GPO Üzerinden Administrative Template (.adm file) Uygulanması

January 30, 2008 yazan Serhat AKINCI

Bildiğiniz gibi adm dosyaları, gpo ile sağlayamadığımız yada sağladığımız ama biraz daha custom şekilde uygulamak istediğimiz ayarlarda, imdadımıza yetişen ve çok kullanışlı dosyalardır.

ADM dosyaları, registry’e işlenebilen anahtarlar ve değerler içerir. Şöyle ki;

Active Directory ortamı içinde merkezi olarak uygulanan tüm GPO (Group Policy Object) ayarları, aslında terminaller üzerinde duran registry’e etki eder ve ayar bu sayede aktif olur.

Kabaca bahsedersek; bir user için Çalıştır kutusunu devre dışı bırakmak istiyoruz ve ilgili GPO ayarını AD içinde aktif yapıyoruz. Yaptığımız bu ayarın uygulama bilgisi, DC üzerinde paylaşımda olan SYSVOL dizinine atılır. Bu ayarın içeriği ise, terminal pc üzerindeki uygun regisrty anahtarı altındaki değeri, uygun şekilde düzenlemek yada yaratmaktır. 

Domain’e dahil şekilde çalışan pcler oturum açmak istediğinde, bu dizinini kontrolü eder ve kendine uygulanmış bir ayarın olup olmadığına bakar. Eğer ki uygulanmış bir ayar varsa, bu ayarı okur ve kendi registry’si üzerine yazar. Böylece uyguladığımız GPO ayarı aktif olur.

Biz yukarıdaki bu işlemi GPO kullanmadan da yapabiliriz. Terminal üzerindeki regedit.exe yi açarız ve uygun anahtar altında, uygun değeri düzenleyip aynı sonuca varabiliriz.

Anlatmak istediğim, GPO ayarları aslında registry üzerine girilen anahtar ve değerlerden ibarettir. ADM dosyaları da, GPO ile yapamadığımız yada daha spesifik şekilde uygulamak istediğimiz ayarlar için kullanabileceğimiz, registry anahtarları ve değerleri içeren dosyalardır.

Temelde, text dosyası içinde bulunan ve registry için anlamlı olan verinin, adm uzantısı ile kayıt edilmiş halidir. (Farklı kaydet> *.adm)

Şimdi bir ADM dosyasını domain ortamımıza nasıl uygulayabileceğimize bakalım.

Örnekte kullanacağım dosya, domain ortamındaki pcler üzerinde, USB Disk, CD ve Floppy sürücüleri devre dışı bırakıyor.

AD Users and Computers içinde ilgili OU ya yeni bir GPO bağlıyoruz ve Bilgisayar Yapılandırması altında Yönetim Şablonları’na sağ tıklayıp Şablon Ekle/Kaldır diyoruz. (Bu ADM’i uygulayacağımız OU altında Bilgisayar Hesapları bulunmalı)

Gelen pencerede Ekle butonuna basarak ADM dosyamızın yolunu gösteriyoruz.

Bu işlemden sonra ADM dosyamız, aşağıdaki gibi listede görünüyor olmalı.

Listede görünüyor olması ekleme işlemi için yeterli. Kapat diyerek Şablon Ekle/Kaldır penceresini kapatıyoruz.

Bu işlemden sonra oluşturduğumuz GPO içinde, Yönetim Şablonları altına yeni bir seçenek ekleniyor.

Ancak sağ tarafta ayarları görünmüyor. Seçeneklerin görünür olması için, Görünüm menüsünden Süzgeç kısmına geliyoruz.

Aşağıdaki iki seçeneğin işaretlenmemiş olmasını sağlıyoruz ve tamam diyoruz.

Artık ayarlar aşağıdaki gibi görünür durumda.

Uygulamak istediğimiz ayarı tıklıyoruz ve aktif yapmak için aşağıdaki şekilde yapılandırıyoruz.

Diğer seçenekleri de ihtiyaca göre yapılandırabilirsiniz. Bu işlemden sonra GPO penceresini kapatabiliriz, ayarımız tamam.

Bu noktadan sonra, ayarın etki ettiği terminallerde (GPO’yu bağladığımız OU altındakiler) USB diskler kullanılamaz duruma gelir.

Dikkat etmeniz gereken bir nokta ise bu ayarın nasıl geri alınacağı. Bu ayar registry tabanlı olduğu ve bilgisayar’a atki ettiği için, GPO nun ilgili OU üzerinden silinmesi yeterli olmuyor. Ayarı eski haline getirmek için, tam tersini uygulamak gerekli. Yani aşağıdaki gibi sürücüyü disable yapma şeklinde yeniden uygulamalıyız

Bu ayarın terminallere doğru şekilde uygulandığından emin olduktan sonra GPO silinebilir.

Ayrıca ayarların terminaller üzerinde etkili olması için birkaç restart gerekebiliyor.

Tüm ADM dosyalarını bu şekilde kullanabilirsiniz. Herhangi bir ADM dosyasını, editör yardımı ile açarsanız içeriğinde neler olduğunu görebilir ve düzenleyebilirsiniz.

Serhat AKINCI – IT Professional