Büyük şirket organizasyonlarında Active Directory kullanıcı hesaplarını yönetmek için çok farklı ekipler olabilir. Bu ekipler genelde geniş ekipler olduğu için delegasyon en temel işlerin arasında yer alır. Yani Enterprise Admin hesapları, Sunucu yönetimleri derken kullanıcı hesapları için helpdesk ve benzeri ekiplere sınırlı yetkiler verilir. Bu çok bilindik bir konu olup bu konuda bir makale paylaşmak istiyorum.
Windows 2016 Server Active Directory Delegation ve Rsat Tool Kullanımı
Peki gelelim konumuza, delegasyon söz konusu olunca malum insanların çok değişik istekleri olabiliyor, genelde burada endüstri standartı kabul görmüş istekler olsa da özellikle Türkiye de bazen ilginç isteklerde olabilir. Örneğin kullanıcı hesabı açsın ama silemesin, veya kısmı olarak yani parçalı olarak izinler vermek gibi. Bunlara bir örnek aslında bu yazının konusu olacak. Örneğin istek şu, kullanıcı destek servisinde çalışan bilgi işlem çalışanlarına Active Directory hesapları için sınırlı yetki vermek istiyoruz. Bu yetkileri yukarıdaki makaleye göre verebilirsiniz aslında ancak örneğin biz sadece hesabı enable disable yapsın dersek veya sadece password never expire kutucuğu için bir delegasyon yapmak istersek ne yazık ki bu kadar parçalı bir delegasyon olmuyor.
Örnek bu bölümdeki tüm ayarları Active Directory içerisindeki bir öznitelik saklamaktadır (aynı zamanda yönetmektedir); “UserAccountControl”
İlgili link’ i tıklayacak olursanız daha fazla detaya ulaşabilirsiniz. Ama özetle burada gördüğünüz tüm özellikle aşağıdaki değerlerin değişmesi ile yönetilmektedir.
Özetle bu alandaki herhangi bir kutucuk veya ayar için ne yazık ki tek tek izin vermek mümkün değil. Bir kullanıcıya UserAccountControl özniteliği için izin vermeniz demek aslında bu alandaki herşeyi değiştirmeye izin vermeniz veya tam tersi bu alan için deny yetkisi vermek bu alan ile ilgili hiç bir şeyi değiştirmeme yetkisi vermek demektir.
Peki bu yetkiyi nasıl veriyor veya nasıl alıyoruz?
Öncelikle adsiedit aracını başlat, çalıştır, adsiedit.msc diyerek açıyoruz. Daha sonra ilgili yetki vermek istediğimiz OU yu bulup üzerine sağ tıklayıp özellikler ve sonra security sekmesine geliyoruz.
Daha sonra bu bölümde Advanced butonuna tıklıyoruz.
Daha sonra Add diyerek bu OU için hangi kullanıcıya izin verecek ise (izni şöyle düşünebilirsiniz örneğin deny da bir izindir yani permission ama yasaklayan bir izindir) ilgili kullanıcı veya grubu seçiyoruz.
Burada ben Select a principal bölümünden kendi kullanıcımı seçtim, sonra amazım allow mu yoksa deny mı yani permission türünü seçiyorsunuz, sonra ise doğru izin tiplerinin gelmesi için Applies to bölümünden “Descendant User objects” bölümünü seçiyoruz.
Son olarak bu bölümdeki tüm ayarları yasaklamak veya değiştirmesine izin vermek için userAccountControl özniteliği için Allow veya Deny izni verebiliyoruz(bu bölümü yukarıda baştan seçmeniz lazım, yani deny seçili ve bu kutucuğu işaretlediğinizde hem okuyamaz hem değiştiremez, ama sadece write için deny verirseniz bu bölümü görebilir ama değiştiremez).
Umarım faydalı bir yazı olmuştur.