Windows Server 2012 R2 ile Dosya Sunucularda Paylaşım ve Güvenlik İzinleri – Bölüm 3

Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. Üç bölümden oluşacak bu makale serimizde sistem yöneticileri için temel konulardan biri olan kurum ve kuruluşların ağ ortamlarında bulunan dosya sunucularında (file server)  “Paylaşım, Güvenlik İzinleri ve Uygulamaları” konusunu detaylı olarak ele alıyoruz. Bu konuda uzun vadede referans olabilecek bir makale hazırlamaya çalıştık. Bu makaledeki anlatımlarımızı her ne kadar Windows Server 2012 R2 üzerinde yapmış olsak da, büyük bir kısmı özellikle Windows 2003’den bugüne tüm active directory ortamlarında geçerlilik arzediyor olacak. Makalemizin bu son bölümde güvenlik (NTFS) izinleri ile ilgili ileri yapılandırmalar ve paylaşım ile güvenlik izinlerinin kombinasyonu konularını yine detayları olarak uygulamalarla ele alacağız.

Makalemin bir önceki bölümü için aşağıdaki linki inceleyebilirsiniz

NTFS İZİNLERİNDE İLERİ AYARLAR

Bir klasör veya dosyanın NTFS izinlerini(Security Permissions) konfigüre etmek için:

1.Dosya veya klasör üzerinde sağ tuşa basılır ve Properties’e tıklanır.

2.Security tabına geçilir ve aşağıdaki diyalog kutusu karşımıza gelir.

Group or User Names : Bu dosya veya klasör için permission atanmış kullanıcıların listesinin tutulduğu bölüm. İzinlerinde değişiklik yapacağınız kullanıcının üzerine mouse’u konumlandırmanız gerekir.

Permissions For :Allow veya Deny kutucuklarını seçerek izinlerin belirlendiği bölüm.

İzinlerde düzenleme yapmak için bu ekranda Edit butonuna basarak Permissions ekranına geçip bu ekrandaki seçenekleri açıklayalım:

Add :Select Users,Groups or Computers diyalog kutusunu açarak Group or User Names listesine eklemek istediğiniz kullanıcıların       listesini getirir.

Remove :Kullanıcı veya grubu,  izinleri ile birlikte listeden kaldırır.

Buraya kadarki kısımdan verdiğimiz izinlere Standart İzinler (Standard Permissions) adını veriyoruz.

Tekrar Security tabına geri dönüyoruz. Klasör üzerinde detaylı ve özel izin atamaları ve NTFS güvenlik izinleri ile ilgili ileri yapılandırmalar için dosya ya da klasörün sahipliğinin(ownership) belirlenmesi ve denetleme yani audit olaylarının yapılandırılması için Security tabında Advanced butonuna basıyoruz. Karşımıza aşağıdaki Advanced Security Settings for Users diyalog kutusu karşımıza çıkar.

Permissions tabından kullanıcılar ya da gruplar için özel (special) ve detaylı izin verebilirsiniz. Add butonu ile hak ataması yapılacak kullanıcılar eklenir. Ya da standart izin penceresinden eklenmiş kullanıcılar ya da gruplar seçilip Edit butonu ile de atanmış izinler için izleme ve üzerinde.değişiklik yapma sağlanabilir.

Disable Inheritance,  seçeneği alt klasör ve dosyalarda uygulanır ve amacı üst klasörlerden gelen miras izinlerin alt klasöre etki etmesini bloklamaktır. (Dikkat ederseniz üst klasör veya sürücüden gelen izinlerin kutucukları gri şekilde aktif değildir. Doğrudan o klasör üzerinden verilen izinlerde ise bütün kutucuklar aktif olarak üzerinde değişiklik yapılabilir.) Kısacası bu seçenek, yukarıdan miras olarak gelen izinleri reddetmek için kullanılır. Bu butona basıldığında gelen seçenekleri makalemizin ikinci bölümünde anlatmıştık. Disable Inheritance yapılan bir klasörde sonraki zamanlar için aşağıdaki şekilde görülen Enable Inheritance ile yukardan gelen izin mirası tekrar aktifleştirilebilir.

Replace all child object permission entries with inheritable permission entries from this object kutucuğu işaretlenirse bu klasörün altındaki alt klasör ve dosyalardaki verilmiş bütün izinler silinir ve üst klasöre ne izin verirsek o izin alt klasör ve dosyalara etki eder. Eğer alt klasör sahipleri, üst klasörlere atanan izinlerin kendilerine etki etmesini önlemek için, Disable Inheritance yaptıkları  durumda, üst klasör sahibi de, üst klasör veya sürücü üzerinde Replace all child object permission entries with inheritable permission entries from this object kutucuğunu işaretler ise alt klasör ve dosyalar üzerinde o anki mevcut izinler tamamen silinir ve üst klasör ve sürücüye atanmış izinler alttaki bütün klasör ve dosyalara  uygulanır. Kısacası bu seçenekle siz, ben yukardan ne izin verirsem o geçerli olsun, reddi miras yapan alt klasörler ve dosyalar varsa da onlara da zorunlu olarak yukardan izinleri miras olarak gönderir.

Auditing tabından bu klasör veya dosya üzerinde kim ne şekilde bir kullanım gerçekleştirmiş, bunların denetlemelerinin ayarı yapılır.

Örneğin paylaşımdaki bir klasörün içerisindeki bazı dosyalar bazı kullanıcılar tarafından siliniyorsa ve siz bu silmeyi kimin yaptığını bulmak istiyorsanız Auditing tam sizin ilacınız. Bu sekmeden ayarlama yapmadan önce eğer bilgisayarınız Workgroup ortamında çalışıyorsa Administrative Tools’dan Local Security Policy’ye girip Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy altından Audit Object Accessüzerine çift tıklayıp, başarılı olayları izlemek için Success, hataları izlemek için Failure kutucuklarını işaretleyin. Aynı ayarı eğer domain ortamında çalışıyorsanız, Domain Controller bilgisayarında  Administrative Tools’danDomain Controller Security Policy’ye girip Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy altından Audit Object Access ayarı ile yapabilirsiniz. Bu ayarı dosya sunucularına uygulamak için de dosya sunucularının bulunduğu organizational unit birimine bir GPO bağlayarak Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy altından bu ayarı burdan aktif hale getirebilirsiniz.

Bu yapılan ayar gerek local bilgisayar gerekse domain ortamında auditing sürecini başlattı. Bundan sonra yapılması gereken, hangi klasör ya da dosyalar üzerinde hangi seviyede izlemenin (aufiting) yapılacağıdır ki bunun da yapılacağı yer dosya ve klasörler üzerinde Security tabındaki Advanced butonuna basılarak girilen Auditing tabıdır.

Auditing tabında izleme yapılacak kullanıcı ya da grubu eklemek için Add butonuna basılıp istenilen kullanıcı ya da grup eklendiğinde aşağıdaki diyalog kutusu karşımıza gelir:

        

Burada Type altında üç seçenek gelir: All, Success ve Fail. Bu klasörün içeriğinin silinmesi hakkında başarılı veya başarısız olayları izlemek istiyorsanız,  Type listesinde All seçili iken  Advanced Permissions listedinden de Delete kutucuklarını aşağıdaki şekilde olduğu gibi doldurmaktır.

Bu olayların izlenmesi Event Viewer’dan Security bölümünden yapılır.

Owner seçeneğinde ise bu klasör veya dosyanın sahibi olan kişileri görüyorsunuz.

Administrator kullanıcısı bu tabı kullanarak, izni olmadığı klasör ve dosyaların sahipliğini buradan alıp, daha sonra klasör veya dosyaya erişim yapabilir.

Sahiplik vermek istediğiniz kullanıcıyı ya da grubu Change linkine tıklayarak ekledikten sonra yukarıdaki şekilde gelen ekranda Replace owner on subcontainers and objects kutucuğu gelir. Bu kutucuk işaretlenirse kullanıcı ya da grup klasörün altındaki alt klasörlerin ve dosyaların da sahipliğini almış olur. Sıradan, diğer kullanıcılara bu klasörün sahipliğini vermek için ise Permissions listesinde gelen “Take Ownership” kutucuğunun doldurulması yeterlidir.

Administrators grubunun her üyesi istediği klasörün ve dosyanın sahipliğini almaya yetkilidir.

