Windows Server 2016'da Active Directory Kullanıcı Özelliklerinin İncelenmesi

Active Directory kullanıcı hesapları, Domain ortamında bir bilgisayarda oturum açıp, mevcut kaynakları kullanabilmesi için yine Active Directory Users and Computers içinde ilgili Organization Unit (OU) içinde açılan nesnelerdir. Bu Active Directory nesneleri (Active Directory Objects) sayesinde kullanıcılar, bilgisayarlarının bağlı bulunduğu Domain ortamlarında oturum açarak Active Directory Domain servis hizmetlerini kullanmaya başlarlar. Bu makalemde, Windows Server 2016'da Active Directory ortamındaki kullanıcı hesaplarının  özelliklerinin detaylı bir şekilde incelemesini gerçekleştiriyor olacağım.

Active Directory Users and Computers içindeki bir Organization Unit (OU) içinde Fırat Boyan adındaki örnek Active Directory kullanıcı hesabım üzerinde sağ tıklayarak, Properties seçeğini seçiyor, kullanıcı özelliklerine erişim sağlıyorum.



1- General Sekmesi
Bu sekme, kullanıcının en temel özlük bilgilerinin bulunduğu sekmedir. Bu sekmede;

● Fist name: Kullanıcı adı. (max. 28 karakter)
● Last name: Kullanıcı soyadı. (max. 29 karakter)
● Display nane: Kullanıcı adı ve soyadının birleşimden oluşan, görünen ad.
Bu isim, Active Directory listesinde görünen isimdir. (max. 256 karakter)
● Office: Kullanıcının çalıştığı ofis bilgisi.
● Telephone number: Kullanıcı telefon numarası.
● E-mail: Kullanıcı e-posta adresi.
● Web page: Kullanıcı web sitesi adresi (genelde şirket Domain adı).



2- Address Sekmesi
Bu sekme, kullanıcının özlük bilgilerinin bulunduğu bir diğer sekmedir. Bu sekmede;

● Street: Adres cadde adı bilgisi. 
● P.O Box: Post Office Box olarak adlandırılır. Postanelerde ya da halkın kolayca erişebileceği yerlerde bulunan küçük posta kutularıdır. 
● City: Şehir bilgisi.
● State/Province: İl/İlçe bilgisi.
● Zip/Postal Code: Adres posta kodu bilgisi.
● Country/region: Ülke/bölge bilgisi.



3- Account Sekmesi
Bu sekme, Kullanıcı hesabı özelliklerindeki en önemli sekmelerden birisidir. kullanıcının bir bilgisayara oturum açmak için gerekli olan hesap bilgilerini içerir. Bu sekmede;

