• Kızılay, Şehit Adem Yavuz Sokak No:5/14, Çankaya / Ankara

Group Policy Yapılandırması

Group Policy Yapılandırması

Group Policy (Grup İlkesi), Active Directory Domain Services (AD DS) ortamlarında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmek için kullanılan Microsoft teknolojisidir. Güvenlik ayarlarından yazılım dağıtımına, parola politikalarından Windows Defender yapılandırmasına kadar yüzlerce ayar tek noktadan yönetilebilir. Doğru yapılandırılmış bir Group Policy altyapısı hem güvenliği artırır hem de BT operasyonlarının standartlaşmasını sağlar.

Kurumsal ortamlarda Sophos Endpoint, Sophos Central, Windows Defender, BitLocker, Windows Update ve ağ güvenlik politikalarının büyük bölümü doğrudan Group Policy üzerinden yönetilebildiğinden, doğru GPO tasarımı kritik öneme sahiptir.

Group Policy (GPO) Nedir?

Group Policy, Active Directory etki alanındaki bilgisayar ve kullanıcılar üzerinde merkezi yönetim sağlayan bir Windows Server bileşenidir.

Yönetici;

  • Güvenlik politikaları
  • Windows Update ayarları
  • Firewall kuralları
  • Yazılım dağıtımı
  • Script çalıştırma
  • BitLocker
  • USB kısıtlamaları
  • Masaüstü ayarları
  • Internet Explorer / Edge politikaları
  • Office ayarları
  • Sertifika dağıtımı

gibi binlerce ayarı tek merkezden uygulayabilir.

Group Policy Nasıl Çalışır?

Temel bileşenler:

  • Active Directory
  • Domain Controller
  • SYSVOL paylaşımı
  • Group Policy Container (GPC)
  • Group Policy Template (GPT)

Bir istemci oturum açarken aşağıdaki işlem gerçekleşir:

  1. Domain Controller bulunur.
  2. LDAP üzerinden GPO listesi alınır.
  3. SYSVOL içerisindeki politika dosyaları okunur.
  4. Güvenlik filtreleri uygulanır.
  5. WMI filtreleri kontrol edilir.
  6. Registry ayarları uygulanır.
  7. İlgili servisler yeniden yüklenir.

Group Policy Yönetim Araçları

En sık kullanılan araçlar:

  • Group Policy Management Console (GPMC)
  • Group Policy Management Editor
  • Active Directory Users and Computers
  • Resultant Set of Policy (RSoP)
  • GPResult
  • Event Viewer

Yeni Group Policy Oluşturma

GPMC açılır.

Server Manager

 

 

Tools

 

 

Group Policy Management

Domain seçilir.

Sağ tıklanır.

Create a GPO in this domain and Link it here…

Örneğin:

Default Workstation Policy

Group Policy Link Yapısı

Bir GPO aşağıdaki yapılara bağlanabilir.

  • Site
  • Domain
  • Organizational Unit (OU)

Örnek:

Domain

 

├── Servers

├── Users

├── Workstations

└── IT

Her OU farklı politika alabilir.

Computer Configuration ve User Configuration

Computer Configuration

Bilgisayar açılırken uygulanır.

Örnekler:

  • Windows Firewall
  • Defender
  • BitLocker
  • Services
  • Registry
  • Startup Script

User Configuration

Kullanıcı oturum açınca uygulanır.

Örnekler:

  • Masaüstü
  • Yazıcılar
  • Network Drive
  • Office
  • Internet Explorer
  • Edge

Group Policy İşleme Sırası (LSDOU)

Windows politikaları aşağıdaki sırayla işler:

Local

 

 

Site

 

 

Domain

 

 

Organizational Unit

En son uygulanan politika önceliklidir.

Güvenlik Filtreleme (Security Filtering)

Her GPO tüm kullanıcılar için uygulanmak zorunda değildir.

Örneğin:

IT Department

güvenlik grubuna uygulanabilir.

Bu yöntem gereksiz politika uygulanmasını önler.

WMI Filtering

Donanım veya işletim sistemi özelliklerine göre politika uygulanabilir.

