Kullanıcı Hesapları (User Accounts)

Merhaba  bu makalemde  büyük ve orta ölçekli tüm yapılarda bizleri tanımlayan  yaptığımız işlemlerde  kullandığımız kullanıcı hesaplarından bahsedeceğim  örnek  network teki bir kaynağa erişirken biz o domaindeki  yetkili kullanıcı adımızı  ve kullanıcı adımıza atanmış izinleri kullanarak  o kaynağa erişir ve o kaynağı kullanırız  Veya şöyle örnek vereyim  pcmize logon olurken yani oturum açarken bize verilen  çalıştığımız şirketin domainin de  oluşturulmuş olan active directory kullanıcı hesabını ve şifresini kullanarak pc mize logon oluruz ve kaynakları kullanmaya başlarız . Bu kaynak bir paylaştırılmış printer olabilir  bir paylaştırılmış  ortak klasör olabilir .

Nedir Kullanıcı hesabı, Kullanıcı hesapları  network ortamında çalışan kullanıcıyı tanımlayan bir nesnedir. Kullanıcı hesapları bir kullanıcının domaine ya da bilgisayara oturum açıp, mevcut kaynakları kullanabilmesini sağlar. Her kullanıcı hesabına ayrıca haklar ve kaynak erişim izinleri verilebilir.

Kullanıcı hesapları bir  kullanıcı adı (UserName) ile tanımlanır. Her kullanıcı hesabının bir de parolası vardır. Kullanıcılar kendileri için oluşturulmuş olan kullanıcı hesabını, bu iki bilgiyi bilgisayara girerek kullanmaya başlarlar.

Windows Server 2003’te “Yerel Kullanıcı Hesabı” ve “Domain Kullanıcı Hesabı” olmak üzere iki tip kullanıcı hesabı vardır.

Yerel Kullanıcı Hesapları

Yerel kullanıcı hesapları, kullanıcıları sadece oluşturuldukları bilgisayara oturum açmalarını ve sadece o bilgisayardaki kaynaklara erişebilmelerini sağlar. Her Windows Server 2003’te SAM (Security Account Manager) adı verilen bir veritabanı bulunur. Oluşturulan yerel kullanıcı hesapları bu veritabanında tutulur ve başka bilgisayarlar ile paylaşılmazlar. Yerel kullanıcı hesapları “WorkGroup” ortamında kullanılırlar. Kullanıcılar her farklı bilgisayardaki kaynağa erişmek için farklı kullanıcı hesabına ihtiyaç duyarlar. Geniş networkler de yönetimleri zordur.

 

Yerel kullanıcı hesabı oluşturmak için:

“My Computer” simgesine sağ tıklayıp “Manage” komutunu veriyoruz. Açılan “Computer Management” konsolunda “Local Users and Groups” öğesini açıp “Users” kısmına geliyoruz. (Şekil 1)

veya Start > run > lusrmgr.msc  ile  direk olarak Local Users and Groups alanına erişim yapabiliriz .Şekil 1

 

image001

 

Pencerenin sağ tarafında boş bir yere sağ tıklayıp “New User” komutunu veriyoruz.

Yeni kullanıcı oluşturma iletişim kutusunda gerekli yerleri doğru bilgilerle dolduruyoruz.

 

Şekil 2

 

image002

 

Bu iletişim kutusundaki:

User name : Kullanıcının bilgisayara oturum açarken ya da network te başka bir bilgisayardan bağlanırken yazması gereken kullanıcı adıdır. Bu ad yerel bilgisayarda eşsiz olmak zorundadır.

Full name : Bu kullanıcı hesabının sahibi olan kullanıcının  tam adıdır.

Description : Kullanıcı hakkında herhangi bir bilgi yazabileceğimiz alandır.

Password : Kullanıcının bu kullanıcı hesabını kullanabilmesi için bilmesi gereken paroladır. Bu alana yazılanlar gösterilmez.

Confirm password : Password kısmına yazdığımız parolayı doğru yazdığımızdan emin olmak için tekrar yazabileceğimiz alandır.

User must change password at next logon : Bu seçenek kullanıcıyı, ilk oturum açtığında parolasını değiştirmeye zorlar. Eğer kullanıcı ilk olarak network den erişmeye çalışırsa, parola değiştirilemeyeceği için hesap kullanılamaz.

User cannot change password : Kullanıcının parolasını değiştirememesini sağlar.

Password never expires : Parolanın her zaman geçerliliğini korumasını sağlar.

