1. Ana Sayfa
  2. Server 2008
  3. Active Directory Kaynakları Nelerdir ve Erişim Nasıl Sağlanır – Bölüm 2

Active Directory Kaynakları Nelerdir ve Erişim Nasıl Sağlanır – Bölüm 2

Network üzerinde birçok kullanıcının eş zamanlı ulaşabildiği paylaşılmış klasörlerdir. Kullanıcılar bu klasörlere kendilerine verilen yetkiler doğrultusunda ulaşırlar. Bu yetkiler verilen ’larla sağlanır.

Birçok organizasyon paylaşılmış klasörleri file Server’lar üzerinde tutarlar. Bu şekilde shared folder’lar kategorilerine ya da fonksiyonlarına göre ayrılabilir.

Shared folder’lar üzerinde aşağıdaki işlemler yerine getirilir;

1- Sadece klasörler paylaşılır, ayrı ayrı dosyalara paylaşım verilmez. Eğer kullanıcıların ortak bir dosyaya ulaşması isteniyorsa dosya paylaşılacak bir klasör içerisine konulmalıdır.

2- Permission’ların ataması yapılır. Shared folder’lar üzerinde everyone grubu için default permission “Read” dir. İsteğe bağlı olarak kullanıcılara ve gruplara gerekli verilir. Eğer domain ortamındaki tüm kullanıcıların paylaşılan klasörlere erişmesini istiyorsak authanticated users’a ya da domain users’a permission atamak gerekir.

Belirli user yada group’lara permission atamak istendiğinde default permission “read” dir.

3- Shared folder’lar kopyalanırken orijinal shared folder durumunu korurken kopyalanan artık shared durumda olmaz. Shared folder başka bir location’a taşınırsa paylaşımlar geçerli olmayacaktır.

4- Paylaşılan klasörler üzerlerindeki iki kullanıcı ikonu ile paylaşılmış olduklarını belli ederler. Ayrıca sunucu üzerinde “Share and Store Management Console” ya da “Net Share” komutu kullanılarak hangi dosyaların networkte paylaşılmış olduğunu görüntülenir.

Administrative Shared Folders:

Wındows Server 2008 administrative görevler yerine getirildiğinde, Windows çalıştıran bilgisayarlar üzerinde otomatik olarak shared folder’ları oluşturur. Oluşturulan bu shared folder’ların sonunda $ işareti bulunur. Bu sayede kullanıcılar bu paylaşımları göremezler. Paylaşımın gizli olmasını sağlar. Administrator bu gizli paylaşımları kullanarak uzak sunucular üzerindeki paylaşımları yönetirler.

Default olarak administrator’lar shared folder’lar üzerinde “Full Control” iznine sahiptir. Administrative shared folder’lar üzerindeki izinler üzerinde değişiklik yapılamaz. Administrative shared folder’ların amaçları aşağıdaki gibidir:


Resim-1


Resim-2

Shared Folder Permissions:


Resim-3

Connecting shared folders:

Shared folder oluşturduktan sonra kullanıcılar çeşitli metotlar kullanarak klasörlere erişebilirler. Bu metotlar;

Network window ( Windows Server 2008’de veya Windows Vista’da)

Network window desktop’tan veya network sharing center üzerinden başlatılabilir. Network window sayesinde networkteki bilgisayarlar görüntülenebilir ve üzerlerinde bulunan shared folderlara ulaşılabilir.

My network Places (Windows Server 2003’de beya Windows XP’de)

Yukarıda bahsettiğimiz özelliğin Windows Server 2003 ve Windows XP’de geçerli olan ismidir.

Map Network Drive Özelliği

Bu özellik sayesinde kullanıcılar uzak bilgisayarlardaki Shared Folder’lara kendi bilgisayarlarında bir harf yolu atayarak kendi bilgisayarlarındaymış gibi görürler.

AD DS Searching

Administrator “Active Directory Users and Computers” arayüzünü kullanarak shared folder’ları yayınlayabilir. Ayrıca Organization Unit içersine bir shared folder ekleyerek Active Directory yoluyla ulaşılmasını sağlayabilir.

Kullanıcılar Windows XP’de “My Network Places” ile, Windows Vista’da “Network” ile erişerek Active Directory üzerinde shared folder’ları sorgulayabilirler.

Başlat menüsündeki “çalıştır” kullanılarak

Başlat menüsündeki “çalıştır” kullanılarak da uzak bilgisayarlar üzerindeki paylaşıma erişmek mümkündür. Bunun için \\servername yazarak belirtilen uzak bilgisayardaki payşaşımlara ulaşılabilir.

Effective Permissions:


Resim-4

Windows Server 2008 grup üyelikleri üzerindeki efektif permissionları görüntüleyen bir tool (Effective permission tool) sağlar. Bilgi varolan permission başlıklarından toplanır ve read-only bir formatta görüntülenir.

Aşağıdaki ilkeler efektif permission’ları belirler;

1- Kümülatif permission’lar, kullanıcının üye olduğu tüm guplara ve kullanıcıya verilen yüksek NTFS Permissinon’larının kombinasyonudur. Öğneğin kullanıcı bir grup üyeliğinde read hakkına sahipse ve aynı zamanda modify hakkına da sahipse kullanıcı modify izni daha yüksek olduğu için modify iznine sahiptir.

