yapılandırmaları ağa her bağlandıklarında dinamik olarak gerçekleşecektir.
2. DHCP Kullanım alanı
Aynı ağdaki bilgisayarların birbirinden farklı IP adreslerine sahip olmaları gerekmektedir. Bir bilgisayarın IP adresi ve Alt Ağ Maskesi hem o bilgisayarın bulunduğu alt ağı hem de o alt ağdaki kendine özgü adresini belirler. DHCP sunucusunun görevi ise bu ağ ortamında bilgisayarların IP adres yapılandırmasını kolaylaştırmak ve yönetimini merkezileştirmek için kullanabiliriz.
DHCP’nin etkin olduğu ağlarda bilgisayarlar IP adreslerini DHCP sunucusunun IP adres veritabanından edinirler. DHCP’nin etkin olmadığı bir ağda ise her bir bilgisayarın ağ yapılandırması ancak manuel olarak gerçekleştirilebilir. Ufak çaplı bir ağ ortamında bu çok karmaşık bir iş gibi görünmese de büyük çaplı ağlarda zahmetli ve yorucu bir iştir. Manüel yapılandırılmış bir ağda IP adreslerinin yönetimi zorlaşacaktır ve bu ağ ortamında çakışmalar da gerçekleşebilir.
DHCP kullanmamanın sebep olacağı bir diğer sorun ise bilgisayarların farklı alt ağlara taşınması durumunda IP adreslerinin tek tek yeniden yapılandırılması gereğidir. Bir bilgisayar farklı bir alt ağa geçtiğinde, yeni ağdaki bilgisayarlarla iletişime geçebilmesi için, IP adresi ve alt ağ maskesi değiştirilmesi gerekir. Bu işlemin sayıca fazla miktarda bilgisayar için gerçekleştirilmesi ise iyice yorucu ve zor bir iş olacaktır, ve yine adresler manüel olarak yapılandırıldığından yanlışlıklar da ortaya çıkacaktır.
Bu noktada DHCP, stabil ve güvenilir bir ağ ortamı oluşturmak için büyük avantajlar sunmaktadır. İster küçük çaplı olsun ister büyük, ister durağan isterse de çok sık değişen bir ağ yapısı olsun, ortama eklenecek bir DHCP sunucusu yönetimi büyük ölçüde kolaylaştıracaktır. Mesela ortamda sık yer değiştiren bilgisayarlar var ise ( laptop veya daha başka gezici bilgisayarlar), DHCP’deki kira süresinin kısaltılması sayesinde istemci daha kısa zaman aralıklarında yeni IP adresini isteyecektir.
Bir bilgisayarın TCP/IP yapılandırması önceden de değinildiği üzere iki şekildedir;
• Statik Yapılandırma: Bilgisayarın IP adresi, yönetici tarafından yazılır. Network’teki tüm bilgisayarların tek tek dolaşılması gerekir. Bir bilgisayarın IP adresini statik olarak belirlemek için:
1. Masaüstündeki “My Network Places” simgesine sağ tıklayıp “Properties” komutunu veriyoruz.
2. Açılan pencerede, IP ayarlarını belirlemek istediğimiz bağlantıya sağ tıklayıp “Properties” komutunu veriyoruz.
3. Karşımıza çıkan pencerede “Internet Protocol (TCP/IP)”yi seçip “Properties” düğmesine basıyoruz.
4. Internet Protocol (TCP/IP) Properties iletişim kutusunda “Use the following IP Address” seçeneğini işaretleyip, IP adresi ve diğer bilgileri giriyoruz.
• Dinamik Yapılandırma: Bilgisayar, IP adresi ve diğer yapılandırma bilgileri için DHCP Server’a başvurur. Tüm IP ayarları otomatik olarak DHCP Server tarafından sağlanır. Bilgisayarı dinamik yapılandırmak için yukarıdaki Şekildeki “Obtain an IP address automatically” seçeneğini işaretlememiz yeterlidir.
3. DHCP ile ilgili kavramlar
• Scope: Bir ağ için olası IP adreslerinin birbirini izleyen tam aralığıdır. Kapsamlar normal olarak, ağınızda kendisine DHCP hizmetleri sunulan tek bir fiziksel alt ağı tanımlar. Kapsamlar, aynı zamanda sunucunun ağdaki istemcilere, IP adreslerini ve ilgili tüm yapılandırma detaylarını dağıtması ve ataması için başlıca yolu sağlar.