Account is disabled : Kullanıcı hesabının, var olduğu halde kullanılamamasını sağlar.

 

Bilgileri girdikten sonra “Create” düğmesine basıyoruz. Kullanıcı oluşturulduğu halde yeni bir kullanıcı oluşturabilmemiz için iletişim kutusu hala ekranda görünecektir. Eğer başka kullanıcı oluşturmak istemiyorsak “Close” düğmesine basmamız gerekir.

Domain Kullanıcı Hesapları

Domain kullanıcı hesapları, kullanıcının domaine oturum açmasını ve network teki tüm kaynaklara erişebilmelerini sağlar. Domain kullanıcı hesapları, DC’ler (Domain Controller) üzerindeki “Active Directory” veritabanında tutulur. Kullanıcılar network deki herhangi bir bilgisayardan, bir DC’ye bağlanarak kullanıcı adını ve parolasını belirterek sadece bir kere oturum açar.

Domain kullanıcı Hesabı oluşturma

Domain kullanıcı hesapları DC’de tutulur ve domain deki diğer tüm DC’lere kopyalanır. Domain kullanıcı hesabı oluşturmak için.

“Administrative Tools “ menüsündeki “Active Directory Users and Computers” aracını başlatıyoruz. (Şekil 3)

 

Şekil 3

 

image003

 

Kullanıcı hesabını oluşturmak istediğimiz klasöre Daha doğrusu OU ya  sağ tıklayıp “New-> User” komutunu veriyoruz. Açılan “New User” iletişim kutusunu dolduruyoruz. (Şekil 4) ve “Next” düğmesine basıyoruz.

 

image004

 

First Name : Kullanıcının  ilk adı.

Last Name : Kullanıcının  soyadı.

Full Name : Kullanıcının  tam adı. Bu isim kullanıcının  oluşturulduğu klasörde eşsiz olmak zorundadır.

User Logon Name : Kullanıcının  domaine logon olurken kullanacağı kullanıcı adıdır. Tüm Active Directory’de eşsiz olmak zorundadır.

User Logon Name (pre-Windows 2000) : Kullanıcının eski işletim sistemlerinde kullanılmak üzere oluşturulan ikinci kullanıcı adı. Bu ad domain de eşsiz olmak zorundadır.

 

Bu kısımda kullanıcının  parolasını giriyoruz. (Şekil 5)

Şekil 5

 

image005

 

Password : Kullanıcının  domaine logon olurken kullanacağı parola. Büyük harf, küçük harf ve sayılardan oluşmak zorundadır ayrıca en az 7 karakter olmalıdır. Bu özellik istenirse değiştirilebilir. Default olarak bu şekilde gelmektedir !

Confirm Password : Parolayı yanlış yazmış olma ihtimaline karşı tekrar yazıyoruz.

User must change password at next logon : Bu seçenek İşaretlenirse kullanıcı bir sonraki logon aşamasında parolasını değiştirmek zorunda kalır.

User cannot change password : Kullanıcının  hiçbir zaman parolasını değiştirememesini sağlar.

Password never expires : Parolanın geçerliliğini yitirmesini engeller.

Account is disabled : kullanıcı hesabı oluşturulmasına rağmen kullanılamaz.

Not ;

Logon İsimleri :

En Fazla 20 Karakter olabilir Büyük Küçük Harf fark etmez .

Logon İsimlerinde Aşağıdaki Karakterler Kullanılamaz .

“ / \ [  ]  : ; | = , + * ? < > 

 

Şifreler : 

Password ler en fazla 128  Karakter olabilir .

Büyük küçük harf ve özel karakterlerin karışımı şeklinde olabilir

 

Ek not : 

 

Domain kullanıcı hesapları  domain bilgisayar hesapları domain grup  hesapları ve Organization unit gibi nesneler grafiksel arayüz ün yanı sıra Command Prompt  yardımı ile de oluşturulabilmektedir

 

Örnek bir  ou oluşturacağım ve bu organization unit altınada  Eser Solmaz kullanıcısını açağım

 

OU ismimiz Sistem  ou içerisinde oluşturacağımız  kullanıcımız Eser Solmaz ve şifresi  Passw0rd

 

image006

 

image007

Domain Kullanıcı Hesaplarının Yönetimi

Oluşturulan her domain kullanıcı hesabı için bir kaç varsayılan seçenek geçerlidir. Logon olabilme saatleri, kullanılabilecek bilgisayarlar, kişisel ayarlar gibi bir çok seçenek değiştirilebilir.

Kişisel Ayarlar

“Active Directory Users and Computers” aracı kullanılarak mevcut kullanıcı hesapları üzerinde değişiklikler yapılabilir. Kullanıcı hesaplarının özelliklerini değiştirmek için:

Mevcut bir kullanıcı hesabına sağ tıklayıp “Properties” komutunu veriyoruz. Veya kullanıcı hesabı üzerinde çift tıklıyoruz . Açılan iletişim kutusunda(Şekil 6)

 

Şekil 6

 

image008

 

General : Kullanıcının adı, soyadı, çalıştığı ofis, telefon numarası ve e-mail adresi gibi kişisel bilgiler içerir.

Address : Kullanıcının ev adresi, posta kodu, yaşadığı şehir ve ülke gibi kişisel bilgiler içerir.

Account : Kullanıcı adı, hesap seçenekleri, kullanım süresi gibi bilgiler içerir.

Profile : Kullanıcı profilinin ve “Home Folder”ın yerini belirtebileceğimiz alandır. Örnek vermek gerekirse biz şirketimizde Roaming Profile  yani Gezici Kullanıcı profili yapısını  kullanıyorsak bu profilin bilgilerini gireceğimiz alan burasıdır

Telephones : Kullanıcının  ev, iş, cep telefonu ve çağrı cihazı numaraları gibi bilgiler içerir.

Organization : Kullanıcının  çalıştığı departmanı ve görevini yazabileceğimiz alandır.

Member Of : Kullanıcı hesabının üyesi olduğu grupları gösterir.

Dial-in : Kullanıcının  networke uzaktan erişim izinleri ve geri arama ayarlarını içerir. Özellikle VPN vb uygulamalar kullanıyorsak bu alanı kullanabiliriz  VPN bağlantısı ile gelen kullanıcılara bu alan üzerinden statik ip adresi dağıtabiliriz  vb 

Environment : Kullanıcı “Terminal Services” aracılığı ile bağlandığında çalıştırılacak uygulamaların path ini  girebileceğimiz alandır.

Terminal Services Profile : Kullanıcının  “Terminal Services” profilini belirler.

Remote Control : Kullanıcının “Terminal Services” bağlantısını uzaktan kontrol etme ayarlarını içerir.

Sessions : Kullanıcının “Terminal Services” ayarlarını içerir.

COM+ :

Hesap Ayarları

Kullanıcı Hesabının özelliklerinde “Account” sekmesinden hesap ayarları yapılabilir. (Şekil 7)

Şekil 7

 

image009

 

User logon name : Kullanıcının  domaine logon olurken belirtmek zorunda olduğu kullanıcı adıdır. E-mail adreslerine benzer örn:ozgurs@cozumpark.local. Diğer adı “UPN” (User Principal Name). Active Directory’de eşsiz olmak zorundadır.

User logon name (pre-Windows 2000) : Kullanıcının , Windows 2000 öncesi işletim sistemlerinden logon olurken kullandığı kullanıcı adıdır. Domain de eşsiz olmak zorundadır.

Logon Hours : Kullanıcının  domaine hangi saatler arası logon olabileceğini belirleyebileceğimiz alan sağlar. (Şekil 8) Şekilde mavi renkle gösterilen saatler de kullanıcı logon olabilir. Diğer saatlerde logon olmasına izin verilmez. Varsayılan olarak kullanıcılar 7 gün 24 saat logon olabilirler.

 

Şekil 8

 

image010

 

 

Log On To : Kullanıcının domaine logon olurken kullanabileceği bilgisayarları belirtebileceğimiz bir alan sağlar. (Şekil 9). Şekle göre kullanıcı sadece CLIENT01 ve CLIENT02 adlı bilgisayarlardan logon olabilir. Varsayılan olarak domain kullanıcıları DC hariç tüm bilgisayarlardan logon olabilirler.

 

Şekil 9

 

image011

 

Account Options : Kullanıcının  parolası ile ilgili ayarların yapıldığı alandır.

Account Expires : Bu kısımdan kullanıcı hesabının son kullanma tarihi ayarlanır. Varsayılan olarak hesapların hiçbir zaman süresi dolmaz. “End of” seçeneği işaretlenip, hesabın son kullanma tarihi belirlenebilir.

Logon Olma İşlemi

İster yerel bilgisayara ister domaine logon olurken bir kullanıcı adı ve parola girmek zorundayız. Kullanıcı  adı ve parola kullanıcı hesabının bileşenleridir.

Windows Server 2003 logon olmadan kullanılmasına izin vermez. Açıldığında bu bilgileri girebileceğimiz bir alan sağlar. Logon olabilmek için.

 

Şekil 10’daki iletişim kutusunu görünce “CTRL+ALT+DEL” tuşlarına basıyoruz.

 

Şekil 10

 

image012

 

 

Karşımıza çıkan iletişim kutusuna gerekli bilgileri yazıyoruz ve “OK” düğmesine basıyoruz. (şekil 11)

 

Şekil 11

 

image013

 

User name : Kullanıcı adını girebileceğimiz alandır. Buraya UPN ya da pre-Windows 2000 kullanıcı adı yazılabilir.

Password : Parolayı yani Şifreyi  yazdığımız alandır.

Log on to : Bu alanda domain adı ve kullandığımız bilgisayarın adı seçilebilir. Domain adını seçersek domain kullanıcı hesabı bilgilerini bilgisayar adını seçersek yerel kullanıcı hesabı bilgilerini girmek zorundayız. Eğer “user name” kısmına UPN yazarsak domaine logon olacağımız varsayılır ve bu alan kapatılır.

Yerleşik Kullanıcı Hesapları

Windows Server 2003 belirli işler için otomatik olarak belirli domain ve yerel kullanıcı hesapları oluşturur. Bu hesaplar:

Administrator : Yerel bilgisayar ya da domainde tüm yetki ve izinlere sahip yönetici kullanıcı hesabıdır. Silinemez ancak kullanıcı adı değiştirilebilir.

Guest : Yerel bilgisayarda ya da domain de çok kısıtlı haklara ve izinlere sahip, geçici olarak kullanılabilecek kullanıcı hesabıdır. Varsayılan olarak kullanılamaz.

 

GRUPLAR

Grup bir kullanıcı hesabı topluluğudur. Gruplar, benzer türde kullanıcılara izinler vermek için kullanılır. Gruplar aracılığı ile bir çok kullanıcıya aynı anda paylaştırılmış bir kaynak üzerinde izin verilebilir. Guruba gerekli izinler verildikten sonra kullanıcıları bu grubun üyesi yaparak kaynağa erişmeleri sağlanabilir. Bir kullanıcı üyesi olduğu grupların izinlerinin ve haklarının tamamına sahiptir. Dolayısıyla kullanıcıları doğru grupların üyesi yapmak önemlidir.

 

Gruplar başka grupların üyesi olabilir.

Kullanıcılar birden fazla grubun üyesi olabilir.

Kullanıcılar üyesi oldukları tüm grupların izinlerine ve haklarına sahip olurlar.

Windows Server 2003’te Yerel ve Domain Gruplar olmak üzere iki tip grup oluşturulabilir.

Yerel Gruplar

Yerel gruplar workgroup networklerde kullanılan grup tipidir. Sadece oluşturuldukları bilgisayardaki kaynaklara erişebilirler . Üyeleri oluşturuldukları bilgisayardaki yerel kullanıcı hesapları olabilir. Eğer bilgisayar bir domain üyesi ise, domain kullanıcı hesapları ve domain grupları da yerel gruba üye olabilirler. Başka grupların üyesi olamazlar.

Bir workgroup ortamında, kaynak erişimini denetlemenin en kolay yolu:

Aynı izin ve haklara sahip olması gereken kullanıcıları bir gruba üye yapmak ve

Bu gruba da gerekli izin ve hakları vermektir.

Yerel Grup Oluşturma

Yerel grup oluşturmak için “Computer Management” aracı kullanılır. Yerel grup oluşturmak için:

“My Computer” simgesine sağ tıklayıp “Manage” komutunu veriyoruz.

Açılan “Computer Management” aracında “Local User and Groups” öğesinin altındaki “Groups” klasörüne sağ tıklayıp “New Group” komutunu veriyoruz.

Açılan “New Group” iletişim kutusunda (Şekil 1)  gerekli yerleri doldurup “Create” düğmesine basıyoruz.

 

Şekil 1

 

image014

 

Group Name :  Grubun adı.

Description :  Grup hakkında bilgi.

Members : Grup üyelerinin listelendiği alan.

Add : Gruba üye atamak için kullanılır.

Remove :  Grubun üyesi olan bir kullanıcıyı üyelikten çıkarmak için kullanılır.

Domain Grupları

Domain grupları, domain kaynaklarına erişimi merkezileştirmek ve erişim denetimini kolaylaştırmak için kullanılır. Domain grupları tiplerine ve kapsamlarına göre farklı özellikler gösterir.

Grup tipleri

Windows Server 2003 domainlerin de iki tip grup oluşturulabilir.

Distribution Group : Sadece e-mail alabilen gruplardır. Bu gruplara kaynaklar üzerinde izin ve hak verilemez. Bazı uygulamalar Distribution gruplara ihtiyaç duyar.

Security Group  : Hem e-mail alabilen hem de kaynaklar üzerinde izin ve hak sahibi olabilen gruplardır.

Bir gruba atılan e-mail mesajları, o grubun üyesi olan her kullanıcıya ulaştırılır.

Grup Kapsamları

Windows Server 2003 domainleri farklı amaçlar için 3 grup kapsamı sağlar.

Global Group : Aynı kaynak erişimine ihtiyaç duyan ve genelde aynı işi yapan kullanıcıları gruplamak için kullanılırlar.

Üyeleri, sadece oluşturuldukları domainden olabilir.

Forettaki tüm kaynaklar üzerinde izin sahibi olabilirler.

Domain Local Group : Oluşturuldukları domaindeki kaynaklara erişim için kullanılırlar.

Üyeleri foresttaki tüm domainlerden olabilir.

Sadece oluşturuldukları domaindeki kaynaklar üzerinde izin sahibi olabilirler.

Eğer domain “Mixed” modda ise sadece DC’lerdeki kaynaklar üzerinde izin sahibi olabilirler.

Universal Group : Çok domainli Active Directory yapılarında, domainler arası kaynak erişimini yönetmek için kullanılırlar.

Üyeleri foresttaki herhangi bir domainden olabilir.

Foresttaki herhangi bir domaindeki kaynaklar üzerinde izin sahibi olabilirler.

Bu grup “Mixed” moddaki domainlerde oluşturulamaz.

Oluşturulan grupların kapsamları daha sonra değiştirilebilir.

Domain Grubu Oluşturma

Domain grupları “Active Directory Users and Computers” aracı kullanılarak oluşturulur. Domain grubu oluşturmak için:

Active Directory Users and Groups aracını başlatıyoruz.

Grubu oluşturmak istediğimiz klasöre sağ tıklayıp “New->Group” komutunu veriyoruz.

Açılan iletişim kutusunda (Şekil 2) gerekli yerleri doldurup “OK” düğmesine basıyoruz.

 

Şekil 2

 

image015

 

Group name : Grubun adı.

Group name (pre-Windows 2000) : Windows 2000 öncesi işletim sistemlerini destekleyebilmek için oluşturulur.

Group Scope : Grubun kapsamını seçmemizi sağlar.

Group Type: Grubun tipini seçmemizi sağlar.

Grup Üyeliği Yönetimi

Mevcut grupların üyeliklerini yönetmek için grubun özellikleri kullanılır. Grup üyeliği yönetmek için:

Gruba sağ tıklayıp “Properties” komutunu veriyoruz.

“Members” sekmesindeki “Add” düğmesini kullanarak grubun üyelerini belirliyoruz. (Şekil 2)

 

Şekil 2

 

image016

 

Enter the object names to select kutusuna, üye yapmak istediğimiz kullanıcı hesabını ya da grubu yazıp “OK” düğmesine basıyoruz.

“Member of” sekmesindeki “Add” düğmesine basarak grubun üyesi olmasını istediğimiz diğer grubu ekliyoruz.

 

Not : 

 

Group oluşturma esnasında  Universal Group seçeneği aktif olarak gelmiyorsa

Yapmanız gereken işlem  Domain  Functional Level  seviyesini Native 2000 mode a çekmeniz gerekmektedir

 

Bu işlemi aşağıdaki adımları uygulayarak yapabilirsiniz

 

Öncelikli olarak Active Directory Users and Computers  menüsünü açalım ve ardından  Domain ismimize sağ tıklayarak   Raise Domain Functional  Level  komutunu verelim

 

image017

 

Gelen ekrandaki  uyarı mesajına OK diyelim ve Windows 2000 Native moda yükseltme işlemini gerçekleştirelim

 

image018

 

Domain functional level  yükselttikten sonra  Group oluştururken daha önce gelmeyen  Universal  Seçeneğinin geldiğini göreceksiniz  ..

 

image019

 

Bir makalemin daha sonuna geldik bir sonraki makalemde görüşmek üzere

Özgür ŞENERDOĞAN