Group Policy İçin Best Practices Uygulamaları
Bu makalede Group Policy kullanımında ilerde yaşanabilecek sorunların ve karmaşıklıkların önüne geçmek adına standart niteliğinde önerileri yazmak istedim. Bir çoğu zaten herkesin bildiği sırlar :)
Default Domain Policy ve Default Domain Control Policy üzerinde önerilen durumlar dışında değişiklik yapmayın
Genelde hiç yapmayın derler ama durum bazen farklı olabiliyor. Default Domain Policy domain seviyesindeki varsayılan olarak AD kurulduğunda gelen ayarları içeren politikadır. Bu politika içerisinde değişiklik yaparsanız bu değişikliklerden tüm etki alanı içerisindeki bilgisayar veya kullanıcılar etkileneceğinden, özel durumlar haricinde değişiklik yapmamanız tavsiye edilir. İçerisinde hesaplar, hesapların kilitlenme ve şifre politikaları ile Kerberos politikaları bu GPO’da varsayılanda belirlenmiştir. Bunun dışında kalan ayarlar için yeni bir GPO kullanın.
Default Domain Controller Policy ise kullanıcı hakları ve denetim politikaları dışında değişiklik yapmamanız tavsiye edilir. Varsayılanda bütün Doman Controller makinelerini etkileyeceğinden dikkatli davranmanızda fayda var. Bunların dışında kalan ayarlar için yine farklı bir GPO oluşturup onun üzerinde işlem yapmalısınız.
Düzgün ve iyi tasarlanmış OU (Organization Units) kullanın
Yapınızda birbirinden farklı şehirlerde onlarca şube ve yüzlerce departman olabilir yada daha küçük bir yapıda tek bir şirket olabilirsiniz. OU (Organization Units) yapınızı iyi ayarlamanız Group Policy dağıtımlarında önemlidir ve kesinlikle dağıtım modelinize göre tasarlanmalıdır. Kullanıcılar ve bilgisayarlar için oluşturulan politikaları mümkünse aynı politikaya koymayın. Bilgisayarı ve kullanıcıları birbirine karıştırmayın. OU yapısını sadece Group Policy özelinde düşünmemekte fayda var ancak atanacak GPO’ları alması ve almaması gereken bilgisayar ve hesaplar birbirine karışırsa bu defa daha karmaşık ve önerilmeyen yollara başvurmak zorunda kalabilirsiniz.
Group Policy isimlerini kısa ve açıklayıcı tutun
Uzun isimlendirme ve sadece sizin anlayacağınız isimler kullanmayın. Siz ve ekibinizden herhangi birisi GPO isimlerine bakarak neyin ne olduğunu hızlıca anlayabilmeli. Burada şöyle bir örnekle gidilebilir;
- Bilgisayar Ayarları Windows Update : “ C_WindowsUpdate “
- Kullanıcı Ayarları Google Chrome : “ U_GoogleChrome “
- Kullanıcı Bazlı Office Ayarları : “ U_OfficeSettings ”
Group Policy Objelerinde ne yaptığınız ile ilgili yorumlar yazın
Tek başınıza veya ekipler halinde çalışsanız bile yaptığınız değişikliklere yorum eklemeniz gelecekte ne yaptığınız hakkında size bir fikir sunacaktır. Nihayetinde yıllar önce düzenlenmiş GPO’lar olabiliyor ve kendiniz bile neden yaptığınızı hatırlamadığınız durumlarla karşılaşabiliyorsunuz.
Tepeden yani site / domain seviyesinde GPO bağlamayın (Mecbur kalmadıkça)
Genelde yaşanabilecek bir durumdur. Ya uğraşılmak istenmez yada ilgili OU group policy ayarlarını almıyor diye en tepeden bir group policy bağlanır. Bir diğer neden hiç OU (Organizational Unit) oluşturulmaz. Bu üç nedenin kesişme noktası özel senaryolar haricinde domain seviyesinde bağlanan yanlış bir group policy’dir. Tebrikler ayarlarınız artık her yerde alınıyor :) ama bu ayarları onlarca sunucunuz, domain controller makineleri ve patronunuzun bilgisayarı da almakta. Şimdi tekrardan düşündüğünüzde yanlışın nerde olduğunu anlayabilirsiniz.
GPO’ları OU seviyesinde uygulayın
OU oluşturarak uygulanacak group policy’leri her OU için ayrı ayrı oluşturmak veya OU seviyesinde bağlamak daha sağlıklı olacaktır. Çünkü istemciler kendisine en yakın policy’yi alacaktır.