Örneğin yalnızca Windows 11 cihazları:

SELECT * FROM Win32_OperatingSystem

WHERE Version LIKE “10.0%”

Group Policy Preferences

Preferences sayesinde;

  • Registry
  • Drive Mapping
  • Printer
  • Scheduled Task
  • Environment Variable
  • Shortcut
  • Files
  • Folder

merkezi olarak dağıtılabilir.

Group Policy Update

Politikaları anında uygulamak için:

gpupdate /force

Yalnızca kullanıcı politikası:

gpupdate /target:user

Yalnızca bilgisayar politikası:

gpupdate /target:computer

Uygulanan Politikaları Görüntüleme

gpresult /r

HTML raporu:

gpresult /h report.html

Detaylı rapor:

gpresult /scope computer /v

RSoP Kullanımı

Çalıştır:

rsop.msc

Uygulanan politikalar grafiksel olarak görülebilir.

Event Viewer ile Sorun Analizi

İlgili günlük:

Applications and Services Logs

 

 

Microsoft

 

 

Windows

 

 

GroupPolicy

 

 

Operational

Burada;

  • işlenen GPO
  • başarısız ayar
  • erişim hataları
  • ağ problemleri

ayrıntılı görülebilir.

Yaygın Group Policy Sorunları

  1. Politika uygulanmıyor

Nedenleri

  • DNS problemi
  • SYSVOL erişimi
  • Replikasyon
  • Güvenlik filtreleme
  • WMI Filter
  • Broken Trust

Çözüm

  1. GPResult kontrol edilir.
  2. Event Viewer incelenir.
  3. SYSVOL erişimi doğrulanır.
  4. DFS Replication kontrol edilir.
  5. DNS kayıtları doğrulanır.
  1. GPO görünmüyor

Sebepler

  • Link kaldırılmış
  • Disabled
  • OU yanlış
  • Inheritance
  1. Startup Script çalışmıyor

Kontrol edilmesi gerekenler

  • SYSVOL
  • NTFS izinleri
  • UNC yolu
  • Execution Policy

Group Policy Hata Kodları

Hata / Olay Anlamı Muhtemel Neden Çözüm
1058 Windows gerekli GPO dosyasını okuyamıyor. SYSVOL paylaşımına erişim sorunu, DFS-R replikasyon problemi, DNS veya ağ bağlantısı hatası. SYSVOL paylaşımının erişilebilir olduğunu doğrulayın, \\<domain>\SYSVOL yolunu test edin, DFS Replication durumunu ve DNS yapılandırmasını kontrol edin.
1030 Group Policy bilgileri okunamadı. LDAP erişim problemi, Domain Controller bulunamaması veya ağ kesintisi. İstemcinin doğru DNS sunucusunu kullandığını doğrulayın, nltest /dsgetdc:<domain> ile DC keşfini test edin ve ağ bağlantısını kontrol edin.
1129 Ağ bağlantısı hazır olmadan Group Policy işlenmeye çalışıldı. Yavaş açılan ağ bağlantısı, VPN, kablosuz gecikmesi veya DC’ye geç erişim. Bilgisayarın etki alanına bağlanabildiğini doğrulayın, gerekirse “Always wait for the network at computer startup and logon” ilkesini değerlendirin.
7016 (GroupPolicy Operational Log) Belirli bir Group Policy uzantısı zaman aşımına uğradı. Uzun süren script, ağ gecikmesi veya ilgili istemci tarafı uzantısının yanıt vermemesi. Event Viewer kayıtlarını inceleyin, script ve uzantıları test edin, ağ gecikmelerini giderin.

