3 Nisan 2010 Cumartesi

Active Directory’de Kullanıcı&Grup Yönetimi

Active Directory yönetiminde en temel ve kolay işlemler Kullanıcı ve grup işlemler olmasına karşın en çok kullanılan ve sorun yaratan kaynakta yine kullanıcı ve gruplardan çıkar. Bu yazımızda Windows 2003 active directory kullanıcı ve grupları hakkında bildiğiniz ve ya bilmediğiniz birçok şeyi öğreneceksiniz.Ayrıca kullanıcı ve grup hesapları eklemenin ince noktalarınıda göreceksiniz. Faydalı olması dileğiyle.



Active Directory: Kullanıcı ve grup hesapları
Windows 2003 Server Active Directory"de Temel Kullanıcı ve Grup İşlemleri
Windows NT ile birlikte Microsoft tıpkı kendisinden çok büyük olan Unix ağabeyleri gibi, gerek sistem uygulamaları, servisler gerekse hizmet vereceği kullanıcılar için Gruplar ve kullanıcı hesaplarını kullanmıştır. Windows 9x serisi sistemlerde kullanıcı hesabı, işletim sistemi üzerinde kişiselleştirilmiş ayarlara verilen bir isimden ibaretti. Grupların ise adından bile söz edilmiyordu.. Windows NT ile birlikte kullanıcılar Yerel sistemde ve etki alanı çapında türlü yetkilere sahip, sistem üzerinde farklı izinlere sahip olan ve bu yetkileri özelleştirilebilir bir hale geldi. 
Bugün tüm modern işletim sistemleri grup ve kullanıcı mantığı ile çalışmaktadır. Windows uzmanları günlük yönetimsel işlemlerini yapmak için, örneğin bir backup uygulamasını çalıştırmak için ya da kaynaklara erişimleri düzenlemek için grup ve kullanıcı hesaplarını kullanılması kaçınılmaz olmuştur. Active directory için grup ve kullanıcı yönetimi hayati önemlidir. Fazlasıyla verilen bir hak sistemlerde güvenlik açığı ve veri kaybına neden olabilecekken, yetersiz verilen haklar erişim kısıtlamaları ve üretim döngüsünün aksamasına neden olur.
Bu dokümanın yazılma amacı local ya da domain çapındaki varsayılan kullanıcı haklarını öğrenmenizi ve bunları organizasyonunuzda uygulayarak günlük bazı sorunlarınızı bertaraf etmenizi hedef almaktadır.

Microsoft Windows Active Directory"nin yönetimsel işlevleri arasında beklide en temel ve en kolay olanlarından biriside kullanıcı işlemleridir. 
Bu kadar basit bir konuda böyle bir yazı yazmaya gerek var mı? demeyin. Elbette gerek var, yazıyı okudukça neden bu konuda yazdığımı daha iyi anlayacaksınız. En basitten karmaşığa doğru bir Active Directory yazımıza daha başlıyoruz, haydi hayırlı olsun.
1-Kullanıcı Hesapları
Active Directory kullanıcı hesaplarına giriş: 
Bütün modern işletim sistemleri gibi, Windows 2003 ve Windows XP (bunların yanına NT Srv ve WS, 2000 Server ailesi ile Professionalı katmama gerek yoktur sanırım) kullanıcı - grup mantığı ile çalışır. İşletim sistemi pek çok işlemi gerçekleştiren bir yazılımlar, scriptler, komutlar bütünüdür ve bu kadar işlemi doğru bir biçimde kullanıcının kullanabilmesi için parçalara bölünmesi gereklidir. Bunun insanlara yansıyan bölümünü gruplar ve kullanıcılar oluşturur. 
Gruplar, işletim sisteminin yukarıda saydığımız birtakım ya da tüm işlevleri için belirli haklara sahip kullanıcı nesnelerdir. Gruplar sayesinde aynı işlevleri birden fazla kullanıcının kullanması mümkün olmaktadır, aynı zamanda aynı işlevleri kullanan kullanıcıları bir arada tutarak kullanıcıların yönetimini kolaylaştırır.

Active Directory, Microsoftun dizin erişim hizmetidir. Active Directorynin özelliği çok geniş ağları tek bir merkezden yönetebilmesi veya merkezdeki yönetim yetkisini çok geniş alanlara yayabilmesidir. Bu kadar esnek ve geniş bir dizin hizmetinin en önemli hizmet unsuru şüphesiz kullanıcılardır. Kullanıcı yönetimi Active Directoryde hayati önemlidir, bilmemek mazeret değildir. 
Active Directory"de farklı görevleri yerine getiren farklı tip kullanıcı ve grup hesapları vardır. Bunları aşağıda tablo 1 ve 2 de inceleyebilir ve birbiriyle kıyaslayabilirsiniz. Fakat genellikle standart kullanıcı hesapları üzerine çalışacaksınız. Bu tip kullanıcıların hiçbir yetkisi yoktur. Sistem üzerinde kendi masaüstü ayarları ve pencere görünümü hariç hemen hiçbirşey değiştiremezler, kendi home directoryleri dışında hiçbir dosyaya yazamaz, değiştiremez silemez, kendi dosyaları hariç hiçbir dosyayı değiştiremez, silemezler. Bunlar salt okunur kullanıcılardır desek yanlış olmaz sanırım :) 

Yeni nesil microsoft işletim sistemlerinde 2 tür hesap bulunur

Domain kullanıcı hesapları:
Bir Active Directory (bundan sonra AD olarak bahsedilecektir) Domain Controller"da (bundan sonra kısaca DC olarak bahsedeceğim.) oluşturulan hesaplardır. Bu hesaplar yetkileri doğrultusunda tüm domain çapında tek oturumla (Single Sign-On) kaynaklara erişim hakkına sahiptir. Mesela şirketinizde sistemmuhendisi.local adlı domaine bağlı file.sistemmuhehendisi.local fqdn li bir file server var. Bu dosya sunucusundaki paylaştırılmış kaynaklara erişmek için kullanıcının tek yapması gereken şey, domain kullanıcıhesabı ile oturum açmaktır. Böylece kullanıcı sadece kendi PCsinin şifresini girdikten sonra diğerlerine hiçbir kullanıcı adı ve şifre girmeden kaynakları kullanabilir. 
Bu çok faydalı bir özellik olduğu gibi, güvenliğinde iyi ayarlamamız için bir nedendir. İşte bu nedenle kullanıcı hesapları çok önemlidir. Domain kullanıcı hesaplarını yönetmek için Domain Controller üzerindeki Active Directory Users and Computes snap-ini aracılığıyla yönetebilirsiniz.
Local kullanıcı hesapları:Domain kullanıcı hesaplarının aksine local kullanıcı hesapları bir yerel bilgisayarda oluşurulan ya da yerleşik hesaplardır. Local hesaplar sadece oluşturuldukları bilgisayar üzerindeki kaynaklara erişim hakkına sahiptir. Ağdaki bir kaynağa erişebilmeleri için önce kimlik doğrulamaları gerekir. Domain hesaplarındaki örneği verecek olursam, file.sistemmuhendisi.local sunucusundaki kaynaklara erişmek için kendisine sorulan domain / user / password gibi bilgileri elle girmeyi gerektirir. Local kullanıcıları Local Users and Groups ile yönetirsiniz.

Single Sign On :Tek oturumla tüm domain kaynaklarına oturum açmanıza olanak verir.


NOT: Bir etki alanında sadece member server ve workstationların yerel hesapları vardır. DC lardaki local hesaplar AD promotion sırasında AD e aktarılırlar ve artık bir Domain objesi olurlar.
Logon isimleri, Şifre & Parolalar
Tüm kullanıcı hesapları bir logon adına sahiptir, yani kullanıcı adı diyebileceğimiz şeyle. örneğin sistemmuhendisi.local adlı domainde logon adı, \n ozgurk@sistemmuhendisi.local " ); //--> Bu e-Posta adresi istenmeyen postalardan korunmaktadır, görüntülemek için JavaScript etkinleştirilmelidir. " ); //--> gibidir. Windows 2000 öncesi kullanıcı adı ise SISTEMMUHENDISI\ozgurk gibi betimlenir.
Kullanıcı hesaplarının genellikle kendileri le ilişkilendirilmiş parola ya da sertifikaları vardır. Parolalar kimlik doğrulama için gizli karakterler içeren öğelerdir. Sertifikalar ise bir ortak ve birde gizli anahtar ile birleştirilen ve kullanıcıya kimlik doğrulama için atanan nesnelerdir. Sertfikaları genelde smart-card ve smart-card okuyucu ile kullanırsınız. 

SID ? Security Identifier
Grup ve kullanıcı hesaplarının ayrıcalıklarını ( privilage) tanımlamak için parola ve sertifikalardan daha önemli bir şey varsa bu da SID - Security identifier yani güvenlik tanımlayıcılardır. SIDler grup ve kullanıcı hesapları oluşturulduğu anda üretilen ve asla benzeri olmayan tanımlayıcılardır. SIDler sayesinde kullanıcı ayrıcalıkları domain çapında kullanılabilir. SIDlerin çok fazla görevi olmasına rağmen en önemli iki amacı kullanıcı hesabının ismini değiştirmenize olanak sağlaması bir diğeri ise bir yöneticinin hesabı silip aynı hesap adını kullanarak kaynaklara erişmesini engellemesidir. Gerçekte de \n ozgurk@sistemmuhendisi.local " ); //--> Bu e-Posta adresi istenmeyen postalardan korunmaktadır, görüntülemek için JavaScript etkinleştirilmelidir. " ); //--> kulanıcısını sildiğinizde ve aynı isimde hesabı tekrar oluşturduğunuzda kullanıcının dosyalarına erişemez ve kullandığı kaynakları kullanamazsınız. 
Bir hesabı sildiğinizde aynı SID bir daha hiçbir hesapta kullanılmaz. Bu yüzdende grup ve kullanıcı hesapları dikkatli kullanılmalı, sık sık backup almalısınız.
SIDler grup ve kullanıcı hesapları oluşturulduğu anda üretilen ve asla benzeri olmayan tanımlayıcılardır.

2- Gruplar
Gruplar benzer amaç ve görevlere sahip kullanıcı hesaplarını yönetmeyi sağlarlar.. Gruplar AD yönetimini kolaylaştırırlar. Fakat bir kullanıcı domain çapındaki bir kaynağa erişim izni sağlanmış bir grubun üyesiyse, kullanıcı hesabıda o kaynağa erişim iznine sahiptir.
Domain ve grup adları aynı olabileceğinden dolayı pre-Windows 2000 de olduğu gibi domain\grup biçiminde betimlenirler. istanbul\pazarlama adı istanbul domainindeki pazarlama grubunu belirtir.
Grupları kullanıcı hesaplarından ayıran bir başka şeyde kullanıcı hesapları ile oturum açılabilmesine rağmen grup hesapları ile oturum açılamaz. Grup hesaplarında parolalar yoktur. Anlayacağınız üzere gruplar benzer ya da aynı amaçta oluşturulan kullanıcı hesapları için bir kap görevi görürler.
3 tür grup vardır;
Local gruplar:
Local gruplar, local kullanıcı hesapları gibi oluşturuldukları bilgisayar kapsamındaki kaynaklara erişim hakkına sahiptir. Local Users and Group aracılığıyla yönetebilirsiniz. Günümüzde artık local gruplar pek az kullanım alanına sahiptir.
Security grupları: Kendilerine ait SIDlere sahip gruplardır. AD ile beraber kullanılırlar. Active Directory Users and Computers snap-ini altından yönetilirler


Distribution grupları: Eposta dağıtımı amacıyla kullanılırlar. Genelde de exchange server için ayırılmıştır diyebiliriz. Distribution gruplarının SIDleri yoktur. Yine Active Directory Users and Computers snap-ini altından yönetilirler.

