Windows 2016 Server Active Directory Delegation ve Rsat Tool Kullanımı

Günümüzde eskiye göre donanım sorunları maximum derecede azalmış, işletim sistemi sorunları minimize edilmiş bir durumda. Günümüzde yapay zekâ, bulut sistemler terimleri yoğun duyulmakla, güvenlik terimi de çok sık telaffuz edilmektedir. Sistem yöneticileri artık günümüzde sistemleri sağlıklı çalıştırmanın yanında güvenli bir sistem inşa etmek zorundadır. Bu konuyu sunucu işletim sistemleri üzerine taşıyacak olursak, yeteri kadar yetki ile gerek duyulan işlerin yapılması önem arz etmektedir. Bu nedenle büyük kurumlarda çok sayıda IT çalışanı olmasından dolayı, çalışanların sadece görev tanımlarında olan işleri yapabilmesi için birtakım kısıtlamalar gerekmektedir.

Yukarıda çizdiğimiz genel çerçeve sonrasında Windows Sunucu ailesi kullanan büyük yapılarda veya birden fazla çalışanı olan IT ortamlarında Delegation ile, yetkili kişiye gerektiği kadar yetki verme konusunu ele alacağız.

Öncelikle Active Directory Delegation nedir ona bakalım. http://Sozluk.cozumpark.com üzerinde delegation tanımı aşağıdaki gibidir.

“Yetki devri olarak bilinen delegation işlemi özellikle pek çok bilişim ürününde kullanılır. En çok bilinen örneği Microsoft Active Directory ortamlarında görülür. Örneğin siz bir sistem yöneticisi olarak Domain yönetim haklarına sahipsiniz, ancak sizin altınızda çalışan kullanıcı destek yöneticileri ise bir takım temel işleri yapmak için yetkiye ihtiyaç duyuyorlar. Yani kullanıcı silme, oluşturma, şifre resetleme ve benzeri. Bu ihtiyaçlar için onları domain yöneticisi yapmanız mümkün olmaz, belki uygun bir grup olabilir ama çoğunlukla özel ihtiyaçlar için delegasyon yapılır. Bir OU seçilir ve içerisindeki kullanıcılar yönetecek kullanıcılar için bu OU üzerinde delgasyon yapılır ve ilgili kişilere ilgili yetkiler verilir.”

Makalemizde Windows Server 2016 üzerinde delegasyon yapısı için bir örnek yapacağız. Delegasyon yetkisi ile IT personelinin kendisine atanan yetkisini nasıl kullanacağı konusunda örnek senaryo üzerinden gideceğiz. Sözü uzatmadan adımlarımıza geçelim.

Sunucumuz üzerinde cozumpark.local isimli bir domain yapımız mevcut. Domain yapımızda Cozumpark isimli bir organization unit ve içerisinde tanımlı kullanıcılarım var. Biz senaryomuza göre Help Desk isimli kullanıcıya Active Directory üzerinde parola sıfırlama, resetleme yetkisi vereceğiz.

Cozumpark.local domain başlığı üzerinde Mouse sağ tıklayarak Delegate Control seçeneğini seçelim. Dilerseniz OU seçerek sadece istemiş olduğunuz OU üzerinde delegation işlemi yapabilirsiniz.

İşlemleri hızlı bir şekilde yapabilmeniz için kurulum sihirbazı sizi karşılamakta Next’i tıklayıp devam ediyoruz.

 

Domain ortamında bulunan yetkilendirilecek olan kullanıcıları seçmek için Add butonuna tıklıyoruz.

 

 

Yetki vermek istediğiniz kullanıcıyı seçtikten sonra OK butonuna tıklayarak devam ediyoruz ben işlemlere helpdesk kullanıcısı ile devam edeceğim.

İsterseniz grup yada birden fazla kullanıcı ile devam edebilirsiniz ben sadece helpdesk kullanıcısına yetki vereceğim için Next ile ilerliyorum.

Bu ekranda hangi delegation özelliklerini vereceğimiz sorulmakta isterseniz hazır tasklardan yetkileri ayarlayabilirsiniz yada custom seçeneğinden daha spesifik ayarları seçebilirsiniz ben helpdesk kullanıcısına parola sıfırlama ve domaine alma yetkisi vereceğim için hazır tasklardan seçimi yapıp Next ile sonraki adıma ilerliyorum.

Sihirbaz tamamlanmadan önce size bir rapor ekranı sunmakta bu ekranda hangi kullanıcıya hangi yetkileri verdiğinizi görebilirsiniz işlemleri tamamlamak için Finish butonunatıklayıp Domain Controller tarafında ki işlemleri tamamlıyoruz.

Domain user olan helpdesk kullanıcı ile windows 10 client bilgisayarımıza login oluyoruz.

Bilgisayarımız cozumpark.local domaine dahil bir durumda.

Windows 10 Client bilgisyarımızdan Active Directory üzerinde IT çalışanımıza vermiş olduğumuz yetkiler dahilinde kendi bilgisayarı üzerinden işlem yapmak için uzak sunucu yönetim aracı RSAT rolünü yüklemem gerekiyor. Rol kurulumu için google arama motorunda windows rsat yazarak aratmanız ve microsoft sitesine gitmeniz yeterli.

Gelen ekran client bilgisayarımızın dilini seçerek indir diyoruz.

 

 

İndirme ekranında windows 10 sürümü olan 1709 ve 64 bit seçeniğini tıklayıp NEXT butonunu tıklıyoruz. Bilgisayarımızda bulunan windows sürümünü öğrenmek için başlat menüsünde WINVER yazabilirsiniz.

Yükleme işlemi bittikten sonra gerekli rolü kurmak için yüklemeyi başlatıyoruz.

 

Lisans sözleşmesini kabul ediyoruz.

Güncelleştirme yüklenmeye başladı.

 

Gerekli güncelleştirmeleri yükledikten sonra Denetim MasasıàProgram Ekle/Kaldır menüsü içerisinden Windows özelliklerine girip Active Directory Basit Dizin Hizmetleri ve RAS Bağlantı Yöneticisi Yönetim Seti (CMAK) özelliklerini yüklüyoruz.

İstenilen özellikler bilgisayarımıza yüklendi.

Denetim Masası à Yönetimsel Araçlar menüsüne giriş yaptığımızda uzak yönetim araçlarının yüklendiğini görüyoruz bu seçeneklerden Active Directory Kullanıcıları ve Bilgisayarları seçeneğini tıklıyoruz.

Helpdesk User ile Active Directory’e erişim sağlamış bulunmaktayız.

Active Directory’de bulunan Erdem Yaglikara kullanıcısın Parolayı Sıfırlama işlemi yapıyorum.

Yeni parolayı giriyoruz.

Vermiş olduğumuz yetki dahilinde parola değiştirme işlemi başarlı bir şekilde gerçekleşti.

Helpdesk kullanıcısı sadece yetkisi dahilindeki işlemleri yapabilmekte, domaine bilgisayar alma yetkisi verdiğimiz için OU üzerinde yeni dediğimiz zaman sadece bilgisayar seçeneği gözükmekte.

Active Directory içeresinde Erdem Yaglikara kullanıcısı silmek istediğinde yetki hatası vermekte.

Bir makalemizin daha sonuna geldik. Umarım yararlı bir makale olur. Başka bir makalemizde görüşmek dileğiyle.