Anasayfa » Domain Ortamında Kullanıcı Yetkilendirilmesi – Delegasyon – Delegation

Makaleyi Paylaş

Windows Server

Domain Ortamında Kullanıcı Yetkilendirilmesi – Delegasyon – Delegation

Bir çok zaman biz sistem yöneticileri, yapmış olduğumuz işlerin yoğunluğundan bir takım işlere yetişemeyebiliriz. Bilgi işlem departmanı içerisinde bulunan personel sayısının yetersiz olduğunu patronlarımıza söylesekte, işlemleri mevcut kadro ile yürütmemiz gerektiği bilgisi verilmesi kaçınılmazdır. Türkiye gibi bir ülkede bulunupta, sadece işini yaparak yaşamını sürdüren sistemci çok azdır. Hemen hemen her işi bilmek zorundayız.

Veya uzak bölgelerde bulunan lokasyonlarımız var ve bu lokasyonlara bütçe problemi nedeni ile kaliteli bir personel almayı planlayamıyoruz. Almış olduğumuz personelin bilgisi de yeterli olmadığı için üst düzey bir yetki ( EnterPrise Admin, Domain Admin, Power User vb..) ile ödüllendirmek istemiyoruz.  Fakat uzak bölgede bulunan şubenizinde yönetimsel işlemlerinin yapılması gerekiyor ve oraya giderek zaman harcamak istemiyoruz. Bu kadar olumsuzluklar arka arkaya sıralandıkdan sonra yapılması gereken bir çözümün olması gerekli.

İşte tam bu sıkışık durumumuzda imdadımıza 2003 Server Ailesinin bizlere sunmuş olduğu özelliklerden birisi olan DELEGATE CONTROL yetişiyor. Bir Domain ortamının en yetkisiz kullanıcı grubu olan Domain Users grubunun içinde bulunan bir kullanıcımızın, sistem saatini bile değiştiremezken, Delegate Control sayesinde vermiş olduğumuz yetkiler doğrultusunda Password resetlemek, Hesap açmak – kapatmak – Hesabı pasif hale getirmek, Grup oluşturmak vb.. bir çok yönetimsel işlemi, size her hangi bir artı yük getirmeden başarabildiğini görebileceğiz.

Konuyu daha iyi anlatmak adına hazırlamış olduğum senaryo; Yöneticisi olduğumuz bir Domain üzerinde bulunan DELEGATE OU’ su içinde, DomainUsers Grubunun üyesi olmakda olan bir kullanıcımıza, Delegate Control sayesinde gerekli izinleri atayarak yönetim işlemlerimizi hafifletmeyi hedefliyoruz. Bu domain user’imizi Delegate OU içerisinde barınan (farklı OU’ larda bulunan X bir kullanıcı da olabilir) seçerek işleme başlayabiliriz.

Sponsor

Senaryomuza göre bu Domain User kullanıcısına vereceğimiz yetkiler;

1 Delege vermiş olduğumuz DELEGATE OU’ su içerisinde alt OU’ lar açabilecek.

2 İşe yeni alınmış bir personelin kullanıcı hesabını açabilecek (Not : Açmış olduğu hesap

kendi hesabından ki Domain User hesabından daha fazla yetkiye sahip olamayacak. Yani bu kullnıcımız bir tane Domain Admin hesabı oluşturamayacak.)

3 Delegate OU’ su içerisinde yeni gruplar oluşturabilecek ve bu OU içerisinde barınan

kullanıcıları oluşturmuş olduğu grubun üyesi yapabilecek.

4 Senelik izne ayrılan bir kullanıcının, bilgisayar hesabını devre dışı bırakabilecek.

5 Delegate OU’ su içinde bulunan kullanıcıların Passwordlarını sıfırlayabilecek.

Ve eğer istersek izin vermiş olduğumuz ölçüde bir çok şeyleri yapabilecek.

Atamayı yapacak olduğumuz kullanıcımızın, bu görevleri yerine getirebilmesi için gerekli olan malzeme; MMC konsolunda hazırlamış olduğumuz, özelleştirilmiş bir yönetim konsolu ve yönetim konsolunu çalıştırabilmesi için bu kullanıcımızın kullanmış olduğu bilgisayara yüklü olması gereken Adminpak.msi kurulum tooludur. Adminpak.msi kurulum toolunu Windows2003 Server Cd’mizin içinde I386 Klasörünün altında bulabiliriz.

Birinci aşama olarak : Delegate OU’ muzun içinde bulunan Domain User yetkisine sahip fbcelik adlı kullanıcımıza gerekli delegeyi (izinleri) atıyoruz.

 

image001

Delegate OU muz ve altında iki adet alt OU barınmaktadır. Bunlar Delegate_User ve Delagete_computer OU larıdr.

 

image002

Gerekli Delegeyi verecek olduğumuz fbcelik kullanıcısının üyesi olduğu grupları görebiliyoruz. Fbcelik kullanıcısının Domain User olduğunu gördükden sonra işlemimize başlıyoruz.

 

image003

DC mizin üzerinde | Başlat |  | Çalıştır | | MMC | yazarak consolumuza ulaşıyoruz.

| File |  | Add/Remove Snap-in | sekmesini tıklayarak add butonunu seçip Active Directore User and Computers Snap’ inimizi seçiyoruz.

 

image004

Açmış olduğumuz konsolumuz içinde delege vereceğimizi Delegate OU su üzerinde sağ tuş Delegete Control seçiyoruz. Gerekli delegeyi vermemize yardımcı olacak olan sihirbazımız next diyerek ilerliyoruz.

 

image005

Gerekli izinleri verecek olduğumuz kullanıcımızı ve/veya kullanıcılarımızı ekliyoruz. Senaryomuza göre bu görevi sadece Fbcelik kullanıcısı üstlenecek. Yetki verecek olduğumuz kullanıcımızı ekledikten sonra ileri diyoruz.

 

image006

Gelen ekranda fbcelik kullanıcımızın, delege vermiş olduğumuz OU üzerinde ne gibi haklara sahip olacağını belirliyoruz. Seneryomuzun (ihtiyaçlarımızın) gerektirmiş olduğu kutuları işaretliyoruz ve ileri diyoruz.

 

image007

Gelen ekranda başarılı bir şekilde yetkilerin verildiği bizlere söyleniyor

 

image008

Güvenlik nedeni ile bu işlemleri yapacak olan kullanıcımızın, Domain üzerinde görmesini istemeyeceğimiz yerleri, kullanıcımıza verecek yönetim konsolundan devre dışı bırakıyoruz New Window from here (yeni pencerede açılmasını) seçiyoruz.

Delegeyi vermiş olduğumuz kullanıcımızın, işlemleri rahat bir şekilde yapabilmesi için, yeni bir yönetimsel konsol hazırlamak üzere New Taskpad View bölümümüzü çalıştırıyoruz.

 

image009

Delegeyi verecek olan kullanıcımızın bilgi ve becerisine göre, kullanışlı bir yönetim konsolu yapmamız mümkün. İkonların küçüklüğünden büyüklüğüne, ikonların altında bulunan açıklama yazılarının olup-olmamasından, yeni yönetim konsolunun nasıl görüneceğine kadar bir çok özelliği belirleyebiliyoruz. Burada ki kısım tamamen bu yetkileri verecek olan kullanıcımızın işlemleri kolay yapabilmesini sağlayabilmek için hazırlamış olduğumuz bir arayüzdür.

image010

image011

İsteğe bağlı olarak konsolumuza açıklayıcı bir bilgi giriyoruz ve ileri diyoruz.

image012

Sihirbazımız tamamlandığında New Task Vizard  (Yeni Görev atama sihirbazımızı) çalıştır kutucuğunu işareleyip finish diyoruz ve bize yardımcı olacak olan yeni görev atama sihirbazımız görüntülendiğinde ileri diyoruz.

image013

Yönetim Konsolunun sahip olacağı arayüzün nasıl görünmesi gerektiğini belrtiyoruz.

image014

Senaryomuzun birinci maddesi olan Delege vermiş olduğumuz DELEGATE OU’ su içerisinde alt OU’ ler oluşturabilmesi için gerekli bölümü işaretliyoruz. İleri diyoruz

Resim 11 görmüş olduğumuz ekranın aynısı geliyor ve Kullanıcımızın kolay anlayabilmesi için açıklayıcı bir bilgiyi yazarak ilerliyoruz.

image015

Yeni bir OU yu niteleyecek olan bir ikonu belirliyoruz. İsteğe bağlı olarak Custom Icon bölümünden özelleştirilmiş bir simgede yerleştirebiliriz.

image016

Senaryomuzun iki ve üçüncü isteklerini hazırlamak üzere Run this wizard again ( sihirbazı tekrardan çalıştır ) kutucuğunu işaretleyip, karşımıza çıkacak olan hos geldiniz sihirbazına ileri diyoruz.

image017

Kullanıcımıza Delegate User OU içinde yeni bir User oluşturabilmesi için gerekli izinleri veriyoruz ve Resim 20 de göründüğü gibi çıkan ekranda Linkimize açıklayıcı bilgimizi yazıyoruz.

image018

Sihirbazımızı tekrar çalıştırıyoruz.

image019

Yeni bir grup oluşturabilmesi için gerekli izinleri atayarak işlemlerimizi tamamlıyoruz.

image020

Senaryomuza göre Yapmak istediğimiz ilk üç bölümün atamaları tamamlandı ve tekrardan sihirbazımızın çalışmasını istemediğimizi belirtip işlemimizi bitiriyoruz.

image021

Şimdiye kadar yapmış olduğumuz çalışma sonrasında Yönetim Konsolumuzun almış olduğu görüntü.

image022

Delegate OU sunun alt OU su olan ve computer hesaplarının barınmış olduğu Delegete_Computer OU’ su üzerinde senaryomuzun dördüncü isteği olan ve geçici olarak izne çıkan bir kullanıcının hesabını devre dışı yapabilmesi için, gerekli izin atamalarını yapmak üzere Edit Taskpad View bölümünü seçiyoruz.

image023

NOT : Yukarıda Resimde görüldüğü üzere daha sonradan isteğe bağlı olarak yönetim konsolumuzu tekrardan düzenleme imkanımız bulunmaktadır.

image024

image025

Atamış olduğumuz yetki doğrultusunda geçici olarak izne çıkan bir kullanıcının hesabını, yetkilendirdiğimiz kullanıcımız devre dışı bırakabilecek.

image026

Bağlantıya verilecek isim, İkon seçimi gibi gerekli bilgileri tamamladıkdan sonra, Delegate_computer OU suna atanmasını istediğimiz yetkiler bu kadar olduğu için, sihirbazımızı tekrardan çalıştırmamız gerektiğini belirtip görevi tamamlıyoruz.

image027

Yapmış olduğumuz değişikliklerden sonra konsolumuzun yeni görünümü.

image028

Ve senaryomuza göre, son isteğimiz olan Delegate_User OU sunda verecek olduğumuz Parola resetleme yetkisini atamak üzere sihirbazımızı son kez çalıştırıp, çıkan ekranda Task sekmesine gelerek işlemimize devam ediyoruz.

image029

image030

Yönetim Konsolumuzun Son hali

image031

Yönetim bilisine sahip olmayan sıradan bir kullanıcımza bu kadar karışık ( bize göre çok basit olmasına rağmen ) bir arayüz  vermek istemeyeceğimiz için View bölümü altında konsolumuz içerisinde görünmesini istemediğimiz yerleri kesiyoruz.

image032

Gerek olmadığını düşündüğümüz yerleri kestikten sonra ok diyip Hazırlamış olduğumuz Yönetim consolumuzu farklı olarak kaydediyoruz. Bu bölümde dikkat edilmesi gereken en önemli husus, direk olarak kaydet dersek bundan sonra fbcelik kullanıcısı için hazırlamış olduğumuz basit arayüzü artık bizimde kullanacak olduğumuzdur. Bu kadar basit bir yönetim konsolu, bizim yönetim isteklerimze cevap vermeyeceği için farklı kaydet diyerek işlemimizin ilk bölümünü tamamlıyoruz.

Hazırlamış olduğumuz yönetim konsolumuzun, fbcelik kullanıcımızın kullanmış olduğu bilgisayarda çalışabilmesi için adminpak.msi toolunun yüklenmiş olması gerektiğini yazımızın başında belirtmiştik. Windows Server Cd mizin içinde bulunan toolumuzu fbcelik kullanıcımızın makinesine yüklüyoruz.

image033

Yazımızın başında belirttiğimiz gibi, gerekli yetkiler verilmediği sürece, kullanmış olduğu makinenin saatini bile değiştiremeyecek olan  fbcelik kullanıcısı bu toolu da yükleyemiyor. Bu toolu yüklemenin bi çok yolu vardır. Bunlar;

1.    DC üzerinden yazılım dağıtarak yapabiliriz

2.    Yönetici yetkisine sahip bir kullanıcı ile sistemi açıp toolumuzu yükleye biliriz

3.    Veya benimde yaptığım gibi runas servisini kullanabilirsiniz.

Toolumuzu yükleyebilmek için | Conrol Paneli | | Add or Remove Programs | üzerinde mousemizin sağtuşuna basarak run as diyerek

image034

Yönetici hesabına sahip bir kullanıcının parolasını doğrulayıp Add or Remove Programs bölümümüze giriş yapıyoruz.

image035

Sıralamayı takip ederek ilerliyoruz.

Adminpak.msi toolumuzun bulunmuş olduğu yeri gösterip kurulumumuzu gerçekleştiriyoruz.

image036

Hazırlamış olduğumuz yönetim konsolumuzu, işlemleri yapacak olan fbcelik’ kullanıcımızin kolay erişebileceği ( örnek olarak fbcelik kullanıcımızın masaüstü ) bir yere taşıyoruz. 

image037

Resim 37’de görüldüğü üzere bir domain user kullanıcısı olan fbcelik kullanıcısı, maknesinin saatini değiştiremiyor ama Domain ortamına bir kullanıcı oluşturabiliyor.

image038

Yetkileri verilmiş olduğu OU içerisindeki kullanıcıların parolasını resetleyebiliyor.

image039

Ve bilgisayar hesabını devre dışı bırakabiliyor.

Biz senaryomuzu tamamladık ve bilgi işleme yeni bir eleman alınmasa bile kendi bünyemiz içerisinde görev dağılımı yaparak basit işlemleri yapmaktan kurtulduk. İhtiyacımız doğrultusunda basit bir çalışmanın ardından iş yükümüzün ne kadar hafifleyebileceğini görmüş olduk

Sürekli Yenilenen IT sektöründe bilgimizi sürekli tazeleyebilmek için kendimize zaman ayırmayı unutmayalım.

Fatih KARAALİOĞLU

Makaleyi Paylaş

Cevap bırakın