İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.

Bilgi Teknolojileri Hizmetleri
Kategori: Group Policy
Fırat Boyan 08.07.2019 12

Windows Server 2019'da GPO İle Masaüstüne Dosya ve Klasör Kopyalamayı Engelleme

Herhangi bir nedenle Domain ortamındaki kullanıcılarınızın, kullandıkları bilgisayarların Desktop'larına (masaüstü) dosya veya klasör kopyalama ya da oluşturmalarını engellemek isteyebilirsiniz. Bu makalemde sizlere Windows Server 2019 ortamındaki Group Policy üzerinde oluşturacağım GPO ile bunu nasıl sağlayacağınızdan bahsediyor olacağım.

1- İlk adım olarak işlemimize, Group Policy Manager'da GPO oluşturma işlemi ile başlıyorum. Oluşturacağım GPO'yu, Active Directory'deki hangi bir Organization Unit (OU) içindeki kullanıcılara etki etmesini istiyorsam, o alanda bir GPO oluşturuyorum. Oluşturduğum GPO'ya PreventToSaveOnDesktop adını verdim.

PreventTOsaveOnDesktop

  2- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçerek, gerekli GPO ayarlarını yapılandırmak için açıyorum.

PreventTOsaveOnDesktop

  3- Oluşturduğum PreventToSaveOnDesktop Policy'sine ait Group Policy Management Editor'da User Configuration > Policies > Windows Settings altında Scripts (Logon/Logoff) içindeki Logon üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.

PreventTOsaveOnDesktop

  4- Açılan pencerede Add... butonuna tıklıyorum.

PreventTOsaveOnDesktop

  5- Add... butonuna tıkladıktan sonra açılan pencerede oluşturacağım .BAT uzantılı dosyanın adını uzantısı ile birlikte yazıyor, OK butonuna basarak pencereyi kapatıyorum.

PreventTOsaveOnDesktop

  6- Daha önceden oluşturduğum .BAT uzantılı dosyayı da Show Files... butonuna tıklayarak ilgili Policy'nin Logon Scrips alanına kopyalıyorum.

PreventTOsaveOnDesktop
PreventTOsaveOnDesktop

  7- .BAT uzantılı dosyamın içeriği şu şekilde olacak;

Echo Y| icacls %userprofile%\desktop /e /p FIRATBOYAN\%USERNAME%:R
Standart kullanıcılar için READ izin hakkı.
 
Echo Y| icacls %userprofile%\desktop /t /e /g FIRATBOYAN\Administrator:F
Administrator kullanıcısını için FULL izin hakkı.

  PreventTOsaveOnDesktop

  8- .BAT uzantılı dosyayı ekledikten sonra OK butonuna basarak kapatıyorum.

PreventTOsaveOnDesktop

PowerShell Komutu İle Uzaktan GPO Force Etme

9- Aşağıdaki PowerShell komutu yardımıyla oluşturduğum GPO'yu ister tüm bilgisayarlara, ister filtrelenmiş belirli bir bilgisayar grubuna, ister de tek bir bilgisayara server üzerinden Force edebiliyorum.

Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Domain'imdeki tüm bilgisayarlara Force etmek için.
 
Get-ADComputer –Filter 'Name -like "*PC"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile başlayan tüm bilgisayarlara Force etmek için.
 
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile biten tüm bilgisayarlara Force etmek için.
 
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Sadece Hostname'i sadece PC1 olan bilgisayara Force etmek için.
 

PreventTOsaveOnDesktop

  10- İlgili PowerShell komutu yardımıyla Force işlemini gerçekştirdim. Bu sayade bilgisayar(lar) üzerinde tek tek gpupdate /force komutunu çalıştırmak zorunda kalmıyorum.

PreventTOsaveOnDesktop

11- Kullanıcılar Sign out olup, tekrar Sign in olduklarında, ilgili GPO'nun, aşağıdaki gibi, ilgili bilgisayar(lar)da çalıştığını görebiliyorum.
Kullanıcı(lar), profil masaüstlerine sadece klasör açabilirler ki bu da sadece Administrator hesabı ile mümkün olabilir.

  PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

  12- Benzer şekide kullanıcı(lar), Universal Naming Convention (UNC) Path herhangi bir dosya ya da klasörü profil masaüstlerine kopyalamak (copy) ya da yapıştımak (paste) istediklerinde, Access Denied uyarısı ile karşılacaklardır. Bu işlemin yapılabilmesi de yine sadece Administrator hesabı ile mümkün olabilir.

  PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

PreventTOsaveOnDesktop

  12.1- Administrator kullanıcı adı ve parolası girilmesi ile, masaüstüne koplayama (copy) işlemi mümkün oldu. 

PreventTOsaveOnDesktop

Domain kullanıcılarına masaüstü kullanımını kısıtladıktan sonra alternatif olarak sunucu üzerinde Home Folders profil klasörleri yapılandırması ile verilerin masaüstlerinde tutulması yerine, Server veya Storage üzerinde tutulmasını sağlayarak veri yedekliliğini de sağlamış olursunuz.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum. Kıdemli Sistem Mühendisi, Microsft Sertifikalı Eğitmen (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest, Noter Yeminli Tercümanım. 18 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum ve Bilgi Teknolojileri alanında eğitim hizmetleri veren Bilge Adam bünyesinde Microsoft Sertifikalı Eğitmen (MCT) olarak Sistem ve Network Uzmanlığı eğitimleri veriyorum. Bunun yanı sıra, kurumsal firmalara BT danışmanlık hizmetleri de vermekteyim. Hakkımda daha fazla bilgi sahibi olmak ve sahip olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.

YORUMLAR
Bu makaleye 12 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


18.09.2023 Ahmet Büyükdağcı
Merhabalar; Fırat Bey bu kopyalamayı sadece masaüstünde mi engelleyebiliyoruz. Ben windowsta herhangi bir klasörde bu kopyalama veya yeni klasör açma işlemini yapmasını istemiyorum. Sunucumda paylaştığım datalar tasarım dosyaları olduğu için verilerin dışarıya çıkmasını istemiyoruz. Bu yüzden kullanıcılara okuma yetkisi verdim fakat kendi bilgisayarlarına bu dosyaları kopyalamayı engelleyemiyorum. Ne yapmam gerekiyor fikriniz varsa dönüş yapabilirseniz çok sevinirim.
Cevapla

20.09.2023 Fırat Boyan
Merhaba, Klasör içinde yeni klasör açma vs işlemleri yapmasın istiyorsan, bu konu klasör izinleri konusuna girer. Bir diğer noktada ise verilerin dışarıya çıkmaması için bir DLP ürünü kullanmanı tavsiye ederim.


17.03.2023 Tamer Şahin
Merhabalar; Fırat Bey WIN 10 da, bir klasörde aynı isimli ve uzantılı dosyayı bulundurmak için Replace or Skip Files / Compare info for both files seçilerek saklanabiliyor. Otomatik 1,2,3 diye sıralayarak. . Fakat bunu kullanıcı kopyalama işlemi sırasında seçenek sunmadan otomatik olarak ekletebilir miyiz. GPO ile bu işlemi tüm kullanıcılara ekleyebilir miyiz? Teşekkürler
11.03.2022 Burhan Gökçe
Fırat Bey, Sorum şu olacak. Server üzerinkdeki ortak bir klasörde kullanıcılar için kopyala yada sürükle bırak engeli koyabilirmiyiz sadece okuyabilsinler şeklinde.
Cevapla

17.03.2022 Fırat Boyan
Sadece okuyabilsinler yapılacaksa, Read yetkisi yeterli olmuyor mu? Başka bir amaç varsa, detaylarını iletirsen yardımcı olmaya çalışayım.


17.11.2021 Ergen Kaya
Hocam selamlar, hata alıyoruz. ilk olarak - Invalid parameter "/e" - e silinince de - p - için hata veriyor. her ikisinide silince bu defa - invalid paramater domain_name\%username% -
Cevapla

06.09.2022 Fırat Boyan
Makale içeriğinde Windows 7 değil, Windows 10 kullanılmıştır. Bende sorun oluşmamıştı. Belki sürümle alakalıdır. Son sürüm Windows 10 üstünde tekrar bir deneme yapayım.

06.09.2022 Ozan Arabaci
Aynı sorunu ben de yaşadım. burada belirtilen parametreler windows10 da çalışmıyor. Sanırım win7ye ait. bu kodlar yerine /setintegritylevel h parametresini kullandım ve çözüme kavuştum. Örnek; Echo Y| icacls c:\users\student\desktop /t /setintegritylevel h Fırat beye paylaşımı için teşekkür ederim. Makaleyi güncellemeye vakti olur da güncellerse seviniriz.


25.11.2020 Emre Yilmazer
Hocam merhabalar, bunu sadece masaüstü değil de, bilgisayarın herhangi bir yeri olarak ayarlamak mümkün mü?
Cevapla

26.11.2020 Fırat Boyan
Merhaba Emre, Şimdi bilgisayarın hergangibir yeri derken şöyle bir durum var; Herhangi bir yeri derken kast ettiğin, My documents, Downloads, Favorites gibi profil klasörleri haricindeki C sürücüsü içindeki bir dizin ise ya da diğer disk sürücüleri ise, bunu GPO ile yapabilirsin. Ama diğer profil klasörleri ise, desktop yazan yeri değiştirmek yeterli olacaktır.


29.03.2020 SAİT ALTUNBAY
Hocam, kolay gelsin. Server 2016 ve windos 10 1909 sürümü çin belirttiniz şeyleri yaptım fakat bir sonuç alamadım admx ile alakalı olabilir mi?
08.07.2019 Zafer Balkan
Fırat Hocam, bu script yerine "Computer Configuration Policies Windows Settings Security Settings File System" altında NTFS security ayarlarını değiştirsek de aynısı olmaz mı?