Windows Server 2012 R2 ile Dosya Sunucularda Paylaşım ve Güvenlik İzinleri – Bölüm 2

Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. Üç bölümden oluşacak bu makale serimizde sistem yöneticileri için temel konulardan biri olan kurum ve kuruluşların ağ ortamlarında bulunan dosya sunucularında (file server)  “Paylaşım, Güvenlik İzinleri ve Uygulamaları” konusunu detaylı olarak ele alıyoruz. Bu konuda uzun vadede referans olabilecek bir makale hazırlamaya çalıştık. Bu makaledeki anlatımlarımızı her ne kadar Windows Server 2012 R2 üzerinde yapmış olsak da, büyük bir kısmı özellikle Windows 2003’den bugüne tüm active directory ortamlarında geçerlilik arzediyor olacak. İlk bölümde paylaşım izinlerine ve uygulamalarına bir giriş yaptık. Bu bölümde biraz daha detaylara girerek arkasından da güvenlik yani NTFS izinlerine geçiş yapıyor olacağız.

Makalemin bir önceki bölümü için aşağıdaki linki inceleyebilirsiniz

Windows Server 2012 R2 ile Dosya Sunucularda Paylaşım ve Güvenlik İzinleri – Bölüm 1

PAYLAŞIM İZİNLERİNİN KARAKTERİSTİK ÖZELLİKLERİ

Share Permissions(Paylaşım İzinleri) sadece ağdan yapılan bağlantılarda geçerlidir. Yerel bilgisayarda  bu izinler etki etmez.

 

Vardiya sistemi ile çalışan bir şirkette, sabah vardiyasındaki bir kullanıcı, öğle vardiyasında aynı bilgisayarı kullanan bir diğer kullanıcı için paylaşım izinlerinden ne kadar yasak koyarsa koysun, yerel bilgisayar üzerinde paylaşım izinleri etki etmez.

Bunu bir uygulama ile görelim:

Administrative Tools’dan Computer Management’ı açın.

Local Users and Groups’a gelin.

NOT: Eğer şu an çalıştığınız bilgisayar DC(Domain Controller) ise kullanıcı açma işlemini Active Directory Users and Computers konsolundan yapın. Ayrıca birazdan o kullanıcılarla logon olacağımız için o kullanıcıları DC’den logon olma yetkisine sahip Print Operators grubuna katın ya da Administrative Tools’dan Domain Controller Security Policy’ye girip Local Policies altındaki User Rights Assignment altındaki Allow Logon on Locally policy ayarı ile logon yetkisi verin. Çünkü daha önceki makalelerimizde de sıradan bir kullanıcının DC bilgisayarından logon olamadığını anlatmıştık

Mesut ve Hakan isimli iki kullanıcı açın. Kullanıcı özelliklerini varsayılan halinde bırakın.

C:  sürücüsüne gelin.

COZUMPARK isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

Sharing tabında Advanced Sharing butonuna tıklayın.

Gelen ekranda Permissions’a tıklayın.

Varsayılan olarak gelen izin olan Everyone:Read iznini Remove butonuna tıklayarak kaldırın.

Add butonuna tıklayın ve listeden Mesut isimli kullanıcıya bütün izinler için Allow verin.

Tekrar Add butonuna tıklayın ve Hakan isimli kullanıcıya bütün izinler için Deny verin.

OK ile onaylayın.

Tekrar OK ile onaylayın.

Logoff olun ve Mesut ile logon olun.

C: sürücüsüne gelin.

COZUMPARK isimli klasörü açmayı deneyin. Açtığını göreceksiniz.

Şimdi de Start menüden Run’a gelin ve \\bilgisayaradi yazın.

COZUMPARK üzerine çift tıklayın. Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör ve dosya açmayı deneyin ve açtığınızı görün. Çünkü MESUT kullanıcısına bütün izinler için Full Control vermiştik.

Bunu gördükten sonra logoff olun ve Hakan ile logon olun.

C: sürücüsüne gelin ve COZUMPARK klasörünü açmayı deneyin. Açtığınız göreceksiniz. Fakat biz Hakan kullanıcısına bütün izinler için Deny vermiştik. Verdik vermesine ama paylaşım izinlerinin de yerel bilgisayardan bağlantılarda etki etmediğini ve sadece ağdan yapılan bağlantılarda geçerli olduğunu söylemiştik.

Şimdi de Start menüden Run’a gelin ve \\bilgisayaradi yazın.

COZUMPARK üzerine çift tıklayın.

Klasörü açamadığınızı ve size Access is denied (Erişim engellendi.) mesajının geldiğini göreceksiniz. Çünkü paylaşım izinlerinden verilen Deny izni ağ üzerinden yapılan bağlantılarda geçerlidir.

 

Bir kullanıcı için bir klasör üzerinde birden fazla yerden paylaşım izni varsa(mesela kullanıcının kendisine farklı, dahil olduğu gruba farklı izin verilirse), kullanıcı için bu klasör üzerindeki izni, bu izinlerin toplamına eşittir.

 

Bunu bir uygulama ile görelim:

Administrator kullanıcısı ile bilgisayarınıza logon olun.

Administrative Tools’dan Computer Management’ı açın.

Local Users and Groups’a gelin.

YAZAR isimli bir grup açın ve Mesut ve Hakan kullanıcılarını bu gruba üye yapın.

C:  sürücüsüne gelin.

“COZUMBANK” isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

Sharing tabında Advanced Sharing altından Permissions’a tıklayın.

Varsayılan olarak gelen izin olan Everyone:Read iznini Remove butonuna tıklayarak kaldırın.

Add butonuna tıklayın ve listeden Mesut kullanıcısı ile YAZAR grubunu ekleyin ve aşağıdaki tabloya göre izinleri verin.

 

YAZAR grubu	Full Control
Mesut	Read

 

OK ile onaylayın.

Logoff olun ve Mesut ile logon olun.

Start menüden Run’a gelin ve \\bilgisayaradi yazın.

COZUMBANK üzerine çift tıklayın.

Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör veya dosya açmayı deneyin ve açtığınızı görün. Çünkü MESUT kullanıcısına Read izni, Mesut kullanıcısının üye olduğu YAZAR grubuna da Full Control izni vermiştik. Kullanıcının geçerli izni grubun izni artı kendi iznidir. Yani Read + Full Control=Full Control

Bunu gördükten sonra logoff olun ve Hakan ile logon olun.

Start menüden Run’a gelin ve \\bilgisayaradi yazin.

COZUMBANK üzerine çift tıklayın.

Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör veya dosya açmayı deneyin ve açtığınızı görün. Çünkü Hakan kullanıcısına izin tanımlaması yapmamamıza rağmen, onun üye olduğu gruba yani YAZAR grubuna Full Control izni vermiştik. Kullanıcının kendisi için bir tanımlama yapılmamış.(Dikkat tanımlama yapılmaması Deny anlamına gelmez).Dolayısıyla grup için verilen izin kullanıcı için de geçerlidir.

Eğer kullanıcı için klasör üzerinde herhangi bir yerden Deny tanımı varsa Deny tanımı her zaman diğer izinlerden daha üstündür.

 

İsterse kullanıcıya,  birkaç gruptan Full Control hakkı gelmiş olsun, eğer bir yerden bütün izinler için Deny varsa, bundan dolayı kullanıcı o klasöre erişim hakkına sahip değildir.

Bunu da bir uygulama ile görelim:

C:  sürücüsüne gelin.

“MCSE” isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

Sharing tabında Advanced Sharing tıklayıp gelen ekranda Permissions’a tıklayın.

Varsayılan olarak gelen izin olan Everyone: Read iznini, Remove butonuna tıklayarak kaldırın.

Add butonuna tıklayın ve listeden Mesut kullanıcısı ile YAZAR grubunu ekleyin ve aşağıdaki tabloya göre izinleri verin.

 

YAZAR grubu	Full Control
Mesut	Bütün izinler için Deny

 

OK ile onaylayın.

Logoff olun ve Mesut ile logon olun.

Start menüden Run’a gelin ve \\bilgisayaradi yazın.

MCSE üzerine çift tıklayın.

Klasörü açamadığınızı ve size Access is denied(Erişim engellendi.) mesajının geldiğini göreceksiniz. Çünkü paylaşım izinlerinden kullanıcıya verilen Deny izni bütün diğer izinleri geçersiz kılar.

Bunu gördükten sonra logoff olun ve Hakan ile logon olun.

Start menüden Run’a gelin ve \\bilgisayaradi yazın.

MCSE üzerine çift tıklayın.

Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör veya dosya açmayı deneyin ve açtığınızı görün. Çünkü Hakan kullanıcısına izin tanımlaması yapmamamıza rağmen, onun üye olduğu gruba yani YAZAR grubuna Full Control izni vermiştik. Kullanıcının kendisi için bir tanımlama yapılmamış.(Dikkat tanımlama yapılmaması Deny anlamına gelmez).Dolayısıyla grup için verilen izin kullanıcı için de geçerlidir.

 

NOT: Bir klasör üzerinde bir kullanıcı ya da grup için hem paylaşım izni hem de güvenlik izni (NTFS izni) varsa bu ikisi arasında en kısıtlayıcı (MOST RESTRICTIVE) hak geçerlidir. Bunu da bu makalemizin ilerleyen bölümlerinde ele alacağız.

NTFS DOSYA SİSTEMİ İZİNLERİ

(SECURITY PERMISSIONS)

 

NTFS, Windows Server ve client işletim sistemleri üzerinde güvenlik amaçlı geliştirilen ve kullanılan bir dosya sistemidir. NTFS dosya sistemi, FAT veya FAT32 dosya sistemlerinde bulunmayan performans ve güvenlik özelliklerini içermektedir. Günümüzde büyük oranda FAT ve FAT32 dosya sistemi yerini NTFS dosya sistemine bırakmıştır.

NTFS Dosya Sisteminin Yararları:

Sağlamlık ve Güvenilirlik (Reliability) : NTFS bilgisayarınızı yeniden başlattığınız durumlarda, log

dosyaları ve checkpoint bilgilerini kullanarak dosya sisteminin bütünlüğünü ve güvenliğini geri

yükleme yapabilir. Eğer bir bad sector hatası oluşursa, NTFS dinamik olarak bad sector’ü içeren dosya

kümesini(cluster) yeniden tasarlar ve data için yeni bir cluster ayırır. Ayrıca NTFS, bozuk olan cluster

üzerine kullanılamaz bilgisini işler.

Yüksek Güvenlik: NTFS dosya sistemi üzerinde EFS(Encrypting File System) kullanarak dosya ve

klasörlerin güvenliğini sağlamaktadır. Eğer EFS aktifleştirilmiş ise, dosya ve klasörler şifrelenmiş olarak

kullanıcıların kullanımına sunulur. Şifrelemenin yararı, data gizliliğini ve güvenilirliğini sağlamaktır.

Böylece kazara veya kötü niyetli kişilerin datalar üzerindeki değişiklik yapması engellenmiş olur.

 

Dosya Seviyesinde Güvenlik: NTFS dosya sistemi sayesinde izinler sadece klasörlere değil, aynı

zamanda dosyalara da uygulanarak dosya seviyesine kadar yetkiler tanımlanabilir.

Bunu görmek için:

 

NTFS volume içerisinde bir klasör açın. Klasör üzerinde sağ tuşa basıp Properties’e tıklayın.

Security tabının geldiğini göreceksiniz.

Şimdi de klasör içine bir dosya(file) açın.

Dosya üzerinde sağ tuşa basın ve Properties’e tıklayın.

Dosya üzerinde de Security tabının geldiğini göreceksiniz.

 

NTFS ayrıca, her dosya veya klasör üzerinde verilmiş izinleri tutan bir listeye sahiptir. Bu listeye Access Control List(ACL) ya da NTFS İzin Listesi adı verilir. ACL, klasör veya dosya üzerinde izin ataması yapılmış tüm kullanıcı hesapları, gruplar ve bilgisayar hesaplarının bir listesini tutar. ACL listesinde her kullanıcı, grup veya bilgisayar için izin atamalarını tutan bir ACE(Access Control Entry) bilgisi vardır.

 

NTFS dosya sisteminin bir diğer avantajı da geliştirilmiş yönetimle disk kullanım boyutunun kontrolünü sağlamaktır. NTFS dosya sistemini desteklediği disk ve klasör kota (quato) özelliği sayesinde, bir kullanıcının disk alanından ne kadar kullanacağı belirlenebilir. Disk ya da klasör kotaları kullanılarak, disk kullanımı izlenebilir ve kullanıcıların kullanacakları disk alanı sınırlandırılabilir.

 

NTFS dosya sistemi, FAT veya FAT32 dosya sistemlerinden daha büyük boyutta dosyalara ve dosya sayısına destek vermektedir.

 

Yine NTFS dosya sistemi sayesinde disk alanını etkin ve verimli kullanmak için, daha küçük boyutlarda cluster desteği vermektedir. Örneğin, 30 GB’lık bir NTFS volume için, 4 KB boyutunda cluster kullanabilirsiniz. FAT32 ile formatlı aynı boyutta bir volume 16 KB boyutunda cluster kullanılıyordu. Küçük boyutlu cluster kullanmak, hard disk üzerindeki kayıp alanı azaltmaktadır. Bu konuda Windows Server 2012 R2 üzerinde yeni nesil dosya sistemi olan ReFS (Resilient File System) dosya sisteminin de NTFS dosya sistemine göre üstünlükleri vardır. ReFS konusu ayrı bir makalede detaylı olarak ele alıyor olacağız.

 

NTFS izinler sadece NTFS formatlı volumelerde uygulanabilir.

 

Kullanıcıların kaynakları kullanabilmesi için ayrı ayrı kullanıcı bazında veya grup bazında izin atamaları yapılır. Eğer kullanıcılar için klasörlerde herhangi bir hak tanımlaması yapılmadıysa ve o klasörlerden varsayılan olarak gelen Everyone grubunun Read hakkı kaldırılırsa ve kullanıcıya başka herhangi bir grupdan izin gelmiyorsa,  o kullanıcıların o klasör ve dosyalara erişim hakkı yoktur.

 

NTFS izinler FAT veya FAT32 formatlı volüme ya da partitionlar üzerinde uygulanamaz.

 

Bunu görmek için:

FAT16 veya FAT32 formatlı volume üzerinde bir klasör açın.

Klasör üzerinde sağ tuşa basın ve Properties’e tıklayın. Security etiketli bir tab görebiliyormuşsunuz? Tabii ki hayır.

Şimdi de NTFS formatlı volume içerisinde bir klasör açın.

Klasör üzerinde sağ tuşa basın ve Properties’e tıklayın. Security sekmesinin geldiğini göreceksiniz.

 

NTFS KLASÖR İZİNLERİ

NTFS izinlerinin hem klasör hem de dosyalara uygulanabildiğinden bahsetmiştik. Bu başlık altında öncelikli olarak klasörler izinlerini ele alıyor olacağız.

NTFS izinlerinin en belirgin özelliği üst klasöre verilen bir hak ya da kısıtlamanın en alttaki dosya ya da klasöre kadar etki etmesidir. Biz buna NTFS Permission Inheritance yani NTFS İzin Mirası adını veriyoruz. Normal şartlarda bir klasöre atanan izinler o klasör içerisindeki dosyalar ve alt klasörler için de geçerlidir. Aşağıdaki NTFS klasör haklarının listesi tanımlanmıştır.

 

Read : O klasörün içeriğini, atanmış izinlerini, sahipliğini ve niteliklerini (read only, hidden, archieve vb.) görüntüleyebilme.

Write : Klasör içerisine alt klasörler ve dosyalar ekleme,  klasörün niteliklerini (sadece okunabilirlik, gizli olma gibi özellikler…) değiştirebilme, klasörün izinlerini görüntüleyebilme hakkı.

List Folder Contents: Klasör içerisindeki dosya ve alt klasörleri listeleme hakkı.

Read & Execute               : Klasörlerin içeriğini görüntüleme, içerisindeki dosya ve alt klasörlerin içeriğini görüntüleme ve içerisindeki exe, com, bat uzantılı dosyaları çalıştırabilme hakkı.

Modify : Klasörü silme, dosya ve alt klasörler üzerinde değişiklikler yapma hakkı.

Full Control: Klasörün permissionlarını değiştirme, sahipliğini alma, alt klasörleri ve dosyaları silme, kısacası klasör üzerinde her türlü işlemi yapma hakkı.

NTFS DOSYA İZİNLERİ

 

NTFS izinlerinin hem klasör hem de dosyalara uygulanabildiğinden bahsetmiştik. Bu başlık altında dosya izinlerini ele alıyor olacağız.

Read :Dosyanın içeriğini, atanmış izinlerini, sahipliğini ve niteliklerini(read only, hidden, archieve vb.) görüntüleme hakkı

Write :Dosya üzerinde değişiklik yapabilme, dosyanın niteliklerini (attribute) değiştirebilme, sahipliğini ve hakları görüntüleyebilme hakkı

Read and Execute :Uygulamaları çalıştırma ve içeriği görüntüleme hakkı

Modify :Dosyayı silme, değişiklik yapma,  ve Read – Write haklarının sağladığı izinler.

Full Control :Permissionları değiştirme, dosyanın sahipliğini alma dosya üzerinde her türlü işlemi yapabilme hakkı.

NTFS İZİNLERİN UYGULANMASI

NTFS izinlerin uygulanması için:

1.   NTFS formatlı volume’de yeni bir klasör açın.

2.   Klasör üzerinde sağ tuşa basın ve Properties’e tıklayın.

3.   Security tabına geçin.

4.   Karşınıza NTFS izinlerin uygulanacağı aşağıdaki pencerenin geldiğini göreceksiniz.

 

Bu pencerede varsayılan olarak gelen izinleri de görmektesiniz. Users grubuna yani bütün kullanıcılara Read ve Read & Execute izni gelmektedir.

Yukarıdaki şekilde de görüldüğü gibi NTFS izinlerde bir değişiklik yapmak için öncelikle Edit butonuna tıklanarak düzenleme moduna geçiş yapmanız gerekir.

 

Yukarıdaki şekilde görüldüğü gibi Edit butonuna basınca artık Add ve Remove butonlarının da geldiğini göreceksiniz.

NTFS izinlerin en önemli özelliği üst birime (üst klasör ya da sürücü)  verilen bir izin onun altındaki tüm alt objelere miras olarak geçer ki, biz buna NTFS Permission Inheritance (NTFS İzin Mirası) adını veriyoruz. Yukarıdaki şekilde de görüldüğü gibi yukarıdan miras ile gelen izinlere ait kutucuklar gri renkli olarak gözükmektedirler. Bu gri renkli kutucuklarda değişiklik yapamadığınızı görüyorsunuz. Çünkü bu izinler bu seviyeden verilmiş izinler değil, üst klasör ya da volüme üzerinden gelen izinlerdir.

Bu izinleri alttaki Remove butonuna tıklayarak kaldıramazsınız. Eğer Remove ile kaldırmayı denerseniz size aşağıdaki şekilde de görüldüğü gibi, kaldırma işlemi için üstten gelen izin mirasını kapatmanız gerektiği uyarısını verir.

Kaldırmak için, Security tabında Advanced butonuna tıklayarak “Advanced Security Settings” ekranını açıyoruz.

Karşımıza gelen ekranda Permissions tabından “Disable Inheritance” butonuna basılır.

Karşımıza aşağıdaki diyalog kutusu gelir.

Burada Convert inherited permissions bağlantısına tıklayarak üstten şimdiye kadar miras olarak gelen izinler kopyalanır ve biz kopyalanan izinler üzerinde değişiklikler yaparak kendimize göre düzenleyebiliriz. Fakat bu işleminden sonra artık üst birimden verilen izinler üzerinde işlem yaptığımız bu klasör, alt klasörleri ya da dosyalara etki etmeyecektir. Alttaki şekilde Convert inherited permissions butonuna basma işleminden sonra Security tabındaki izin kutucuklarının aktif hale geldiği görülmektedir.

Yukarıda gelen Block Inheritance ekranında Convert yerine Remove all inherited permissions butonuna basarak üstten şimdiye kadar miras olarak gelen izinler tamamen silinir ve alt klasör ya da dosya üzerinde biz izinleri yeniden kendi isteğimize göre yapılandırırız.

Convert ya da Remove butonlarından birine bastıktan sonra,  OK ile Advanced Security settings penceresi onaylanarak kapatılır ve Security tabında Edit butonuna tıklanarak izin atama ekranına gidiyoruz.

5.   Kullanıcılara izin ataması yapmak için Add butonuna tıklanır ve gelen kullanıcı listesinden izin atanacak kullanıcı seçilip, Add ile eklenir.

6.   NTFS izni atanacak kullanıcı listeye eklendikten sonra, kullanıcı izinlerinin atanması için, önce kullanıcı seçilir. Daha sonra alt bölümden Allow veya Deny kolonlarından uygun olanlar işaretlenerek izin ataması yapılır.

Allow, izin verilecek atamaların yapıldığı bölümdür. Deny, yasakların ya da kısıtlamaların konulduğu bölümdür. Eğer bir kullanıcıya bütün izinler için Full Control ataması yapılacaksa, sadece Full Control izninin karşısındaki Allow kutusunu işaretlemek yeterlidir. Eğer bir kullanıcıya bütün izinler için Deny ataması yapılacaksa, sadece Full Control izninin karşısındaki Deny kutusunu işaretlemek yeterlidir.

DİKKAT:Eğer bir kullanıcı veya grubu NTFS izin listesine ekleyip hiçbir allow veya deny kutusunu doldurmazsanız, bu o kullanıcı veya grubun Deny iznine sahip olduğu anlamına gelmez. Zaten hiçbir tanımlama yapılmamış kullanıcı ve gruplar OK butonuna tıklandığı anda izin listesinden de silinir.

