AD üzerinde uygulamak istediğim bir case.

[Adanoria]

Merhaba Arkadaşlar,

Öncelikle sitenizi yeni keşfettiğimi ve oldukça faydalı bulduğumu söylemek istiyorum. Sitenizin gelişimi için naçizane bilgimle sizlere yardımcı olmaya çalışabilirim.

Yaklaşık 2 ay önce yeni bir yerde AR-GE ve Sistem Yöneticisi olarak işe başladım. Burası 150 Client lık, Türkiye nin hemen her yerinde bayileri olan ve bu nedenle 56 tane server barındıran bir kuruluş. Daha önceden yapılandırılmış bir düzenleri var ancak geliştirilmesi, daha ilerde gelecek olan yoğunluğu rahat karşılamasına olanak tanıyacaktır. Mevcut durum şu şekilde:
- Exchange ve DC olarak iki adet farklı domain kurulmuş.
- Her departmanın kendisi ve alt kolları için OU lar oluşturulmuş
- Hemen hemen her OU ya Group Policy ler atanmış.
- Kullanıcılar ilgili OU ların altına taşınmış
- Bilgisayar Accountları predefined (Computers) OU 'sunda durmakta.
- Program yüklenmesi işi manual olarak yapılıyor
- Windows yüklenmesi işi daha önceden oluşturulmuş Norton Ghost lar ile yapılıyor
- MS Patch leri WSUS ile yönetiliyor.

Bu durumda kişiler gayet hızlı bir şekilde policy lerden etkileniyor ve bilgisayarları buna paralel olarak hızlı açılıyor. Şu anki düzende bir problem yok ancak ben biraz problem çıkarmak istiyorum Şöyleki;
- Sıfır alınan bir bilgisayarın network e bağlı olarak açıldığında kendisini network den boot edip serverdaki orjinal windows imajını unattend olarak yükleyerek windows 'u kurmasını,
- Mevcut programların kurulumlarını MSI 'a çevirerek server dan assign yada publish etmeyi,
- Bilgisayar logon ekranına geldiğinde Bilgisayar ve kullanıcı bazlı atanan programları server dan kurmasını,
- Bütün bu işlemler tamamlandığında bilgisayarın minimum emek sarfedilerek hazır hale gelmesini,
- AD üzerindeki OU ları ve özellikle GP 'leri toparlayıp GP leri kendileri için açılan OU 'ya security gruplar açarak uygulamayı ve kullanıcıları bu security gruplara ekleyerek GP lerden etkilenmelerini sağlamayı,
- Aynı şekilde açılan security gruplar ile software publish yada assign işlemini kullanıcıları security gruplara ekleyerek uygulamayı, (Böylece bir kullanıcının "Member Of" sekmesine girdiğimde hangi yetkilerden etkileniyor, hangi programları kullanabiliyor olduğunu görebileceğim)

Domainlere dokunmayı düşünmüyorum. Bu şekilde kurulu düzene müdahale etmeyi açıkcası pek sağlıklı bulmuyorum. Ayrıca WSUS için de SMS server 'ım olmadığı için şimdilik yapabilecek bir şeyim yok malesef.

Başımda bu problemler var. yaklaşık 1 aydır bu konuda araştırmalar ve makaleler okuyorum. Demeneler yapıyorum ancak çok fazla yol kat ettiğimi söyleyemem. Bana bu konuda fikir verebilirseniz çok sevinirim.

Değerli önerileriniz için şimdiden teşekkür ederim

[sonaty]

Mrb,
Bence bütün işlerini çok dolanbaçlı yollarla halletmek yerine SMS satın aldırmayı dene.
Ayrıca Ilk sorunun cevabı: RIS - remote installation service bunun la ilgili bir döküman yok sanırsam bu site de ama istersen yarın emre ile konuşurum ve hemen yarın bir makale yazarım. bir server ında RIS i aktif edersen PXE destekliyen network kartı olan bütün bilgisayarlar açıldığında RIS sayesınde networkden XP kurulumu yapılır.

Programları MSI yaparsan ozaman GP den kurulum yapmayı denersın.
ama SMS olsa kımde ne program kurulu, gıbı software ve hardware envanter toplayabılırsınız.

[Adanoria]

Merhaba,
işlerin dolambaçlı yollara girmesi konusunu SMS in nasıl çözeceğini anlayamadım. Bildiğim kadarıyla SMS ile envanter ve patch yönetimi yapılabiliniyor. Benim istediğim şey AD reorganizasyonu. AD yönetimini SMS yapabiliyormu ?

Şirketin SMS alma planını en azından bu sene için yapmadığını biliyorum. Bu nedenle bu yönetimi SMS olmadan yapmak durumundayım.

RIS kurulumunu ve yönetimini aktif hale getirdim. Döküman önerin için çok teşekkür ederim ancak şimdilik standart windows kurulumunu network üzerinden yapabiliyorum. Ancak unattend konusunda bazı eksiklerim var. onuda şu impementasyon bitince ele alacağım.

İlk yazdığım sorumu daha baside indirgersek, ben OU lar içine oluşturduğum security gruplarına policy uygulamak istiyorum. Ancak, OU lar içinde User yada Computer accountları değil, onların member 'ı oldukları security grupları olacak. Mümkün müdür ?

Teşekkürler

[emreaydin]

Merhaba,

Firmalardaki satın alma prosedurleri ve gecen zamanlari iyi bilirim o yuzden sizi anliyorum.

RIS kurulumundan daha çok sonraki adimda yaratilacak unattend dosyasi ile basa dert olan bir hizmet. O konuyla ilgili unattend dosyanin neresine ne eklemek ve ne almak istediginiz onemli, yazarsaniz yardimci olmaya calisiriz.

Bunun disinda şu anda test etmedim ama OU icindeki security gruplarina OU ya baglayacaginiz policy etkimez (daha öncesinde karsilastigim durumlardan hatirladigim)

MSI a cevirmek icin 3 party bir urun kullanmistim daha once sornasinda buraya ismini yazacagim.

Kullanicilarin yada makinelern hangi policy den neyi cektiklerini gormek icin ise GPMC da en altta gelen secenegi kullanabilirsiniz.

Emre.

[Adanoria]

Merhaba,
RIS kurulumunu ve Unattend dosyasını bir şekilde halledebilirim ancak benim daha önce çalıştığım yerde kullandığım ama bu iş yerimde uygulayamadığım konu Security Group lar ile ilgili.

Nasıl yapabildiklerini bilmiyorum (yetkim olmadığı için öğrenememiştimde) ama bir kişiye bir klasörde yetki vermek için yada bir program yüklemek için "Software Subscription" OU sunun içindeki örn "Acrobat Reader" grubuna ekleyerek programı publish yada computer based ise assign ediyorduk. Bu sistemi burada da oturtmak istiyorum ama nasıl yapıldığını bir türlü bulamadım.

Bu sistemi kurabilirsem elimdeki programların MSI versiyonu yoksa 3rd party program ile (Macrovision Installshield) MSI 'a çevirip yukarıda bahsettiğim sistemi adapte etmeyi ve böylece bir kullanıcının "Member Of" sekmesine baktığımda, nerelere girebiliyor, hangi policylerden etkileniyor, hangi programları kullanabiliyor, görebilmiş olacağım.

Değerli önerileriniz için teşekkür ederim

[emreaydin]

tamam şimdi oldu işte. Tam olarak yapilmak istenileni bende bir test ortaminda bakacagim sonrasinda burdan paylasiriz tekrar.

Kolay gelsin,

Emre.

[Adanoria]

Çok saol

[Düzgün]

[quote author=Serkans link=topic=344.msg1116#msg1116 date=1176317936]

İlk yazdığım sorumu daha baside indirgersek, ben OU lar içine oluşturduğum security gruplarına policy uygulamak istiyorum. Ancak, OU lar içinde User yada Computer accountları değil, onların member 'ı oldukları security grupları olacak. Mümkün müdür ?

Teşekkürler
[/quote]
Merhabalar,

Herhangi bir filtering yapmadan yukaridaki islemi yapamazsin.. Ancak sunu yapabilirsin, politikayi domain seviyesinde uygulayip (veya user veya computer objelerini iceren ou'ya) security filtering ile etkilenecek security grouplari belirleyebilirsin. Buyuk bir ihtimalle eski sirketinizde bu sekilde uygulaniyordu. bunu yapmak icin, olusturdugun politikanin security sekmesinde, authentication users icin Apply group policy hakkini kaldir ve bu hakki uygulamak istedigin grup icin ver. Boylece olusturdugu politikadan sadece gruba uye olan kullanıcilar etkilenecektir.

Boran Düzgün

[Adanoria]

Merhabalar, dediğiniz gibi yapınca problem çözüldü. Yalnız benim oluşturduğum security gruplar Domain Local idi, onları Global 'a çektiğimde düzgün olarak çalışmaya başladı. İlginize ve desteğinize çok teşekkür ederim.

[Düzgün]

Rica ederim, problemin cozuldugune sevindim..

İyi calismalar diliyorum..