Default olarak gelen Active Directory klasörlerine GPO bağlamaya çalışmayın
Computers veya Users kabına doğrudan bir politika bağlayamazsınız. Bağlayabilmenizin tek yolu domain seviyesinde bağlanan bir group policy olacaktır. Bunu da neden yapmamanız gerektiğini daha önceki maddelerde açıklamıştım.
Group Policy Objelerini devre dışı bırakmayın
Bunun yerine linkini kaldırıp silin. Doğrudan silinmeyeceği için lazım olduğunda tekrar bağlama işlemi yapabilirsiniz. Hiç kullanılmayacak yada sorunlu bir obje ise temelli silebilirsiniz.
Takım halinde çalışıyor iseniz GPO da ne yaptığınızı bildirin
İşleyiş açısından es geçilen bir konudur. Sizin altınızda veya üstünüzde çalışanlar olabilir. Sabah GPO ile bir yazılım dağıtımı planlamışsınızdır ancak kullanıcılar giriş yaptığında login çok daha uzun sürebilir veya kullanıcılar yeni bir ikon gördüklerine ürkebilir :) Bu sebeplerden ötürü yapılan değişiklikler gizli değil ise bildirim yapmayı ihmal etmeyin. Teknik bir konu değil.
Enforce, inheritance ve kapsam konusunun ne olduğunu iyi anlayın
Genelde group policy objesini ilgili istemciler almayınca ilk olarak akla onu zorlamak “enforce” gelebilir. Bu durumda neyin nerden geldiğini bilmeniz bu tip yöntemlere başvurmamanız adına önemlidir. Domain seviyesinden yada lokal computer üzerinden yapılan değişikliklerin hangisinin çakışıp çakışmayacağı ve kapsamını anlamak gerekir. Yapıda bir ker enforce, block inheritance işlerine girerseniz işler zamanla çorbaya dönebilir. Tavsiyem yapıyı iyi tasarlayıp bu tip işlemlerden kaçınmanız olacaktır.
Yönetimi kolaylaştırmak adına küçük ve açıklayıcı GPO’lar oluşturun
Bir karmaşa yaşamamanız adına Office ayarları için ayrı, Chrome ayarları için ayrı, güvenlik ayarları için ayrı ayrı GPO oluşturmak işlemleri kolaylaştırır.
Group Policy işlenirken performans açısından kullanılmayan alanları devre dışı bırakın
Group Policy’nin işlenmesi performans açısından çok önemlidir. Bir OU’da onlarca obje bağlı olabilir ve bazı ayarları bazı makine veya kullanıcıların bu ayarları alamadığı durumlar yaşanabilir. Bu sorunu azaltmak adına kullanılmayan GPO ayarlarını devre dışı bırakın. Bu devre dışı bırakma işleminin küçükte olsa performansa etkisi bulunmaktadır.
- User Configuration Settings Disabled : Bilgisayar yani makine bazlı ayarlarını devre dışı bırakır.
- Computer Configuration Settings Disabled : Kullanıcı bazlı ayarları devre dışı bırakır.
VMI filters kullanımında dikkatli davranın
VMI filters kullanımının doğrudan performansa etkisi olacaktır. Bu sebepten her olası senaryoda WMI kullanmanız sorun olabilir. Client bilgisayarları VMI filtrelerini işlerken işlemci ve özellikle diske yüklenebilir. GPO işlenirken ilk logon esnasında işleniyorsa ve yüklü yazılım sorgusu gibi soruglar yapıyorsa açılış performansında gözle görülür bir perfromans kaybı olabilir. Bu durumda GPO’nun nasıl işleneceği ile ilgili değerleri gözden geçerimeniz gerekmektedir. Ek olarak vmi sorgusu yazılırken select * from şeklinde sorguya başlamanız da performansa olmusuz etki edecektir.
Yanlış :
SELECT * FROM Win32_OperatingSystem WHERE BuildNumber > ‘7000’
Doğru :
SELECT BuildNumber FROM Win32_OperatingSystem WHERE BuildNumber > ‘7000’
Gpresults ile sorunları iyi anlayın
Bir gpo’nun x makinede yada y kullanıcısında neden uygulanmadığını anlamak için gpresult komutunu kullanabilirsiniz. Sorunun ne olduğunu tespit etmek gereksiz enforce komutlarından sizi uzaklaştıracaktır.
Group Policy Objelerinizi yedekleyin
Muhtemelen DC’nin yedeğini alıyorsunuzdur ama kolay olması açısından değişiklik yapmadan önce toplu şekilde yada tek tek group policy objelerinin yedeğini almanız iyi olur.
Bu makaleyi çoğunlukla derli toplu yazmak adına bu kaynaktan esinlenerek yazdım. Unutmamak lazım ki bazen her “best practice” sizin içim “best” olmayabilir