Continue reading »]]> GPO üzerinde, tek bir policy içerisinde yazılım yüklemesi için hem 32bit hemde 64bit  msi paketi dağıtırsanız eğer, GPO varsayılan olarak 64bit işletim sisteminede 32bit’ lik paketi yükleyecektir. Bunu engellemek için x86 için hazırladığınız dağıtım paketi üzerinden ( gpo içerisinde ) Özellikler – Deployment – Advanced bölümündeki

Make this 32-bit X86 application available to Win64 machines

Kutucuğunu silmeniz yeterlidir.

Continue reading »]]> Clientları domain adı ile, domaine alırken dns lookup hatası alıyor, fakat netbios adı ile domaine alıyorsanız DNS’te SRV kayıtlarında soru olması muhtemel.
Bu durumda yapılacak adımlar.

Cmd komut satırı ekranını açın.

dnscmd /ZoneExport <zone name> <zone file name> komutu ile dns zone %windir%\System32\DNS içine export edin. Örnek :  dnscmd /ZoneExport ugur.local ugurdns şeklinde.

type <zone file name> ile alınan yedekteki dataların içeriğini görebilmekteyiz.

Cmd komut satırından %windir%\System32\DNS altına kadar düşün.

dnscmd /ZoneDelete <zone name> /dsdel /f komutu ile zone silme işlemi yapılır.

dnscmd /ZoneAdd <zone name> /Primary /file <zone file name> /load komutu ile zone yeniden oluşturun.

dnscmd /ZoneResetType <zone name> /dsprimary komutu ile de oluşturulan zone tipi Active Directory İntegrated’a çevirilir.

Bu işlemler sonucunda domainadı ile clientları hala domaine alamıyorsanız,

Yedekten ya da imaj backuptan, dnsin export işlemini yukarıdaki komut ile dışarı çıkarıp,
sorun olan dnse dnscmd /ZoneAdd <zone name> /Primary /file <zone file name> /load komutu ile import edilmelidir.

dnscmd /ZoneResetType <zone name> /dsprimary komutu ile de oluşturulan zone tipi Active Directory İntegrated’a çevirilir.

Faydalı olması dileğiyle.

Kaynak – Uğur Demir – ÇözümPark

Continue reading »]]> Bir GPO özelliğidir. Normal şartlarda bir GPO içerisinde kullanıcı ve bilgisayar olmak üzere temel iki konfigürasyon grubu vardır. Kullanıcı ayarlarındaki değişiklikler kullanıcıları, bilgisayar ayarlarındaki değşiklikler ise bilgisayarları etkilemektedir. Ancak bazı durumlarda bu özellik bizim sorunlarımıza çözüm olmayabilir. Örneğin sizin şirketinizde şube çalışanları öncelikle kendi bilgisayarlarına giriş yapıyordur ve bu durumda o kullanıcıların bulunduğu yapısal birim üzerine ( OU ) tanımlı GPO ne ise o GPO içerisindeki kullanıcı ayarları uygulanır. Örneğin masa üstüne bir kısayol gelmesi, başlat menüsünde çalıştırın olmaması, internet explorer için proxy ayarları ve benzeri. Ancak bu kullanıcı birde terminal server üzerinden çalışma ihtiyacı duyuyor fakat terminal server üzerinde farklı kullanıcı policyleri tanımlamak istiyorsanız bu durumda GPO üzerinde loopback processing dediğimiz özelliği kullanıyoruz.

Örneğin kullanıcılar kendi bilgisayarlarında son derece sınırlı bir yetki ile çalışması için bir GPO uyguladınız, ancak bu kullanıcılar asıl işlemlerini yapmak için terminal server’ a bu GPO ile bağlanınca sorun oluyor çünkü bu GPO, çalışmak için çok sınırlı. İşte bu durumda şunu yapıyoruz.

Bu kullanıcı diyelim “Muhasebe” OU altında olsun ve biz bu Muhasebe OU suna sınırlı bir ayar yapalım. Daha sonra ise Terminal Server OU su üzerinede bir GPO yazalım. Normalde bu OU altında sadece bilgisayarlar olduğu için bu GPO User ayarları anlamsız gibi gelir, ama siz eğer Loopback kullancaksanız bu durumda User ayarlarını istediğiniz gibi yapıyorsunuz. Yani Terminal Server’ a giriş yapıldığında kullanıcılara hangi ayarların uygulanmasını istiyorsanız onları yapın. Son olarak Terminal Server’ a giriş yapan kullanıcıların kendi OU su üzerindeki ( Muhasebe ) GPO ayarları yerine bu terminal server OU suna bağlı ayarların geçerli olması için bu GPO üzerinde aşağıdaki ayarları yapabilirsiniz

Computer Configuration – Administrative Templates – System – Group Policy bölümünde  Enable the Loopback Policy kısmına giriyoruz ve karşımıza iki seçenek çıkıyor,

Merge Mode

Bu seçenekte hem kullanıcı ( Muhasebe ) OU sunda hemde bilgisayar ( Terminal Server ) OU sundaki kullanıcı ayarları ortak olarak uygulanır ancak baskın olan kullanıcı ( Terminal Server ) OU sundakilerdir.

Replace Mode

Bu seçenekte ise sadece bilgisayar ( Terminal Server ) OU sundaki kullanıcı GPO ayarları geçerli olur.

Continue reading »]]> Evet çokça sorulan ve azca bilinen bir konu olduğu için bu konuda da bir bilgi paylaşmak istiyorum.

Active Directory ortamında eğer bir Windows Server 2003 ve sonrası DC kullanıyorsanız ve herhangi bir DC de bir değişiklik olursa öncelikle bu değişiklik local veri tabanına yazılır, ilgili USN artar ve bu işlemden 15sn sonra aynı site içerisindeki bir partner DC yi NTDS Settings altındaki objelerden bularak ( buradaki ismi dns üzerinden ip ye çevirir ) bu DC ye değişiklik bilgisi gönderir ( change notification ). Karşı sunucu elindeki USN tablosuna bakarak sadece değişen bilgileri kaynak DC’ den ister ( change request ) ve replikasyon tamamlanmış olur. Bundan sonra yine NTDS Settings altındaki diğer DC lerede benzer şekilde change notification göndermesi için ise 3 saniye bekler ve sonra benzer süreç diğer bir DC ile başlar.

Bu değerler kayıt defteri ile değiştirilebilir.

Windows Server 2003 ve sonraki işletim sistemleri için bir değişiklikten sonra bu değişikliğin diğer bir dc ye gönderilmesi için beklenen süre 15sn, Windows 2000 de ise 5dk dır.

Değiştirmek için

Path:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Key:   Replicator notify pause after modify (secs)
Value: REG_DWORD

Windows Server 2003 ve sonraki işletim sistemleri için bir değişikliğin bir DC ye replike edilmesinden sonra diğer bir DC ye bu bilgiyi göndermesi için beklenen süre 3 sn dir. Windows 2000 de ise bu süre 30 sn dir.

Değiştirmek için

Path:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Key:   Replicator notify pause between DSAs (secs)
Value: REG_DWORD

Continue reading »]]> Windows Server 8 de Active Directory Domain Servis Rolünü yükledikten sonra dcpromo.exe yi çalıştırmak istediğiniz zaman aşağıdaki gibi bir uyarı alacaksınız

The Active Directory Domain Services Installation Wizard is relocated in Server Manager. For more information, see http://go.microsoft.com/fwlink/?LinkId=220921

Bunun sebebi artık AD deployment senaryosu powershell ortamına aktarıldığı için, yani dcpromo yerine artık powershell içerisindeki ADDSDeployment komutunu kullanıyoruz. Bu komut 73 cmdlet içermektedir.

Örnek komutlar aşağıdaki gibidir

PS> Import-Module ADDSDeployment
PS> $pass = Read-Host -AsSecureString -Prompt “Enter Password”
PS> Install-ADDSForest -DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win8″ `
-DomainName “lab.local” `
-ForestMode “Win8″ `
-InstallDNS:$true `
-LogPath “C:\Windows\NTDS” `
-RebootOnCompletion:$true `
-SafeModeAdministratorPassword $pass `
-SYSVOLPath “C:\Windows\SYSVOL”

Veya yine eskiden olduğu gibi görsel bir arayüz ile bu işlemi yapabiliyorsunuz

Bu yeni sihirbazın ismi Active Directory Domain Services Configuration Wizard

Continue reading »]]> ÇözümPark Bilişim Portalı forumlarında bu konuda çok fazla soru geldiği için bu konuya açıklık getirmek istedim. Evet Active Directory ve File Server konu başlıklarına bakınca genelde havada uçuşan kelimelerin başında DFS, FRS gelmektedir. Durum böyle olunca bunların ne olduğunu açıklamak gerekiyor.

Öncelikle eski olan teknolojiden başlayalım. Windows Server 2003 R2 işletim sistemine kadar Active Directory üzerinde kullanılan “SYSVOL” ve “NETLOGON” klasör içeriklerinin replikasyonu ve DFS ( Distributed File System )  link target’ ların replikasyonunu sağlamaktadır.

Özetlemek gerekirse bir klasörün içeriğini alıp bir başka sunucu içerisindeki kopyasını oluşturmaktır, zaten adındanda bu net bir şekilde anlaşılmaktadır; Dosya eşitleme servisi.

Peki DFS nedir derseniz bunu yukarıdaki linkten edinebilirsiniz veya hemen aşşağıya bir özet geçiyorum

Bu replikasyon teknolojisi sayesinde sunucular arasındaki verilerin replikasyonu çok kolay bir şekilde gerçekleşmektedir.  Sahip olduğu durum bazlı ve multi master replikasyon motoru sayesinde wan performasını arttırmaktadır.  DFS replikasyonu zamanlı replikasyon desteklemektedir , ayrıca BW ayarlama ve byte seviyesinde sıkıştırma algoritması ( Remote Differential compression RDC ) ile bizlere performanslı bir replikasyon alt yapısı sunmaktadır. ( düşük BW ler ortamlarda bile )

RDC ; data içerisindeki  eklemeleri , çıkarmaları ve değişiklikleri fark ederek sadece bu alanları replike eder. Ayrıca cross-file RDC olarak isimlendirilen RDC nin bir fonksiyonu sayesinde sadece yeni dosyaları replike ederek BW maliyetlerini düşürür.

Peki bir diğer başlığımız olan DFS-R ise aşağıdaki şekilde özetlenebilir

Windows Server 2003 DC’leri düşük bant hızındaki şubelerde çalıştırdıysanız muhtemelen Sysvol replikasyonu ile ilgili problemlere rastlamışsınızdır. 2003 DC’lerde Sysvol replikasyonu için FRS adı verilen bir servis kullanılmaktaydı. Windows Server 2003 SP2 ile birlikte DFS-R adı verilen yeni bir teknoloji geldi. Bu teknoloji ile farklı sunucular üzerinde bulunan klasörler içerik olarak senkronize edilebiliyor ve bunu yaparken sıkıştırma ve delta replikasyonu gibi yeteneklerden faydalanılabiliyordu. Sorun şuydu ki, DFS-R Sysvol replikasyonu için kullanılamıyordu.

2008 dizin sunucular üzerinde Sysvol replikasyonu için artık DFS-R kullanabiliyoruz. DFS-R iki sebepten bant genişliğini çok daha verimli bir şekilde kullanıyor. Bunların ilki sıkıştırma, DFS-R replikasyonunda paketler sıkıştırılarak gönderiliyor. İkincisi ise delta replikasyonu, FRS replikasyonunda Sysvol klasöründeki bir dosyayı edit edip içeriğini değiştirmeniz dosyanın tamamının diğer DC’lere replikasyonu ile sonuçlanırdı. DFS-R kullandığınız durumda ise dosyanın sadece değişen kısmı replike ediliyor. DFS-R, FRS limitasyonları yüzünden ortaya çıkan domain başına 1200 DC sınırını aşmamıza yardımcı oluyor. Yine DFS-R özellikle şubelerde çok rastlanan ani elektrik kesintileri sonucu Sysvol klasörlerinin JournalWrap durumuna düşmesi ve Sysvol replikasyonunu durdurması hallerinde kendi kendine iyileştirme aksiyonları alabiliyor.

Sysvol replikasyonu için DFS-R kullanmak isterseniz bazı gereksinimleri karşılamanız gerekli. Bunların ilki ve en önemlisi Domain Functional Level olarak Windows Server 2008 kullanmanız, yani dizin yapınızdaki tüm DC’ler Windows Server 2008 olmalı. Daha sonra dfsrmig.exe komut satırı aracını kullanarak Sysvol replikasyonunu FRS’ten DFS-R’a migrate etmeniz gerekli. Bu işleme başlamadan önce ÇözümPark’ ta iyi bir araştırma ve dikkatli planlama yapmanızı tavsiye ederim.

Bu durumda konuyu daha iyi anlamak için aşağıdaki şekil kullanılabilir

Peki FRS servisi ne zaman rolünü DFS-R’ a teslim etti derseniz, aslınds 2003 R2 ile beraber DFS Name Space’ leri DFS-R ile replikasyon yapmaya başladı, yani bu şu demektir, 2003 R2 bir domain ortamında SYSVOL ve NETLOGON replikasyonu belki hala FRS ile yapılıyor olsada DFS Name Space leri DFS-R ile replike edilebiliyordu.  Ancak Windows Server 2008 ile beraber artık SYSVOL ve NETLOGON paylaşımlarıda DFS-R ile replike edilebiliyor. Hatta ortamda hiç 2003 DC yok ise bu paylaşımların DFS-R ile yapılması tavsiye ediliyor ( 2003 den 2008 geçişleri sonrası mevcut sysvol ve netlogon paylaşımlarının DFS-R’ a migration yapılması için bu linki kullanabilirsiniz http://www.cozumpark.com/blogs/videolar/archive/2009/04/12/video-windows-server-2008-domain-upgrade-bolum-3-sysvol-frs-to-dfrs-migration.aspx )

Peki ortamdaki sunucuların tamamı 2008 R2 ise ? bu durumda zaten artık DFS için FRS servisini kullanamıyorsunuz, ama hala ortamda 2003 DC olmasına karşın 2008 R2 üzerinde FRS bulunmaktadır, ancak eğer 2003 DC yok ise ortamda bu servis “Disable” konumunda olmalıdır.

Umarım özet bilgiler ile bu konuya açıklık kavuşturabilmişimdir. Tüm sorularınız için ÇözümPark forumlarını kullanabilirsiniz.

