Forum

Senaryolara gö...
 
Bildirimler
Hepsini Temizle

Senaryolara göre OU ve Kısıtlı Kullanıcılar Oluşturmak?..

12 Yazılar
7 Üyeler
0 Reactions
2,716 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Kullanıcıları kategorilendirme (Sanırım OU yapısı oluyor bu?), şirketteki departman mantığında nasıl kullanabilirim.

 

Örnek olarak;

Öncelikle oluşturulan gruplardan hiçbiri program yükleyemeyecek/kaldıramayacak, yalnızca server üzerinde tanımlanan programları kullanabilecek (tüm şirket personeli tarafından kullanılacak CRM yazılımı, Outlook,Power Point Word, Excel, Primo PDF, Skype,) ek olarak ağ ayarlarını değiştiremeyecek, sürücü yükleyemeyecek, klasör paylaştıramayacak.)

Muhasebe grubu
(Server üzerinde kurulmuş olan Muhasebe klasörü içindeki programa (Netsis) yalnızca bu gruba dahil edilmiş kullanıcılar erişebilsin ve kullanabilsin. Başka hiç kimse paylaşılan klasörü göremesin)

Satış 
(Server üzerinde tutulan Satış klasörüne yalnızca bu gruba dahil edilmiş kullanıcılar erişebilsin ve kullanabilsin. Başka gruplar bu paylaşılan klasörü göremesin)

Denetim 
(Server üzerinde tutulan Satış klasörüne de Muhasebe klasörü içindeki programına da gruba dahil edilmiş kullanıcılar erişebilsin ve kullanabilsin.)

Lojistik 

gibi kullanıcıların yer aldığı grupları nasıl oluştururum. 

Adım adım yazmak mümkün mü acaba?.. Bu konuda gerçekten büyük bir anlatım ve bilgi eksikliği söz konusu. 

 

 
Gönderildi : 23/12/2010 00:19

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Merhaba ;

Active Directory üzerinde OU'lar oluşturarak departman userlarını OU'lara taşıyabilirsiniz. Aynı şekilde departman isimleri ile goup oluşturup , userları bu grouplara member edebilirsiniz.

Dosya ve klasör paylaşımı içinse aşağıda belirttiğim link işinizi görecektir.

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/23/payla-m-ve-g-venlik-sharing-and-security.aspx

Kolay gelsin. 

 
Gönderildi : 23/12/2010 01:14

(@recepyuksel)
Gönderiler: 1893
Üye
 

Merhaba,


Tüm kullanıcılar yetkisiz kullanıcı olacaklar ise ayrı ayrı ou yaratmanıza gerek yok. tek bir ou yaratıp tüm computer hesaplarını bu ou altına taşıyıp istediginiz gp ayarlarını bu ou üzerine uygularsınız herkes etkilenir. Kullanıcıların bilgisayarlarına dediginiz müdahaleleri yapmamaları için lacal admin grubuna domain user hesaplarını eklemediginiz sürece sorun yaşamazsınız.


Diğer paylaşımlara yetki vermek için ise security grupları oluşturup bu gruplar içerisine ilgili bölümün userlarını ekleyip açmış oldugunuz paylaşımlara yetki verirken bu security grup adını kullanırsınız istediginiz olmuş olur. Yeni bir kullanıcı işe başladıgında ilgili security grubuna üye yaptığınızda bu gruba yetki verdiğiniz tüm paylaşımlı alanlarar bu kullanıcıda otomatikman erişmiş olur.


Kullanıcı hesabı oluşturmayı biliyorsanız security gurubu oluşturmak'ta bunun çok benzeri. Paylaşımlar hakkında daha fazla ve detaylı bilgiyi forum içerisindeki makaleleri okuyarak edinebilirsiniz.


Yardımcı Makale;


http://www.serkanuzuner.com/index.php?option=com_content&view=article&id=6:paylam-ve-guevenlik-sharing-and-security&catid=8:genel&Itemid=313


Saygılarımla.

************************************************************
Probleminiz çözüldüğünde sonucu burada paylaşırsanız,
sizin ile aynı problemi yaşayanlar için yardım etmiş olursunuz.
Eğer sorununuz çözüldü ise "çözüldü" olarak işaretlerseniz
diğer üyeler için çok büyük kolaylık sağlayacaktır.
************************************************************

 
Gönderildi : 23/12/2010 01:27

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Ufuk,

Teşekkür ediyorum. Makaleyi okuyacağım. Sunucu ve istemci kullanıcı yapısı oluşturmak için bazı belirli başlıkları birçok şirkette aynıdır.