2- Kesin deny ( Explicit deny) Permission’lar eşit Alow permission’ların üzerine yazılır. Buna karşın kesin allow permission miras olan deny permission’ların üzerine yazılabilir. Örneğin bir kullanıcının bir folder üzerinde kesin olarak write permission’ı deny olarak atanmış ve bu klasörün alt klasörlerine ve dosyalarına kesin olarak write permission’una alow verilirse alt klasörlerdeki alow izni miras olarak gelen deny’ın üzerine yazılır.

3- Permission’lar kullanıcılara ya da gruplara uygulanabilir. Gruplara uygulandığı takdirde yönetim kolaylaşır.

4- NTFS dosya permissions, klasör permission’larından önceliği alır. Örneğin kullanıcı klasör üzerinde modify iznine sahipse ve o klasördeki belirli bir dosya üzerinde read iznine sahipse, bu dosya için efektif permission read’dir.

5- Tüm objeler Active Directory’de ya da NTFS volümünde sahiplidir. Obje sahibi kişi obje üzerinde Permission’ların nasıl ayarlanması gerektiğini ve kimlere permission verildiğini kontrol eder. Örneğin bir kullanıcı bir klasörde bir dosya oluşturabiliyorsa kullanıcı modfy iznine sahiptir. Full controll izni verilmez. Çünkü bu izin verilirse kullanıcı klasör üzerindeki permission’ları da değiştirebilir ve bu yolla klasörün sahipliğinide alabilir.

Shared Folder ve NTFS İzinlerinin Birleştirilmesi


Resim-5


Resim-6

Bir NTFS bölüm üzerinde bir paylaşım oluşturulmak istendiğinde dosya ve klasörlere erişmek için en sınırlandırıcı NTFS permission’larını, networkten erişimi kontrol etmek içinde en sınırlandırıcı shared folder permission’larını kullanmak gerekir.

Permissionlar Birleştirilmesi:

NTFS bölümünde bir doya oluşturulup paylaşıldığında, dosya üzerindeki kaynaklara local yada network üzerinden erişilmesinden NTFS permissionları sorumludur. Bu NTFS bölümünde bulunan dosya üzerinde shared permission uyguladığımızda aşağıdaki kurallar geçerli olur;

1- Default olarak everyone grubuna shared folder permission’ları üzerinde Read permission’ı atanmıştır.

2- User uygun shared folder permission’ları ile eriştiği paylaşım üzerinde kaynaklara erişmek için kendisine atanmış olan NTFS permission’lara sahip olmalıdır

3- NTFS permission’ları ile shared folder permission’ları birleştirildiğinde sonuç olarak Paylaşılan klasör üzerinde efektif bir sınırlandırma oluşturmuş oluruz.

NTFS ve Shared Folder Permission Uygulanırken Dikkat Edilecek Hususlar:

1- Permission’lar genellikle Grup bazında verilmelidir.

2- Deny permission’ı sadece gerekli olduğunda kullanılmalıdır. Çünkü deny permission alow permission’larına miras olarak geçer. Deny atandığı takdirde kullanıcıların alt klasör ve dosyalara erişmesinde sorun çıkabilir.

3- Bir objeye erişim de everyone grubuna asla deny verilmez. Eğer everyone grubuna deny verilirse administrator dâhil kimse kaynağa erişemez. Kaynak üzerinde özel permission atamaları yapmak istiyorsak everyone grubunu silmeliyiz ve daha sonra kullanıcılara, gruplara ya da bilgisayarlara permission ataması yapmalıyız.

4- Önemli olan objelere klasör içerisinde yüksek permission’lar atanmalıdır. Böylece security ayarları klasör içerisinde dallanır.

5- Nitelikli erişim için shared permission’ları yerine NYFS permission’ları kullanmak gerekir. NTFS ve Shared permission’larının ikisini birden kullanmak zordur. Yapılması gereken genel olan gruplara shared folder düzeyinde , özel olan gruplara da NTFS permission’ları düzeyinde permissionlar uygulanmalıdır. Örneğin Domain user grubuna modify iznini shared folder permission’larında verirken, spesifik gruplara NTFS permission’ları kullanılarak Read-only permission’ı atanabilir.

Evet iki bölüm halinde kaynaklara erişim konusunu detaylı şekilde incelemiş olduk.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Microsoft Technet, Microsoft Study Guide

Yorum Yap

Yazar Hakkında

Sakarya doğumludur. İstanbul Üniversitesi’nde Matematik/Fen ve Teknoloji öğretmenliğini bitirmiştir. Yüksek lisansını Sakarya Üniversitesi Bilgisayar Mühendisliği’nde yapmıştır. Bilişim sektöründe çeşitli firmalarda sistem ve network sorumlusu olarak çalışmıştır. Bazı kurumlarda sistem ve network üzerine uzmanlık eğitimleri vermiştir. Şu anda Netaş şirketinde kurumsal danışman olarak görev yapmaktadır. Microsoft System Center ürünleri, Powershell ve Azure teknolojileri ile ilgilenmektedir. 2016 yılında Microsoft tarafından Cloud and Datacenter alanında MVP unvanını almıştır.

Yorum Yap

Yorumlar (1)

  1. Güzel derlemişsin Fırat eline sağlık