Continue reading »]]> Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 8 ile işletim sistemi ve sanallaştırma alanlarında gelen yeniliklerle ilgili bilgilerimizi önceki makalelerimizde sizlerle paylaştık. Bu makalede de özellikle Active Directory alanında gelen aşağıdaki önemli yenilikleri inceliyor olacağız:

Şimdi de bu yeni özellikler daha detaylı ele alalım:

Gen ID Teknolojisi ile Risksiz ve Sorunsuz Active Directory Domain Controller Sanallaştırma (VDC) Desteği : 

Windows Server 8 ile active directory tarafında göze çarpan en önemli üç yenilik; sorunsuz sanallaştırma, kurulum kolaylığı, yönetim kolaylığı. Windows Server 8 ile beraber artık rahatlıkla active directory domain controller sunucularınızı sanallaştırabilirsiniz. Eskiden sanal ortamda bulunan bir domain controller sunucuyu imajdan geri yükleme ya da eski versiyon bir snapshot’a dönme işlemleri yaptığınızda active directory içerisindeki USN (update sequence number) bilgilerinden kaynaklanan replikasyon sorunları oluşuyordu. USN active directory içerisindeki domain controller sunucuları arasında replikasyonu izlemek için kullanılan bir versiyon numarasıdır. Active directory içerisindeki verilerde değişiklik yapıldığında bu USN numarası artarak bir değişikliğin olduğu bilgisi eklenmiş olur. Böylece replikasyon esnasında da diğer domain controller sunucular bu bilgiden kaynaklı bir replikasyon isteğinde bulunurlar. Active directory Windows Server 8’den önce sanallaştırma ortamındaki aksiyonlardan anlamadığı için, host seviyesinde yapılan aksiyonlarda yapısı yukarıdaki örnekte olduğu gibi bozulabiliyordu. Windows Server 8 ile artık active directory sunucuları da sanallaştırmada güvenilir teknoloji ile geliyor. Windows Server 8 ile oldukça yaygınlaşacak sanal domain controller (virtual domain controller – VDC) kavramı geliyor. Bunun en büyük nedeni artık domain controller sanallaştırmadaki snapshot aksiyonlarına-duyarlı olarak geliştirildi ve bunu kontrol etmek için de VM generation ID (gen ID) olarak adlandırılan bir etiket ile active directory ortamında snapshot’dan sonraki değişiklikler tespit edilerek AD ortamı korunmuş oluyor. Şu anda Microsoft bunu kendi hypervisor’ü olan Hyper-V’de aktifleştirdi. Ve bu konuda diğer hypervisor üreticilerine de bu özelliği kendi sistemlerine entegre etmeleri konusunda gerekli bilgilendirmeleri ve önerileri yapıyor. Bu konuda bunu dikkate almayan hypervisor üreticilerine göre Hyper-V önemli bir avantaja sahip olmuş olacak.

Domain Controller Klonlama:

Windows Server 8 ile artık domain controller sunucularının klonlanması da çok kolaylaşıyor. Bu konuda yine önümüzdeki haftalarla sizlerle adım adım VDC klonlama makalelerini paylaşıyor olacağım.

Server Manager İle Active Directory Migration:

Bunun yanında özellikle VDC’lerin upgrade ve yükseltme süreçleri üzerinde de çalışan active directory ekibi bunları da oldukça kolaylaştırmış.  Windows Server 8 ile gelen sadece Server Manager konsolunu kullanarak önceki Windows Server sürümlerinde çalışan active directory yapılarınızı Windows Server 8’e yükseltebiliyorsunuz. Eskiden olduğu gibi doğru ADPREP versiyonu ile FORESTPREP ve DOMAINPREP parametrelerini kullanarak altyapıyı hazırlayıp, sadece Server Manager kullanarak uzaktan yükseltme yapmak mümkün. Windows Server 8 Active Directory yapısına geçiş makalemiz hazır. Bunu önümüzdeki haftalarda sizlerle paylaşıyor olacağız.

Grafiksel Recycle Bin :

Diğer taraftan Windows Server 2008 R2 ile tanıştığımız Active Directory Recycle Bin özelliği için artık grafiksel arayüzden destek de gelmiş. Windows Server 2008 R2’de sadece powershell komut satırı ile kullanılan özelliği artık grafiksel arayüzden de kullanarak objeleri geri getirebiliyoruz. Yine bu konuda da önümüzdeki haftalarda adım adım uygulamaları içeren makalemizi yayınlıyor olacağız.

