Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarları için Grup İlkesi'ni kullanarak ayrıntılı güvenlik denetimi ayarlarını yapılandırma

™zet
Bu makalede, bir Windows Server 2003 veya Windows 2000 etki alanındaki Microsoft Windows Vista istemci bilgisayarları için güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'nin nasıl kullanılacağı açıklanır. Windows Vista, denetim ilkelerini denetim ilkesi alt kategorileri kullanarak daha ayrıntılı biçimde yönetebilmenize olanak tanır. Bu makalede, yöneticilerin Windows Vista istemci bilgisayarları için ayrıntılı güvenlik denetim ayarlarını uygulayan özel bir denetim ilkesini dağıtmak amacıyla kullanabilecekleri bir yordam açıklanır.
GİRİŞ
Bu makalede, Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarında ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'nin nasıl kullanılacağı açıklanır. Windows Vista'da, bağımsız denetim ilkesi alt kategorileri üzerinde önceki Windows işletim sistemlerinden daha fazla denetime sahip olursunuz. Windows Vista'da kullanılabilen bağımsız denetim ilkesi alt kategorileri, Grup İlkesi araçlarının arabiriminde görüntülenmez. Yöneticiler bu makalede açıklanan yordamı kullanarak, bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarına ayrıntılı güvenlik denetimi ayarları uygulayan özel bir denetim ilkesini dağıtabilir.
Daha fazla bilgi

Göz önüne alınması gereken noktalar

Aşağıda, bu makalede açıklanan yordamı gerçekleştirmeden önce göz önüne almanız gereken bazı noktalar açıklanmaktadır:
 • Yordamda örnek kod kullanılır. Örnek kod, Netlogon paylaşımını kullanır. Ayrıca, örnek kod, önbellek olarak %SystemRoot%\Temp klasörünü kullanır.
 • Yordamda Contoso.com örnek etki alanı kullanılır.
 • Yordamda, aşağıdaki koşulların doğru olduğu varsayılır:
  • Aşağıdaki teknoloji ve araçlar konusunda bilgi sahibisiniz:
   • Grup İlkesi başlangıç komut dosyaları
   • Grup İlkesi Yönetim Konsolu
   • Auditpol.exe komut satırı aracı
  • Toplu iş dosyası çalıştırma konusunda temel bilgilere sahipsiniz.
  • Bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarları için bir denetim ilkesini yapılandırabilirsiniz. Denetim ilkesi, Varsayılan Etki Alanı İlkesi'ne atanır.
 • Etki alanı tabanlı eski denetim ilkesi ayarlarını Windows Vista'da kullanılabilen ayrıntılı denetim ilkesi ayarlarıyla geçersiz kılmak üzere yordam tarafından kullanılan komut dosyaları konusunda bilgi sahibisiniz. Windows Vista'da kullanılabilen ayrıntılı denetim ilkesi ayarlarını yapılandırmak istemezseniz, bu makalede anlatılan yordamı kullanmayın.

Windows Vista istemci bilgisayarları için ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'ni kullanma

Bir Windows Server 2003 veya Windows 2000 etki alanındaki Windows Vista istemci bilgisayarlarında ayrıntılı güvenlik denetimi ayarlarını yapılandırmak üzere Grup İlkesi'ni kullanmak için aşağıdaki adımları izleyin.

Adım 1: Windows Vista istemci bilgisayarlarına dağıtmak istediğiniz güvenlik denetimi ayarlarını belirleyin

 1. Windows Vista çalışan bilgisayarda yönetici kimlik bilgileri olan bir kullanıcı olarak oturum açın.
 2. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı tıklatın, Komut İstemi'ni sağ tıklatın ve sonra da Yönetici olarak çalıştır'ı tıklatın.
 3. Kullanıcı Hesabı Denetimi iletişim kutusunda, Devam'ı tıklatın.
 4. Varsayılan denetim ilkesi ayarlarını temizleyin. Bunu yapmak için, komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
  auditpol /clear
 5. Auditpol.exe komut satırı aracını kullanarak, istediğiniz özel denetim ilkesi ayarlarını yapılandırın.

  Örneğin, komut istemine aşağıdaki satırları yazın. Her satırın ardından ENTER tuşuna basın.
  auditpol /set /subcategory:"user account management" /success:enable /failure:enable
  auditpol /set /subcategory:"logon" /success:enable /failure:enable
  auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
  Not Kullanabileceğiniz tüm kategori ve alt kategorileri görmek için, komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
  auditpol /list /subcategory:*
 6. Komut istemine aşağıdaki satırı yazın ve ENTER tuşuna basın:
  auditpol /backup /file:auditpolicy.txt
 7. Auditpolicy.txt dosyasını, etki alanındaki birincil etki alanı denetleyicisi (PDC) öykünücüsü rolüne sahip olan etki alanı denetleyicisinin Netlogon paylaşımına kopyalayın.

