Kurumsal Ortamda Windows 10’dan Windows 11’e Geçiş: Sahadan Notlar

Anasayfa » Kurumsal Ortamda Windows 10’dan Windows 11’e Geçiş: Sahadan Notlar

Windows 10’un uzatılmış desteği Ekim 2025’te sona erdi. Bu tarihten itibaren güvenlik güncellemesi almayan sistemler kurumsal ağlar için ciddi bir risk oluşturuyor. Bizim kurumda bu geçişi tamamladık — yurt içi ve yurt dışı lokasyonları kapsayan, domain’e bağlı onlarca makinenin bulunduğu bir ortamda. Bu yazıda o süreci, sorunsuz geçişleri ve takılan makinelerde uyguladığımız yöntemi aktaracağım.

Neden acil?

Microsoft’un desteğini çektiği bir işletim sistemi, yeni keşfedilen güvenlik açıklarına karşı korumasız kalır. Kurumsal ortamda tek bir yamasız makine, lateral movement saldırıları için kapı aralayabilir. Bu nedenle Windows 10 desteğinin sona ermesi bireysel kullanıcılar için ertelenebilir bir mesele olsa da kurumsal IT ekipleri için erteleme lüksü yoktur.

Geçiş stratejisi: merkezi dağıtım

Domain ortamında tek tek makinelere gidip güncelleme yapmak hem zaman açısından hem de tutarlılık açısından sürdürülebilir değil. Kurumumuzda sistem ekibi bu süreci SCCM ve Intune üzerinden merkezi olarak yönetti.

SCCM / Intune ile güncelleme dağıtımı nasıl işledi?

Süreç genel hatlarıyla şöyle ilerledi: uyumluluk taraması → pilot grup dağıtımı → genel dağıtım → takılan makineler → PXE imaj.

Sistem ekibi önce ortamdaki makinelerin Windows 11 donanım gereksinimlerini karşılayıp karşılamadığını taradı. TPM 2.0, Secure Boot ve minimum CPU gereksinimi bu aşamada kritik. Uyumlu makinelere güncelleme paketi SCCM/Intune üzerinden gönderildi; kullanıcılar belirlenen bir zaman penceresi içinde güncellemeyi başlattı.

💡 İpucu: Güncellemeyi zorunlu kılmak yerine kullanıcıya birkaç günlük erteleme hakkı tanımak, iş saatlerinde kesinti yaşanmasını önler. SCCM’de deadline konfigürasyonu bunu otomatik olarak yönetir.

Sorunsuz geçişler

Uyumlu donanıma sahip, domain’e bağlı makinelerin büyük çoğunluğu güncellemeyi sorunsuz tamamladı. Domain üyeliği, kullanıcı profilleri ve GPO ayarları güncelleme sonrasında olduğu gibi korundu — bu, merkezi dağıtımın en büyük avantajlarından biri.

Güncelleme geçmeyen makineler: PXE ile network imajı

Bir kısım makinede güncelleme ya yarıda takıldı ya da hiç başlamadı. Kesin bir nedeni her seferinde tespit etmek mümkün olmadı — donanım sürücüsü uyumsuzluğu, bozuk sistem dosyası veya bilinmeyen bir çakışma olabilir. Bu makineler için izlediğimiz yol şuydu:

1. Yedek al

İmaj atmadan önce kullanıcının verilerini yedeklemek zorunlu. Belgeler, masaüstü, tarayıcı yer imleri ve varsa yerel uygulama ayarları — bunların tamamı network paylaşımına veya OneDrive’a aktarıldı.

⚠ Kritik: İmaj işlemi disk üzerindeki her şeyi siler. Yedek alınmadan başlamayın. Kullanıcıdan onay alın ve yedek aldığınızı kayıt altına alın.

2. PXE boot ile imajı başlat

Kurumumuzda sistem ekibi Windows imajlarını WDS/MDT altyapısı üzerinden hazırlıyor ve network üzerinden dağıtıyor. Bizim tarafımızdaki süreç oldukça basit:

  1. Makineyi yeniden başlat, boot menüsünü aç (genellikle F12 veya Esc).
  2. Boot seçeneklerinden IPv4 PXE‘yi seç.
  3. Makine network üzerinden boot eder, imaj seçim ekranı gelir.
  4. Doğru Windows 11 imajını seç.
  5. PC bilgilerini gir (makine adı, kullanıcı bilgileri — kurumsal standarda göre).
  6. Kurulum otomatik olarak başlar ve tamamlanır.

ℹ Not: PXE boot çalışması için makinenin domain ağında olması ve DHCP üzerinden PXE sunucusuna ulaşabilmesi gerekir. Uzak lokasyonlardaki makineler için lokasyonda WDS relay agent veya yerel bir dağıtım noktası (distribution point) konfigüre edilmiş olmalıdır.

3. Domain’e yeniden al ve GPO’yu uygula

Temiz imaj sonrası makine domain’e otomatik olarak alınır ancak bazen işler yolunda gitmez ve cihaz domainde açılmaz. Bu noktada önceki yazımda anlattığım GPO senkronizasyon adımları devreye girer — özellikle multi-site ortamda replikasyon tamamlanmadan gpupdate /force yeterli olmayabilir.

Windows 11 donanım gereksinimleri — hızlı kontrol

Kendi ortamınızda hangi makinelerin uyumlu olduğunu görmek için her makinede şu komutu çalıştırabilirsiniz:

Get-WmiObject -Class Win32_Tpm

TPM 2.0 yoksa ya da devre dışıysa BIOS/UEFI üzerinden etkinleştirmek gerekebilir. Bazı eski donanımlarda ise TPM fiziksel olarak bulunmaz — bu makineler Windows 11’e geçemez, değiştirilmeleri gerekir.

⚠ Dikkat: Microsoft’un resmi PC Health Check aracı uyumluluk tespiti için en güvenilir yöntemdir. SCCM ortamında bu aracı tüm makinelere script olarak dağıtıp sonuçları merkezi olarak toplayabilirsiniz.

Sonuç

Kurumsal ortamda Windows 11 geçişi, doğru araçlarla (SCCM/Intune) ve iyi bir hazırlıkla oldukça yönetilebilir bir süreç. Sorun yaşayan makinelerde PXE üzerinden network imajı atmak ise hem hızlı hem de tutarlı bir çözüm sunuyor. Benim deneyimimde en çok zaman alan kısım güncelleme geçmeyen makinelerin tespiti ve kullanıcı verilerinin yedeklenmesiydi — teknik kurulum kısmı buna kıyasla çok daha hızlı ilerledi.

Siz de kurumsal ortamda bu geçişi yaşadıysanız veya planlıyorsanız sorularınızı aşağıya yazabilirsiniz.