Group Policy İle .BAT (Batch) dosyası yardımıyla Masaüstüne (Desktop) Dosya ve Klasör Kopyalamayı Engelleme
Fırat Boyan
08.07.2019
3
Herhangi bir nedenle Domain ortamındaki kullanıcılarınızın, kullandıkları bilgisayarların Desktop'larına (Masaüstü) dosya veya klasör kopyalama ya da oluşturmalarını engellemek isteyebilirsiniz. Bu makalemde sizlere, bunu nasıl sağlayacağınızdan bahsediyor olacağım.
Group Policy Manager'da GPO (Group Policy Object) oluşturma
1- İlk adım olarak işlemimize, Group Policy Manager'da GPO oluşturma işlemi ile başlıyorum. Oluşturacağım GPO'yu, Active Directory'deki hangi bir Organization Unit (OU) içindeki kullanıcılara etki etmesini istiyorsam, o alanda bir GPO oluşturuyorum. Oluşturduğum GPO'ya PreventToSaveOnDesktop adını verdim.
2- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçerek, gerekli GPO ayarlarını yapılandırmak için açıyorum.
3- Oluşturduğum PreventToSaveOnDesktop Policy'sine ait Group Policy Management Editor'da User Configuration > Policies > Windows Settings altında Scripts (Logon/Logoff) içindeki Logon üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.
4- Açılan pencerede Add... butonuna tıklıyorum.
5- Add... butonuna tıkladıktan sonra açılan pencerede oluşturacağım .BAT uzantılı dosyanın adını uzantısı ile birlikte yazıyor, OK butonuna basarak pencereyi kapatıyorum.
6- Daha önceden oluşturduğum .BAT uzantılı dosyayı da Show Files... butonuna tıklayarak ilgili Policy'nin Logon Scrips alanına kopyalıyorum.
7- .BAT uzantılı dosyamın içeriği şu şekilde olacak;
|
Echo Y| icacls %userprofile%\desktop /e /p FIRATBOYAN\%USERNAME%:R
Standart kullanıcılar için READ izin hakkı.
Echo Y| icacls %userprofile%\desktop /t /e /g FIRATBOYAN\Administrator:F
Administrator kullanıcısını için FULL izin hakkı.
|
8- .BAT uzantılı dosyayı ekledikten sonra OK butonuna basarak kapatıyorum.
Powershell Komutu İle Uzaktan GPO Force Etme
9- Aşağıdaki
Powershell komutu yardımıyla oluşturduğum GPO'yu ister tüm bilgisayarlara, ister filtrelenmiş belirli bir bilgisayar grubuna, ister de tek bir bilgisayara server üzerinden
force edebiliyorum.
|
Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Domain'imdeki tüm bilgisayarlara force etmek için.
Get-ADComputer –Filter 'Name -like "*PC"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile başlayan tüm bilgisayarlara force etmek için.
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile biten tüm bilgisayarlara force etmek için.
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Sadece Hostname'i PC1 olan bilgisayara force etmek için.
|
10- İlgili Powershell komutu yardımıyla force işlemini gerçekştirdim. Bu sayade bilgisayar(lar) üzerinde tek tek gpupdate /force komutunu çalıştırmak zorunda kalmıyorum.
GPO İle Masaüstünde (Desktop) Dosya ve Klasör Koplayalama Engelleme İşlemi Sonrası Test Aşaması
11- Kullanıcılar Sign out olup, tekrar Sign in olduklarında, ilgili Group Policy Object'in, aşağıdaki gibi, ilgili bilgisayar(lar)da çalıştığını görebiliyorum.
Kullanıcı(lar), profil masaüstlerine sadece klasör açabilirler ki bu da sadece Administrator hesabı ile mümkün olabilir.
12- Benzer şekide kullanıcı(lar), network path'inden herhangi bir dosya ya da klasörü profil masaüstlerine kopyalamak (copy) ya da yapıştımak (paste) istediklerinde, erişim engellendi (access denied) uyarısı ile karşılacaklardır. Bu işlemin yapılabilmesi de yine sadece Administrator hesabı ile mümkün olabilir.
12.1- Administrator kullanıcı adı ve şifresi girilmesi ile, masaüstüne koplayama (copy) işlemi mümkün oldu.
Domain kullanıcılarına masaüstü kullanımını kısıtladıktan sonra alternatif olarak sunucu üzerinde
Home Folders profil klasörleri yapılandırması ile verilerin masaüstlerinde tutulması yerine, Server veya Storage üzerinde tutulmasını sağlayarak veri yedekliliğini de sağlamış olursunuz.
Faydalı olması dileğiyle...
Etiletler: Group Policy, GPO, Group Policy Object, masaüstü, desktop, dosya ve klasör kaydetmeyi engelleme
Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.
Yazar: Fırat Boyan
.jpg)
Adım Fırat Boyan. Kıdemli Sistem ve Network Uzmanıyım. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilgi Teknolojileri sektöründeyim.
2003 yılında lise eğitimimden sonra bir bilgisayar firmasının teknik servisinde önce stajyer, sonrasında ise yine aynı firmada teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, Sistem Yöneticisi ve Sistem ve Network Mühendisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.
MİRSİS Bilgi Teknolojileri'nde Sistem Uzmanı konumunda görev yapıyor, Uzun yıllardır da, Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Sistem ve Network Uzmanlığı eğitimleri veriyor, işlerimden arta kalan zamanlarda da bireysel olarak kurumsal firmalara Bilgi Teknolojileri Danışmanlık Hizmetleri sunuyorum.
Sahip olduğum Microsoft sertifikalarımı Hakkımda sayfasında detaylıca görüntüleyebilirsiniz.
YORUMLAR
Bu makaleye 3 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
|
29.03.2020
SAİT ALTUNBAY
Hocam, kolay gelsin.
Server 2016 ve windos 10 1909 sürümü çin belirttiniz şeyleri yaptım fakat bir sonuç alamadım admx ile alakalı olabilir mi?
|
|
08.07.2019
Zafer Balkan
Fırat Hocam, bu script yerine "Computer Configuration Policies Windows Settings Security Settings File System" altında NTFS security ayarlarını değiştirsek de aynısı olmaz mı?
|
20.07.2019
Fırat Boyan
Denedim, çalışmadı :)
|
|