  Auditpolicy.txt dosyası yapılandırılmış tüm denetim ilkesi ayarlarını içerir. Başlangıç komut dosyası, ilkeyi yeniden uygulamak için bu dosyayı kullanır. Başlangıç komut dosyasını bir kez başarıyla uyguladıktan sonra, denetim ilkesi ayarlarını güncelleştirmek için bilgisayarı yeniden başlatmanız gerekmez. Denetim ilkesi ayarlarını güncelleştirmek için, Auditpolicy.txt dosyasının Netlogon paylaşımına kopyaladığınız önceki sürümünün üzerine yazın. Bunu yapmak için, yeni bir Auditpolicy.txt dosyası oluşturun ve bu yeni Auditpolicy.txt dosyasını Netlogon paylaşımına kopyalayın.

Adım 2: Eski etki alanı denetim ilkesinin Windows Vista istemci bilgisayarlarındaki denetim ilkesinin üzerine yazmasını engelleyin

Denetim ilkesinin eski etki alanı denetim ilkesi tarafından üzerine yazılmasını engellemek için, Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya daha sonraki sürümü) ilke ayarını etkinleştirmelisiniz. Bu ayar, etki alanı tabanlı denetim ilkesinin Windows Vista istemci bilgisayarlarındaki daha ayrıntılı denetim ilkesi ayarlarının üzerine yazmasını engeller. Bunu yapmak için şu adımları izleyin:
 1. Bir etki alanına katılmış Windows Vista istemci bilgisayarında, Varsayılan Etki Alanı İlkesi'ni açın.
 2. Sırasıyla Bilgisayar Yapılandırması'nı, Windows Ayarları'nı, Güvenlik Ayarları'nı, Yerel İlkeler'i ve sonra da Güvenlik Seçenekleri'ni tıklatın.
 3. Denetim: Denetim ilkesi kategori ayarlarını geçersiz kılmak için denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya daha sonraki sürümü) ilke ayarını çift tıklatın.
 4. Etkin'i ve sonra Tamam'ı tıklatın.

Adım 3: Komut dosyalarını oluşturun ve sonra da bunları Netlogon paylaşımına ekleyin

Microsoft, programlama örneklerini yalnızca gösterim amacıyla sağlar; örtülü veya açık garanti vermez. Buna satılabilirlik veya belirli bir amaca uygunluk zımni garantileri de dahildir, ancak bunlarla sınırlı değildir. Bu makale, gösterilen programlama dilini ve yordamları oluşturmak ve hata ayıklamak amacıyla kullanılan araçları kullanmayı bildiğinizi varsayar. Microsoft destek mühendisleri, belirli bir yordamın işlevselliğinin açıklanmasına yardımcı olabilir, ancak gereksinimlerinizi karşılamaya yönelik olarak ek işlevsellik sağlamak veya yordamlar geliştirmek amacıyla bu örnekleri değiştirmezler.
 1. AuditPolicy.cmd komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
  1. Not Defteri'ni başlatın ve boş bir belge açın.
  2. Aşağıdaki kodu Not Defteri belgesine yapıştırın:
   @echo offREM AuditPolicy.cmdREM (c) 2006 Microsoft Corporation. Tüm hakları saklıdır.REM Windows Vista Parçalı Denetim İlkesi ayarlarınıREM dağıtmak için örnek Denetim Komut Dosyası.REM Grup İlkesi'nden başlangıç komut dosyası olarak çalıştırılmalıdırREM ###################################################REM Dosya adlarının/yollarının komut dosyasında tek birREM konumdan düzenlenebilmesi için Bağımsız Değişkenleri belirtinREM ###################################################set AuditPolicyLog=%systemroot%\temp\auditpolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=applyauditpolicy.cmdset AuditPolicyTxt=auditpolicy.txtREM ###################################################REM Günlüğü Temizle ve temiz başlatREM ###################################################if exist %AuditPolicyLog% del %AuditPolicyLog% /q /fdate /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%echo.REM ###################################################REM İS Sürümünü DenetleREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho İS Sürümü=%osversion% >> %AuditPolicyLog%REM ###################################################REM Vista Öncesini AtlaREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM Etki Alanı Adını AlREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Makine etki alanı=%machinedomain% >> %AuditPolicyLog%REM ###################################################REM Komut Dosyasını ve İlkeyi Yerel Dizine Kopyala veya SonlandırREM ###################################################xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (  echo \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% okunamadı >> %AuditPolicyLog%  exit /b 1) else (  echo \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% dosyası %systemroot%\temp konumuna kopyalandı >> %AuditPolicyLog%)xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (  echo \\%machinedomain%\netlogon\%AuditPolicyTxt% okunamadı >> %AuditPolicyLog%  exit /b 1) else (  echo \\%machinedomain%\netlogon\%AuditPolicyTxt% dosyası %systemroot%\temp konumuna kopyalandı >> %AuditPolicyLog%)REM ###################################################REM İlkenin Uygulanacağı Adlandırılmış ve Zamanlanmış Görevi OluşturREM ###################################################%systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"if %ERRORLEVEL% NEQ 0 (  echo Denetim için zamanlanmış görev oluşturulamadı >> %AuditPolicyLog%  exit /b 1) else (  echo Denetim için zamanlanmış görev oluşturuldu >> %AuditPolicyLog%)REM ###################################################REM İlkenin Uygulanacağı Adlandırılmış ve Zamanlanmış Görevi BaşlatREM ###################################################%systemroot%\system32\schtasks.exe /run /tn auditif %ERRORLEVEL% NEQ 0 (  Denetim için zamanlanmış görev yürütülemedi >> %AuditPolicyLog%) else (  echo Denetim için zamanlanmış görev yürütüldü >> %AuditPolicyLog%)
  3. Dosya menüsünde, Kaydet'i tıklatın.
  4. Kayıt türü kutusunda, Tüm Dosyalar'ı tıklatın, Dosya adı kutusuna AuditPolicy.cmd yazın ve sonra da Kaydet'i tıklatın.
 2. ApplyAuditPolicy.cmd komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
  1. Not Defteri'ni başlatın ve boş bir belge açın.
  2. Aşağıdaki kodu Not Defteri belgesine yapıştırın:
   @echo offREM ApplyAuditPolicy.cmdREM (c) 2006 Microsoft Corporation. Tüm hakları saklıdır.REM Windows Vista Parçalı Denetim İlkesi ayarlarınıREM dağıtmak için örnek Denetim Komut Dosyası.REM ###################################################REM Dosya adlarının/yollarının komut dosyasında tek birREM konumdan düzenlenebilmesi için Bağımsız Değişkenleri belirtinREM ###################################################set DeleteAudit=DeleteAudit.txtset AuditPolicyLog=%systemroot%\temp\AuditPolicy.logset ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.logset OSVersionSwap=%systemroot%\temp\osversionwap.txtset OsVersionTxt=%systemroot%\temp\osversion.txtset MachineDomainTxt=%systemroot%\temp\machinedomain.txtset MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txtset ApplyAuditPolicyCMD=ApplyAuditpolicy.cmdset AuditPolicyTxt=AuditPolicy.txtREM ###################################################REM Günlüğü Temizle ve temiz başlatREM ###################################################if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /fdate /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%echo.REM ###################################################REM İS Sürümünü DenetleREM ###################################################ver | findstr "[" > %OSVersionSwap%for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%iecho İS Sürümü=%osversion% >> %ApplyAuditPolicyLog%REM ###################################################REM Vista Öncesini AtlaREM ###################################################if "%osversion%" LSS "6.0" exit /b 1REM ###################################################REM Etki Alanı Adını AlREM ###################################################WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%iecho Makine etki alanı=%machinedomain% >> %ApplyAuditPolicyLog%REM ###################################################REM Denetim Görevini SilREM Yalnızca sözde ilkeyi istemci makinelerden kaldırmak içinREM kullanılmalıdır (bu komut dosyasının artık gerekliREM olmayacağı ve kullanılmayacağı sonraki VistaREM düzenlemeleri için tasarlanmıştır).REM Kullanmak için, NETLOGON paylaşımında yukarıdakiREM DeleteAudit değişkenin içeriğiyle eşlenen adla bir dosya oluşturunREM ###################################################if exist \\%machinedomain%\netlogon\%DeleteAudit% (  %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F  DEL %AuditPolicyLog%  DEL %ApplyAuditPolicyLog%  DEL %OSVersionSwap%  DEL %OsVersionTxt%  DEL %MachineDomainTxt%  DEL %MachineDomainSwap%  DEL %systemroot%\temp\%ApplyAuditPolicyCMD%  DEL %systemroot%\temp\%AuditPolicyTxt%  exit /b 1) REM ###################################################REM Denetim İlkesini Yerel Dizine KopyalaREM Kopyalama işlemi yalnızca "önbelleği temizleme" olduğu için,REM bu işlem hataları önler.REM ###################################################xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /yif %ERRORLEVEL% NEQ 0 (  echo \\%machinedomain%\netlogon\%AuditPolicyTxt% okunamadığından önbellekteki önceki kopyası kullanılıyor >> %ApplyAuditPolicyLog%) else (  echo \\%machinedomain%\netlogon\%AuditPolicyTxt% dosyası %systemroot%\temp komununa kopyalandı >> %ApplyAuditPolicyLog%)REM ###################################################REM İlkeyi UygulaREM ###################################################%systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%if %ERRORLEVEL% NEQ 0 (  echo Denetim ayarları uygulanamadı >> %ApplyAuditPolicyLog%) else (  echo Denetim ayarları başarıyla uygulandı >> %ApplyAuditPolicyLog%)
  3. Dosya menüsünde, Kaydet'i tıklatın.
  4. Kayıt türü kutusunda, Tüm Dosyalar'ı tıklatın, Dosya adı kutusuna ApplyAuditPolicy.cmd yazın ve sonra da Kaydet'i tıklatın.
 3. AuditPolicy.cmd ve ApplyAuditPolicy.cmd komut dosyalarını, etki alanındaki PDC öykünücüsü rolüne sahip olan etki alanı denetleyicisinin Netlogon paylaşımına kopyalayın.
 4. Active Directory çoğaltması gerçekleştirilinceye kadar bekleyin. Ayrıca, sistem birimi (SYSVOL) paylaşılan klasöründeki dosya ve klasörler etki alanındaki denetleyicilere çoğaltılıncaya kadar bekleyin.
 5. Başlangıç komut dosyasını Varsayılan Etki Alanı İlkesi'ne ekleyin. Bunu yapmak için şu adımları izleyin:
  1. Active Directory Kullanıcıları ve Bilgisayarları aracını başlatın.
  2. EtkiAlanıAdı'nı sağ tıklatın ve sonra da Özellikler'i tıklatın.
  3. Sırasıyla Grup İlkesi sekmesini, Varsayılan Etki Alanı İlkesi'ni ve sonra da Düzenle'yi tıklatın. Grup İlkesi Nesne Düzenleyicisi aracı başlatılır.
  4. Bilgisayar Yapılandırması'nı genişletin, Windows Ayarları'nı genişletin ve ardından Komut Dosyaları (Başlangıç/Kapatma) öğesini tıklatın.
  5. Başlangıç'ı çift tıklatın ve sonra Ekle'yi tıklatın.
  6. Komut Dosyası Adı kutusuna, Netlogon paylaşımında bulunan AuditPolicy.cmd dosyasının evrensel adlandırma kuralı (UNC) yolunu yazın. Şu biçimi kullanın:
   \\TamEtkiAlanıAdı\Netlogon\AuditPolicy.cmd
   Örneğin, \\contoso.com\netlogon\auditpolicy.cmd yazın.
  7. İki kez Tamam'ı tıklatın.

