1

İki part halinde yayınlayacağım bu makalemde “Active Directory 2008 servislerinde kaynaklara erişim” konusunu ele alacağım. Permission’lar hakkında detaylı bilgi vererek NTFS ve Shared Folder permission’larının efektif şekilde bir arada kullanılmasından ve uygulanma stratejilerinden ayrıntılı olarak bahsedeceğim.

Security principal

Kaynaklara erişmek ve Authantication için kullanılabilecek kullanıcı, grup ve bilgisayar objelerine verilen isimdir.

Security ID (SID) :

Bir kullanıcı,bilgisayar yada security group oluşturulduğunda atanan eşsiz değere SID(Security identifier) denir.

Relative ID (RID):

SID güvenliğinin bir parçası olarak account ve group’ların domain içersinde eşsiz olmasını sağlar.

Şekil-1

Security principal windows işletim sistemi tarafından kimliği doğrulanmış bir active directory birimidir.

Her security principal’a SID atanır:

Her security principal oluşturulduğunda ona bir SID numarası atanır.SID alphanumeric bir yapıya sahiptir. Account oluşturulduğunda bu numara yayınlanır. Eşsiz security princibal olarak tanımlanır.

Bir SID iki tane bilşene sahiptir;

1-Domain identifier: Domain içersinde yaratılan tüm security principals’larda aynıdır

2-Relative identifier: Domain içersinde olusturulan her security principal’da eşsizdir.

Object SID = RID + Domain SID

Microsoft Windows Server 2008 de security principal’lar kaynakların güvenliğinin kontrolü için temel teşkil eder.

Bir kullanıcı silinip yeniden yaratıldığı takdirde yeni bir SID numarası alabileceği gibi eski SID numarasınıda yeniden edinebilir. Kullanıcının eski SID numarasını alabilmesi için ntds.util aracı ile restore edilmesi gerekir. Ayrıca SID history sayesinde kullanıcılar aynı SID numaraları ile bir domainden başka bir domain’e de taşınabilirler. Bu işlem yapıldığı takdir de kullanıcıya daha önceden atanmış olan izinlerde geçerliliğini korurlar. Eğer bu işlem yapılmazsa ve kullanıcı yeni bir SID numarasına sahip olursa, permission’lar tekrardan manuel olarak ayarlanmalıdır.

Access Token nedir?

Access token kullanıcı hesabı ile birleşmiş , kimlik ve haklar hakkında bilgilerin içerildiği korunan objelerdir.

Şekil-2

Access Token nasıl oluşturulur?

Kullanıcı windows bir makinede oturum açmak istediğinde logon işlemi için kendisine tanımlanan credential’ları girer. Eğer authantication işlemi başarılı olursa kullanıcını SID numarası ve O SID numarasının bağlı bulunduğu security gupların SID’leri bulunur. Bilgisayar üzerinde bulunan local security authority (LSA) bu bilgileri kullanarak bir access token oluşturur. Oluşturulan access token kullanıcının SID numarasını ve Kullanıcının bağlı bulunduğu security Group’ların SID lerini içerir.

Kullanıcının kullanıcı haklarınının doğrulanmasında access token’lar nasıl kullanırlır?

LSA Primary access token’ı oluşturduktan sonra kullanıcı adına yürütülmesi için tüm işlemlere eklenir. Kullanıcı hakları gerektiren sistem görevleri yerine getirilmek istendiğinde yada paylaşılmış kaynaklara erişilmek istendiğinde işletim sistemi kullanıcının kaynaklara erişimini doğrulamak için access token’ı kontrol eder.

Kaynaklara erişimde izinler group SID’ine yada user SID’ine atanabilir. Group SID’ine permission’ların atanması daha pratik bir yöntemdir. Permission user SID’ine atanırsa kullanıcının rolüne uygun daha spesifik izinler verilebilir.

Permission nedir?

Permission , objenin security principal’ına verilen ve erişimin bir parçası olan kurallar bütünüdür. Permission’lar sayesinde user’lara çeşitli haklar tanımlayabiliriz. Örneğin bir kullanıcı bir dosya üzerinde sadece “read” iznine sahip olurken başka bir kullanıcı “change” iznine sahip olabilir.

Güvenli olmasını istediğimiz herhangibir dosyaya, AD DS içersindeki bir objeye , registry objelerine permission’lar atayabiliriz. Bunu yapmak içinde userlari group’lar veya bilgisayarlar gibi herhangibir security principal için izin verebilir yada vermeyebilirz.

  • Herhangibir trusted domain’de group’lara, user’lara,bilgisayarlara ve özel kimliklere ,
  • Objelerin bulunduğu bilgisayar üzerindeki local group ve user’lara

Permission atayabilirsiniz.

İzin ataması yapılırken;

Permission açıkca belirlenir ; Bunun için direkt olarak paylaşılan klasöre erişilir ve permission’lar bu obje üzerinde konfigüre edilir.

Permission mirası yapılandırılır ; Permission bir klasöre uygulandığında default olarak uygulanan permission’lar klasör altındaki tüm altklasörlere ve dosyalara uygulanır. Bu özellik bu şekilde kabul edilir yada permission mirası block’lanarak alt klasör ve dosyaları etkilemesi engellenir.

Eğer bir obje üzerinde bir kullanıcı hesabına hiçbir permission atanmamış ve kullanıcı hesabı için herhangi bir permission mirası kabul edilmemiş ise, user belirtilen objeye hiçbir şekilde ulaşamaz.

Administrator’ın objeler üzerindeki permissionları user bazında verdiği taktirde yönetim daha karmaşık bir hal alacaktır. Daha basit bir yönetim için kullanıcı hesapları belli özelliklere göre gruplandırılarak belirli gurplara üye yapılmalı ve objeler üzerinde bu gruplara izinler atanmalıdır. Bu sayede izinlerin yönetimi daha basit bir hal almış olur.

Access kontrolü nasıl sağlanır?

Access control olarak bilinen bu işlem AD DS kaynaklarına erişilmesini ve security principal’ın doğrulanmasını tanımlar.

AD DS’teki tüm objeler ve local bilgisayardaki veya networkteki tüm güvenilir objeler, onlar tarafından atanan ve objelere erişmeyi kontrol etmeye yardımcı olan güvenlik açıklayıcılarına ( Security Descriptor)sahiptir. Güvenlik bilgileri objenin kimin olduğu hakkında , kimin hangi şekilde objeye erişebileceği hakkında ve denetlenmiş access’in tipi hakkında bilgi içerir.

Security Descriptor’lar iki tip access control list içerirler;

1-Discretionary access control(DACLs) : Bu acl türü AD DS’teki herhangibir kaynağa izni olan kullanıcıları ve grupları listeler.NTFS volumünde bulunan her kaynak bir DACL ile birleşmiştir. Sadace objenin sahibi yada izin verilmiş bir kişi DACL üzerinde izin verebilir yadayasaklama yapabilir.DACL üzerinde userlara yada guplara verilen izin entry’lerine ACE ( Access Controll Entry) denir. Her ACE bir SID tanımlar, özel bir izin,miras bilgisi ve hakkın izin verilmesini yada yasaklanmasını tanımlar. ( allow permission / deny permission)

2-System access control lists(SACLs): SACL kaynaklaraerişimin denetimini control eder. Her user yada her grup için olayları denetler. Örnek olarak dosya erişimi, logon işlemi, systemin shutdown edilmesi gibi sistemle ilgili olayların denetimini yapar.

NTFS Permissions;

NTFS windows server 2008 üzerinde kullanılabilen bir dosya sistemidir. NTFS kullanıcıların bir bilgisayara üzerindeki yada networkte bulunan herhangibir locasyondaki paylaşılmış dosyalara erişimlerini kontrol eder.

NTFS permission hangi kullanıcının grubun veya bilgisayarın dosya ve klasörlere erişeceğini kontrol eder. Ayrıca NTFS permissions kullanıcıların,grupların ve computerlerin dosya ve klasör üzerinde ne içerik oluşturabileceklerini belirler.


