Bu makalemde sistem yöneticileri için temel konulardan birisi olan Active Directory Grup Hesaplarının Yönetimi konusuna detaylı olarak değiniyor olacağım.
Windows Server 2016'da Active Directory Grup Hesapları
Kullanıcı hesaplarını (User Accounts), bilgisayar hesaplarını (Computer Accounts) ve diğer grup hesaplarını (Group Accounts) bir arada toplayarak yönetimlerini kolaylaştırmak için kullanılan Active Directory nesnelerine grup (Group) adı verilmektedir. Grup nesneleri kullanılarak Active Directory'deki kullanıcıların, Network (ağ) üzerindeki paylaştırılmış kaynaklara erişimlerini ve bu kaynaklar üzerindeki izinlerini merkezi ve toplu bir şekilde kontrol edebilmenize olanak sağlamaktadır.
Ağ (Network) üzerinde paylaşıma açılmış olan bir kaynağa birden fazla kullanıcının erişmesi söz konusu ise, bu kullanıcılara tek tek izin ataması yapmak yerine, bir grup oluşturup, kullanıcıları da ilgili grubun üyesi yaparak kullanıcıların üye olduğu ilgili gruba da izin ataması yapmak suretiyle izin yönetim işlemlerini kolaylaştırmanız daha pratik hale gelmektedir.
Aynı şekilde gruplara başka grupları da üye (Member) yaparak, o grupların üyelerini de tek bir grup üzerinden izin atamaları kapsamında yönetmek de pratik bir yöntemdir.
Windows Server 2016 Active Directory Grup Türleri (Active Directory Group Type)
Active Directory grup hesabında 2 adet Active Directory Grup Türü (Active Directory Group Type) olduğu görülür.
Bunlar;
1- Güvenlik Grubu (Security Groups)
Bu grup türü, sistem içerisindeki kaynaklara izin ataması yapmak için kullanılır.
2- Dağıtım Grubu (Distribution Group)
Bu grup türü, Exchange Server için e-posta dağıtım grubu olarak aynı anda birden fazla kullanıcıya e-posta gönderimi amacıyla kullanılmaktadır.
NOT 1: Dağıtım Grubu (Distribution Group) türü, Domain içerisindeki kaynaklara izin ataması yapmak için kullanılamaz.
NOT 2: Güvenlik Grubu (Security Groups) türünü, Exchange Server için e-posta dağıtım grubu olarak kullanılabilir olmasına rağmen bu, tavsiye edilen bir yöntem değildir.
Windows Server 2016 Active Directory Grup Alanları (Active Directory Group Scope)
Active Directory grup hesabında 3 adet Grup Alanı (Group Scope) olduğu görülür. Her grup alanları kendine özgü çeşitli özelliklere sahiptir. Domain yapısı içerisinde yapılacak işleme göre, oluşturulacak grubun alanı belirlenmektedir. Bunlar;
● Domain Local: Domain local grup, sadece oluşturulduğu Domain içerisinde görülebilir. Dolayısıyla sadece oluşturulduğu Domain içerisindeki kaynaklara sahip olduğu izinler doğrultusunda erişim sağlanabilmektedir.
● Global: Global grup, Hem kendi Domain'inde hem de güven ilişkisinde olduğu (Active Directory Trust yapılandırlmış Domain'ler) diğer Domain'lerde görülebilir. Dolayısıyla hem kendi Domain'inde hem de güven ilişkisine sahip olduğu Domain'lerden erişim sağlanabilmektedir.
● Universal: Universal grup, bulunduğu Forest yapısı içerisindeki tüm Domain'lerdeki kaynaklardan erişim sağlanabilmektedir.
NOT 3: Windows Server 2000 ve Windows Server 2003 Domain yapılarında Domain Functional level (DFL) seviyesi Windows 2000–Mixed mode'da çalışıyorsa, bu grubu kullanamıyorduk. Domain Functional Level (DFL) seviyesinin Windows Server 2000 native ve üzeri seviyelerde Universal Group kullanılabiliyordu.
Daha detaylı bilgiyi aşağıdaki Active Directory Grup Hesapları Türleri, Kapsam Alanları ve Tür Dönüşümleri Tablosundan inceleyebilirsiniz.
Windows Server 2016 Active Directory Grup Hesapları Türleri, Kapsam Alanları ve Tür Dönüşümleri Tablosu
Active Directory Grup Hesaplarını yönetirken; Grup Hesap türlerini, Kapsam alanlarını (Scope) ve grupların tür (Group Type) dönüşümlerini de iyi biliyor olmak gerekir. Aşağıdaki tabloda detaylı bir şekilde bu bilgiler yer almaktadır. Grup yönetimlerinde bu tablodaki bilgileri göz önüne almanızı tavsite ederim.
|
Grup Alanı |
Grup Üyelikleri |
Grup İzin Alanları |
Grup Erişim Alanları |
Grup Tür Dönüşümü |
|
Universal |
• Forest içerisinde Trust ilişkisi içinde olduğu herhangi bir Domain'den User ve Computer hesapları.
• Forest içerisinde Trust ilişkisi içinde olduğu herhangi bir Domain'den Global Gruplar.
• Forest içerisinde Trust ilişkisi içinde olduğu herhangi bir Domain'den Universal Gruplar. |
• İzin atamaları Trust ilişkisi olduğu herhangi bir Domain'den yapılabilir. |
• Trust ilişkisi olduğu diğer Domain'ler de dahil, Tüm Forest'tan erişim sağlanabilir. |
• Domain Local
• Global (Grup içinde başka bir Universal Grup üyesi barındırmadığı sürece) |
|
Global |
• SADECE içinde bulunduğu Domain'den User ve Computer hesapları.
• SADECE içinde bulunduğu Domain'den Global Gruplar. |
• İzin atamaları Trust ilişkisi olduğu herhangi bir Domain'den yapılabilir. |
• Trust ilişkisi olduğu diğer Domain'ler de dahil, Tüm Forest'tan erişim sağlanabilir. |
• Universal (Başka bir Global Group içinde Member olarak barındırmadığı sürece) |
|
Domain Local |
• Forest içerisinde Trust ilişkisi içinde olduğu herhangi bir Domain'den User ve Computer hesapları.
• Forest içerisinde Trust ilişkisi içinde olduğu herhangi bir Domain'den Global Gruplar.
• Forest içerisinde Trust ilişkisi içinde olduğu herhangi bir Domain'den Universal Gruplar.
• Ana global grup olarak SADECE içinde bulunduğu Domain'den SADECE Domain Local Gruplar. |
• İzin atamaları SADECE içinde bulunduğu Domain'den yapılabilir. |
• Bulunduğu Domain (Forest) dışından erişilemez. |
• Universal (Grup içinde başka bir Domain Local Grup üyesi barındırmadığı sürece) |
Faydalı olması dileğiyle...
Etiketler: Windows Server 2016, Universal gruplar, Global gruplar, Active Directory grup türleri, Active directory grup kapsamları, Domain Local gruplar, Security Group, güvenlik grubu, Distribution Group, e-posta dağıtım grubu.