● User Logon name: Domain'e dahil olmuş bir bilgisayarda oturum açmak için gerekli olan kullanıcı adıdır. Max. değer 256 karakterle sınırlıdır.
● User Logon name (pre-Windows 2000): Windows Server 2000 öncesindeki Domain'lere dahil olmuş bilgisayarda oturum açmak için gerekli olan kullanıcı adıdır. Max. 20 karakter ile sınırlıdır.
● Logon Hours...: Kullanıcının hangi saatlerde domain'de (etki alanı) oturum açmasını isterseniz, bu kısımdan ayararlamanız gerekiyor.
● Log On To...: Kullanıcının hangi bilgisayar(lar)da oturum açmasını isterseniz, bu kısımdan ayararlamanız gerekiyor. Varsayılan olark All Computers ayarlıdır ancak The following computers seçeneği seçilirse Kullanıcı, burada belirlenen bilgisayarlar dışında hiçbir bilgisayarda Domain ortamında oturum açamayacaktır.
● Unlock account: Domain ortamındaki kullanıcılar, bilgisayarlarından oturum açma sırasında (varsayılan GPO'ya göre) 3 kez yanlış parola girerlerse, güvenlik açısınıdan hesap kilitlenir. Buradaki Checkbox, işaretli durumda olur. Kullanıcı hesabı kilidi açmak için bu işareti kaldırmamız yeterlidir.
● Account options:
- User must change password at next logon: Bu parametrenin işaretlenmesi durumunda kullanıcı, Domain ortamında ilk Logon olması durumunda kullanıcı, sistem tarafından parolasının değiştirilmesi için zorlanır.
- User cannot change password: Bu parametrenin işaretlenmesi durumunda kullanıcı, parolasını hiçbir şekilde değiştiremez.
- Store password using reversible encryption: Bu parametrenin işaretlenmesi durumunda parolanın ters şifreleme tekniği ile şifrelenmesini ve veritabanında bu şekilde saklanmasını sağlar ancak ben şahsen kullanılmasını önermem çünkü performans kaybına yol açmaktadır.
- Account is disabled: Şireketten ayrılan bir kullanıcının hesaplarının silinmesi yerine devre dışı bırakmak, çok data tercih edilir bir yöntemdir. Bu parametrenin işaretlenmesi durumunda kullanıcı hesabını devre dışı bırakabilir, dilediğiniz zaman aktif hale getirebilirsiniz. Bu parametre kullanımının bir avantajı da, kullanıcılar Active Directory ortamında SID nuramaları ile tutuldukları için, kullanıcı hesabının silinmesi yerine devre dışı bırakılması, kullanıcının tanımlı olduğu klasör izinlerinin (NTFS izinleri) de korunması anlamına gelmektedir. Kullanıcının tekrar şirkette işe başlaması ihtimaline karşı, kullancı için tekrar klasör izni girme zahmetine de katlanmamış olursunuz ki aslında bu politika, şirketten şirkete değişir. Ama yine de küçük bir ipucu niteliğinde aklınızda olsun.
- Smart Card is required for interactivate logon: Bu parametrenin işaretlenmesi durumunda kullanıcının E-Token yazılımı ve donanımsal E-Token kartı ile sisteme Logon olmasını sağlayabilirsiniz. Bu ayrı bir makale konusu olduğu için, bu konuya burada değinmeyeceğim.
- Account is sensitive and cannot be delegated: Bu parametre, guest ya da geçici bir kullanıcı hesabı için başka bir kullanıcı tarafından delegasyon atanması istenmiyorsa aktifleştirilir. Ek olarak, özellikle Administrator hesapları gibi hassas bir kullanıcı hesabı üzerinde de bu özellik aktifleştirilerek, delegasyon atamalarında bu kullanıcı hesaplarının kullanımı engellenebilmektedir ki güvenlik açısından da tavsiye edilir.
- Use only Kerberos DES encryption types for this account: Bu parametre, Data Encryption Standard (DES) şifreleme desteğini sağlar. Data Encryption Standard (DES), veri şifrelemek (encryption) ve şifrelenmiş verileri açmak (decryption) için geliştirilmiş bir standarttır. Esasında kullanılan yönteme (veya algoritmaya) DEA yani Data Encryption Algorithm (Veri Şifreleme Algoritması) adı verilmektedir. Bu algoritmanın standartlaştırılmış halinin ismi DES olarak geçmektedir.
● Account Expires: Açılan kullanıcı hesabının belirtilen bir sürede sona erip, ermeyeceği ile ilgili ayarlama bu bölümden yapılır.
- Never: Kullanıcı hesabı hiçbir zaman sona ermez.
- End of: Kullanıcı hesabı belirlenen bir zamanda sona erer.

4- Profile Sekmesi
Bu sekme; kullanıcının profil yolu, oturum açma komut dosyası gibi kişiye özel çalışma koşulları ile ilgili ayarları buradan yapabilirsiniz.

