Windows Server 2012 R2 ile Kullanici Hesaplarının Yönetimi–Bölüm 1
Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. Üç bölümden oluşan makalemizde sistem yöneticileri için temel konulardan biri olan “Kullanıcı Hesaplarının Yönetimini” hem yerel(local) kullanıcı hesapları hem de active directory domain yapılarındaki kullanıcı hesapları açısından detaylı olarak ele alacağız. Bu konuda uzun vadede referans olabilecek bir makale hazırlamaya çalıştık. Bu makaledeki anlatımlarımızı her ne kadar Windows Server 2012 R2 üzerinde yapmış olsak da, büyük bir kısmı özellikle Windows 2003’den bugüne tüm active directory ortamlarında geçerlilik arzediyor olacak.
KULLANICI HESAPLARINA GİRİŞ
Şirket içerisindeki kullanıcıların; bir domain’e bağlanarak domain içerisindeki kaynaklara erişim gerçekleştirmesi veya workgroup ortamı içerisinde bir bilgisayara bağlanarak o bilgisayar üzerindeki kaynakları kullanabilmesi için kullanıcı hesaplarına (user accounts) ihtiyaç duyulmaktadır. Kullanıcı hesabı için kullanıcıya ait bilgileri üzerinde barından bir nesne ya da belgedir diyebiliriz. İçerisinde kullanıcıya ait olan isim, şifre, kullanıcının grup üyelikleri gibi bilgiler bulunmaktadır. Windows-tabanlı bilgisayarları kullanan herkes için kullanıcı hesabının oluşturulması gerekmektedir.
Kullanıcı hesaplarını genel olarak üç grupta inceliyoruz.Bunlar:
üDomain kullanıcı hesapları(Domain user accounts)
üYerel Kullanıcı Hesapları(Local user accounts)
üYerleşik Kullanıcı Hesapları(Built-In User Accounts)
Domain Kullanıcı Hesapları (Domain User Accounts)
Domain içerisinde yani Active Directory içerisinde açılan kullanıcı hesaplarına “domain kullanıcı hesabı” adı verilir. Domain kullanıcı hesapları, domain’e logon olarak ağ üzerindeki kaynaklara erişim gerçekleştirip, bu kaynakları sahip olduğu haklar doğrultusunda kullanabilmektedir. Bir kullanıcının domain’e bağlanabilmesi için domain içerisinde açılmış bir kullanıcı hesabına, bu hesap için tanımlanmış şifreye ve logon olacağı domain adına ihtiyacı vardır.Windows Server 2012 R2 işletim sistemi açıldığında gelen logon penceresi içerisinde username bölümüne kullanıcı logon ismini, password bölümüne de şifresini belirtip domaine logon olma süreci başlatılır.
NOT:Active Directory domainine üye olan bir client bilgisayarda ya da domain controller rolüne sahip olmayan server işletim sisteminde çalışan sunucu bilgisayarından iki farklı ortama logon olabiliriz : Bunlardan birincisi, domain adı ile domain ortamına logon olmak, diğeri de Bilgisayar Adını (Computer Name) kullanarak yerel bilgisayara logon olmaktır.
Kullanıcının logon penceresine girdiği bilgiler kullanılarak, domain’e ya da yerel bilgisayara bağlanma esnasında kimlik doğrulama (authentication) süreci başlayarak gerekli kontroller yapılır ve akabinde o kullanıcı için, kullanıcı bilgilerini ve güvenlik ayarlarını içeren bir erişim jetonu(access token) oluşturulur. Bu erişim jetonu, kullanıcının hangi bilgisayarlar üzerindeki kaynakları kullanabileceğini tanımlamaktadır. Workgroup ortamında çalışan bilgisayarlara ve domain üyesi olup yerel bilgisayarlara logon esnasında kimlik doğrulama protokolü NTLM (NT LAN Manager)’dir. Active Directory domain ortamlarına logon sürecinde ise kimlik doğrulama Kerberos protokolü ile yapılır. Kerberos protokolünün herhangi bir nedenden dolayı hizmet vermemesi durumunda da NTLM protokolü kullanılarak kimlik doğrulama gerçekleştirilir.Active Directory domainine üye olan fakat domain controller olmayan istemci ve sunucu bilgisayarlarda yerel bilgisayara (local computer) logon olma sürecinde de kimlik doğrulama NTLM protokolü ile gerçekleştirilir.
