Uploaded byilketek
741 views

Course 2274

Embed presentation

1 / 137
2 / 137
3 / 137
4 / 137
5 / 137
6 / 137
7 / 137
8 / 137
9 / 137
10 / 137
11 / 137
12 / 137
13 / 137
14 / 137
15 / 137
16 / 137
17 / 137
18 / 137
19 / 137
20 / 137
21 / 137
22 / 137
23 / 137
24 / 137
25 / 137
26 / 137
27 / 137
28 / 137
29 / 137
30 / 137
31 / 137
32 / 137
33 / 137
34 / 137
35 / 137
36 / 137
37 / 137
38 / 137
39 / 137
40 / 137
41 / 137
42 / 137
43 / 137
44 / 137
45 / 137
46 / 137
47 / 137
48 / 137
49 / 137
50 / 137
51 / 137
52 / 137
53 / 137
54 / 137
55 / 137
56 / 137
57 / 137
58 / 137
59 / 137
60 / 137
61 / 137
62 / 137
63 / 137
64 / 137
65 / 137
66 / 137
67 / 137
68 / 137
69 / 137
70 / 137
71 / 137
72 / 137
73 / 137
74 / 137
75 / 137
76 / 137
77 / 137
78 / 137
79 / 137
80 / 137
81 / 137
82 / 137
83 / 137
84 / 137
85 / 137
86 / 137
87 / 137
88 / 137
89 / 137
90 / 137
91 / 137
92 / 137
93 / 137
94 / 137
95 / 137
96 / 137
97 / 137
98 / 137
99 / 137
100 / 137
101 / 137
102 / 137
103 / 137
104 / 137
105 / 137
106 / 137
107 / 137
108 / 137
109 / 137
110 / 137
111 / 137
112 / 137
113 / 137
114 / 137
115 / 137
116 / 137
117 / 137
118 / 137
119 / 137
120 / 137
121 / 137
122 / 137
123 / 137
124 / 137
125 / 137
126 / 137
127 / 137
128 / 137
129 / 137
130 / 137
131 / 137
132 / 137
133 / 137
134 / 137
135 / 137
136 / 137
137 / 137
Sayfa |0 MCSE EĞİTİM KİTAPLARI SERİSİ COURSE 2274 Managing a Microsoft Windows Server 2003 Environment Sinan ÜSTÜN
Sayfa |1 MCSE EĞİTİM KİTAPLARI SERİSİ COURSE 2274 Managing a Microsoft Windows Server 2003 Environment SINAV KODU : 70 – 290 EĞİTMEN : SINAN USTUN
Sayfa |2 İçindekiler : MODULE 1 __________________________________________________________________ 5 Introduction to Administering Accounts and Recources _________________________ 5 Bilgisayar Rolleri : ________________________________________________________________________ 5 Server 2003 Versiyonları : ______________________________________________________________ 8 Directory Service : _______________________________________________________________________ 8 Windows Server 2003’ e logon Olmak : _____________________________________________________ 9 Run as Özelliği__________________________________________________________________________ 10 Administrative Tools : ___________________________________________________________________ 13 MMC : _________________________________________________________________________________ 14 Organizational Unit : ____________________________________________________________________ 16 OU’ların Hiyerarşik yapısı : _______________________________________________________________ 16 OU’ların İsim yapıları : ___________________________________________________________________ 17 MODULE 2 _________________________________________________________________ 18 Managing User and Computer Accounts________________________________________ 18 Domain User Account İsim Yapısı : ________________________________________________________ İsimlendirme Politikası : _________________________________________________________________ Kullanıcı Hesaplarının Password Seçenekleri :_______________________________________________ Kullanıcı Hesabı Yaratırken dikkat edeceklerimiz :_________________________________________ Kullanıcı Hesabının Yaratılması : __________________________________________________________ Computer Hesapları : ____________________________________________________________________ Kullanıcı Hesaplarının özellikleri :__________________________________________________________ User Account Template :_________________________________________________________________ Şablonlar yaratırken Dikkat edeceklerimiz :_________________________________________________ User ve Computer hesaplarını aktif (enable) ve deactive (Disable) etme : ______________________ Kullanıcı Hesabının Kilitlenmesi : __________________________________________________________ Kullanıcı Hesaplarının Şifresini Resetleme : _________________________________________________ Active Directory içinde Search İşlemi : _____________________________________________________ 18 19 20 21 21 23 25 27 27 28 28 29 30 MODULE 3 _________________________________________________________________ 31 Managing Groups _____________________________________________________________ 31 Group Nedir :___________________________________________________________________________ Group Scopes (Kapsamı) : _____________________________________________________________ Group Types (Çeşitleri) : ______________________________________________________________ Domain Functional Level (İşlevsel Düzeyi) : ________________________________________________ Global Gruplar :_________________________________________________________________________ Universal Gruplar : ______________________________________________________________________ Domain Local Groups : __________________________________________________________________ Local Grouplar :_________________________________________________________________________ Groupları Nerede Yaratırız : ______________________________________________________________ Groupların isimlendirilmesi : ______________________________________________________________ Groupların Yaratılması . __________________________________________________________________ Members ve Member Of ne demek : ______________________________________________________ Group Nesting :_________________________________________________________________________ Grup Stratejileri : _______________________________________________________________________ Domain Local Grupları Neden Kullanırız :___________________________________________________ Global Groupları Neden Kullanırız : ________________________________________________________ Universal Groupları Neden Kullanırız : _____________________________________________________ Member Server üzerindeki Default Group’lar : ______________________________________________ Active Directory İçindeki Default Group’lar : ________________________________________________ 31 31 31 32 32 33 33 34 34 34 35 36 39 39 41 41 41 42 43
Sayfa |3 MODULE 4 _________________________________________________________________ 45 Managing Access to Resources ________________________________________________ 45 İzinler (Permissions) : ___________________________________________________________________ Standart ve Special (Özel) izinler : ________________________________________________________ Share Folderlara Erişimi Yönetmek : _______________________________________________________ Yönetimsel Amaçlı Shared Folderlar : ______________________________________________________ Kimler Klasörleri Paylaşıma Açabilir : ______________________________________________________ Shared Folderların Publish edilmesi : ______________________________________________________ Shared Folder İzinleri : __________________________________________________________________ Share izinlerinin verilmesi : _______________________________________________________________ NTFS Nedir : ___________________________________________________________________________ NTFS Dosya ve Klasör izinleri : ___________________________________________________________ NTFS Dosya izinleri : __________________________________________________________________ NTFS Klasör İzinleri :__________________________________________________________________ Special İzinler : _________________________________________________________________________ Dosya ve Klasörlerin Taşınması yada Kopyalanmasında NTFS İzinleri :_________________________ NTFS İzinlerinde Inheritance : ____________________________________________________________ NTFS İzinleri için Tavsiyeler : _____________________________________________________________ Effective Permissions :___________________________________________________________________ Sahiplik (Ownership):____________________________________________________________________ Share Permissions ve NTFS Permissions Birlikte kullanımı :___________________________________ Paylaşıma Açılmış Dosyaların Offline Caching ile Erişimin Yönetilmesi : ________________________ 45 45 46 46 47 50 52 53 54 54 54 55 56 58 58 60 60 61 62 62 MODULE 5 _________________________________________________________________ 64 Implementing Printing ________________________________________________________ 64 Server 2003’de Print işleminin Çalışması : __________________________________________________ Printer’ın Yüklenmesi ve Paylaştırılması : ___________________________________________________ Shared Printer İzinleri : __________________________________________________________________ Printer Driver : _________________________________________________________________________ Printer Locations : ______________________________________________________________________ 64 65 71 74 76 MODULE 6 _________________________________________________________________ 77 Managing Printing_____________________________________________________________ 77 Print Spooler : __________________________________________________________________________ Printer Priorities (Print Önceliği) : _________________________________________________________ Print İşlemlerini Zamana Bağlamak : ______________________________________________________ Printing Pool : __________________________________________________________________________ 77 78 80 81 MODULE 7 _________________________________________________________________ 86 Managing Access to Objects in Organizational Units____________________________ 86 AD Nesne İzinleri : ______________________________________________________________________ İzinlerin Miras olarak Aktarılması : ________________________________________________________ İzinlerin Mirasının Nesneler Üzerinde Değiştirilmesi : ________________________________________ AD Nesneleri üzerindeki Efektif İzinler : ____________________________________________________ OU’larda Yönetimsel Hakları Devretmek : __________________________________________________ Delegation of Control Wizard :____________________________________________________________ Özel Management Konsollar ve Taskpad’ler : _______________________________________________ 86 87 88 88 89 90 90 MODULE 8 _________________________________________________________________ 98 Implementing Group Policy____________________________________________________ 98 Group Policy Nedir ?_____________________________________________________________________ 98 User Configuration : _____________________________________________________________________ 99 Computer Configuration : _______________________________________________________________ 100 GPO Yaratmak için Tool’lar :_____________________________________________________________ 100 GPO Link : ____________________________________________________________________________ 103 AD Inheritance : _______________________________________________________________________ 103
Sayfa |4 GPO Çakışmaları : ______________________________________________________________________ 104 GPO Link Attribute’ları : _________________________________________________________________ 105 GPO da Filtreleme : ____________________________________________________________________ 106 MODULE 9 ________________________________________________________________108 Managing the User Environment by Using Group Policy _______________________ 108 Group Policy Ayarlarında Disable ve Enable : ______________________________________________ Group Policy’de Script Kullanımı : ________________________________________________________ Folder Redirection : ____________________________________________________________________ Basic Folder Redirection :_____________________________________________________________ Advanced Folder Redirection : ________________________________________________________ Gpupdate : ____________________________________________________________________________ GpResult : ____________________________________________________________________________ GP Reporting :_________________________________________________________________________ GPO Modelleme : ______________________________________________________________________ GP Results : ___________________________________________________________________________ 108 109 111 112 112 115 116 117 117 119 MODULE 10 ______________________________________________________________122 Implementing Administrative Templates and Audit Policy _____________________ 122 Kullanıcı Hakları : ______________________________________________________________________ İzinler : _______________________________________________________________________________ Built-in Grouplara Atanmış Kullanıcı Hakları : ______________________________________________ Local Grouplardaki Kullanıcı Hakları :___________________________________________________ Built-in Containerındaki groupların Kulanıcı hakları : _____________________________________ Users Container’ındaki Groupların Kullanıcı Hakları : _____________________________________ Security Policy :________________________________________________________________________ Security Template’ler :__________________________________________________________________ Security Configuration and Analysis Tool : ________________________________________________ Auditing : _____________________________________________________________________________ Audit Policy : __________________________________________________________________________ Audit Yapabileceğimiz Olaylar : __________________________________________________________ Server 2003 deki Audit Policy ayarları : ___________________________________________________ Audit Policy için Karar verilmesi Gerekenler : ______________________________________________ Auditing’i Konfigüre etmek için Tavsiyeler :________________________________________________ Log Dosyaları : ________________________________________________________________________ Bazı Güvenlik Olayları : _________________________________________________________________ 122 122 123 123 123 124 125 125 127 131 131 131 132 133 133 133 136
Sayfa |5 MODULE 1 Introduction to Administering Accounts and Recources Bilgisayar Rolleri : Server 2003 işletim sistemini yükledikten sonra yükleme yaptığımız makine standalone serverdır. Yükleme sırasında bir domaine katmadıysak workgroup’u seçtiysek normal bir client işletim sistemi yüklenmiş gibidir. Tabi biz client işletim sistemi gibi kullanmak için yüklemedik. Amacımız şirketimizin ihtiyaçları doğrultusunda server 2003 işletim sistemlerini configure etmek ve kullanabilmek. Şirket ihtiyaçları gözönüne alarak serverımıza role'ler vermemiz gerekir. Yani sen dosyaları yöneteceksin ya da kullanıcıları otantike edeceksin veya printerları yöneteceksin, DNS isteklerine cevap vereceksin gibi bir veya daha fazla rolü serverımıza yüklememiz gerekiyor. Yüklemeden öncede o rolün şirket içinde ne kadar önemli bir rol olduğunu ve ne kadar fazla iş yüküne sahip olacağına karar vermek gerekiyor. Sonuçta tüm rolleri tek bir servera da verebilirsiniz veya iş yüküne göre ayrı serverlarda da tutabilirsiniz. Nedir Serverımıza yükleyebileceğimiz roller : 1- Domain Controller (Active Directory) : Ağ kaynaklarını verimli bir şekilde yönetmenizi sağlayan genişletilebilir dizin hizmetidir. Başka bir tanım, Active Directory veritabanını bünyesinde tutar, network kaynaklarını yönetmenizi sağlar, logon işlemlerini yönetir, otantikasyonu sağlar, kullanıcılar ve diğer domainler arasında iletişimi sağlar. Bünyesinde kullanıcıları, kontak bilgilerini, bilgisayarları, grupları, printerları, paylaşıma açılmış dökümanları nesne olarak tutar. Merkezi bir yönetim ve güvenlik sağlar. Ülkeyi yöneten kukla diktatör gibidir. Çünkü onu yöneten de sizsinizdir. Domain Controller, Domain Controller olabilmesi için Active Directory veritabanının yüklenmesi gerekir. Active Directory yüklendikten sonra o server Domain Controller adını alır. Domaine üye olan serverlara member server adı verilir. 2- File Server (Dosya Sunucusu) : Dosyaların merkezi bir yerde tutulmasını sağlar. Bu sayede dosya erişimlerini ve kullanımlarını ayrıca kullanıcıların hard disk kullanımını control edebilirsiniz. Kullanıcılar dosyalarını buraya kaydeder ve burdan okurlar. Datanın depolandığı sunucularda diyebiliriz. 3- Print Server : Printerlar için merkezi bir lokasyon sağlar. Yani şirketinizin ihtiyacına göre yazıcıları bu servera bağlarsınız ve paylaşıma açarsınız. Kullanıcılar print işlemlerini bu makine üzerinden yapar. Bu sayede print işlemlerini de merkezi bir yerden yönetebilirsiniz. 4- DNS Server : Endüstri standardı bir servistir. AD’nin ayrılmaz bir parçasıdır. İsim Servisidir. Yani isim-Ip çözümlemesi yaparlar. Bilgisayarlar kendi isim ve IP’lerini DNS’e kaydettirirler. Bu sayede bilgisayarlar birbirleriyle iletişim kurarlar. 5- Application Server : Web hizmetleri ile Asp.net gibi uygulama-geliştirme teknolojilerini desteklemek için IIS çalıştırır. 6- Terminal Server : Uzaktan bilgisayar yönetimini ve kullanıcıların programları kendi bilgisayarlarına yüklemeden kullanma olanağı sağlar.
Sayfa |6 7- DHCP Server : Bir server DHCP server rolünü üstlendiği zaman, DHCP clientlardan gelen Ip adres istek taleplerine cevap verir ve Ip havuzunun yönetilmesini sağlar. 8- WINS Server : WINS Server, bilgisayarlardan gelecek NETBIOS ismi-Ip çözümlemesini yapar. 9- RRAS/VPN : Bilgisayarların şirket networküne uzaktan erişebilmelerini, yönlendirme ve remote access konfgürasyonunun yapılmasını sağlar. 10-Mail Server : Mail Server rolü, server işletim sistemine POP3 ve SMTP protokollerini kullanarak mail alıp gönderme özelliği sağlar. Hangi domain uzantılı maillerin server tarafından alınacağını, otantikasyonun ne şekilde yapılacağını ve maillerin geçici olarak server da depolanmalarını sağlar. 11-Streaming Media Server : Windows Media Servisini kullanarak, clientların ses ve video gösterimlerini seyretmesini sağlar. Bu rolleri Serverlara, Start da bulunan Manage Your Server arayüzünden verebiliyoruz. Bu arayüzü kullanarak serverlara roller verip kaldırabilirsiniz. Şirket ihtiyaçlarına ve işyüküne gore bu rolleri birden fazla bilgisayara paylaştırabilirsiniz. Şekil 1: Start’dan Manage Your Server seçeneğinden yüklü olan ve olmayan rolleri görebiliriz.
Sayfa |7 Şekil 2: Manage Your Server penceresinden Add or remove a role tıklayın Şekil 3: Next’e tıklayın
Sayfa |8 Şekil 4: Bu ekranda yüklenebilecek olan rolleri görebiliyoruz. Yüklemek istediğiniz role tıklayıp next’e tıklamak yeterli. Yüklü olan bir rolü kaldırmak içinde yine yüklü olan role (Configured-Yes) tıklayıp next’e tıklayın. Server 2003 Versiyonları : 1- Web Edition : Web serverlar için dizayn edilmiştir. Parakende olarak satılmazlar. AD kuramazsınız ama domain üyesi olabilirler. 2- Standart Edition : Küçük işyerleri için AD kurulabilecek veya member server olarak kullanılabilecek bir versiyondur. Donanım olarak düşük konfigürasyon yeterli olur. 3- Enterprise Edition : Standart edition’daki özellikler yanında yüksek erişebilirlik, ölçeklenebilirlik ve güvenilirlik sağlar. Büyük işletmeler için yüksek performans isteyen durumlarda kullanılabilir. E-ticaret, büyük database uygulamalarında, network uygulamalarında kullanılabilir. 4- Datacenter Edition : Kritik önemde olan işlerde yüksek seviyede güvenilirlik ve erişebilirlik isteyen uygulamalarda kullanılır. Çok işlemciyi ve yüksek miktarda belleği destekler. OEM ler tarafından makine üzerinde satılır. İşlemci Ram DC Olabilirmi Cluster Desteği 64 Bit desteği Web Edition 2 2 Hayır Hayır Hayır Standart Edition 4 4 Evet Hayır Hayır Enterprise Edition 8 32(64 bit-64GB) Evet Evet Evet DataCenter Edition 32 (64 bit-64 CPU) 64 (64 bit-512 GB) Evet Evet Evet Directory Service : Dizin hizmeti basit anlamda, datanın kolay bir şekilde alınıp kullanılabilmesini sağlamak için datayı directory (Dizin) yapısında tutmanın yoludur. Dizin hizmetinde nesnenin isimlendirme kuralları ve nasıl tutulacağı ile ilgili kurallar vardır. Dizin Servisi, kullanıcı dosyaları, printerlar, uygulamalar, crediantial’lar, network konfigürasyon bilgileri gibi genel anlamda da network kaynakları ile ilgili bilgileri tutar. Bu bilgileri de çok ayrıntılı bir şekilde tutar ve böylece arama, yönetme, bulma, güvenlik ve kimlik doğrulama işlemleri kolaylaşır.
Sayfa |9 Active Directory ise Microsoftun kendisine ait olan Directory Service’idir. AD, dizini mantıksal ve fiziksel yapılar halinde tutarak bilgiye kolayca erişilmesini sağlar. AD, DNS ile entegre çalışarak, network bağlantılarında hiyerarşik bir yapı sağlar. İsim çözümleme işini üstlenir. Ölçeklenebilir bir yapıya sahiptir. Yani 10 makineyle başlayıp binlerce makine veya nesneye kadar büyütebilirsiniz. Merkezi bir yönetim sağlar. Logon işlemleri, Network kaynaklarının yönetimi merkezileşir. Tek bir makineden binlerce makineye müdahale edebilirsiniz. Yönetimi devredebilirsiniz. AD, belli yönetimsel görevleri veya tümünü hiyerarşik yapı içindeki belli kişilere veya gruplara devretmenizi sağlar. AD’nin mantıksal katmanı, database’inde bulunan bilgilerin nasıl görüleceğini belirler ve o bilgilere erişimi denetler. Unutmayınki AD de depolanan herşey object tir yani birer nesnedir. Kullanıcılar, gruplar, bilgisayarlar, yazıcılar, diğer serverlar, domainler, site’lar, group policy’ler bunların hepsi birer nesne olarak ifade edilir. Ve herbir nesnenin bir Attribute’u vardır. Öznitelik de diyebiliriz. Mesela kullanıcının adı, soyadı, tel numarası, oturum açma adı gibi. Bu öznitelikler sayesinde AD içinde binlerce nesne arasından istediğimizi arattırıp bulabiliriz. O zaman her yarattığımız nesneye ne kadar ayrıntılı bilgi girersek o kadar daha kolay bulabiliriz. AD’nin mantıksal yapısında neler var : 1- Domain : Mantıksal yapının çekirdeğidir. Paylaştırılmış ortak bir database’i kullanan bilgisayarların oluşturduğu mantıksal gruplamadır. Veya nesnelerin merkezi yönetimine olanak sağlayan mantıksal bir gruplamadır da diyebiliriz. Domain isminin networkte eşsiz bir ismi olmalıdır. 2- Organizatioanal Unit (OU) : OU’lar Domain içinde nesneleri gruplandırmada kullanılan yapıdır. OU’lar, kullanıcılar, gruplar, bilgisayarlar, printerlar ve diğer OU’ları içerebilir. Kendi domaininindeki diğer nesneleri tutar. Normal gruplardan farkı, Group Policy ve Delegation of Administration (Yönetimsel Hakları devretme) uygulayabildiğimiz en küçük birimdir. 3- Forest : Bir veya daha fazla domainin ortak bir schema ve Global Catalog kullandığı yapıdır. Foresttaki domainler aynı domain isimlerini kullanamazlar. 4- Tree : Forest içinde aynı kök DNS ismini kullanan domainlerden oluşmuş yapıdır. Windows Server 2003’ e logon Olmak : İki yere logon olabilirsiniz, Local’e Logon ve Domaine logon. Burda Client olarak hesabınız nerdeyse oraya logon olursunuz. Fakat Domain Controllerlar da Locale logon seçeneği yoktur. Doman üyesi olan bir client bilgisayarı açtığında karşısına ‘Log On To’ ekranı gelir. Kullanıcı adı olarak administrator’ın kendisi için yarattığı kullanıcı adını ve şifre olarak da kullanıcının kullanıcı hesabına atanan şifresini girer. Passwordler de büyük harf, küçük harf hassasiyeti vardır. Logon to kısmında ise XP bilgisayarlarda iki seçenek vardır. Domain ismini seçerek domane logon olabilirsiniz veya Local (Bilgisayar) diyerek kendi bilgisayarınıza logon olabilirsiniz. Bu seçenek DC’lerde yoktur. Logon using dial-up connection seçeneği ise dial-up bağlantısı ile serverla bağlantı kuracaksanız kullanabilirsiniz.
S a y f a | 10 Şekil 5: Domaine üye olan bir XP’de veya member serverda logon to ekranı. Şekil 6: Bir Domain Controller’da Log on to ekranı. Artık Local logon yok. Run as Özelliği Kullanıcılar veya adminler, bilgisayarlarda yönetimsel görevleri yerine getirmek için administrator hesabıyla logon olup işlem yapması güvenlik açısından açıklara neden olur. Bunun için tavsiye ettiğimiz yöntem kısıtlı bir kullanıcı hesabıyla logon olup yönetimsel işler için run as komutunun kullanılmasıdır. Run as komutuyla administrators grubunun üyesi olan veya admin ayrıcalıklarına sahip bir hesap ile o uygulamayı çalıştırabiliriz. Bu MMC konsolu olabilir veya Control Panel deki uygulamalarıda çalıştırabilirsiniz. Run as komutuyla çalıştırabileceğimiz uzantılar arasında “.exe”, “.msc”, program kısayolları için kullanabilirsiniz. Bunun yanında network adaptörünün TCP/IP özellikleri ve Printer klasörüne ulaşabilmek için run as komutunu kullanamazsınız. Run as komutunu kullanabilmek için, kısayolun yada programın üzerine sağ tuşla tıklayıp çıkan menüden run as komutunu seçmeniz gerekir.
S a y f a | 11 Şekil 7: Normal kullanıcı ile logon olduktan sonra çalıştırmak istediğiniz programın üzerine sağ tuşla tıklayıp Runas komutunu seçin. Şekil 8: Bu ekranda admin credentiallarından birini girip o uygulamayı çalıştırabiliriz. Devamlı olarak run as komutunun kullanılmasını da sağlayabilirsiniz. Bunun içinde uygulamanın veya kısayolun üzerine sağ tuşla tıklayıp özelliklerine girin. Ordanda advanced tabından Run with different credentials seçeneğini işaretleyin.
S a y f a | 12 Şekil 9: Advanced tabına tıklayın Şekil 10: Run with different credentials seçeneğini tıklayarak bu uygulama için devamlı run as komutunu kullanırsınız. Run as komutunu komut satırından veya Start Run dan da çalıştırabilirsiniz. runas /user:hesapismi program yazarak run as komutunu kullanabilirsiniz.
S a y f a | 13 Administrative Tools : XP ve Server 2003 çalışan makineleri yönetebilmek için gerekli yönetimsel araçlardır. Bunlarla nesneler ekleyebilir, nesnelerde değişiklikler yapabilir ve silebiliriz. Servisler üzerinde çeşitli konfigürasyon ayarlarıda yapılabilir. En fazla kullanılan ve kullanacağınız yönetimsel araçlar : - Active Directory Users and Computers Active Directory Sites and Services Active Directory Domains and Forests Computer Management DNS Remote Desktops DHCP Ayrıca Xp üzerinden Active Directory veya diğer servisleri yönetmek için Server 2003 Cd’si içindeki adminpak.msi dosyasını yükleyerek Administrative toollar vasıtasıyla XP üzerinden AD yönetimi gerçekleştirilir. Server 2003 üzerinden yukarda saydığımız ve saymadığımız tüm yüklü olan yönetimsel araçları MMC konsolunda snap-in’ler aracılığıyla tek bir pencereden kullanabilirsiniz. Şekil 11: Start’dan administrative tools’a tıladığımızda kullanabileceğimiz yönetimsel araçları görebiliriz.
S a y f a | 14 MMC : MMC, genel olarak Microsoft işletim sistemlerindeki network bileşenlerini, yazılımları, donanımlar ve servisleri yönetebildiğimiz console adı verilen, yaratıp, kaydedip, açabildiğimiz yönetimsel uygulamalar için bir çerçevedir. Kendisi tek başına yönetimsel bir araç değildir. Bir çok yönetim aracını tek bir pencerede kullanmamızı sağlar. Snap-in’ler (ek bileşen) MMC içinde bulunan bir araçtır. Snap-in’ler sayesinde MMC konsoluna yönetimsel toolları ekleyebiliriz. Şekil 12: Start / Run dan mmc yazın Şekil 13: Hiçbir snap-in (Eklenti) eklenmemiş bir MMC konsol kökü çıkar ve bu hali ile bir işimize yaramaz. Şekil 14: File menüsünden Add/Remove Snap-in diyoruz.
S a y f a | 15 Şekil 15: Çıkan ekrandan Add butonuna tıklıyoruz. Şekil 16: Mmc konsoluna ekleyebileceğimiz tüm snap-inleri burada görüp Add butonuna tıklayarak en fazla kullanacağımız snap-inleri ekleyerek, kaydedip elimizin altında devamlı duracak bir yönetimsel araçlar topluluğumuz olacak. Administrative Toolları yüklerken en fazla karşılaşılan sorunlar : Yüklenememesi : Yükleyemiyorsanız gerekli izinlere sahip olamayabilirsiniz. Bunun için Local bilgisayarda administrative izinlerine sahip olmanız gerekir.Yada yanlış işletim sistemine yüklüyor olabilirsiniz. Yönetimsel araçlar sadece XP ve Server 2003 işletim sistemlerine yüklenebilir. Yardım dosyaları çalışmıyor : Bunun için hem server hemde XP tarafında Help dosyalarının yüklü olması gerekir.
S a y f a | 16 Organizational Unit : Yüzbinlerce nesneyi yönetebilmek, organize edebilmek için kullanılan mantıksal gruplardır. OU’ları yönetimsel amaçlarla nesneleri gruplandırmak ve organize etmek için kullanırız. Mesela yönetimsel hakları devretmek veya Policy’ler uygulamak gibi. - Domaindeki nesneleri organize etmek : OU’ların içine bilgisayarları, kullanıcıları, grupları, diğer OU’ları veya printer gibi nesneleri koyarak AD nesnelerine erişim izinleri verirken tek bir kullanıcıya yada bilgisayara izin vermek yerine OU’lara izin verilebilir. - Delegate Adminstrative Control : Yönetici haklarınızı, OU içindeki birine kısmi yada tam olarak devredebilirsiniz. Yönetimsel hakların devredilmesinin yaygın nedenlerinden biri de OU içindeki kullanıcıların parolalarını sıfırlamasına izin vermektir. Güvenilen bir kişinin diğerlerinin parolasını değiştirmesine izin verebilirsiniz. Bu hak bir OU’daki kullanıcıya devredildiğinde o OU için sınırlıdır. Örnek vermek gerekirse Help Desk’lerdeki kişilerin parola sıfırlayabilmeleri gibi. OU’ların Hiyerarşik yapısı : OU’ları oluşturmadan evvel mutlaka yapısını planlamalısınız. Hiyerarşik bir yapıya sahiptirler. OU tasarımını anlamanın anahtar noktası onun gerçekten Adminler için olduğunu bilmektir. Tasarıma başlamadan evvel kağıt üzerinde senaryolar deneyin. 4 adet tasarım modelimiz var : - İş Bazlı (Function-based) : Bunda Ou’ları bölüm yapısı içinde oluşturursunuz. Bu modelin avantajı kullanıcılar gördükleri OU’yu tanıyıp anlayabilirler. Dezavantajı ise şirket yeni bir yapılandırmaya gittiğinde tekrar tasarlanması gerekiyor. Küçük organizasyonlar için uygundur. Satış OU’su, Pazarlama OU’su gibi. - Organizasyon (Yönetim Modeli) : Bu modelde OU’larınızı departmanlara yada bölümlere gore ayırabilirsiniz. Şirketin işleyiş yapısını gösterdiği için iş bazlı tasarıma benzer. Yönetimsel yetkileri devretmek zor olabilir. Mühendislik, üretim, araştırma gibi - Coğrafik Bölge (Location modeli) : Cografik konumu gösterecek şekilde yapılandırabilirsiniz. Yeni bir domain yaratacağınıza OU’larla bu işi kolayca halledebilirsiniz. - Hibrit : Hepsinin kombinasyonu yada bir kısmının kombinasyonu ile yapılandırabilirsiniz. S :Satış P : Pazarlama H : Halkla İlişkiler S P H A : Almanya İ : İngiltere T : Türkiye A İ T
S a y f a | 17 OU’ların İsim yapıları : AD’deki her nesne farklı çeşitlerde isimlendirmelerle yerleri belirtilir. AD içinde bir nesne yarattığınız zaman, Relative Distinguished Name (RDN), Canonical Name ve Distinguished (Ayırtedici) Name (DN) isimleri verilir. LDAP RDN : Lighteweight Directory Access Protocol RDN parent containerda tek, eşsiz olması gerekir. OU=satis LDAP DN : DN ise tüm domainde tek olmalı. OU=satis, DC=setron, DC=com gibi Canonical Name : DN ile aynı yapıdadır fakat yazılışı farklıdır. Setron/Satis
S a y f a | 18 MODULE 2 Managing User and Computer Accounts Bir kullanıcı hesabı, kullanıcı ile ilgili tüm bilgileri içeren bir nesnedir. İki adet hesap türü vardır: - Local User Accounts : Local Makinede tutulur - Domain User Accounts : Active Directory içinde tutulur. Windows Server 2003 ortamında, bir kullanıcı hesabında, kullanıcı adı, şifresi, üye olduğu grup bilgileri, kullanıcı hakları ve izinleri ile ilgili bilgiler bulunur. Kullanıcı hesaplarını ne için kullanıyoruz : - Authentication : Kullanıcı adı ve şifre doğrulanarak sisteme logon olma Authorization : Kaynaklara erişmek için yetkilendirme Auditing : Kaynaklara erişimi denetleme Domain User Account İsim Yapısı : 4 çeşit kullanıcı hesabı isim çeşidi vardır : - User Logon Name : Administrator kullanıcı hesabı yaratmak istediğinde kullanıcı için bir logon name yazar. Bu isim tüm domainde tek-eşsiz olmalıdır. User logon ismine RDN (Relative Distinguished Name) adı verilir. Logon Name’ i kullanıcı logon işlemi sırasında Logon to Windows ekranına yazar, şifresinide girdikten sonra logon olur. User logon Name 20 karakterden oluşmalı, küçük-büyük harflerden oluşabilir. 20 karakterden fazlada yazabilirsiniz ama Server 2003 ilk 20 karakteri kullanacaktır. Özel ve alphanumeric karakterler kullanabilirsiniz. “ / [ ] : ;| = , + * ? < > @ “ karakterlerini kullanamazsınız. - Pre-Windows 2000 Logon Name : Windows 2000 işletim sisteminden önceki bir işletim sistemi çalışan bilgisayardan logon olmak isteyen Netbios ismini kullanan kullanıcılar için kullanılan bir Logon ismidir. Bu kullanıcılar Domain ismiKullanıcı ismi şeklinde yazarak logon olurlar. Bu logon ismini, Windows 2000 ve Xp kullanıcılarıda kullanarak logon olabilirler. - User Principal Name (UPN) : Bu logon ismi tüm Forestta tek olmalıdır. User logon name ile UPN suffix’inden oluşur. Bunlarda birbirine @ işareti ile bağlıdır. UPN Suffix’i genelde domain ismidir. Fakat sadece logon işlemlerinde kullanmak için adminler farklı suffixler yaratabilirler. Önekinede UPN Prefix adı verilir. - LDAP RDN : Kullanıcılar bu tür isimlendirmeyi kullanmazlar. Administratorlar, scriptler ve komut satırlarıyla kullanıcı eklemek veya silmek için kullanır. Tüm nesneler aynı LDAP isimlendirme kurallarını kullanır. Yaratıldığı containerda eşsiz olmalıdır. CN=sinanus,CN=Users,DC=Setron,DC=com CN=Comman Name CN container da yada OU içinde eşsiz olmalı
S a y f a | 19 Şekil 17: Kullanıcı hesabı yaratırken User logon name, User logon name (Pre-Windows 2000) ve UPN isimleri İsimlendirme Politikası : İyi bir kullanıcı adı isimlendirmesi sayesinde admin olarak kullanıcı adlarını hatırlayabilir ve yerlerini AD içinde bulabilirsiniz. Şirketimizde çok sayıda çalışan varsa, aynı isimde veya soyad’da olan insan sayısının bulunma olasılığı artar. O zaman bir isimlendirme politikamız olmalı ki hem kullanıcı adları çakışmasın hem firmamızda sonradan yapılacak yapısal değişiklikler ile de bu isimlendirmeye devam edebilelim. Neler olabilir : - isim+soyad - soyad+isim - ismin ilk harfi+soyad - isim+soyad ilk harfi - isim+soyad ilk iki harf - isim+soyad ilk iki harf+numaralandırma - isim ilk iki harf+soyad+numaralandırma - ……. Geçici olarak çalışanlar için ayrı politika belirleyebilirsiniz. Mesela başlarına T yada G koyabilirsiniz. AD kullanıcı hesaplarının domain içinde eşsiz olması gerekir. Kullanıcılarıda OU’larda olduğu gibi belli bir hiyerarşi içinde tutmanız gerekir. Bunuda iki bölümde toplayabiliriz. - Coğrafik Yapı (Location) : Kullanıcıları domain içinde bulundukları fiziksel yere göre gruplandırabilirsiniz. Mesela Adana diye bir OU yaratıp Adana şubesindeki kullanıcıları bu OU içine koyabilirsiniz. Veya ülke bazında da olabilir. O ülkede çalışan şirket çalışanlarını yarattığınız OU içine koyabilirsiniz. - Ticari Yapı : Kullanıcıları Şirketteki pozisyonlarına gore gruplandırabilirsiniz. Mesela Satış bölümünde çalışan kullanıcıları Satış isimli OU içine koyabilirsiniz.
S a y f a | 20 Kullanıcı Hesaplarının Password Seçenekleri : Kullanıcıların password ayarlarını onları yaratırken yada yarattıktan sonra özelliklerinden de ayarlayabilirsiniz. Kullanıcıların Password seçenekleri nelerdir : - - - User must change password at the next logon : Bu seçeneği yeni bir kullanıcı yarattığımızda yada kullanıcının şifresini resetlediğimizde, kullanıcının ilk logon oluşunda şifresini değiştirmesini istiyorsak seçmeliyiz. Sonuçta kullanıcı yaratılırken biz kullanıcıya bir şifre atıyoruz ve eğer kullanıcı bu şifre ile devam ederse güvenlik açığına neden olur. User cannot change password : Guest hesabı gibi hesaplar üzerinde denetim sağlar. Kullanıcının password’ünü değiştirmesini engellersiniz. Password never expires : Mümkün olduğunca kullanılmamalı. Kullanıcının parolasının süresinin dolmayacağını belirtir. Bu ayar bir uygulamanın yada hizmet içine kodlanmış olduğu durumlarda iyi bir ayardır. Account is disabled : Hesabı devre dışı bırakır kullanıcı bu hesabı kullanarak logon olamaz. Şekil 18: Password seçeneklerine kullanıcının özelliklerinden account tabından ulaşabilirsiniz. Passwordleri ne zaman değiştirir ve ne zaman değiştirilmesini engelleriz : - Yeni bir domain kullanıcısı yarattığımızda ilk logon oluşunda şifresini değiştirmesini isteyebiliriz. Password resetlediğimizde. Yani kullanıcı şifresini unuttuğunda yada şifrenin ömrü dolduğunda Local yada domain hizmet hesaplarında o hizmetin veya uygulamanın çalışabilmesi için o hesaba ihtiyacı varsa şifreyi değiştirtmeyiz. Local olarak logon olmıyacak bir local hesap yarattığımızda.
S a y f a | 21 Kullanıcı Hesabı Yaratırken dikkat edeceklerimiz : Local - kullanıcılar için : Guest hesabını enable etmeyin Administrator hesabının ismini değiştirin Local olarak logon olacak kullanıcı sayısını kısıtlı tutun Güçlü passwordler oluşturun Domain kullanıcıları için : - Kullanılmayacak hesapları hemen disable edin - Kullanıcıların ilk logon olmalarında şifrelerini değiştirmelerini sağlayın - Güvenlik açısından kendi bilgisayarınıza admin hakları ile logon olmayın - Admin hakları ile logon olmadığınız zaman yönetimsel işleri yapmak için Run as komutunu kullanın - Administrator ve Guest accountlarının ismini değiştirin veya disable edin - Default olarak, yönetimsel araçların yaptığı işler networkte şifreli ve imzalı olarak gönderilir. Bunu değiştirmeyin. Kullanıcı Hesabının Yaratılması : Kullanıcı hesaplarını Active Directory Users and Computers konsolundan yaratabiliriz. AD users and computers da kullanıcı hesabını nerede yaratacaksak yani domain container’ı içinde veya users container’ı veya bir OU içinde nerede yaratacaksak o containerın üzerine sağ tuşla tıklayıp new’den user’ı seçiyoruz. Şekil 19: Nerede kullanıcı hesabı yaratacaksak o containerın üzerine sağ tuşla tıklayın yada container’ı seçtikten sonra sol taraftaki detay kısmında boşluğa da sağ tuşla tıklayıp çıkan menüden new ve user seçeneğinden yaratabiliriz.
S a y f a | 22 Şekil 20: Create in kısmına dikkat edin. Nerede yarattığınızı kontrol edebilirsiniz. AD users and Computers gibi bir GUI haricinde komut satırından da kullanıcı hesapları yaratabilirsiniz. Bunun için dsadd user komutunu kullanacağız. Grafiksel bir arayüz varken niye komut satırından yaratıyim diyebilirsiniz. Dsadd.exe komutu birden fazla kullanıcı yaratırken daha faydalıdır. Tam yazılımı : dsadd user <userDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>][-memberof <Group ...>] [-office <Office>] [-tel <Phone#>] [-email <Email>] [-hometel <HomePhone#>] [-pager <Pager#>] [-mobile <CellPhone#>] [-fax <Fax#>] [-iptel <IPPhone#>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDir>] [-hmdrv <DriveLtr:>] [-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}] Örnek : dsadd user “cn=sinanus,cn=users,dc=setron,dc=com” –samid sinanus –upn sinanus@setron.com -fn sinan –ln ustun –display “sinan ustun” –pwd P@ssw0rd AD içinde kullanıcı hesabı yaratmanın diğer yöntemlerinden biride Windows Script Host kullanmaktır. Script sayesinde aynı anda çoklu kullanıcı hesabı yaratabilirsiniz. Bunun için notepad içinde şu kodları yazalım. set x = GetObject("LDAP://dc=setron,dc=com") set y = x.create ("User","cn=beyaz") y.setinfo y.AccountDisabled=FALSE y.setinfo set x = GetObject("LDAP://dc=setron,dc=com") set y = x.create ("User","cn=siyah") y.setinfo y.AccountDisabled=FALSE y.setinfo
S a y f a | 23 Bu komutları notepad içinde yazdıktan sonra .vbs uzantılı olarak kaydedin ve dosyanın üzerine çift tıklayın veya komut satırından Wscript c:deneme.vbs yazın. Hata mesajı ile karşılaşmazsanız kullanıcıları yarattınız demektir. AD Users and Computers penceresinden kontrol edin. Üst üste iki kez tıklarsanız da hata mesajı verir. Yaratmış olduğunuz bir kullanıcıyı tekrar yaratmaya çalışıyorsunuz demektir. Çoklu kullanıcı yaratmanın diğer bir yöntemide csvde (Comma-seperated value directory exchange) komutunu kullanmaktır. Bu komut, dışardan virgülle ayrılmış bir dosyadan AD içine import yapmamızı sağlar. Password girişine izin vermez ve sadece kullanıcı eklemenize izin verir.Yine notepad içine aşağıdaki gibi bir satır yazalım : DN,objectclass,sAMAccountName,userPrincipalName,displayName,userAccountControl "cn=fatma,OU=satis,dc=setron,dc=com",user,fato,fatma@setron.com,fatma dırdır,512 512= userAccountControl de hesabın enable edileceğini belirtir. Bu dosyayı .csv veya .txt olarak kaydedin ve komut satırından : Csvde –i –f <sürücü>:dosyaismi.csv(.txt) -i : import etmek istediğimizi belirtiyoruz -f: Dosyanın ismi Yine çoklu kullanıcı yaratmanın bir yöntemide LDIFDE (LDAP Data Interchange Format Directory Exchange) dir. Csvde den pek farkı yoktur. Bunu uygulamak içinde yine notepad’i açalım ve şu kodları yazalım : dn:cn=ffff,dc=setron,dc=com changetype:add objectclass:user sAMAccountname:ffff userprincipalname:ffff@setron.com useraccountcontrol:512 Bu dosyayıda C sürücüsünün içine .ldf veya .txt olarak kaydedelim. Komut satırına ise : ldifde –i –f c:dosyaismi.ldf yazalım. Sonrada AD Users and Computers penceresinden kullanıcımızın yaratılıp yaratılmadığına bakalım. 1 den fazla bu şekilde kullanıcı yaratacaksak her bir “dn” ile başlayan bölüm arasına bir boşluk bırakın. Computer Hesapları : XP, Server 2003, Windows 2000 ve Windows NT çalışan bilgisayarlar domaine bir bilgisayar hesabı ile katılabilirler. Bu sayede kullanıcı hesapları gibi bilgisayar hesaplarıda domainde otantike edilebilirler, haklar verilebilir ve takip edilebilirler. Kullanıcılar domaine logon olurken domaine üye olan bir bilgisayardan logon olabilirler. Windows 98, Windows 95 ve Windows Me ve Windows XP Home işletim sistemleri domaine üye olamazlar. Bilgisayarlar, kullanıcı logonlarını otantike etmek, AD’nin bütünlüğünü sağlamak, güvenlik ilkelerini uygulamak ve IP adreslerini dağıtmak gibi yönetimsel görevlere sahiptir. Bilgisayarların 2 ana görevi vardır. İşlerin güvenliğini ve yönetimini sağlamak.
S a y f a | 24 - - Güvenlik : Kullanıcıların AD’nin tüm özelliklerinden yaralanabilmeleri için bilgisayarların domaine üye olmaları gerekir. Bilgisayar hesabı yaratıldığında gelişmiş otantikasyon protokolü olan kerberos protokolünü kullanırlar ve Datanın şifrelenmesinde IPSec kullanabilirler. Ayrıca auditing işleminin uygulanması ve kaydedilmesi için bilgisayarların bilgisayar hesapları olması gerekir. Yönetim : Bilgisayar hesapları sayesinde adminler network yapısını yönetebilirler. Bilgisayar hesaplarını kullanarak masaüstü ortamlarını yönetebilirler, bilgisayarlara yazılım yükleyebilirler. Default olarak bilgisayar hesapları Computers container’ında ve Domain controllers container’ında tutulur. Ama isterseniz bilgisayar hesaplarını yaratacağınız OU’lar içine de taşıyabilirsiniz. Default olarak domain kullanıcıları, domaine 10 tane bilgisayar ekleyebilirler. Daha önce yaratılmış bilgisayar hesabı ile domaine bilgisayar eklemeye pre-stating denir. Sistem yöneticisi uygun bir OU’ya daha önceden bilgisayar hesabını eklemiştir. Şekil 21: Bir bilgisayar hesabı yaratmak için AD users and computers enceresinden computers contianer’ına sağ tuşla tıklayıp new demeniz gerekir. Bilgisayar hesabını komut satırından da yaratabiliyoruz. Tam yazılışı : dsadd computer <ComputerDN> [-samid <SAMName>] [-desc <Description>] [-loc <Location>] [-memberof <Group ...>] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}] Bir bilgisayar hesabının özelliklerini modifiye etmek için ise dsmodd.exe komutunu kullanacağız. dsmod computer <ComputerDN ...> [-desc <Description>] [-loc <Location>] [-disabled {yes | no}] [-reset] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-c] [-q] [{-uc | -uco | -uci}]
S a y f a | 25 Bilgisayar hesabının özelliklerinde iki seçeneğimiz var : - Windows 2000 öncesi bilgisayarlar için Assign this computer account as a pre-Windows 2000 computer seçeneğini işaretleyin. Eğer bilgisayar NT bilgisayar ve Backup Domain Controller ise Assign this computer account as a backup domain controller seçeneğini işaretleyin. Bu seçeneği kullanabilmek için functional level’iniz mixed modda olması gerekir. BDC leri hesap yaratıldıktan sonra domaine ekleyebilirsiniz. Şekil 22: Bilgisayar hesabı yaratmak istediğimizde karşımıza çıkan pencere Kullanıcı Hesaplarının özellikleri : Tab General Address Account Profile Telephones Organization Member of Dial-in Environment Sessions Remote control Terminal Services Profile COM+ Açıklama İsim, Açıklama,bulunduğu yer, telefon numarası, e-mail, home page bilgileri Ayrıntılı adres bilgileri Logon ismi, hesap seçenekleri, hesabı kilitleme ve kilidi kaldırma, hesap dolum süresi Kullanıcının profile yolu ve home folder Ev, iş, cep, fax telefon bilgileri Departman, Yönetici, Ünvan Üye olduğu gruplar Uzaktan erişim izinleri, callback seçenekleri, Static Ip ve yönlendirme Terminal server’a bağlandığında başlatılacak programlar ve cihazlar. Terminal service ayarları Terminal service aracılığıyla uzaktan erişim ayarları. Kullanıcının Terminal service vasıtasıyla oluşturduğu oturumunu uzaktan kontrol edebilmenizi sağlar. Yalnız uzaktaki bilgisayarda Terminal Services Manager çalışması gerekir. Terminal service profili Kullanıcıya atanan COM+ partition seti listelenir. COM+ partition set, belirli domain kullanıcılarına bir grup uygulamaya bir şeyler yapabilmesi için erişebilmesini sağlar.
S a y f a | 26 Şekil 23: Kullanıcı özellikleri Bilgisayar Hesaplarının Özellikler Penceresi : Tab Açıklama General Bilgisayar ismi, DNS ismi, açıklama ve rolü Operating System Bilgisayarda yüklü olan işletim sistemi ve service packler Member of Bilgisayarın grup üyelikleri Location Bilgisayarın bulunduğu yer Managed By Bilgisayardan sorumlu olan kişi veya grup Object Security Nesnenin canonical ismi, nesne sınıfı, yaratıldığı ve değiştirildiği tarih, Update Sequence Number (USNs) Bu bilgisayar üzerindeki izinleri ekleyip kaldırabileceğiniz yer Dial-in Dial-in yada VPN ile erişim için ayarlar Delegation Bilgisayar hesabının yetki devri için. İşlev düzeyi Server 2003 de iken görülür.
S a y f a | 27 Şekil 24: Bilgisayar hesabının özellikleri User Account Template : Kullanıcı hesapları yaratırken kolaylık sağlamak amacıyla hesap şablonlarını kullanabilirsiniz. Bu sayede belirli departmanlar ve işler için kullanıcı hesapları yaratmanız gerektiğinde elinizdeki örneği yada şablonlar kullanılabilir. Yeni çalışanlar alındığında bir kaç değişiklikten sonra hesabı aktive ederek daha çabuk hesaplar yaratabilirsiniz. Kullanıcı hesabı yaratmak istediğinizde, şablonun üzerine sağ tuşla tıklayıp Copy’yi seçmeniz yeterli. Kullanıcı hesaplarının bir çok özellikleri var. Copy dediğiniz zaman bu özelliklerin hepsi kopyalanmıyor. Kopyalanabilen özellikler : - Member of : Üye olduğu gruplar - Adres : Street Adres hariç tüm özellikler - Profile : Profile path ve home folder - Organization : Title hariç tüm özellikler - Password ayarları ve Dial-in bilgileri Kopyalanmıyanlar : - Password - Full Name - User name Şablonlar yaratırken Dikkat edeceklerimiz : - Her bir bölüm için farklı şablonlar yaratın Her bir grup için geçici çalışanlara özgü şablonlar yaratın Hesap şablonunu disable olarak tutun Şablonları tanınacak şekilde isimlendirin. Geçici çalışanlara hazırladığınız hesapların isimlerinin başına T_ koyun mesela
S a y f a | 28 User ve Computer hesaplarını aktif (enable) ve deactive (Disable) etme : Kullanıcı hesaplarını disable veya enable etmek isteyebilirsiniz. Muhtemel nedenler : - Kullanıcı 2-3 aylığına ayrılabilir yada izine çıkmış olabilir. Güvenlik nedenlerinden dolayı bu şekilde bir süre kullanılmayacak hesapları disable edin - Sonradan kulanmak için kullanıcı şablonları oluşturduysanız, kullanılana kadar disable edin - Eğer otantike edilmesini istemiyorsunuz kullanıcı hesabını disable etmelisiniz Kullanıcı hesabının üzerine sağ tuşla tıladığınızda çıkan menüden disable veya enable account seçeneğine tıklamalısınız. Hesap disable oldğunda üzerinde kırmızı çarpı işareti çıkar. Ayrıca komut satırından dsmod user kullanıcı ismi(DN olarak) –disabled yes/no diyerekte gerçekleştirebilrisiniz. Şekil 25: Bir bilgisayar hesabının disable edilmesi. Kullanıcı hesabınında disable edilmesi de aynı yöntemle yapılabilir. Kullanıcı Hesabının Kilitlenmesi : Kullanıcılar, Group Policy ayarlarında belirtilen Account Lockout Threshold değerini aşmış ise hesap kilitlenir. Bu genelde başka birinin bir kullanıcı hesabını kullanarak şifre denemelerinde bulunduğunda belirtilen kilitlenme eşik değerini aştığında olur yada kullanıcı şifresini unutup üstüste denemeler yaptığında meydana gelir. Bu nedenle kilitlenmiş hesapları açmakta acele etmeyin. Kullanıcı, hesabının kilitlendiğini söylediğinde ve açılmasını talep ettiğinde kilidi açın. Administrator, hesap kilitlenmesini kaldırana kadar hesap kilitli kalır. Default olarak bir bilgisayarı kilitlenmiş halinden çıkarırken mesela screensaver var ve bundan çıkarken şifre sorulması istenmiş ise hesap kilitlenme olayları kaydedilmez. Bu davranışı Group Policy’den Interactive Logon : Require Domain Controller authentication to unlock workstation seçeneğinden değiştirebilirsiniz.
S a y f a | 29 Şekil 26: Bir hesap kilitlendiğinde account is locked out seçeneği aktif olur ve seçilidir. Hesabı tekrar aktif hale getirmek için tik işaretini kaldırmak yeterli. Kullanıcı Hesaplarının Şifresini Resetleme : Sık şifre değiştirmeninin genel bir sorunuda şifreyi unutmaktır. Sonuçta şifre olmadan kullanıcı kendi hesabına ulaşamaz. Şifresini unutmuş olan kullanıcının şifresini administratorlar resetleyebilirler yani sıfırlayabilirler. Fakat şifre sıfırlamanın sakıncalarıda vardır: - Şifrelediği e-mailleri açamaz - Bilgisayarında bulunan internet şifrelerine ulaşamaz - Şifrelediği dosyaları açamaz Kullanıcı hesabının üzerine sağ tuşla tıkladığınızda çıkan menüden reset password seçeneğine tıklayın. Hesapları sıfırlayabilmek için Account Operators, Domain admins ve Enterprise admins grubunun üyesi olmanız gerekir. Bilgisayar hesabı sıfırladıysanız, bilgisayarı tekrar domaine katmanız gerekir. Bu işlemlerin hepsini AD Users and Domains konsolundan yapabileceğiniz gibi dsmod computer bilgisayaradı –reset diyerekte yapabilirsiniz.
S a y f a | 30 Şekil 27: Password resetleme Active Directory içinde Search İşlemi : Tüm kullanıcılar, bilgisayarlar ve diğer tüm nesneler Active Directory içinde tutulur. Adminler Active Directory içindeki yüzlerce yada binlerce kullanıcı, bilgisayar yada diğer nesneler arasından istediğini araması zordur. Fakat Active Directory içinde belli kriterlere göre search işlemi yaparak istediğiniz sonucu çok kısa sürede alır ve onun üzerinde, nesneye göre değişen yönetimsel görevleri gerçekleştirebilirsiniz. Active Directory Search de kullanıcıları, contact’ları, group’ları, OU’ları, printer’ları, shared folder’ları arayabilirsiniz. Printerların ve shared folderların publish edilmesi gerekir. Bunlar haricinde custom search kısmında daha fazla arayabileceğiniz nesne vardır ve ayrıca LDAP sorguları ile de arama yapabilirsiniz. Common Queries kısmında kullanıcıları, bilgisayarları ve groupları yönetimsel sorgulamaları hızlı bir şekilde yapabilirsiniz. Mesela Disable olan kullanıcı ve bilgisayar hesaplarını arama, süresi dolmamış olan passwordleri bulma gibi. Burası haricinde yine komut satırından dsquery.exe komutuylada arama yaptırabilirsiniz. Dsquery komutunu kullanabileceğimiz nesneler : dsquery computer AD içinde bilgisayarları bulur. dsquery contact Contactları bulur dsquery subnet Subnetleri bulur dsquery group Groupları bulur dsquery ou OU ları bulur dsquery site Siteları bulur dsquery server DCleri bulur dsquery user Kullanıcıları bulur dsquery quota Kotaları bulur dsquery partition Directory deki partitionları bulur dsquery * LDAP sorguları kullanılarak herhangi bir nesne aratılır.
S a y f a | 31 MODULE 3 Managing Groups Group Nedir : Group, kullanıcıların, bilgisayar hesaplarının, kontakların ve diğer grupların tek bir nesne olarak yönetilebilmesini sağlayan mantıksal bir birlikteliktir, kolleksiyondur. Gruplar : - Kaynaklara erişim için tek tek kullanıcılara izinler veya haklar vermektense kulanıcıları, bilgisayarları, yazıcıları vs. gruplar halinde toplayarak bu gruplara izinler ve haklar vererek yönetimin kolaylaşmasını sağlar. - Grupları AD içinde yaratabilir ve kullanabilirsiniz veya local makinelerde de yaratıp kullanabilirsiniz. - Scope (Kapsam) ve Type’a (Çeşit) göre kategorilere ayrılır. - Grupları nesting yapabiliriz. Yani gruplar iç içe koyulabilir. Group Scopes (Kapsamı) : Grup kapsamı, grubun tek bir domainemi yoksa birden fazla domainemi yayılacağını veya izinlerin nasıl atanacağını yada domain tree veya forest ta oluşturulan grubun büyüklüğünü, kapsamını belirtir. Grup kapsamları, hangi domainlerden üye ekleyebileceğinizi, izinler vermek için hangi grupları kullanacağınızı, diğer gruplardan hangilerini nesting yapacağınızı belirtir. 3 adet Group Scope vardır : - Global - Domain Local - Universal Group Types (Çeşitleri) : Grup çeşitleri, kimlere izinler ve haklar verebileceğimizi, kimlere veremiyeceğimizi belirler. İki adet group type’ı vardır : - - Security Groups : Kullanıcılara ve bilgisayarlara haklar ve izinler atayabildiğimiz gruplardır. Eğer kaynaklara erişim için izinler verecek ve bunlarında takibini yapacaksak kullanıcıları security grouplar içine koymalıyız. Haklar, security grupların domainde veya forestta neler yapabileceğini belirtir. Ayrıca security group üyelerine e-mail mesajlarıda atabilirsiniz. Distribution Groups : Group üyelerine mail veya exchange gibi mail programı kullanarak tüm gruba mail atabilirler. Güvenlik aktif değildir. Kaynaklara erişmeleri için distribution gruplarına izinler ve haklar veremezsiniz. Kaynaklara erişimi kontrol etmek için security gruplarını kullanacağız. Ayrıca bu iki grup çeşidide 3 group scope da üye olabilirler.
S a y f a | 32 Domain Functional Level (İşlevsel Düzeyi) : İşlevsel düzeyleri AD’nin çalışmasını etkiler. Domain functional level o domain için geçerlidir ve AD’nin özelliklerini ve yapabileceklerini belirler sadece. İşlevsel düzeyi yükselttiğimiz zaman geriye dönüş yoktur. Bu yüzden domain functional level’i yükseltmeden önce iyi düşünmek gerekir. Grupların karakteristik özellikleride domain functional level’imize bağlıdır. Üç adet functional level vardır : - Windows 2000 mixed mode - Windows 2000 native mode - Windows 2003 mode Geriye doğru uyumluluk açısından eğer AD kurulumunda değiştirmediysek default olarak domainimizin işlev düzeyi mixed moddur. Yani eğer sistemimizde NT domain controlerlar varsa ve bunları kullanmaya devam edeceksek işlevsel düzeyimiz mixed modda olması gerekir. Bu konular ilerki kitaplarda daha detaylı olarak anlatılacaktır. Şu an için functional levellerin gruplar üzerindeki etkilerine bakacağız. Aşağıdaki tablo Domain functional level’lerin, Domain Controller’ların ve Group scope’ların hangi durumlarda birbirini desteklediklerini gösterir. Domain functional levelimiz, 2000 Native ve üstündeyse yaratılmış security ve distributon grupları birbirine istediğimiz zaman dönüştürebiliriz. Desteklediği Domain Controller Desteklediği Group Scope Windows 2000 mixed (Default) Windows NT Server 4.0, Windows 2000, Windows 2003 Global Group, Domain Local Group Windows 2000 Native Windows 2000, Windows Server 2003 Windows Server 2003 Windows Server 2003 Global, Domain Local, Universal Global, Domain Local, Universal Global Gruplar : Global gruplar, aynı domain içindeki kullanıcıları, grupları ve bilgisayarları kapsayabilir. Genelde ortak görevleri paylaşan veya aynı kaynaklara erişim ihtiyacı duyan kullanıcıları global gruplara koyarak yönetiriz. Global guplara foresttaki herhangi bir domain içindeki kaynaklara erişebilmeleri için izinler verebilirsiniz. Ve tüm forestta global grup gözükür fakat üyeleri gözükmez. Bu yüzden tek bir domaindeki kaynaklara erişim için global grupları kullanmayın. Global grubun yaratıldığı domaindeki kaynaklara erişim için başka grup kapsamlarını kullanın. Tüm functional levellerde aktifdir. Üyeleri : - Domain functional level mixed modda ise global gruplar aynı domain içindeki kullanıcı ve bilgisayar hesaplarını içerebilirler. - Domain functional level native mod ve üstünde ise global gruplar aynı domain içindeki kullanıcıları, bilgisayarları ve diğer global grupları içerebilirler. Kime üye olabilir :
S a y f a | 33 - Mixed modda, global gruplar sadece Domain Local gruplara üye olabilirler. Native modda, foresttaki herhangi bir domain içindeki Domain Local ve Universal gruplara ve aynı domaindeki diğer Global gruplara üye olabilir. Kapsamı : Kendi domaini ve güven ilişkisi kurulmuş tüm domainlerde görünürler. İzinler : Foresttaki tüm domainler için izinler verebilirsiniz. Mixed moddayken Global grubun scope’unu değiştiremezsiniz. Native ve üstünde universal gruba dönüştürebilirsiniz. Universal Gruplar : Universal gruplar, mixed modda aktif değildir. Domain functional level native ve üstünde iken universal grupları kullanabiliriz. Benzer izinlere ihtiyaç duyan domain kullanıcıları için kullanabiliriz. Forest içindeki herhangi bir domain deki kullanıcı hesapları, bilgisayar hesapları ve grupları içeren security ve distribution gruplarını içerebilir. Universal gruplara forest içinde herhangi bir domaindeki kaynaklara kullanıcıların erişebilmesi için izinler verebiliriz. Universal gruplar forest içindeki tüm domainlerde kulanılabildiği için adminler tarafından fazla kullanılır. Fakat tasarruflu kullanılması lazım. Kullanışlı olmasından öte universal gruplar global catalog içinde yer aldıklarından dolayı grup içinde yapılan değişiklikler hemen replikasyona uğrayacaktır. Eğer bandgenişliğiniz düşük ise bu sorun yaratacaktır. Üyeleri : Native modda iken, forest içindeki tüm domainlerden kullanıcı hesaplarını, global grupları ve diğer universal grupları içerebilir. Kime Üye olabilir : Native modda ve üstündeyken, herhangi bir domaindeki domain local ve universal grup’lara üye olabilir. Kapsamı : Foresttaki tüm domainlerde görünürler. İzinler : Foresttaki tüm domainler için izinler verebilirsiniz. Diğer universal gruplardan üyesi olmadığı sürece native ve üstünde iken global gruba dönüştürebilirsiniz. Domain Local Groups : Domain Local Grouplar, aynı domain içindeki kaynaklara erişim izinleri vermek için kullanılır.
S a y f a | 34 Üyeleri : Mixed modda iken, Domain Local gruplara, herhangi bir domaindeki kullanıcı hesapları ve global gruplar üye olabilir. Member serverlar mixed modda iken domain local grupları kullanamazlar. Native modda iken, Domain Local Gruplara, foresttaki herhangi bir domaindeki kullanıcı hesapları, bilgisayar hesapları, global gruplar ve universal gruplar ayrıca aynı domaindeki domian local gruplar üye olabilirler. Kime üye olabilir : Mixed modda iken domain local group hiç bir group’a üye olamaz. Native modda, aynı domaindeki diğer domain local group lara üye olabilir. Kapsamı : Sadece kendi domain içinde görülebilir. İzinler : Kendi domain içindeki kaynaklara erişim için izinler verebilirsiniz. Tüm Global grupları uygun domain local gruplar içine koyarak aynı kaynaklara erişim için izinler vererek etkin bir şekilde kullanabilirsiniz. Local Grouplar : Member Server veya stand-alone server üzerinde yaratılan, kullanıcıları, grupları, bilgisayarları, içeren topluluklardır. Local groupları, local kaynaklara erişimi kontrol etmek için kullanırız. Domain Controller da Local grouplar yoktur. Local Grouplara, yaratıldığı bilgisayardaki kullanıcılar, bilgisayarlar, domaindeki global grouplar, universal grouplar ve diğer domain local grouplar üye olabilir. Local grupları sadece yaratıldığı bilgisayarda kullanabilirsiniz. Domain kaynaklarına erişimi kontrol etmek için kullanamazsınız. Local grupları Client bilgisayarlarda çalışan işletim sistemlerinde ve Server 2003 çalışan ve Domain Controller olmayan makinelerde yaratabilir ve kullanabilirsiniz. Groupları Nerede Yaratırız : AD ortamında groupları domainde yaratırız. AD Users and Computers konsolunu veya komut satırı komularını kullanarak groupları yaratabiliriz. Eğer yeterli izinlere sahipsek tüm foresttaki her bir domainde veya OU içinde grouplar yaratabiliriz. Domainde group’un yaratılmasının yanında kapsamını ve çeşidini de belirlemelisiniz. Group’u yaratmadan evvel nerde yaratacağınıza karar vermeniz gerekir. Domainde veya bir OU içinde yaratabilirsiniz. Eğer bir OU içinde yaratırsanız Global grouplar yaratıp OU içine koyduktan sonra OU dan sorumlu olan administrator Global group üyeliklerinide yönetebilecektir. Groupların isimlendirilmesi : Ad içinde bir çok group yaratabilirsiniz ve her bir group’un da çeşidi ve kapsamı olacaktır. Groupları daha iyi yönetebilmek için isimlendirme politikası belirlemelisiniz.
S a y f a | 35 Group isimleri scope, type, kim tarafından yaratıldığı, ne için yaratıldığı, izinleri gibi bilgileri içerebilir. Group isimleri 64 karakterden fazla olamaz. Security Grouplar için : - Group ismine scope’unu belirleyecek bir ibare koyabilirsiniz. Mesela Global group için G_* şeklinde olabilir.Veya Universal için U_* diyebilirsiniz. - Sahibini belirtebilirsiniz. G Marketing Managers gibi - Domain ismini belirtebilirsiniz. DL setron.com satis gibi - Amacını belirebilirsiniz. DL satis fullControl gibi Distribution Grouplar için : - E-mail isimleri olabilir - İsimler olabilir - Sahibi olabilir. Local Grouplar : Local grouplar diğer gruplar gibi belirleyici adlandırmalar kullanamazsınız. Local Group isimlerinde nokta yada boşluk olamaz. 256 karaktere kadar ve büyük harf, küçük harf olabilir. Groupların Yaratılması . Şekil 28: Groupları istersek Users container’ı içinde istersek OU’lar içinde yaratabiliriz.
S a y f a | 36 Şekil 29: Group yaratma penceresinden group ismini belirledikten sonra kapsamını ve türünü de belirliyoruz. Şekil 30: Yarattığımız Group’u nerede yarattıysak o containerda görebiliriz. Members ve Member Of ne demek : Groupların özelliklerine baktığınız zaman iki tane tab görürsünüz. Birisi members isimli tabdır. Bu tabda group’a üye olan diğer grupları ve hesapları görebilirsiniz. Members of tabında ise o group’un üye olduğu diğer groupları görebilirsiniz. Bu iki tab sayesinde kullanıcıların ve groupların hangi grouplara üye olduğu ve group’a üye olanlar görülebilir.
S a y f a | 37 Bir kullanıcıyı bir group’a üye yaptığınız zaman o group’un members özelliğini ve kullanıcının member of özelliğini günceller. Ayrıca bir kullanıcının hangi gruba üye olduğunu komut satırından : Dsget user <kullanıcı DN> -memberof diyerek elde edebilirsiniz. Şekil 31: Muhasebe isimli grubun Members ve Member Of tab'ı Bir Group’a üye ekleme ve kaldırma : Yarattığımız group’a üye eklemek için, group’un özelliklerinden Members tabından Add butonuna tıklıyoruz. (Şekil 31) Şekil 32: Advanced Butonuna tıklıyoruz