• SuperScope: Üst kapsam aynı fiziksel alt ağda bulunan birden çok mantıksal IP alt ağını desteklerken kullanılabilecek kapsamların yönetimsel gruplandırmasıdır. Üst kapsamlar, yalnızca birlikte etkinleştirilebilecek üye kapsamlar veya alt kapsamlar için liste içerir.
• Exclusion Range: Dışlama aralığı, kapsamdaki DHCP hizmeti sunumlarından dışlanan sınırlı IP adresleri sırasıdır. Dışlama aralıkları, bu aralıklardaki hiçbir adresin, sunucu tarafından ağınızdaki DHCP istemcilerine sunulmamasını güvence altına alır.
• Address Range: Bir DHCP kapsamı tanımlayıp dışlama aralıklarını uyguladıktan sonra, geri kalan adresler kapsamda kullanılabilir adres havuzunu oluşturur. Havuzdaki adresler, sunucu tarafından ağınızdaki DHCP istemcilerine dinamik atama için seçilebilir.
• Lease: Kira, DHCP sunucusu tarafından belirlenen ve bir istemci bilgisayarın kendisi için atanan IP adresini kullanabileceği süredir. İstemci için kira belirlendiğinde, kira etkin durumdadır. Kira süresi dolmadan önce istemcinin normal olarak sunucuyla adres kirası atamasını yenilemesi gerekir. Bir kiranın süresi dolarsa veya sunucudan silinirse, kiranın etkinliği sona erer. Bir kiranın süresinin ne zaman dolacağını ve istemcinin kirayı sunucuyla hangi sıklıkta yenilemesi gerektiğini, kiranın süresi belirler.
• Reservation: DHCP sunucusu tarafından kalıcı bir adres kira ataması oluşturmak için rezervasyon kullanılır. Rezervasyonlar, alt ağda belirtilen bir donanım aygıtının her zaman aynı IP adresini kullanmasını güvence altına alır. Aynı donanımın her zaman aynı IP adresini alması, donanımın fiziksel adresi (MAC) sayesinde sağlanır.
• Scope Options: Seçenek türleri DHCP istemcilerine kira sunarken bir DHCP sunucusunun atayabileceği diğer istemci yapılandırma parametreleridir. Örneğin, ortak kullanılan bazı seçenekler, varsayılan ağ geçitleri (yönlendiriciler), WINS sunucuları ve DNS sunucuları için IP adreslerini içerir.
4. Kira Oluşum Süreci
Bilgisayarlar, IP adreslerini otomatik olarak alabilmek için, ortamdaki DHCP sunucu ile haberleşmek zorundadırlar. Bu haberleşme “Broadcast” mesajlarıyla yapılır. Karşılıklı ve sırayla atılan mesajların sonucunda istemci bilgisayar IP adresi ve diğer yapılandırma bilgilerini öğrenmiş olur.
Bu mesajlar:
• DHCP Server Arama (DHCPDISCOVER): İstemci bilgisayar eğer DHCP sunucunun etkin olduğu ağda ilk kez IP adresi kiralayacaksa, önce DHCPDISCOVER mesajını broadcast yoluyla ağda yayınlar. İstemci bu mesajın içine kendi fiziksel (MAC) adresini de ekler.
• DHCP Öneri (DHCPOFFER) : DHCP sunucu istemcinin yayınladığı DHCPDISCOVER mesajını yakalar ve istemciye kendi Scope veritabanındaki ilk uygun IP adresini önermek için yine broadcast yoluyla DHCPOFFER mesajını yayınlar. Bu mesaj broadcast olduğu için tüm bilgisayarlara iletilir fakat mesajın içeriğinde istemci bilgisayarın MAC adresi yazılarak olası karışıklık önlenir.
• DHCP İstek (DHCPREQUEST) : İstemci DHCP sunucudan gelen öneri mesajını alır ve sunucuya bu IP adresi için istemde bulunduğunu belirten DHCPREQUEST mesajını broadcast yoluyla yayınlar. İstemci bu mesajın içine DHCP sunucunun fiziksel (MAC) adresini ekler.
