BT Sistem Yönetimi Hizmeti: Sunucu, Sanallaştırma, Yedekleme

Active Directory GPO Yönetimi: Group Policy Rehberi

Active Directory Group Policy (GPO) yönetimi: GPO nasıl oluşturulur, LSDOU uygulama sırası, sık kullanılan politikalar ve GPO sorun giderme adımları.

İlker Pehlivan
16 dk okuma

Bir kurumun yüzlerce bilgisayarını tek tek dolaşıp her birinde aynı ayarı elle yapmak, trafik kurallarını her sürücüye ayrı ayrı sözlü anlatmaya benzer: yorucu, tutarsız ve sürdürülemez. Karayolları bunu tek bir yönetmelik ve her kavşağa dikilmiş ortak tabelalarla çözer; sürücü hangi şehirde olursa olsun kırmızı ışığın ne demek olduğunu bilir. Group Policy, Active Directory ortamında tam olarak bu ortak yönetmelik ve tabela sistemidir.

Bu rehber, GPO’nun ne olduğunu, nasıl oluşturulup hangi seviyeye bağlandığını, uygulama sırasının neden kritik olduğunu ve sahada en çok karşılaşılan GPO sorunlarının nasıl çözüldüğünü adım adım ele alır. Active Directory’yi yeni kurmuş bir sistem yöneticisinden, mevcut domain’de politika karmaşası yaşayan deneyimli bir mühendise kadar her seviyeye hitap eder.

Kim tarafından, neden yapıldığı belirsiz GPO’ların gerçek bir ortamda nasıl titizlikle tarandığını ve temizlendiğini Active Directory modernizasyon vaka çalışmasında okuyabilirsiniz.

Bu makale BT sistem yönetimi ana hizmetinin Active Directory koluna bağlı bir derinleşmedir; AD’nin genel mimarisi ve kurulumu için Active Directory Rehberi başlangıç noktasıdır.

Active Directory Group Policy yönetimi: GPO'ların Site, Domain ve OU seviyelerinde merkezi politika dayatması analojisi.
Group Policy, kurumsal ağda her bilgisayara aynı kuralı dayatan ortak trafik yönetmeliği gibi çalışır.

Group Policy Nedir?

Büyük bir şirket düşünün: 500 çalışanı var ve İnsan Kaynakları her yeni işe başlayana tek tek oturup “mesai saatin 09.00-18.00, izin talebini şu formla yap, şirket aracını şu kurallarla kullan” diye anlatmak zorunda olsaydı, departman hiçbir zaman büyüyemezdi. Gerçekte böyle çalışmaz; kurum bir Personel Yönetmeliği hazırlar, imzalatır, ve o yönetmelik o andan itibaren her çalışan için otomatik bağlayıcı olur. Yeni biri işe girdiğinde tek tek anlatmaya gerek kalmaz, yönetmelik zaten oradadır ve onu otomatik kapsar.

Group Policy, Active Directory ortamında bu yönetmeliğin dijital karşılığıdır. Bir GPO (Group Policy Object) belirli ayarların toplandığı bir pakettir ve Group Policy Management Console (GPMC) üzerinden oluşturulup Site, Domain veya OU seviyesine bağlanır. O seviyeye giren her kullanıcı veya bilgisayar, oturum açtığı anda bu paketteki kuralları otomatik miras alır; sistem yöneticisinin tek tek makineye gidip ayar girmesine gerek kalmaz.

GPO, GPC ve GPT: Politikanın Anatomisi

Bir binanın iki farklı kaydı vardır: tapu sicilindeki soyut kayıt (kim sahip, hangi ada-parsel) ve belediye arşivindeki somut inşaat projesi dosyası (statik hesaplar, kat planları, malzeme listesi). Biri “bu bina var ve şuraya ait” der, diğeri binanın gerçek içeriğini taşır. İkisi ayrı sistemlerde durur ama aynı binayı tanımlar.

GPO da aynı ikiliyle çalışır. GPC (Group Policy Container), Active Directory veritabanında tutulan, GPO’nun varlığını ve hangi nesnelere bağlı olduğunu gösteren soyut kayıttır; tapu sicili gibi. GPT (Group Policy Template) ise gerçek ayarların, script’lerin ve yönetim şablonlarının metin dosyaları halinde durduğu yerdir; her Domain Controller’ın SYSVOL paylaşımı altında, GPO’nun benzersiz GUID’i ile adlandırılmış bir klasördür. Bir GPO replikasyon sorunu yaşıyorsa, çoğu zaman bu iki kayıt arasında senkron kayması vardır; GPC güncel ama GPT eski (veya tersi).

Group Policy Management Console (GPMC)

E-Devlet Kapısı’ndan önce vatandaşın nüfus müdürlüğüne, vergi dairesine, SGK’ya ayrı ayrı gitmesi gerekiyordu; tek bir işlem için üç farklı kuruma, üç farklı kuyruğa girilirdi. E-Devlet bunu tek pencereye indirdi: aynı giriş, aynı arayüz, farklı işlemler.

GPMC, Active Directory’de GPO yönetimi için bu tek pencereyi sağlar. Konsol, mevcut tüm GPO’ları, hangi OU’lara bağlı olduklarını, Security Filtering ayarlarını ve raporlama araçlarını bir arada sunar. Windows Server’da “Group Policy Management” rolü olarak yüklenir; istemci tarafında ise RSAT (Remote Server Administration Tools) paketiyle bir yönetici makinesinden de açılabilir. Saha pratiği: GPO değişikliklerini doğrudan Domain Controller üzerinde oturum açıp yapmak yerine, ayrı bir yönetim makinesinden RSAT ile çalışmak; DC’yi gereksiz oturum trafiğinden ve riskten korur.

GPO Oluşturma ve Linkleme

Bir düzenleme Resmi Gazete’de yayınlanmadan, ve hangi ile uygulanacağı belirtilmeden bağlayıcı olmaz. Önce metin hazırlanır (GPO oluşturulur), sonra hangi idari sınıra uygulanacağı belirlenir (Site, Domain veya OU’ya linklenir). Metni yazıp çekmecede bırakmak hiçbir şeyi değiştirmez; GPO da link edilmeden hiçbir makineye uygulanmaz.

GPMC’de bir GPO iki yoldan oluşturulur. “Create a GPO in this domain, and Link it here” seçeneği, hem yeni GPO’yu oluşturur hem de seçili OU’ya anında bağlar; tek seferlik, hedefli bir politika için en hızlı yoldur. “Link an Existing GPO” ise zaten var olan bir GPO’yu başka bir OU’ya da bağlamak için kullanılır; örneğin “USB Kısıtlaması” GPO’su hem Muhasebe hem Satış OU’sunda geçerli olacaksa, GPO bir kez oluşturulur, iki yere linklenir. Aynı ayarı iki kez yazmak yerine tek GPO’yu çoğaltmadan paylaştırmak, yönetim yükünü ciddi şekilde azaltır.

GPMC'de Genel Müdürlük OU'suna sağ tıklanıp açılan menüde 'Create a GPO in this domain, and Link it here...' satırının kırmızı okla işaretlenmesi.
Yeni bir GPO, GPMC'de OU'ya sağ tıklanıp "Create a GPO in this domain, and Link it here" seçilerek açılır.

Örnek: USER_ARKA_PLAN GPO’su ile Uçtan Uca Uygulama

Anlatılan teoriyi tek bir somut örnekte baştan sona görmek, parça parça okunan teoriden çok daha kalıcıdır. Bu yüzden burada gerçek bir lab domain’inde (ad.sercebilisim.com), tek bir GPO ile baştan sona bir politika yayalım: hedef, Kullanıcılar OU’sundaki herkesin masaüstünü siyaha çevirmek. Sonucu göz ile doğrulayabileceğimiz için, GPO’nun gerçekten çalıştığını “uygulandı sanıyorum” yerine “uygulandığını gördüm” diyebilecek netlikte kanıtlayabiliriz.

Kullanıcılar OU’suna sağ tıklanıp “Create a GPO in this domain, and Link it here…” seçilir; açılan New GPO penceresinde GPO’ya bir isim verilir: USER_ARKA_PLAN.

GPMC'de Kullanıcılar OU'sunda açılan New GPO penceresinde Name alanına USER_ARKA_PLAN yazılması.
Yeni GPO'ya isim verilirken, isimden GPO'nun kapsamı ve amacı tek bakışta okunabilmelidir.

Önce siyah bir görsel hazırlanır (siyah.png, düz siyah, 1920×1080) ve her domain üyesinin zaten erişebildiği NETLOGON paylaşımına kopyalanır: \\ad.sercebilisim.com\netlogon\siyah.png. Bu adımı yukarıdaki bilgi kutusundaki ölçütle seçtik: tek bir küçük dosya, tek lokasyon, ayrı bir dosya sunucusu kurmaya değmez.

Dosya gezgininde Network > ad.sercebilisim.com > netlogon yolunda siyah.png dosyasının görünmesi.
Desktop Wallpaper GPO ayarının işaret edeceği görsel, her DC'ye zaten replike olan NETLOGON paylaşımına kaydedilir.

Görsel yerinde olduğuna göre artık GPO’yu yapılandırabiliriz. Kullanıcılar OU’sunda daha önce oluşturulup linklenmiş USER_ARKA_PLAN GPO’su sağ tıklanıp Edit seçilir; bu, GPMC’nin GPO’yu Group Policy Management Editor’de açmasını sağlar.

Kullanıcılar OU'sundaki USER_ARKA_PLAN GPO'suna sağ tıklanıp Edit seçeneğinin tıklanması.
USER_ARKA_PLAN GPO'su Edit ile açılır; ayar buradan itibaren Group Policy Management Editor'de yapılandırılır.

Editör açıldığında ayar şu yolda durur: User Configuration → Policies → Administrative Templates → Desktop → Desktop → Desktop Wallpaper. Bu ayara sağ tıklanıp Edit seçilir.

Group Policy Management Editor'de User Configuration, Administrative Templates, Desktop, Desktop yolunda Desktop Wallpaper ayarına sağ tıklanıp Edit seçilmesi.
Desktop Wallpaper ayarı, Administrative Templates altında registry'ye manuel dokunmadan, tamamen desteklenen bir GPO mekanizmasıyla yapılandırılır.

Açılan pencerede ayar Enabled yapılır, Wallpaper Name alanına \\ad.sercebilisim.com\netlogon\siyah.png yazılır, Wallpaper Style olarak Center seçilir.

Desktop Wallpaper ayar penceresinde Enabled seçili, Wallpaper Name alanında ad.sercebilisim.com netlogon siyah.png yolu ve Wallpaper Style olarak Center.
Enabled, dosya yolu ve görüntüleme stili tek pencerede tanımlanır; bu üç alan dolmadan ayar isteneni yapmaz.

Default Domain Policy ve Default Domain Controllers Policy

AD kurulumuyla birlikte gelen bu iki GPO, anayasaya benzer: değiştirilebilir ama değiştirilmesi ciddi sonuç doğurur ve sık değiştirilmemesi beklenir. Default Domain Policy, domain genelindeki parola politikasını, hesap kilitleme eşiğini ve Kerberos politikasını taşır. Default Domain Controllers Policy ise yalnızca DC’lere özel güvenlik ayarlarını (kullanıcı hakları ataması gibi) içerir.

Saha pratiği açıkça şunu gösteriyor: bu iki GPO’ya yazıcı dağıtımı, drive mapping veya yazılım kısıtlaması gibi sıradan ayarları eklemek, anayasaya trafik cezası maddesi eklemek gibi bir karmaşa yaratır. Her ihtiyaç için ayrı, isimlendirilmiş, hedefli bir GPO açmak; sorun olduğunda “hangi GPO bunu yapıyor” sorusuna dakikalar içinde cevap verme imkânı sağlar. Aynı disiplin, Tier 0 hesaplarını alt seviye makinelerden men eden bir Deny Logon GPO’su için de geçerlidir: bu ayrı, hedefli bir GPO olarak kurulur ve asla Default Domain Controllers Policy’nin içine gömülmez; kurulumu Active Directory Güvenlik Sertleştirmesi Rehberi makalesinde adım adım ele alınıyor.

GPO Uygulama Sırası: LSDOU

Türkiye’de bir trafik düzenlemesi kademeli işler: önce ülke çapında bağlayıcı bir kararname çıkar, ardından il düzeyinde Vilayet Trafik Komisyonu kendi yerel kararını alır, en sonunda ilçe belediyesi kendi mahallesi için özel bir uygulama getirebilir. Çoğu zaman en yerel karar, en spesifik ihtiyacı karşıladığı için sahada geçerli olan kuraldır; bir ilçenin getirdiği özel düzenleme, ilin genel kararını pratikte gölgede bırakabilir.

Active Directory’de GPO’lar tam olarak bu kademeli mantıkla uygulanır; sıralama LSDOU kısaltmasıyla anılır:

  1. Local Policy: makinenin kendi yerel politikası, en içteki katman.
  2. Site: fiziksel/ağ konumuna bağlı GPO.
  3. Domain: domain genelinde geçerli GPO.
  4. OU: kullanıcı veya bilgisayarın bulunduğu OU’ya (parent’tan child’a doğru) bağlı GPO, en dıştaki ve en güçlü katman.

Aynı ayar birden fazla seviyede tanımlıysa, zincirin en sonundaki (en yerel, en spesifik) GPO kazanır. Bir Domain GPO’su ekran kilidini 15 dakika olarak ayarlamışsa ama Muhasebe OU’sundaki GPO bunu 5 dakikaya çekmişse, Muhasebe kullanıcıları 5 dakikada kilitlenir; OU seviyesindeki karar, Domain seviyesindekini geçersiz kılar.

LSDOU GPO uygulama sırası diyagramı: Local, Site, Domain, OU katmanlarının önceliği.
LSDOU sıralamasında en yerel katman (OU), çakışan ayarlarda her zaman son sözü söyler.

Enforced ve Block Inheritance

Normal şartlarda bir ilçe belediyesi kendi yerel kararını serbestçe alabilir; ama merkezi hükümet bir Olağanüstü Hal Kararnamesi çıkarırsa, yerel makamların aksi kararı geçersiz kalır, merkezin kararı zorla uygulanır. Bazı durumlarda da bir ilçe “biz bu ilin genel uygulamasına tabi değiliz” diyerek kendini izole edebilir.

GPO dünyasında bu iki istisna mekanizması Enforced ve Block Inheritance’tır. Bir GPO Enforced olarak işaretlenirse, normalde onu override edecek olan alt seviyedeki (daha yerel) GPO’lar bile bu GPO’yu geçersiz kılamaz; OHAL kararnamesi gibi davranır. Block Inheritance ise bir OU’nun üst seviyelerden (Domain, Site) gelen tüm GPO mirasını reddetmesini sağlar; ancak Enforced olarak işaretlenmiş bir GPO, Block Inheritance’ı bile delip geçer. Bu iki ayarı aynı OU’da aynı anda kullanmak, sahada en sık karşılaşılan “GPO neden uygulanmıyor” bilmecesinin kaynağıdır.

Security Filtering ve WMI Filtering

Bir havalimanı VIP salonuna girmek için iki farklı kontrol uygulanır. Birincisi isim listesi: yalnızca davetli olanlar, yaka kartı kontrolünden geçer. İkincisi bilet sınıfı koşulu: ekonomi sınıfı bileti olan, davetli olsa bile sadece belirli bir bilet tipine sahipse içeri alınır.

GPO’da bu ikiliye Security Filtering ve WMI Filtering denir. Security Filtering, bir GPO’nun yalnızca belirli kullanıcı veya güvenlik gruplarına uygulanmasını sağlar; varsayılan olarak “Authenticated Users” grubuna uygulanan bir GPO, bu grup değiştirilerek örneğin sadece “Muhasebe Kullanıcıları” grubuna daraltılabilir. WMI Filtering ise donanım veya işletim sistemi koşuluna göre çalışır; “yalnızca dizüstü bilgisayarlara”, “yalnızca Windows 11 makinelere” gibi bir sorgu (WQL) yazılır ve GPO sadece bu koşulu sağlayan bilgisayarlara uygulanır. WMI Filtering’in saha maliyeti unutulmamalı: her oturum açılışında ek bir sorgu çalıştığından, çok sayıda WMI filtreli GPO, oturum açma süresini uzatabilir.

Sık Kullanılan GPO Ayarları

Yeni işe başlayan bir çalışana kurum genelde aynı oryantasyon paketini verir: e-posta hesabı, kartvizit, masaüstü kısayolları, yazıcı tanımı. Tek tek özel talep beklemeden, herkese aynı temel paket otomatik tanımlanır. GPO’da da sahada en sık tekrar eden, “her domain’de mutlaka birinin sorduğu” ayar grubu vardır:

AyarNerede TanımlanırTipik Kullanım
Parola PolitikasıDefault Domain PolicyMinimum uzunluk, complexity, history, lockout threshold
Drive MappingHedefli OU GPO’suOturum açan kullanıcıya H: sürücüsü olarak departman paylaşımı
Software Restriction / AppLockerHedefli OU GPO’suOnaylanmamış uygulamaların çalışmasını engelleme
Screen Lock TimeoutHedefli OU GPO’suİnaktivite sonrası otomatik ekran kilidi
Printer DeploymentHedefli OU veya Site GPO’suLokasyona özel yazıcının otomatik eklenmesi
Firewall AyarlarıHedefli OU veya Domain GPO’suWindows Defender Firewall kurallarının merkezi dayatılması

GPO Sorun Giderme

Bir hasta, hangi şikayetle geldiğini anlatmadan doktor ona ilaç yazamaz; önce semptom dinlenir, sonra gerekiyorsa tahlil istenir, tahlil sonucuna göre teşhis konur. GPO sorunlarında da sırayı atlamak, rastgele “gpupdate /force” çalıştırıp şans aramaktan ibaret kalır.

Doğru sıra istemci tarafında başlar:

gpresult /h C:\Temp\GPResult.html
gpresult /r
gpupdate /force

gpresult /h en değerli “tahlil” aracıdır; hangi GPO’ların uygulandığını, hangilerinin Security Filtering veya WMI Filtering nedeniyle filtrelendiğini, hatta hangi ayarın hangi GPO’dan geldiğini okunaklı bir HTML raporunda gösterir. gpresult /r komut satırında hızlı bir özet verir, derin teşhis için yeterli değildir. Sorun istemci tarafında çözülmüyorsa, DC üzerinde Event Viewer’daki Group Policy operasyonel logu ve SYSVOL replikasyon durumu (repadmin /replsummary) kontrol edilir; çoğu “GPO bazı makinelerde uygulanıyor, bazılarında uygulanmıyor” şikayetinin kökeninde SYSVOL replikasyonunun gecikmesi yatar.

Daha önce kurduğumuz USER_ARKA_PLAN örneğine dönelim. Bu testi tekrarlayacaksanız önemli bir nokta: oturum, GPO’nun linklendiği Kullanıcılar OU’sunun içinde bulunan bir kullanıcı hesabıyla açılmalıdır; Domain Admins gibi başka bir OU’daki bir hesapla denenirse GPO hiç uygulanmaz, bu bir hata değil, LSDOU’nun beklenen sonucudur. Kullanıcılar OU’sundaki bir kullanıcı hesabıyla oturum açıp gpresult /h çalıştırdığımızda, rapordaki Applied GPOs listesinde USER_ARKA_PLAN’ın göründüğünü görürüz. Bu, teorinin (“GPO OU’ya linklendi, uygulanacak”) araçla doğrulandığı andır; raporu okumadan “uygulandı sanıyorum” demek yerine, raporda gerçekten göründüğünü görmüş oluruz.

PowerShell'de gpresult /h C:\Users\ilker.pehlivan\Desktop\GPOSonuc.html komutu ve tarayıcıda açılan raporun Applied GPOs bölümünde USER_ARKA_PLAN GPO'sunun göründüğü kısım.
gpresult /h raporu, USER_ARKA_PLAN GPO'sunun Kullanıcılar OU'sundaki istemciye gerçekten uygulandığını Applied GPOs listesinde doğrular.

Rapor GPO’nun uygulandığını doğruladıktan sonra geriye tek bir şey kalır: gözle görülen sonuç. Ama burada bir teşhis tuzağına dikkat çekmek gerekir: aşağıdaki ekran görüntüsünde masaüstünün siyah olması, tek başına “bu GPO çalıştı” anlamına gelmez. Masaüstü zaten varsayılan olarak siyah olabilir, kullanıcı kendi tercihiyle siyah bir resim seçmiş olabilir veya ekran kartı sürücüsü görseli yükleyemiyor olabilir; sahada “ekran siyah, demek ki GPO uygulandı” diye düşünüp orada durmak, tam da yanlış teşhise giden kestirme yoldur.

Nedenselliği kuran şey tek bir görsel değil, üç farklı verinin aynı noktada kesişmesidir: gpresult raporu Applied GPOs listesinde isim isim USER_ARKA_PLAN’ı gösterir (hangi GPO), bu GPO’nun Wallpaper Name değeri spesifik olarak \\ad.sercebilisim.com\netlogon\siyah.png dosyasını işaret eder (hangi değer), ve gpupdate /force ile politika yenilenip oturum tazelendiği anda masaüstü tam bu işlemin hemen ardından siyaha döner (ne zaman değişti). Üçü birlikte, “ekran zaten siyahtı” ihtimalini eler ve siyahlığın kaynağını spesifik olarak bu GPO’ya bağlar. Bu üçlü zincir (oluştur/linkle → gpresult ile doğrula → gözle kanıtla) GPO’da “muhtemelen çalışıyor” ile “çalıştığını kanıtladım” arasındaki farkı yapan adımdır.

USER_ARKA_PLAN GPO'sunun uygulanmasıyla tamamen siyaha dönen masaüstü, GPO'nun fiilen çalıştığının görsel kanıtı.
Masaüstünün rengi tek başına kanıt değildir; gpresult raporundaki USER_ARKA_PLAN kaydıyla ve gpupdate /force anının zamanlamasıyla eşleşmesi, bu siyahlığın spesifik olarak bu GPO'dan geldiğini kanıtlar.

Zincirin son halkası, kullanıcının bu ayarı değiştiremeyeceğinin kanıtıdır. Settings → Personalization → Background ekranı açıldığında artık şu uyarı görünür: “Some of these settings are managed by your organization.” GPO sadece masaüstünü siyaha çevirmekle kalmaz, aynı ayarı kullanıcı müdahalesine de kapatır; bu, Administrative Templates’in Group Policy Preferences’a karşı bir başka avantajıdır, çünkü Preferences kullanıcıya değiştirme özgürlüğü bırakır, Administrative Templates ise ayarı kilitler.

Windows Ayarlar Personalization Background ekranında 'Some of these settings are managed by your organization' bildiriminin kırmızı okla işaretlenmesi.
"Managed by your organization" bildirimi, ayarın artık merkezi GPO tarafından kontrol edildiğini ve kullanıcının değiştiremeyeceğini doğrular.

Loopback Processing

Bir banka şubesindeki gişe bilgisayarını düşünün: o gün hangi memur otursa, ekranda aynı uygulamalar açılır, aynı kısayollar durur. Memurun kendi kullanıcı profili değil, o bilgisayarın bulunduğu rol baskın gelir.

GPO’da bu davranışı Loopback Processing sağlar. Normal şartlarda bir kullanıcının GPO’su hem kendi kullanıcı hesabından hem oturum açtığı bilgisayarın bilgisayar hesabından gelen ayarları birleştirir. Loopback Processing Replace modunda devreye girdiğinde, kullanıcının kendi GPO’ları tamamen göz ardı edilir ve sadece bilgisayarın bulunduğu OU’nun kullanıcı ayarları uygulanır; Merge modunda ise ikisi birleşir ama bilgisayar OU’sununki öncelikli sayılır. Kiosk bilgisayarları, ortak kullanım terminalleri ve Remote Desktop Session Host sunucuları için bu ayar, kullanıcı kim olursa olsun ortamın tutarlı kalmasını garanti eder.

Sonuç

Group Policy doğru kurgulandığında görünmez bir omurga gibi çalışır; her sabah yüzlerce makineyi sessizce hizaya sokar. Yanlış kurgulandığında ise teşhisi zor yavaşlamaların ve tutarsız davranışların kaynağı olur. GPO’nun üzerine kurulduğu temel altyapıyı henüz tamamlamadıysanız Active Directory Kurulum Rehberi ve Active Directory DNS Yapılandırması makaleleri başlangıç noktasıdır; kullanıcıların farklı bir UPN ile oturum açması gerekiyorsa UPN Suffix Yapılandırması makalesi konuyu ele alır. Bu makalede sürekli referans verdiğimiz OU ağacının nasıl tasarlanacağı, hangi kullanıcı ve grupların hangi OU’da yer alacağı Active Directory Kullanıcı, Grup ve OU Yönetimi makalesinde ele alınır; GPO’yu doğru hedefe linklemek, önce o hedefin doğru kurulmuş olmasını gerektirir. Active Directory Rehberi ana eksende konuyu çevreleyen kullanıcı, grup ve güvenlik katmanlarına bütün halinde bakmanızı öneririz.

Group Policy (GPO) Hakkında Sık Sorulan Sorular

Group Policy Object (GPO), Active Directory ortamında kullanıcı ve bilgisayar ayarlarını merkezi olarak dayatmanın birincil yoludur. Parola politikasından masaüstü kısıtlamasına, yazılım dağıtımından sürücü eşlemesine kadar yüzlerce ayar GPO ile tek noktadan yönetilir.
Uygulama sırası LSDOU olarak kısaltılır: Local, Site, Domain, OU. Aynı ayar birden fazla seviyede tanımlıysa zincirin sonundaki kazanır; yani child OU'daki GPO domain GPO'sunu override eder. Enforced ve Block Inheritance ayarları bu sırayı özelleştirir.
İstemci tarafında gpresult /h ile okunaklı bir HTML rapor üretilir; hangi GPO'ların uygulandığını, hangilerinin filtrelendiğini gösterir. gpupdate /force ile politika yenilenir. Sorun devam ederse Event Viewer altındaki Group Policy logları incelenir.
Security filtering bir GPO'nun yalnızca belirli kullanıcı veya gruplara uygulanmasını sağlar. WMI filtering ise donanım veya işletim sistemi gibi koşullara göre (örneğin yalnızca dizüstü bilgisayarlar) uygulamayı sınırlar. İkisi birlikte hassas hedefleme sunar.
Enforced, bir GPO'nun alt seviyedeki hiçbir GPO tarafından override edilemeyeceğini garanti eder; domain çapında kesinlikle uygulanması gereken kritik ayarlar için kullanılır. Block Inheritance ise bir OU'nun üst seviyelerden gelen tüm GPO mirasını reddetmesini sağlar; izole bir test ortamı veya farklı kurallara tabi bir departman için tercih edilir. Aynı OU'da ikisini birlikte kullanmak GPO uygulama mantığını karmaşıklaştırır.
Loopback Processing, kullanıcı GPO'larını görmezden gelip yalnızca bilgisayarın bulunduğu OU'nun ayarlarını uygulamayı sağlar. Replace modunda kullanıcı GPO'ları tamamen devre dışı kalır, Merge modunda ikisi birleşir ama bilgisayar OU'sununki önceliklidir. Kiosk bilgisayarları ve Remote Desktop Session Host sunucuları için tipik kullanım alanıdır.
Domain Controller'lar GPO değişikliğini varsayılan olarak 5 dakika içinde, üye sunucu ve istemciler ise 90-120 dakika arası rastgele bir aralıkta otomatik çeker. Hemen test etmek için istemcide gpupdate /force çalıştırılır; bu komut bekleme süresini atlayıp politikayı anında yeniler.
Teknik bir GPO sayısı sınırı yoktur, ama saha pratiği her OU için 3-5 hedefli GPO'yu aşmamayı önerir. Her oturum açılışında uygulanan GPO sayısı arttıkça işlem süresi uzar; gereksiz çoğalan GPO'lar hem performansı hem de gpresult ile teşhis sürecini zorlaştırır.
GPMC'nin Back Up ve Restore özellikleri her GPO için ayrı yedek alır; kritik bir değişiklikten önce GPO'yu yedeklemek, sorun çıkarsa tek tıkla önceki haline döndürmeyi sağlar. Yedek alınmamışsa GPO geçmişi yoktur; bu yüzden Default Domain Policy gibi hassas GPO'larda değişiklik öncesi yedek almak standart olmalıdır.
İlker Pehlivan

