Senaryolara göre OU ve Kısıtlı Kullanıcılar Oluşturmak?..

Merhaba ;

Active Directory üzerinde OU'lar oluşturarak departman userlarını OU'lara taşıyabilirsiniz. Aynı şekilde departman isimleri ile goup oluşturup , userları bu grouplara member edebilirsiniz.

Dosya ve klasör paylaşımı içinse aşağıda belirttiğim link işinizi görecektir.

http://www.cozumpark.com/blogs/windows_server/archive/2009/02/23/payla-m-ve-g-venlik-sharing-and-security.aspx

Kolay gelsin. 

Merhaba,

Tüm kullanıcılar yetkisiz kullanıcı olacaklar ise ayrı ayrı ou yaratmanıza gerek yok. tek bir ou yaratıp tüm computer hesaplarını bu ou altına taşıyıp istediginiz gp ayarlarını bu ou üzerine uygularsınız herkes etkilenir. Kullanıcıların bilgisayarlarına dediginiz müdahaleleri yapmamaları için lacal admin grubuna domain user hesaplarını eklemediginiz sürece sorun yaşamazsınız.

Diğer paylaşımlara yetki vermek için ise security grupları oluşturup bu gruplar içerisine ilgili bölümün userlarını ekleyip açmış oldugunuz paylaşımlara yetki verirken bu security grup adını kullanırsınız istediginiz olmuş olur. Yeni bir kullanıcı işe başladıgında ilgili security grubuna üye yaptığınızda bu gruba yetki verdiğiniz tüm paylaşımlı alanlarar bu kullanıcıda otomatikman erişmiş olur.

Kullanıcı hesabı oluşturmayı biliyorsanız security gurubu oluşturmak'ta bunun çok benzeri. Paylaşımlar hakkında daha fazla ve detaylı bilgiyi forum içerisindeki makaleleri okuyarak edinebilirsiniz.

Yardımcı Makale;

http://www.serkanuzuner.com/index.php?option=com_content&view=article&id=6:paylam-ve-guevenlik-sharing-and-security&catid=8:genel&Itemid=313

Saygılarımla.

Ufuk,

Teşekkür ediyorum. Makaleyi okuyacağım. Sunucu ve istemci kullanıcı yapısı oluşturmak için bazı belirli başlıkları birçok şirkette aynıdır.

Uygulayanlar bu düzeni adım adım nasıl uyguladılar?. Mevcut uygulamalarından memnunlar mı?.. Daha iyi çözümler var mıdır?.. gibi sorulara cevaplar arıyorum açıkçası.

Recep Bey,

Sizin mesajınızı dün görmemiştim. 🙂 Teşekkür ediyorum. Gerçekten güzel bilgiler var orda da. Okuyorum. Ancak bazı temel bilgileri öğrenmeden anlamakta güçlük çekiyorum.

OU ---> Grup ----> Domain User  bunlar arasındaki etkileşim nedir, nasıl uygulanır?...

Ben bu yapıdan şunu anlıyorum.

OU ya uyguladığımız kurallar, altındaki grupları ve o gruplara bağlı kullanıcıları etkiler. Gruba uyguladığımız kurallar da, altındaki grupları ve o gruplara bağlı kullanıcıları etkiler. Doğru mu yanlış mı?..

Bu konuda, kullanıcı özellikleri yapılarında açıklama yapabilir misiniz?.. 

GPO OU`ya tatbik edilir.Ancak bir gruba GPO tatbik edemezsiniz.OU`ya tatbik etseniz evet içindekileri etkiler.

Başarılar!

1. Öncelikle OU larınızı departman isimleri ile oluşturun Ardından bu departmanlara dahil olan kullanıcalrı oluşturun ve hepsi Domain User özelliğine sahip olsun.
2. İsterseniz bu OU ların içerisine departman isimleri ile gruplar oluşturun ve OU içerisinde yeralan User larınızı bu gubun üyesi yapın.
3. Personel tarafından kullanılacak dökümanları ilgili kalsörler oluşturarak server üzerine alın.
4. Server üzerine aldığınız bu dökümanların klasörlerini paylaşıma açın.
5. Paylaşıma açarken OU altına oluşturduğunuz grubu kullanabileceğiniz gibi tektek user bazlıda yapabilirsiniz.
6. Klasörlerin paylaşım ve güvenlik ayarlarına sadece ilgili kişi yada grubu ekleyerek yapmaları gereken işleri belirtin.
7. Oluşturduğunuz OU lara GPO uygulaması yaparak ilgili OU nun kullanıcılarını kısıtlaya bilirsiniz. Basit bir kısıtlamadan, kullanıcının sadece tek bir programı açmasına izin vermeye kadar bir takım kısıtlamalar, bunların yanı sıra kullanıcılara uzaktan program yükleme gibi gelişmiş özelliklerin hepsini Group Policy'ler yani grup poliçeleri ile yapılabilir.Grup poliçelerini elinizdeki bir "kurallar listesi" olarak düşünebilirsiniz. Örneğin : Bir üniversite kampüsünde olduğumuzu düşünelim. Elimizdeki "kurallar listelerini" kullanarak öğrencilere bir takım kurallar koymak istiyoruz. Eğer bu "kurallar listesini" kampüsün ana kapısına asarsanız kampüse giren tüm öğrenciler bu listeyi görüp kurallara uyarlar, eğer "kurallar listesini" A bloğun giriş kapısına asarsanız sadece bu blokta eğitim gören öğrenciler ilgili kurallara tabi olacaktır, eğer bir sınıfın kapısına bu kuralları asarsınız sadece o sınıfın öğrencileri bu kurallara tabi olur. Üniversite örneğine devam edersek, bir öğrenci sınıfına girene kadar önce ana kapıdaki, sonra binanın girişindeki en son sınıfındaki kural listesini okur. Eğer bu listelerde farklı farklı kurallar varsa, sonuçta öğrenci bu kuralların hepsine uyar. Eğer ana kapıdaki listede "duvar kağıdını değiştiremezsin" diyen bir kural, oysa sınıfının kapısında ise "duvar kadığını değiştirebilirsin" kuralı varsa, en son gördüğü kural, yani sınıf kapısındaki kural geçerlidir.

Sinan Kahraman,

Çok teşekkür ediyorum, ayrıntılı ve örnekli açıklaman için. Gerçekten çok öğretici oldu. Bence sizin bu anlatım şekliniz, diğer konuların anlatım şekli konusunda örnek oluşturmalı.

Sayfalarca veri okumaya gerek kalmadan tek bir mesajla temel bilgiyi öğrenmiş oldum. Eminim bu konu, aramalarda birçok arkadaşında merak ettiği ve fayda sağlayacağı bir konu olacaktır.

Tekrar teşekkür ediyorum. 

Başka bir konuda başka bir sorum var.

Domaine dahil edilen XP Client bir makine, localde oturum açamasın, yalnızca domain adı içinde oturum açabilsin. Bunu nasıl yapabiliriz?..
Her ne kadar Administrator şifresini vermesem de Login ekranında local alanı seçmemeli ve o alana kullanıcı adını girememeli.. 

Kağan bey merhaba, Sinan hocam yılların sistemcisi olduğu için bence gayet normal 🙂

Sinan hocam' ın izni ile bu kısmada ben cevap vermek istiyorum.

Logon ekranındaki local oturum açma bölümünü devre dışı bırakabilirsiniz.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

bu bölüm altında, NoDomainUI dword oluşturup değerini 1 yapmanız yeterlidir.

bu tek tek makinelerde yapmamak için aşağıdaki komutu not defterine yapıştırıp adm uzantılı  hale getirin sonra gpo dan administrative template bölümünden bu adm' i ekleyin.

CLASS MACHINE

CATEGORY "Logon Window Customization"  
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"  
 
    POLICY "Hide Domain Box on Graphical Interface"  
       VALUENAME "NoDomainUI"  
       VALUEON NUMERIC 1 
       VALUEOFF NUMERIC 0 
   END POLICY  
END CATEGORY  

Hakan Bey,

Server üzerinde yazdığım kodları adm uzantılı dosyaya kaydettim. "istemciyelocaloturumyasak.adm" olarak Administrative Templates içinde tanımladım. Ardından "Filters On" işaretledim. gpupdate /force yaptım. 

Herhangi bir istemci pc de oturum kapattım, tekrar açtım ancak poliçe uygunlanmadı. Nerede eksik yaptım?.. Ekran görüntüsü için tıklayın. 

Bir diğer konu Domain User kullanıcılar kendi bölümleri üzerinde CD-DVD-USB üzerindeki setup dosyası üzerinden herhangi bir yazılım yüklemesi yapabiliyorlar. Ekstra bir poliçe uygulamadım. Default Domain Users haklarında program yükleme yasak değil miydi?..

Teşekkürler. 

Birinci sorun hakkında bir fikrim yok.Hocamız eminim ki, yardım edecekdir.

İkinci sorun hakkında ise

User Conf-Administrative Templ-Add or Remove-Hide Add a Program CD or Floppy

 User Conf-Administrative Templ-System-Remove Storage Access-All Removable Storage Acces Deny

Bunları yaparsanız, kullanıcılar artık bişey yapamazlar.

Başarılar!

Hakan Bey,

Server üzerinde yazdığım kodları adm uzantılı dosyaya kaydettim. "istemciyelocaloturumyasak.adm" olarak Administrative Templates içinde tanımladım. Ardından "Filters On" işaretledim. gpupdate /force yaptım. 

Herhangi bir istemci pc de oturum kapattım, tekrar açtım ancak poliçe uygunlanmadı. Nerede eksik yaptım?.. Ekran görüntüsü için tıklayın. 

Bir diğer konu Domain User kullanıcılar kendi bölümleri üzerinde CD-DVD-USB üzerindeki setup dosyası üzerinden herhangi bir yazılım yüklemesi yapabiliyorlar. Ekstra bir poliçe uygulamadım. Default Domain Users haklarında program yükleme yasak değil miydi?..

Teşekkürler. 

Kağan bey class' a dikkat etmemişsiniz herhaşde

CLASS MACHINE

yani bunu computer config te ekleyeceksiniz user değil ve bu policy yi bilgisayarların bulunduğu ou ya bağlayacaksınız. Yani bu bir makine policy sidir.