Uygulayanlar bu düzeni adım adım nasıl uyguladılar?. Mevcut uygulamalarından memnunlar mı?.. Daha iyi çözümler var mıdır?.. gibi sorulara cevaplar arıyorum açıkçası.

 
Gönderildi : 23/12/2010 01:33

(@Anonim)
Gönderiler: 0
 

Recep Bey,

Sizin mesajınızı dün görmemiştim. 🙂 Teşekkür ediyorum. Gerçekten güzel bilgiler var orda da. Okuyorum. Ancak bazı temel bilgileri öğrenmeden anlamakta güçlük çekiyorum.

OU ---> Grup ----> Domain User  bunlar arasındaki etkileşim nedir, nasıl uygulanır?...

Ben bu yapıdan şunu anlıyorum.

OU ya uyguladığımız kurallar, altındaki grupları ve o gruplara bağlı kullanıcıları etkiler. Gruba uyguladığımız kurallar da, altındaki grupları ve o gruplara bağlı kullanıcıları etkiler. Doğru mu yanlış mı?..

Bu konuda, kullanıcı özellikleri yapılarında açıklama yapabilir misiniz?.. 

 
Gönderildi : 23/12/2010 18:16

(@farhadkarimov)
Gönderiler: 1031
Noble Member
 

GPO OU`ya tatbik edilir.Ancak bir gruba GPO tatbik edemezsiniz.OU`ya tatbik etseniz evet içindekileri etkiler.

Başarılar!

 
Gönderildi : 24/12/2010 08:26

(@sinankahraman)
Gönderiler: 5225
Illustrious Member
 
  1. Öncelikle OU larınızı departman isimleri ile oluşturun Ardından bu departmanlara dahil olan kullanıcalrı oluşturun ve hepsi Domain User özelliğine sahip olsun.
  2. İsterseniz bu OU ların içerisine departman isimleri ile gruplar oluşturun ve OU içerisinde yeralan User larınızı bu gubun üyesi yapın.
  3. Personel tarafından kullanılacak dökümanları ilgili kalsörler oluşturarak server üzerine alın.
  4. Server üzerine aldığınız bu dökümanların klasörlerini paylaşıma açın.
  5. Paylaşıma açarken OU altına oluşturduğunuz grubu kullanabileceğiniz gibi tektek user bazlıda yapabilirsiniz.
  6. Klasörlerin paylaşım ve güvenlik ayarlarına sadece ilgili kişi yada grubu ekleyerek yapmaları gereken işleri belirtin.
  7. Oluşturduğunuz OU lara GPO uygulaması yaparak ilgili OU nun kullanıcılarını kısıtlaya bilirsiniz. Basit bir kısıtlamadan, kullanıcının sadece tek bir programı açmasına izin vermeye kadar bir takım kısıtlamalar, bunların yanı sıra kullanıcılara uzaktan program yükleme gibi gelişmiş özelliklerin hepsini Group Policy'ler yani grup poliçeleri ile yapılabilir.Grup poliçelerini elinizdeki bir "kurallar listesi" olarak düşünebilirsiniz. Örneğin : Bir üniversite kampüsünde olduğumuzu düşünelim. Elimizdeki "kurallar listelerini" kullanarak öğrencilere bir takım kurallar koymak istiyoruz. Eğer bu "kurallar listesini" kampüsün ana kapısına asarsanız kampüse giren tüm öğrenciler bu listeyi görüp kurallara uyarlar, eğer "kurallar listesini" A bloğun giriş kapısına asarsanız sadece bu blokta eğitim gören öğrenciler ilgili kurallara tabi olacaktır, eğer bir sınıfın kapısına bu kuralları asarsınız sadece o sınıfın öğrencileri bu kurallara tabi olur. Üniversite örneğine devam edersek, bir öğrenci sınıfına girene kadar önce ana kapıdaki, sonra binanın girişindeki en son sınıfındaki kural listesini okur. Eğer bu listelerde farklı farklı kurallar varsa, sonuçta öğrenci bu kuralların hepsine uyar. Eğer ana kapıdaki listede "duvar kağıdını değiştiremezsin" diyen bir kural, oysa sınıfının kapısında ise "duvar kadığını değiştirebilirsin" kuralı varsa, en son gördüğü kural, yani sınıf kapısındaki kural geçerlidir.
 
Gönderildi : 24/12/2010 11:37

(@Anonim)
Gönderiler: 0
 

Sinan Kahraman,

Çok teşekkür ediyorum, ayrıntılı ve örnekli açıklaman için. Gerçekten çok öğretici oldu. Bence sizin bu anlatım şekliniz, diğer konuların anlatım şekli konusunda örnek oluşturmalı.

Sayfalarca veri okumaya gerek kalmadan tek bir mesajla temel bilgiyi öğrenmiş oldum. Eminim bu konu, aramalarda birçok arkadaşında merak ettiği ve fayda sağlayacağı bir konu olacaktır.

Tekrar teşekkür ediyorum. 

Başka bir konuda başka bir sorum var.

Domaine dahil edilen XP Client bir makine, localde oturum açamasın, yalnızca domain adı içinde oturum açabilsin. Bunu nasıl yapabiliriz?..
Her ne kadar Administrator şifresini vermesem de Login ekranında local alanı seçmemeli ve o alana kullanıcı adını girememeli.. 

 

 
Gönderildi : 24/12/2010 14:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33308
Illustrious Member Yönetici
 

Kağan bey merhaba, Sinan hocam yılların sistemcisi olduğu için bence gayet normal 🙂

Sinan hocam' ın izni ile bu kısmada ben cevap vermek istiyorum.

Logon ekranındaki local oturum açma bölümünü devre dışı bırakabilirsiniz.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

bu bölüm altında, NoDomainUI dword oluşturup değerini 1 yapmanız yeterlidir.

bu tek tek makinelerde yapmamak için aşağıdaki komutu not defterine yapıştırıp adm uzantılı  hale getirin sonra gpo dan administrative template bölümünden bu adm' i ekleyin.

 

CLASS MACHINE

CATEGORY "Logon Window Customization"  
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"  
 
    POLICY "Hide Domain Box on Graphical Interface"  
       VALUENAME "NoDomainUI"  
       VALUEON NUMERIC 1 
       VALUEOFF NUMERIC 0 
   END POLICY  
END CATEGORY  

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/12/2010 23:41

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Hakan Bey,

Server üzerinde yazdığım kodları adm uzantılı dosyaya kaydettim. "istemciyelocaloturumyasak.adm" olarak Administrative Templates içinde tanımladım. Ardından "Filters On" işaretledim. gpupdate /force yaptım. 

Herhangi bir istemci pc de oturum kapattım, tekrar açtım ancak poliçe uygunlanmadı. Nerede eksik yaptım?.. Ekran görüntüsü için tıklayın. 

Bir diğer konu Domain User kullanıcılar kendi bölümleri üzerinde CD-DVD-USB üzerindeki setup dosyası üzerinden herhangi bir yazılım yüklemesi yapabiliyorlar. Ekstra bir poliçe uygulamadım. Default Domain Users haklarında program yükleme yasak değil miydi?..

Teşekkürler. 

 
Gönderildi : 26/12/2010 03:24

(@farhadkarimov)
Gönderiler: 1031
Noble Member
 

Birinci sorun hakkında bir fikrim yok.Hocamız eminim ki, yardım edecekdir.

İkinci sorun hakkında ise

User Conf-Administrative Templ-Add or Remove-Hide Add a Program CD or Floppy

 User Conf-Administrative Templ-System-Remove Storage Access-All Removable Storage Acces Deny

 

Bunları yaparsanız, kullanıcılar artık bişey yapamazlar.

 

Başarılar!

 
Gönderildi : 26/12/2010 11:05

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33308
Illustrious Member Yönetici
 

Hakan Bey,

Server üzerinde yazdığım kodları adm uzantılı dosyaya kaydettim. "istemciyelocaloturumyasak.adm" olarak Administrative Templates içinde tanımladım. Ardından "Filters On" işaretledim. gpupdate /force yaptım. 

Herhangi bir istemci pc de oturum kapattım, tekrar açtım ancak poliçe uygunlanmadı. Nerede eksik yaptım?.. Ekran görüntüsü için tıklayın. 

Bir diğer konu Domain User kullanıcılar kendi bölümleri üzerinde CD-DVD-USB üzerindeki setup dosyası üzerinden herhangi bir yazılım yüklemesi yapabiliyorlar. Ekstra bir poliçe uygulamadım. Default Domain Users haklarında program yükleme yasak değil miydi?..

Teşekkürler. 

 

Kağan bey class' a dikkat etmemişsiniz herhaşde

CLASS MACHINE

yani bunu computer config te ekleyeceksiniz user değil ve bu policy yi bilgisayarların bulunduğu ou ya bağlayacaksınız. Yani bu bir makine policy sidir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/12/2010 14:28

Paylaş: