Open in app

Sign in

Write

Sign in

Intune ile Group Policy Ayarları Çakışırsa Kim Kazanır?

Bölüm 10 — MDM (Intune) ile Group Policy çakışma durumunda kim kazanır?

Ahmet Doruk
4 min readSep 13, 2022

Group Policy ile aşina olan herkes bilirki bilgisayar yada kullanıcı kendisine en yakın politikayı alır ve çakışma/çatışma durumunda ise bilgisayar yada kullanıcı için ona en yakın Group Policy ayarı uygulanır. Kısaca “OU > Domain > Site” şeklinde aklınızda kalabilir. Bu kuralın değişebilmesi için bazı istisnalar da elbette geçerli. Mesela “block inheritance” , “Loopback Processing Mode” yada Group Policy nesnesi “Enforce” edilmesi gibi gibi durumlar varsa işlenme sırasında farklılık oluşacaktır. Peki işin içine bir de Mobile Device Management (MDM) yani Intune girdiğinde nasıl bir durum oluşur? Intune mu yoksa Group Policy mi kazanır?

MDM, Group Policy, Win, Intune, Conflict, çakışma

Intune ile Group Policy’nin hibrit kullanımında bu çakışmalar doğal olarak gerçekleşebilir. MDM konusu yeni ve modern bir yaklaşım olduğundan bildiğimiz Group Policy’nin yıllardır eksik kalan yönleri düşünülerek intune ile kapatılarak farklı bir noktaya evrimleşmiş. Özellikle Intune Reports ile powershell ve üçüncü parti pahalı yazılımlarla alınabilen ve çoğunlukla karmaşık olan raporlar basit bir şekilde alınabilmekte. Bu arada Intune için kendi özelinde de çakışma senaryoları var. Intune’da kendi içerisinde bir kullanıcı yada bilgisayara birden fazla çakışan ayar uygulanırsa kim kazanır konusunu da basitçe özetlersek;

  • Uyumluluk ilkeleri her zaman yapılandırma profillerine göre baskın gelir.
  • İki uyumluluk ilkesi aynı kapsama uygulanırsa en kısıtlayıcı olan uygulanır.
  • Bu ayarlar Windows cihazlar için geçerlidir.

Intune panelinde başka cihazların çakışma yönetimleri de var. MacOS, IOS ve Android cihazların (ilerde muhtemel Linux) buradan inceleyebilirsiniz.

Group Policy İle Intune Ayarlarının Çakışma Senaryosu

conflict, group policy, intune, mdm, endpoint manager, endpoint

İlk olarak Intune üzerinden çakışmanın yaşanabileceği bir ayar yapıyorum. Çakışanın olması için ilgili ayarın hem group policy ile hem intune ile tetikleniyor olması gerektiğini hatırlatayım.

Temanın son kullanıcılar tarafından müdahale edilmesini engellemek amacıyla bir ayar yapacağım. Kontrol amaçlı ekran görüntüsü aşağıda. Tema üzerinde değişiklik yapmanızda bir kısıtlama olmadığını görebilirsiniz.

conflict, çakışma, group policy, intune, tema, temalar, ayar
Temayı kaydet aktif durumda

Panel ayarlarım İngilizce çünkü yönetim şablonları başka bir dili desteklemediğinden içeriği boş gelmesin diye İngilizce tutuyorum.

yapılandırma, profil, intune, katalog

Settings catalog seçtikten sonra isim veriyoruz.

Daha sonra Next ile ilerleyip değişiklik yapacağımız ayarı seçiyoruz.

ayar seçici, settings picker, intune, mdm
Prevent changin theme (user)
profile, intune, settings, group policy
Ayarın “enabled” olması gerekiyor.

Daha sonra atayacağımız kullanıcıları seçerek ilerliyoruz.

assigment, intune, conflict, çakışma

Review + create dedikten sonra artık ya ayarların eşitlenmesini bekleyeceksiniz (8 Saatte 1) yada Şirket Portalından Eşitle seçeneği ile hızlıca eşitlenmesini sağlamalısınız.

şirket portalı, eşitleme, uygulama, mdm

Ben eşitlemeyi yaptıktan sonra temanın değiştirilip değiştirilemediğini kontrol ettiğimde ayarın başarılı bir şekilde uygulandığını teyit ediyorum.

tema, windows, intune, pasif
Bu ayarlardan bazıları gizlidir veya kuruluşunuz tarafından yönetilir yazıyor ayrıca temayı kaydet pasif çünkü değişiklik yapmasına izin verilmiyor.

Intune’da işlemlerimizi tamamladıktan sonra Group Policy için Active Directory sunucumda Group Policy Management konsolunda yeni “Çakışma Testi Local DC” isimli bir GPO oluşturuyorum.

gpo, group policy, çakışma, çatışma, DC

User Configuration > Administrative Templates > Personalization > Prevent changing theme = Disabled

prevent changing, theme, windows, group policy, çakışma

Ayarları bu şekilde yaptıktan sonra kaydediyorum. Group Policy nesnesini kaydettikten sonra ilgili GPO’yu etkilenmesini istediğim OU’ya bağlıyorum.

group policy, link, ou, user, intune
İlgili OU’ya Link an Existing GPO seçeneğini kullanarak bağlıyorum.
group policy, ordering, link order

Şimdi sonucu test etmek için client makinemde gpupdate /force komutunu yazdım ve sonuç aşağıdaki gibi.

gpupdate, force, /, temalar, çakışma, devre dışı

Kazanan Group Policy oldu. Yani bilgisayar veya kullanıcıya en yakın ayar yine baskın ayar oldu. O halde sıralamayı yeniden yapalım. Group Policy ve Intune işlenme sırası: OU > Domain > Site > Intune

Bu sıralamanın da değişebileceği durumlar var. Senaryo gereği Intune’dan yaptığımız bir ayarın baskın ayar olmasını istersek ne yapmamız gerkeiyor? Birden çok seçenekle bu uygulanabilir ama en kapsayıcı ayar bu konuda zaten Intune içerisinde gelmektedir ki bana göre aynı zamanda en doğru yötemdir. İlk olarak Intune panele girerek uyguladığımız politikanın konfigürasyon ayarlarını tekrardan düzenleyerek yeni ayar eklememiz gerekiyor. “MDM Wins Over GP” ayarını seçerek “The MDM poşciy is used and the GP policy blocked” olarak seçerseniz Group Policy ayarı bloklanarak MDM ayarı uygulanıyor. Aslında iki ayarı çakıştırmak yerine Group Policy ayarlarına direk bloke koyuyor.

mdm, win, kazanır, kim, gpo, ayar
gpo, block, mdm, intune, çakışma

Sonuç gördüğünüz gibi yine temayı kaydet pasif duruma geldi.

tema, windows 10, ayar, intune, group policy

Böylece çakışma durumunda ne yapmamız gerektiği konusunda az çok bu makaleyle bilgi sahibi olduğumuzu düşünüyorum. Soru ve görüşleriniz için Twitter yada Linkedin adresimdem ulaşabilirsiniz.

Microsoft Intune
Endpoint Management
Group Policy Management
Windows
Active Directory

--

--

Ahmet Doruk
Ahmet Doruk

Written by Ahmet Doruk

141 Followers
250 Following

IT Manager, Consultant, System Admin | www.linkedin.com/in/ahmetdoruk/

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams