ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Windows Server

Paylaşım ve Güvenlik (Sharing and Security)

Günümüzde en geniş kurumsal ağlardan kişisel bilgisayarlarımıza kadar verilerimiz her zaman için önem sırasında en üstte yer almıştır. Dijital ortamdaki dosya ve klasörler bu verilere örnek verilebilir. Verilerimiz bu denli önemli olduğuna göre ilk olarak onları korumalı, başka bir deyişle erişim güvenliğine dikkat etmeliyiz, makalemde bu noktadan yola çıkarak sizlere paylaşım ve güvenlikten bahsedeceğim.

Bu makelede aşağıdaki bilgileri bulacaksınız

-         Paylaşım ve güvenliğin kullanım alanları ve detaylı tanımları

-         Ağ üzerinde paylaşım ve gereksinimleri

-         Paylaşım ve güvenliğin İlişkisi

-         Genel güvenlik varsayılanları

-         İzinlerin tanımlari

-         İzinlerin alt objelerle ilişkisi

-         İzin Denetimi (Audit)

-         Örnek uygulama ve senaryolar

Makalede, anlatım ve şekillerde tutarsızlık olmaması adına gerekli kısımlarda paylaşıma sharing ve güvenliğe security isimleriyle hitap edeceğiz.

Paylaşım ve güvenliğin kullanım alanları

Veriye erişimde esas olan güvenlik izinleridir, paylaşım ise yerel olarak; dosyaları “güvenlik izinleri diğer kullanıcıların erişebileceği şekilde ayarlanmış” klasörlere kopyalamaktır.

Şekil 1 – Yerel Paylaşım

image001

Ağ üzerinden ise; ağdaki bilgisayar, yazıcı gibi kaynaklara ulaşmak için kullanılır.

Şekil 2 – Ağ Üzerinden Paylaşım

image002

Güvenliğin kullanım alanları ise oldukça geniştir, örnek vermek gerekirse; Dosyalar, klasörler, yazıcılar, Group Policy objeleri, mantıksal birimler, kısacası neredeyse elektronik ortamdaki tüm verilerdir.

Tabi ki tüm verilerin güvenlik izinleri farklılık gösterir; dosyalarda - çalıştırma, klasörlerde - içinde gezinme, yazıcılarda – yazdırma,  group policy objelerinde - düzenleme, mantıksal birimlerde - yeni obje oluşturma gibi her verinin güvenlik izinlerinde farklılık olduğu gibi tüm verilerin – okuma gibi ortak izinleri de vardır. Dolayısıyla her bir verinin güvenlik izinlerini ve kullanım amaçlarını tamamı ile listelemek yerine bu izinlerin çalışma mantığını anlamak çok daha yerli olacaktır.

Güvenlik; ACL yani Access Control List ( Erişim Kontrol Listesi ) tablosunu kullanarak ilgili veri üzerinde okuma, yazma, değiştirme, silme gibi yetkilerin hangi  kullanıcı ve ya gruplara ait olduğunu  belirler,

Şekil 3 - Örnek ACL

 

image003

 

Kısa bir özet yaptıktan sonra konularımızı detaylandırmaya başlayalım, paylaşım ve güvenlik konularını ayrı olarak ele alacağız.

Paylaşım

Paylaşım konusunuda yerel ve ağ olarak iki ayrı şekilde ele alacağız

Yerel paylaşım

 

Yerel bilgisayarda paylaşımın kullanım esası şuna dayanır; Kullanıcılar normal şartlarda diğer kullanıcıların kaynaklarına erişemezler ( ileride detaylandırılacaktır ), diğer kullanıcının kaynaklarımıza erişmesini istiyorsak “paylaştırılmış klasörleri” kullanarak diğer kullanıcılarla belgelerimizi yerel bilgisayarda paylaştırabiliriz.( Şekil 1 de gösterildiği gibi )

Bu özellik varsayılanda aktiftir, eğer paylaşılan dokümanları Windows Gezgini içerisinde görmek istemiyorsanız  group policy object editor veya registry editoru kullanabilirsiniz;

Not: Group policy programını kullanmak için, başlat – çalıştır  gpedit.msc, registry editor aracını kullanmak için ise başlat – çalıştır regedit  yazıp enter tuşuna  basmanız yeterli olacaktır.

 Şekil 4 – Group Policy üzerinde paylaşılan klasörlerin görüntülenmesini değiştirmek

image004

Şekil 5  - Registry Editor üzerinde paylaşılan klasörlerin görüntülenmesini değiştirmek

image005

Ağ üzerinde Paylaşım

 

Ağ üzerinden paylaşım, isminden de anlaşılacağı gibi verilere ağdan erişimi sağlamak için kullanılır, ( Şekil 2 de gösterildiği gibi )

Ağ Üzerinden Paylaşım Gereksinimleri

1 – Paylaşılan klasörleri Server (Sunucu) isimli servis yönetir ve bu servis açık olmalıdır.(Başlat – çalıştır – services.msc ile servisler konsoluna ulaşılabilir) eğer bu servis kapalı durumda ise ilgili paylaşıma erişim yapılamaz.

Şekil 6 – Server servisi

image006

2 – Yeni bir paylaşım oluşturmak için gerekli izinlere sahip olmamız gerekir

Users grubuna üye kullanıcılar paylaşım oluşturamazlar ve paylaşım özelliklerini görüntüleyemezler, bu işlemleri yapabilmek için kullanıcının en az “power users” isimli gruba üye olması ve ya Policy üzerinden bu izinin kendisine atanmış olması gerekmektedir.

3 – Ağ üzerinden paylaşıma erişmek için dosya ve yazıcı protokolünün yüklü olması gerekmektedir

 

Şekil 7 – Paylaşıma hizmet veren network bağlantısı üzerindeki dosya ve yazıcı paylaşımı protokolü

image007

4 – Güvenlik duvarı kullanıyorsak Dosya ve yazıcı paylaşımı için gerekli portları açmalıyız

Windows Firewall için başlat – çalıştır – firewall.cpl yazıp enter tuşuna basmamız yeterlidir.Ardından Windows firewall üzerinde dosya ve yazıcı paylaşımına izin verebiliriz, farklı bir firewall kullanıyorsak ilgili portları açmalıyız, ilgili portlar aşağıdaki şekilde görüntülenmektedir.

Şekil 8 – Dosya ve Yazıcı paylaşımı için gerekli olan portlar

image008

5 – Gizli paylaşımlara ulaşmak için bu paylaşımların isimlerini bilmeliyiz, gizli paylaşımlar paylaşım isminin sonunda $ olan paylaşımlardır, eğer herhangi bir paylaşımın görünmesini istemiyorsanız paylaşım isminin sonuna $ yazmanız yeterli olacaktır, tabi ki bu paylaşıma ulaşan kullanıcılar $ ibaresini de kullanmalılar, örnek \\sunucu\gizli$

Varsayılan olarak yönetimsel gereksinimler dolayısıyla C, D, E gibi tüm partitionların kök dizinlerine erişimi sağlayan C$, D$, E$ gibi paylaşımlar bulunmaktadır, bunları ve diğer gizli paylaşımları Bilgisayar yöneticisinden görüntüleyebilir ve silebiliriz,( başlat – çalıştır – compmgmt.msc – shared folders – shares ). Fakat paylaşımları yöneten “server” servisini her yeniden başlattığımızda ve ya bilgisayarımızı yeniden başlattığımızda “yönetimsel paylaşımlar” adını verdiğimiz paylaşımlar tekrar oluşturulacaktır.( ADMIN$, IPC$, Partition$ gibi)  Bunu engellemek istersek (Güvenlik amaçlı);

* Başlat > Çalıştır > Regedit [Enter]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters anahtarına gelip sağ klikleyerek yeni bir "DWORD" kaydı açmamız gerekmektedir. bu kaydın ismi  sunucu işletim sistemleri için AutoShareServer, istemci işletim sistemleri için ise AutoShareWks  ve değeri 0 olacaktır, ardından “server” servisini yeniden başlatmamız yeterlidir.

  Şekil 9 – Otomatik $ Paylaşımlarını iptal etmek

image009

6 – Group Policy, registry ( Group Policy de yapılan ayarlar registry e yazar fakat registry de yapılan ayarlar group policy ye yazmaz ) veya “tweak manager” gibi 3ncü parti bir programla ağ üzerinde erişimin kısıtlanmış olması durumda sorun yaşayabilirsiniz. Bu tip durumlarda group policy üzerinde Computer – Windows – Security – Local Policies – User Rights assigments da - Access this computer from the network isimli ayarı kontrol edin, erişim yapmak isteyen kullanıcı alenen ve ya grup olarak (örnek – users, everyone) eklenmiş olmalıdır. Diğer kontrol etmeniz gereken nokta ise Security Options ın altına bulunan - Network access: Sharing and security model for local accounts isimli ayardır, bu ayarında “Guest Only” değil “Classic” olduğundan emin olun.

Şekil 10 – Network Erişiminde yaşanan sorunlarda ilk olarak kontrol edilmesi policy objeleri

image010

image011

 

 

Ağ Üzerinden Paylaşım – Basit ve Gelişmiş

Ağ Paylaşımında basit ve gelişmiş paylaşım seçenekleri vardır, istemci bilgisayarlarda paylaşım seçenekleri basit paylaşım ayarları ile gelir ve bunu değiştirebiliriz, aksi taktirde aşağıdaki gibi kısıtlı bir menü ile karşı karşıya kalırız

Şekil 11 – Basit Paylaşım

image012

Basit paylaşımı kapatmak için herhangi bir klasör içerisinden veya kontrol panelden klasör seçeneklerine girerek – basit dosya paylaşımını kullan kutucuğunu kaldırabiliriz.

Şekil  12 – Basit Paylaşımın kapatılması

image013

Şekil 13 – Gelişmiş Paylaşım

image014

Şimdi Paylaşım tabının altındaki özellikleri inceleyelim,

Share this folder seçeneği ile klasörü ağdan erişime açıyoruz,

Paylaşım ismi:  varsayılan olarak dosya ismi ile aynıdır fakat bunu değiştirebilirsiniz, yalnız burada dikkat edilmesi gereken nokta istemcilere paylaşımı atarken paylaşım isminin doğru yazılması gerektiğidir, (Örnek – Komut satırından paylaşıma erişmek ve ağ sürücüsüne bağlanmak için paylaşım ismi kullanılır, bunu örnekleyelim

 Şekil 14 – Paylaşım Açılması

image015

Yukarıdaki şekle dikkat edersek klasörün ve paylaşımın ismi farklıdır, bu paylaşıma komut satırından bağlanmak istersek;

net use atanmak istenen boştaki sürücü harfi: \\ip ve ya pc ismi\paylaşım adı   komutunu kullanmalıyız, örnek;

net use Z: \\192.168.2.100\microsoft

Comments: Paylaşım hakkında özet bilgiler verir

Şekil 15 – Comment kısmının istemciler tarafından görüntülenmesi

image016

User Limit : Aynı anda en fazla kaç kullanıcının bağlanacağını belirler, varsayılanda işletim sisteminin üst limitidir, örnek Xp işletim sistemlerinde üst limit 10 dur

Şekil 16 – Paylaşım üst sınırının ayarlanması

image017

Permissions: bu kaynağa ağüzerinden erişebilecek kullanıcıları ve hangi izinlerle ulaşacaklarını belirler.

Örnek olarak yerel bilgisayarımızda hasan isimli kullanıcının bu bilgisayara ağdan erişmesini sağlamak için izinliler grubuna atıyoruz, bu kısımda dikkat edilmesi gereken nokta everyone grubu varsa bu grubu kaldırmak olacaktır çünkü everyone “herkes” anlamına gelir ve yetkisiz kullanıcılarda erişim yapabilirler. Aynı zamanda erişimi kontrol etmek için tek tek kullanıcı atamak yerine grupları atamak daha kolaydır ( Örnek users grubuna izin vermek )

 Şekil 17 – İzinlerin atanması

image018

Bu kısımdaki en önemli nokta paylaşım konusunu bitirip güvenlik konusuna geçmeden önce ilişkilerini tanımlamaktır. Yukarıda resme dikkat edecek olursak üç adet izin vardır.

