Restricted Groups

Active Directory ortamında bir çok yetkili gruplar bulunmaktadır. Kurumsal olmayan yerlerde yönetici veya helpdesk hesaplarına genelde domain admin yetkisi verilmektedir. Aslında tamamen gereksiz ve riskli durumdur. Bunlar yerine client, server gibi gruplara ilgili hesaplara ekleyerek cihazlarda bunlara yetkiler verilmelidir. Kısaca, Active Directory ortamına dahil olan bilgisayarların gruplarını yönetmemizi sağlayan özelliktir. 

  • Restricted Groups politikası dikkatli yapılandırılmaz ise ciddi sorunlar ile karşılaşabilirsiniz.
  • Sunucularda inceleme yapmadan kesinlikle bu işlemi yapmayınız.

Restricted Groups kısmında çok önemli 2 tane ayrım var. 

  • Members of this group: Bu alana ekleme yapılırsa, politikanın etkileneceği bilgisayarlardaki administrators grubundaki kişileri çıkarılacak sadece sizin belirlediğiniz hesaplar eklenecektir. (Bu kapsama bilgisayarların üzerindeki kendi local hesaplar (SAM) dahil değildir.)
  • This group is a member of: Bu alana ekleme yapılırsa, politikanın etkileneceği bilgisayarlardaki administrators grubundaki kişiler kalacak ek olarak sizin belirlediğiniz hesaplar eklenecektir. (Bu kapsama bilgisayarların üzerindeki kendi local hesaplar (SAM) dahil değildir.)

Şimdi ikisini ayrı örnekler ile yapalım.

Örneğin, son kullanıcı bilgisayarlarında sadece helpdesk personellerine administrators grubunda olmasını ve başka kişileri istemiyorsunuz diyelim. Bu işlemi yapmadan önce politikayı uygulayacağım bilgisayarda Administrator grubundaki ekle kullanıcı/grup kontrol ediyorum ve aşağıdaki birden fazla kullanıcı/grup görebiliyorum.

Politikayı uygulamak için Group Policy Management açıp son kullanıcıların bilgisayarın bulunduğu OU’ya yeni bir GPO bağlayın ve Computer Configuration → Policies → Windows Settings → Security Settings → Restricted Groups yolunu takip ederek Add Group seçin.

Açılan pencerede Browse butonuna basın ve Administrators grubunu bulup ekleyin.

Configure Membership for Administrators kısmında Add butonuna basarak hangi grubun veya kullanıcının Administrators grubuna dahil edilmesini istiyorsanız ekleyin.

Politikanın hemen geçerli olması için herhangi bir kullanıcıda gpupdate /force komutunu çalıştırın. Akabinde bilgisayarın Administrators grubunu kontrol edin. Tüm ekli kullanıcı/grup çıkartılıp bizim belirlediğimiz kullanıcı/grup görebilirsiniz.

İkinci seçenekte ise Örneğin, yapıyı bilmiyorsunuz veya hiç bir kullanıcı/grup etkilenmeden yeni bir hesap ekleme istediğinizi düşünün. Bilmediğiniz yapılar için bu yöntem daha güvenlidir. Yada sccm vb. sistemlerde domain admin kullanmak yerine bu tür hesaplar ekleyerek daha güvenli bir ortam sağlayabilirsiniz. Bu işlemi yapmadan önce politikayı uygulayacağım bilgisayarda Administrator grubundaki ekle kullanıcı/grup kontrol ediyorum ve aşağıdaki birden fazla kullanıcı/grup görebiliyorum.

Politikayı uygulamak için Group Policy Management açıp son kullanıcıların bilgisayarın bulunduğu OU’ya yeni bir GPO bağlayın ve Computer Configuration → Policies → Windows Settings → Security Settings → Restricted Groups yolunu takip ederek Add Group seçin.

Açılan pencerede Browse butonuna basın ve hangi gruba yetki vereceksem onu ekliyorum. 

This group is a member of kısmında Add butonuna basarak Administrators grubunu seçiyoruz.

Politikanın hemen geçerli olması için herhangi bir kullanıcıda gpupdate /force komutunu çalıştırın. Akabinde bilgisayarın Administrators grubunu kontrol edin. Mevcut kullanıcı/grup silinmeden eklediğiniz grupları görebilirsiniz.

Blog'a Dön