Windows Server 2008 Üzerinde GPO incelenmesi

Microsoft’un yeni işletim sistemlerinde sürekli olarak güvenlik seviyesini arttırdığını biliyoruz, Vista ve Server 2008 işletim sistemlerinde de güvenliğin son derece ön planda olduğunu söylemek mümkün. Özellikle Group Policy lerde olağanüstü bir genişleme ve yenilik ilk bakışta göze çarpıyor.
Ben de bu yazımda yeni versiyon işletim sistemlerindeki Group Policy dosyalarının farklarını ve olası hataların önlenmesi için neler yapılması gerektiğinden bahsedeceğim.

Daha önceleri .adm formatında olup sadece kendi platformunda çalışabilen Group Policy dosyaları ( En fazla notepad ile açabiliyorduk ki bu bizim düzenlememiz için düşünülmemiş.) artık .admx formatında ve xml programlarıyla görüntülenebiliyor.

Dosyaların arasında ki en büyük ve en önemli farklardan biri ise şu; önceki işletim sistemlerinin kullandığı Group Policy dosyalarında sadece işletim sisteminin kendi varsayılan dili kullanırken yeni Group Policy dosyaları belirtebileceğimiz farklı dillerde güncellenebiliyor. Bu da .admx uzantılı dosyaların çoklu dil desteği sağlaması anlamına geliyor.

Bununla beraber Group Policy dosyalarının yerinin de değiştiğini belirtmekte fayda var. Daha önce %systemroot%\inf konumunda bulunan dosyalar artık %systemroot%\policyDefinitions klasöründe bulunmaktadır ve varsayılan dil altında bütün Group Policy dosyalarının bir kopyası bulunmaktadır.

Dosyaların içerik farklılıkları hakkında bir ön bilgi sahibi olduktan sonra eski Group Policy dosyalarının yenilerine uyarlamasına geçebiliriz. Tabi ki yeni kuracağımız sistemde tam manasıyla bir alt yapı değişikliği yapacak olursak dosyaları da uyarlamaya ihtiyaç duymayız. Fakat eski işletim sistemleriyle beraber çalışacağımızı varsayıyorum. Açıkçası yeni sürüm işletim sistemine sahip server ve client ları eklemeden önce eski server ve client larımızın burada bahsettiğim yeni ayarlar ve dosya türlerinden etkilenmemesini düşünmek olanaksızdır.

Bu noktada .adm dosyalarının uzantılarını .admx olarak mı dönüştürmemiz gerekecek diye düşünülebilir. Elbette kesinlikle hayır, tahmin ettiğiniz gibi Server 2008 ve Vista da bulunan Group Policy Editor , Vista, Server 2003, 2000 ve Xp de kullanılan .adm dosyalarını düzenleyebilecek şekilde tasarlanmıştır. Adm şablonunun düzenlemenin açıklaması ise şu; Group Policy objelerini ara yüzden düzenlerken bu dosyaların üzerine yazıyorsunuz demek oluyor, örnek olarak domain ortamında ki kullanıcıların Windows Movie Maker ı kullanmalarını yasaklamak için Group Policy ayarlarını yapılandırdınızda sonuç olarak ilgili .adm dosyasını aşağıdaki gibi yapılandırmış olursunuz.

CATEGORY !!MovieMaker
POLICY !!MovieMaker_Disable
#if version >= 4
SUPPORTED !!SUPPORTED_WindowsXPSP2
#endif
EXPLAIN !!MovieMaker_Disable_Help
KEYNAME "Software\Policies\Microsoft\WindowsMovieMaker"
VALUENAME "MovieMaker"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY

Şimdi örnek bir yapı oluşturalım, yalnız ondan önce eğer “file replication" servisinin transfer zamanını beklemek istemiyorsanız bu yapıyı PDC üzerinde oluşturmanızı tavsiye ederim.

Yapıyı oluşturmaktaki amaç Server 2008 ve Vista nın 2000–2003 ve Xp de ki gibi her bir Group Policy için ayrı klasörler açmaması ve dosyaları tek bir merkezi klasörde toplaması. Merkezi klasörler grubu oluşturarak aynı domain yapısındaki Domain Controller ların da kendi içinde dosya oluşturması yerine aynı merkezi kullanması ve dosyaları bu dizinden almasını sağlamış oluyoruz.

belirttiğimiz gibi İlk önce klasörleri oluşturalım.
%systemroot%\sysvol\domain\policies\PolicyDefinitions%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US

Daha sonra varsayılan klasördeki dosyaları almanız için önceden hazırlanmış Xcopy komutunu kullanabilirsiniz.

( Bat olarak kaydedebilir ya da direk komut satırına kopyalayabilirsiniz. )

CD C:\Xcopy %systemroot%\PolicyDefinitions\* %systemroot%\sysvol\domain\policies\PolicyDefinitions\Xcopy %systemroot%\PolicyDefinitions\en-us\* %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us


Daha sonra gpmc.msc komutu ile Group Policy Object Editor u açın ve yeni bir Group Policy oluşturun, objeyi modifiye edip kapatın ve dosyanın yeni formatta modifiye edildiğini kontrol edin.

Ve herhangi bir member server üzerinde dosyaların doğru dizinde konumlandırıldığını kontrol edin.

Böylece eski sistem Group Policy dosyalarınızı kaybetmeden veya yeni dosyalarla çakışmaya uğramadan kullanabilirsiniz.

Exchange Server Üzerinde ESEUTIL Kullanımı

Sahip olduğumuz Exchange Server üzerindeki mail trafiği her zaman sorunsuz işlemeye devam etmeyebilir. Olası kötü durumlara karşı kendimizi hazırlamamız gerekmektedir. İyi bir sistem yöneticisi olarak her zaman düzenli yedeklerimizi alsak ta bazı sorunlar yedek ile çözümlenemez. Servisin yavaşlaması ,gönderilen maillerin kuyrukta beklemesi , mail alma ve gönderme işleminin çok geç gerçekleşmesi , istemci mail alma programlarında ki tutarsızlık , servislerin çok fazla kaynak tüketmesi gibi durumlar bize Exchange Server’ın sorun çıkarmak üzere olduğunu ve bunun için yedekten fazlasını yapmamız gerektiğini göstermektedir .

Bu gibi durumlarda Microsoft un bize sunduğu “ESEUTIL” aracını iyi bir şekilde kullanabilmemiz gerekmektedir. Ben de bu yazımda bu komut seti ile neler yapabileceğimizi anlatacağım

ESEUTIL komut seti, ek bir yardımcı program yüklemeye gerek kalmadan Exchange Server yüklemesi ile beraber gelmektedir. Bu komut setini iyi derecede kullanabilmek için öncelikle Exchange Server ın veri dosyalarını nerede ve ne şekilde sakladığını bilmek gerekmektedir. Exchange Server standart olarak veri dosyalarını aşağıdaki dizine kurulmaktadır;

C:\Program Files\Exchsrvr\MDBDATA”

Bu dizinde aşağıdaki dosyalar bulunmaktadır.

Bu dosyaları sırası ile incelemek gerekirse;

EDB ve STM = Exchange Server 2003 üzerinde bir depolama birimine ait veri tabanı dosyalarıdır ( priv1 = depolama birimi için, pub1 = ortak klasörler için ) . Bu depolama birimi üzerindeki mailler ve bunlara ait olan ekler bu iki veri tabanı dosyasında tutulmaktadır. Bu her iki dosya farklı istemci tiplerine göre kullanılmaktadır. Yani bir MAPI client eğer Exchange Server üzerinden bir mail almak isterse bu bilgi ona “edb” veri tabanından verilirken, internet tabanlı bir protokol ile Exchange Server dan mail alan istemci “ stm ( Streaming) “ dosyasından bilgi almaktadır. “Edb” dosyasında maillere ait başlıklar, maillerin metinleri ve ekleri bulunmaktadır. “Stm” dosyasında ise; ses, görüntü ve benzeri multimedya öğeler yer almaktadır.

E00, Exx = Bu dosyalar Exchange Server ın “Transaction Log” dosyalarıdır. Her depolama grubu için oluşturulan bu log dosyaları yeni açılan her depolama biriminde numarası bir artarak oluşturulur; E00, E01, E02 vb. Bu dosyaların kullanım amacı ise Exchange Server ın hızlı çalışmasını sağlamaktır. Exchange üzerinde yapılan mail gönderimi ve mail düzenleme gibi işlemler direk olarak veritabanına yazılmaz, bu değişiklikler bilgisayarınızın fiziksel RAM i ile log dosyalarında tutulur. Bu Exchange Server ın daha hızlı çalışmasını sağlamaktadır, ancak olası log dosyası silinmesi veya zarar görmesi durumunda veri kaybı kaçınılmazdır. Çünkü çalışmakta olan bir Exchange Server ın sunduğu hizmet; veri tabanı dosyaları, RAM ve log dosyalarının oluşturduğu bir bütündür. Bu nedenle bu bütüne ait bir parçada olan sorunlar bütüne yansımaktadır. Bu log dosyalarının her biri beş’er MB ile sınırlandırılmıştır. Yani her 5mb tan sonra yeni bir log dosyası açılmaktadır. Birinci depolama grubu için artış;

E0000001, E0000002, E0000003 şeklinde ilerlemektedir.

Res1.log, Res2.log = Exchange Server ın kullandığı fiziksel diskte yer kalmaması durumunda loglama işlemi yapılamaz. Bu da olası veri kayıplarına yol açacağı için böyle bir durumda kullanılmak üzere iki adet beş er mb lık iki dosya rezerve için kullanılmaktadır.

