Merhaba bu makalemde büyük ve orta ölçekli tüm yapılarda bizleri tanımlayan yaptığımız işlemlerde kullandığımız kullanıcı hesaplarından bahsedeceğim örnek network teki bir kaynağa erişirken biz o domaindeki yetkili kullanıcı adımızı ve kullanıcı adımıza atanmış izinleri kullanarak o kaynağa erişir ve o kaynağı kullanırız Veya şöyle örnek vereyim pcmize logon olurken yani oturum açarken bize verilen çalıştığımız şirketin domainin de oluşturulmuş olan active directory kullanıcı hesabını ve şifresini kullanarak pc mize logon oluruz ve kaynakları kullanmaya başlarız . Bu kaynak bir paylaştırılmış printer olabilir bir paylaştırılmış ortak klasör olabilir .
Nedir Kullanıcı hesabı, Kullanıcı hesapları network ortamında çalışan kullanıcıyı tanımlayan bir nesnedir. Kullanıcı hesapları bir kullanıcının domaine ya da bilgisayara oturum açıp, mevcut kaynakları kullanabilmesini sağlar. Her kullanıcı hesabına ayrıca haklar ve kaynak erişim izinleri verilebilir.
Kullanıcı hesapları bir kullanıcı adı (UserName) ile tanımlanır. Her kullanıcı hesabının bir de parolası vardır. Kullanıcılar kendileri için oluşturulmuş olan kullanıcı hesabını, bu iki bilgiyi bilgisayara girerek kullanmaya başlarlar.
Windows Server 2003’te “Yerel Kullanıcı Hesabı” ve “Domain Kullanıcı Hesabı” olmak üzere iki tip kullanıcı hesabı vardır.
Yerel Kullanıcı Hesapları
Yerel kullanıcı hesapları, kullanıcıları sadece oluşturuldukları bilgisayara oturum açmalarını ve sadece o bilgisayardaki kaynaklara erişebilmelerini sağlar. Her Windows Server 2003’te SAM (Security Account Manager) adı verilen bir veritabanı bulunur. Oluşturulan yerel kullanıcı hesapları bu veritabanında tutulur ve başka bilgisayarlar ile paylaşılmazlar. Yerel kullanıcı hesapları “WorkGroup” ortamında kullanılırlar. Kullanıcılar her farklı bilgisayardaki kaynağa erişmek için farklı kullanıcı hesabına ihtiyaç duyarlar. Geniş networkler de yönetimleri zordur.
Yerel kullanıcı hesabı oluşturmak için:
“My Computer” simgesine sağ tıklayıp “Manage” komutunu veriyoruz. Açılan “Computer Management” konsolunda “Local Users and Groups” öğesini açıp “Users” kısmına geliyoruz. (Şekil 1)
veya Start > run > lusrmgr.msc ile direk olarak Local Users and Groups alanına erişim yapabiliriz .Şekil 1
Pencerenin sağ tarafında boş bir yere sağ tıklayıp “New User” komutunu veriyoruz.
Yeni kullanıcı oluşturma iletişim kutusunda gerekli yerleri doğru bilgilerle dolduruyoruz.
Şekil 2
Bu iletişim kutusundaki:
User name : Kullanıcının bilgisayara oturum açarken ya da network te başka bir bilgisayardan bağlanırken yazması gereken kullanıcı adıdır. Bu ad yerel bilgisayarda eşsiz olmak zorundadır.
Full name : Bu kullanıcı hesabının sahibi olan kullanıcının tam adıdır.
Description : Kullanıcı hakkında herhangi bir bilgi yazabileceğimiz alandır.
Password : Kullanıcının bu kullanıcı hesabını kullanabilmesi için bilmesi gereken paroladır. Bu alana yazılanlar gösterilmez.
Confirm password : Password kısmına yazdığımız parolayı doğru yazdığımızdan emin olmak için tekrar yazabileceğimiz alandır.
User must change password at next logon : Bu seçenek kullanıcıyı, ilk oturum açtığında parolasını değiştirmeye zorlar. Eğer kullanıcı ilk olarak network den erişmeye çalışırsa, parola değiştirilemeyeceği için hesap kullanılamaz.
User cannot change password : Kullanıcının parolasını değiştirememesini sağlar.
Password never expires : Parolanın her zaman geçerliliğini korumasını sağlar.
Account is disabled : Kullanıcı hesabının, var olduğu halde kullanılamamasını sağlar.
Bilgileri girdikten sonra “Create” düğmesine basıyoruz. Kullanıcı oluşturulduğu halde yeni bir kullanıcı oluşturabilmemiz için iletişim kutusu hala ekranda görünecektir. Eğer başka kullanıcı oluşturmak istemiyorsak “Close” düğmesine basmamız gerekir.
Domain Kullanıcı Hesapları
Domain kullanıcı hesapları, kullanıcının domaine oturum açmasını ve network teki tüm kaynaklara erişebilmelerini sağlar. Domain kullanıcı hesapları, DC’ler (Domain Controller) üzerindeki “Active Directory” veritabanında tutulur. Kullanıcılar network deki herhangi bir bilgisayardan, bir DC’ye bağlanarak kullanıcı adını ve parolasını belirterek sadece bir kere oturum açar.
Domain kullanıcı Hesabı oluşturma
Domain kullanıcı hesapları DC’de tutulur ve domain deki diğer tüm DC’lere kopyalanır. Domain kullanıcı hesabı oluşturmak için.
“Administrative Tools “ menüsündeki “Active Directory Users and Computers” aracını başlatıyoruz. (Şekil 3)
Şekil 3
Kullanıcı hesabını oluşturmak istediğimiz klasöre Daha doğrusu OU ya sağ tıklayıp “New-> User” komutunu veriyoruz. Açılan “New User” iletişim kutusunu dolduruyoruz. (Şekil 4) ve “Next” düğmesine basıyoruz.
First Name : Kullanıcının ilk adı.
Last Name : Kullanıcının soyadı.
Full Name : Kullanıcının tam adı. Bu isim kullanıcının oluşturulduğu klasörde eşsiz olmak zorundadır.
User Logon Name : Kullanıcının domaine logon olurken kullanacağı kullanıcı adıdır. Tüm Active Directory’de eşsiz olmak zorundadır.
User Logon Name (pre-Windows 2000) : Kullanıcının eski işletim sistemlerinde kullanılmak üzere oluşturulan ikinci kullanıcı adı. Bu ad domain de eşsiz olmak zorundadır.
Bu kısımda kullanıcının parolasını giriyoruz. (Şekil 5)
Şekil 5
Password : Kullanıcının domaine logon olurken kullanacağı parola. Büyük harf, küçük harf ve sayılardan oluşmak zorundadır ayrıca en az 7 karakter olmalıdır. Bu özellik istenirse değiştirilebilir. Default olarak bu şekilde gelmektedir !
Confirm Password : Parolayı yanlış yazmış olma ihtimaline karşı tekrar yazıyoruz.
User must change password at next logon : Bu seçenek İşaretlenirse kullanıcı bir sonraki logon aşamasında parolasını değiştirmek zorunda kalır.
User cannot change password : Kullanıcının hiçbir zaman parolasını değiştirememesini sağlar.
Password never expires : Parolanın geçerliliğini yitirmesini engeller.
Account is disabled : kullanıcı hesabı oluşturulmasına rağmen kullanılamaz.
Not ;
Logon İsimleri :
En Fazla 20 Karakter olabilir Büyük Küçük Harf fark etmez .
Logon İsimlerinde Aşağıdaki Karakterler Kullanılamaz .
“ / \ [ ] : ; | = , + * ? < >
Şifreler :
Password ler en fazla 128 Karakter olabilir .
Büyük küçük harf ve özel karakterlerin karışımı şeklinde olabilir
Ek not :
Domain kullanıcı hesapları domain bilgisayar hesapları domain grup hesapları ve Organization unit gibi nesneler grafiksel arayüz ün yanı sıra Command Prompt yardımı ile de oluşturulabilmektedir
Örnek bir ou oluşturacağım ve bu organization unit altınada Eser Solmaz kullanıcısını açağım
OU ismimiz Sistem ou içerisinde oluşturacağımız kullanıcımız Eser Solmaz ve şifresi Passw0rd
Domain Kullanıcı Hesaplarının Yönetimi
Oluşturulan her domain kullanıcı hesabı için bir kaç varsayılan seçenek geçerlidir. Logon olabilme saatleri, kullanılabilecek bilgisayarlar, kişisel ayarlar gibi bir çok seçenek değiştirilebilir.
