WINDOWS SERVER 2003 de KULLANICI ve GRUP HESAPLARI


 

    Windows Server 2003 sistem yöneticileri , kullanıcı hesaplarını bağımsız yada etki alanı kullanıcıların ağa oturum açmalarını ve ağ kaynaklarına erişmelerini veya o kaynaklara erişmelerini engellemek kullanır . Kimi zaman bu işlem belli bir kullanıcıya yada kullanıcı topluluğuna atanmış olabilir .

    Kullanıcı veya gruplara atanan izin ve üstünlükler gerçekleştireceği eylemlerin yanı sıra , hangi kaynak ve bilgisayar sistemlerine ve kaynaklara erişebileceğini de belirler . Böylelikle sistem networkun da güvenlik ve dengeli kaynak paylaşımına sağlanmış olur .

Örneğin : Bir şirkette tüm kullanıcıların o şirkete ait önemli ve gizli verirlere tüm kullanıcıların erişmesi istenmez. Sadece bu belgelere yetkisi olan kişilerin kullanması istenebilir .

 

Kullanıcı hesabı , bağımsız kişiler için tasarlanmıştır . Kullanıcıların bir bilgisayar üzerinde oturun açması için gerekli olan kullanıcı adı ve parolası kullanıcının üye olduğu grupları ve kullanıcının kaynaklar üzerindeki haklarını kullanıp – kullanmaması ile ilgilidir .

 

Kullanıcı Grupları ise , Benzer türde kullanıcılara izin vermek ve hesap yönetimini kolaylaştırmak için kullanılabilir .

Birden çok kullanıcının daha kolay yönetimini sağlamak için toplu halde yönetmeye olanak sağlar . Kullanıcı gruplarındaki amaç yönetim kolaylığıdır .

 

Kullanıcı Hesapları

 

Windows server 2003 ‘de 3 tür kullanıcı hesabı kullanılır . Bunlar ;

 

1 ) Yerel Kullanıcı ( Local User ) Hesapları : Belirli bir bilgisayara , bu bilgisayardaki kaynaklara erişmek için oturum açılmaya olanak sağlar . Yerel kullanıcı hesabı sadece yerel bilgisayara erişimi vardır .

2 ) Etki alanı ( Domain ) Kullanıcı hesabı     : Ağ kaynaklarına erişmek için etki alanına oturum açmaya olanak sağlar .

3 ) Yerleşik Kullanıcı ( Built-in ) Hesabı     :Yönetsel görevleri gerçekleştirmeye , yerel kaynaklara veya ağ kaynaklara erişmeye olanak sağlar . Bu hesaplar Windows tarafından oluşturulur ve silinemeyen hesaplarıdır . Bu hesabın silinememesinin nedeni , onları tekrara oluşturamayız , sadece Windows kurulum sırasında oluşturulur .

 

Yerel ( Local ) Kullanıcı Hesapları :

 

  • Kullanıcıların yalnızca yerel kullanıcı hesabının oluşturduğu bilgisayarda oturum açmasına ve bu bilgisayardaki kaynaklara erişmeye olanak sağlar .
  • Yerel kullanıcı oluşturulduğunda Windows server 2003 bu hesabı yalnızca o bilgisayarın yerel güvenlik veritabanında oluşturur . ( SAM )

 

Yerel kullanıcı Hesaplarını diğer kullanıcı hesaplarından ayıran temel özellik vardır . Bunlar ;

 

  • Yerel bilgisayardaki kaynaklara erişim sağlar .
  • Sadece etki alanına dahil olmayan bilgisayarlar üzerinde oluşturulur .
  • Local bir kullanıcı hesabı oluşturulduğunda , oluşturulan kullanıcı sadece lokal bilgisayarın security account manager ( SAM ) veritabanında tutulur .
  • SAM veritabanı içinde bulunan kullanıcılar , domain controller bilgisayarına replika edilmezler , Domain Controller bilgisayarları üzerinde Local kullanıcı hesabı oluşturulmazlar .

 

NOT :

 

1 ) Windows Server 2003 kullanıcının o bilgisayarda oturum açmasına olanak sağlayan yerel kullanıcı hesabının kimliğini doğrulamak için yerel güvenlik veritabanını kullanır ( SAM ) . Windows Server 2003 , herhangi , başka bir bilgisayara yerel kullanıcı hesabı bilgisini içermez .

2 ) Microsoft yerel kullanıcı hesaplarını , sadece çalışma grubundaki bilgisayarlar üzerinde kullanılmasını önerir . Windows Server 2003 çalışan 5 PC’nin oluşturduğu çalışma grubunda bir yerel kullanıcı hesabı oluşturulursa ( Bilgisayar 1 üzerinde USER 1) USER 1hesabı ile yalnızca Bilgisayar 1 de oturum açılır . Çalışma grubu üzerindeki diğer bilgisayarın tümüne USER 1 olarak oturum açmaya gerek duyulursa beş bilgisayarın her biri üzerine bir yerel kullanıcı hesabı USER 1 oluşturulur . Üstelik parolayı değiştirmeye karar verilirse ; her bilgisayar kendi yerel güvenlik veritabanını koruduğundan , beş bilgisayarın her birinde USER 1 için parola değiştirmek gerekir .

3 ) Etki alanı , yerel kullanıcı hesabını tanımaz .

 

Kullanıcı Oluşturma işlemleri

 

    Kullanıcı hesapları oluşturma işlemi çok kolay bir işlemdir . Kullanıcı hesap işlemi oluşturmanın en önemli noktası , hesabın daha önceden planlanmasıdır ve bu ilkeler doğrultusunda özel adlandırma ve parola ilkesi belirlenmelidir. Sisteme 2 veya 10 kullanıcı hesabı olacaksa bu pek önemli değil ama bu rakam 20 ile 5000 den fazla olduğu networklarda ise belli bir standardın olması sistem yöneticilerinin işlerini kolaylaştıracaktır .

 

Kullanıcı Adlandırma Kuralları

 

1 ) Kullanıcı logon isimleri ve full isimler tek olmalıdır .

2 ) Kullanıcı hesap adları en fazla 256 karakter uzunluğunda olabilir . Ancak 64 karakterden daha uzun oturum adları hem kullanıcı açısından hem de sistem yöneticisi açısından kullanılışlı değildir . Windows 2000 öncesi bir oturum açma adı tüm hesaplara verilir ve varsayılan ayar olarak Windows oturum açma adının ilk 20 karakterine ayarlanırdı .

3 ) Kullanıcı oturum adları küçük – büyük harfe duyarlı değildir.

4 ) Geçerli olmayan ” / \ [ ] : ; | = , + * ? < > karakterler kullanılmamalıdır .

 

Tavisye : Kullanıcı isimlendirme standardı nasıl olmalıdır ?

 

  • Kullanıcının adı ve soyadının ilk harfi .
  • Kullanıcının adının ilk harfi ve soy isminin tamamı .
  • Kullanıcının adının ilk harfi ve soy isminin ilk 5 harfi .
  • Kullanıcının adı ve soy isminin tamamı

 

Parola Kuralları

 

1 ) Administrator hesabı mutlaka parola atanmalıdır .

2 ) Kullanıcıların hesap tanımlaması yapılırken , geçici şifreler verin ve kullanıcıların sisteme bağlanmaları sırasında kendi şifrelerini vermesini sağlayın .

3 ) Şifre verilirken kesinlikle kullanıcıların kendilerine özdeşleşmiş terimleri şifre olarak vermeyin .

4 ) Parolalar 128 adet kadar karakter içerebilir en az 8 karakter uzunluğunda olmalıdır .

5 ) Hem büyük , hem de küçük harfler , sayılar ve geçerli alfa sayısal olmayan karakterler kullanın .

 

Etkin Olan Group police ilkelerini görüntülemek .

 

    Bir sistemde etkin ilkeyi görüntülemek ve nereden kaynaklandığını görmek için , aşağıdaki adımları tamamlayın ç

 

1 ) Start’tan Run’a gelin Run iletişim kutusuna mmc yazın ve Ok tıklayın .

 


 

2 ) MMC de File’i ve sonra da Add/ Remove Snap-in iletişim kutusuna tıklayın .

 


 

3 ) Standalone sekmesindeki , Add e tıklayın . Add Standalone Snap-in iletişim kutusunda i Resultant Set Of Policy i ve sonrada Add’i tıklayın .

 


 

4 ) Close’ u tıklayarak , Add Standalone Snap-in ieltişim kutusunu kapatın . Resultant Set Of Policy yi ve sonra da OK ‘i tıklayın .

5 ) Resultant Set Of Policy düğümünü farenin sağ düğmesiyle tıklayın ve sonra da Generate RSoP Data yı seçin . Resultant Set Of Policy Wizard başlayacaktır .

Next ‘e iki kere tıklayın .

 



 

6 ) Yerel bilgisayarın User Configuration ilke ayarlarını görüntülemek için This Computer seçeneğini seçin . Aksi taktirde , Another Computer seçeneğini seçin ve denetlenecek sistemin adını yazın . Kullanmak istediğiniz sistemi bulmak için Select Computer iletişim kutusunu kullanılmak istenen Browser’u tıklayın . Next i tıklayın .

 


 

7 ) Geçerli kullanıcının User Configuration ilke ayarlarını görüntülemek için Current User’ı seçin . Next’e tıklayın.

 


 

8 ) Next’e iki kere tıklayın ve sonra da Finish’i tıklayın . Açılan pencerede Resultant Set Of Police konsolundaki erişilen Computer settings olarak listelenen etkin ayarı ve kaynak Group Policy Object görülür .

 


 

Paralo ilkelerini Yapılandırmak

 

“Etkin Olan Group police ilkelerini görüntülemek” konusundaki açılan Computer Configuration sekmesinin altında bulunan Securiy Setting sekmesi altında kullanıcı parola ilkelerini denetleyebilir ve yapılandırabiliriz . Bunun için Açılan Resultant Set Of Policy pencersinden Computer Configuration – Windows Settings – Security Settings – Security Settings – Acount Policy sekmesi seçilir .

Bu açılan sekmelerde sadece parola ilkeleri yapılandırtacaksa Password Policy seçeneği seçilir .

 


 

    Parola ilkeleri , parolaların güvenliğini denetler ve aşağıdaki ilkelerden oluşur .

 


 

Enforce Password History         :     Eski parolaların ne sıklıkta yeniden kullanılacağını ayarlar .

                        Kullanıcıların sık kullandıkları parola dizisini değiştirmekten vazgeçirmek için                             kullanılır .

                        Parola geçmişinde en fazla 24 parola kaydı saklandır

    Bu özellileri iptal etmek için parola geçmiş boyutunu 0 olarak ayarlayın .

– Maximum Password Age         :    Kullanıcıların parolalarını değiştirmeleri gereken zamanı belirler .

                        Etki alanı denetleyicilerinde bu süre 24 gündür . En küçük gün sayısı 0 olup                             parolanın asla değişmediği anlamına gelir .

– Maximum Password Age         :    Kullanıcıların parola değiştirmelerine izin verilmeden önce parolaların ne                             kadar bir süre kullanmalarını gerektiği bu ayarla belirlenir .

                        Güvenliğin çok önemli olduğu bir ortamda bu değeri daha kısa ayarlanmak                             gerekir .

– Minimum Password Legent        :     Parola uzunluğunun en az kaç karakter sayısının olacağını belirler .

                        Güvenliğin çok önemli olduğu bir ortamda bu değeri daha da arttırmakta fayda                             vardır .

 

– Password Must Meet Complexity Requirement    Kullanıcı password bilgilerinin complex olması yada bu özelliğinin iptal                             edilmesi gerektiğinin belirler .

                        Bu ilke ” Enable ” olduğu durumlarda parolalar kullanıcı hesap adı içermez ,                             en az altı karakter içermelidir , büyük ve küçük harflerden sayılardan , alfa                             nümerik karakterden oluşturmasını sağlar .

– Store Passwords Using Reversible Encryption For All Users in The Domain : Kullanıcıların şifrelerinin yüksek                                     seviyeli şifreleme teknikleriyle şifrelenmiş biçimde saklanmasını sağlar. Bu                             ilke etkinleştirildiğinde parolalarda düz metin olarak depolabilir .

Kullanıcı Oluşturmak

A ) Yerel Kullanıcı oluşturmak

    Yerel kullanıcı hesapları Local Users and Groups ile oluşturulur .

1 ) Start – All Programs – Administrative Tools – Computer management

        

2 ) Açılan Computer Management penceresinden System Tools altında Local Users and group ağacına gelin ve User seçeneği üzerine mause un sol tuşu ile new user seçeneğine tıklayınız .


 

3 ) Açılan ” New User” penceresi ne iletişim kutusundaki alanları aşağıdaki gibi kullanabilirsiniz .

    User Name         : Kullanıcının oturum açma adıdır .

    Full Name         : Kullanıcının tam adıdır .

    Description         : Kullanıcının açıklayıcı bilgisidir . Genellikle bu alana kullanıcının unvanı yada departmanı                      yazılır .

    Password         : Hesap ile ilgili şifre verilir . Şifreleme kurallarına uygun olmalıdır .

    Confirm Password     : Parolanın doğrulamak için , tekrar aynı parola yazılır .

    User Must Change Password At Next Logon : Bu kutucuk seçili ise kullanıcı oturum açtığında , parolanın                          değişimim sağlanabilir .

