Group Policy Yapılandırması
Group Policy (Grup İlkesi), Active Directory Domain Services (AD DS) ortamlarında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmek için kullanılan Microsoft teknolojisidir. Güvenlik ayarlarından yazılım dağıtımına, parola politikalarından Windows Defender yapılandırmasına kadar yüzlerce ayar tek noktadan yönetilebilir. Doğru yapılandırılmış bir Group Policy altyapısı hem güvenliği artırır hem de BT operasyonlarının standartlaşmasını sağlar.
Kurumsal ortamlarda Sophos Endpoint, Sophos Central, Windows Defender, BitLocker, Windows Update ve ağ güvenlik politikalarının büyük bölümü doğrudan Group Policy üzerinden yönetilebildiğinden, doğru GPO tasarımı kritik öneme sahiptir.
Group Policy (GPO) Nedir?
Group Policy, Active Directory etki alanındaki bilgisayar ve kullanıcılar üzerinde merkezi yönetim sağlayan bir Windows Server bileşenidir.
Yönetici;
- Güvenlik politikaları
- Windows Update ayarları
- Firewall kuralları
- Yazılım dağıtımı
- Script çalıştırma
- BitLocker
- USB kısıtlamaları
- Masaüstü ayarları
- Internet Explorer / Edge politikaları
- Office ayarları
- Sertifika dağıtımı
gibi binlerce ayarı tek merkezden uygulayabilir.
Group Policy Nasıl Çalışır?
Temel bileşenler:
- Active Directory
- Domain Controller
- SYSVOL paylaşımı
- Group Policy Container (GPC)
- Group Policy Template (GPT)
Bir istemci oturum açarken aşağıdaki işlem gerçekleşir:
- Domain Controller bulunur.
- LDAP üzerinden GPO listesi alınır.
- SYSVOL içerisindeki politika dosyaları okunur.
- Güvenlik filtreleri uygulanır.
- WMI filtreleri kontrol edilir.
- Registry ayarları uygulanır.
- İlgili servisler yeniden yüklenir.
Group Policy Yönetim Araçları
En sık kullanılan araçlar:
- Group Policy Management Console (GPMC)
- Group Policy Management Editor
- Active Directory Users and Computers
- Resultant Set of Policy (RSoP)
- GPResult
- Event Viewer
Yeni Group Policy Oluşturma
GPMC açılır.
Server Manager
↓
Tools
↓
Group Policy Management
Domain seçilir.
Sağ tıklanır.
Create a GPO in this domain and Link it here…
Örneğin:
Default Workstation Policy
Group Policy Link Yapısı
Bir GPO aşağıdaki yapılara bağlanabilir.
- Site
- Domain
- Organizational Unit (OU)
Örnek:
Domain
├── Servers
├── Users
├── Workstations
└── IT
Her OU farklı politika alabilir.
Computer Configuration ve User Configuration
Computer Configuration
Bilgisayar açılırken uygulanır.
Örnekler:
- Windows Firewall
- Defender
- BitLocker
- Services
- Registry
- Startup Script
User Configuration
Kullanıcı oturum açınca uygulanır.
Örnekler:
- Masaüstü
- Yazıcılar
- Network Drive
- Office
- Internet Explorer
- Edge
Group Policy İşleme Sırası (LSDOU)
Windows politikaları aşağıdaki sırayla işler:
Local
↓
Site
↓
Domain
↓
Organizational Unit
En son uygulanan politika önceliklidir.
Güvenlik Filtreleme (Security Filtering)
Her GPO tüm kullanıcılar için uygulanmak zorunda değildir.
Örneğin:
IT Department
güvenlik grubuna uygulanabilir.
Bu yöntem gereksiz politika uygulanmasını önler.
WMI Filtering
Donanım veya işletim sistemi özelliklerine göre politika uygulanabilir.
Örneğin yalnızca Windows 11 cihazları:
SELECT * FROM Win32_OperatingSystem
WHERE Version LIKE “10.0%”
Group Policy Preferences
Preferences sayesinde;
- Registry
- Drive Mapping
- Printer
- Scheduled Task
- Environment Variable
- Shortcut
- Files
- Folder
merkezi olarak dağıtılabilir.
