Grup Politikası (GPO) ile Kurumsal Windows Yönetimi

Ofiste 10 bilgisayarda Windows güncellemelerini ayarlamak, 30 bilgisayarda ekran kilidi zorunlu hale getirmek ve 50 bilgisayara aynı arka planı uygulamak elle yapıldığında bitmez. Active Directory ile entegre Grup Politikası (GPO — Group Policy Object), bu ayarları tek noktadan merkezi olarak tanımlamanıza olanak verir. Doğru kurgulandığında hem güvenlik hem tutarlılık hem bakım yükü iyileşir.

GPO Nedir? / Neden Kurumsal Bir Gerekliliktir?

GPO, Active Directory domain'inde kullanıcı ve bilgisayarların davranışını belirleyen politika paketleridir. Ekran kilidi süresi, parola karmaşıklığı, yazıcı eşleme, tarayıcı ayarları, sürücü haritalama, USB kısıtlaması gibi yüzlerce ayar GPO ile merkezi yönetilir. KOBİ'lerde GPO kullanılmadığında görülen sorunlar:

• Her bilgisayara elle kurulum yapılması
• Parola politikasının bilgisayardan bilgisayara farklı olması
• Yazılımın bazılarında güncel olması, bazılarında olmaması
• Ayrılan personelin cihazına "unutulmuş" lokal hesapların kalması
• USB'den zararlı yazılım yayılma riski
• Ofis dışında açılan laptopta şirket ayarlarının kaybolması
• Yeni bilgisayar kurulumu saatler sürmesi

Bu sorunlar Active Directory + GPO altyapısıyla büyük ölçüde otomatikleşir.

Ana Yapı Taşları

1. Active Directory (AD)

GPO'nun çalışması için AD domain yapısı gerekir. Kullanıcılar, bilgisayarlar ve gruplar domain üzerinde kayıtlıdır. Küçük KOBİ'ler için Windows Server Essentials veya Standard yeterlidir.

2. Organizational Unit (OU)

OU'lar AD içindeki mantıksal gruplardır. Departman bazlı OU (Muhasebe, Satış, Üretim) kurulur; politikalar OU'ya uygulanır.

3. GPO Nesnesi

Bir politika nesnesi yüzlerce ayar içerebilir. Genellikle konuya göre ayrı GPO'lar oluşturmak (örn. "Güvenlik GPO", "Yazıcı GPO") yönetimi kolaylaştırır.

4. Bağlantı ve Miras

GPO'lar OU'lara bağlanır; alt OU'lar üst OU'nun politikalarını miras alır. Çakışma durumunda öncelik sırası devreye girer.

5. Güvenlik Filtreleme

GPO belirli kullanıcı veya grup bazında sınırlandırılabilir. "Bu politika yalnızca muhasebe kullanıcılarına uygulanır" gibi kurallar kurulur.

Pratik GPO Örnekleri

Güvenlik Politikaları

• Parola uzunluğu ve karmaşıklığı zorunlu
• Oturum açma denemesi limiti ve hesap kilitleme
• Ekran kilidi 10 dakika sonra
• BitLocker disk şifrelemesi zorunlu
• PowerShell execution policy kısıtı
• USB'den otomatik çalıştırma devre dışı

Kullanıcı Deneyimi

• Şirket arka planı ve ekran koruyucusu
• Masaüstüne standart kısayollar
• Başlat menüsünde şirket araçları
• Varsayılan tarayıcı ve ana sayfa
• Outlook imza şablonu dağıtımı

Ağ ve Yazıcı

• Kullanıcıya göre yazıcı eşleme
• Ortak ağ sürücüleri (Z: sürücüsü muhasebe klasörü)
• Vekil sunucu ayarları
• DNS ve proxy yapılandırması

Yazılım Dağıtımı

• Belirli yazılımın otomatik kurulumu
• Yazılım güncelleme zamanlaması
• Yasaklı yazılımların tespit ve kaldırılması

Kurulum Aşamaları

1. AD domain yapısını plana al. OU hiyerarşisi departmanlara göre kurulur.
2. Temel politikalar yazılır. Parola, ekran kilidi, BitLocker gibi kritik güvenlik ayarları önce devreye alınır.
3. Pilot OU üzerinde test edilir. Bir departmanda test sonrası diğerlerine yayılır.
4. Raporlama etkinleştirilir. gpresult ve GPOEventLog ile uygulanan politikalar takip edilir.
5. Düzenli gözden geçirme yapılır. Altı ayda bir politika envanteri gözden geçirilir.