Group Policy Sorun Giderme Adımları

  1. Domain bağlantısını doğrulayın

echo %logonserver%

  1. DNS kontrolü

ipconfig /all

  1. DC erişimini test edin

nltest /dsgetdc:domain.local

  1. Güvenli kanal doğrulaması

Test-ComputerSecureChannel -Verbose

  1. DFS Replication durumunu inceleyin

dfsrdiag replicationstate

  1. Politikaları yeniden uygulayın

gpupdate /force

  1. Sonuç raporu oluşturun

gpresult /h C:\Temp\GPOReport.html

Sophos Endpoint ve Group Policy

Sophos Central yönetilen istemcilerde bazı güvenlik ayarları doğrudan Sophos politikaları ile yönetilir. Microsoft da kendi yönetim belgelerinde ve Sophos ürün dokümantasyonunda, aynı güvenlik bileşeninin hem GPO hem de üçüncü taraf güvenlik çözümü tarafından eş zamanlı yönetilmesinin politika çakışmalarına neden olabileceğini belirtmektedir. Özellikle aşağıdaki alanlarda merkezi yönetim stratejisi belirlenmelidir:

  • Windows Defender yapılandırması
  • Microsoft Defender Firewall kuralları
  • BitLocker ilkeleri
  • Sertifika dağıtımı
  • Windows Update ayarları

Sophos Endpoint kurulumunda kullanılan Tamper Protection veya gerçek zamanlı koruma gibi özellikler Sophos Central üzerinden yönetildiğinden, bu ayarların GPO ile değiştirilmeye çalışılması önerilmez. Sophos’un resmi dokümantasyonu da cihaz güvenlik politikalarının Central üzerinden yönetilmesini tavsiye etmektedir.

En İyi Uygulamalar

  • Default Domain Policy içerisine gereksiz ayarlar eklemeyin.
  • Sunucu ve istemciler için ayrı GPO’lar oluşturun.
  • Güvenlik ayarlarını mümkün olduğunca OU bazında uygulayın.
  • WMI filtrelerini yalnızca gerçekten gerekli olduğunda kullanın.
  • GPO isimlendirmesinde standart belirleyin (ör. SEC-, WS-, USR- önekleri).
  • GPO değişikliklerini üretim ortamına almadan önce test OU’sunda doğrulayın.
  • Düzenli olarak GPO yedekleri alın ve değişiklikleri sürüm kontrollü şekilde belgeleyin.

Uyarı: Registry tabanlı Group Policy ayarları veya güvenlik ilkeleri değiştirilmeden önce mevcut yapılandırmanın yedeği alınmalıdır. Yanlış kayıt defteri veya güvenlik ilkesi değişiklikleri istemcilerin oturum açmasını, ağ erişimini veya güvenlik yazılımlarının çalışmasını etkileyebilir.

Sık Sorulan Sorular

Group Policy hangi Windows Server sürümlerinde kullanılabilir?

Active Directory Domain Services rolünü destekleyen Windows Server sürümlerinde (örneğin Windows Server 2016, 2019, 2022 ve 2025) Group Policy desteği bulunmaktadır. Yönetim için güncel Group Policy Management Console (GPMC) kullanılması önerilir.

Group Policy neden istemciye uygulanmaz?

En yaygın nedenler yanlış DNS yapılandırması, Domain Controller erişim sorunları, SYSVOL replikasyon problemleri, güvenlik filtrelemesi, WMI filtreleri veya etki alanı güven ilişkisi (trust) sorunlarıdır. gpresult, rsop.msc ve GroupPolicy/Operational günlükleri ilk incelenmesi gereken araçlardır.

gpupdate /force komutu ne yapar?

Bilgisayar ve kullanıcı ilkelerini yeniden indirir ve yeniden uygular. Bazı güvenlik ayarları veya başlangıçta çalışan ilkeler için yeniden başlatma ya da oturumu kapatıp açma gerekebilir.

Group Policy ile yazılım dağıtılabilir mi?

Evet. MSI tabanlı uygulamalar Group Policy Software Installation özelliğiyle dağıtılabilir. Ancak modern uygulamalar ve karmaşık dağıtım senaryolarında Microsoft Intune, Microsoft Configuration Manager veya benzeri merkezi yönetim çözümleri daha esnek seçenekler sunabilir.

Sophos Endpoint ile Group Policy birlikte kullanılabilir mi?

Evet. Group Policy; Active Directory, Windows yapılandırmaları ve işletim sistemi ayarlarını yönetirken, Sophos Central güvenlik politikalarını yönetir. Çakışmaları önlemek için aynı güvenlik özelliğinin hem GPO hem de Sophos Central üzerinden eş zamanlı yönetilmemesi tavsiye edilir.