Bir bilgisayara ya da domain ortamına logon olmuş kullanıcı bilgilerini görüntülemek için WHOAMI komutunu ve ilgili parametrelerini kullanabilirsiniz:
Logon olan kullanıcıya atanan erişim jeton içeriğini görüntülemek için de yine WHOAMI /ALL komutu kullanılabilir.
Gelen çıktıda logon olan kullanıcıya ait kullanıcı adı, SID tanımı, grup üyelikleri, politika-bazlı atanan haklar, varsa claim bilgilerini de görebilirsiniz.
Yine Windows Server 2003 Resource Kit araçlarından KerbTray.EXE kullanılarak da logon olan kullanıcının Kerberos Ticket içeriği ve özellikleri görüntülenebilir.
Domain kullanıcı hesapları, Active Directory dizin servisine sahip olan domain controller bilgisayarları üzerinde oluşturulabilir ve Active Directory domain veritabanı içerisinde depolanmaktadırlar. Domain ortamında kullanıcı hesapları hem DC hem de Additional DC bilgisayarları üzerinde oluşturulabilir. DC (domain controller) ya da ADC üzerinde oluşturulan kullanıcı hesapları, aynı domain içerisindeki tüm diğer DC ve ADC bilgisayarlarına otomatik olarak replikasyon mimarisi kullanılarak senkronize edilir. Kullanıcı hesaplarının diğer DC bilgisayarlarına replikasyonunun ardından, tüm DC bilgisayarları kullanıcının domaine bağlanma süreci esnasında kimlik denetimi işlemini yapabilmektedir. Bu sayede, kullanıcı hesabı DC’lerden herhangi birinde oluşturulmuş olmasına rağmen, logon işlemi esnasında kimlik denetimi (authentication) işlemi bir diğer DC tarafından gerçekleştirilebilir. Böylelikle DC sunucuları, birbirlerinin yükünü paylaşarak yük dengelemesini sağlamış olurlar ki biz buna “load-balance (yük paylaşımı)” adını veriyoruz.
Windows Server 2012 R2 ile domain kullanıcı hesapları active directory kurulduktan sonra gelen, “Active Directory Users and Computers” ya da “Active Directory Administrative Center” yönetim konsolları kullanılarak grafiksel arayüzden oluşturulabilirler. Ayrıca komut satırından PowerShell cmdlet, DS komut satırı araçları (DSADD, DSMOD, DSRM vb.) ya da NET USER komutu kullanılarak da oluşturmak ve yönetmek mümkündür.
Yerel Kullanıcı Hesapları(Local Users Accounts)
Herhangi bir bilgisayarın yerelinde açılan kullanıcı hesabına “yerel kullanıcı hesabı” (local user account) adı verilir. Yerel kullanıcı hesapları sadece oluşturulmuş olduğu bilgisayara logon olarak, o bilgisayar üzerindeki kaynaklara erişebilir. Yerel bir kullanıcı hesabı oluşturulduğunda, oluşturulan bu kullanıcı sadece yerel bilgisayarın SAM(security accounts manager) veritabanında tutulmaktadır. SAM veritabanı içerisinde bulunan kullanıcılar, ağ ortamındaki başka bilgisayarlara ya da domain controller(DC) sunucularına güncellenmezler. Windows Server 2012 R2’de, yerel kullanıcı hesapları Computer Management yönetim konsolu içerisindeki “Local Users and Groups” altından oluşturulur.
Burada geçmeden önemli bir hatırlatma yapmamızda fayda vardır ki, Domain Controller(DC) bilgisayarları üzerinde yerel kullanıcı hesabı oluşturmanız mümkün değildir. DC bilgisayarı üzerine Active Directory Domain Service rolü kurulduktan sonra Computer Management konsolundaki “Local Users and Groups” eklentisi otomatik olarak kalkar. Sonuç olarak DC bilgisayarlarında sadece active directory domain kullanıcı hesapları açılarak, domain ortamına logon olabilirsiniz.
Yerleşik Kullanıcı Hesapları (Built-in User Accounts)
Windows Server 2012 R2 tarafından otomatik olarak oluşturulan kullanıcı hesaplarına “yerleşik kullanıcı hesabı(built-in user account)” ismi verilmektedir. Yerleşik kullanıcı hesaplarına örnek olarak Administrator ve Guest hesaplarını verebiliriz. Yerleşik kullanıcı hesaplarını silmeniz mümkün değildir. Fakat yerleşik kullanıcı isimlerini değiştirebilirsiniz. Örneğin “administrator” adını “admin” olarak yeniden adlandırabilirsiniz. Bu sayede herkes tarafından bilinen administrator adı ile logon denenmesini engellemiş olursunuz. Yeniden adlandırma sonrası yeni isimli kullanıcının yetki ve hak olarak administrator kullanıcısından bir farkı yoktur. Şimdi yerleşik kullanıcı hesaplarını ve yetkinliklerini biraz açalım:
Administrator
Yerleşik kullanıcı hesabı olan Administrator, bilgisayar üzerinde veya domain içerisinde bütün her şeyi yapma hakkına sahiptir. Administrator hesabının yetkilerinden bazılarını maddeler halinde sıralarsak:
· Kullanıcı ve grup oluşturabilir,
· Oluşturulan kullanıcı ve grup hesapları üzerinde gerekli değişiklikler yapabilir,
· Güvenlik ayarlarını yapabilir,
· Kaynaklar üzerinde izin atamalarını yapabilir ve izinleri değiştirebilir,
· Printer oluşturup yönetebilir,
· Script dosyalarını çalıştırabilir v.s. gibi,
· Kısacası her şeyi gerçekleştirme hakkı vardır.
Administrator hesabının ismini değiştirerek güvenliği artırabileceğimizi yukarda da bahsettik. Böylece yetkisiz kişilerin Administrator yetkili kullanıcı hesabının adını bilmedikleri için bu hesabı kırmaları da zorlaşacaktır. Hatta tehlikeli şahısları aldatmak amaçlı olarak Administrator kullanıcısının ismini değiştirdikten sonra, administrator isminde sistem üzerinde herhangi bir hakkı olmayan yeni bir kullanıcı hesabı oluşturularak şaşırtma yöntemiyle ek bir güvenlik önlemi de alınabilir.
Guest
Sistem üzerindeki kaynaklardan kısa süreli istifade edecek olan misafir kullanıcılar için Guest hesabı kullanılabilir. Guest hesabı varsayılan olarak kapalı (disable) olarak gelmektedir. Bunun en büyük nedeni güvenlik amaçlı olmasıdır. Guest hesabı aktifleştirildikten(enabled) sonra bu hesaba şifre atamasının yapılması gerekmektedir. Guest hesabının normal açılmış bir kullanıcı hesabından farkı yoktur. Administrator hangi hakları verirse sadece o haklar çerçevesindeki işlemleri yapabilir.
NOT:Güvenlik açısından Guest ve Administrator hesaplarının isimleri değiştirilmeli ve mutlaka kompleks ve uzun şifreler verilmelidir.
Yeni Bir Kullanıcı Hesabı Açmanın Püf Noktaları
Sistem içerisinde bir kullanıcı hesabı oluşturulurken isimlendirme, şifre tanımlama ve kullanıcı hesabı üzerindeki ayarlaların yapılması esnasında dikkat edilmesi gereken hususlar vardır. Bu hususları birlikte inceleyelim:
Kullanıcı İsimlendirme Standartları:
- Kullanıcıların logon isimleri (user logon name) ve tam isimleri (Full Name) domain içerisinde tek olmalıdır. Yani Active Directory domaini içerisinde aynı ismi kullanan birden fazla kullanıcı hesabı oluşturamazsınız. Aynı şekilde yerel kullanıcı hesabı olarak düşündüğümüz zaman da, yerel bilgisayar üzerinde açılan kullanıcı isimleri de tek ve benzersiz olmak zorundadır.
- Kullanıcı logon isimleri en fazla 20 karakter uzunluğunda olabilir.Siz 20 karakterden fazla da girseniz Windows Server 2012 R2 bunun 20 karakterini alır. Kullanıcı isimleri küçük harf ve büyük harf içerebilir. Aşağıda belirtilen karakterleri kullanıcı ismi verirken kullanamazsınız:
\ / ” [ ] : | < > + = ; , ? * @
· Kullanıcı isimlerini verirken yukarıda kullanılması yasak olan karakterler dışındaki özel karakterleri, sayıları ve alfa sayısal karakterleri kullanabilirsiniz. Örneğin, Mesut_Aladag, Mesut-Aladag gibi. Eğer yukarıda belirtilen yasaklanmış karakterleri kullanarak bir kullanıcı hesabı açmak isterseniz, örneğin “Mesut+2014”, aşağıdaki mesaj ile uyarılacaksınız.
