Aktif Dizin Yetki Devri

Kurumlarda merkezi yönetimi kolaylaştırmak ve kurum içindeki sistemlerin güvenliğini sağlamak amacıyla Microsoft tarafından sunulan Etki Alanı (Domain) yapısı kullanılmaktadır. Etki alanının yönetimi sırasında bazı operasyonlar farklı kişilerce yapılması isteebilmektedir. Bunun yanında bazı kişilerin Aktif Dizin üzerinde kısıtlı işlem yapması için yetki devri yapılabilir. Bu yazıda Aktif Dizin üzerinde yetki devri konusu incelenecektir.

Aktif Dizin izinlerini kurcalamak biraz kafa karıştırıcı olabilir. Bazen neye nasıl izin atanacağı içinden çıkılmaz hale gelebilir. Bunun için en sık rastanılan ve uygun alanlarda uygun izinlerin verilebilmesine yardımcı olan Aktif Dizin Yetki Devri Kontrolü Sihirbazı oluşturulmuştur. Bu sihirbaz aracılığıyla Aktif Dizin ortamında en sık ihtiyaç duyulan izinler istenilen Organizationan Unit (OU) üzerine uygulanır. Böylece kafa karıştırıcı olabilen çok sayıda izin yapılandırmaları sihirbaz tarafından ilgili alana atanır.

İstenilen kullanıcı yada kullanıcı grubuna istenilen Organizational Unit üzerinde yetki devredilebilir. Bunun için ilgili OU üzerinde sağa tıklanır ve Delegate Control seçeneği seçilir. Sonrasında Next tuşu ile yetki devredilecek kullanıcı veya grubun seçilmesi istenir. Sonraki pencerede ise devredilecek yetkinin seçilmesi istenir. Devredilebilecek yetkiler arasında;

  • Kullanıcı hesaplarının oluşturulması, silinmesi ve yönetilmesi
  • Kullanıcı hesaplarının parolasının sıfırlanması
  • Tüm kullanıcı bilgilerinin okunabilmesi
  • Grupların silinip, oluşturulabilmesi
  • Grup ilkelerinin yönetilebilmesi
  • Grup üyeliklerinin yönetilebilmesi

gibi ve çok daha fazla sayıda yetki devredilebilmektedir. Yetki Devri Kontrolü Sihirbazı’nın bu işlem sonucunda yaptığı iş yalnızca ilgili OU üzerinde ilgili kullanıcı yada grubu ilgili izinlerin atanmasıdır. Böylece izin atama işlemi kolayca yerine getirilmiş olur. Aktif Dizin Yetki Devri Sihirbazı ile izin atama esnasında dikkatli davranılması gerekmektedir. Bu şekilde atanan izinleri geri almak gibi bir seçenek mevcut değildir. Bu izinler kaldırılmak istenirse, ilgili alandaki nesnelerin Properties alanından Security sekmesi seçilerek tek tek kaldırılması gerekebilir. Bir diğer yol, uygun komut satırı parametrelerinin kullanılarak kaldırılmasıdır.

delegation-of-administration-on-active-directory-01

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.