SYSVOL paylaşımından ADM’lerin (Yönetimsel şablonların) çıkarılması

Microsoft Aktif Dizin servisinin etki alanindaki tanimli kullanicilar ve bilgisayarlar üzerinde etkili bir kontrole sahip olmasini mümkün kilan yönetim aracini Grup Ilkesi (GPO) olarak adlandiriyoruz.

Grup Ilkesi ne yapiyor?

Grup Ilkesi, isletim sisteminin ve isletim sisteminde çalisan uygulamalarin merkezi yapilandirma yönetimi için bir altyapi saglar.

Bu özellik kimleri ilgilendirir?

Grup Ilkesi asagidaki BT uzmanlarinin yararlanmasi için tasarlanmistir:

• Bir etki alani ortamindaki kullanicilari ve bilgisayarlari yönetmeleri gereken BT uzmanlari
• Grup Ilkesi için ayrilmis yöneticiler
• BT uzmanlari
• Destek personeli

Grup ilke bilgisi AD veritabani dosyasi ve SYSVOL (Policies ve Scripts) paylasiminda depolanir.

SYSVOL paylasimi içerisinde etki alaninda yarattiginiz tüm grup ilkeleri ve ayarlari tutulur, kullanicilar ve bilgisayarlar uygulayacaklari grup ilke ayarlarina bu paylasimdan erisirler. Bu paylasimda depoladiginiz grup ilkeleri arttikça depolanan veri miktari da buna esdeger artacaktir ve zamanla bu paylasimin boyutu yüzlerce MB'a ulasabilir.

SYSVOL paylasimi içerisindeki grup ilkeleri aslinda boyut olarak çok büyük olmasalar da bu artisin baslica sebebi ADM olarak adlandirdigimiz yönetimsel sablon dosyalarindan kaynaklaniyor. Peki bu ADM'ler nedir ve SYSVOL paylasiminin boyutunu niye bu kadar etkiliyorlar?

Yönetimsel sablon dosyalari

Yönetimsel sablon dosyalari, kayit defteri tabanli Grup Ilkesi'ni tanimlamak için kullanilan biçimlendirme dilini içerir. Ilk olarak Microsoft® Windows NT Server® 4.0 isletim sisteminde kullanilmaya baslanan Yönetimsel sablon dosyalari, ADM dosyalari olarak bilinen benzersiz bir dosya biçimi kullaniyordu. Burada önemli olan nokta bu sablon dosyalari kullanicilarin veya bilgisayarlarin grup ilkelerini uygulamalari sirasinda kullanilmiyor, tamamen yönetimsel amaçla burada bulunuyor.

Vista ve öncesi bir isletim sistemi üzerinden yarattiginiz her grup ilkesi asagidaki resimde de görebileceginiz gibi standart olarak bir ADM klasörü içeriyor ve buraya default ADM'leri kopyaliyor.

Bu 5 adm dosyasinin toplam boyutu 4 MB civarinda, basit bir hesap üzerinden gidecek olursak. 100 tane grup ilkeniz olsa SYSVOL paylasiminizin boyutu rahatlikla 400 MB civarina ulasacaktir.

Burada önemli bir degisiklik Vista ve sonrasindaki isletim sistemleriyle geliyor. Windows Server 2008 ve üstü isletim sistemlerinde, bu dosyalarin yerini ADMX dosyalari olarak bilinen XML tabanli bir dosya biçimi aliyor. Bu yeni Yönetimsel Sablon Dosyalari, Windows Vista ve üzeri isletim sistemlerindeki kayit defteri tabanli ilke ayarlarinin depolama yöntemini degistiriyor ve yönetimini kolaylastiriyor. ADMX depolama alani olarak Windows Vista ve üzeri her isletim sisteminde standart olarak “C:\Windows\Policydefinitions” klasörü kullaniliyor ve böylelikle SYSVOL paylasimi içerisinde yönetimsel sablon dosyalarinin bulunmasi gereksinimi ortadan kalkiyor.

Ancak eskiden yaratilmis grup ilkelerinde ADM'leriniz halen bulunup yer kaplamaya devam ediyor. Peki bu ADM'leri SYSVOL paylasimindan çikarmamiz mümkün mü? Evet, ortaminizda hangi isletim sistemini kullanirsaniz kullanin ADM'leri SYSVOL paylasimindan çikarmaniz mümkün. Bunun sebebi Grup Ilkesi Yönetimsel Araçlari (GPMC, vs.) default olarak PDC master rolüne sahip olan DC'ye baglanarak ADM'lere ulasir, bu sebeple ADM'lerin sadece PDC üzerinde bulunmasi yeterli olacaktir.

SYSVOL paylasimi içerisinde bulunan ADM'leri temizleme islemini asagida bulabilirsiniz.

Ilk önce PDC rolüne sahip DC üzerinde robocopy (bu araç eski isletim sistemlerinde bulunmadgi için download etmeniz gerekir) komutunu kullanarak SYSVOL paylasimindaki ADM'leri baska bir klasöre tasiyoruz.

• robocopy \\mydom-pdc\sysvol\mydom.com\policies c:\sysvol-adm-backup\ *.adm /s /mov

Ardindan ADM'lerin replikasyondan çikarilmasi için aktif dizin üzerinde bir filtre olusturuyoruz.

• ADSIEDIT.msc yi çalistirip asagidaki objeyi bulun:
  CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=your_domain
• Özellilklerini açin
• fRSFileFilter attribute'unu bulun ve buraya tirnaklari kullanmadan “ *.adm, ” ekleyin. Örnegin: *.tmp, *.bak, *.adm, ~*
• Onaylayip pencereyi daha sonra adsiedit.msc yi kapatin

Son adimda ADM'leri tekrar PDC'de SYSVOL paylasimi içerisine tasiyacagiz, ancak artik *.adm için filtre set ettigimiz için bu ADM ler diger DC lere replike olmayacak.

• robocopy c:\sysvol-adm-backup \\mydom-pdc\sysvol\mydom.com\policies /s

Bu islemler sonrasinda ADM'ler PDC hariç tüm DC'lerden silinecek ve SYSVOL paylasiminin boyutu çok büyük oranlarla küçülecektir, bundan sonra DCPROMO yapacaginiz her DC yüzlerce MB SYSVOL içerigi replike etmek yerine sadece gerekli olan içerigi replike ederek DCPROMO islemini de hizlandiracaktir.

tesekkürler,

/Tuna Gezer