Active Directory Users and Groups
“Active Directory Nedir?” isimli makalede Users and Groups(Kullanıcılar ve Gruplar) konusuna kısaca bir değinmiştik. Bu makalede ise biraz daha detaylı olarak inceleyeceğiz.
Active Directory yapısında bulunan cihazlara erişim için çeşitli kullanıcılar oluşturulmalıdır. Oluşturulan her bir grup veya kullanıcı “Object(nesne” olarak adlandırılır. Bu yapının en güzel tarafı, oluşturulan bir kullanıcı, yapıdaki tüm cihazlara kendi kullanıcı adı ve şifresiyle erişim(DC sunucusu hariç) sağlayabilir. Kullanıcıların cihazlarda hangi saat veya günlerde oturum açabileceğini belirleyebilir. Bağlanılması istenen veya istenmeyen cihazlar için yetkilendirme yapılması gibi imkanlar sağlar. Her bir kullanıcı sistem yöneticisinin belirledi cihazlarda oturum açabilir, cihazları açtığında kendi klasörlerini, dosyalarını ve kişisel ayarlarının olduğu masaüstüne erişim sağlar. Bu özelliklerde ortamın güvenliği ve ortak cihazların efektif kullanılmasına imkan sağlar.
Gruplar ise ortamdaki kullanıcıları ayırt etmek, yetkilendirmeleri/kısıtlamaları toplu olarak yapmak, görevlerini belirlemek gibi birçok avantaj ve zamandan tasarruf sağlar. Kişi sayısı az olan şirketlerde grupların AD’yi yöneten yönetici tarafından bir avantaj sağladığı ilk etapta fark edilemeyebilir. Fakat kişi sayısı 100-200’ün üzerinde olan ortamlarda bu yapıyı yönetmek ciddi anlamda zorlaşacaktır ve birden fazla kullanıcı için yapılacak işlemler bir hayli zaman alacaktır. Bu durumu bir örnekle daha anlaşılır hale getirelim;
Şirketinizde Muhasebe ve IT olarak 2 departman olduğunu düşünelim. Her bir departmanda 100 personel var. Bu personellerin hesaplarının her biri AD ortamında grup mantığı oluşturulduğunu varsayalım. Şirket yöneticiniz Muhasebe personellerinin IT ekiplerinin kullandığı cihazlarda oturum açılmamasını istiyor. Gruplama olmayan bir yapıda 100 personelin tek tek hesabına giderek erişmesi veya erişmemesi gereken cihazı el ile yapılandırmanız gerekecek. Her kullanıcı için 2 dakika harcadığınızı düşünürsek, bu işlem için toplamda 120 dakikanızı ayırmanız gerekecek. Fakat ortamda Muhasebe ve IT olarak gruplar olduğunda bu işlem sadece 5 dakikanızı alacaktır. Personel ve departman sayısı arttıkça bu durum dahada karmaşık ve zaman alan bir işlem haline gelecektir.
Durumu özetlemek gerekirse; Active Directory yapısının amacı zamandan tasarruf etmek ve yönetimi daha kolay hale getirmekken işinizi zorlaştırmayın. 😊
Bölüm 1: Kullanıcı Oluşturma
Active Directory’de kullanıcıları oluşturmaya geçmeden önce birkaç bilgi paylaşmak istiyorum.
Yapınızdaki kullanıcıları oluşturmadan önce çalıştığınız kuruma göre bir kullanıcı isim şablonu oluşturmanızı öneririm. Çünkü oluşturulacak tüm kullanıcılar benzersiz olmalıdır. Sistem aynı kullanıcı adından birden fazla oluşturmanıza izin vermez. Genellikle kullanıcı adı için kullanılan şablon “isim.soyisim”, “isimsoymisminbasharfi” şeklindedir. Aynı isim ve soyisme sahip kişiler varsa sonuna bir rakam ekleyebilir veya birini “cihand”, diğerini “cihandi” şeklinde oluşturabilirsiniz.
İkinci olarak, yapıdaki işletim sistemi dili İngilizce olduğundan ve bazı klavyeler Türkçe karakterli harfleri desteklemediğinden dolayı kullanıcı isimlerini ş, ü, ı, ç vb. Türkçe karakter kullanmadan oluşturun.
Bu kadar teorik bilgi yeterli. İşi artık pratiğe dökelim.
- Kullanıcı hesabı oluşturmak için Windows tuşuna basın ve Windows Administrative Tools yazarak çıkan uygulamaya tıklayın. Açılan pencerede Active Directory Users and Groups çift tıklayın.
Alternatif olarak Windows + R
tuşlarına basın. Çıkan bölüme dsa.msc
yazın ve açın.
- Açılan sayfada Users klasörüne tıklayın. Boş bir alan sağ tık yaparak New > User seçeneğine tıklayın.
- Bu alanda oluşturmak istenen kullanıcıya ait bilgileri doldurun.
Initials: Bazı ülkelerde isimden sonra, soyisimden önce Jr. gibi tanımların yazıldığı bölümdür.
4. Bir sonraki adımda ilgili kullanıcının şifresini belirleyin. Şifrenin, AD ortamında group policy ayarlarında belirlenmiş özellikler karşılaması gerekmektedir. Varsayılan olarak gelen kriter aşağıdaki gibidir;
- Minimum 7 karakter olmalıdır.
- Oluşturulan şifre kullanıcının, kullanıcı adını, isim veya soyismini içermemelidir.
- A-Z aralığında en az bir adet büyük harf içermelidir.
- a-z aralığında en az bir adet küçük harf içermelidir.
- 0-9 aralığında bir rakam veya özel sembol(! = ?) içermelidir.
Şifre tanımlaması yaparken alt kısımda bir kaç seçenek mevcut. Bunlara değinmeden bu adımı geçmek olmaz.
User must change password at next logon: Kullanıcının bir cihaza ilk giriş yaptığında şifresini değiştirmesini kendi hatırlayabileceği bir şifre ile değiştirmesi için kullanılır. Güvenliğin sağlanması adına varsayılan olarak bunu kullanmanız önerilir.
User cannot change password: Kullanıcı şifresini kendi değiştirememesi için kullanılır. Bu seçenek genelde yazıcı vb. ortak kullanılan şifresi daima aynı kalması gereken cihazlar için kullanılır.
Password never expires: Bu seçenek işaretli olduğunda belirlenen şifrenin süresiz olarak atanır. El ile değiştirilene kadar aynı şekilde kullanılır. Bu da genelde ortak kullanılan veya ara yüzünde şifre değiştirmek için seçenek olmayan cihazlar içindir.
Account is disabled: Bu seçenek işaretlendiğinde tanımlanan kullanıcı belirlenen şifreyle oturum açamaz. Yani kilitlidir.
Birinci ve ikinci seçenek aynı anda işaretli olamaz. İşaretlendiğinde sistem uyarı verir. Çünkü hem ilk girişte şifre değiştirsin hem de, kullanıcı şifresini değiştiremesin demek mantıksızdır.
Şifre politikasını group policy alanından değiştirebilirsiniz fakat konumuz bu olmadığı için nasıl değiştirileceği konusunda detaylı bilgi için Group Policy makalesinden inceleyebilirsiniz.
- Son adımda oluşturulan kullanıcıya ilişkin bilgiler yer almaktadır. Finish seçeneğine tıklayarak işlemi tamamlayabilirsiniz.
Oluşturulan kullanıcıyı Users klasörü altında görebilir ve bu kullanıcı özelinde Adres, Telefon Numarası, Departman bilgisi vb. kişiyı tanımlayacak bilgileri girebilirsiniz. Bu bilgileri boş bırakmamanızı veya kısmi olarak doldurmamanızı öneririm çünkü yapınız büyüdüğünde bazı kullanıcıları bu bilgilere bakarak ayırt edebilirsiniz. Toplu olarak değişiklik yapmak istediğinizde(adresinde xxx şehri geçen kullanıcılar) arama yaparken bu bilgiler size kolaylık sağlayacaktır.
