Yükleniyor...
jumbotron

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Kategori: Group Policy

Fırat Boyan 08.07.2019 5

Group Policy İle .BAT (Batch) dosyası yardımıyla Masaüstüne (Desktop) Dosya ve Klasör Kopyalamayı Engelleme

Herhangi bir nedenle Domain ortamındaki kullanıcılarınızın, kullandıkları bilgisayarların Desktop'larına (Masaüstü) dosya veya klasör kopyalama ya da oluşturmalarını engellemek isteyebilirsiniz. Bu makalemde sizlere, bunu nasıl sağlayacağınızdan bahsediyor olacağım.

Group Policy Manager'da GPO (Group Policy Object) oluşturma

1- İlk adım olarak işlemimize, Group Policy Manager'da GPO oluşturma işlemi ile başlıyorum. Oluşturacağım GPO'yu, Active Directory'deki hangi bir Organization Unit (OU) içindeki kullanıcılara etki etmesini istiyorsam, o alanda bir GPO oluşturuyorum. Oluşturduğum GPO'ya PreventToSaveOnDesktop adını verdim.

PreventTOsaveOnDesktop
 
2- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçerek, gerekli GPO ayarlarını yapılandırmak için açıyorum.

PreventTOsaveOnDesktop
 
3- Oluşturduğum PreventToSaveOnDesktop Policy'sine ait Group Policy Management Editor'da User Configuration > Policies > Windows Settings altında Scripts (Logon/Logoff) içindeki Logon üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

PreventTOsaveOnDesktop
 
4- Açılan pencerede Add... butonuna tıklıyorum.

PreventTOsaveOnDesktop
 
5- Add... butonuna tıkladıktan sonra açılan pencerede oluşturacağım .BAT uzantılı dosyanın adını uzantısı ile birlikte yazıyor, OK butonuna basarak pencereyi kapatıyorum.

PreventTOsaveOnDesktop
 
6- Daha önceden oluşturduğum .BAT uzantılı dosyayı da Show Files... butonuna tıklayarak ilgili Policy'nin Logon Scrips alanına kopyalıyorum.
 
PreventTOsaveOnDesktop
PreventTOsaveOnDesktop
 
7- .BAT uzantılı dosyamın içeriği şu şekilde olacak;
 
Echo Y| icacls %userprofile%\desktop /e /p FIRATBOYAN\%USERNAME%:R
Standart kullanıcılar için READ izin hakkı.
 
Echo Y| icacls %userprofile%\desktop /t /e /g FIRATBOYAN\Administrator:F
Administrator kullanıcısını için FULL izin hakkı.

PreventTOsaveOnDesktop
 
8- .BAT uzantılı dosyayı ekledikten sonra OK butonuna basarak kapatıyorum.

PreventTOsaveOnDesktop

Powershell Komutu İle Uzaktan GPO Force Etme

9- Aşağıdaki Powershell komutu yardımıyla oluşturduğum GPO'yu ister tüm bilgisayarlara, ister filtrelenmiş belirli bir bilgisayar grubuna, ister de tek bir bilgisayara server üzerinden force edebiliyorum.
 
Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Domain'imdeki tüm bilgisayarlara force etmek için.
 
Get-ADComputer –Filter 'Name -like "*PC"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile başlayan tüm bilgisayarlara force etmek için.
 
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile biten tüm bilgisayarlara force etmek için.
 
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Sadece Hostname'i sadece PC1 olan bilgisayara force etmek için.
 

PreventTOsaveOnDesktop
 
10- İlgili Powershell komutu yardımıyla force işlemini gerçekştirdim. Bu sayade bilgisayar(lar) üzerinde tek tek gpupdate /force komutunu çalıştırmak zorunda kalmıyorum.

