• Karma kurallar
• Sertifika kuralları
• Yol kuralları
• Internet bölgesi kuralları

İlke, varsayılan güvenlik düzeyinden ve GPO’ya uygulanan tüm kurallardan oluşur. Bu ilke, bilgisayarların tümüne veya tek tek kullanıcılara uygulanabilir. Yazılım kısıtlama ilkeleri, yazılımı tanımlamak için çeşitli yollar sağlar ve yazılımın çalışıp çalışamayacağını belirleme kararlarını güçlendirmek amacıyla ilkeye dayalı bir altyapı sunar. Yazılım kısıtlama ilkeleri ile, kullanıcılar programları çalıştırdıklarında yöneticiler tarafından ayarlanan genel kurallara uymak zorundadır.

Yazılım kısıtlama ilkeleri ile aşağıdaki görevleri gerçekleştirebilirsiniz:

• Bilgisayarınızda hangi programların çalışabileceğini denetleyebilirsiniz. Örneğin, kullanıcıların e-posta yoluyla virüs aldığından endişe ediyorsanız, belirli dosya türlerinin e-posta programınızın ek klasöründe çalışmasına izin vermeyen bir ilke uygulayabilirsiniz.
• Kullanıcıların, birden çok kullanıcısı olan bilgisayarlarda yalnızca belirli dosyaları çalıştırmasına izin verebilirsiniz. Örneğin, bilgisayarlarınız birden çok kullanıcı tarafından kullanılıyorsa, yazılım kısıtlama ilkelerini kullanıcıların çalışmalarında kullanmaları gerekenlerin dışındaki hiçbir yazılıma erişimi olmayacak biçimde ayarlayabilirsiniz.
• Bilgisayarınıza kimlerin güvenilen yayıncılar ekleyebileceğine karar verebilirsiniz.
• Yazılım kısıtlama ilkelerinin bir bilgisayardaki tüm kullanıcıları mı, yoksa belirli kullanıcıları mı etkilediğini denetleyebilirsiniz.
• Dosyaların yerel bilgisayarınızda, kuruluş biriminizde veya etki alanınızda çalıştırılmasını engelleyebilirsiniz. Örneğin, bilinen bir virüs varsa, yazılım kısıtlama ilkelerini kullanarak bilgisayarın virüs içeren dosyayı açmasını engelleyebilirsiniz.ÖNEMLİ: Microsoft, yazılım kısıtlama ilkelerini virüsten koruma yazılımı yerine kullanmamanızı önerir.

Yazılım Kısıtlama İlkeleri Nasıl Başlatılır

Yalnızca Yerel Bilgisayar için

1. Başlat‘ı tıklatın, Programlar‘ın üzerine gidin, Yönetimsel Araçlar‘ın üzerine gidin ve Yerel Güvenlik İlkesi‘ni tıklatın.
2. Konsol ağacında, Güvenlik Ayarları‘nı ve sonra da Yazılım Kısıtlama İlkeleri‘ni genişletin.

Üye Sunucudaki Etki Alanı, Site veya Kuruluş Birimi ya da Etki Alanına Katılan Bir İş İstasyonu için

1. Microsoft Yönetim Konsolu’nu (MMC) açın. Bunu yapmak için, Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Dosya menüsünde, Ek Bileşen Ekle/Kaldır‘ı ve sonra Ekle‘yi tıklatın.
3. Grup İlkesi Nesne Düzenleyicisi‘ni ve sonra da Ekle‘yi tıklatın.
4. Grup İlkesi Nesnesi Seç içinde, Gözat‘ı tıklatın.
5. Grup İlkesi Nesnesine Gözat içinde, uygun etki alanı, site veya kuruluş birimindeki uygun Grup İlkesi nesnesini (GPO) seçin ve Son‘u tıklatın.Alternatif olarak, yeni bir GPO oluşturup Son‘u tıklatabilirsiniz.
6. Kapat‘ı ve sonra Tamam‘ı tıklatın.
7. Konsol ağacında, aşağıdaki konuma gidin:
   Grup İlkesi Nesnesi Bilgisayar_adı İlkesi/Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yazılım Kısıtlama İlkeleri

Bir Etki Alanı Denetleyicisi Üzerindeki Kuruluş Birimi veya Etki Alanı ya da Yönetim Araçları Paketi Yüklenmiş Bir İş İstasyonu için

1. Başlat‘ı tıklatın, Tüm Programlar‘ın ve sonra da Yönetimsel Araçlar‘ın üzerine gidin, ardından Active Directory Kullanıcıları ve Bilgisayarları‘nı tıklatın.
2. Konsol ağacında, Grup İlkesi’ni ayarlamak istediğiniz etki alanı veya kuruluş birimini sağ tıklatın.
3. Özellikler‘i ve sonra da Grup İlkesi sekmesini tıklatın.
4. Grup İlkesi Nesne Bağlantıları‘nda bir girdiyi tıklatıp varolan bir GPO’yu seçin ve Düzenle‘yi tıklatın.Alternatif olarak, yeni bir GPO oluşturmak için Yeni‘yi ve sonra da Düzenle‘yi tıklatabilirsiniz.
5. Konsol ağacında, aşağıdaki konuma gidin:
   Grup İlkesi Nesnesi Bilgisayar_adı İlkesi/Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yazılım Kısıtlama İlkeleri