E00.chk , Exx.chk = Chk dosyası kontrol dosyası olarak görev yapmaktadır . Bildiğimiz üzere işlemler öncelikle RAM ve log dosyaları üzerine yazılmaktadır . Kontrol dosyası da verilerin veri tabanı üzerine kayıt edilmesini kontrol etmektir.

E00.tmp, tmp.edb = Her depolama birimi için kullanılmak üzere geçici dosyaları temsil ederler. E00.tmp ilk depolama birimi için geçici log dosyasıdır. Exchange üzerinde çalışan “Extensible Storage Engine” servisi üzerinde gerçekleşen işlemler bu log dosyasında tutulur. Veri tabanı üzerinde gerçekleşen “full-text index” gibi işlemlerde ise verilerin geçici olarak tutulduğu dizin ise “temp.edb” dir.

Exchange veri tabanı dosyalarını ve bunların görevlerini anladıktan sonra artık komut setinin kullanımına geçebiliriz. Bu komut setini çalıştırmak için DOS ortamında aşağıdaki dizine kadar gitmeliyiz veya bu dizini path olarak tanımlayabiliriz.

“C:\Program Files\Exchsrvr\bin>” Bu dizinde “ESUTIL” yazarak komut setine ait parametreleri görebiliyoruz.

Yoğun çalışan bir Exchange Server ın zamanla veritabanı şişecek ve çok fazla yer kaplamaya başlayacaktır. Bunun sonucu olarak ise aldığınız yedeklerin boyutu büyüyecek , veritabanının bulunduğu diskteki yer azalacak , Exchange server ın çalışma performansı kötü yönde etkilenecektir . Exchange Server üzerinde Günlük bakım işlemleri ile beraber online bir defrag yapılmakta ancak bu çok ta yeterli olmamaktadır . ESEUTIL ile yapacağımız defrag ise offline defrag tır ve veritabanı üzerinde son derece etkilidir. Defrag işlemi sırasında Eseutil, veritabanın yapısını inceler ve veri tabanı üzerinde ; tarama , okuma , onarım ve birleştirme yapar.

Defrag yapmak için öncelikle Mailbox Store u Dismount etmemiz gerekmektedir.

Bu işlem için ESM üzerinden şekilde gösterildiği gibi Store un üzerine gelerek “Dismount Store” seçeneğini seçiyoruz.

( Not : Eğer bu işlemi unutur ve komut satırında işlemi yaparsanız Operation terminated with error -550

” şeklinde bir hata alacaksınız )

Bu işlemin ardından komut satırınsa aşağıdaki komutu çalıştırıyoruz ;

eseutil /d "c:\program files\exchsrvr\mdbdata\priv1.edb"

Burada önemli bir nokta ya dikkat çekmek istiyorum . Offline defrag yapmak için diskinizin veritabanını barındıran bölümünde veritabanı boyutunun %110 u kadar bir boş alan olmak zorundadır .

İşlem başarı ile sonuçlandıktan sonra artık Mailbox Store u tekrar mount edebiliriz

Bu işlem sayesinde artık veri tabanı gözle görülür bir şekilde küçülmektedir.

( Eğer veri tabanı parçalanmamış ise zaten defrag sonucu da boyut pek değişmeyecektir . )

Dğer defrag işlemi sırasında veritabanı birleştirme yanında diğer ek özelliklerinde kullanılmasını istiyorsanız ,

Defrag parametrelerinin switchlerini kullanabilirsiniz

Örneğin Defrag işlemi sonucu olası sorunlara karşılık veritabanının bir kopyasını almak isteyebilirsiniz .

Bunun için aşağıdaki komutu kullanabiliriz

eseutil /d "c:\program files\exchsrvr\mdbdata\priv1.edb" /b c:\deneme

Eğer farkında olmadan Exchange Server şişmiş ve veritabanının bulunduğu diskte yer kalmamış ise Exchange Server çalışmaya devam edemeyecektir. Bu durumda en iyi çözüm hızlı bir şekilde defrag yapmak ve yer açmaktır . Ancak sorun ise defrag için gerekli olan %110 boş alanın zaten elinizde olmaması . Böyle bir durumda ise yine kullanacağınız bir ESEUTIL switch i ile bu sorunu aşabilirsiniz.
Defrag sırasında “t” switch i kullanılmaz ise eğer veritabanının bulunduğu dizinde “Tempdfrgxxx.edb” isminde geçici veritabanı dosyası oluşturulur .

Eğer veritabanının bulunduğu disk üzerinde yeriniz yok ise geçici veri tabanı dosyasını isterseniz “t” komutu ile başka bir dizin üzerine alabilirsiniz . Örneğin aşağıdaki komut ile geçici veri tabanı ismini ve konumunu değiştirmiş oluyorum . Bu komuta göre geçici veri tabanı bilgisayarımın “D” dizininde “temp.edb” isminde olacaktır .


eseutil /d "c:\program files\exchsrvr\mdbdata\priv1.edb" /t d:\temp.edb


Kullandığım “t” komutu ile defrag için gerekli olan geçici veritabanı dosyası artık belirtilen dizine alınabilir . ( not : eğer tek disk var ise map network drive üzerinde de sorunsuz çalışmaktadır. )
ESEUTIL ile aynı zamanda bozulmuş data dosyalarını da düzeltme şansınız bulunmaktadır .
Örneğin virüs programları sonucu zarar görmüş ve mount olmayan db yi /P komutu ile onarabiliriz.
eseutil /p "c:\program files\exchsrvr\mdbdata\priv1.edb"


Komutu çalıştırdığımızda karşımıza bir uyarı ekranı gelecektir.

Bu ekranda bize Repair işleminin loglara yansımayacağı bildirilmektedir.

İşlemin sonucunda veritabanının bütünlüğünü kontrol etmek ve olası sorunları düzeltmek için aşağıdaki komutu kullanıyoruz.

isinteg –s kayro –test folder
( kayro = server ismi , folder ise test dosyasının ismi , -fix komutunu da kullanarak sorunları düzeltebilirsiniz )
bu komut hakkında daha fazla bilgi için http://support.microsoft.com/kb/182081/tr



Bu işlemin ardından sorunlu veritabanı sorunsuz bir şekilde mount olacaktır . ( not : bu işlemin %100 kurtarma ve onarma garantisi yoktur. )

Bu işlemlere rağmen veritabanı mount olmuyor ve sorunlar devam ediyor ise “/g” komutunu kullanabiliriz .


Bu komut veritabanının bütünlüğünü kontrol eder ve eğer sorunlar var ise artık “/r” parametresini kullanabileceğimizi gösterir.


Eğer veri tabanı hala sorunlu ise “/r” parametresi ile “Soft Recovery” işlemi yapılabilir . Microsoft ; eğer Exchange Server ın veri dosyaları duruyor ancak mount işlemi gerçekleşmiyor ise bu işlemi öneriyor . Ancak veri dosyaları yok olmuş ve online olarak yedekten geri dönülmüş ise o zaman “Hard Recovery” yani “/c” parametresini önermektedir.

Eseutil Recovery faklı bir lokasyona taşınmış veritabanını kurtarabilir, bu özellik yalnızca Exchange 2003 le beraber kullanılabilir. Hard recovery "veritabanı back up alındıktan sonra bile" farklı lokasyona taşınmış olsa dahi geri kurtarma işlemini başarı ile tanımlar. Exchange 2003 öncesine kadar ise Veritabanını kurtarmak için Transaction Log files ın bulunduğu konumda olması gerekirdi. Exchange 2003 de /D switch’i kurtarma moduna eklenmiştir ve böylece transaction log files ın bulunduğu konuma da transaction logları tarafından yazılmış bilgilere rağmen geri yüklemeyi başarır. Bu yeni özellik çevrimdışı veritabanlarını " Recovery Storage Groups" a yazarken ve ya yukarıda ki senaryoda gibi bozulmuş veritabanlarını kurtarırken son derece kullanışlıdır.

Veritabanını ve transaction log dosya gruplarını istediğiniz klasöre kopyalayabilir ve başarılı bir şekilde normal geri kurtarma işlemi yapabilirsiniz. Veritabanı bir kez doğrulandığında ( Consistence ) daha sonra veritabanını istediğiniz lokasyona taşıyabilirsiniz ve farklı log larla ilişkilendirebilirsiniz.
eseutil /r e00 /i ( veritabanının olduğu dizinde çalıştırın )

Komutun çalıştırılmış şekli yukarıdaki gibidir . Bu uygulama ile beraber sorunlu olan veritabanı dosyaları düzelecektir. ( yine bu konuda da Microsoft bir garanti vermemektedir. )
Eğer ESEUTIL aracını Exchange üzerinde değil de bir başka makinede çalıştırmak istiyorsanız Exchange server dan aşağıdaki dosyaları kopyalamanız gerekmektedir


Eseutil.exe, Ese.dll, Jcb.dll, Exosal.dll, Exchmem.dll


“C:\Program Files\Exchsrvr\bin” dizininde bulunmaktadır .

ESEUTIL ile yapılacaklar bunlarında ötesindedir , ancak her bir komutu ve bu komutların switchleri ayrı bir makale konusu olduğundan en önemli ve en çok kullanılan komutların üzerinde durmaya çalıştım.

Secure E-Mail

Günümüzde mail trafiğinin önemi gittikçe artmaktadır. Gerek kurumsal alanda gerekse bireysel alanda işlerin pek çoğu artık yazılı kültüre dayanmaktadır . Böylesi bir öneme sahip olan mail trafiğinin güvenliğini artırmak için biz sistem yöneticilerine düşen görevler de artmaktadır . Bu yazıda yöneticilerimizden birinin isteği üzerine araştırdığım, güvenli mail trafiği oluşturmak için sertifikaların nasıl kullanılacağını anlatacağım.

