Merhabalar. Bugün adım adım Active Directory ile bir domain ortamı kurmayı anlatacağım.
Bu konuda şunlara değineceğiz;
• Kullanıcı hesapları yaratma, yönetme ve organize etme
• Servis hesapları oluşturma
• Kullanıcılara özel haklar atama
Kullanıcı hesapları oluşturma, yönetme ve organize etme.
Organizasyon, bir AD Domain’i yönetmenin en önemli yönlerinden biridir. Bu size kullanıcıları, bilgisayarları ve grupları AD etki alanı içinde düzenlemenize olanak tanır.
Active Directory Nesneleri Oluşturma
AD üzerinde Object oluşturabilmemiz için öncelikle “Active Directory Users and Computers” u açmamız gerekmektedir. Bu programı arama çubuğuna “Active Directory Users and Computers” yazarak ulaşabilirsiniz ya da “Server Manager” konsolunda “Araçlar” ve “Active Directory Users and Computers” öğelerini tıklayarak bulabilirsiniz.
Bunu açtıktan sonra şöyle bir ekranla karşılaşacaksınız;
Burada varsayılan olarak bazı hesapları ve/veya grupları olan bir avuç kuruluş birimi vardır. Hepsinin amacını açıklayamayacağım bir ton yerleşik Grup ve Kullanıcı var.
Bilmeniz gereken bazı önemli kullanıcı ve gruplar:
User-Administrator: Bir Active Directory Etki Alanı kurulurken oluşturulan varsayılan Kullanıcı.
Group – Account Operators: Bu, ayrıcalıklı olmayan Kullanıcı Hesaplarının parolalarını sıfırlayabilen ayrıcalıklı bir Gruptur.
Group- Domain Admins: Bu, bir Active Directory Etki Alanının yönetimine izin veren ayrıcalıklı bir Gruptur.
Group – Enterprise Admins: Bu, Ormandaki herhangi bir Etki Alanını yönetmenize izin veren yüksek derecede ayrıcalıklı bir Gruptur.
Group – Schema Admins: Bu, LDAP şemasının düzenlenmesine izin verebilen başka bir ayrıcalıklı Gruptur. Deneyimsiz bir kullanıcıysanız, bu geri dönüşü olmayan hasara neden olabilir.
Artık bazı Kullanıcı ve Gruplar hakkında biraz daha bilgi sahibi olduğumuza göre, yeni bir Active Directory Nesnesi oluşturmaya geçelim. Temel bir nesneyle başlayalım – bir Organizational Unit. Bunu yapmak için domain root’unuzu seçin ve “New” öğesine tıklayın.
Organizational Unit’i seçtikten sonra, yeni bir isim girmeniz istenecektir. Ben buna “Çalışanlar” adını vereceğim. Bu “Çalışanlar” organizational unit içinde ise iki tane alt OU (Sub OU) oluşturacağım bunlar da mesela “Tam zamanlı çalışanlar”ve “Üreticiler” olsun.
OK dedikten sonra, yeni bir OU’muzu oluşturmuş olduk.
Yanlışlıkla OU Silme İşlemini Önleme (Accidental Deletion)
Belki de tiklenmiş olan “Protect container from accidental deletion” özelliği görmüşsünüzdür. Bu objeyi yanlışlıkla silmenizi engellemek için var olan bir özelliktir. Bir nesneyi silmeye çalışırken şu hatayı alabilirsiniz;
Bunu düzeltmek için, “View” seçeneğine giderek, “Advanced Features” özelliğini tiklemeniz gerekmektedir. Bunu açtıktan sonra gelişmiş özellikler gözükeceği için bir çok obje de ortaya çıkacaktır.
Bunu tikledikten sonra, silmek istediğiniz nesnenin özelliklerine gelin.
Sonra “object” sekmesine gelerek “protect object from accidental deletion” özelliğini kapatabilirsiniz. Böylece silmek istediğiniz zaman hata vermeyecektir.
Diğer alt OU’ları aynı yöntemle, yani oluşturduğum “Çalışanlar” OU’suna sağ tıklayarak “New” öğesinden, “Çalışanlar” Organizational Unit’i altına “Tam zamanlı çalışanlar” ve “Üreticiler” OU’larını ekliyorum.
En son şöyle gözükmektedir;
Adlandırma Şeması Yaratma
Kullanıcıların sahip olduğu izinleri belirtmek önemlidir. Bunu ya kullanıcı adına ekleyerek ya da açıklamaya yazarak belirtebiliriz.
Mesela örnek isimler kullanalım:
• Şahika
• Fatma
• Melike
Örneğin, bu kullanıcılara Workstation Admin izni verelim. Bunu belirmtek için adlarının başlarına “-wadm” gibi bir başlık eklemek istedim. Tabii ki bunu istediğiniz gibi şekillendirebilirsiniz. Mesela “wsadm” “wksadm” gibi… Yani bu Workstation Admin anlamına gelmektedir. O halde şöyle gözükecekler;
• wadm-Sahika
• wadm-Melike
• wadm-Fatma
“Service Accounts” iznine sahip kullanıcıları belli etmek için de, şöyle bir öneki vermek istedim; “-svc”
• svc-Sahika
• svc-Fatma
• svc-Melike
gibi…
“Service Users” kullanıcılarımıza da bir adlandırma şeması geliştirmemiz gerekiyor. Onlara da “-su” demek istedim. Belirttiğim gibi bunu istediğiniz şekilde uyarlayabilirsiniz. Maksat belli izne sahip kullanıcıların şemasını düzenlemek.
• su-Sahika
• su-Melike
• su-Fatma
O halde bir adlandırma şeması örneğini yapmaya başlayalım.
Son olarak “Domain Accounts” için de bir şema oluşturmak isteyeceğiz. “Enterprise Admins” için böyle bir kontrolümüz olmadığından bunu es geçeceğim. “Domain Accounts” için takip edebileceğiniz bazı örnekler ; “-da” , “-dmac” , “-dadm” gibi…
• da-Sahika
• da-Melike
• da-Fatma
Şunu unutmayın, adlandırma şeması, bir olay anında uğraştığınız hesabın türünü hızlı bir şekilde tanımlayabilmek için kolaylık sağlayacaktır. Bu yüzden adlandırma şemasını düzenli bir şekilde ayarlamakta fayda olacaktır.
Kullanıcı Hesabı Yaratma
Hangi OU’nun altında olacaksa kullanıcı, o OU’ya sağ tıklayıp “New” öğesinden yeni kullanıcı yaratabilirsiniz.
Bunu şöyle de yapabilirsiniz;
Workstation Admin’i olan Şahika ile başlayalım.
Next’e tıkladıktan sonra şifre için bir pencere gelecektir;
Buradaki seçenekler şu anlamlara gelir:
• User must change password at next logon: Bu sık kullanılan bir seçenektir. Kullanıcının bir dahaki girişinde, yani bu bilgileri biz verdikten sonra gireceği zaman şireyi değişmesi istenecektir.
• User cannot change password: Bu şifrelerin son kullanıcı tarafından değil de CyberArk gibi Ayrıcalıklı Kimlik Yönetimi tarafından yönetilmesi gereken “Service Accounts”ta yaygın bir seçenektir.
• Password never expires: Bu, genellikle bilgisayarları etki alanına katmak için kullanılan veya diğer çeşitli komut dosyalarına katıştırılmış hesaplarda kullanılır.
• Account is disabled: Bu genelde işten ayrılmış çalışanlarda veya hesabında bir sorun çıkmış fakat silinmesine gerek kalmadan, hesabı kitlemek için kullanılır.
Ben şimdilik gerçek kullanıcılara sahip olmayan örnek bir domain yarattığım için bu seçeneklerden “password never expires”ı tikleyip “user must change password at next logon” özelliğini kapatacağım.
Kullanıcıları oluşturduktan sonra kimlik bilgilerini bir yere kaydetmeyi unutmayın tabii ki.
Örneğin:
Kullanıcı: [email protected]
Şifre: ruru123!
En son durum şöyle;
Kullanıcılara ve Gruplara İzin Atama
Bu AD için önemli bir özelliktir. Bunun klasik bir örneği, bilgisayarları AD Domainine katmak için bir kullanıcı hesabına izin vermektir. Default olarak tüm kullanıcılar etki alanına 10 bilgisayar ekleyebilir. Fakat burada kota “0” olmalı ki, bu yetki özel bir kullanıcıya verilmeli. O halde başlayalım!
Bunu yapabilmesi için “svc-pcjoiner” adlı Service Accounts hesabını kullanacağız. Bu hesabı zaten önceden anlattığım gibi oluşturabilirsiniz.
Domain root’una gelip, ‘Delegate Control’ adlı öğeye tıklatın;
Next diyerek devam edelim:
Burada yetki atayacağımız grup veya kullanıcıyı belirliyoruz:
Add diyoruz.
Burada yetkiyi kime atayacaksak, o kullanıcının adını yazıp ‘check names’ diyoruz ve otomatik olarak kullanıcının tam adını tamamlıyor.
OK diyoruz.
Bundan sonra hangi izni ataycaksak onu belirtiyoruz. Biz bu kullanıcı için bilgisayarları domaine katma yetkisi vermek istemiştrik. O halde, aşağıdaki seçeneği seçip, next diyoruz.
En son “finish” diyerek kapatıyoruz.