Siteniz ve Bir Etki Alanı Denetleyicisi veya Yönetim Araçları Paketi Yüklenmiş İş İstasyonu İçin

1. Başlat‘ı tıklatın, Tüm Programlar‘ın ve sonra da Yönetimsel Araçlar‘ın üzerine gidin, ardından Active Directory Siteleri ve Hizmetleri‘ni tıklatın.
2. Konsol ağacında, Grup İlkesi’ni ayarlamak istediğiniz siteyi sağ tıklatın:
   • Active Directory Siteleri ve Hizmetleri [ Etki_Alanı_Denetleyicisi_Adı. Etki_Alanı_Adı]
   • Siteler
   • Site
3. Özellikler‘i ve sonra da Grup İlkesi sekmesini tıklatın.
4. Grup İlkesi Nesne Bağlantıları‘nda bir girdiyi tıklatıp varolan bir Grup İlkesi nesnesini (GPO) seçin ve Düzenle‘yi tıklatın.Alternatif olarak, yeni bir GPO oluşturmak için Yeni‘yi ve sonra da Düzenle‘yi tıklatabilirsiniz.
5. Konsol ağacında, aşağıdaki konuma gidin:
   Grup İlkesi Nesnesi Bilgisayar_adı İlkesi/Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yazılım Kısıtlama İlkeleri

   ÖNEMLİ: Hangi bilgisayarda oturum açtıklarından bağımsız olarak kullanıcılara uygulanacak ilkeleri ayarlamak için Kullanıcı Yapılandırması‘nı tıklatın. Hangi kullanıcıların oturum açtığından bağımsız olarak bilgisayarlara uygulanacak ilkeleri ayarlamak için Bilgisayar Yapılandırması‘nı tıklatın.

   Geri döngü (loopback) adlı gelişmiş bir Grup İlkesi ayarını kullanarak, belirli kullanıcılara belirli bir bilgisayarda oturum açtıklarında da yazılım kısıtlama ilkeleri uygulayabilirsiniz.

Yazılım Kısıtlama İlkelerinin Yerel Yöneticilere Uygulanması Nasıl Engellenir

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Ayrıntılar bölmesinde, Zorlama‘yı çift tıklatın.
4. Aşağıdaki kullanıcılara yazılım kısıtlama ilkelerini uygula altında, Yerel yöneticiler dışındaki tüm kullanıcılar‘ı tıklatın.

NOTLAR:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Tipik olarak, kullanıcılar kuruluşunuzdaki bilgisayarlarının yerel yönetici grubuna üyedir ve bu nedenle bu ayarı etkinleştirmek isteyebilirsiniz. Yazılım kısıtlama ilkeleri, kendi yerel yönetici grubunun üyesi olan kullanıcılara uygulanmaz.
• Yerel bilgisayarınız için bir yazılım kısıtlama ilkesi ayarı tanımlıyorsanız, bu yordamı kullanarak yazılım kısıtlama ilkelerinin yerel yöneticilere uygulanmasını engelleyin. Ağınız için bir yazılım kısıtlama ilkesi ayarı tanımlıyorsanız, kullanıcı ilke ayarlarına Grup İlkesi yardımıyla güvenlik gruplarındaki üyeliğe göre filtre uygulayın.

Sertifika Kuralı Nasıl Oluşturulur

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Konsol ağacında veya ayrıntılar bölmesinde, Ek Kurallar‘ı sağ tıklatın ve Yeni Sertifika Kuralı‘nı tıklatın.
4. Gözat‘ı tıklatın ve bir sertifika seçin.
5. Güvenlik düzeyini seçin.
6. Açıklama kutusuna, bu kural için bir açıklama yazın ve Tamam‘ı tıklatın.

NOTLAR:

• MMC’de yazılım kısıtlama ilkelerini başlatmak hakkında bilgi için, Windows Server 2003 Yardım dosyasının İlgili Konular bölümünde “Yazılım kısıtlama ilkelerini başlatma” bölümüne bakın.
• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Varsayılan olarak, sertifika kuralları açık değildir. Sertifika kurallarını açmak için:
  1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, regedit yazın ve Tamam‘ı tıklatın.
  2. Aşağıdaki kayıt defteri anahtarını bulup tıklatın:
     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
  3. Ayrıntılar bölmesinde, AuthenticodeEnabled‘ı çift tıklatın ve 0 olan değer verisini 1 olarak değiştirin.
• Sertifika kurallarından etkilenen dosya türleri yalnızca Atanmış dosya türleri altında listelenenlerdir. Tüm kurallar tarafından paylaşılan tek bir atanmış dosya türleri listesi vardır.
• Yazılım kısıtlama ilkelerinin etkili olması için, kullanıcıların geçerli oturumlarını kapatıp bilgisayarlarında yeniden oturum açarak ilke ayarlarını güncelleştirmeleri gerekir.
• İlke ayarlarına birden fazla kural uygulandığında, çakışmaları önlemek amacıyla kurallar için bir öncelik kullanılır.

Karma Kural Nasıl Oluşturulur

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Konsol ağacında veya ayrıntılar bölmesinde, Ek Kurallar‘ı sağ tıklatın ve Yeni Karma Kural‘ı tıklatın.
4. Gözat‘ı tıklatıp bir dosya bulun veya önceden hazırlanan bir karma kuralı Karma dosya kutusuna yapıştırın.
5. Güvenlik düzeyi kutusunda, İzin verilmeyen veya Kısıtlanmamış seçeneklerinden birini tıklatın.
6. Açıklama kutusuna, bu kural için bir açıklama yazın ve Tamam‘ı tıklatın.

NOTLAR

:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Belirli bir virüs veya Truva atının kötü niyetli yazılımlar çalıştırmasını engellemek için bir karma kural oluşturabilirsiniz.
• Virüsün çalışamaması için diğer kullanıcıların da bir karma kuralı kullanabilmesini isterseniz, yazılım kısıtlama ilkelerini kullanarak virüsün karmasını hesaplayın ve karma değerini diğer kullanıcılara e-posta ile gönderin. Virüsün kendisini asla göndermeyin.
• E-posta ile bir virüs gönderilmişse, kullanıcıların posta eklerini çalıştırmasını engellemek amacıyla bir yol kuralı da oluşturabilirsiniz.
• Yeniden adlandırılan veya başka bir klasöre taşınan dosya hala aynı karma sonucunu verir.
• Dosyada yapılan herhangi bir değişiklik, farklı bir karmaya neden olur.
• Karma kurallarından etkilenen dosya türleri yalnızca Atanmış dosya türleri altında listelenenlerdir. Tüm kurallar tarafından paylaşılan tek bir atanmış dosya türleri listesi vardır.
• Yazılım kısıtlama ilkelerinin etkili olması için, kullanıcıların geçerli oturumlarını kapatıp bilgisayarlarında yeniden oturum açarak ilke ayarlarını güncelleştirmeleri gerekir.
• İlke ayarlarına birden fazla kural uygulandığında, çakışmaları önlemek amacıyla kurallar için bir öncelik kullanılır.

Internet Bölgesi Kuralı Nasıl Oluşturulur

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Konsol ağacında, Yazılım Kısıtlama İlkeleri‘ni tıklatın.
4. Konsol ağacında veya ayrıntılar bölmesinde, Ek Kurallar‘ı sağ tıklatın ve Yeni Internet Bölgesi Kuralı‘nı tıklatın.
5. Internet bölgesi‘nde, bir Internet bölgesini tıklatın.
6. Güvenlik Düzeyi kutusunda, İzin verilmeyen veya Sınırlanmamış‘ı ve sonra Tamam‘ı tıklatın.

NOTLAR:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Bölge kuralları, yalnızca Windows Installer paketlerine uygulanır.
• Bölge kurallarından etkilenen dosya türleri yalnızca Atanmış dosya türleri altında listelenenlerdir. Tüm kurallar tarafından paylaşılan tek bir atanmış dosya türleri listesi vardır.
• Yazılım kısıtlama ilkelerinin etkili olması için, kullanıcıların geçerli oturumlarını kapatıp bilgisayarlarında yeniden oturum açarak ilke ayarlarını güncelleştirmeleri gerekir.
• İlke ayarlarına birden fazla kural uygulandığında, çakışmaları önlemek amacıyla kurallar için bir öncelik kullanılır.

Yol Kuralı Nasıl Oluşturulur

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Konsol ağacında veya ayrıntılar bölmesinde, Ek Kurallar‘ı sağ tıklatın ve Yeni Yol Kuralı‘nı tıklatın.
4. Yol kutusuna bir yol yazın veya Gözat‘ı tıklatıp bir dosya veya klasörü bulun.
5. Güvenlik düzeyi kutusunda, İzin verilmeyen veya Kısıtlanmamış‘ı tıklatın.
6. Açıklama kutusuna, bu kural için bir açıklama yazın ve Tamam‘ı tıklatın.ÖNEMLİ: Windows klasörü gibi bazı klasörlerde, güvenlik düzeyini İzin verilmeyen olarak ayarlamak, işletim sisteminizin çalışmasını olumsuz etkileyebilir. İşletim sisteminin önemli bir bileşenini veya bağımlı programlarından birine izin verilmemesine neden olmadığınızdan emin olun.

