terminal server

Merhaba

Sürücülere ulaşmasını istemediğin kullanıcıları bir grup altında topla.

Daha sonra bu kullanıcıların active directory de member of kısmında domain users grubunu göreceksin her kullanıcı yı yeni oluşturduğun gruba ekledikten sonra  yeni grubu primary grup yap böylece domain users ı kaldırabilirsin listeden.

 Domain user sa üye olmadıkları için hiç bir yere giremezler sen gir melerini istediğin yere yetki verirsin.

Belki daha pratik bir yolu vardır ama ben böyle yapmıştım.
 

peki oluşturacağımız gurup domain local mı olucak yoksa global security mi?

bide global security olan grubun üyesiydi dediğin işlemi yaptım ama hala c sürücüsünde ne var ne yoksa görebiliyor

sistem raid 5 olduğu için herşey c sürücüsünde

lütfen yardım

Yeni oluşturduğun gruptan başaka hiç bir gruba üye değilse ve active directory member of kısmındanda domain users üyeliğini kaldırdıysan sürücülere erişemez bende de raid var terminal server kullanıcılar my documents ve desktopları haricinde hiç bir yere giremiyorlar.

herşeyi denedim fakat yinede olmuyor sadece yeni oluşturduğum grupta uyeliği kalıyor

fakat yinede c sürücüsünde istediği gibi dolaşabiliyor kafayı yiyeceğim lütfen yardım cok acil

C sürücüsünden devralınan Everyone izninden kaynaklanıyor. Bunu yapına uygun şekilde düzenlemelisin. Dikkatli ol.

Az önce daha ayrıntılı baktım, durum biraz daha farklı. Everyone kaldırmak yeterli olmuyor.

C sürücüsünden everyone kaldırılsa bile, Users gurubu orda olduğu sürece kullanıcılar diske erişebilir. Kullanıcı Users gurubuna üye olmasa bile izinlerinden etkileniyor çünkü Authenticated Users/NT AUTHORITY gurubu Users gurubuna üye.

C üzerinde Users gurubu izinlerinde düzenleme yapmak kesinlikle sistemin çalışmasını etkiler. Bu nedenle yapılmamalı.

Çözüm şudur:

Kullanıcı dosyalarını/klasörlerini C den farklı bir partition'a alıyoruz. Örn. D

D kök dizininde Users'a full deny veriyoruz ve alt dizinlere yayılmasını sağlıyoruz.

Kullanıcının erişmesini istediğimiz klasörde üstten devralınan izinleri kaldırıyoruz ve ilgili kullanıcıya erişim izni veriyoruz. Böylece disk içinde yalnızca o dizine ulaşabiliyor. D kökü dahil başka hiçbir dizine erişemiyor.

peki bu işlem C üzerinde yapılamaz mı? tabiki yapılır.

Çünkü C kökünde Users'a denay verirsek bu izin, Windows, Program files ve Document and settings gibi sistem dizinlerine etki etmeyecektir. Yani bunlar üzerinde sorun olmayacak ancak yine de iyi test edilmeli. Şu an göremediğim farklı sorunlar çıkartabilir.

Yinede C üzerinde tavsiye etmiyorum.

Merhaba

bir domain user ın sisteme hiçbir zararı olamaz neden bu kadar yönetimsel efor sarfediyoruz onu anlamadım 🙂

Bu arada Serhat hocam çabana hayranım , benim bile soru sorasım geldi 🙂 

Yapılabilir mi acaba diye düşünüp kurcaladım biraz. Ama o konuda hem fikiriz hocam, user sistemi bozamaz. Bu şekilde uğraşmak gereksiz.

serhat hocam ilginize cok teşekkür ederim

hakikaten çok kafayı kurcaladım ama işin içinden çıkamıyorum sistemimdeki yapı şu diğer bir deyişle neden buna ihtiyacım var onu anlatmaya çalışayım

şimdi şirketimiz içte yaklaşık 25 dışarıdada 15 kullanıcıya sahip bi şirket

ve c sürücüsü altında şu tip bir klasör yapısı var

x klasörü 

    y klasörü

    z klasörü

    h klasörü

    g klasörü

 gibi x klasörünün altında klasörler var

şimdi örneğin y klasöründe müdürlerin özel dosyaları var ve bu dosyalar gizli diğer kullanıcılar görmemeli

içerdeki kullanıcılarda hiçbir sıkıntım yok herşey cok iyi

fakat uzak kullanıcıların masaüstlerine attığım ilgili klasörlerin kısayollarının haricinde c sürücüsüne ulaşabiliyorlar dolayısıyla

x klasörüne ve altındaki y klasörünede evet userlar sisteme zarar veremiyorlar ama dosyaları görüyorlar

bunun için c sürücüsü üzerindeki tüm hakları kaldırdım write haricinde ama bu seferde içerideki kullanıcılarda sorunlar cıkmaya başladı

read hakkınıda verdimmi yine tüm klasörlere girebiliyor

c üzerinden miras alınan haklar heryerde geçerli oluyor bu sefer

gpo dan c sürücüsünü restrict ettiğimde ise bu sefer kendi klasörlerine bile ulaşamıyorlar

hocam ne yapmalıyım sizce

haklari c surucusu veya x klasorune verecegine alt klasorlere versen nasil olur ?

y klasoru mudurler ise security tabinda sadece mudurlere okuma ve yazma izni ver.

boylece diger kullanicilar x klasoru altinda y diye bir klasor gorurler ama icerigini goremezler.

Evet Onurun söylediği gibi yapmalısın. İzinleri

x klasörü 

    y klasörü

    z klasörü

    h klasörü

    g klasörü

klasörleri üzerinde düzenlemelisin. İki gurup oluştur. Mudurler ve Personel gibi..

x klasörü altındaki klasörler izinleri yukarıdan devralsın. X üzerinde Mudurler ve Personel gurubuna okuma ve yazma hakkı ver. Sonra y klasörünün üstten izin almasını engelle ve y üzerinde Personel gurubuna Full denay ver.

Eğer diğer klasörler arasındada erişilmemesini istediğin varsa; aynı şekilde üstten izin devralmasını engelle ve ilgili guruba deny ver.  

serhat hocam x klasöründe hiçbir paylaşım yok

tüm haklar zaten diğer klasörler bazında ayarlanmış durumda

burada paylaşıma açık klasörler y z h ve g

zaten lan da herangi bir problemim yok

x c sürücüsünde bir klasör paylaşımsız içindeki klasörlerin herbiri paylaşımda ve haklar o şekilde ayarlanmış durumda zaten

sorunum uzak masaüstü kullanıcılarında

Değişen bişey yok. izinleri security (güvenlik) tabında düzenlersen, bağlantı şekli durumu değiştirmez.

y dizininde, security tabında Personel gurubuna deny ver. kullanıcı landan da gelse, uzak masa üstü ile oturum da açsa o dizine erişemez.

serhat hocam çok teşekkür ederim sorunumu hallettim

dediğiniz gibi security tabı olayı çözdü tabi bağlı izinleri devralmadan herşey için teşekkürler