Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarları için Grup İlkesi'ni kullanarak ayrıntılı güvenlik denetimi ayarlarını yapılandırma

Makale çevirileri Makale çevirileri
Makale numarası: 921469 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

Bu makalede, bir Windows Server 2003 veya Windows 2000 etki alanındaki Microsoft Windows Vista istemci bilgisayarları için güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'nin nasıl kullanılacağı açıklanır. Windows Vista, denetim ilkelerini denetim ilkesi alt kategorileri kullanarak daha ayrıntılı biçimde yönetebilmenize olanak tanır. Bu makalede, yöneticilerin Windows Vista istemci bilgisayarları için ayrıntılı güvenlik denetim ayarlarını uygulayan özel bir denetim ilkesini dağıtmak amacıyla kullanabilecekleri bir yordam açıklanır.

GİRİŞ

Bu makalede, Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarında ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'nin nasıl kullanılacağı açıklanır. Windows Vista'da, bağımsız denetim ilkesi alt kategorileri üzerinde önceki Windows işletim sistemlerinden daha fazla denetime sahip olursunuz. Windows Vista'da kullanılabilen bağımsız denetim ilkesi alt kategorileri, Grup İlkesi araçlarının arabiriminde görüntülenmez. Yöneticiler bu makalede açıklanan yordamı kullanarak, bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarına ayrıntılı güvenlik denetimi ayarları uygulayan özel bir denetim ilkesini dağıtabilir.

Daha fazla bilgi

Göz önüne alınması gereken noktalar

Aşağıda, bu makalede açıklanan yordamı gerçekleştirmeden önce göz önüne almanız gereken bazı noktalar açıklanmaktadır:
  • Yordamda örnek kod kullanılır. Örnek kod, Netlogon paylaşımını kullanır. Ayrıca, örnek kod, önbellek olarak %SystemRoot%\Temp klasörünü kullanır.
  • Yordamda Contoso.com örnek etki alanı kullanılır.
  • Yordamda, aşağıdaki koşulların doğru olduğu varsayılır:
    • Aşağıdaki teknoloji ve araçlar konusunda bilgi sahibisiniz:
      • Grup İlkesi başlangıç komut dosyaları
      • Grup İlkesi Yönetim Konsolu
      • Auditpol.exe komut satırı aracı
    • Toplu iş dosyası çalıştırma konusunda temel bilgilere sahipsiniz.
    • Bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarları için bir denetim ilkesini yapılandırabilirsiniz. Denetim ilkesi, Varsayılan Etki Alanı İlkesi'ne atanır.
  • Etki alanı tabanlı eski denetim ilkesi ayarlarını Windows Vista'da kullanılabilen ayrıntılı denetim ilkesi ayarlarıyla geçersiz kılmak üzere yordam tarafından kullanılan komut dosyaları konusunda bilgi sahibisiniz. Windows Vista'da kullanılabilen ayrıntılı denetim ilkesi ayarlarını yapılandırmak istemezseniz, bu makalede anlatılan yordamı kullanmayın.

Windows Vista istemci bilgisayarları için ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'ni kullanma

Bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarında ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'ni kullanmak için aşağıdaki adımları izleyin.

Adım 1: Windows Vista istemci bilgisayarlarına dağıtmak istediğiniz güvenlik denetimi ayarlarını belirleyin

  1. Windows Vista çalışan bilgisayarda yönetici kimlik bilgileri olan bir kullanıcı olarak oturum açın.
  2. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı tıklatın, Komut İstemi'ni sağ tıklatın ve sonra da Yönetici olarak çalıştır'ı tıklatın.
  3. Kullanıcı Hesabı Denetimi iletişim kutusunda, Devam'ı tıklatın.
  4. Varsayılan denetim ilkesi ayarlarını temizleyin. Bunu yapmak için, komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
    auditpol /clear
  5. Auditpol.exe komut satırı aracını kullanarak, istediğiniz özel denetim ilkesi ayarlarını yapılandırın.

    Örneğin, komut istemine aşağıdaki satırları yazın. Her satırın ardından ENTER tuşuna basın.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Not Kullanabileceğiniz tüm kategori ve alt kategorileri görmek için, komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
    auditpol /list /subcategory:*
  6. Komut istemine aşağıdaki satırı yazın ve ENTER tuşuna basın:
    auditpol /backup /file:auditpolicy.txt
  7. Auditpolicy.txt dosyasını, etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü rolüne sahip olan etki alanı denetleyicisinin Netlogon paylaşımına kopyalayın.

    Auditpolicy.txt dosyası yapılandırılmış tüm denetim ilkesi ayarlarını içerir. Başlangıç komut dosyası, ilkeyi yeniden uygulamak için bu dosyayı kullanır. Başlangıç komut dosyasını bir kez başarıyla uyguladıktan sonra, denetim ilkesi ayarlarını güncelleştirmek için bilgisayarı yeniden başlatmanız gerekmez. Denetim ilkesi ayarlarını güncelleştirmek için, Auditpolicy.txt dosyasının Netlogon paylaşımına kopyaladığınız önceki sürümünün üzerine yazın. Bunu yapmak için, yeni bir Auditpolicy.txt dosyası oluşturun ve bu yeni Auditpolicy.txt dosyasını Netlogon paylaşımına kopyalayın.

Adım 2: Eski etki alanı denetim ilkesinin Windows Vista istemci bilgisayarlarındaki denetim ilkesinin üzerine yazmasını engelleyin

Denetim ilkesinin eski etki alanı denetim ilkesi tarafından üzerine yazılmasını engellemek için, Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya daha sonraki sürümü) ilke ayarını etkinleştirmelisiniz. Bu ayar, etki alanı tabanlı denetim ilkesinin Windows Vista istemci bilgisayarlarındaki daha ayrıntılı denetim ilkesi ayarlarının üzerine yazmasını engeller. Bunu yapmak için şu adımları izleyin:
  1. Bir etki alanına katılmış Windows Vista istemci bilgisayarında, Varsayılan Etki Alanı İlkesi'ni açın.
  2. Sırasıyla Bilgisayar Yapılandırması'nı, Windows Ayarları'nı, Güvenlik Ayarları'nı, Yerel İlkeler'i ve sonra da Güvenlik Seçenekleri'ni tıklatın.
  3. Denetim: Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya daha sonraki sürümü) ilke ayarını çift tıklatın.
  4. Etkin'i ve sonra Tamam'ı tıklatın.

Adım 3: Komut dosyalarını oluşturun ve sonra da bunları Netlogon paylaşımına ekleyin

Microsoft, programlama örneklerini yalnızca gösterim amacıyla sağlar; örtülü veya açık garanti vermez. Buna satılabilirlik veya belirli bir amaca uygunluk zımni garantileri de dahildir, ancak bunlarla sınırlı değildir. Bu makale, gösterilen programlama dilini ve yordamları oluşturmak ve hata ayıklamak amacıyla kullanılan araçları kullanmayı bildiğinizi varsayar. Microsoft destek mühendisleri, belirli bir yordamın işlevselliğinin açıklanmasına yardımcı olabilir, ancak gereksinimlerinizi karşılamaya yönelik olarak ek işlevsellik sağlamak veya yordamlar geliştirmek amacıyla bu örnekleri değiştirmezler.
  1. AuditPolicy.cmd komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
    1. Not Defteri'ni başlatın ve boş bir belge açın.
    2. Aşağıdaki kodu Not Defteri belgesine yapıştırın:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Tüm hakları saklıdır.
      REM Windows Vista Parçalı Denetim İlkesi ayarlarını
      REM dağıtmak için örnek Denetim Komut Dosyası.
      
      REM Grup İlkesi'nden başlangıç komut dosyası olarak çalıştırılmalıdır
      
      REM ###################################################
      REM Dosya adlarının/yollarının komut dosyasında tek bir
      REM konumdan düzenlenebilmesi için Bağımsız Değişkenleri belirtin
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Günlüğü Temizle ve temiz başlat
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM İS Sürümünü Denetle
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo İS Sürümü=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Vista Öncesini Atla
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Etki Alanı Adını Al
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Makine etki alanı=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Komut Dosyasını ve İlkeyi Yerel Dizine Kopyala veya Sonlandır
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% okunamadı >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% dosyası %systemroot%\temp konumuna kopyalandı >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo \\%machinedomain%\netlogon\%AuditPolicyTxt% okunamadı >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo \\%machinedomain%\netlogon\%AuditPolicyTxt% dosyası %systemroot%\temp konumuna kopyalandı >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM İlkenin Uygulanacağı Adlandırılmış ve Zamanlanmış Görevi Oluştur
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Denetim için zamanlanmış görev oluşturulamadı >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Denetim için zamanlanmış görev oluşturuldu >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM İlkenin Uygulanacağı Adlandırılmış ve Zamanlanmış Görevi Başlat
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Denetim için zamanlanmış görev yürütülemedi >> %AuditPolicyLog%
      ) else (
          echo Denetim için zamanlanmış görev yürütüldü >> %AuditPolicyLog%
      )
    3. Dosya menüsünde, Kaydet'i tıklatın.
    4. Kayıt türü kutusunda, Tüm Dosyalar'ı tıklatın, Dosya adı kutusuna AuditPolicy.cmd yazın ve sonra da Kaydet'i tıklatın.
  2. ApplyAuditPolicy.cmd komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
    1. Not Defteri'ni başlatın ve boş bir belge açın.
    2. Aşağıdaki kodu Not Defteri belgesine yapıştırın:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  Tüm hakları saklıdır.
      REM Windows Vista Parçalı Denetim İlkesi ayarlarını
      REM dağıtmak için örnek Denetim Komut Dosyası.
      
      
      REM ###################################################
      REM Dosya adlarının/yollarının komut dosyasında tek bir
      REM konumdan düzenlenebilmesi için Bağımsız Değişkenleri belirtin
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Günlüğü Temizle ve temiz başlat
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM İS Sürümünü Denetle
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo İS Sürümü=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Vista Öncesini Atla
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Etki Alanı Adını Al
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Makine etki alanı=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Denetim Görevini Sil
      REM Yalnızca sözde ilkeyi istemci makinelerden kaldırmak için
      REM kullanılmalıdır (bu komut dosyasının artık gerekli
      REM olmayacağı ve kullanılmayacağı sonraki Vista
      REM düzenlemeleri için tasarlanmıştır).
      REM Kullanmak için, NETLOGON paylaşımında yukarıdaki
      REM DeleteAudit değişkenin içeriğiyle eşlenen adla bir dosya oluşturun
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Denetim İlkesini Yerel Dizine Kopyala
      REM Kopyalama işlemi yalnızca "önbelleği temizleme" olduğu için,
      REM bu işlem hataları önler.
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo \\%machinedomain%\netlogon\%AuditPolicyTxt% okunamadığından önbellekteki önceki kopyası kullanılıyor >> %ApplyAuditPolicyLog%
      ) else (
          echo \\%machinedomain%\netlogon\%AuditPolicyTxt% dosyası %systemroot%\temp komununa kopyalandı >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM İlkeyi Uygula
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          echo Denetim ayarları uygulanamadı >> %ApplyAuditPolicyLog%
      ) else (
          echo Denetim ayarları başarıyla uygulandı >> %ApplyAuditPolicyLog%
      )
    3. Dosya menüsünde, Kaydet'i tıklatın.
    4. Kayıt türü kutusunda, Tüm Dosyalar'ı tıklatın, Dosya adı kutusuna ApplyAuditPolicy.cmd yazın ve sonra da Kaydet'i tıklatın.
  3. AuditPolicy.cmd ve ApplyAuditPolicy.cmd komut dosyalarını, etki alanındaki PDC öykünücüsü rolüne sahip olan etki alanı denetleyicisinin Netlogon paylaşımına kopyalayın.
  4. Active Directory çoğaltması gerçekleştirilinceye kadar bekleyin. Ayrıca, sistem birimi (SYSVOL) paylaşılan klasöründeki dosya ve klasörler etki alanındaki denetleyicilere çoğaltılıncaya kadar bekleyin.
  5. Başlangıç komut dosyasını Varsayılan Etki Alanı İlkesi'ne ekleyin. Bunu yapmak için şu adımları izleyin:
    1. Active Directory Kullanıcıları ve Bilgisayarları aracını başlatın.
    2. EtkiAlanıAdı'nı sağ tıklatın ve sonra da Özellikler'i tıklatın.
    3. Sırasıyla Grup İlkesi sekmesini, Varsayılan Etki Alanı İlkesi'ni ve sonra da Düzenle'yi tıklatın. Grup İlkesi Nesne Düzenleyicisi aracı başlatılır.
    4. Bilgisayar Yapılandırması'nı genişletin, Windows Ayarları'nı genişletin ve ardından Komut Dosyaları (Başlangıç/Kapatma) öğesini tıklatın.
    5. Başlangıç'ı çift tıklatın ve sonra Ekle'yi tıklatın.
    6. Komut Dosyası Adı kutusuna, Netlogon paylaşımında bulunan AuditPolicy.cmd dosyasının evrensel adlandırma kuralı (UNC) yolunu yazın. Şu biçimi kullanın:
      \\TamEtkiAlanıAdı\Netlogon\AuditPolicy.cmd
      Örneğin, \\contoso.com\netlogon\auditpolicy.cmd yazın.
    7. İki kez Tamam'ı tıklatın.

Adım 4: Güvenlik denetimi ayarlarının başarıyla uygulandığını doğrulayın

  1. Active Directory çoğaltması gerçekleştirilinceye kadar bekleyin. Ayrıca, sistem birimi (SYSVOL) paylaşılan klasöründeki dosya ve klasörler etki alanındaki denetleyicilere çoğaltılıncaya kadar bekleyin.
  2. Etki alanına katılmış bir Windows Vista istemci bilgisayarını yeniden başlatın. Ardından, yönetici kimlik bilgileri olan bir kullanıcı olarak bilgisayarda oturum açın.
  3. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin ve sonra da Donatılar'ı tıklatın.
  4. Komut İstemi'ni sağ tıklatın ve ardından Yönetici olarak çalıştır'ı tıklatın.
  5. Kullanıcı Hesabı Denetimi iletişim kutusunda, Devam'ı tıklatın.
  6. Komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
    auditpol /get /category:*
  7. Komut isteminde görüntülenen güvenlik denetimi ayarlarının, "Adım 1: Windows Vista istemci bilgisayarlarına dağıtmak istediğiniz güvenlik denetimi ayarlarını belirleyin" bölümünde oluşturulan AuditPolicy.txt dosyasında yapılandırılmış ayarlarla eşlendiğini doğrulayın.

    Güvenlik denetimi ayarları eşlenmezse, başlangıç komut dosyası tarafından %SystemRoot%\Temp klasöründe oluşturulan günlük dosyalarını inceleyin. %SystemRoot%\Temp klasöründe günlük dosyası yoksa, Grup İlkesi'nin neden uygulanmadığını belirlemek üzere Windows Vista istemci bilgisayarını inceleyin.

Referanslar

Active Directory'de başlangıç komut dosyalarını yapılandırma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitelerini ziyaret edin:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Grup İlkesi Yönetim Konsolu hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Auditpol.exe ve Schtasks.exe komut satırı araçları hakkında daha fazla bilgi için, Windows Vista Yardım ve Destek bölümüne bakın.

Özellikler

Makale numarası: 921469 - Last Review: 19 Ocak 2007 Cuma - Gözden geçirme: 4.0
Bu makaledeki bilginin uygulandigi durum:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Anahtar Kelimeler: 
kbexpertiseinter kbhowto kbinfo KB921469

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com