Uyarıda da gördüğümüz üzere illegal karakterlerin yerine _ (alt çizgi) karakterini yerleştireceğini belirtiyor.
- Kurumsal ortamlarda kullanıcı hesapları için çeşitli isimlendirme metodları kullanabilirsiniz. Örneğin, kullanıcıların isimlerinin baş harfleri ve Soy isimlerden oluşan, “maladag” gibi ya da kullanıcının adı ve soyadının baş harfi şeklinde “mesuta” verilebilir. Bu tamamıyla kendi belirleyeceğiniz isimlendirme standardına bağlı olarak alternatif isimlendirme metotları geliştirilebilir. Bir diğer yandan kurum içerisinde aynı isme sahip kullanıcılar bulunabilir. Böyle durumlarda da bu iki kullanıcıyı birbirinden farklı kılacak ilave karakterle birini diğerinden ayırabilirsiniz. Ayrıca sisteminizde geçici çalışanlar için kullanıcı hesapları açarken bunların isimlendirmesini T-Mesut şeklinde yaparak yönetilmesi ya da anlaşılmasını basitleştirip, karışıklığı önlemiş olursunuz. Buradaki T “temporary” (geçici) ifadesini temsil etmektedir.
Kullanıcı Şifresi Tanımlanırken Dikkat Edilmesi Gerekenler:
Güvenlik açısından şifreleme konusuna da dikkat edilmesi gerekmektedir. Aşağıda şifreleme konusunda nelere dikkat etmeniz gerektiği maddeler halinde açıklanmıştır.
- Her zaman için Administrator kullanıcısına güvenli şifre tanımlamayı unutmayın. Çünkü Administrator kullanıcısının sistem içerisinde tam yetkisi olduğundan, bu şifrenin başkaları tarafından bilinmesi ya da tahmin yoluyla kırılması gibi durumlarda büyük bir güvenlik açığı ve riski oluşacaktır.
- Kullanıcı hesabı tanımlama esnasında verilen şifreleri SMS yoluyla ya da kapalı zarf içerisinde kullanıcılarınıza ulaştırmanız ve kullanıcının da sisteme ilk logon esnasında kendileri için yeni bir şifre tanımlamalarını zorunlu kılacak yapılandırmaları devreye alın.
- Kullanıcılarınızı şifre tanımlaması ve sahip oldukları şifreyi diğer çalışanlarla paylaşmamaları konusunda bilinçlendirmeye yönelik olarak eğitin.
- Örneğin, kullanıcılarınıza şifre olarak kendileri ile özdeşleşmiş terimlerin kullanılmasının tehlikeli olduğunu belirtin. Mesela tuttuğu takım, doğum tarihi gibi. Bu güvenlik açısından çok önemlidir.
- Mümkün olduğunca uzun karakterli şifreler verilmesini zorlayacak politikalar tanımlayın. Tavsiye edilen en az 8 karakterli şifrelerin kullanılmasıdır.
- Kullanıcılar için tanımlanan şifreler en fazla 127 karakter olabilir. Nostalji olması açısından, ağ ortamında Windows 95 ve Windows 98 gibi çok eski yıllara ait istemci bilgisayarlarınız varsa bunlarda maksimum 14 karakter uzunluğundaki şifrelere destek verirler. Eğer şifreniz 14 karakterden fazla ise bu istemci bilgisayarlarından logon olamıyorduk.
- Şifre olarak büyük harf, küçük harf, rakam ve özel karakterler kullanabilirsiniz.
· Açılmış fakat hemen kullanılmayacak kullanıcı hesaplarını kapalı duruma (disabled) getirin.
- Kullanıcı hesapları açıldıktan sonra ilk logon olmada kendilerine özgü bir şifre tanımalarını zorunlu kılacak ayarları devreye alın.
- Güvenlik açısından normal zamanlarda bilgisayarınıza ya da sunucu sistemlerine yönetimsel haklara sahip kullanıcılarla logon olmamaya özen gösterin.
- Bilgisayarınıza yönetimsel yetkisi olmayan kullanıcı ile girdiğinizde yönetimsel görevleri yapmanız gereken zamanlarda “Run as different User” seçeneğini kullanabilirsiniz.
- Domain ortamında dışarıdan yapılacak saldırıları bertaraf etmek için Administrator ve Guest hesaplarını yeniden adlandırın ya da Administrator yetkili yeni isimde hesaplar açıp bu hesapları disabled yapın.
- Varsayılan olarak, Active Directory Yönetimsel Araçları üzerindeki tüm traffic, ağda taşınırken imzalı (signed) ve kriptolu olarak iletilir.Bu özelliği kapatmayın.
Yerel Kullanıcı Hesabı Nasıl Oluşturulur?
Computer Management konsolu kullanılarak yerel kullanıcı hesapları oluşturulabilmektedir. Aşağıdaki adımları izleyerek yerel kullanıcı hesabı oluşturabilirsiniz:
Control Panel\Administrative Tools\Computer Management yolunu izleyerek, ya da Start butonu üzerinde sağ tuşa tıklayınca gelen menüden Computer Management tıklanarak ya da compmgmt.msc komutu ile Computer Management yönetim konsolu açılır.
Computer Management açıldıktan sonra sol bölmede Local Users and Groups seçeneği altındaki Users üzerinde sağ tıklanır.
Açılan menüden New User seçeneği seçilir.
4. New User penceresinde aşağıdaki bilgiler tanımlanır:
User Name : Kullanıcının bilgisayara logon olurken kullanacağı isimdir.Örneğin, Aladagm .
Full Name : Kullanıcının adı ve soyadı tanımlanır.Örneğin, Mesut ALADAĞ.
Description : Kullanıcı ile ilgili bir açıklama yapılır. Mesela kullanıcının görev tanımı ya da kullanıcı hesabının açılma amacı. Örneğin, Microsoft MVP,MCT .
Password : Kullanıcı hesabına ait geçici bir şifre tanımlanır. Örneğin, “Password1”.
Confirm Password : Tanımlanan şifre doğrulanmak için tekrar girilir.
Şifre tanımı ile ilgili gerekli seçenekler işaretlenir.
User must change password at next logon : Bu seçeneği seçtiğinizde, kullanıcının bundan sonraki ilk log on olma işlemi sırasında şifresini değiştirmesi ile ilgili olarak bir uyarı ile karşılaşmasına ve yeni bir şifre vermeye zorlayabilirsiniz. Bu işlem bir defaya mahsus gerçekleştirilir. Bu seçenek daha sonraki zamanlarda kullanıcı şifreyi unutursa ya da herhangi bir nedenden dolayı admin kullanıcısı kullanıcının şifresini resetlerse yine aktifleştirilmeli ve kullanıcının ilk logon olmada kendine ait şifre tanımlamaya zorlamalısınız.
User cannot change password : Bu seçenek seçilerek kullanıcının şifresini değiştirmesi engellenebilir. Kullanıcı şifre değişiklikleri belli dönemlerde yapılacaksa bu seçenek kullanılabilir. “User cannot change password” seçeneği ile “User must change password at next logon” seçenekleri aynı anda aktifleştirilemezler.
Password never expires : Kullanıcılara ait olan şifrelerin belirli bir geçerlilik süresi vardır ki bunun varsayılan süresi de 42 gündür. Bu süre dolduğunda kullanıcının şifresini değiştirmesi gerekmektedir. Eğer herhangi bir kullanıcı hesabının şifresinin süresiz olarak geçerli olmasını istiyorsanız “password never expires” kutucuğunu doldurmanız gerekir. Böylece kullanıcı başlangıçta verilen şifre ile sonsuza kadar çalışmaya devam edecektir. Bu seçenek genellikle kendine ait bir servisi olan ve kurulum esnasında bu servislerin yönetimi için bir kullanıcı hesabı kullanılıyorsa, o hesaplarda işaretlenerek şifrenin süresiz olarak geçerli kullanımını sağlar. Çünkü bu tarz uygulamalarda kurulumdan sonra servis hesabı olarak tanımlanmış kullanıcının şifresi değişirse uygulama servislerinde eski şifre tanımlı olduğu için servisler çalışmamaya başlar. Ayrıca, eğer “Password never expires” seçerseniz “User must change password at next logon” kutusu aktifliğini kaybettiğine de dikkatinizi çekmek isterim.
Account is Disabled : Herhangi bir kullanıcı hesabı ile sisteme girişi engellemek istiyorsanız bu kutucuk işaretlenir. Özellikle işten ayrılanlarda bu kutucuk mutlaka işaretlenmeli ya da kullanıcı hesabı tamamen silinmelidir. Bazı kurum ve kuruluşlarda yıllık izne çıkan personelin hesapları da izinden dönene kadar bu şekilde devre dışı bırakılabilir. Böylece kullanıcı hesabı siz bu kutucuğu tekrar boşaltana kadar kapatılmış olur. Kullanıcınız geçici olarak tatile çıktığında veya izne ayrıldığında, ona ait olan hesabı silmek yerine geçici olarak kullanım dışı bırakıp o kullanıcı hesabı ile sisteme logon olunmasını önleyebilirsiniz.
Create butonuna tıklayarak kullanıcı oluşturma işlemi tamamlanır.
ÖNEMLİ NOT: Yerel kullanıcı hesapları Domain Controller (DC) bilgisayarları üzerinde oluşturulamaz. Yerel kullanıcıları sadece bir istemci bilgisayarında (Windows 8.1, Windows 8 , Windows 7 vb.) , workgroup ortamında çalışan bir stand-alone Windows Server 2012 R2, Windows Server 2012, Windows 2008 R2 vb. sunucu sistemlerinde ya da domain üyesi olan bir sunucu sistemi üzerinde oluşturulabilir. Yerel kullanıcı hesapları bilgisayarlarınSAM adı verilen veritabanı içerisinde (Windows\system32\config altında) tutulurken, domain kullanıcı hesapları NTDS.DIT isimli Active Directory veritabanında (Windows\ntds altında) tutulurlar.
Domain Kullanıcı Hesaplarının Oluşturulması
Domain kullanıcı hesabından söz edebilmemiz için öncelikle sistemde mevcut kurulu bir domain olması gerekir. Domain kurulumu ve detaylı adımların uygulanması ile ilgili olarak portalımızdaki aşağıdaki makaleleri inceleyebilirsiniz:
Windows Server 2012 Forest Root Domain Active Directory Kurulumu
Domain kullanıcı hesapları yerel kullanıcı hesaplarından farklı olarak grafiksel arayüzden Active Directory Users and Computer yönetim konsolundan ya da Active Directory Administrative Console kullanılarak ya da PowerShell, DS komutları ya da Net User komutu ile komut satırı araçları ile açılırlar. Zaten domain controller ya da additional domain controller olan bir bilgisayarda Computer Management konsolu içerisindeki Local Users and Groups eklentisi otomatik olarak kalktığından bahsetmiştik. Windows 2000 active directory ile çalışan arkadaşlarımız hatırlarlarsa, Windows 2000 Server DC ve ADC sistemlerinde Local Users and Groups eklentisi kalkmayıp sadece üzerine çarpı atılarak, nesne kullanılamıyordu. Kullanılmayan nesnenin boşuna kirlilik yapması Windows Server 2003 sonrası tamamen kaldırılarak temizlenmiş oldu.
Kullanıcılarınızın domain ortamındaki kaynaklardan yararlanabilmeleri için domain ortamına logon olabilmeleri gerektiğini yukarda bahsetmiştik. Bu amaçla da active directory domaini içerisinde her kullanıcı için domain kullanıcı hesabı oluşturulmalıdır. Domain kullanıcı hesabı genellikle Domain Controller sistemleri üzerinden oluşturulur ve yönetilirler. Ayrıca istemci bilgisayarlar üzerine de active directory uzaktan yönetim araçları (RSAT – Remote Server Administration Tools) kurularak active directory domain servislerine bağlanıp kullanıcı ve grup yönetimleri gerçekleştirilebilir. İstemci bilgisayarlara Active Directory yönetim araçlarının kurulumunu aşağıdaki makalelerden detaylarıyla bulabilirsiniz:
Uzaktan Sunucu Yönetim Araçlarının (Remote Server Administration Tools – RSAT) Yüklenmesi
Ortamda Windows XP kullanan yöneticiler için Windows XP istemciler üzerine active directory yönetim araçlarını “adminpak.msi” komutu çalıştırılarak kurulduğunu hatırlatmakta fayda var. Tabii ki burada hem RSAT hem de Adminpak kurulumu için önemli olan sisteme logon olduğunuz kullanıcının yetkileridir. Active Directory içerisindeki Domain Admins grubunun varsayılan olarak domaine üye olan bütün bilgisayarlarda aynı zamanda yerel Administrators grup üyeliği olduğu için hem RSAT ile uzak yönetim araçlarının kurulmasında hem de istemci bilgisayara yüklenen RSAT araçlarından domaine bağlanıp yönetimsel görevleri yerine getirmesinde herhangi bir yetki problemi normal şartlar altında olmaması gerekir. Tabi yine bir diğer yöntem olarak da Remote Desktop yani uzak masaüstü bağlantısı ile Domain Controller bilgisayarına bağlanarak da DC üzerinden kullanıcı ve grup yönetimi yapabilirsiniz.
