Salt Okunur Etki Alanı Denetleyicileri’nde (Read-Only Domain Controllers – RODCs) Belirlenen Özellikler İçin Replikasyonun Engellenmesi

Salt okunur etki alanı denetleyicileri üzerinde replike edilmemesi istenen bilgiler filtrelenmelidir. Örneğin, kullanıcıların bölüm / departman bilgileri salt okunur etki alanı denetleyicileri üzerinde tutulmayabilir. Böylece salt okunur etki alanı denetleyicileri bir saldırgan tarafından ele geçirilse bile etki alanındaki kullanıcıların bölüm / departman bilgileri kaybedilmeyecektir. Bu yazıda, RODC üzerinde bulundurulmaması istenen belirli bir özelliğin replikasyonu nasıl iptal edileceği incelenecektir.

1) DC Üzerinde Bir Kullanıcının Oda Numarasının Belirlenmesi

Öncelikle, DC üzerinde, Active Directory Users and Computers konsolu açılır.

Şekil - 1: Active Directory Users and Computers Konsolunun Açılması

Şekil – 1: Active Directory Users and Computers Konsolunun Açılması

 

İşlemleri gerçekleştirmeden önce, Active Directory Users and Computers konsolunda gelişmiş görünüm ayarlarına geçilir.

Şekil - 2: Active Directory Users and Computers Konsolunda Gelişmiş Görünüme Geçilmesi

Şekil – 2: Active Directory Users and Computers Konsolunda Gelişmiş Görünüme Geçilmesi

 

Daha önceki uygulamalarda oluşturulan Rasim Hakbilen kullanıcısının özellikleri açılır.

Şekil - 3: Rasim Hakbilen Kullanıcısının Özelliklerinin Açılması

Şekil – 3: Rasim Hakbilen Kullanıcısının Özelliklerinin Açılması

 

Bu kullanıcının oda numarasına bir değer atanır.

Şekil - 4: Rasim Hakbilen Kullanıcısının Özelliklerinin İncelenmesi

Şekil – 4: Rasim Hakbilen Kullanıcısının Özelliklerinin İncelenmesi

 

Uygulama için oda numarası 300 olarak ayarlanır.

Şekil - 5: Rasim Hakbilen Kullanıcısının Oda Numarasının Ayarlanması

Şekil – 5: Rasim Hakbilen Kullanıcısının Oda Numarasının Ayarlanması

 

Yapılan işlem kaydedilir.

Şekil - 6: Değişiklik Sonrasında Rasim Hakbilen Kullanıcısının Özelliklerinin İncelenmesi

Şekil – 6: Değişiklik Sonrasında Rasim Hakbilen Kullanıcısının Özelliklerinin İncelenmesi

 

2) Gerçekleştirilen İşlemin RODC Üzerinde Kontrolü

RODC üzerinde Rasim Hakbilen kullanıcısının oda numarasının görülebildiği incelenecektir. Bu amaçla RODC üzerinde Active Directory Users and Computers konsolu, DC üzerinde gerçekleştirildiği gibi, açılır ve gelişmiş görünüm ayarlarına geçilir.

Kullanıcı özellikleri incelendiğinde kullanıcının oda numarasının RODC üzerine kopyalandığı görülmektedir.

Şekil - 7: Rasim Hakbilen Kullanıcısının Özelliklerinin RODC Üzerinde İncelenmesi

Şekil – 7: Rasim Hakbilen Kullanıcısının Özelliklerinin RODC Üzerinde İncelenmesi

 

3) DC Üzerinde Oda Numarası Değerinin Replikasyonunun Engellenmesi

Öncelikle, DC üzerinde, Başlat üzerine tıklayarak “ADSI Edit” yazılmalı ve ADSI Edit uygulaması çalıştırılmalıdır. İlgili adıma ait ekran görüntüsü aşağıda verilmiştir.

Şekil - 8: ADSI Edit Uygulamasının Çalıştırılması

Şekil – 8: ADSI Edit Uygulamasının Çalıştırılması

 

Daha sonra ADSI Edit uygulaması üzerinde Action > Connect to… seçeneğine tıklanmalıdır.

Şekil - 9: Veritabanına Bağlantının Kurulması

Şekil – 9: Veritabanına Bağlantının Kurulması

 

Bu adımdan sonra kullanıcı karşısına aşağıdaki ekran gelecektir. Bu ekranda Şema Bölümü seçilir.

