İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 01.10.2018 1

Active Directory Grup Hesaplarının Yönetimi

Active Directory kullanıcı hesaplarını, bilgisayar hesaplarını ve diğer grup hesaplarını bir arada toplayarak yönetimlerini kolaylaştırmak için kullanılan Active Directory nesnelerine GRUP adı verilmektedir. Grup nesneleri kullanımı; Active Directory kullanıcı, bilgisayar ve diğer grup hesapları için yapılacak toplu işlemlerde çok geniş bir kullanım alanına sahiptir. Bunun en sık kullanılan örneği olarak Active Directory'deki kullanıcıların, Network üzerindeki paylaştırılmış kaynaklara erişimlerini ve bu kaynaklar üzerindeki izinlerini merkezi ve toplu bir şekilde kontrol edebilmenize olanak sağlanması olarak gösterebiliriz. Bu bağlamda, bir Network üzerinde paylaşıma açılmış olan bir kaynağa birden fazla kullanıcının erişmesi söz konusu ise, bu kullanıcılara tek tek izin ataması yapmak yerine bir grup oluşturup, kullanıcıları da ilgili grubun üyesi yaparak kullanıcıların üye olduğu ilgili gruba da NTFS zin ataması yapmak suretiyle izin yönetim işlemlerini kolaylaştırmanız daha pratik hale gelmektedir. Aynı şekilde gruplara başka grupları da üye yaparak, o grupların üyelerini de tek bir grup üzerinden izin atamaları kapsamında yönetmek de pratik bir yöntemdir.

Bu makalemde sistem yöneticilerinin Active Directory yönetiminde nesnelerinin yönetimi noktasında büyük kolaylık sağlayan konulardan birisi olan Active Directory grup hesapları ve yönetimi konusuna detaylı olarak değiniyor olacağım. 

Active Directory Grup Türleri (Active Directory Group Type)

Active Directory grup hesabında 2 adet Active Directory Grup Türü (Active Directory Group Type) olduğu görülür. Bunlar;

1- Güvenlik Grubu (Security Groups)
Bu grup türü, sistem içerisindeki kaynaklara NTFS izin ataması yapmak için kullanılır.

2- Dağıtım Grubu (Distribution Group)
Bu grup türü, Exchange Server için e-posta dağıtım grubu olarak aynı anda birden fazla kullanıcıya e-posta gönderimi amacıyla kullanılmaktadır.

NOT 1: Dağıtım Grubu (Distribution Group) türü, Domain içerisindeki kaynaklara izin ataması yapmak için kullanılamaz.
NOT 2: Güvenlik Grubu (Security Groups) türünü, Exchange Server için e-posta dağıtım grubu olarak kullanılabilir olmasına rağmen bu, tavsiye edilen bir yöntem değildir.

Active Directory Group Type
 

Windows Server 2016 Active Directory Grup Alanları (Active Directory Group Scope)

Active Directory grup hesabında 3 adet Grup Alanı (Group Scope) olduğu görülür. Her grup alanları kendine özgü çeşitli özelliklere sahiptir. Domain yapısı içerisinde yapılacak işleme göre, oluşturulacak grubun alanı belirlenmektedir. Bunlar;

● Universal: Universal grup, bulunduğu Forest yapısı içerisindeki tüm Domain'lerdeki kaynaklardan erişim sağlanabilmektedir.

● Global: Global grup, Hem kendi Domain'inde hem de güven ilişkisinde olduğu (Active Directory Trust yapılandırlmış Domain'ler) diğer Domain'lerde görülebilir. Dolayısıyla hem kendi Domain'inde hem de güven ilişkisine sahip olduğu Domain'lerden erişim sağlanabilmektedir.

Domain Local: Domain Local grup, sadece oluşturulduğu Domain içerisinde görülebilir. Dolayısıyla sadece oluşturulduğu Domain içerisindeki kaynaklara sahip olduğu izinler doğrultusunda erişim sağlanabilmektedir.

NOT 3: Windows Server 2000 ve Windows Server 2003 Domain yapılarında Domain Functional Level (DFL) seviyesi Windows 2000–Mixed mode'da çalışıyorsa, bu grubu kullanamıyorduk. Domain Functional Level (DFL) seviyesinin Windows Server 2000 native ve üzeri seviyelerde Universal Group kullanılabiliyordu.

Daha detaylı bilgiyi aşağıdaki Active Directory Grup Hesapları Türleri, Kapsam Alanları ve Tür Dönüşümleri Tablosundan inceleyebilirsiniz.

Active Directory Group Scope

Grup Hesapları Türleri, Kapsamları, İzin Atamaları, Erişim Alanları ve Kapsam Dönüşümleri Tablosu

Active Directory Grup Hesapları yönetiminde grup hesap türlerini, kapsam alanlarını ve grupların tür dönüşümlerini de iyi biliyor olmak gerekir. Aşağıdaki tabloda detaylı bir şekilde bu bilgiler yer almaktadır. Grup yönetimlerinde bu tablodaki bilgileri göz önüne almanızı tavsiye ederim.

Kapsam Üyelik İzin ataması Erişim Kapsam dönüşümü
Universal • Forest içindeki herhangi bir Domain'den User ve Computer hesapları.
• Forest içindeki herhangi bir Domain'den Global Gruplar.
• Forest içindeki herhangi bir Domain'den Universal Gruplar.
• Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den. • Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den. Domain Local
Global 
(Grup içinde başka bir Universal grup, Member olarak barındırmadığı sürece.)
Global • SADECE içinde bulunduğu Domain'den User ve Computer  hesapları.
• SADECE içinde bulunduğu Domain'den Global Gruplar.
• Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den. • Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den. Universal
(Dönüştürülmek istenen Global grup, başka bir Global grup içinde Member olarak barındırmadığı sürece.)
 
Domain Local • Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den User ve Computer hesapları.
• Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den Global Gruplar.
• Forest içindeki herhangi bir Domain'den veya Trust ilişkisinde olduğu herhangi bir Forest'taki herhangi bir Domain'den Universal Gruplar.
• SADECE içinde bulunduğu Domain'den Domain Local Gruplar.
• SADECE içinde bulunduğu Domain'den. • SADECE içinde bulunduğu Domain'den. Universal
(Grup içinde başka bir Domain Local grup, Member olarak barındırmadığı sürece.)

Faydalı olması dileğiyle...

Etiketler: Windows Server 2016, Universal gruplar, Global gruplar, Active Directory grup türleri, Active directory grup kapsamlarıDomain Local gruplar, Security Group, güvenlik grubu, Distribution Group, e-posta dağıtım grubu.


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum. Kıdemli Sistem Mühendisi, Microsft Sertifikalı Eğitmen (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest, Noter Yeminli Tercümanım. 18 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum ve Bilgi Teknolojileri alanında eğitim hizmetleri veren Bilge Adam bünyesinde Microsoft Sertifikalı Eğitmen (MCT) olarak Sistem ve Network Uzmanlığı eğitimleri veriyorum. Bunun yanı sıra, kurumsal firmalara BT danışmanlık hizmetleri de vermekteyim. Hakkımda daha fazla bilgi sahibi olmak ve sahip olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.

YORUMLAR
Bu makaleye 1 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


29.05.2020 salih dağdelen
merhaba,size şöyle bir sorum olacaktı.Aşağıdakilerden hangisi active directory kurulu işetim sisteminde yerleşik (built in) kullanıcı/gruplardan biri değildir A)InetOrgPerson B) Replicators C) Backup operators D) OU User E) Users