Yükleniyor...

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

category Kategori: Group Policy

Fırat Boyan 10.05.2020 0

Group Policy Üzerinden BATCH Dosyası (.bat) İle Home Folders Kullanıcı Profilleri MAP Etme

MAP etme (MAP'leme) kavramı, Windows Server işletim sistemlerinde paylaşılmış klasörlerin (Shared Folders), başka Windows işletim sistemli bilgisayarlara kısa yoldan, Network üzerinden (UNC-Universal Naming Convention Path) üzerinden, erişebilmelerine imkan sağlayan bir bağlama (Bind etme) yöntemidir. MAP etme (MAP'leme) ile sanki işletim sistemimizdeki bir Disk Volume'e (C:\, D:\ gibi) tıklayarak erişiyormuş gibi ilgili paylaşılmış klasör(ler)e (Shared Folder(s)) daha kısa yoldan erişme imkanına sahip oluruz.

Paylaşılmış klasör(ler)e (Shared Folder(s)) MAP etme (MAP'leme) ihtiyacı çeşitli sebeplerden meydana gelebilmektedir. Ben, bu makalemde sizlere Home Folders kavramına değiniyor olacağım. Home Folders ile Domain ortamındaki her Active Directory kullanıcısı, File Server'da paylaşıma açacağım Home Folders isimli klasörünün ve bu klasör içinde de her Active Directory kullanıcısının hendi adındaki profil klasörlerinin, kullanıcıların bilgisayarlarına Logon olduktan sonra kendi kullanıcı isimleri ile eşleştirerek; Batch (.bat) dosyası ile, Group Policy aracığılı ile MAP'lenmesini sağlayacağım.

Bu makalemi Windows Server 2019 üzerinde yapılandırıyor olacağım.

Home Folders

Biraz daha sadeleştirecek olursam, yapacağımız işlemler aşağıdaki gibi olacak;
• File Server üzerinde D:\ dizininde Home Folders adında bir klasör açıp, bu klasörü (gizli) paylaşıma açtıktan sonra gerekli klasör yetkilendirme işlemlerini yapacağım.
• Home Folders paylaşım klasörünün altında her kullanıcı için Profil klasörleri oluşturacağım.
• Batch (.bat) dosyası hazırlayarak, bu dosyanın içine Net Use komutu ile ilgili profil klasörlerinin her kullanıcının kendi kullanıcı adı (UPN-Universal Principle Name) ile eşecek şekilde MAP'lenmesi için gerekli komutu yazacağım.
• Bu Batch (.bat) dosyasının Group Policy ile tüm Windows 10 Client bilgisayarlara uygulanmasını sağlayacağım. Bu noktadan sonra, kullanıcı adını yazarak Logon olan her kullanıcı, kendi kullanıcı adındaki Profil klasörünü MAP'lenmiş şekilde hazır bulacaktır.

Bazı şirketlerde bu yapılandırma, bir işleyiş gereksinimidir ve kullanıcıların bilgisayar masaüstlerinde (aslında profillerine bağlı hiçbir klasörde) herhangi bir dosya barındırmalarını istemezler. Bunun haklı sebepleri de vardır. Ör. bir bilgisayarın bir çok sebepten kaynaklı olabilecek Disk'i bozulabiliyor ve dolayısı ile de işletim sistemi açılmıyor. Böyle bir durumda da kullanıcı, veri kaybı yaşamış oluyor. Eğer Home Folders gibi bir yapılanma kurgulanırsa kullanıcılar, tüm çalışma dokümanlarını Server ya da Storage üzerindeki bir noktada tutmuş olurlar. Bu sayade de kullanıcıya yeni bir bilgisayar tedarik edilten sonra kullanıcı, Logon işlemini gerçekleştirir gerçekleştirmez MAP'lenmiş Profil klasörüne ve dolayısı ile de eski verilerine kayıpsız bir şekilde erişmiş olmaktadır.

Home Folder Yapılandırma - Profil Klasörlerinin Hazırlanması

1- File Server üzerinde D:\ dizininde Home Folders adında bir klasör açıyorum.

Home Folders

1.1- Benim oluşturduğum Active Directory Kullanıcı isimleri UserXX şeklinde olduğu için kullanıcı profil klasörlerimi de bu şekilde oluşturdum.

Home Folders

1.2- Kullanıcı profil klasörleri içinde, normal bir profil klasörü içinde olması gereken tüm profil klasörleri mevcut.

Home Folders

2- File Server üzerinde D:\ dizininde Home Folders klasörümü paylaşıma açarak, gerekli klasör yetkilendirme işlemerini yaptım. Konumuz dışında olduğu için bu işlemlerin nasıl yapıldığına dair görüntü paylaşımı yapmıyorum.

