Microsoft Domain Environment

Microsoft Ortamında Kullanıcı, Bilgisayar ve Grup Kavramları

Yazarı:

16/06/2015

953

views

Microsoft ortamındaki temel varlıklar/nesneler 3 gruba ayrılabilir: Kullanıcılar, Bilgisayarlar ve Gruplar. Bu yazıda kullanıcı, bilgisayar ve grup kavramları incelenecektir.

1) Kullanıcılar ve Bilgisayarlar

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Kullanıcı; bir bilgisayarda oturum açabilen herhangi bir varlıktır. Temelde tüm güvenlik prensipleri de kullanıcılarla ilişkilidir. Windows işletim sistemlerinde iki türde kullanıcı olabilir, yerel (local) ve etki alanı (domain) kullanıcıları. Yerel bir kullanıcı bilgisayarda Security Accounts Manager (SAM) veri tabanında (Windows\system32\config\SAM) tanımlıdır. Windows temelli tüm bilgisayarlarda ilgili bilgisayardaki kullanıcıları içeren yerel bir SAM veritabanı bulunmaktadır. SAM ile ilgili ayrıntılı bilgi daha sonra verilecektir.

Genellikle etki alanı denetleyicilerinde (DC) yerel SAM veri tabanının bulunmadığı ve bu nedenle yerel kullanıcısının bulunmadığı düşünülür fakat bu yanlış bir bilgidir. Etki alanı denetleyicisi dahi olsa, yerel bir SAM veritabanı vardır ve bu veri tabanında bulunan kullanıcılar yalnızca Directory Services Restore Mode’da kullanılabilir. Varsayılan olarak yerel SAM veri tabanında Administrator ve Guest olarak iki kullanıcı hesabı bulunmaktadır. Guest hesabı varsayılan olarak devre dışı olarak yer almaktadır.

Windows Server 2008 sürümünde Administrator hesabı varsayılan olarak etkin halde gelmektedir ve sisteme ilk kez oturum açmakta kullanılır. Windows Vista sürümünde ise Administrator hesabı varsayılan olarak devre dışı gelmektedir ve ihtiyaç duyulması halinde nadiren etkin olarak kullanılır.

Yönetimsel işlemleri gerçekleştirecek her bir yönetici için ayrı bir hesap oluşturulması ve bu hesaplar hesabı kullanacak personelin ismine göre düzenlenmesi tavsiye edilmektedir. Her bir yöneticinin ayrıca bir de normal kullanıcı hesabı olmalıdır ve yönetimsel işlemlere ihtiyaç duyulmadığında bu normal hesabı ile çalışması önerilmektedir.

Diğer hesap türü olan etki alanı kullanıcısı ise yalnızca bir etki alanının kurulu olduğu ortamlarda tanımlıdır ve yerel hesaplar ile karşılaştırıldığında oldukça fazla sayıda özelliği bünyesinde barındırmaktadır. Örnek olarak telefon numaraları, e-posta hesapları, kurum bilgileri gibi. Etki alanı hesaplarına ayrıca ağ üzerindeki kaynaklara erişebilme hakkı tanımlanabilir. Ayrıca etki alanı hesapları ağ yönetim işini kolaylaştırır. Etki alanı kullanıcı bilgileri, etki alanı denetleyicisi üzerindeki NTDS (Windows\NTDS\ntds.dit) dosyasında saklanır.

Bir bilgisayar Aktif Dizin ortamında başka bir kullanıcı türü olarak tanımlanmaktadır. Bu, Aktif Dizin’in gerçekleştiriminde kullanılan kalıtım nedeniyle gerçekleşir. Bir bilgisayar kullanıcı sınıfından kalıtlayan bir nesnedir. Tüm nesneler üst sınıfından türemiştir ve bilgisayar nesneleri de kullanıcı sınıfından türemiştir.

Windows işletim sisteminde kullanıcı işlemleri için “net” komut satırı aracı kullanılabilir. “net” aracının “user” parametresi ile ilgili kullanımı hakkında ayrıntılı bilgi için aşağıdaki komut kullanılmalıdır.

net help user

Yerel bilgisayardaki kullanıcıları listelemek için aşağıdaki komut kullanılmalıdır.

net user

Yerel kullanıcılardan birisi (“Yonetici”) hakkında ayrıntılı bilgi için aşağıdaki komut kullanılmalıdır.

net user Yonetici

Bir kullanıcı eklemek için aşağıdaki komut kullanılmalıdır.

net user test Aa123456 /add

Mevcut kullanıcıyı silmek için aşağıdaki komut kullanılmalıdır.

net user test /del

2) Gruplar

Herhangi bir nedenle bir nesneye erişmek istenildiğinde işletim sistemi erişilmeye çalışılan nesne üzerinde erişmeye çalışan nesnenin izninin olup olmadığı kontrol edilir. İşletim sistemlerinin ilk tasarımlarında nesneler üzerinde her bir kullanıcıya tek tek izin atamasında bulunuyordu. Fakat bu işlemin kullanıcı sayısının arttığı durumlarda yönetilmesinin imkansız olduğu görüldü ve bundan sonra izinler kişilerden ziyade kullanıcılara atanmaya başlandı.

Gruplara kullanıcı üyeliği sağlanmasıyla da bu problem ortadan kaldırıldı. Bir gruba kullanıcılardan başka nesnelerin de üye yapılabileceği akılda bulundurulmalıdır. Hatta gruplar da birbirlerine üye olup üyelikten çıkarılabilirler.

Etki alanı denetleyicisi (DC) olmayan bilgisayarlarda iki türde grup vardır. İlki işletim sistemi kurulduğunda dahili olarak gelen yerleşik (built-in) gruplar, diğeri ise sonradan yöneticiler tarafından oluşturulan gruplar.

Aktif Dizin’de ise altı farklı grup türü olduğunu söylenebilir. Bunlar: Aktif Dizin rolü yüklendiğinde dahili olarak gelen Domain Local, Global ve Universal gruplar ve sonradan yöneticiler tarafından oluşturulan Domain Local, Global ve Universal gruplardır.

Domain Local gruplarına yalnızca oluşturuldukları etki alanlarında izin atamasında bulunulabilir fakat, güven ilişkisi (trust relationship) kurulmuş başka bir etki alanından Universal grupların, Global grupların veya kullanıcıların Domain Local gruplarına üye olabilirler. Aynı etki alanında bulunan başka bir Domain Local grubunun da üyeliği kabul edilecektir.
Bir Global grup ise yalnızca oluşturulduğu etki alanındaki kullanıcıların üyeliklerini kabul eder. Fakat orman (forest) ortamındaki herhangi bir etki alanındaki kaynağa izin atamasında kullanılabilirler.
Universal gruplar ise orman ortamındaki herhangi bir kullanıcı ya da Global Grup üyeliğini kabul edecektir.

Bunun yanında Security ve Distribution olmak üzere 2 grup kapsamı vardır. Security grupları ise herhangi bir kaynak üzerinde izin atamasında bulunulabilen grup türünü tanımlar. Distribution gruplarına ise herhangi bir izin atamasında bulunulamaz. Distribution gruplar genellikle Exchange tarafından e-posta dağıtım listeleri olarak kullanılır. E-posta dağıtım grubu olarak Global Security gruplar da artık kullanılabilmektedir.

Windows işletim sisteminde grup işlemleri için “net” komut satırı aracı kullanılabilir. “net” aracının “localgroup” parametresi ile ilgili kullanımı hakkında ayrıntılı bilgi için aşağıdaki komut kullanılmalıdır.