GPO Yönetiminde Sık Yapılan Hatalar

• Tek bir "her şey" GPO'su yazmak — bakımı imkânsız
• Domain seviyesine kritik kısıtları uygulamak (kaçış yolu bırakmadan)
• Test ortamı olmaması, üretime doğrudan uygulamak
• GPO isimlendirmesinin anlamsız olması
• Güvenlik filtreleme unutulduğu için yanlış gruplara politika uygulanması
• GPO'lar arası çakışma ve öncelik sırasının belgelenmemesi
• Eski ve kullanılmayan GPO'ların temizlenmemesi

Kontrol Tablosu

Kategori	Örnek Politika	Etki
Güvenlik	Parola 12 karakter + karmaşık	Zayıf parola riski düşer
Ekran kilidi	10 dk sonra otomatik kilit	Fiziksel güvenlik
BitLocker	Tüm laptop'larda zorunlu	Cihaz kaybında veri güvenliği
USB	Yazma engelli	Veri sızıntısı azalır
Yazıcı	Departman bazlı eşleme	Standart ve tutarlılık
Masaüstü	Standart arka plan	Marka tutarlılığı
Güncelleme	WSUS bağlantısı	Merkezi yama yönetimi

Gerçek İşletme Örnekleri

Örnek 1: Muhasebe Firmasında Parola Politikası

Bir muhasebe firmasında kullanıcılar parolalarını "12345" gibi zayıf değerlere ayarlayabiliyordu. Domain genelinde GPO ile parola uzunluğu 12 ve karmaşıklık zorunlu hale getirildi. Sonraki parola yenileme döngüsünde tüm kullanıcılar güçlü parolaya geçti.

Örnek 2: Üretim Tesisinde USB Kontrolü

Bir üretim tesisinde USB'den zararlı yazılım yayılma olayı yaşandı. GPO ile üretim departmanında USB yazma engelli, sadece okuma modunda kullanılır hale getirildi. Yeni bir yayılma denemesi başlangıçta bloklandı.

Örnek 3: Danışmanlık Ofisinde Standart Kurulum

Bir danışmanlık ofisinde yeni çalışan bilgisayarlarının kurulumu yarım güne çıkıyordu. GPO ile yazıcı, klasör, Outlook, VPN ayarları otomatikleştirildi. Yeni cihaz domain'e katıldıktan sonra 20 dakika içinde kullanıma hazır oluyor.

Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?

Yamanlar Bilişim, mevcut Windows ortamını değerlendirerek AD ve GPO yapısını planlar. Pilot OU ile başlayıp tüm ofise kademeli yayılan güvenli bir plan oluşturur. Dokümantasyon ve bakım takvimi kurulum sonrası ayrı bir aşamadır.

Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:

• Active Directory tasarımı ve kurulumu
• OU hiyerarşisi ve isimlendirme standardı
• Güvenlik GPO'ları (parola, BitLocker, ekran kilidi)
• Yazıcı ve yazılım dağıtım politikaları
• Pilot test ve kademeli yayılım
• GPO dokümantasyonu
• WSUS veya Intune ile yama entegrasyonu
• Düzenli gözden geçirme ve optimizasyon

SSS

GPO için ayrı bir sunucuya gerek var mı?

Active Directory Domain Controller sunucusu gereklidir. Küçük ofislerde tek sunucu yeterlidir; yedeklilik için ikinci sunucu önerilir.

Intune GPO yerine geçer mi?

Intune bulut tabanlı modern yönetim sunar; GPO yerine alabilir. Hibrit senaryolarda her ikisi birlikte kullanılabilir. Uzaktan çalışan ağırlıklı KOBİ'de Intune avantajlıdır.

Ofis dışı çalışan cihazlara GPO uygulanır mı?

VPN ile bağlandığında veya Intune gibi bulut yönetim ile uzaktan uygulanır. AlwaysOn VPN gibi çözümlerle ofis dışı deneyim iyileştirilir.

GPO bozulursa ne olur?

Yedeği alınmışsa hızla geri yüklenir. AD Recycle Bin aktif olmalıdır. Düzenli GPO yedeği alınmalıdır.

Küçük ofis için GPO abartılı mı?

15-20 kullanıcı üstünde büyük fayda sağlar. Altında manuel yönetim pratik kalabilir ancak güvenlik politikası hâlâ gereklidir.

Teklif Alın

Grup Politikası ile Windows ortamınızı merkezi yönetmek, güvenlik ve verimliliği aynı anda artırır. Yamanlar Bilişim, mevcut yapınızı değerlendirerek AD ve GPO tasarımını işletmenize özel olarak hazırlar. Detaylı değerlendirme için /teklif sayfasından talep iletebilir, mevcut yapı için /iletisim üzerinden ulaşabilirsiniz.