NOTLAR

:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Güvenlik düzeyi İzin verilmeyen olarak ayarlanmış bir program için bir yol kuralı oluşturursanız, kullanıcılar yazılımı başka bir konuma kopyalayarak yine çalıştırabilir.
• Yol kuralı tarafından desteklenen joker karakterler yıldız işareti (*) ve soru işaretidir (?).
• Yol kuralınızda, %programfiles% veya %systemroot% gibi ortam değişkenlerini kullanabilirsiniz.
• Bilgisayarınızın hangi konumunda depolandığını bilmediğiniz, ancak kayıt defteri anahtarını bildiğiniz bir yazılım için yol kuralı oluşturmak isterseniz, bir kayıt defteri yol kuralı oluşturabilirsiniz.
• Kullanıcıların e-posta eklerini çalıştırmasını engellemek için, posta programınızın ek klasörü için, kullanıcıların e-posta eklerini çalıştırmasını engelleyen bir yol kuralı oluşturabilirsiniz.
• Yol kurallarından etkilenen dosya türleri yalnızca Atanmış dosya türleri altında listelenenlerdir. Tüm kurallar tarafından paylaşılan tek bir atanmış dosya türleri listesi vardır.
• Yazılım kısıtlama ilkelerinin etkili olması için, kullanıcıların geçerli oturumlarını kapatıp bilgisayarlarında yeniden oturum açarak ilke ayarlarını güncelleştirmeleri gerekir.
• İlke ayarlarına birden fazla kural uygulandığında, çakışmaları önlemek amacıyla kurallar için bir öncelik kullanılır.

Kayıt Defteri Yol Kuralı Nasıl Oluşturulur

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, regedit yazın ve Tamam‘ı tıklatın.
2. Konsol ağacında, kendisi için kural oluşturmak istediğiniz kayıt defteri anahtarını sağ tıklatın ve Anahtar Adını Kopyala‘yı tıklatın.
3. Ayrıntılar bölmesindeki değer adını not alın.
4. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
5. Yazılım Kısıtlama İlkeleri’ni açın.
6. Konsol ağacında veya ayrıntılar bölmesinde, Ek Kurallar‘ı sağ tıklatın ve Yeni Yol Kuralı‘nı tıklatın.
7. Yol olarak, kayıt defteri anahtarı adını ve değer adını yapıştırın.
8. Kayıt defteri yolunu yüzde işaretleri (%) içine alın, örneğin:
   %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
9. Güvenlik düzeyi kutusunda, İzin verilmeyen veya Kısıtlanmamış‘ı tıklatın.
10. Açıklama kutusuna, bu kural için bir açıklama yazın ve Tamam‘ı tıklatın.

NOTLAR

:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Bu yordamı gerçekleştirmek için, Yöneticiler grubunun bir üyesi olmalısınız.
• Kayıt defteri yolunu aşağıdaki gibi biçimlendirin:
  % Kayıt Defteri Kovanı\ Kayıt Defteri Anahtarı Adı\ Değer Adı%
• Kayıt defteri kovanının adını tam yazmalısınız; kısaltma kullanamazsınız. Örneğin, HKEY_CURRENT_USER için HKCU kısaltmasını kullanamazsınız.
• Kayıt defteri yol kuralı, kapatma yüzde işaretinin (%) ardından bir sonek içerebilir. Sonekte ters eğik çizgi (\) kullanmayın. Örneğin, aşağıdaki kayıt defteri yol kuralını kullanabilirsiniz:
  %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
• Yol kurallarından etkilenen dosya türleri yalnızca Atanmış dosya türleri altında listelenenlerdir. Tüm kurallar tarafından paylaşılan tek bir atanmış dosya türleri listesi vardır.
• Yazılım kısıtlama ilkelerinin etkili olması için, kullanıcıların geçerli oturumlarını kapatıp bilgisayarlarında yeniden oturum açarak ilke ayarlarını güncelleştirmeleri gerekir.
• İlke ayarlarına birden fazla kural uygulandığında, çakışmaları önlemek amacıyla kurallar için bir öncelik kullanılır.

Atanmış Dosya Türü Nasıl Eklenir veya Silinir

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Ayrıntılar bölmesinde, Atanmış Dosya Türleri‘ni çift tıklatın.
4. Aşağıdaki adımlardan uygun olanını tamamlayın:
   • Dosya türü eklemek için, dosya adı uzantısını Dosya uzantısı kutusuna yazın ve Ekle‘yi tıklatın.
   • Bir dosya türünü silmek için, Atanmış dosya türleri kutusunda dosya türünü tıklatın ve Kaldır‘ı tıklatın.

NOTLAR:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Atanmış dosya türleri listesi, her yapılandırma için tüm kurallar tarafından paylaşılır. Bilgisayar ilkesi ayarlarına ait atanmış dosya türleri listesi, kullanıcı ilkesi ayarlarına ait atanmış dosya türleri listesinden farklıdır.

