Fırat Boyan | MCT- Microsoft Certified Trainer.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

category KATEGORİ: Group Policy

category Fırat Boyan category 08.07.2019 category 2

Group Policy İle .BAT (Batch) dosyası yardımıyla Masaüstüne (Desktop) Dosya ve Klasör Kopyalamayı Engelleme


Herhangi bir nedenle domain ortamındaki kullanıcılarınızın, kullandıkları bilgisayarların desktop'larına (Masaüstü) dosya veya klasör kopyalama ya da oluşturmalarını engellemek isteyebilirsiniz. Bu makalemde sizlere, bunu nasıl sağlayacağınızdan bahsediyor olacağım.

Group Policy Manager'da GPO (Group Policy Object) oluşturma

1- İlk adım olarak işlemimize, Group Policy Manager'da GPO oluşturma işlemi ile başlıyorum. Oluşturacağım GPO'yu, Active Directory'deki hangi bir Organization Unit (OU) içindeki kullanıcılara etki etmesini istiyorsam, o alanda bir GPO oluşturuyorum. Oluşturduğum GPO'ya PreventToSaveOnDesktop adını verdim.

PreventTOsaveOnDesktop
 
2- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçerek, gerekli GPO ayarlarını yapılandırmak için açıyorum.

PreventTOsaveOnDesktop
 
3- Oluşturduğum PreventToSaveOnDesktop Policy'sine ait Group Policy Management Editor'da User Configuration > Policies > Windows Settings altında Scripts (Logon/Logoff) içindeki Logon üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

PreventTOsaveOnDesktop
 
4- Açılan pencerede Add... butonuna tıklıyorum.

PreventTOsaveOnDesktop
 
5- Add... butonuna tıkladıktan sonra açılan pencerede oluşturacağım .BAT uzantılı dosyanın adını uzantısı ile birlikte yazıyor, OK butonuna basarak pencereyi kapatıyorum.

PreventTOsaveOnDesktop
 
6- Daha önceden oluşturduğum .BAT uzantılı dosyayı da Show Files... butonuna tıklayarak ilgili Policy'nin Logon Scrips alanına kopyalıyorum.
 
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
 
7- .BAT uzantılı dosyamın içeriği şu şekilde olacak;
 
Echo Y| icacls %userprofile%\desktop /e /p FIRATBOYAN\%USERNAME%:R
Standart kullanıcılar için READ izin hakkı.
 
Echo Y| icacls %userprofile%\desktop /t /e /g FIRATBOYAN\Administrator:F
Administrator kullanıcısını için FULL izin hakkı.

PreventTOsaveOnDesktop
 
8- .BAT uzantılı dosyayı ekledikten sonra OK butonuna basarak kapatıyorum.

PreventTOsaveOnDesktop

Powershell Komutu İle Uzaktan GPO Force Etme

9- Aşağıdaki Powershell komutu yardımıyla oluşturduğum GPO'yu ister tüm bilgisayarlara, ister filtrelenmiş belirli bir bilgisayar grubuna, ister de tek bir bilgisayara server üzerinden force edebiliyorum.
 
Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Domain'imdeki tüm bilgisayarlara force etmek için.
 
Get-ADComputer –Filter 'Name -like "*PC"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile başlayan tüm bilgisayarlara force etmek için.
 
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile biten tüm bilgisayarlara force etmek için.
 
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Sadece Hostname'i PC1 olan bilgisayara force etmek için.
 

PreventTOsaveOnDesktop
 
10- İlgili Powershell komutu yardımıyla force işlemini gerçekştirdim. Bu sayade bilgisayar(lar) üzerinde tek tek gpupdate /force komutunu çalıştırmak zorunda kalmıyorum.

PreventTOsaveOnDesktop

GPO İle Masaüstünde (Desktop) Dosya ve Klasör Koplayalama Engelleme İşlemi Sonrası Test Aşaması

11- Kullanıcılar Sign out olup, tekrar Sign in olduklarında, ilgili Group Policy Object'in, aşağıdaki gibi, ilgili bilgisayar(lar)da çalıştığını görebiliyorum.
Kullanıcı(lar), profil masaüstlerine sadece klasör açabilirler ki bu da sadece Administrator hesabı ile mümkün olabilir.
 
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
 
12- Benzer şekide kullanıcı(lar), network path'inden herhangi bir dosya ya da klasörü profil masaüstlerine kopyalamak (copy) ya da yapıştımak (paste) istediklerinde, erişim engellendi (access denied) uyarısı ile karşılacaklardır. Bu işlemin yapılabilmesi de yine sadece Administrator hesabı ile mümkün olabilir.
 
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
 
12.1- Administrator kullanıcı adı ve şifresi girilmesi ile, masaüstüne koplayama (copy) işlemi mümkün oldu. 

PreventTOsaveOnDesktop
 
Faydalı olması dileğiyle...
 

Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

Bu İçeriğe Tepkin Ne Oldu?

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


YAZAR HAKKINDA:

Microsoft Certified Trainer-MCT.
Microsoft Certified Solution Expert-MCSE: Cloud Platorm and Infrastructure.

Adım Fırat Boyan. Bilgi Teknolojileri Sistem ve Ağ Mühendisiyim. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilişim Teknolojileri sektöründeyim.

2003 yılında lise eğitimimden sonra bir bilgisayar teknik servisinde önce stajyer, sonrasında ise teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, IT Sistem Sorumlusu ve IT Sistem Yöneticisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.

JP. Morgan Chase Bank'ta Sistem Uzmanı ve Analisti olarak görev yapıyor, Uzun yıllardır da, Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Bilgi Teknolojileri Eğitimleri (ağırlıklı olarak MCSA & MCSE Eğitimleri) veriyor, kurumsal firmalara Bilişim Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sertifikalarım:

MCT (Microsoft Certified Trainer)- 2016/2017 - 2017/2018 - 2018/2019 - 2019/2020
MCPS (Microsoft Certified Professional)
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2012
MCSE (Microsoft Certified Solutions Expert)- Server Infrastructure
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2017
MCSE (Microsoft Certified Solutions Expert)- Messaging
MCSE (Microsoft Certified Solutions Expert)- Productivity 2017
MS (Microsoft Specialist)- Designing and Deploying Microsoft Exchange Server 2016
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2016
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2018
MCSE (Microsoft Certified Solutions Expert)- Productivity 2018




comment YORUMLAR
Bu makaleye 2 yorum yapıldı.

Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


YORUM YAZ

   
  
(yorum onay bildirimi için gereklidir, yayınlanmaz.)
  750 Karakter yazabilirsiniz.
   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.




YAPILAN YORUMLAR


08-07-2019


Zafer Balkan

Fırat Hocam, bu script yerine "Computer Configuration Policies Windows Settings Security Settings File System" altında NTFS security ayarlarını değiştirsek de aynısı olmaz mı?


09-07-2019


Fırat Boyan

Merhaba Zafer. Yapılabilirdi tabiki ama ben biraz daha farklı bir yolla yaklaşmak istedim :)