Skip to content
Tenvo
Bloga geri dönEğitim

Uzak masaüstü MSI dağıtımı: Grup İlkesi ile kurumsal dağıtım

Tenvo Editorial Team9 dk okuma
Uzak masaüstü MSI dağıtımı: Grup İlkesi ile kurumsal dağıtım

Her bir PC ile uğraşmadan yüzlerce ya da binlerce etki alanına bağlı Windows makinesine uzaktan erişim yazılımı kurmanız gerekiyor. Sorunlar: manuel kurulumlar, tutarsız ayarlar, güncellemeler sonrası destek çağrıları ve yanlış yapılandırılmış uzak erişim riski.

Her bir PC ile uğraşmadan yüzlerce ya da binlerce etki alanına bağlı Windows makinesine uzaktan erişim yazılımı kurmanız gerekiyor. Sorunlar: manuel kurulumlar, tutarsız ayarlar, yardım masası çağrıları güncellemeler sonrası ve uzak erişimi yanlış açma endişesi. Bu kılavuz, Group Policy (GPO) kullanarak uzak masaüstü MSI dağıtımı için tekrarlanabilir, denetlenebilir bir yaklaşımı adım adım açıklar; yapılandırma, yükseltmeler ve sorun giderme için pratik ipuçları içerir.

Uzak masaüstü MSI dağıtımı için neden GPO kullanılmalı

Group Policy, MSI tabanlı yükleyicileri etki alanına bağlı Windows istemcilere ölçekli olarak itmek için hâlâ en basit kurumsal mekanizmadır. Avantajlar:

  • Active Directory ile bütünleşiktir — temel dağıtımlar için ek lisans gerekmez.
  • Makinaya atanan (machine-level) kurulumlar, kullanıcı oturum açmadan önce başlatmada gerçekleşir (destek personeli ve hizmetler için uygundur).
  • GPO, öngörülebilir zamanlama (başlatma veya kullanıcı oturumu) ve dağıtım durumunu denetlemek için net bir yer sağlar.

Uyarılar: GPO yalnızca Windows etki alanına bağlı uç noktalara uygulanabilir. Sadece bulut cihazlarını yönetiyorsanız veya daha zengin telemetri/geri alma (rollback) ihtiyaçlarınız varsa Microsoft Intune (Endpoint Manager), SCCM/ConfigMgr veya tedarikçiye özel yönetim konsolunu değerlendirin. Kurumsal yönetim takasları hakkında daha geniş bir bakış için rehberimize bakın: /enterprise-it-management.

Hazırlık çalışmaları — dosyalar, ağ paylaşımı ve paketleme kararları

Group Policy ile işlem yapmadan önce MSI'yi hazırlayın ve ürünün her makinede nasıl yapılandırılacağına karar verin.

  1. MSI'yi edinin: MSI paketini tedarikçinizin sitesinden indirin (Tenvo için MSI'yi /download adresinden alın — Windows 10/11/Server 2016+ makineler için x64 MSI'yi seçin). Dosya adını tutarlı tutun (ör. godeskflow-1.4.3-x64.msi) ki GPO sabit bir yolu göstersin.
  • Makine başına vs kullanıcı başına: Uzaktan destek ve hizmetler için makine başına kurulum (Computer Configuration -> Assigned) tercih edin. Kullanıcıya yayınlanan (Published) kurulumları destek personeli için kullanmaktan kaçının; çünkü bunlar kullanıcı müdahalesi gerektirir ve sistem ayrıcalıkları gerektiren hizmetleri kuramaz.
  • Yapılandırma: MSI, yapılandırma için MSI özelliklerini destekliyorsa (örneğin SERVERURL=, LICENSEKEY=), bunları kurulum sırasında geçirebilir veya bir MST (transform) dosyasına gömebilirsiniz. Tedarikçi bir yapılandırma dosyası veya kayıt defteri şablonu sağlıyorsa, bunu Group Policy Preferences veya bir startup script ile dağıtmayı planlayın.
  • Ağ paylaşımı: MSI'yi SYSVOL tabanlı bir paylaşıma veya başlatma sırasında bilgisayarların okuyabileceği yüksek kullanılabilirlikte bir dosya paylaşımına koyun. En iyi uygulama: dosya sunucusunda UNC yolu kullanın, örn. \\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi. NTFS izinleri: Domain Admins Full Control, SYSTEM Full Control, Authenticated Users Read (veya Domain Computers Read). Paylaşım izinleri: basitlik için genelde Everyone Read kullanılır, ancak mümkünse Domain Computers ile sınırlandırın.")