NTFS SECURITY İZİNLERİN KARAKTERİKSEL ÖZELLİKLERİ

ü  Security Permissions(NTFS İzinleri) hem ağdan yapılan bağlantılarda hem de yerel bilgisayarda geçerlidir.

 

Bunu bir uygulama ile görelim:

1.   Administrative Tools’dan Computer Management’ı açın.

2.   Local Users and Groups’a gelin.

3.   Cihan ve Serdar isimli iki kullanıcı açın. Kullanıcı özelliklerini varsayılan halinde bırakın.

4.   NTFS sürücünüze  gelin.

5.   YONETIM isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

6.   Security tabına geçin ve Advanced butonuna tıklayın.

7.   Varsayılan izinleri kaldırmak için Permissions tabında “Disable Inheritance” butonuna basın ve karşımıza gelen pencerede Remove all inherited permissions bağlantısına tıklayarak üstten miras olarak gelen izinleri kaldırın.

8.   OK ile Advanced Security Settings penceresini kapatıp, Security tabına dönün ve Edit ile izinleri düzenleme ekranına geçin.

9.   Add butonuna tıklayın ve listeden Cihan isimli kullanıcıyı ekleyin ve  bütün izinler için Allow verin.

10.Tekrar Add butonuna tıklayın ve Serdar isimli kullanıcıyı ekleyin ve bütün izinler için Deny verin.

11.OK ile onaylayın.

12.Tekrar OK ile onaylayın.

13.Logoff olun ve Cihan ile logon olun.

14.NTFS sürücünüze gelin.

15.YONETIM isimli klasörü açmayı deneyin. Açtığını göreceksiniz.

16.Şimdi de Start menüden Run’a gelin ve \\bilgisayaradi yazın.

17.YONETIM üzerine çift tıklayın.

18.Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör ve dosya açmayı deneyin ve açtığınızı görün. Çünkü Cihan kullanıcısına bütün izinler için Full Control vermiştik.

19.Bunu gördükten sonra logoff olun ve Serdar ile logon olun.

20.NTFS sürücünüze gelin ve YONETIM klasörünün içine girmeyi deneyin. Giremediğinizi göreceksiniz. Çünkü Serdar kullanıcısına bütün izinler için Deny vermiştik. Buradan da NTFS izinlerinin paylaşım izinlerinden farklı olarak yerel bilgisayarda da etki ettiğini görmüş oldunuz.

21.Şimdi de Start menüden Run’a gelin ve \\bilgisayaradi yazin.

22.YONETIM üzerine çift tıklayın.

23.Klasörü açamadığınızı ve size Access is denied(Erişim engellendi.) mesajının geldiğini göreceksiniz. Çünkü NTFS izinlerinden verilen Deny izni ağ üzerinden bağlantılarda da geçerlidir.

 

ü  Bir kullanıcı için bir klasör üzerinde birden fazla yerden NTFS izni varsa(mesela kullanıcının kendisine farklı, dahil olduğu gruba farklı izin verilirse), kullanıcı için bu klasör üzerindeki izni, kullanıcının kendisine verilen ve üye olduğu gruba verilen NTFS izinlerinin toplamına eşittir.

 

Bunu bir uygulama ile görelim:

1.   NTFS sürücüsüne gelin.

2.   “deneme” isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

3.   Security tabına tıklayın.

4.   Varsayılan olarak üstten miras olarak gelen izinleri kaldırın ve Edit ile izinleri düzenleme ekranına geçin.

5.   Add butonuna tıklayın ve listeden Mesut kullanıcısı ile YAZAR grubunu ekleyin ve aşağıdaki tabloya göre izinleri verin.(DİKKAT: Mesut kullanıcısının YAZAR grubunun üyesi olduğundan emin olun.)

 

YAZAR grubu	Full Control
Mesut	Read

 

6.   OK ile onaylayın.

7.   Logoff olun ve Mesut ile logon olun.

8.   Start menüden Run’a gelin ve \\bilgisayaradi yazin.

9.   Deneme üzerine çift tıklayın.

10.Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör veya dosya açmayı deneyin ve açtığınızı görün. Çünkü MESUT kullanıcısına Read izni, Mesut kullanıcısının üye olduğu YAZAR grubuna da Full Control izni vermiştik. Kullanıcının geçerli izni,  grubun izni + kendi iznidir. Yani Read + Full Control=Full Control ‘dür.