Kişisel Ayarlar
“Active Directory Users and Computers” aracı kullanılarak mevcut kullanıcı hesapları üzerinde değişiklikler yapılabilir. Kullanıcı hesaplarının özelliklerini değiştirmek için:
Mevcut bir kullanıcı hesabına sağ tıklayıp “Properties” komutunu veriyoruz. Veya kullanıcı hesabı üzerinde çift tıklıyoruz . Açılan iletişim kutusunda(Şekil 6)
Şekil 6
General : Kullanıcının adı, soyadı, çalıştığı ofis, telefon numarası ve e-mail adresi gibi kişisel bilgiler içerir.
Address : Kullanıcının ev adresi, posta kodu, yaşadığı şehir ve ülke gibi kişisel bilgiler içerir.
Account : Kullanıcı adı, hesap seçenekleri, kullanım süresi gibi bilgiler içerir.
Profile : Kullanıcı profilinin ve “Home Folder”ın yerini belirtebileceğimiz alandır. Örnek vermek gerekirse biz şirketimizde Roaming Profile yani Gezici Kullanıcı profili yapısını kullanıyorsak bu profilin bilgilerini gireceğimiz alan burasıdır
Telephones : Kullanıcının ev, iş, cep telefonu ve çağrı cihazı numaraları gibi bilgiler içerir.
Organization : Kullanıcının çalıştığı departmanı ve görevini yazabileceğimiz alandır.
Member Of : Kullanıcı hesabının üyesi olduğu grupları gösterir.
Dial-in : Kullanıcının networke uzaktan erişim izinleri ve geri arama ayarlarını içerir. Özellikle VPN vb uygulamalar kullanıyorsak bu alanı kullanabiliriz VPN bağlantısı ile gelen kullanıcılara bu alan üzerinden statik ip adresi dağıtabiliriz vb
Environment : Kullanıcı “Terminal Services” aracılığı ile bağlandığında çalıştırılacak uygulamaların path ini girebileceğimiz alandır.
Terminal Services Profile : Kullanıcının “Terminal Services” profilini belirler.
Remote Control : Kullanıcının “Terminal Services” bağlantısını uzaktan kontrol etme ayarlarını içerir.
Sessions : Kullanıcının “Terminal Services” ayarlarını içerir.
COM+ :
Hesap Ayarları
Kullanıcı Hesabının özelliklerinde “Account” sekmesinden hesap ayarları yapılabilir. (Şekil 7)
Şekil 7
User logon name : Kullanıcının domaine logon olurken belirtmek zorunda olduğu kullanıcı adıdır. E-mail adreslerine benzer örn:ozgurs@cozumpark.local. Diğer adı “UPN” (User Principal Name). Active Directory’de eşsiz olmak zorundadır.
User logon name (pre-Windows 2000) : Kullanıcının , Windows 2000 öncesi işletim sistemlerinden logon olurken kullandığı kullanıcı adıdır. Domain de eşsiz olmak zorundadır.
Logon Hours : Kullanıcının domaine hangi saatler arası logon olabileceğini belirleyebileceğimiz alan sağlar. (Şekil 8) Şekilde mavi renkle gösterilen saatler de kullanıcı logon olabilir. Diğer saatlerde logon olmasına izin verilmez. Varsayılan olarak kullanıcılar 7 gün 24 saat logon olabilirler.
Şekil 8
Log On To : Kullanıcının domaine logon olurken kullanabileceği bilgisayarları belirtebileceğimiz bir alan sağlar. (Şekil 9). Şekle göre kullanıcı sadece CLIENT01 ve CLIENT02 adlı bilgisayarlardan logon olabilir. Varsayılan olarak domain kullanıcıları DC hariç tüm bilgisayarlardan logon olabilirler.
Şekil 9
Account Options : Kullanıcının parolası ile ilgili ayarların yapıldığı alandır.
Account Expires : Bu kısımdan kullanıcı hesabının son kullanma tarihi ayarlanır. Varsayılan olarak hesapların hiçbir zaman süresi dolmaz. “End of” seçeneği işaretlenip, hesabın son kullanma tarihi belirlenebilir.
Logon Olma İşlemi
İster yerel bilgisayara ister domaine logon olurken bir kullanıcı adı ve parola girmek zorundayız. Kullanıcı adı ve parola kullanıcı hesabının bileşenleridir.
Windows Server 2003 logon olmadan kullanılmasına izin vermez. Açıldığında bu bilgileri girebileceğimiz bir alan sağlar. Logon olabilmek için.
Şekil 10’daki iletişim kutusunu görünce “CTRL+ALT+DEL” tuşlarına basıyoruz.
Şekil 10
Karşımıza çıkan iletişim kutusuna gerekli bilgileri yazıyoruz ve “OK” düğmesine basıyoruz. (şekil 11)
Şekil 11
User name : Kullanıcı adını girebileceğimiz alandır. Buraya UPN ya da pre-Windows 2000 kullanıcı adı yazılabilir.
Password : Parolayı yani Şifreyi yazdığımız alandır.
Log on to : Bu alanda domain adı ve kullandığımız bilgisayarın adı seçilebilir. Domain adını seçersek domain kullanıcı hesabı bilgilerini bilgisayar adını seçersek yerel kullanıcı hesabı bilgilerini girmek zorundayız. Eğer “user name” kısmına UPN yazarsak domaine logon olacağımız varsayılır ve bu alan kapatılır.
Yerleşik Kullanıcı Hesapları
Windows Server 2003 belirli işler için otomatik olarak belirli domain ve yerel kullanıcı hesapları oluşturur. Bu hesaplar:
Administrator : Yerel bilgisayar ya da domainde tüm yetki ve izinlere sahip yönetici kullanıcı hesabıdır. Silinemez ancak kullanıcı adı değiştirilebilir.
Guest : Yerel bilgisayarda ya da domain de çok kısıtlı haklara ve izinlere sahip, geçici olarak kullanılabilecek kullanıcı hesabıdır. Varsayılan olarak kullanılamaz.
GRUPLAR
Grup bir kullanıcı hesabı topluluğudur. Gruplar, benzer türde kullanıcılara izinler vermek için kullanılır. Gruplar aracılığı ile bir çok kullanıcıya aynı anda paylaştırılmış bir kaynak üzerinde izin verilebilir. Guruba gerekli izinler verildikten sonra kullanıcıları bu grubun üyesi yaparak kaynağa erişmeleri sağlanabilir. Bir kullanıcı üyesi olduğu grupların izinlerinin ve haklarının tamamına sahiptir. Dolayısıyla kullanıcıları doğru grupların üyesi yapmak önemlidir.
Gruplar başka grupların üyesi olabilir.
Kullanıcılar birden fazla grubun üyesi olabilir.
Kullanıcılar üyesi oldukları tüm grupların izinlerine ve haklarına sahip olurlar.
Windows Server 2003’te Yerel ve Domain Gruplar olmak üzere iki tip grup oluşturulabilir.
Yerel Gruplar
Yerel gruplar workgroup networklerde kullanılan grup tipidir. Sadece oluşturuldukları bilgisayardaki kaynaklara erişebilirler . Üyeleri oluşturuldukları bilgisayardaki yerel kullanıcı hesapları olabilir. Eğer bilgisayar bir domain üyesi ise, domain kullanıcı hesapları ve domain grupları da yerel gruba üye olabilirler. Başka grupların üyesi olamazlar.
Bir workgroup ortamında, kaynak erişimini denetlemenin en kolay yolu:
Aynı izin ve haklara sahip olması gereken kullanıcıları bir gruba üye yapmak ve
Bu gruba da gerekli izin ve hakları vermektir.
Yerel Grup Oluşturma
Yerel grup oluşturmak için “Computer Management” aracı kullanılır. Yerel grup oluşturmak için:
“My Computer” simgesine sağ tıklayıp “Manage” komutunu veriyoruz.
Açılan “Computer Management” aracında “Local User and Groups” öğesinin altındaki “Groups” klasörüne sağ tıklayıp “New Group” komutunu veriyoruz.
Açılan “New Group” iletişim kutusunda (Şekil 1) gerekli yerleri doldurup “Create” düğmesine basıyoruz.
Şekil 1
Group Name : Grubun adı.
Description : Grup hakkında bilgi.
Members : Grup üyelerinin listelendiği alan.
Add : Gruba üye atamak için kullanılır.
Remove : Grubun üyesi olan bir kullanıcıyı üyelikten çıkarmak için kullanılır.
Domain Grupları
Domain grupları, domain kaynaklarına erişimi merkezileştirmek ve erişim denetimini kolaylaştırmak için kullanılır. Domain grupları tiplerine ve kapsamlarına göre farklı özellikler gösterir.
Grup tipleri
Windows Server 2003 domainlerin de iki tip grup oluşturulabilir.
Distribution Group : Sadece e-mail alabilen gruplardır. Bu gruplara kaynaklar üzerinde izin ve hak verilemez. Bazı uygulamalar Distribution gruplara ihtiyaç duyar.
Security Group : Hem e-mail alabilen hem de kaynaklar üzerinde izin ve hak sahibi olabilen gruplardır.
Bir gruba atılan e-mail mesajları, o grubun üyesi olan her kullanıcıya ulaştırılır.
Grup Kapsamları
Windows Server 2003 domainleri farklı amaçlar için 3 grup kapsamı sağlar.
Global Group : Aynı kaynak erişimine ihtiyaç duyan ve genelde aynı işi yapan kullanıcıları gruplamak için kullanılırlar.
Üyeleri, sadece oluşturuldukları domainden olabilir.
Forettaki tüm kaynaklar üzerinde izin sahibi olabilirler.
Domain Local Group : Oluşturuldukları domaindeki kaynaklara erişim için kullanılırlar.
Üyeleri foresttaki tüm domainlerden olabilir.
Sadece oluşturuldukları domaindeki kaynaklar üzerinde izin sahibi olabilirler.
Eğer domain “Mixed” modda ise sadece DC’lerdeki kaynaklar üzerinde izin sahibi olabilirler.
Universal Group : Çok domainli Active Directory yapılarında, domainler arası kaynak erişimini yönetmek için kullanılırlar.
Üyeleri foresttaki herhangi bir domainden olabilir.
Foresttaki herhangi bir domaindeki kaynaklar üzerinde izin sahibi olabilirler.
Bu grup “Mixed” moddaki domainlerde oluşturulamaz.
Oluşturulan grupların kapsamları daha sonra değiştirilebilir.
Domain Grubu Oluşturma
Domain grupları “Active Directory Users and Computers” aracı kullanılarak oluşturulur. Domain grubu oluşturmak için:
Active Directory Users and Groups aracını başlatıyoruz.
Grubu oluşturmak istediğimiz klasöre sağ tıklayıp “New->Group” komutunu veriyoruz.
Açılan iletişim kutusunda (Şekil 2) gerekli yerleri doldurup “OK” düğmesine basıyoruz.
Şekil 2
Group name : Grubun adı.
Group name (pre-Windows 2000) : Windows 2000 öncesi işletim sistemlerini destekleyebilmek için oluşturulur.
Group Scope : Grubun kapsamını seçmemizi sağlar.
Group Type: Grubun tipini seçmemizi sağlar.
Grup Üyeliği Yönetimi
Mevcut grupların üyeliklerini yönetmek için grubun özellikleri kullanılır. Grup üyeliği yönetmek için:
Gruba sağ tıklayıp “Properties” komutunu veriyoruz.
“Members” sekmesindeki “Add” düğmesini kullanarak grubun üyelerini belirliyoruz. (Şekil 2)
Şekil 2
Enter the object names to select kutusuna, üye yapmak istediğimiz kullanıcı hesabını ya da grubu yazıp “OK” düğmesine basıyoruz.
“Member of” sekmesindeki “Add” düğmesine basarak grubun üyesi olmasını istediğimiz diğer grubu ekliyoruz.
Not :
Group oluşturma esnasında Universal Group seçeneği aktif olarak gelmiyorsa
Yapmanız gereken işlem Domain Functional Level seviyesini Native 2000 mode a çekmeniz gerekmektedir
Bu işlemi aşağıdaki adımları uygulayarak yapabilirsiniz
Öncelikli olarak Active Directory Users and Computers menüsünü açalım ve ardından Domain ismimize sağ tıklayarak Raise Domain Functional Level komutunu verelim
Gelen ekrandaki uyarı mesajına OK diyelim ve Windows 2000 Native moda yükseltme işlemini gerçekleştirelim
Domain functional level yükselttikten sonra Group oluştururken daha önce gelmeyen Universal Seçeneğinin geldiğini göreceksiniz ..
Bir makalemin daha sonuna geldik bir sonraki makalemde görüşmek üzere
Özgür ŞENERDOĞAN