Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. Üç bölümden oluşacak bu makale serimizde sistem yöneticileri için temel konulardan biri olan kurum ve kuruluşların ağ ortamlarında bulunan dosya sunucularında (file server) “Paylaşım, Güvenlik İzinleri ve Uygulamaları” konusunu detaylı olarak ele alacağız. Bu konuda uzun vadede referans olabilecek bir makale hazırlamaya çalıştık. Bu makaledeki anlatımlarımızı her ne kadar Windows Server 2012 R2 üzerinde yapmış olsak da, büyük bir kısmı özellikle Windows 2003’den bugüne tüm active directory ortamlarında geçerlilik arzediyor olacak.
İZİN (PERMISSION) NEDİR?
İzin (Permission); klasör, dosya, yazıcı vb. gibi kaynaklar üzerinde kullanıcı, grup veya bilgisayarlar için atanmış erişim seviyesini tanımlar. Örneğin, bir dosya için bir kullanıcıya okuma izni (Read) verirken, başka bir kullanıcıya dosya üzerinde değişiklik yapma izni (Change – Modify) verilebilir, veya bazı kullanıcıların dosyaya erişimi yasaklanabilir(Deny). Benzer izin tanımlamalarını yazıcılar(printer) üzerinde de yapabilirsiniz. Örneğin, bazı kullanıcılar yazıcıdan sadece çıktı alabilirken (Print), bazıları aynı zamanda yazıcı yönetimi ve konfigürasyonunu da yapabilirler(Manage Printers) .
İzinler; dosya ve yazıcı kaynakları yanısıra ayrıca, Active Directory nesneleri ve registry nesneleri için de tanımlanabilir. İzinler; kullanıcı, grup veya bilgisayara atanır.
İZİN TİPLERİ
Dosya sunucularında izinler Paylaşım izinleri(Shared Folder Permissions) ve Güvenlik ya da NTFS İzinleri (Security Permissions) olmak üzere iki gruba ayrılır. Şimdi başlıklar halinde bunların ne işe yaradıkları ve aralarındaki farklılıkları inceleyelim.
PAYLAŞIM İZİNLERİ (SHARED FOLDER PERMISSIONS)
Microsoft ağlarının eski işletim sistemlerine baktığınızda, NTFS dosya sistemi henüz çıkmadan ağ ortamındaki klasör ve dosyaların güvenliği paylaşım izinleri yani share permissions ile sağlanıyordu.
Ağ üzerinde paylaşıma açılmış klasörler üzerinde Sharing sekmesi kullanılarak atanan izinlere paylaşım izinleri yani share permissions adı verilir.
Paylaşım izinleri, sadece klasörlere uygulanabilir. Dosyalara paylaşım izinlerini uygulayamazsınız.Çünkü dosyaların sharing yani paylaşıma açılmak gibi bir özelliği yoktur.Sharing sadece klasörlere özgü bir özelliktir.
Hem FAT hem de NTFS volumeler üzerinde bulunan klasörlere share permission uygulayabilirsiniz.
Paylaşım izinleri ve tanımlamalarını aşağıdaki listede görmektesiniz:
Read : Varsayılan olarak klasörler üzerinde Everyone grubuna atanan izindir. Read izninin özellikleri:
Klasör içerisindeki dosyaları ve alt klasörleri görüntüleyebilme
Dosyaların içeriklerini ve niteliklerini görüntüleyebilme
Program dosyalarını çalıştırmak
Change: Read izninin bütün özelliklerini içermesinin yanında, aşağıdaki işlemleri de yapma hakkını verir:
Klasör içerisine dosya ve alt klasör ekleme
Klasör içerisindeki dosyalar üzerinde değişiklik yapmak
Alt klasörleri ve dosyaları silmek
Full Control: Read ve Change izinlerinin bütün özelliklerini içermesinin yanında, dosyalar ve klasörler üzerindeki izin atamalarını da değiştirebilme hakkını içerir.
PAYLAŞIM İZİNLERİNİN ATANMASI
File Explorer kullanarak paylaştırılmış bir klasörün izinlerini atamak için:
File Explorer’da paylaştırılan klasör üzerinde sağ tuşa basılıp Properties’e tıklanır.
Properties diyalog kutusunda, Sharing tabına geçilir.
Advanced Sharing butonuna tıklanır.
Ve gelen Advanced Sharing ekranında Permissions butonuna tıklanır.
Karşımıza gelen aşağıdaki pencereden paylaşım izinlerinin ataması yapılır.
Add butonuna tıklayarak, paylaştırılmış klasör için izin verilecek ya da yasak konulacak kullanıcı veya gruplar eklenir. Add butonuna basınca gelen Select Users, Computers, or Groups diyalog kutusunda, kullanıcı veya grup adı yazılır veya gelen listeden seçilir ve daha sonra OK’e basılır.