11.Bunu gördükten sonra logoff olun ve Hakan ile logon olun.

12.Start menüden Run’a gelin ve \\bilgisayaradi yazin.

13.Deneme üzerine çift tıklayın.

14.Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör veya dosya açmayı deneyin ve açtığınızı görün. Çünkü Hakan kullanıcısına izin tanımlaması yapmamamıza rağmen, onun üye olduğu gruba yani YAZAR grubuna Full Control izni vermiştik. Kullanıcının kendisi için bir tanımlama yapılmamış. (Dikkat tanımlama yapılmaması Deny anlamına gelmez).Dolayısıyla grup için verilen NTFS izin kullanıcı için de geçerlidir.

 

ü  Eğer kullanıcı için herhangi bir yerden Deny hakkı varsa Deny izni her zaman diğer izinlerden daha üstündür. İster kullanıcıya birkaç gruptan Full Control hakkı gelmiş olsun, eğer bir yerden bütün izinler için ya da herhangi bir izin için Deny varsa, Deny her zaman daha üstündür.

 

Bunu da bir uygulama ile görelim:

1.   NTFS sürücünüze gelin.

2.   “Teknik” isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

3.   Security tabına tıklayın.

4.   Varsayılan olarak üstten miras olarak gelen izinleri kaldırın ve Edit ile izinleri düzenleme ekranına geçin.

5.   Add butonuna tıklayın ve listeden Mesut kullanıcısı ile YAZAR grubunu ekleyin ve aşağıdaki tabloya göre izinleri verin.

 

YAZAR grubu	Full Control
Mesut	Bütün izinler için Deny

 

6.   OK ile onaylayın.

7.   Logoff olun ve Mesut ile logon olun.

8.   Start menüden Run’a gelin ve \\bilgisayaradi yazın.

9.   Teknik üzerine çift tıklayın.

10.Klasörü açamadığınızı ve size Access is denied(Erişim engellendi.) mesajının geldiğini göreceksiniz. Çünkü Mesut kullanıcısına NTFS izinlerinden verilen Deny izni bütün diğer izinleri geçersiz kılar.

11.Bunu gördükten sonra logoff olun ve Hakan ile logon olun.

12.Start menüden Run’a gelin ve \\bilgisayaradi yazın.

13.Teknik üzerine çift tıklayın.

14.Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör veya dosya açmayı deneyin ve açtığınızı görün. Çünkü Hakan kullanıcısına izin tanımlaması yapmamamıza rağmen, onun üye olduğu gruba yani YAZAR grubuna Full Control izni vermiştik. Kullanıcının kendisi için bir tanımlama yapılmamış.(Dikkat tanımlama yapılmaması Deny anlamına gelmez).Dolayısıyla grup için verilen izin kullanıcı için de geçerlidir.

 

NTFS İZİN TİPLERİ

Dosya ve klasörlere izin atamasında Security tabında standart ve special (özel) izinleri kullanabilirsiniz. Standart izinler, en yaygın ve sıklıkla kullanılan ve doğrudan klasör ya da dosyanın Security tabından verilen izin tipidir.

Special(Özel) izinler, nesneler üzerinde ince ve ayrıntılı erişim haklarının verildiği ve Security tabında alt kısımdaki Advanced butonuna tıklayınca gelen Permissions tabında alt kısımdan Edit butonuna tıklayarak verilen izinlerdir.

 

STANDART PERMISSIONS:

Nesneler üzerinde varsayılan olarak tanımlanan security(güvenlik) izinleri standart izinlerdir. Bu izinler, bir sistem yöneticisinin günlük işlerinde yaygın olarak kullandığı izinlerdir. Standart izinlerin listesi, izin ataması yapılan nesneye göre değişiklik gösterir.

ADVANCED PERMISSIONS:

Special permissions olarak da bilinen Advanced Permissions daha detaylı izinlerdir.

Aşağıdaki tabloda advanced NTFS izinleri ve bunların hangi standart izinler içerisinde bulunduğunu görmektesiniz.

 

Read Attributes:Dosya ya da klasörün Read-Only, Hidden, System, ve

Archive gibi niteliklerini görebilme yetkisi.

Read Extended Attributes:Programa özgü olarak değişen ve dosyanın içeriği ve oluşturulması ile ilgili bilgileri içeren ekstra nitelikledir(extended attributes).Örneğin bir Word dosyasının (DOC dosyası) Author, Subject, Title, vb. Gibi bilgileri ekstra nitelikler grubuna girer. İşte bu izin bu ekstra nitelikleri okuma izni verir.

Create Files/Write Data:Klasör içerisinde dosya oluşturma / Mevcut dosyanın üzerine yazma(dikkat dosyaya ekleme değil)  yetkisi.

Create Folders/Append Data:Klasör içerisinde klasör oluşturma / Mevcut dosyaya ekleme yapma (dikkat edin, dosyada olan datayı değiştirme değil.) yetkisi.

Write Attributes:Dosyanın temel niteliklerini değiştirme yetkisi.

Write Extended Attributes:Dosyanın ekstra niteliklerini değiştirme yetkisi.

Delete Subfolders and Files:Alt klasör ve dosyaları silme yetkisi. Aman bir sonraki Delete izni ile bunu karıştırmayın. Delete— Dosya ya da klasörü siler. Aradaki farkı bir örnekle açıklayalım. Örneğin bir klasörünüz olsun ve içerisinde 3 dosya 2 alt klasör olsun. Ana klasör üzerindeki Delete izni size sadece ana klasörü silme yetkisi verir. Eğer ana klasör altındaki dosyalar ve alt klasörleri de silmek isterseniz bu durumda ana klasör üzerinden Delete Subfolders and Files iznine sahip olmanız gerekecektir. Dolayısıyla ana klasör üzerinde Delete hakkınız olmasına rağmen Delete Subfolders and Files izniniz yoksa alt klasör ve dosyaları silemezsiniz. Doğal olarak alt klasör ve dosyalar silinmeden ana klasör de silinmez.

Delete:Sadece iznin verildiği objeyi siler.

Read Permissions:Dosya ya da klasöre atanmış NTFS izinleri görüntülemeyi sağlar, fakat bu izinleri değiştiremezsiniz.

 

Change Permissions:Klasör ya da dosyanın izinlerini değiştirme yetkisini verir.

Take Ownership:Dosyanın sahipliğini alabilme yetkisi. Sahipliğini aldıktan sonra dosyanın izinlerini de değiştirebilirsiniz.Default olarak sadece administrators grubunun bir dosya ya da klasörün sahipliğini alma yetkisi vardır.

 

Burada değinmeden geçemeyeceğimiz önemli bir nokta var. Yukarıdaki tabloda da gösterildiği gibi, sizin de special(advanced) permissions listesinde görebileceğiniz gibi, örneğin Create Files/Write Data gibi bir izin ifade şekli var. Burada birinci bölüm yani Create Files klasör iznini gösterir, ikinci bölüm yani Write Data ise dosya iznini gösterir. Klasör üzerinde verilmiş ise kullanıcı klasör içerisinde dosya oluşturabilir, dosya üzerinde verilmiş ise bu izin kullanıcıya dosyaya yazma hakkını verir.

Eğer sistem yöneticisi standart izine ilişkili bir special (advanced) permission’ı kaldırırsa, standart permission listesindeki o iznin kutusu otomatikman temizlenir. Sadece o izne ait special permission içerisindeki kutucuklar işaretli kalır. Ayrıca standart izinler penceresinde izin listesinde en alttaki Special Permission seçeneğinin karşısındaki Allow ve Deny kutucuklarının normalde boş olduğunu görürsünüz. Eğer special izinlerden Allow veya Deny izinlerinden hangisini verirseniz onun karşılığı olan bu kutucukların otomatik olarak dolduğunu görürsünüz ve bu size o kaynak üzerinde special (advanced) izin atamasının yapıldığını gösterir.

NTFS izinlerde special izinler, standart izinlerden daha üstündür. Örneğin standart izinlerden kullanıcıya Full Control izni verip, hemen arkasından da special izinlerden Delete iznini kaldırdığınızda kullanıcının silme haricinde herşeyi yapabildiğini göreceksiniz.

 

Sonuç Olarak;

Üç bölümden oluşacak bu makale serimizin ikinci bölümünde sistem yöneticileri için temel konulardan biri olan kurum ve kuruluşların ağ ortamlarında bulunan dosya sunucularında (file server)  “Paylaşım, Güvenlik İzinleri ve Uygulamaları” konusunu detaylı olarak ele almaya devam ettik. Makalemizin üçüncü bölümünde konumuza devam ediyor olacağız. Görüşmek dileğiyle, esenkalın.

Makalemin bir sonraki bölümü için aşağıdaki linki inceleyebilirsiniz

Windows Server 2012 R2 ile Dosya Sunucularda Paylaşım ve Güvenlik İzinleri – Bölüm 3