Makale numarası: 921469 - Son Gözden Geçirme: 19 Ocak 2007 Cuma - Gözden geçirme: 4.0
Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarları için Grup İlkesi'ni kullanarak ayrıntılı güvenlik denetimi ayarlarını yapılandırma
Bu makalede, bir Windows Server 2003 veya Windows 2000 etki alanındaki Microsoft Windows Vista istemci bilgisayarları için güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'nin nasıl kullanılacağı açıklanır. Windows Vista, denetim ilkelerini denetim ilkesi alt kategorileri kullanarak daha ayrıntılı biçimde yönetebilmenize olanak tanır. Bu makalede, yöneticilerin Windows Vista istemci bilgisayarları için ayrıntılı güvenlik denetim ayarlarını uygulayan özel bir denetim ilkesini dağıtmak amacıyla kullanabilecekleri bir yordam açıklanır.
Bu makalede, Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarında ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'nin nasıl kullanılacağı açıklanır. Windows Vista'da, bağımsız denetim ilkesi alt kategorileri üzerinde önceki Windows işletim sistemlerinden daha fazla denetime sahip olursunuz. Windows Vista'da kullanılabilen bağımsız denetim ilkesi alt kategorileri, Grup İlkesi araçlarının arabiriminde görüntülenmez. Yöneticiler bu makalede açıklanan yordamı kullanarak, bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarına ayrıntılı güvenlik denetimi ayarları uygulayan özel bir denetim ilkesini dağıtabilir.
Aşağıda, bu makalede açıklanan yordamı gerçekleştirmeden önce göz önüne almanız gereken bazı noktalar açıklanmaktadır:
Yordamda örnek kod kullanılır. Örnek kod, Netlogon paylaşımını kullanır. Ayrıca, örnek kod, önbellek olarak %SystemRoot%\Temp klasörünü kullanır.
Yordamda Contoso.com örnek etki alanı kullanılır.
Yordamda, aşağıdaki koşulların doğru olduğu varsayılır:
Aşağıdaki teknoloji ve araçlar konusunda bilgi sahibisiniz:
Grup İlkesi başlangıç komut dosyaları
Grup İlkesi Yönetim Konsolu
Auditpol.exe komut satırı aracı
Toplu iş dosyası çalıştırma konusunda temel bilgilere sahipsiniz.
Bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarları için bir denetim ilkesini yapılandırabilirsiniz. Denetim ilkesi, Varsayılan Etki Alanı İlkesi'ne atanır.
Etki alanı tabanlı eski denetim ilkesi ayarlarını Windows Vista'da kullanılabilen ayrıntılı denetim ilkesi ayarlarıyla geçersiz kılmak üzere yordam tarafından kullanılan komut dosyaları konusunda bilgi sahibisiniz. Windows Vista'da kullanılabilen ayrıntılı denetim ilkesi ayarlarını yapılandırmak istemezseniz, bu makalede anlatılan yordamı kullanmayın.
Windows Vista istemci bilgisayarları için ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'ni kullanma
Bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarında ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'ni kullanmak için aşağıdaki adımları izleyin.
Adım 1: Windows Vista istemci bilgisayarlarına dağıtmak istediğiniz güvenlik denetimi ayarlarını belirleyin
Windows Vista çalışan bilgisayarda yönetici kimlik bilgileri olan bir kullanıcı olarak oturum açın.
Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı tıklatın, Komut İstemi'ni sağ tıklatın ve sonra da Yönetici olarak çalıştır'ı tıklatın.
Kullanıcı Hesabı Denetimi iletişim kutusunda, Devam'ı tıklatın.
Varsayılan denetim ilkesi ayarlarını temizleyin. Bunu yapmak için, komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
Not Kullanabileceğiniz tüm kategori ve alt kategorileri görmek için, komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
auditpol /list /subcategory:*
Komut istemine aşağıdaki satırı yazın ve ENTER tuşuna basın:
auditpol /backup /file:auditpolicy.txt
Auditpolicy.txt dosyasını, etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü rolüne sahip olan etki alanı denetleyicisinin Netlogon paylaşımına kopyalayın.
Auditpolicy.txt dosyası yapılandırılmış tüm denetim ilkesi ayarlarını içerir. Başlangıç komut dosyası, ilkeyi yeniden uygulamak için bu dosyayı kullanır. Başlangıç komut dosyasını bir kez başarıyla uyguladıktan sonra, denetim ilkesi ayarlarını güncelleştirmek için bilgisayarı yeniden başlatmanız gerekmez. Denetim ilkesi ayarlarını güncelleştirmek için, Auditpolicy.txt dosyasının Netlogon paylaşımına kopyaladığınız önceki sürümünün üzerine yazın. Bunu yapmak için, yeni bir Auditpolicy.txt dosyası oluşturun ve bu yeni Auditpolicy.txt dosyasını Netlogon paylaşımına kopyalayın.