Group Policy Update
Politikaları anında uygulamak için:
gpupdate /force
Yalnızca kullanıcı politikası:
gpupdate /target:user
Yalnızca bilgisayar politikası:
gpupdate /target:computer
Uygulanan Politikaları Görüntüleme
gpresult /r
HTML raporu:
gpresult /h report.html
Detaylı rapor:
gpresult /scope computer /v
RSoP Kullanımı
Çalıştır:
rsop.msc
Uygulanan politikalar grafiksel olarak görülebilir.
Event Viewer ile Sorun Analizi
İlgili günlük:
Applications and Services Logs
↓
Microsoft
↓
Windows
↓
GroupPolicy
↓
Operational
Burada;
- işlenen GPO
- başarısız ayar
- erişim hataları
- ağ problemleri
ayrıntılı görülebilir.
Yaygın Group Policy Sorunları
- Politika uygulanmıyor
Nedenleri
- DNS problemi
- SYSVOL erişimi
- Replikasyon
- Güvenlik filtreleme
- WMI Filter
- Broken Trust
Çözüm
- GPResult kontrol edilir.
- Event Viewer incelenir.
- SYSVOL erişimi doğrulanır.
- DFS Replication kontrol edilir.
- DNS kayıtları doğrulanır.
- GPO görünmüyor
Sebepler
- Link kaldırılmış
- Disabled
- OU yanlış
- Inheritance
- Startup Script çalışmıyor
Kontrol edilmesi gerekenler
- SYSVOL
- NTFS izinleri
- UNC yolu
- Execution Policy
Group Policy Hata Kodları
| Hata / Olay | Anlamı | Muhtemel Neden | Çözüm |
| 1058 | Windows gerekli GPO dosyasını okuyamıyor. | SYSVOL paylaşımına erişim sorunu, DFS-R replikasyon problemi, DNS veya ağ bağlantısı hatası. | SYSVOL paylaşımının erişilebilir olduğunu doğrulayın, \\<domain>\SYSVOL yolunu test edin, DFS Replication durumunu ve DNS yapılandırmasını kontrol edin. |
| 1030 | Group Policy bilgileri okunamadı. | LDAP erişim problemi, Domain Controller bulunamaması veya ağ kesintisi. | İstemcinin doğru DNS sunucusunu kullandığını doğrulayın, nltest /dsgetdc:<domain> ile DC keşfini test edin ve ağ bağlantısını kontrol edin. |
| 1129 | Ağ bağlantısı hazır olmadan Group Policy işlenmeye çalışıldı. | Yavaş açılan ağ bağlantısı, VPN, kablosuz gecikmesi veya DC’ye geç erişim. | Bilgisayarın etki alanına bağlanabildiğini doğrulayın, gerekirse “Always wait for the network at computer startup and logon” ilkesini değerlendirin. |
| 7016 (GroupPolicy Operational Log) | Belirli bir Group Policy uzantısı zaman aşımına uğradı. | Uzun süren script, ağ gecikmesi veya ilgili istemci tarafı uzantısının yanıt vermemesi. | Event Viewer kayıtlarını inceleyin, script ve uzantıları test edin, ağ gecikmelerini giderin. |
Group Policy Sorun Giderme Adımları
-
Domain bağlantısını doğrulayın
echo %logonserver%
-
DNS kontrolü
ipconfig /all
-
DC erişimini test edin
nltest /dsgetdc:domain.local
-
Güvenli kanal doğrulaması
Test-ComputerSecureChannel -Verbose
-
DFS Replication durumunu inceleyin
dfsrdiag replicationstate
-
Politikaları yeniden uygulayın
gpupdate /force
-
Sonuç raporu oluşturun
gpresult /h C:\Temp\GPOReport.html
Sophos Endpoint ve Group Policy
Sophos Central yönetilen istemcilerde bazı güvenlik ayarları doğrudan Sophos politikaları ile yönetilir. Microsoft da kendi yönetim belgelerinde ve Sophos ürün dokümantasyonunda, aynı güvenlik bileşeninin hem GPO hem de üçüncü taraf güvenlik çözümü tarafından eş zamanlı yönetilmesinin politika çakışmalarına neden olabileceğini belirtmektedir. Özellikle aşağıdaki alanlarda merkezi yönetim stratejisi belirlenmelidir:
- Windows Defender yapılandırması
- Microsoft Defender Firewall kuralları
- BitLocker ilkeleri
- Sertifika dağıtımı
- Windows Update ayarları
Sophos Endpoint kurulumunda kullanılan Tamper Protection veya gerçek zamanlı koruma gibi özellikler Sophos Central üzerinden yönetildiğinden, bu ayarların GPO ile değiştirilmeye çalışılması önerilmez. Sophos’un resmi dokümantasyonu da cihaz güvenlik politikalarının Central üzerinden yönetilmesini tavsiye etmektedir.
En İyi Uygulamalar
- Default Domain Policy içerisine gereksiz ayarlar eklemeyin.
- Sunucu ve istemciler için ayrı GPO’lar oluşturun.
- Güvenlik ayarlarını mümkün olduğunca OU bazında uygulayın.
- WMI filtrelerini yalnızca gerçekten gerekli olduğunda kullanın.
- GPO isimlendirmesinde standart belirleyin (ör. SEC-, WS-, USR- önekleri).
- GPO değişikliklerini üretim ortamına almadan önce test OU’sunda doğrulayın.
- Düzenli olarak GPO yedekleri alın ve değişiklikleri sürüm kontrollü şekilde belgeleyin.
Uyarı: Registry tabanlı Group Policy ayarları veya güvenlik ilkeleri değiştirilmeden önce mevcut yapılandırmanın yedeği alınmalıdır. Yanlış kayıt defteri veya güvenlik ilkesi değişiklikleri istemcilerin oturum açmasını, ağ erişimini veya güvenlik yazılımlarının çalışmasını etkileyebilir.
Sık Sorulan Sorular
Group Policy hangi Windows Server sürümlerinde kullanılabilir?
Active Directory Domain Services rolünü destekleyen Windows Server sürümlerinde (örneğin Windows Server 2016, 2019, 2022 ve 2025) Group Policy desteği bulunmaktadır. Yönetim için güncel Group Policy Management Console (GPMC) kullanılması önerilir.
Group Policy neden istemciye uygulanmaz?
En yaygın nedenler yanlış DNS yapılandırması, Domain Controller erişim sorunları, SYSVOL replikasyon problemleri, güvenlik filtrelemesi, WMI filtreleri veya etki alanı güven ilişkisi (trust) sorunlarıdır. gpresult, rsop.msc ve GroupPolicy/Operational günlükleri ilk incelenmesi gereken araçlardır.
gpupdate /force komutu ne yapar?
Bilgisayar ve kullanıcı ilkelerini yeniden indirir ve yeniden uygular. Bazı güvenlik ayarları veya başlangıçta çalışan ilkeler için yeniden başlatma ya da oturumu kapatıp açma gerekebilir.
Group Policy ile yazılım dağıtılabilir mi?
Evet. MSI tabanlı uygulamalar Group Policy Software Installation özelliğiyle dağıtılabilir. Ancak modern uygulamalar ve karmaşık dağıtım senaryolarında Microsoft Intune, Microsoft Configuration Manager veya benzeri merkezi yönetim çözümleri daha esnek seçenekler sunabilir.
Sophos Endpoint ile Group Policy birlikte kullanılabilir mi?
Evet. Group Policy; Active Directory, Windows yapılandırmaları ve işletim sistemi ayarlarını yönetirken, Sophos Central güvenlik politikalarını yönetir. Çakışmaları önlemek için aynı güvenlik özelliğinin hem GPO hem de Sophos Central üzerinden eş zamanlı yönetilmemesi tavsiye edilir.