• DHCP Kabul (DHCPACKNOWLEDGMENT) : DHCP sunucu istemciden gelen istek mesajını kabul ettiğini belirten bir DHCPACK mesajını yine broadcast yoluyla yayınlar ve istemci IP adresini edinmiş olur.
Bu rutinden sonra istemci DHCP sunucudan edindiği IP adresinin bulunduğu alt ağda kullanılıp kullanılmadığını test eder ve eğer kullanılmıyor ise kendisi kullanmaya başlar.
IP adresi istemci bilgisayara “Lease Duration” denilen bir süre için verilir. Bu sürenin yarısına ulaşıldığında istemci bilgisayar, sunucuya bir DHCPREQUEST mesajı yollar ve süreyi yeniler. Bu durum istemci bilgisayar hiç kapanmazsa gerçekleşir.
İstemci kapatılırsa, yeniden açılırken yine DHCPREQUEST mesajı yollar fakat bu mesaj broadcasttir.
Kira yenileme işlemi manuel olarak da yapılabilir. Bunu için “ipconfig /renew” komutunu kullanırız.
5. DHCP Gereksinimleri
DHCP Sunucu Gereksinimleri:
• Sunucu tipi bir işletim sistemi kurulu olmalı (Microsoft Windows Server 2003 Ailesi)
• DHCP Server hizmeti kurulu ve çalışıyor olmalı
• Statik olarak atanmış bir IP adresi, Alt Ağ Maskesi ve Varsayılan Ağ Geçidi
• Ağdaki istemcilere kiralamak ve atamak için oluşturulmuş bir IP adres aralığı
DHCP İstemci Gereksinimleri:
• Microsoft Windows NT 5.0 tabanlı işletim sistemleri (2000, XP, 2003)
• Microsoft NT Server 3.51 veya sonrası, Windows NT Workstation 3.51 veya sonrası bir işletim sistemi
• Microsoft Windows for Workgroups v3.11 (TCP/IP-32 yüklü olmalı)
• Microsoft MS-DOS (MS-DOS Microsoft Network Client v3.0 yüklü olmalı ve real-mode TCP/IP sürücüsü bulunmalı)
• Microsoft LAN Manager v2.2c (OS/2 işletim sistemi için LAN Manager 2.2c desteklenmez)
• Bunların dışında çoğu Microsoft harici işletim sistemi DHCP sunucudan IP alabilir. Sonuçta DHCP bir endüstri standardıdır
Group Policy
10 Tem
Günümüzde bilgisayarlar ev yada iş ortamlarında çok yaygın olarak kullanılmaktadır. Özellikle internet’in çok geniş kullanımı da göz önüne alındığında bilgisayarların ihtiyaç duyduğu güvenlik göz ardı edilemeyecek bir hal alır.
1. Policy Nedir?
Günümüzde bilgisayarlar ev yada iş ortamlarında çok yaygın olarak kullanılmaktadır. Özellikle internet’in çok geniş kullanımı da göz önüne alındığında bilgisayarların ihtiyaç duyduğu güvenlik göz ardı edilemeyecek bir hal alır. Tabi ki bu söz konusu ettiğimiz güvenlik seviyesi, kurumlar, networkler ve bilgisayarın hangi işlevde kullanılıyor olduğuna bağlı olarak değişiklik göstermektedir. Örnek olarak 10 bilgisayardan oluşmuş ve sadece günlük yazışmalar için kullanılan bir network ile, belki binlerce bilgisayardan oluşmuş, bankacılık alanında hizmet veren bir network’un ihtiyaç duyduğu güvenlik seviyesi aynı değildir. İşte bu değişik seviyelerde ki güvenlik ihtiyaçlarını policy’ler ayarlamaktadır.
Policy’ler, güvenliğin yanı sıra kullanıcıların ihtiyaç duyduğu çalışma ortamlarının yaratılması, kullanıcılara belli bazı hakların verilmesi veya kısıtlanması, kullanıcıların ihtiyaç duyduğu programların kurulması gibi manuel yapıldıklarında çok zaman harcayacak işlemlerin merkezi bir yerden otomatik yapılmasına izin veren yönetimsel araçlar olarak tarif edilebilir.