1 – Full Control ( izinleri değiştirme, sahipliği alma)

2 – Change  ( Dosya ve klasör oluşturma, dosyalardaki verileri değiştirme, alt klasörleri ve dosyaları silme )

3 – Read (Dosya isimlerini ve alt klasörleri görüntüleme, alt klasörler arasında gezinme, dosyaları okuma, .exe dosyalarını çalıştırma)

Paylaşım ve Güvenliğin İlişkisi

 

Aslında sadece yukarıdaki izinler kullanıcının  kaynağa erişmesinde yeterli olmayacaktır, o kullanıcının aynı zamanda da güvenlik sekmesinde de izinlerinin olması gerekir, bunu bir benzetme ile özetlersek;

Microsoft isimli klasörümüzü apartmanımızın dış kapısı, onun içindeki klasörleri de daireler ve odalarına benzetirsek paylaşım dış kapıdan içeri girmemizi sağlar, güvenlik ise daireler ve katlara girmemizi sağlar.

Paylaşım ve Güvenlik tablarının ortak çalışmasını da örneklemek gerekirse paylaşım dış kapıda bekleyen bir güvenlik görevlisi gibidir, sizin paylaşım izinlerinize bakarak güvenlik izinlerine erişiminizi kontrol eder.

 Şekil 18 – Paylaşım ve Güvenlik

image019

Peki nedir bu ilgili haklar ?, dikkat edersek ilgili haklar aslında açıkça belirtilmiş,

1 - Sharingde full control hakkı yok ise, security deki full control hakkını kullanamaz

2 – Sharing de change hakkı yok ise, security deki oluşturma, değiştirme, silme gibi hakları kullanamaz

3 – Sharing de read hakkı yok ise, security deki hiçbir hakkını kullanamaz ( zaten tum kutucuklar boş ise kullanıcıda sharing tabından silinir ve bu durumda dış kapıdan geri çevrilir. )

Örnek; 18 ve 19 nolu  şekillere dikkat edersek kullanıcı ağ üzerinden erişim yaparken öncelikle paylaşım kapısı ile  karşılaşıyor ve güvenlik  kapısında tüm kontrollerinin olduğunu söylüyor, bu noktada paylaşım kapısı bir süzgeç  gibi görev yaparak kullanıcının paylaşım kapısındaki eksik haklarına istinaden güvenlik kapısındaki  ilgili haklarını da dış kapıda bırakıp içeri o şekilde girmesini zorluyor, bu sebeple security sekmesinde tüm haklara sahipde olsa sharing sekmesinde sadece read hakkı olduğu için oluşturma, değiştirme, silme gibi haklarını dış kapıda bırakacaktır.

 Şekil 19 – Paylaşım ve Güvenlik üzerinde izinlerin karşılaştırılması

image020

Hasan isimli kullanıcı ile yeni bir dosya veya klasör oluşturmaya çalıştığımızda aşağıdaki hatayı alırız

 Şekil  20 – Security sekmesinde full control olmasına rağmen sharing sekmesinde change hakkı olmadığı için kullanıcının dosya ve ya klasör yaratamaması

image021

Bunu bir tablo yardımı ile özetlersek sharingdeki 3 hakkın security deki hangi haklara denk geldiğini görebiliriz.

Şekil 21 – Paylaşım ve Güvenlik izinlerinin karşılaştırılması

image022

Paylaşımdan buraya kadar bahsettikten sonra artık onun hizmet ettiği güvenliğe yani security sekmesine geçebiliriz.

Güvenlik

Daha öncede bahsettiğimiz gibi güvenlik izinleri, ilgili verideki kullanıcı – bilgisayar ve grupların haklarını tanımlar.İzinlerin gereksinimleri paylaşımda olduğu kadar çok değildir yalnızca Windows işletim sistemlerinde güvenlik izinlerini kullanabilmek için ilgili dizinin NTFS dosya sistemi ile formatlanmış olması gerekmektedir.

Genel güvenlik varsayılanları

1 – İzinlerde allow ve deny şeklinde iki tane seçeneğimiz vardır ve deny her zaman baskındır

2 – İzinler kümülatiftir, ( ACL hem alenen kullanıcılara atanan izinleri hemde grup üyeliklerinden gelen izinleri toplar, kullanıcı kendisindeki izinlerden ve ya bağlı bulunduğu grupdaki izinlerden “deny” alırsa bu diğer izinlere baskın gelir, Örnek  - Ahmet kullanıcısının bir dosyada tam yetkisi var ama bağlı bulunduğu muhasebe grubunun aynı klasörde yazma yetkisine “deny” verilmiş durumda, dolayısıyla Ahmet bu klasöre yazamaz)

3 – Yeni açılan her dosya veya klasör üstündeki klasörden izinleri miras alır

4 – Dosyalar aynı partitionda taşınmak dışındaki tüm işlemlerde taşındığı üst klasörden miras alır, aynı partitionda dosya taşınırsa miras almaz.

Örnek  D:\1 isimli klasörden D:\2 isimli klasöre taşınan bir dosya “2” isimli klasördeki hakları miras almaz, kendi izinleri ile taşınır )

5 – Klasör ve dosyaların miras alması o klasör ve dosya üzerinden iptal edilebilir

İzinleri iki ayrı şekilde ele almalıyız,

1 – Standart izinler

2 – Gelişmiş izinler

Şekil 22 – Standart ve gelişmiş İzinler

image023

Aslına bakılacak olursa standart izinler gelişmiş izinlerin kısayoldan yönetilmesi için içerisinde birden fazla izin bulunan taslaklardır, örnek verecek olursak sol taraftaki izinlerden read e tıkladığımızda sağ  taraftaki gelişmiş izinler sekmesinden birden fazla öğeyi seçmiş oluyoruz

Şekil 23 – Standart izinlerin gelişmiş izinlerle ilişkisi

 

image024

Standart izinler genel durumlarda, gelişmiş izinler ise özel durumlarda kullanılır, örnek; bir klasör üzerinde dosya değiştirme ve yaratma hakkı vermek istiyorsanız sol taraftan modify kutucuğunu işaretlemeniz yeterli, eğer aynı zamanda kullanıcının dosya üzerindeki ACL yi okumasını engellemek istiyorsanız gelişmiş özellikleri kullanarak ilgili izini kaldırabilirsiniz, şekillendirecek olursak;

Bu durumda üstteki resmimizde bulunan Read Permissions kutucuğundaki işareti kaldırmamız yeterli olur.

Standart ve gelişmiş izinler kavramını eşleştirme yolu ile şekil üzerinde gösterelim

Şekil 24 – Standart ve Gelişmiş izinlerin eşleştirilmesi

image025

Yukarıdaki tabloda eşleşmeyen bir standart iznimiz var gibi görünüyor, ama dikkat ederseniz ismi “özel izinler” , üstteki tabloda olduğu gibi eşleşme olmazsa special permissions kutucuğu işaretlenir, mesela gelişmiş izinlerde Traverse Folders ve Read Attributes  izinleri verirsem bu özel izine girer çünkü uygun olan taslağı sol tarafta yoktur.

Gelişmiş izinleri dikey, standart izinleride yatay şekilde sıralarsak gelişmiş izinlerin hangi standart izinlere denk geldiğini daha açık bir şekilde görüntüleyebilirsiniz.

Şekil 25 – Gelişmiş – standart izinlerin eşleştirme tabloları

image026

İzinlerin tanimlari

Standart izinleri eşleştirdiğimize göre sadece gelişmiş izinlerin tanımını yapmak yeterli olacaktır.

image027

 

İzinlerin alt objelerle ilişkisi

Varsayılan olarak bir klasöre herhangi bir izin atadığınızda o izin klasörün altındaki tüm klasör ve dosyalara etki eder, bunu değiştirmek istersek, apply onto kısmını kullanmalıyız;

 Şekil 26 – İzinlerin alt objelerle ilişkisi

image028

Şekil 17 deki  3ncu resmimize göre seçeneklerimiz ise sırası ile şunlardır

Sadece bu klasöre

Bu klasör alt klasörler ve dosyalara

Bu klasör ve alt klasörlere

Bu klasör ve dosyalara

Alt klasör ve dosyalara

Sadece Alt klasörlere

Sadece Dosyalara

etki etmesini sağlayabiliriz

Tabi ki bu noktada “Apply these permissions to objects and/or containers within this container only check” box ı işaretlemediğimiz durum ( varsayılan) ve işaretlediğimiz durumda yukarıda sözünü ettiğimiz davranışda farklı olacaktır.

Bu chechkbox ın işaretlendiği ve işaretlenmediği durumda alt klasör ve dosyalardaki izinlerin farklılığını bir tablo yardımı ile gösterecek olursak; ( Tabloda x leri “evet” ve boş ları da “hayır” olarak değerlendireceğiz )

 

Şekil 27 – Check Box işaretlenmediği zaman izinlerin alt öğeler mirası ( Varsayılan seçenek)

image029

 

 

Şekil 28 – Check Box işaretlendiği zaman izinlerin alt öğeler mirası

image030

Yukarıda bulunan tabloyu yorumlamak gerekirse

Klasöre verdiğiniz izinin bir alt klasör ve içindeki dosyalara uygulanmasını fakat daha ileriye gitmemesini istyorsanız bu check box ı işaretlersiniz

Klasöre verdiğiniz izinin tüm alt klasör ve dosyalara uygulanmasını istiyorsanız check boxın işaretini kaldırırsınız

Örnek olarak; 1, 2, 3 ve 4  klasörlerimiz iç içe olsun, 1 isimli klasörde herhangi bir izin atayıp, tüm klasörlere uygulanmasını seçer ve bu check box ı işaretlemezsek tüm klasör ve dosyalar bu izini alır.Check box ı işaretlersek  1 isimli klasör sadece altındaki dosyalar ve altında bulunan 2 isimli klasöre miras atayacaktır ve 3, 4 klasörleri ve içindeki dosyalar bu ayardan etkilenmeyecektir.

Inherit & Replace ( Miras ve Değiştirme )

 

Miras kavramı öğenin izinleri bir üst konteynırdan  alması (klasör, partition vs..) demektir, bununla beraber öğe izinleri üstten almakla beraber kendisinde açıkca tanımlanmış izinleride kaybetmez (izinler kümülatiftir)

Değiştirme ise alt konteynırlarda bulunan tüm izinlerin silinip seçili konteynırdaki izinlerin atanması anlamına gelir.

 Şekil 29 – Miras ve Değiştirme

image031

Varsayılanda her konteynır bir üst konteynırdan miras alır

 Şekil 30 – Mirasın alınması

image032

Bu kısımda dikkat etmemiz gereken bir nokta var, miras C:\Documents and Settings\serkan isimli klasörden alınmış, nedeni ise açık, “Documents and Settings” isimli klasörden miras alamaz çünkü bu klasörün altındaki klasörlerin hepsinin izini farklıdır. (Documents and Settings\username olduğu için)

Mirası kaldırma;

Bu işlemin amacı üst konteynırdan alınan izinin veya izinlerin silinmesini sağlamak (Mirası kaldırmadan üst konteynırdan miras olarak gelen izinleri silemezsiniz ) ve üst konteynırda bundan sonra yapılacak izin değişikliklerinden etkilenmemek, mirası kaldırma esnasında iki tane seçeneğimiz var;

1 – mirasdan gelen izinleri sil, <not inherited> yani miras alınmamış olanları bırak ve bundan sonrada üst klasörden miras alma

2 – mirasdan gelen izinleri silme, bununla beraber bundan sonra üst klasörden miras alma

  

Şekil 31 –Mirasın kaldırılması

 

 

image033

 

İzin Denetimi (Audit)

 

Sahip olunan izinlere istinaden verilerde yapılan işlemlerin windows olay günlüğü aracılığı ile kayıt tutulmasıdır, iki tip kayıt işlemi vardır, - başarılı ve başarısız.

Tabi ki Audit yapabilmek içinde bazı gereksinimler vardır, bilgisayarımızın audit işlemine açık olması lazımdır, bunu policy üzerinden yapabiliriz, (Eğer bilgisayarımız domainde ise ve domain üzerinde ilgili ayarlar yapıldıysa yerel bilgisayarda değişiklik yapamayız) Group policy object editoru başlat – çalıştır – gpedit.msc ile açıp ilgili ayarları yapalım.

  Şekil 32 – İzin denetimilerinin  Policy üzerinden açılması

image034

Aşağıdaki örneğimizde yerel bilgisayardaki kullanıcıların “slaytlar” isimli klasörü silmeleri (ve ya silememeleri ) durumunda bunu log tutmak için ilgili denetimin girişinin nasıl yapıldığını görebilirsiniz.

Şekil 33 – İzin denetimi eklenmesi

image035

İşlemimizin ardından Users grubuna üye olan bir kullanıcımızla bu klasörü silmeye çalışalım

Şekil 34 – Gerekli izinleri olmayan kullanıcının klasörü silmeye çalışırken hata alması

image036

Kullanıcının klasörü silmeye çalıştığını ve başaramadığını görmek için olay günlüğünü açalım ( başlat – çalıştır – eventvwr.msc ) ve security tabından işlemi kontrol edelim.Aşağıdaki resimde metin isimli kullanıcının bu klasörü silmeye çalıştığını ve başarısız olduğunu görüyoruz.

 Şekil 35 – Audit olaylarının kontrolü

image037

Audit olaylarda dikkat etmemiz gereken nokta ise şudur; audit olayları security isimli olay günlüğüne kayıtlanır ve bu günlük dolduğu zaman yerel yönetici (administrators grubuna üye bir kullanıcı) dışındaki kullanıcılar oturum açamaz, administrators grubuna üye olan kullanıcının bu günlüğü boşaltması ve ya boyutunu büyütmesi lazımdır.Yine Group Policy üzerinde security ayarlarından günlük dolduğunda sistemin hemen kapanmasını da sağlayabilirsiniz.

Sahiplik

Sahiplik verinin kimin tarafından oluşturulduğunu, sahibinin kim olduğunu gösterir, bir dosya üzerinde hiçbir hakkımız olmasa dahi eğer o dosyanın sahibi isek dosya üzerindeki tüm yetkileri alabiliriz.

Örnek olarak; Aşağıdaki Administrator kullanıcısı ile Metin isimli kullanıcının masüstüne yani desktop isimli klasörüne göz atıyoruz, klasörün sahibin Metin olduğunu görebiliriz.

 Şekil 36 - Sahiplik Ayarları

image038

Change Owner to kısmının altında bulunan herhangi bir grup veya hesabı seçerek Ok ile devam edersem o klasörün sahipliğini seçtiğim kullanıcıya atamış olurum, alttaki check boxı işaretlemek tüm alt klasörler ve objeleride kapsa anlamına geliyor. Peki, bu hakkı nereden aldığımızı merak edersek tabi ki bakacağımız yer Group Policy içerisindeki security ayarlarıdır:

 Şekil 37 – Group Policy üzerindeki sahiplik ayarları

image039

 

Effective Permissions

 

Kümülatif izinlerin sonuçlarını alabildiğimiz, başka bir deyişle bir kullanıcı ve grubun diğer üyeliklerden aldığı izinlerde dahil olmak üzere özet izinlerini bulabileceğimiz tabdır.

Örnek; Klasörümüzde 3 farklı grup ve bir kullanıcıya farklı hak atamaları yaptık, kullanıcımız 3 grubada üye ve dolayısıyla 3 grubunda izinlerinden etkileniyor, kullanıcımıza ise alenen tam kontrol verdik fakat Metin isimli kullanıcımız klasörde yeni dosya oluşturamadığı şikâyetinde bulunuyor, aşağıdaki resme bakarsak ilk izlenime göre her şey yolunda

 Şekil 38 – Klasör üzerindeki grupların izinleri                     Sekil 39 – Klasör üzerindeki kullanıcının izinleri

image040image041

Metin in bu klasördeki “etkili” izinlerini görelim

Sekil 40 – Etkili İzinler

image042

Şeklimize dikkat edersek Metin’in dosya ve klasör oluşturmaya hakkının olmadığını görüyoruz, Metin full control olduğu halde dosya ve klasör oluşturma hakları neden görünmüyor, bunun tek bir cevabı olabilir “üye olduğu bir gruba“  dosya ve klasör oluşturma izinlerinde “deny” verilmiş olması.

Şekil – 41 Etkili İzinler

image043

Öneriler

1 – İzinleri kullanıcılardan ziyade gruplara vererek yönetimi kolaylaştırın

2 – Kullanıcıların çalışabilecekleri minumum izinleri verin, gereksiz izin vermekten kaçının

3 – Aynı izinlere sahip olması gereken objeleri bir klasörde toplamaya özen gösterin ( Birimlere göre güvenlik anlayışını kullanabilirsiniz, muhasebe, bilgi islem gibi )

4 – Everyone (Herkes) isimli kullanıcı grubuna izin atamayın, bunun yerine Authenticated users grubunu kullanın 

5 – Kullanıcıların klsörlerini tek bir sunucuda bulundurmanız paylaşımı ve güvenliği yönetmek için etkili aolacağı gibi anti-virüs taramaları, yedekleme ve kota uygulamalarında da size esneklik sağlayacaktır.

6 – Paylaşılan kaynakları bir güvenlik duvarı yardımı ile korumayı ihmal etmeyin.

7 – Paylaşılan klasörde izin vereceğiniz kullanıcı ve grupların sayısı fazla ve sürekli yönetim gerektiriyorsa workgroup yerine domain ortamını tercih edin, bu şekilde dosyaların domain dışından erişiminide yasaklayabilirsiniz.

Örnek Uygulamalar

1 - Aşağıdaki Resimde “A” kullanıcısı iki gruba birden üyedir, bu durumda kullanıcının izinleri ne durumdadır ?

 Şekil 42 – Grup izinlerinin kullanıcı izinleriyle karşılaştırılması

image044

A kullanıcısının Write, yani yazma izini dışındaki tüm izinleri vardır, bu izininin elinden alınma sebebi açıktır, üye olduğu pazarlama grubunda write a deny verilmiştir ve deny, allow a baskın gelir.

2 – A isimli kullanıcı satış grubuna üye, satış grubunun dosyayı sadece okumasını, bununla beraber A kullanıcısının tam yetki sahibi olmasını istiyorsak ne yapmalıyız?

Şekil 43 – Kullanıcı izinlerinin grup izinleriyle karşılaştırılması

image045

Satış grubunun write izinine deny vermedik, “eğer izin verilmemişse deny vermeye gerek yoktur” eğer deny verirsek A isimli kullanıcı da bu gruptan etkilenecektir ve tam yetkiye sahip olamayacaktır.

3 – A isimli kullanıcımız hem satış hem de pazarlama grubuna üye, satış grubunun ilgili objeye erişememesini, pazarlama grubu ve A isimli kullanıcının ise tam yetkili olması için ne yapabiliriz.

 

Şekil 44 – Kullanıcı ve grupların izinleri seçim tablosu

 

image046

Satış grubuna hiç izin vermememiz onların erişimini yasaklamak demek oluyor, pazarlamaya istendiği gibi tam kontrol verdik, A kullanıcısına da tam yetki vermemiz gerekiyordu ama bunu özellikle yapmamıza gerek yok çünkü pazarlama grubundan izinleri alacaktır.

Örnek Bir Senaryo

 

Bir dosya sunucunuz var ve bu sunucu üzerinde tüm kullanıcıların dökümanlarını merkezi olarak konumlandırmak istiyorsunuz,

-         Herkese paylaşımın içerisinde kendi klasörlerini oluşturma ve içlerine dilediklerini yazıp silmelerini sağlamak istiyorsunuz

-         Hiçbir kullanıcı paylaşım klasörününün içinde dosya oluşturamayacak, sadece klasör oluşturabilecek

-         Kullanıcılar birbirlerinin klasörlerine giremeyecek

-         Hiçbir kullanıcıya tek tek hak ataması yapmadan bunu gruplarla yapmalısınız

Hemen işe koyulalım

1 – Network üzerinden erişim için klasörümü paylaştırıyorum ve bu paylaşımdaki yazma izinlerini kullanabilmeleri için change yani değiştirme izini veriyorum

 

Şekil – 45 Paylaşım ayarları

image047

2 – Security sekmesinde ise;

Öncelikle bir üst dizinden aldığım miraslar içerisinde users grubu (kullanıcılar) olduğu için mirası kesiyorum, remove seçmemin sebebi ise üst dizinden gelen izinleri istemiyor olmam. ( copy seçilerek tek tek de silindiğini unutmayın )

  

 

Şekil 46 – Mirasın kaldırılması

image048

ve özel izinleri aşağıdaki gibi veriyorum

Kullanıcıları için;

Dosya içerisine girmeleri için read

İçeriği görüntülemeleri için list folder contents,

Klasör oluşturabilmeleri için create folders

Önemli nokta ise; bu izinleri users grubuna verirsem her kullanıcı bir diğer kullanıcının klasörünü okuyabilir, bunu önlemek için “this folder only” seçeneğini kullanıyorum

 Şekil 47 – Kullanıcılara izin atanması

image049

Peki kullanıcıların “kendi oluşturdukları” klasörlerde tam yetkiye sahip olmaları için ne yapmalıyım ?, sorunun cevabı içinde yani “creator owner” grubuna tam yetki vereceğim

Creator Owner grubu için;

 Şekil 48 – Creator owner grubuna izin atanması

image050

Şimdi sonuçları görmek için Metin ve Miray isimli kullanıcılarla deneme yapalım

-         Metin isimli kullanıcı ile oturum açarak paylaşım üzerinde bir klaösr açıp adını Metin verelim

 Şekil 49 – Metin isimli kullanıcı ile yeni bir kullanıcı açılması

image051

Bu dosyanın izinlerine dikkat edecek olursanız Metinin tam yetkisini olduğunu görürsünüz, Metine manuel olarak izin vermediğimiz halde Metin isimli kullanıcı bu klasörü oluşturduğu için “creator owner” un full control izinlerini almış durumda,

 Şekil 50 – Metin isimli kullanıcının kendisine ayrıca hak atanamadığı halde “creator owner” grubundan aldığı yetkilerin görüntülenmesi

image052

Başka kullanıcıların bu klasöre giremeyeceğini doğrulamamıza gerek yok, nedeni ise açık, eğer bir kullanıcı ve ya gruba açıkça izin verilmemişse ilgili objeye erişemez.

Senaryomuzla beraber makaleme burada son veriyorum, paylaşım ve güvenlik adına sıkıntısız günler dilerim.

Yorumlar

 

Hakan UZUNER

Eline sağlık kardeş . Bu alanda her türlü soruya kaynak gösterilecek bir makale olmuş .

Şubat 23, 2009 02:56
 

ugur_2719

sağolun hocam kapsamlı bir dökğman olmuş emeğinize sağlık...

Şubat 23, 2009 08:41
 

Murat CAN

Serkan Hocam gerçekten çok güzel bir makale olmuş elinize sağlık.

Şubat 23, 2009 10:21
 

Sinan KAHRAMAN

Emeğine sağlık Serkan Hocam. Güzel bir kaynak olmuş.

Şubat 23, 2009 10:55
 

Bora YILDIZ

Bu makeleden sonra sıkıntı olmaz hocam. Elinize sağlık çok güzel makale

Şubat 23, 2009 12:09
 

Ismail ÇELIKBAŞ

Güzel makale yeni bilişimcileri için güzel kaynak.

Şubat 23, 2009 12:17
 

Bugra KESKIN

eline sağlık Serkan hocam.

Şubat 23, 2009 13:03
 

EnderBINGOL

Elinize sağlık Serkan hocam çok yararlı olacağından eminim, Hakan hocama katılıyorum

Şubat 23, 2009 13:04
 

mehmet ali

ellerine ve emeğine saglı Teşekkürler...

Şubat 23, 2009 13:07
 

Mumin CICEK

ince ayarlar ve paylaşımın için teşekkürler sekan hocam...

Şubat 23, 2009 13:15
 

samil saltug

Elinize sağlık Serkan bey. Makaleyi Print ettim!

Şubat 23, 2009 13:17
 

Kenan BULBUL

Gerçekten güzel bir yazı olmuş. Eline sağlık...

Şubat 23, 2009 13:50
 

Uğur DAŞDEMİR

Eline sağlık hocam

Şubat 23, 2009 15:20
 

Mahmut ALTUNTAŞ

Hocam tam unutmuşum dediğim anda daha fazlası ile hatırlattınız bana elleriniz dert görmesin....

Şubat 23, 2009 15:57
 

Dogan Bayraktar

Elinize sağlık serkan hocam

Şubat 23, 2009 18:41
 

Sait CINAR

elinize sağlık hocam, güzel bir makale. güzel bir başvuru kaynağı...

Şubat 23, 2009 20:23
 

Evren Banger

Uzun zamandır okuduğum en güzel makallerden biri eline sağlık.

Şubat 23, 2009 21:29
 

Ugur DEMIR

Detaylı bir makale,eline sağlık hocam.Teşekkürler

Şubat 23, 2009 21:42
 

Şamil Altundal

Teşekkürler.

Şubat 24, 2009 00:13
 

Emrah GUNDAY

Elinize sağlık.Teşekkürler.

Şubat 24, 2009 00:22
 

Sertac TOPAL

Bu konuda internette bu kadar detaylı, geniş kapsamlı ve böylesine anlaşılır bir anlatımda bir başka yazı olduğunu sanmıyorum. Elinize emeğinize sağlık.

Şubat 24, 2009 10:18
 

Selim SELVEROGLU

Eline sağlık hocam. Havuz problemi muamelesi gören izinlerle ilgili gerçekten yararlı bir makale olmuş

Şubat 24, 2009 10:35
 

Hasan KATMAN

Serkan Hocam ellerine sağlık süper olmuş... Hemen arşive kaydettim.

Şubat 24, 2009 11:27
 

Anonymous

Serkancığım ellerine sağlık güzel olmuş.

Şubat 24, 2009 15:25
 

Sinan

Hocam elinize sağlık güzel paylaşım

Şubat 24, 2009 16:15
 

Omer KARADENIZ

Hocam Elinize Sağlık.

Şubat 26, 2009 14:27
 

futureng demir

Eline sağlık. Temel bir kaynak.

Şubat 27, 2009 07:08
 

Anonymous

Hocam elinize sağlık güzel bir paylasım olmuş...

Şubat 27, 2009 10:47
 

umit.bozdag

Hocam muhteşem bir makale olmuş elinize ve emğinize sağlık.

Şubat 27, 2009 21:07
 

Ahmet ALTUNTAS

Hocam elinize saglık güzel bir makale olmuş.Bu arada yorumda rekor kırdınız sanırım:))).Emeginiz için teşekkurler.

Şubat 27, 2009 21:55
 

alikula26

Hocam elinize sağlık anlatım mükemmel olmuş

Şubat 28, 2009 20:53
 

Ender AKAR

Gerçekten güzel bir çalışma her parçası emek dolu Türkçe işletim sistemi ile resimler sayesinde çok rahat kullanılabilecek bir makale

Mart 13, 2009 16:17
 

Mehmet CAN

Hocam elinize sağlık tarzınıza yakışır bir anlatım olmuş.

Mart 13, 2009 17:10
 

Can Bolat

Elinize sağlık harika bi makale olmuş.

Mart 20, 2009 00:23
 

Aykut Sinan ES

Bilginize Saglık, Paylaşımınız İçin Teşekkürler.

Nisan 3, 2009 16:53
 

Can Yerli

Pek çok paylaşım sorusuna cevap olacak bir makale elinize sağlık

Nisan 8, 2009 23:46
 

ismail Erol Aykut

Ellerinize  sağlık gerçekten çok güzel bir makale olmuş.

Bir Hakan Hocamın dersinde bu kadar zevk almıştım bir de sizin makalenizden

Teşekkürler.

Mayıs 31, 2009 16:37
 

erol gamsız

elinize sağlık güzel bir makale olmuş benim için aydınlatıcı oldu

Temmuz 17, 2009 16:44
 

Gokce KARGI

Harika bir makale olmuş elinize saglık teşekkürler

Temmuz 28, 2009 09:04
 

Gurbuz

Ellerinize Saglik Anlasilmayacak Hicbirsey Kalmamis.

Temmuz 28, 2009 10:50
 

mert domruk

Cok yararlı bir bilgi olmuş.Çok işime yaradı.

Temmuz 28, 2009 14:12
 

Can Bolat

Elinize sağlık

Ağustos 12, 2009 22:19
 

Orhan Turun

Hocam hazırladığını makale, gayate faydalı ve uygulama yapıla bilmesi için önemli bir faktör güvenlik.

Bu makale sayesinde yapmam gerek bir önemli plan dosyasının kimse ulaşmamasını sağladım teşekür ederim.

Çok Faydalı bir bilgi. Devamını bekleriz hocam.

Ağustos 31, 2009 15:01
 

ahmet ort

hocam muhteşem olmauş emeginize saglık

Ekim 26, 2009 09:50
 

umitgezzer

çok güzel bi anlatım  teşekürler

Kasım 2, 2009 19:45
 

Yasin AYDIN

Paylaşım için tşkler

Aralık 20, 2009 11:05
 

Readers

Süper olmuş +

Aralık 26, 2009 23:13
 

finwe

Emeğine sağlık Teşekkurler

Aralık 30, 2009 17:44
 

Kayhan KAYIHAN

emeğine sağlık hocam, basan kitap olacak bir makale olmuş..

Ocak 11, 2010 14:05
 

Anonymous

Gerçekten çok güzel bir döküman. Linki bookmark a ekledim. Hatta  ne olur ne olmaz diye çıktısını aldım ve dosyaladım. Paylaşım konusunda başucu makalsesi olmuş.

Nisan 21, 2010 21:15
 

iirturk1976

Serkan hocam gerçekten çok emek harcamışsın bu döküman için eline koluna sağlık

Mayıs 7, 2010 17:33
 

myildiz

hocam öncellikler ellerine sağlık, benim size bir sorum olacaktı .

Sorularınızı lütfen portal üzerinden ilgili forum başlığı altından yöneltiniz.

Haziran 8, 2010 12:02
 

Şamil Altundal

İşverenimiz bu tarz bir şey istedi, izinler değişicek denetim için, önce bir hayli anlattım ama olmadı, sonra aklıma portalımız geldi, ve bu makale geldi, çıktısını alıp Müdür beye ilettim okudu ve çok beğendi, sayenizde büyük bir kaos tan kurtulmuş olduk.

Elinize emeğenize sağlık tekrar teşekkür ederim.

Temmuz 15, 2010 14:20
 

zimlanga

NOT: Lütfen sorularınız için Forum bölümünü kullanınız. 

emeğine sağlık gerçekten faydalı oldu hele benim gibi yeni başlayanlar için bulunmaz bir döküman bununla birlikte aşamadığım veya benim gözden kaçırdığım bir sorunumu aktarmak istiyorum domain ortamında xp pro iki pc var dosya paylaşımı yapıyorum bir makine diğerine ulaşırken diğer makine hiç bir şekilde öteki pc ye ulaşmıyor

sunucu servis kontrol edildi

file print sharin ... yüklü everyone tam denetim verildi her iki makinede

güvenlik duvarı kapalı ama yinede olmadı

Eylül 14, 2010 11:25
 

Yigit Omer OCAL

Ellerinize Sağlık Hocam Detaylı Bir Anlatım Olmuş.

Ocak 17, 2011 01:23
 

Halil MUTLU

Emeğinize sağlık hocam...Anlatımınız Çok açık ve anlaşılır olmuş.

Nisan 11, 2011 15:07
 

Sabri Bayezit

Teşekkürler. Gerçekten referans verilebilecek bir makale.

Nisan 18, 2011 20:06
 

Eyup AYDEMIR

Teşekkürler Hocam Çok Faydalı Olduğunu Söylemek İsterim

Mayıs 25, 2011 10:22
 

Nuri ŞANLI

Teşekkürler paylaşım için Ayrıntılı konusunda on numara bir makale. Elinize Klavyenize sağlık...

Ağustos 13, 2011 20:26
 

cem barut

Teşekkürler 15-20 sayfada arayacağımız bilgileri tekbir sayfa altında toplanmış

Kasım 1, 2011 12:21
 

tunakocadas

Teşekkürler emeginize sağlık ...

Aralık 8, 2011 15:13
 

Yusuf Çevik

Hocam elinize sağlık...

Aralık 10, 2011 15:20
 

murat cengiz

Elinize sağlık  güzel  paylaşım olmuş.

Aralık 19, 2011 08:41
 

CengizhaN

Çok güzel bir makale olmuş hocam elinize sağlık. Hakan Hocamında söylediği gibi birçok soruya örnek gösterilebilecek türden bir makale hazırlamışsınız.

Mart 17, 2012 09:39
 

Fatih_ASLAN

Süper bi makale, çok teşekkür ederiz!

Mart 21, 2012 09:22
 

fettah davut

yani soracak bişey bırakmamışsınız hocam emeğinize sağlık.

Mayıs 11, 2012 22:41
 

Ertan ERBEK

Serkan hocam eline sağlık güzel makale olmuş..

Eylül 23, 2012 13:30
 

Sinan-KAYA

Bu bilgileri herkez vermez. Harika bir döküman...

Ekim 7, 2012 01:24
 

Recep YEŞİL

ne güzel bir makale uzun ve sıkılmadan okudum. Ellerinize sağlık

Ekim 13, 2012 20:10
 

Murat Arslan

Ellerinize sağlık,

bir sorum olacak,

c$ gibi paylaşımlara erişenleri nasıl raporlarım.

bir program öneriniz var mı?

Not:Sorularınızı forum kısmından sorunuz. 

Ocak 30, 2013 16:32
 

ali yücel çeçe

Hocam bu konuda sizi tek geçerim :) ellerinize sağlık.

Şubat 6, 2013 09:06
 

Cihan Bulut

Süper bir makale olmuş hocam elinize saglık.

Nisan 1, 2013 18:41
 

Hakan Özkaynak

Selamlar. Windows Server 2008 File sunucuda bulunan bir log dosyasına kullanıcı bilgisayarları masaüstü programı ile içerik yazıyor. Domain kullanıcısına write yetkisi verdik. Fakat kullanıcının network yolundan ilgili dosyalara eriştiğinde dosyanın içeriğini değiştirmemesi ve silmemesi gerekiyor. Apend data yetkisi ile ilgili bir şey mi yapmak lazım. Detaylı yetkilerde bu yetkiyi göremedim. Yardımınızı rica ediyorum. Teşekkür ederim.

Not: Sorularınızı forum kısmından sorunuz.

Eylül 11, 2013 14:37
 

ATIL SAHIN

tablo 44 deki gibi bir grubun veya kullanıcının tüm izinlerinin tikini kaldırırsak acl den siniyor ??? örnek uygulamalarda mantıksızlık var gibi ???

Nisan 22, 2014 16:46
 

Orhan Sarıoğlu

Tek seferde dosya paylaşımı ve güvenlik işini kavramanın en anlatımı olmuş elinize sağlık.

Temmuz 8, 2014 11:34
 

Muhammed Emin HİZ

Emeklerinize sağlık çok teşekkürler harika bir doküman olmuş.

Aralık 9, 2017 22:30
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Serkan UZUNER

İstanbul Beşiktaş doğumluyum. Bilgi İşlem sektörüyle ile ilk tanışmam Zorlu Holding A.Ş. de ki iş deneyimimle başladı, ardından Global Lojistik A.Ş. de Sistem ve Network yöneticisi olarak görev yaptım. Ardından eş zamanlı olarak, sektörün önde gelen firmalarında Proje Danışmanı ve Sistem ve Network Eğitmeni olarak görev yaptım, su anda Probilde Kurumsal Entegrasyon Uzmanı olarak calismaktayim. Configuration Manager alanında MVP, Active Directory, Windows Server, Exchange Server gibi Çeşitli alanlarda MCTS, MCT, CCNA, MCSE+S+M sertifikalarına sahibim.
 

Bu Kategori

Hızlı aktarma

Arşivler

Etiketler