Grup kapsamları (Scoplar)
Gruplar aynı zamanda kapsamlarına görede ayrılırlar. Bu grupların etki gösterdikleri alanın genişliğini belirleyen mantıksal bir kavramdır. 4 farklı kapsam söz konusudur. Bunlar;

Domain Local grupları:
Domain local grupları sadece tek bir domain içinde etki gösterebilen gruplardır. Örneğin 3 domainden oluşan bir AD forestınız varsa, domain local sadece kendi belirlendiği domain içinde erişime sahiptir. Tek domain içinde izin ve erişimleri basite indirgerler. Tek domainden oluşan dar kapsamlı bir networkünüz varsa sadece Domain local grupları kullanmanız işinizi görecektir.
Built-in Local gruplar:Aynen domain local gruplar gibi çalışmalarına rağmen yenisi oluşturulamaz, varolan grup silinemezdir. Sadece değiştirme yapılabilir. Bazı yerleşik dahili gruplara kullanıcı hesapları eklemeniz gerektiğinde kullanabilirsiniz. Domain local gruplara yapılan bu tür başvurular, aksi tanımlanmadığı sürece built-in local gruplarada yapılmış olur.

Global Gruplar: Kullanıcılarınızın tüm domain, tree ve forest içindeki kaynaklara erişim izni sağlamak amacıyla kullanılır. Global gruplar sadece kendi oluşturuldukları etki alanlarından kullanıcı ve gruplar içerebilirler.

Universal Gruplar:Universal gruplar tüm forest içindeki kaynaklara erişim hakkına sahip gruplardır. Universal gruplar global grupların aksine oluşturulduğu etki alanından olmayan grup ve kullanıcılarında bünyesinde barındırabilirler. Geniş çapta erişim ve izin tanımlanması isteniyorsa universal gruplar biçilmiş kaftandır. Yalnız uiversal grupların kullanımı dikkatli yapılmadığı takdirde dizin sisteminizde bir takım sorunlar yaşamanız olasıdır. Tüm forest çapında etki gösterdiklerinden dolayı bu gruplarda yapılacak değişiklik tüm foresttaki DC lere replike edilir. Bu da network ve özelliklede WAN trafiğini artırır. 
NOT: Universal gruplar, AD etki alanınız sadece native mode da ise kullanılabilirler. Ayrıca grupların başka gruplara üye yapılabilmesine olanak sağlama ( nesting) yine sadece native mode a özgüdür.

Resim sayfaya göre boyutlandırılmıştır. Resmi büyütmek için buraya tıklayın. Resmin orjinali 994x317 boyutundadır.



Tablo 1 - Windows 2000 sonrası sistemlerde grupların etki gösterdikleri alanlar.

Yukarıda da belirttiğim gibi, grup grupla hesaplarınında SID leri vardır. Kullanıcılarda olduğu gibi grup hesaplarında da grubu silp aynı ya da farklı bir adda grup oluşturduğunuzda SID numarası aynı olamaz. Bir kullanıcı oturum açtığı esnada bir security token oluşturulur.Bu token ile kullanıcının üyesi olduğu tüm grupların SID I belirlenir..Token in boyutu kullanıcı başka gruplara dahil edildiğinde artar.

Notlar : Bir grubun üyesi arttıkça oturum açma işlemi daha uzun bir zaman alır. Çünkü kullanıcı eklendikçe security token boyutu artar.
ACL (erişim denetimi listeleri) izinlerini belirlemek için security token, kullanıcının erişim izni olan tüm bilgisayarlara gönderilir. Bu nedenle security token boyutu arttıkça ağ trafiğide artacaktır.
Bir güvenlik grubunun alabileceği maksimum üye sayısı 5000dir. Bundan sonra bu gruba yeni kullanıcı ekleyemezsiniz, yeni bir grup açmanız önerilir. Hatta bence bu sayıya yaklaşmayı bile denemeyin.
Son olarak tekrar hatırlatayım, Distribution gruplarının SIDleri yoktur. Bu yüzden bunları networkunuzda kaynak paylaşımı olarak kullanmanız olası değildir. Sadece email dağıtım listeleri için kullanabilirsiniz.

Varsayılan Grup ve Kullanıcı Hesapları
Windows Server yüklediğinizde kurulumla beraber bir takım kullanıcı ve gruplarda beraberinde gelir. Bunlar bazı yönetimsel görevleri kolaylaştırmak için tasarlanmışlardır. Nedir bunlar;
Bult-in hesaplar (dâhili) hesaplar: Bu tür hesaplar işletim sistemi ve servislerle beraber yüklenirler. Genelde servisleri çalıştırmak için kullanılırlar. Local system, local service ve network bunlara birer örnektir. 
Predefined (Ön tanımlı) hesaplar: Bunlarda işletim sistemi ile birlikte yüklenirler.. Kullanıcı ve uygulamalara ayırılmıştır. Administrator, guest, support,aspnet örnek olarak verilebilirler. 

Closed (Kapalı) gruplar: Ağ kaynaklarına erişirken kapalı olarak oluşturulurlar; special identities olarakta adlandırılırlar. 

Şimdi gelin bu yukarıda saydığımız hesapları daha yakından inceleyelim.

Built-in Kullanıcı hesapları:

Local System: Bu hesapla system çapındaki işlemleri ve servisleri çalıştırmak amacıyla kullanılır. Logon as a service oturum açma hakkını verir. Windows servislerinin çoğu bu hesap ile çalışır.

LocalService: Yerel system üzerinde ek ayrıcalık ve oturum açma hakkı gerektiren servisleri çalıştırmak için kullanılan bir ön-hesaptır. Bu hesap ile çalışan servislere varsayılan olarak Log On As a Service ve Change The System Time ve Generate Security Audits hakları verilir. Alerter, messenger, Remote registry, Smart card, Smart card helper, SSDP discovery service, TCP/IP Netbios helper, Uninterruptible power supply ve webclient Local Service hesabı ile çalışan servislere örnek verilebilir.

Network service: Aynı local service hesabı gibi network service de bir ön yardımcı hesaptır. Local service ile aynı haklara sahip olmasıyla birlikte amacı yerel system ve ağ üzerinde ek ayrıcalık ve oturum açma gerektiren uygulama ve servisleri çalıştırmak için kullanılır. Distribution transaction coordinator, dns client, RPC locator, Performance logs and alerts bu hesabı kullanır.

Bunların dışında birde bazı opsiyonel windows bileşenleri ve programlarla yüklenen hesaplar vardır. Örneğin iis yüklediğinizde IUSR_bilgisayaradı (yüklediğiniz bilgisayarın adı) IWAM_bilgisayaradı vardır. IUSR_bilgisayaradı, IIS e adsız erişim için kullanılır. IIS işlem dışı uygulamalar çalıştırmak için IWAM_bilgisayaradı hesabını kullanır. Bir diğer örnekte TSInternetUser?dır. Bu hesapta terminal service tarafından kullanılır.

Önceden tanımlı (PREDEFINED) Kullanıcı hesapları:

Windows Server 2003 te birkaç tane ön tanımlı kullanıcı hesabı vardır. Administrator, ASPNET, Guest, Support gibi. Bunların Active directoyde benzer karşılıkları vardır ve dizin çapında erişime sahiplerdir.

Administrator: Administrator hesabı sistemde dosya, dizin ve hizmetlerde tam erişim hakkına sahip yönetici hesabıdır. Sistemde herşey i yapma hakkı vardır. Bu yüzden kullanımı çok dikkat ister ve çok iyi korunması gereken bir hesaptır. Siz kaynaklar üzerinde Administratorun erişim haklarını kaldırsanız bile yine bu hesapla haklarınızı geri alabilirsiniz.

Dikkat! Administrator hesabı tüm görevleri yapma yeteneğine ve haklarına sahip bir hesap olduğundan çok iyi korumanız gereklidir. Administrator hesabınızı sisteminiz kurulduktan sonar yeniden adlandırın ve tahmini ve kırılması çok zor parolalar verin. Bu hesabın bilgileri kimsenin eline geçmemelidir. En iyisi bu işlemleri yaptıktan sonra sahte bir administrator hesabı yapın ve devre dışı bırakın.
Domaindeki Administrator hesabı Administrators, DomainAdmins, Domain Users, Enterprise Admins , Group policy creator owners ve Schema Admins grubunun üyesidir.

ASPNET: ASPNET hesabı .Net için kullanılır ve IIS deki worker process leri çalıştırır. Aslında bir domain users ya da users üyesi olduğu için sıradan bir kullanıcı hesabı ile aynı haklara sahiptir.

GUEST: Guest namı-I diğer ziyaretçi hesabı local bilgisayar ya da domaindeki kaynaklara nadiren yada bir kere erişim duyan kullanıcılar için oluşturulmuştur. Kanımca çok gereksiz tehlike yaratan bir hesaptır. Zaten varsayılan olarak devre dışıdır. Guest hesabı gueasts ve domain guests üyesidir. Guest hesabındaki asıl tehlike everyone kapalı grubunun bir üyesi olmasıdır. Bu nedenle everyone grubuna verdiğiniz yetkileri aynı zamanda guest hesabınada verirsiniz. Guest hesabını benc hiç kullanmayın. Illaki kullanacaksanız, yukarıda Administrator hesabı için söylediğim güvenlik önlemlerini yerine getirin..

SUPPORT: Windows"un Help and Support servisi tarafından kullanılır Support..Domain Users ve HelpServicesGroup üyesidir.Batch process olarak oturum açma yetkisi vardır. Yalnız bu bildiğimiz user logon işlemi değildir. Sadece batch işlem ve uygulamaları yerine getirmek için kullanılır.

Dâhili, Kapalı ve öntanımlı Grup hesapları
Dâhili grupları anlamak
Yerleşik gruplarda Windows Server yüklenirken beraberinde yüklenir.. Sistem ve dizin çapında haklara sahip bu gruplara kullanıcı ekleyerek onlara haklar verebilirsiniz. Bu da işlerinizi kolaylaştırmak için düşünülmüştür.. Kapalı gruplara aynı zamanda özel kimlikler adı da verilir. Kapalı gruplara kullanıcı ekleyemez, çıkaramaz ve silemezsiniz. B u kapalı grupların kullanımı ağ ve sistemde bazı kaynaklara nasıl ve ne biçimde erişileceği ya da yasaklanacağını bildirmek için kullanılır. İlerleyen bölümlerde kapalı gruplara daha fazla ve ayrıntılı değineceğiz. Aşağıdaki tabloda kapalı grupların kapsamları yer almaktadır.
Resim sayfaya göre boyutlandırılmıştır. Resmi büyütmek için buraya tıklayın. Resmin orjinali 648x976 boyutundadır.


Temel Active Directory Kullanıcı İşlemleri
Bu bölümde Active Directorydeki bazı basit kullanıcı işlemlerini inceleyeceğiz. Önce bir kullanıcı hesabı oluşturarak işe koyulalım.
Önce Active Directory Users and Computers snap-in açın ve kullanıcıyı eklemek istediğiniz yere -ki genellikle bu OU olur - sağ tıklayın new --> user komutunu verin. 




Şekil 1- Kullanıcı eklemek
Karşınıza çıkan formda First name, initials ve Lastname kısımına Kullanıcımızın Adı, Soyadı baş harfleri göbek adını yazıyorsunuz. Ben ilk yerli formula pilotumuz Jason Tahinci yi finansçı yaparak işe koyuldum. Herneyse Burada en önemli kısım tabiiki logon name userlogon name bölümüne kullanıcıyı temsil edecek anlamlı bir isim verilmesi gerekir. Çoğu kurumda genelikle isimin tamamı ve soyismin ilk harfi yazılır. Yani jasont şeklinde. Tabii bu bir zorunluluk değildir, istediğinizi de yazabilirsiniz ama sizin ağınızı ve kullanıcılarınızı yönetmeniz açısından hele ki büyük bir networkunuz ve çok sayıda kullanıcınız varsa bu neredeyse bir zorunluluktur. 

Dikkat etmemiz gereken ikinci konuda, pre-Windows 2000 name alanı. Bu alan Windows 2000 öncesi sistemlerle uyumluluk için tasarlanmıştır. Windows 2000 ve sonrasında bir kullanıcıyı kullanıcı adı olarak \njasont@sistemmuhendisi.int " ); //--> Bu e-Posta adresi istenmeyen postalardan korunmaktadır, görüntülemek için JavaScript etkinleştirilmelidir. " ); //--> olarak temsil edebiliriniz. Fakat NT domainlerinde ve Windows 2000 ile sonrası Active Directory dizin hizmeti çalkıştırmayan bilgisayarlarda ( 2000 ve XP dahil) kullanıcıları domain\usergibi bir isimlendirme mantığıyla temsil edersiniz. 

Ağ üzerinden domaine üye olamayan bir bilgisayar için domain name bilgisayar ismidir. Bu yüzden o makinaya ağdan ulaştığınız zaman paylaşımlara ve diğer kaynaklara erişmek için bilgisayaradı\kullanıcı olarak isim ve şifre girmeniz gerekir. Bu küçük bilgiden sonra konumuza devam edelim.
Pre-windows 2000 username kısmının yukarıda yazdığımız username ile aynı olması gerekir yoksa iş istasyonunuza logon olamazsınız.



Şekil 2- usernamelerin aynı olmasına dikkat edin.

İkinci bu kısımı doğru bir şekilde doldurup bir sonraki aşamaya geçtiğimizde kullanıcının şifresini belirleyeceğimiz ekrana geliriz (Şekil 3). Bu alanda bir önceki kadar önemlidir. Password ve confirm password alanlarına kullanıcının gireceği şifreyi yazın. Eğer password policylerde bir değişiklik yapmadıysanız girmeniz gereken şifre en az 6 karakter uzunluğunda Büyük ve küçük harfler içeren ayrıca sayı ve özel noktalama işaretleri gerektiren karakterler olan bir şifre olmalıdır. Bu durumu değiştirmek için policylerde password policy öğelerini değiştirerek ayarlayabilirsiniz. 
Şifreleri değiştirmek için Default domain policy i kullanmak genel yöntemdir ve en doğru olanıdır. 
Fakat bazı özel durumlarınız varsa ( gıcık departmanlar, saf kullanıcılar vs. vs.) site yada ou seviyesinde GPO objelerinden de bunu değiştirebilirsiniz. Bir diğe dikkat etmenizi önerdiğim konu ise çok fazla uzun ve karışık işaret / harf isteyen policyleri kaldırın. Bu hem kullanıcılarınızın şifrelerini çok sık unutmasına neden olur, hemde şifreleri genelde akıllarında tutmaktansa kâğıtla sağa sola yazacaklarından güvenliği önemli ölçüde düşürür. 
Son olarak ise şifre ömrünü çok kısa tutmayın. Varsayılan değer olan 42 gün genellikle iyi bir değer olmakla beraber çok kısa süreli yenilemeler kullanıcılarınızı bıktırıp aynı şifreleri vermelerine ( tabii enforce password history policy değerine yüksek bir sayı vermediğiniz sürece) ve sizi patrona şikayet etmelerine neden olur :) 





Şekil 3- Kullanımızın parolasını belirliyoruz.

Bu ekranla ilgili olarak söyleyeceklerim bununla sınırlı değil. ?User must change password at next logon? kutucuğunu işaretlersek kullanıcı bundan sonraki ilk oturum açma girişiminde şifresini değiştirmeye zorlanacaktır.
User cannot change password seçeneği işaretlenirse kullanıcı parolasını hiçbir zaman kendi kendine değiştiremez. Yalnızca bir domain admin yada daha üst seviyede bir grubun üyesi bunu değiştirebilir. ( yada şifre değiştirmek için delegasyon verilen bir kullanıcı hesabı ile)Password never expires seçeneği kullanıcı şifrelerinin ömrünün süresiz olmasını sağlar, böylece 42 günde bir kullanıcı şifresini değiştirmeye zorlanmaz.Son seçenek ?Account is disabled? seçeneği, bu kullanıcı hesabını devre dışı bırakır. Buna neden gerek duyarsınız? Diyelimki Katsumoto Sa adlı bir kullanıcı işe başlayacak, size bilgilerini verirler ve sizde IT departmanının cefakar çalışanı hesabı açarsınız ama arkadaş Japonyadan yürüyerek geldiği için hesabı kullanamaya başlayacağı zamana kadar hesabı güvenlik nedeniyle kapalı tutarsınız. 
Next dedikten sonra kullanıcı oluşturma işlemimiz neredeyse bitiyor.Next .....Bir sonraki bölüme geçelim.




Şekil 4- Kullanıcı hesabımızla ilgili son özet bilgi ekranı. 
Hesabımız oluşturduk ama bakın neyi unuttuk? Varsayılan policy kurallarına aykırı olarak, basit bir şifre verdiğimiz için Windows"umuz bize "napıyorsun" diye uyarıyor( şekil 5) .Ok leyip şifre ekranına geri dönerek policylere uygun bir şifre verin ve devam ederek kullanıcı oluşturma işlemini tamamlayın.



Şekil 5- Policy kurallarına aykırı bir şifre verdiğinizde alacağınız uyarı.
Hesabımızı oluşturduk ama işimiz bununla bitmiyor. Windows 2000 Active Directory ile beraber bir kullanıcı üzerinde pek çok tanım yapabilirsiniz. Şimdi bu kullanıcı tanımları nelerdir bakalım tek tek. 


Oluşturduğumuz hesaba sağ tıklayıp "properties" komutunu verin. General ekranında daha önceden tanımladığımız alanların dışında Description, Office, Telephone number, email ve web page gibi ek alanlar mevcut. Telephone ve webpage için fazladan alanlar tanımlayabilirsiniz.



Şekil 6- Kullanıcınızın bilgilerini girmek için ekstradan fazla alanlar tanımlayabilirsiniz.

Account sekmesine tıkladığımızda, kullanıcıyla ilgili bir çok yönetimsel alana ulaşmış oluruz.Bunlardan en önemli 3 tanesi Logon hours, Log on to.. ve account expires alanlarıdır. Bunlar gerçekten önemli alanlardır ve güvenlikle doğrudan ilişkilidirler. Şimdi ne işe yaradıklarını gözden geçirelim.
Logon hours: Kullanıcının hesabıyla hangi saatlerde ve günlerde oturum açacağını belirler. Bununla birlikte şirket çalışanlarının çalışmadığı sürelerde hesaplarının inaktif olmasını sağlayabilirsiniz. Böylece tanımlamasının yaptığınız hiçbir kullanıcı sizin belirlediğiniz saatler dışında hiçbir bilgisayarda oturum açamaz veya hesabındaki öncelikleri ve hakları kullanarak bir işlem gerçekleştiremez.





Şekil 7 ? Account tabı ile birçok yönetimsel alana ulaşabilirsiniz.

Varsayılan ayar olarak tüm kullanıcılar haftanın her günü ve her saati oturum açma hakkına sahiptirler. Firmanızın ilgili birimleriyle irtibata geçerek çalışanlarınızın çalışma saatlerini ve mesai durumlarını öğrenin, buna göre logon saatlerini düzenleyin. 
Logon hours butonuna tıkladığınızda karşınıza şekil 8"deki veya benzeri bir ekran çıkacaktır. Mavi renkli alanlar logon işlemine izin verilen saat ve günler, beyaz alan ise yasaklı zamanlardır. Ben örnek şekilde "jasont" kullanıcısı için Pazartesi ve Cuma günleri arası 08.00 - 17.00 saatleri arasında çalışmasını uygun gördüm. 




Şekil 8 ? Kullanıcımızın hesabı hafta içi 08.00 ? 17.00 çalışacak şekilde ayarlandı.
* Kişisel not: Bir düşünün bu işlev ile şirkette çalışma saatlerini düzene sokuyorsunuz, güvenliği sağlıyorsunuz. Eğer bir kişinin mesai yapması gerekirse, sizin izniniz olmadan oturum açması mümkün olmuyor. Sizde birim amiri veya IK ile iletişime geçerek durumu onaylıyorsunuz. Bu kişi böylece kafasına göre mesaide alamıyor. Rahat bir uyku çekiyorsunuz. Bu tip düzeni sağlamak için IT departmanının da diğer departman yöneticileri ile eşit değere, öneme sahip olması gerekiyor. Bunu başaran organizasyonlardaki sistem yöneticisi arkadaşlara neden sistem yöneticisi denildiğini, yönetici sıfatıyla anıldığını böylece daha somut görüyoruz. Basit ama ne kadar ince ve önemli bir nokta?


Log on: Logon hours kadar önemli bir başka özellik, log on to. Nereye oturum açacak bu kullanıcı. Varsayılan olarak kullanıcılar her iş istasyonuna oturum açma hakkına sahiptir. Her ne kadar aynı kurum içinde bile olsa herkesin her bilgisayarda oturum açmasını istemezsiniz. Kullanıcıların oturum açabileceği bilgisayarları ayrıca belirleme şansına bu seçenek ile sahip oluyorsunuz. (Şekil 9) Ben jasont kullanıcısının, sadece jason adlı kendi bilgisayarında oturum açmasını istedim.




Şekil 9- Log on to seçeneğiyle kullanıcının oturum açabileceği bilgisayarları seçebiliyorsunuz.

Account tabını böylece bitirerek "Profile" tabına geçiyoruz. Profile tabı kullanıcının çalışma ortamını şekillendirip düzene sokmaya yarar. Profile tabında 4 ana alan vardır; Profile path, logon script, local path, connect. Şimdi bu dört farklı alanı daha yakından öğrenelim. 
1. Profile path : Profile path, kullanıcının kişisel dosyalarının (application data, my documents, favorites, local settings vs. vs.) nerede tutulacağını gösterir. Profile path alanını doğru şekilde yapılandırırsanız kullanıcınızın dosyaları çalıştığı local bilgisayarda değil, sizin belirlediğiniz bir sunucuda tutulur. Bu alana  gibi bir değer girerek yapılandırırsınız. Şekil 10"da görüldüğü üzere ben jasont?nin profil yolunu\\ ağ yolunda tutmayı seçtim. 
%username% değişkeni kullanıcın ismini temsil eder. Profile path, kullanıcı verilerinin güvenliğini ve düzenlerini daha kolay sağlamak, yönetimi büyük oranda daha merkezi hale getirmek, daha etkili, hatadan çok daha hızlı geri dönülebilir hale getirmek, yedeklemeyi kolaylaştırmak için kullanılabilir.
Logon script: Logon scriptler, kullanıcın oturumu açılırken uygulanmasını istediğimiz bazı işlevleri yerine getirir. Bunu burada tam olarak açıklamak zor, çünkü script dünyası yazılıma açılan bir kapı ve yapılabilecek şeyler o kadar fazla ki tek tek saymak mümkün değil. Kullanıcıların işlemlerini otomatikleştirmek, IT iş yükünü üzerinizden hafifletmek için farklı scriptler kullanabilirsiniz. 
Mesela kullanıcı oturumu açtığında çalışan bir script ile kullanıcının vpn bağlantısı sağlanır, uzak sunucudaki uygulaması çalıştırılır. Böylelikle kullanıcı oturumunu açtıktan sonra vpn bağlantısını açmak ve uygulama sunucusuna bağlanıp uygulamayı çalıştırmak için ek emek sarf etmeyecek, arada yapacağı tonla hatayı saymıyorum bile.. Her neyse, vb, wmi, bat gibi değişik formatta scriptler kullanabilirsiniz. Scriptler bir sunucuda ağdan erişilebilir bir konumda olması gerekmektedir. 






Şekil 10- Kullanıcımızın profili ve çalıştırılacak scriptleri bu ekrandan belirliyoruz.

Logon scripti aynı ou domain ya da sitedaki kullanıcılar için aynı olacaksa tek tek buradan script tanımlamak yerine group policy ile script tanımlamak daha mantıklı olacaktır. Şimdi gelelim "local path" ve "connect" değişkenlerine.

Local path : Local path değişkeni kullanıcının home folder ının nerede tutulacağını belirleyen bir değişkendir. Standard documents & settings değişkeninden başka sizde kendi belirlediğiniz bir yerde tutulmasını isteyebilirsiniz. Genelde pek kullanılmaz.




Şekil 11- Kullanıcımınızın başlangıçta kullanacağı

Connect : Connect seçeneği kullanıcının oturum açarken bağlanmasını istediğiniz paylaşılan dizinleri belirler ve bunu belirlediğiniz bir sürücü harfiyle birlikte ağ sürücüsü haline getirir ( şekil 11) . Bu kullanılmasını çok tavsiye ettiğim bir metoddur: böylece kullanıcılar üzerinde her zaman çalıştığı çok önemli belgeleri kendi bilgisayarlarında tutmak yerine belli bir ağ lokasyonunda tutar ve sizde izinlerini belirlersiniz, kontrol edersiniz, yedeklersiniz.
Bu alanı tanımlarken paylaşılmasını istediğiniz dizinlere kullanıcının erişim haklarını tanımlayın, Microsoft ( ve tabii ki bende, izin haklarını tanımlarken kullanıcıyı bir güvenlik grubuna üye yapıp, grup haklarını ayarlamayı ön görür), paylaşımın adresini To: kısmına yazın ve sürücü harfi belirleyin. Yukarıdaki örnekte Jasont kullanıcısı \\ adlı dizine J: sürücüsü ile erişecek şekilde tanımlama yapıldı. Bu bölümüde geçiyoruz ve artık kullanıcımızı bir güvenlik grubuna katıyoruz.




Şekil 12- Yeni bir grup oluşturmak. 

Yeni bir güvenlik grubu oluşturmak için öncelikle grubun oluşturulmasını istediğimi container a sağ tıklayın, new menüsünde group seçin. Karşınıza Şekil 12 deki ekran gelecektir. Group name kısmına grubumuzun adını yazın, Group name ( pre-Windows 2000) alanına da grubumuzun Windows 2000 öncesi sistemlerde görüntülenecek adını yazın. Ben düzen ve uyumluluk açısından her ikisini de Finans olarak adlandırdım. Group scope sekmesini işaretlerken Tablo 1" e bakmanızı tavsiye ederim. Grupların kapsamları çalışabilecekleri alanları belirler.
Bu noktada Universal grup radyo butonunun seçilemez durumda olduğunu görüyorsunuz. Bunun nedeni şuan domainin mixed mode da çalışmasından kaynaklanıyor. Bu durumu domaini Windows 2000 Native ya da Windows 2003 Native mode a geçerek değiştirebilirsiniz. Windows 2003 Interim Mode özel bir durum olduğu için bunu kapsama almadık.
Domain modları şuan için konumuzun dışında olduğu için bunu işlemeyeceğiz. Şu an bilmeniz gereken şey, grubunuzu Global security grubu olarak yaratmanız, sonra bir domain local grup oluşturmanız ( veya varolan bir domain local grubuna üye yapmanız), buna üye yapmanız sonra bu grubun yetkilerini belirlemeniz gerekmektedir. Buna kısaca AGDLP yöntemi denir. Açılımı Add Group to Domain Local and define Permissions. AGDLP yöntemine sadık kalmayabilirsiniz ama kurumunuzda birden fazla domain controller, lokasyon ve site yapısı varsa mutlaka kullanınız. 
Çünkü replikasyon ve bant genişliğini önemli ölçüde düşürecektir. Son olarak vermem gereken bilgi Distribution gruplarının sadece Exchange e posta grupları oluşturmak için kullanıldığı belirterek ve Bir Global Security grubu oluşturarak bu konuya son noktayı koyuyorum.


Şekil 13- Kullanıcımızı Finans grubuna ekliyoruz. Bunun için ufak bir ldap araması yapacağız. 

Grubumuzu oluşturduktan sonra tekrar kullanıcı özellikleri ekranına geri dönelim. Şimdi kullanıcımızı az önce oluşturduğumuz Finans grubuna ekleyeceğiz. Bunun için member of tabını seçin ve add butonuna tıklayın. Karşınıza yukarıdaki gibi bir arama ekranı gelecek."enter the object names" adlı alana grubun adını yazın, eğer grup adı uzunsa veya tam olarak hatırlayamıyorsanız bir kısmını yazın ve "Check Names" butonuna tıklayın. Eğer benzer isimlerde varsa check name size farklı sonuçlarda döndürebilir. 
Kullanıcımızı birden fazla gruba eklemek için Ldap aramasını yine bu pencereden ( Şekil 13) yapabilrsiniz. Advanced ve ardından find now seçeneğini seçerek ilgili tüm objelere ulaşabilirsiniz. Dönen sonuçlardan bir seçenek seçin ve OKleyip bu işlemi bitirin. Artık kullanıcımızı bir gruba da dâhil etmenin gönül rahatlığını yaşayarak sonraki konumuza geçelim. 

Bir diğer bilmemiz gereken sekmenin adı Dial-in ( Şekil 14). Bu sekmeden kısaca bahsetmek gerekirse, RRAS (Routing and Remote Access) tabanlı uzak VPN ve dial-up aramalarını için bu bölümdeki alanlarla kullanıcıya gerekli yetkiyi vermiş oluyoruz.
Allow Access, basitçe kullanıcının VPN uzak aramaları yapabilmesine izin verir. Bunu işaretlemezseniz, RRASdan kullanıcıya kurallarla izin verdiğinizi belirtseniz dahi kullanıcı uzaktan erişim sağlayamaz. Deny Access ise tabiî ki içeri arama ve VPN kullanıcı için devre dışı bırakır.
Callback options kısmında 3 seçenek sunulur. No callback geri arama yapılamayacağını belirtir. Set by callerseçeneğinde RRAS policylerinde belirtilen numaraya geri arama yapılır. Allways callback to seçeneğinde ise bizim belirttiğimiz numaralara geri arama yapılır. Aşağıdaki diğer kullanım dışı iki seçenek olan Assign a static IP address ve Assign static route ise RRAS policyleri tanımlanmadığından devre dışıdır ve daha sonra bir RRAS server kurarsanız, bu seçenekleri de belirleyebilirsiniz.
Bu bölümdeki seçeneklere kafanızı çok takmamanızı istiyorum, çünkü hepsi RRAS server tarafından kullanılan seçenekler olmakla birlikte pek fazla kullanmanız gerekmeyecek. Ama unutmamanız gereken tek şey bu bölümde RAS VPN kullanmak için Allow Access seçeneğini işaretlemenizin gerektiğidir.




Şekil 14 ? Dial-in sekmesi RRAS tarafından kullanılan bir sekmedir.





Şekil 15 ?Environment sekmesi kullanıcının Terminal bağlantısı seçeneklerini belirler.

Dial-in sekmesinden sonra inceleyeceğimiz bir diğer sekme ise "environment" sekmesidir (Şekil 15). Environment sekmesi Terminal Server bağlantıları için kullanılır. Bu bölümün temel olarak iki görevi vardır: açılış programı ve bağlantı sırasında bağlanacak aygıtlar.
Starting program bölümü altında, "start the following program at logon" seçeneğini işaretlerseniz ve uygun bir şekilde doldurursanız kullanıcı terminal servera bağlantı kurduğu anda belirlediğiniz program çalışacaktır, kullanıcı programı kapattığında terminal bağlantısı da sonlanacak. Ben kullanıcının Windows dizini altındaki wrapper.exe adlı dosyayı çalıştırmasını seçtim. Start in ise program ve bağlantıyla ilgili çalışma dizinini belirler. Bu alanı doldurmazsanız kullanıcının varsayılan ev dizini start in olarak kullanılacaktır. 
Client Devices adlı ikinci bölümümüzde ise terminal bağlantısı sırasında istemci bilgisayardaki çevre yazıcı, disk gibi aygıtlar terminal server a yönlendirilecektir. Connect client drives at logon, istemci bilgisayardaki sürücüler terminal serverda My computers altında görünür ve erişilebilir. Connect client printers at logon, istemci bilgisayardaki printerlar, terminal serverda kullanılabilir. Default to main client printer, istemcideki bağlanan printerı varsayılan printer olarak seçer.





Şekil 16 - Terminal service profile. 
Bir sonraki sekmemizin adı "Terminal service profile" ( Şekil 16 ) Bu bölümde karşımıza çıkan ekran, yukarıda incelediğimiz profile ekranıyla hemen hemen aynıdır. Bunun için kısaca özetleyecek olursak, kullanıcının Terminal"e bağlandığında home folder path ve home driveları belirlemek için kullanırız. Bunu kullanmaızdaki neden kullanıcının Terminal sunucuda işlediği veriler önemli ise ve bunları kullanıcının kendi home directorysinde tutmak istemiyorsak kullanabiliriz. Ben yukarıdaki şekilde jasont?nin daha önce belirlediğim home directory si ile aynı yolu belirledim. 
Terminal server ile ilgili seçenekleri kullanıcı başına tek tek düzenlemek yerine group policy yoluyla da belirleyebilirsiniz. 
Active directory kullanıcıları oturum açma sırasında upn suffix kullanabilirler. UPN suffixler kendinden önce gelen isimler için bir tamamlayıcı görevi görürler. Jasont kullanıcısı, sistemmuhendisi.int domainin üyesidir ve oturum açmak istediğinde \n jasont@sistemmuhendisi.int " ); //--> Bu e-Posta adresi istenmeyen postalardan korunmaktadır, görüntülemek için JavaScript etkinleştirilmelidir. " ); //--> adını kullanarak şifresiyle oturum açabilir. Çoklu domain olan ortamlarda seçenekler artar ve logon to penceresinin altında domain sayısı kadar seçenek olur, UPN kullanımı burada daha çok önem kazanır. Upn suffix ile beraber giriş yapıldığında logon to seçeneği seçilemez hale gelir. Böylelikle yanlış bir domain seçerek oturum açma girişimi elenmiş olur. Ayrıca email adresi formuna benzediği için kullanıcılar içinde kolaylık sağlar. 




Şekil 17 - Active directory domains and trusts
Firmanızın birden fazla domaini olmasa da kullanabileceğiniz suffix sayısını artırabilmeniz, kurumsal ve departmansal kimliği daha iyi belirlemeniz mümkündür. Örneğin İsviçre"de bir branch Office var. Buna eu.sistemmuhendisi.ch adlı bir suffix ekleyebiliriz. Böylece sanal bir domain adımız oluyor. Kullanıcılar bu sonradan eklediğimiz suffix"i kullanarak oturum açma yeteneğini kazanabilirler. Yeni bir suffix eklemek için bir "Active Directory Domains and Trusts" snap-in açın ve Active directory domains and trusts a sağ tıklayın properties e tıklayın, Şekil 17deki gibi bir ekran çıkacaktır. Alternate UPN suffix bölümüne domaininizin adını yazın ve add butonuna tıklayın, Okleyip çıkın, sadece bu kadar! 

Hiç yorum yok:

Yorum Gönder