PowerShell History Viewer :

Windows Server 8 ile gelen yeniliklerden biri de Active Directory Administrative Viewer konsolu içerisinde alt kısımda gelen yeni bir panoda görebileceğiniz PowerShell History Viewer özelliği. Varsayılan olarak bu pano kapalı geliyor. History Viewer panosunu açarak ADAC konsolunda yapılan aksiyonlara paralel olarak arka tarafta çalışmış PowerShell komutları hakkında bilgi alabilirsiniz. Böylece active directory yönetimi için kullanılan powershell komutlarının kullanımı ve sözdizimi konusunda da size faydalı olacaktır. Ayrıca burdaki komutları kopyalayıp scriptler içerisinde kullanabileceğiniz gibi panodaki Tasks özellikleri için de kullanabilirsiniz. Buradaki komutlar ADAC oturumu kapatılıp açılsa da günlerce kalıyor. Bundan dolayı sonradan da önceki komutlara erişebiliyor olacaksınız. 

Active Directory Users and Computers (ADUC) Konsolu Hala Devam Ediyor.

Windows Server 8 ile active directory yönetiminde konsol olarak Active Directory Administrative Center yanında Active Directory Users and Computers de hala devam ediyor. ADAC konsolu şu anda ADUC konsolunda olan önemli fonksiyonelliklerden yoksun. Dolayısıyla biz yine yoğun olarak ADUC konsolunu kullanamaya devam edeceğiz gözüküyor. Diğer yandan Microsoft ekipleri ADUC konsolunda da bir geliştirme ya da yenilik çalışması yapmamış. Fakat hala active directory yönetiminde şimdilik favori. Uzun süreçte ADUC yerini ADAC’a bırakacak gözüküyor.

Active Directory Entegrasyonlu Ürün Aktivasyonu :

Yönetim kolaylığı alanında gelen bir diğer yenilik de ürün aktivasyonunda artık active directory’nün kullanılması. İstemcilerle haberleşirken eski klasik RPC yerine LDAP kullanıyor ve veritabanı içerisine de herhangi birşey yazılmıyor. Fakat özellikle Windows 8 sistemler için hala KMS altyapısını kullanmaya devam ediyoruz.

Active Directory Entegrasyonlu Dinamik Erişim Kontrolü :

Windows Server 8 ile Active Directory içerine entegre kimlik ve güvenlik alanında çok önemli bir bileşen geliyor : Dinamik Erişim Kontrolü (Dynamic Access Control – DAC).

DAC sayesinde dosya sunucularında NTFS dosya sistemine sahip volume’ler  üzerinde bulunan dosyalara erişim ve denetleme active directory üzerinde merkezi politikalarla yönetilebiliyor. Politikalar oluştururken dosya sunucusu üzerindeki dosyalar üzerinde NTFS-tag yöntemi ile etiketleme yapılarak dosya sunucusu verileri sınıflandırılıyor. Bu yöntem sadece Windows Server 8’de çalışan dosya sunucularını destekliyor olacak. İstenirse tag yöntemi ile etiketleme dosya sahibi tarafından da yapılabiliyor. Benzer politikalar denetleme (audit) kuralları için de yazılabiliyor. Bu konuda önümüzdeki haftalarda adım adım uygulamalı makalelerimiz sizlerle paylaşıyor olacağız.

Sonuç Olarak;

Windows Server 8 ile Microsoft, Active Directory alanında da sanallaştırma, yönetim, kurulum, güvenlik, otomasyon gibi çok sayıda alanda özellikle IT profesyonellerinin işini kolaylaştıracak az ama öz kıvamında geliştirmelerle geliyor. Tabiiki şu anda size Developer Preview ile gelen ve şu ana kadar incelediğimiz özellikleri bahsettik. Ürünün beta, release candidata sürümlerinde de gelecek ekleme ve değişiklikleri sizlerle paylaşıyor olacağız. 

Bir başka makalemizde görüşmek üzere hoşça kalın.

Continue reading »]]> Domain ortamındaki sunucu veya istemci bilgisayarların Secure Channel bağlantılarını kaybetmeleri halinde “domainden düşme” diye tabir ettiğimiz bir durum oluşur. Bu durumda istemci makine domain’ e logon olamadığı için sizde bu makinede logon olamayacaksınız. Ancak olası her logon sorunu domainden düşme olarak algılanmamalı ve aşağıdaki komut ile kontrol edilmelidir.

C:\Users\hakanuzuner>nltest /server:hakan-pc /sc_query:cozumpark.com
Flags: 30 HAS_IP  HAS_TIMESERV
Trusted DC Name \\DC1
Trusted DC Connection Status Status = 0 0×0 NERR_Success
The command completed successfully

yukarıdaki komutun çıktısında “Success” görmeniz domain ile secure channel sorunu olmadığını anlamanız için yeterlidir.