Kısaca Dijital İmza Nedir?

Bugün yazılı dökümanlarda kullandığınız imzalar gibi, e-mail veya elektronik datanın yazarının/diğer imzalayıcılarının tanımlanması için dijital platformda kullanılan imzalardır. Dijital imzalar, Dijital Sertifikalar kullanılarak yaratılır ve onaylanır. Bugün, hukuk kurumları dijital imzaların yazılı olanlar gibi yasal bağlayıcı ve uluslararası kabul edilir olması için hukuki altyapıyı hazırlamaktadır. Bilgiyi imzalamak ve güvenli bir işlem gerçekleştirmek için kendi özel Dijital Sertifikanıza ihtiyacınız vardır.

Dijital imzalar aşağıda belirtilen önemli fonksiyonları sağlarlar:

- Tanılama
- Gizlilik & data bütünlüğü
- İnkar-edememe

5070 Sayili Elektronik İmza Kanunu madde 4’e göre Güvenli elektronik imza;

- Münhasıran imza sahibine bağlı olan,
- Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
- Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
- İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan,
dijital bir anahtardır.

23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazetede yayınlanan ilgili mevzuatı aşağıdaki linkten takip edebilirsiniz: http://www.dijital-imza.com/mevzuat/kanun.htm

Makalenin bu kısmında dijital bir anahtarı kullanarak karşı taraf için kimliğimizi ispatlamayı, ve aynı anahtarı kullanarak maillerimizi encryptleyerek göndermeyi göreceğiz.

Öncelikle bu anahtarı verecek, herkes tarafından güvenilir sertifika dağıtan CA (Certification Authority) 'lere ihtiyaç duyulur. Ticari olarak bu işi yapan firmalardan kullanım amacına uygun sertifikalar ücret karşılığı alınabilir.

Lokal kullanım için Windows 2000/2003 sunucu ailesi işletim sistemleri CA servisi sağlayabilir.

Yalnız lokal CA kullanmanız durumunda sertifkanızın güvenilirliği sadece lokaliniz için geçerli olacaktır.

Bu sebep ile Web sitelerinin SSL sertifikaları, mail için kullanılan Secure Email sertifikaları Ticari CA (Commercial CA)'lerden alınmalıdır.

Bu yazıdaki uygulamada bir mail hesabı için sertifika talep edeceğiz.

Sertifika alabileceğiniz CA sitelerine örnek olarak

http://www.globalsign.com veya http://www.thawte.com

web adresleri verilebilir.

Global Sign web adresini kullanarak devam edeceğiz.

Sol üst linkte Certificates – Client Certificates bölümünden talep sayfasına girerek; aşamaları talip edeceğiz.

Kişisel Sertifikamızı talep ediyoruz

Karşımıza çıkan ekranda istekte bulunulan sertifika için prosedür gereği hangi aşamalardan geçileceği belirtiliyor.

Step1: İşletim sistemimizin globalsign’a güvenip güvenmediğinin kontrolü yapılır;
Step2: Sertifikayı kullanmak istediğimiz mail hesabını yazılır;
Step3: Yazdığımız mail hesabına gelen mail’i kontrol edip, linke tıklanır;
Step4: Aşama 2 de yazdığımız password girilir;
Step5: Kişisel bilgilerimiz girilir;
Step6: Anlaşmayı kabul ederiz;
Step7: Mailimize gelen son link ile, yükleme yapacağımız yere yönlendiriliriz;
Step8: Sertifikayı install ederiz.

Tüm aşamalar sonunda bizim için hazırlanan sertifikayı sistemimize yükleyebiliriz.








Install edilmiş sertifikayı görmek ve herkes tarafından güvenilir sertifika dağıtan CA (Certification Authority) ler arasında bizim tercih ettiğimiz CA (Certification Authority), yer alıyor mu kontrol edelim;

Sertifikalar

Güvenilen CA (Certification Authority) listesi

Bu sertifikayı başka makinada kullanmak ya da yedeklemek isterseniz, export edebiliriz. Bilindiği üzere Dijital sertifika iki anahtardan oluşuyor; Public Key ve Private Key'dir. Veriyi encrypt hale dönüştüren public key, encrypt edilmiş veriyi açan public key dir. Uygulamamıza Private Key’ i de export ederek yedekleme işlemini başlatıyoruz.

Eğer birileri size özel bu private key'i ele geçirirse, encrypt hale dönüştürülmüş verileri açma olasılığını engellemek amacıyla bu sertifikayı kendine yükleyememesi için password verilmesi ve kimseye söylenmemesi gerekir.

Güvenlik amacıyla sertifikayı ele geçirebilecek kişler için parola zorunluluğu bulunmaktadır.

Yedekleme işlemini de böylece tamamlamış oluyoruz.

Zaten yüklü olan sertifikamızı Microsoft Outlook programında nasıl kullanacağımıza bakalım.. .

Tools – Options açılan pencerede Security sekmesine gelirsek yüklü olan sertifikayı outlook programımızın zaten kullanmaya hazır olduğunu, ya da import edebileceğimiz yeri görebiliyoruz. Karşı tarafa attığımız maillerde dijital kimliğimizi de göndermek istiyorsak “Add digital signature to outgoing messages” kutucuğunu işaretleyebiliriz

Gönderdiğiniz maillerde kırmızı kurdele eklentimiz geliyor ve karşı tarafta kendi kimliğimiz ispatlanmış oluyor.

Maili alan kişi, sertifikalı mail atan kişinin sertifikayı aldığı siteye güveniyorsa, o an için iletişim kurabiliyorsa ve kişinin bilgileri doğrulanıyorsa kurdele kırmızı olacaktır; herhangi bir gereklilik eksikse kurdelemiz renksiz olacaktır.

Maili okumadan önce kurdeleye tıklayarak, kullanıcının, sertifika dağıtan server ın ve sertifikanın bilgilerini görebiliriz.

Encryptli mailleşme olabilmesi için öncelikli olarak tarafların birbirlerine public keylerini göndermeleri gerekmektedir. Public Key ler dijital imzalarımızla karşı tarafa ulaşıyor, Uygulamamızda Türker’ den Volkan’ a ve Volkan’dan da Türker’e karşılıklı olarak mailleşme olduğundan ve public key ler paylaşıldığından (Volkan’ın public key i Türker’ de; Türker’in public key i de Volkan da) olduğu için artık encryptli mailleşebiliriz. Sonuç olarak İlgili programımızın security sekmesinde “Encrypt contents and attachments for outgoing messages” kutucuğunu doldurarak tüm içerik ve eklerin encyrptlenmesini sağlayabiliriz.

Maili alan kişi artık kırmızı kurdelenin yanında asma kilit işaretini de görmektedir. Kırmızı kurdelede söylediklerimize ek olarak bu maili açabilmemiz için private key imizi hiç bir zaman kaybetmemiz gerekiyor. Diğer bilgiler için ilgili simgelere tıklamamız gerekiyor.

Hem yasanın gerekliliklerini yerine getirmiş :), kimliğimizi ispatlamış tüm bunlara ek olarak maillerimizi mail sahibinden başka hiçkimsenin okuyamaz hale gitirmiş olduk.

Kerberos Nedir, Nasıl Çalışır ?

Bilgisayar ağlarının yaygınlaşması ile birlikte, bilgisayarlar arası kimlik doğrulama önem kazanmıştır.

Burada çeşitli kimlik doğrulama (authentication) protokolleri vardır.
Bunlardan en önemlisi Kerberos protokolüdür.

Kerberos Athena Projesinin bir parçası olarak MIT (Massachusetts Institute of Technology) tarafından geliştirilmiştir.

Kerberos açık bir ağda güvenli kimlik denetimini sağlamak için şifreleme teknolojisini ve hakem olarak üçüncü bir taraf kullanır (KDC).

Kerberos’un kullanımda olan iki sürümü vardır; sürüm 4 ve sürüm 5. Sürüm 1’ den sürüm 3’e kadar olan sürümler iç geliştirme sürümleri olup hiçbir zaman yayınlanmamıştır. Sürüm 4’ ün ise bir çok zayıf yönü bulunduğundan kullanılması uygun değildir.

Biz sadece sürüm 5’ den bahsedeceğiz. Kerberos 5 RFC 1510’ da tanımlanmıştır.

(http://www.ietf.org/rfc/rfc1510.txt).

Windows 2000, Windows XP , Windows Server 2003 ve Windows Server Core varsayılan kimlik doğrulama protokolü olarak Kerberos kullanır. Ayrıca açık kaynak kodlu sistemlerde de Kerberos kullanılmaktadır.

Kerberos Needham-Schroeder protokolünü temel alır.
Burada KDC (Key Distribution Center) olarak isimlendirilen güvenilen üçüncü bir taraf kullanılır.

KDC iki kısımdan oluşur; Authentication Server (AS) ve Ticket Granting Server. Kerberos kullanıcıların kimliklerini doğrulamak için bilet (ticket) kullanır. KDC networkdeki her bir istemci yada sunucu için gizli anahtarları tutan bir veritabanına sahiptir. Bu gizli anahtarlar sadece KDC ve ait olduğu istemci tarafından bilinir.


Kerberos’un çalışma şekli ise aşağıdaki gibidir;

1- Kullanıcı istemci üzerinde kullanıcı ismini ve şifresini girer

2- İstemci kullanıcı şifresi üzerinde tek yönlü bir hash algoritması uygular ve bu istemcinin gizli anahtarı olur.

3- İstemci Authentication Server’a oturum açma bilgilerini gönderir. Oturum açma bilgileri kullanıcı adı ve domain bilgilerini içerir. Dikkat edilirse burada kullanıcının şifresi yada gizli anahtarı Authentication Server’a gönderilmez.

4- Authentication Server istemcinin kendi veritabanında bulunup bulunmadığını kontrol eder, eğer mevcutsa, istemciye iki adet mesaj gönderir.


Mesaj

A: İstemci/TGS oturum anahtarı (session key), bu kullanıcının gizli anahtarı ile şifrelenir.
(Bu gizli anahtarı sadece KDC ve istemci biliyor. Bu yüzden bu oturum anahtarını sadece istemci açabilir)

B. Mesaj B: Ticket-Granting Ticket. Bu bilet kullanıcı ismi ve biletin kullanım süresi gibi bilgileri içerir ve TGS’ nin kendi gizli anahtarı ile şifrelenir.

5- İstemci bu iki mesajı aldıktan sonra İstemci/TGS oturum anahtarını almak için Mesaj A’ yı açar. Mesaj A kullanıcının kendi şifresinden üretilen gizli anahtarı ile şifrelendiğinden kullanıcı bu mesajı açabilir. Bu gizli anahtar TGS ile daha sonra yapılacak olan iletişimde kullanılacaktır. Burada istemci Mesaj B’ yi açamaz. Çünkü Mesaj B sadece KDC tarafından bilinen KDC’ nin kendi gizli anahtarı ile şifrelenmiştir. Bu işlemin sonucunda istemci kimlik doğrulamasını başarıyla yapmıştır Kerberos protokolünü kullanarak domaindeki diğer kaynaklara erişmeye hazırdır.

Buraya kadarki adımlar kullanıcının oturum açmasına kadar olan kısımdı. Şimdide istemcinin bir sunucuya erişimi sırasındaki adımları inceleyelim;

1- İstemci aynı domain’deki bir sunucuya erişmek istediğinde TGS’ ye şu iki mesajı gönderir;

a- Mesaj C: Mesaj B’ de aldığı TGT ve erişilmek istenilen sunucu ID’si

b- Mesaj D: İstemci ID’ si ve Zaman bilgisi (TimeStamp) istemci/TGS oturum anahtarı ile şifrelenir

2- TGS bu iki mesajı aldıktan sonra, Mesaj D’ yi istemci/TGS oturum anahtarı ile açar ve sonrasında istemciye şu iki mesajı gönderir;

a- Mesaj E: İstemci-Sunucu bileti. Bu bilet İstemci ID, istemci network adresi, geçerlilik süresi ve İstemci/Sunucu oturum (session) anahtarı bilgilerini içerir. Bu mesaj sunucunun gizli anahtarı ile şifrelenir.

b- Mesaj F: İstemci/Sunucu oturum (session) anahtarı, İstemci/TGS oturum anahtarı ile şifrelenmiştir.

3- Mesaj E ve F’ yi istemci aldıktan sonra, istemci artık sunucuya bağlanmak için gerekli bilgilere sahiptir. Ve istemci sunucuya bağlanıp şu iki mesajı gönderir;

a- Mesaj E: Bir önceki adımdaki Mesaj E’ yi gönderir.

b- Mesaj G: İstemci ID’ si ve Timestamp bilgisini gönderir. Bu mesajıda İstemci/Sunucu oturum anahtarı ile şifreler.

4- Sunucu kendi gizli anahtarı ile Mesaj E’ yi açar. Ve bu mesajın içerisinden İstemci/Sunucu oturum anahtarını alır. (Burada dikkat edilmesi gereken husus Mesaj E’ yi sadece bağlanılan sunucunun açabilmesidir. Sunucu bu mesajı açtığı zaman bunun güvenilen bir kaynaktan geldiğini bilir. Çünkü bu mesaj sunucunun gizli anahtarı ile şifrelenmiştir ve bu anahtar sadece kendisinde ve KDC’ de mevcuttur.) Bu anahtarlada Mesaj G’ yi açar. Daha sonra İstemciye kimlik doğrulamasını onaylamak için şu mesajı gönderir;

a- Mesaj H: Mesaj G’ deki Timestamp değerini bir artırır. Bu mesajı istemci/sunucu oturum anahtarı ile şifreler.

5- İstemci mesajı aldıktan sonra timestamp’ in doğru olarak güncellendiğini kontrol eder. Eğer bu işlem doğru olarak yapıldıysa istemci artık sunucuya güvenebilir ve sunucuya istenen servisler için bağlantı kurar.
Burada dikkat edilirse şifreler hiç bir zaman networkde dağıtılmıyor. Bağlanılan sunucuda bağlantı isteğini sadece kendi gili anahtarını kullanarak onaylıyor. KDC’ ye bağlanmaya hiç bir şekilde ihtiyaç duymuyor.
Tüm bunların yanında Kerberos protokolü kullanıldığında şu durumlara dikkat etmek gerekir;

a- Eğer Kerberos sunucusu bir adet ise bu sunucu da oluşacak bir problem sonrasında kullanıcılar hiç bir şekilde kimlik doğrulaması yapamayacaklar ve kaynaklara erişemeyeceklerdir. Bu problemi aşmak için birden fazla Kerberos sunucusu kullanmak gerekir.

b- Kerberos protokolünde kimlik doğrulama esnasında Timestampler kullanıldığından dolayı zaman ayarı önemli. Varsayılan ayarlarda en fazla 5 dakikalık bir zaman sapması olabilir. Zamanın tüm host’ larda aynı olması için NTP sunucusu kullanılabilir.

Server Core - Kurulum & Temel Yapılandırma

Microsoft Windows Server serisinin son ürünü Windows Server 2008 yakında kullanıma sunulacak.
Birçok yeniliği beraberinde getiren bu ürünle birlikte yeni tanıştığımız “Core” kavramı da dikkat çekmeye başladı.
Server Core olarak duyurulan bu ürüne “Windows without Windows” yakıştırması yapılıyor. Grafik arayüzü bulunmayan, komut satırından yönetilebilecek bir Windows Server kurulum seçeneği olarak karşımıza çıkıyor.

Bu makalede Server Core ‘u yakından inceleyeceğiz.

Windows yöneticilerinin alışık olduğu grafik arabirim (GUI) olmadan server yönetmek çok kolay olmayacak. Artık tüm yönetimsel görevlerin bir parçası haline gelmiş olan wizard’ları kullanmadan, çoğu yöneticinin tercih etmediği bir şekilde, tüm idari işlerin komut satırından yapılması gereken bir işletim sistemine neden ihtiyaç duyarız, bu sorunun da cevabını vermek lazım. Server Core’un sağladığı avantajlardan birkaçı şunlardır ;

- Daha az bakım gerektirmesi
- Daha az yönetimsel efor gerektirmesi
- Daha az servis çalıştırarak atak alanının azaltılmasıyla gelen ekstra güvenlik
- Daha az sistem kaynağı kullanması
- Kısa kurulum süresi
- Server Core ile kullanılabilecek olan sunucu rolleri şunlardır.
- Active Directory Domain Services (AD DS)
- Active Directory Lightweight Directory Services (AD LDS)
- DHCP Server
- DNS Server
- File Services
- Print Server
- Streaming Media Services
- IIS 7.0

Bunların dışında şu an için .Net Framework desteği Server Core içinde gelmiyor ve yüklenemiyor. Burada birkaç detay dikkatimizi çekiyor. .Net Framework olmadığı için IIS kursak da Asp.NET sitelerini yayınlayamıyoruz. Bir handikap da PowerShell tarafında. Biliyoruz ki Microsoft yeni komut konsolu olarak PowerShell’i geliştirdi ve günden güne kullanımı artıyor.

Fakat Server Core da .Net Framework desteği olmadığından PowerShell kullanamıyoruz. Sadece komut satırından yönetilecek bir işletim sistemi için, devrim niteliğindeki komut satırı aracı olan PowerShell’den mahrum bırakılmadı bence doğru olmamış. Umarım ürün release olmadan bu konuya bir çözüm getirilecektir. Sitede PowerShell ile ilgili bir makalemi bulabilirsiniz.

Server Core Kurulumu

Server Core kurulumunu yine Windows Server 2008 kurulum dvd’sinden gerçekleştiriyoruz. Vista’da olduğu gibi Windows Server 2008’de de tüm sürümler tek dvd’de geliyor. Kurulum sırasında satın aldığımız sürümü seçmemiz gerekiyor. Bu yüzden Kurulum sürecinde sorun yaşanacağını düşünmediğimden bu kısmı geçiyorum.

Kurulum sonrası tüm işlemlerimizi gerçekleştireceğimiz yönetim konsoluna ulaşabiliriz.

Kısa kurulum sürecinin ardından bizi karşılayan ekranın çok gösterişli olduğu söylenemez.

Windows yöneticileri için ilk başta alışmak zor olabilir ama kısa bir ısınma turu ardından temel komutları ve işlevleri öğrenerek her türlü yönetimsel görevi yerine getirebiliriz.

Server Core’u yönetmek için birkaç seçeneğimiz var.

- Konsoldan logon olarak makine başından yönetebileceğimiz gibi, uzak bir makinadan Remote Desktop bağlantısı da yapabiliriz. Fakat bu Remote Desktop bağlantısının da yine sadece komut konsoluna olacağını unutmayalım.

- Server Core’da karşımıza başlat butonu asla gelmeyecek . Ayrıca yine uzak bir bilgisayardan mmc konsoluyla da bağlanıp yönetmek mümkün.