S a y f a | 38 Şekil 33: Find Now butonuna tıklayarak domaindeki kullanıcılar ve groupları görebiliriz. Şekil 34: Kullanıcıyı seçtikten sonra en son bu pencereden OK butonuna tıklıyoruz. Ve Group’a kullanıcıyı eklemiş oluyoruz. Şekil 35: Yarattığımız Group’u başka bir group’un üyesi yapmak içinde Member Of tabını kullanacağız. Bunun uygulama adımları Members Tabındakiyle aynı
S a y f a | 39 Group Nesting : Group nesting, grupları içiçe koymaktır. Bir grubu diğer grubun üyesi yapmaktır. Nesting yaparak yönetimi birleştiririz, replikasyon trafiğini azaltmış oluruz, tek bir haraketle gruba üye olanları yönetebiliriz. Nesting, Domain functional level’e göre değişir. Native moda yükselttiğimiz zaman : - Universal gruplar, herhangi bir domaindeki kullanıcı hesapları, bilgisayar hesapları, Universal gruplar ve Global grupları içerir. Global Gruplar, aynı domaindeki kullanıcı hesapları ve Global grupları içerir. Domain Local Gruplar, tüm domainlerden kullanıcı hesapları, Universal gruplar ve Global grupları, kendi domainindeki Domain Local grupları içerir. Mümkün olduğunca nesting düzeyini az tutun. Çok fazla içiçe grup koyarsanız izinleri yönetmek karmaşıklaşır. Grup Stratejileri : Şirketimizin network yapısına göre grup stratejileri belirleyebiliriz. Eğer tek bir domain yapısı içindeysek, DomainLocal ve Global grupları kullanmak daha pratik olacaktır. Birden fazla domain varsa stratejimizde ekstradan Universal grupları koyabiliriz. A G P Stratejisi: User Accountlarını (A), Global Gruplara (G) koyarak Permissionlar (P) atamak üzerine dayalı stratejidir. Bu stratejinin kötü tarafı birden fazla domain de yönetimsel zorluğa neden olması. Yok illada birden çok domaindeki global gruplara aynı izinleri verecem derseniz, herbirine ayrı ayrı izinleri vermeniz gerekiyor. Avantajları : - Gruplar içiçe olmadığı için sorunların çözümü daha kolaydır.Hesaplar tek bir grup kapsamı içinde olur. Dezavantajları : - Kullanıcı, her kaynağa ulaştığında otantikasyon için server bu vatandaş hala Global grubun üyesimi diye kontrol eder. Cache edilmediği için yani bellekte tutulmadığı için performans düşer. A DL P Stratejisi : Bu stratejide yapılan iş Accountları (A), Domain Local Gruplara (DL) koyup, izinleride (P) Domain local gruplara vermektir. Bu stratejinin kötü tarafı domain dışındaki bir kaynak için izinler veremiyorsunuz. Bu yüzden networkünüzün büyümesinde ki esnekliğide düşürür. Ne zaman kullanırız : - Forestımızda tek domain ve az kullanıcı varsa - Foresta başka domain eklemiyeceksek - Domainde NT 4.0 server yoksa
S a y f a | 40 Avantajları : - Hesaplar tek bir grup kapsamındadır. - Gruplar içiçe değildir. Bu yüzden sorunları gidermek daha kolaydır. Dezavantajı : - Performans düşer. Çünkü her bir Domain Local grupta otantike edilecek bir çok kullanıcı vardır. A G DL P Stratejisi : Bu stratjide, Accountları (A) Global Gruplara (G), Global Grupları Domian Local Gruplara (DL) koyup Domain Local gruplara Permission (izin) (P) atıyoruz. Bu strateji networkün büyümesinde esneklik sağlar ve izinleri atarken daha az zaman harcarız. Bir yada daha fazla domainimiz varsa ve ilerde forest’ımıza domainler ekliyeceksek bu stratejiyi kullanabiliriz. Avantajları : - Domainlerde esneklik sağlar - Kaynak sahipleri, kaynaklarını korumak için AD’ye daha az erişirler. Dezavantajı : - İlk kurulumu karışıktır. Fakat gittikçe işlerinizi daha da kolaylaştırır. A G U DL P Stratejisi : Accountları (A) Global Gruplara (G), bu Global Grubu Universal Gruba (U), Bu Univarsal Grubu da Domain Local Gruba (DL) koyup en son Domain Local Gruba Permissionlar (P) atarız. AGUDLP stratejisini, birden fazla domaini olan forestımızda bir çok Global grubu merkezi olarak yönetebilmek için kullanabiliriz. Avantajları : - Tüm forest boyunca esneklik sağlar. - Merkezi yönetim sağlar. Dezavantajları : - Universal group üyelikleri global catalog içinde tutulur. Not : Global catalog, kendi domainindeki tüm nesnelerin tam kopyasını, forest içindeki diğer domainlerdeki nesnelerin bir kısmının kopyasını tutar. Forest içindeki ilk kurulan Domain Controller Global Catalog server görevini üstlenir. - Daha fazla Global Catalog server ihtiyacı duyulabilir. Global Catalog içinde yapılan değişiklikler replikasyona neden olduğundan replikasyonda geçikmelere neden olur.
S a y f a | 41 A G L P Startejisi : Bu stratejide, Accountları (A), Global Gruplar içine (G), bu Global Gruplarıda Local Gruplar (L) içine koyup izinlerde Local Gruplara verilir. Bu stratejide local bilgisayar dışındaki kaynaklara izinler veremiyorsunuz. Aynı global grubu bir çok bilgisayarda kullanabiliyorsunuz. Ne zaman kullanırız : - Windows NT 4.0 den Server 2003 ‘e upgrade ettiğimizde - Bir domainimiz varsa - Az sayıda kullanıcı varsa - Başka domain eklemiyeceksek - Windows NT 4.0 group stratejisini devam ettirmek istiyorsak - Kullanıcıları merkezi olarak yönetmek ve kaynak yönetiminide dağıtmak için Dezavantajı : - AD’de erişim kontrolü yoktur. - Member serverlar arasında gereğinden fazla grouplar yaratmalısınız. - Merkezi yönetim yoktur. Domain Local Grupları Neden Kullanırız : Domain Local groupları kullanıcılara, bilgisayarlara veya belirli gruplara tek bir domaindeki kaynaklara erişim sağlamak istiyorsak kullanırız. Örneğin : Bir OU içinde Domain Local grup oluştururuz. Bir printer’ın security tabından DL gruba izin veririz. Daha sonra bir Global Group oluşturup, kullanıcıları bu bu Global group’a ekleriz. Bu Global grubuda Domain Local gruba ekleriz. Her yeni yazıcı eklendiğinde tek yapılacak iş yazıcı için Domain Local groupa erişim eklemektir. Yeni bir domain eklendiğinde yeni global grupları bu domain local gruba eklemek gerekir. Global Groupları Neden Kullanırız : Global Groupların önemli özelliği, kendi domainlerinin dışında replikasyon yapılmamasıdır. Bu grouplar Global Catalog çoğaltmalarının bir parçası değillerdir. Buna göre Global group üyeliğini düzenli bakım yada düzeltme gerektiren nesneler için kullanmalısınız. Bu değişiklikler ağ içinde çoğaltılmazlar. Bu yüzden ağ trafiğinde yavaşlatmaz. Global Groupları kullanmanın temel nedeni bir domain içinde benzer gereksinimleri olan kullanıcıların kaynaklara erişim için organize edilmesidir. Universal Groupları Neden Kullanırız : Bir universal Group oluşturarak, bu group’a Global grupları ekleyerek foresttaki farklı domainlerdeki kullanıcıların aynı kaynağa erişimini sağlayabiliriz.
S a y f a | 42 Member Server üzerindeki Default Group’lar : Group Description Administrators - Üyeleri, server üzerinde full control’e sahiptir ve gerekli kullanıcılara kulanıcı hakları ve erişim izinleri atayabilir. Administrator hesabı bu grubun defult üyesidir ve server üzerinde full control iznine sahiptir. - Kullanıcılar bu gruba, grubun sahip olduğu yüksek ayrıcalıklar yüzünden dikkatli eklenmelidir. - Server domaine dahil edildiğinde Domain admins grubu bu gruba otomatik olarak eklenir. - İşletim sistemi yükleyebilir, donanım sürücüleri yükleyip konfigüre edebilir, Sistem servilerini yükleyebilir, Service packler ve güncellemeleri yükleyebilir, İşletim sistemini yükseltebilir, Windows sistem dosyaları üzerinde değişiklik yapacak olan uygulamaları yükleyebilir, Password ilkelerini konfigüre edebilir, Audit ilkelerini konfigüre edebilir, Security log’ları yönetebilir, Yönetimsel paylaşımlar yaratabilir, yönetimsel hesaplar yaratabilir, Diğer kullanıcılar tarafından yaratılmış hesapları ve grouplar üzerinde değişiklik yapabilir, Tüm servisleri durdurup başlatabilir, Servisleri konfigüre edebilir, Uzaktan registry’e ulaşabilir, Disk kotaları ile oynayabilir,uzaktan bilgisayarı kapatabilir, kullanıcılara haklar atayabilir, hard disklerin özellikleri ile oynayabilir, bilgisayardaki her türlü veriye ulaşabilir, tüm verilerin yedeğini alabilir ve restore (Geri yükleme) yapabilir. Bu gruba üye olan kullanıcı logon olduğunda geçici bir profil oluşturulur. Üye log off olduğunda bu profil silinir. Default olarak disable olan guest hesabı bu grubun üyesidir. Üyeleri performans sayaçları loglarını ve alarmlarını lokal server üzerinde ve uzaktan yönetebilir. Guests Performance Log Users Backup Operators Performance Monitor Users Power Users Print Operators Users Network Configuration Operators Remote Desktop Users Replicator HelpServicesGroup Terminal Server Users Üyeleri, lokal makine üzerinde güvenlik kısıtlamaları olsa bile yedekleme ve yedekten geri yükleme yapabilir. Üyeleri, Adminsitrators grubuna veya Performance Log Users grubuna üye olmadan performans sayaçlarını lokal makineden ve uzaktaki bir client üzerinden takip edebilir. Kullanıcı hesapları yaratabilir ve yarattıkları hesapları silebilir ve üzerinde değişiklik yapabilir. Üyeleri, lokal gruplar yaratabilir, yarattığı gruba kullanıcılar ekleyip çıkartabilir. • Üyeleri, Power Users, Users ve Guests gruplarına kullanıcılar ekleyip çıkartabilir. • Kaynakları paylaşıma açabilir ve kendi yarattıkları paylaşımları yönetebilir. • Dosyaların sahipliğini alamaz, dizinlerin yedeklemesini ve restore edilmesini, sürücü yükleme veya güvenlik ve audit logların yönetemez. Üyeleri printerları ve printerdaki sıraları yönetebilir. Uygulamaları çalıştırmak, lokal ve network printerları kullanmak ve server’ı kilitlemek gibi ortak görevleri yerine getirebilir. • Kullanıcılar dizinleri paylaşıma açamaz veya lokal yazıcılar yaratamaz. • Domain Users, Authenticated Users ve Interactive grupları bu grubun üyesidir. Bu yüzden domain içinde yaratılan her kullanıcı bu grubun üyesi olur. Bu grubun üyeleri, Ip adres yenileme veya bırakma (Release) gibi TCP/IP konfigürasyon değişikliklerini Domain içindeki Domain Controller’lar üzerinde yapabilir. Uzak masaüstü bağlantısını Terminal sever aracılığı ile client ve member server’a yapabilirler. Eğer Terminal server Domain controller üzerinde ise Group policy üzerinden Remote desktop users grubuna bu hakkın verilmesi gerekir. Domain serverları arasındaki replikasyon işlemini destekler. Sadece bu gruba eklenmiş olan domain kullanıcı hesapları Replikasyon servisini başlatır. Microsoft yardım servisleri üzerinden bilgisayarlara destek vermek için özel izinlere sahiptir. Terminal Server vasıtasıyla logon olan kullanıcılar bu grubun üyesidir.
S a y f a | 43 Network Servisleri tarafından kullanılan Default Group’lar : Group Membership DHCP Administrators Üyeleri, DHCP servisinde yönetimsel erişime sahiptir. DHCP konsolu üzerinden DHCP’yi yönetebilir fakat server üzerinde başka yönetimsel işler yapamaz. Bu grubun üyeleri DHCP servisine salt okunur erişim iznine sahiptir. DHCP server üzerindeki bilgilere ve özelliklere bakabilir. DHCP Users WINS Users Bu grubun üyeleri WINS’e salt okunur erişime sahiptir. WINS server üzerindeki bilgi ve özellikleri sadece okuyabilir. Bu, WINS için durum raporu çıkarmakta kullanışlıdır. Active Directory İçindeki Default Group’lar : Group Description Account Operators Üyeleri, domain içindeki users, computers container’ı içinde veya bir Organizational Unit içinde grouplar, kullanıcılar ve bilgisayar hesapları yaratabilirler, silebilirler ve bunlar üzerinde değişiklik yapabilirler. Domain Controllers Organizational Unit için bu geçerli değildir. Üyeleri, Administrators ve Doman Admins grubu ve bu grubun üyeleri üzerinde herhangi bir şey yapamazlar. Domain deki Domain Controller’lara local olarak logon olabilirler ve bunları kapatabilirler. Bu grubun domain içinde önemli bir gücü olduğundan kullanıcılar bu gruba katarken dikkatli olunmalı. Incoming Forest Trust Üyeleri, forest root domain’e doğru tek yönlü, gelen forest trust ilişkisi yaratabilirler. Builders Default olarak üyesi yoktur. Pre-Windows 2000 Compatible Access Server Operators Domain Controllers Üyeleri, domain içindeki tüm kullanıcılar ve gruplar üzerinde salt okunur erişime sahiptir. Geriye dönük uyumluluk için Windows NT 4. ve önceki bilgisayarlar içinde geçerlidir. Bu grubu sadece Windows NT 4.0 ve önceki işletim sistemlerinden RAS ile gelen kullanıcılar için kullanın. Üyeleri, interactive olarak logon olabilirler, paylaşımlar yaratabilir ve silebilir, bazı servisleri durdurup başlatabilir, dosyaları yedekleyebilir ve geri yükleyebilir, hard diske format atabilir ve bilgisayarı kapatabilir, sistem saatini değiştirebilir. Default olarak üyesi yoktur. Domain’deki tüm domain controller olan makineler default olarak bu grubun üyesidir. Domain Controller olan makinelere izin ve haklar atarken kullanılabilir. Domain Guests Tüm domain guest hesapları default üyesidir. Kullanıcıları bu grubun üyesi yapıp geçici izin vermek veya sadece temel erişimler için kullanılabilir. Domain Users Domain deki tüm kullanıcılar bu grubun üyesidir. Domainde bir kullanıcı yaratıldığında otomatik olarak bu grubun üyesi olur. Local Users grubunun default üyesidir Domaine dahil olan tüm client ve server’lar (DC’ler hariç) bu grubun üyesidir. Domain Computers Domain Admins Enterprise Admins Group Policy Creator Owners Schema Admins DnsAdmins DnsUpdateProxy Cert Publishers RAS and IAS Servers Üyeleri, domaindeki tüm heryerde Full Control’e sahiptir. Default olarak domaindeki tüm domain controllerlar, tüm clientlar ve tüm member serverlar üzerindeki Administrators grubunun üyesidir. Administrator hesabı default olarak bu grubun üyesidir. Forest içindeki tüm domainlerde full control’e sahiptir. Forest içindeki tüm domain controller olan makineler üzerindeki Administrators grubunun üyesidir. Default olarak Admnistrator hesabı bu grubun üyesidir. Domain içinde Group Policy yaratabilir ve modifiye edebilir fakat bir container’a linkleyemez. Administrator hesabı default olarak bu grubun üyesidir. Bu grup sadece Forest root domain içindeki domain controller’lar üzerinde gözükür. Sadece bu grubun üyeleri Schema üzerinde değişiklik yapabilir. Administrator default olarak bu grubun üyesidir. DNS servisi yüklendiğinde gözükür. Bu grubun üyeleri DNS servisi üzerinde yönetimsel izinlere sahiptir. Default olarak bir üyesi yoktur. Bu grubun üyesi olan DNS clientlar DHCP serverlar gibi diğer clientlar adına DNS server’a dinamik update yapabilirler. Bu grubun üyeleri kullanıcılar ve bilgisayarlar adına sertifikalar yaynlayabilir. Default olarak üyesi yoktur. Bu grubun üyesi olan serverlar kullanıcıların uzaktan erişim özelliklerine erişebilir.
S a y f a | 44 System Group’ları : System gruplarının üyelikleri ile oynayamazsınız. İşletim sistemi otomatik olarak yaratıve kesinlikle değiştirilemez ve yönetilemez. System grupları duruma göre farklı zamanlarda farklı kullanıcıları içerebilir. System grupları için kullanıcılara haklar ve izinler atanabilir. System group Description Anonymous Logon Bir bilgisayara ulaşan ve bir kullanıcı hesabı, password ve domain ismi kullanmadan networkteki kaynağa ulşamaya çalışan kullanıcıları ve bilgisayarları ifade eder. Windows NT ve önceki sürüm işletim sistemi çalışan makinelerde Anonymous Group, default olarak everyone group’unun üyesidir. Windows Server 2003’de ise Anonymous group artık everyone grubunun üyesi değildir. Guest kullanıcıları ve diğer domainlerdeki kullanıcılar da dahil networkteki tüm kullanıcıları içerir. Bir kullanıcı networke dahil olduğunda otomatik olarak bu grubun üyesi olur. Eğer domain içindegüvenlik önemli değil ise everyone grubunu kullanarak erişim izineri verebilirsiniz. Bu gruba read-only izninin üstünde bir izin verilmesi tavsiye edilmez. Network üzerinden o an erişen kullanıcıları barındırır. Network üzerinden bir kaynağa erişmek isteyen kullanıcılar otomatik olarak bu gruba dahil olur. Everyone Network Interactive Authenticated Users Creator Owner Belirli bir bilgisayara logon olmuş olan kullanıcıları ve o bilgisayardaki belirli kaynaklara erişmek isteyen kullanıcıları içerir. Bir bilgisayara logon olup o bilgisayardaki kaynaklara ulaşmaya çalışan kullanıcılar otomatik olarak bu gruba dahil olur. Active Directory veritabanındaki tüm kullanıcıları içerir. Daima bir kaynağa erişim izni verirken everyone grubunu kullanmak yerine Authenticated Users grubuna izin ataması yapın. Bu sayede yabancıların erişimini engellemiş olursunuz. Bir kaynağın sahipliğini alan veya o kaynağı yaratan kullanıcıları içerir. Eğer Administrators grubunun bir üyesi bir dosya veya klasör yaratırsa Administrators grubu bu kaynağın sahibi olur.
S a y f a | 45 MODULE 4 Managing Access to Resources Başlamadan evvel birkaç tanımı açıklayalım : Security Principal : Otantike edilebilen accountlara denir. Security Identifier (SID) : Bir hesap yaratıldığında oluşturulan alfanumerik bir yapıdır ve security principal’ları benzersiz olarak tanımlar. Discretioanary Access Control List (DACL) : Kullanıcıların ve grupların kaynaklara erişim için izin verilmesi yada yasaklanmaları ile ilgili bilgileri içeren listedir. Access Control Entries (ACEs) : DACL içindeki her bir satırdır ve her ACE’de, hangi sid’in özel izinleri, inheritance, allow ve deny izinleri olduğunu belirtir. İzinler (Permissions) : İzinler, kullanıcının, bilgisayarın veya grubun bir nesneye erişim şeklini belirler. Bir kullanıcıya sadece okuma (read) izni, başka kullanıcıya değiştirme (modify) izni verebilirken bir başkasınında dosyaya erişmesini (Deny) engelleyebilirsiniz. İzinleri, dosyalar, nesneler, klasörler gibi tüm korunacak nesnelere uygulayabilirsiniz. İzinleri, domain içindeki kullanıcılar, gruplar ve bilgisayarlara verebileceğiniz gibi, güven ilişkisi kurulmuş forestdaki diğer domainlerdeki kullanıcılar, gruplar ve bilgisayarlar içinde verebiliriz ve local deki nesnelere erişim içinde yine local gruplar ve local kullanıcılara izinler verilebilir. Permissionlar (İzinler) Shared Folder Permissionları ve NTFS Permissionları olmak üzere ikiye ayrılır. En fazla kullanılan izinler; Read izni, Write izni ve Delete iznidir. Standart ve Special (Özel) izinler : Nesneler için standart ve spacial izinler verebilirsiniz. Standart izinler en fazla kullanılan izinlerdir. Special izinler ise nesneye erişimi daha yüksek derecede kontrol etmenizi sağlayan daha ayrıntılı izinlerdir. Standart izinler, nesneye göre değişiklik gösterir. Folder permission ve file permission larda farklı izinler bulunur. Aynı şekilde Printerların izinlerinde de farklı standart izinler vardır. Special permissionlarda ise standart izinlerdeki vereceğiniz izinler yeterli kalmadığında advanced seçeneğinden ulaşabildiğimiz izinlerdir. Standart izinlerde işaretlediğimiz izin, special permissionlarda da seçilidir. Standart taki izinlerin daha ayrıntılısı special izinler içinde bulunur. Örneğin Standart taki read izninin Special da Read Attributes, Read Extended Attributes, Read Permissions gibi daha detaylısı vardır. İzinlere, nesnenin özelliklerinden Security tabından ulaşabilirsiniz. Bu kısımdaki izinlere NTFS izinleri denir.
S a y f a | 46 Share Folderlara Erişimi Yönetmek : Klasörleri paylaşıma açmak, klasörlere network üzerinden kullanıcıların erişebilmelerini sağlar. Klasörleri paylaşıma açmadığımız takdirde networkteki kullanıcılar bu klasör içindeki dosyalara erişemiyecektir. Paylaşıma açılmış klasörler kullanıcı dataları, genel datalar, uygulama dosyaları içerebilirler. Uygulamaların yükleme dosyalarını paylaşıma açılmış bir klasörde tutmak uygulamayı mekezi olarak clientlara yüklememizi ve bakımını yapmamızı sağlar. Shared folderları file serverlarda tutabileceğimiz gibi herhangi bir bilgisayarda da tutabiliriz. Shared Folderların özellikleri : - - - Shared folderları Windows Explorer penceresinde bir icon olarak görebilirsiniz. Sadece klasörleri paylaşıma açabilirsiniz. Dosyalar paylaşıma açılamaz. Eğer tek bir dosyaya kullanıcıların erişmesini istiyorsanız, bu dosyayı bir klasör içine koyarak bu klasörü paylaşıma açarsınız. Bir klasörü paylaşıma açtığınızda otomatik olarak everyone grubunun shared folder izini read olarak ayarlanır. Everyone grubu güvenlik açısından da tehlikelidir. Çünkü sistemdeki tüm kullanıcıları içerir. Bu yüzden everyone grubunu kaldırarak gerekli kullanıcılara gerekli izinleri atayın. Kullanıcılar veya grupları shared folder izinlerine eklediğiniz zaman default olarak read iznine sahip olurlar. Shared folder’ı kopyaladığınız zaman orjinali paylaştırılmış olarak kalır fakat kopyasındaki paylaşım kalkar. Paylaşıma açılmış olan klasörün gizli kalmasını yani diğer kullanıcılar tarafından gözükmesini istemiyorsanız, yanına $ işareti koymanız gerekir. Bu dosyaya networkten ulaşmak için UNC (Universal Naming Convention) yolunu yazmanız gerekiyor. Serverklasor$ gibi Yönetimsel Amaçlı Shared Folderlar : Server 2003, kurulduğunda otomatik olarak bazı klasörleri yönetimsel amaçlı olarak paylaşıma açar. Bunların yanında $ işareti vardır. Gizlidirler, My Network Places da görünmezler. Dolar ($) işareti gizli kalmasını sağlar. İzinlerini Modifiye edemezsiniz. Default olarak Administrators grubunun üyeleri yönetimsel shared folderlar üzerinde full control yetkisi vardır. Bu klasörleri Computer Management konsolunda Shared Folders altındaki Shares kısmından görebilirsiniz. Gizli olarak paylaşıma açılmış klasörlere ulaşmak çin UNC yolunu yazarız.serverc$ gibi Bunlardan bazıları : - C$, D$.... : Bilgisayardaki her bir partition otomatik olarak paylaşıma açılır. UNC yolunu yazdığınız zaman tüm partition’a ulaşabilirsiniz. Admin$ : İşletim sisteminin olduğu klasördür.UNC yolunu yazarak işletim sisteminin nerede kurulu olduğunu bilmenize gerek kalmaz. Print$ : Yazıcı sürücülerinin olduğu klasöre erişimi sağlar. İlk printer’ınızı yükleyip paylaşıma açtığınız zaman otomatik olarak systemrootsystem32spoolDrivers klasörüde Print$ ismiyle paylaşıma açılır. Bu klasöre sadece Administrators, Server Operators ve Print Operators grubunun full controll izni vardır. Everyone grubunun read izni vardır.
S a y f a | 47 - - IPC$ : Bir bilgisayarı uzaktan yönetmek ve bir bilgisayardaki paylaşıma açılmış kaynakları görmek için kullanılır. Named Pipe ları desteklemek için kullanılır. Named Pipe larda işlemler arasında gerçekleşen iletişimlerde kullanılır. Fax$ : Fax servisi konfigüre edilmiş ise fax clientlar işlemdeki fax cover sayfalarını ve dökümanlarını cache’lemekde kullanılır. Sysvol : Dc üzerinde bulunur. Ad’deki policyleri ve scriptlere erişimi sağlar. Netlogon : Logon scriptlerinin olduğu klasördür. Kimler Klasörleri Paylaşıma Açabilir : Server 2003’de Administrators, Server operators ve Power users grubunun üyeleri klasörleri paylaşıma açabilir. Bunlar built-in gruplardır. Power users grubu standalone ve member serverlarda bulunur. Domain Controllerlarda Power users grubu yoktur. Shared Folder Nasıl yaratılır : Bir klasörü paylaşıma açmanın 3 yöntemi vardır. - Computer management içinde Shared Folders bölümünden yapabiliriz. - Windows Explorer penceresinden - Komut satırından net share <paylaşım ismi>=<Sürücü>:Yol silmek içinde net share <paylaşım ismi> /delete Computer Mangement Penceresinden Klasörü Paylaşıma açmak : Şekil 36: Computer Management konsolundan Shared Folders kısmından klasörleri paylaşıma açabiliriz. Karşımıza bir sihirbaz çıkacak.
S a y f a | 48 Şekil 37: Next’e tıklayalım bakalım ne çıkacak. Şekil 38: Browse’dan paylaşıma açmak istediğimiz klasörü bulup seçiyoruz. Şekil 39: Share Path kısmına dikkat edin. Klasörün yolu UNC şeklinde yazılmış.
S a y f a | 49 Şekil 40: Bu bölümde, Shared Folder izinlerini ayarlıyoruz. Finish’e tıklayarak bitiriyoruz. Windows Explorer Penceresinden Klasör Paylaşıma açmak : Şekil 41: Paylaşıma açmak istediğimiz klasörün üzerine sağ tuşla tıklayıp, çıkan menüden Sharing and Security seçeneğine tıklayın. Şekil 42: Çıkan pencerede Share This Folder seçeneğini işaretlememiz yeterli
S a y f a | 50 Komut Satırından Klasör Paylaşıma açmak : Şekil 43: Deneme1 isimli klasör başarıyla paylaşıma açıldı. Şekil 44: Deneme1 adı ile paylaşıma açılan klasörün paylaşımı kaldırıldı. Paylaşıma açılmış klasörlere erişebilmek için genelde My Network Places kullanılır. Bunun yanında StartRun dan paylaşıma açılmış klasörün ismini biliyorsanız UNC yolunu yazarak veya Map Network Drive ile erişebilirsiniz. Ayrıca AD users and computers konsolundan new diyerek paylaşıma açılmış bir klasörü ekleyebiliyoruz. Shared Folderların Publish edilmesi : Bir paylaşıma açılmış klasörü AD içinde publish ederek kullanıcıların AD’de bu klasörü bulmasını sağlayabilirsiniz. Publish etmenin diğer bir avantajıda paylaşıma açtığımız klasörün konumu değişse bile AD search’de bulanabilmesi. Kullanıcılar nerde olduğunu bilmeksizin UNC yolunu yazarak klasöre ulaşabilirler. Publish ettikten sonra klasör AD içinde bir nesne olarak gözükecektir. AD users and Computers dan View menüsünde Users, Groups and Computers as Containers’ a tıkladığınızda bilgisayar hesabının altında publish edilmiş klasörü görebilirsiniz. Paylaşıma açılmış bir klasörü publish edebilmek için, Computer management konsolunu yada AD Users and Computers konsolundan New diyerek yapabilirsiniz.
S a y f a | 51 Şekil 45: Paylaşıma açılmış bir klasörü AD içinde Publish etmeyi Computer Management konsolundan klasörün özelliklerinden yapabiliriz. Şekil 46: Klasörün özelliklerinde Publish tabında Publish this share in Active Directory kutusunu işaretlememiz yeterli. Gerekirse açıklama, klasör sahibinin ismi ve AD içinde aramanın kolaylaştırılması için anahtar kelimeler girilebilir. Publish edilmiş klasörü AD users and Computers konsolunda hangi bilgisayarda publish edilmiş o bilgisayar hesabının altında gözükür.
S a y f a | 52 Şekil 47: Publish ettiğimiz klasör Setron isimli bilgisayarda olduğu için Setron bilgisayarının hesabında görebiliyoruz. Bunuda görebilmek için, View menüsünden Users,Groups and Computers as Containers seçenğini aktif hale getirmek gerekiyor. Shared Folder İzinleri : Daha öncede bahsetmiştik iki adet izin çeşidi vardır. - Share izinleri. Sadece klasörlere atanır NTFS izinleri. Dosya ve klasör izinleri diye geçer. Shared folder izinleri, ağ üzerinden bir dosya yada klasöre ulaşmaya çalışan her kullanıcıya uygulanır. Dosyalara yerel olarak ulaşılacaksa sadece dosya ve klasör izinleri uygulanır. Networkten ulaşılacaksa önce share izinleri sonrada NTFS izinleri uygulanır. Eğer paylaşıma açılmış klasörler ve dosyalar FAT birimindeyse sadece share izinler uygulanır. Share izinlerini kullanıcılara ve gruplara uygulayabilirsiniz. Share izinleri . - Read : Everyone grubunun default iznidir. Neler yapılabilir; dosya isimleri ve alt klasörlerin isimleri görülebilir. Dosya açıp okunabilir ve dosyanın özellikleri görülebilir. Program dosyaları çalıştırılabilir. - Change : Read izinlerinin hepsi, yeni dosyalar ve klasörler yaratabilme, dosyalardaki datalarda değişiklikler yapabilme, alt klasörleri ve dosyaları silebilme - Full Control : Read ve change izinlerinin hepsi ve NTFS izinleri ile oynayabilme.
S a y f a | 53 Share izinlerinin verilmesi : Şekil 48: Paylaşıma açtığımız klasörün özelliklerinden, Sharing tabından Permissions butonuna tıklıyoruz. Şekil 49: Share izinlerinde default olarak everyone grubunun Read izni vardır.
S a y f a | 54 NTFS Nedir : Ntfs dosya sistemi Server 2003’de kullanılan dosya sistemidir. Özellikleri şunlardır : - - - - Güvenilirlik : Log dosyalarını ve kontrol noktası bilgilerini kullanarak bilgisayar başladığında dosya sisteminin bütünlüğünü sağlar. Yani bir bad sector sorunu varsa NTFS bad sector’deki datayı başka bir cluster’a taşır. O cluster’ı da kullanılmaması, üzerine data yazılmaması için işaretler. Güvenlik : NTFS dosya ve klasörlerin güvenliği için EFS (Encrypted File System)’i kullanır. Dosya ve klasörleri şifreleyebiliriz. NTFS diğer adıyla Dosya ve Klasör izinlerini kullanarak erişimleri kontrol edebiliriz. NTFS, her bir dosya ve klasör için ACL (Access Control List)’i bünyesinde bulundurur. ACL, kullanıcıların, grupların ve bilgisayarların dosyalara ve klasörlere erişimi olup olmadığını ve ne tip erişimi olduğunu belirtir. ACL içinde ACE (Access Control Entry) denilen satırlar vardır. ACE içinde ise kullanıcıların ne tip bir erişimi olduğu bilgisi bulunur. Eğer bir kullanıcı veya grupla ilgili bir satır yoksa kullanıcı veya grup o dosya veya klasöre erişemez. Depolamanın büyümesini kontrol edebilirsiniz : Kullanıcılara Disk kotaları uygulayabilirsiniz. Bu sayede kullanıcıların hard disk kullanımlarını kontrol edebilirsiniz. NTFS, büyük dosyaların tek parça halinde tutulmasına izin verir (4 Gb dan büyük). Daha küçük clusterlar kullanır. Mesela 30 Gb lık bir HDD için FAT32 16 KB lık, NTFS ise 4 KB lık clusterlar kullanır. Daha küçük clusterlar hard diskte boşa giden alanı azaltır. Bir den çok kullanıcı izinlerini kullanabilirsiniz. NTFS Dosya ve Klasör izinleri : NTFS izinlerine temel düzeyde yani her koşulda uygulanan izinler de diyebiliriz. NTFS izinleri ile hangi kullanıcılar, gruplar ve bilgisayarlar dosyalara ve klasörlere erişebilir ve bunların dosya ve klasör içerikleriyle neler yapabileceği belirlenir. NTFS izinlerini networkteki bir kaynak için de verebiliriz, local bir makinedeki nesneler içinde verebiliriz. NTFS izinlerini AD içindeki tüm nesnelere uygulayabilirsiniz. NTFS izinleri dosya ve klasör izinleri olarak ta anılırlar. Dosya izinlerinde ve klasör izinlerinde sadece tek bir izin farklıdır. NTFS Dosya izinleri : - - Full Control : İzinleri değiştirebilir, sahipliği alabilir, diğer tüm NTFS izinleri ile oynayabilir. Tüm dosyaları okuyabilir, silebilir, değişiklikler yapabilir. Sahiplik’ten kastetdiğimiz ise, default olarak dosya yada klasörü oluşturan onun sahibidir. Ama o dosyayı yada klasörü yaratan onun sahibi olmak zorunda değil. Modify : Dosyaları okuyabilir, silebilir, değişiklik yapabilir. Read & Execute : Uygulamaları çalıştırabilir, dosya içeriklerini görebilir, dosyaya erişebilir. Write : Dosya üzerine yazabilir, izinleri ve sahibini görebilir, dosya attributelarını (Öznitelik) değiştirebilir. Read : Dosyayı açıp okuyabilir, attributelarına bakabilir, izinlere bakabilir.
S a y f a | 55 Şekil 50: NTFS Dosya izinlerine, dosyanın özelliklerinden, security tabından ulaşabilirsiniz. Soluk olarak görünmesinin nedeni, bu izinleri yukardan miras almasıdır. Burası aynı zamanda dosyamızın ACL’sidir. NTFS Klasör İzinleri : - Full Control : Klasör ve alt klasörlerdeki dosyaları ve klasörleri silebilir, okuyabilir, değişiklikler yapabilir. Klasörün izinlerini değiştirebilir. Sahipliği alabilir. Modify : Dosya ve klasörleri okuyabilir, yazabilir ve silebilir. Read & Execute : Dosyaları ve altklasörleri görebilir, dosyaları çalıştırabilir. Write : Yeni dosya ve alt klasörler yaratabilir. Klasörün attributelarını değiştirilebilir, izinleri ve sahipliği görülebilir. Read : Klasördeki dosyaları ve altklasörleri görebilirsin. Klasörün attributelarını, sahibini ve izinleri görebilirsin. List Folder Contents : Klasördeki dosya ve alt klasörleri görebilirsin fakat dosyalar açılamaz.
S a y f a | 56 Şekil 51: Klasörün NTFS izinlerine ulaşmak içinde aynı yolu kullanacağız. Dosya ve klasör izinleri arasında bir tane fark var. Special İzinler : Traverse Folder/Execute File : Bir klasörün içerdiği verileri okuma izniniz olmasa bile klasöre doğrudan erişebilmenize olanak sağlar. Execute file ise bir yürütülebilir dosyayı çalıştırmanızı sağlar. List Folder/Read Data : Dosya ve klasör adlarını görüntülemenize olanak sağlar. Read data ise bir dosyanın içeriğini görmenizi sağlar. Read Attributes : Bir dosya yada klasörün temel özniteliklerini okumanızı sağlar. Read only, hidden, system veya archive gibi Read Extended Attributes : Bir dosya ile ilişkili olan genişletilmiş öznitelikleri görüntülemenize olanak sağlar. Title, subject, author, summary gibi Create files / Write Data : Create Files, bir klasöre yeni dosyalar ekleminizi sağlar. Write data, bir dosyadaki verilerin üzerine yazmamızı sağlar. Varolan bir dosyaya yeni veriler eklememize izin vermez. Bunu append data yapar. Create Folders /Append Data : Create Folders, klasörler içinde alt klasörler oluşturmamızı sağlar. Append data, varolan bir dosyanın sonuna veriler eklememizi sağlar. Write Attributes : Bir dosya yada klasörün temel özniteliklerini değiştirmemizi sağlar. Write Extended Attributes : Genişletilmiş öznitelikleri değiştirmemizi sağlar. Delete Subfolders and Files : Bir klasörün içeriğini silmenize olanak sağlar. Bu izin varsa bir klasördeki dosyalar ve alt klasörler için delete izniniz olmasa bile bu dosya ve alt klasörleri silebilirsiniz. Delete : Bir dosya yada klasör silmemizi sağlar. Bu klasör boş değilse, içerdiği dosya yada klasörlerden biri için delete izniniz yoksa klasörü silemezsiniz.
S a y f a | 57 Read Permissions : Dosya yada klasöre atanmış olan temel ve özel izinleri okuyabilirsiniz. Change Permissions : Dosya yada klasöre atanmış olan tüm temel ve özel izinleri değiştirmenize olanak sağlar. Take Ownership : Bir dosya yada klasörün sahipliğini almanızı sağlar. Şekil 52: Special Permission’lara ulaşabilmek için, buradan advanced butonuna tıklayın Şekil 53: Permissions tabından Edit butonuna tıklayın
S a y f a | 58 Şekil 54: Special Permissionlar Dosya ve Klasörlerin Taşınması yada Kopyalanmasında NTFS İzinleri : Bir dosyayı veya klasörü kopyalama veya taşıma (Move) yaptığınızda izinlere ne olacağı, nereye taşıma veya kopyalama yaptığınıza göre değişir. - Eğer bir dosyayı yada klasörü aynı partitiona veya başka bir partitiona kopyalarsak gittiği yerdeki klasörün izinlerini alır. Klasörü yada dosyayı NTFS olmayan bir partitiona kopyalarsak NTFS izinlerini kaybeder. NTFS ile formatlanmış bölümler NTFS izinlerini destekler. Bir dosya yada klasörü aynı partition içinde move (Cut-Paste) yaparsak izinler aynen geçer. Bir dosya veya klasörü başka bir partitiona move yaparsak hedefteki klasörün iznini devralır. Copy işlemini gerçekleştirmek için, kaynak klasörde Read izniniz olması hedefte ise Write izninizin olması gerekir. Dosya ve klasörleri move yapabilmek içinde, kaynak ve hedef klasörlerde Write ve modify izinlerinin olması gerekiyor. Move işleminden sonra dosya veya klasörün creater owner’ı oluyorsunuz. NTFS İzinlerinde Inheritance : Default olarak bir klasör içindeki dosya ve klasörler veya yaratacağımız dosya ve klasörler ana klasörün izinlerini miras olarak devralır (Inheritance). Örneğin; Domain users grubunun bir klasörde read izni varsa o klasör altında klasör yarattığımızda domian users grubunun yaratılan klasörde de read izini olacaktır. Bir klasöre yeni izinler atadığımızda, izinler aşağı doğru dağıtılarak klasörün içerdiği tüm alt klasörlere ve dosyalara devredilir yada var olan izinlerin yerini alır.
S a y f a | 59 Değiştirmek istediğiniz bir izin soluk görünüyorsa yani müdahale edemiyorsanız dosya veya klasör bu izni bir ana klasörden devralıyor demektir. Ana klasörün izinlerini aşağıya iletmesini engelleyebilirsiniz. Devralmayı iptal edersek neler yapabiliriz : Var olan izinleri kopyalayabiliriz yada kaldırıp yeni izinler atayabiliriz. Niye izinlerin çoğaltılmasını engelleriz : Inheritance parent folderdaki izinlerin, alt klasörlere ve kaynaklara nasıl atanacağını tanımlar. Dosya veya klasörlerin yukardan izinleri devralmasını istemeyebilirsiniz. Örneğin : Muhasebe diye bir klasörümüz var. Tüm muhasebe çalışanlarının bu klasör üzerinde Write izni olsun. Bu klasör içinde bir dosya yaratıyorsunuz ama herkesinde erişmesini istemiyorsunuz. O zaman o dosyanın yukardan izinleri devralmasını engelleyebilirsiniz. Şekil 55: Soluk renkte görülen izinler parenttan miras olarak geldiğini gösterir ve müdahale edemezsiniz. Şekil 56: New Folder isimli klasörün izinleri yukardan miras olarak almasını istemiyorsanız, seçili kısımdaki kutucuğu temizlemeniz gerekiyor. Altındaki Replace Permission…. ile başlayan kısım ise burada verdiğiniz izinlerin bu klasörün altındaki diğer klasör ve dosyalara miras olarak devam etmesini istiyorsanız kullanacağınız seçenektir. Bu durumda alttaki klasör ve dosyalara açık bir şekilde izin verilen kullanıcılar ve gruplar kaldırılacaktır.
S a y f a | 60 Şekil 57: Kutucuğu kaldırdığınızda karşınıza bir uyarı penceresi çıkar. Eğer yukardan miras olarak gelen izinleri aynen kopyalayıp bu izinler üzerinde oynamaya devam etmek istiyorsanız Copy butonuna tıklıyorsunuz . Yok ben hem mirası kesip hemde yukardan mirasla gelen izinleri tamamen temizlemek istiyorum, izinleri yeni baştan yaratmak istiyorum diyecekseniz Remove butonuna tıklıyoruz. NTFS İzinleri için Tavsiyeler : - - İzinleri kullanıcılar yerine gruplara verin İzinleri dosyalar yerine klasörlere vermeye çalışın Deny izni diğer izinlerin üstündedir. O yüzden mümkün olduğunca deny izini vermekten kaçının. Onun yerine izin atamayabilirsiniz. Kesinlikle allow vermiyecekseniz deny kullanın Sistem dosyalarının ve klasörlerinin izinleri ile oynamayın. Everyone grubuna deny vermeyin. Administrators grubuda erişemez yoksa. Everyone grubunu kaldırıp gerekli kullanıcılara gerekli izinler verin. Kullanıcı ve gruplara görevlerini yerine getirebilecek kadar izinler verin. Mümkün olan en kısıtlayıcı izinler olsun. Mümkünse en üst klasöre izinler atayın. Inherit ile alttaki klasör ve dosyalara üstteki izin aktarılacaktır. Tüm uygulamalar ve executable dosyalar için Admin grubuna Read and Execute ve change iznini, kullanıcılarada Read and Execute iznini verin. Ortak veri klasörleri için modify veya full control atayın. Everyone grubunada read ve wirte izinlerini atayın. Administrators grubu üyeleri ve creator ownerlar, kullanıcılara izinler atayabilirler. Effective Permissions : Bir kullanıcı bir yada daha çok grubun üyesi olabilir. Bir dosya yada klasör için bu kullanıcı ve üyesi olduğu gruplara izinler atamış olabilirsiniz. Bu türden izin karmaşasını bir çok admin yaşayabilir. NTFS izinleri cumulative’dir. Yani izinlerin toplamıdır. Bir dosya yada klasör üzerinde bir grubun veya kullanıcının hangi izinleri olduğunu görebilmemiz için effective permissions tabı bize büyük kolaylık sağlar. Bu tabda : - O klasör veya dosyadaki tüm izinler hesaplanır ve geçerli olan izin belirlenir. Burası read only dir. Yani sadece toplam izinlere bakabiliriz. İzinler üzerinde değişiklik yapabileceğimiz bir yer değildir. - Dosya izinlerinin klasör izinlerine göre önceliği vardır. Bir çakışma durumunda dosya izinleri geçerli olur. - Administrator bir dosya yada klasör üzerinde izinlerle oynaması gerekiyorsa sahipliğini alması gerekir.
S a y f a | 61 Şekil 58: Effective Permissionlar için, select butonunu kullanarak hangi kullanıcının yada group’un effective izinlerini görmek istiyorsak onu seçmemiz gerekir. Sahiplik (Ownership): Genelde bir dosya yada klasörü yaratan o dosya veya klasörün sahibidir. Default olarak server 2003’de owner Administrators grubudur. Owner bir nesne üzerinde deny izni olsa bile izinleri değiştirme yetkisi vardır. - Administrator, sahipliği alabilir ve herhangi bir kullanıcıya Group Policy üzerinden Take ownership of files or other objects hakkını vererek o kullanıcıya sahiplik alma yetkisi verebilir. - Take ownership izini olan kullanıcı yada grouplar sahiplik alabilir. - Restore files and directories ayrıcalığı olan kullanıcı sahiplik alabilir. Şekil 59: Şu an bu klasörün sahibi Administrators grubu. Başka bir kullanıcı yada grubu bu klasörün sahibi yapmak için Other Users or Groups butonuna tıklayıp listeye ekledikten sonra, Replace owner on subcontainers and objects kutucuğunu işaretleyip ok butonuna tıklayın.
S a y f a | 62 Share Permissions ve NTFS Permissions Birlikte kullanımı : Network kaynaklarına erişilmesine izin verilecekse, yapılacak iş şu: En kısıtlı NTFS izinleri uygulayarak dosya veya klasörlere erişimi kontrol etmek, shared folder izinlerinde de en kısıtlayıcılarını kullanarak networkten erişimi denetlemek. NTFS izinleri local erişim veya networkten erişenler için uygulanabilir. Her iki izinlerde uygulandığı takdirde kullanıcı veya gruplar için geçerli olan toplam izin en kısıtlayıcı olan olacaktır. Tavsiye edeceğim yöntem ise Shared folder izinlerinde cömert davranın NTFS izinlerinde kısıtlamalara gidin. Paylaşıma Açılmış Dosyaların Offline Caching ile Erişimin Yönetilmesi : Bu özellik sayesinde networke bağlı olmadığınız zamanlarda da dosyaları okuyup değişiklikler yapabilirsiniz. Kullanıcı networkten çıkmak için log off dediği zaman, clienttaki işletim sistemi gerekli offline dosyaları kendi bilgisayarının cache’ine aktarır. Kullanıcı cache’deki dosya ile çalışmaya devam eder. Kullanıcı Log on olduğunda veya networke dahil olduğunda offline dosyalar otomatik olarak senkronize edilir. Eğer her iki taraftaki dosyalarda değişiklik yapılmışsa size hangisini koruyacağınız ile ilgili bir mesaj çıkaracaktır. Eğer aynı anda iki kullanıcı offline dosya üzerinde değişiklik yapmışsa senkronizasyon da bir versiyon kaybedilebilir. Mobile kullanıcılar için uygundur. Network için performans avantajı sağlar. Shared folder da 3 adet seçeneğimiz var : - Manuel caching of documents: Default olan seçenektir. Burda sadece dosya ve programları caching yapabiliyoruz. Klasör sadece dosyalardan oluşuyorsa ideal bir seçimdir. - Automatic caching of Documents : Burda tüm dosya ve programlar otomatik olarak cache edilir. - Automatic caching of Programs : Programları otomatik olarak cache’e atar. Dosyalar varsa değiştiremezsiniz. Network trafiğini azaltır. Çünkü direk olarak açılırlar. Shared Folderda read izininizin olduğuna emin olun.
S a y f a | 63 Şekil 60: Klasörün sharing tabında cahing butonuna tıklayın. Şekil 61: Caching seçenekleri
S a y f a | 64 MODULE 5 Implementing Printing Server 2003, administratorlara printer’ları kurma ve yazıcı kaynaklarını yönetme konusunda merkezi bir yer sağlar. Ayrıca Windows 95, Windows 98, Windows NT yüklü bilgisayarlarıda network printerları kullanabilmeleri için konfigüre edebiliyoruz. Printing Terminolojisi : - Print Job : Printera gönderilen her türlü döküman Printer : Print Device ile bilgisayar arasında iletişimi sağlayan yazılım Print Device : Basım işlemini yapan fiziksel aygıt Printer Driver : Print device’ın sürücüleri Print Spooler : Print işlemi için dökümanları alıp, işleyen, zamanlamaya bağlayan ve dağıtan yazılım. Print Queue : Tüm print işlerinin sırada beklemesi Windows Server 2003 işletim sistemi yüklü olan bir makineye printer ekledikten sonra, Clientlar o printera ulaşabilirler. Hangi clientlar ulaşabilir : - Microsoft Clientlar : 16 bit lik Windows işletim sistemi çalışan clientlara ki buna MS-DOS da dahil, 16 bitlik printer sürücülerinin yüklenmesi gerekir. - Netware Clientlar : Netware kullanıcılarının, Printerdan faydalanabilmeleri için Server 2003 üzerinde Microsoft File and Print Services for Netware’in yüklenmiş olması gerekir. Ayrıca IPX/SPX protokolünün hem client’a hemde server 2003 üzerinde yüklenmiş olması gerekir. - Macintosh Clientlar : Mac kullanıcılarının, print edebilmeleri için Server 2003 üzerinde Microsoft Print Services for Macintosh servisinin yüklenmiş olması gerekir. Ayrıca Print servera ve clientlara AppleTalk protokolünün de yüklenmesi gerekir. - Unix Clientlar : Unix kullanıcıları için Server 2003 üzerine Microsoft Print Services for UNIX servisinin yüklenmiş olması gerekir. - Internet Printing Protocol (IPP) 1.0 destekleyen Clientlar : HTTP üzerinden Server 2003 deki printerdan çıktı alınabilir. Bunun için Server 2003 üzerine IIS ‘in kurulması gerekir. Server 2003’de Print işleminin Çalışması : Network adaptör vasıtasıyla networke bir printer taktığınız zaman print işlemini iki şekilde uygulayabilirsiniz : - Print server kullanmadan printerları kullanıcılara eklemek. - Printer’ı print servera bağladıktan sonra kullanıcıları print server aracılığıyla print almasını sağlamak. Print server kullanmadan, workgroup ortamında kullanıcıların printerları, kendi Printers and Faxes klasörüne eklemelerinin dezavantajları nelerdir : - Kullanıcılar printer’ın o anki durumunu göremezler. Kağıt varmı yokmu, printer işlem yapıyormu gibi.
S a y f a | 65 Her bilgisayarın kendi sırası vardır. Ve sadece o bilgisayardan gönderilen print işlemlerinin sırası görülebilir. Print device daki tüm sıra görülemez. - Sadece o andaki iş için kağıtın bittiği veya kağıtın sıkıştığı ile ilgili hata mesajları görülebilir. Bir bilgisayara bağlı printer için aslında o bilgisayar, print server gibidir. Fakat Macintosh ve Netware servislerini desteklemez ve 10 adet bağlantı sınırı vardır. Print Server kullanmanın avantajları : - - Print server, printer sürücülerini yönetebilir. Printera bağlanan tüm bilgisayarlar sırayı, kendi işlerinin hangi sırada olduğunu görebilir. Tüm bilgisayarlardan hata mesajları ve yazıcının durumu görünebilir. Printer olayları Auditing (Denetim) yapılabilir. Printer’ın Yüklenmesi ve Paylaştırılması : Ev kullanıcıları için printer yüklemesi genelde bilgisayarlarına direk olarak bağlı olan printerların sürücülerinin yüklenmesi şeklindedir. Fakat şirket ortamında, clientlar print serverlara bağlı olan printerları kullanarak print işlerini print device’lara gönderirler. Bu sayede adminler printerları ve printer sürücülerini merkezi olarak yönetebilirler. İki çeşit printer var: - Local Printer : Basitçe networkteki herhangi bir bilgisayara LPT veya USB portundan bağladığımız printerdır. Local printerlar, bir porta bağlı olan printer veya networke eklenmiş bir printer olabilir. - Network Printer : Başka bir bilgisayara bağlanmış printer veya bir print servera bağlanmış printer. Ip veya IPX/SPX protokolünü kullanarak print eden printerdır. Local Printer - Kullanıcılara yakındır. - Local Printerlar plug and play özelliği sayesinde otomatik olarak tanınır ve sürücüleri yüklenir. Dezavantajları - Her bir local printer’ın sürücüleri yüklenmek zorundadır. - Local printer, print işlem için daha fazla işlemci gücü yer. Avantajları Network Printer - Kullanıcılar kolay bir şekilde ulaşabilirler - Print device üzerinde fiziksel güvenlik daha azdır. - Local bilgisayarlar daha fazla çalışmak zorundadırlar. Eğer print server kullanacaksak, minimum donanım ihtiyacını karşılamadığımız takdirde print işlemleri verimli yapılamayacaktır. Peki neler gerekli print server için : - - Eğer şirketimizde print işlemleri çok yoğun olacaksa print server kullanmak ve bunun içinde Windows server 2003 işletim sisteminin herhangi bir sürümünü kullanmamız gerekir. Bu sayede print işlemlerini yönetebiliriz. Eğer print server çok fazla print işini ve printer’ı yönetecekse Ram takviyesi yapmamız gerekir. Print server üzerinde yeterli miktarda hard disk alanı olması gerekiyor ki print servera gönderilen işler print device’a gönderilmeden evvel print serverda tutulabilsin.
S a y f a | 66 Şekil 62: Printers and Faxes klasöründe Add Printer dediğimiz zaman karşımıza Add Printer Wizard çıkacaktır. Şekil 63: Local Printer seçeneğini işaretliyoruz. Printerı, Xp’nin kendisinin bulmasını istiyorsak Automatically detect and install my Plug and Play printer seçeneğini işaretlememiz gerekiyor. Next butonuna tıklıyalım Şekil 64: Use the following port seçeneğinde printerımızın takılı olduğu portu seçip next butonuna tıklıyoruz.
S a y f a | 67 Şekil 65: Eğer printer başka bir porta takılı ise Create a new port seçeneğini işaretliyip TCP/IP portu veya başka bir Local Port seçebiliriz. Şekil 66: LPT1 Portunu seçtiğimizi düşünürsek, bir sonraki ekranda eğer XP’de bu printerımızın sürücüleri varsa bu ekrandan seçip sürücülerini yükleyebiliriz, yoksa Have Disk butonuna tıklayarak printer ile birlikte gelen sürücüyü yüklememiz gerekir.
S a y f a | 68 Şekil 67: Printerımızı listeden seçtikten sonra isim veriyoruz yada Xp’nin verdiği ismi kabul ediyoruz. Şekil 68: Printerımızı paylaştırmak istiyorsak bir Share name seçip isimlendiriyoruz. Şekil 69: Ek bilgileri giriyoruz. Burada tavsiyem, mümkün olduğunca fazla bilgi girmeniz. Bu sayede AD içinde kullanıcılar arama yaptırdıklarında specific aramalarla printerları bulabilirler.
S a y f a | 69 Şekil 70: Test sayfası bastırmak istiyorsanız Yes diyoruz. Şekil 71: Ve Finish Eğer TCP/IP portunu seçmiş olsaydık : Şekil 72: Karşımıza bir sihirbaz gelir.
S a y f a | 70 Şekil 73: Printer ismi veya IP adresini yazmamız yeterli Şekil 74: Finish butonuna tıklayarak bitiriyoruz. Bir network printer’ı eklemek isteseydik : Şekil 75: Network printer seçeneğini işaretliyoruz.
S a y f a | 71 Şekil 76: AD içindeki bir printer’ı ilk seçenekteki gibi AD içinde aratarak bulabiliriz veya biliyorsak ismini UNC yolunu yazarak ekleyebiliyoruz. Shared Printer İzinleri : Bir çok firmada eğer kullanıcı sayısı ve print işlemleri az ise printerlar üzerinde güvenliğe önem verilmez. Fakat bazı printerlarda sıkı bir güvenliğe ihtiyaç vardır. Güvenliğini sağlayacağınız printerdan ödemelerle ilgili veya şirket teklifleri ile ilgili çıktılar yada çok büyük dosyaların çıktıları alınıyor olabilir. Bu yüzden gerekli insanlara yeterli miktarda izinler vermeniz gerekir. Default olarak herkesin printera ulaşıp print edebilme izini vardır. Çünkü bir printer’ı paylaşıma açtığınız zaman, default olarak everyone grubunun print izini vardır. Fakat bunu her zaman için istemeyebilirsiniz. Bazı printerlara herkesin ulaşması ve çıktı alması sakıncalı olabilir. Sadece belli gruplar çıktı alabilir diyebilirsiniz. Paylaşıma açılmış bir printerın izinlerini printer’ın security tabından ayarlayabilirsiniz. 3 adet standart printer izinimiz vardır. Standart printer izinleri haricinde de 3 adette özel (Special) printer iznimiz var. Standart Printer izinleri : - - - Print : Bu izin ile kullanıcılar yazıcıya bağlanabilir, yazdırılacak belgeleri gönderebilir. Kendi yazdırma işini yönetebilir. Ama kuyruktaki diğer sıralara müdahale edemez. Everyone grubunun default olarak print izini vardır. Manage Printers : Printer izinlerindeki Full Control’dür. Yazıcı üzerinde tam denetim sağlar. Yazıcı üzerindeki izinleri, özelliklerini değiştirebilir ve sahipliğini alabilir, başkasına sahiplik verebilir. Diğer kullanıcıların printera gönderdiği kuyruktaki print işlerini durdurabilir, silebilir, tekrar başlatabilir. Manage Documents : Kuyruktaki belgeleri durdurabilir, pause yapabilir, iptal edebilir, sıralarını değiştirebilir, belge yazdırmalarına izin verebilir.
S a y f a | 72 Standart izinler haricinde Özel (special) izinlerde 3 tanedir. - Read Permissions : Kullanıcıların izinleri görebilmesini sağlar. Change Permissions : Kullanıcıların izinleri değiştirebilmesini sağlar. Take Ownership : Printer’ın sahipliğini almasını sağlar. Server 2003 de default olarak 6 gruba printer izinleri verilmiştir. Group Print Manage Documents Manage Printers Administrators X X X Creator Owner X Everyone X Power users X X X Print Operators X X X Server Operators X X X Bir printer’ı paylaşıma açtığınız zaman default olarak herkes print edebilir. Bunun haricinde istediğiniz grup yada kullanıcılara gerekli izinleri verebilirsiniz. Şirketteki herkese print izini verip yöneticilere ekstradan print ve manage documents izini verebilirsiniz. Böylece yöneticiler printer’a gönderilen dökümanların sıraları ile oynayabilirler. Yada Printer’a erişmesini istediğiniz bir gruba izinler verirken o gruba üye olan bir kullanıcının erişmesini istemiyorsanız o kullanıcıyı ayrı olarak ekleyip Deny verebilirsiniz. Şekil 77: Share Printer izinlerine, printerın özelliklerinden Security tabından ulaşabilirsiniz.
S a y f a | 73 Printer için özel izinlere ulaşmak içinde : Şekil 78: Bir önceki ekrandan advanced butonuna tıkladıktan sonra, Permissions tabından Edit butonuna tıklıyoruz. Şekil 79: Ve karşınızda special share printer izinleri.
S a y f a | 74 Printer Driver : Bilgisayar programlarıyla printer arasında iletişimi sağlayan yazılımdır. Driverlar bilgisayardan printera gönderilen komutları printer’ın anlayacağı dile çevirir. Yazdırmanın nasıl gerçekleştiği kullanılan drivera bağlıdır. Printer Driverlar için iki ana data türü vardır. - EMF (Enhanced Meta File) : EMF, Printer Control Language (PCL) sayfa tanımlama dilini kullanır. EMF belgeleri, print servera minimum düzeyde işlenerek gönderir ve işlemlerin geri kalanı Print serverda gerçekleştirilir. - RAW : RAW genelde Post script tanımlama diliyle kullanılır. RAW belgeler, print servera gönderilmeden evvel clientlarda tamamen işlenir ve print server tarafından değiştirilmez. Printer sürücülerinde 3 çeşit dosya vardır: - Konfigürasyon yada printer interface dosyası. Bu dosyalar .dll uzantısına sahiptir. Server properties penceresinde görünürler. Şekil 80: Printer Driverlarına bakmak için, sol taraftaki server properties seçeneğine tıklayın Şekil 81: Print server properties penceresinden, Drivers tabında printer’ı seçtikten sonra Properties butonuna tıklayın.
S a y f a | 75 Şekil 82: Print device sürücü ayrıntıları - - Data Dosyaları : Printer’ın özelliklerini barındırır. Çözünürlük, çift taraflı yazdırma özelliği veya desteklediği sayfa boyutu gibi. Bu dosyalar, .dll, .pcd, .gpd veya .ppd uzantılarını alabilir. Printer grafik sürücü dosyaları. Bu dosya, Device Driver Interface (DDI) komutlarını printerın anlayacağı dile dönüştürür. Her sürücü farklı bir yazıcı diline çevirir. Mesela Pscript5.dll dosyası postscript diline dönüştürür. Bu dosyalar .dll uzantılıdır. Printer driverlarını, Printer’ın özelliklerinden advanced tabından add printer diyerek veya Printers and Faxes penceresinde sol tarafta server properties seçeneğinden de yükleyebilirsiniz. Şekil 83: Yeni bir sürücü eklemek için Printerın üzerine sağ tuşla tıklayarak properties seçeneğine tıklayın. Çıkan pencerede, Advanced tabında New Driver diyerek, yeni sürücü ekleyebilirsiniz. Veya
S a y f a | 76 Şekil 84: Print Server Properties penceresinden Drivers tabında Add diyerek sürücü ekleyebiliriz. Printer Locations : Printer Locations, printerın fiziksel yerini belirtir. Printerların fiziksel yerlerini belirterek AD içinde publish edilmiş olan printerları yerlerine göre arama yapabiliriz. Bu sayede client kendine en yakın olan printer’ı yada aynı subnette olan printer’ı bulabilir ve ondan çıktı alabilir. Printer locations’ı uygulamadan evvel server 2003 networkünde olması gerekenler : - AD, en az bir site ve iki yada daha fazla subnetten oluşması gerekir. - IP adresimiz ve printerın IP si aynı subnette olması gerekiyor - Herbir subnet için subnetin nesneleri belirtilmeli - Client bilgisayar AD içinde search yapabilmeli.
S a y f a | 77 MODULE 6 Managing Printing Print Spooler : Print spooler, yazdırma işlerini yöneten executable bir dosyadır. Bir servis olarak arkada çalışır. Sistem açıldığında yüklenir ve kapatılana kadar çalışmaya devam eder. Print spooler, print edilecek dosyayı alır, harddiskte depolar, işler ve printer’a gönderir. İsterseniz bu işlemin log’unuda tutabilirsiniz. Print işlemi için bekleyen dosyalar bir klasörde tutulur. Bu klasör default olarak <%System root%> System32 Spool Printers klasörüdür. Eğer print serverımız 1-2 printerla ve düşük iş hacmiyle çalışıyorsa spool folderımızın yeri kafidir. Yok eğer çok fazla printerımız var ve iş hacmimizde çok fazlaysa spool klasörümüzün yerini değiştirmemiz gerekir. En iyi sonuç ayrı bir controllera takılmış Hdd’ye taşımaktır. Print spooler’ın yerini değiştirmek isteriz dedik. Bunu hangi koşullarda yapacağımızı açalım : - Performansı artırmak : Print serverlarda yeterli miktarda disk alanı ve ram olmalı. İdeal olanı en az iki disk. Bunlardan biri, İşletim sistemi ve page dosyası için, diğeride spool folder için. Böylece işletim sistemi ile spool folder’ı ayırmış oluruz, bu da performansı artırır. - Disk alanı sıkıntısını çözmek : Bazı dökümanlar büyük miktarlarda yer kaplarlar, resim dosyaları veya 3 boyutlu grafikler gibi, buda eğer spool folderımız işletim sisteminin olduğu yerde ise swap dosyaları (Page File) için sorun çıkarabilir. Windows swap dosyasına yazacak kadar yeterli yer bulamayacaktır. - Boot partitiondaki fragmantasyonu (Bölünmüş, kırık parçalar) azaltmak : Bir dosyayı printer’a gönderdiğinizde bir spool dosyası yaratılacak ve iş bittikten sonra da silinecektir. Bu, bir gün içinde yüzlerce yada binlerce kez olursa fragmantasyona neden olur. - Güvenliği garanti eder : Hassas datalarla işlem yapılıyorsa spool folder’ın audit yani denetlemesini yapabilirsiniz. Başka bir diskte olduğu takdirde işi bitip de silinmeyen işler parent folder’ından güvenlik izinlerini miras olarak almalarını önleyebilirsiniz. - Disk kotalarını yönetebilirsiniz : Disk kotaları uygulayarak kullanıcıların boşu boşuna print server da disk alanı kullanımını engellemiş olursunuz. Kota dolduğu zaman sıradaki işin printerdan çıkmasını bekleyecektir. - Güvenirlik artar : Genelde boot partition’ı, RAID 1 (Mirroring) üzerinde bulunur. Performance ve dataları kurtarabilme açısından spool folder’ı RAID 5 olan volume’a kaydırabilirsiniz. Spool klasörünü, Printers and Faxes penceresinde soldaki Printer Tasks bölümünde veya file menüsünde bulunan server properties seçeneğinden değiştirebilirsiniz. Spool folder’ı değiştirirken folder içinde print için bekleyen işlerin olmadığına emin olun. Varsa işler bittikten sonra yerini değiştirin.
S a y f a | 78 Şekil 85: Server Properties penceresine ulaşmak için , sol taraftaki Printer Tasks bölümü içinden veya File menüsünden veya boşluğa sağ tuşla tıkladığımızda çıkan menüden ulaşabiliriz. Şekil 86: Server Properties penceresini açtıktan sonra Advanced tabından Spool Klasörünün yerini değiştirebiliriz. Printer Priorities (Print Önceliği) : Priority kullanarak printerda işlenecek işlerin sırasını değiştirebilirsiniz. Normal olarak Printerda basım işleri gönderilme sırasına göre yapılır. Tek bir print device için iki printer (arayüz) ayarlamışsak bunlar arasında basım önceliğinide ayarlamak isteyebilirsiniz. Birden fazla printer aslında tek bir print device’ı gösterir. Bu printerlar arasında da öncelik ler ayarlayıp yüksek önemdeki çıktılar düşük önceliktekilere göre ön sıraya geçecektir. Yüksek öncelikteki print işleri ilk yazılır. Fakat print device da basıma başlanmış olan iş, yarıda kesilmez. Print device alınmış iş bittikten sonra öncelikler devreye sokulur.
S a y f a | 79 Bu işlem için yapmamız gerekenler : - İki yada daha fazla aynı print device dan –aynı porta bağlı olan- iki tane printer yaratıyoruz. Print device’a bağlı olan printerların herbirinin önceliğini gruplar yada kullanıcılar için ayarlıyoruz. Öncelikleri 1 ile 99 arasında ayarlıyabiliyorsunuz. 99 en yüksek önceliğe sahip olan değerdir. Şekil 87: İki tane printer yarattım ve her ikiside LPT1 portuna bağlı printer (Print device değil). İkiside aynı cihazı gösteriyor aslında. Bu aşamadan sonra bunlardan birinde priority ayarı yapacam. Şekil 88: Bir tanesinde Öncelik ayarının yapılması. Bu print device’ın önceliğini 2 olarak ayarlıyim. Sonrada bunun izinleri ile oynamam gerekiyorki herkes bu yüksek öncelikli printerdan çıktı almasınlar.
S a y f a | 80 Şekil 89: Önceliğini 2 olarak ayarladığım printerdan sadece Muhasebe grubu üyelerinin çıktı almasını istiyorum. Başka hiç kimse çıktı alamaz. Print İşlemlerini Zamana Bağlamak : Yazım işlemini zamana bağlama nedenlerimiz : - - Gün boyunca ağır bir yazdırma trafiği varsa ve bu trafiği iş saatleri dışına taşımak istiyorsanız basım işlemlerini zamana bağlıyabilirsiniz. Sonuçta uzun raporlar, grafiksel dökümanlar veya CAD dökümanları printerlardan çıkması uzun zaman alacaktır. Uzun dökümanlar için iş saati dışında bir zamana ayarlamışsanız spooler gelen dökümanları kabul eder ve zamanlama işlemini yürütür. Bir print device’ı kimse çalışma saatler dışında kullanmak istemez. Bu yüzden iki printer oluşturup, birini çalışma saatleri dışında diğerinide çalışma saatlari içinde print etmesini söylersiniz ve kullanıcılara da bunu bildirirsiniz. Uzun dökümanlarınızı şu printerdan çıkarın diye. Zamana bağlanmış Printerlar için dikkat edeceklerimiz : - Printer’ın iş saatlerinde kimlerin print edebileceğini belirtin. Ayı porttan iki tane printer yaratın, grupları ve userları print iziniyle atayın ve zamana bağlayın. Bir çok kullanıcı, print deviceların hazırda kullanılabilir olmasına alışıktır. Eğer belirtmezseniz print zamanlarını, help desklere çok iş düşecektir. Bu arada spool klasöründe iş saatleri dışına ayarlanmış işlerin tutulacağı kadar yer olduğundan emin olun.
S a y f a | 81 Şekil 90: Bu printerdan iki tane yaratıp, her biri için farklı zaman ayarları yapabiliriz. Printing Pool : Printing pool, tek bir printer (arayüz ve sıra) ile birden fazla fiziksel print device’ın kullanılmasıdır. Pool oluşturduktan sonra kullanıcı print işlemine başladığında hangi print device boştaysa ona yazdırılır. Bu sayede yazdırma işlemi yoğun olan print device atlanarak havuzda boş olan diğer print device’a print işlemi gönderilir. Pooling işlemini gerçekleştirebilmek için print device’ların aynı drivera sahip olması gerekir. Yani aynı üretici ve aynı model olması gerekir. Şekil 91: Printer pooling için tek yapmanız gereken Enable printer pooling seçeneğini işaretlememizdir. İşaretledikten sonra yukarda birden fazla portu seçebiliyorsunuz.
S a y f a | 82 Bir yazıcının özelliklerinde advanced tabındakiler : - - - - Spool Print Documents So Program Finishes printing faster : Print işlemleri print serverda biriktirilerek, clientların yazdırma işini hızla tamamlayıp diğer görevleri gerçekleştirebilmesini sağlar. Start Printing After last page is spooled : Belgenin tamamını spoolda biriktirip yazma işlemine bundan sonra geçmesini sağlar. Start Printing immediately : Print device kullanımda olmadığında print işleminin hemen başlatılıp yazdırma süresini azaltır. Print directly to the Printer : Spool’u kapatarak, belgeyi doğrudan printera gönderir. Bu seçenek print işleminin performansını düşürür. Spoolda bir sorun olduğunda print işleminin devam etmesini istiyorsanız kullanın. Host mismatched documents : Bozuk sayfaları basmaz. Print spooled document first : İlk önce spool yapılmış dökümanları basar. Keep Printed documents : Eğer aynı döküman gün içinde birden fazla yazıcıya yollanacaksa, bunların devamlı spool yapılmasını engellemek amacıyla ilk spool yapıldıktan sonra, yazım işi tamamlanınca disk üzerindeki spool bilgilerini silmeyerek tutar. İkinci ve sonraki yazım işleri daha hızlı gerçekleşir. Enable advanced printing features : Yazıcının gelişmiş özellileri aktif hale getirilir. Şekil 92: Print device’ın özelliklerinden advanced tabı. Bir yazıcının özelliklerinde advanced tabında Print Processor butonu : Her printerda bir print işlemcisi bulunur. Windows sistemlerinde default yazdırma işlemcisi winprint’dir. Diğer yazdırma işlemcisi printer kurulurken yüklenebilir. Print Processor ve varsayılan veri türü, yazıcının ne kadar işlem gerçekleştireceğini belirler.
