Administrative Template Kullanarak

Domain Bazlı Registry Değişiklikleri

Bu ayki püf noktasında sizlere Group Policy ve Active Directory’nin bize sunduğu güzel
özelliklerden birisi olan Administrative Template’lerden bahsedeceğim. Bildiğiniz gibi
Windows 2000 ile birlikte tüm domain’deki kullanıcıların yada yerel bilgisayarımızdaki
kullanıcıların çalışma ortamlarını Group Policy kullanarak kısıtlayabiliyoruz. Bunların
haricinde Group Policy’de kendimizin oluşturacağı Administrative Template dosyaları
sayesinde tüm bu bilgisayarlardaki bir çok registry değişikliğini de merkezi bir yerden
gerçekleştirebiliyoruz.. Bunun nasıl yapıldığını görmek için domain’deki tüm bilgisayarlarda
APIPA’yı devre dışı bırakan registry değişikliğini Group policy kullanarak gerçekleştirelim.
Bu durumda, oluşturduğumuz Administrative Template dosyasının import edildiği GPO’nun
etki ettiği tüm bilgisayarlarda APIPA devre dışı bırakılmış olacak.

APIPA’yı disable etmek için registry’de

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
anahtarının altındaki IPAutoconfigurationEnabled değerini 0 yapmamız gerekiyor. Bu
değişikliği Administrative Template kullanarak nasıl yapacağımıza gelirsek, öncelikle
aşağıdaki gibi bir template dosyası oluşturuyoruz.

CLASS MACHINE

CATEGORY "Apipa Konfigurasyonu "

POLICY "Apipa Kullanilmasin"

KEYNAME "System\CurrentControlSet\Services\Tcpip\Parameters"

VALUENAME "IPAutoconfigurationEnabled"

VALUEON NUMERIC 0

VALUEOFF NUMERIC 1

END POLICY

END CATEGORY
[strings]

Yukarıdaki satırları notepad tarzı herhangi bir text editör yardımıyla yazabilirsiniz.
Ardından oluşturduğumuz bu text dökümanını uzantısı adm olacak şekilde kaydediyoruz.
Bu satırların ne anlama geldiğine bir göz atalım. Class anahtarı Machine yada User olmak
üzere iki değer alır. Eğer registry’de yapacağınız değişiklik HKEY_LOCAL_MACHINE
altındaysa bu durumda Class anahtarı Machine, HKEY_CURRENT_USER altındaysa
User değerini alacaktır. Category anahtarı yardımıyla GPO’daki Administrative Templates
atında yeni bir kategori oluşturmanıza imkan tanınır. Bu kategori altında tanımlayacağınız
policy’leri ise Policy anahtarı yardımıyla yapabilirsiniz. Keyname kısmında ise yapılacak
registry değişikliğinin hangi registry alt anahtarı içinde gerçekleşeceğini belirliyorsunuz.
Valuename kısmında bu alt anahtar içindeki hangi değeri değiştireceğinizi belirliyorsunuz.
Valueon ve Valueoff kısımlarında ise policy’nin enable yada disable olmasına göre
valuename kısmındaki ifadenin hangi değeri alacağını belirliyoruz. Bir adm dosyası
içerisinde kullanılabilecek anahtarların tamamı hakkında geniş bilgiye
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows
2000serv/deploy/confeat/regappgp.asp adresinden ulaşabilirsiniz.

Şimdi sıra uzantısı adm olacak şekilde kaydettiğimiz bu administrative template dosyasını
Group Policy’de kullanmaya geldi. Bu ayarın yapılacağı GPO’yu düzenlemek için
açıyoruz. Ardından Computer Configuration->Administrative Templates’e mouse ile sağ
tıklayıp açılan menüden Add/Remove Templates komutunu seçiyoruz. Karşımıza Şekil-
1’deki pencere çıkıyor.

Şekil-1: Düzenlediğimiz GPO’ya kendi administrative template dosyalarımızdaki ayarları

da dahil edebiliriz.
 Bu penceredeki Add butonuna basarak az önce oluşturduğumuz administrative template
dosyasını ekliyoruz. Ekleme işleminden sonra GPO Şekil-2’deki gibi gözükecektir.
Bundan sonra yapmanız gereken tek şey “Apipa Kullanilmasin” isimli policy üzerine
mouse ile çift tıklamak ve karşımıza çıkacak ekrandan Enable seçeneğini seçmek. Böylece
bu GPO’nun etki ettiği tüm Windows 2000/XP/2003 yüklü bilgisayarlarda APIPA’yı
disable etmiş olduk.

Şekil-2: Kendi oluşturduğumuz administrative template dosyalarını kullanarak merkezi

bir noktadan registry yönetimini gerçekleştirebiliriz.

Eğer yönetim konsolunun sol tarafındaki policy’yi göremiyorsanız bu durumda konsolun

View menüsünden Filtering seçeneğini seçin. Karşınıza Şekil-3’deki Filtering başlıklı pencere
gelecektir. Bu pencerede bulunan ayarlardan “Only show policy settings that can be fully
managed” seçeneği aktifse bu ayarı pasif yapın.
 ,

Şekil-3:GPO yönetim konsolunda sizin eklediğiniz policy’ler gözükmüyorsa

bu durumda “Only show policy settings that can be fully managed” seçeneği pasif
yapın.

Son olarak Windows Server 2003’deki GPO’larda bulunan Disable Dynamic Update
policy’sinin Windows Server 2000’deki GPO’larda bizim oluşturacağımız Administrative
Template dosyası sayesinde nasıl kullanılacağına değinelim. Bu policy, etkikediği tüm
istemcilerdeki dinamik dns kayıt işleminin yasaklanmasını sağlar. Bunun için oluşturacağımız
adm dosyasında aşağıdaki satırlar olmalı.

Class Machine

Category !!AdministrativeServices

Category !!DNSClient

Policy !!DisableDynamicUpdate

Keyname "System\CurrentControlSet\Services\Tcpip\Parameters"

Explain !!DisableDynamicUpdate_Help
Valuename "DisableDynamicUpdate"

End Policy

End Category ;;DNS Client

End Category ;;AdministrativeServices

[strings]

AdministrativeServices="System"

DNSClient="DNS Client"

DisableDynamicUpdate="Disable Dynamic Update"

DisableDynamicUpdate_Help="Stops the client from dynamically registering all

adapters with DNS.\n\nWhen this setting is enabled it changes the
DisableDynamicUpdate value to 1 in
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\n\nWhe
n this setting is disabled, the value is set back to its default of zero.
Note that when the policy is disabled, the registry value may be deleted
from the registry.\n\nSee Q246804 for more details."

Yukarıdaki adm dosyası bizim ilk oluşturduğumuz adm dosyasından biraz farklı. Öncelikle
kategori kısımlarındaki ifadeler Strings kısmına refere edilmiş. Ayrıca Explain kısmı
eklenerek bu kısımla alakalı Strings kısmında belirtilen açıklamaların Şekil-4’de görüldüğü
gibi policy’nin özellikler penceresinde bir açıklama olarak gösterilmesi sağlanmış.
 Şekil-4:Oluşturacağınız adm dosyasında policy ile ilgili Explain tabında gösterilecek
açıklamaları da belirtebiliyorsunuz.