Adım 2: Eski etki alanı denetim ilkesinin Windows Vista istemci bilgisayarlarındaki denetim ilkesinin üzerine yazmasını engelleyin
Denetim ilkesinin eski etki alanı denetim ilkesi tarafından üzerine yazılmasını engellemek için, Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya daha sonraki sürümü) ilke ayarını etkinleştirmelisiniz. Bu ayar, etki alanı tabanlı denetim ilkesinin Windows Vista istemci bilgisayarlarındaki daha ayrıntılı denetim ilkesi ayarlarının üzerine yazmasını engeller. Bunu yapmak için şu adımları izleyin:
Bir etki alanına katılmış Windows Vista istemci bilgisayarında, Varsayılan Etki Alanı İlkesi'ni açın.
Sırasıyla Bilgisayar Yapılandırması'nı, Windows Ayarları'nı, Güvenlik Ayarları'nı, Yerel İlkeler'i ve sonra da Güvenlik Seçenekleri'ni tıklatın.
Denetim: Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya daha sonraki sürümü) ilke ayarını çift tıklatın.
Etkin'i ve sonra Tamam'ı tıklatın.
Adım 3: Komut dosyalarını oluşturun ve sonra da bunları Netlogon paylaşımına ekleyin
Microsoft, programlama örneklerini yalnızca gösterim amacıyla sağlar; örtülü veya açık garanti vermez. Buna satılabilirlik veya belirli bir amaca uygunluk zımni garantileri de dahildir, ancak bunlarla sınırlı değildir. Bu makale, gösterilen programlama dilini ve yordamları oluşturmak ve hata ayıklamak amacıyla kullanılan araçları kullanmayı bildiğinizi varsayar. Microsoft destek mühendisleri, belirli bir yordamın işlevselliğinin açıklanmasına yardımcı olabilir, ancak gereksinimlerinizi karşılamaya yönelik olarak ek işlevsellik sağlamak veya yordamlar geliştirmek amacıyla bu örnekleri değiştirmezler.
AuditPolicy.cmd komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
Not Defteri'ni başlatın ve boş bir belge açın.
Aşağıdaki kodu Not Defteri belgesine yapıştırın:
@echo off
REM AuditPolicy.cmd
REM (c) 2006 Microsoft Corporation. Tüm hakları saklıdır.
REM Windows Vista Parçalı Denetim İlkesi ayarlarını
REM dağıtmak için örnek Denetim Komut Dosyası.
REM Grup İlkesi'nden başlangıç komut dosyası olarak çalıştırılmalıdır
REM ###################################################
REM Dosya adlarının/yollarının komut dosyasında tek bir
REM konumdan düzenlenebilmesi için Bağımsız Değişkenleri belirtin
REM ###################################################
set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
set OSVersionSwap=%systemroot%\temp\osversionwap.txt
set OsVersionTxt=%systemroot%\temp\osversion.txt
set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
set ApplyAuditPolicyCMD=applyauditpolicy.cmd
set AuditPolicyTxt=auditpolicy.txt
REM ###################################################
REM Günlüğü Temizle ve temiz başlat
REM ###################################################
if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
echo.
REM ###################################################
REM İS Sürümünü Denetle
REM ###################################################
ver | findstr "[" > %OSVersionSwap%
for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
echo İS Sürümü=%osversion% >> %AuditPolicyLog%
REM ###################################################
REM Vista Öncesini Atla
REM ###################################################
if "%osversion%" LSS "6.0" exit /b 1
REM ###################################################
REM Etki Alanı Adını Al
REM ###################################################
WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
echo Makine etki alanı=%machinedomain% >> %AuditPolicyLog%
REM ###################################################
REM Komut Dosyasını ve İlkeyi Yerel Dizine Kopyala veya Sonlandır
REM ###################################################
xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
if %ERRORLEVEL% NEQ 0 (
echo \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% okunamadı >> %AuditPolicyLog%
exit /b 1
) else (
echo \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% dosyası %systemroot%\temp konumuna kopyalandı >> %AuditPolicyLog%
)
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
if %ERRORLEVEL% NEQ 0 (
echo \\%machinedomain%\netlogon\%AuditPolicyTxt% okunamadı >> %AuditPolicyLog%
exit /b 1
) else (
echo \\%machinedomain%\netlogon\%AuditPolicyTxt% dosyası %systemroot%\temp konumuna kopyalandı >> %AuditPolicyLog%
)
REM ###################################################
REM İlkenin Uygulanacağı Adlandırılmış ve Zamanlanmış Görevi Oluştur
REM ###################################################
%systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
if %ERRORLEVEL% NEQ 0 (
echo Denetim için zamanlanmış görev oluşturulamadı >> %AuditPolicyLog%
exit /b 1
) else (
echo Denetim için zamanlanmış görev oluşturuldu >> %AuditPolicyLog%
)
REM ###################################################
REM İlkenin Uygulanacağı Adlandırılmış ve Zamanlanmış Görevi Başlat
REM ###################################################
%systemroot%\system32\schtasks.exe /run /tn audit
if %ERRORLEVEL% NEQ 0 (
Denetim için zamanlanmış görev yürütülemedi >> %AuditPolicyLog%
) else (
echo Denetim için zamanlanmış görev yürütüldü >> %AuditPolicyLog%
)
Dosya menüsünde, Kaydet'i tıklatın.
Kayıt türü kutusunda, Tüm Dosyalar'ı tıklatın, Dosya adı kutusuna AuditPolicy.cmd yazın ve sonra da Kaydet'i tıklatın.
ApplyAuditPolicy.cmd komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
Not Defteri'ni başlatın ve boş bir belge açın.
Aşağıdaki kodu Not Defteri belgesine yapıştırın:
@echo off
REM ApplyAuditPolicy.cmd
REM (c) 2006 Microsoft Corporation. Tüm hakları saklıdır.
REM Windows Vista Parçalı Denetim İlkesi ayarlarını
REM dağıtmak için örnek Denetim Komut Dosyası.
REM ###################################################
REM Dosya adlarının/yollarının komut dosyasında tek bir
REM konumdan düzenlenebilmesi için Bağımsız Değişkenleri belirtin
REM ###################################################
set DeleteAudit=DeleteAudit.txt
set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
set OSVersionSwap=%systemroot%\temp\osversionwap.txt
set OsVersionTxt=%systemroot%\temp\osversion.txt
set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
set AuditPolicyTxt=AuditPolicy.txt
REM ###################################################
REM Günlüğü Temizle ve temiz başlat
REM ###################################################
if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
echo.
REM ###################################################
REM İS Sürümünü Denetle
REM ###################################################
ver | findstr "[" > %OSVersionSwap%
for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
echo İS Sürümü=%osversion% >> %ApplyAuditPolicyLog%
REM ###################################################
REM Vista Öncesini Atla
REM ###################################################
if "%osversion%" LSS "6.0" exit /b 1
REM ###################################################
REM Etki Alanı Adını Al
REM ###################################################
WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
echo Makine etki alanı=%machinedomain% >> %ApplyAuditPolicyLog%
REM ###################################################
REM Denetim Görevini Sil
REM Yalnızca sözde ilkeyi istemci makinelerden kaldırmak için
REM kullanılmalıdır (bu komut dosyasının artık gerekli
REM olmayacağı ve kullanılmayacağı sonraki Vista
REM düzenlemeleri için tasarlanmıştır).
REM Kullanmak için, NETLOGON paylaşımında yukarıdaki
REM DeleteAudit değişkenin içeriğiyle eşlenen adla bir dosya oluşturun
REM ###################################################
if exist \\%machinedomain%\netlogon\%DeleteAudit% (
%systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
DEL %AuditPolicyLog%
DEL %ApplyAuditPolicyLog%
DEL %OSVersionSwap%
DEL %OsVersionTxt%
DEL %MachineDomainTxt%
DEL %MachineDomainSwap%
DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
DEL %systemroot%\temp\%AuditPolicyTxt%
exit /b 1
)
REM ###################################################
REM Denetim İlkesini Yerel Dizine Kopyala
REM Kopyalama işlemi yalnızca "önbelleği temizleme" olduğu için,
REM bu işlem hataları önler.
REM ###################################################
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
if %ERRORLEVEL% NEQ 0 (
echo \\%machinedomain%\netlogon\%AuditPolicyTxt% okunamadığından önbellekteki önceki kopyası kullanılıyor >> %ApplyAuditPolicyLog%
) else (
echo \\%machinedomain%\netlogon\%AuditPolicyTxt% dosyası %systemroot%\temp komununa kopyalandı >> %ApplyAuditPolicyLog%
)
REM ###################################################
REM İlkeyi Uygula
REM ###################################################
%systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
if %ERRORLEVEL% NEQ 0 (
echo Denetim ayarları uygulanamadı >> %ApplyAuditPolicyLog%
) else (
echo Denetim ayarları başarıyla uygulandı >> %ApplyAuditPolicyLog%
)
Dosya menüsünde, Kaydet'i tıklatın.