NTFS İZİN ATAMALARI İÇİN ÖNERİLER

 

·                     İzin atamalarını kullanıcı yerine gruplara yapın. Çünkü kullanıcıların ayrı ayrı kontrolü zordur.

·                     Deny iznini sadece aşağıdaki durumlarda kullanın

Ø  Grubun içerisinden belli bir kesimin Allow iznini kaldırmak için,

Ø  Bir kullanıcı veya gruba atanmış Full Control izninin içerisindeki bir alt izni kaldırmak için,

·                     Eğer mümkünse, dosya sistemi nesneleri için, örneğin sistem klasörleri veya kök dizinler, varsayılan izinleri değiştirmeyin. Varsayılan izinlerin değiştirilmesi bazen beklenmedik erişim problemlerine veya güvenliğin azalmasına neden olabilir.

·                     Bir nesne üzerinde hiçbir zaman Everyone grubuna Deny izni vermeyin. Eğer Everyone grubuna Deny izni verirseniz, Administrator erişimini de kısıtlamış olursunuz. Bunun yerine, Everyone grubunu listeden kaldırın ve sadece erişim izni vereceğiniz kullanıcı ve grupları ekleyin.

·                     İzin atamalarında her zaman mümkün olduğunca en üstteki objeden başlayın. Çünkü üstten verilen izinler miras yoluyla en alttaki birimlere gideceği için, alt birimlere yeniden vermek zorunda kalmazsınız.

·                     Yönetimi kolaylaştırmak için, dosyaları fonksiyonuna göre ayrı klasörlere ayırın. Örneğin, program dosyalarını bir klasöre koyun, kullanıcıların home folder’larını bir klasöre koyun, bütün kullanıcıların ortaklaşa kullanacakları bilgi ve belgeleri bir klasöre koyun.

·                     Uygulama klasörlerine Users ve Administrators grupları için Read & Execute izni verin. Böylece, verilerin ve uygulama dosyalarının kullanıcılar ya da virüsler tarafından kazara silinmesi veya zarar görmeleri önlenmiş olur.

·                     İzin atamalarında sadece gerektiği kadar izin verin, gereğinden fazla izin atamasından kaçının. Örneğin, bir kullanıcı bir dosya için okuma iznine sahip olmak istiyorsa, kullanıcıya veya kullanıcının üye olduğu gruba sadece Read iznini atayın.

 

EFFECTIVE ACCESS (ETKİN İZİNLER)

 

Farzedelim ki bir kullanıcıya bir klasör üzerinde bir izin atadınız, kullanıcının üye olduğu birkaç tane gruba da ayrı ayrı farklı kategorilerde izinleri aynı klasör üzerinde uyguladınız. Ve sonuç olarak kullanıcı için geçerli olan toplam izni bulmak istiyorsunuz. İşte Effective Access tabı bu bilgiyi elde etmek için biçilmiş kaftan. İlk olarak Windows 2003 ile Effective Permissions olarak gelen bu özellik zaman içerisinde isim değiştirerek Effective Access oldu.

Eskiden Microsoft’un Kit Araçları ya da üçüncü parti programları ile yaptığımız kullanıcının toplam iznini bulmak artık Windows Server işletim sistemleri üzerinde hazır geliyor. Kısacası Effective Access tabı, eğer kullanıcının kendisine ayrı, üye olduğu gruplara ayrı bir NTFS izin ataması yaparsanız, kullanıcıya birden fazla yerden izin ataması yapılmış olur. İşte bu sekme eklenen kullanıcı ya da gruplar için toplam izinlerin listesini detaylı olarak getirir.

 

Bunu bir uygulama ile görelim:

1.   NTFS  sürücünüze gelin.

2.   “Teknik” isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

3.   Security tabına  tıklayın.

4.   Varsayılan gelen izinleri kaldırın.

5.   Add butonuna tıklayın ve listeden Mesut kullanıcısı ile YAZAR grubunu ekleyin ve aşağıdaki tabloya göre izinleri verin.

 

YAZAR grubu

Full Control

Mesut

Read

 

6.   Apply ile onaylayın. Ve Advanced butonuna tıklayıp Effective Access tabına geçin.

 

7.   Select a user bağlantısına tıklayıp Mesut kullanıcısını seçin ve OK ile onaylayın.

8.   Üye olduğu grupları da Include group membership karşısındaki Add Items ile ekleyerek ilave edin. Alt kısımda gelen View Effective Access butonuna tıklayın.

 

 

9.   Alt kısımdan kullanıcının toplam izinleri listelenmiş olacaktır.

 

 

10.Effective Access tabında yine Windows Server 2012 ve Windows Server 2012 R2 dosya sunucuları için dinamik erişim kontrol (dynamic Access control) çözümü ve yapılandırması yapılmış ise toplam izinleri hesaplarken o alandaki kuralları da hesaba katarak hesaplama yapmasını isterseniz Include user claim ya da Include device claim bağlantılarını da kullanabilirsiniz. Dinamik erişim kontrolünü tüm detaylarıyla önümüzdeki makalelerde ele alıyor olacağız.

 

NTFS İZİNLERİNİN KARAKTERİSTİKLERİ

NTFS izinlerinde dikkate alınması gerekn belli kurallar vardır:

 

·                     Dosya izinleri klasör izinlerinin üstündedir.(File permissons override folder permissions). Yani klasöre ayrı, o klasör içerisindeki dosyaya ayrı izin verirseniz dosyaya verilen izin daha üstündür. Dolayısıyla kullanıcının klasör üzerinde Read izni olmasına rağmen dosya üzerinde Full Control vermişsek, klasörü Read izni ile açar ve sadece okuma yapar. Dosyayı ise tam yetki ile açarak her türlü erişimi sağlar.

 

·                     Deny izni her zaman bütün izinlerden üstündür.(Deny overrides all other permissions). Bir kullanıcının kendisine bir klasör veya dosya için erişim hakkı verilmiş olmasına rağmen eğer o kullanıcı için kendisine veya üye olduğu gruplara klasör veya dosya için herhangi bir yerden “Deny” hakkı geliyorsa ,      “Deny” hakkı geçerlidir. Örneğin, kullanıcıya bir klasör için Full Control hakkı verip, kullanıcının üye olduğu gruba da Deny hakkı verirseniz bu durumda kullanıcının o klasör için geçerli olan hakkı Deny’dır.

 

·         Bir kullanıcıya bir kaynak için erişim hakkı vermek istemiyorsanız burada iki yol vardır. Birincisi ya o kullanıcı veya kullanıcının üye olduğu grubu ACL(Access Control List) listesine yani izin listesine eklemeyeceksiniz veya ekleyip bütün haklarında Deny kutucuğunu işaretliyeceksiniz.

 

NTFS ve PAYLAŞIM İZİNLERİNİN KOMBİNASYONU

NTFS izinlerin sadece NTFS formatlı volumelerde uygulanabildiğini, buna karşılık paylaşım İzinlerinin (Share Permissions), hem FAT hem de NTFS formatlı volumelerde uygulanabildiğini daha önceden görmüştük. Bir kullanıcı veya gruba bir kaynak için hem paylaşım izinlerinden hem de NTFS izinlerinden izin ataması yapılırsa bu durumda iki taraftan gelen izinler karşılaştırılır ve aralarında EN KISITLAYICI (MOST RESTRICTIVE) olan izin geçerlidir. Mesela, Share permissionlardan kullanıcıya Read hakkı verdiniz, NTFS permissionlardan da Full Control hakkı verdiniz. Bu durumda Read ile Full Control izinleri karşılaştırılır ve en kısıtlayıcı olan hak yani “Read” hakkı geçerlidir.

Şimdi bunu bir uygulama ile görelim:

1.   Administrative Tools’dan Computer Management’ı açın.

2.   Local Users and Groups’a gelin.

3.   Can isimli bir kullanıcı açın. Kullanıcı özelliklerini varsayılan halinde bırakın.

4.   NTFS sürücünüze gelin.

5.   Efsane isimli bir klasör oluşturun ve aynı isimle paylaşıma açın.

6.   Sharing tabında Advanced Sharing altından Permissions’a tıklayın.

7.   Varsayılan olarak gelen izin olan Everyone:Read iznini Remove butonuna tıklayarak kaldırın.

8.   Add butonuna tıklayın ve listeden Can isimli kullanıcıyı ekleyin ve sadece Read hakkının Allow kutusunu işaretleyin, diğer bütün kutucukları temizleyin.

9.   Apply ile onaylayın.

10.Security tabına  tıklayın.

11.Edit butonuna tıklayarak izinleri düzenleme ekranına geçin ve varsayılan olarak gelen izinleri kaldırın. Yine Advanced ile ileri izin atamaları ekranında Disable Inheritance ile izin mirasını da kaldırın.

12.Add butonuna tıklayın ve listeden Can kullanıcısını ekleyin ve bütün izinler için Full Control izni verin.

13.OK ile onaylayın.

14.Logoff olun ve Can ile logon olun.

15.Start menüden Run’a gelin ve \\bilgisayaradi yazin.

16.Efsane üzerine çift tıklayın.

17.Klasörü açtığınızı göreceksiniz. Klasör içerisinde bir adet klasör ve dosya açmayı deneyin ve açamadığınızı görün. Çünkü Can kullanıcısına Sharing tabındaki Permissions bölümünden Read, Security tabındaki permission bölümünden de Full Control izni verdiğimizden dolayı, ikisinin kombinasyonunda en kısıtlayıcı olan izin yani Read geçerlidir. Dolayısıyla Can kullanıcısı, efsane klasöründe sadece okuma yapabilir, klasör içine herhangi bir ekleme ve çıkarma yapamaz.

 

NOT: Can ile logon durumda iken File Explorer kullanılarak yerel bilgisayardan efsane klasörüne girerseniz Full Control izninin geçerli olduğunu göreceksiniz. Çünkü paylaşım izinleri yerel bilgisayardan yapılan erişimlere etki etmediği için paylaşım izinlerinden verilen Read izninin hiçbir etkisi olmaz.

 

KOPYALAMA VE TAŞIMADA GÜVENLİK (NTFS) İZİNLER

 

Bir klasörü veya dosyayı bir yerden başka bir yere kopyaladığınızda veya taşıdığınızda taşınan yerin konumuna göre taşımadan sonra izinlerin de durumu değişecektir. Şimdi bu durumları ayrı ayrı inceleyelim.

Aynı Partition ya da Volume İçerisinde Kopyalama     

Bir klasörü veya dosyayı aynı NTFS partition ya da volume’de bir yerden başka bir yere kopyalarsanız gittiği yerin haklarını alır. (Inherit destination permissions) ve orijinal haklarını kaybeder. (Discard original permissions).

Aynı Partition ya da Volume İçerisinde Taşıma              

Bir klasörü veya dosyayı aynı NTFS partition ya da volume’de bir yerden başka bir yere taşırsanız haklarını da beraberinde götürür.(Retain/Keep permissons)

 

NTFS Partition ya da Volume’ler Arası  Kopyalama ve Taşıma 

Bir klasörü veya dosyayı bir NTFS partition ya da volume’den başka bir NTFS partition’a kopyalarsanız veya taşırsanız her iki durumda da gittiği yerin haklarını alır.(Inherit destination permissions)

NTFS – FAT Partition ya da Volume’ler Arası  Kopyalama ve Taşıma     

Bir klasörü veya dosyayı bir NTFS partition ya da volume’den FAT partition’a taşıma veya kopyalama yaparsanız bütün NTFS izinleri kaybolur. Çünkü NTFS izinler sadece NTFS partition ya da volumelerde geçerlidir.

NOT:Bir klasör veya dosyayı NTFS partition ya da volume içerisinde veya NTFS partitionlar ya da volümeler arası kopyalamak için hedef klasör için(taşımanın yapılacağı yeni klasör) Write,  kaynak yani şu anki bulunulan klasör veya dosya için ise Read haklarına sahip olunması gerekir.

 

Sonuç Olarak;

Üç bölümden oluşacak bu makale serimizde sistem yöneticileri için temel konulardan biri olan kurum ve kuruluşların ağ ortamlarında bulunan dosya sunucularında (file server)  “Paylaşım, Güvenlik İzinleri ve Uygulamaları” konusunu detaylı olarak ele almaya gayret ettik. Yeni makalelerde yepyeni paylaşımlarla görüşmek dileğiyle, esenkalın.

Exit mobile version