Şimdi asıl Server Core’u yönetme ve rollerin kurulumu ile ilgili işlemleri gerçekleştirip bu yeni sistemi efektif bir şekilde kullanabilmek için nasıl konfigüre etmeliyiz buna bakalım.

İlk olarak temel işlemlerle başlıyoruz.

Server Core’u açtıktan sonra karşımıza gelen komut konsolundan istediğimiz işlemleri yapabiliriz.

Server Core ile beraber Windows Explorer yazılımı gelmiyor fakat bu hiçbir grafiksel arayüzü olan programın çalışmayacağı anlamına gelmiyor.

Örneğin notepad, regedit gibi araçları kullanabiliriz. Bu programları çalıştırmak için komut konsolundan çağırmamız yeterli.

Ayrıca Task Manager’a da erişim mümkün.

Komut konsoluna “taskmgr” yazarak yada ctrl+shift+esc tuş kombinasyonunu kullanarak Task Manager’a ulaşabiliriz.

Buradan “Run” aracına da yine erişmemiz mümkün. Task Manager’ın çalışan hali resimde görülmekte.

Task Manager sayesinde çalışan uygulamalar ve process’ler hakkında bilgi alabilir ve bunları sonlandırabiliriz.

Ayrıca bağlı userları görebilir, sistem performansını anlık denetleyebiliriz.

Önceki Windows sürümlerinin aksine bu sürümün task manager’ında ekstradan çalışan servislerle ilgili de bilgi alabiliyoruz. Komut konsolunu yanlışlıkla kapatırsak yapmamız gereken şey ctrl+shift+esc tuşlarına basarak

Task Manager’ı açmak ve File menüsünden Run’a gelip cmd yazmak. Bu sayede yeni bir komut konsolu açılacaktır.

Problemlerimizden bir tanesi driver yüklemek. Eğer Server Core’un driverını yükleyemediği bir aygıtımız varsa bunun yüklemek için yine basit bir komut satırı aracımız var.

Makinamıza yüklenmiş driverların bir listesini almak için; “sc query type= driver”
Komutunu kullanıyoruz. Bu komutun çıktısı çok uzun olacağından tamamını ekranda görmemiz mümkün değil. Önce çıktıyı bir dosyaya kaydedip daha sonra dosyanın içeriğini notepad ile inceleyebiliriz.

Yada sadece aygıtların ismini görüntülemek için komutu şu şekilde uygulayabiliriz.

Eğer driverı yüklenmemiş bir aygıtımız varsa Microsoft PNP Utility aracını kullanarak driverı yükleyebiliriz.

Gerekli komut şu; “Pnputil -i -a driverdosyasi.inf”

Bu işlemden sonra eğer gerekirse restart etmemiz için bizi uyaracak.

Bilgisayarımızı yeniden başlattıktan sonra driverın yüklenmiş olduğunu yine üstteki komutları kullanarak denetleyebiliriz.

Kurum sırasında bize bilgisayar adı ve administrator parolası sorulmamıştı.

Şimdi bunları ayarlayalım. Makinamızda var olan kullanıcıları görmek için; “net users”
Komutunu kullanabiliriz. Resimde komutun çıktısı görülmektedir.

Default olarak administrator kullanıcısının şifresi yoktur.

Güvenliğimiz için sistemi kullanmaya başlamadan önce, ilk olarak bir yönetici parolası belirlemeliyiz. Komut satırından herhangi bir kullanıcıya şifre belirlemek için; “net user administrator *” Komutunu çalıştırıyoruz.

Bizde vermek istediğimiz şifreyi girmemizi ve onaylamamızı isteyecektir.

Resimde bu komutun çıktısı görülmektedir.

Ayrıca bir kullanıcıyla ilgili (örn. Administrator) detaylı bilgi almak için “net user administrator” komutunu verebilirsiniz.

Eğer istersek yeni bir kullanıcı oluşturup bunu local administrators grubuna ekleyebiliriz.

Bunun için aşağıdaki komutları çalıştırmamız gerek. “net user /add Cem *”
Bu komut bilgisayarımıza Cem isimli bir kullanıcı ekleyecek.

Sonunda ki * koymazsak kullanıcımıza bir şifre atanmaz. Ben * koyarak bir şifre belirlemeyi seçtim.

Ayrıca bu kullanıcıyı local administrators grubuna dahil etmek için şu komutu çalıştırmalıyız.
“net localgroup administrators /add Cem”

Sonucu görmek için ise; “net localgroup administrators” Komutunu çalıştıralım.

Makine adı olarak rasgele bir isim belirlenmişti.

Şimdi onu istediğimiz bir isimle değiştirelim.

Makina adını görüntülemek için aşağıdaki komutu kullanalım. “hostname”

Daha sonra makine adımızı istediğimiz bir isimler değiştirelim.

Makinanın adını değiştirmek için “netdom” komutunu kullanıyorum.

Komutun yazımı şu şekilde.
“netdom renamecomputer makinanın_eski_adı /newname:makinanın_yeni_adı”

Eğer makinamız domaine üye olsaydı, makine adını değiştirmek için;

“netdom renamecomputer makinanın_eski_adı /newname:makinanın_yeni_adı /userd:DOMAINADI \USERNAME /password:*”

şeklinde bir komut kullanmamız gerekirdi.

Bu işlemi yaptıktan sonra bilgisayarı yeniden başlatmamız gerekli.

Bilgisayarı yeniden başlatmak için veya kapatmak için “shutdown” komutunu kullanıyoruz.

Bu komutun çok kullanılan parametrelerini alttaki listede bulabilirsiniz.

- Shutdown /s è Makinayı Kapatır (30 saniye sonra)

- Shutdown /r è Makinayı Yeniden Başlatır (30 saniye sonra)

- Shutdown /s /t 10 è /t Parametresiyle makinayı kapatmak istediğimiz süreyi belirleyebiliriz. /r ve /s ile kullanılabilir.

Default olarak komut verildikten 30sn sonra kapanır.

Ben burada değiştirerek 10sn verdim.

- Shutdown /i è Shutdown komutunun grafik arabirimini açar.

- Shutdown /m è /m Parametresiyle uzaktaki bir bilgisayarı kapatabiliriz.

- Shutdown /a è Gerçekleşmemiş shutdown veya restart komutunu iptal eder. /t ile belirtilen zaman ( Default 30 sn) geçmeden işlemi iptal edebilmemizi sağlar.

- Shutdown /l è Kullanıcının oturumu kapatır.

Şimdi bilgisayar adını da değiştirdiğimize göre artık sıra makinamıza ip vermeye geldi.

Komut satırından makinamızın ip konfigürasyonunu değiştirmek için “netsh” komutunu kullanabiliriz.

Netsh komutu gerçekten büyük ve faydalı bir araçtır. Server Core ‘da çok işimize yarayacak bir komut.

Makinaya ip atamadan önce kurulu network bağlantılarını görmek için komutu aşağıdaki şekilde kullanıyoruz.
“netsh interface ipv4 show interfaces”

Burada karşımıza gelen listeden işlem yapmak istediğimiz bağlantının “Idx” numarasını diğer komutlarımızda kullanacağız.

İp atamak için kullacağımız komut ise şu şekilde.
“netsh interface ipv4 set address name="" source=static address= mask= gateway=”

Burada olan yere işlem yapmak istediğimiz bağlantının “Idx” numarasını giriyoruz.

Komutların çıktıları şu şekilde;

Sıra geldi dns server ip’si eklemeye.

Yine netsh komutunu kullanacağız. Komutun kullanımı aşağıdaki gibi.

“netsh interface ipv4 add dnsserver name="" address= index=1”

Yine bölümüne bağlantının id numarasını yazıyoruz. bölümüne de dns server’ın ip adresini yazıyoruz.

Eğer aynı yöntemle birden fazla dns server eklersek, index değeriyle bunların sırasını belirleyebiliriz.

İhtiyaca göre wins server adresi de girebiliriz. Yöntem ve komut neredeyse aynı.
“netsh interface ipv4 add winsserver name="" address= index=1”


Bu komutlarla dns ve wins serverları da ekledik.

Eğer bunlardan herhangi birini silmek istersek şu komutları vermeliyiz.

“netsh interface ipv4 delete dnsserver name="" address= index=1”
“netsh interface ipv4 delete winsserver name="" address= index=1”

İp verme ile ilgili son örneğimizde dhcp hakkında. İstersek makinamızı bir dhcp serverdan otomatik olarak ip alacak şekilde yapılandırabiliriz. Örnek komut şu şekilde olmalı.

“netsh interface ipv4 set address name="" source=dhcp”


Yine bölümüne bağlantının id numarasını yazıyoruz. Artık bilgisayarımız dhcp sunucudan ip alacak.


Artık dns ve wins server ip’lerini de girdiğimize göre makinamızı domain’e katabiliriz.


Domain’e katmak için kullanacağımız komut ise “netdom”. Altta nasıl kullanmanız gerektiğini görebilirsiniz.


“netdom join MAKINAADI /domain:domainadi.com /userD:DOMAINADI\USERNAME /passwordD:*”

Bu aşamada bize belirttiğimiz kullanıcının şifresini soruyor.

Bu kullanıcının domain’e makine katmaya yetkisi olmalıdır.

Burada /userD ve /passwordD komutlarının sonundaki D harflerine dikkat etmek gerek.

Sıra geldi activasyon işlemlerini yapmaya.

Diğer windows ürünlerinde olduğu gibi Server Core’u da aktive etmemiz gerek.

Bunun için kullanmamız gereken komut; “slmgr.vbs –ato”

Bu komut Windows Software Licensing Management Tool’u aktivasyon için çalıştıracak.

Bu tool ile birlikte kullanacağınız diğer parametreleri resimden görebilirsiniz.

Şimdi uzaktan bağlantı ayarlarını yapalım.

Grafik ekranımız olmadığı için Remote Desktop bağlantılarını da yine komutla aktif edeceğiz.

Bunun için hazırlanmış bir script mevcut.

Bu scripti kullanarak uzak bağlantıyı çok kolay bir şekilde konfigüre edebiliriz.

Scriptin kullanımı şu şekilde olmalı;
“Cscript %windir%\system32\SCRegEdit.wsf /ar 0” è Windows Server 2008 ve Vista’dan bağlamak için
“Cscript %windir%\system32\SCRegEdit.wsf /cs 0” è Windows 2000, XP veya 2003’den bağlanmak için

Bu komutların ikisini de çalıştırabiliriz. Script bizim için gerekli registry değişikliklerini yapacak.

Şu anda Remote Desktop açık olmasına rağmen bağlantı sağlamamız mümkün değil.

Çünkü default olarak Windows firewall açık geliyor.

Bağlantı kurabilmek için ya firewall’da port açmalı ya da ihtiyaç yoksa firewallı komple kapatmalıyız.

İlerleyen bölümde firewall konfigürasyonundan bahsedeceğiz.

Yine aynı scripti çalıştırarak Windows Update ayarlarını da yapabiliriz.

Windows Update default olarak konfigüre edilmemiştir.

Açmak veya kapatmak için şu komutları kullanmalıyız.
“Cscript %windir%\system32\SCRegEdit.wsf /au 4” è Automaitic Update’i açar.
“Cscript %windir%\system32\SCRegEdit.wsf /au 1” è Automaitic Update’i kapatır.
“Cscript %windir%\system32\SCRegEdit.wsf /au /v” è Automaitic Update’in durumunu gösterir.

Ayrıca çektiğimiz herhangi bir update’i manual yüklemek istersek “wusa” komut satırı aracını kullanabiliriz.

Windows Update Standalone Installer programının kullanım şekli aşağıdaki gibidir.
“wusa updatedosyasi.msu /quiet”

Komutun tüm parametrelerini şekilde görebiliriz.

“SCRegEdit.wsf” scripti ile kullanılabilecek komutların tam listesine /? Parametresiyle ulaşabilriz.

Şimdi sıra geldi firewall konfigürasyonuna. Bu iş için yine netsh aracını kullanıyoruz.

Firewall default olarak açık geliyor. Bu durumu değiştirmek için şu komutları kullanabiliriz.
“netsh firewall set opmode enable” è Firewall’u aktif hale getirir.
“netsh firewall set opmode disable” è Firewall’u kapatır.

Firewall’dan port açmak için ise şöyle bir komut çalıştırılmalıdır.

Örnek olarak Remote Desktop portunu açıyorum.
“netsh advfirewall firewall add rule name=”Remote Desktop” dir=in Protocol=TCP localport=3389 action=allow”

Firewall konfigürasyonunu da yaptıktan sonra sıra bölgesel ayarlara ve zaman ayarlarına geldi.

Standart olarak komut satırından “time” ve “date” komutlarını kullanarak saat ve tarih bilgisini görüntüleyebilir, ihtiyaca göre de değiştirebiliriz.

Fakat komut satırından bölgesel ayarlar, klavye ayarları ve zaman dilimi ayarlarını yapmamız mümkün değil.

Bunun için Server Core ile birlikte yüklü gelen iki adet control panel öğesini kullanacağız.

Bunları açmak için gerekli komutlar şunlardır.
“control intl.cpl” è Regional and Language Options’ı açar.
“control timedate.cpl è Date and Time’ı açar.

Son olarak sistem özelliklerine söyle bir göz atalım.

Bunun için komut satırına girmemiz gereken komut;
“systeminfo”

Bu komut sayesinde sistemimiz hakkında birçok bilgi edinebiliriz. Komutun çıktısı şu şekilde.

Exchange Server 2007

Beraberinde getirdiği yenilikler ile heyecan verici yeni bir dönem açacağa benzeyen Exchange 2007 ‘nin kurulumunun aşamalarına ve yeni gelen bazı özelliklerini şöyle bir inceleyelim.

Henüz Beta 2 versiyonuna sahip olduğumuz (code name Exchange12) Exchange 2007 mail hizmetini daha güvenli ve daha esnek bir yapıya kavuşturacağa benziyor. Saha uygulamalarında şirket mail sunucu yapısı artık rol bazlı tasarlanabilecek böylelikle çok katmanlı güvenli mail yapılarına sahip olabileceğiz.

Exchange 2007 64 bit yapısı ile hayatımıza girdiğinde donanımsal olarak da yapımızı yenilememizi gerektirecek .

Öncelik ile Exchange 2007 kurulum öncesi ihtiyaçlara göz atalım.

Donanımsal İhtiyaçları;

İşlemciler

Intel Pentium veya uyumlu 800 megahertz (MHz) veya daha hızlı 32-bit işlemci (Beta için)
x64 mimarisi tabanlı Intel Xeon veya Intel Pentium ailesi işlemciler (Intel® Extended Memory 64 Technology (Intel® EM64T) destekleyen)
x64 mimarisi tabanlı AMD Opteron veya AMD Athlon 64-bit işlemci

UYARI!: Intel Itanium IA64 işlemciler desteklenmiyor.

Memory

Minimum: 1 gigabyte (GB) RAM (buna ilave olarak her mailbox için 7 MB )
Önerilen : 2 gigabyte (GB) RAM (buna ilave olarak her mailbox için 10 MB )
Paging File boyutu sunucunun RAM ‘inden fazla olması önerilir.

Harddisk

En az 1.2 GB boş alana ihtiyacınız olacak yükleme yapılacak disk üzerinde.Buna artı olarak da 500 MB alana ihtiyacınız olacak yükleyeceğiniz her Unified Messaging (UM) dil paketi için. 200 MB sistem sürücüsünde boş alanınız olmalı.

Yazılımsal İhtiyaçlar;

İşletim Sistemi

32-bit Beta 2 Exchange Server 2007 için Microsoft Windows Server 2003 Service Pack (SP) 1 veya Windows Server 2003 R2. Enterprise Edition cluster continuous replication ve single copy cluster özelliği kullanılacak ise gerekli.

UYARI!: 32 bit desteği sadece Exchange 2007 beta sürümleri için vardır.

64-bit Beta 2 Exchange Server 2007 için Windows Server 2003 x64 veya Windows Server 2003 R2 x64. Enterprise Edition cluster continuous replication ve single copy cluster özelliği kullanılacak ise gerekli.

Microsoft .NET Framework 2.0: http://msdn.microsoft.com/netframework/downloads/updates/default.aspx

NET Frameworkunuzu update edebilirsiniz.

Windows PowerShell

Bu eklentinin yüklenmesi mecburi öngörülmüştür.

Kurulum sihirbazı size yükleme için gerekli linki sağlayacak

Internet Information Service (IIS) World Wide Web Publishing servisi (W3SVC) Client Access Server (CAS) ve Mailbox server rolleri için gerekli. İlave olarak Client Access server rolü ASP.NET yüklemenizi de gerektirecektir.

Microsoft Management Console(MMC) 3.0 MMC3.0 yüklenmesi mecburidir.

Aşağıdaki linkten edinebilirsiniz.

http://www.microsoft.com/downloads/details.aspx?FamilyId=4C84F80B-908D-4B5D-8AA8-27B962566D9F

Active Directory Domain Functional Level Windows 2000 Native veya daha üstüne yükseltilmelidir. Bu operasyon yeni Exchange Servers universal grouplarının kurulum aşamasında oluşturulabilmesi için mecburidir.

Exchange Server 5.5 sunucular forest içinde bulunmamalıdır.
Exchange 2003 sunucular Exchange Server 2003 Service Pack 2 yüklü olmalılar
Exchange 2000 sunucular Exchange 2000 Server Service Pack 3 yüklü olmalılar.

Exchange 2007 ve Yeni Gelenler

Elbette köklü değişiklikleri gelen Exchange 2007’in bildiğimiz bir çok özelliğin de geliştirilmiş olduğunu söyleyebiliriz. Dikkat çekici bellibaşlı özellikleri sıralayalım .Exchange Management Console Exchange Management Console sayesinde bütün Exchange organizasyonunu bir arayüz içerisinden öncekilere nazaran daha basit bir şekilde yönetmemiz mümkün .MMC 3.0 tabanlı geliştirildiği için Exchange 2007 yüklemenin şartlarından biri de MM3.0 güncellemesidir .

Bu güncellemeyi aşağıdaki linkten alabilirsiniz.

http://www.microsoft.com/downloads/details.aspx?FamilyId=4C84F80B-908D-4B5D-8AA8-27B962566D9F

Exchange Management Shell Exchange Management Shell sayesinde artık biz yöneticiler Exchange ile ilgili işlerimizi komut satırından veya scriptler ile yapabileceğiz. Hatta öyleki konsoldan yaptığımız işlemlerin komut satırından yapılışınıda görüp daha sonra bunları batch file haline getirip uygulama kolaylığına kavuşacağız. Unified Messaging Exchange 2007 Unified Messaging (UM) desteği ile çok farklı iletişim yöntemlerini kullanıcının mailbox’ında birleştirerek çeşitli platformlardan postakutularına ulaşıp kullanabilmelerini sağlayabilecek. Bu sayede Exchange 2007 içerisinde UM-enabled kullanıcılar sesli-posta, e-mail fax mesajlarına mobil cihazlar analog veya dijital telefonlar ile ulaşabilecekler. “Text to Speech özelliği” ile email lerini dinleyebilecek Calendar’larına ulaşabilecekler.

Performans Gelişimi Exchange 2007 64-bit mimarisi üzerine tasarlanıp geliştirildiği için performans ve kapasitesi de buna bağlı olarak artmış oldu.

Buna ilave olarak da

Exchange Server 2007 daha fazla sayıda storage grup ve database desteğine sahip oldu.

Availability Exchange 2007 ile gelen kurulum rolleri sayesinde artık çok sunuculu ortamlarda Hub Transport server rolu yüklü bir site da mail akışı load balancing sayesinde daha efektif hale getirilebilecek ve hatta Hub Transport sunucunuzun devredışı kalması durumunda bir diğeri otomatik olarak görevlenecek.

High availability Exchange Server 2007 Continuous Replication özelliği ile Mailbox sunucularının High Availbility ‘sini sağlamaktadır. Bu özelliğin kullanımının üç çeşidi vardır bunlar; Local Continuous Replication (LCR), Cluster Continuous Replication (CCR), ve Single Copy Clusters (SCC). Continuous replication özelliği log shipping mantığı ile kullanımdaki storage group’un bir kopyasının alınmasıdır. LCR tipinde kopya aynı sunucuda konuşlanırken CCR ortamında, cluster içinde passive node üzerinde tutulur.(Exchange 2007 ‘nin Active-Active cluster desteği yok) WebReady Document Viewing OWA kullanırken mailiniz ile gelmiş ekli dosyaların HTML olarak görüntülenmesi için dokumanın oluşturulduğu programın makinanızda yüklü olmasına gerek olmaması özelliği (Word, Microsoft Excel, Microsoft PowerPoint ve PDF dosyaları için). Örneğin attachment olarak yollanmış bir word dökümanın açılması için client makinada Ofisin kurulu olması gerekmeyecek. Auto-discover Outlook 2007 clientlarınızın exchange ayarlarını yaparken sunucu ismini bilmelerine gerek kalmadan sunucuya ulaşmaları mümkün hale geldi. IIS eklenmiş yeni bir virtual directory ve DNS’ eklenecek bir A record sayesinde sayesinde kullanıcılarımız domaine üye olsun veya olmasın email adres ve parolalarını kullanarak Exchange sunucu ayarlarını yapabiliceklerIntra-Org Encryption Exchange 2007 organizasyon içerisindeki mail akışını default olarak encrypt eder. SSL ve TLS gibi güvenlik önlemleri için gerekli sertifikalar kurulum sırasında oluşturulur . Bu sayede güvenli iletişim için gerekli altyapı sağlanmış olur.

Exchange 2007 Rolleri

Client Access

İstemcilerinizin POP3 ,IMAP ActiveSync OWA kullanmaları için gerekli roldür.Bir başka deyiş ile client makinalar Outlook harici bir yöntem ile mailbox larına ulaşacaklar ise yüklenmesi mecbur bir roldür. Autodiscover özelliği için de gerekli roldür.

Edge Transport

Daha evvelki dökümanlarda gateway server olarak da adlandırılan bu rolün amacı perimeter networke kurularak olası atak yapılabilecek alanın daraltılmasıdır. Bu rol bize Smart Host ve SMTP Relay olanağı sağlayacaktır. Üzerine kurulu ADAM sayesinde bütün recipient ve ayar bilgisi kendi üzerinde depolanır. EdgeSync sayesinde tek yönlü bir replikasyon yapabilir. Virüs ve AntiSpam kontrolü de bu rolün görevidir.

Hub Transport

Edge Transport rolüne sahip serverdan email leri alıp şirket içi ulaştırılmasından sorumlu bir başka deyişle de mail akışından sorumlu rolümüzdür. Bazı durumlarda Edge Transport rolü kurulumu yapılmadı ise direk olarak internet ile ilişkili olacak roldür. Hub Transport rolü de istenirse antivrüs ve spam kontrolü yapabilir. Transport ,Journaling kurallarının uygulanmasından da sorumludur. Ayar bilgileri Active Directory içerisinde tutulur.

Mailbox

Kullanıcı mailbox’larını Public Folder’ları tutan roldür.

Unified Messaging

Exchange 2007 ile gelen en dikkat çekici yeniliklerden biri olan Unified Messaging sayesinde SesliPosta Fax gibi iletişim yöntemleri ve bu bilgilere Speech to Text gibi teknolojiler ile herhangibir yerden herhangibir telefon ile ulaşabileceğiz. Bu özelliklerin kullanılabilmesi için gerekli rolümüz de Unified Messaging rolüdür.

Exchange Server 2007 Kurulumu

Kurulumdan önce domain seviyesini Native Mode veya Windows 2003 seviyesine yükseltelim . Önceki sürümlerde IIS bileşenlerinden SMTP NNTP servislerini kurmamız kurulumun şartlarından idi. Artık Exchange Server 2007 kendisi bunu builtin olarak sağlıyor.

UYARI! : Bu işlem geri dönüşü olmayan bir işlemdir.

Kurulum son derece basitleştirilmiş bir arayüz ile başlıyor.

Arayüzde belirtilen bileşenler bilgisayarınızda yüklü değil ise size linki sağlanarak kolayca indirmeniz mümkün hale getiriliyor.

Bu pencerede oluşan hataların Microsoft’a yollanmasını sağlayabliiyoruz. Böylelik ile oluşan hatanın bilinen biz çözümü olması durumunda size yollanan feedback içinde sağlanan link sayesinde problemi çözmeniz mümkün olacak. Bu özelliği kullanabilmek için burada Yes seçeneği işaretlenmeli.

Typical seçeneği bize tipik bir şirket profili için gerekli rollerin yüklenmesini sağlar. Eğer Çok sunuculu bir kurulum düşünülüyor ise Custom seçeneği ile seçimimizi özelleştirebiliriz. Bu sayede farklı sunuculara farklı rollerde kurulumlar yapmak da mümkün

Şirket bünyesindeki kullanıcılarımızın Outlook 2007 öncesi sürümlere sahip olup olmadıklarını belirtmeliyiz. Belirtmeyip No dersek Public Folder’lar oluşturulmayacaktır.

Son kontrol işlemleri bittikten sonra kurulum işlemleri başlayacaktır. Kurulum sihirbazı Exchange Best Practices Analyzer (ExBPA) ile tümleşik çalışması sayesinde olası uygulama problemlerini göstererek kurulumun daha efektif yapılabilmesini sağlıyor. Kurulumdan bittikten sonra Exchange yönetim konsolunu açtığımızda gayet sade olarak dizayn edilmiş MM3.0 tabanlı bir arayüz bizi karşılıyor. Exchange 2007 konsolunun diğer sürümlerden en ayırıcı farkı derinlik olarak artık yapmak istediğimiz işlem için alt alta açılan düğümlerin olmaması. Ve elbet herkesin dikkatini çekecek olan bir başka özellik de konsoldan mailbox oluşturabilmemiz gibi işlemlerimizi kolaylaştıran eklemeler. Yaptığımız işlemden sonra komut bazlı yapılışının gösterilmesi istenildiğinde sistem yöneticilerini bunları kullanarak batch dosyalar oluşturabilmesini sağlayacak.

Exchange 2007 Beta 2 Download

http://www.microsoft.com/technet/prodtechnol/exchange/2007/downloads/beta.mspx?wt.mc_ID=PreviewHero

Group Policy Management Console

Sistem yöneticilerinin Group Policy yönetiminde işlerini bir hayli kolaylaştıracak bir eklenti olan Group Policy Management Consol u ele alacağız.

Bu eklentiden önce sistemimizdeki Group Policy Object’lerini yönetmek için Active Directory Users and Computers ve Active Directory Sites and Services gibi asıl amacı Group Policy Object’lerinin yönetimi olmayan birden fazla eklentiyi kullanıyorduk.

Bu eklenti sayesinde sistem yöneticileri tüm Group Policy yönetimini tek bir arayüz kullanarak gerçekleştirebilecekler ve bunun yanında, mevcut Group Policy Object’lerinin yedeğinin alınması, yedeklerden geri yüklenmesi vb. gibi önceden üçüncü parti yazılımlar kullanarak gerçekleştirilebilen yeni özellikleri de kullanabilecekler.

Group Policy Management Console ile gelen yeni özelliklere değinmeden önce Group Policy Management Console (GPMC) ile neler yapılabildiğine göz atalım.

Öncelikle Group Policy Management Console’u http://www.microsoft.com/windowsserver2003/gpmc/default.mspx adresinden indirmeniz gerekiyor.

Bunun yanında Group Policy Management Console’u sadece Windows XP ve Windows 2003 yüklü işletim sistemlerine kurabilirsiniz. Eğer kurulumu Windows XP yüklü bir bilgisayara yapacaksanız bu bilgisayarda Windows XP Service Pack 1, Microsoft .NET Framework ve KB 326469’daki post-SP1’in yüklü olması gerekiyor.

Group Policy Management Console’u kullanarak Windows 2003 ve Windows 2000 (Service Pack 2 ve daha yukarı bir service pack yüklü olmalı) Active directory domainlerindeki Group Policy Onject’lerini yönetebilirsiniz.

Group Policy Management Console’u açtığınızda karşınıza Şekil-1’de gösterildiği gibi bir konsol çıkacaktır.

Şekil-1: Group Policy Management Console

Group Policy Management Console’unun sol tarafındaki kısmında dört temel node bulunur.

