GPO Uygulama Sırası Nedir? (LSDOU)

May 1, 2025
Active Directory /Azure / Sistem
LSDOU

Active Directory ortamlarında Grup Politikaları (GPO), kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmek için hayati öneme sahiptir. Ancak, birden fazla GPO’nun çakıştığı senaryolarda hangi politikanın geçerli olacağı, GPO uygulama sırasına (LSDOU) göre belirlenir. Bu yazıda, GPO’ların Site → Etki Alanı → OU sırasıyla nasıl uygulandığını, neden bu sıranın kritik olduğunu ve çakışma durumlarında nasıl çözüm üretilebileceğini detaylıca ele alacağız.

GPO Uygulama Sırası Nedir? (LSDOU)
GPO’lar, Active Directory hiyerarşisine göre şu sırayla uygulanır:

L (Local) → S (Site) → D (Domain) → OU (Organizational Unit)

Yerel Politika (Local): Sunucu veya istemci düzeyinde tanımlanan yerel politikalar.
Site Düzeyi (Site): Active Directory Sites and Services’te tanımlanan fiziksel ağ konumlarına bağlı GPO’lar.
Etki Alanı Düzeyi (Domain): Tüm etki alanına uygulanan temel politikalar (örneğin, parola politikaları).
OU Düzeyi (Organizational Unit): Belirli kullanıcı veya bilgisayar gruplarına yönelik özel politikalar.

Yerel politika hariç, bu sıralamada en genelden en özelle doğru gidilir. OU düzeyindeki GPO’lar en son uygulanır ve çakışma durumunda öncelik kazanır.

Neden Bu Sıra Önemlidir?
Bu sıranın temel amacı, politika önceliklerini belirlemektir. Her bir düzey, önceki düzeydeki ayarları geçersiz kılabilir.

Öncelik Sırası
OU Düzeyi: En dar kapsamlı ve en yüksek öncelikli.
Etki Alanı Düzeyi: OU’dan sonra geçersiz kılınabilir.
Site Düzeyi: Genel yapılandırmalar için kullanılır, OU ve etki alanı politikaları tarafından etkilenebilir.

Örnek Senaryo
Etki Alanı Düzeyi: Parola uzunluğu minimum 8 karakter.
Finans OU’su: Parola uzunluğu minimum 12 karakter.
Sonuç: Finans OU’sundaki kullanıcılar, daha spesifik olan OU düzeyindeki politikayı uygular.

GPO Uygulama Sırasını Görüntüleme Araçları
GPResult /H
Komut satırında gpresult /H rapor.html komutuyla, geçerli kullanıcı/bilgisayara uygulanan GPO’ların öncelik sırasını görebilirsiniz.

Grup İlkesi Yönetim Konsolu (GPMC)
1. GPMC’de hedef OU’yu seçin.
2. “Grup İlkesi Uygulama Sırası” sekmesinden GPO’ların öncelik sırasını görüntüleyin.

PowerShell
Belirli bir OU’deki GPO’ların öncelik sırasını listele

GetGPInheritance Name "OU=Sales,DC=example,DC=com" | SelectObject ExpandProperty GpoLinks

 “Zorla Uygula (Enforced)” ve “Devralmayı Engellemek (Block Inheritance)”

Bu iki özellik, GPO uygulama sırasını ve çakışma önceliklerini etkiler.

Özellik
Açıklama
Zorla Uygula (Enforced):
Bir GPO’nun alt OU’lerdeki politikalar tarafından geçersiz kılınamamasını sağlar. Yüksek öncelikli olur.
Devralmayı Engellemek (Block Inheritance):
Üst düzey GPO’ların alt OU’lara devralınmasını engeller. Ancak Zorla Uygula olan GPO’lar yine geçerlidir.

Etki Alanı Düzeyi: Parola politikası Zorla Uygula ile tanımlandı.
Finans OU’su: Aynı politikayı değiştirmeye çalıştı.
Sonuç: Zorla Uygula özelliği nedeniyle etki alanı düzeyindeki politika geçerli kalır.

Troubleshooting / Sorun giderme:

Soru
Çözüm
Bir GPO Uygulanmıyor Mu?
GPMC’de GPO’nun bağlantısını ve hedefleme (Security Filtering) ayarlarını kontrol edin.GPUpdate /Forceçalıştırın.
Çakışan Ayarlar Nasıl Yönetilir?
Daha spesifik düzeydeki GPO’larda ayarları güncelle veya Zorla Uygula özelliğini kullan.
Devralma Engellemesi Etken Mi?
Alt OU’da “Devralmayı Engellemek” etkinse, üst düzey GPO’ların etkisi durur. Ancak Zorla Uygula olan GPO’lar yine geçerlidir.

Active Directory’de GPO’ların Site → Etki Alanı → OU sırasıyla uygulanması, çakışan politikaların nasıl çözümleneceğini belirler. En spesifik düzey olan OU’daki GPO’lar en son uygulanır ve öncelik kazanır. Ancak, Zorla Uygula ve Devralmayı Engellemek gibi özellikler bu sırayı etkileyebilir. Bu yapının iyi anlaşılması, karmaşık ortamlarda tutarlı ve güvenli bir yapılandırma sağlar.GPO’ları uyguladıktan sonra GPResult veya GPMC’deki Modelleme (Modeling) özelliğini kullanarak etkisini test edin.