Yazılım Kısıtlama İlkelerinin Varsayılan Güvenlik Düzeyi Nasıl Değiştirilir

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Ayrıntılar bölmesinde, Güvenlik Düzeyleri‘ni çift tıklatın.
4. Varsayılan olarak ayarlamak istediğiniz güvenlik düzeyini sağ tıklatın ve Varsayılan olarak ayarla‘yı tıklatın.DİKKAT: Belirli klasörlerde, varsayılan güvenlik düzeyini İzin verilmeyen olarak ayarlarsanız, işletim sisteminin çalışmasını olumsuz etkileyebilirsiniz.

NOTLAR

:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Ayrıntılar bölmesinde, geçerli varsayılan güvenlik düzeyi içinde bir onay işareti olan siyah bir daire ile gösterilir. Geçerli varsayılan güvenlik düzeyini sağ tıklatırsanız, Varsayılan olarak ayarla komutu menüde görüntülenmez.
• Varsayılan güvenlik düzeyinin özel durumlarını belirleyen kurallar oluşturulur. Varsayılan güvenlik düzeyi Kısıtlanmamış olarak ayarlandığında, çalıştırılmasına izin verilmeyen yazılımlar kurallar ile belirlenir. Varsayılan güvenlik düzeyi İzin verilmeyen olarak ayarlandığında, çalıştırılmasına izin verilen yazılımlar kurallar ile belirlenir.
• Varsayılan düzeyi değiştirirseniz, bilgisayarlarda yazılım kısıtlama ilkelerinin uygulandığı tüm dosyalar etkilenir.
• Yükleme sırasında, bilgisayarınızdaki tüm dosyalar için yazılım kısıtlama ilkelerinin varsayılan güvenlik düzeyi Kısıtlanmamış olarak ayarlanır.

Güvenilen Yayımcı Seçenekleri Nasıl Ayarlanır

1. Başlat‘ı ve sonra Çalıştır‘ı tıklatın, mmc yazın ve Tamam‘ı tıklatın.
2. Yazılım Kısıtlama İlkeleri’ni açın.
3. Güvenilen Yayımcılar‘ı çift tıklatın.
4. Hangi sertifikaların güvenilir olduğuna karar vermesini istediğiniz kullanıcıları ve sonra da Tamam‘ı tıklatın.

NOTLAR:

• Henüz yapmadıysanız, bu GPO için yeni bir yazılım kısıtlama ilkesi ayarı oluşturmanız gerekebilir.
• Güvenilen yayımcıları, kullanıcıları, yöneticileri veya şirket yöneticilerini kimlerin ekleyebileceğini seçebilirsiniz. Örneğin, bu aracı kullanarak, kullanıcıların ActiveX Denetimi yayımcıları hakkında güven kararları almasını engelleyebilirsiniz.
• Yerel bilgisayar yöneticilerinin, yerel bilgisayardaki güvenilen yayımcıları belirleme hakkı vardır; ancak kuruluş yöneticilerinin kuruluş birimi düzeyinde güvenilen yayımcıları belirleme hakkı bulunmaktadır.

Bu makalede, etki alanındaki ve ormandaki Active Directory Esnek Tek Yönetici (FSMO) rollerinin yerleşimi anlatılır.

Çok asıllı yerleşimler için uygun olmayan belirli etki alanı ve kuruluş genelinde işlemler, etki alanı veya ormandaki tek bir etki alanı denetleyicisinde konumlandırılır. Tek yöneticili işlemin avantajı, bir işlem yöneticisi çevrimdışı durumdayken olası çakışmalar yaşamak yerine, bu çakışmaların daha sonra çözümlenmek üzere engellenebilmesidir. Ancak tek yöneticili işlem, etki alanında veya kuruluşta bağımlı etkinlikler gerçekleştiğinde veya bu rolle ilişkili dizin değişiklikleri yapılması gerektiğinde FSMO rol sahibinin olması gerektiği anlamına gelir.

Active Directory Yükleme Sihirbazı (Dcpromo.exe), beş FSMO rolü tanımlar: şema yöneticisi, etki alanı yöneticisi, RID yöneticisi, PDC öykünücüsü ve altyapı yöneticisi. Şema yöneticisi ve etki alanı adlandırma yöneticisi her orman için atanan rollerdir. Diğer üçü, yani RID yöneticisi, PDC öykünücüsü ve altyapı yöneticisi, her etki alanı için atanan rollerdir.

Tek bir etki alanı bulunan bir ormanda beş rol de vardır. Ormana eklenen her etki alanı için etki alanı genelinde üç rol eklenir. Bir ormandaki FSMO rolü sayısı ve olası FSMO rol sahipleri, ((Etki alanı sayısı * 3)+2) formülü kullanılarak belirlenebilir.