Yazan

İlker Pehlivan

Kurucu | Ağ ve Sistem Yöneticisi

İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.

Benzer Makaleler

Microsoft Entra ID Connect Kurulumu: On-Premises AD'yi Buluta Bağlayın

Microsoft Entra ID Connect kurulumu, UPN senkronizasyonu ve Seamless SSO yapılandırması. Active Directory kullanıcılarını Microsoft 365'e tek kimlikle bağlayan adım adım rehber.

Active Directory DNS Yapılandırması: Forwarder ve Zone Yönetimi

Active Directory DNS forwarder, reverse lookup zone, conditional forwarder ve split-brain DNS yapılandırması. Windows Server'da kurulum ve sorun giderme için ekran görüntülü rehber.

Active Directory Kullanıcı, Grup ve OU Yönetimi: AGDLP Rehberi

Active Directory'de OU tasarımı, kullanıcı ve grup yönetimi: AGDLP modeli, PowerShell ile toplu kullanıcı oluşturma, yetki devri ve isimlendirme standartları.

Active Directory Güvenlik Sertleştirmesi Rehberi

Active Directory'i saldırılara karşı sertleştirme: Tier modeli, LAPS, Fine-Grained Password Policy ve ayrıcalıklı hesap izleme ile pratik adımlar ve hatalar.

Active Directory UPN Suffix Yapılandırması: Kullanıcıları Tek Kimlikle Yönetin

Active Directory'de alternatif UPN suffix ekleme ve kullanıcı UPN'lerini güncelleme. Mail adresi ile Windows girişini tek kimlikte birleştiren adım adım rehber.

Active Directory Kurulum Rehberi: Windows Server 2025 Üzerinde Adım Adım

Windows Server 2025 üzerinde Active Directory kurulumu: ön koşullar, DC promotion, DNS doğrulama, ikinci DC ekleme ve kurulum sonrası sağlık kontrolleri.

Active Directory Rehberi: Mimari, Kurulum ve Yönetim

Active Directory nedir, nasıl kurulur ve yönetilir? FSMO, GPO, replication, güvenlik, yedekleme ve hybrid identity dahil Windows Server'da uçtan uca AD rehberi.

Hypervisor ve Sanallaştırma Çözümleri

VMware vSphere, Microsoft Hyper-V ve Proxmox ile kurumsal sanallaştırma altyapısı. Fiziksel sunucu konsolidasyonu, yüksek erişilebilirlik ve anlık yedekleme.

Veri Merkezi Migration ve Konsolidasyon Projeleri

Fiziksel veya bulut ortamına veri merkezi taşıma, altyapı konsolidasyonu ve kesinti süresini minimize eden migration planlaması.

Windows Server Kurulum Rehberi: Sürüm Seçiminden İlk Yapılandırmaya

Windows Server 2025 kurulumu: sürüm ve lisans seçimi, kurulum medyası hazırlama, adım adım kurulum, hostname, statik IP, NTP ve temel güvenlik sertleştirme.