Şekil - 10: Şema Bölümünün Seçimi

Şekil – 10: Şema Bölümünün Seçimi

 

Bu seçim yapılıp bağlantı sağlandıktan sonra aşağıdaki ekrandan örnek olarak oda numarası (roomNumber) seçilir ve sağ tıklanarak özellikleri açılır.

Şekil - 11: Replikasyonu Engellenecek Özelliğin Seçilmesi

Şekil – 11: Replikasyonu Engellenecek Özelliğin Seçilmesi

 

Tam yetki verildikten sonra (Administrator kullanıcısı varsayılan olarak, Schema Admins grubunda olduğu için herhangi bir işlem yapmaya gerek yoktur), nesne özellikleri incelenir. Oda numarası özelliği için searchFlags değişkeninin ilk halinin 0 olduğu görülmektedir.

Şekil - 12: SearchFlags Özelliğinin İlk Hali

Şekil – 12: SearchFlags Özelliğinin İlk Hali

 

Bu değer 640 olarak değiştirilir.

Şekil - 13: SearchFlags Özelliğine Değer Atama

Şekil – 13: SearchFlags Özelliğine Değer Atama

 

Yukarıda searchFlags özelliğine decimal(onluk sistem) olarak 640 değeri atandığı zaman aslında searchFlags’in 7. ve 10. bitleri 1 yapılmış olur. Bu değerler sonucunda nesnelere ait searchFlag özelliği RODC sunucular arasında replike olmayacak şekilde değiştirilmiş olur. Son durumda searchFlag özelliğinin görünümü aşağıdaki gibi olacaktır.

Şekil - 14: searchFlags Özelliğinin Son Hali

Şekil – 14: searchFlags Özelliğinin Son Hali

 

4) RODC Üzerinde Oda Numarası Değerinin İncelenmesi

RODC üzerinde Rasim Hakbilen kullanıcısının oda numarasının görüntülemediği incelenecektir. Bu amaçla RODC üzerinde Active Directory Users and Computers konsolu, DC üzerinde gerçekleştirildiği gibi, açılır ve gelişmiş görünüm ayarlarına geçilir.

Kullanıcı özellikleri incelendiğinde kullanıcının oda numarasının RODC üzerine kopyalanmadığı görülmektedir.

Şekil - 15: İşlem Sonrasında Rasim Hakbilen Kullanıcısının Özelliklerinin RODC Üzerinde İncelenmesi

Şekil – 15: İşlem Sonrasında Rasim Hakbilen Kullanıcısının Özelliklerinin RODC Üzerinde İncelenmesi

 

Ek Bilgi: ShemaFlagEx

DC üzerinde bazı özelliklerin replikasyonu engellenemeyebilir. Sokak adını özelliğini buna örnek olarak gösterebiliriz. Bu özelliklerin bir kısmı LDP aracı kullanılarak replikasyonun engellenmesi sağlanabilir. Bu amaçla, DC üzerinde ADSI Edit açılıp, Şema Bölümü açıldıktan sonra, aşağıdaki ekrandan örnek olarak sokak adı (Street-Adress) seçilir ve sağ tıklanarak özellikleri açılır.

Şekil - 16: Örnek Bir Attribute Seçilmesi

Şekil – 16: Örnek Bir Attribute Seçilmesi

 

Tam yetki verildikten sonra(Administrator kullanıcısı varsayılan olarak, Schema Admins grubunda olduğu için herhangi bir işlem yapmaya gerek yoktur), nesne özellikleri incelenir. Sokak adı özelliği için searchFlags değişkeninin ilk halinin 0 olduğu görülmektedir. (SchemaFlagEx özelliğinin “1” olarak ayarlandığı görülmektedir.)

Şekil - 17: SearchFlags Özelliğinin İlk Hali

Şekil – 17: SearchFlags Özelliğinin İlk Hali

 

Bu değer 640 olarak değiştirilir.

Şekil - 18: SearchFlags Özelliğine Değer Atama

Şekil – 18: SearchFlags Özelliğine Değer Atama

 

Değişiklik onaylanır.

Şekil - 19: searchFlags Özelliğinin Son Hali

Şekil – 19: searchFlags Özelliğinin Son Hali

 

Ancak bir hata mesajı ile karşılaşılmaktadır. Şemanın değiştirilmesinin izin verilmediği görülmektedir.

Şekil - 20: Değişikliğe Ait Hata Mesajı

Şekil – 20: Değişikliğe Ait Hata Mesajı

 

Bu hata alınması durumunda LDP aracı kullanılarak searchFlags değeri değiştirilebilir. Ayrıntılı bilgi için bakınız:

http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/bedff39c-2480-49a6-b148-0e8af1960c67

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.