Üç etki alanı (A.com ile B.A.com ve C.B.A.com etki alanları ile onların alt etki alanları) bulunan bir ormanda on bir FSMO rolü bulunur:

1 Şema yöneticisi – orman genelinde A.COM
1 etki alanı adlandırma yöneticisi – orman genelinde A.COM
3 PDC öykünücüsü (A.com, B.A.com ve C.B.A.com)
3 RID yöneticisi (A.com, B.A.com ve C.B.A.com)
Her etki alanı için 3 Altyapı yöneticisi. (A.com, B.A.com ve C.B.A.com)

Bir ormanın ilk Active Directory etki alanı denetleyicisini oluşturduğunuzda, Dcpromo.exe bu denetleyiciye beş rolü de atar. Varolan bir ormandaki yeni bir etki alanının ilk Active Directory etki alanı denetleyicisini oluşturduğunuzda, Dcpromo.exe üç etki alanı rolünü de atar. Microsoft Windows NT 4.0 etki alanı denetleyicileri içeren karma mod etki alanında, yalnızca Microsoft Windows Server 2003 veya Microsoft Windows 2000 Server çalışan etki alanı denetleyicilerine etki alanı veya orman genelindeki FSMO rolleri atanabilir.

FSMO kullanılabilirliği ve yerleşimi

Dcpromo.exe, rollerin ilk başta etki alanı denetleyicilerine dağıtılmasını gerçekleştirir. Bu yerleşim, genelde birkaç etki alanı denetleyicisi bulunan dizinler için doğrudur. Çok sayıda etki alanı denetleyicisi bulunan bir dizinde, varsayılan yerleşim büyük olasılıkla ağınız için en uygun seçenek değildir.

Her etki alanı için, birincil FSMO sahibinde bir hata oluşması durumunda kullanılmak üzere yerel birincil ve yedek FSMO etki alanı denetleyicilerini seçin. Ayrıca, siteye özgü olağanüstü durum senaryoları için site dışında yedek sahipler de seçebilirsiniz. Seçim ölçütünüzde aşağıdaki noktaları dikkate alın:

• Etki alanında tek bir etki alanı denetleyicisi varsa, bu etki alanı, etki alanına özgü rollerin tümüne sahip olur.
• Etki alanında birden çok etki alanı denetleyicisi varsa, Active Directory Siteleri ve Hizmetleri Yöneticisi’ni kullanarak sürekli ve “sorunsuz” bağlantılarla doğrudan çoğaltma ortaklarını seçebilirsiniz.
• Yedek sunucu, çok sayıda bilgisayarın daha hızlı ve tutarlı çoğaltılabilmesi birincil FSMO sunucusuyla aynı sitede veya birincil konumda siteye özgü olağanüstü durum senaryosu için bir uzak sitede olabilir.
• Yedek etki alanı denetleyicisi bir uzak sitede olduğunda, bağlantının tutarlı bir bağlantı üzerinden sürekli çoğaltma için yapılandırılmasını sağlayın.

FSMO yerleşimine yönelik genel öneriler

• RID ve PDC öykünücüsü rollerini aynı etki alanı denetleyicisine yerleştirin. Alt düzey istemci ve uygulamalar PDC’yi hedef alarak çok fazla RID kullandığı için, PDC ile RID yöneticisi arasındaki iletişim iyi olması istenir. Ayrıca, FSMO rolleri daha az makinede kümelendirilirse daha kolay izlenebilir.Birincil FSMO’nun yükü taşınmayı gerektirecek kadar fazlaysa, RID ve birincil etki alanı denetleyicisi öykünücü rollerini aynı etki alanında birbirinin doğrudan çoğaltma ortakları olan Active Directory sitesindeki farklı etki alanı denetleyicilerine yerleştirin.
• Genel bir kural olarak, altyapı yöneticisinin ormandaki bazı genel katalog sunucularına doğrudan bağlantı nesnesi bulunan ve tercihen aynı Active Directory sitesinde bulunan genel olmayan bir katalog sunucusuna yerleştirilmesi gerekir. Genel katalog sunucusu ormandaki her nesnenin kısmi kopyasını bulundurduğu için, altyapı yöneticisi bir genel katalog sunucuna yerleştirildiğinde hiçbir öğeyi güncelleştirmez, çünkü bulundurmadığı nesnelere başvurular da içermemektedir. “Altyapı yöneticisini bir genel katalog sunucusuna yerleştirmeyin” kuralı için iki özel durum söz konusudur:
  • Tek etki alanı ormanı:Tek bir Active Directory etki alanı içeren bir ormanda, hayalet sunucular olmadığı için tüm işlemleri altyapı yöneticinin yapması gerekir. Altyapı yöneticisi etki alanındaki herhangi bir etki alanı denetleyicisine yerleştirilebilir ve bu etki alanı denetleyicisinde genel katalog sunucusunun bulunup bulunmaması önemli değildir.
  • Etki alanındaki her etki alanı denetleyicisinde genel katalogun bulunduğu çoklu etki alanı ormanı:Çoklu etki alanı ormanının parçası olan bir etki alanındaki her etki alanı denetleyicisi aynı zamanda bir genel katalog barındırıyorsa, hayalet sunucular veya altyapı yöneticisinin gerçekleştirmesi gereken işlemler yoktur. Altyapı yöneticisi, bu etki alanındaki herhangi bir etki alanı denetleyicisine yerleştirilebilir.
• Orman düzeyinde, şema yöneticisi ve etki alanı adlandırma yöneticisi rollerinin aynı etki alanı denetleyicisine yerleştirilmeleri gerekir, çünkü nadiren kullanılırlar ve yakından denetlenmeleri gerekir. Ayrıca, etki alanı adlandırma yöneticisi FSMO aynı zamanda bir genel katalog sunucusu olmalıdır. Torun etki alanları oluşturmak gibi, etki alanı adlandırma yöneticisini kullanan belirli işlemler bunun dışındaki durumlarda başarısız olabilir.

