Herhangi bir nedenle Domain ortamındaki kullanıcılarınızın, kullandıkları bilgisayarların Desktop'larına (masaüstü) dosya veya klasör kopyalama ya da oluşturmalarını engellemek isteyebilirsiniz. Bu makalemde sizlere, bunu nasıl sağlayacağınızdan bahsediyor olacağım.
1- İlk adım olarak işlemimize, Group Policy Manager'da GPO oluşturma işlemi ile başlıyorum. Oluşturacağım GPO'yu, Active Directory'deki hangi bir Organization Unit (OU) içindeki kullanıcılara etki etmesini istiyorsam, o alanda bir GPO oluşturuyorum. Oluşturduğum GPO'ya PreventToSaveOnDesktop adını verdim.
2- Oluşturduğum GPO üzerinde sağ tıklayarak Edit... seçeneğini seçerek, gerekli GPO ayarlarını yapılandırmak için açıyorum.
3- Oluşturduğum PreventToSaveOnDesktop Policy'sine ait Group Policy Management Editor'da User Configuration > Policies > Windows Settings altında Scripts (Logon/Logoff) içindeki Logon üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.
4- Açılan pencerede Add... butonuna tıklıyorum.
5- Add... butonuna tıkladıktan sonra açılan pencerede oluşturacağım .BAT uzantılı dosyanın adını uzantısı ile birlikte yazıyor, OK butonuna basarak pencereyi kapatıyorum.
6- Daha önceden oluşturduğum .BAT uzantılı dosyayı da Show Files... butonuna tıklayarak ilgili Policy'nin Logon Scrips alanına kopyalıyorum.
7- .BAT uzantılı dosyamın içeriği şu şekilde olacak;
|
Echo Y| icacls %userprofile%\desktop /e /p FIRATBOYAN\%USERNAME%:R
Standart kullanıcılar için READ izin hakkı.
Echo Y| icacls %userprofile%\desktop /t /e /g FIRATBOYAN\Administrator:F
Administrator kullanıcısını için FULL izin hakkı.
|
8- .BAT uzantılı dosyayı ekledikten sonra OK butonuna basarak kapatıyorum.
PowerShell Komutu İle Uzaktan GPO Force Etme
9- Aşağıdaki PowerShell komutu yardımıyla oluşturduğum GPO'yu ister tüm bilgisayarlara, ister filtrelenmiş belirli bir bilgisayar grubuna, ister de tek bir bilgisayara server üzerinden Force edebiliyorum.
|
Get-ADComputer –Filter 'Name -like "*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Domain'imdeki tüm bilgisayarlara Force etmek için.
Get-ADComputer –Filter 'Name -like "*PC"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile başlayan tüm bilgisayarlara Force etmek için.
Get-ADComputer –Filter 'Name -like "PC*"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Hostname'i PC ile biten tüm bilgisayarlara Force etmek için.
Get-ADComputer –Filter 'Name -like "PC1"' -Searchbase "DC=firatboyan,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}
Sadece Hostname'i sadece PC1 olan bilgisayara Force etmek için.
|
10- İlgili PowerShell komutu yardımıyla Force işlemini gerçekştirdim. Bu sayade bilgisayar(lar) üzerinde tek tek gpupdate /force komutunu çalıştırmak zorunda kalmıyorum.
11- Kullanıcılar Sign out olup, tekrar Sign in olduklarında, ilgili GPO'nun, aşağıdaki gibi, ilgili bilgisayar(lar)da çalıştığını görebiliyorum.
Kullanıcı(lar), profil masaüstlerine sadece klasör açabilirler ki bu da sadece Administrator hesabı ile mümkün olabilir.
12- Benzer şekide kullanıcı(lar), Universal Naming Convention (UNC) Path herhangi bir dosya ya da klasörü profil masaüstlerine kopyalamak (copy) ya da yapıştımak (paste) istediklerinde, Access Denied uyarısı ile karşılacaklardır. Bu işlemin yapılabilmesi de yine sadece Administrator hesabı ile mümkün olabilir.
12.1- Administrator kullanıcı adı ve parolası girilmesi ile, masaüstüne koplayama (copy) işlemi mümkün oldu.
Domain kullanıcılarına masaüstü kullanımını kısıtladıktan sonra alternatif olarak sunucu üzerinde Home Folders profil klasörleri yapılandırması ile verilerin masaüstlerinde tutulması yerine, Server veya Storage üzerinde tutulmasını sağlayarak veri yedekliliğini de sağlamış olursunuz.
Faydalı olması dileğiyle...
Etiletler: Group Policy, GPO, Group Policy Object, masaüstü, desktop, dosya ve klasör kaydetmeyi engelleme
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.