GPO Öğe Düzeyi Hedefleme (Item-Level Targeting)

May 1, 2025
Active Directory /Azure / Sistem
Item-Level Targeting

Group Policy (GPO) yönetimi sırasında, politikaların belirli donanım veya yazılım özelliklerine sahip cihazlara uygulanmasını sağlamak için Öğe Düzeyi Hedefleme (Item-Level Targeting) kullanılır. Ancak bu özellik, “Bilgisayar Adı Hedefleme” (Computer Name Targeting) gibi statik tanımlamaları doğrudan desteklemez. Bu yazıda, neden bazı hedefleme seçenekleri (örneğin, pil varlığı, DVD sürücüsü) mevcutken, “Bilgisayar Adı” gibi bir seçeneğin yer almadığını ve bu ihtiyacın nasıl karşılanabileceğini açıklayacağım.

Öğe Düzeyi Hedefleme Nedir?

Öğe Düzeyi Hedefleme, GPO içeriğindeki belirli ayarların (örneğin, dosya paylaşımı, yazılım dağıtımı) dinamik olarak hedeflenmesini sağlar. Bu hedefleme, cihazın donanım/sofware özelliklerine göre yapılır. Örnekler:

  • Pil Varlığı (Battery Present): Laptop’lara özel politikalar.
  • DVD Varlığı (DVD Present): DVD sürücüsü olan cihazlara özel ayarlar.
  • CPU Hızı (CPU Speed): Belirli işlemci hızına sahip makineler için yapılandırmalar.

Bu hedefleme, koşullu mantık (WMI sorguları veya registry anahtarları) ile çalışır ve cihazın durumuna göre dinamik olarak uygulanır .

Bilgisayar Adı Hedefleme

“Öğe Düzeyi Hedefleme” özellikleri, dinamik ve sistem tabanlı koşullara odaklanır. “Bilgisayar Adı” gibi statik tanımlamalar ise bu yapıya uymaz. Aşağıdaki nedenlerle bu seçenek yer almaz:

Statik Tanımlamalar Dinamiklik Sağlamaz

  • Bilgisayar adları (örneğin, PC001, LAPTOP-XYZ) genellikle sabittir ve cihazın donanım/sofware durumuyla ilişkili değildir.
  • Öğe Düzeyi Hedefleme, cihazın mevcut özelliklerine göre karar verir (örneğin, pil varsa, CPU hızı X’ten büyükse).

Güvenlik Filtreleme ve WMI ile Alternatif Yöntemler Mevcut

  • GPO Güvenlik Filtreleme (Security Filtering): Belirli bilgisayarların GPO’yu almasını sağlamak için doğrudan güvenlik gruplarına atama yapılabilir.
  • WMI Sorguları: Dinamik olarak bilgisayar adını hedefleyen sorgular yazılabilir.
    • örnek : SELECT * FROM Win32_ComputerSystem WHERE Name = “PC001”

OU (Organizasyon Birimi) Kullanımı Daha Uygun

  • Bilgisayarları adlarına göre değil, mantıksal gruplar (OU) halinde organize etmek, yönetim kolaylığı sağlar.
  • Örneğin, tüm satış departmanı bilgisayarlarını OU=Sales altında toplayıp GPO’yu buraya bağlamak daha etkilidir.

“Bilgisayar Adı” Hedeflemek İçin Alternatif Yöntemler

 Güvenlik Grupları ve Güvenlik Filtreleme

  1. Active Directory’de bir güvenlik grubu oluşturun (örneğin, GPO_Target_Computers).
  2. Bu gruba hedef bilgisayarları ekleyin.
  3. GPO’nun Security Filtering bölümünde varsayılan kullanıcılar/grupları kaldırıp yalnızca bu grubu bırakın.

WMI Filtresi ile Dinamik Hedefleme

GPMC’de WMI filtresi oluşturun:

SELECT * FROM Win32_ComputerSystem WHERE Name IN ("PC001", "PC002")

Bu filtreyi GPO’ya bağlayın.

GPO, yalnızca WMI sorgusunu karşılayan cihazlara uygulanır.

PowerShell ile Otomatik Grup Ataması

# Örnek: Belirli bilgisayarları bir gruba ekle
$computers = "PC001", "PC002"
$groupName = "GPO_Target_Computers"

foreach ($computer in $computers) {
    Add-ADGroupMember -Identity $groupName -Members $computer
}

Öğe Düzeyi Hedeflemenin Avantajları

  • Dinamik Uygulama: Cihazın donanım/sofware durumuna göre politika uygulanır (örneğin, sadece SSD’li makineler).
  • Yönetim Kolaylığı: Benzer özelliklere sahip cihazlar için tek bir GPO yeterlidir.
  • Esneklik: Birden fazla koşul birleştirilebilir (örneğin, pil varsa ve CPU hızı 2.5 GHz’den büyükse).
  • Statik Tanımlamalar İçin OU Kullanın: Bilgisayar adlarına göre değil, mantıksal gruplar (örneğin, departmanlar, lokasyonlar) üzerinden organize olun.
  • WMI Filtrelerini Test Edin: Karmaşık sorgular üretmeden önce wbemtest veya PowerShell ile test edin.
  • Güvenlik Gruplarını Düzenli Temizleyin: Artık gerekli olmayan bilgisayarları gruplardan kaldırın.

Troubleshooting / Sorun giderme:

Soru
Çözüm
WMI Filtresi Uygulanmıyor Mu?
Sorguyu doğrulayın (wbemtestkullanarak). GPO’nun hedef bilgisayarda etkin olduğundan emin olun.
Bilgisayar Gruba Eklenmiyor Mu?
PowerShell betiğinin doğru çalıştığını ve izinlerin uygun olduğunu kontrol edin.
GPO Uygulanmıyor Mu?
GPResult /Hkomutuyla uygulanan GPO’ları ve hedeflemeleri gözden geçirin.

“Öğe Düzeyi Hedefleme”, cihazların dinamik özelliklerine göre politika uygulamak için güçlü bir özelliktir. Ancak, “Bilgisayar Adı Hedefleme” gibi statik tanımlamalar bu yapıya uymaz. Bu ihtiyaç, Güvenlik Filtreleme , WMI Filtreleri veya OU yapısı gibi alternatif yöntemlerle karşılanabilir. Bu yaklaşım, yönetim kolaylığı ve esnekliği açısından daha uygundur.WMI sorguları yazarken Win32_ComputerSystem sınıfının Name özelliğini kullanarak bilgisayar adlarını hedefleyebilirsiniz. wbemtest aracıyla sorgularınızı test edin.

bu yazı GPO hedefleme yöntemlerini öğrenmek isteyen BT yöneticilerine rehberlik olacağına inanıyorum. Sorunsuz sistemler dilerim.