● Profile path: Kullanıcıya ait profil (özellikle Roaming Profile), yolu bilgisinin tanımlandığı alandır. Roaming Profile, makalemizin dışında uzunca ele alınması gereken bir konu olduğu için burada değinmeyeceğim ancak kısa bir bilgi vermek gerekirse; bir kullanıcı profili ile ilgili tüm ayarlama ve düzenlemelerin, kullanıcının oturum açtığı başka bir bilgisayar üzerinde oturum açtığında dahi tüm ayarların o bilgisayar üzerinde de geçerli olması işlemidir.
● Logon Script: Logon Scrip'tler (Batch Scrtip), kullanıcılar oturum açtıktan sonra bazı işlerin otomatik olarak yapılmasını sağlayan yazılımsal komutlardır. Kullanıcı için sürücü bağlama, printer gibi aktif cihazların otomatik kullanılabilir hale getirilmesi, paylaşım alanlarının otomatik erişimlerinin sağlanması veya bunlara ekleme çıkartılma yapılması gibi işlemlerinin otomatik olarak yapılmasını sağlarlar. Daha ileri düzey işlevler için kullanımıda mümkündür.



5- Telephones Sekmesi
Bu sekme; kullanıcıya ait ev telefon numarası, çağrı numarası, cep telefonu numarası, faks ve iş yeri numarası gibi bilgiler tanımlanabilir. Bilgi amaçlıdır.



6- Organization Sekmesi
Bu sekme; kullanıcının iş ünvanı, çalıştığı bölüm, şirket ve yönetici bilgileri bu alanlarda tanımlanabilir.



7- Remote Desktop Services Profile Sekmesi
Bu sekme; Kullanıcıya ait profil (özellikle Roaming Profile), yolu bilgisinin tanımlandığı Profile Path sekmesiyle hemen hemen aynıdır ancak buradaki fark, kullanıcı profil ayarlarının, kullanıcı uzak masaüstü bağlantısı yaptığında oturum açtığı bilgisayarda geçerli olması işlemidir. Kısaca tekrar hatırlarmak gerekirse Roaming Profile; bir kullanıcı profili ile ilgili tüm ayarlama ve düzenlemelerin, kullanıcının oturum açtığı başka bir bilgisayar üzerinde oturum açtığında dahi tüm ayarların o bilgisayar üzerinde de geçerli olması işlemidir.

● Profile Path: Burası, yukarıda belirttiğim konu ile ilgili olarak, Romaning Profile yapılandırılmış kullanıcının Profile Path sekmesinde yaptığımız gibi profil yolunun yazıldığı kısımdır.
● Deny this user permissions to log on to Remote Desktop Session Host Server: Kullanıcının Terminal Server'a oturum açması engellenir.



8- COM+ sekmesi
COM+, yazılımcıların geliştirdikleri yazılımların, Active Directory tarafında kullanıcı bazlı yetkilendirme yapmak istedikleri zaman kullanılacak olan bir özelliktir. Bu yazılım; Windows Server tarafında bir Agent ile haberleştirildiğinde, ilgili yazılımın hangi kullanıcı için, hangi Paritition Set'lerine izin atanacağı seçilmektetir.



9- Attribute Editor Sekmesi
Bu sekme içeriğini anlayabilmek için, Active Directory Schema yapısını bilmek gerekir. Schema, Active Directory nesnelerinin tüm bilgilerini tutan yapıdır. Bu yapılar; Class'lardan (sınıf) oluşur ve her bir Class içinde, o Class'a ait Attribute'lar (öz nitelik) bulunur. User (Kullanıcı) da bir nesne Class'dır ve bu Class'ın da Attribute'ları (öz nitelikleri) vardır. Bir objeye ait hangi bilgilerinin saklanacağı Attribute'lar ile tanımlanır. İşte kullanıcı nesne özelliklerinin Attribute'ları (öz nitelikleri) Attribute Editor içinde yer alır. Forest içerisinde tek bir Schema bulunur ki bunu FSMO Rolleri makalemde ele alarak, detaylıca anlatmıştım. Ek olarak Active Directory Class ve Attribute'ları hakkında daha detaylı bilgi için Active Directory Schema TC. Kimlik No Attribute ekleme konulu makalemi okumanızı tavsiye ederim.



