KULLANICILAR (USERS)
Kullanıcı hesapları 3 tiptedir.
1. Local User Accounts (Yerel Kullanıcı Hesapları) : Workgroup ya da domain member serverlarda o makineye locale logon olabilmek ve dolayısıyla o bilgisayarın yerel kaynaklarını kullanabilmek için SAM veri tabanında oluşturulması gereken hesaplardır.
2. Domain User Accounts (Domain Kullanıcı Hesapları) : Domain`nin kaynaklarının kullanılmasını sağlamak için Active Directory`de oluşturulan hesaplardır.
3. Built-in User Accounts (Yerleşik Kullanıcı Hesapları) : Gerek Windows kurulurken, gerekse Active Directory kurulurken, kurulum programları tarafından oluşturulan hesaplardır. Administrator ve Guest hesapları hem SAM`da hem de Active Directory`de otomatik olarak oluşturulan yerleşik hesaplardır ve silinemezler. Administrator hesabı yönetimsel görevleri yerine getirmek için, Guest hesabı da çeşitli durumlarda geçici olarak network kaynaklarına erişimi sağlamak için kullanılır.
Kullanıcı Hesaplarının Oluşturulması
İsimlendirme Kuralları
Logon Name : Tek (unique) olmak zorudadır. İki tip logon ismi mevcuttur.
Domainadı\kullanıcıadı : Domain içinde tek olmalıdır.
Kullanıcıadı@domainadı : Forest içerisinde tek olmalıdır.
Kullanıcının domaine logon olabilmesi için önceden o kullanıcı user account`un açılması gerekir. Logon isimleri aynı olmamalıdır.
Domain hesaplarında full name (tam ad) da aynı olmamalıdır.
Logon isimleri en fazla 20 karakter olabilir. Büyük küçük farketmez.
Logon isimlerinde aşağıdaki karakterler kullanılamaz.
“/ \ [ ] : ; | = , + * ? < >
Paralola (Password) Kuralları
Active Directory`de oluşturulacak domain hesaplarının yetkisiz kişiler tarafından kullanımını engellemek için her hesabın bir password`ü olmalıdır.
Password`lar en fazla 128 karakter olabilir.
Büyük küçük harf ve özel karakterlerin karışımı şeklinde olabilir.
Kullanıcı Hesaplarının (User Accounts) Tanımlanması
- Local User Accounts
Kullanıcı logon olup sistemdeki bir bilgisayarda bulunan kaynaklara erişebilir.
Computer Manament da oluşturulurlar. SAM içerisinde tutulurlar.
- Domain User Accounts
Kullanıcı logon olup domain içerisindeki kaynaklardan faydanlanabilir.
Active Directory`de tutulurlar. Active Directory Users and Computers`da oluşturulurlar.
- Built-in User Accounts (Yerleşik Kullanıcı Hesapları)
Yönetimsel işleri yaparlar.
Local Built-in User Accounts SAM içinde tutulur.
Domain Built-in User Accounts Active Directory içerisinde tutulurlar.
GRUPLAR (GROUPS)
Kullanıcı hesaplarını bir araya toplayarak, yönetimi ve sistemde bulunan paylaştırılmış kaynaklara ulaşmayı kolaylaştıran nesnelere grup denir. ,
Bir kaynak için bir gruba erişim hakkı tanıdığınız zaman, bu kaynaktan grup içierisindeki tüm kullanıcılar etkilenecektir. Yani bir kaynak için kullanıcılara tek tek hak ataması yapmak yerine, bu kullanıcıları bir gruba katmanız ve gruba hak ataması yapmanız daha kolaydır.
Lokal Gruplar
Lokal gruplar SAM içerisinde tutulur. Sadece lokal kullanıcı hesaplarını ve lokal bilgisayar hesaplarını içerir. Bir local grup başka bir local grubun üyesi olamaz.
Bir lokal gruba herhangi bir kaynak için hak ataması yapıldığı zaman bu hak sadece locak grubun yeraldığı bilgisayar için geçerlidir. Bir local grup domain içerisinde etkin değildir.
Local grupları oluşturabilmek için Administrators ya da Power Users grubuna üye olmak gerekir.
Yerleşik (Built-in) Local Gruplar
Yerleşik lokal gruplar işletim sisteminin kurulması sırasında otomatik olarak oluşturulurlar. Bu grupların çeşitli görevleri vardır. Silinemezler. Administrators, Power Users, Backup operators, Guests gibi.
Domain İçerisindeki Yerleşik Gruplar
Domain Controler üzerindedir. Active Directory kurulurken otomatik olarak oluşturulurlar. Active Directory Users and Computers içerisinde Built-in OU`su içerisinde bulunurlar. Önceden belirlenmiş haklara sahiptir.
Grup Tipleri ve Kapsamları
Domain ortamında gruplar grup tiplerine ve kapsamlarına göre ayrım gösterir.
Grup Tipleri (Group Type )
Grup tipleri, grupların ne tür görevlerde kullanıldığına göre değişir.
- Security Grupları : Bir kaynak üzerinde izin ataması yapmak ve birden fazla kullanıcıya mail göndermek amacıyla kullanılır.
- Distrubution Grupları : bu gruplar sadece, aynı anda birden fazla kullanıcıya mail göndermek amacıyla kullanılır. Bu tür gruplara izin ataması yapılamaz.
Grup Kapsamları ( Group Scope)
Grupların çoklu ve/veya tekli domainlerde nasıl kullanılıacağına göre değişir.
- Global : kullanıcıları organize ederek, herhangi bir domain içerisindeki bir kaynağa erişim hakkı tanımak amacıyla kullanılırlar.
- Domain local : sadece oluşturuldukları domain içerisindeki kaynaklara erişebilirler.
- Universal : Çoklu domainlerdeki kaynaklarla ilişki kurmak için kullanılır.
| Grup Scope | Grup Üyeliği
(Mixed Mode) |
Grup Üyeliği
(Native Mode) |
Görünebilirlik |
| Domain Local | – kendi domainindeki ve trust (güven ilişkisi) kurduğu domainlerdeki kullanıcıları ve global grupları içerir.
– kendisi hiçbir gruba üye olamaz.
|
– kendi domainindeki kullanıcıları, global grupları, universal grupları ve domain local grupları içerebilir.
– kendisi de kendi domainindeki domain local veya universal gruba, trust kurduğu domainlerdeki universal gruba üye olabilir. |
Sadece kendi domainlerinde görülebilirler. |
| Global | – kendi domainindeki ve trust (güven ilişkisi) kurduğu domainlerdeki kullanıcıları içerir.
– kendi domainindeki veya trust kurduğu domainlerdeki domain local gruplara üye olabilir.
|
– kendi domainindeki ve trust (güven ilişkisi) kurduğu domainlerdeki kullanıcıları ve kendi domainindeki global grupları içerir.
– kendisi de kendi domainindeki veya trust kurduğu domaindeki domain local gruba ve universal gruba üye olabilir. Ayrıca kendi domainindeki başka global gruplara da üye olabilir. |
Kendi domainide ve trust kurulan domainlerde görülebilir. |
| Universal | Mixed modda kullanılmaz. | – Active Directory forest`daki kendi domainindeki ve trust kurduğu tüm domainlerdeki herşeyi içerir.
– kendisi de kendi domainindeki veya trust kurduğu domainlerdeki universal gruplara ve domain local gruplara üye olabilir. |
Kendi domainide ve trust kurulan domainlerde görülebilir. |
Grup Kullanma Stratejisi (AGDLP)
1. Kullanıcı hesaplarını oluştur (user accounts)
2. Kullanıcıları bir global gruba kat.
3. Global grubu domain local gruba kat.
4. İzinleri domain local gruplara ata.