Windows Server 2008 GPO ile Aygıt Yönetimi

Windows Server 2008 üzerinde GPO ile Aygıt Yönetimi
Windows Server 2008 üzerinde aygıtlar üzerinde yönetimi sağlayabilmek için birden fazla policy ayarı bulabiliriz. Eskiden server 2003 üzerinde şablonlar ekleyerek bu ayarları aktif hale getirebiliyorduk. Fakat ws2008 ile birlikte hazır şablonlar önümüze sunulmuş durumda.
İlgili policy’lere ulaşmak için aşağıdaki yolu izleriz.
Computer ConfigurationAdministrative TemplatesSystemDevice InstallationDevice Installation Restrictions.
Allow Administrators to Override Device Installation Policy: Bu policy ’i aktif edersek Local Administrator grubunun üyeleri uyguladığımız policy’den hariç tutulacaktır. Allow installation of devices using drivers that match these devices setup classes:Bu policy sayesinde aygıtları classlarına göre yani kategorilerine göre kısıtlayabiliriz.Bildiğimiz gibi aygıtlar belirli kategoriler altında bulunur.
Prevent Installation of Removable Devices:
Aslında makalenin başında bahsettiğimiz güvenlik anlamında bir adım önde olmak için kullanabileceğimiz bir yöntem.Bu policy sayesinde kullanıcıların bilgisayarlarında çıkarılabilinir diskleri kullanmalarını engelleyebiliriz.Bu bir USB cihazı da olabilir bir firewire cihazı da olabilir.
Prevent Installation of Devices Not Described By Other Policy Settings:
Bu policy’de ise bir önceki policy’lerde tanımladığımız aygıtların dışındaki kalan tüm cihazların yüklenmesini engelleyebiliriz.Örneğin ID ‘ye yada Guıd’e göre bazı kısıtlamaları yaptık.Ardından bu policy’yi aktif ettiğimizde kullanıcıların diğer aygıtları yüklemesini engellemiş oluruz.
İsterseniz bir örnekle bunu pekiştirelim.Bunun için yaratacağımız policy ile tüm kullanıcıların herhangi bir aygıt sürücüsü yüklemesini yada güncelleştirmesini engelleyelim.Fakat aynı zamanda local administrator’ların bu kısıtlamadan etkilenmemesini ve sürücü yükleme işlemini gerçekleştirebilmelerini sağlayalım.
İlk yapacağımız ayar Prevent Installation of Devices Not Described By Other Policy Settings policy’si üzerindedir.Bu policy’yi aktif ederek tüm kullanıcıları kısıtlayabiliriz.Sırasıyla ilgili policy’e tıklayarak konfigurasyon penceresini açarız.Policy Computer ConfigurationAdministrative TemplatesSystemDevice InstallationDevice Installation Restrictions dizini altındadır.
Bu kısımda “Enabled” ı seçerek policy’i aktif hale getiririz.
Bu dakikadan itibaren istemci makinalar üzerinde (işletim sistemlerinin vista yada server 2008 olması zorunludur) kullanıcılar herhangi bir aygıt yüklemesi gerçekleştiremezler.Şimdi yapmamız gereken ise administratorların bu ayardan etkilenmemesini sağlamak.Bunun için Allow Administrators to Override Device Installation Policies üzerine tıklayarak konfigurasyon penceresine gireriz.
Bu ekranda “Enabled” seçeneğini işaretleyerek policy’i aktif hale getirebiliriz. OK diyerek pencereyi kapatıp Group policy editor ekranına dönebiliriz.
Böylece administratorler dışındaki tüm kullanıcıların aygıt yükleme işlemini gerçekleştirmelerini engellemiş olduk.