Active Directory Groups
Active Directory Groups üç kapsamda incelenebilir:
Active Directory Group Scopes:
- Domain Local Group (Etki Alanı Yerel Grup)
- Domain Global Group (Etki Alanı Genel Grup)
- Universal Group (Evrensel Grup)
Bu kapsamların her birinde bulunan gruplar domain ve forest function level’lara göre biraz farklı davranır. Meseleleri daha da karmaşıklaştırmak için, her grup kapsamı iki tipe sahip olabilir:
Active Directory Groups Type:
- Distribution Group (Dağıtım Grubu)
- Security Group (Güvenlik Grubu)
Tip, tanımlanması en kolay parçadır. Eğer tip Distribution grup ise, grubun SID’si kullanıcıların oturum açma esnasında security token’ına eklenmez, bu nedenle Windows güvenliği ile alakalı durumlarda kullanılamaz. Distribution (Dağıtım) grupları genellikle bir kerede tümüne mesaj (e-mail, anlık mesaj vb) gönderilebilecek bir mesaj listesi olarak kullanılır. Microsoft Exchange distribution listeleri, Active Directory distribution gruplarıyla kullanılır. Buna karşılık, security (güvenlik) grupları oturum açma esnasında, kullanıcının üyesi olduğu tüm grupların SID’leri, kullanıcının security token’ına eklenir. Security grupları da, distribution (dağıtım) listeleri olarak Exchange tarafından da kullanılabilir.
Token Bloat – Token Şişkinliği Problemi
Yukarıda üye olunan grupların SID’lerinin kullanıcının security token’ına eklendiğinden bahsedilmişti. Kerberos’u destekleyen tüm Windows sürümleri, security principal (kullanıcı, grup, servis vs) çok fazla grubun üyesiyse, sorunlarla karşılaşacaktır. Sorun, security principal’ın aldığı token’ın Windows tarafından işlenemeyecek kadar büyük hale gelmesi ve kullanıcıların kimlik doğrulama veya diğer Kerberos sorunları yaşayabilmesidir. Bu fenomen genellikle token bloat (token şişkinliği) olarak adlandırılır. Distribution listelerinin ve security gruplarının üç farklı kapsama ayrılması, Windows NT’nin mirasından ve Global Catalog – GC’dan kaynaklanmaktadır. Global groups ve domain local groups, Windows NT gruplarının doğrudan torunlarıdır. Bu grupların üyeliği, yalnızca oluşturuldukları domain’in domain controller’ında mümkündür. Universal Group, içinde oluşturuldukları domain’in domain controller’ında ve forest içindeki tüm global catalog’lardan mümkündür. Universal ve global gruplar, forest içindeki herhangi bir domain yada trusted domain içindeki herhangi bir kaynak yada access control lists (ACLs) için kullanılabilir. Domain local grupları, yalnızca oluşturuldukları domain içindeki ACLs’lerde kullanılabilir.
Active Directory Security Principal nedir?
Active Directory Security Principal, otomatik olarak atanmış bir Security Identifier-SID’si olan herhangi bir hesabı tanımlamak için kullanılan bir terimdir. Security Principal örnek olarak kullanıcılar, gruplar, servisler ve bilgisayarlardır. Security Principal nesnesinin bir parçası, hesabın oluşturulduğu domain tarafından atanan SID (Security Identifier) alanıdır. SID (Security Identifier) konusunda Active Directory Nesneleri ve Active Directory Nedir? konulu makaleler okunabilir.
Active Directory Groups nasıl çalışır?
Active Directory Groups nasıl çalıştığını tam olarak anlamanıza yardımcı olmak için, bu bölümde aşağıdaki öğeleri açıklayacağız:
- Hangi grup türü hangi security principals (kullanıcı, grup, bilgisayar, servis vs.) içerebilir?
- Bir domain içindeki active directory group, başka domain’deki gruba nasıl üye yapılır?
- Farklı grup kapsamları (scopes) arasında dönüşüm(convert) yapmak için hangi seçenekleri kullanabilirsiniz?
Öncelikle, bir domain içindeki grupların yerleştirilmesinin hangi kurallara dayandığını kontrol edelim. Aşağıdaki tabloda hangi gruplarının hangi gruplara üye olabileceği, grup kapsamları (scope) bazında grup üyeliklerinin sınırlamaları gösterilmektedir.
Bu tablo ile domain içi grup üyelikleri açıklanmıştır. Domain’ler arası grup üyelikleri ise aşağıdaki tabloda incelenecektir.
Domain Sınırlarıyla Grup Üyelikleri
Tüm gruplar için kısıtlamalar aşağıdaki tablolarda gösterilmektedir. Universal gruplar farklı alanlardan üyeler içerebilir, ancak bu alanların Forest’ları kapsayamayacağını unutmamak gerekir. Bütün universal grup üyeleri aynı forest’tan olmalıdır.
Grup kapsamına göre grup üyeliği kısıtlamaları:
Domain’e göre grup üyeliği kısıtlamaları:
Bu tablolar referans alınarak domain içinde ya da domain’ler arasında hangi gruba hangi nesnelerin üye olabileceği anlaşılabilir.
Grupları Dönüştürme (Converting Groups)
Hangi grupların dönüştürülebileceğine, grubun mevcut üyelerine ve grubun şu anki türüne ve kapsamına bağlı olarak sınırlamalar vardır. Dönüşüm gerçekleştikten sonra mevcut grup üyeleri yeni grup türünün geçerli üyeleri değilse, dönüştürme işlemi işe yaramaz. Gruplar arasında dönüştürme yeteneği bu kısıtlamalara dayanır:
- Security grupları, distribution gruplara dönüştürülebilir.
- Distribution grupları, security gruplara dönüştürülebilir.
- Bir Domain Local grubu, başka bir Domain Local grubunun üyesi olmaması koşuluyla Universal bir gruba dönüştürülebilir.
- Bir Domain Global grubu, başka bir Domain Global grubu üyesi içermemesi koşuluyla Universal bir gruba dönüştürülebilir.
- Universal bir grup, gruptaki tüm üyelerin grubun bulunduğu domain kullanıcıları olması koşuluyla bir Domain Global gruba dönüştürülebilir.
- Universal bir grup, Domain Local grubuna dönüştürülebilir.
Vakit ayırdığınız için teşekkür ederiz. Lütfen yorum yapmaktan çekinmeyiniz.
Bu makalede Active Directory Groups (Aktif Dizin Grupları) konusunu tartıştık. Makale serimize “En Önemli 7 Active Directory Hesap ve Grupları” isimli makale ile devam edilebilir. Active Directory Grup Yapıları hakkında özellikle grup yetkileri, grup dönüşümleri, grup oluşturma, grup tipini değiştirme, gruba grup üyeliği, gruba kullanıcı üye yapma gibi başka makalelerimiz de olacaktır.
Kısa Notlar:
Active Directory Grup Tipleri ve Yapıları:
- Security Grup,
- Distribution Grup
Active Directory Grup Kapsamları ve Yapıları:
- Domain Local Grup,
- Domain Global Grup,
- Universal Grup.
Active Directory Domain Grupları (Groups), grup yetkileri, grup dönüşümleri ile ilgili makalelere devam edilecektir.
İlerleyen dönemde Active Directory Built-in Local Groups (Yerleşik Global Gruplar) olan;
- Domain Users,
- Domain Admins,
- Domain Guests,
- Enterprise Admins,
- Group Policy Creator Owners,
- Schema Admins grupları ve yetkileri,
Active Directory Built-in Domain Local Groups (Yerleşik Domain Yerel Gruplar) olan;
- Account Operators,
- Print Operators,
- Server Operators,
- Administrators,
- Guests,
- Backup Operators,
- Users,
- Network Configuration Operators,
- Pre–Windows 2000 Compatible Access,
- Remote Desktop Users,
- Performance Log Users,
- Performance Monitor Users grupları ve yetkileri,
Built-in System Groups (Yerleşik Sistem Grupları) olan;
- Authenticated Users,
- Creator Owner,
- Network,
- Interactive,
- Anonymous Logon,
- Dialup grupları ve yetkilerine dair makaleler yazılacaktır.
Hocam sağolun ellerinize sağlık çok işime yaradı yeni makeleler ne zaman gelicek .
Çok teşekkür ederim. Haftada bir tane makale yazmaya özen gösteriyorum. Lütfen takipte kalın.