Şekil-3

NTFS File Permission ;

  • Read: Dosyayı ,özelliklerini ve izinlerini okuyabilir ve sahibini görüntüler.
  • Write: Dosya’ya yazabilir, özelliklerini değiştirebilir ve dosya üzerindeki permission’ları ve dosyanın sahibini görüntüler.
  • Read and Execute: Tüm read izinlerine ek olarak executable dosyaları çalıştırabilir.
  • Modify: Yukarıdaki tüm permission’lara ek olarak özellik ekleyebilir ve silebilir.
  • Full Control: Yukarıdaki tüm özelliklere ek olarak , permission’ları değiştirmek için özellik ekleyebilir ve dosyanın ownership’liğini alabilir.

NTFS Folder Permission;

  • Read: Dosyaları,klasörleri ve alt klasörleri okuyabilme iznine sahiptir ve objenin sahibini görüntüleyebilir.
  • Write: Yeni dosya ve klasör oluşturabilir, permission’ları ve objenin sahibini görüntüleyebilir,dosya özelliklerini değiştirebilir.
  • List Folder Contents: Dosyaları ve alt klasörleri görüntüler
  • Read and Execute: Tüm Read izinlere ek olarak uygulamaları yürütebilir ve klasör içeriğini listeleyebilir.
  • Modify : Yukardaki permission’lara ek olarak ekleme ve silme işlemi yapabilir.
  • Full Controll: tüm izinlere ek olarak klasöz üzerindeki permission’ları ve ownership’liği değiştirebilir.

Standart ve Özel İzinler:

NTFS permissionları iki kadegoride inceleniyor.

Standart permission bir öncekli bölümde bahsettiğimiz permission’lardır. Standart permissionlar çok sık atanan permission’lardır.

Şekil-4

Special permission’lar ise daha spesifik izinler oluşturmamızı sağlar. Windows server 2008 aşağıdaki special permission’ları sağlamaktadır;

  • Traverse Folder/Execute File: kullanıcının ana klasöre erişim izni olmasa dahi alt klasörlere erişim izni olduğu takdirde , alt klasörün yolunu yazarak erişim sağlamasını sağlayan yada engelleyen izindir. Execute file ile de ulaştığı alt klasörde herhangibir exe dosyası var ise bu exe dosyasını çalıştırabilir.
  • List Folder/Read Data:Klasörün ve alt klasörlerin isimlerini ve dosyalardaki data’ları görüntüleyebilir yada engellenir. List folder klasör için uygulanırken, read data dosyalar için uygulanır.
  • Read Attributes: Klasör ve dosyaların özelliklerini görüntülemeye izin verir yada engeller ( Read only yada Hidden özellikleri gibi)
  • Read Extended Atributtes: Dosya ve klasörlerdeki gelişmiş özellikleri görüntüler yada engeller.
  • Create Files/Write Data: Create files , klasör üzerinde dosya oluşturmaya izin verir yada engeller. Write data ise dosya üzerinde değişiklikler yapmaya ve varolan datanın üzerinde yazmaya izin verir yada engeller.
  • Create Folders/Append Data: Create folder klasör içersinde klasör oluşturmaya izin verir yada engeller. Append data ise dosyaların sonunda değişiklik yapmaya izin verir ama varolan veriler üzerinde hiçbir değişiklik yapılamaz.
  • Write Attributes:Dosya ve klasörlerin özelliklerini değiştirmeye izin verir yada engeller. Bu özellik dosya yada klasörde ki verilerde değişiklik yapmaz. Sadece özelliklerini değiştirir. ( read only yada hidden olması gibi)
  • Write Extended Attributes: Dosya ve klasörin geliştirilmiş özelliklerini değiştirebilir yada engeller. Bu özellikler çeşitli programlar tarafından oluşturulabilir.
  • Delete Sub Folder and Files: Alt klasör yada dosyaların silinmesine izin verir yada engeller. Klasör için uygulanır.
  • Delete: Klasör ve dosyaları silmeye izin verir yada engeller.
  • Read Permission: Klasör ve dosyalar üzerindeki permission’ları görüntülemeye izin verir yada engeller.
  • Change Permission: Dosya ve klasörler üzerindeki permission’ları değiştirir yada engeller.
  • Take OwnerShip: Klasör ve dosyaların ownership’liğini alabilir yada alması engellenir.
  • Synchoronize:üzerinde birden çok kullanıcının çalıştığı çok işlemli programlar için kullanılır.

NTFS Permission Inheritance:

Default olarak parent folder’a uygulanan permissionlar alt klasör ve dosyalara miras olarak geçer ve miras olarak geçen permission’lar miras bloklanmadığı sürece silinemezler.

Permission Mirasını Bloklama:

Parent folder tarafından atanan permission’ların miras olarak alt klasörlere geçmesi engellenebilir. Alt klasörlerde iki seçenek bulunur;

1-Ana klasörden mirası kopyalamak.

2-Ana klasörden gelen mirası bloklayıp kendi permissionlarını kullanmak.

Yeni bir parent folder oluşturulduğunda , alt klasörlerin geçerli izinlerini muhafaza edebilmeleri için block seçeneği kullanılır. Yada parent folder altına yeni alt klasörler eklendiğinde yeni eklenen klasörlerin mevcut izinlerden etkilenmesi için miras kabul edilir.

Şekil-5

NTFS Permission’ların Kopyalanması ve Taşınması:


Şekil-6

Dosya ve klasörlerin kopyalanması yada taşınması sonucunda, üzerlerinde bulunan permissionların gördüğü etki farklıdır.

1-Dosyaların kopyalanması:

Bir dosya bir klasörden başka bir klasöre kopyalandığında yada bir partition’dan başka bir partition’a kopyalandığında üzerinde bulunan permission’lar değişir. Kopyalandıkları klasörün yada partition’ın mirasını kabul ederler. Eğer NTFS olmayan bir bölüme kopyalama yapılıyorsa (FAT gibi)dosya üzerinde bulunan NTFS permision’ların hiçbir önemi kalmayacaktır.

Not: Bir NTFS bölümünden diğer bir NTFS bölümüne kopyalama yapılacağı zaman kaynak’ta en az read permission’una , hedef de ise Write permission’una sahip olmak gerekir.

1-Dosyaların taşınması: bir dosya biryerden başka bir yere taşınırken dosya üzerindeki permission’lar hedef klasör üzerindeki permission’lara bağlı olarak değişebilir.

  • Bir dosya aynı NTFS partition üzerinde bir yerden başka bir yere taşındığı zaman üzeirndeki permission’ları korur. Fakat parent klasöründe bir değişiklik olursa bu değişikliği miras olarak alır.
  • Bir dosya bir NTFS partition’dan başka bir NTFS partition’a taşınırsa hedef partition’un permission’larını miras olarak alacaktır. Ama ilk taşındığı anda kaynak permission’larını koruyacaktır. Partition’lar arasında dosya ve klasörler taşındığında windows server 2008 dosya ve klasörlere yeni location’u kopyalayacaktır ve eski location’u silecektir.
  • NYFS olmayan bir partition’a dosya yada klasörler taşınmak istendiğinde, üzerlerindeki permission’lar kaybolacaktır.

Not: Dosya yada klasörler aynı NTFS partition üzerinde yada NTFS partition’lar arasında taşınmak istendiğinde, kaynak üzerinde modify permission’ına, hedef üzerinde isre write permissionuna sahip olmak gerekir.

Aşağıda windows server 2008’deki önemli kopyalama ve taşıma özellikleri verilmiştir.

Şekil-7

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

http:///www.mshowto.org

Bu İçeriğe Tepkin Ne Oldu?
  • 3
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!

Sakarya doğumludur. İstanbul Üniversitesi’nde Matematik/Fen ve Teknoloji öğretmenliğini bitirmiştir. Yüksek lisansını Sakarya Üniversitesi Bilgisayar Mühendisliği’nde yapmıştır. Bilişim sektöründe çeşitli firmalarda sistem ve network sorumlusu olarak çalışmıştır. Bazı kurumlarda sistem ve network üzerine uzmanlık eğitimleri vermiştir. Şu anda Netaş şirketinde kurumsal danışman olarak görev yapmaktadır. Microsoft System Center ürünleri, Powershell ve Azure teknolojileri ile ilgilenmektedir. 2016 yılında Microsoft tarafından Cloud and Datacenter alanında MVP unvanını almıştır.

Yazarın Profili
İlginizi Çekebilir

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorumlar (1)

  1. 03/11/2011

    Güzel ve verimli bir çalışma olmuş. Teşekkürler.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir