Active Directory Trust Relationships – Bölüm 5 External Trust

Makalemizin bundan önceki bölümlerinde detaylı olarak trust konularına değinmiş ve bir önceki bölümde de demo ortamında trust işlemlerini görmüştük. Bu 5. Bölümde ise External trust konusunu işleyeceğiz.

Makalemin bir önceki bölümü için aşağıdaki linki kullanabilirsiniz

Active Directory Trust Relationships – Bölüm 4 Kullanıcı İşlemleri

Peki, son durumu bir kez daha hatırlamak adına cozumpark.local ve hakanuzuner.com domainleri için trust menülerini bir kez daha sizler ile paylaşıyorum.

image001

Cozumpark.local domain içerisinde iki trust görünüyor; bunlardan bir tanesi kendiliğinden oluşan parent/child trust dediğimiz trust tipi olup bir diğer ise forest trust tipidir. Ancak dikkat ederseniz forest trust iki yönlü olmayı incoming yani hakanuzuner.com kaynakları sunulmaktadır.

Hakanuzuner.com domaini içinde iki trust görülmekte olup yine bir tanesi parent/child trust olup diğeri outgoing forest trust yani karşı tarafın kullanıcılarına güvenilmiş durumdadır.

Yani özetle henüz external trust olayına girmedik.

Şimdi mevcut bu yapıyı aşağıdaki gibi bir kez daha hatırlarsak

İki forest arasında tek bir trust olduğunu göreceğiz. Şimdi amacımız ise aşağıdaki gibi bir yapıya doğru ilerlemek

Bunun için ilk olarak cozumpark.local domaini için child domain olan sozluk.cozumpark.local domain içerisinde trust menüsüne ulaşıyoruz

Yukarıda gördüğünüz gibi child domain içerisinde sadece parent ile olan trust ilişkisini görebiliyoruz.

Şimdi yeni bir trust oluşturalım. Tabiki bunun ilk koşulu dns üzerinde forward tanımı yapmaktır.

Cozumpark.local forest’ ındaki child domainimizin dns sunucusu üzerinde makale.hakanuzuner.com için bir tanım yapıyoruz.

Sonra yeni trust menüsü yardımı ile trust oluşturmaya başlıyoruz.

Diğer yaptığım trust örneklerinden farklı olarak child için oluşturduğum trust’ ı iki yönlü olacak şekilde ayarlıyorum. Bunun özel bir nedeni yok, sadece bunu da göstermek için bu seferde iki yönlü bir external trust yapalım malum artık 4 bölümdür tek yönlü, çift yönlü, geçişli, geçişsiz, selective, forest wide yani yapmadığımız konfig kalmadı diyebiliriz.

Peki, iki yönlü olacak şekilde ayarladım ve bir sonraki pencereye geçiş yapıyorum.

Bu menü her ne kadar aynı olsa da küçük bir fark olduğu için açıklama ihtiyacı duyuyorum. Forest trust yaparken burada forest-wide authentication seçilebiliyordu yani tüm forest içerisindeki makineler otomatik olarak trust’ a katılır ve ACL de izin var ise karşı domainden erişim sağlanırdı. Burada forest değil de aslında iki domain arasında trust yaptığımız için aynı mantık domainler arasında devam etmektedir. Yani bu seçeneği seçmen halinde tek tek hangi makinelerin trust’ a katılacağına sizin karar vermenize gerek kalmaz. Ben yine daha önceki forest trust sırasında Selective Authentication seçmiş ve bunu detaylandırmış olduğum için bu seferde Domain-wide diyerek ilerliyorum.

Evet sozluk.cozumpark.local child domaini için external trust tanımını yaptık. Son durum aşağıdaki gibidir.

Şimdi makale.hakanuzuner.com child domain’ e gidip benzer şekilde trust tanımını yapalım

Yukarıda ilk durumu görebiliyoruz. Tabiki yine trust işlemine başlamadan önce dns ayarlarını yapıyoruz

Sonra yeni trust oluşturmaya başlıyoruz

Bundan sonraki pencereler hali hazırdan bundan önce 4 kez gösterildiği için sadece resimleri paylaşıyor altlarına tekrar tekrar açıklama yazmıyor olacağım

Evet, bu sayede iki child arasında da External trust yapmış olduk.

Bu son yaptığımız external trust ile yapımız aşağıdaki duruma geldi

Şimdi bu yaptığımız değişikliklerin parent domainleri etkilemediğini kontrol edelim

İlk olarak cozumpark.local ile sozluk.cozumpark.local trust menülerini karşılaştırıyorum

Sozluk için cozumpark parent, cozumpark için sozluk ise child domaindir. Cozumpark bir child bir forest trust’ a sahipken, child domain olan sozluk bir parent birde external trust’ a sahiptir.

Şimdi bu yeni durumda iki child arasında bir doküman paylaşımı yapalım. Diyelim ki sozluk.cozumpark.com içerisindeki bir file server altındaki bir klasörün ACL görünümü aşağıdaki gibi olacaktır

Gördüğünüz gibi bir parent domain var aslında bu görünmüyor ama en üstte, yani sozluk.cozumpark.loca’ ın üstünde cozumpark.local var.

Peki, gördüklerimizde ne var? hakanuzuner.com forest trust ile geliyor child’ a birde external trust nedeni ile direkt olarak makale.hakanuzuner.com’ u görebiliyoruz.

Ve yukarıda görüldüğü gibi rahatlıkla izin verebiliyoruz.

Bu izin mantığını da makalemi sonlandırmadan önce özetlemek istiyorum. Hep ben folder ACL üzerinden gittim ama siz bunu GPO, Terminal Server, Sharepoint doküman kütüphanesi, printerlar, mail server vs yani her türlü sistem kaynağı için kullanabilirsiniz.

Evet bu makalenin de sonuna geldik. Umarım faydalı bir makale olmuştur.

Bir sonraki makalemizde görüşmek üzere

Esen kalın

Exit mobile version