PreventTOsaveOnDesktop

GPO İle Masaüstünde (Desktop) Dosya ve Klasör Koplayalama Engelleme İşlemi Sonrası Test Aşaması

11- Kullanıcılar Sign out olup, tekrar Sign in olduklarında, ilgili Group Policy Object'in, aşağıdaki gibi, ilgili bilgisayar(lar)da çalıştığını görebiliyorum.
Kullanıcı(lar), profil masaüstlerine sadece klasör açabilirler ki bu da sadece Administrator hesabı ile mümkün olabilir.
 
PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

PreventTOsaveOnDesktop
 
12- Benzer şekide kullanıcı(lar), network path'inden herhangi bir dosya ya da klasörü profil masaüstlerine kopyalamak (copy) ya da yapıştımak (paste) istediklerinde, erişim engellendi (access denied) uyarısı ile karşılacaklardır. Bu işlemin yapılabilmesi de yine sadece Administrator hesabı ile mümkün olabilir.
 
PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

PreventTOsaveOnDesktop
 
12.1- Administrator kullanıcı adı ve şifresi girilmesi ile, masaüstüne koplayama (copy) işlemi mümkün oldu. 

PreventTOsaveOnDesktop

Domain kullanıcılarına masaüstü kullanımını kısıtladıktan sonra alternatif olarak sunucu üzerinde Home Folders profil klasörleri yapılandırması ile verilerin masaüstlerinde tutulması yerine, Server veya Storage üzerinde tutulmasını sağlayarak veri yedekliliğini de sağlamış olursunuz.
 
Faydalı olması dileğiyle...

Etiletler: Group Policy, GPO, Group Policy Objectmasaüstü, desktop, dosya ve klasör kaydetmeyi engelleme
 

Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Yazar: Fırat Boyan

Adım Fırat Boyan. Sistem ve Ağ Mühendisi (MCSE), Microsft Sertifikalı Bilgi Teknolojileri Eğitmeni (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest , Noter Yeminli Tercümanım. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum ve 15 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda MİRSİS Bilgi Teknolojileri bünyesinde Kıdemli Sistem Uzmanı olarak çalışıyorum ve Bilişim Teknolojileri alanında eğitim hizmeti veren en önde gelen eğitim kurumu olan Network Akademi'ye bağlı MCT-Microsoft Sertifikalı Eğitmen olarak Sistem ve Ağ eğitimleri vermekteyim. Kurumsal firmalara da bireysel bazda IT Danışmanlık Hizmetleri veriyorum.
Hakkımda daha fazla bilgi sahibi olmak ve sahip olduuğum olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.




5
YORUMLAR
Bu makaleye 5 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

Yorum Yaz:
   
  
(Yorum onay bildirimi için gereklidir. Yayınlanmaz.)
 
750 Karakter yazabilirsiniz.

   
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.


Yapılan yorumlar:
25.11.2020 Emre Yilmazer
Hocam merhabalar, bunu sadece masaüstü değil de, bilgisayarın herhangi bir yeri olarak ayarlamak mümkün mü?

26.11.2020 Fırat Boyan
Merhaba Emre, Şimdi bilgisayarın hergangibir yeri derken şöyle bir durum var; Herhangi bir yeri derken kast ettiğin, My documents, Downloads, Favorites gibi profil klasörleri haricindeki C sürücüsü içindeki bir dizin ise ya da diğer disk sürücüleri ise, bunu GPO ile yapabilirsin. Ama diğer profil klasörleri ise, desktop yazan yeri değiştirmek yeterli olacaktır.


29.03.2020 SAİT ALTUNBAY
Hocam, kolay gelsin. Server 2016 ve windos 10 1909 sürümü çin belirttiniz şeyleri yaptım fakat bir sonuç alamadım admx ile alakalı olabilir mi?


08.07.2019 Zafer Balkan
Fırat Hocam, bu script yerine "Computer Configuration Policies Windows Settings Security Settings File System" altında NTFS security ayarlarını değiştirsek de aynısı olmaz mı?

20.07.2019 Fırat Boyan
Denedim, çalışmadı :)