Active Directory

Active Directory Groups

Active Directory (Aktif Dizin) Grup Yapıları

Active Directory Groups

Active Directory Groups üç kapsamda incelenebilir:

Active Directory Group Scopes:

  • Domain Local Group (Etki Alanı Yerel Grup)
  • Domain Global Group (Etki Alanı Genel Grup)
  • Universal Group (Evrensel Grup)

Bu kapsamların her birinde bulunan gruplar domain ve forest function level’lara göre biraz farklı davranır. Meseleleri daha da karmaşıklaştırmak için, her grup kapsamı iki tipe sahip olabilir:

Active Directory Groups Type:

  • Distribution Group (Dağıtım Grubu)
  • Security Group (Güvenlik Grubu)

Tip, tanımlanması en kolay parçadır. Eğer tip Distribution grup ise, grubun SID’si kullanıcıların oturum açma esnasında security token’ına eklenmez, bu nedenle Windows güvenliği ile alakalı durumlarda kullanılamaz. Distribution (Dağıtım) grupları genellikle bir kerede tümüne mesaj (e-mail, anlık mesaj vb) gönderilebilecek bir mesaj listesi olarak kullanılır. Microsoft Exchange distribution listeleri, Active Directory distribution gruplarıyla kullanılır. Buna karşılık, security (güvenlik) grupları oturum açma esnasında, kullanıcının üyesi olduğu tüm grupların SID’leri, kullanıcının security token’ına eklenir. Security grupları da, distribution (dağıtım) listeleri olarak Exchange tarafından da kullanılabilir.

Token Bloat – Token Şişkinliği Problemi

Yukarıda üye olunan grupların SID’lerinin kullanıcının security token’ına eklendiğinden bahsedilmişti. Kerberos’u destekleyen tüm Windows sürümleri, security principal (kullanıcı, grup, servis vs) çok fazla grubun üyesiyse, sorunlarla karşılaşacaktır. Sorun, security principal’ın aldığı token’ın Windows tarafından işlenemeyecek kadar büyük hale gelmesi ve kullanıcıların kimlik doğrulama veya diğer Kerberos sorunları yaşayabilmesidir. Bu fenomen genellikle token bloat (token şişkinliği) olarak adlandırılır. Distribution listelerinin ve security gruplarının üç farklı kapsama ayrılması, Windows NT’nin mirasından ve Global Catalog – GC’dan kaynaklanmaktadır. Global groups ve domain local groups, Windows NT gruplarının doğrudan torunlarıdır. Bu grupların üyeliği, yalnızca oluşturuldukları domain’in domain controller’ında mümkündür. Universal Group, içinde oluşturuldukları domain’in domain controller’ında ve forest içindeki tüm global catalog’lardan mümkündür. Universal ve global gruplar, forest içindeki herhangi bir domain yada trusted domain içindeki herhangi bir kaynak yada access control lists (ACLs) için kullanılabilir. Domain local grupları, yalnızca oluşturuldukları domain içindeki ACLs’lerde kullanılabilir.

Active Directory Security Principal nedir?

Active Directory Security Principal, otomatik olarak atanmış bir Security Identifier-SID’si olan herhangi bir hesabı tanımlamak için kullanılan bir terimdir. Security Principal örnek olarak kullanıcılar, gruplar, servisler ve bilgisayarlardır. Security Principal nesnesinin bir parçası, hesabın oluşturulduğu domain tarafından atanan SID (Security Identifier) alanıdır. SID (Security Identifier) konusunda Active Directory Nesneleri ve Active Directory Nedir? konulu makaleler okunabilir.

Active Directory Groups nasıl çalışır?

Active Directory Groups nasıl çalıştığını tam olarak anlamanıza yardımcı olmak için, bu bölümde aşağıdaki öğeleri açıklayacağız:

  • Hangi grup türü hangi security principals (kullanıcı, grup, bilgisayar, servis vs.) içerebilir?
  • Bir domain içindeki active directory group, başka domain’deki gruba nasıl üye yapılır?
  • Farklı grup kapsamları (scopes) arasında dönüşüm(convert) yapmak için hangi seçenekleri kullanabilirsiniz?

Öncelikle, bir domain içindeki grupların yerleştirilmesinin hangi kurallara dayandığını kontrol edelim. Aşağıdaki tabloda hangi gruplarının hangi gruplara üye olabileceği, grup kapsamları (scope) bazında grup üyeliklerinin sınırlamaları gösterilmektedir.

Grup kapsamına dayalı grup üyeliği kısıtlamaları
Grup kapsamına dayalı grup üyeliği kısıtlamaları

Bu tablo ile domain içi grup üyelikleri açıklanmıştır. Domain’ler arası grup üyelikleri ise aşağıdaki tabloda incelenecektir.

Domain Sınırlarıyla Grup Üyelikleri

Tüm gruplar için kısıtlamalar aşağıdaki tablolarda gösterilmektedir. Universal gruplar farklı alanlardan üyeler içerebilir, ancak bu alanların Forest’ları kapsayamayacağını unutmamak gerekir. Bütün universal grup üyeleri aynı forest’tan olmalıdır.

Grup kapsamına göre grup üyeliği kısıtlamaları:
Grup kapsamına dayalı grup üyeliği kısıtlamaları
Grup kapsamına dayalı grup üyeliği kısıtlamaları
Domain’e göre grup üyeliği kısıtlamaları:
Domain'e göre grup üyeliği kısıtlamaları
Domain’e göre grup üyeliği kısıtlamaları

Bu tablolar referans alınarak domain içinde ya da domain’ler arasında hangi gruba hangi nesnelerin üye olabileceği anlaşılabilir.

Grupları Dönüştürme (Converting Groups)

Hangi grupların dönüştürülebileceğine, grubun mevcut üyelerine ve grubun şu anki türüne ve kapsamına bağlı olarak sınırlamalar vardır. Dönüşüm gerçekleştikten sonra mevcut grup üyeleri yeni grup türünün geçerli üyeleri değilse, dönüştürme işlemi işe yaramaz. Gruplar arasında dönüştürme yeteneği bu kısıtlamalara dayanır:

  • Security grupları, distribution gruplara dönüştürülebilir.
  • Distribution grupları, security gruplara dönüştürülebilir.
  • Bir Domain Local grubu, başka bir Domain Local grubunun üyesi olmaması koşuluyla Universal bir gruba dönüştürülebilir.
  • Bir Domain Global grubu, başka bir Domain Global grubu üyesi içermemesi koşuluyla Universal bir gruba dönüştürülebilir.
  • Universal bir grup, gruptaki tüm üyelerin grubun bulunduğu domain kullanıcıları olması koşuluyla bir Domain Global gruba dönüştürülebilir.
  • Universal bir grup, Domain Local grubuna dönüştürülebilir.

Bir distribution grubunu, security grubuna dönüştürmenin faydası muhtemelen aşikardır: Grubu Windows güvenlik amaçları için kullanırsınız. Bir security grubunu bir distribution grubuna dönüştürmenin faydası genellikle anlaşılmazdır. Herhalde bu dönüştürmenin en kullanışlı yönü, Windows güvenliği için kullanılıp kullanılmadığını doğrulamak için bir security grubunu güvenle devre dışı bırakmanızdır. Önceden, bir grubun Windows güvenliği için kullanılıp kullanılmadığını bilmiyorsanız, onu silmeniz ve hiçbir şeyin bozulmaması için temennilerde bulunmanız gerekirdi. Herhangi bir şey bozulduysa, grubun nasıl restore edileceğini veya yeni bir grubun nasıl kullanılacağını bulmaya çalışırdınız. Şimdiyse bu grubu basitçe bir distribution grubuna dönüştürebilirsiniz ve eğer bir şey bozulursa, grubu tekrar bir security grubu haline getirebilirsiniz.

Vakit ayırdığınız için teşekkür ederiz. Lütfen yorum yapmaktan çekinmeyiniz.

Bu makalede Active Directory Groups (Aktif Dizin Grupları) konusunu tartıştık. Makale serimize “En Önemli 7 Active Directory Hesap ve Grupları” isimli makale ile devam edilebilir. Active Directory Grup Yapıları hakkında özellikle grup yetkileri, grup dönüşümleri, grup oluşturma, grup tipini değiştirme, gruba grup üyeliği, gruba kullanıcı üye yapma gibi başka makalelerimiz de olacaktır.

Kısa Notlar:

Active Directory Grup Tipleri ve Yapıları:

  • Security Grup,
  • Distribution Grup

Active Directory Grup Kapsamları ve Yapıları:

  • Domain Local Grup,
  • Domain Global Grup,
  • Universal Grup.

Active Directory Domain Grupları (Groups), grup yetkileri, grup dönüşümleri ile ilgili makalelere devam edilecektir.
İlerleyen dönemde Active Directory Built-in Local Groups (Yerleşik Global Gruplar) olan;

Active Directory Built-in Domain Local Groups (Yerleşik Domain Yerel Gruplar) olan;

  • Account Operators,
  • Print Operators,
  • Server Operators,
  • Administrators,
  • Guests,
  • Backup Operators,
  • Users,
  • Network Configuration Operators,
  • Pre–Windows 2000 Compatible Access,
  • Remote Desktop Users,
  • Performance Log Users,
  • Performance Monitor Users grupları ve yetkileri,

Built-in System Groups (Yerleşik Sistem Grupları) olan;

  • Authenticated Users,
  • Creator Owner,
  • Network,
  • Interactive,
  • Anonymous Logon,
  • Dialup grupları ve yetkilerine dair makaleler yazılacaktır.
Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

İlgili Makaleler

2 Yorum

  1. Hocam sağolun ellerinize sağlık çok işime yaradı yeni makeleler ne zaman gelicek .

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu