Active Directory Yetki Grupları

0

Active Directory Yetki Grupları

Active Directory içindeki Users ve Built-in containerIarı içindeki Security Group olarak gözüken gruplar yetki gruplarıdır. Kullanıcılar bu grupları içerdiği yetkilere sahip olabilmek için, grubun özelliklerine girip Members kısmından Add butonuna basarak kullanıcıyı eklememiz gerekir veya kullanıcının özelliklerine girerek Member of kısmından üye etmek istediğimiz grubu Add butonuna basarak eklemeliyiz. Örnek olarak bir Domain Controller i yöneten ve Domain Controller da logon olduğumuz Administrator kullanıcısı otomatik olarak Domain Admins grubunun üyesi olduğu için Active Directoryi yönetme hakkına sahiptir. Domain Admins sadece kendisine ait olan etki alanını yönetme hakkına sahiptir. Eğer iki ayrı etki alanını birbirine bağlarsak ve de iki etki alanındaki Administrator kullanıcılarından birisini Enterprise Admins grubuna üye edersek o zaman o Administrator kullanıcısı iki etki alanını da yönetme yetkisine sahip olur. Bunun dışındaki baslıca yetki grupları:

Backup Operators: üyesi olan kullanıcılar yedek alma ve yedeklerden geri dönme hakkına sahiptir. Backup Operators grubunun üyesi olmayan bir kullanıcı yedek almaktan da evvel yedek alınan Tape Backup ünitesini Device Manager içinde bile göremeyecektir.

Accounts Operators: üyesi olan kullanıcı Active Directory içinde oluşturulmuş olan kullanıcıların özelliklerini değiştirme yetkisine sahiptir.

Print Operators: Active Directory üzerinde yayınlanmış yazıcıdan yazdırma işlemlerini yönetme yetkisine sahiptir. Active Directory ye yazıcı ekleyip kaldırabilirler. Yazıcıların kuyruklanandaki yazdırma işlemlerini silebilirler.
Bunlar yetki gruplarından en çok kullanılanlarıdır. Windows Server 2003 üzerine yeni bir program veya servis eklendiğinde eklenen servis veya program kendisi üzerinde işlem yapmaya yetkili grubu da beraberinde Active Directory ye ekler. Bu tip yetki gruplan dışında kendimizin oluşturabileceği gruplar da bulunmaktadır. Bunlar iki çeşittir:

1.  Security Group: Ağ üzerindeki bir paylaşıma erişmek için kullanıcıları gruplamaya yarar. Örnek olarak Muhasebe departmanındaki kullanıcılar ağ üzerinde paylaşımlı bir klasöre erişeceklerse, paylaştırılmış klasörde bu kullanıcıların tek tek tamamlamak ve izinlerini girmek uzun bir istir. Bunun yerine bir Security Group oluşturup muhasebe departmandaki kullanıcıların bu gruba üye yaparız. Daha sonra da paylaştırılmış klasörde erişim iznini bu gruba veririz. Muhasebe departmanına yeni bir kullanıcı eklendiğinde tek yapmamız gereken, yeni kullanıcıyı muhasebe departmanı için açtığımız Security Group a üye etmek olacaktır. Kullanıcı böylece muhasebe departmanının diğer kullanıcılarının eriştikleri tüm ağ kaynaklana erişebilecektir. Active Directory içinde bir Security Group oluşturmak için Start – Programs – Administrative Tools içinde Active Directory Users and Computers bölümüne girilir. Burada grubu oluşturmak istediğimiz yerde (OU veya Domain) üzerine sağ tuş ile basıp New menüsünden Group seçeneğini seçeriz. Group Name kısmına grubun adini veririz. Dikkat edilmesi gereken grubun admin üyesi yapacağımız kullanıcılar ile çakışmaması ve de grubun admin kolay bulunabilir olmasıdır. Departman için oluşturuluyorsa departmanın adi veya belli bir kaynağa ulaşmak için kullanılıyorsa ağ kaynağının ( paylaşımı ) adi yazılabilir. Alt taraftan ise Group Type kısmından grubun tipi belirtilmelidir (Security, Distribution) .Group Scope kısmından ise grubun özelliği belirtilmelidir (Global – Domain Local, Universal ). Group Scope seçimi grubun Domain veya Forest içinde ulaşabileceği yerleri direkt olarak etkiler. Security Group isimleri en fazla 255 karakterden oluşabilir.

2.   Distribution Group: Mail dağıtım listeleridir. Üyesi yapılan kullanıcılara mail gönderilmek istenildiğinde oluşturulmuş olan Distribution Group a mail gönderilmesi yeterlidir. Oluşturma adımları Security Group ile aynidir.

Share.

About Author

Leave A Reply