Continue reading »]]> Windows Server 2008 R2 Üzerinde kullandığınız RMS Servisindeki izin mimarisi hakkında son dönemde sorulan sorular üzerine detaylı bir yazı paylaşmak istiyorum. Bildiğiniz gibi RMS ürününün amacı bilgi güvenliği sağlamaktır, bu ürün sayesinde dökümanların kopyalama, düzenleme, çıktı alma vb eylemler için sınırlandırabiliyoruz. Bu konuda zaten son derece detaylı bir makale paylaşımı yapılmıştır, isterseniz bunlarıda inceleyebilirsiniz

http://www.cozumpark.com/search/SearchResults.aspx?q=RMS&a=1

Peki gelelim sistemi kurdunuz ve yeni bir template oluşturdunuz, aşağıdaki gibi bir takım izinleri düzenlemek istiyorsunuz

Yukarıdaki izinlere göre kullanıcı sadece dökümanı izleyebilecektir. Örneğin yukarıdaki şablon ile güvenliği sağlanan bir dökümanı açan kullanıcı için izinler aşağıdaki gibi görünecektir

Buraya kadar bir sorun yok, sorun ise ilk olarak edit ve save izinlerinde ortaya çıkıyor. Eğer siz bir kullanıcıya Edit izni verirseniz bu otomatik olarak aslında save izni, veya bir kullanıcıya save izni verirseniz benzer şekilde edit izni olmaktadır, bunuda zaten bu izinlerden herhangi birini seçince ikincisininde otomatik olarak seçilmesinden anlayabilirsiniz.

Özetle Edit ve Save izinleri aslında tek bir izin gibi düşünülebilir. Ancak iş bundan sonra biraz daha karışıyor, hemen bu izilerin altında save as izni bulunmaktadır ve bu izni normalde vermiyoruz, ancak baktığımız zaman bu iznin açık olduğunu görüyoruz.

Sizin şablon aşağıdaki gibi

Ancak bu şablon ile bir dökümanı şifrelediğiniz zaman karşı taraf bu dökümanı açıyor, değiştiriyor kayıt ediyor ve hatta save as yapabiliyor, işte sorun burada başlıyor, normalde save as izni vermiyor olmanıza rağmen bu save as neden çalışıyor ? Aslında çalışmıyor, siz eğer save as izni verirseniz gerçekten bu dökümanı kullanıcı istediği dosya formatında kayıt edebilir

Ama save as izni vermezseniz bu alan aşağıdaki gibi değişmektedir

Yani aslında save as izni olmadığı için her formatı artık kullanamıyoruz, sadece RMS ile şifrelenebilen yani desteklenen formatları kullanabiliyoruz, fark aslında budur.

Continue reading »]]> AD kurulumu sırasında karşınıza aşağıdaki gibi bir hata ekranı çıkabilir

The local Administrator account becomes the domain Administrator account when you create a new domain. The new domain cannot be created because the local Administrator account password does not meet requirements.

Currently, a password is not required for the local Administrator account. We recommend that you use the net user command -line tool with the /passwordreg:yes option to require a password for this account before you create the new domain; otherwise, a password will not be required for the domain Administrator account.

Pek çok kez windows server 2008 üzerinde active directory kurulumu yapmış biri olarak bu hatayı hiç görmemiş olabilirsiniz ve dahası onlarca veya yüzlerce kez kurulum yapıp bu hatayı alınca ne yapacağınızı bilemeyede bilirsiniz. Bu da benim başıma 2008 yılında bir projede gelmişti ancak yazmak şimdi kısmet oldu malum birileri istedikçe bende böyle kısaca konular hakkında bilgi veriyorum.

Gelelim bunun neden kaynaklandığına, aslında bakarsanız bu sorun daha çok 2008 sistemlerinde dcpromo yerine öncesinde server manager üzerinden AD DS rolünün kurulmasında görülüyor, çünkü bu kurulum sonrasında bilgisayarınız aslında halen workgroup çalışan bir sunucu olmasına karşın AD DS rolü yüklüdür ve bunun yansıması olarak gpedit.msc ile local gpo içerisine girdiğiniz zaman password policy nin garip bir şekilde değiştiğini göreceksiniz.

Normalde olmasını beklediğimiz ayarlar aşağıdaki gibidir 

Ancak sorunlu GPO görüntüsü aşağıdaki gibidir

tek yapmamız gereken ise bu gpo ayarlarını olması gereken gibi yapmak ve sonrasında gpupdate ile bu ayarların aktif olmasını sağlamak. Son olarak ise aşağıdaki komutu çalıştırdıktan sonra kuruluma sorunsuz bir şekilde devam edebiliriz

net user Administrator /passwordreq:yes

umarım faydalı bir paylaşım olmuştur.

Continue reading »]]> Kullanıcı şifreleri her şirket güvenlik politikası gereği belirli bir zaman zarfında değişmek zorundadır. Örneğin 90 günde bir parola değiştirmek  için ayarladığınız bir policy var ise 90 günün sonunda logon olmaya çalışan bir kullanıcı kullandığı işletim sistemine göre aşağıdaki uyarılardan birini alır