Policy’nin çalışması obje tabanlıdır. Tıpkı Microsoft Word’ün bilgiyi .DOC uzantılı dosyada saklaması gibi, policy ile uygulanmasını istediğimiz ayarlar ve kurallar Group Policy Object (GPO) dediğimiz dosyalarda saklanır. Bu bahsettiğimiz kuralların belirlenmesi ve yaratılması için Group Policy Editör!ü kullanırız. Yarattığımız GPO (Group Policy Object) bilgisayar tarafından okunur ve belirtilen ayarlar makine tarafından işlenerek gereken ayarlamalar yapılır.
Genel olarak iki tür policy’nin varlığından söz edebiliriz. Bunlardan ilki tek bir bilgisayar için düzenlenen ve bilgisayarda yerel olarak bulunan policy’dir. İkinci tür policy domain ortamında merkezi bir yerden (Domain Controller) ayarlanıp birden fazla bilgisayar için düzenleme yapan policy’dir. Bir bilgisayara local (yerel) ve domain policyleri aynı anda uygulanabilir. Ama her zaman domain grup policy yerel policy’e göre üstünlük sağlar. Bu konuya daha sonra tekrar döneceğiz. Şimdi local (yerel) Policy’lerin nasıl çalıştığından ve nasıl düzenlendiğinden bahsedelim
2. Policy Türleri
Genel olarak iki tür policy’nin olduğu söylenebilir. Local policyler ve domain ortamında bir den çok bilgisayara aynı anda uyugulanabilen Group Policy. Uygulanma yöntemi ve hazırlanışı farklı olsa da her iki policy türünün amacı aynıdır. Bilgisayarda security, temel bazı kullanıcı hakları gibi konularda düzenlemeler yapmak. Local policyleri hazırlamak ve uygulamak için Local Group policy, Security Configuration and Analysis gibi araçlar kullanılırken, domain policy’de Active Directory ve Domain Group Policy kullanılır.
3. Uygulanma Sırası
Policy’lerin uygulanmasının belli bir sırası vardır. Bu sıranın anlaşılması için öncelikle Group Policy Container’in ne olduğunu açıklamamız gerekir. Group Policy Container (GPC) bir policy’nin uygulandığı yerdir. Bu yer Site, Domain ya da Organizational Unit (OU) olabilir. İşte Group Policy’nin uygulanabildiği bu noktalara GPC yani Group Policy container denir. Bir de domain’den bağımsız olarak her bir bilgisayara uygulanabilen policy vardır ki biz buna Local Policy adını veriyoruz. Kendisine local policy uygulanmış bir bilgisayar aynı zamanda bir Domaine üye olabilir. Üye olduğu domainde içinde bulunduğu container’a göre sırasıyla site, domain, sonrasında OU ve en nihayetinde local policy’lerden etkilenebilir. Farklı policylerin uygulanma sırası sayesinde çıkabilecek karmaşa bir nebze olsun önlenmeye çalışılmıştır. Buna göre her seviyede uygulanmış Policy’nin belli bir sırası vardır. İlk olarak uygulanan policy bilgisayarın local policy’sidir. Daha sonra sırasıyla Site, sonra Domain ve en nihayetinde OU seviyesinde uygulanmış olan policy uygulanır ve her zaman en son uygulanmış olan policy’nin kuralları geçerli kalır. Şayet değişik seviyelerde uygulanmış olan policyler arasında çakışma yoksa yukarıdan aşağıya olmak kaydıyle bütün policyler geçerli olurlar.
1. Local policy
2. Site seviyesinde uygulanmış Group policy
3. Domain seviyesinde uygulanmış Group policy
4. OU seviyesinde uygulanmış Group policy
4. Windows Üzerindeki Genel Policy Ayarları
Local Policy (Yerel Policy)
Bir domaine üye olsun olmasın, bir bilgisayarın güvenlik ihtiyacını yada belli bazı yerel hakların tanımlanması için local policy’den faydalanırız. Local policy’nin ayarlanmasını ya GPO (Group Policy Object), yada Template (şablon)leri kullanarak yapabiliriz. Template önceden hazırlanmış değişik seviyelerdeki policy şablonları olarak ifade edilebilir.