Adım 4: Güvenlik denetimi ayarlarının başarıyla uygulandığını doğrulayın

 1. Active Directory çoğaltması gerçekleştirilinceye kadar bekleyin. Ayrıca, sistem birimi (SYSVOL) paylaşılan klasöründeki dosya ve klasörler etki alanındaki denetleyicilere çoğaltılıncaya kadar bekleyin.
 2. Etki alanına katılmış bir Windows Vista istemci bilgisayarını yeniden başlatın. Ardından, yönetici kimlik bilgileri olan bir kullanıcı olarak bilgisayarda oturum açın.
 3. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin ve sonra da Donatılar'ı tıklatın.
 4. Komut İstemi'ni sağ tıklatın ve ardından Yönetici olarak çalıştır'ı tıklatın.
 5. Kullanıcı Hesabı Denetimi iletişim kutusunda, Devam'ı tıklatın.
 6. Komut istemine aşağıdaki satırı yazıp ENTER tuşuna basın:
  auditpol /get /category:*
 7. Komut isteminde görüntülenen güvenlik denetimi ayarlarının, "Adım 1: Windows Vista istemci bilgisayarlarına dağıtmak istediğiniz güvenlik denetimi ayarlarını belirleyin" bölümünde oluşturulan AuditPolicy.txt dosyasında yapılandırılmış ayarlarla eşlendiğini doğrulayın.

  Güvenlik denetimi ayarları eşlenmezse, başlangıç komut dosyası tarafından %SystemRoot%\Temp klasöründe oluşturulan günlük dosyalarını inceleyin. %SystemRoot%\Temp klasöründe günlük dosyası yoksa, Grup İlkesi'nin neden uygulanmadığını belirlemek üzere Windows Vista istemci bilgisayarını inceleyin.
Referanslar
Active Directory'de başlangıç komut dosyalarını yapılandırma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitelerini ziyaret edin: Grup İlkesi Yönetim Konsolu hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:Auditpol.exe ve Schtasks.exe komut satırı araçları hakkında daha fazla bilgi için, Windows Vista Yardım ve Destek bölümüne bakın.
granular
Özellikler

Makale No: 921469 - Son İnceleme: 01/19/2007 15:23:24 - Düzeltme: 4.0

Windows Vista Ultimate, Windows Vista Business, Windows Vista Enterprise

 • kbexpertiseinter kbhowto kbinfo KB921469
Geri bildirim