DNS sunucusu, ağ üzerindeki cihazların IP adresleriyle etkileşime geçmesine olanak tanır. Bazen, belirli kullanıcıların DNS yapılandırmalarını sadece görüntülemesi, yani “Read” yetkisine sahip olması gerekebilir. Bu durumda, DNS sunucusu yönetici haklarına sahip olmayan bir kullanıcıya sadece okuma izni vermek, güvenlik ve yönetim açısından önemlidir.
Bu makalede, DNS Console üzerinde bir kullanıcıya nasıl sadece “Read” yetkisi verileceğini adım adım ele alacağız. Bu işlem, hem Windows Server ortamlarında hem de Active Directory entegre DNS sunucularında uygulanabilir.
DNS Console’da Read Yetkisi İçin Grup Oluşturma
İlk adım olarak, DNS sunucusunda sadece okuma yetkisine sahip olacak kullanıcıları yönetmek için bir grup oluşturuyoruz. Bu örnekte, “Dns_Read” adlı bir security grubu oluşturuyoruz. Bu grup, DNS sunucusundaki yetkilendirme işlemlerini kolaylaştıracak ve kullanıcı yönetimini merkezi hale getirecek.
DNS Console’da “Dns_Read” Grubuna Read Yetkisi Tanımlama
DNS Console’da “Dns_Read” grubuna sadece “Read” yetkisi vermek için DNS Manager’ı açıp sunucunun Properties bölümüne giriyoruz. Security sekmesinde, “Dns_Read” grubunu ekleyip yalnızca Read yetkisini seçiyoruz. Ancak yapmamız gereken bir işlem daha var.
Her Bir Zone İçin “Dns_Read” Grubuna Yazma ve Değiştirme Yetkilerini Engelleme
Sıradaki adımda, her bir zone için “Dns_Read” grubuna yazma, değiştirme ve silme yetkilerini engellemek için “Deny” ayarlarını yapılandırıyoruz. DNS Manager’da her zone üzerine sağ tıklayıp Properties kısmına giriyoruz. Security sekmesine geliyoruz ve burada Advanced butonuna tıklıyoruz, daha önce eklediğimiz “Dns_Read” grubunu seçip yazma, değiştirme ve silme yetkileri için Deny seçeneklerini işaretliyoruz. Bu sayede, “Dns_Read” grubundaki kullanıcılar zone’ları sadece görüntüleyebilir, ancak hiçbir değişiklik yapamazlar.
Advanced Permission’da “Dns_Read” Grubu İçin Deny Yetkilerinin Tanımlanması
Görseldeki seçeneklerde, “Dns_Read” grubuna yazma, değiştirme ve silme gibi yetkileri engellemek için aşağıdaki seçenekler işaretlenmeli:
- Write all properties: Grubun herhangi bir özelliği değiştirmesini engellemek için.
- Delete: Grubun herhangi bir nesneyi silmesini engellemek için.
- Modify permissions: Grubun izinleri değiştirmesini engellemek için.
- Modify owner: Grubun nesne sahibi olmasını engellemek için.
- Create all child objects: Grubun yeni nesneler oluşturmasını engellemek için.
- Delete all child objects: Grubun alt nesneleri silmesini engellemek için.
- Create dnsZoneScopeContainer objects: Grubun zone scope nesneleri oluşturmasını engellemek için.
- Delete dnsZoneScopeContainer objects: Grubun zone scope nesnelerini silmesini engellemek için.
Bu seçenekler işaretlenerek, “Dns_Read” grubuna sadece okuma yetkisi bırakılır, diğer tüm yetkiler reddedilir.
Bu işlemi her bir zone için tekrarlayarak gruba gerekli kısıtlamaları uygulamış oluyoruz. Umarım bu makale, DNS yetkilendirme süreçlerinde size yardımcı olur.