Bunlar sırasıyla :

· Domains
· Sites
· Group Policy Modeling
· Group Policy Result

Varsayılan olarak Group Policy Management Console’un çalıştırıldığı bilgisayarın ait olduğu forest ve domain listelenir. Bu listeye başka domainler ve forest’lar da ekleyebilirsiniz. Yalnız eğer ekleyeceğiniz forest bir Windows 2000 forest’ı ise bu durumda o forest’a ait Group Policy Modeling node’u görülmeyecektir.

Domain node’unu genişlettiğinizde bu domain’deki Domain Controllers konteynırı ile sizin sonradan oluşturduğunuz Organizational Unit (OU)’lerin yanında, Group Policy Objects ve WMI Filters adlı iki tane daha node bulunur. Active Directory’de oluşturduğunuz GPO’ları Group Policy Objects kısmında görebilirsiniz.

İlgili GPO’ya tıkladığınızda Group Policy Management Console’un sol tarafında bu GPO üzerinde Group Policy Management Console ile yapabileceğiniz ayarlardan bazıları listelenecektir. Sol taraftaki pencerede Scope, Detail, Settings ve Delegation olmak üzere dört tane sekme bulunur. Scope sekmesinde oluşturduğunuz bu GPO’nun etkileyeceği alanı belirleyeceğiniz ayarlar bulunuyor. Bu sekmedeki Links kısmında GPO’nun hangi site, domain yada OU’ya bağlandığını görebiliyorsunuz. Ayrıca bu bağlantıların Enable ve Enforce özelliklerinin ne durumda olduğunu yani aktif mi yoksa pasif mi olduğunu da görebilirsiniz. Security Filtering kısmında bu GPO’nun kimlere uygulanacağını belirleyebiliyorsunuz. Hatırlatma yapmak gerekirse, bir GPO’nun bir kullanıcı yada bilgisayara uygulanabilmesi için o kullanıcının yada bilgisayarın veya bunların dahil oldukları gruplardan herhangi birisinin o GPO üzerinde Read ve Apply Group Policy izinlerinin olması gerekiyor. Sizin Security Filtering kısmına ekleyeceğiniz her kullanıcı, bilgisayar yada gruba bu GPO üzerinde Read ve Apply Group Policy izinleri verilecektir. Son olarak bu sekmenin alt kısmında bulunan WMI filtering kısmını kullanarak önceden oluşturmuş olduğunuz WMI filtrelerinden birisini bu GPO’ya bağlayabiliyorsunuz. WMI filtering konusunda detaylı bilgiyi yazının ilerleyen kısımlarında bulabilirsiniz.

Details tabına tıkladığınızda ise karşınıza Şekil-2’deki gibi bir ekran çıkacaktır. Bu ekranda GPO’nun bulunduğu domain, GPO’nun sahibi (owner), ne zaman oluşturulduğu ve en son ne zaman bu GPO’da bir değişiklik yapıldığı gibi bilgilerin yanında versiyon bilgileri ile bu GPO’nun Unique ID’si bulunur. Son olarak GPO Status kısmında ise bu GPO’nun o anki durumu ile alakalı bilgiler bulunur ve GPO’nun durumunda herhangi bir değişiklik yapılacaksa buradan yapılır. Bir GPO’nu durumu, All settings disabled (GPO’yu pasif yapar), Computer configuration settings disabled (GPO’nun sadece User Configuration kısmı aktif olur ve işlenir), User configuration settings disabled (GPO’nun sadece Computer Configuration kısmı aktif olur ve işlenir) ve Enabled (GPO’yu aktif yapar) olmak üzere dört farklı durumda olabilir. Buradaki Computer configuration settings disabled ve User configuration settings disabled ayarları bazı durumlarda işinize arayabilir. Örneğin oluşturduğunuz GPO’da sadece User Configuration kısmındaki policy’lerde tanımlama yaptıysanız bu GPO’nun Computer Configuration kısmını disabled ederek bu GPO’nun işlenme süresini hızlandırabilirsiniz.

Şekil-2: Oluşturduğunuz bir GPO’nun detaylı bilgilerine Details tabından ulaşabilirsiniz.

Settings tabına tıkladığınızda ise belirli bir süre bekledikten sonra (Bu süre zarfında ekranda Genereting report… yazısı görünür) o GPO’da tanımlı policy’lerin listelendiği ve Şekil-3’de bir benzerini görebileceğiniz bir rapor gösterilir. Bu rapor sayesinde GPO’da tanımladığınız policy’lerin hepsini tek bir pencerede görebilirsiniz. Bu raporda GPO’daki tanımlanmamış policy’ler yani Not Configured olarak kalan policy’ler listelenmez.

Şekil-3: Bir GPO’da tanımlı bulunan policy’lerin listesini almak için Settings tabını kullanabilirsiniz.

Delegation tabına tıkladığınızda ise bu GPO üzerinde kimlerin hangi haklara sahip olduğunu görebileceğiniz Şekil-4’deki gibi bir pencere çıkacaktır. Eğer bu GPO üzerinde birilerine hak vermek istiyorsanız yada verilmiş bir hakkı geri almak istiyorsanız Add yada Remove butonlarını kullanabilirsiniz. Bir GPO üzerinde buradan verebileceğiniz haklar Read, Edit Settings ve Edit Settings, delete, modify security olmak üzere üç tanedeir. Read hakkına sahip kullanıcılar bu GPO’da tanımlı policy’lerin neler olduğuna bakabilir, Edit Settings hakkına sahip kullanıcılar bu GO’daki policy’leri değiştirebilir ve son olarak Edit Settings, delete, modify security hakkına sahip kullanıcılar ise bu GPO’daki policy’leri değiştirebilir, bu GPO’yu silebilir ve bu GPO’nun izinleri üzerinde değişiklik yapabilir.

Şekil-4: GPO üzerinde kimlerin hangi haklara sahip olduğunu görmek istiyorsanız Delegation tabını kullanabilirsiniz.

Oluşturduğunuz GPO’ları GPMC’deki site, domain yada OU’lardan istediğinize bağlayabilirsiniz. Bunun için yapmanız gereken ilgili site, domain yada OU üzerinde mouse ile sağ tıklamak ve Şekil-5’de gösterilen menüden Link an Existing GPO... seçeneğini seçerek karşınıza gelecek Select GPO başlıklı pencereden ilgili GPO’yu seçmek olacaktır. Burada açılan menüdeki Create and Link a GPO Here... seçeneğini seçerseniz seçtiğiniz yere bağlanmak üzere yeni bir GPO oluşturulacak ve buraya bağlanacaktır.

Şekil-5:Oluşturduğuz GPO’ları site, domain yada OU’lara bağlayabilirsiniz.

Group Policy’nin etki alanını (scope) belirleyen bir diğer unsur ise WMI filtreleridir. Örneğin oluşturacağınız WMI filtreleri sayesinde GPO’nun sadece Windows XP yüklü bilgisayarları etkilemesini yada RAM miktarı belirli bir değerin üzerinde olan bilgisayarlara uygulanmasını sağlayabilirsiniz. WMI filtreleri WQL (WMI Query Language) olarak adlandırılan ve SQL dili ile benzerlik gösteren sorgu dili ile yazılırlar. Şekil-6’da görülen örnek WMI sorgusunda bu WMI filtresinin bağlandığı GPO’nun sadece Windows XP yüklü bilgisayarlara uygulanmasını sağladık.

Şekil-6:WMI filtrelerini kullanarak GPO’nun etki alanına çok daha fazla esneklik kazandırabilirsiniz.

Group Policy Modeling kısmında ise çalıştıracağınız Group Policy Wizard sayesinde Active directory objelerinin konteynırlar arasında taşınması durumunda bu objelere etki edecek Group Policy ayarlarının ne olacağını önceden öğrenebilirsiniz. Örneğin Satış adlı OU’daki bir kullanıcıyı Pazarlama adlı OU’ya taşımanız durumunda bu kullanıcıya etki edecek GPO ayarlarının neler olacağını önceden öğrenebilirsiniz.

Group Policy Result kısmında çalıştıracağınız Group Policy Result Wizard sayesinde bir kullanıcıyı yada bilgisayarı etkileyen GPO ayarlarının o an için neler olduğunu görebilirsiniz. Bu sayede eğer kullanıcının yada bilgisayarın bulunduğu site, domain yada OU’ya bağlanan GPO’ların tamamının bu kullanıcı yada bilgisayar üzerindeki en son etkisinin ne olduğunu görebilirsiniz.

Group Policy Management Console ile birlikte gelen en güzel özelliklerden birisi de GPO’ların yedeğini alınması işlemini gerçekleştirebilmemiz. Eğer tek bir GPO’nun yedeğini almak istiyor yada yedekten geri yüklemek istiyorsanız bu GP’nun üzerine mouse ise sağ tıklayıp açılan menüden Back Up yada Restore from Backup seçeneğini seçmeniz gerekiyor. Eğer mevcut GPO’ların tamamını yedek almak istiyorsanız bu durumda Group Policy Objects üzerine mouse ile sağ tıklayıp Back Up All seçeneğini seçmelisiniz. Önceden almış olduğunuz yedekleri görmek ve bu yedekleri yönetmek istiyorsanız açılan menüden Manage Backups seçeneğini seçerek Şekil-7’deki pencereyi açmanız gerekiyor. Bu pencere sayesinde sisteminizde önceden almış olduğunuz GPO yedeklerini görebilir, bu yedekleri geri yükleyebilir, silebilir ve View Settings butonuna basarak bu GPO yedeğindeki ayarları bir rapor halinde görebilirsiniz.

Şekil-7: GPO yedeklerinizi Manage Backups penceresi yardımıyla kolayca yönetebilirsiniz.