Windows Server 2012 ve Windows Server 2012 R2 ile beraber hesap yönetimi (account management) için grafiksel arayüzde iki önemli aracımız gelmektedir:
· Active Directory Users and Computers
· Active Directory Administrative Center
Active Directory Users and Computers, active directory yöneticilerinin ilk versiyondan bugüne kadar active directory domain ortamlarında hesap yönetimi yaptıkları ana yönetim konsoludur. Active Directory Administrative Center ise Windows Server 2008 R2 ile tanıştığımız ve özellikle Windows Server 2012 sonrası daha da geliştirilen yeni nesil active directory yönetim konsolu. Active Directory yönetiminde gelen yenilikler ve yeni özellikler ağırlıklı olarak Active Directory Administrative Center konsolunda geliyor.
Windows Server 2012 R2 Active Directory Administrative Center (Active Directory Yönetim Merkezi)
Hangi konsolu kullanırsanız kullanın kullanıcı hesabı açmada bir farklılık olmayacaktır. Her iki konsolda da varsayılan olarak kullanıcılar Users kabı içerisinde gelir. Siz de kendi kullanıcılarınızı bu kap içerisinde açabilirsiniz. Fakat active directory yönetimi açısından best-practice olan kendi şirketinizin organizasyonel yapısına göre bir Organizational Unit(OU) hiyerarşisi oluşturup, hiyerarşik olarak hangi kullanıcı nerede olması gerekiyorsa o OU içerisinde oluşturmalısınız. Bu hem dağınıklığı ortadan kaldırıp, sınıflandırma ve tasnifi sağlamış olur hem de özellikle group policy ve delegasyon uygulamalarında size kolaylıklar sağlayacaktır.
Domain ortamında açılan bir kullanıcı aynı anda birden fazla OU altında bulunamaz. Düşünün ki IT ve ArGE isimli iki farklı OU ve Aladagm isimli bir de kullanıcı oluşturmuş olalım. Ben eğer Aladagm isimli kullanıcıyı IT altında oluşturduysam bu kullanıcıyı aynı anda ArGE’de de bulunduramam. ArGE içerisine taşıdığım anda IT OU’su altından kullanıcımız taşınmış olur. Adı üzerinde zaten “taşıma” yapıyoruz. Eğer arzu ederseniz Aladagm isimli kullanıcının bir kopyasını alarak farklı bir isimde örneğin “HakanU” isimli başka bir kullanıcıyı farklı bir OU’da oluşturabilirsiniz.Fakat ben burada sadece “AladagM” kullanıcısının özelliklerini “HakanU” kullanıcısına kopyalamış oluyorum.
Bu anlattığımız bilgileri makalemizin ikinci bölümünde bol uygulamalarla pratik bilgiye dönüştüreceğiz.
Aşağıdaki adımları takip ederek bir domain kullanıcı hesabı oluşturabilirsiniz;
1- Administrative Tools menüsü içerisinden Active Directory Users and Computers konsolu açılır.
2- Açılan pencere kullanıcı nerede oluşturulmak isteniyorsa (mesela EGITIM isimli OU içerisinde) sağ tuşa basılır ve New seçilerek açılan menüden User seçeneğine tıklanır.
3- New Object-User penceri içerisinde gerekli olan bilgiler tanımlanır;
First Name : Kullanıcının adı buraya girilir. Örneğin Hakan.
Last Name : Kullanıcının soyadı buraya tanımlanır. Örneğin Uzuner.
Full Name : Siz kullanıcının adı ve soyadını girince otomatik olarak kullanıcının Tam adı (adı soyadı) bu kutucukta oluşur.
Initial Name:Eğer kullanıcının ikinci adı veya göbek adı varsa bu kutucuğa girilir.Bu kutucuk aynı zamanda ünvanlar için de kullanılabilir. Dr. , Prof. Dr. ya da Mr. , Mrs. vb. gibi.