Home Folders

2.1- Powershell konsolundan UNC-Universal Naming Convention Path (dizin yolu) üzerinden Home Folders klasöründeki NTFS izinleri listesini çekip, kimlerin bu klasöre izinli olduklarını görebiliyorum.
Home Folders ana klasörü üzerinde sadece Domain Users grubuna Read yetkisi verilmiş durumda.

Home Folders

2.2- Paylaşıma açılmış olan Home Folders klasöründe Domain Users grubuna Read yetkisi verildiği için alt klasörler olan kullanıcı isimleri ile oluşturulmuş profil klasörleri de otomatik olarak Inheritance ile Read izin yetkisine sahip olmaktadır.

Burada dikkat edilecek nokta, her kullanıcı profil klasörü için InheritanceDisable ederek, Domain Users grubunu kaldırıp, sadece erişim yetkisi olacak olan kullanıcıya Modify yetkisi tanımlamak yeterli olacaktır.

Home Folders
Home Folders
Home Folders

NOT 1: Bu noktada kısıtlamalar, FSRM (File Server Resource Manager) üzerinden yapılarak, profil klasörinde tutulacak ya da tutulmasına izin verilmeyecek olan dosya tipleri belirtilerek, her profil klasörü için ayrı ayrı kota yapılandırması işlemi uygulanabilir. Konumuz dışında olduğu için bu kısıma da değinmiyorum.

MAP İşlemi için Batch (.bat) Dosyası Hazırlama

3- MAP İşlemi için oluşturulacak olan Batch (.bat) dosyası içindeki Net Use komutu aşağıdaki gibi olacaktır.

net use M: "\\10.10.10.100\home folders$\%username%" /User:FIRATBOYAN\%username% /PERSISTENT:YES

Hatırlatma!: Bu komutu bir Text dosyasına yazıp, kaydettikten sonra dosya uzantı ismini .bat şeklinde değiştirmeyi unutmayın.
Bilgi!: Buradaki UNC-Universal Naming Convention Path'indeki (dizin yolundaki) %username% dikkatinizi çekmiş olmalı. Bu, bilgisayarına Logon olan her kullanıcı, kendi kullanıcı adı (UPN-Universal Principle Name) ile oluşturulmuş profil klasörlerini bu parametre yardımıyla çekebilmesi için gerekli olan değişkendir. /User kısmındaki Domain\%username% değişkeni ise, MAP'leme işleminin yine Logon olan kullanıcının adına göre yapılması işlemi içindir. Bu yötemle Password parametresi belirtmeye de gerek kalmamaktadır.

NOT 2: UNC-Universal Naming Convention Path'indeki (dizin yolundaki) paylaşım klasörü adı (Shared Folder Name) birbirinden ayrı yazılmış ise, UNC-Universal Naming Convention Path'inin başına ve sonuna tırnak (") işareti koymayı unutmayın. Aksi halde çalışmayacaktır.

Home Folders

4- MAP İşlemi için oluşturulacak olan Batch (.bat) dosyamı, \\DomainControllerIPAddress\Netlogon ya da \\DomainControllerHostName\Netlogon UNC-Universal Naming Convention Path'inden (dizin yolundan) eriştiğim NETLOGON klasörü içine kopyalıyorum.

Home Folders

Home Folders

Bilgi!: Active Directory Domain Controller Kurulumu ile varsayılan olarak 2 klasör paylaşıma açılmış şekilde gelir. Bunlar, NETLOGON ve SYSVOL (System Volume) klasörleridir.

NETLOGON: Bu paylaşılmış klasör, Group Policy'deki GPO (Group Policy Object) bilgilerini referans alarak kullanıcı Logon ya da Logoff operasyonları sırasında çalıştırılacak herhangi bir Script dosyasının çalıştırılması için kullanılmaktadır. Windows 2000 ile birlikte bu klasör, içerik erişimini tamamen SYSVOL (System Volume) paylaşılmış klasörüne bırakmıştır. NETLOGON paylaşılmış klasörü içindeki herhangi bir Script dosyası, direkt olarak SYSVOL (System Volume) içindeki Scripts klasöründe tutulmaktadır ve diğer Domain Controller'lara buradan replike olmaktadır. Bu noktada NETLOGON klasörünü SYSVOL (System Volume) paylaşılmış klasörü içindeki Scripts klasörünün bir kısayolu gibi düşünebilirsiniz.