Remove butonu kullanılarak paylaştırılmış klasör üzerindeki izin için eklenmiş kullanıcı veya gruplar kaldırılır.
Permissions kutusunda, Allow veya Deny kutucukları kullanılarak kullanıcı ve grupların izinleri ya da yasakları ayarlanır.
Computer Management kullanarak paylaştırılmış bir klasörün izinlerini atamak için:
Computer Management içerisinden Shared Folders açılır ve Shares’a tıklanır.
Details panosundan izin ataması yapacağınız paylaştırılmış klasöre sağ tıklanır ve Properties’e gelinir.
Properties diyalog kutusunda, Share Permissions tabında, aşağıdaki görevleri gerçekleştirebilirsiniz:
Add butonu ile klasör üzerinde izin ataması yapacağınız ya da kısıtlama koyacağınız kullanıcı ve grupları ekleyebilirsiniz. Select Users, Computers, or Groups diyalog kutusunda kullanıcı veya grup adı yazılır ya da listeden seçilerek OK ile onaylanır.
Remove butonu kullanılarak listeye eklenmiş kullanıcı ya da gruplar kaldırılır ve OK ile onaylanır.
Permissions kutusunda, Allow veya Deny kutucukları kullanılarak, seçilen kullanıcı ya da gruplara izin ataması yapılır ve OK ile işlem onaylanır.
LAB UYGULAMASI :
Bilgisayarınızda bulunan hem FAT formatlı hem de NTFS formatlı volumelerde ayrı ayrı gidin birer klasör açın ve her iki volume tipinde de paylaşım izinlerinin uygulanabildiğini görün.
Yukarıdaki şekilde de görüldüğü üzere Windows Server 2012 R2’de bir klasör paylaşıma açıldığı anda default olarak gelen izin Everyone grubuna yani herkese Read iznidir. Windows Server 2003 öncesi Windows Server versiyonlarını kullanan arkadaşlarımız hatırlayacaklardır, bir klasör paylaşıma açıldığı anda otomatik olarak Everyone: Full Control izni geliyordu. Windows 2003’ten Windows Server 2012 R2’ye kadarki süreçte bu yetki Read olarak gelir. Eski versiyonlardan farklı olarak bir diğer önemli güvenlik yenilik de artık Everyone grubu içerisinden Anonymous User hesabının çıkartılmasıdır. Böylelikle kendi kaynaklarımız daha da güvenli hale getirmiş olundu.
İzin atamalarında öneri olarak öncelikle varsayılan olarak gelen Everyone grubu listeden Remove butonu kullanılarak kaldırılmalıdır. Ve sadece kendi ihtiyaç duyduğumuz kullanıcılara ya da gruplara izin ataması yapılmalıdır. İzin atamalarında da yukarıdaki şekilde görülen Permissions for altındaki kısım kullanılır. Bu kısımda Allow ve Deny kolonları içerisinde gelen kutucuklar yardımı ile yetkiler ayarlanır.
Allow, izin verilecek atamaların yapıldığı seçenek, Deny ise yasakların ya da kısıtlamaların uygulanmasını sağlayan kutucuktur. Eğer bir kullanıcıya bir klasör üzerinde Full Control izin ataması yapılacaksa, sadece Full Control izninin karşısındaki Allow kutusunu işaretlemek yeterlidir.
Eğer bir kullanıcıya bir klasör üzerinde hiçbir şekilde erişim hakkı verilmeyecekse yani herşey için yasak konulacaksa, bir diğer ifade ile Deny verilecekse, sadece Full Control izninin karşısındaki Deny kutusunu işaretlemek yeterlidir.
Bir kullanıcıya bir klasör üzerinde sadece Read hakkı yani okuma izni verecekseniz, sadece Read izninin karşısındaki Allow kutusunu işaretlemek yeterlidir.
DİKKAT: Eğer bir kullanıcı veya grubu izin listesine ekleyip hiçbir allow veya deny kutusunu doldurmazsanız, bu o kullanıcı veya grubun Deny kısıtlamasına sahip olduğu anlamına gelmez. Zaten hiçbir tanımlama yapılmamış kullanıcı ve gruplar OK butonuna tıklandığı anda izin listesinden de silinirler.
Sonuç Olarak;
Üç bölümden oluşacak bu makale serimizin ilk bölümünde sistem yöneticileri için temel konulardan biri olan kurum ve kuruluşların ağ ortamlarında bulunan dosya sunucularında (file server) “Paylaşım, Güvenlik İzinleri ve Uygulamaları” konusunu detaylı olarak ele aldık. Makalemizin ikinci bölümünde konumuza devam ediyor olacağız. Görüşmek dileğiyle, esenkalın.
Makalemin ikinci bölümü için aşağıdaki linki kullanabilirsiniz