the password for this account has expired

your password has expired and must be changed

Buraya kadar anlattığım şeyler aslında herkesin bildiği çok temel konular ancak gelelim daha öncesinde tecrübe etmemiş biri için kritik olan bilgiye, örneğin bir yöneticiniz var ve yurt dışına çıktı, ancak tam o sırada şifresinin süresi doldu ancak logon olacak ve şifre değiştirecek bir makine yok, sadece cep telefonundan maillerine bakıyor, tabiki böyle bir durumda maillerine bakamıyor olacak, sorunun çözümü için siz onun şifresini resetler ve ona yeni bir şifre verebilirsiniz ancak bunu kobi gibi küçük yerlerde yapabilirsiniz, GSM, Banka veya büyük kurumlarda böyle bir lüksünüz olmadığı için o kullanıcı için password never expire seçeneğinin sizi bu durumdan kurtaracağını biliyor olmanız gerekli Evet doğru okuyorsunuz, şifresi expire olmuş bir hesap üzerinden bu değişikliği yaparak onun eski şifresini bu kutucuk işaretli kaldığı sürece kullanmasını sağlayabilirsiniz.

Peki şunu da sorarsınız diye yazayım, ben zaten böyle önemli kişilerin şifrelerini never expire yapıyorum, bu çok tehlikeli ve yine yukarıdaki gibi kobi dışında yapabileceğiniz bir ayar değil, bunu yapmanız zaten sizin sistem bilginiz noktasında bir eksiklik olduğunu veya kobi tarzından denetlenmeyen küçük işletmelerde çalıştığınızı gösterir.

Continue reading »]]> Active Directory mimarisinde 2008 ile beraber hayatımıza giren Fine Grained Password Policy sayesinde artık domain ortamında tek bir password policy kullanımı şartı ortadan kalkmıştır. Bu yeni policy sayesinde kullanıcı veya gruplara farklı farklı şifre ve kilitlenme politikaları uygulayabilmekteyiz. Örneğin adminler için sıkı bir politika, kullanıcılar için orta seviyede bir politika ve servis hersapları için yine farklı bir politika belirleyebilir ve bunları kullanıcı yada gruplara bağlayabilirsiniz. Ancak buradaki asıl sorun Fine Grained Password Policy leri OU ( Organization Unit ) lara bağlayamıyor olmamız. Eğer FGPP tanımlamak istiyorsanız bu durumda gruplarınızın buna uygun olarak dizayn edilmesi gerekiyor, ancak bu da günümüz şartlarında biraz zor. Çünkü eski yapıdan gelen alışkanlıklardan dolayı hemen hemen kimse grupları FGPP için ayarlamamıştır, ancak herkesin OU yapısı password policy için ayrı uygulanmaya hazırdır. Bundan dolayı microsoft 2008 ile beraber bu FGP policylerinin OU lara uygulanması için gölge grup denilen shadow groups kavramını çıkarmıştır. Peki nedir bu gölge grup derseniz, Fine Grained Policy’ nin uygulanabildiği ve mantıksal olarak bir OU ya bağlanmış gruplardır. Bu sayede siz bu gruba bir policy uygulayarak aslında bir OU ya policy uygulamış olabiliyorsunuz.

Tabiki burada sistem OU içerisindeki kullanıcıların bu grubun üyesi yapılması esasına dayanmaktadır. Buradaki en büyük sorun ise OU dan bir taşıma yaparsanız bu kullanıcı için grup üyeliğini yine güncellemeniz gerekecektir ( yani yeni geldiği OU ya bağlı olan shadow group için üye olmalıdır ki bu OU ya bağlı olan Fine Grained password policy’ yi alsın ).

Peki avantajı nedir derseniz, aslında guplara policy uygulamak çok daha avantajlıdır. Neden derseniz ;

1 – Gruplar yine başka gruplarıda içine alarak kullanıcı yönetimini kolaylaştıran ve OU lara göre bu işi daha esnek olarak yapan bir mimariye sahiptir.

2 – Pek çok Ad yapısı hali hazırda grupları sınıflandırdığı için böyle bir policy uygulaması çok daha kolay olacaktır. Yine Windows Server işletim sistemide yönetimi kolaylaştırmak için pek çok hazır grup kullanmaktadır ( Domain Admins, Enterprise Admins, Schema Admins, Server Operators, Backup Operators )

3 – Grup yapınızın FGPP için değiştirilmesi OU yapınızın değiştirilmesine göre daha kolay olacaktır. Çünkü OU yapınız muhtemel policy yönetiminize göre yapılandırıldığı için bunu FGPP için değiştirmek ciddi sorunlara sebep olabilir. Böyle yapısal bir değişiklik çok detaylı bir planlama gerektirmektedir.

Peki gölge gruplar nasıl kullanılır ? Gölge gruplar AD üzerinde aslında yeni bir grup kavramı değildir, mevcut grupların farklı bir şekilde kullanılması sonucu oluşan yeni bir çözümdür.

Bir örnek ile uygulamalı anlatmak isterim.

Öncelikle Domain ortamında bir adet OU açın, ben CP isminde bir OU açtım. Sonra içine bir kaç tane kullanıcı tanımlayın, ben Hakan1, Hakan2 ve Hakan3 isminde 3 kullanıcı tanımladım ve son olarak bir grup oluşturdum, ismi ise Shadow dir.