SYSVOL (System Volume): Bu paylaşılmış klasör, Group Policy'deki GPO'ları (Group Policy Object) ve Group Policy'deki GPO (Group Policy Object) bilgilerini referans alarak çalıştırılacak Script dosyalarını barındırdırmakta olup, bu bilgilerin diğer diğer Domain Controller'lara da buradan replike olmaktadır. Yukarıda da bahsettiğim gibi, NETLOGON klasöründe barındırılan Script dosyaları, Windows Server 2000'den beri, aslında SYSVOL (System Volume) içindeki Scripts klasöründe tutulmakdatır.

Home Folders

4.1- CMD (Command Promt) üzerinden Net Share komutu ile de NETLOGON ve SYSVOL (System Volume) klasörlerinin C:\ dizini altındaki dizin yollarını görebilmekteyiz. Dikkat ederseniz, Netlogon klasörünün dizin bilgisi, SYSVOL (System Volume) klasörü dizinine referans vermektedir.

Home Folders
 

Group Policy Manager'da GPO (Group Policy Object) Hazırlama

Tüm ön hazırları tamamladıktan sonra sıra, Group Policy Manager'da GPO (Group Policy Object) hazırlama işlemine geldi.

5- Active Directory Hiyerarşi yapım aşağıdaki gibidir. GPO'mu Istanbul OU'su altındaki Users OU'su içindeki kullanıcılara uygulayacağım.

Home Folders

6- Group Policy Manager'da GPO oluşturacağım OU (Organization Unit) üzerinde sağ tıklıyor, Create a GPO in this domain, and Link it here... seçeneğini seçiyorum.

NOT 3: Create a GPO in this domain, and Link it here... seçeneği ile oluşan GPO, Group Policy Objects altında oluşmakta olup, ilgili OU (Organization Unit) üzerinde sadece bir kısayol bağlantısı oluşmaktadır.

Home Folders

7- New GPO Penceresinde oluşturacağım GPO için bir isim verior, OK butonuna basıyorum.

Home Folders

Home Folders

8- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçerek, GPO yapılandırma işlemime başlıyorum.

Home Folders

9- Açılan Group Policy Management Editor penceresinde yapılandırmamı;

User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff)

üzerinde yapılandıracağım.

Home Folders

10- Daha önceden oluşturmuş olduğum Batch (.bat) dosyamı, kullanıcılar Logon olduklarında çalışmasını tercih ettiğim için, Logon üzerinde gerçekleştiriyorum. Bu yüzden Logon Properties penceresi üzerinde Add... butonuna tıklayarak, Batch (.bat) dosyamın adını ekliyorum.

Home Folders

Home Folders

11- Logon Properties penceresindeki en önemli kısım ve işlem, Batch (.bat) dosyamı SYSVOL (System Volume) altındaki ilgili 32 Bit'lik GUID numaralı Policy içine de kopyalamak olacak. Batch (.bat) dosyası buraya koplayamazsak, MEP'leme işlemi gerçekleşmeyecektir!

Home Folders

Home Folders

Home Folders

Home Folders

12- İşlemlerimizi bitirdikten sonra Logon Properties penceresini OK butonuna basarak kapatabilriz.

Home Folders
 

Windows 10'da GPO Force Etme İşlemi

Group Policy Manager'da GPO (Group Policy Object) hazırlama işlemi tamamladıktan sonra sıra, Windows 10 işletim sistemli bilgisayarlarda GPO'umuzu (Group Policy Object) uygulamaya geldi.

13- Bu işlem iki şekilde yapılabilir;

1- Her bilgisayarı tek tek gezerek, CMD (Command Promt) ile gpupdate /force komutunu işleterek,

Home Folders

2- Domain Controller üzerinde, ihtiyaca göre, aşağıdaki Powershell komutlarından birisini çalıştırarak. Bu yöntemle, ilgili GPO'nun tek merkezden tüm Domain'deki Client'larınzına uygulanmasını sağlayabilir, zamandan iş gücünden tasarruf ederbilirsiniz.

Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Yine aynı PowerShell komutu ile Domain'deki hostname bilgisi belli bir isimle başlayan bilgisayarlara (ör. PC*) uygulatılmasını sağlayabilirsiniz.

Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Ya da Domain'deki  sadece [*] işareti ile direkt olarak Domain'deki tüm bilgisayalara uzaktan Group Policy ayarlarının uygulatılmasını sağlayabiliriz.

Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=FIRATBOYAN,DC=COM" | foreach{Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

14- İlgili GPO uygulandıktan sonra kullanıcılarımız; Logoff olup, tekrar Logon olduklarında, kendi kullanıcı isimleri ile ilişkili profil klasörlerinin MAP edildiğini görebilecek ve erişim sağlayabileceklerdir. Bu yötem ile kullanıcılar, asla diğer kullanıların profil klasörlerine erişim sağlayamazlar.