User Logon Name : Kullanıcının domaine logon olurken kullanacağı ismi bu kısımda belirtilir. Domaine logon olmak için kullanılan iki farklı alternatif vardır: User Logon Name ile domaine logon olmak ya da User Logon Name (pre-Windows 2000) ile domaine logon olmak. Biz bu User Logon Name kutucuğuna girdiğimiz ismin sonuna aslında domain adımız da otomatik olarak son-ek (suffix) şeklinde gelmektedir. Örneğin, User Logon Name olarak “HakanU” girdikten sonra oluşan User Logon Name [email protected] şeklindedir. Bu bizim domaine logon olabileceğimiz ilk logon ismimiz. İkinci olarak da User Logon Name (pre-Windows 2000) yöntemini kullanmak.
User Logon Name (Pre-Windows 2000) : Kullanıcının Windows 2000 öncesi bilgisayarlardan domaine bağlanırken kullanacağı kullanıcı ismi bu kısma belirtilir. Tabi bu logon ismi ile Windows 2000 sonrası bilgisayarlardan domaine logon olamaz manası çıkmasın. Ama özellikle bu kutucuğun geliştirilme amacı Windows 2000 öncesi sistemlerin UPN Suffix yöntemi ile yani [email protected] formatından logon olma desteği olmadığı için böyle bir seçenek gelmişti. Normalde User Logon Name’e ne yazdıysanız o isim otomatik olarak User Logon Name(Pre-Windows 2000) kutusuna da gelir. Eğer kullanıcının Windows 2000 öncesi sistemlerden farklı bir isimle girmesini isterseniz bu kutucuğa farklı bir isim verebilirsiniz.
User Logon Name (pre-Windows 2000) şeklindeki logon olmada da DomainAdi\KullaniciAdi formatında logon oluyoruz. Windows XP ve öncesi istemcilerde domain adını alt kutucuktan seçip, üste de logon ismimizi yazdığımız sistem de buradaki ismi kullanarak logon olma yöntemidir. User Logon Name ile User Logon Name (pre-Windows 2000) aynı olmak zorunda değildir, ama genelde aynı bırakılır. Eğer burda User Logon Name (pre-Windows 2000) ismini değiştirirseniz bu durumda DomainAdi\kullaniciadi formatindaki logon olma durumlarında User Logon Name (pre-Windows 2000) kutucuğuna ne girdiyseniz onu kullanmanız gerekecektir.
İlgili kutucukları yukarıdaki gibi doldurduktan sonra hemen arkasından Next ile bir sonraki adıma devam edilir.
4- Gelen pencerede kullanıcının şifresi belirlenir ve altta gelen yukarıdaki adımlarda anlattığımız seçeneklerden hangileri kullanılacaksanız onlar işaretlenir ve Next ile devam edilir.
Şifre aşamasında şu an belirtmekte fayda gördüğüm bir nokta var. Windows Server 2003’den bu güne active directory domain yapılarında varsayılan olarak kullanıcılar için en az 7 (yedi) karakter uzunluğunda ve kompleks bir şifre tanımlamanız gerekir. Fakat eğer isterseniz Domain Security Policy ayarlarından bu politikaları değiştirme imkanınız vardır. Dolayısıyla bu aşamada biz herhangi bir ayar değişimi yapmadığımız için 7 karakter ve kompleks olan bir şifre tanımlıyoruz.Örneğin 123+abc, Password1 ya da p@ssw0rd gibi. Burada önemli olan tahmin edilmesi zor, güvenli, sağlam bir şifre tanımlamaktır.
5- Son aşamada yapılan işlemi onaylamak için Finish butonuna basılır.
Oluşturulan kullanıcı hesabı şekilde de görüldüğü üzere biz EGITIM OU’su içerisinde açtığımız için onun altında geldi.
Siz de şimdi aşağıdaki bilgileri kullanarak ikinci kullanıcı hesabınızı açın:
First Name : Mehmet
Last Name : Uner
User Logon Name : MehmetU
User Logon Name (Pre-Windows 2000) : MehmetU
Password : Passw00rd
Sonuç Olarak;
Üç bölümden oluşacak makalemizin bu ilk bölümünde sistem yöneticileri için temel konulardan biri olan “Kullanıcı Hesaplarının Yönetimini” hem yerel(local) kullanıcı hesapları hem de active directory domain yapılarındaki kullanıcı hesapları açısından detaylı olarak ele aldık. Makalemizin ikinci bölümünde görüşmek üzere hoşçakalın.