    • Makineye atanan kurulum için GPO oluşturma ve bağlama

    Hedef makinelerin bulunduğu OU'ya kapsam verecek yeni bir GPO oluşturmak için etki alanı denetleyicisinde veya yönetici iş istasyonunda Group Policy Management Console (GPMC) kullanın.

    1. GPO'yu oluşturun: GPMC'yi açın, hedef OU üzerinde sağ tıklayın, "Create a GPO in this domain, and Link it here..." seçeneğini seçin ve örn. "Deploy — Tenvo MSI" olarak adlandırın.
  • Yazılım Kurulumunu yapılandırın: GPO'yu düzenleyin ve Computer Configuration -> Policies -> Software Settings -> Software installation yoluna gidin. Sağ tıklayın -> New -> Package. MSI için UNC yolunu girin (\\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi). "Assigned" seçin ("Published" değil).
  • Transforms / Properties: MSI özelliklerini ayarlamanız gerekiyorsa iki ana seçeneğiniz vardır:
    • Bir MST transform kullanın: Varsayılan kayıt defteri girdilerini, lisans anahtarlarını veya hizmet davranışını ayarlamak için Orca veya paketleme aracınızla bir MST oluşturun. GPO'daki paket özelliklerinde "Modifications" sekmesine gidip MST'yi ekleyin.
    • Kurulum sonrası kayıt defteri anahtarları yazmak veya yapılandırma dosyaları bırakmak için Group Policy Preferences veya bir startup script kullanın (MSI özellikleri olarak açığa çıkmamış öğeler için faydalıdır).

    Not: GPO Software Installation dağıtım sırasında msiexec'e komut satırı argümanları iletmez. MSI özelliklerini kurulum zamanında ayarlamak için bir MST kullanmalı veya paket üzerinde transform uygulamalısınız.

    Güvenlik duvarı, servisler ve ek ayarlar — kurulumu üretime hazır hale getirin

    MSI yüklemek işin sadece bir kısmıdır. Uzaktan erişim yazılımları genellikle güvenlik duvarı portları, bir Windows servisi ve bazen TLS anahtarları veya cihaz sertifikası gerektirir. GPO dağıtımında bu konuları nasıl ele alacağınız aşağıda.

    • Güvenlik duvarı kuralları: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Defender Firewall with Advanced Security yolunu kullanın. Uzak masaüstü servisinin kullandığı belirli yürütülebilir dosya veya port aralıkları için inbound kuralı oluşturun. Örnek: inbound TCP 3212-3220 izin verin veya godeskflow.exe program yolunu izin listesine ekleyin. Kuralları uygun profile (Domain) kilitleyin.
  • Servis hesabı ve izinler: Uzaktan masaüstü bir Windows servisi kuruyorsa ve belirli bir servis hesabına ihtiyaç duyuyorsa, önce o hesabı AD'de hazırlayın ve "Log on as a service" hakkını GPO ile verin (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment).
  • Sertifikalar / Anahtarlar: Dağıtımınız TLS anahtarları veya kurumsal sertifika gerektiriyorsa, sertifikayı makine deposuna Group Policy Preferences ile dağıtın (Computer Configuration -> Preferences -> Windows Settings -> Registry / Files / Certificates). Bunu servisin başlamasından önce yapın veya bir startup script ile bir sonraki yeniden başlatmada içe aktarın.

    • Test, zamanlama ve dağıtım stratejisi

    GPO yazılım kurulumu makine başlatma sırasında gerçekleşir. Aşağıdaki davranışı bekleyin ve dağıtımınızı buna göre planlayın:

    • Zamanlama: Bilgisayara atanan MSI bir sonraki yeniden başlatmada kurulur. Test için gpupdate /force ile GPO'ları yenileyebilirsiniz, ancak yazılım kurulumları yine de etkili olması için yeniden başlatma gerektirir (manuel olarak MSI çalıştırılmadıkça).
    • Aşamalı dağıtım: Geniş dağıtımdan önce bir pilot OU ile (10–50 makine) 1–2 hafta başlayın. Yardım masası trafiğini izleyin ve güvenlik duvarı/servis davranışını doğrulayın.
    • Doğrulama: Hedef makinelerde gpresult /r çalıştırarak GPO'nun uygulandığını doğrulayın. Event Viewer -> Application içinde MsiInstaller olaylarını kontrol edin. Ayrıca vendor servis durumunu kontrol edin (services.msc) ve yerel logları inceleyin. Eğer MSI logging destekliyorsa, transform veya script ile msiexec'e /l*v C:\Windows\Temp\godesk-install.log parametresi verecek şekilde kurulum kaydı tutmayı ayarlayın (manuel testler için faydalıdır).

    Yükseltmeler, yamalar ve geri alma

    Ölçekli güncellemeleri yönetmek en zor kısımlardan biridir. Dağıtımdan önce yükseltme yaklaşımınızı kararlaştırın.

    • Küçük vs büyük yükseltmeler: Windows Installer davranışı ProductCode ve ProductVersion'a bağlıdır. Tedarikçi gerçek bir MSI yükseltme paketi (update kuralları ile) sağlıyorsa, GPO paketindeki MSI'yi değiştirerek veya daha yüksek versiyonla yeni bir paket ekleyerek yükseltme yapabilirsiniz. Büyük yükseltmelerde ProductCode değişebilir — GPO'nun eski ürünü düzgün şekilde kaldırıp yenisini temiz kurduğunu test edin.
  • Değiştir vs yeni paket: GPMC'de mevcut pakete sağ tıklayıp -> "Properties" -> "Upgrades" yoluyla bir upgrade paketi ekleyebilir veya paketi silip yeni MSI'yi ekleyebilirsiniz. En temiz yaklaşım, sürümlere göre paylaşımlar oluşturup yeni atanan bir paket eklemek ve eski product code ile Upgrade ilişkisi kurmaktır; böylece istemciler bir sonraki yeniden başlatmada otomatik olarak yükselir.
  • Geri alma: Önceki MSI'yı saklayın. Yeni paket kritik sorunlar yaratırsa, daha yeni ürünü kaldıran bir GPO oluşturabilir (startup script ile msiexec /x {ProductGUID} /qn çalıştırarak) ve eski MSI'yı yeniden atayabilirsiniz. Geri alma işlemini önce pilot OU'da test edin.

    • Sorun giderme kontrol listesi

    Kurulumlar başarısız olduğunda, bunlar genelde suçlulardır ve hızlı tespit yolları:

    1. GPO uygulanmasını kontrol edin: gpresult /h c:\temp\gpresult.html çalıştırın ve açın. Yazılım GPO'sunun Computer Settings altında listelendiğini doğrulayın.
    2. Event Viewer'ı inceleyin: Uygulama günlükleri için MsiInstaller girdileri; başlatma hataları için System; politika işleme sorunları için Group Policy Operational logları (Applications and Services Logs -> Microsoft -> Windows -> GroupPolicy -> Operational).
    3. MSI logging: Installer'ı manuel test ediyorsanız, ayrıntılı kurulum logu almak için msiexec /i "\\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi" /l*v C:\Windows\Temp\godesk-msi.log komutunu kullanın.
    4. İzinler: Bilgisayar hesabının dosya paylaşımına Okuma erişimi olduğundan emin olun. SYSTEM, başlatma sırasında makine hesabı (DOMAIN\COMPUTER$) ile paylaşımlara erişir. Sorunları izole etmek için \\IPC$ testi yapın veya geçici olarak Authenticated Users Read verin.
    5. Güvenlik duvarı veya antivirüs engellemesi: Bazı AV ürünleri servis kurulumunu veya DLL kayıtlarını engeller. AV loglarını ve tedarikçi yönergelerini kontrol edip gerekli yolları veya hash'leri beyaz listeleyin.

    Alternatifler ve dürüst değerlendirme

    GPO, etki alanına bağlı Windows filoları için iyidir, fakat her zaman en iyi araç olmayabilir. Takasları açıkça belirtin:

    • SCCM / ConfigMgr / MECM: Aşamalı dağıtımlar, geri alma, envanter ve detaylı raporlama gerekiyorsa SCCM daha güçlüdür. EXE sarmalayıcıları, transform özelliklerini veya zamanlama ve durum raporlaması ile script tabanlı kurulumları dağıtabilir.
    • Intune / Endpoint Manager: Bulut ile yönetilen, GPO'nun ulaşamadığı hibrit/bulut cihazlar için uygundur. Çok sayıda domain dışı cihazınız veya modern yönetim ihtiyaçlarınız varsa Intune'u değerlendirin.
    • Tedarikçi bulut konsolları: TeamViewer ve AnyDesk kendi yönetim konsollarını sunar; ajanları kurup ayarları yönetebilir — etki alanı dışı veya çapraz platform uç noktalar için genellikle daha kolaydır. Karışık OS filoları veya tedarikçi barındırmalı cihaz listeleri gerekiyorsa bunlar üstün olabilir — tedarikçi özellikleri açısından karşılaştırma için godeskflow-vs-teamviewer-pricing ve anydesk-vs-teamviewer-2026 gibi içeriklere bakın.

    Self-hosting veya tedarikçi bulut-motive modellerinden kaçınmaya önem veren kuruluşlar için self-hosted rehberimize bakın: /self-hosted-remote-desktop-guide. Tenvo, self-host edilebilir şekilde tasarlandı ve standart kurumsal dağıtım iş akışlarına bulut-yönelimli zorlamalar olmadan entegre olur.

    Uzak masaüstü dağıtımları için güvenlik kontrol listesi

    Uzak erişim bir saldırı yüzeyi açar; güvenlik aklıyla dağıtın:

    • Mümkünse TLS için makine başına sertifikalar veya kurumsal PKI kullanın. Transform'larda açık metin anahtarlar veya sabitlenmiş paylaşılan sırlardan kaçının.
    • Inbound güvenlik duvarı kurallarını Domain profiline ve yönetim istasyonunun bulunduğu belirli alt ağlara sınırlayın.
    • Günlüklemeyi etkinleştirin ve anormal uzak erişim tespiti için günlükleri merkezi bir SIEM'e yönlendirin. Kimlik doğrulama yöntemlerini gözden geçirin — statik parolalar yerine sertifika veya SSO entegrasyonunu tercih edin.
    • Asgari ayrıcalıklar: Uzaktan erişim servisine yalnızca gerekli izinleri verin ve gereksizse yüksek ayrıcalıklı hesaplarla kurulum yapmaktan kaçının.

    Daha derin güvenli uzak erişim uygulamaları için rehberimize bakın: /remote-desktop-security.

    Hızlı başvuru: komutlar ve dosya yolları

    Manual install (for testing on a client):
msiexec /i "\\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi" /qn /l*v C:\Windows\Temp\godesk-msi.log

Uninstall by Product GUID (example):
msiexec /x {PRODUCT-GUID-HERE} /qn /l*v C:\Windows\Temp\godesk-uninstall.log

Force GPO refresh on client:
gpupdate /force

Check applied policies:
gpresult /r

Check MSI logs in Event Viewer: Event Viewer -> Application -> look for MsiInstaller events

    Son notlar ve önerilen dağıtım kontrol listesi

    Tüm domain çapında uygulamadan önce bu kontrol listesini çalıştırın:

    1. Pilot: Test OU'da en az bir iş haftası için 10–50 uç noktada pilot uygulama yapın.
    2. MSI logging ve servis davranışını birden fazla Windows sürümünde doğrulayın (Windows 10 21H2, Windows 11 22H2, Windows Server 2019/2022 gibi).
    3. Güvenlik duvarı kurallarını ve sertifika dağıtımını üretim dışı ortamda doğrulayın.
    4. Geri alma adımlarını belgeleyin ve önceki MSI ile Product GUID'i hazır tutun.
    5. Yardım masası ve operasyon ekiplerini net iyileştirme adımlarıyla bilgilendirin (servis logları nasıl kontrol edilir, GPO nasıl yeniden uygulanır, MSI logları nerede bulunur gibi).

    Bulut yönetimli özellikler, envanter veya çapraz platform ajan modeli gerekiyorsa SCCM/Intune veya tedarikçi konsollarını değerlendirin. Karışık işletim sistemi filolarında TeamViewer ve AnyDesk daha kolay olabilir; Tenvo ise self-host edilebilir kontrol ile standart Windows dağıtım mekaniklerini birleştirmeyi hedefler — karşılaştırma ve fiyatlandırma için /pricing sayfasına bakın.

    Pilota başlamak hazır mısınız? MSI'yı indirip küçük bir OU'da deneyin — yükleyiciyi /download adresinden alın. Transform haritalama veya startup script yazımı konusunda yardım isterseniz, belgelerimizde dağıtım notları ve örnek scriptler var; bağlantılar için indirme sayfası üzerinden iletişime geçin.

    Tenvo edinin

    Kendiniz denemeye hazır mısınız?

    30 cihaza kadar ücretsiz, kredi kartı gerekmiyor. İki dakikada kurulur ve bağlanır.

    Tenvo'i ücretsiz indir
    Tüm makaleler
    DAHA FAZLA OKUMA

    Diğer makaleler

    Teknik

    Port Yönlendirmesi Olmadan Uzaktan Masaüstü: Nasıl Gerçekten Çalışır

    9 dk okuma

    Güvenlik

    Uzaktan Masaüstü Güvenli Mi? Dürüst Bir Tehdit Modeli

    10 dk okuma

    Karşılaştırma

    RustDesk vs AnyDesk: 2026 Alıcı Kılavuzu (ve Çoğu İncelemede Atlanan Üçüncü Seçenek)

    11 dk okuma