Şimdi ilk olarak oluşturduğumuz grubun distinguished name’ ini alıyoruz

PS C:\Users\Administrator> dsquery group /name Shadow

çıktı;

“CN=Shadow,CN=Users,DC=cozumpark,DC=com”

Bu çıktıyı ilerleyen bölümde kullanacağız.

Benzer şekilde OU içinde DN değerini alıyoruz

PS C:\Users\Administrator> dsquery ou /name CP

 
çıktı;

“OU=CP,DC=cozumpark,DC=com”

Şimdi shadow grup olacak grubu tanımladık ve OU da hazır. İşleme devam etmeden önce shadow group üyelerinin boş olduğunu doğrulayalım

dsquery group /name FGPP | dsget group /members

çıktı

Boş olacak çünkü üye yok.

Bunu AD Users and Computer aracı üzerindende kontrol edebilirsiniz.

Şimdi ise sıra geldi OU içerisindeki User’ ların Shadow grup’ a eklenmesi. 

Dsquery user “OU=CP,DC=cozumpark,DC=com” | dsmod group “CN=Shadow,CN=Users,DC=cozumpark,DC=com” -chmbr
çıktı;

dsmod succeeded:CN=Shadow,cn=users,DC=cozumpark,DC=com

Evet şimdi baktığımız zaman Shadow grubunda Hakan1, Hakan2 ve Hakan3 kullanıcılarının üye olduğunu göreceksiniz, yani bu komut sayesinde OU içerisindeki tüm user’ lar istediğiniz bir gruba üye olabiliyorlar.

Continue reading »]]> Schema konsoluna erişmek için windows server işletim sisteminde aşağıdaki komutu çalıştırıyoruz.

regsvr32 schmmgmt.dll

bu komut sonrası artık başlat – çalıştır – mmc yardımı ile schema konsoluna erişebiliriz.

ancak bu komut sonrası 0×80040201 hatası alıyorsanız bunun temel sebebinin windows vista – 2008 ile hayatımıza giren UAC dur. Bundan dolayı cmd konsolunu run as administrator olarak çalıştırdıktan sonra bu komutu sorunsuz bir şekilde çalıştırabilirsiniz.

Continue reading »]]> Active Directory ortamında logon olan bir kullanıcı KDC üzerinden bir TGT alır. Bu TGT içerisinde kendi kullanıcı SID numaralarının yanında üye olduğu grup SID leride bulunmaktadır. Bunun temel sebebi bir domain user üyesi ile domain admins grubu üyelerinin farklı yetkilere sahip olmasıdır. Özetle bir kullanıcı logon olacak ise mutlaka grup üyeliklerinin DC tarafından sorgulanıyor olması gereklidir. Bu grup üyeliklerinden universal grup yani forest içerisinde veya farklı bir forest yapısında veya aynı forest ancak farklı domaindeki üyeliklerin sorgulanabilmesi için global catalog denilen bir yapı kullanılır. Eğer DC bir şekilde GC’ ye ulaşamaz ise bu durumda grup üyeliklerinin sorgusuna cevap alamaz bu durumda da o kişi logon olamaz. Universal group memeber caching ise şube yapılarında GC olmadığı durumlarda kullanılır, merkez ile şube arasında hat olduğu sürece buradaki dc kendi üzerinden logon olan her kullanıcı için Domain group ve universal group üyeliklerini kendi üzerinde cache’ler ve bu sayesde olası bir hat kesintisi durumunda bu cache yardımı ile şube tarafı logon işlemini gerçekleştirebilir. Bu ilk logon işleminden sonra alınan bilgi her 8 saatte bir merkeze gidilerek güncellenmektedir. Bu sayede GC olmayan sitelarda logon işlemleri son derece hızlı bir şekilde gerçekleşecektir.

Bu özelliği açmak için

Active Directory Site and Services yönetim konsolunu açın ve buradan bu özelliği açmak istediğiniz DC’ nin bulunduğu Site üzerinden bu DC ye ulaşın. Daha sonra bu DC altındaki NTDS Settings üzerine sağ tıklayarak özelliklerden “Enable Universal Group member Caching” kutucuğunu işaretleyin. Hepsi bu kadar.

Continue reading »]]> User Configuration – Administrative Templates altında Control Panel bölümüne geliniz, ardından sağ bölümdeki “Hide Specified Control Panel item” policy ayarına çift tıklayarak açılan bölümde öncelikle bunu “enable” olarak seçin ve show diyerek açılan bölüme işletim sisteminiz türkçe ise “Yönetimsel Araçlar” ingilizce ise “Administrative Tools” yazmanız yeterli olacaktır.

Bu bir örnek olup yasaklamak istediğiniz ayarlara ait olan isimleri yazamanız yeterlidir. Bu isimlere ait tüm listeyi aşağıdaki adresten bulabilirsiniz

http://go.microsoft.com/fwlink/?LinkId=122973