10- Environment Sekmesi
● Starting Program: Remote Desktop Service (RDS) kullanılarak oturum açıldığında otomatik olarak belirlediğimiz programın çalışmasını sağlar.
● Client devices: Bu bölümdeki seçenekleri işaretlememiz durumunda, bağlantı kurduğumuz bilgisayarın sabit Disk ve yazıcılarını kullanabilme olanağına sabip oluruz.



11- Sessions Sekmesi
Bu sekme, kullanıcı RDS-Remote Desktop Service (terminal hizmetleri) kullanılarak oturum açıldığında bağlantı ayarlarını belirlemek için kullanılır.

● End a disconnected session: Kullanıcı, Remote Desktop Connection (RDC) ile bağlantı kuruduğu pencerenin kapatma simgesine (sağ üstteki çarpı simgesi) tıklayarak Session'ı (oturumu) kapatmışsa ya da elektrik, Network vb. kesintilerden dolayı bağlantı koptuğunda oturumla ilgili hangi kapatma (disconnect olma) işmeminin yapılıp yapılmayacağının belirlendiği bölümdür. Burada varsayılan değer Never (asla) olma birlikte; 1dk, 5dk, 10dk, 15dk, 30dk ve 1 saat gibi değerler de yer almaktadır.
● Active session limit: Etkin oturum açma sınırını tanımladığımız bölümdür. Başka bir ifade ile kullanıcı, Remote Desktop Service (RDS) kullanılarak bağlantı kurduğunda 30dk veya 1 saatten fazla sisteme bağlı kalması gibi sınırlamalar getirebiliriz. Varsayılan değer Never (asla) kalması durumunda ise, herhangi bir sınırlama getirmemiş oluruz. Buna ek olarak; 1dk, 5dk, 10dk, 15dk, 30dk ve 1 saat gibi değerler de yer almaktadır.
● Idle session limit: Kullanıcı oturuma bağlıyken; herhangi bir işlem yapmadığı, yani oturumun boşta kalması durumunda, ne kadar süre Idle (boşta) kalacağını belirlediğimiz bölümdür. Varsayılan değer Never (asla) kalması durumunda ise, herhangi bir sınırlama getirmemiş oluruz. Buna ek olarak; 1dk, 5dk, 10dk, 15dk, 30dk ve 1 saat gibi değerler de yer almaktadır.
● When a session limit is reached or connection is broken: Oturum sınırına ulaşıldığında sistem tarafından otomatik olarak ne yapılacağını belirlediğimiz bölümdür.
- Disconnect from session: Kullanıcının oturumunu kes.
- End session: Kullanıcının oturumuna son ver.

Bu iki parametre arasında şöyle bir fark var;

- Disconnect from session: Kullanıcının oturumunu kes olarak belirlersek, oturum sınırına ulaşıldığı zaman bağlantı kopar ve kullanıcı tekrar bağlandığında kaldığı yerden çalışmaya devam eder.
- End session: Kullanıcının oturumuna son ver olarak belirlersek, kullanıcı tekrar bağlandığında kaldığı yerden çalışmaya devam edemez.



12- Remote Control Sekmesi
Bu sekme; RDS-Remote Desktop Service (terminal hizmetleri) kullanarak oturum açmış bir kullanıcının oturumunu denetlemek ve gözlemek için bu sekmedeki parametrelerden yararlanılır.

● Enable remote controls: Bu parametre ile uzaktan denetim özelliği aktifleştirilebilir (varsayılan olarak işaretlidir.).
● Require user's permission: Kullanıcı bağlantısını izlemek içni kullanıcı onayı isteniyorsa, bu parametre etkin durumda bırakılır ki varsayılan olarak etkindir. Eğer bu paramete işaretlenmezse, kullanıcı onayı olmadan kullanıcı oturumu gözlemlenebilir.
● Level of control (Denetim düzeyi): parametreleri ile denetim düzeyi ayarlanabilir.
- View the user's session: Kullanıcının oturumunu görüntüle.
- Interact with the session: Kullanıcı oturumuna katıl.