Kayıt türü kutusunda, Tüm Dosyalar'ı tıklatın, Dosya adı kutusuna ApplyAuditPolicy.cmd yazın ve sonra da Kaydet'i tıklatın.
AuditPolicy.cmd ve ApplyAuditPolicy.cmd komut dosyalarını, etki alanındaki PDC öykünücüsü rolüne sahip olan etki alanı denetleyicisinin Netlogon paylaşımına kopyalayın.
Active Directory çoğaltması gerçekleştirilinceye kadar bekleyin. Ayrıca, sistem birimi (SYSVOL) paylaşılan klasöründeki dosya ve klasörler etki alanındaki denetleyicilere çoğaltılıncaya kadar bekleyin.
Başlangıç komut dosyasını Varsayılan Etki Alanı İlkesi'ne ekleyin. Bunu yapmak için şu adımları izleyin:
Active Directory Kullanıcıları ve Bilgisayarları aracını başlatın.
EtkiAlanıAdı'nı sağ tıklatın ve sonra da Özellikler'i tıklatın.
Sırasıyla Grup İlkesi sekmesini, Varsayılan Etki Alanı İlkesi'ni ve sonra da Düzenle'yi tıklatın. Grup İlkesi Nesne Düzenleyicisi aracı başlatılır.
Bilgisayar Yapılandırması'nı genişletin, Windows Ayarları'nı genişletin ve ardından Komut Dosyaları (Başlangıç/Kapatma) öğesini tıklatın.
Başlangıç'ı çift tıklatın ve sonra Ekle'yi tıklatın.
Komut Dosyası Adı kutusuna, Netlogon paylaşımında bulunan AuditPolicy.cmd dosyasının evrensel adlandırma kuralı (UNC) yolunu yazın. Şu biçimi kullanın:
\\TamEtkiAlanıAdı\Netlogon\AuditPolicy.cmd
Örneğin, \\contoso.com\netlogon\auditpolicy.cmd yazın.
İki kez Tamam'ı tıklatın.
Adım 4: Güvenlik denetimi ayarlarının başarıyla uygulandığını doğrulayın
Active Directory çoğaltması gerçekleştirilinceye kadar bekleyin. Ayrıca, sistem birimi (SYSVOL) paylaşılan klasöründeki dosya ve klasörler etki alanındaki denetleyicilere çoğaltılıncaya kadar bekleyin.
Etki alanına katılmış bir Windows Vista istemci bilgisayarını yeniden başlatın. Ardından, yönetici kimlik bilgileri olan bir kullanıcı olarak bilgisayarda oturum açın.
Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin ve sonra da Donatılar'ı tıklatın.
Komut İstemi'ni sağ tıklatın ve ardından Yönetici olarak çalıştır'ı tıklatın.
Kullanıcı Hesabı Denetimi iletişim kutusunda, Devam'ı tıklatın.
Komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
auditpol /get /category:*
Komut isteminde görüntülenen güvenlik denetimi ayarlarının, "Adım 1: Windows Vista istemci bilgisayarlarına dağıtmak istediğiniz güvenlik denetimi ayarlarını belirleyin" bölümünde oluşturulan AuditPolicy.txt dosyasında yapılandırılmış ayarlarla eşlendiğini doğrulayın.
Güvenlik denetimi ayarları eşlenmezse, başlangıç komut dosyası tarafından %SystemRoot%\Temp klasöründe oluşturulan günlük dosyalarını inceleyin. %SystemRoot%\Temp klasöründe günlük dosyası yoksa, Grup İlkesi'nin neden uygulanmadığını belirlemek üzere Windows Vista istemci bilgisayarını inceleyin.
Bu makaleyi kullanabilmek için kişisel olarak ne kadar çaba harcadınız?
Çok az
Az
Ne Az, Ne Fazla
Fazla
Çok fazla
Bu bilgiyi geliştirmek için ne yapabiliriz?
Gizliliğinizi korumak için, irtibat bilgilerinizi görüşlerinize eklemeyin.
Teşekkür ederiz! Görüşleriniz, destek içeriğimizi geliştirmek amacıyla kullanılacaktır. Daha fazla yardım seçeneği için lütfen, Yardım ve Destek Ana Sayfası’nı ziyaret edin.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Üste