Home Folders

15- MAP'lenmiş profil klasörüne giriş yaptığımızda orijinal profil klasör isimleri ile aynı klasörlerin, MAP'lenmiş profil klasöründe de olduğunu görebiliyoruz. Bu sayede kullanıcılar, verilerini kolaylıkla gruplandırabilirler.

Home Folders

16- User20 kullanıcı isimki Kullanıcımız Desktop'ındaki verileri, MAP'lenmiş profil klasöründeki Desktop klasörüne kopyalıyor.

Home Folders

17- MAP'lenmiş profil klasöründeki Desktop klasörüne kopyalanan veriler, Server üzerinde paylaşıma açıldığı Volume üzerinde tutuluyor.

Home Folders

Bilgi!: Bu verileri yedekli hale getirmenin yöntemlerinden birisi de, DFS(Distributed File System) HA (High Availability) Kurulumu ile farklı File Server'lar üzerinde bir kopyalarının barındırılması olacaktır. Bunun da makalesine ilgili bağlantı üzerinden erişebilirsiniz. İlgili makalemde MAP'leme konusuna değinmemiştim. Bu makalemde sadece tek bir File Server üzerinden Paylaşıma açarak MAP'leme işlemini anlatacağım. Bu işlemi, DFS(Distributed File System) HA (High Availability) üzerinde yaapacaksınız, tek fark sadece UNC-Universal Naming Convention Path üzerinde olacaktır. Bu fark da, IP adresi ya da Host Name yerine, DFS Namespace kullanımı olacaktır.
 

Access-Based Enumeration Kavramı

18- MAP'lediğimiz paylaşım klasörlerimiz, gizli paylaşımda olsalar dahi, IP adresi ve gizli paylaşılan klasör adı da (siz müdahale edip değiştirmediyseniz) görür olabilmektedir. Böyle bir durumda da UNC-Universal Naming Convention üzerinden paylaşım klasörüne ulaşabilir.

Access-Based Enumeration yapılandırma

19- Her ne kadar ana paylaşım klarösüne erişebilse de, yapılandırışmış olan yetkilendirmeler sayesinde diğer profil klasörlerine erişim sağlayamayacaktır ancak yetkisi olmayan klasörleri de görmemesi daha profesyonel bir yaklaşım olacaktır.

Access-Based Enumeration yapılandırma

20- Kullanıcıların yetkisi olmayan klasörleri görmemesi için Access-Based Enumeration yapılandırma işlemine ihtiyacımız vardır. Bunun için File Server Resource Manager'ı (FSRM) kullanacağız.

20.1- Server Manager'ı açıyor, sol bölümde bulunan File and Storage Services'a tıklıyorum.

Access-Based Enumeration yapılandırma

20.2- Burada paylaşım klasörümüzün üzerinde sağ tıklayacak Properties seçeneğini seçiyorum.

Access-Based Enumeration yapılandırma

20.3- Açılan pencerede Enable accessed-based enumeration seçeneğini seçiyorum, OK butonuna basarak pencereyi kapatıyorum.

Access-Based Enumeration yapılandırma

20.4- Enable accessed-based enumeration seçeneğini seçtikten sonra kullanıcılar, yetkisi olmayan hiçbir paylaşım alt klasörünü göremeyecek duruma gelebilmektedir.

Access-Based Enumeration yapılandırma

Access-Based Enumeration yapılandırma

Kullanıcılarınızın profil masaüstlerine hiçbir şey kaydetmelerini istemiyor ve dirrekt olarak Home Folders profil klasörü içindeki Desktop klasörüne kayıt etmelerini ve buradan çalışmalarını istiyorsanız, Group Policy İle .BAT (Batch) dosyası yardımıyla Masaüstüne (Desktop) Dosya ve Klasör Kopyalamayı Engelleme işlemini uygulayabilirsiniz.

Faydalı olması dileğiyle...
 


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilgi Teknolojileri sektöründeyim.
2003 yılında lise eğitimimden sonra bir bilgisayar firmasının teknik servisinde önce stajyer, sonrasında ise yine aynı firmada teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, Sistem Yöneticisi ve Sistem ve Network Mühendisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.
MİRSİS Bilgi Teknolojileri'nde Kidemli Sistem Uzmanı konumunda görev yapıyor, uzun yıllardır da Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Sistem ve Network Uzmanlığı eğitimleri veriyor, işlerimden arta kalan zamanlarda da bireysel olarak kurumsal firmalara Bilgi Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sahip olduğum Microsoft sertifikalarımı Hakkımda sayfasında detaylıca görüntüleyebilirsiniz.




-
YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

YORUM YAZ
   
  
(Yorum onay bildirimi için gereklidir. Yayınlanmaz.)
 
750 Karakter yazabilirsiniz.

   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.