    User Cannot Change Password : Kullanıcı parolasının değiştiremez .

    Password Never Expires     : Bu seçili ise hesabın parolası zaman aşımına uğramaz .

    Account is Disable     : Kullanıcının hesabı devre dışı bırakılır ve kullanılmaz . Hesaba geçici olarak kimsenin erişmesi                  istenmiyorsa bu alanda kullanılır

 


 

4 ) Hesap yapılandırma işlemi bittiğinde , Create ‘i tıklayın .

 

B ) Domain kullanıcı hesabı oluşturmak .

 

Domain içerisinde yani Active Directory içerisinde açılan kullanıcı hesaplarıdır . Domain kullanıcı hesapları , domaine logon olarak ağ üzerindeki kaynaklara erişim gerçekleştirip , bu kaynakları sahip olduğu haklar doğrultusunda kullanabilmektedir . Bu nedenden dolayı etki alanı kullanıcı hesapları domain controllerde tutulur . Logon işlemi ve kaynaklara erişim için gerekli olan atamlar ve kontroller domain controller tarafından onaylanır .

 

 

Bir kullanıcının domain’e bağlanabilmesi için ;

 

Domain içerisinde açılmış bir kullanıcı hesabına , bu hesap için verilmiş şifreye ve logon olacağı domain adına ihtiyacı vardır .

    Domain kullanıcı hesapları , üzerinde Active Directory dizin servisine sahip olan domain controller bilgisayarı üzerinde oluşturulmaktadır . ve bu bilgiler Active Directory veritabanı içinde tutulmaktadır . Bir Domain Controller üzerinde oluşturulan kullanıcı hesapları aynı domain içindeki tüm Domain Controller bilgisayarına kopyalanmaktadır .

    Windows Server 2003 de domain kullanıcı hesapları Active Directory kurulduktan sonra gelen Active Directory Users and Computers bölümünde açılırlar .

 


 

 

Etki alanı kullanıcı Hesapları :

 

  • Ağ kaynaklarına erişim sağlar .
  • Kimlik doğrulaması için erişim simgesini sağlar .
  • Bir etki alanı denetleyicisi üzerinde A.D. dizin hizmetinde oluşturulur .

 

Etki alanı kullanıcı Hesabı oluşturma işlemi :

 

1 ) Start – All Programs – Administrative Tools – Active Directory Users and Computers ‘e tıklanılır .


 

2 ) Açılan Pencereden kullanıcının ait olacağı domain isminin yanındaki “+” simgesi açılarak ” Users ” seçeneği seçilir .

3 ) Users üzerine sol tıklanarak “New” seçeneği içeriğindeki ” Users” seçilir .

 


 

4 ) Açılan “New Object-User” Penceresindeki kutucuklar doldurulur .

 


 

5 ) “New Object-User” penceresi doldurulduktan sonra “Next” tıklanılır ve Parola atanma işlemine geçilir .

 


6 ) Parola işlemi sırasında gerekli görülen kutucuklar doldurularak ” Next e tıklanılır . Bu kutucuklardan istenilen seçenek seçilerek ” Next” butonuna tıklanılır .

 

– User Must Change password at next logon     : Kullanıcıyı, ağda açtığı bir sonraki oturumda, parolasını değiştirmeye zorlar. Bu seçeneği, kullanıcının parolasını bilen tek kişi olduğundan emin olmak için kullanın.

– User cannot change password .            : Kullanıcının parolasını değiştirmesini önler. Guest hesabı veya geçici bir hesap gibi bir kullanıcı hesabı üzerindeki denetimi elinizde tutmak için bu seçeneği kullanın.

– Password never expires                 : Kullanıcı şifreyi değiştiremez , sadece şifre değişimi adminler tarafından yapılır . Bu seçenek seçilmez ise kullanıcı hesabı oluşturulduktan 42 gün sonra kullanıcının şifresini değiştirilmesi istenecektir .

– Account is disable                 : Kullanıcı hesabı devre dışı bırakılır .

 


 

7 ) Kullanıcı kayıt işlemini tamamlamak için “Finish” butonuna tıklanılarak yeni bir domain kullanıcı hesabı oluşturulur .

 

Komut Satırından kullanıcı Oluşturmak

 

1 ) Start – Run’a tıklayın ve Open kısmına cmd yazın .

 

2 ) Açılan komut satırına     “dsadd user KullanıcıDN’si [-samidSAMAdı] -pwd {Parola|*}” bu bilgileri girin .


Değer

Açıklama

KullanıcıDN’si Eklenecek kullanıcı nesnesinin ayırt edici adını belirtir.
SAMAdı Güvenlik Hesapları Yöneticisi (SAM) adının bu kullanıcı için (örneğin, Oya) benzersiz SAM hesap adı olarak kullanılacağını belirtir. Belirtilmemişse, dsadd, KullanıcıDN’sinin ortak adı (CN) değerinin ilk 20 karakterini kullanarak SAM hesap adını oluşturmaya çalışır.
Parola Kullanıcı hesabı için kullanılacak parolayı belirtir. * olarak ayarlanırsa, parola girmeniz istenir.

 

Yerleşik Kullanıcı Hesapları :

 

  • Administrator
  • Guest

 

Administrator     : Kullanıcı hesapları ve grupları oluşturmak , bunları değiştirmek için görevler gerçekleştirebilir , güvenlik ilkelerini yönetebilir , yazıcı kaynaklarını oluşturabilir ve kullanıcı hesaplarının kaynaklara erişmesine olanak sağlayan izinleri ve hakları atayabilir .

  • Bilgisayar veya domain içerindeki her şeyi yapma yetkisi vardır .

 

Örn :

  • Güvenlik ayarlarını değiştirebilir
  • Kaynaklar üzerinde izin atamaları yapabilir ve değiştirebilir ,
  • Printer oluşturabilir ve yönetebilir .
  • Script dosyalarını çalıştırabilir .
  • Bu bilgisayara ağdan erişme;
  • Bir işlem için bellek kotaları ayarlama;
  • Yerel olarak oturum açmaya izin verme;
  • Terminal Hizmetleri aracılığıyla oturum açmaya izin verme;
  • Dosya ve dizinleri yedekleme;
  • Sistem saatini değiştirme;
  • Disk belleği dosyası oluşturma;
  • Program hatalarını ayıklama;
  • Uzaktaki sistemden kapatmayı zorlama;
  • Zamanlama önceliğini artırma;
  • Aygıt sürücüleri yükleme ve kaldırma;
  • Denetim ve güvenlik günlüğünü yönetme;
  • Üretici yazılımı ortam değişkenlerini değiştirme;
  • Birim bakım görevlerini gerçekleştirme;
  • Tek işlem için profil oluşturma;
  • Sistem performansı için profil oluşturma;
  • Bilgisayarı takma biriminden çıkarma;
  • Dosya ve dizinleri geri yükleme;
  • Sistemi kapatma;
  • Dosyaların veya diğer nesnelerin sahipliğini alma.

            ve bunun gibi her türlü yönetim ve değişiklik yapma yetkisi vardır .


Not : Administrator hesabının ismi değiştirilebilir , ama silinmez . Sistem güvenliği yada etki alanına yetkisiz kişilerin erişimini önlemek için ; parala kurallarına uygun olarak parola atanmalı , Bu hesaba yeni bir isim verilmeli . Tekrar bir Administrator isimli kullanıcı oluşturulmalı ( Sahte bir kullanın sadece isimi Administrator ) içerdiği hak ve ayrıcalıkların olmaması gerekir .

 

Guest         : Ara sıra kullanıcıların oturum açmasına ve kaynaklara erişmesine olanak sağlamak için , bu hesap kullanılır . Örneğin : Kısa süreliğine kaynaklara erişmek gereksinimi duyan bir çalışan Guest hesabını kullanabilir .

 

    NOT     : Guest erişimine sadece düşük – güvenlikli ağlarda izin verilir. Guest hesabını her zaman bir parola atanmalıdır.

 

  • Guest hesabı silinmez . sadece ad değiştirilir.

 

Guest Hesabını Aktif veya Pasif Hale Getirmek

 

1 ) Administrator kullanıcı hesabı üzerinden oturum açılır .

2 ) My Computer – Manage – Local Users and Groups – Users a tıklanılır . yada aynı yere ulaşmak için , Start – Programs – Administrative Tools – Computer Management – Local Users and Groups – Users ile de aynı seçeneğe ulaşılabilir .

3 ) Açılan pencereden Guest Hesabı seçilir . .

4 ) Guest Hesabı Windows kurulumunda hesap kapalı olarak gelir . Hesabı etkin hale getirmek için ” Account is disable” kutucuğu boşaltılır . Eger Guest hesabına pasif hale getirmek için ” Account is disable” kutucuğu doldurulur .

 


 

 

 

 

 

 


“WINDOWS SERVER 2003 de KULLANICI ve GRUP HESAPLARI” için 2 yorum

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s