En önemli nokta, yönetim konsollarından birini (Dsa.msc veya Ntdsutil.exe gibi) kullanarak, tüm FSMO rollerinin kullanılabilir olduğunu doğrulamanızdır.

Windows Server 2003′ü tek başına bir sunucuya yükledikten sonra, Active Directory Sihirbazı’nı çalıştırarak yeni Active Directory ormanını veya etki alanını oluşturun ve sonra da Windows Server 2003 çalışan bilgisayarı ormandaki ilk etki alanı denetleyicisine dönüştürün. Windows Server 2003 çalışan bir bilgisayarı ormandaki ilk etki alanı denetleyicisine dönüştürmek için şu adımları izleyin:

1. Windows Server 2003 CD-ROM’unu bilgisayarınızın CD-ROM veya DVD-ROM sürücüsüne yerleştirin.
2. Başlat‘ı tıklatın, Çalıştır‘ı tıklatın ve sonra da dcpromo yazın.
3. Active Directory Yükleme Sihirbazı‘nı başlatmak üzere Tamam‘ı tıklatın ve ardından İleri‘yi tıklatın.
4. Yeni bir etki alanının etki alanı denetleyicisi‘ni ve sonra da İleri‘yi tıklatın.
5. Yeni ormanda etki alanı‘nı ve sonra da İleri‘yi tıklatın.
6. Yeni etki alanının tam DNS adını belirtin. Bu yordam bir laboratuar ortamı olduğu ve bu ortamı varolan DNS altyapınızla tümleştirmeyeceğiniz için, bu ayar için şirketim.yerel gibi genel bir ad kullanabilirsiniz. İleri‘yi tıklatın.
7. Varsayılan etki alanı NetBIOS adını kabul edin (6. adımdaki öneriyi kullandıysanız bu ad “şirketim” şeklindedir). İleri‘yi tıklatın.
8. Veritabanı ve günlük dosyası konumunu varsayılan ayar olan c:\winnt\ntds klasörü olarak ayarlayın ve sonra da İleri‘yi tıklatın.
9. Sysvol klasörünün konumunu varsayılan ayar olan c:\winnt\sysvol klasörü olarak ayarlayın ve sonra da İleri‘yi tıklatın.
10. Bu bilgisayara DNS sunucusu yükleyip yapılandır‘ı ve sonra da İleri‘yi tıklatın.
11. Yalnızca Windows 2000 ya da Windows Server 2003 sunucularıyla veya işletim sistemleriyle uyumlu izinler‘i ve ardından İleri‘yi tıklatın.
12. Bu bir laboratuar ortamı olduğu için, Dizin Hizmetleri Geri Yükleme Modu Yönetici Parolası’nı boş bırakın. Tam üretim modunda, bu parola bir güvenli parola biçimi kullanılarak ayarlanır. İleri‘yi tıklatın.
13. Belirlediğiniz seçenekleri gözden geçirerek onaylayın ve sonra da İleri‘yi tıklatın.
14. Active Directory yüklemesine devam edilir. Bu işlem birkaç dakika sürebilir.
15. İstendiğinde, bilgisayarı yeniden başlatın. Bilgisayar yeniden başlatıldıktan sonra, yeni etki alanı denetleyicisinin Etki Alanı Ad Sistemi (DNS) hizmet konumu kayıtlarının oluşturulduğunu doğrulayın. DNS hizmet konumu kayıtlarının oluşturulduğunu doğrulamak için şu adımları izleyin:
    1. Başlat‘ı tıklatın, Yönetimsel Araçlar‘ın üzerine gelin ve DNS‘yi tıklatarak DNS Yönetici Konsolu’nu başlatın.
    2. Sırasıyla sunucu adını, İleriye Doğru Arama Bölgeleri‘ni ve sonra da etki alanını genişletin.
    3. _msdcs, _sites, _tcp ve _udp klasörlerinin bulunduğunu doğrulayın. Bu klasörler ve içerdikleri hizmet konumu kayıtları, Active Directory ve Windows Server 2003 işlemleri açısından önemlidir.

Kullanıcıları ve Bilgisayarları Active Directory Etki Alanına Ekleme

Yeni Active Directory etki alanı oluşturulduktan sonra, bu etki alanında netim hesabı olarak kullanmak üzere bir kullanıcı hesabı oluşturun. Kullanıcı uygun güvenlik gruplarına eklendiğinde, bilgisayarı etki alanına eklemek için bu hesabı kullanın.

1. Yeni bir kullanıcı oluşturmak için şu adımları izleyin:
   1. Başlat‘ı tıklatın, Yönetimsel Araçlar‘ın üzerine gelin ve sonra Active Directory Kullanıcıları ve Bilgisayarları konsolunu başlatmak üzere Active Directory Kullanıcıları ve Bilgisayarları‘nı tıklatın.
   2. Oluşturduğunuz etki alanı adını tıklatın ve ardından içeriğini genişletin.
   3. Kullanıcılar‘ı sağ tıklatın, Yeni‘nin üzerine gelin ve sonra da Kullanıcı‘yı tıklatın.
   4. Yeni kullanıcının adını, soyadını ve oturum açma adını yazıp İleri‘yi tıklatın.
   5. Yeni bir parola yazın, parolayı onaylayın ve sonra da aşağıdaki onay kutularından birini tıklatarak seçin:
      • Kullanıcı bir sonraki oturum açışında parolayı değiştirmeli (çoğu kullanıcı için önerilir)
      • Kullanıcı parolayı değiştiremez
      • Parola her zaman geçerli olsun
      • Hesap devre dışı

      İleri‘yi tıklatın.

   6. Sağladığınız bilgileri gözden geçirin ve tüm bilgiler doğruysa Son‘u tıklatın.
2. Yeni kullanıcıyı oluşturduktan sonra, bu kullanıcı hesabını yönetim görevlerini gerçekleştirme izinleri verilen bir grubun üyesi yapın. Bu, denetiminiz altında bulunan bir laboratuar ortamı olduğu için, bu kullanıcı hesabını Şema, Kuruluş ve Etki alanı yöneticileri gruplarının üyesi yaparak tam yönetici erişimi sahibi olmasını sağlayabilirsiniz. Hesabı Şema, Kuruluş ve Etki alanı yöneticileri gruplarına eklemek için şu adımları izleyin:
   1. Active Directory Kullanıcıları ve Bilgisayarları konsolunda, oluşturduğunuz yeni hesabı sağ tıklatın ve sonra da Özellikler‘i tıklatın.
   2. Üyelik sekmesini ve ardından Ekle‘yi tıklatın.
   3. Grupları Seç iletişim kutusunda, bir grup belirtin ve sonra da istediğiniz grupları listeye eklemek üzere Tamam‘ı tıklatın.
   4. Kullanıcı hesabının üyesi olması gereken her grup için seçme işlemini yineleyin.
   5. Tamamlamak için Tamam‘ı tıklatın.
3. Bu işlemin son adımı etki alanına bir üye sunucu eklemektir. Bu işlem iş istasyonları için de geçerlidir. Bir bilgisayarı etki alanına eklemek için şu adımları izleyin:
   1. Etki alanına eklemek istediğiniz bilgisayarda oturum açın.
   2. Bilgisayarım‘ı sağ tıklatın ve sonra Özellikler‘i tıklatın.
   3. Bilgisayar Adı sekmesini ve sonra da Değiştir‘i tıklatın.
   4. Bilgisayar Adı Değişiklikleri iletişim kutusunda, Üyelik altında Etki Alanı‘nı tıklatın ve etki alanı adını yazın. Tamam‘ı tıklatın.
   5. İstendiğinde, önceden oluşturduğunuz hesabın kullanıcı adını ve parolasını yazın ve sonra da Tamam‘ı tıklatın.Etki alanına kabul edildiğinizi bildiren bir ileti görüntülenir.
   6. Tamam‘ı tıklatarak Bilgisayar Adı sekmesine dönün ve sonra da işlemi tamamlamak üzere Tamam‘ı tıklatın.
   7. Bilgisayarı yeniden başlatmanız istenirse yeniden başlatın.

Sorun Giderme

Active Directory Ek Bileşenlerini Açamıyorsunuz

Active Directory yüklemesini tamamladıktan sonra, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini başlatamayabilir ve kimlik doğrulama için başvurulacak bir yetkili bulunamadığını bildiren bir hata iletisi alabilirsiniz. Bu hata, DNS doğru yapılandırılmamışsa oluşabilir. Bu sorunu çözümlemek için, DNS sunucunuzdaki bölgelerin doğru yapılandırıldığını ve DNS sunucunuzun Active Directory etki alanını içeren bölge için yetkili olduğunu doğrulayın. Bölgeler doğru gibi görünüyorsa ve sunucunun etki alanı için yetkisi varsa, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini yeniden başlatmayı deneyin. Aynı hata iletisini alırsanız, DCPROMO yardımcı programını kullanarak Active Directory’yi kaldırın, bilgisayarı yeniden başlatın ve sonra da Active Directory’yi yeniden yükleyin.