Forum
Merhabalar,
Şu sıralar Yapımıza bir adet file server kurmayı ve kullanıcıların desktop ve my documents klasörlerini server'a taşıdıktan sonra Quota management, file screening ve offline folders da dahil olmak üzere ayarlamalar yapılarak devreye almayı düşünmekteyiz. Sitedeki Fatih Bey'in makalesini okuduktan sonra bir nokta dikkatimi çekti. burada c:\muhasebe_file klasörü \\file-srv\muhasebe_file şeklinde bir paylaşım açılmış ve everyone full yetki verilmesi işleri kolaylaştıracağından bahsediyordu. folder redirection ile ilgili grup policesi ayarlamalarında Grant user exclusive rights to desktop yetkisi açık olması halinde bu paylaşım altına dosyaları taşınan her kullanıcı için klasör oluşup sadece o kullanıcı full yetkiye sahip olmasına kadar bir sorun yok. ancak şirkette birazcık bu işlerden anlayan birisi paylaşımı bulduğu vakit şirket için dosya değişim noktası olarak kullanabilir, ayrıca everyone olduğu için virüsler için açık bir kapı olmaz mı? ben yanlış anlamış olabilirim ancak testlerimde ben bahsetmiş olduğum noktaları art niyetli bir şekilde kullanabildim. Güvenliğin önemli ve açıkların olmadığı bir file server için (Windows Server 2003 R2 File server management kullanılarak) önerilerinizi beklemekteyim.
Dosyamız üzerinde kullanıcılarımızın sahip olacağı yetkileri
belirleyebiliyoruz. File server özeliğini kurarken ben yönetim için
kolaylık olarak Policyler ile Folder Redirection özelliğini kullancağım
için, her kullanıcının dosyaları bu paylaşım klasörüne yazılacağı,
oluşacağı için kullanıcılarımın bu paylaşım klasöründe yeni bir dosya oluşturma yetkisi olma hakkı zounludur. Yetki olarak everone grubuna Full hak verdim ki bu paylaşım klasöründe dosya oluştura bilecekler.Haklar
konusuna gelmişken Folder Redirection ile ilgili ek bir bilgiyi
vermekte yarar var, Folder redirection özelliği kullanıldığı zaman
Default olarak sadece kullanıcının kendi klasöründe Full erişim hakkı
olup, bu dosyaların taşınmış olduğu bilgisayarın yöneticisinde dahi okuma hakkı yoktur.
Kulanıcı her oluşacak olan dosyaya hak vermediği sürece yönetici
hakkına sahip olan bir kullanıcı sahipliğini almadığı sürece bir işe
yaramayacaktır.Kısacası benim yukarıda vermiş olduğum everone
grubuna full hak vermem sadece yapmış olduğum işi kolaylaştırıyor,
kullanıcıların dosyalarının taşınmasında bir problem yaşamamama neden
oluyor.
İyi Çalışmalar
Merhaba,
Fatih Beyin dokümanında bahsettiği izin zaten ektra bir izin olduğu belirtiliyor dokumanı dikkatli okuduğunuzda default değerin sistem yöneticisi dahil olmak üzere sadece kullanıcının full hakkı olduğundan bahsediliyor. Siz bu hakları ilgili dosyanın sahipliğini aldıktan sonra elde ediyorsunuz budurumda;
1. Sisteminizde bulunan kimsenin Yönetim Şifrelerini bilmesi gerekir.
2. Kullanıcı ve ntfs yetkilendirmenizi iyi bir strateji üzerine kurmalısınız.
3. Orta düzey güvenlik önlemleri zaten yarım bir iş sayılır.
4. Sistemde bir virus programı mutlaka olmalı. En azından Forefront ücretsiz olarak yararlanabilirsiniz tabi belli bir süre.
5. Güvenlik denildiği zaman iletişim kuracaksanız mutlaka bir açığınız olacak demektedir %100 güvenli bir sistem kimseyle haberleşmeyen kapalı bir sistemdir 🙂
6. Yazdıklarınızdan anladığım kadarıyla meraklı kullanıcılarınız mevcut Grup politikalırınız ve stratejilerinizi yükseltip sag tuşa kadar kullanıcılarınızı kontrol edebilirsiniz.
7. Dosya Sunucunuzun log larını aktif hale getirerek bir strateji oluşturabilir standart dışı işlem yapan ip leri dolayısıyla kullanıcıları tespit edip yaptırım uygulaya bilirsiniz.
Teşekkürler Süleyman Bey Yanıtınız için,
Paylaşım altındaki klasörlerde dediğiniz yetkilendirme gpo tarafından uygulanıyor, bunda haklısınız. yani Ahmet kullanıcısının dökümanlarını sadece ahmet tam yetki ile kullanacak eğer administrator kullanmak isterse sahipliği alması gerekir. Ahmet için klasörümüz \\file-srv\muhasebe_file\ahmet\
direk paylaşıma her kullanıcı istediği gibi dosya kopyalayabilecektir. bunun içinde paylaşımı gizli yapabilir, ayrıca everyone yerine domain users veya authenticated users grubuna hak verebiliriz diye düşünmekteyim.bundan başka yapılacak birşey var mıdır?
Not: evet meraklı kullanıcılar var 🙂 zaten kendileri için bir gpo oluşturmayı düşünmekteyim. virüs programı sistemde yüklü.
Folder Redirection Mantığı gereği Sistem Yöneticisi dahil olmak üzere kullanıcıların kişisel bilgilerinin gizli tutulmasıdır. Sözkonusu makaledeki Ektra izin olayı Folder Redirection olayının gerçekleştirildiğini Dökümanı okuyan kişiye ispat için yapılmıştır. Aslında Ektra bir izin vermeye gerek yoktur. (Default konfigurasyonu uyguladıktan sonra paylaşım klasörünüzün ntfs özelliklerini inceleyebilirsiniz ) Sizinde belirtiğiniz gibi paylaşım klasöründe kullanıcılar extra yetkilendirilmedi ise klasörlerin ancak isimlerini okuya bilirler yani en fazla kullanıcı ismini okur ama dosya içine giremezler 🙂 Ancak Ben sistem yöneticisiyim her seyi bilmeye hakkım var diyorsanız başka paylaşıma açtığınız kök klasörün sahibliğini alabilir işlem yapabilirsiniz bununla birlikte işlem yaptığınız kullanıcının hakkalarını geri iade etmez iseniz kullanıcı klasöründe hata meydana gelecektir yani kendi klasörüne bağlanamayacaktır. buradaki iznin mantığı tamamen ntfs yetkilendirmeleri ile alakalı anlayacağınız 🙂 dökümandaki herkese full yetki hakkı bu yüzden verildi. ancak döküman yazarı şunuda yapabilirdi sadece yöneticiye (administrator) full yetki verebilirdi ona bakarsanız herkese full hak vermesinin sebebi kullanıcınında paylaşım verdiği klasöre erişim yapıp dosya oluştura bilmesini sağlamaktı. Yani kısaca Dokumanın yapmış olduğu bir yerde olayın nasıl meydana geldiğini bir anlamda bizlere kanıtlamaktı. Yoksa Folder Redirection olayında her hangi bir izin vermeye gerek yoktur aktif hale getirildiğinde konfigurasyonu yapıldığında o işini kendisi zaten halleder. 🙂 Yönetici(Admin) haricindeki kullanıcılar bu dosyaların sahipliklerini alamazlar Mesela Meraklı kullanıcılarınıza farklı bir havuz oluşturabilir onlarında heveslerini kırmadan kendi başlarına meraklarını gidermelerini sağlayabilirsiniz 🙂 Saygılarımla...
Not : Lütfen beni Dökümanın avukatlığını yapıyor yada ukala biri olarak algılamayın bunları yazmamın sebebi diğer arkadaslarında olayı ayrıntıları ile anlamasını sağlamaktır
Folder Redirection Mantığı gereği Sistem Yöneticisi dahil olmak üzere kullanıcıların kişisel bilgilerinin gizli tutulmasıdır. Sözkonusu makaledeki Ektra izin olayı Folder Redirection olayının gerçekleştirildiğini Dökümanı okuyan kişiye ispat için yapılmıştır. Aslında Ektra bir izin vermeye gerek yoktur. (Default konfigurasyonu uyguladıktan sonra paylaşım klasörünüzün ntfs özelliklerini inceleyebilirsiniz ) Sizinde belirtiğiniz gibi paylaşım klasöründe kullanıcılar extra yetkilendirilmedi ise klasörlerin ancak isimlerini okuya bilirler yani en fazla kullanıcı ismini okur ama dosya içine giremezler 🙂 Ancak Ben sistem yöneticisiyim her seyi bilmeye hakkım var diyorsanız başka paylaşıma açtığınız kök klasörün sahibliğini alabilir işlem yapabilirsiniz bununla birlikte işlem yaptığınız kullanıcının hakkalarını geri iade etmez iseniz kullanıcı klasöründe hata meydana gelecektir yani kendi klasörüne bağlanamayacaktır. buradaki iznin mantığı tamamen ntfs yetkilendirmeleri ile alakalı anlayacağınız 🙂 dökümandaki herkese full yetki hakkı bu yüzden verildi. ancak döküman yazarı şunuda yapabilirdi sadece yöneticiye (administrator) full yetki verebilirdi ona bakarsanız herkese full hak vermesinin sebebi kullanıcınında paylaşım verdiği klasöre erişim yapıp dosya oluştura bilmesini sağlamaktı. Yani kısaca Dokumanın yapmış olduğu bir yerde olayın nasıl meydana geldiğini bir anlamda bizlere kanıtlamaktı. Yoksa Folder Redirection olayında her hangi bir izin vermeye gerek yoktur aktif hale getirildiğinde konfigurasyonu yapıldığında o işini kendisi zaten halleder. 🙂 Yönetici(Admin) haricindeki kullanıcılar bu dosyaların sahipliklerini alamazlar Mesela Meraklı kullanıcılarınıza farklı bir havuz oluşturabilir onlarında heveslerini kırmadan kendi başlarına meraklarını gidermelerini sağlayabilirsiniz 🙂 Saygılarımla...
Not : Lütfen beni Dökümanın avukatlığını yapıyor yada ukala biri olarak algılamayın bunları yazmamın sebebi diğer arkadaslarında olayı ayrıntıları ile anlamasını sağlamaktır
Çok teşekkür ederim Süleyman Bey, Sizi Ukala olarak algılamadım, aksine soruma cevap vermeye vakit ayırdığınız için ve mantığı kavramamda yardımcı oldunuz. Makale'ye ek olarak güvenliği biraz artı tutabilmek için everyone yerine domain users veya authenticated users'a yetki vermenin daha uygun olacağını ve kök paylaşım klasörününde paylaşıma açılırken $ (admin paylaşım yapılarak) gizli tutulması daha uygun olacaktır diye düşünmekteyim.
İyi Günler.