Localde kullanılmak üzere Group Policy’i yaratmak için yine MMC consolundan ulaştığımız Group Policy Object Editor’ü kullanırız. Şimdi bu snap-in’i biraz yakından tanıyalım. Group Policy Objec Editor’u açmak için:
1. Start / Run menusünden MMC yazıp Enter tuşuna basarız.
2. Açılan boş yönetim konsolunda “File” menusünden “Add/Remove snap-in” komutunu veririz.
3. Karşımıza çıkan “Add stand alone Snap-in” iletişim kutusunda “Add” düğmesine basarız.
“Add Standalone Snap-in” iletişim kutusunda “Group Policy objectEditor”ü seçip “Add” düğmesine basarız.
“Select Group Policy Object” iletişim kutusunda “Local Computer” seçili iken “Finish” düğmesine, ardından “Close” ve “OK” düğmelerine basarız
Karşımıza Local Group policy yönetim konsolu çıkar.Buradaki ayarları kullanarak local bilgisayarı yapılandırabiliriz.
Şekilde göründüğü gibi policy’nin iki ana menüsü vardır; Computer configuration (bilgisayar ayarları) ve User configuration (kullanıcı ayarları). İsimlerinde de anlaşılacağı üzere bilgisayarın kendisi üzerinde yapılacak ayarlar computer configuration kısmından, kullanıcıyı ilgilendiren ve direk kullanıcı göz önüne alınarak yapılacak ayarlamalar User configuration’dan yapılır. Computer Configuration’da yapılacak bir ayarlama bilgisayarı kullanan kullanıcıdan bağımsız olarak bizzat bilgisayarın kendisine uygulanır. Söz gelimi kendisinde kritik bilgilerin bulunduğu, bu nedenle de yüksek güvenlik gerektiren bir workstation, A ve ya B kullanıcısından bağımsız olarak bir takım güvenlik kurallarını zorunlu olarak isteyebilir. Bu tarz bir ihitiyaç karşısında computer configuration’da yapılan değişiklik kullanıcıdan bağımsız olarak istenir. Aynı şekilde bir güvenlik ihtiyacı bilgisayara değil de kullanıcının kendisine de uygulanmak istenebilir. Bu durumda güvenlik ihtiyacı sadece user configuration’da ayarlanarak o bilgisayarı kullanabilecek başka kişiler göz ardı edlilmemiş olur. Domain ortamında domain üyesi bütün bilgisayarlar, kullanıcıya uygulanmış kuralları Domain Controller’dan alarak kullanıcıya uygularlar. Tabi bu dediğimiz, ileride bahsedeceğimiz policy’ler arasında çakışma yada Loopback processing söz konusu değilse olur. Şimdi Group Policy Object Editor’ün ana menülerine bir göz atalım.
Computer Configuration
• Software settings: Bu kısım, Group Policy Domain ortamında uygulanıyorsa Policy’nin uygulandığı bilgisayarlara merkezi bir yerden program kurmaya yarar. Local Group Policy’de kullanılmaz.
• Windows Settings: Bu bölümde iki alt menu halinde güvenlik ve script çalıştırma ile ilgili ayarlar bulunur.
* Scripts (start up/Shutdown): Bu Menu altında bilgisayarı başlatırken (start up) ve kapanırken (shutdown) bilgisayar tarafından çalıştırılacak scriptler atanabilir.
* Security Settings: Bu menu altında Windows’un güvenlik ile alakalı ayarları yapılabilir.
• Administrative Templates : Bu bölümde Windows’un Registry tabanlı ayarları düzenlenir. Bilindiği gibi Registry Windows’un kayıtlarının tutulduğu yerdir. Önceden hazırlanmış bazı şablon registry ayarları ile işletim sisteminin bazı fonksiyonları kısıtlanabilir yada nasıl davranacağı belirlenebilir. Sözgelimi kullanıcının ağ ayarlarına ulaşmasına yada Run menusüne ulaşmasına engel olunabilir. Burada yapılan değişiklikler registry’de HKEY_LOCAL_MACHINE altında gerçekleşir. Normal şartlar altında burada yapılacak değişiklikler normal bir registry editor kullanılarak da elde edilebilir.
Bu arada registry’nin Windows’un çok önemli kayıtlarının tutulduğunu belirtmekte fayda var. İstenmeyen bir değişiklik yanlışlıkla yapılırsa Windows normal bir şekilde başlamayabilir.
User Configuration
• Software Settings : Aynı Computer ayarlarında olduğu gibi buradaki menu kullanılarak merkezi bir yerden program kurulumu sağlanır. Tek fark kurulan program bilgisayardan çok kullanıcının user accountuna atanır. Bunun anlamı Group Policyde kendisine program atanan kullanıcı domain içindeki başka bir bilgisayarı kullanmaya başlarsa, atanan programlar kullanıcı tarafından hala ulaşılabilir demektir. Söz konusu programlar kullanıcıyı bir anlamda takip ederler.
• Windows Settings : Bu menuden log on/ log off scriptleri, remote installation ile ilgili seçenek ayarları ve Internet Explorer ile alakalı ayarları yapmak mümkündür.
• Administrative Templates : Bu menu de registry tabanlı ayarlar ve kısıtlamaların yapıldığı alandır. Burada yapılan değişiklikler registryde Hkey_Current_User altında yapılırlar. Kullanıcıların desktop, start menu gibi ortamlarının düzenlemesi bu kısımdan yapıldığı için burası Group Policy’de çok sık kullanılır.
Domain Policy
Bu policy’ler domain’deki container’lardan (Site, Domain, Organizational Unit) uygulanan ve aynı anda bir çok bilgisayarı ve kullanıcıyı etkileyen policy’lerdir. Bu policy’ler, sadece domainde uygulandıkları container’ın altındaki bilgisayarları ve kullanıcıları etkiler.
5. Domain Policy’ler Kullanılarak Kullanıcı Ortamının Yönetilmesi
Domain Group Policy’ler aracılığı ile, güvenlik ayarları, işletim sisteminin kullanıcıya davranışı ve kullanıcının çalışma ortamını denetleyebiliriz. Domain ortamında Group Policy’nin uygulanması her ne kadar Group policy Object Editor’den edit edilecek Group Policy seçilerek yapılabilecekse de genelde Active Directory Sites and Services snap-in’i ile Active Directory Users and Computers snap-in’lernin ilgili yerlerinden hareketle Group Policy Editor’un çağrılması ve gerekli değişikliklerin yapılması şeklinde olur. Yukarıda da anlattığımız gibi Domain Group Policy site, domain ya da OU seviyesinde uygulanabilir. Domain yada OU seviyesinde Group Policy uygulanacaksa Active Directory Users and Computers, eğer site seviyesinde Group policy uygulancaksa Active Directory Sites and Services kullanılır.
Bir GPO yaratmak için:
1. Administrative Tools menüsündeki “Active Directory Users and Computer” aracını başlatırız.
2.GPO uygulamak istediğimiz container’a sağ tıklayıp “Properties” komutunu veririz.
3.Açılan iletişim kutusunda “Group Policy” sekmesine geliriz.
Bu sekmede :
• New : Yeni bir GPO yaratır.
• Add : Mevcur bir GPO’yu bu container’a uygulamak için kullanılır.
• Edit : Listede, seçili olan GPO’yu yöneten konsolu açar.
• Options : GPO seçeneklerini ayarlamak için kullanılır.
• Delete : Seçili GPO’yu siler.
• Properties : Seçili GPO’nun özelliklerini görüntüler.
4. Yeni bir GPO oluşturmak için “New” düğmesine basarız.
5. Oluşan GPO’yu yapılandırmak için “Edit” düğmesini kullanırız.
6. Policy’ lerde Çakışma Durumları ve Miras
Bir bilgisayara iki farklı policy’lerin uygulanabildiğini biliyoruz. Domain Group policy’nin ise üç farklı seviyede uygulanabilir. Uygulanan policy’ler arasında çakışma olabilir. Çakışma, (conflict) iki policy’nin aynı seçenek üzerinde iki farklı ayar belirtmesi durumudur. Söz gelimi domain seviyesinde konumlanmış bir policy maximum password age için 15 gün limitini koyarken, daha alt seviyede bulunan bir OU’da aynı limit için 20 gün belirtilmişse iki policy arasında çakışma olmuş demektir. Çakışmanın olması için mutlaka policy’ler arasında seviye farkının olmasına gerek yoktur. Aynı container’a uygulanmış iki policy’de kendi aralarında çakışabilirler. Şimdi çakışma durumunda neler olduğuna bakalım
Üst seviyede konumlanmış bir policy çakışma olmadığı müddetçe bütün ayarlarını alt seviyelerdeki container’lara miras (Inherit) yoluyla geçirir bu durumda çakışma söz konusu değildir. Aynı NTFS permissionlarında olduğu gibi üst seviyedeki policy kurallarını alt seviye container’lara iletir.
Aralarında çakışma olan iki policy arasında her zaman en alt seviyedeki policy’nin kuralları geçerli olur. Söz gelimi OU seviyesindeki policy her zaman geçerli sayılır. Dikkat edilirse burada genelden özele doğru bir tercih söz konusudur. Bilgisayarın local’ine uygulanmış Policy en üst seviyede uygulanmış policy kabul edilerek (local policy’nin domain ile bir ilgisi bulunmadığı ve her hangi bir local adminin local policy oluşturabileceği gerçeğinden hareketle) sırasıyla Site, domain ve nihayet OU sıralaması geçerlidir.
Şayet çakışan policy’ler aynı container üzerindeyse Group Policy’lerin sıralandığı pencerede ün üst seviyede listelenen GPO her zaman öncelik alır. Öncelik sırasını değiştirmek için UP ve DOWN tuşları kullanılarak GPO’nun listedeki yerleri değiştirilebilir.
Block, No Override
Bazı durumlarda özellikle büyük ve nispeten çok sayıda GPO’nun uygulandığı domainlerde Group Policy’den istenen sonucun alınması için yukarıda saydığımız kuralların dışına çıkmamız gerekir. Böyle durumlarda işimize yarayacak üç işlem şunlardır
• Block : Bazı durumlarda yukarıda anlattığımız policy’nin alt seviyedeki container’lara geçmesini (Inherit etmesi) istemeyebiliriz. Örnek olarak şifrelerin 8 karakterden fazla karakterden oluşmasını zorunlu kılan policy’nin IT bölümünde çalışanların oluşturduğu OU için geçerli olmamasını isteyebiliriz. Böyle bir durumda yapmamız gereken şey üst seviyede bulunan policy’den miras almasını istemediğimiz container üzerinde sağ tıklayıp properties menusüne geçmek, oradan Group policy tabına geçtikten sonra alt tarafta bulunan “Block Policy inheritance” check box’ını işaretlemek olacaktır. (Şekil 7) Bunu yaptığımızda OU yukarıda bulunan hiçbir policy’den miras almayacaktır
• No Override : Yukarıda ki çözüm bize istediğimizi verdi. Yani söz konusu OU için artık şifrelerimiz 8 karakterden daha kısa olabilecektir. Ama aynı şekilde daha üst seviyede bulunan ve mesela IPsec policy tanımlayan başka bir policy olabilir. Yaptığımız çözüm yukarıdan alınan bütün policy’lerin miras yolu ile geçmesini durduğu için aynı zamanda IPsec policy’nin de OU’ya miras yolu ile geçmesine engel olacaktır. Bu istenen bir şey değildir. Böyle bir durumda yapılması gereken şey, Block policy inheritance ile engellenemeyecek bir policy oluşturmaktır. Her hangi bir policy’yi No Override özelliği ile donatırsak, alt seviyelerde bulunan bir OU’da Block yapılmışsa dahi, policy geçerliliğini sürdürür ve alt seviye containerlarına inherit eder. Bir policy’yi No Override yapabilmek için GPO üzerinde sağ tuş ile tıklar, gelen sağ tuş menusunden “No Override” seçeneğini seçeriz. Böylece policy’yi No Override (ezilemez) yapmış oluruz.
Mac Os X 10.6 Snow Leopard Kurulum
10 Tem
Apple Nihayet Beklenen Kar Leoparını Eylül Ayında Duyurdu. Türkiye’ de Maselef Mac Os Kullanıcı Sayısı Azınlıkta Bu Sebepledir Ki Ülkemizde Mac Os İşletim Sistemini Hakkında Pek Kaynak Yok. Bu Makalemizde Siz Değerli Okurlarımıza Apple’ ın Şuan Gayet İyi Satış Rakamlarına Ulaştığı Mac Os X 10.6 Snow Leopard Kurulumu İle Alakalı Yardımcı Olmaya Çalışacağız.
Öncelikli Olarak Şu Genel Kanıdan Kurtulmanızı Rica Edeceğiz KiMac Os X 10.6 Zannedildiği Gibi Karışık, Yönetimi Zor Bir İşletim Sistemi Dildir. Aksine Kurulumundan Yönetimine Kullanıcı Tarafında Oldukça Basitleştirilmiş Bir Yapıya Sahiptir. Kurulum İçin İhtiyacınız Sadece Mac Os X 10.6 Snow Leopard Kurulum DVD’ si ve Mac’ iniz 
1.Kuruluma Başlamadan Önce Kurulum DVD’ nizi DVD Sürücünüze Yerleştirin.
2.Bilgisayarınız Kapalıyken Power Tuşuna Basın. Açılış Esnasında ALT tuşuna Basılı Tutun.
3.Karşınıza Apple BOOT Screen Gelecek. Burda Eski İşletim Sisteminiz Varsa Eski Diskiniz Gözükücektir Biraz DVD Sürücünüzdeki Mac Os X 10.6 Snow Leopard DVD’ sini Okuyana Kadar Bekleyin. Boot Ekranına Kurulum DVD’ si Belirdikten Sonra Seçip Enter’ la Devam Edin.
4. Karşınıza Dil Seçimi Yapacağınız Kısım Gelecek. Apple Maselef Mac Os X ‘ ten Sonra Türkçe Dil Paketini Standart Kurulumdan Kaldırdı. İnternet Üzerinden Biraz Araştırma İle Türkçe Dil Paketini Bulmak Mümkün Ancak Bizim Tavsiyemiz İngilizce Kullanmanızdır Zira Sistem Update’ lerinden Tam Anlamıyla Faydalanmanız Ancak Bu Şekilde Mümkün Olacaktır. İsteyenler Apple Türkiye Distiribitörü Bilkom’ un Sitesinden Türkçe Dil Paketini Manuel Olarak İndirebilirler.
5. Bu Ekranda Hiç Zaman Kaybetmeye Gerek Yok Continue Deyip Devam Edin.
6. Lisans Sözleşmesini Kabul Edip Devam Ediyoruz.
7. Eğer Sıfır veya Diski Yenilenmiş Bir Makinaya Kurulum Yapıyorsanız Bu Uyarıyla Karşılaşmanız Gayet Normal Çünkü Henüz Diskinizi Mac OS Extended (Journaled) ile Biçimlendirilmedi. Diskinizi Formatlamak İçin Kurulum Ekranın Üst Kısmındaki Menüden Utilities’ e Gidip Burdan Disk Utility’ yi Açıyoruz.
8. Disk Utility Aracını Tüm Ayrıntılarını Anlatan Bi Makaleyi Daha İlerki Zamanlardaki Yayınlıyacağız. Şimdilik Kurulum İçin Kurulum Yapacağımız Diski Seçip Partition Bölümünden Mac Os Extended (Journaled)’ ı Seçip Diskimizi Formatlıyoruz. Formatlama İşlemi Tamamlandıktan Sonra Disk Utility’ ı Kapatıp Kurulum Ekranına Dönüyoruz.
9. Artık Disk İle Alakalı Bir Sıkıntımız Olmadığı İçin Uyarı Ortadan Kalkacak. Kurulum Yapabileceğimiz Diskler Görüntülenecektir. Burda Standart Kuruluma Devam Edeceksek Install Tuşuna Basıp Devam Edebilirsiniz ve Kurulum Başlar. Ancak İsterseniz Customize Diyip Kurulumunuzu Özelleştirebilirsiniz.
10. Apple Felsefesi Gereği Kullanıcıya Fazla Uğraştırmamak Üzere Birçok Eklentiyi Varsayılan Ayarlarda Yükler Fakat Disk Alanından Kazanmak Adına Bu Ekranda Kullanmayı Düşünmediğiniz Eklentileri Kaldırabilirsiniz. Bu Kısımdaki İşiniz Bittiyse Ok Tuşuna Ardından Install Tuşuna Basın. Kar Leoparınız Kuruluma Geçicektir.
11. Kurulum Bittikten Sonra Cihazınız Reset İsteyecektir. Cihazınız Açıldıktan Sonra Gerisi Tamamen Kişisel Bilgileriniz. Cihaz Siden Kullanıcı Adı / Bilgisayar Adı vb… Bilgileri İsteyecektir.
Mac Os X 10.6 Snow Leopard Kurulumunu Başarıyla Bitirdiniz. Tebrikler.
Bu yazı Sevgili Arkadaşım Güngör Güzel tarafından hazırlanmış.