Bu iki parametre arasında bizim için önemli bir far var. Bu fark;

- View the user's session: Kullanıcının oturumunda sadece görüntüleme yapılabilir.
- Interact with the session: Kullanıcının oturumunda sadece gözlem yapılabilir ki bu da oturuma müdahale edemeyeceğiniz anlamına gelir. Interact with the session (Kullanıcı oturumuna katıl) parametresi ile işlem yapılmak istendiğinde, kullanıcı oturumuna aynı anda iki kullanıcı bağlanabilme olanağına sahip olunur.



13- Member Of Sekmesi
Bu sekme; kullanıcının dahil olduğu Active Directory grup bilgisini görme, gruba dahil etme ve gruptan çıkartma işlemlerinin yapıldığı sekmedir. Domain ortamınızda oluşturduğunuz her yeni kullanıcı, varsayılan olarak Domain Users grubunun üyesidir. Kullanıcıları gruplara nasıl üye yapacağımız konumız dışında olduğu için, bu kısıma değnmeyeceğim.



14- Password Replication Sekmesi
Salt okunur (Read Only) etki alanı denetleyicileri (RODC) üzerinde, varsayılan olarak hiçbir kullanıcı veya bilgisayarın parolası veya parola özeti bulunmamaktadır ve Kimlik doğrulaması standart etki alanı denetleyicisi (Read-Writable Domain Controller) üzerinde gerçekleştirilir. Sadece Allowed RODC Password Replication Group içerisinde yer alan hesapların parola bilgileri ön bellekte saklanabilir. Bu özelliğe Credential Caching (Kimlik Bilgilerini Ön Bellekte Tutma) adı verilir. Bu konu, ayrıca ele alınması gereken oldukça detaylu bir konu olduğu için, bu sekme ile iligili bilgiyi şimdilik bu bilgi ile sınırlı tutuyorum.





15- Dial-in Sekmesi
Bu sekme, kullanıcının uzak bağlantı erişimi ile ilgili ayarlarının yapıldığı bölümdür. Uzak bağlantı erişim hizmeti RAS (Remote Access Server) ile yapılmaktadır. RAS'ın özelliği, VPN veya telefon hattı ile kendisine bağlanılabilmesidir.

● Network Access Permission (Uzaktan Erişim İzni): Uzaktan erişim ile ilgili 3 parametre bulunmaktadır.
-Allow access: Erişime her zaman izin verilsin.
-Deny access: Erişim engellensin.
-Control access through NPS Network Policy: NPS (Network Policy-Ağ İlkesi) aracılığı ile erişimin denetlensin.
● Verify Caller-ID: Arayanın kim olduğunu doğrula.
● Callback Options: Geri arama seçecekleri ile ilgili 3 parametre bulunmaktadır.
-No Callback: Geri arama yapılmasın.
-Set by Caller (Routing and Remote Access Service only): Arayana göre ayarla. Bu özellik sadece yönlendirme ve Uzaktan Erişim Hizmeti için geliştirilmiştir.
-Always Callback to: Her zaman geri arama yapılsın. (Bu kısımda belirtilen numara doğrultusunda)
● Assign Static IP Address: Bu parametreyi aktif hale getirerek çevirmeli bağlantı için etkinleştirilecek yolları tanımlayabiliriz.
● Assign Static Routes: Bu parametre ile içeri arama için etkinleştirilecek yolları tanımlayabiliriz.



16- Additional Account Info Sekmesi
Additional Account Info Sekmesi Sistem Yöneticileri için kullanıcı(lar) hakkında bir takım ek bilgilerin erişimini kolaylaştırmaktadır. Bu makalemi de bağlantıya tıklayarak okumanızı tavsiye ederim. Konuyla bağlantılı ve ilgili larak Active Directory Group Hesaplarının Yönetimi konulu makalemi de okumanızı tavsiye ederim.

Faydalı olması dileğiyle...