S a y f a | 83 Şekil 93: Print Processor butonuna tıkladıktan sonra çıkan pencere Bir yazıcının özelliklerinde advanced tabında Seperator Page butonu : Yoğun çalışan bir yazıcıda yada spool kullanılan yazıcıda çıkan dökümanlar arasında kullanıcıların kendi dökümanlarını bulabilmesi için ayırıcı sayfaları kullanabilirsiniz. Default olarak yazıcılar ayırıcı sayfaları kullanmazlar. Server 2003, 4 adet ayırıcı sayfa içerir. Bunlar system32 klasöründe saklanır. ASCII formatında olduğundan notepad ilede açabilirsiniz. - Pcl.sep : Print device’ı PCL moduna ayarlar ve her belgenin öncesinde bir ayırıcı sayfa yazdırır. Ayırıcı sayfa, yazdırma işinin kimliğini, tarihini ve saatini gösterir. - Pscript.sep : Yazıcıyı postscript moduna ayarlar. Ancak bir ayırıcı sayfa yazdırmaz - Sysprint.sep : Yazıcıyı postscript moduna ayarlar ve her belgenin öncesinde bir ayırıcı sayfa yazdırır. Ayırıcı sayfada, belgenin kimin tarafından yazdırıldığını ve ne zaman yazdırıldığını belirten bir üst bilgi vardır. - Sysprtj.sep : Postscript sayfa tanımlama dilini kullanır ve sysprint.sep dosyasından farklı olarak, bir, üst bilgi metni kullanan alternatif bir sürümdür. Şekil 94: Printer'ın özelliklerinden Advanced tabında en altta Seperator Page butonuna tıklayın
S a y f a | 84 Şekil 95: Sperator Page sayfasından Browse butonun tıklayın Şekil 96: .sep uzantılı dosyalar seperator sayfalarıdır. Server properties daki advanced tabı : - Log spooler error events : Event viewer’a hata olaylarını yazar - Log spooler warning events : Event viewer’a uyarı olaylarını yazar - Log spooler information events : Event viewer’a bilgi olaylarını yazar. - Beep on errors of remote documents : Clientlara dokümanın yazılmasında başarısızlık olduğu zaman notification bölgesinde baloncukla uyarı çıkarır. - Show informational notifications for local printers : Print servera gönderilen tüm işlerin durumunu print işlemini gönderen kullanıcının bilgisayarında görüntüler. - Show informational notifications for Network printers : Bu bilgisayardaki kullanıcılar tarafından diğer print serverlardaki print işlerinin durumunu görüntüler - Notify when remote documents are printed : Windows 95,98 ve NT kullanıcılarına print işleminin tamamlandığına dair bildiri gönderir. - Notify computer, not user when remote documents are printed : Windows 95,98 ve NT clientlarında uyarıyı belli bir kullanıcıya değil print işleminin yapıldığı bilgisayara gönderir.
S a y f a | 85 Şekil 97: Server Properties penceresinde Advanced tabı Server Properties daki Forms Tabı : Formlar, print serverlar tarafından kağıt, zarf ve slaytların standart boyutunu tanımlamak için kullanılır. Önceden tanımlı formları kullanabileceğiniz gibi kendinizde yeni bir form oluşturabilirsiniz. Şekil 98: Server Properties penceresinde Forms Tabı
S a y f a | 86 MODULE 7 Managing Access to Objects in Organizational Units AD Nesne İzinleri : AD’de her nesneye ait, hangi hesapların nesnelere erişimi olduğunu ve ne tür bir erişime izin verileceğini belirten bir güvenlik açıklaması vardır. Server 2003, bu açıklamaları kullanarak nesnelere erişimi kontrol eder. AD nesne izinleri, administrators grubunun yada kullanıcıların, nesnelere veya nesne özelliklerine erişimini ve ne tür bir erişime izin verileceğini kontrol edilmesini sağlar. Yani OU’lara veya kullanıcı ve gruplara yönetimsel haklar atayabilmek için bu izinleri kullanırız. Standart izinler, en sık kullanılan izinlerdir ve içinde Special (özel) izinleride barındırır. Special izinler, nesnelere erişimi kontrol etmek için daha üst seviye izinlerdir. Standart izinler : - Full Control : Kullanıcı, izinleri değiştirebilir, sahipliği alabilir ve diğer izinlerle belirlenen tüm görevleri yapabilir. Write : Nesnenin özelliklerini değiştirebilir Read : Nesneye, nesne özelliklerine, nesnenin sahibine ve izinlere bakabilir Create All Child Objects : Bir container’a nesne ekleyebilir Delete All Child Objects : Bir container’dan nesneleri silebilir Şekil 99: AD nesne izinlerini görebilmek için View menüsünden Advanced Features seçeneğini aktif hale getirmek gerekiyor.
S a y f a | 87 Şekil 100: AD içinde herhangi bir nesnenin izinleri Administrator veya nesnenin sahibi, kullanıcılara erişim için izin vermek zorundadır. Server 2003 işletim sistemi DACL (Discretionary Access Control List) adı verilen, kullanıcıların izinlerini barındıran bir liste içerir. Bir nesnenin DACL’sinde nesneye kimlerin erişebileceği ve hangi kullanıcıların nesne üzerinde neler yapabileceği yazılıdır. AD nesne izinleri ve NTFS izinleri bazı karakteristik izinler haricinde birbirine benzerler. AD izinleri Allow veya Deny olabilir, Direk veya dolaylı deny verilebilir, standart veya special izinler verilebilir, nesne bazında veya miras yoluyla izinler verilebilir. Allow veya Deny izni verebilirsiniz dedik. Deny izninin her zaman üstünlüğü vardır. Deny iznini gerekli olduğu yerlerde kullanın. Örneğin gruba izin vermişsiniz ama o gruptaki bir kişiye o izini vermiyecekseniz, o kişiye Deny verebilirsiniz. Bir işlemi yapmak için açık bir şekilde izin verilmemişse dolaylı olarak deny verilmiştir. Bir gruba bir nesne için read izni verilmiş ise dolaylı olarak bu grup haricindekilere deny izini verilmiştir. İzinlerin Miras olarak Aktarılması : Parent object, child denilen, altındaki diğer nesnelerle ilişkisi olan nesnedir. Child object, parent dan yani üstündeki nesneden izinleri miras olarak alır. Bu sayede yönetimsel olarak yapacağımız işlerin süresini azaltmış oluyoruz. Faydaları : - Yeni bir child nesne yarattığımızda onun için oturup izin ayarlamamıza gerek yok - Parent objeye yeni bir izin eklediğimizde child’larada bu izin uygulanacaktır. - Containerdaki tüm nesnelerde izin değişikliği yapacaksak parentta yapmamız yeterli
S a y f a | 88 Şekil 101: AD nesne izinlerinde yukardan gelen mirası engellemek için kutucuğu temizlemek gerekir. İzinlerin Mirasının Nesneler Üzerinde Değiştirilmesi : AD’deki bir nesnede yapacağımız değişiklikler izinlerin mirasınıda etkiler. Mesela bir nesneyi bir OU’dan alıp başka bir OU’ya koyarsak nesnenin mirasınıda etkileyecektir. Bir nesneyi OU’lar arasında taşırsak ne olur : - Nesneye direk olarak (Sonradan) verilmiş izinler aynen kalır Gittiği OU’dan izinleri miras olarak alır. Geldiği yerden miras yoluyla aldığı izinler geçersiz olur. İsterseniz izinlerin parenttan miras olarak alınmasını engelleyebilirsiniz. Bu sayede izinleri kopyalayabilirsiniz. Yeni izinler açık bir şekilde yani direk olarak verilmiş olur. Kopyalanan izinler miras olarak gelen izinler olacaktır. Kopyaladıktan sonra izinler üstünde gerekli değişiklikleri yapabilirsiniz. Remove seçtiğiniz zamanda nesne üzerindeki tüm izinleri silmiş olursunuz. Bu aşamadan sonra yeni izinler girebilirsiniz. AD Nesneleri üzerindeki Efektif İzinler : User yada Group’un AD nesnesindeki izinlerinin kombinasyonudur, toplamıdır. Kümülatif izinlerdir. Efektif izinler, kullanıcı veya gruba verilen izinleri ve group üyeliklerinden ve parentlardan miras olarak gelen her türlü izinleri hesaplar. Karakteristik özellikleri : - Kümülatif izinler, kullanıcı ve gruplara verilen AD izinlerinin kombinasyonudur. - Deny izini, tüm miras olarak gelen izinlerin üzerindedir. Açık bir şekilde verilen izinler önceliklidir. - NTFS de olsun AD de olsun her nesnenin bir sahibi vardır. Sahip, nesne üzerindeki izinleri kontrol edebilir ve istediğine izinler verebilir.
S a y f a | 89 Default olarak Server 2003 işletim sistemlerinde owner Administrators grubudur. Owner isterse nesne üzerinde başka kullanıcıya Take Ownership izni verebilir. - Domain adminleri, tüm nesneler üzerinde üyelik bilgilerini okuyabilirler. Bir client bilgisayar üzerindeki veya stand-alone server üzerindeki local adminler, bir domain kullanıcısının üyelik bilgilerini okuyamazlar. Pre-Windows 2000 mode’daki bir domainde, authenticated domain kullanıcıları üyelik bilgilerini okuyabilirler. Şekil 102: Satis OU’su üzerinde sinan isimli kullanıcının efektif izinleri OU’larda Yönetimsel Hakları Devretmek : Delegation of Control, AD nesnelerinin yönetimini, sorumluluğunu başka bir kullanıcı yada gruba vermektir. Delegate control sayesinde geniş yetkilere sahip birden fazla yönetimsel hesapları elimine etmiş olursunuz. Devredebileceğimiz controller : - OU’lar içinde nesne yaratma ve silme izinleri - Bir nesnenin özelliklerini değiştirme izinleri. Bir kullanıcı hesabının sıfırlanması gibi. AD’de yönetimsel hakları devrederek, rutin yönetimsel işleri üzerimizden atabiliriz. Domain veya forest çapında güvenilir kişilere devredebiliriz. Delegate ile belli bir group’a kendi network kaynaklarını kontrol etmelerini sağlayabilirsiniz.
S a y f a | 90 Yönetimsel hakların devrini 4 şekilde yapılabilir :     Belli bir OU veya domain içindeki tüm nesnelerin değiştirilmesi veya yaratılması Belli bir OU veya domain içindeki bazı nesne çeşitlerinin değiştirilmesi veya yaratılması Belli bir OU veya domain içindeki belirli nesnelerin değiştirilmesi veya yaratılması Bir nesnenin belirli attribute’ları üzerinde değişiklik için izin verilmesi Delegation of Control Wizard : Yetki devri yapmak istediğimizde Delegation of Control sihirbazı kullanılır. Sihirbazı kullanarak kullanıcılara, OU’ların, nesnelerin kontrolünü ve nesnelere erişip üzerlerinde değişiklik yapabilmeleri için izinler verilir. Sihirbaz ile OU bazında izinler devredebildiğiniz gibi, nesne bazında da izinler verilebilir. Sihirbazı çalıştırmak için, OU’nun üzerine sağ tuşla tıklayıp Delegate Control seçeneğine tıklamamız gerekir. Delegation of control wizard ile bir çok ortak görevi devredilebilir ve bu işi sihirbaz ile yapmakta çok kolaydır. Bunun haricinde, ortak görevler üzerinde değişiklikler yapmak için yeni şablonlar yaratılabilir. Yeni şablon yaratmayı %systemroot%inf klasörü içindeki delegwiz.inf dosyasından yapılabilir. Bu dosya üç bölümden oluşur. İlk bölümde, versiyon imzası bulunur. İkinci bölümde, dosyada göründüğü sırayla template’lerin isimleri ve son bölümde template’ler bulunur. Bu dosyayı notepad gibi bir text editörü ile açabilirsiniz. Değişiklikleri yaptıktan sonra hazırladığınız dosyanın bir kopyasını alın. Çünkü service pack yüklemesi yaptığınızda bu dosyayı orijinal dosya ile değiştirebilir. Özel Management Konsollar ve Taskpad’ler : Yönetimsel görevi bir kişiye veya gruba devrettikten sonra, devrettiğimiz kişinin bu görevi yerine getirmesi gerekir. Özelleştirilmiş yönetimsel konsollar yaratarak, Active Directory’nin sadece kendisiyle alakalı olan kısmını görmesini sağlanabilir. Bu sayede Active Directory dizin yapısının karmaşıklığı ile kullanıcı karşılaşmamış olur. Örneğin, bir kullanıcıya sadece bir OU’daki kullanıcı hesaplarını yönetmesi görevini devretmişseniz, Active Directory Users and Computers konsolunda sadece yetkili olduğu OU’nun görünmesini sağlayacak özel yönetim konsolu hazırlanabilir. Taskpad’ler, kullanıcının bir görevi yerine getirmesini sağlayan, görev tabanlı özel yönetimsel konsollar sayesinde görevlerinin yönetimini kolaylaştırır. Eğer kullanıcı sadece diğer kullanıcıların şifrelerini sıfırlamak gibi bir görevi üstlenmişse, bu görevi yerine getirmesi için taskpad yaratarak basit bir arayüz ile bu işi yapması sağlanabilir. Özel yönetim konsolu hazırlamak için, MMC konsolundan Active Directory Users and Computers snap-in’i ekleriz ve görünümü kısıtlamak için, hangi bölüm ile ilgili özel bir konsol yaratacaksak o bölümün üzerine mouse ile sağ tuşla tıklayıp New Window Here seçeneğine tıklarız. Taskpad’ler yaratmak içinde, OU’nun üzerine sağ tuşla tıklayıp New Taskpad View seçeneğine tıklarız.
S a y f a | 91 Kullanıcının, kendi bilgisayarında devredilen yönetimsel görevleri yapabilmesi için, kullanıcı bilgisayarında Active Directory Administrative Tool’ların yüklenmiş olması gerekir. Custom Management Console yaratılması : Şekil 103 : MMC konsolundan, AD users and Computers snap-in'i ekledikten sonra OU'nun üzerine sağ tuşla tıklayın. Menüden New Window from hereseçeneğine tıklayın. Şekil 104 : Kullanıcının yetkisine verilmiş olan OU için özel bir yönetim konsolu yaratmış olduk.
S a y f a | 92 Taskpad yaratılması : Şekil 105 : Yarattığımız Yönetim konsolundan OU'nun üzerine sağ tuşla tıklayıp New Taskpad View seçeneğine tıklayın. Şekil 106 : New Taskpad Wizard bizi karşılayacak. Next'e tıklayın. Şekil 107 : Sağ taraftaki detay kısmının nasıl görüneceğini ve açıklamaların nasıl yazılacağını belirleyip Next butonuna tıklayın.
S a y f a | 93 Şekil 108 : Taskpad içinde hangi öğelerin bulunacağını belirleyin. Şekil 109 : Taskpad'imize isim verelim. Şekil 110 : Finish diyerek Taskpad yaratma işlemini bitirelim.
S a y f a | 94 Şekil 111 : Taskpad'imiz hazır. Sonradan taskpad üzerinde değişiklik yapmak istiyorsak, OU'nun üzerine sağ tuşla tıklayıp Edit'leyebiliriz. Yönetimin Devredilmesinin yapılışı : Şekil 112: AD’de delegate yapabilmek için, hangi OU’nun yönetimini devredeceksek o OU’nun üzerine sağ tuşla tıklayarak delegate control seçeneğine tıklamamız gerekiyor. Şekil 113: Karşımıza Delegation of Control Wizard çıkacak. Next’e tıklayalım.
S a y f a | 95 Şekil 114: Add butonuna tıklayarak Satis OU’sunun yönetimini devredeceğimiz kullanıcıyı ekliyoruz. Next’e tıklayalım Şekil 115: Yönetimini devredeceğimiz görevleri seçelim. Burda password sıfırlamayı Ali isimli bir kullanıcıya devrediyorum. Şekil 116: Finish butonuna tıklayarak yönetim devrini tamamlıyoruz. Şimdi kullanıcı üzerinden kontrolü vermişmiyiz bakalım :
S a y f a | 96 Şekil 117 : Kullanıcının özelliklerinden Security tabında kullanıcınınchange password izni olduğunu görüyorum. Birde OU üzerinden bakalım : Şekil 118 : OU'nun özelliklerinden Security tabında ali isimli kullanıcıyı görüyorum. Fakat bu yetmez. Advanced butonuna tıklayalım.
S a y f a | 97 Şekil 119 : Permissions tabında ali isimli kullanıcının bu OU için reset password iznine sahip olduğunu görüyorum.
S a y f a | 98 MODULE 8 Implementing Group Policy Group Policy Nedir ? Group Policy (GP), AD’deki kullanıcı ve bilgisayarları yapılandırmak için kullanılır. GP ayarları ile kullanıcıların çalışma ortamlarını tanımlayabiliriz, ekstra güvenlik ayarları yapabiliriz, uygulamaları konfigüre edebilir ve bunların davranışlarını belirleyebiliriz, kullanıcılara veya bilgisayarlara yazılım kurulumu yapabiliriz, scriptler atayabiliriz, folder redirection (Klasör Yönlendirme) yapabiliriz. GP ile amaç, merkezi bir yönetimin sağlanmasıdır. GP’leri, tüm domaine uygulayabileceğimiz gibi özel gruplara (OU) da uygulayabiliriz. GP’leri, Server 2000 ve Server 2003 işletim sistemi çalışan sunucularla, Windows 2000 ve XP Pro çalışan clientları yönetmek için kullanabiliriz. Windows NT, 95 ve 98 işletim sistemi yüklü bilgisayarları yönetmek için GP’leri kullanamıyoruz. İki tür Group Policy var : - System32 Group Policy klasöründe saklanan ve yalnızca belirli bir bilgisayar için geçerli olan Local Group Policy. Workgroup ortamındaki bir bilgisayarda sadece Local Group Policy’ler vardır. - AD Group Policy. Burada yaratılan policy’ler SYSVOL klasöründe tutulur. Bir domain oluşturulduğunda otomatik olarak iki adet AD Group Policy oluşturulur. o Default Domain Policy. Tüm domain için geçerlidir. o Default Domain Controller Policy. Domain Controller’lar için temel güvenlik yapılandırılmasında kullanılır. Group Policy’ler, yaratıldığında nesne olarak tutulurlar yani GPO olarak adlandırılır ve bir containerda tutulur. Şekil 120: Local Group Policy. Buraya MMC konsolundan ulaşabileceğimiz gibi Run’dan gpedit.msc yazarakta ulaşabiliriz.
S a y f a | 99 Şekil 121: Local Group Policy’lerin tutulduğu klasör. Gizli bir klasördür. Tavsiyeler : - Default Domain Policy, yalnızca account policy’leri ayarlamak için kullanmalı diğer policy’ler için yeni bir GPO yaratıp domaine linklemeliyiz. Default Domain Controller Policy, kullanıcı hakları ve denetim ilkelerini ayarlamak için kullanmalıyız. Group Policy’ler sadece kullanıcılara ve bilgisayarlara uygulanır. Bunuda GP içindeki Computer Configuration ve User Configuration altklasörlerinden uygulayabiliriz. User Configuration : User Configuration altında, işletim sisteminin davranışları, masaüstü ayarları, güvenlik ayarları, yazılım assign veya publish etme, folder redirection, kullanıcı logon ve log off scriptleri bulunur. User Configuration, kullanıcı logon olduğunda uygulanır ve belli aralıklarla tazelenir. Software Settings : Kullanıcının hangi bilgisayardan logon olduğuna bakılmaksızın, yazılımların yüklenmesi, bakımı ve kaldırılmasını uygular. Windows Settings : Yine burdaki ayarlarda kullanıcının hangi bilgisayardan logon olduğuna bakılmaksızın uygulanır. Windows Settings altında, Folder Redirection, RIS, IE Maintenance, Scripts ve Security Settings alt klasörleri bulunur. Administrative Templates : Registry tabanlı ayarlardır. Computer Configuration altında yaptığınız değişiklikler Registry içinde HKEY_LOCAL_MACHINE (HKLM)’de tutulur. User Configuration altında yapılan değişiklikler ise HKEY_CURRENT_USER (HKCU) registry key de tutulur. Ayrıntısına inersek  HKEY_LOCAL_MACHINESoftwarePolicies (computer settings)  HKEY_CURRENT_USERSoftwarePolicies (user settings)  HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionPolicies (computer settings)  HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicies (user settings)
S a y f a | 100 Hem User hemde Computer Configuration içinde Administrative Templates altında Windows Components, System ve Network alt klasörleri bulunur. Computer Configuration : Computer Configuration altındaki policy’ler, işletim sistemi yüklenmeye başladığında uygulanır. Burda da masaüstü ve işletim sisteminin nasıl olacağını, shutdown ve startup scriptleri, bilgisayara yazılım yüklenmesi ve kaldırılması, yazılımların ayarları ve güvenlik ilkeleri bulunur. Eğer User Configuration ile Computer Configuration arasında bir çakışma meydana gelirse computer configuration daki policy’lerdeki ayarlar geçerli olur. GPO Yaratmak için Tool’lar : Group Policy nesneleri yaratabilmemiz için MMC konsolundan Group policy Editor’u açabilmek haricinde başka toollardan da yararlanabiliriz. - Active Directory Users and Computers : Burasıda bir MMC konsoludur aslında ve buradanda GPO lar yaratıp düzenlemeler yapabiliriz. AD Users and Computers konsolundan Domain ve OU’lar için GPO lar yaratabiliriz. Şekil 122: AD users and Computers penceresinden Group Policy’lere ulaşabilmek için, domain veya OU’nun üzerine sağ tuşla tıklayıp çıkan menüden properties seçeneğine tıklayalım. Çıkan pencerede Group Policy tabına tıkladığımızda o containera uygulanan (varsa) Group Policy görebiliriz. Ayarlarına ulaşabilmek için Edit butonuna tıklıyoruz.
S a y f a | 101 - Active Directory Sites and Services : Bu pencereden, Site’lar için GPO lar yaratıp düzenlemeler yapabiliriz. - Group Policy Management Console (GPMC) : GPMC, bize Group Policy’leri yönetmek için bir çok özellik sunar. Tek bir arayüzle GP’lerin bir çok fonksiyonunu yerine getirebilirsiniz. GP’lerin backup’ının alınması ve restore edilmesini, Copy ve import edilmesini, GPO ların raporlanması ve simüle edilmesini sağlar. Server 2003 ile birlikte gelmez. Microsoft sitesinden gpmc.msi isimli dosyayı indirip yüklememiz gerekir. Yüklendiği takdirde Domain, Site ve OUlardan Group Policy tabından GP’ler ulaşılmaz olur. GPMC, Group policy Object Editor yerine geçmez. GPO editorü kullanmaya devam edebilirsiniz. Şekil 123: Group Polcy Management Console arayüzü Administrative Templates : Administrative Template’ler .adm uzantılı dosyalardır. Bu dosyalar, Group policy object editor deki administrative template klasöründeki seçenekler için policy bilgileri sağlar. İşletim sistemini, Windows bileşenlerini ve uygulamaları yapılandıran registry ayarlarını kontrol etmemizi sağlar. Adm dosyalarındaki bilgiler : - Her ayarın registrydeki yeri - Her ayar için seçenekler veya kısıtlamalar - Ayarlar için default değerler - Ayarların yapabileceği şeylerin açıklamaları - Her ayarın desteklediği Windows versiyonları
S a y f a | 102 Şekil 124: .adm dosyaları. Nerede olduğunu görmek için adres çubuğuna bakın Group policy nesneleri AD içinde iki yerde tutulur : Group policy Contianer (GPC) ve Group Policy Templates (GPT) GPC : GPC, bilgisayarlar ve kullanıcılar için alt klasörler içerir. İçinde : - Versiyon bilgisi : Bu bilgi sayesinde tüm domain controllerlarda aynı GPO ların olması sağlanır - Status bilgisi : GPO’nun Enable veya Disable olup olmadığı bilgisi tutulur. - List of Extensions : GPO da kullanılan GP uzantılarının listesi GPT : Dosya tabanlı data ve software policy’lerin, scriptlerin ve uygulama bilgilerinin tutulduğu yerdir. Şekil 125: GPC yapısı Şekil 126: GPT yapısı
S a y f a | 103 GPO Link : Bir Group Policy yarattığımızda, Group Policy Object olarak bir container da tutulur. Yarattığımız GPO’yu kullanmak istediğimizde Site, Domain veya OU ya linklememiz gerekir. Default olarak GPO ları domain ve OU’lara Domain Admins ve Enterprise Admins grubunun üyeleri linkleyebilir. Site’lara linkleyebilmek içinde Enterprise Admins grubunun üyeleri bu işi yapabilirler. Group Policy Creator Owners grubu üyeleri ise sadece GPO yaratabilir fakat linkleyemezler. Group Policy Management Console’dan bir GPO yarattığımız zaman normalde hiçbir yere uygulanmaz, tek başına bir GPO olarak kalır. Yarattığımız GPO’yu bir domain veya OU’ya uygulamak istediğimizde bir link yaratmamız gerekir. Veya sonradan kullanmak içinde GPO lar yaratabiliriz. Şekil 127: Group Policy üzerine sağ tuşla tıklayarak hangi containerın altında ise o container ile link kurabilmek için Link enabled seçeneğine tıklamak veya link’i iptal etmek içinde check işaretini kaldırmak gerekir. Link’i disable yaparsak yani check işaretini kaldırırsak o GP continera uygulanmıyacaktır. AD Inheritance : GPO’lar Sitelara, Domainlere ve OU’lara uygulanır. Uygulama sırasıda aynıdır, yukarıdan aşağıya doğru. Child container, Parent’ından GPO ayarlarını devralır. Child’a hiç Group policy uygulamamış olsakta aslında yukardan (Parent’dan) Group policy ayarlarını alır. GPO’lar kümülativdir. Deminde bahsettik, GPOların uygulama sırası vardır. Eğer Site’a bir GPO uygulamışsak ilk olarak Sitedaki GPO sonra varsa Domain ve en sonda uygulamışsak OU’daki GPO’lar uygulanır. Yani kısaca en alttakine, yukardan aşağıya doğru uygulanan tüm GP’lerin toplamı uygulanır. Bir OU veya Domaine birden fazla GPO da uygulamış olabiliriz. Eğer bir OU’ya veya tüm Domain’e birden fazla GPO uygulanmış ve bunlardaki ayarlarda çakışma yaşanmışsa, en son hangi GPO yaratılmışsa önceliği o GPO alır, onun ayarları uygulanır.
S a y f a | 104 GPO Çakışmaları : Çok fazla GPO’lar yaratıp bunları da uyguladıysak, çakışmalar kaçınılmazdır. Karışık GPO’lar yarattıysak bir süre sonra yeni GPO’lar yaratıp bunları uygulamak istediğimizde hangi GPO’ da hangi ayarı yaptığımızı unutabiliriz. Demin de bahsettiğimiz gibi, parentta yarattığımız bir GPO child’a da aktarılır. Eğer child’da bir GPO belirtmemişsek üstten gelen uygulanır. Her ikisi içinde GPO yaratmışsak ikisi de uygulanacaktır. Yok eğer bu ikisi arasında çakışma olursa en alt seviyedeki GPO uygulanır. Eğer miras yöntemi size uygun gelmiyorsa, sıralamada değişiklik yapmak istiyorsanız, bunun için iki yöntemimiz var : - - No Override (Enforced): İster alt kısımda bloklama ister çakışma olsun bu policy mutlaka uygulanacak diyorsanız hangi GPO nun uygulanmasını istiyorsanız o GPO ya no override dememiniz gerekir. Parent’ta tanımlanmış olan GPO’nun Child tarafından mutlaka uygulanmasını istiyorsak Parentta No override dememiz gerekiyor. Child’da tanımlanmış GPO’da Block Inheritance denmiş olsa bile parenttaki GPO için no override denmişse no override üstün gelir. Birden fazla no override lar arasında çakışma olursa yüksek derecedeki no override üstün gelir. Block Policy Inheritance : Child container’ın parentlarından gelen GPO ları reddetmesidir. Bu seçenek daha çok , bir OU’nun özel bir GPO ya ihtiyacı varsa uygulanır. Eğer parent Containerdan no override yapılmışsa Block inheritance demenin bir anlamı yok. No override, Block dan daha üstündür. Group Policy Management Console yüklemeden evvel : Şekil 128: No Override seçeneğine ulaşmak için Options butonuna tıklayalım. Block inheritance diyerek de üstten miras yoluyla gelecek olan Group Policy ayarlarını engellemiş oluruz.
S a y f a | 105 Şekil 129: Options penceresinde çıkan seçeneklerden üstteki no override alttaki ise GPO’yu disable ederek link’i disable etmememizi sağlar. Group Policy Management Console yükledikten sonra : Şekil 130: Enforced seçeneği GPMC yüklemeden evvelki No Override seçeneğidir. GPO Link Attribute’ları : GPO linklerini, Enable, Disable, Enforce ve grouplayabiliriz. Enforced özelliği GPO link özelliğidir, GPO’nun bir özelliği değildir. No override’ın karşılığıdır. Yani enforced seçeneğine yes dersek bu policy kesinlikle uygulanacak demektir. GPO ile bir sorun yaşıyorsak, GPO yu silmek yerine GPO link’ini disable etmemiz yeterli. Disable dediğimiz zaman O container ve altındaki child containerlar için disable etmiş oluruz. Yani o GPO uygulanmaz. Bir OU’ya birden fazla GPO uygulanmış ve bunlar arasında çakışma yaşanmış ise en son uygulanan GPO önceliği alır.
S a y f a | 106 GPO da Filtreleme : Filtreleme ile bir containerda hangi ayarların kullanıcılara ve bilgisayarlara uygulanacağını belirleyebiliyorsunuz. Filtrelemeyi, Gpo Link üzerindeki izinlerle oynayarak uygulayabiliriz. GPO ayarlarının kullanıcı ve bilgisayarlara uygulanması için hesabın, GPO üzerinde en az read izninin olması gerekir. Yeni bir GPO üzerineki default izinler : - Authenticated Users : Allow read ve Allow Apply Group Policy izinleri - Domain Admins, Enterprise Admins ve System : Allow read, Alow Write, Allow Create AllChild Objects ve Allow Delete AllChild Objects Apply Group Policy izninin ayarlandığı hesapları değiştirerek belirli bir group policy nin etkilediği kullanıcılarda ve bilgisayarlarda değişiklik yapabiliriz. Bir GPO’ yu istediğimiz şekilde uygulatabiliriz. Filtreleme Yöntemleri : 1- GPO ayarlarının uygulanmasını istemediğiniz yönetici veya yöneticileri bir gruba toplayarak Apply Group Policy iznine deny verebiliriz. 2- Administrators grubunu Security group içinden çıkartarak Şekil 131: GPO’da sol tarafta Security Filtering kısmında bu GPO’nun kimlere uygulandığını görebiliyoruz. Uygulanmasını istemediğimiz bir kullanıcı veya grup varsa önce Add butonuna tıklayarak buraya ekliyoruz.
S a y f a | 107 Şekil 132: Delegation tabına tıklayalım. Eklediğim kişiyi orda görmem gerekiyor. Sol alttaki Advanced butonuna tıklayalım Şekil 133: Çıkan pencerede eklediğim ilke isimli kullanıcıda Apply Group Policy izninindeki Allow seçeneğini kaldırıyorum. Böylece bu Group Policy bu kullanıcıya uygulanmıyacaktır.
S a y f a | 108 MODULE 9 Managing the User Environment by Using Group Policy Kullanıcıların networke dahil olduklarında neler yapabileceklerini kontrol edebilirsiniz. Bunu da Group Policy sayesinde, masaüstlerini, network bağlantılarını ve kullanıcı arayüzlerini kontrol ederek yapabilirsiniz. Merkezi olarak kullanıcıların çalışma ortamlarını konfigüre etmek ve ayarlamak için yapabileceklerimiz : - - - Kullanıcıları ve bilgisayarları yönetmek : Registry tabanlı policy ayarları ile kullanıcıların hangi bilgisayardan logon olduklarına bakılmaksızın masaüstü ayarlarını değiştirip herkesde aynı masaüstü veya bilgisayar düzenine sahip olmalarını sağlayabiliyoruz. Server 20003 işletim sisteminde kullanıcı profillerini ve datalarına nasıl ulaşabileceklerini kontrol edebiliyoruz. Klasör yönlendirme (Redirection) sayesinde, yine hangi bilgisayardan logon olduğuna bakılmaksızın kişisel dosyalarına ulaşabilmelerini sağlıyabiliyoruz. Yazılım Kurulumu : Yazılım yükleme sayesinde kullanıcıların ihtiyacı olan yazılımlar, service packler, hotfixler merkezi olarak kullanıcı bilgisayarlarına yüklenebiliyor. Güvenlik ayarlarının uygulanması : Group Policy sayesinde merkezi olarak kullanıcıların güvenlikleri sağlanabiliyor. Group Policy sayesinde herkesin standart ayarlara sahip olmasını sağlayabiliyoruz. Group Policy Ayarlarında Disable ve Enable : Group Policy ayarlarında Enable, Disable ve Not Configured olmak üzere 3 ayarımız var. Disable seçeneği, o hareketi geçersiz kılar. Örneğin, default olarak kullanıcılar Control Panele ulaşabilirler. Bunun için Policy ayarlarında bulunan Prohibit Access to the Control Panel seçeneğine disable dememize gerek yoktur. Enable etmek, o policy ayarını kabul etmektir. Deminki örneğe bakarsak, kullanıcıların control panele ulaşmalarını istemiyorsak bu ayarı Enable etmemiz gerekiyor. Not configured seçeneği Group Policy ayarlarında default ayardır. Bu ayar GP için sistemi ilk kurduğunuz default ayarlardır. Bir işletim sistemini kurduğunuzda ki tüm ayarlar not configured kaldığı sürece geçerlidir. Bu seçenekler haricinde bir de eğer Enable veya Disable dediğimiz taktirde ek bilgiler girmek gerekebilir. Group eklemek, Ip adresi girmek, port numarası girmek gibi. Eğer girdiğiniz bu değerler başka bir policy ayarları ile çakışırsa en son yapılan policy ayarları geçerli olur.
S a y f a | 109 Şekil 134: Group Policy ayarlarında 3 seçeneğimiz vardır. Not Configured, Enabled ve disabled Group Policy’de Script Kullanımı : Group Policy kullanılarak kullanıcılara veya bilgisayarlara scriptler uygulayabilirsiniz. Script ise genelde batch file’lardır (.bat, .cmd gibi) veya Windows Script Host (WSH) kullanılarak komut satırlarından yazılmış, belli görevleri yerine getirmek için kullanılan code’lardır. WSH, Server 2003’ün MS Java Script yada MS VB Script dilleriyle yazılmış komut satırlarını kullanmamıza izin veren bir özelliğidir. Bilgisayarlar için startup yada shutdown scriptleri, kullanıcılar içinse logon veya logoff scriptleri çalıştırtabilirsiniz. Scriptler sayesinde işleri otomatiğe bağlıyabilirsinz. Örneğin kullanıcı logoff olduğunda veya bilgisayar shutdown olduğunda masaüstünü temizleyebilirsiniz. AD Users and Computers penceresinden, tek tek kullanıcılar üzerinden de logon scriptleri çalıştırabilirsiniz. Ama Group Policy merkezi olarak scriptlerin kontrol edilmesini sağladığı için GP tercih edilmelidir. Scriptlerde de bir çakışma meydana gelirse en son uygulanan script geçerli olur. Start-up scriptleri eş zamanlı (Senkronize) olarak çalışır. Yani bir diğeri başlamadan evvel bir öncekinin tamamlanmış olması gerekir. Logon scriptleri ise tam tersidir. Bir script diğerinin bitmesini beklemez. Script processi için default süre 10 dakikadır. Bu süre içinde scriptin tamamlanması gerekir. Eğer script bu süreyi geçecekse Group Policy’den Comp.Conf.Adm.TempSystemScripts. İçinde Maximum Wait Time for Group Policy Script seçeneğini ayarlamak gerekiyor.
S a y f a | 110 Şekil 135: İlk olarak Scriptimizi Notepad’den yazıp, kaydederkende .vbs olarak kaydedelim. Şekil 136: Scriptimizi yazdıktan sonra, bu scripti bilgisayarlara uygulayacaksak Computer Configuration altında startup/shutdown seçeneğinde, kullanıcılara uygulayacaksak, user configuration altında Windows Settings de scripts kısmında logon veya logoff seçeneklerinin özelliklerine girmek gerekiyor. Burdaki örnekte kullanıcılar bilgisayarlarını açtıklarında yukardaki script çalışsın. Şekil 137: Add butonuna tıklayarak çalışmasını istediğimiz scripti logon seçeneklerine ekleyelim.
S a y f a | 111 Şekil 138: Browse butonundan scripti ekliyoruz ve OK’e tıklıyoruz. Scriptin bulunduğu klasör paylaşıma açılmış olması gerekiyor. Şekil 139 : Scriptimiz kullanıma hazır. Folder Redirection : Folder Redirection (Klasör Yönlendirme), kullanıcı profiline dahil olan klasörlerin bir kısmını Local hard diskten alıp merkezi bir yerde tutulmasını sağlar. Yönlendirme sayesinde kullanıcı dataları tek bir merkezde tutulur ve kullanıcı bunlara kendi bilgisayarında logon olmasına gerek kalmadan istediği bilgisayardan ulaşabilir. Folder Redirection ile klasörleri kullanıcının bilgisayarından alıp networkte bulunan bir file server üzerindeki paylaşıma açılmış bir klasöre yönlendirebiliriz ve Folder Redirection ile datayı merkezi olarak yönetip, yedekleyebiliriz. Folder redirection yaptıktan sonra kullanıcılar klasörlerini kendi makinelerinde tutuyormuş gibi görürler. Yönlendirme yapabildiğimiz klasörler : - - My Documents : Genelde kişisel verilerin tutulduğu klasördür. Ayrıca offline olarak ta, -eğer kullanıcı laptop gibi taşınabilir bir bilgisayara sahipse- networke bağlı olmasa bile dosyalarına ulaşabilir. Application Data : Kullanıcıya özel uygulama verilerini içerir. Online veya offline olarak ulaşılabilir. Offline olarak ulaşıldığı taktirde yapılan değişiklikler, sonradan server ve client tarafında eşitlenir.
S a y f a | 112 - Desktop : Tüm masaüstü ayarlarınız, kısayollarınız ve masaüstündeki klasörleriniz server da tutulur. Start Menü : Start menü ve alt klasörler yönlendirilir. Folder Redirection Faydaları : - İstedikleri bilgisayardan datalara ulaşılabilir Merkezi bir yerde tutuldukları için yönetimi ve backup’ı kolaydır. Yönlendirilmesi yapılmış klasördeki dosyalar roaming profile daki gibi localde de bir kopyası tutulmaz. Yani kullanıcı bilgisayarında hiçbir data tutulmaz. Data share edilmiş klasörde tutulur ve bu da rutin yönetimsel işlerden olan backup işlemini kolaylaştırır. Group Policy kullanılarak disk kotaları uygulayabilirsiniz. Dataları, işletim sistemi olan bir yerden başka bir yere taşımak, kullanıcının makinesine işletim sistemini tekrar yüklerken oluşabilecek data kayıplarını önler. Folder Redirection için 3 tane ayarımız var : None, Basic ve Advanced Basic Folder Redirection : Klasörlerini, ortak bir yere yönlendirmek veya datasının özel kalmasını isteyen kullanıcılar için olan bir seçenektir. Burda da iki seçeneğimiz var : - - Redirect folder to the following location : Kullanıcıların klasörleri ortak bir alanda herkesin görebildiği yere yönlendirilir. Klasörler buraya yönlendirildiği taktirde dataların gizliliği kalmaz. Create a folder for each user under the root path : Dataların özel olmasını isteyen kullanıcılar için kullanılan seçenektir. Advanced Folder Redirection : Bu seçenekte gruplara göre klasörleri yönlendirebiliyoruz. Yani bir gruba üye olan kullanıcıların klasörleri o grup altında tutulur. Folder Redirection, bizim için klasörü otomatik olarak belirttiğimiz yerde yaratır. Ve yine otomatik olarakda gerekli izinler ayarlanır. Eğer klasörleri manuel olarak yaratmışsak o zaman izinleri de elle ayarlamamız gerekiyor.
S a y f a | 113 Şekil 140: Folder Redirection, User Configuration>Windows Settings altında bulunur. Yönlendirmek istediğimiz klasörün üzerine sağ tuşla tıklayıp properties seçeneğine tıklamamız gerekiyor. Şekil 141: Basic veya Advanced seçeneklerinden birini seçiyoruz.
S a y f a | 114 Şekil 142: Kullanıcı datalarının tutulacağı yerin UNC adresini yazıyoruz. Klasörün dah önceden yaratılmış, paylaşıma açılmış ve Full Control iznin verilmiş olması gerekir. Olması gereken NTFS izinleri : Account Creator Owner Administrators Everyone Local System Server da data koyacak Olan grup Default Folder Redirection İzni Full Control İzin yok İzin Yok Full Control N/A Min.Gerekli izin FullControl İzin Yok İzin Yok Full Control Listfolder/Read Data, Create Folders /Append Data- This Folder only Olması gereken Shared Folder İzinleri : Account Default Folder Redirection İzni Min.Gerekli izin Everyone Server da data koyacak Olan grup Full Control N/A İzin Yok Full Control Her bir kullanıcı için yönlendirilmesi yapılmış klasörde gerekli Olan NTFS İzinleri : Account Kullanıcının kendisi Local System Administrators Everyone Default Folder Redirection İzni Full Control, Kendi klasörü Full Control İzinler Yok izinler Yok Min.Gerekli izin Full Control Full Control İzinler Yok İzinler Yok
S a y f a | 115 Gpupdate : Gpupdate, Local group policy ve AD Group Policy ayarlarının refresh edilmesini sağlayan komut satırı aracıdır. Normalde default olarak, Group Policy de yapılan değişikliklerin serverlara ve clientlara uygulanması için 90 dakika beklenmesi gerekir. Domain Controller’larda ise 5 dakikadır. Gpupdate komutu, GP de yaptığımız değişiklikleri test etmek veya hemen uygulanmasını sağlamak için kullanılır. Parametreleri : /Target : [Computer/User] : Computer veya user Configuration ayarlarını refresh eder /Force : Tüm ayarları refresh eder. /Wait : Değer : Tazeleme process’inin bitmesi için bekleme süresi. Default değer 600 sn. dir. Bu süreyi geçerse işlem arka da devam eder ve komut satırını kullanmaya devam edebiliriz. Sıfır dersek bekleme, -1 ise sürenin belirsiz olduğunu belirtmiş oluruz. /Logoff : Refresh den sonra kullanıcının oturumunu kapatmak istiyorsak (Folder Redirection da) /Boot : Refresh den sonra bilgisayarı yeniden başlatmak istiyorsak (Program yüklemesi) /sync : Ön plandaki policy ayarının senkronize olarak uygulanması için. Önplandaki Policy ayarları bilgisayar başladığında veya kullanıcı logon olduğunda uygulanır. /Target parametresi ile kullanılır. Şekil 143: Gpupdate ? dediğimiz zaman Gpupdate ile birlikte kullanılabilecek parametreleri görebiliriz.
S a y f a | 116 GpResult : Gpresult.exe, hedef kullanıcı ve bilgisayar için Resultant set of policy bilgilerini gösterir. Bir bilgisayara veya o bilgisayara oturum açmış olan kullanıcıya uygulanan efektif GPO’ları ve varsa sorunları gösteren komut satırı aracıdır. GPResult ile GPO’ların en son ne zaman işlendiğini, group üyeliklerini de görebiliriz. Komut satırından gpresult yazdığınız zaman, o anda logon olmuş olan kullanıcının sorgulamasını yapmış oluruz ve bu da Logging Mode olarak çalışır. Logging Mode ile o anda logon olmuş kullanıcı sorgulanır. Site, Domain ve OU için yapılan sorgulamalar Planning mode olarak çalışır. Gpresult ile istersek sonucu bir txt dosyasına da aktarabiliriz. RsoP sorgulamasını Help and Support’tan, Support ve ordan da advanced system information kısmından da ulaşılabilir. Fakat burdan alınacak sonuç Gpresult ve Resultant Set of Policy Wizard’dakinden daha kısıtlı olacaktır. Kullanılacak parametreleri : /s Bağlanılacak bilgisayar. İsim veya IP adresi olabilir. Bir şey yazmazsanız default olarak Local Bilgisayardır. /u Domain/User Hangi kullanıcı izni altında komut çalıştırılacak /p Password /u da belirtilmiş olan kullanıcının şifresi /user Sorgulaması yapılacak kullanıcı. Default olarak kim logon olmuşsa /scope {user/computer} Sorgulanacak user veya computer policy ayarları /v Çıktının ayrıntılı bilgi göstermesi sağlanır. /z /v parametresinden daha fazla bilgiyi gösterir. Bu parametre ile sonucu bir text dosyasına aktarabiliriz. /z>c:isim.txt Şekil 144: Gpresult /? Yazdığımız zaman gpresult ile birlikte kullanılabilecek parametreleri görebiliriz.
S a y f a | 117 GP Reporting : Bir GPO üzerinde çok fazla değişiklikler yapmış olabiliriz. Bir kullanıcı yada bilgisayara uygulanan GPO yu GPMC ‘da html formatında görebiliriz.(Şekil 155) GPMC da sol tarafta, Group Policy Results dan sorgulamayı yaptıktan sonra sağ tarafta datayı html formatında görebiliyoruz. Sonucu istersek printera aktarabiliyoruz, istersek html formatında kaydedebiliriz. Tüm kullanıcıların bu rapor üzerinde read izini vardır. GPO Modelleme : GPO Modelling sayesinde, yarattığımız Group Policy’leri simüle edebiliriz. Bir GPO oluşturduğunuzda GPMC’dan User ve Computer configurationları farklı senaryolarla deneyebiliriz. Modelleme sonunda da bir rapor alırız. Modellemeden sonra sağ tarafta detay kısmında 3 tane tab gelir. - Summary : GPO ların listesi, group üyelikleri ve WMI filterlar - Settings : Simülasyonda uygulanan Policy ayarlarının raporu - Query : Sorguyu oluşturmak için kullanılan parametreler Şekil 145: Group Policy Management Console’dan GP Modeling üzerine sağ tuşla tıklayıp, GP modeling sihirbazını çalıştıralım Şekil 146: Hoşbeşten sonra, Next'e tıklayın.
S a y f a | 118 Şekil 147: Modelleme yapabilmek için bir DC seçmemiz gerekiyor. Sonrada Next’e tıklıyoruz. Şekil 148: User veya Computer konfigürasyonunun modellemelerinden birinin içinden bir container veya kullanıcı seçmemiz gerekiyor. Ben burda sadece ali isimli kullanıcıya uygulanan GPO’ların bir simülasyonunu yapmak istiyorum. Şekil 149: Finish dedikten sonra Html formatında raporu GPMC içinden bakabilirim.
S a y f a | 119 Şekil 150: Sağ taraftaki detay kısmında 3 tane tab var. Summary tabında, sadece user konfigürasyonunu sorgulattığım için computer konfigürasyon ayarları yok. Burada hangi GPO’nun uygulandığını hangisinin uygulanmadığını ve başarılı olup olmadığını görebilirim. Settings kısmından uygulanan GPO nun ayarlarını görebiliriz. GP Results : Group Policy Result ile Group Policy Modelling birbirine benzer. Aralarındaki fark GP Results da simülasyon yapılmayıp sorgunun bilgisayar üzerinde yapılıp geri dönderilmesidir. Sadece XP ve Server 2003 işletim sistemi çalışan makinelerde sorgulama yapılabilir. Şekil 151: Yine GPMC’dan sol tarafta Group Policy Results seçeneğine sağ tıklayıp çıkan menüden GPR sihirbazını çalıştırıyoruz.
S a y f a | 120 Şekil 152: Next'e tıklayın Şekil 153: Group policy uygulayacağımız bilgisayarı seçmemiz gerekiyor. Şekil 154: Seçtiğimiz bilgisayarda hangi kullanıcıya Group Policy uygulayacağımızı seçiyoruz.
S a y f a | 121 Şekil 155: Sağ tarafta detay kısmında oluşturulan raporu görebiliyoruz. Şekil 156: Bu örnekte User configuration altında Folder Redirection ayarlarının uygulanamadığı ve nedeni belirtilmiş.
S a y f a | 122 MODULE 10 Implementing Administrative Templates and Audit Policy Kullanıcı Hakları : Kullanıcı Hakları, sistem ile ilgili görevleri, eylemleri yapabilmeyi veya yapamamayı tanımlar. Örneğin, sistem saatini değiştirebilme, sistemi kapatabilme, Server 2003 çalışan bir makineye network üzerinden ulaşabilme gibi. Kullanıcı haklarını, kullanıcılara veya gruplara verebiliriz. Yönetimsel olarak kolaylık sağlaması için en iyi yöntem, gruplara hakları vermektir. Kullanıcı hakları, kullanıcının Site, Domain ve OU içinde yapabileceklerini kontrol eden GPO daki güvenlik ayarlarıdır. İzinler ile kullanıcı hakları farklıdır. Kullanıcı hakları, kullanıcılar ve grouplar üzerinde verilirken, izinler nesneler üzerinde verilir. İzinlerle, bir nesneye kimler ulaşabilir derken, haklarda bir kullanıcının sistemde neler yapabileceklerini belirleyebiliyoruz. Örneklemek gerekirse, default olarak dosyaları yada klasörleri adminstrators grubu ve backup operators grubu backuplayabilir. Siz bunlara klasörler üzerinde read iznini deny verseniz bile backup alabilirler. Kullanıcı hakları izinlerin üzerindedir (override). Kullanıcı hakları kümülativdir. Bir kullanıcı birden fazla grubun üyesi olabilir. Gruplardan gelen hakların toplamı kullanıcının sahip olduğu haklardır. Bir çakışma olduğu zaman da kullanıcıyı o gruptan çıkarmak gerekir. Administrators grubu, diğer kullanıcılara kullanıcı hakları atayabilir. Built-in grouplara default olarak haklar atanmıştır ve değiştirilemez. Kullanıcı hakları iki çeşittir : - Logon hakları : Kullanıcı veya grubun bir sisteme logon olma yollarını kontrol eder. - Privileges : Tüm sistemde neler yapabileceklerini, neler yapamıyacağını kontrol eder. İzinler : İzinler, bir nesneye veya özelliklerine, bir kullanıcının yada grubun erişim şeklini ifade eder. İzinleri, kullanıcılara, gruplara ve bilgisayarlara atayabiliyoruz. Fakat yönetimsel olarak en iyi yöntem kullanıcıları gruplara koyup izinleride o gruplara atamak. İzinleri atayabildiklerimiz : - Domaindeki ve güven ilişkisi kurulmuş diğer domainlerdeki kulanıcılara, gruplara ve özel kimliklere - Nesnenin durduğu bilgisayardaki kullanıcılara ve grouplara
S a y f a | 123 Built-in Grouplara Atanmış Kullanıcı Hakları : Default olarak, Server 2003 built-in grouplara belli haklar atamıştır ve değiştirilemez. Bu grouplar, Built-in Container’ındaki Local gruplar ve users container’ındaki gruplardır. Local Grouplardaki Kullanıcı Hakları : - Administrators : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log;Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects - Backup Operators : Access this computer from the network; Allow log on locally; Back up files and directories; Bypass traverse checking; Restore files and directories; Shut down the system. - Power Users : Access this computer from the network; Allow log on locally; Bypass traverse checking; Change the system time; Profile single process; Remove computer from docking station; Shut down the system. - Remote Desktop Users : Allow log on through Terminal Services. - Users : Access this computer from the network; Allow log on locally; Bypass traverse checking. Built-in Containerındaki groupların Kulanıcı hakları : - Account Operators : Allow log on locally; Shut down the system. - Administrators : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log; Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects - Backup Operators : Allow log on locally; Back up files and directories; Restore files and directories; Shut down the system. - Pre-Windows 2000 compatible Access : Access this computer from the network; Bypass traverse checking.
S a y f a | 124 - Print Operators : Allow log on locally; Shut down the system. - Server Operators : Allow log on locally; Back up files and directories; Change the system time; Force shutdown from a remote system; Restore files and directories; Shut down the system. Users Container’ındaki Groupların Kullanıcı Hakları : - Domain Admins : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log; Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects - Enterprise Admins : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log; Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects Şekil 157: Kullanıcı haklarına Computer Configuration>Windows Settings>Security settings>Local Policies>User Rights Assignment bölümünden ulaşabilirsiniz. Sağ tarafta ise Logon hakları ve privileges görebilirsiniz.
S a y f a | 125 Security Policy : Security Policy, bir bilgisayara uygulanan güvenlik ayarlarının toplamıdır. Security Policy’leri kullanarak, AD içinde veya Localde account policy’ler ve local policyler oluşturulabilir. Local bilgisayarda, security policylerle, account ve local policy’ler, public key policy’ler ve IpSec policy’leri ayarlanabilir. Local security policy’lerle : - Bilgisayarınıza kimin eriştiğini - Hangi kullanıcılar bilgisayarınızdaki kaynakları kullanmak için yetkilendirilmiş - Kullanıcıların veya groupların yarattıkları event loglar tutulabilir. Sistemimizde AD yoksa Security Policy’leri Local Security Policy kullanarak konfigüre edebiliriz. AD varsa sistemimizde, Security Policy’ler Local bilgisayardaki ayarlarla aynıdır. AD ortamında, Group Policy’leri kullanarak hatırı sayılır bir yönetimsel zamandan, tasarruf sağlamış oluruz. Security Template’ler : Security Template’ler, konfigürasyonu önceden yapılmış güvenlik ayarları paketidir. Bu paketler farklı durumlar ve farklı bilgisayarlar için tavsiye edilen ayarlardır. Security Template’ler Windows (.INF) dosyalarıdır ve bulunduğu yerde ; <%systemroot%>SecurityTemplates klasörüdür. İstersek bu şablonları kullanıp uygulayabiliriz, istersek üzerinde değişiklikler yapıp kullanabilir veya yeni bir şablon yaratabiliriz. Bu işlemleride Security Templates snap-in penceresinden yapabiliriz. Mevcut security template’leri bilgisayarlara uygulayacağımız yerler ise Security Configuration and Analysis snap-in penceresi, komut satırından secedit veya Local Security Policy den import ederek.(Şekil 167-Şekil 168) Server 2003’deki Template’ler : 1- Default Security (Setup Security.inf) : Bir bilgisayara yeni bir işletim sistemi yüklenirken uygulanan default güvenlik ayarlarıdır. Bu ayar, sistem sürücüsüne default dosya izinlerinide uygular. Domain Controller’lara uygulanmaz. Birincil olarak Disaster Recovery işlemi için kullanılır. Sadece temiz bir yüklemede uygulanır. FAT dosya sisteminde uygulanmaz. 2- Domain Controller default security (Dc security.inf) : Domain Controller’lar için default güvenlik ayarıdır. Server DC’ye yükseltildiğinde yaratılır. Bu güvenlik ayarları, dosyalara, registry key’lere ve system servislerine yansıtılır. 3- Compatible (Compatws.inf) : Çoğu Xp de çalışmayan sertifikasız uygulamaların gereksinimlerini karşılamak için default dosya ve registry izinlerini yumuşatır. Administrators, Power users ve Users gruplarını etkiler. Administrators ve Power Users gruplarını daha güçlü hale getirirken, Users grubu en az ayrıcalıklara sahip olur. Power Users grubu üyelerini iptal eder. 4- Secure (Secure*.inf) : Workstation veya DC’lere uygulanan Secure template, password, lockout ve audit ayarlarıyla oynayarak güvenliği artırır. Ayrca bu template clientların NTLM otantikasyon protokolünü kullanmalarını kısıtlar.
S a y f a | 126 Windows 98, Windows 95 işletim sistemi yüklü olan bilgisayarlar bu şablon uygulanmış olan server’a ulaşabilmek için Active Directory Client Extensions Pack’ın yüklenmiş olması gerekir. 5- Highly Secure (Hisec*.inf) : Workstation ve DC’ler için şifreleme ve imzada yüksek güvenlik sağlar. Lan Manager ve NTLM kabul edilmez, bütün power users grup üyelikleri iptal edilir. 6- System Root Security (Rootsec.inf) : Sistem kök sürücüsünü default NTFS izinlerine geri döndürür. Security template’leri tek bir bilgisayara uygulayabildiğimiz gibi bir çok bilgisayara da uygulayabiliriz. Mevcut bir güvenlik ayarlarına template’leri uyguladığımız zaman bilgisayarın güvenlik ayarları ile birleştirilir. Security Template’ler deki ayarlar : Account Policies : Buradan account policy’leri, password policy’leri ve lockout policy’leri konfigüre edebiliyoruz. Local Poicies : Audit policy’ler, kullanıcı hakları ve izinler ve local olarak ayarlanabilecek çeşitli güvenlik ayarları Event log : Application, system ve security loglar için büyüklük, erişim ve parametrelerin ayarlarını konfigüre etmenizi sağlar. Restricted Groups : Security group üyeliklerini konfigüre ve kontrol edebiliyoruz. System Services : Sistem servislerinin, güvenlik ve sistem başlangıç ayarlarını konfigüre edebiliyoruz. Bu ayarlar, automatic, manual ve disabled ayarlarıdır. Registry : Registry ayarlarını denetleyen registry policy’leri File system : Local dosya veya klasör izinlerini konfigüre edebiliyoruz. Şekil 158: MMC konsolundan Security templates snap-in’ den Security Template’lere ulaşabiliriz.
S a y f a | 127 Şekil 159: Templatelerin bulunduğu klasörün yazılı olduğu yere sağ tuşla tıkladığımızda New Template diyerek kendimiz yeni bir şablon oluşturabliriz. Şekil 160: Mevcut templateler üzerinde değişiklikler yapabiliriz. Fakat isterseniz Server 2003 içindeki şablonları başka bir isimle kaydedip onun üzerinde değişiklikler yapın. Security Configuration and Analysis Tool : Bir security template’i uygulamadan evvel, mutlaka uygulamalara, güvenliğe veya bağlantılara kötü etkisi olup olmadığına emin olmak için analiz edilmesi gerekir. Analiz sayesinde standart konfigürasyonumuzdaki güvenlik açıklarını ve sapmaları görebiliriz. Bu analizi yapabileceğimiz araç ise Security Configuration and Analysis snap-in penceresidir. Security Configuration and Analysis aracının yaptığı iş, local bilgisayarın güvenlik konfigürasyonu ile import edilen template’in güvenlik konfigürasyonunu karşılaştırmak ve bunu bir database’e (.sdb) yazmaktır.
S a y f a | 128 Tutarsız olan veya template ile uyuşmayan ayarların üzerinde kırmızı çarpı işareti koyulur. Template deki ayarlarla tutarlı olanlar ise yeşil check işareti vardır. Hiç bir işaret olmayan ayar ise database de konfigüre edilmemiş demektir. Analizi yaptıktan sonra yapabileceklerimiz : - Kırmızı işaretli olanları database içinden konfigüre ederek bilgisayardaki ayar ile tutarlı hale getirmek - Çakışmanın olduğu yerdeki konfigürasyonun üzerine başka ayar yerleştirmek için başka bir template’i import etmek. - Mevcut database ayarlarını başka bir template dosyasına export etmek. Şekil 161: Security Configuration and Analysis tool’u açtığımızda ilk olarak bir database’i açmamız, yoksa yaratmamız gerekiyor. Database yaratmak için, Open database diyoruz. Şekil 162: Open Database penceresinden bir isim yazdıktan sonra Open butonuna tıklayarak database’i yaratmış oluyoruz.
S a y f a | 129 Şekil 163: Open dedikten sonra karşımıza Import Template penceresi gelir. Burada hangi şablonu import edip bilgisayarımızdaki ayarlarla karşılaştırıp analiz edeceğimizi seçeceğiz. Şekil 164: Bu işlemlerden sonra analiz işlemine geçebiliriz. Analyze Computer Now dedikten sonra küçük bir ekranda log dosyasının tutulacağı yeri ve ismi soracaktır. Default değerle bırakabilirsinz. Şekil 165: Analizi başlattığınız zaman işlemi takip edeceğimiz pencere.
S a y f a | 130 Şekil 166: Analiz işlemi bittikten sonra şablondaki (Database Settings) ayarlarla bizdeki ayarlar (Computer Settings) arasındaki uyumsuz olanlar kırmızı çarpı işareti ile gösterilir. Uyumsuz olanların özelliklerinden database deki ayarları değiştirebilir veya Security Conf. And Analysis başlığına sağ tuşla tıklayıp Configure Computer Now diyerek bu şablonu bilgisayarımıza uygulayabiliriz. Şekil 167: Güvenlik ayarlarını bilgisayarımıza uygulamak. Security Template’leri import edip, uygulamanın diğer yolu da AD Users and Computers penceresidir : Şekil 168: Security Settings üzerine sağ tuşla tıklayıp çıkan menüden Import Policy seçeneğine tıklayıp templateleri import edebiliriz.
S a y f a | 131 Auditing : Auditing process’i, server yada client üzerinde seçilen olaylara göre, security log içinde işletim sistemi veya kullanıcı aktivitelerini kaydetmektir ve güvenlik stratejimizin de önemli bir parçasıdır. İzinler, sadece datayı korur. Fakat bu dataya ne olduğunu, kimin ne yaptığını, olayın ne zaman olduğunu ve sonucunu söylemez. Bu görevleri de auditing ile yapabiliriz. Default olarak auditing enable değildir. Auditing’i enable etmemizin ve loglarını takip etmemizin nedenleri : - Network ve bilgisayarın yaptığı işler için bir baseline yaratmak - Network’ü ve bilgisayarı etkileyecek haraketleri tespit etme - Bir güvenlik olayından sonra veya olay sırasında sistemi ve datayı tehlikeye düşürecek şeyleri tespit etme - Network’e giren bir saldırganın networke ve bilgisayarlara zarar vermesini önlemek Neleri denetleyeceğiniz, şirketinizin güvenlik ihtiyaçlarına göre ayarlanır. Örneğin Potansiyel brute force ataklarına karşılık hatalı logon denemelerini takip edebilirsiniz. Bununla birlikte auditing size değerli bilgiler sağlayabileceği gibi, gereksiz, fazla auditing yapmakta logları gereksiz bilgilerle dolduracaktır. Bu da sistemi yorabileceği gibi, istediğiniz bilgiye ulaşmanızıda zorlaştıracaktır. Audit Policy : Audit Policy, Server 2003’ün, her bir bilgisayar için güvenlik olaylarını security loglarda tutulmasını sağlar. Audit Policyleri bir bilgisayarda aktif hale getirdiğimizde, o bilgisayardaki başarılı yada başarısız eylemleri takip edebiliriz. Kaynakların yetkisiz olarak kullanılması riskini en aza indiririz, kullanıcı ve yöneticilerin yaptıklarını kaydedebiliriz. Audit loglarına, Server 2003’de Event Viewer’da security log bölümünden bakılabilir. Audit’i Local Policy üzerinden veya Group Policy’den konfigüre edebiliriz. Serverlar için default auditing ayarları security templateler içinde tanımlanmıştır. Audit Yapabileceğimiz Olaylar : Auditing için ilk yapmamız gereken şey, neyi denetleyeceğimize karar vermektir. Gereksiz olayları takip etmemiz sistem kaynaklarının boşa kullanılmasına neden olur. Server 2003’de audit olaylarını iki kategoride ayarlayabiliyoruz : - Success : Başarılı olan sistem olaylarını kaydeder. Bir anahtar ikonu kullanır. - Failure : Başarısız olan olayları tutar. Kilit ikonu ile gösterir Failure olan olayları takip etmek daha kullanışlıdır. Success olaylarını takip etmek ise zordur. Bir saldırgan sisteme girdiğinde başarılı olarak yazılacaktır çünkü.
S a y f a | 132 Server 2003 deki Audit Policy ayarları : Account logon Events : Başarılı yada başarısız logon girişimlerini tutar. Local bilgisayara logon olursa bilgisayar, account logon events’da bunun logonu tutar. Domaine logon olmuşsa otantikasyonunu yapan DC account logon event da kaydını tutar. Account Management : Kullanıcı veya grup yaratılması, silinmesi veya değişiklik yapılması, kullanıcı hesabının isminin değiştirilmesi, enable veya disable edilmesi, password değişikliği gibi olayların denetimini yapar. Directory Service Access : AD servislerine veya nesnelerine erişim kayıtlarını tutar. Bunun için nesne veya servis üzerinde auditing konfigürasyonunun yapılması gerekir. Logon events : Kullanıcı locale veya domaine logon olmasına bakılmaksızın logon olayları tutulur. Ayrıca logon ile ilgili olarak çalıştırılan scriptler veya roaming profile erişimleri de kaydedilir. Object Access : Dosya, klasör veya printera erişimler kaydedilir. Bunun için Adminin bir dosyada, klasörde veya printerda audit ayarı yapması gerekir. Policy change : Security options da, kullanıcı haklarında veya audit policy de yapılan değişiklikler takip edilebilir. Privilege use : Kullanıcı, networke logon olduğunda tanımlanmış olan kullanıcı haklar takip edilir. Process Tracking : Bir uygulama çalıştırıldığında veya uygulamanın yaptıkları takip edilebilir. System : Bilgisayarı açıp kapama gibi sistem olayları veya server 2003 işletim sisteminin güvenliğini etkileyecek olaylar. Şekil 169: Audit Policy ayarları.
S a y f a | 133 Audit Policy için Karar verilmesi Gerekenler : Audit Policy planlamasında dikkat etmemiz gerekenler : - Server 2003 olayları denetlerken her bir bilgisayar için ayrı ayrı yapabilir. Bunun için hangi bilgisayarları denetleyeceğinize karar vermeniz gerekir. - Ne tür olayları takip edeceğinize karar vermeniz gerekir. Dosya veya klasörlere mi erişim denetlenecek, kullanıcı logon, logoff’ larımı, kullanıcı ve group hesaplarında yapılan değişiklikler mi takip edilecek gibi - Başarılı yada başarısız olaylar yada her ikisinin takip edilip edilmeyeceğine karar verilmesi gerekir. - System kaynaklarının kullanımlarının takip edilmesine karar verilmesi gerekir. - Security loglarına düzenli ve sık bir şekilde bakılması gerekir. Auditing’i Konfigüre etmek için Tavsiyeler : - Directory service access kategorisindeki denetimi success olarak ayarlamak gerekirki kimlerin AD nesnelerine eriştiğini ve neler yaptığını takip edebilelim Object Access kategorisini success olarak takip edin. System kategorisini başarılı ve başarısız olarak denetlemesini yapın DC üzerinde Policy değişikliklerini başarılı ve başarısız olarak denetlemesini yapın Account management’i başarılı ve başarısız olarak denetimini yapın. Logonları, success olarak denetlemesini yapın. Bu sayede yetkisiz kişilerin logon girişim denemelerini takip etmiş olursunuz. DC üzerindeki account logon ları success olarak denetimini yapın. Security Loglar için uygun depolama büyüklük ayarını yapın Log Dosyaları : Security loglar, başarılı yada başarısız logon girişimleri, kaynak kullanımlarıyla ilgili olayların (dosya yaratma, açma, silme gibi) kayıtlarını tutar. Her bilgisayar, kendi security loglarında local olaylarını tutar. AD içinde ki security log bilgileri DC üzerinde tutulur. Daha önce bahsettiğimiz gibi security loglara Event Viewer içinden bakabiliyoruz. Event viewer da ayrıca tutulan loglar : - Application : Bilgisayara yüklenmiş uygulamaların ki buna server uygulamaları da dahil (Exchange server, SQL Server gibi) logları bulunur. - Security : Denetlemeleri (Auditing) aktif hale getirilmiş olaylar - System : Server 2003 içindeki servisler ve bileşenleri tarafından yaratılan loglar - Directory Service : Sadece DC ‘de gözükür ve Dizin servislerinin replication gibi yarattığı olaylar. - File Replication Service : Bu da sadece DC üzerinde görünür. GP replikasyonu gibi olayların oluşturduğu loglar tutulur. Security loglar, <%systemroot%>system32config klasöründe tutulur. Security loglar default olarak Event log files (.evt) formatında tutulabileceği gibi Comma Delimeted (.csv) ve text dosyası (.txt) formatında da tutulabilir. Default olarak security log dosyası SecEvent.evt dir.
S a y f a | 134 Default olarak Security log dosyalarına System account ve administrators grubu erişebilir. Log dosyalarının yerini değiştirdiğinizde yeni dosyada doğru NTFS izinlerinin olduğundan emin olun. Event Viewer servisi durdurulamadığı için yapılan değişiklik server restart edilene kadar geçerli olmayacaktır. Şekil 170: Log dosyalarının büyüklükleri ve diğer log dosyaları ayarlarını Group Policylerden yapabildiğimiz gibi event viewer dan da log dosyalarının özellikleri ile oynayabiliriz. Şekil 171: Administrative tools veya control panel>administrative tools dan ulaşabileceğimiz event viewerdan, ayarlarını değiştirmek istediğimiz logun üzerine sağ tuşla tıklayıp properties seçeneğine tıklamak gerekiyor.
S a y f a | 135 Şekil 172: General tabından burdaki örnekte application logunun büyüklüğü ile oynayabiliyoruz. Belirlediğimiz log dosyasının büyüklüğü aşıldığı zaman da log dosyasının nasıl tutulacağını belirleyebiliyoruz. Her olay 350-500 bytes kadar yer tutar. 10 MB alan ayırdığınız zaman bu 20,00025,000 security logunun tutulabileceği anlamına gelir. Overwrite events as needed : Log dosyası max.size boyutuna ulaştığında log dosyasındaki en eski logun üzerine yazmaya devam eder. Overwrite events older than x days : Belirtilen günden daha eski olayların üzerine yazılmasını belirtir. Do not overwrite events : Yeni olaylar yazılmaz. Eskilerinin manuel olarak silinmesi gerekir. Security logların yönetimini devredebilirsiniz. Bunuda Group Policy den “Manage auditing and Security log” ayarından yapabilirsiniz. Group Policy deki yeri ise Computer Conf>Windows Settings>Security Settings>Local Policies>User Rights Assignment
S a y f a | 136 Şekil 173: Filter tabında da ne çeşit olayların görüntüleneceğini belirleyebiliyoruz. Bazı Güvenlik Olayları : Event Viewer’da olaylar ayrıntılı açklamalarının yanında birer ID ile de tanımlanırlar. Başarılı bir logon olayının Event ID’si 528 dir. Başarısız logon ların yarattıkları Event ID ise 529 dur. Aşağıdaki tabloda sık karşılaşılan Event ID ler ve açıklamaları yazıyor : Olay ID’si Açıklama Event Event Event Event Event Event Event Event Event Event Event Event Event Başarılı logon Başarısız Logon Girişimi Kilitlenmiş bir hesabın logon girişimi Dosya sahipliğinin değiştirilmesi Security Log’un temizlenmesi Systemin kapatılması Disable olan bir hesaptan Logon girişimi Süresi dolmuş bir hesaptan Logon Girişimi Logoff işlemi tamamlanamadı DOS saldırısı oluştu Kullanıcı logoff oldu Disconnect olmamış bir Terminal Service ourumuna bağlantı kurulmaya çalışıldı Terminal Service bağlantısına logoff olmadan bağlantı kesildi ID ID ID ID ID ID ID ID ID ID ID ID ID 528 529 539 578 517 513 531 533 538 550 551 682 683

More Related Content

PDF
Course 2275
byilketek
 
PDF
Bloombase Spitfire Ethernet Encryptor Specifications
byBloombase
 
PDF
Aksa
bykankakanka
 
PDF
Kurumsal Mobil Uygulamalar
byErol TOKALACOGLU
 
PDF
Etohum Kampı 23.05.2014
bySalih Ozkan
 
PPT
Introduction to couch_db
byRomain Testard
 
PDF
Automation A Reischl
byreischl
 
PPTX
Bi̇ri̇ki̇m sunum
bybirikimgayrimenkul.com
 
Course 2275
byilketek
 
Bloombase Spitfire Ethernet Encryptor Specifications
byBloombase
 
Aksa
bykankakanka
 
Kurumsal Mobil Uygulamalar
byErol TOKALACOGLU
 
Etohum Kampı 23.05.2014
bySalih Ozkan
 
Introduction to couch_db
byRomain Testard
 
Automation A Reischl
byreischl
 
Bi̇ri̇ki̇m sunum
bybirikimgayrimenkul.com
 

Similar to Course 2274

PDF
Sunucu işletim sistemi 2
byErol Dizdar
 
DOC
Audit Policy
bylogyonetimi
 
PDF
2.sunucu isletim sistemi
byFatih Tüzen
 
PPT
2003 Enterpres Kurulum
byguest90be5bb
 
PPTX
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
byMSHOWTO Bilisim Toplulugu
 
PPT
Windows Server 2008 R2 Yenilikleri
byÇözümPARK
 
PPTX
NTFS ve ÖZELLİKLERİ
bySamet Özgen
 
PPT
Windows Server 2008 R2 ile Gelen Yenilikler
bySerhad MAKBULOĞLU, MBA
 
PPT
System Center 2007 ile Yönetim
byÇözümPARK
 
PPT
Microsoft System Center ile Yönetim
byÇözümPARK
 
PPTX
Windows Server 2008 R2 Ve Yenilikler
byMSHOWTO Bilisim Toplulugu
 
PDF
Windows server 2008
byMustafa Ugur Oduncu
 
PPTX
NTFS
bySamet Özgen
 
PDF
Sunucu işletim sistemi 1
byErol Dizdar
 
PPT
Windows Server 2008 R2 Yenilikleri
byÇözümPARK
 
PDF
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
byBGA Cyber Security
 
PPTX
Işl sist gelişmişözellikleri
bymsbasarici
 
PDF
Windows Legacy Server Migration
byMSHOWTO Bilisim Toplulugu
 
PDF
Isa Server
byErol Dizdar
 
PPT
Windows Masaüstü Güvenliği
byBurak DAYIOGLU
 
Sunucu işletim sistemi 2
byErol Dizdar
 
Audit Policy
bylogyonetimi
 
2.sunucu isletim sistemi
byFatih Tüzen
 
2003 Enterpres Kurulum
byguest90be5bb
 
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
byMSHOWTO Bilisim Toplulugu
 
Windows Server 2008 R2 Yenilikleri
byÇözümPARK
 
NTFS ve ÖZELLİKLERİ
bySamet Özgen
 
Windows Server 2008 R2 ile Gelen Yenilikler
bySerhad MAKBULOĞLU, MBA
 
System Center 2007 ile Yönetim
byÇözümPARK
 
Microsoft System Center ile Yönetim
byÇözümPARK
 
Windows Server 2008 R2 Ve Yenilikler
byMSHOWTO Bilisim Toplulugu
 
Windows server 2008
byMustafa Ugur Oduncu
 
NTFS
bySamet Özgen
 
Sunucu işletim sistemi 1
byErol Dizdar
 
Windows Server 2008 R2 Yenilikleri
byÇözümPARK
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
byBGA Cyber Security
 
Işl sist gelişmişözellikleri
bymsbasarici
 
Windows Legacy Server Migration
byMSHOWTO Bilisim Toplulugu
 
Isa Server
byErol Dizdar
 
Windows Masaüstü Güvenliği
byBurak DAYIOGLU
 

Recently uploaded

PDF
KALB VE İDRAK-Kalb aklın kaynağı ve failidir.pdf
byAhmet Türkan
 
PPTX
Yaratıcı Drama/Drama Dersi Sunumu Türkçe
byMelikeFaiz1
 
PPSX
Yönetimin Karar Alma Sürecini etkileyen Unsurlar sunusu
byedemirci44
 
PDF
Eduvia – Eğitim Yayıncılığı için Yapay Zekâ Destekli Keşif Ekosistemi
byBüşra Naz Aşar
 
PDF
BİR HİCRET YOLCULUĞU-İnsanın en büyük hicreti kendinden kendine olanıdır.pdf
byAhmet Türkan
 
PPTX
Leonardo_da_Vinci_30_Slayt.pptxlllllllllllllllll
bybatuhanefe040
 
KALB VE İDRAK-Kalb aklın kaynağı ve failidir.pdf
byAhmet Türkan
 
Yaratıcı Drama/Drama Dersi Sunumu Türkçe
byMelikeFaiz1
 
Yönetimin Karar Alma Sürecini etkileyen Unsurlar sunusu
byedemirci44
 
Eduvia – Eğitim Yayıncılığı için Yapay Zekâ Destekli Keşif Ekosistemi
byBüşra Naz Aşar
 
BİR HİCRET YOLCULUĞU-İnsanın en büyük hicreti kendinden kendine olanıdır.pdf
byAhmet Türkan
 
Leonardo_da_Vinci_30_Slayt.pptxlllllllllllllllll
bybatuhanefe040
 

Course 2274

  • 1.
    Sayfa |0 MCSE EĞİTİMKİTAPLARI SERİSİ COURSE 2274 Managing a Microsoft Windows Server 2003 Environment Sinan ÜSTÜN
  • 2.
    Sayfa |1 MCSE EĞİTİMKİTAPLARI SERİSİ COURSE 2274 Managing a Microsoft Windows Server 2003 Environment SINAV KODU : 70 – 290 EĞİTMEN : SINAN USTUN
  • 3.
    Sayfa |2 İçindekiler : MODULE1 __________________________________________________________________ 5 Introduction to Administering Accounts and Recources _________________________ 5 Bilgisayar Rolleri : ________________________________________________________________________ 5 Server 2003 Versiyonları : ______________________________________________________________ 8 Directory Service : _______________________________________________________________________ 8 Windows Server 2003’ e logon Olmak : _____________________________________________________ 9 Run as Özelliği__________________________________________________________________________ 10 Administrative Tools : ___________________________________________________________________ 13 MMC : _________________________________________________________________________________ 14 Organizational Unit : ____________________________________________________________________ 16 OU’ların Hiyerarşik yapısı : _______________________________________________________________ 16 OU’ların İsim yapıları : ___________________________________________________________________ 17 MODULE 2 _________________________________________________________________ 18 Managing User and Computer Accounts________________________________________ 18 Domain User Account İsim Yapısı : ________________________________________________________ İsimlendirme Politikası : _________________________________________________________________ Kullanıcı Hesaplarının Password Seçenekleri :_______________________________________________ Kullanıcı Hesabı Yaratırken dikkat edeceklerimiz :_________________________________________ Kullanıcı Hesabının Yaratılması : __________________________________________________________ Computer Hesapları : ____________________________________________________________________ Kullanıcı Hesaplarının özellikleri :__________________________________________________________ User Account Template :_________________________________________________________________ Şablonlar yaratırken Dikkat edeceklerimiz :_________________________________________________ User ve Computer hesaplarını aktif (enable) ve deactive (Disable) etme : ______________________ Kullanıcı Hesabının Kilitlenmesi : __________________________________________________________ Kullanıcı Hesaplarının Şifresini Resetleme : _________________________________________________ Active Directory içinde Search İşlemi : _____________________________________________________ 18 19 20 21 21 23 25 27 27 28 28 29 30 MODULE 3 _________________________________________________________________ 31 Managing Groups _____________________________________________________________ 31 Group Nedir :___________________________________________________________________________ Group Scopes (Kapsamı) : _____________________________________________________________ Group Types (Çeşitleri) : ______________________________________________________________ Domain Functional Level (İşlevsel Düzeyi) : ________________________________________________ Global Gruplar :_________________________________________________________________________ Universal Gruplar : ______________________________________________________________________ Domain Local Groups : __________________________________________________________________ Local Grouplar :_________________________________________________________________________ Groupları Nerede Yaratırız : ______________________________________________________________ Groupların isimlendirilmesi : ______________________________________________________________ Groupların Yaratılması . __________________________________________________________________ Members ve Member Of ne demek : ______________________________________________________ Group Nesting :_________________________________________________________________________ Grup Stratejileri : _______________________________________________________________________ Domain Local Grupları Neden Kullanırız :___________________________________________________ Global Groupları Neden Kullanırız : ________________________________________________________ Universal Groupları Neden Kullanırız : _____________________________________________________ Member Server üzerindeki Default Group’lar : ______________________________________________ Active Directory İçindeki Default Group’lar : ________________________________________________ 31 31 31 32 32 33 33 34 34 34 35 36 39 39 41 41 41 42 43
  • 4.
    Sayfa |3 MODULE 4_________________________________________________________________ 45 Managing Access to Resources ________________________________________________ 45 İzinler (Permissions) : ___________________________________________________________________ Standart ve Special (Özel) izinler : ________________________________________________________ Share Folderlara Erişimi Yönetmek : _______________________________________________________ Yönetimsel Amaçlı Shared Folderlar : ______________________________________________________ Kimler Klasörleri Paylaşıma Açabilir : ______________________________________________________ Shared Folderların Publish edilmesi : ______________________________________________________ Shared Folder İzinleri : __________________________________________________________________ Share izinlerinin verilmesi : _______________________________________________________________ NTFS Nedir : ___________________________________________________________________________ NTFS Dosya ve Klasör izinleri : ___________________________________________________________ NTFS Dosya izinleri : __________________________________________________________________ NTFS Klasör İzinleri :__________________________________________________________________ Special İzinler : _________________________________________________________________________ Dosya ve Klasörlerin Taşınması yada Kopyalanmasında NTFS İzinleri :_________________________ NTFS İzinlerinde Inheritance : ____________________________________________________________ NTFS İzinleri için Tavsiyeler : _____________________________________________________________ Effective Permissions :___________________________________________________________________ Sahiplik (Ownership):____________________________________________________________________ Share Permissions ve NTFS Permissions Birlikte kullanımı :___________________________________ Paylaşıma Açılmış Dosyaların Offline Caching ile Erişimin Yönetilmesi : ________________________ 45 45 46 46 47 50 52 53 54 54 54 55 56 58 58 60 60 61 62 62 MODULE 5 _________________________________________________________________ 64 Implementing Printing ________________________________________________________ 64 Server 2003’de Print işleminin Çalışması : __________________________________________________ Printer’ın Yüklenmesi ve Paylaştırılması : ___________________________________________________ Shared Printer İzinleri : __________________________________________________________________ Printer Driver : _________________________________________________________________________ Printer Locations : ______________________________________________________________________ 64 65 71 74 76 MODULE 6 _________________________________________________________________ 77 Managing Printing_____________________________________________________________ 77 Print Spooler : __________________________________________________________________________ Printer Priorities (Print Önceliği) : _________________________________________________________ Print İşlemlerini Zamana Bağlamak : ______________________________________________________ Printing Pool : __________________________________________________________________________ 77 78 80 81 MODULE 7 _________________________________________________________________ 86 Managing Access to Objects in Organizational Units____________________________ 86 AD Nesne İzinleri : ______________________________________________________________________ İzinlerin Miras olarak Aktarılması : ________________________________________________________ İzinlerin Mirasının Nesneler Üzerinde Değiştirilmesi : ________________________________________ AD Nesneleri üzerindeki Efektif İzinler : ____________________________________________________ OU’larda Yönetimsel Hakları Devretmek : __________________________________________________ Delegation of Control Wizard :____________________________________________________________ Özel Management Konsollar ve Taskpad’ler : _______________________________________________ 86 87 88 88 89 90 90 MODULE 8 _________________________________________________________________ 98 Implementing Group Policy____________________________________________________ 98 Group Policy Nedir ?_____________________________________________________________________ 98 User Configuration : _____________________________________________________________________ 99 Computer Configuration : _______________________________________________________________ 100 GPO Yaratmak için Tool’lar :_____________________________________________________________ 100 GPO Link : ____________________________________________________________________________ 103 AD Inheritance : _______________________________________________________________________ 103
  • 5.
    Sayfa |4 GPO Çakışmaları: ______________________________________________________________________ 104 GPO Link Attribute’ları : _________________________________________________________________ 105 GPO da Filtreleme : ____________________________________________________________________ 106 MODULE 9 ________________________________________________________________108 Managing the User Environment by Using Group Policy _______________________ 108 Group Policy Ayarlarında Disable ve Enable : ______________________________________________ Group Policy’de Script Kullanımı : ________________________________________________________ Folder Redirection : ____________________________________________________________________ Basic Folder Redirection :_____________________________________________________________ Advanced Folder Redirection : ________________________________________________________ Gpupdate : ____________________________________________________________________________ GpResult : ____________________________________________________________________________ GP Reporting :_________________________________________________________________________ GPO Modelleme : ______________________________________________________________________ GP Results : ___________________________________________________________________________ 108 109 111 112 112 115 116 117 117 119 MODULE 10 ______________________________________________________________122 Implementing Administrative Templates and Audit Policy _____________________ 122 Kullanıcı Hakları : ______________________________________________________________________ İzinler : _______________________________________________________________________________ Built-in Grouplara Atanmış Kullanıcı Hakları : ______________________________________________ Local Grouplardaki Kullanıcı Hakları :___________________________________________________ Built-in Containerındaki groupların Kulanıcı hakları : _____________________________________ Users Container’ındaki Groupların Kullanıcı Hakları : _____________________________________ Security Policy :________________________________________________________________________ Security Template’ler :__________________________________________________________________ Security Configuration and Analysis Tool : ________________________________________________ Auditing : _____________________________________________________________________________ Audit Policy : __________________________________________________________________________ Audit Yapabileceğimiz Olaylar : __________________________________________________________ Server 2003 deki Audit Policy ayarları : ___________________________________________________ Audit Policy için Karar verilmesi Gerekenler : ______________________________________________ Auditing’i Konfigüre etmek için Tavsiyeler :________________________________________________ Log Dosyaları : ________________________________________________________________________ Bazı Güvenlik Olayları : _________________________________________________________________ 122 122 123 123 123 124 125 125 127 131 131 131 132 133 133 133 136
  • 6.
    Sayfa |5 MODULE 1 Introductionto Administering Accounts and Recources Bilgisayar Rolleri : Server 2003 işletim sistemini yükledikten sonra yükleme yaptığımız makine standalone serverdır. Yükleme sırasında bir domaine katmadıysak workgroup’u seçtiysek normal bir client işletim sistemi yüklenmiş gibidir. Tabi biz client işletim sistemi gibi kullanmak için yüklemedik. Amacımız şirketimizin ihtiyaçları doğrultusunda server 2003 işletim sistemlerini configure etmek ve kullanabilmek. Şirket ihtiyaçları gözönüne alarak serverımıza role'ler vermemiz gerekir. Yani sen dosyaları yöneteceksin ya da kullanıcıları otantike edeceksin veya printerları yöneteceksin, DNS isteklerine cevap vereceksin gibi bir veya daha fazla rolü serverımıza yüklememiz gerekiyor. Yüklemeden öncede o rolün şirket içinde ne kadar önemli bir rol olduğunu ve ne kadar fazla iş yüküne sahip olacağına karar vermek gerekiyor. Sonuçta tüm rolleri tek bir servera da verebilirsiniz veya iş yüküne göre ayrı serverlarda da tutabilirsiniz. Nedir Serverımıza yükleyebileceğimiz roller : 1- Domain Controller (Active Directory) : Ağ kaynaklarını verimli bir şekilde yönetmenizi sağlayan genişletilebilir dizin hizmetidir. Başka bir tanım, Active Directory veritabanını bünyesinde tutar, network kaynaklarını yönetmenizi sağlar, logon işlemlerini yönetir, otantikasyonu sağlar, kullanıcılar ve diğer domainler arasında iletişimi sağlar. Bünyesinde kullanıcıları, kontak bilgilerini, bilgisayarları, grupları, printerları, paylaşıma açılmış dökümanları nesne olarak tutar. Merkezi bir yönetim ve güvenlik sağlar. Ülkeyi yöneten kukla diktatör gibidir. Çünkü onu yöneten de sizsinizdir. Domain Controller, Domain Controller olabilmesi için Active Directory veritabanının yüklenmesi gerekir. Active Directory yüklendikten sonra o server Domain Controller adını alır. Domaine üye olan serverlara member server adı verilir. 2- File Server (Dosya Sunucusu) : Dosyaların merkezi bir yerde tutulmasını sağlar. Bu sayede dosya erişimlerini ve kullanımlarını ayrıca kullanıcıların hard disk kullanımını control edebilirsiniz. Kullanıcılar dosyalarını buraya kaydeder ve burdan okurlar. Datanın depolandığı sunucularda diyebiliriz. 3- Print Server : Printerlar için merkezi bir lokasyon sağlar. Yani şirketinizin ihtiyacına göre yazıcıları bu servera bağlarsınız ve paylaşıma açarsınız. Kullanıcılar print işlemlerini bu makine üzerinden yapar. Bu sayede print işlemlerini de merkezi bir yerden yönetebilirsiniz. 4- DNS Server : Endüstri standardı bir servistir. AD’nin ayrılmaz bir parçasıdır. İsim Servisidir. Yani isim-Ip çözümlemesi yaparlar. Bilgisayarlar kendi isim ve IP’lerini DNS’e kaydettirirler. Bu sayede bilgisayarlar birbirleriyle iletişim kurarlar. 5- Application Server : Web hizmetleri ile Asp.net gibi uygulama-geliştirme teknolojilerini desteklemek için IIS çalıştırır. 6- Terminal Server : Uzaktan bilgisayar yönetimini ve kullanıcıların programları kendi bilgisayarlarına yüklemeden kullanma olanağı sağlar.
  • 7.
    Sayfa |6 7- DHCPServer : Bir server DHCP server rolünü üstlendiği zaman, DHCP clientlardan gelen Ip adres istek taleplerine cevap verir ve Ip havuzunun yönetilmesini sağlar. 8- WINS Server : WINS Server, bilgisayarlardan gelecek NETBIOS ismi-Ip çözümlemesini yapar. 9- RRAS/VPN : Bilgisayarların şirket networküne uzaktan erişebilmelerini, yönlendirme ve remote access konfgürasyonunun yapılmasını sağlar. 10-Mail Server : Mail Server rolü, server işletim sistemine POP3 ve SMTP protokollerini kullanarak mail alıp gönderme özelliği sağlar. Hangi domain uzantılı maillerin server tarafından alınacağını, otantikasyonun ne şekilde yapılacağını ve maillerin geçici olarak server da depolanmalarını sağlar. 11-Streaming Media Server : Windows Media Servisini kullanarak, clientların ses ve video gösterimlerini seyretmesini sağlar. Bu rolleri Serverlara, Start da bulunan Manage Your Server arayüzünden verebiliyoruz. Bu arayüzü kullanarak serverlara roller verip kaldırabilirsiniz. Şirket ihtiyaçlarına ve işyüküne gore bu rolleri birden fazla bilgisayara paylaştırabilirsiniz. Şekil 1: Start’dan Manage Your Server seçeneğinden yüklü olan ve olmayan rolleri görebiliriz.
  • 8.
    Sayfa |7 Şekil 2:Manage Your Server penceresinden Add or remove a role tıklayın Şekil 3: Next’e tıklayın
  • 9.
    Sayfa |8 Şekil 4:Bu ekranda yüklenebilecek olan rolleri görebiliyoruz. Yüklemek istediğiniz role tıklayıp next’e tıklamak yeterli. Yüklü olan bir rolü kaldırmak içinde yine yüklü olan role (Configured-Yes) tıklayıp next’e tıklayın. Server 2003 Versiyonları : 1- Web Edition : Web serverlar için dizayn edilmiştir. Parakende olarak satılmazlar. AD kuramazsınız ama domain üyesi olabilirler. 2- Standart Edition : Küçük işyerleri için AD kurulabilecek veya member server olarak kullanılabilecek bir versiyondur. Donanım olarak düşük konfigürasyon yeterli olur. 3- Enterprise Edition : Standart edition’daki özellikler yanında yüksek erişebilirlik, ölçeklenebilirlik ve güvenilirlik sağlar. Büyük işletmeler için yüksek performans isteyen durumlarda kullanılabilir. E-ticaret, büyük database uygulamalarında, network uygulamalarında kullanılabilir. 4- Datacenter Edition : Kritik önemde olan işlerde yüksek seviyede güvenilirlik ve erişebilirlik isteyen uygulamalarda kullanılır. Çok işlemciyi ve yüksek miktarda belleği destekler. OEM ler tarafından makine üzerinde satılır. İşlemci Ram DC Olabilirmi Cluster Desteği 64 Bit desteği Web Edition 2 2 Hayır Hayır Hayır Standart Edition 4 4 Evet Hayır Hayır Enterprise Edition 8 32(64 bit-64GB) Evet Evet Evet DataCenter Edition 32 (64 bit-64 CPU) 64 (64 bit-512 GB) Evet Evet Evet Directory Service : Dizin hizmeti basit anlamda, datanın kolay bir şekilde alınıp kullanılabilmesini sağlamak için datayı directory (Dizin) yapısında tutmanın yoludur. Dizin hizmetinde nesnenin isimlendirme kuralları ve nasıl tutulacağı ile ilgili kurallar vardır. Dizin Servisi, kullanıcı dosyaları, printerlar, uygulamalar, crediantial’lar, network konfigürasyon bilgileri gibi genel anlamda da network kaynakları ile ilgili bilgileri tutar. Bu bilgileri de çok ayrıntılı bir şekilde tutar ve böylece arama, yönetme, bulma, güvenlik ve kimlik doğrulama işlemleri kolaylaşır.
  • 10.
    Sayfa |9 Active Directoryise Microsoftun kendisine ait olan Directory Service’idir. AD, dizini mantıksal ve fiziksel yapılar halinde tutarak bilgiye kolayca erişilmesini sağlar. AD, DNS ile entegre çalışarak, network bağlantılarında hiyerarşik bir yapı sağlar. İsim çözümleme işini üstlenir. Ölçeklenebilir bir yapıya sahiptir. Yani 10 makineyle başlayıp binlerce makine veya nesneye kadar büyütebilirsiniz. Merkezi bir yönetim sağlar. Logon işlemleri, Network kaynaklarının yönetimi merkezileşir. Tek bir makineden binlerce makineye müdahale edebilirsiniz. Yönetimi devredebilirsiniz. AD, belli yönetimsel görevleri veya tümünü hiyerarşik yapı içindeki belli kişilere veya gruplara devretmenizi sağlar. AD’nin mantıksal katmanı, database’inde bulunan bilgilerin nasıl görüleceğini belirler ve o bilgilere erişimi denetler. Unutmayınki AD de depolanan herşey object tir yani birer nesnedir. Kullanıcılar, gruplar, bilgisayarlar, yazıcılar, diğer serverlar, domainler, site’lar, group policy’ler bunların hepsi birer nesne olarak ifade edilir. Ve herbir nesnenin bir Attribute’u vardır. Öznitelik de diyebiliriz. Mesela kullanıcının adı, soyadı, tel numarası, oturum açma adı gibi. Bu öznitelikler sayesinde AD içinde binlerce nesne arasından istediğimizi arattırıp bulabiliriz. O zaman her yarattığımız nesneye ne kadar ayrıntılı bilgi girersek o kadar daha kolay bulabiliriz. AD’nin mantıksal yapısında neler var : 1- Domain : Mantıksal yapının çekirdeğidir. Paylaştırılmış ortak bir database’i kullanan bilgisayarların oluşturduğu mantıksal gruplamadır. Veya nesnelerin merkezi yönetimine olanak sağlayan mantıksal bir gruplamadır da diyebiliriz. Domain isminin networkte eşsiz bir ismi olmalıdır. 2- Organizatioanal Unit (OU) : OU’lar Domain içinde nesneleri gruplandırmada kullanılan yapıdır. OU’lar, kullanıcılar, gruplar, bilgisayarlar, printerlar ve diğer OU’ları içerebilir. Kendi domaininindeki diğer nesneleri tutar. Normal gruplardan farkı, Group Policy ve Delegation of Administration (Yönetimsel Hakları devretme) uygulayabildiğimiz en küçük birimdir. 3- Forest : Bir veya daha fazla domainin ortak bir schema ve Global Catalog kullandığı yapıdır. Foresttaki domainler aynı domain isimlerini kullanamazlar. 4- Tree : Forest içinde aynı kök DNS ismini kullanan domainlerden oluşmuş yapıdır. Windows Server 2003’ e logon Olmak : İki yere logon olabilirsiniz, Local’e Logon ve Domaine logon. Burda Client olarak hesabınız nerdeyse oraya logon olursunuz. Fakat Domain Controllerlar da Locale logon seçeneği yoktur. Doman üyesi olan bir client bilgisayarı açtığında karşısına ‘Log On To’ ekranı gelir. Kullanıcı adı olarak administrator’ın kendisi için yarattığı kullanıcı adını ve şifre olarak da kullanıcının kullanıcı hesabına atanan şifresini girer. Passwordler de büyük harf, küçük harf hassasiyeti vardır. Logon to kısmında ise XP bilgisayarlarda iki seçenek vardır. Domain ismini seçerek domane logon olabilirsiniz veya Local (Bilgisayar) diyerek kendi bilgisayarınıza logon olabilirsiniz. Bu seçenek DC’lerde yoktur. Logon using dial-up connection seçeneği ise dial-up bağlantısı ile serverla bağlantı kuracaksanız kullanabilirsiniz.
  • 11.
    S a yf a | 10 Şekil 5: Domaine üye olan bir XP’de veya member serverda logon to ekranı. Şekil 6: Bir Domain Controller’da Log on to ekranı. Artık Local logon yok. Run as Özelliği Kullanıcılar veya adminler, bilgisayarlarda yönetimsel görevleri yerine getirmek için administrator hesabıyla logon olup işlem yapması güvenlik açısından açıklara neden olur. Bunun için tavsiye ettiğimiz yöntem kısıtlı bir kullanıcı hesabıyla logon olup yönetimsel işler için run as komutunun kullanılmasıdır. Run as komutuyla administrators grubunun üyesi olan veya admin ayrıcalıklarına sahip bir hesap ile o uygulamayı çalıştırabiliriz. Bu MMC konsolu olabilir veya Control Panel deki uygulamalarıda çalıştırabilirsiniz. Run as komutuyla çalıştırabileceğimiz uzantılar arasında “.exe”, “.msc”, program kısayolları için kullanabilirsiniz. Bunun yanında network adaptörünün TCP/IP özellikleri ve Printer klasörüne ulaşabilmek için run as komutunu kullanamazsınız. Run as komutunu kullanabilmek için, kısayolun yada programın üzerine sağ tuşla tıklayıp çıkan menüden run as komutunu seçmeniz gerekir.
  • 12.
    S a yf a | 11 Şekil 7: Normal kullanıcı ile logon olduktan sonra çalıştırmak istediğiniz programın üzerine sağ tuşla tıklayıp Runas komutunu seçin. Şekil 8: Bu ekranda admin credentiallarından birini girip o uygulamayı çalıştırabiliriz. Devamlı olarak run as komutunun kullanılmasını da sağlayabilirsiniz. Bunun içinde uygulamanın veya kısayolun üzerine sağ tuşla tıklayıp özelliklerine girin. Ordanda advanced tabından Run with different credentials seçeneğini işaretleyin.
  • 13.
    S a yf a | 12 Şekil 9: Advanced tabına tıklayın Şekil 10: Run with different credentials seçeneğini tıklayarak bu uygulama için devamlı run as komutunu kullanırsınız. Run as komutunu komut satırından veya Start Run dan da çalıştırabilirsiniz. runas /user:hesapismi program yazarak run as komutunu kullanabilirsiniz.
  • 14.
    S a yf a | 13 Administrative Tools : XP ve Server 2003 çalışan makineleri yönetebilmek için gerekli yönetimsel araçlardır. Bunlarla nesneler ekleyebilir, nesnelerde değişiklikler yapabilir ve silebiliriz. Servisler üzerinde çeşitli konfigürasyon ayarlarıda yapılabilir. En fazla kullanılan ve kullanacağınız yönetimsel araçlar : - Active Directory Users and Computers Active Directory Sites and Services Active Directory Domains and Forests Computer Management DNS Remote Desktops DHCP Ayrıca Xp üzerinden Active Directory veya diğer servisleri yönetmek için Server 2003 Cd’si içindeki adminpak.msi dosyasını yükleyerek Administrative toollar vasıtasıyla XP üzerinden AD yönetimi gerçekleştirilir. Server 2003 üzerinden yukarda saydığımız ve saymadığımız tüm yüklü olan yönetimsel araçları MMC konsolunda snap-in’ler aracılığıyla tek bir pencereden kullanabilirsiniz. Şekil 11: Start’dan administrative tools’a tıladığımızda kullanabileceğimiz yönetimsel araçları görebiliriz.
  • 15.
    S a yf a | 14 MMC : MMC, genel olarak Microsoft işletim sistemlerindeki network bileşenlerini, yazılımları, donanımlar ve servisleri yönetebildiğimiz console adı verilen, yaratıp, kaydedip, açabildiğimiz yönetimsel uygulamalar için bir çerçevedir. Kendisi tek başına yönetimsel bir araç değildir. Bir çok yönetim aracını tek bir pencerede kullanmamızı sağlar. Snap-in’ler (ek bileşen) MMC içinde bulunan bir araçtır. Snap-in’ler sayesinde MMC konsoluna yönetimsel toolları ekleyebiliriz. Şekil 12: Start / Run dan mmc yazın Şekil 13: Hiçbir snap-in (Eklenti) eklenmemiş bir MMC konsol kökü çıkar ve bu hali ile bir işimize yaramaz. Şekil 14: File menüsünden Add/Remove Snap-in diyoruz.
  • 16.
    S a yf a | 15 Şekil 15: Çıkan ekrandan Add butonuna tıklıyoruz. Şekil 16: Mmc konsoluna ekleyebileceğimiz tüm snap-inleri burada görüp Add butonuna tıklayarak en fazla kullanacağımız snap-inleri ekleyerek, kaydedip elimizin altında devamlı duracak bir yönetimsel araçlar topluluğumuz olacak. Administrative Toolları yüklerken en fazla karşılaşılan sorunlar : Yüklenememesi : Yükleyemiyorsanız gerekli izinlere sahip olamayabilirsiniz. Bunun için Local bilgisayarda administrative izinlerine sahip olmanız gerekir.Yada yanlış işletim sistemine yüklüyor olabilirsiniz. Yönetimsel araçlar sadece XP ve Server 2003 işletim sistemlerine yüklenebilir. Yardım dosyaları çalışmıyor : Bunun için hem server hemde XP tarafında Help dosyalarının yüklü olması gerekir.
  • 17.
    S a yf a | 16 Organizational Unit : Yüzbinlerce nesneyi yönetebilmek, organize edebilmek için kullanılan mantıksal gruplardır. OU’ları yönetimsel amaçlarla nesneleri gruplandırmak ve organize etmek için kullanırız. Mesela yönetimsel hakları devretmek veya Policy’ler uygulamak gibi. - Domaindeki nesneleri organize etmek : OU’ların içine bilgisayarları, kullanıcıları, grupları, diğer OU’ları veya printer gibi nesneleri koyarak AD nesnelerine erişim izinleri verirken tek bir kullanıcıya yada bilgisayara izin vermek yerine OU’lara izin verilebilir. - Delegate Adminstrative Control : Yönetici haklarınızı, OU içindeki birine kısmi yada tam olarak devredebilirsiniz. Yönetimsel hakların devredilmesinin yaygın nedenlerinden biri de OU içindeki kullanıcıların parolalarını sıfırlamasına izin vermektir. Güvenilen bir kişinin diğerlerinin parolasını değiştirmesine izin verebilirsiniz. Bu hak bir OU’daki kullanıcıya devredildiğinde o OU için sınırlıdır. Örnek vermek gerekirse Help Desk’lerdeki kişilerin parola sıfırlayabilmeleri gibi. OU’ların Hiyerarşik yapısı : OU’ları oluşturmadan evvel mutlaka yapısını planlamalısınız. Hiyerarşik bir yapıya sahiptirler. OU tasarımını anlamanın anahtar noktası onun gerçekten Adminler için olduğunu bilmektir. Tasarıma başlamadan evvel kağıt üzerinde senaryolar deneyin. 4 adet tasarım modelimiz var : - İş Bazlı (Function-based) : Bunda Ou’ları bölüm yapısı içinde oluşturursunuz. Bu modelin avantajı kullanıcılar gördükleri OU’yu tanıyıp anlayabilirler. Dezavantajı ise şirket yeni bir yapılandırmaya gittiğinde tekrar tasarlanması gerekiyor. Küçük organizasyonlar için uygundur. Satış OU’su, Pazarlama OU’su gibi. - Organizasyon (Yönetim Modeli) : Bu modelde OU’larınızı departmanlara yada bölümlere gore ayırabilirsiniz. Şirketin işleyiş yapısını gösterdiği için iş bazlı tasarıma benzer. Yönetimsel yetkileri devretmek zor olabilir. Mühendislik, üretim, araştırma gibi - Coğrafik Bölge (Location modeli) : Cografik konumu gösterecek şekilde yapılandırabilirsiniz. Yeni bir domain yaratacağınıza OU’larla bu işi kolayca halledebilirsiniz. - Hibrit : Hepsinin kombinasyonu yada bir kısmının kombinasyonu ile yapılandırabilirsiniz. S :Satış P : Pazarlama H : Halkla İlişkiler S P H A : Almanya İ : İngiltere T : Türkiye A İ T
  • 18.
    S a yf a | 17 OU’ların İsim yapıları : AD’deki her nesne farklı çeşitlerde isimlendirmelerle yerleri belirtilir. AD içinde bir nesne yarattığınız zaman, Relative Distinguished Name (RDN), Canonical Name ve Distinguished (Ayırtedici) Name (DN) isimleri verilir. LDAP RDN : Lighteweight Directory Access Protocol RDN parent containerda tek, eşsiz olması gerekir. OU=satis LDAP DN : DN ise tüm domainde tek olmalı. OU=satis, DC=setron, DC=com gibi Canonical Name : DN ile aynı yapıdadır fakat yazılışı farklıdır. Setron/Satis
  • 19.
    S a yf a | 18 MODULE 2 Managing User and Computer Accounts Bir kullanıcı hesabı, kullanıcı ile ilgili tüm bilgileri içeren bir nesnedir. İki adet hesap türü vardır: - Local User Accounts : Local Makinede tutulur - Domain User Accounts : Active Directory içinde tutulur. Windows Server 2003 ortamında, bir kullanıcı hesabında, kullanıcı adı, şifresi, üye olduğu grup bilgileri, kullanıcı hakları ve izinleri ile ilgili bilgiler bulunur. Kullanıcı hesaplarını ne için kullanıyoruz : - Authentication : Kullanıcı adı ve şifre doğrulanarak sisteme logon olma Authorization : Kaynaklara erişmek için yetkilendirme Auditing : Kaynaklara erişimi denetleme Domain User Account İsim Yapısı : 4 çeşit kullanıcı hesabı isim çeşidi vardır : - User Logon Name : Administrator kullanıcı hesabı yaratmak istediğinde kullanıcı için bir logon name yazar. Bu isim tüm domainde tek-eşsiz olmalıdır. User logon ismine RDN (Relative Distinguished Name) adı verilir. Logon Name’ i kullanıcı logon işlemi sırasında Logon to Windows ekranına yazar, şifresinide girdikten sonra logon olur. User logon Name 20 karakterden oluşmalı, küçük-büyük harflerden oluşabilir. 20 karakterden fazlada yazabilirsiniz ama Server 2003 ilk 20 karakteri kullanacaktır. Özel ve alphanumeric karakterler kullanabilirsiniz. “ / [ ] : ;| = , + * ? < > @ “ karakterlerini kullanamazsınız. - Pre-Windows 2000 Logon Name : Windows 2000 işletim sisteminden önceki bir işletim sistemi çalışan bilgisayardan logon olmak isteyen Netbios ismini kullanan kullanıcılar için kullanılan bir Logon ismidir. Bu kullanıcılar Domain ismiKullanıcı ismi şeklinde yazarak logon olurlar. Bu logon ismini, Windows 2000 ve Xp kullanıcılarıda kullanarak logon olabilirler. - User Principal Name (UPN) : Bu logon ismi tüm Forestta tek olmalıdır. User logon name ile UPN suffix’inden oluşur. Bunlarda birbirine @ işareti ile bağlıdır. UPN Suffix’i genelde domain ismidir. Fakat sadece logon işlemlerinde kullanmak için adminler farklı suffixler yaratabilirler. Önekinede UPN Prefix adı verilir. - LDAP RDN : Kullanıcılar bu tür isimlendirmeyi kullanmazlar. Administratorlar, scriptler ve komut satırlarıyla kullanıcı eklemek veya silmek için kullanır. Tüm nesneler aynı LDAP isimlendirme kurallarını kullanır. Yaratıldığı containerda eşsiz olmalıdır. CN=sinanus,CN=Users,DC=Setron,DC=com CN=Comman Name CN container da yada OU içinde eşsiz olmalı
  • 20.
    S a yf a | 19 Şekil 17: Kullanıcı hesabı yaratırken User logon name, User logon name (Pre-Windows 2000) ve UPN isimleri İsimlendirme Politikası : İyi bir kullanıcı adı isimlendirmesi sayesinde admin olarak kullanıcı adlarını hatırlayabilir ve yerlerini AD içinde bulabilirsiniz. Şirketimizde çok sayıda çalışan varsa, aynı isimde veya soyad’da olan insan sayısının bulunma olasılığı artar. O zaman bir isimlendirme politikamız olmalı ki hem kullanıcı adları çakışmasın hem firmamızda sonradan yapılacak yapısal değişiklikler ile de bu isimlendirmeye devam edebilelim. Neler olabilir : - isim+soyad - soyad+isim - ismin ilk harfi+soyad - isim+soyad ilk harfi - isim+soyad ilk iki harf - isim+soyad ilk iki harf+numaralandırma - isim ilk iki harf+soyad+numaralandırma - ……. Geçici olarak çalışanlar için ayrı politika belirleyebilirsiniz. Mesela başlarına T yada G koyabilirsiniz. AD kullanıcı hesaplarının domain içinde eşsiz olması gerekir. Kullanıcılarıda OU’larda olduğu gibi belli bir hiyerarşi içinde tutmanız gerekir. Bunuda iki bölümde toplayabiliriz. - Coğrafik Yapı (Location) : Kullanıcıları domain içinde bulundukları fiziksel yere göre gruplandırabilirsiniz. Mesela Adana diye bir OU yaratıp Adana şubesindeki kullanıcıları bu OU içine koyabilirsiniz. Veya ülke bazında da olabilir. O ülkede çalışan şirket çalışanlarını yarattığınız OU içine koyabilirsiniz. - Ticari Yapı : Kullanıcıları Şirketteki pozisyonlarına gore gruplandırabilirsiniz. Mesela Satış bölümünde çalışan kullanıcıları Satış isimli OU içine koyabilirsiniz.
  • 21.
    S a yf a | 20 Kullanıcı Hesaplarının Password Seçenekleri : Kullanıcıların password ayarlarını onları yaratırken yada yarattıktan sonra özelliklerinden de ayarlayabilirsiniz. Kullanıcıların Password seçenekleri nelerdir : - - - User must change password at the next logon : Bu seçeneği yeni bir kullanıcı yarattığımızda yada kullanıcının şifresini resetlediğimizde, kullanıcının ilk logon oluşunda şifresini değiştirmesini istiyorsak seçmeliyiz. Sonuçta kullanıcı yaratılırken biz kullanıcıya bir şifre atıyoruz ve eğer kullanıcı bu şifre ile devam ederse güvenlik açığına neden olur. User cannot change password : Guest hesabı gibi hesaplar üzerinde denetim sağlar. Kullanıcının password’ünü değiştirmesini engellersiniz. Password never expires : Mümkün olduğunca kullanılmamalı. Kullanıcının parolasının süresinin dolmayacağını belirtir. Bu ayar bir uygulamanın yada hizmet içine kodlanmış olduğu durumlarda iyi bir ayardır. Account is disabled : Hesabı devre dışı bırakır kullanıcı bu hesabı kullanarak logon olamaz. Şekil 18: Password seçeneklerine kullanıcının özelliklerinden account tabından ulaşabilirsiniz. Passwordleri ne zaman değiştirir ve ne zaman değiştirilmesini engelleriz : - Yeni bir domain kullanıcısı yarattığımızda ilk logon oluşunda şifresini değiştirmesini isteyebiliriz. Password resetlediğimizde. Yani kullanıcı şifresini unuttuğunda yada şifrenin ömrü dolduğunda Local yada domain hizmet hesaplarında o hizmetin veya uygulamanın çalışabilmesi için o hesaba ihtiyacı varsa şifreyi değiştirtmeyiz. Local olarak logon olmıyacak bir local hesap yarattığımızda.
  • 22.
    S a yf a | 21 Kullanıcı Hesabı Yaratırken dikkat edeceklerimiz : Local - kullanıcılar için : Guest hesabını enable etmeyin Administrator hesabının ismini değiştirin Local olarak logon olacak kullanıcı sayısını kısıtlı tutun Güçlü passwordler oluşturun Domain kullanıcıları için : - Kullanılmayacak hesapları hemen disable edin - Kullanıcıların ilk logon olmalarında şifrelerini değiştirmelerini sağlayın - Güvenlik açısından kendi bilgisayarınıza admin hakları ile logon olmayın - Admin hakları ile logon olmadığınız zaman yönetimsel işleri yapmak için Run as komutunu kullanın - Administrator ve Guest accountlarının ismini değiştirin veya disable edin - Default olarak, yönetimsel araçların yaptığı işler networkte şifreli ve imzalı olarak gönderilir. Bunu değiştirmeyin. Kullanıcı Hesabının Yaratılması : Kullanıcı hesaplarını Active Directory Users and Computers konsolundan yaratabiliriz. AD users and computers da kullanıcı hesabını nerede yaratacaksak yani domain container’ı içinde veya users container’ı veya bir OU içinde nerede yaratacaksak o containerın üzerine sağ tuşla tıklayıp new’den user’ı seçiyoruz. Şekil 19: Nerede kullanıcı hesabı yaratacaksak o containerın üzerine sağ tuşla tıklayın yada container’ı seçtikten sonra sol taraftaki detay kısmında boşluğa da sağ tuşla tıklayıp çıkan menüden new ve user seçeneğinden yaratabiliriz.
  • 23.
    S a yf a | 22 Şekil 20: Create in kısmına dikkat edin. Nerede yarattığınızı kontrol edebilirsiniz. AD users and Computers gibi bir GUI haricinde komut satırından da kullanıcı hesapları yaratabilirsiniz. Bunun için dsadd user komutunu kullanacağız. Grafiksel bir arayüz varken niye komut satırından yaratıyim diyebilirsiniz. Dsadd.exe komutu birden fazla kullanıcı yaratırken daha faydalıdır. Tam yazılımı : dsadd user <userDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>][-memberof <Group ...>] [-office <Office>] [-tel <Phone#>] [-email <Email>] [-hometel <HomePhone#>] [-pager <Pager#>] [-mobile <CellPhone#>] [-fax <Fax#>] [-iptel <IPPhone#>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDir>] [-hmdrv <DriveLtr:>] [-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}] Örnek : dsadd user “cn=sinanus,cn=users,dc=setron,dc=com” –samid sinanus –upn sinanus@setron.com -fn sinan –ln ustun –display “sinan ustun” –pwd P@ssw0rd AD içinde kullanıcı hesabı yaratmanın diğer yöntemlerinden biride Windows Script Host kullanmaktır. Script sayesinde aynı anda çoklu kullanıcı hesabı yaratabilirsiniz. Bunun için notepad içinde şu kodları yazalım. set x = GetObject("LDAP://dc=setron,dc=com") set y = x.create ("User","cn=beyaz") y.setinfo y.AccountDisabled=FALSE y.setinfo set x = GetObject("LDAP://dc=setron,dc=com") set y = x.create ("User","cn=siyah") y.setinfo y.AccountDisabled=FALSE y.setinfo
  • 24.
    S a yf a | 23 Bu komutları notepad içinde yazdıktan sonra .vbs uzantılı olarak kaydedin ve dosyanın üzerine çift tıklayın veya komut satırından Wscript c:deneme.vbs yazın. Hata mesajı ile karşılaşmazsanız kullanıcıları yarattınız demektir. AD Users and Computers penceresinden kontrol edin. Üst üste iki kez tıklarsanız da hata mesajı verir. Yaratmış olduğunuz bir kullanıcıyı tekrar yaratmaya çalışıyorsunuz demektir. Çoklu kullanıcı yaratmanın diğer bir yöntemide csvde (Comma-seperated value directory exchange) komutunu kullanmaktır. Bu komut, dışardan virgülle ayrılmış bir dosyadan AD içine import yapmamızı sağlar. Password girişine izin vermez ve sadece kullanıcı eklemenize izin verir.Yine notepad içine aşağıdaki gibi bir satır yazalım : DN,objectclass,sAMAccountName,userPrincipalName,displayName,userAccountControl "cn=fatma,OU=satis,dc=setron,dc=com",user,fato,fatma@setron.com,fatma dırdır,512 512= userAccountControl de hesabın enable edileceğini belirtir. Bu dosyayı .csv veya .txt olarak kaydedin ve komut satırından : Csvde –i –f <sürücü>:dosyaismi.csv(.txt) -i : import etmek istediğimizi belirtiyoruz -f: Dosyanın ismi Yine çoklu kullanıcı yaratmanın bir yöntemide LDIFDE (LDAP Data Interchange Format Directory Exchange) dir. Csvde den pek farkı yoktur. Bunu uygulamak içinde yine notepad’i açalım ve şu kodları yazalım : dn:cn=ffff,dc=setron,dc=com changetype:add objectclass:user sAMAccountname:ffff userprincipalname:ffff@setron.com useraccountcontrol:512 Bu dosyayıda C sürücüsünün içine .ldf veya .txt olarak kaydedelim. Komut satırına ise : ldifde –i –f c:dosyaismi.ldf yazalım. Sonrada AD Users and Computers penceresinden kullanıcımızın yaratılıp yaratılmadığına bakalım. 1 den fazla bu şekilde kullanıcı yaratacaksak her bir “dn” ile başlayan bölüm arasına bir boşluk bırakın. Computer Hesapları : XP, Server 2003, Windows 2000 ve Windows NT çalışan bilgisayarlar domaine bir bilgisayar hesabı ile katılabilirler. Bu sayede kullanıcı hesapları gibi bilgisayar hesaplarıda domainde otantike edilebilirler, haklar verilebilir ve takip edilebilirler. Kullanıcılar domaine logon olurken domaine üye olan bir bilgisayardan logon olabilirler. Windows 98, Windows 95 ve Windows Me ve Windows XP Home işletim sistemleri domaine üye olamazlar. Bilgisayarlar, kullanıcı logonlarını otantike etmek, AD’nin bütünlüğünü sağlamak, güvenlik ilkelerini uygulamak ve IP adreslerini dağıtmak gibi yönetimsel görevlere sahiptir. Bilgisayarların 2 ana görevi vardır. İşlerin güvenliğini ve yönetimini sağlamak.
  • 25.
    S a yf a | 24 - - Güvenlik : Kullanıcıların AD’nin tüm özelliklerinden yaralanabilmeleri için bilgisayarların domaine üye olmaları gerekir. Bilgisayar hesabı yaratıldığında gelişmiş otantikasyon protokolü olan kerberos protokolünü kullanırlar ve Datanın şifrelenmesinde IPSec kullanabilirler. Ayrıca auditing işleminin uygulanması ve kaydedilmesi için bilgisayarların bilgisayar hesapları olması gerekir. Yönetim : Bilgisayar hesapları sayesinde adminler network yapısını yönetebilirler. Bilgisayar hesaplarını kullanarak masaüstü ortamlarını yönetebilirler, bilgisayarlara yazılım yükleyebilirler. Default olarak bilgisayar hesapları Computers container’ında ve Domain controllers container’ında tutulur. Ama isterseniz bilgisayar hesaplarını yaratacağınız OU’lar içine de taşıyabilirsiniz. Default olarak domain kullanıcıları, domaine 10 tane bilgisayar ekleyebilirler. Daha önce yaratılmış bilgisayar hesabı ile domaine bilgisayar eklemeye pre-stating denir. Sistem yöneticisi uygun bir OU’ya daha önceden bilgisayar hesabını eklemiştir. Şekil 21: Bir bilgisayar hesabı yaratmak için AD users and computers enceresinden computers contianer’ına sağ tuşla tıklayıp new demeniz gerekir. Bilgisayar hesabını komut satırından da yaratabiliyoruz. Tam yazılışı : dsadd computer <ComputerDN> [-samid <SAMName>] [-desc <Description>] [-loc <Location>] [-memberof <Group ...>] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}] Bir bilgisayar hesabının özelliklerini modifiye etmek için ise dsmodd.exe komutunu kullanacağız. dsmod computer <ComputerDN ...> [-desc <Description>] [-loc <Location>] [-disabled {yes | no}] [-reset] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-c] [-q] [{-uc | -uco | -uci}]
  • 26.
    S a yf a | 25 Bilgisayar hesabının özelliklerinde iki seçeneğimiz var : - Windows 2000 öncesi bilgisayarlar için Assign this computer account as a pre-Windows 2000 computer seçeneğini işaretleyin. Eğer bilgisayar NT bilgisayar ve Backup Domain Controller ise Assign this computer account as a backup domain controller seçeneğini işaretleyin. Bu seçeneği kullanabilmek için functional level’iniz mixed modda olması gerekir. BDC leri hesap yaratıldıktan sonra domaine ekleyebilirsiniz. Şekil 22: Bilgisayar hesabı yaratmak istediğimizde karşımıza çıkan pencere Kullanıcı Hesaplarının özellikleri : Tab General Address Account Profile Telephones Organization Member of Dial-in Environment Sessions Remote control Terminal Services Profile COM+ Açıklama İsim, Açıklama,bulunduğu yer, telefon numarası, e-mail, home page bilgileri Ayrıntılı adres bilgileri Logon ismi, hesap seçenekleri, hesabı kilitleme ve kilidi kaldırma, hesap dolum süresi Kullanıcının profile yolu ve home folder Ev, iş, cep, fax telefon bilgileri Departman, Yönetici, Ünvan Üye olduğu gruplar Uzaktan erişim izinleri, callback seçenekleri, Static Ip ve yönlendirme Terminal server’a bağlandığında başlatılacak programlar ve cihazlar. Terminal service ayarları Terminal service aracılığıyla uzaktan erişim ayarları. Kullanıcının Terminal service vasıtasıyla oluşturduğu oturumunu uzaktan kontrol edebilmenizi sağlar. Yalnız uzaktaki bilgisayarda Terminal Services Manager çalışması gerekir. Terminal service profili Kullanıcıya atanan COM+ partition seti listelenir. COM+ partition set, belirli domain kullanıcılarına bir grup uygulamaya bir şeyler yapabilmesi için erişebilmesini sağlar.
  • 27.
    S a yf a | 26 Şekil 23: Kullanıcı özellikleri Bilgisayar Hesaplarının Özellikler Penceresi : Tab Açıklama General Bilgisayar ismi, DNS ismi, açıklama ve rolü Operating System Bilgisayarda yüklü olan işletim sistemi ve service packler Member of Bilgisayarın grup üyelikleri Location Bilgisayarın bulunduğu yer Managed By Bilgisayardan sorumlu olan kişi veya grup Object Security Nesnenin canonical ismi, nesne sınıfı, yaratıldığı ve değiştirildiği tarih, Update Sequence Number (USNs) Bu bilgisayar üzerindeki izinleri ekleyip kaldırabileceğiniz yer Dial-in Dial-in yada VPN ile erişim için ayarlar Delegation Bilgisayar hesabının yetki devri için. İşlev düzeyi Server 2003 de iken görülür.
  • 28.
    S a yf a | 27 Şekil 24: Bilgisayar hesabının özellikleri User Account Template : Kullanıcı hesapları yaratırken kolaylık sağlamak amacıyla hesap şablonlarını kullanabilirsiniz. Bu sayede belirli departmanlar ve işler için kullanıcı hesapları yaratmanız gerektiğinde elinizdeki örneği yada şablonlar kullanılabilir. Yeni çalışanlar alındığında bir kaç değişiklikten sonra hesabı aktive ederek daha çabuk hesaplar yaratabilirsiniz. Kullanıcı hesabı yaratmak istediğinizde, şablonun üzerine sağ tuşla tıklayıp Copy’yi seçmeniz yeterli. Kullanıcı hesaplarının bir çok özellikleri var. Copy dediğiniz zaman bu özelliklerin hepsi kopyalanmıyor. Kopyalanabilen özellikler : - Member of : Üye olduğu gruplar - Adres : Street Adres hariç tüm özellikler - Profile : Profile path ve home folder - Organization : Title hariç tüm özellikler - Password ayarları ve Dial-in bilgileri Kopyalanmıyanlar : - Password - Full Name - User name Şablonlar yaratırken Dikkat edeceklerimiz : - Her bir bölüm için farklı şablonlar yaratın Her bir grup için geçici çalışanlara özgü şablonlar yaratın Hesap şablonunu disable olarak tutun Şablonları tanınacak şekilde isimlendirin. Geçici çalışanlara hazırladığınız hesapların isimlerinin başına T_ koyun mesela
  • 29.
    S a yf a | 28 User ve Computer hesaplarını aktif (enable) ve deactive (Disable) etme : Kullanıcı hesaplarını disable veya enable etmek isteyebilirsiniz. Muhtemel nedenler : - Kullanıcı 2-3 aylığına ayrılabilir yada izine çıkmış olabilir. Güvenlik nedenlerinden dolayı bu şekilde bir süre kullanılmayacak hesapları disable edin - Sonradan kulanmak için kullanıcı şablonları oluşturduysanız, kullanılana kadar disable edin - Eğer otantike edilmesini istemiyorsunuz kullanıcı hesabını disable etmelisiniz Kullanıcı hesabının üzerine sağ tuşla tıladığınızda çıkan menüden disable veya enable account seçeneğine tıklamalısınız. Hesap disable oldğunda üzerinde kırmızı çarpı işareti çıkar. Ayrıca komut satırından dsmod user kullanıcı ismi(DN olarak) –disabled yes/no diyerekte gerçekleştirebilrisiniz. Şekil 25: Bir bilgisayar hesabının disable edilmesi. Kullanıcı hesabınında disable edilmesi de aynı yöntemle yapılabilir. Kullanıcı Hesabının Kilitlenmesi : Kullanıcılar, Group Policy ayarlarında belirtilen Account Lockout Threshold değerini aşmış ise hesap kilitlenir. Bu genelde başka birinin bir kullanıcı hesabını kullanarak şifre denemelerinde bulunduğunda belirtilen kilitlenme eşik değerini aştığında olur yada kullanıcı şifresini unutup üstüste denemeler yaptığında meydana gelir. Bu nedenle kilitlenmiş hesapları açmakta acele etmeyin. Kullanıcı, hesabının kilitlendiğini söylediğinde ve açılmasını talep ettiğinde kilidi açın. Administrator, hesap kilitlenmesini kaldırana kadar hesap kilitli kalır. Default olarak bir bilgisayarı kilitlenmiş halinden çıkarırken mesela screensaver var ve bundan çıkarken şifre sorulması istenmiş ise hesap kilitlenme olayları kaydedilmez. Bu davranışı Group Policy’den Interactive Logon : Require Domain Controller authentication to unlock workstation seçeneğinden değiştirebilirsiniz.
  • 30.
    S a yf a | 29 Şekil 26: Bir hesap kilitlendiğinde account is locked out seçeneği aktif olur ve seçilidir. Hesabı tekrar aktif hale getirmek için tik işaretini kaldırmak yeterli. Kullanıcı Hesaplarının Şifresini Resetleme : Sık şifre değiştirmeninin genel bir sorunuda şifreyi unutmaktır. Sonuçta şifre olmadan kullanıcı kendi hesabına ulaşamaz. Şifresini unutmuş olan kullanıcının şifresini administratorlar resetleyebilirler yani sıfırlayabilirler. Fakat şifre sıfırlamanın sakıncalarıda vardır: - Şifrelediği e-mailleri açamaz - Bilgisayarında bulunan internet şifrelerine ulaşamaz - Şifrelediği dosyaları açamaz Kullanıcı hesabının üzerine sağ tuşla tıkladığınızda çıkan menüden reset password seçeneğine tıklayın. Hesapları sıfırlayabilmek için Account Operators, Domain admins ve Enterprise admins grubunun üyesi olmanız gerekir. Bilgisayar hesabı sıfırladıysanız, bilgisayarı tekrar domaine katmanız gerekir. Bu işlemlerin hepsini AD Users and Domains konsolundan yapabileceğiniz gibi dsmod computer bilgisayaradı –reset diyerekte yapabilirsiniz.
  • 31.
    S a yf a | 30 Şekil 27: Password resetleme Active Directory içinde Search İşlemi : Tüm kullanıcılar, bilgisayarlar ve diğer tüm nesneler Active Directory içinde tutulur. Adminler Active Directory içindeki yüzlerce yada binlerce kullanıcı, bilgisayar yada diğer nesneler arasından istediğini araması zordur. Fakat Active Directory içinde belli kriterlere göre search işlemi yaparak istediğiniz sonucu çok kısa sürede alır ve onun üzerinde, nesneye göre değişen yönetimsel görevleri gerçekleştirebilirsiniz. Active Directory Search de kullanıcıları, contact’ları, group’ları, OU’ları, printer’ları, shared folder’ları arayabilirsiniz. Printerların ve shared folderların publish edilmesi gerekir. Bunlar haricinde custom search kısmında daha fazla arayabileceğiniz nesne vardır ve ayrıca LDAP sorguları ile de arama yapabilirsiniz. Common Queries kısmında kullanıcıları, bilgisayarları ve groupları yönetimsel sorgulamaları hızlı bir şekilde yapabilirsiniz. Mesela Disable olan kullanıcı ve bilgisayar hesaplarını arama, süresi dolmamış olan passwordleri bulma gibi. Burası haricinde yine komut satırından dsquery.exe komutuylada arama yaptırabilirsiniz. Dsquery komutunu kullanabileceğimiz nesneler : dsquery computer AD içinde bilgisayarları bulur. dsquery contact Contactları bulur dsquery subnet Subnetleri bulur dsquery group Groupları bulur dsquery ou OU ları bulur dsquery site Siteları bulur dsquery server DCleri bulur dsquery user Kullanıcıları bulur dsquery quota Kotaları bulur dsquery partition Directory deki partitionları bulur dsquery * LDAP sorguları kullanılarak herhangi bir nesne aratılır.
  • 32.
    S a yf a | 31 MODULE 3 Managing Groups Group Nedir : Group, kullanıcıların, bilgisayar hesaplarının, kontakların ve diğer grupların tek bir nesne olarak yönetilebilmesini sağlayan mantıksal bir birlikteliktir, kolleksiyondur. Gruplar : - Kaynaklara erişim için tek tek kullanıcılara izinler veya haklar vermektense kulanıcıları, bilgisayarları, yazıcıları vs. gruplar halinde toplayarak bu gruplara izinler ve haklar vererek yönetimin kolaylaşmasını sağlar. - Grupları AD içinde yaratabilir ve kullanabilirsiniz veya local makinelerde de yaratıp kullanabilirsiniz. - Scope (Kapsam) ve Type’a (Çeşit) göre kategorilere ayrılır. - Grupları nesting yapabiliriz. Yani gruplar iç içe koyulabilir. Group Scopes (Kapsamı) : Grup kapsamı, grubun tek bir domainemi yoksa birden fazla domainemi yayılacağını veya izinlerin nasıl atanacağını yada domain tree veya forest ta oluşturulan grubun büyüklüğünü, kapsamını belirtir. Grup kapsamları, hangi domainlerden üye ekleyebileceğinizi, izinler vermek için hangi grupları kullanacağınızı, diğer gruplardan hangilerini nesting yapacağınızı belirtir. 3 adet Group Scope vardır : - Global - Domain Local - Universal Group Types (Çeşitleri) : Grup çeşitleri, kimlere izinler ve haklar verebileceğimizi, kimlere veremiyeceğimizi belirler. İki adet group type’ı vardır : - - Security Groups : Kullanıcılara ve bilgisayarlara haklar ve izinler atayabildiğimiz gruplardır. Eğer kaynaklara erişim için izinler verecek ve bunlarında takibini yapacaksak kullanıcıları security grouplar içine koymalıyız. Haklar, security grupların domainde veya forestta neler yapabileceğini belirtir. Ayrıca security group üyelerine e-mail mesajlarıda atabilirsiniz. Distribution Groups : Group üyelerine mail veya exchange gibi mail programı kullanarak tüm gruba mail atabilirler. Güvenlik aktif değildir. Kaynaklara erişmeleri için distribution gruplarına izinler ve haklar veremezsiniz. Kaynaklara erişimi kontrol etmek için security gruplarını kullanacağız. Ayrıca bu iki grup çeşidide 3 group scope da üye olabilirler.
  • 33.
    S a yf a | 32 Domain Functional Level (İşlevsel Düzeyi) : İşlevsel düzeyleri AD’nin çalışmasını etkiler. Domain functional level o domain için geçerlidir ve AD’nin özelliklerini ve yapabileceklerini belirler sadece. İşlevsel düzeyi yükselttiğimiz zaman geriye dönüş yoktur. Bu yüzden domain functional level’i yükseltmeden önce iyi düşünmek gerekir. Grupların karakteristik özellikleride domain functional level’imize bağlıdır. Üç adet functional level vardır : - Windows 2000 mixed mode - Windows 2000 native mode - Windows 2003 mode Geriye doğru uyumluluk açısından eğer AD kurulumunda değiştirmediysek default olarak domainimizin işlev düzeyi mixed moddur. Yani eğer sistemimizde NT domain controlerlar varsa ve bunları kullanmaya devam edeceksek işlevsel düzeyimiz mixed modda olması gerekir. Bu konular ilerki kitaplarda daha detaylı olarak anlatılacaktır. Şu an için functional levellerin gruplar üzerindeki etkilerine bakacağız. Aşağıdaki tablo Domain functional level’lerin, Domain Controller’ların ve Group scope’ların hangi durumlarda birbirini desteklediklerini gösterir. Domain functional levelimiz, 2000 Native ve üstündeyse yaratılmış security ve distributon grupları birbirine istediğimiz zaman dönüştürebiliriz. Desteklediği Domain Controller Desteklediği Group Scope Windows 2000 mixed (Default) Windows NT Server 4.0, Windows 2000, Windows 2003 Global Group, Domain Local Group Windows 2000 Native Windows 2000, Windows Server 2003 Windows Server 2003 Windows Server 2003 Global, Domain Local, Universal Global, Domain Local, Universal Global Gruplar : Global gruplar, aynı domain içindeki kullanıcıları, grupları ve bilgisayarları kapsayabilir. Genelde ortak görevleri paylaşan veya aynı kaynaklara erişim ihtiyacı duyan kullanıcıları global gruplara koyarak yönetiriz. Global guplara foresttaki herhangi bir domain içindeki kaynaklara erişebilmeleri için izinler verebilirsiniz. Ve tüm forestta global grup gözükür fakat üyeleri gözükmez. Bu yüzden tek bir domaindeki kaynaklara erişim için global grupları kullanmayın. Global grubun yaratıldığı domaindeki kaynaklara erişim için başka grup kapsamlarını kullanın. Tüm functional levellerde aktifdir. Üyeleri : - Domain functional level mixed modda ise global gruplar aynı domain içindeki kullanıcı ve bilgisayar hesaplarını içerebilirler. - Domain functional level native mod ve üstünde ise global gruplar aynı domain içindeki kullanıcıları, bilgisayarları ve diğer global grupları içerebilirler. Kime üye olabilir :
  • 34.
    S a yf a | 33 - Mixed modda, global gruplar sadece Domain Local gruplara üye olabilirler. Native modda, foresttaki herhangi bir domain içindeki Domain Local ve Universal gruplara ve aynı domaindeki diğer Global gruplara üye olabilir. Kapsamı : Kendi domaini ve güven ilişkisi kurulmuş tüm domainlerde görünürler. İzinler : Foresttaki tüm domainler için izinler verebilirsiniz. Mixed moddayken Global grubun scope’unu değiştiremezsiniz. Native ve üstünde universal gruba dönüştürebilirsiniz. Universal Gruplar : Universal gruplar, mixed modda aktif değildir. Domain functional level native ve üstünde iken universal grupları kullanabiliriz. Benzer izinlere ihtiyaç duyan domain kullanıcıları için kullanabiliriz. Forest içindeki herhangi bir domain deki kullanıcı hesapları, bilgisayar hesapları ve grupları içeren security ve distribution gruplarını içerebilir. Universal gruplara forest içinde herhangi bir domaindeki kaynaklara kullanıcıların erişebilmesi için izinler verebiliriz. Universal gruplar forest içindeki tüm domainlerde kulanılabildiği için adminler tarafından fazla kullanılır. Fakat tasarruflu kullanılması lazım. Kullanışlı olmasından öte universal gruplar global catalog içinde yer aldıklarından dolayı grup içinde yapılan değişiklikler hemen replikasyona uğrayacaktır. Eğer bandgenişliğiniz düşük ise bu sorun yaratacaktır. Üyeleri : Native modda iken, forest içindeki tüm domainlerden kullanıcı hesaplarını, global grupları ve diğer universal grupları içerebilir. Kime Üye olabilir : Native modda ve üstündeyken, herhangi bir domaindeki domain local ve universal grup’lara üye olabilir. Kapsamı : Foresttaki tüm domainlerde görünürler. İzinler : Foresttaki tüm domainler için izinler verebilirsiniz. Diğer universal gruplardan üyesi olmadığı sürece native ve üstünde iken global gruba dönüştürebilirsiniz. Domain Local Groups : Domain Local Grouplar, aynı domain içindeki kaynaklara erişim izinleri vermek için kullanılır.
  • 35.
    S a yf a | 34 Üyeleri : Mixed modda iken, Domain Local gruplara, herhangi bir domaindeki kullanıcı hesapları ve global gruplar üye olabilir. Member serverlar mixed modda iken domain local grupları kullanamazlar. Native modda iken, Domain Local Gruplara, foresttaki herhangi bir domaindeki kullanıcı hesapları, bilgisayar hesapları, global gruplar ve universal gruplar ayrıca aynı domaindeki domian local gruplar üye olabilirler. Kime üye olabilir : Mixed modda iken domain local group hiç bir group’a üye olamaz. Native modda, aynı domaindeki diğer domain local group lara üye olabilir. Kapsamı : Sadece kendi domain içinde görülebilir. İzinler : Kendi domain içindeki kaynaklara erişim için izinler verebilirsiniz. Tüm Global grupları uygun domain local gruplar içine koyarak aynı kaynaklara erişim için izinler vererek etkin bir şekilde kullanabilirsiniz. Local Grouplar : Member Server veya stand-alone server üzerinde yaratılan, kullanıcıları, grupları, bilgisayarları, içeren topluluklardır. Local groupları, local kaynaklara erişimi kontrol etmek için kullanırız. Domain Controller da Local grouplar yoktur. Local Grouplara, yaratıldığı bilgisayardaki kullanıcılar, bilgisayarlar, domaindeki global grouplar, universal grouplar ve diğer domain local grouplar üye olabilir. Local grupları sadece yaratıldığı bilgisayarda kullanabilirsiniz. Domain kaynaklarına erişimi kontrol etmek için kullanamazsınız. Local grupları Client bilgisayarlarda çalışan işletim sistemlerinde ve Server 2003 çalışan ve Domain Controller olmayan makinelerde yaratabilir ve kullanabilirsiniz. Groupları Nerede Yaratırız : AD ortamında groupları domainde yaratırız. AD Users and Computers konsolunu veya komut satırı komularını kullanarak groupları yaratabiliriz. Eğer yeterli izinlere sahipsek tüm foresttaki her bir domainde veya OU içinde grouplar yaratabiliriz. Domainde group’un yaratılmasının yanında kapsamını ve çeşidini de belirlemelisiniz. Group’u yaratmadan evvel nerde yaratacağınıza karar vermeniz gerekir. Domainde veya bir OU içinde yaratabilirsiniz. Eğer bir OU içinde yaratırsanız Global grouplar yaratıp OU içine koyduktan sonra OU dan sorumlu olan administrator Global group üyeliklerinide yönetebilecektir. Groupların isimlendirilmesi : Ad içinde bir çok group yaratabilirsiniz ve her bir group’un da çeşidi ve kapsamı olacaktır. Groupları daha iyi yönetebilmek için isimlendirme politikası belirlemelisiniz.
  • 36.
    S a yf a | 35 Group isimleri scope, type, kim tarafından yaratıldığı, ne için yaratıldığı, izinleri gibi bilgileri içerebilir. Group isimleri 64 karakterden fazla olamaz. Security Grouplar için : - Group ismine scope’unu belirleyecek bir ibare koyabilirsiniz. Mesela Global group için G_* şeklinde olabilir.Veya Universal için U_* diyebilirsiniz. - Sahibini belirtebilirsiniz. G Marketing Managers gibi - Domain ismini belirtebilirsiniz. DL setron.com satis gibi - Amacını belirebilirsiniz. DL satis fullControl gibi Distribution Grouplar için : - E-mail isimleri olabilir - İsimler olabilir - Sahibi olabilir. Local Grouplar : Local grouplar diğer gruplar gibi belirleyici adlandırmalar kullanamazsınız. Local Group isimlerinde nokta yada boşluk olamaz. 256 karaktere kadar ve büyük harf, küçük harf olabilir. Groupların Yaratılması . Şekil 28: Groupları istersek Users container’ı içinde istersek OU’lar içinde yaratabiliriz.
  • 37.
    S a yf a | 36 Şekil 29: Group yaratma penceresinden group ismini belirledikten sonra kapsamını ve türünü de belirliyoruz. Şekil 30: Yarattığımız Group’u nerede yarattıysak o containerda görebiliriz. Members ve Member Of ne demek : Groupların özelliklerine baktığınız zaman iki tane tab görürsünüz. Birisi members isimli tabdır. Bu tabda group’a üye olan diğer grupları ve hesapları görebilirsiniz. Members of tabında ise o group’un üye olduğu diğer groupları görebilirsiniz. Bu iki tab sayesinde kullanıcıların ve groupların hangi grouplara üye olduğu ve group’a üye olanlar görülebilir.
  • 38.
    S a yf a | 37 Bir kullanıcıyı bir group’a üye yaptığınız zaman o group’un members özelliğini ve kullanıcının member of özelliğini günceller. Ayrıca bir kullanıcının hangi gruba üye olduğunu komut satırından : Dsget user <kullanıcı DN> -memberof diyerek elde edebilirsiniz. Şekil 31: Muhasebe isimli grubun Members ve Member Of tab'ı Bir Group’a üye ekleme ve kaldırma : Yarattığımız group’a üye eklemek için, group’un özelliklerinden Members tabından Add butonuna tıklıyoruz. (Şekil 31) Şekil 32: Advanced Butonuna tıklıyoruz
  • 39.
    S a yf a | 38 Şekil 33: Find Now butonuna tıklayarak domaindeki kullanıcılar ve groupları görebiliriz. Şekil 34: Kullanıcıyı seçtikten sonra en son bu pencereden OK butonuna tıklıyoruz. Ve Group’a kullanıcıyı eklemiş oluyoruz. Şekil 35: Yarattığımız Group’u başka bir group’un üyesi yapmak içinde Member Of tabını kullanacağız. Bunun uygulama adımları Members Tabındakiyle aynı
  • 40.
    S a yf a | 39 Group Nesting : Group nesting, grupları içiçe koymaktır. Bir grubu diğer grubun üyesi yapmaktır. Nesting yaparak yönetimi birleştiririz, replikasyon trafiğini azaltmış oluruz, tek bir haraketle gruba üye olanları yönetebiliriz. Nesting, Domain functional level’e göre değişir. Native moda yükselttiğimiz zaman : - Universal gruplar, herhangi bir domaindeki kullanıcı hesapları, bilgisayar hesapları, Universal gruplar ve Global grupları içerir. Global Gruplar, aynı domaindeki kullanıcı hesapları ve Global grupları içerir. Domain Local Gruplar, tüm domainlerden kullanıcı hesapları, Universal gruplar ve Global grupları, kendi domainindeki Domain Local grupları içerir. Mümkün olduğunca nesting düzeyini az tutun. Çok fazla içiçe grup koyarsanız izinleri yönetmek karmaşıklaşır. Grup Stratejileri : Şirketimizin network yapısına göre grup stratejileri belirleyebiliriz. Eğer tek bir domain yapısı içindeysek, DomainLocal ve Global grupları kullanmak daha pratik olacaktır. Birden fazla domain varsa stratejimizde ekstradan Universal grupları koyabiliriz. A G P Stratejisi: User Accountlarını (A), Global Gruplara (G) koyarak Permissionlar (P) atamak üzerine dayalı stratejidir. Bu stratejinin kötü tarafı birden fazla domain de yönetimsel zorluğa neden olması. Yok illada birden çok domaindeki global gruplara aynı izinleri verecem derseniz, herbirine ayrı ayrı izinleri vermeniz gerekiyor. Avantajları : - Gruplar içiçe olmadığı için sorunların çözümü daha kolaydır.Hesaplar tek bir grup kapsamı içinde olur. Dezavantajları : - Kullanıcı, her kaynağa ulaştığında otantikasyon için server bu vatandaş hala Global grubun üyesimi diye kontrol eder. Cache edilmediği için yani bellekte tutulmadığı için performans düşer. A DL P Stratejisi : Bu stratejide yapılan iş Accountları (A), Domain Local Gruplara (DL) koyup, izinleride (P) Domain local gruplara vermektir. Bu stratejinin kötü tarafı domain dışındaki bir kaynak için izinler veremiyorsunuz. Bu yüzden networkünüzün büyümesinde ki esnekliğide düşürür. Ne zaman kullanırız : - Forestımızda tek domain ve az kullanıcı varsa - Foresta başka domain eklemiyeceksek - Domainde NT 4.0 server yoksa
  • 41.
    S a yf a | 40 Avantajları : - Hesaplar tek bir grup kapsamındadır. - Gruplar içiçe değildir. Bu yüzden sorunları gidermek daha kolaydır. Dezavantajı : - Performans düşer. Çünkü her bir Domain Local grupta otantike edilecek bir çok kullanıcı vardır. A G DL P Stratejisi : Bu stratjide, Accountları (A) Global Gruplara (G), Global Grupları Domian Local Gruplara (DL) koyup Domain Local gruplara Permission (izin) (P) atıyoruz. Bu strateji networkün büyümesinde esneklik sağlar ve izinleri atarken daha az zaman harcarız. Bir yada daha fazla domainimiz varsa ve ilerde forest’ımıza domainler ekliyeceksek bu stratejiyi kullanabiliriz. Avantajları : - Domainlerde esneklik sağlar - Kaynak sahipleri, kaynaklarını korumak için AD’ye daha az erişirler. Dezavantajı : - İlk kurulumu karışıktır. Fakat gittikçe işlerinizi daha da kolaylaştırır. A G U DL P Stratejisi : Accountları (A) Global Gruplara (G), bu Global Grubu Universal Gruba (U), Bu Univarsal Grubu da Domain Local Gruba (DL) koyup en son Domain Local Gruba Permissionlar (P) atarız. AGUDLP stratejisini, birden fazla domaini olan forestımızda bir çok Global grubu merkezi olarak yönetebilmek için kullanabiliriz. Avantajları : - Tüm forest boyunca esneklik sağlar. - Merkezi yönetim sağlar. Dezavantajları : - Universal group üyelikleri global catalog içinde tutulur. Not : Global catalog, kendi domainindeki tüm nesnelerin tam kopyasını, forest içindeki diğer domainlerdeki nesnelerin bir kısmının kopyasını tutar. Forest içindeki ilk kurulan Domain Controller Global Catalog server görevini üstlenir. - Daha fazla Global Catalog server ihtiyacı duyulabilir. Global Catalog içinde yapılan değişiklikler replikasyona neden olduğundan replikasyonda geçikmelere neden olur.
  • 42.
    S a yf a | 41 A G L P Startejisi : Bu stratejide, Accountları (A), Global Gruplar içine (G), bu Global Gruplarıda Local Gruplar (L) içine koyup izinlerde Local Gruplara verilir. Bu stratejide local bilgisayar dışındaki kaynaklara izinler veremiyorsunuz. Aynı global grubu bir çok bilgisayarda kullanabiliyorsunuz. Ne zaman kullanırız : - Windows NT 4.0 den Server 2003 ‘e upgrade ettiğimizde - Bir domainimiz varsa - Az sayıda kullanıcı varsa - Başka domain eklemiyeceksek - Windows NT 4.0 group stratejisini devam ettirmek istiyorsak - Kullanıcıları merkezi olarak yönetmek ve kaynak yönetiminide dağıtmak için Dezavantajı : - AD’de erişim kontrolü yoktur. - Member serverlar arasında gereğinden fazla grouplar yaratmalısınız. - Merkezi yönetim yoktur. Domain Local Grupları Neden Kullanırız : Domain Local groupları kullanıcılara, bilgisayarlara veya belirli gruplara tek bir domaindeki kaynaklara erişim sağlamak istiyorsak kullanırız. Örneğin : Bir OU içinde Domain Local grup oluştururuz. Bir printer’ın security tabından DL gruba izin veririz. Daha sonra bir Global Group oluşturup, kullanıcıları bu bu Global group’a ekleriz. Bu Global grubuda Domain Local gruba ekleriz. Her yeni yazıcı eklendiğinde tek yapılacak iş yazıcı için Domain Local groupa erişim eklemektir. Yeni bir domain eklendiğinde yeni global grupları bu domain local gruba eklemek gerekir. Global Groupları Neden Kullanırız : Global Groupların önemli özelliği, kendi domainlerinin dışında replikasyon yapılmamasıdır. Bu grouplar Global Catalog çoğaltmalarının bir parçası değillerdir. Buna göre Global group üyeliğini düzenli bakım yada düzeltme gerektiren nesneler için kullanmalısınız. Bu değişiklikler ağ içinde çoğaltılmazlar. Bu yüzden ağ trafiğinde yavaşlatmaz. Global Groupları kullanmanın temel nedeni bir domain içinde benzer gereksinimleri olan kullanıcıların kaynaklara erişim için organize edilmesidir. Universal Groupları Neden Kullanırız : Bir universal Group oluşturarak, bu group’a Global grupları ekleyerek foresttaki farklı domainlerdeki kullanıcıların aynı kaynağa erişimini sağlayabiliriz.
  • 43.
    S a yf a | 42 Member Server üzerindeki Default Group’lar : Group Description Administrators - Üyeleri, server üzerinde full control’e sahiptir ve gerekli kullanıcılara kulanıcı hakları ve erişim izinleri atayabilir. Administrator hesabı bu grubun defult üyesidir ve server üzerinde full control iznine sahiptir. - Kullanıcılar bu gruba, grubun sahip olduğu yüksek ayrıcalıklar yüzünden dikkatli eklenmelidir. - Server domaine dahil edildiğinde Domain admins grubu bu gruba otomatik olarak eklenir. - İşletim sistemi yükleyebilir, donanım sürücüleri yükleyip konfigüre edebilir, Sistem servilerini yükleyebilir, Service packler ve güncellemeleri yükleyebilir, İşletim sistemini yükseltebilir, Windows sistem dosyaları üzerinde değişiklik yapacak olan uygulamaları yükleyebilir, Password ilkelerini konfigüre edebilir, Audit ilkelerini konfigüre edebilir, Security log’ları yönetebilir, Yönetimsel paylaşımlar yaratabilir, yönetimsel hesaplar yaratabilir, Diğer kullanıcılar tarafından yaratılmış hesapları ve grouplar üzerinde değişiklik yapabilir, Tüm servisleri durdurup başlatabilir, Servisleri konfigüre edebilir, Uzaktan registry’e ulaşabilir, Disk kotaları ile oynayabilir,uzaktan bilgisayarı kapatabilir, kullanıcılara haklar atayabilir, hard disklerin özellikleri ile oynayabilir, bilgisayardaki her türlü veriye ulaşabilir, tüm verilerin yedeğini alabilir ve restore (Geri yükleme) yapabilir. Bu gruba üye olan kullanıcı logon olduğunda geçici bir profil oluşturulur. Üye log off olduğunda bu profil silinir. Default olarak disable olan guest hesabı bu grubun üyesidir. Üyeleri performans sayaçları loglarını ve alarmlarını lokal server üzerinde ve uzaktan yönetebilir. Guests Performance Log Users Backup Operators Performance Monitor Users Power Users Print Operators Users Network Configuration Operators Remote Desktop Users Replicator HelpServicesGroup Terminal Server Users Üyeleri, lokal makine üzerinde güvenlik kısıtlamaları olsa bile yedekleme ve yedekten geri yükleme yapabilir. Üyeleri, Adminsitrators grubuna veya Performance Log Users grubuna üye olmadan performans sayaçlarını lokal makineden ve uzaktaki bir client üzerinden takip edebilir. Kullanıcı hesapları yaratabilir ve yarattıkları hesapları silebilir ve üzerinde değişiklik yapabilir. Üyeleri, lokal gruplar yaratabilir, yarattığı gruba kullanıcılar ekleyip çıkartabilir. • Üyeleri, Power Users, Users ve Guests gruplarına kullanıcılar ekleyip çıkartabilir. • Kaynakları paylaşıma açabilir ve kendi yarattıkları paylaşımları yönetebilir. • Dosyaların sahipliğini alamaz, dizinlerin yedeklemesini ve restore edilmesini, sürücü yükleme veya güvenlik ve audit logların yönetemez. Üyeleri printerları ve printerdaki sıraları yönetebilir. Uygulamaları çalıştırmak, lokal ve network printerları kullanmak ve server’ı kilitlemek gibi ortak görevleri yerine getirebilir. • Kullanıcılar dizinleri paylaşıma açamaz veya lokal yazıcılar yaratamaz. • Domain Users, Authenticated Users ve Interactive grupları bu grubun üyesidir. Bu yüzden domain içinde yaratılan her kullanıcı bu grubun üyesi olur. Bu grubun üyeleri, Ip adres yenileme veya bırakma (Release) gibi TCP/IP konfigürasyon değişikliklerini Domain içindeki Domain Controller’lar üzerinde yapabilir. Uzak masaüstü bağlantısını Terminal sever aracılığı ile client ve member server’a yapabilirler. Eğer Terminal server Domain controller üzerinde ise Group policy üzerinden Remote desktop users grubuna bu hakkın verilmesi gerekir. Domain serverları arasındaki replikasyon işlemini destekler. Sadece bu gruba eklenmiş olan domain kullanıcı hesapları Replikasyon servisini başlatır. Microsoft yardım servisleri üzerinden bilgisayarlara destek vermek için özel izinlere sahiptir. Terminal Server vasıtasıyla logon olan kullanıcılar bu grubun üyesidir.
  • 44.
    S a yf a | 43 Network Servisleri tarafından kullanılan Default Group’lar : Group Membership DHCP Administrators Üyeleri, DHCP servisinde yönetimsel erişime sahiptir. DHCP konsolu üzerinden DHCP’yi yönetebilir fakat server üzerinde başka yönetimsel işler yapamaz. Bu grubun üyeleri DHCP servisine salt okunur erişim iznine sahiptir. DHCP server üzerindeki bilgilere ve özelliklere bakabilir. DHCP Users WINS Users Bu grubun üyeleri WINS’e salt okunur erişime sahiptir. WINS server üzerindeki bilgi ve özellikleri sadece okuyabilir. Bu, WINS için durum raporu çıkarmakta kullanışlıdır. Active Directory İçindeki Default Group’lar : Group Description Account Operators Üyeleri, domain içindeki users, computers container’ı içinde veya bir Organizational Unit içinde grouplar, kullanıcılar ve bilgisayar hesapları yaratabilirler, silebilirler ve bunlar üzerinde değişiklik yapabilirler. Domain Controllers Organizational Unit için bu geçerli değildir. Üyeleri, Administrators ve Doman Admins grubu ve bu grubun üyeleri üzerinde herhangi bir şey yapamazlar. Domain deki Domain Controller’lara local olarak logon olabilirler ve bunları kapatabilirler. Bu grubun domain içinde önemli bir gücü olduğundan kullanıcılar bu gruba katarken dikkatli olunmalı. Incoming Forest Trust Üyeleri, forest root domain’e doğru tek yönlü, gelen forest trust ilişkisi yaratabilirler. Builders Default olarak üyesi yoktur. Pre-Windows 2000 Compatible Access Server Operators Domain Controllers Üyeleri, domain içindeki tüm kullanıcılar ve gruplar üzerinde salt okunur erişime sahiptir. Geriye dönük uyumluluk için Windows NT 4. ve önceki bilgisayarlar içinde geçerlidir. Bu grubu sadece Windows NT 4.0 ve önceki işletim sistemlerinden RAS ile gelen kullanıcılar için kullanın. Üyeleri, interactive olarak logon olabilirler, paylaşımlar yaratabilir ve silebilir, bazı servisleri durdurup başlatabilir, dosyaları yedekleyebilir ve geri yükleyebilir, hard diske format atabilir ve bilgisayarı kapatabilir, sistem saatini değiştirebilir. Default olarak üyesi yoktur. Domain’deki tüm domain controller olan makineler default olarak bu grubun üyesidir. Domain Controller olan makinelere izin ve haklar atarken kullanılabilir. Domain Guests Tüm domain guest hesapları default üyesidir. Kullanıcıları bu grubun üyesi yapıp geçici izin vermek veya sadece temel erişimler için kullanılabilir. Domain Users Domain deki tüm kullanıcılar bu grubun üyesidir. Domainde bir kullanıcı yaratıldığında otomatik olarak bu grubun üyesi olur. Local Users grubunun default üyesidir Domaine dahil olan tüm client ve server’lar (DC’ler hariç) bu grubun üyesidir. Domain Computers Domain Admins Enterprise Admins Group Policy Creator Owners Schema Admins DnsAdmins DnsUpdateProxy Cert Publishers RAS and IAS Servers Üyeleri, domaindeki tüm heryerde Full Control’e sahiptir. Default olarak domaindeki tüm domain controllerlar, tüm clientlar ve tüm member serverlar üzerindeki Administrators grubunun üyesidir. Administrator hesabı default olarak bu grubun üyesidir. Forest içindeki tüm domainlerde full control’e sahiptir. Forest içindeki tüm domain controller olan makineler üzerindeki Administrators grubunun üyesidir. Default olarak Admnistrator hesabı bu grubun üyesidir. Domain içinde Group Policy yaratabilir ve modifiye edebilir fakat bir container’a linkleyemez. Administrator hesabı default olarak bu grubun üyesidir. Bu grup sadece Forest root domain içindeki domain controller’lar üzerinde gözükür. Sadece bu grubun üyeleri Schema üzerinde değişiklik yapabilir. Administrator default olarak bu grubun üyesidir. DNS servisi yüklendiğinde gözükür. Bu grubun üyeleri DNS servisi üzerinde yönetimsel izinlere sahiptir. Default olarak bir üyesi yoktur. Bu grubun üyesi olan DNS clientlar DHCP serverlar gibi diğer clientlar adına DNS server’a dinamik update yapabilirler. Bu grubun üyeleri kullanıcılar ve bilgisayarlar adına sertifikalar yaynlayabilir. Default olarak üyesi yoktur. Bu grubun üyesi olan serverlar kullanıcıların uzaktan erişim özelliklerine erişebilir.
  • 45.
    S a yf a | 44 System Group’ları : System gruplarının üyelikleri ile oynayamazsınız. İşletim sistemi otomatik olarak yaratıve kesinlikle değiştirilemez ve yönetilemez. System grupları duruma göre farklı zamanlarda farklı kullanıcıları içerebilir. System grupları için kullanıcılara haklar ve izinler atanabilir. System group Description Anonymous Logon Bir bilgisayara ulaşan ve bir kullanıcı hesabı, password ve domain ismi kullanmadan networkteki kaynağa ulşamaya çalışan kullanıcıları ve bilgisayarları ifade eder. Windows NT ve önceki sürüm işletim sistemi çalışan makinelerde Anonymous Group, default olarak everyone group’unun üyesidir. Windows Server 2003’de ise Anonymous group artık everyone grubunun üyesi değildir. Guest kullanıcıları ve diğer domainlerdeki kullanıcılar da dahil networkteki tüm kullanıcıları içerir. Bir kullanıcı networke dahil olduğunda otomatik olarak bu grubun üyesi olur. Eğer domain içindegüvenlik önemli değil ise everyone grubunu kullanarak erişim izineri verebilirsiniz. Bu gruba read-only izninin üstünde bir izin verilmesi tavsiye edilmez. Network üzerinden o an erişen kullanıcıları barındırır. Network üzerinden bir kaynağa erişmek isteyen kullanıcılar otomatik olarak bu gruba dahil olur. Everyone Network Interactive Authenticated Users Creator Owner Belirli bir bilgisayara logon olmuş olan kullanıcıları ve o bilgisayardaki belirli kaynaklara erişmek isteyen kullanıcıları içerir. Bir bilgisayara logon olup o bilgisayardaki kaynaklara ulaşmaya çalışan kullanıcılar otomatik olarak bu gruba dahil olur. Active Directory veritabanındaki tüm kullanıcıları içerir. Daima bir kaynağa erişim izni verirken everyone grubunu kullanmak yerine Authenticated Users grubuna izin ataması yapın. Bu sayede yabancıların erişimini engellemiş olursunuz. Bir kaynağın sahipliğini alan veya o kaynağı yaratan kullanıcıları içerir. Eğer Administrators grubunun bir üyesi bir dosya veya klasör yaratırsa Administrators grubu bu kaynağın sahibi olur.
  • 46.
    S a yf a | 45 MODULE 4 Managing Access to Resources Başlamadan evvel birkaç tanımı açıklayalım : Security Principal : Otantike edilebilen accountlara denir. Security Identifier (SID) : Bir hesap yaratıldığında oluşturulan alfanumerik bir yapıdır ve security principal’ları benzersiz olarak tanımlar. Discretioanary Access Control List (DACL) : Kullanıcıların ve grupların kaynaklara erişim için izin verilmesi yada yasaklanmaları ile ilgili bilgileri içeren listedir. Access Control Entries (ACEs) : DACL içindeki her bir satırdır ve her ACE’de, hangi sid’in özel izinleri, inheritance, allow ve deny izinleri olduğunu belirtir. İzinler (Permissions) : İzinler, kullanıcının, bilgisayarın veya grubun bir nesneye erişim şeklini belirler. Bir kullanıcıya sadece okuma (read) izni, başka kullanıcıya değiştirme (modify) izni verebilirken bir başkasınında dosyaya erişmesini (Deny) engelleyebilirsiniz. İzinleri, dosyalar, nesneler, klasörler gibi tüm korunacak nesnelere uygulayabilirsiniz. İzinleri, domain içindeki kullanıcılar, gruplar ve bilgisayarlara verebileceğiniz gibi, güven ilişkisi kurulmuş forestdaki diğer domainlerdeki kullanıcılar, gruplar ve bilgisayarlar içinde verebiliriz ve local deki nesnelere erişim içinde yine local gruplar ve local kullanıcılara izinler verilebilir. Permissionlar (İzinler) Shared Folder Permissionları ve NTFS Permissionları olmak üzere ikiye ayrılır. En fazla kullanılan izinler; Read izni, Write izni ve Delete iznidir. Standart ve Special (Özel) izinler : Nesneler için standart ve spacial izinler verebilirsiniz. Standart izinler en fazla kullanılan izinlerdir. Special izinler ise nesneye erişimi daha yüksek derecede kontrol etmenizi sağlayan daha ayrıntılı izinlerdir. Standart izinler, nesneye göre değişiklik gösterir. Folder permission ve file permission larda farklı izinler bulunur. Aynı şekilde Printerların izinlerinde de farklı standart izinler vardır. Special permissionlarda ise standart izinlerdeki vereceğiniz izinler yeterli kalmadığında advanced seçeneğinden ulaşabildiğimiz izinlerdir. Standart izinlerde işaretlediğimiz izin, special permissionlarda da seçilidir. Standart taki izinlerin daha ayrıntılısı special izinler içinde bulunur. Örneğin Standart taki read izninin Special da Read Attributes, Read Extended Attributes, Read Permissions gibi daha detaylısı vardır. İzinlere, nesnenin özelliklerinden Security tabından ulaşabilirsiniz. Bu kısımdaki izinlere NTFS izinleri denir.
  • 47.
    S a yf a | 46 Share Folderlara Erişimi Yönetmek : Klasörleri paylaşıma açmak, klasörlere network üzerinden kullanıcıların erişebilmelerini sağlar. Klasörleri paylaşıma açmadığımız takdirde networkteki kullanıcılar bu klasör içindeki dosyalara erişemiyecektir. Paylaşıma açılmış klasörler kullanıcı dataları, genel datalar, uygulama dosyaları içerebilirler. Uygulamaların yükleme dosyalarını paylaşıma açılmış bir klasörde tutmak uygulamayı mekezi olarak clientlara yüklememizi ve bakımını yapmamızı sağlar. Shared folderları file serverlarda tutabileceğimiz gibi herhangi bir bilgisayarda da tutabiliriz. Shared Folderların özellikleri : - - - Shared folderları Windows Explorer penceresinde bir icon olarak görebilirsiniz. Sadece klasörleri paylaşıma açabilirsiniz. Dosyalar paylaşıma açılamaz. Eğer tek bir dosyaya kullanıcıların erişmesini istiyorsanız, bu dosyayı bir klasör içine koyarak bu klasörü paylaşıma açarsınız. Bir klasörü paylaşıma açtığınızda otomatik olarak everyone grubunun shared folder izini read olarak ayarlanır. Everyone grubu güvenlik açısından da tehlikelidir. Çünkü sistemdeki tüm kullanıcıları içerir. Bu yüzden everyone grubunu kaldırarak gerekli kullanıcılara gerekli izinleri atayın. Kullanıcılar veya grupları shared folder izinlerine eklediğiniz zaman default olarak read iznine sahip olurlar. Shared folder’ı kopyaladığınız zaman orjinali paylaştırılmış olarak kalır fakat kopyasındaki paylaşım kalkar. Paylaşıma açılmış olan klasörün gizli kalmasını yani diğer kullanıcılar tarafından gözükmesini istemiyorsanız, yanına $ işareti koymanız gerekir. Bu dosyaya networkten ulaşmak için UNC (Universal Naming Convention) yolunu yazmanız gerekiyor. Serverklasor$ gibi Yönetimsel Amaçlı Shared Folderlar : Server 2003, kurulduğunda otomatik olarak bazı klasörleri yönetimsel amaçlı olarak paylaşıma açar. Bunların yanında $ işareti vardır. Gizlidirler, My Network Places da görünmezler. Dolar ($) işareti gizli kalmasını sağlar. İzinlerini Modifiye edemezsiniz. Default olarak Administrators grubunun üyeleri yönetimsel shared folderlar üzerinde full control yetkisi vardır. Bu klasörleri Computer Management konsolunda Shared Folders altındaki Shares kısmından görebilirsiniz. Gizli olarak paylaşıma açılmış klasörlere ulaşmak çin UNC yolunu yazarız.serverc$ gibi Bunlardan bazıları : - C$, D$.... : Bilgisayardaki her bir partition otomatik olarak paylaşıma açılır. UNC yolunu yazdığınız zaman tüm partition’a ulaşabilirsiniz. Admin$ : İşletim sisteminin olduğu klasördür.UNC yolunu yazarak işletim sisteminin nerede kurulu olduğunu bilmenize gerek kalmaz. Print$ : Yazıcı sürücülerinin olduğu klasöre erişimi sağlar. İlk printer’ınızı yükleyip paylaşıma açtığınız zaman otomatik olarak systemrootsystem32spoolDrivers klasörüde Print$ ismiyle paylaşıma açılır. Bu klasöre sadece Administrators, Server Operators ve Print Operators grubunun full controll izni vardır. Everyone grubunun read izni vardır.
  • 48.
    S a yf a | 47 - - IPC$ : Bir bilgisayarı uzaktan yönetmek ve bir bilgisayardaki paylaşıma açılmış kaynakları görmek için kullanılır. Named Pipe ları desteklemek için kullanılır. Named Pipe larda işlemler arasında gerçekleşen iletişimlerde kullanılır. Fax$ : Fax servisi konfigüre edilmiş ise fax clientlar işlemdeki fax cover sayfalarını ve dökümanlarını cache’lemekde kullanılır. Sysvol : Dc üzerinde bulunur. Ad’deki policyleri ve scriptlere erişimi sağlar. Netlogon : Logon scriptlerinin olduğu klasördür. Kimler Klasörleri Paylaşıma Açabilir : Server 2003’de Administrators, Server operators ve Power users grubunun üyeleri klasörleri paylaşıma açabilir. Bunlar built-in gruplardır. Power users grubu standalone ve member serverlarda bulunur. Domain Controllerlarda Power users grubu yoktur. Shared Folder Nasıl yaratılır : Bir klasörü paylaşıma açmanın 3 yöntemi vardır. - Computer management içinde Shared Folders bölümünden yapabiliriz. - Windows Explorer penceresinden - Komut satırından net share <paylaşım ismi>=<Sürücü>:Yol silmek içinde net share <paylaşım ismi> /delete Computer Mangement Penceresinden Klasörü Paylaşıma açmak : Şekil 36: Computer Management konsolundan Shared Folders kısmından klasörleri paylaşıma açabiliriz. Karşımıza bir sihirbaz çıkacak.
  • 49.
    S a yf a | 48 Şekil 37: Next’e tıklayalım bakalım ne çıkacak. Şekil 38: Browse’dan paylaşıma açmak istediğimiz klasörü bulup seçiyoruz. Şekil 39: Share Path kısmına dikkat edin. Klasörün yolu UNC şeklinde yazılmış.
  • 50.
    S a yf a | 49 Şekil 40: Bu bölümde, Shared Folder izinlerini ayarlıyoruz. Finish’e tıklayarak bitiriyoruz. Windows Explorer Penceresinden Klasör Paylaşıma açmak : Şekil 41: Paylaşıma açmak istediğimiz klasörün üzerine sağ tuşla tıklayıp, çıkan menüden Sharing and Security seçeneğine tıklayın. Şekil 42: Çıkan pencerede Share This Folder seçeneğini işaretlememiz yeterli
  • 51.
    S a yf a | 50 Komut Satırından Klasör Paylaşıma açmak : Şekil 43: Deneme1 isimli klasör başarıyla paylaşıma açıldı. Şekil 44: Deneme1 adı ile paylaşıma açılan klasörün paylaşımı kaldırıldı. Paylaşıma açılmış klasörlere erişebilmek için genelde My Network Places kullanılır. Bunun yanında StartRun dan paylaşıma açılmış klasörün ismini biliyorsanız UNC yolunu yazarak veya Map Network Drive ile erişebilirsiniz. Ayrıca AD users and computers konsolundan new diyerek paylaşıma açılmış bir klasörü ekleyebiliyoruz. Shared Folderların Publish edilmesi : Bir paylaşıma açılmış klasörü AD içinde publish ederek kullanıcıların AD’de bu klasörü bulmasını sağlayabilirsiniz. Publish etmenin diğer bir avantajıda paylaşıma açtığımız klasörün konumu değişse bile AD search’de bulanabilmesi. Kullanıcılar nerde olduğunu bilmeksizin UNC yolunu yazarak klasöre ulaşabilirler. Publish ettikten sonra klasör AD içinde bir nesne olarak gözükecektir. AD users and Computers dan View menüsünde Users, Groups and Computers as Containers’ a tıkladığınızda bilgisayar hesabının altında publish edilmiş klasörü görebilirsiniz. Paylaşıma açılmış bir klasörü publish edebilmek için, Computer management konsolunu yada AD Users and Computers konsolundan New diyerek yapabilirsiniz.
  • 52.
    S a yf a | 51 Şekil 45: Paylaşıma açılmış bir klasörü AD içinde Publish etmeyi Computer Management konsolundan klasörün özelliklerinden yapabiliriz. Şekil 46: Klasörün özelliklerinde Publish tabında Publish this share in Active Directory kutusunu işaretlememiz yeterli. Gerekirse açıklama, klasör sahibinin ismi ve AD içinde aramanın kolaylaştırılması için anahtar kelimeler girilebilir. Publish edilmiş klasörü AD users and Computers konsolunda hangi bilgisayarda publish edilmiş o bilgisayar hesabının altında gözükür.
  • 53.
    S a yf a | 52 Şekil 47: Publish ettiğimiz klasör Setron isimli bilgisayarda olduğu için Setron bilgisayarının hesabında görebiliyoruz. Bunuda görebilmek için, View menüsünden Users,Groups and Computers as Containers seçenğini aktif hale getirmek gerekiyor. Shared Folder İzinleri : Daha öncede bahsetmiştik iki adet izin çeşidi vardır. - Share izinleri. Sadece klasörlere atanır NTFS izinleri. Dosya ve klasör izinleri diye geçer. Shared folder izinleri, ağ üzerinden bir dosya yada klasöre ulaşmaya çalışan her kullanıcıya uygulanır. Dosyalara yerel olarak ulaşılacaksa sadece dosya ve klasör izinleri uygulanır. Networkten ulaşılacaksa önce share izinleri sonrada NTFS izinleri uygulanır. Eğer paylaşıma açılmış klasörler ve dosyalar FAT birimindeyse sadece share izinler uygulanır. Share izinlerini kullanıcılara ve gruplara uygulayabilirsiniz. Share izinleri . - Read : Everyone grubunun default iznidir. Neler yapılabilir; dosya isimleri ve alt klasörlerin isimleri görülebilir. Dosya açıp okunabilir ve dosyanın özellikleri görülebilir. Program dosyaları çalıştırılabilir. - Change : Read izinlerinin hepsi, yeni dosyalar ve klasörler yaratabilme, dosyalardaki datalarda değişiklikler yapabilme, alt klasörleri ve dosyaları silebilme - Full Control : Read ve change izinlerinin hepsi ve NTFS izinleri ile oynayabilme.
  • 54.
    S a yf a | 53 Share izinlerinin verilmesi : Şekil 48: Paylaşıma açtığımız klasörün özelliklerinden, Sharing tabından Permissions butonuna tıklıyoruz. Şekil 49: Share izinlerinde default olarak everyone grubunun Read izni vardır.
  • 55.
    S a yf a | 54 NTFS Nedir : Ntfs dosya sistemi Server 2003’de kullanılan dosya sistemidir. Özellikleri şunlardır : - - - - Güvenilirlik : Log dosyalarını ve kontrol noktası bilgilerini kullanarak bilgisayar başladığında dosya sisteminin bütünlüğünü sağlar. Yani bir bad sector sorunu varsa NTFS bad sector’deki datayı başka bir cluster’a taşır. O cluster’ı da kullanılmaması, üzerine data yazılmaması için işaretler. Güvenlik : NTFS dosya ve klasörlerin güvenliği için EFS (Encrypted File System)’i kullanır. Dosya ve klasörleri şifreleyebiliriz. NTFS diğer adıyla Dosya ve Klasör izinlerini kullanarak erişimleri kontrol edebiliriz. NTFS, her bir dosya ve klasör için ACL (Access Control List)’i bünyesinde bulundurur. ACL, kullanıcıların, grupların ve bilgisayarların dosyalara ve klasörlere erişimi olup olmadığını ve ne tip erişimi olduğunu belirtir. ACL içinde ACE (Access Control Entry) denilen satırlar vardır. ACE içinde ise kullanıcıların ne tip bir erişimi olduğu bilgisi bulunur. Eğer bir kullanıcı veya grupla ilgili bir satır yoksa kullanıcı veya grup o dosya veya klasöre erişemez. Depolamanın büyümesini kontrol edebilirsiniz : Kullanıcılara Disk kotaları uygulayabilirsiniz. Bu sayede kullanıcıların hard disk kullanımlarını kontrol edebilirsiniz. NTFS, büyük dosyaların tek parça halinde tutulmasına izin verir (4 Gb dan büyük). Daha küçük clusterlar kullanır. Mesela 30 Gb lık bir HDD için FAT32 16 KB lık, NTFS ise 4 KB lık clusterlar kullanır. Daha küçük clusterlar hard diskte boşa giden alanı azaltır. Bir den çok kullanıcı izinlerini kullanabilirsiniz. NTFS Dosya ve Klasör izinleri : NTFS izinlerine temel düzeyde yani her koşulda uygulanan izinler de diyebiliriz. NTFS izinleri ile hangi kullanıcılar, gruplar ve bilgisayarlar dosyalara ve klasörlere erişebilir ve bunların dosya ve klasör içerikleriyle neler yapabileceği belirlenir. NTFS izinlerini networkteki bir kaynak için de verebiliriz, local bir makinedeki nesneler içinde verebiliriz. NTFS izinlerini AD içindeki tüm nesnelere uygulayabilirsiniz. NTFS izinleri dosya ve klasör izinleri olarak ta anılırlar. Dosya izinlerinde ve klasör izinlerinde sadece tek bir izin farklıdır. NTFS Dosya izinleri : - - Full Control : İzinleri değiştirebilir, sahipliği alabilir, diğer tüm NTFS izinleri ile oynayabilir. Tüm dosyaları okuyabilir, silebilir, değişiklikler yapabilir. Sahiplik’ten kastetdiğimiz ise, default olarak dosya yada klasörü oluşturan onun sahibidir. Ama o dosyayı yada klasörü yaratan onun sahibi olmak zorunda değil. Modify : Dosyaları okuyabilir, silebilir, değişiklik yapabilir. Read & Execute : Uygulamaları çalıştırabilir, dosya içeriklerini görebilir, dosyaya erişebilir. Write : Dosya üzerine yazabilir, izinleri ve sahibini görebilir, dosya attributelarını (Öznitelik) değiştirebilir. Read : Dosyayı açıp okuyabilir, attributelarına bakabilir, izinlere bakabilir.
  • 56.
    S a yf a | 55 Şekil 50: NTFS Dosya izinlerine, dosyanın özelliklerinden, security tabından ulaşabilirsiniz. Soluk olarak görünmesinin nedeni, bu izinleri yukardan miras almasıdır. Burası aynı zamanda dosyamızın ACL’sidir. NTFS Klasör İzinleri : - Full Control : Klasör ve alt klasörlerdeki dosyaları ve klasörleri silebilir, okuyabilir, değişiklikler yapabilir. Klasörün izinlerini değiştirebilir. Sahipliği alabilir. Modify : Dosya ve klasörleri okuyabilir, yazabilir ve silebilir. Read & Execute : Dosyaları ve altklasörleri görebilir, dosyaları çalıştırabilir. Write : Yeni dosya ve alt klasörler yaratabilir. Klasörün attributelarını değiştirilebilir, izinleri ve sahipliği görülebilir. Read : Klasördeki dosyaları ve altklasörleri görebilirsin. Klasörün attributelarını, sahibini ve izinleri görebilirsin. List Folder Contents : Klasördeki dosya ve alt klasörleri görebilirsin fakat dosyalar açılamaz.
  • 57.
    S a yf a | 56 Şekil 51: Klasörün NTFS izinlerine ulaşmak içinde aynı yolu kullanacağız. Dosya ve klasör izinleri arasında bir tane fark var. Special İzinler : Traverse Folder/Execute File : Bir klasörün içerdiği verileri okuma izniniz olmasa bile klasöre doğrudan erişebilmenize olanak sağlar. Execute file ise bir yürütülebilir dosyayı çalıştırmanızı sağlar. List Folder/Read Data : Dosya ve klasör adlarını görüntülemenize olanak sağlar. Read data ise bir dosyanın içeriğini görmenizi sağlar. Read Attributes : Bir dosya yada klasörün temel özniteliklerini okumanızı sağlar. Read only, hidden, system veya archive gibi Read Extended Attributes : Bir dosya ile ilişkili olan genişletilmiş öznitelikleri görüntülemenize olanak sağlar. Title, subject, author, summary gibi Create files / Write Data : Create Files, bir klasöre yeni dosyalar ekleminizi sağlar. Write data, bir dosyadaki verilerin üzerine yazmamızı sağlar. Varolan bir dosyaya yeni veriler eklememize izin vermez. Bunu append data yapar. Create Folders /Append Data : Create Folders, klasörler içinde alt klasörler oluşturmamızı sağlar. Append data, varolan bir dosyanın sonuna veriler eklememizi sağlar. Write Attributes : Bir dosya yada klasörün temel özniteliklerini değiştirmemizi sağlar. Write Extended Attributes : Genişletilmiş öznitelikleri değiştirmemizi sağlar. Delete Subfolders and Files : Bir klasörün içeriğini silmenize olanak sağlar. Bu izin varsa bir klasördeki dosyalar ve alt klasörler için delete izniniz olmasa bile bu dosya ve alt klasörleri silebilirsiniz. Delete : Bir dosya yada klasör silmemizi sağlar. Bu klasör boş değilse, içerdiği dosya yada klasörlerden biri için delete izniniz yoksa klasörü silemezsiniz.
  • 58.
    S a yf a | 57 Read Permissions : Dosya yada klasöre atanmış olan temel ve özel izinleri okuyabilirsiniz. Change Permissions : Dosya yada klasöre atanmış olan tüm temel ve özel izinleri değiştirmenize olanak sağlar. Take Ownership : Bir dosya yada klasörün sahipliğini almanızı sağlar. Şekil 52: Special Permission’lara ulaşabilmek için, buradan advanced butonuna tıklayın Şekil 53: Permissions tabından Edit butonuna tıklayın
  • 59.
    S a yf a | 58 Şekil 54: Special Permissionlar Dosya ve Klasörlerin Taşınması yada Kopyalanmasında NTFS İzinleri : Bir dosyayı veya klasörü kopyalama veya taşıma (Move) yaptığınızda izinlere ne olacağı, nereye taşıma veya kopyalama yaptığınıza göre değişir. - Eğer bir dosyayı yada klasörü aynı partitiona veya başka bir partitiona kopyalarsak gittiği yerdeki klasörün izinlerini alır. Klasörü yada dosyayı NTFS olmayan bir partitiona kopyalarsak NTFS izinlerini kaybeder. NTFS ile formatlanmış bölümler NTFS izinlerini destekler. Bir dosya yada klasörü aynı partition içinde move (Cut-Paste) yaparsak izinler aynen geçer. Bir dosya veya klasörü başka bir partitiona move yaparsak hedefteki klasörün iznini devralır. Copy işlemini gerçekleştirmek için, kaynak klasörde Read izniniz olması hedefte ise Write izninizin olması gerekir. Dosya ve klasörleri move yapabilmek içinde, kaynak ve hedef klasörlerde Write ve modify izinlerinin olması gerekiyor. Move işleminden sonra dosya veya klasörün creater owner’ı oluyorsunuz. NTFS İzinlerinde Inheritance : Default olarak bir klasör içindeki dosya ve klasörler veya yaratacağımız dosya ve klasörler ana klasörün izinlerini miras olarak devralır (Inheritance). Örneğin; Domain users grubunun bir klasörde read izni varsa o klasör altında klasör yarattığımızda domian users grubunun yaratılan klasörde de read izini olacaktır. Bir klasöre yeni izinler atadığımızda, izinler aşağı doğru dağıtılarak klasörün içerdiği tüm alt klasörlere ve dosyalara devredilir yada var olan izinlerin yerini alır.
  • 60.
    S a yf a | 59 Değiştirmek istediğiniz bir izin soluk görünüyorsa yani müdahale edemiyorsanız dosya veya klasör bu izni bir ana klasörden devralıyor demektir. Ana klasörün izinlerini aşağıya iletmesini engelleyebilirsiniz. Devralmayı iptal edersek neler yapabiliriz : Var olan izinleri kopyalayabiliriz yada kaldırıp yeni izinler atayabiliriz. Niye izinlerin çoğaltılmasını engelleriz : Inheritance parent folderdaki izinlerin, alt klasörlere ve kaynaklara nasıl atanacağını tanımlar. Dosya veya klasörlerin yukardan izinleri devralmasını istemeyebilirsiniz. Örneğin : Muhasebe diye bir klasörümüz var. Tüm muhasebe çalışanlarının bu klasör üzerinde Write izni olsun. Bu klasör içinde bir dosya yaratıyorsunuz ama herkesinde erişmesini istemiyorsunuz. O zaman o dosyanın yukardan izinleri devralmasını engelleyebilirsiniz. Şekil 55: Soluk renkte görülen izinler parenttan miras olarak geldiğini gösterir ve müdahale edemezsiniz. Şekil 56: New Folder isimli klasörün izinleri yukardan miras olarak almasını istemiyorsanız, seçili kısımdaki kutucuğu temizlemeniz gerekiyor. Altındaki Replace Permission…. ile başlayan kısım ise burada verdiğiniz izinlerin bu klasörün altındaki diğer klasör ve dosyalara miras olarak devam etmesini istiyorsanız kullanacağınız seçenektir. Bu durumda alttaki klasör ve dosyalara açık bir şekilde izin verilen kullanıcılar ve gruplar kaldırılacaktır.
  • 61.
    S a yf a | 60 Şekil 57: Kutucuğu kaldırdığınızda karşınıza bir uyarı penceresi çıkar. Eğer yukardan miras olarak gelen izinleri aynen kopyalayıp bu izinler üzerinde oynamaya devam etmek istiyorsanız Copy butonuna tıklıyorsunuz . Yok ben hem mirası kesip hemde yukardan mirasla gelen izinleri tamamen temizlemek istiyorum, izinleri yeni baştan yaratmak istiyorum diyecekseniz Remove butonuna tıklıyoruz. NTFS İzinleri için Tavsiyeler : - - İzinleri kullanıcılar yerine gruplara verin İzinleri dosyalar yerine klasörlere vermeye çalışın Deny izni diğer izinlerin üstündedir. O yüzden mümkün olduğunca deny izini vermekten kaçının. Onun yerine izin atamayabilirsiniz. Kesinlikle allow vermiyecekseniz deny kullanın Sistem dosyalarının ve klasörlerinin izinleri ile oynamayın. Everyone grubuna deny vermeyin. Administrators grubuda erişemez yoksa. Everyone grubunu kaldırıp gerekli kullanıcılara gerekli izinler verin. Kullanıcı ve gruplara görevlerini yerine getirebilecek kadar izinler verin. Mümkün olan en kısıtlayıcı izinler olsun. Mümkünse en üst klasöre izinler atayın. Inherit ile alttaki klasör ve dosyalara üstteki izin aktarılacaktır. Tüm uygulamalar ve executable dosyalar için Admin grubuna Read and Execute ve change iznini, kullanıcılarada Read and Execute iznini verin. Ortak veri klasörleri için modify veya full control atayın. Everyone grubunada read ve wirte izinlerini atayın. Administrators grubu üyeleri ve creator ownerlar, kullanıcılara izinler atayabilirler. Effective Permissions : Bir kullanıcı bir yada daha çok grubun üyesi olabilir. Bir dosya yada klasör için bu kullanıcı ve üyesi olduğu gruplara izinler atamış olabilirsiniz. Bu türden izin karmaşasını bir çok admin yaşayabilir. NTFS izinleri cumulative’dir. Yani izinlerin toplamıdır. Bir dosya yada klasör üzerinde bir grubun veya kullanıcının hangi izinleri olduğunu görebilmemiz için effective permissions tabı bize büyük kolaylık sağlar. Bu tabda : - O klasör veya dosyadaki tüm izinler hesaplanır ve geçerli olan izin belirlenir. Burası read only dir. Yani sadece toplam izinlere bakabiliriz. İzinler üzerinde değişiklik yapabileceğimiz bir yer değildir. - Dosya izinlerinin klasör izinlerine göre önceliği vardır. Bir çakışma durumunda dosya izinleri geçerli olur. - Administrator bir dosya yada klasör üzerinde izinlerle oynaması gerekiyorsa sahipliğini alması gerekir.
  • 62.
    S a yf a | 61 Şekil 58: Effective Permissionlar için, select butonunu kullanarak hangi kullanıcının yada group’un effective izinlerini görmek istiyorsak onu seçmemiz gerekir. Sahiplik (Ownership): Genelde bir dosya yada klasörü yaratan o dosya veya klasörün sahibidir. Default olarak server 2003’de owner Administrators grubudur. Owner bir nesne üzerinde deny izni olsa bile izinleri değiştirme yetkisi vardır. - Administrator, sahipliği alabilir ve herhangi bir kullanıcıya Group Policy üzerinden Take ownership of files or other objects hakkını vererek o kullanıcıya sahiplik alma yetkisi verebilir. - Take ownership izini olan kullanıcı yada grouplar sahiplik alabilir. - Restore files and directories ayrıcalığı olan kullanıcı sahiplik alabilir. Şekil 59: Şu an bu klasörün sahibi Administrators grubu. Başka bir kullanıcı yada grubu bu klasörün sahibi yapmak için Other Users or Groups butonuna tıklayıp listeye ekledikten sonra, Replace owner on subcontainers and objects kutucuğunu işaretleyip ok butonuna tıklayın.
  • 63.
    S a yf a | 62 Share Permissions ve NTFS Permissions Birlikte kullanımı : Network kaynaklarına erişilmesine izin verilecekse, yapılacak iş şu: En kısıtlı NTFS izinleri uygulayarak dosya veya klasörlere erişimi kontrol etmek, shared folder izinlerinde de en kısıtlayıcılarını kullanarak networkten erişimi denetlemek. NTFS izinleri local erişim veya networkten erişenler için uygulanabilir. Her iki izinlerde uygulandığı takdirde kullanıcı veya gruplar için geçerli olan toplam izin en kısıtlayıcı olan olacaktır. Tavsiye edeceğim yöntem ise Shared folder izinlerinde cömert davranın NTFS izinlerinde kısıtlamalara gidin. Paylaşıma Açılmış Dosyaların Offline Caching ile Erişimin Yönetilmesi : Bu özellik sayesinde networke bağlı olmadığınız zamanlarda da dosyaları okuyup değişiklikler yapabilirsiniz. Kullanıcı networkten çıkmak için log off dediği zaman, clienttaki işletim sistemi gerekli offline dosyaları kendi bilgisayarının cache’ine aktarır. Kullanıcı cache’deki dosya ile çalışmaya devam eder. Kullanıcı Log on olduğunda veya networke dahil olduğunda offline dosyalar otomatik olarak senkronize edilir. Eğer her iki taraftaki dosyalarda değişiklik yapılmışsa size hangisini koruyacağınız ile ilgili bir mesaj çıkaracaktır. Eğer aynı anda iki kullanıcı offline dosya üzerinde değişiklik yapmışsa senkronizasyon da bir versiyon kaybedilebilir. Mobile kullanıcılar için uygundur. Network için performans avantajı sağlar. Shared folder da 3 adet seçeneğimiz var : - Manuel caching of documents: Default olan seçenektir. Burda sadece dosya ve programları caching yapabiliyoruz. Klasör sadece dosyalardan oluşuyorsa ideal bir seçimdir. - Automatic caching of Documents : Burda tüm dosya ve programlar otomatik olarak cache edilir. - Automatic caching of Programs : Programları otomatik olarak cache’e atar. Dosyalar varsa değiştiremezsiniz. Network trafiğini azaltır. Çünkü direk olarak açılırlar. Shared Folderda read izininizin olduğuna emin olun.
  • 64.
    S a yf a | 63 Şekil 60: Klasörün sharing tabında cahing butonuna tıklayın. Şekil 61: Caching seçenekleri
  • 65.
    S a yf a | 64 MODULE 5 Implementing Printing Server 2003, administratorlara printer’ları kurma ve yazıcı kaynaklarını yönetme konusunda merkezi bir yer sağlar. Ayrıca Windows 95, Windows 98, Windows NT yüklü bilgisayarlarıda network printerları kullanabilmeleri için konfigüre edebiliyoruz. Printing Terminolojisi : - Print Job : Printera gönderilen her türlü döküman Printer : Print Device ile bilgisayar arasında iletişimi sağlayan yazılım Print Device : Basım işlemini yapan fiziksel aygıt Printer Driver : Print device’ın sürücüleri Print Spooler : Print işlemi için dökümanları alıp, işleyen, zamanlamaya bağlayan ve dağıtan yazılım. Print Queue : Tüm print işlerinin sırada beklemesi Windows Server 2003 işletim sistemi yüklü olan bir makineye printer ekledikten sonra, Clientlar o printera ulaşabilirler. Hangi clientlar ulaşabilir : - Microsoft Clientlar : 16 bit lik Windows işletim sistemi çalışan clientlara ki buna MS-DOS da dahil, 16 bitlik printer sürücülerinin yüklenmesi gerekir. - Netware Clientlar : Netware kullanıcılarının, Printerdan faydalanabilmeleri için Server 2003 üzerinde Microsoft File and Print Services for Netware’in yüklenmiş olması gerekir. Ayrıca IPX/SPX protokolünün hem client’a hemde server 2003 üzerinde yüklenmiş olması gerekir. - Macintosh Clientlar : Mac kullanıcılarının, print edebilmeleri için Server 2003 üzerinde Microsoft Print Services for Macintosh servisinin yüklenmiş olması gerekir. Ayrıca Print servera ve clientlara AppleTalk protokolünün de yüklenmesi gerekir. - Unix Clientlar : Unix kullanıcıları için Server 2003 üzerine Microsoft Print Services for UNIX servisinin yüklenmiş olması gerekir. - Internet Printing Protocol (IPP) 1.0 destekleyen Clientlar : HTTP üzerinden Server 2003 deki printerdan çıktı alınabilir. Bunun için Server 2003 üzerine IIS ‘in kurulması gerekir. Server 2003’de Print işleminin Çalışması : Network adaptör vasıtasıyla networke bir printer taktığınız zaman print işlemini iki şekilde uygulayabilirsiniz : - Print server kullanmadan printerları kullanıcılara eklemek. - Printer’ı print servera bağladıktan sonra kullanıcıları print server aracılığıyla print almasını sağlamak. Print server kullanmadan, workgroup ortamında kullanıcıların printerları, kendi Printers and Faxes klasörüne eklemelerinin dezavantajları nelerdir : - Kullanıcılar printer’ın o anki durumunu göremezler. Kağıt varmı yokmu, printer işlem yapıyormu gibi.
  • 66.
    S a yf a | 65 Her bilgisayarın kendi sırası vardır. Ve sadece o bilgisayardan gönderilen print işlemlerinin sırası görülebilir. Print device daki tüm sıra görülemez. - Sadece o andaki iş için kağıtın bittiği veya kağıtın sıkıştığı ile ilgili hata mesajları görülebilir. Bir bilgisayara bağlı printer için aslında o bilgisayar, print server gibidir. Fakat Macintosh ve Netware servislerini desteklemez ve 10 adet bağlantı sınırı vardır. Print Server kullanmanın avantajları : - - Print server, printer sürücülerini yönetebilir. Printera bağlanan tüm bilgisayarlar sırayı, kendi işlerinin hangi sırada olduğunu görebilir. Tüm bilgisayarlardan hata mesajları ve yazıcının durumu görünebilir. Printer olayları Auditing (Denetim) yapılabilir. Printer’ın Yüklenmesi ve Paylaştırılması : Ev kullanıcıları için printer yüklemesi genelde bilgisayarlarına direk olarak bağlı olan printerların sürücülerinin yüklenmesi şeklindedir. Fakat şirket ortamında, clientlar print serverlara bağlı olan printerları kullanarak print işlerini print device’lara gönderirler. Bu sayede adminler printerları ve printer sürücülerini merkezi olarak yönetebilirler. İki çeşit printer var: - Local Printer : Basitçe networkteki herhangi bir bilgisayara LPT veya USB portundan bağladığımız printerdır. Local printerlar, bir porta bağlı olan printer veya networke eklenmiş bir printer olabilir. - Network Printer : Başka bir bilgisayara bağlanmış printer veya bir print servera bağlanmış printer. Ip veya IPX/SPX protokolünü kullanarak print eden printerdır. Local Printer - Kullanıcılara yakındır. - Local Printerlar plug and play özelliği sayesinde otomatik olarak tanınır ve sürücüleri yüklenir. Dezavantajları - Her bir local printer’ın sürücüleri yüklenmek zorundadır. - Local printer, print işlem için daha fazla işlemci gücü yer. Avantajları Network Printer - Kullanıcılar kolay bir şekilde ulaşabilirler - Print device üzerinde fiziksel güvenlik daha azdır. - Local bilgisayarlar daha fazla çalışmak zorundadırlar. Eğer print server kullanacaksak, minimum donanım ihtiyacını karşılamadığımız takdirde print işlemleri verimli yapılamayacaktır. Peki neler gerekli print server için : - - Eğer şirketimizde print işlemleri çok yoğun olacaksa print server kullanmak ve bunun içinde Windows server 2003 işletim sisteminin herhangi bir sürümünü kullanmamız gerekir. Bu sayede print işlemlerini yönetebiliriz. Eğer print server çok fazla print işini ve printer’ı yönetecekse Ram takviyesi yapmamız gerekir. Print server üzerinde yeterli miktarda hard disk alanı olması gerekiyor ki print servera gönderilen işler print device’a gönderilmeden evvel print serverda tutulabilsin.
  • 67.
    S a yf a | 66 Şekil 62: Printers and Faxes klasöründe Add Printer dediğimiz zaman karşımıza Add Printer Wizard çıkacaktır. Şekil 63: Local Printer seçeneğini işaretliyoruz. Printerı, Xp’nin kendisinin bulmasını istiyorsak Automatically detect and install my Plug and Play printer seçeneğini işaretlememiz gerekiyor. Next butonuna tıklıyalım Şekil 64: Use the following port seçeneğinde printerımızın takılı olduğu portu seçip next butonuna tıklıyoruz.
  • 68.
    S a yf a | 67 Şekil 65: Eğer printer başka bir porta takılı ise Create a new port seçeneğini işaretliyip TCP/IP portu veya başka bir Local Port seçebiliriz. Şekil 66: LPT1 Portunu seçtiğimizi düşünürsek, bir sonraki ekranda eğer XP’de bu printerımızın sürücüleri varsa bu ekrandan seçip sürücülerini yükleyebiliriz, yoksa Have Disk butonuna tıklayarak printer ile birlikte gelen sürücüyü yüklememiz gerekir.
  • 69.
    S a yf a | 68 Şekil 67: Printerımızı listeden seçtikten sonra isim veriyoruz yada Xp’nin verdiği ismi kabul ediyoruz. Şekil 68: Printerımızı paylaştırmak istiyorsak bir Share name seçip isimlendiriyoruz. Şekil 69: Ek bilgileri giriyoruz. Burada tavsiyem, mümkün olduğunca fazla bilgi girmeniz. Bu sayede AD içinde kullanıcılar arama yaptırdıklarında specific aramalarla printerları bulabilirler.
  • 70.
    S a yf a | 69 Şekil 70: Test sayfası bastırmak istiyorsanız Yes diyoruz. Şekil 71: Ve Finish Eğer TCP/IP portunu seçmiş olsaydık : Şekil 72: Karşımıza bir sihirbaz gelir.
  • 71.
    S a yf a | 70 Şekil 73: Printer ismi veya IP adresini yazmamız yeterli Şekil 74: Finish butonuna tıklayarak bitiriyoruz. Bir network printer’ı eklemek isteseydik : Şekil 75: Network printer seçeneğini işaretliyoruz.
  • 72.
    S a yf a | 71 Şekil 76: AD içindeki bir printer’ı ilk seçenekteki gibi AD içinde aratarak bulabiliriz veya biliyorsak ismini UNC yolunu yazarak ekleyebiliyoruz. Shared Printer İzinleri : Bir çok firmada eğer kullanıcı sayısı ve print işlemleri az ise printerlar üzerinde güvenliğe önem verilmez. Fakat bazı printerlarda sıkı bir güvenliğe ihtiyaç vardır. Güvenliğini sağlayacağınız printerdan ödemelerle ilgili veya şirket teklifleri ile ilgili çıktılar yada çok büyük dosyaların çıktıları alınıyor olabilir. Bu yüzden gerekli insanlara yeterli miktarda izinler vermeniz gerekir. Default olarak herkesin printera ulaşıp print edebilme izini vardır. Çünkü bir printer’ı paylaşıma açtığınız zaman, default olarak everyone grubunun print izini vardır. Fakat bunu her zaman için istemeyebilirsiniz. Bazı printerlara herkesin ulaşması ve çıktı alması sakıncalı olabilir. Sadece belli gruplar çıktı alabilir diyebilirsiniz. Paylaşıma açılmış bir printerın izinlerini printer’ın security tabından ayarlayabilirsiniz. 3 adet standart printer izinimiz vardır. Standart printer izinleri haricinde de 3 adette özel (Special) printer iznimiz var. Standart Printer izinleri : - - - Print : Bu izin ile kullanıcılar yazıcıya bağlanabilir, yazdırılacak belgeleri gönderebilir. Kendi yazdırma işini yönetebilir. Ama kuyruktaki diğer sıralara müdahale edemez. Everyone grubunun default olarak print izini vardır. Manage Printers : Printer izinlerindeki Full Control’dür. Yazıcı üzerinde tam denetim sağlar. Yazıcı üzerindeki izinleri, özelliklerini değiştirebilir ve sahipliğini alabilir, başkasına sahiplik verebilir. Diğer kullanıcıların printera gönderdiği kuyruktaki print işlerini durdurabilir, silebilir, tekrar başlatabilir. Manage Documents : Kuyruktaki belgeleri durdurabilir, pause yapabilir, iptal edebilir, sıralarını değiştirebilir, belge yazdırmalarına izin verebilir.
  • 73.
    S a yf a | 72 Standart izinler haricinde Özel (special) izinlerde 3 tanedir. - Read Permissions : Kullanıcıların izinleri görebilmesini sağlar. Change Permissions : Kullanıcıların izinleri değiştirebilmesini sağlar. Take Ownership : Printer’ın sahipliğini almasını sağlar. Server 2003 de default olarak 6 gruba printer izinleri verilmiştir. Group Print Manage Documents Manage Printers Administrators X X X Creator Owner X Everyone X Power users X X X Print Operators X X X Server Operators X X X Bir printer’ı paylaşıma açtığınız zaman default olarak herkes print edebilir. Bunun haricinde istediğiniz grup yada kullanıcılara gerekli izinleri verebilirsiniz. Şirketteki herkese print izini verip yöneticilere ekstradan print ve manage documents izini verebilirsiniz. Böylece yöneticiler printer’a gönderilen dökümanların sıraları ile oynayabilirler. Yada Printer’a erişmesini istediğiniz bir gruba izinler verirken o gruba üye olan bir kullanıcının erişmesini istemiyorsanız o kullanıcıyı ayrı olarak ekleyip Deny verebilirsiniz. Şekil 77: Share Printer izinlerine, printerın özelliklerinden Security tabından ulaşabilirsiniz.
  • 74.
    S a yf a | 73 Printer için özel izinlere ulaşmak içinde : Şekil 78: Bir önceki ekrandan advanced butonuna tıkladıktan sonra, Permissions tabından Edit butonuna tıklıyoruz. Şekil 79: Ve karşınızda special share printer izinleri.
  • 75.
    S a yf a | 74 Printer Driver : Bilgisayar programlarıyla printer arasında iletişimi sağlayan yazılımdır. Driverlar bilgisayardan printera gönderilen komutları printer’ın anlayacağı dile çevirir. Yazdırmanın nasıl gerçekleştiği kullanılan drivera bağlıdır. Printer Driverlar için iki ana data türü vardır. - EMF (Enhanced Meta File) : EMF, Printer Control Language (PCL) sayfa tanımlama dilini kullanır. EMF belgeleri, print servera minimum düzeyde işlenerek gönderir ve işlemlerin geri kalanı Print serverda gerçekleştirilir. - RAW : RAW genelde Post script tanımlama diliyle kullanılır. RAW belgeler, print servera gönderilmeden evvel clientlarda tamamen işlenir ve print server tarafından değiştirilmez. Printer sürücülerinde 3 çeşit dosya vardır: - Konfigürasyon yada printer interface dosyası. Bu dosyalar .dll uzantısına sahiptir. Server properties penceresinde görünürler. Şekil 80: Printer Driverlarına bakmak için, sol taraftaki server properties seçeneğine tıklayın Şekil 81: Print server properties penceresinden, Drivers tabında printer’ı seçtikten sonra Properties butonuna tıklayın.
  • 76.
    S a yf a | 75 Şekil 82: Print device sürücü ayrıntıları - - Data Dosyaları : Printer’ın özelliklerini barındırır. Çözünürlük, çift taraflı yazdırma özelliği veya desteklediği sayfa boyutu gibi. Bu dosyalar, .dll, .pcd, .gpd veya .ppd uzantılarını alabilir. Printer grafik sürücü dosyaları. Bu dosya, Device Driver Interface (DDI) komutlarını printerın anlayacağı dile dönüştürür. Her sürücü farklı bir yazıcı diline çevirir. Mesela Pscript5.dll dosyası postscript diline dönüştürür. Bu dosyalar .dll uzantılıdır. Printer driverlarını, Printer’ın özelliklerinden advanced tabından add printer diyerek veya Printers and Faxes penceresinde sol tarafta server properties seçeneğinden de yükleyebilirsiniz. Şekil 83: Yeni bir sürücü eklemek için Printerın üzerine sağ tuşla tıklayarak properties seçeneğine tıklayın. Çıkan pencerede, Advanced tabında New Driver diyerek, yeni sürücü ekleyebilirsiniz. Veya
  • 77.
    S a yf a | 76 Şekil 84: Print Server Properties penceresinden Drivers tabında Add diyerek sürücü ekleyebiliriz. Printer Locations : Printer Locations, printerın fiziksel yerini belirtir. Printerların fiziksel yerlerini belirterek AD içinde publish edilmiş olan printerları yerlerine göre arama yapabiliriz. Bu sayede client kendine en yakın olan printer’ı yada aynı subnette olan printer’ı bulabilir ve ondan çıktı alabilir. Printer locations’ı uygulamadan evvel server 2003 networkünde olması gerekenler : - AD, en az bir site ve iki yada daha fazla subnetten oluşması gerekir. - IP adresimiz ve printerın IP si aynı subnette olması gerekiyor - Herbir subnet için subnetin nesneleri belirtilmeli - Client bilgisayar AD içinde search yapabilmeli.
  • 78.
    S a yf a | 77 MODULE 6 Managing Printing Print Spooler : Print spooler, yazdırma işlerini yöneten executable bir dosyadır. Bir servis olarak arkada çalışır. Sistem açıldığında yüklenir ve kapatılana kadar çalışmaya devam eder. Print spooler, print edilecek dosyayı alır, harddiskte depolar, işler ve printer’a gönderir. İsterseniz bu işlemin log’unuda tutabilirsiniz. Print işlemi için bekleyen dosyalar bir klasörde tutulur. Bu klasör default olarak <%System root%> System32 Spool Printers klasörüdür. Eğer print serverımız 1-2 printerla ve düşük iş hacmiyle çalışıyorsa spool folderımızın yeri kafidir. Yok eğer çok fazla printerımız var ve iş hacmimizde çok fazlaysa spool klasörümüzün yerini değiştirmemiz gerekir. En iyi sonuç ayrı bir controllera takılmış Hdd’ye taşımaktır. Print spooler’ın yerini değiştirmek isteriz dedik. Bunu hangi koşullarda yapacağımızı açalım : - Performansı artırmak : Print serverlarda yeterli miktarda disk alanı ve ram olmalı. İdeal olanı en az iki disk. Bunlardan biri, İşletim sistemi ve page dosyası için, diğeride spool folder için. Böylece işletim sistemi ile spool folder’ı ayırmış oluruz, bu da performansı artırır. - Disk alanı sıkıntısını çözmek : Bazı dökümanlar büyük miktarlarda yer kaplarlar, resim dosyaları veya 3 boyutlu grafikler gibi, buda eğer spool folderımız işletim sisteminin olduğu yerde ise swap dosyaları (Page File) için sorun çıkarabilir. Windows swap dosyasına yazacak kadar yeterli yer bulamayacaktır. - Boot partitiondaki fragmantasyonu (Bölünmüş, kırık parçalar) azaltmak : Bir dosyayı printer’a gönderdiğinizde bir spool dosyası yaratılacak ve iş bittikten sonra da silinecektir. Bu, bir gün içinde yüzlerce yada binlerce kez olursa fragmantasyona neden olur. - Güvenliği garanti eder : Hassas datalarla işlem yapılıyorsa spool folder’ın audit yani denetlemesini yapabilirsiniz. Başka bir diskte olduğu takdirde işi bitip de silinmeyen işler parent folder’ından güvenlik izinlerini miras olarak almalarını önleyebilirsiniz. - Disk kotalarını yönetebilirsiniz : Disk kotaları uygulayarak kullanıcıların boşu boşuna print server da disk alanı kullanımını engellemiş olursunuz. Kota dolduğu zaman sıradaki işin printerdan çıkmasını bekleyecektir. - Güvenirlik artar : Genelde boot partition’ı, RAID 1 (Mirroring) üzerinde bulunur. Performance ve dataları kurtarabilme açısından spool folder’ı RAID 5 olan volume’a kaydırabilirsiniz. Spool klasörünü, Printers and Faxes penceresinde soldaki Printer Tasks bölümünde veya file menüsünde bulunan server properties seçeneğinden değiştirebilirsiniz. Spool folder’ı değiştirirken folder içinde print için bekleyen işlerin olmadığına emin olun. Varsa işler bittikten sonra yerini değiştirin.
  • 79.
    S a yf a | 78 Şekil 85: Server Properties penceresine ulaşmak için , sol taraftaki Printer Tasks bölümü içinden veya File menüsünden veya boşluğa sağ tuşla tıkladığımızda çıkan menüden ulaşabiliriz. Şekil 86: Server Properties penceresini açtıktan sonra Advanced tabından Spool Klasörünün yerini değiştirebiliriz. Printer Priorities (Print Önceliği) : Priority kullanarak printerda işlenecek işlerin sırasını değiştirebilirsiniz. Normal olarak Printerda basım işleri gönderilme sırasına göre yapılır. Tek bir print device için iki printer (arayüz) ayarlamışsak bunlar arasında basım önceliğinide ayarlamak isteyebilirsiniz. Birden fazla printer aslında tek bir print device’ı gösterir. Bu printerlar arasında da öncelik ler ayarlayıp yüksek önemdeki çıktılar düşük önceliktekilere göre ön sıraya geçecektir. Yüksek öncelikteki print işleri ilk yazılır. Fakat print device da basıma başlanmış olan iş, yarıda kesilmez. Print device alınmış iş bittikten sonra öncelikler devreye sokulur.
  • 80.
    S a yf a | 79 Bu işlem için yapmamız gerekenler : - İki yada daha fazla aynı print device dan –aynı porta bağlı olan- iki tane printer yaratıyoruz. Print device’a bağlı olan printerların herbirinin önceliğini gruplar yada kullanıcılar için ayarlıyoruz. Öncelikleri 1 ile 99 arasında ayarlıyabiliyorsunuz. 99 en yüksek önceliğe sahip olan değerdir. Şekil 87: İki tane printer yarattım ve her ikiside LPT1 portuna bağlı printer (Print device değil). İkiside aynı cihazı gösteriyor aslında. Bu aşamadan sonra bunlardan birinde priority ayarı yapacam. Şekil 88: Bir tanesinde Öncelik ayarının yapılması. Bu print device’ın önceliğini 2 olarak ayarlıyim. Sonrada bunun izinleri ile oynamam gerekiyorki herkes bu yüksek öncelikli printerdan çıktı almasınlar.
  • 81.
    S a yf a | 80 Şekil 89: Önceliğini 2 olarak ayarladığım printerdan sadece Muhasebe grubu üyelerinin çıktı almasını istiyorum. Başka hiç kimse çıktı alamaz. Print İşlemlerini Zamana Bağlamak : Yazım işlemini zamana bağlama nedenlerimiz : - - Gün boyunca ağır bir yazdırma trafiği varsa ve bu trafiği iş saatleri dışına taşımak istiyorsanız basım işlemlerini zamana bağlıyabilirsiniz. Sonuçta uzun raporlar, grafiksel dökümanlar veya CAD dökümanları printerlardan çıkması uzun zaman alacaktır. Uzun dökümanlar için iş saati dışında bir zamana ayarlamışsanız spooler gelen dökümanları kabul eder ve zamanlama işlemini yürütür. Bir print device’ı kimse çalışma saatler dışında kullanmak istemez. Bu yüzden iki printer oluşturup, birini çalışma saatleri dışında diğerinide çalışma saatlari içinde print etmesini söylersiniz ve kullanıcılara da bunu bildirirsiniz. Uzun dökümanlarınızı şu printerdan çıkarın diye. Zamana bağlanmış Printerlar için dikkat edeceklerimiz : - Printer’ın iş saatlerinde kimlerin print edebileceğini belirtin. Ayı porttan iki tane printer yaratın, grupları ve userları print iziniyle atayın ve zamana bağlayın. Bir çok kullanıcı, print deviceların hazırda kullanılabilir olmasına alışıktır. Eğer belirtmezseniz print zamanlarını, help desklere çok iş düşecektir. Bu arada spool klasöründe iş saatleri dışına ayarlanmış işlerin tutulacağı kadar yer olduğundan emin olun.
  • 82.
    S a yf a | 81 Şekil 90: Bu printerdan iki tane yaratıp, her biri için farklı zaman ayarları yapabiliriz. Printing Pool : Printing pool, tek bir printer (arayüz ve sıra) ile birden fazla fiziksel print device’ın kullanılmasıdır. Pool oluşturduktan sonra kullanıcı print işlemine başladığında hangi print device boştaysa ona yazdırılır. Bu sayede yazdırma işlemi yoğun olan print device atlanarak havuzda boş olan diğer print device’a print işlemi gönderilir. Pooling işlemini gerçekleştirebilmek için print device’ların aynı drivera sahip olması gerekir. Yani aynı üretici ve aynı model olması gerekir. Şekil 91: Printer pooling için tek yapmanız gereken Enable printer pooling seçeneğini işaretlememizdir. İşaretledikten sonra yukarda birden fazla portu seçebiliyorsunuz.
  • 83.
    S a yf a | 82 Bir yazıcının özelliklerinde advanced tabındakiler : - - - - Spool Print Documents So Program Finishes printing faster : Print işlemleri print serverda biriktirilerek, clientların yazdırma işini hızla tamamlayıp diğer görevleri gerçekleştirebilmesini sağlar. Start Printing After last page is spooled : Belgenin tamamını spoolda biriktirip yazma işlemine bundan sonra geçmesini sağlar. Start Printing immediately : Print device kullanımda olmadığında print işleminin hemen başlatılıp yazdırma süresini azaltır. Print directly to the Printer : Spool’u kapatarak, belgeyi doğrudan printera gönderir. Bu seçenek print işleminin performansını düşürür. Spoolda bir sorun olduğunda print işleminin devam etmesini istiyorsanız kullanın. Host mismatched documents : Bozuk sayfaları basmaz. Print spooled document first : İlk önce spool yapılmış dökümanları basar. Keep Printed documents : Eğer aynı döküman gün içinde birden fazla yazıcıya yollanacaksa, bunların devamlı spool yapılmasını engellemek amacıyla ilk spool yapıldıktan sonra, yazım işi tamamlanınca disk üzerindeki spool bilgilerini silmeyerek tutar. İkinci ve sonraki yazım işleri daha hızlı gerçekleşir. Enable advanced printing features : Yazıcının gelişmiş özellileri aktif hale getirilir. Şekil 92: Print device’ın özelliklerinden advanced tabı. Bir yazıcının özelliklerinde advanced tabında Print Processor butonu : Her printerda bir print işlemcisi bulunur. Windows sistemlerinde default yazdırma işlemcisi winprint’dir. Diğer yazdırma işlemcisi printer kurulurken yüklenebilir. Print Processor ve varsayılan veri türü, yazıcının ne kadar işlem gerçekleştireceğini belirler.
  • 84.
    S a yf a | 83 Şekil 93: Print Processor butonuna tıkladıktan sonra çıkan pencere Bir yazıcının özelliklerinde advanced tabında Seperator Page butonu : Yoğun çalışan bir yazıcıda yada spool kullanılan yazıcıda çıkan dökümanlar arasında kullanıcıların kendi dökümanlarını bulabilmesi için ayırıcı sayfaları kullanabilirsiniz. Default olarak yazıcılar ayırıcı sayfaları kullanmazlar. Server 2003, 4 adet ayırıcı sayfa içerir. Bunlar system32 klasöründe saklanır. ASCII formatında olduğundan notepad ilede açabilirsiniz. - Pcl.sep : Print device’ı PCL moduna ayarlar ve her belgenin öncesinde bir ayırıcı sayfa yazdırır. Ayırıcı sayfa, yazdırma işinin kimliğini, tarihini ve saatini gösterir. - Pscript.sep : Yazıcıyı postscript moduna ayarlar. Ancak bir ayırıcı sayfa yazdırmaz - Sysprint.sep : Yazıcıyı postscript moduna ayarlar ve her belgenin öncesinde bir ayırıcı sayfa yazdırır. Ayırıcı sayfada, belgenin kimin tarafından yazdırıldığını ve ne zaman yazdırıldığını belirten bir üst bilgi vardır. - Sysprtj.sep : Postscript sayfa tanımlama dilini kullanır ve sysprint.sep dosyasından farklı olarak, bir, üst bilgi metni kullanan alternatif bir sürümdür. Şekil 94: Printer'ın özelliklerinden Advanced tabında en altta Seperator Page butonuna tıklayın