Hadi gelin bir kullanıcıya eklenebilecek bilgileri ve yapılabilecek işlemlere göz atalım.
Users bölümünden işlem yapacağınız kullanıcıya sağ tıklayın ve Properties seçin.
Gördüğünüz üzere seçenekler arasında birden fazla sekme bulunuyor. Fakat biz şimdilik kişiyi ortamda ayırt edebileceğimiz özellikleri tanımlamak ve genel olarak kullanılan bir kaç alandan bahseceğiz.
Address sekmesi altında sokak/cadde, şehir, ilçe, posta kodu ve ülke gibi bilgileri girebileceğiniz alanlar yer almaktadır.
Telephones sekmesi altında ev telefonu(masa telefon numarası olarak da kullanılır), cep telefonu, fax numarası, dahili numarası şeklinde bilgilerin girileceği alan yer almaktadır. Pager, olarak belirtilen alan eski çağrı cihazlarına ilişkin bilgiyi tanımlamak için kullanılır.
Organization sekmesi altında ise, İş Unvanı, Departmanı, Şirket Adı ve bağlı olduğu yöneticisi yer almaktadır. Bağlı olduğu yöneticisini belirlemek için sizden kullanıcılar arasında seçim yapmanızı isteyecektir. Bu alanı tanımlayabilmek için öncelikle yöneticisi oluşturulmuş olmalıdır.
Member Of sekmesi kullanıcını ekli olduğu grupları görmek ve gruplara ekleme veya gruplardan çıkarma işlemlerinin yapıldığı alandır.
Account sekmesi, kullanıcının erişim sağladığı kullanıcı adı, şifre seçenekleri ve kullanıcı erişim süresi gibi bilgilerin yer aldığı alandır. Bu alanda ek olarak 2 tane seçenek var.
1. Logon Hours: Kullanıcının hangi gün ve saatlerde sisteme erişim sağlayabileceğini belirleyebileceğiniz alandır.
2. Logon to: Kullanıcının hangi cihazlarda oturum açabileceğini belirleyebileceğiniz alandır.
NOT: Logon to alanında tüm cihazlara erişim verilmiş olsa bile admin grubunda olmayan bir kullanıcı Domain Controler’a erişemez.
Özellikler alanında son olarak Profile adında bir sekme var fakat buradaki işlemler ayrı bir makale konusu olduğu için detayları burada aktarmayacağım.
Bölüm 2: Grup Oluşturma – Gruba Kullanıcı Dahil Etme
- Grup oluşturmak için Users klasörüne tıklayın. Açılan sayfada boş bir alan sağ tıklayın ve New > Group seçin.
- Açılan sayfada oluşturulacak grup adını belirleyin. Kullanıcı adında olduğu burada da Türkçe karakter kullanılmaması önerilir.
Grup oluştururken aşağıda 2 tane seçenek dikkatinizi çekti mi? Group Scope ve Group Type.
Grupları oluşturmadan önce bunlara biraz değinelim.
Security: NTFS sharing, printer server vb. paylaşımlı alanlarda kullanıcılara izin vermek için bu grup seçeneği kullanılır.
Distrubition: Bir e-posta dağıtım grubudur. Toplu posta gönderimi için oluşturulur.
Global: Global olarak oluşturulan bir grup yalnızca TREE olan AD ortamında görüntülenebilir. Forest bir ortamda diğer DC tarafında gruplara atama yapacağınızda bu grup görüntülenmez.
Universal: Universel ise globalin aksine forest ortamında da görülür.
Domain Local: Windows NT versiyonunda universal yerine kullanılır.
Grupları oluşturduktan sonra global’i universal’a, universal’ı global’e çevirebilirsiniz fakat domain local’e çeviremezsiniz.
- Oluşturulan gruba kullanıcıları dahil etmek için; Users klasörü içindeki grup adına sağ tıklayın ve açılan pencerede Members sekmesine tıklayın.
- Members sekmesi altında gruba dahil olan kullanıcıları görebilir ve yeni kullanıcılar tanımlayabilirsiniz. Yeni kullanıcı tanımlamak için Add seçeneğine tıklayın ve açılan pencerede gruba dahil etmek istediğiniz kullanıcının adını veya adının bir kaç harfini(örn; cih) yazarak Check names butonuna tıklayın.
Ekleyeceğiniz kullanıcının adının bir kaç harfini yazdığınızda sistem algılayamayabiliyor veya o harflerde birden fazla kullanıcı varsa isim bölümüne getirmeyebiliyor. Bu gibi durumlarda pencerenin sol altında bulunan Advanced butonuna tıklayın. Arama yapmak istediğiniz koşullara bağlı olarak Name kısmına dilerseniz kullanıcının bir kaç harfini yazabilir ya da tüm kullanıcıları getirmesi için boş bırakabilirsiniz.
Koşul belirlemek için sağ taraftaki Columns… butonuna tıklayın.
- Kullanıcıyı bulduktan sonra OK diyoruz ve Apply butonuna basarak kullanıcıyı ilgili gruba dahil ederek işlemi tamamlıyoruz.
Son olarak belirtmek istediğim bir kaç husus var. Genel olarak Active Directory ortamında görsel olarak oluşturulan her şey komutlar ile de yapılabilmektedir. Yaptığımız kullanıcı ve grup oluşturma işlemleri komut satırı ile de yapılabilmektedir. Fakat onu farklı bir makalede detaylı olarak paylaşacağım.
Gruplar yönetim açısından gerçekten bir kolaylık fakat şirketlerin farklı lokasyonları olduğunu düşünürsek, bunları nasıl yöneteceğiz? Her biri için grup mu açacağız? Bu kadar fazla grubu nasıl ayırt edeceğiz? İşte bu sorulara ve yönetim şekline çözüm olarak Organizational Unit(OU) adı verilen obje devreye giriyor. AD yapısında güvenlik politikası kullanıcı veya computer bazlı değil, OU bazlı tanımlanır. Bu nedenle yapınızı mutlaka OU’lar olacak şekilde yapılandırın. Aksi takdirde bir kullanıcıda işlem yapmak istediğinizde aynı isimdeki kullanıcıların hangi lokasyonda olduğu tespit etmek için her seferinde o kullanıcının adres bilgisini kontrol etmek zorunda kalırsınız.
OU’lara örnek olması ve nasıl bir şey olduğunu göstermek amacıyla bir ekran görüntüsü ekledim. Fakat OU’ları detaylı olarak Group Policy makalesinde inceleyeceğiz.
Son olarak kullanıcılar ile ilgili paylaşmak istediğim bir bilgi daha var. AD ortamında standart olarak açık olan Administrator kullanıcısını mutlaka devre dışı bırakın. Kötü niyetli kişiler veya yazılımlar DC sunucusuna erişim denemesini standart olarak bu kullanıcı üzerinden yaparlar. Bunun yerine bir kullanıcıya admin yetkilerini vermeniz daha güvenli olacaktır.
NOT: Admin yetkilerini vereceğiniz kullanıcıya yetkileri, administrator kullanıcısını devre dışı bırakmadan önce verin. Aksi takdirde yetkili bir kullanıcı olmayacağı için işlem yapamazsınız.
Güzel makale teşekkürler, orta-buyuk yapılarda olması gereken ADC yapısı, organizational unit yapısı nasıl olmalı gibi konuları da içeren yazı yazar mısınız.
Teşekkürler.
Merhaba,
Bu konuyla ilgili bir çalışmamız var. Şuan ortam hazırlanıyor. İlerleyen günlerde ilk başta OU ve group policy yapısı sonrasında ise ADC yedeklilik(additional domain, tek ADC sunucusu yeterli mi) şeklinde paylaşmaya devam edeceğiz.
Sorularınız olursa paylaşırsanız memnun oluruz.