Merhaba,
Çalıştığımız ağ ortamında File Server üzerinde bir çok paylaşımlarda bulunmamız gerekebiliyor. Bu paylaşımların bir kısmı herkese hitap ederken bir kısmı ise sadece tek bir kişiyi yada bir kaç üst düzey personelin erişebildiği özel dataların bulundupu bu folderlara başkalarının erişim hakkı olmasa bile bu özel folderların paylaşım alanı altında yetkisi olmayan kişilere isim olarak da gözükmesi istenmeyebiliyor.
Yada binlerce kullanıcının olduğu bir ortamda file server üzerindeki ortak bir alan içinde herkese ayrı bir alan açtığınızı varsayalım herkes bu ortak folder içerisine girdiğinde kendisine ait olmayan 999 adet folder’ıda görmek zorunda kalacaktır. Folder içerisine kullanıcının erişme yetkisi olmasada bu folderları görmesi hem gereksiz hemde güvenlik anlamında da bazen sorunlara sebep olabiliyor.
Bazen kullanıcılarımız paylaşımdaki ortak folderlar içerisinde sadece kendilerine ait paylaşımları gördüklerinde kendilerini özel hissedebiliyorlar bunun gibi örnekleri çoğaltmak mümkün.
Böyle bir işlem oldukça basit gibi gözükse de dikkat etmeyi unuttuğumuz bir iki detay ayar sebebi ile uygulama esnasında oldukça zaman alabilmektedir ve sıkıcı durumlar ortaya çıkmasına sebep olabilmektedir.
Ben bu makalede sizlere bir active directory ortamında çalışan Window Server 2008 R2 Standart işletim yüklü bir server üzerine File Server servisini yükleyip bu işlemi nasıl yapabileceğinizi anlatmaya çalışacağım.
Örneğimde File server’imiz üzerinde Z:\ olarak gözüken ve Data ismi ile adlandırdığım disk üzerinde OrtakAlan ismi ile bir folder oluşturdum. Aşağıdaki Resim-1’deki görebileceğiniz bu folder’ın özelliklerinde Sharing tabına giderek Share butonuna basarak bu folder’ı paylaşıma açacağım ilk olarak.
Share tabına girdiğinizde ilk olarak aşağıdaki Resim-2 deki ekran karşınıza gelecek. Biz paylaşımıza sadece Domain Users grubuna ait kullanıcıların erişebilmesi boş alana Domain Users yazıp için Add butonuna basalım ve sadece read okuma yetkisi ile yetkilendirelim.
Resim-3 teki gibi yetkilendirmeyi tamamladıktan sonra Share butonuna basarak paylaşıma açabiliriz.
Resim-4 teki gibi paylaşım işlemimiz bitti. Bu ekranda e-mail tabını kullnarak istersek bu paylaşımı mail ile kullanıcılarımıza bildirebiliriz. Paylaşım network adresi burada server ismimiz FILESRV oldugu için FILESRV\OrtakAlan olarak gözükecektir istersek bu adresi başka bir alanda kullanacak ise copy butonuna basarak hafızaya alabiliriz. Done butonu bu işlemi sonlandıracaktır.
Folder paylaştırma işleminden sonra Sharing tabının görünümü aşağıdaki gibidir. Paylaşım işlemimiz tamamlandı şuanda network üzerinden bu folder’a tüm domain users grubu üyeleri erişebilecektir. Şimdi folder bazında yetilendirme işlemimizin temeli olacak olan ayarları yapmak için Security tabına gidelim.
Aşağıdaki listede Domain Users’ı grubunu görmüyoruz olmalıyız Resim-6’da. Sadece Creator Owner, System, Administrators, Users grupları olmalıdır.
Burada Advance butonuna basarak folder üzerindeki Advance Security ayarlarını yapabileceğimiz ekrana ulaşalım.
Advance ile girdiğimiz ekranda Permissions tabında öncelikle CREATOR OWNER’ın yetkisini silelim.
Permissions tabı içerisinde Domain Users’ın yetkileri aşağıdaki gibi gözüküyor olacaktır. (Resim-7)
Burada bu grubun Permission kısmında yetkisinin Read & excute etki edeceği alanlar olarakta Apply To kısmında This folder, subfolders and files üzerinde etkili olacağını görüyoruz.
Biz burada yapmamız gereken Domain Users grubunun etki alanını Apply To kısmındaki seçeneği sadece This Folder only olacak değiştirmektir.
Bunun için Resim-7 deki Domain Users’ı seçip aşağıdaki Change Permissions… butonuna basalım.
Sadece permissions tabın resim-8 deki gibi açılacak ve Add, Edit ve Remove butonları gelecek bu ekranda. Domain Users grubunu seçelim ve Edit butonu ile bu grubun ayarlarını değiştirme ekranına açılmasını sağlayalım.
Resim-9’daki karşımıza gelecek olan ayar ekranında Apply to kısmındaki This folder, subfolders and files seçeneğini değiştirebileceğimizi göreceksiniz.
Permissions kısmında gelen default yetkilere dokunmayacağız. Allow olması gereken bu yetkiler aşağıdaki gibi olmalıdır;
Traverse folder / execute file _Allow
List Folder / read data _______Allow
Read attributes ____________Allow
Read extended attributes ____Allow
Read permissions ___________Allow
Resim-10’daki gibi Apply to kısmının yanındaki ok butonuna basalım ve listeden en tepedeki This folder only seçeneğini seçelim ve Ok butonu ile seçimi onaylayıp kaydetmesini sağlayalım.
Bu şekilde yapmamızın sebebi ise Domain Users grubu üyelerinin sadece ve sadece ilk başta oluşturmuş olduğumuz ve paylaşıma açtığımız OrtakAlan isimli folder içine girebilmesi için yetkilendirilmesidir. This Folder only şeçmemiz sayesinde bundan sonra bu folder altında açılacak olan hiçir bir folder’a uygulanmayacaktır. Yani Domain Users read yetkisi sadece en tepedeki folder için geçerli olacaktır.
Bu folder altında oluşturulan folderlar sadece System, Administrators, Users gruplarının erişim yetkileri açılacaktır.
Domain Users için yetki durumu ayarı en son görünümü aşağıdaki olduktan sonra OK butonu ile onaylayalım seçimimizi.
Permissions tabındaki Domain Users yetkilendirilmesi son görünümüde aşağıdaki gibi olacaktır. Dikkat ederseniz Domain Users için Apply to kısmı This folder only şekline dönüştü.
Hemen alt kısımdaki Include inheritable permissions from this objec’s parent ve Replace all child object permissions with inheritable permissions from this object ‘in seçenekleri işaretli olmayacaktır.
Tüm işlemler bittikten sonra OrtakAlan properties ve Security tabındaki en son yetkilendirme durumu ise aşağıdaki gibi olmalıdır.(Resim-13)
Anlatımın daha net olması için bundan sonraki resimlerimde iki ekran kullandım. Bu ekranlardan birisi domain’e recep.yuksel user name ile ile logon olmuş olan Recep YUKSEL isimli user’ın bilgisayarından Filesrv isimli server üzerindeki paylaşımlı alanların network’ten görünüşü ve bu bilgisayardan Remote desktop ile bağlandığım filesrv isimli server üzerinde yapacağım kişiye özel folderları açma ve yetkilendirme işlemlerini eş zamanlı göstermeye çalışacağım. Resim-14’te ise yaptığımız işlemler sonrası OrtakAlan isimli folder’ın her iki taraftan nasıl göründüğünü görebilirsiniz. Soldaki ekran user’ın bilgisayarı sağdaki ekran ise server tarafı. Server ekranındaki OrtakAlan üzerindeki kilit resmi Creator Owner’ı sildiğimiziçin geldi, bu sorun olmayacaktır.
Resim-15’te ise her iki tarafta folder içerikleri görülebiliyor. User bilgisayarından bu folder’a erişebildiğimize göre yaptığımız yetkilendirme işlemi sorunsuz çalışıyor demektir. Eğer bu folder’a erişemiyorsanız bu aşamada yaptığınız işlemleri geriye dönerek tekrar kontrol ediniz.
Biz şuanda erişebildiğimiz göre bundan sonra yapmamız gereken server tarafında OrtakFolder altında yeni folderlar oluşturmak olacaıktr. Hemen oluşturalım.
Resim-16’da gördüğünüz gibi server üzerinden OrtakFolder altında 3 adet folder oluşturduktan sonra bu folderları user tarafından paylaşımlı folder’ımız içerisinde göremiyorsanız yaptığımız ayarlar sorunsuz çalışıyor demektir. Ben Ismail, Onur ve Recep isimli bu folderları kullanıcı bilgisayarımdan baktığımda göremiyorum.
Şimdi ise Recep YUKSEL isimli user’ın Recep ismi ile adına açılan ortak folder’ı görebilmesi için gereken ayarları nasıl yapacağımız görelim ve Recep isimli folder üzerinde Recep YUKSEL’e Full yetkili yapalım.
Resim-17’de Recep isimli folder’ın özelliklerindeki Security tabındaki yetkileri görüyorsunuz. Resimdeki gibi Sadece System, Administrator(Domain Administrator), Administrators (Domain Administrators Grubu) üyeleri var. Bu folder’ı şunda network üzerinden sadece Domain Admin User’ı ve Domain Administrators grubuna üye userlar görebilecektir. Kurulumu yaptığınız kurumun güvenlik politikalarına göre bu userlara verilen yetkileride yeniden tasarlayabilirsiniz.
Biz bu folder’ı Recep YUKSEL user’ı için oluşturmuştuk ve şunada onun bu folder’ı görebilmesi için bu kullanıcı hesabına yetki vermemiz gerekiyor. Edit.. butonuna basarak Security tabını editleyebileceğimiz şekilde açalım ve recep.user isimli kullanıcıyı buraya full şekilde erişebilecek şekilde ayarlayalım.
Resim-18’deki ekranda Add.. butonuna basarak user ekleme ekranını açalım.
User’ın kullanıcı hesabı adını yazalım ve recep.yuksel Check Names butonuna basalım. Kullanıcı adını doğru yazdı isek arayıp bulacak ve ismi full namei ile birlikte aşağıdaki gibi altı çizili olarak getirecektir. OK butonuna basarak seçimi onaylayalım.
Resim-20 deki gibi Recep YUKSEL isimli kullanıcımız alt ekrandaki yetkiler ile bu folder’a erişim için eklenmiştir. Biz bu kullanıcı bu folder’da tam yetkili olacağı için aşağıdaki ekranda Full control karşısındaki Allow kısmını işaretleyelim ve kullanıcıyı folder üzerinde Full olarak yetkilendirelim. (Resim-21)
Resim-21’deki gibi Full control yetkisini verip Apply ile bu işlemi onaylayalım.
Resim-22’de ise Security tabının en son halini görebilirsiniz. Recep YUKSEL isimli kullanıcı full yetkili olarak folder üzerine erişim yetkisi verilmiştir artık.
Resim-23’te sol taraftaki ekrandaki kullanıcı bilgisayarından baktığımızda artık yetkimiz olan folder’ı görebiliyoruz.
Resimde’de gördüğünüz gibi server tarfından baktığımızda paylaşıma açılan bu ortak folder içerisinde 3 adet farklı kullanıcı için folder var ve ben sadece 1 tanesini benim adıma yetki verilmiş olanı görüyorum.
Konu Hakkında Önemli Notlar:
- Windows Server 2008’de Share and Storage Management’e gidip oradaki paylaşılan folder özelliklerine gelip ABE Enable etmeniz gerekecektir.
- Bu işlemi üzerinde Windows Server 2003 işletim sistemi yüklü bir file server üzerinde yapmak isterseniz ABE (Acces Base Enumator) isimli tool’u bu server kurmanız gerekmektedir. Bu tool’u kurduktan sonra Folder properties tabına aşağıdaki Resim ….. tab gelecektir buradaki check’i işaretlerseniz burada anlatılan işlemleri yaptığınızda sorunsuz çalıştığını göreceksiniz.
ABE download adresi burada : http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17510 - Bu işlemleri buradaki anlatılan şekilde birebir uyguladığınızda testlerinizi domain admin yetkisi olmayan bir kullanıcı hesabı ile yapmaya dikkat ediniz. Dikkat ederseniz buradaki makalede folderların üzerinde domain administrator userları için Full yetki var. Testlerinizi sadece Domain Users üyesi bir kullanıcı hesabı ile yapmaya dikkat ediniz.
Ayarları sorunsuz yaptığınızı düşünüyorsanız fakat bir türlü istediğiniz gibi çalışmıyorsa test ettiğiniz user’ın özelliklerine girerek members kısmındaki yetkilerini üyesi olduğu grupları kontrol ediniz.
Ben bir uygulama esnasında saatlerce uğraştıktan sonra gördümki bana test için verilen user’ın üyesi olduğu gruplar içinde Domain Admins, Enterpires Admins grupları vardı, ve neden bilmiyorum sanki bir zararı varmış gibi bu user Domain Users grubundan çıkarılmıştı.
Faydası olması dileklerimle.
Süper bir makale olmuş. Birçok yerde bunu aramama rağmen tüm sitelerde klasik izinler checkboxlar butonlar ne işe yarar onlar anlatılıyor. Makaleniz için teşekkür ederiz.
Paylaşım için teşekkür ederiz. Gerçek hayata yönelik bir kullanım biçimini göstermişsiniz. Çok değerli bir makale bence. Sadece ufak bir kusur en başta sharing yaparken Read/Write olarak hak vermek gerekiyor.