  • 85.
    S a yf a | 84 Şekil 95: Sperator Page sayfasından Browse butonun tıklayın Şekil 96: .sep uzantılı dosyalar seperator sayfalarıdır. Server properties daki advanced tabı : - Log spooler error events : Event viewer’a hata olaylarını yazar - Log spooler warning events : Event viewer’a uyarı olaylarını yazar - Log spooler information events : Event viewer’a bilgi olaylarını yazar. - Beep on errors of remote documents : Clientlara dokümanın yazılmasında başarısızlık olduğu zaman notification bölgesinde baloncukla uyarı çıkarır. - Show informational notifications for local printers : Print servera gönderilen tüm işlerin durumunu print işlemini gönderen kullanıcının bilgisayarında görüntüler. - Show informational notifications for Network printers : Bu bilgisayardaki kullanıcılar tarafından diğer print serverlardaki print işlerinin durumunu görüntüler - Notify when remote documents are printed : Windows 95,98 ve NT kullanıcılarına print işleminin tamamlandığına dair bildiri gönderir. - Notify computer, not user when remote documents are printed : Windows 95,98 ve NT clientlarında uyarıyı belli bir kullanıcıya değil print işleminin yapıldığı bilgisayara gönderir.
  • 86.
    S a yf a | 85 Şekil 97: Server Properties penceresinde Advanced tabı Server Properties daki Forms Tabı : Formlar, print serverlar tarafından kağıt, zarf ve slaytların standart boyutunu tanımlamak için kullanılır. Önceden tanımlı formları kullanabileceğiniz gibi kendinizde yeni bir form oluşturabilirsiniz. Şekil 98: Server Properties penceresinde Forms Tabı
  • 87.
    S a yf a | 86 MODULE 7 Managing Access to Objects in Organizational Units AD Nesne İzinleri : AD’de her nesneye ait, hangi hesapların nesnelere erişimi olduğunu ve ne tür bir erişime izin verileceğini belirten bir güvenlik açıklaması vardır. Server 2003, bu açıklamaları kullanarak nesnelere erişimi kontrol eder. AD nesne izinleri, administrators grubunun yada kullanıcıların, nesnelere veya nesne özelliklerine erişimini ve ne tür bir erişime izin verileceğini kontrol edilmesini sağlar. Yani OU’lara veya kullanıcı ve gruplara yönetimsel haklar atayabilmek için bu izinleri kullanırız. Standart izinler, en sık kullanılan izinlerdir ve içinde Special (özel) izinleride barındırır. Special izinler, nesnelere erişimi kontrol etmek için daha üst seviye izinlerdir. Standart izinler : - Full Control : Kullanıcı, izinleri değiştirebilir, sahipliği alabilir ve diğer izinlerle belirlenen tüm görevleri yapabilir. Write : Nesnenin özelliklerini değiştirebilir Read : Nesneye, nesne özelliklerine, nesnenin sahibine ve izinlere bakabilir Create All Child Objects : Bir container’a nesne ekleyebilir Delete All Child Objects : Bir container’dan nesneleri silebilir Şekil 99: AD nesne izinlerini görebilmek için View menüsünden Advanced Features seçeneğini aktif hale getirmek gerekiyor.
  • 88.
    S a yf a | 87 Şekil 100: AD içinde herhangi bir nesnenin izinleri Administrator veya nesnenin sahibi, kullanıcılara erişim için izin vermek zorundadır. Server 2003 işletim sistemi DACL (Discretionary Access Control List) adı verilen, kullanıcıların izinlerini barındıran bir liste içerir. Bir nesnenin DACL’sinde nesneye kimlerin erişebileceği ve hangi kullanıcıların nesne üzerinde neler yapabileceği yazılıdır. AD nesne izinleri ve NTFS izinleri bazı karakteristik izinler haricinde birbirine benzerler. AD izinleri Allow veya Deny olabilir, Direk veya dolaylı deny verilebilir, standart veya special izinler verilebilir, nesne bazında veya miras yoluyla izinler verilebilir. Allow veya Deny izni verebilirsiniz dedik. Deny izninin her zaman üstünlüğü vardır. Deny iznini gerekli olduğu yerlerde kullanın. Örneğin gruba izin vermişsiniz ama o gruptaki bir kişiye o izini vermiyecekseniz, o kişiye Deny verebilirsiniz. Bir işlemi yapmak için açık bir şekilde izin verilmemişse dolaylı olarak deny verilmiştir. Bir gruba bir nesne için read izni verilmiş ise dolaylı olarak bu grup haricindekilere deny izini verilmiştir. İzinlerin Miras olarak Aktarılması : Parent object, child denilen, altındaki diğer nesnelerle ilişkisi olan nesnedir. Child object, parent dan yani üstündeki nesneden izinleri miras olarak alır. Bu sayede yönetimsel olarak yapacağımız işlerin süresini azaltmış oluyoruz. Faydaları : - Yeni bir child nesne yarattığımızda onun için oturup izin ayarlamamıza gerek yok - Parent objeye yeni bir izin eklediğimizde child’larada bu izin uygulanacaktır. - Containerdaki tüm nesnelerde izin değişikliği yapacaksak parentta yapmamız yeterli
  • 89.
    S a yf a | 88 Şekil 101: AD nesne izinlerinde yukardan gelen mirası engellemek için kutucuğu temizlemek gerekir. İzinlerin Mirasının Nesneler Üzerinde Değiştirilmesi : AD’deki bir nesnede yapacağımız değişiklikler izinlerin mirasınıda etkiler. Mesela bir nesneyi bir OU’dan alıp başka bir OU’ya koyarsak nesnenin mirasınıda etkileyecektir. Bir nesneyi OU’lar arasında taşırsak ne olur : - Nesneye direk olarak (Sonradan) verilmiş izinler aynen kalır Gittiği OU’dan izinleri miras olarak alır. Geldiği yerden miras yoluyla aldığı izinler geçersiz olur. İsterseniz izinlerin parenttan miras olarak alınmasını engelleyebilirsiniz. Bu sayede izinleri kopyalayabilirsiniz. Yeni izinler açık bir şekilde yani direk olarak verilmiş olur. Kopyalanan izinler miras olarak gelen izinler olacaktır. Kopyaladıktan sonra izinler üstünde gerekli değişiklikleri yapabilirsiniz. Remove seçtiğiniz zamanda nesne üzerindeki tüm izinleri silmiş olursunuz. Bu aşamadan sonra yeni izinler girebilirsiniz. AD Nesneleri üzerindeki Efektif İzinler : User yada Group’un AD nesnesindeki izinlerinin kombinasyonudur, toplamıdır. Kümülatif izinlerdir. Efektif izinler, kullanıcı veya gruba verilen izinleri ve group üyeliklerinden ve parentlardan miras olarak gelen her türlü izinleri hesaplar. Karakteristik özellikleri : - Kümülatif izinler, kullanıcı ve gruplara verilen AD izinlerinin kombinasyonudur. - Deny izini, tüm miras olarak gelen izinlerin üzerindedir. Açık bir şekilde verilen izinler önceliklidir. - NTFS de olsun AD de olsun her nesnenin bir sahibi vardır. Sahip, nesne üzerindeki izinleri kontrol edebilir ve istediğine izinler verebilir.
  • 90.
    S a yf a | 89 Default olarak Server 2003 işletim sistemlerinde owner Administrators grubudur. Owner isterse nesne üzerinde başka kullanıcıya Take Ownership izni verebilir. - Domain adminleri, tüm nesneler üzerinde üyelik bilgilerini okuyabilirler. Bir client bilgisayar üzerindeki veya stand-alone server üzerindeki local adminler, bir domain kullanıcısının üyelik bilgilerini okuyamazlar. Pre-Windows 2000 mode’daki bir domainde, authenticated domain kullanıcıları üyelik bilgilerini okuyabilirler. Şekil 102: Satis OU’su üzerinde sinan isimli kullanıcının efektif izinleri OU’larda Yönetimsel Hakları Devretmek : Delegation of Control, AD nesnelerinin yönetimini, sorumluluğunu başka bir kullanıcı yada gruba vermektir. Delegate control sayesinde geniş yetkilere sahip birden fazla yönetimsel hesapları elimine etmiş olursunuz. Devredebileceğimiz controller : - OU’lar içinde nesne yaratma ve silme izinleri - Bir nesnenin özelliklerini değiştirme izinleri. Bir kullanıcı hesabının sıfırlanması gibi. AD’de yönetimsel hakları devrederek, rutin yönetimsel işleri üzerimizden atabiliriz. Domain veya forest çapında güvenilir kişilere devredebiliriz. Delegate ile belli bir group’a kendi network kaynaklarını kontrol etmelerini sağlayabilirsiniz.
  • 91.
    S a yf a | 90 Yönetimsel hakların devrini 4 şekilde yapılabilir :     Belli bir OU veya domain içindeki tüm nesnelerin değiştirilmesi veya yaratılması Belli bir OU veya domain içindeki bazı nesne çeşitlerinin değiştirilmesi veya yaratılması Belli bir OU veya domain içindeki belirli nesnelerin değiştirilmesi veya yaratılması Bir nesnenin belirli attribute’ları üzerinde değişiklik için izin verilmesi Delegation of Control Wizard : Yetki devri yapmak istediğimizde Delegation of Control sihirbazı kullanılır. Sihirbazı kullanarak kullanıcılara, OU’ların, nesnelerin kontrolünü ve nesnelere erişip üzerlerinde değişiklik yapabilmeleri için izinler verilir. Sihirbaz ile OU bazında izinler devredebildiğiniz gibi, nesne bazında da izinler verilebilir. Sihirbazı çalıştırmak için, OU’nun üzerine sağ tuşla tıklayıp Delegate Control seçeneğine tıklamamız gerekir. Delegation of control wizard ile bir çok ortak görevi devredilebilir ve bu işi sihirbaz ile yapmakta çok kolaydır. Bunun haricinde, ortak görevler üzerinde değişiklikler yapmak için yeni şablonlar yaratılabilir. Yeni şablon yaratmayı %systemroot%inf klasörü içindeki delegwiz.inf dosyasından yapılabilir. Bu dosya üç bölümden oluşur. İlk bölümde, versiyon imzası bulunur. İkinci bölümde, dosyada göründüğü sırayla template’lerin isimleri ve son bölümde template’ler bulunur. Bu dosyayı notepad gibi bir text editörü ile açabilirsiniz. Değişiklikleri yaptıktan sonra hazırladığınız dosyanın bir kopyasını alın. Çünkü service pack yüklemesi yaptığınızda bu dosyayı orijinal dosya ile değiştirebilir. Özel Management Konsollar ve Taskpad’ler : Yönetimsel görevi bir kişiye veya gruba devrettikten sonra, devrettiğimiz kişinin bu görevi yerine getirmesi gerekir. Özelleştirilmiş yönetimsel konsollar yaratarak, Active Directory’nin sadece kendisiyle alakalı olan kısmını görmesini sağlanabilir. Bu sayede Active Directory dizin yapısının karmaşıklığı ile kullanıcı karşılaşmamış olur. Örneğin, bir kullanıcıya sadece bir OU’daki kullanıcı hesaplarını yönetmesi görevini devretmişseniz, Active Directory Users and Computers konsolunda sadece yetkili olduğu OU’nun görünmesini sağlayacak özel yönetim konsolu hazırlanabilir. Taskpad’ler, kullanıcının bir görevi yerine getirmesini sağlayan, görev tabanlı özel yönetimsel konsollar sayesinde görevlerinin yönetimini kolaylaştırır. Eğer kullanıcı sadece diğer kullanıcıların şifrelerini sıfırlamak gibi bir görevi üstlenmişse, bu görevi yerine getirmesi için taskpad yaratarak basit bir arayüz ile bu işi yapması sağlanabilir. Özel yönetim konsolu hazırlamak için, MMC konsolundan Active Directory Users and Computers snap-in’i ekleriz ve görünümü kısıtlamak için, hangi bölüm ile ilgili özel bir konsol yaratacaksak o bölümün üzerine mouse ile sağ tuşla tıklayıp New Window Here seçeneğine tıklarız. Taskpad’ler yaratmak içinde, OU’nun üzerine sağ tuşla tıklayıp New Taskpad View seçeneğine tıklarız.
  • 92.
    S a yf a | 91 Kullanıcının, kendi bilgisayarında devredilen yönetimsel görevleri yapabilmesi için, kullanıcı bilgisayarında Active Directory Administrative Tool’ların yüklenmiş olması gerekir. Custom Management Console yaratılması : Şekil 103 : MMC konsolundan, AD users and Computers snap-in'i ekledikten sonra OU'nun üzerine sağ tuşla tıklayın. Menüden New Window from hereseçeneğine tıklayın. Şekil 104 : Kullanıcının yetkisine verilmiş olan OU için özel bir yönetim konsolu yaratmış olduk.
  • 93.
    S a yf a | 92 Taskpad yaratılması : Şekil 105 : Yarattığımız Yönetim konsolundan OU'nun üzerine sağ tuşla tıklayıp New Taskpad View seçeneğine tıklayın. Şekil 106 : New Taskpad Wizard bizi karşılayacak. Next'e tıklayın. Şekil 107 : Sağ taraftaki detay kısmının nasıl görüneceğini ve açıklamaların nasıl yazılacağını belirleyip Next butonuna tıklayın.
  • 94.
    S a yf a | 93 Şekil 108 : Taskpad içinde hangi öğelerin bulunacağını belirleyin. Şekil 109 : Taskpad'imize isim verelim. Şekil 110 : Finish diyerek Taskpad yaratma işlemini bitirelim.
  • 95.
    S a yf a | 94 Şekil 111 : Taskpad'imiz hazır. Sonradan taskpad üzerinde değişiklik yapmak istiyorsak, OU'nun üzerine sağ tuşla tıklayıp Edit'leyebiliriz. Yönetimin Devredilmesinin yapılışı : Şekil 112: AD’de delegate yapabilmek için, hangi OU’nun yönetimini devredeceksek o OU’nun üzerine sağ tuşla tıklayarak delegate control seçeneğine tıklamamız gerekiyor. Şekil 113: Karşımıza Delegation of Control Wizard çıkacak. Next’e tıklayalım.
  • 96.
    S a yf a | 95 Şekil 114: Add butonuna tıklayarak Satis OU’sunun yönetimini devredeceğimiz kullanıcıyı ekliyoruz. Next’e tıklayalım Şekil 115: Yönetimini devredeceğimiz görevleri seçelim. Burda password sıfırlamayı Ali isimli bir kullanıcıya devrediyorum. Şekil 116: Finish butonuna tıklayarak yönetim devrini tamamlıyoruz. Şimdi kullanıcı üzerinden kontrolü vermişmiyiz bakalım :
  • 97.
    S a yf a | 96 Şekil 117 : Kullanıcının özelliklerinden Security tabında kullanıcınınchange password izni olduğunu görüyorum. Birde OU üzerinden bakalım : Şekil 118 : OU'nun özelliklerinden Security tabında ali isimli kullanıcıyı görüyorum. Fakat bu yetmez. Advanced butonuna tıklayalım.
  • 98.
    S a yf a | 97 Şekil 119 : Permissions tabında ali isimli kullanıcının bu OU için reset password iznine sahip olduğunu görüyorum.
  • 99.
    S a yf a | 98 MODULE 8 Implementing Group Policy Group Policy Nedir ? Group Policy (GP), AD’deki kullanıcı ve bilgisayarları yapılandırmak için kullanılır. GP ayarları ile kullanıcıların çalışma ortamlarını tanımlayabiliriz, ekstra güvenlik ayarları yapabiliriz, uygulamaları konfigüre edebilir ve bunların davranışlarını belirleyebiliriz, kullanıcılara veya bilgisayarlara yazılım kurulumu yapabiliriz, scriptler atayabiliriz, folder redirection (Klasör Yönlendirme) yapabiliriz. GP ile amaç, merkezi bir yönetimin sağlanmasıdır. GP’leri, tüm domaine uygulayabileceğimiz gibi özel gruplara (OU) da uygulayabiliriz. GP’leri, Server 2000 ve Server 2003 işletim sistemi çalışan sunucularla, Windows 2000 ve XP Pro çalışan clientları yönetmek için kullanabiliriz. Windows NT, 95 ve 98 işletim sistemi yüklü bilgisayarları yönetmek için GP’leri kullanamıyoruz. İki tür Group Policy var : - System32 Group Policy klasöründe saklanan ve yalnızca belirli bir bilgisayar için geçerli olan Local Group Policy. Workgroup ortamındaki bir bilgisayarda sadece Local Group Policy’ler vardır. - AD Group Policy. Burada yaratılan policy’ler SYSVOL klasöründe tutulur. Bir domain oluşturulduğunda otomatik olarak iki adet AD Group Policy oluşturulur. o Default Domain Policy. Tüm domain için geçerlidir. o Default Domain Controller Policy. Domain Controller’lar için temel güvenlik yapılandırılmasında kullanılır. Group Policy’ler, yaratıldığında nesne olarak tutulurlar yani GPO olarak adlandırılır ve bir containerda tutulur. Şekil 120: Local Group Policy. Buraya MMC konsolundan ulaşabileceğimiz gibi Run’dan gpedit.msc yazarakta ulaşabiliriz.
  • 100.
    S a yf a | 99 Şekil 121: Local Group Policy’lerin tutulduğu klasör. Gizli bir klasördür. Tavsiyeler : - Default Domain Policy, yalnızca account policy’leri ayarlamak için kullanmalı diğer policy’ler için yeni bir GPO yaratıp domaine linklemeliyiz. Default Domain Controller Policy, kullanıcı hakları ve denetim ilkelerini ayarlamak için kullanmalıyız. Group Policy’ler sadece kullanıcılara ve bilgisayarlara uygulanır. Bunuda GP içindeki Computer Configuration ve User Configuration altklasörlerinden uygulayabiliriz. User Configuration : User Configuration altında, işletim sisteminin davranışları, masaüstü ayarları, güvenlik ayarları, yazılım assign veya publish etme, folder redirection, kullanıcı logon ve log off scriptleri bulunur. User Configuration, kullanıcı logon olduğunda uygulanır ve belli aralıklarla tazelenir. Software Settings : Kullanıcının hangi bilgisayardan logon olduğuna bakılmaksızın, yazılımların yüklenmesi, bakımı ve kaldırılmasını uygular. Windows Settings : Yine burdaki ayarlarda kullanıcının hangi bilgisayardan logon olduğuna bakılmaksızın uygulanır. Windows Settings altında, Folder Redirection, RIS, IE Maintenance, Scripts ve Security Settings alt klasörleri bulunur. Administrative Templates : Registry tabanlı ayarlardır. Computer Configuration altında yaptığınız değişiklikler Registry içinde HKEY_LOCAL_MACHINE (HKLM)’de tutulur. User Configuration altında yapılan değişiklikler ise HKEY_CURRENT_USER (HKCU) registry key de tutulur. Ayrıntısına inersek  HKEY_LOCAL_MACHINESoftwarePolicies (computer settings)  HKEY_CURRENT_USERSoftwarePolicies (user settings)  HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionPolicies (computer settings)  HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicies (user settings)
  • 101.
    S a yf a | 100 Hem User hemde Computer Configuration içinde Administrative Templates altında Windows Components, System ve Network alt klasörleri bulunur. Computer Configuration : Computer Configuration altındaki policy’ler, işletim sistemi yüklenmeye başladığında uygulanır. Burda da masaüstü ve işletim sisteminin nasıl olacağını, shutdown ve startup scriptleri, bilgisayara yazılım yüklenmesi ve kaldırılması, yazılımların ayarları ve güvenlik ilkeleri bulunur. Eğer User Configuration ile Computer Configuration arasında bir çakışma meydana gelirse computer configuration daki policy’lerdeki ayarlar geçerli olur. GPO Yaratmak için Tool’lar : Group Policy nesneleri yaratabilmemiz için MMC konsolundan Group policy Editor’u açabilmek haricinde başka toollardan da yararlanabiliriz. - Active Directory Users and Computers : Burasıda bir MMC konsoludur aslında ve buradanda GPO lar yaratıp düzenlemeler yapabiliriz. AD Users and Computers konsolundan Domain ve OU’lar için GPO lar yaratabiliriz. Şekil 122: AD users and Computers penceresinden Group Policy’lere ulaşabilmek için, domain veya OU’nun üzerine sağ tuşla tıklayıp çıkan menüden properties seçeneğine tıklayalım. Çıkan pencerede Group Policy tabına tıkladığımızda o containera uygulanan (varsa) Group Policy görebiliriz. Ayarlarına ulaşabilmek için Edit butonuna tıklıyoruz.
  • 102.
    S a yf a | 101 - Active Directory Sites and Services : Bu pencereden, Site’lar için GPO lar yaratıp düzenlemeler yapabiliriz. - Group Policy Management Console (GPMC) : GPMC, bize Group Policy’leri yönetmek için bir çok özellik sunar. Tek bir arayüzle GP’lerin bir çok fonksiyonunu yerine getirebilirsiniz. GP’lerin backup’ının alınması ve restore edilmesini, Copy ve import edilmesini, GPO ların raporlanması ve simüle edilmesini sağlar. Server 2003 ile birlikte gelmez. Microsoft sitesinden gpmc.msi isimli dosyayı indirip yüklememiz gerekir. Yüklendiği takdirde Domain, Site ve OUlardan Group Policy tabından GP’ler ulaşılmaz olur. GPMC, Group policy Object Editor yerine geçmez. GPO editorü kullanmaya devam edebilirsiniz. Şekil 123: Group Polcy Management Console arayüzü Administrative Templates : Administrative Template’ler .adm uzantılı dosyalardır. Bu dosyalar, Group policy object editor deki administrative template klasöründeki seçenekler için policy bilgileri sağlar. İşletim sistemini, Windows bileşenlerini ve uygulamaları yapılandıran registry ayarlarını kontrol etmemizi sağlar. Adm dosyalarındaki bilgiler : - Her ayarın registrydeki yeri - Her ayar için seçenekler veya kısıtlamalar - Ayarlar için default değerler - Ayarların yapabileceği şeylerin açıklamaları - Her ayarın desteklediği Windows versiyonları
  • 103.
    S a yf a | 102 Şekil 124: .adm dosyaları. Nerede olduğunu görmek için adres çubuğuna bakın Group policy nesneleri AD içinde iki yerde tutulur : Group policy Contianer (GPC) ve Group Policy Templates (GPT) GPC : GPC, bilgisayarlar ve kullanıcılar için alt klasörler içerir. İçinde : - Versiyon bilgisi : Bu bilgi sayesinde tüm domain controllerlarda aynı GPO ların olması sağlanır - Status bilgisi : GPO’nun Enable veya Disable olup olmadığı bilgisi tutulur. - List of Extensions : GPO da kullanılan GP uzantılarının listesi GPT : Dosya tabanlı data ve software policy’lerin, scriptlerin ve uygulama bilgilerinin tutulduğu yerdir. Şekil 125: GPC yapısı Şekil 126: GPT yapısı
  • 104.
    S a yf a | 103 GPO Link : Bir Group Policy yarattığımızda, Group Policy Object olarak bir container da tutulur. Yarattığımız GPO’yu kullanmak istediğimizde Site, Domain veya OU ya linklememiz gerekir. Default olarak GPO ları domain ve OU’lara Domain Admins ve Enterprise Admins grubunun üyeleri linkleyebilir. Site’lara linkleyebilmek içinde Enterprise Admins grubunun üyeleri bu işi yapabilirler. Group Policy Creator Owners grubu üyeleri ise sadece GPO yaratabilir fakat linkleyemezler. Group Policy Management Console’dan bir GPO yarattığımız zaman normalde hiçbir yere uygulanmaz, tek başına bir GPO olarak kalır. Yarattığımız GPO’yu bir domain veya OU’ya uygulamak istediğimizde bir link yaratmamız gerekir. Veya sonradan kullanmak içinde GPO lar yaratabiliriz. Şekil 127: Group Policy üzerine sağ tuşla tıklayarak hangi containerın altında ise o container ile link kurabilmek için Link enabled seçeneğine tıklamak veya link’i iptal etmek içinde check işaretini kaldırmak gerekir. Link’i disable yaparsak yani check işaretini kaldırırsak o GP continera uygulanmıyacaktır. AD Inheritance : GPO’lar Sitelara, Domainlere ve OU’lara uygulanır. Uygulama sırasıda aynıdır, yukarıdan aşağıya doğru. Child container, Parent’ından GPO ayarlarını devralır. Child’a hiç Group policy uygulamamış olsakta aslında yukardan (Parent’dan) Group policy ayarlarını alır. GPO’lar kümülativdir. Deminde bahsettik, GPOların uygulama sırası vardır. Eğer Site’a bir GPO uygulamışsak ilk olarak Sitedaki GPO sonra varsa Domain ve en sonda uygulamışsak OU’daki GPO’lar uygulanır. Yani kısaca en alttakine, yukardan aşağıya doğru uygulanan tüm GP’lerin toplamı uygulanır. Bir OU veya Domaine birden fazla GPO da uygulamış olabiliriz. Eğer bir OU’ya veya tüm Domain’e birden fazla GPO uygulanmış ve bunlardaki ayarlarda çakışma yaşanmışsa, en son hangi GPO yaratılmışsa önceliği o GPO alır, onun ayarları uygulanır.
  • 105.
    S a yf a | 104 GPO Çakışmaları : Çok fazla GPO’lar yaratıp bunları da uyguladıysak, çakışmalar kaçınılmazdır. Karışık GPO’lar yarattıysak bir süre sonra yeni GPO’lar yaratıp bunları uygulamak istediğimizde hangi GPO’ da hangi ayarı yaptığımızı unutabiliriz. Demin de bahsettiğimiz gibi, parentta yarattığımız bir GPO child’a da aktarılır. Eğer child’da bir GPO belirtmemişsek üstten gelen uygulanır. Her ikisi içinde GPO yaratmışsak ikisi de uygulanacaktır. Yok eğer bu ikisi arasında çakışma olursa en alt seviyedeki GPO uygulanır. Eğer miras yöntemi size uygun gelmiyorsa, sıralamada değişiklik yapmak istiyorsanız, bunun için iki yöntemimiz var : - - No Override (Enforced): İster alt kısımda bloklama ister çakışma olsun bu policy mutlaka uygulanacak diyorsanız hangi GPO nun uygulanmasını istiyorsanız o GPO ya no override dememiniz gerekir. Parent’ta tanımlanmış olan GPO’nun Child tarafından mutlaka uygulanmasını istiyorsak Parentta No override dememiz gerekiyor. Child’da tanımlanmış GPO’da Block Inheritance denmiş olsa bile parenttaki GPO için no override denmişse no override üstün gelir. Birden fazla no override lar arasında çakışma olursa yüksek derecedeki no override üstün gelir. Block Policy Inheritance : Child container’ın parentlarından gelen GPO ları reddetmesidir. Bu seçenek daha çok , bir OU’nun özel bir GPO ya ihtiyacı varsa uygulanır. Eğer parent Containerdan no override yapılmışsa Block inheritance demenin bir anlamı yok. No override, Block dan daha üstündür. Group Policy Management Console yüklemeden evvel : Şekil 128: No Override seçeneğine ulaşmak için Options butonuna tıklayalım. Block inheritance diyerek de üstten miras yoluyla gelecek olan Group Policy ayarlarını engellemiş oluruz.
  • 106.
    S a yf a | 105 Şekil 129: Options penceresinde çıkan seçeneklerden üstteki no override alttaki ise GPO’yu disable ederek link’i disable etmememizi sağlar. Group Policy Management Console yükledikten sonra : Şekil 130: Enforced seçeneği GPMC yüklemeden evvelki No Override seçeneğidir. GPO Link Attribute’ları : GPO linklerini, Enable, Disable, Enforce ve grouplayabiliriz. Enforced özelliği GPO link özelliğidir, GPO’nun bir özelliği değildir. No override’ın karşılığıdır. Yani enforced seçeneğine yes dersek bu policy kesinlikle uygulanacak demektir. GPO ile bir sorun yaşıyorsak, GPO yu silmek yerine GPO link’ini disable etmemiz yeterli. Disable dediğimiz zaman O container ve altındaki child containerlar için disable etmiş oluruz. Yani o GPO uygulanmaz. Bir OU’ya birden fazla GPO uygulanmış ve bunlar arasında çakışma yaşanmış ise en son uygulanan GPO önceliği alır.
  • 107.
    S a yf a | 106 GPO da Filtreleme : Filtreleme ile bir containerda hangi ayarların kullanıcılara ve bilgisayarlara uygulanacağını belirleyebiliyorsunuz. Filtrelemeyi, Gpo Link üzerindeki izinlerle oynayarak uygulayabiliriz. GPO ayarlarının kullanıcı ve bilgisayarlara uygulanması için hesabın, GPO üzerinde en az read izninin olması gerekir. Yeni bir GPO üzerineki default izinler : - Authenticated Users : Allow read ve Allow Apply Group Policy izinleri - Domain Admins, Enterprise Admins ve System : Allow read, Alow Write, Allow Create AllChild Objects ve Allow Delete AllChild Objects Apply Group Policy izninin ayarlandığı hesapları değiştirerek belirli bir group policy nin etkilediği kullanıcılarda ve bilgisayarlarda değişiklik yapabiliriz. Bir GPO’ yu istediğimiz şekilde uygulatabiliriz. Filtreleme Yöntemleri : 1- GPO ayarlarının uygulanmasını istemediğiniz yönetici veya yöneticileri bir gruba toplayarak Apply Group Policy iznine deny verebiliriz. 2- Administrators grubunu Security group içinden çıkartarak Şekil 131: GPO’da sol tarafta Security Filtering kısmında bu GPO’nun kimlere uygulandığını görebiliyoruz. Uygulanmasını istemediğimiz bir kullanıcı veya grup varsa önce Add butonuna tıklayarak buraya ekliyoruz.
  • 108.
    S a yf a | 107 Şekil 132: Delegation tabına tıklayalım. Eklediğim kişiyi orda görmem gerekiyor. Sol alttaki Advanced butonuna tıklayalım Şekil 133: Çıkan pencerede eklediğim ilke isimli kullanıcıda Apply Group Policy izninindeki Allow seçeneğini kaldırıyorum. Böylece bu Group Policy bu kullanıcıya uygulanmıyacaktır.
  • 109.
    S a yf a | 108 MODULE 9 Managing the User Environment by Using Group Policy Kullanıcıların networke dahil olduklarında neler yapabileceklerini kontrol edebilirsiniz. Bunu da Group Policy sayesinde, masaüstlerini, network bağlantılarını ve kullanıcı arayüzlerini kontrol ederek yapabilirsiniz. Merkezi olarak kullanıcıların çalışma ortamlarını konfigüre etmek ve ayarlamak için yapabileceklerimiz : - - - Kullanıcıları ve bilgisayarları yönetmek : Registry tabanlı policy ayarları ile kullanıcıların hangi bilgisayardan logon olduklarına bakılmaksızın masaüstü ayarlarını değiştirip herkesde aynı masaüstü veya bilgisayar düzenine sahip olmalarını sağlayabiliyoruz. Server 20003 işletim sisteminde kullanıcı profillerini ve datalarına nasıl ulaşabileceklerini kontrol edebiliyoruz. Klasör yönlendirme (Redirection) sayesinde, yine hangi bilgisayardan logon olduğuna bakılmaksızın kişisel dosyalarına ulaşabilmelerini sağlıyabiliyoruz. Yazılım Kurulumu : Yazılım yükleme sayesinde kullanıcıların ihtiyacı olan yazılımlar, service packler, hotfixler merkezi olarak kullanıcı bilgisayarlarına yüklenebiliyor. Güvenlik ayarlarının uygulanması : Group Policy sayesinde merkezi olarak kullanıcıların güvenlikleri sağlanabiliyor. Group Policy sayesinde herkesin standart ayarlara sahip olmasını sağlayabiliyoruz. Group Policy Ayarlarında Disable ve Enable : Group Policy ayarlarında Enable, Disable ve Not Configured olmak üzere 3 ayarımız var. Disable seçeneği, o hareketi geçersiz kılar. Örneğin, default olarak kullanıcılar Control Panele ulaşabilirler. Bunun için Policy ayarlarında bulunan Prohibit Access to the Control Panel seçeneğine disable dememize gerek yoktur. Enable etmek, o policy ayarını kabul etmektir. Deminki örneğe bakarsak, kullanıcıların control panele ulaşmalarını istemiyorsak bu ayarı Enable etmemiz gerekiyor. Not configured seçeneği Group Policy ayarlarında default ayardır. Bu ayar GP için sistemi ilk kurduğunuz default ayarlardır. Bir işletim sistemini kurduğunuzda ki tüm ayarlar not configured kaldığı sürece geçerlidir. Bu seçenekler haricinde bir de eğer Enable veya Disable dediğimiz taktirde ek bilgiler girmek gerekebilir. Group eklemek, Ip adresi girmek, port numarası girmek gibi. Eğer girdiğiniz bu değerler başka bir policy ayarları ile çakışırsa en son yapılan policy ayarları geçerli olur.
  • 110.
    S a yf a | 109 Şekil 134: Group Policy ayarlarında 3 seçeneğimiz vardır. Not Configured, Enabled ve disabled Group Policy’de Script Kullanımı : Group Policy kullanılarak kullanıcılara veya bilgisayarlara scriptler uygulayabilirsiniz. Script ise genelde batch file’lardır (.bat, .cmd gibi) veya Windows Script Host (WSH) kullanılarak komut satırlarından yazılmış, belli görevleri yerine getirmek için kullanılan code’lardır. WSH, Server 2003’ün MS Java Script yada MS VB Script dilleriyle yazılmış komut satırlarını kullanmamıza izin veren bir özelliğidir. Bilgisayarlar için startup yada shutdown scriptleri, kullanıcılar içinse logon veya logoff scriptleri çalıştırtabilirsiniz. Scriptler sayesinde işleri otomatiğe bağlıyabilirsinz. Örneğin kullanıcı logoff olduğunda veya bilgisayar shutdown olduğunda masaüstünü temizleyebilirsiniz. AD Users and Computers penceresinden, tek tek kullanıcılar üzerinden de logon scriptleri çalıştırabilirsiniz. Ama Group Policy merkezi olarak scriptlerin kontrol edilmesini sağladığı için GP tercih edilmelidir. Scriptlerde de bir çakışma meydana gelirse en son uygulanan script geçerli olur. Start-up scriptleri eş zamanlı (Senkronize) olarak çalışır. Yani bir diğeri başlamadan evvel bir öncekinin tamamlanmış olması gerekir. Logon scriptleri ise tam tersidir. Bir script diğerinin bitmesini beklemez. Script processi için default süre 10 dakikadır. Bu süre içinde scriptin tamamlanması gerekir. Eğer script bu süreyi geçecekse Group Policy’den Comp.Conf.Adm.TempSystemScripts. İçinde Maximum Wait Time for Group Policy Script seçeneğini ayarlamak gerekiyor.
  • 111.
    S a yf a | 110 Şekil 135: İlk olarak Scriptimizi Notepad’den yazıp, kaydederkende .vbs olarak kaydedelim. Şekil 136: Scriptimizi yazdıktan sonra, bu scripti bilgisayarlara uygulayacaksak Computer Configuration altında startup/shutdown seçeneğinde, kullanıcılara uygulayacaksak, user configuration altında Windows Settings de scripts kısmında logon veya logoff seçeneklerinin özelliklerine girmek gerekiyor. Burdaki örnekte kullanıcılar bilgisayarlarını açtıklarında yukardaki script çalışsın. Şekil 137: Add butonuna tıklayarak çalışmasını istediğimiz scripti logon seçeneklerine ekleyelim.
  • 112.
    S a yf a | 111 Şekil 138: Browse butonundan scripti ekliyoruz ve OK’e tıklıyoruz. Scriptin bulunduğu klasör paylaşıma açılmış olması gerekiyor. Şekil 139 : Scriptimiz kullanıma hazır. Folder Redirection : Folder Redirection (Klasör Yönlendirme), kullanıcı profiline dahil olan klasörlerin bir kısmını Local hard diskten alıp merkezi bir yerde tutulmasını sağlar. Yönlendirme sayesinde kullanıcı dataları tek bir merkezde tutulur ve kullanıcı bunlara kendi bilgisayarında logon olmasına gerek kalmadan istediği bilgisayardan ulaşabilir. Folder Redirection ile klasörleri kullanıcının bilgisayarından alıp networkte bulunan bir file server üzerindeki paylaşıma açılmış bir klasöre yönlendirebiliriz ve Folder Redirection ile datayı merkezi olarak yönetip, yedekleyebiliriz. Folder redirection yaptıktan sonra kullanıcılar klasörlerini kendi makinelerinde tutuyormuş gibi görürler. Yönlendirme yapabildiğimiz klasörler : - - My Documents : Genelde kişisel verilerin tutulduğu klasördür. Ayrıca offline olarak ta, -eğer kullanıcı laptop gibi taşınabilir bir bilgisayara sahipse- networke bağlı olmasa bile dosyalarına ulaşabilir. Application Data : Kullanıcıya özel uygulama verilerini içerir. Online veya offline olarak ulaşılabilir. Offline olarak ulaşıldığı taktirde yapılan değişiklikler, sonradan server ve client tarafında eşitlenir.
  • 113.
    S a yf a | 112 - Desktop : Tüm masaüstü ayarlarınız, kısayollarınız ve masaüstündeki klasörleriniz server da tutulur. Start Menü : Start menü ve alt klasörler yönlendirilir. Folder Redirection Faydaları : - İstedikleri bilgisayardan datalara ulaşılabilir Merkezi bir yerde tutuldukları için yönetimi ve backup’ı kolaydır. Yönlendirilmesi yapılmış klasördeki dosyalar roaming profile daki gibi localde de bir kopyası tutulmaz. Yani kullanıcı bilgisayarında hiçbir data tutulmaz. Data share edilmiş klasörde tutulur ve bu da rutin yönetimsel işlerden olan backup işlemini kolaylaştırır. Group Policy kullanılarak disk kotaları uygulayabilirsiniz. Dataları, işletim sistemi olan bir yerden başka bir yere taşımak, kullanıcının makinesine işletim sistemini tekrar yüklerken oluşabilecek data kayıplarını önler. Folder Redirection için 3 tane ayarımız var : None, Basic ve Advanced Basic Folder Redirection : Klasörlerini, ortak bir yere yönlendirmek veya datasının özel kalmasını isteyen kullanıcılar için olan bir seçenektir. Burda da iki seçeneğimiz var : - - Redirect folder to the following location : Kullanıcıların klasörleri ortak bir alanda herkesin görebildiği yere yönlendirilir. Klasörler buraya yönlendirildiği taktirde dataların gizliliği kalmaz. Create a folder for each user under the root path : Dataların özel olmasını isteyen kullanıcılar için kullanılan seçenektir. Advanced Folder Redirection : Bu seçenekte gruplara göre klasörleri yönlendirebiliyoruz. Yani bir gruba üye olan kullanıcıların klasörleri o grup altında tutulur. Folder Redirection, bizim için klasörü otomatik olarak belirttiğimiz yerde yaratır. Ve yine otomatik olarakda gerekli izinler ayarlanır. Eğer klasörleri manuel olarak yaratmışsak o zaman izinleri de elle ayarlamamız gerekiyor.
  • 114.
    S a yf a | 113 Şekil 140: Folder Redirection, User Configuration>Windows Settings altında bulunur. Yönlendirmek istediğimiz klasörün üzerine sağ tuşla tıklayıp properties seçeneğine tıklamamız gerekiyor. Şekil 141: Basic veya Advanced seçeneklerinden birini seçiyoruz.
  • 115.
    S a yf a | 114 Şekil 142: Kullanıcı datalarının tutulacağı yerin UNC adresini yazıyoruz. Klasörün dah önceden yaratılmış, paylaşıma açılmış ve Full Control iznin verilmiş olması gerekir. Olması gereken NTFS izinleri : Account Creator Owner Administrators Everyone Local System Server da data koyacak Olan grup Default Folder Redirection İzni Full Control İzin yok İzin Yok Full Control N/A Min.Gerekli izin FullControl İzin Yok İzin Yok Full Control Listfolder/Read Data, Create Folders /Append Data- This Folder only Olması gereken Shared Folder İzinleri : Account Default Folder Redirection İzni Min.Gerekli izin Everyone Server da data koyacak Olan grup Full Control N/A İzin Yok Full Control Her bir kullanıcı için yönlendirilmesi yapılmış klasörde gerekli Olan NTFS İzinleri : Account Kullanıcının kendisi Local System Administrators Everyone Default Folder Redirection İzni Full Control, Kendi klasörü Full Control İzinler Yok izinler Yok Min.Gerekli izin Full Control Full Control İzinler Yok İzinler Yok
  • 116.
    S a yf a | 115 Gpupdate : Gpupdate, Local group policy ve AD Group Policy ayarlarının refresh edilmesini sağlayan komut satırı aracıdır. Normalde default olarak, Group Policy de yapılan değişikliklerin serverlara ve clientlara uygulanması için 90 dakika beklenmesi gerekir. Domain Controller’larda ise 5 dakikadır. Gpupdate komutu, GP de yaptığımız değişiklikleri test etmek veya hemen uygulanmasını sağlamak için kullanılır. Parametreleri : /Target : [Computer/User] : Computer veya user Configuration ayarlarını refresh eder /Force : Tüm ayarları refresh eder. /Wait : Değer : Tazeleme process’inin bitmesi için bekleme süresi. Default değer 600 sn. dir. Bu süreyi geçerse işlem arka da devam eder ve komut satırını kullanmaya devam edebiliriz. Sıfır dersek bekleme, -1 ise sürenin belirsiz olduğunu belirtmiş oluruz. /Logoff : Refresh den sonra kullanıcının oturumunu kapatmak istiyorsak (Folder Redirection da) /Boot : Refresh den sonra bilgisayarı yeniden başlatmak istiyorsak (Program yüklemesi) /sync : Ön plandaki policy ayarının senkronize olarak uygulanması için. Önplandaki Policy ayarları bilgisayar başladığında veya kullanıcı logon olduğunda uygulanır. /Target parametresi ile kullanılır. Şekil 143: Gpupdate ? dediğimiz zaman Gpupdate ile birlikte kullanılabilecek parametreleri görebiliriz.
  • 117.
    S a yf a | 116 GpResult : Gpresult.exe, hedef kullanıcı ve bilgisayar için Resultant set of policy bilgilerini gösterir. Bir bilgisayara veya o bilgisayara oturum açmış olan kullanıcıya uygulanan efektif GPO’ları ve varsa sorunları gösteren komut satırı aracıdır. GPResult ile GPO’ların en son ne zaman işlendiğini, group üyeliklerini de görebiliriz. Komut satırından gpresult yazdığınız zaman, o anda logon olmuş olan kullanıcının sorgulamasını yapmış oluruz ve bu da Logging Mode olarak çalışır. Logging Mode ile o anda logon olmuş kullanıcı sorgulanır. Site, Domain ve OU için yapılan sorgulamalar Planning mode olarak çalışır. Gpresult ile istersek sonucu bir txt dosyasına da aktarabiliriz. RsoP sorgulamasını Help and Support’tan, Support ve ordan da advanced system information kısmından da ulaşılabilir. Fakat burdan alınacak sonuç Gpresult ve Resultant Set of Policy Wizard’dakinden daha kısıtlı olacaktır. Kullanılacak parametreleri : /s Bağlanılacak bilgisayar. İsim veya IP adresi olabilir. Bir şey yazmazsanız default olarak Local Bilgisayardır. /u Domain/User Hangi kullanıcı izni altında komut çalıştırılacak /p Password /u da belirtilmiş olan kullanıcının şifresi /user Sorgulaması yapılacak kullanıcı. Default olarak kim logon olmuşsa /scope {user/computer} Sorgulanacak user veya computer policy ayarları /v Çıktının ayrıntılı bilgi göstermesi sağlanır. /z /v parametresinden daha fazla bilgiyi gösterir. Bu parametre ile sonucu bir text dosyasına aktarabiliriz. /z>c:isim.txt Şekil 144: Gpresult /? Yazdığımız zaman gpresult ile birlikte kullanılabilecek parametreleri görebiliriz.
  • 118.
    S a yf a | 117 GP Reporting : Bir GPO üzerinde çok fazla değişiklikler yapmış olabiliriz. Bir kullanıcı yada bilgisayara uygulanan GPO yu GPMC ‘da html formatında görebiliriz.(Şekil 155) GPMC da sol tarafta, Group Policy Results dan sorgulamayı yaptıktan sonra sağ tarafta datayı html formatında görebiliyoruz. Sonucu istersek printera aktarabiliyoruz, istersek html formatında kaydedebiliriz. Tüm kullanıcıların bu rapor üzerinde read izini vardır. GPO Modelleme : GPO Modelling sayesinde, yarattığımız Group Policy’leri simüle edebiliriz. Bir GPO oluşturduğunuzda GPMC’dan User ve Computer configurationları farklı senaryolarla deneyebiliriz. Modelleme sonunda da bir rapor alırız. Modellemeden sonra sağ tarafta detay kısmında 3 tane tab gelir. - Summary : GPO ların listesi, group üyelikleri ve WMI filterlar - Settings : Simülasyonda uygulanan Policy ayarlarının raporu - Query : Sorguyu oluşturmak için kullanılan parametreler Şekil 145: Group Policy Management Console’dan GP Modeling üzerine sağ tuşla tıklayıp, GP modeling sihirbazını çalıştıralım Şekil 146: Hoşbeşten sonra, Next'e tıklayın.
  • 119.
    S a yf a | 118 Şekil 147: Modelleme yapabilmek için bir DC seçmemiz gerekiyor. Sonrada Next’e tıklıyoruz. Şekil 148: User veya Computer konfigürasyonunun modellemelerinden birinin içinden bir container veya kullanıcı seçmemiz gerekiyor. Ben burda sadece ali isimli kullanıcıya uygulanan GPO’ların bir simülasyonunu yapmak istiyorum. Şekil 149: Finish dedikten sonra Html formatında raporu GPMC içinden bakabilirim.
  • 120.
    S a yf a | 119 Şekil 150: Sağ taraftaki detay kısmında 3 tane tab var. Summary tabında, sadece user konfigürasyonunu sorgulattığım için computer konfigürasyon ayarları yok. Burada hangi GPO’nun uygulandığını hangisinin uygulanmadığını ve başarılı olup olmadığını görebilirim. Settings kısmından uygulanan GPO nun ayarlarını görebiliriz. GP Results : Group Policy Result ile Group Policy Modelling birbirine benzer. Aralarındaki fark GP Results da simülasyon yapılmayıp sorgunun bilgisayar üzerinde yapılıp geri dönderilmesidir. Sadece XP ve Server 2003 işletim sistemi çalışan makinelerde sorgulama yapılabilir. Şekil 151: Yine GPMC’dan sol tarafta Group Policy Results seçeneğine sağ tıklayıp çıkan menüden GPR sihirbazını çalıştırıyoruz.
  • 121.
    S a yf a | 120 Şekil 152: Next'e tıklayın Şekil 153: Group policy uygulayacağımız bilgisayarı seçmemiz gerekiyor. Şekil 154: Seçtiğimiz bilgisayarda hangi kullanıcıya Group Policy uygulayacağımızı seçiyoruz.
  • 122.
    S a yf a | 121 Şekil 155: Sağ tarafta detay kısmında oluşturulan raporu görebiliyoruz. Şekil 156: Bu örnekte User configuration altında Folder Redirection ayarlarının uygulanamadığı ve nedeni belirtilmiş.
  • 123.
    S a yf a | 122 MODULE 10 Implementing Administrative Templates and Audit Policy Kullanıcı Hakları : Kullanıcı Hakları, sistem ile ilgili görevleri, eylemleri yapabilmeyi veya yapamamayı tanımlar. Örneğin, sistem saatini değiştirebilme, sistemi kapatabilme, Server 2003 çalışan bir makineye network üzerinden ulaşabilme gibi. Kullanıcı haklarını, kullanıcılara veya gruplara verebiliriz. Yönetimsel olarak kolaylık sağlaması için en iyi yöntem, gruplara hakları vermektir. Kullanıcı hakları, kullanıcının Site, Domain ve OU içinde yapabileceklerini kontrol eden GPO daki güvenlik ayarlarıdır. İzinler ile kullanıcı hakları farklıdır. Kullanıcı hakları, kullanıcılar ve grouplar üzerinde verilirken, izinler nesneler üzerinde verilir. İzinlerle, bir nesneye kimler ulaşabilir derken, haklarda bir kullanıcının sistemde neler yapabileceklerini belirleyebiliyoruz. Örneklemek gerekirse, default olarak dosyaları yada klasörleri adminstrators grubu ve backup operators grubu backuplayabilir. Siz bunlara klasörler üzerinde read iznini deny verseniz bile backup alabilirler. Kullanıcı hakları izinlerin üzerindedir (override). Kullanıcı hakları kümülativdir. Bir kullanıcı birden fazla grubun üyesi olabilir. Gruplardan gelen hakların toplamı kullanıcının sahip olduğu haklardır. Bir çakışma olduğu zaman da kullanıcıyı o gruptan çıkarmak gerekir. Administrators grubu, diğer kullanıcılara kullanıcı hakları atayabilir. Built-in grouplara default olarak haklar atanmıştır ve değiştirilemez. Kullanıcı hakları iki çeşittir : - Logon hakları : Kullanıcı veya grubun bir sisteme logon olma yollarını kontrol eder. - Privileges : Tüm sistemde neler yapabileceklerini, neler yapamıyacağını kontrol eder. İzinler : İzinler, bir nesneye veya özelliklerine, bir kullanıcının yada grubun erişim şeklini ifade eder. İzinleri, kullanıcılara, gruplara ve bilgisayarlara atayabiliyoruz. Fakat yönetimsel olarak en iyi yöntem kullanıcıları gruplara koyup izinleride o gruplara atamak. İzinleri atayabildiklerimiz : - Domaindeki ve güven ilişkisi kurulmuş diğer domainlerdeki kulanıcılara, gruplara ve özel kimliklere - Nesnenin durduğu bilgisayardaki kullanıcılara ve grouplara
  • 124.
    S a yf a | 123 Built-in Grouplara Atanmış Kullanıcı Hakları : Default olarak, Server 2003 built-in grouplara belli haklar atamıştır ve değiştirilemez. Bu grouplar, Built-in Container’ındaki Local gruplar ve users container’ındaki gruplardır. Local Grouplardaki Kullanıcı Hakları : - Administrators : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log;Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects - Backup Operators : Access this computer from the network; Allow log on locally; Back up files and directories; Bypass traverse checking; Restore files and directories; Shut down the system. - Power Users : Access this computer from the network; Allow log on locally; Bypass traverse checking; Change the system time; Profile single process; Remove computer from docking station; Shut down the system. - Remote Desktop Users : Allow log on through Terminal Services. - Users : Access this computer from the network; Allow log on locally; Bypass traverse checking. Built-in Containerındaki groupların Kulanıcı hakları : - Account Operators : Allow log on locally; Shut down the system. - Administrators : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log; Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects - Backup Operators : Allow log on locally; Back up files and directories; Restore files and directories; Shut down the system. - Pre-Windows 2000 compatible Access : Access this computer from the network; Bypass traverse checking.
  • 125.
    S a yf a | 124 - Print Operators : Allow log on locally; Shut down the system. - Server Operators : Allow log on locally; Back up files and directories; Change the system time; Force shutdown from a remote system; Restore files and directories; Shut down the system. Users Container’ındaki Groupların Kullanıcı Hakları : - Domain Admins : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log; Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects - Enterprise Admins : Access this computer from the network; Adjust memory quotas for a process; Allow log on locally; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Manage auditing and security log; Modify firmware environment variables; Perform volume maintenance tasks; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shutdown the system; Take ownership of files or other objects Şekil 157: Kullanıcı haklarına Computer Configuration>Windows Settings>Security settings>Local Policies>User Rights Assignment bölümünden ulaşabilirsiniz. Sağ tarafta ise Logon hakları ve privileges görebilirsiniz.
  • 126.
    S a yf a | 125 Security Policy : Security Policy, bir bilgisayara uygulanan güvenlik ayarlarının toplamıdır. Security Policy’leri kullanarak, AD içinde veya Localde account policy’ler ve local policyler oluşturulabilir. Local bilgisayarda, security policylerle, account ve local policy’ler, public key policy’ler ve IpSec policy’leri ayarlanabilir. Local security policy’lerle : - Bilgisayarınıza kimin eriştiğini - Hangi kullanıcılar bilgisayarınızdaki kaynakları kullanmak için yetkilendirilmiş - Kullanıcıların veya groupların yarattıkları event loglar tutulabilir. Sistemimizde AD yoksa Security Policy’leri Local Security Policy kullanarak konfigüre edebiliriz. AD varsa sistemimizde, Security Policy’ler Local bilgisayardaki ayarlarla aynıdır. AD ortamında, Group Policy’leri kullanarak hatırı sayılır bir yönetimsel zamandan, tasarruf sağlamış oluruz. Security Template’ler : Security Template’ler, konfigürasyonu önceden yapılmış güvenlik ayarları paketidir. Bu paketler farklı durumlar ve farklı bilgisayarlar için tavsiye edilen ayarlardır. Security Template’ler Windows (.INF) dosyalarıdır ve bulunduğu yerde ; <%systemroot%>SecurityTemplates klasörüdür. İstersek bu şablonları kullanıp uygulayabiliriz, istersek üzerinde değişiklikler yapıp kullanabilir veya yeni bir şablon yaratabiliriz. Bu işlemleride Security Templates snap-in penceresinden yapabiliriz. Mevcut security template’leri bilgisayarlara uygulayacağımız yerler ise Security Configuration and Analysis snap-in penceresi, komut satırından secedit veya Local Security Policy den import ederek.(Şekil 167-Şekil 168) Server 2003’deki Template’ler : 1- Default Security (Setup Security.inf) : Bir bilgisayara yeni bir işletim sistemi yüklenirken uygulanan default güvenlik ayarlarıdır. Bu ayar, sistem sürücüsüne default dosya izinlerinide uygular. Domain Controller’lara uygulanmaz. Birincil olarak Disaster Recovery işlemi için kullanılır. Sadece temiz bir yüklemede uygulanır. FAT dosya sisteminde uygulanmaz. 2- Domain Controller default security (Dc security.inf) : Domain Controller’lar için default güvenlik ayarıdır. Server DC’ye yükseltildiğinde yaratılır. Bu güvenlik ayarları, dosyalara, registry key’lere ve system servislerine yansıtılır. 3- Compatible (Compatws.inf) : Çoğu Xp de çalışmayan sertifikasız uygulamaların gereksinimlerini karşılamak için default dosya ve registry izinlerini yumuşatır. Administrators, Power users ve Users gruplarını etkiler. Administrators ve Power Users gruplarını daha güçlü hale getirirken, Users grubu en az ayrıcalıklara sahip olur. Power Users grubu üyelerini iptal eder. 4- Secure (Secure*.inf) : Workstation veya DC’lere uygulanan Secure template, password, lockout ve audit ayarlarıyla oynayarak güvenliği artırır. Ayrca bu template clientların NTLM otantikasyon protokolünü kullanmalarını kısıtlar.
  • 127.
    S a yf a | 126 Windows 98, Windows 95 işletim sistemi yüklü olan bilgisayarlar bu şablon uygulanmış olan server’a ulaşabilmek için Active Directory Client Extensions Pack’ın yüklenmiş olması gerekir. 5- Highly Secure (Hisec*.inf) : Workstation ve DC’ler için şifreleme ve imzada yüksek güvenlik sağlar. Lan Manager ve NTLM kabul edilmez, bütün power users grup üyelikleri iptal edilir. 6- System Root Security (Rootsec.inf) : Sistem kök sürücüsünü default NTFS izinlerine geri döndürür. Security template’leri tek bir bilgisayara uygulayabildiğimiz gibi bir çok bilgisayara da uygulayabiliriz. Mevcut bir güvenlik ayarlarına template’leri uyguladığımız zaman bilgisayarın güvenlik ayarları ile birleştirilir. Security Template’ler deki ayarlar : Account Policies : Buradan account policy’leri, password policy’leri ve lockout policy’leri konfigüre edebiliyoruz. Local Poicies : Audit policy’ler, kullanıcı hakları ve izinler ve local olarak ayarlanabilecek çeşitli güvenlik ayarları Event log : Application, system ve security loglar için büyüklük, erişim ve parametrelerin ayarlarını konfigüre etmenizi sağlar. Restricted Groups : Security group üyeliklerini konfigüre ve kontrol edebiliyoruz. System Services : Sistem servislerinin, güvenlik ve sistem başlangıç ayarlarını konfigüre edebiliyoruz. Bu ayarlar, automatic, manual ve disabled ayarlarıdır. Registry : Registry ayarlarını denetleyen registry policy’leri File system : Local dosya veya klasör izinlerini konfigüre edebiliyoruz. Şekil 158: MMC konsolundan Security templates snap-in’ den Security Template’lere ulaşabiliriz.
  • 128.
    S a yf a | 127 Şekil 159: Templatelerin bulunduğu klasörün yazılı olduğu yere sağ tuşla tıkladığımızda New Template diyerek kendimiz yeni bir şablon oluşturabliriz. Şekil 160: Mevcut templateler üzerinde değişiklikler yapabiliriz. Fakat isterseniz Server 2003 içindeki şablonları başka bir isimle kaydedip onun üzerinde değişiklikler yapın. Security Configuration and Analysis Tool : Bir security template’i uygulamadan evvel, mutlaka uygulamalara, güvenliğe veya bağlantılara kötü etkisi olup olmadığına emin olmak için analiz edilmesi gerekir. Analiz sayesinde standart konfigürasyonumuzdaki güvenlik açıklarını ve sapmaları görebiliriz. Bu analizi yapabileceğimiz araç ise Security Configuration and Analysis snap-in penceresidir. Security Configuration and Analysis aracının yaptığı iş, local bilgisayarın güvenlik konfigürasyonu ile import edilen template’in güvenlik konfigürasyonunu karşılaştırmak ve bunu bir database’e (.sdb) yazmaktır.
  • 129.
    S a yf a | 128 Tutarsız olan veya template ile uyuşmayan ayarların üzerinde kırmızı çarpı işareti koyulur. Template deki ayarlarla tutarlı olanlar ise yeşil check işareti vardır. Hiç bir işaret olmayan ayar ise database de konfigüre edilmemiş demektir. Analizi yaptıktan sonra yapabileceklerimiz : - Kırmızı işaretli olanları database içinden konfigüre ederek bilgisayardaki ayar ile tutarlı hale getirmek - Çakışmanın olduğu yerdeki konfigürasyonun üzerine başka ayar yerleştirmek için başka bir template’i import etmek. - Mevcut database ayarlarını başka bir template dosyasına export etmek. Şekil 161: Security Configuration and Analysis tool’u açtığımızda ilk olarak bir database’i açmamız, yoksa yaratmamız gerekiyor. Database yaratmak için, Open database diyoruz. Şekil 162: Open Database penceresinden bir isim yazdıktan sonra Open butonuna tıklayarak database’i yaratmış oluyoruz.
  • 130.
    S a yf a | 129 Şekil 163: Open dedikten sonra karşımıza Import Template penceresi gelir. Burada hangi şablonu import edip bilgisayarımızdaki ayarlarla karşılaştırıp analiz edeceğimizi seçeceğiz. Şekil 164: Bu işlemlerden sonra analiz işlemine geçebiliriz. Analyze Computer Now dedikten sonra küçük bir ekranda log dosyasının tutulacağı yeri ve ismi soracaktır. Default değerle bırakabilirsinz. Şekil 165: Analizi başlattığınız zaman işlemi takip edeceğimiz pencere.
  • 131.
    S a yf a | 130 Şekil 166: Analiz işlemi bittikten sonra şablondaki (Database Settings) ayarlarla bizdeki ayarlar (Computer Settings) arasındaki uyumsuz olanlar kırmızı çarpı işareti ile gösterilir. Uyumsuz olanların özelliklerinden database deki ayarları değiştirebilir veya Security Conf. And Analysis başlığına sağ tuşla tıklayıp Configure Computer Now diyerek bu şablonu bilgisayarımıza uygulayabiliriz. Şekil 167: Güvenlik ayarlarını bilgisayarımıza uygulamak. Security Template’leri import edip, uygulamanın diğer yolu da AD Users and Computers penceresidir : Şekil 168: Security Settings üzerine sağ tuşla tıklayıp çıkan menüden Import Policy seçeneğine tıklayıp templateleri import edebiliriz.
  • 132.
    S a yf a | 131 Auditing : Auditing process’i, server yada client üzerinde seçilen olaylara göre, security log içinde işletim sistemi veya kullanıcı aktivitelerini kaydetmektir ve güvenlik stratejimizin de önemli bir parçasıdır. İzinler, sadece datayı korur. Fakat bu dataya ne olduğunu, kimin ne yaptığını, olayın ne zaman olduğunu ve sonucunu söylemez. Bu görevleri de auditing ile yapabiliriz. Default olarak auditing enable değildir. Auditing’i enable etmemizin ve loglarını takip etmemizin nedenleri : - Network ve bilgisayarın yaptığı işler için bir baseline yaratmak - Network’ü ve bilgisayarı etkileyecek haraketleri tespit etme - Bir güvenlik olayından sonra veya olay sırasında sistemi ve datayı tehlikeye düşürecek şeyleri tespit etme - Network’e giren bir saldırganın networke ve bilgisayarlara zarar vermesini önlemek Neleri denetleyeceğiniz, şirketinizin güvenlik ihtiyaçlarına göre ayarlanır. Örneğin Potansiyel brute force ataklarına karşılık hatalı logon denemelerini takip edebilirsiniz. Bununla birlikte auditing size değerli bilgiler sağlayabileceği gibi, gereksiz, fazla auditing yapmakta logları gereksiz bilgilerle dolduracaktır. Bu da sistemi yorabileceği gibi, istediğiniz bilgiye ulaşmanızıda zorlaştıracaktır. Audit Policy : Audit Policy, Server 2003’ün, her bir bilgisayar için güvenlik olaylarını security loglarda tutulmasını sağlar. Audit Policyleri bir bilgisayarda aktif hale getirdiğimizde, o bilgisayardaki başarılı yada başarısız eylemleri takip edebiliriz. Kaynakların yetkisiz olarak kullanılması riskini en aza indiririz, kullanıcı ve yöneticilerin yaptıklarını kaydedebiliriz. Audit loglarına, Server 2003’de Event Viewer’da security log bölümünden bakılabilir. Audit’i Local Policy üzerinden veya Group Policy’den konfigüre edebiliriz. Serverlar için default auditing ayarları security templateler içinde tanımlanmıştır. Audit Yapabileceğimiz Olaylar : Auditing için ilk yapmamız gereken şey, neyi denetleyeceğimize karar vermektir. Gereksiz olayları takip etmemiz sistem kaynaklarının boşa kullanılmasına neden olur. Server 2003’de audit olaylarını iki kategoride ayarlayabiliyoruz : - Success : Başarılı olan sistem olaylarını kaydeder. Bir anahtar ikonu kullanır. - Failure : Başarısız olan olayları tutar. Kilit ikonu ile gösterir Failure olan olayları takip etmek daha kullanışlıdır. Success olaylarını takip etmek ise zordur. Bir saldırgan sisteme girdiğinde başarılı olarak yazılacaktır çünkü.
  • 133.
    S a yf a | 132 Server 2003 deki Audit Policy ayarları : Account logon Events : Başarılı yada başarısız logon girişimlerini tutar. Local bilgisayara logon olursa bilgisayar, account logon events’da bunun logonu tutar. Domaine logon olmuşsa otantikasyonunu yapan DC account logon event da kaydını tutar. Account Management : Kullanıcı veya grup yaratılması, silinmesi veya değişiklik yapılması, kullanıcı hesabının isminin değiştirilmesi, enable veya disable edilmesi, password değişikliği gibi olayların denetimini yapar. Directory Service Access : AD servislerine veya nesnelerine erişim kayıtlarını tutar. Bunun için nesne veya servis üzerinde auditing konfigürasyonunun yapılması gerekir. Logon events : Kullanıcı locale veya domaine logon olmasına bakılmaksızın logon olayları tutulur. Ayrıca logon ile ilgili olarak çalıştırılan scriptler veya roaming profile erişimleri de kaydedilir. Object Access : Dosya, klasör veya printera erişimler kaydedilir. Bunun için Adminin bir dosyada, klasörde veya printerda audit ayarı yapması gerekir. Policy change : Security options da, kullanıcı haklarında veya audit policy de yapılan değişiklikler takip edilebilir. Privilege use : Kullanıcı, networke logon olduğunda tanımlanmış olan kullanıcı haklar takip edilir. Process Tracking : Bir uygulama çalıştırıldığında veya uygulamanın yaptıkları takip edilebilir. System : Bilgisayarı açıp kapama gibi sistem olayları veya server 2003 işletim sisteminin güvenliğini etkileyecek olaylar. Şekil 169: Audit Policy ayarları.
  • 134.
    S a yf a | 133 Audit Policy için Karar verilmesi Gerekenler : Audit Policy planlamasında dikkat etmemiz gerekenler : - Server 2003 olayları denetlerken her bir bilgisayar için ayrı ayrı yapabilir. Bunun için hangi bilgisayarları denetleyeceğinize karar vermeniz gerekir. - Ne tür olayları takip edeceğinize karar vermeniz gerekir. Dosya veya klasörlere mi erişim denetlenecek, kullanıcı logon, logoff’ larımı, kullanıcı ve group hesaplarında yapılan değişiklikler mi takip edilecek gibi - Başarılı yada başarısız olaylar yada her ikisinin takip edilip edilmeyeceğine karar verilmesi gerekir. - System kaynaklarının kullanımlarının takip edilmesine karar verilmesi gerekir. - Security loglarına düzenli ve sık bir şekilde bakılması gerekir. Auditing’i Konfigüre etmek için Tavsiyeler : - Directory service access kategorisindeki denetimi success olarak ayarlamak gerekirki kimlerin AD nesnelerine eriştiğini ve neler yaptığını takip edebilelim Object Access kategorisini success olarak takip edin. System kategorisini başarılı ve başarısız olarak denetlemesini yapın DC üzerinde Policy değişikliklerini başarılı ve başarısız olarak denetlemesini yapın Account management’i başarılı ve başarısız olarak denetimini yapın. Logonları, success olarak denetlemesini yapın. Bu sayede yetkisiz kişilerin logon girişim denemelerini takip etmiş olursunuz. DC üzerindeki account logon ları success olarak denetimini yapın. Security Loglar için uygun depolama büyüklük ayarını yapın Log Dosyaları : Security loglar, başarılı yada başarısız logon girişimleri, kaynak kullanımlarıyla ilgili olayların (dosya yaratma, açma, silme gibi) kayıtlarını tutar. Her bilgisayar, kendi security loglarında local olaylarını tutar. AD içinde ki security log bilgileri DC üzerinde tutulur. Daha önce bahsettiğimiz gibi security loglara Event Viewer içinden bakabiliyoruz. Event viewer da ayrıca tutulan loglar : - Application : Bilgisayara yüklenmiş uygulamaların ki buna server uygulamaları da dahil (Exchange server, SQL Server gibi) logları bulunur. - Security : Denetlemeleri (Auditing) aktif hale getirilmiş olaylar - System : Server 2003 içindeki servisler ve bileşenleri tarafından yaratılan loglar - Directory Service : Sadece DC ‘de gözükür ve Dizin servislerinin replication gibi yarattığı olaylar. - File Replication Service : Bu da sadece DC üzerinde görünür. GP replikasyonu gibi olayların oluşturduğu loglar tutulur. Security loglar, <%systemroot%>system32config klasöründe tutulur. Security loglar default olarak Event log files (.evt) formatında tutulabileceği gibi Comma Delimeted (.csv) ve text dosyası (.txt) formatında da tutulabilir. Default olarak security log dosyası SecEvent.evt dir.
  • 135.
    S a yf a | 134 Default olarak Security log dosyalarına System account ve administrators grubu erişebilir. Log dosyalarının yerini değiştirdiğinizde yeni dosyada doğru NTFS izinlerinin olduğundan emin olun. Event Viewer servisi durdurulamadığı için yapılan değişiklik server restart edilene kadar geçerli olmayacaktır. Şekil 170: Log dosyalarının büyüklükleri ve diğer log dosyaları ayarlarını Group Policylerden yapabildiğimiz gibi event viewer dan da log dosyalarının özellikleri ile oynayabiliriz. Şekil 171: Administrative tools veya control panel>administrative tools dan ulaşabileceğimiz event viewerdan, ayarlarını değiştirmek istediğimiz logun üzerine sağ tuşla tıklayıp properties seçeneğine tıklamak gerekiyor.
  • 136.
    S a yf a | 135 Şekil 172: General tabından burdaki örnekte application logunun büyüklüğü ile oynayabiliyoruz. Belirlediğimiz log dosyasının büyüklüğü aşıldığı zaman da log dosyasının nasıl tutulacağını belirleyebiliyoruz. Her olay 350-500 bytes kadar yer tutar. 10 MB alan ayırdığınız zaman bu 20,00025,000 security logunun tutulabileceği anlamına gelir. Overwrite events as needed : Log dosyası max.size boyutuna ulaştığında log dosyasındaki en eski logun üzerine yazmaya devam eder. Overwrite events older than x days : Belirtilen günden daha eski olayların üzerine yazılmasını belirtir. Do not overwrite events : Yeni olaylar yazılmaz. Eskilerinin manuel olarak silinmesi gerekir. Security logların yönetimini devredebilirsiniz. Bunuda Group Policy den “Manage auditing and Security log” ayarından yapabilirsiniz. Group Policy deki yeri ise Computer Conf>Windows Settings>Security Settings>Local Policies>User Rights Assignment
  • 137.
    S a yf a | 136 Şekil 173: Filter tabında da ne çeşit olayların görüntüleneceğini belirleyebiliyoruz. Bazı Güvenlik Olayları : Event Viewer’da olaylar ayrıntılı açklamalarının yanında birer ID ile de tanımlanırlar. Başarılı bir logon olayının Event ID’si 528 dir. Başarısız logon ların yarattıkları Event ID ise 529 dur. Aşağıdaki tabloda sık karşılaşılan Event ID ler ve açıklamaları yazıyor : Olay ID’si Açıklama Event Event Event Event Event Event Event Event Event Event Event Event Event Başarılı logon Başarısız Logon Girişimi Kilitlenmiş bir hesabın logon girişimi Dosya sahipliğinin değiştirilmesi Security Log’un temizlenmesi Systemin kapatılması Disable olan bir hesaptan Logon girişimi Süresi dolmuş bir hesaptan Logon Girişimi Logoff işlemi tamamlanamadı DOS saldırısı oluştu Kullanıcı logoff oldu Disconnect olmamış bir Terminal Service ourumuna bağlantı kurulmaya çalışıldı Terminal Service bağlantısına logoff olmadan bağlantı kesildi ID ID ID ID ID ID ID ID ID ID ID ID ID 528 529 539 578 517 513 531 533 538 550 551 682 683