Mandatory Profile (Zorunlu Profil), kulanıcı profilinde herhangi bir değişiklik yapılmasına izin verilmeyen profil türüdür. Mandatory Profile yapılandırabilmek için, Mandatory Profile yapılandırılacak kullanıcı için daha önceden Roaming Profile yapılandırılmış olması şarttır.
1- Mandatory Profile yapılandırılacak kullanıcı için daha önceden Roaming Profile yapılandırılmış olması şart olduğunu söylemiştim. Buna bağlı olarak; daha önceden Roaming Profile için oluşturduğum paylaşım klasörüne girip, User5 için oluşturduğum Roaming Profile kullanıcı klasörüne giriş yapıyorum.
1.1- Burada bir sorunla karşı karşıyayız. Sorun, Administrator bile olsanız, Roaming Profile kullanıcı klasörüne giriş yapamaya yetkiniz olmadığıdır. Continue butonuna tıklasanız bile, gerekli izniniz olmadığı uyarısı ile karşılaşırsınız.
Klasör Sahipliği ve Yetkilendirme işlemleri-1
2- Bu yetki sorununu aşmak için yapmanız gereken şey; hedeflediğimiz yapılandırmayı yapana kadar, Administrator kullanıcısına geçici olarak olarak klasör sahipliğini ve NTFS izinleri için gerekli yapılandırmaları yapmak olacaktır. Bunun için;
2.1- Roaming Profile kullanıcı klasörü üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.
2.2- Açılan Properties penceresindeki Security sekmesi üzerinde Advanced butonuna tıklıyorum.
2.3- Bu alanda öncelikle Administrator kullanıcısına klasör sahipliğini atayacağız. Bunun için Owner bölümünde Change bağlantısına tıklıyorum.
2.4- Administrator kullanıcısını seçip, OK butonuna tıklıyorum.
2.5- Klasör sahipliğini Administrator kullanıcısına atadıktan sonra, üst dizindeki klasör dahipliğinin alt dizindekilere de uygulanması için Replace owner on subcontainers and object seçeneğini seçiyor, OK butonuna basıyorum.
.png)
2.6- Klasör sahipliğinin alt dizindekilere de uygulanması işlemini bitirip OK butonuna bastıktan sonra karşıma, belirttiğimiz dizine erişim için Read (okuma) hakkına sahip olmadığımızı, dizine erişim izinleri için Full Control iznine sahip olmak isteyip istemediğimizi soran soruya da YES butonuna tıklayarak onaylıyorum.
2.7- Bu işlemi tamamladıktan sonra, klasör izinlerini görebilmemiz için klasör izinleri pencresini kapatıp tekrar açmamız gerekmektedir. Çıkan bilgilendirmeye OK butonuna tıklayarak kapatıyorum.
2.8- Klasör izinleri pencresini tekrar açtığımda, Administrator kullanıcısına atanan Full Control iznini görüntüleyebiliyorum. Burada yapmak istediğim bir diğer çok önemli işlem ise, klasör sahipliğini alt dizindeki klasörlere de uyguladığım gibi aynen burada da Replace all child object permission entiries with inheritible permission entires from this object seçeğini seçerek, Administrator kullanıcısının sahip olduğu Full Control izninin alt dizindeki klasörler için de geçerli olmasını sağlıyorum.
2.8.1- Bu işlemi yapmazsanız, kullanıcı profili veri tabanı (NTUSER.DAT) üzerinde gerçekleştirmek istediğimiz yapılandırma için izniniz olmadığı uyarısı ile karşılaşırsınız.
2.9- Replace all child object permission entiries with inheritible permission entires from this object seçeğini seçerek, Full Control izninin alt dizindeki klasörler için de geçerli olacağı uyarısına YES butonuna basarak onay veriyorum.
2.10- ACL (Access Control List) üzerinde Administrator kullanıcısını ve sahip olduğu Full Control izinini görüyorum.
Kullanıcı Profili Veri Tabanı (NTUSER.DAT) Yapılandırma Ayarları
3- Gerekli izin atama işlemi yapıldıktan sonra, Mandatory Profile yapılandırılacak kullanıcı profiline giriş yapıyorum. Burada NTUSER.DAT isminde bir kullanıcı profili veri tabanı bulunuyor.
View menüsünden show/hide bölümünden Hidden items seçeneğini seçtiğimizde, kullanıcı profili veri tabanı (NTUSER.DAT) görünür durumda olacaktır.
4- NTUSER.DAT profil veri tabanını yeniden adlandırarak .DAT uzantısını .MAN uzantısına çeviriyorum. .DAT, (R/W) özelliğine; .MAN ise sadece (R) özelliğine sahiptir. Bu özelliği sayesinde de, profilde yapılan değişikliker profil veri tabanına yazılmayacaktır ki zaten istenen de budur.
4.1- Dosya uzantı değişikliği, doysanın kullanılamaz olabileceği yönündeki uyarıya YES butonuna basarak devam etmek istediğime onay veriyorum.
Klasör Sahipliği ve Yetkilendirme işlemleri-1
5- NTUSER.DAT profil veri tabanı uzantısını değiştirtirdikten sonra sıra, klasör sahipliğini Mandatory Profile yapılandırılacak kullanıcıya geri vereceğiz. Hatırlarsanız biz, gerekli yönetimsel ayarları yapabilmek için geçici olarak klasör sahipliğini almıştık. Bunun için Owner yazan bölümdeki Change bağlantısına tıklıyorum.
5.1- Mandatory Profile yapılandırılacak olan User5 kullanıcısını seçip, OK butonuna basıyorum.
5.2- Klasör sahipliği, Mandatory Profile yapılandırılacak kullanıcı için değiştikten sonra, klasör sahipliğinin alt klasörlere de uygulanması için Replace owner on subcontainers and objects seçeneğine tıklıyorum ki alt alt klasörlerdeki sahiplik de User5 kullanıcısına geri verilsin.
5.3- Tekrar User5 kullanıcı profil klasörüne sağ tıklayarak Properties seçeneğini seçiyorum.
5.4- Kullanıcı özellikleri Security sekmesinda Advanced butonuna tıklıyor, Advanced Security Settings pencresini tekrar açıyorum. Permission entries alanında User5 kullanıcısını eklemek ve klasör izni atamak için Add butonuna tıklıyorum.
5.5- Principal: bölümünde Select a principle link'ini tıklıyorum.
5.6- User5 kullanıcısını seçip, OK butonuna basıyorum.
5.7- Sadece Read hakkı veriyorum.
5.8- Kullanıcıyı seçip, Replace all child object permission entiries with inheritible permission entires from this object seçeğini seçerek, User5 kullanıcısının sahip olduğu Read izninin alt dizindeki klasörler için de geçerli olmasını sağlıyorum.
5.9- Kullanıcının üst dizindeki izinlerinin alt dizinlere de uygulanacağını ve devam etmek isteyip istemediğimiz yönündeki soruya YES butonuna basarak devam ediyorum.
5.10- Kullanıcı özellikleri Security (NTFS) sekmesinda User5 kullanıcısının sahip olduğu Read iznini görüntülüyorum.
NOT: Tick işaretinin siyah renkte olması, izin atamasının o dizinde yapıldığını gösterir. Bu tick işaretinin rengi, alt klasörlerde gri olarak olarak görünecektir ki bu da, sahip olduğu izin atamasını inheritance (miras) yolu ile aldığını göstirir.
6- En önemli adımlardan birisi de, Kullanıcı profil klasörünün paylaşıma açılması ve yine sadece User5 kullanıcısına Read(okuma) hakkı olacak şekilde network erişimi için izin ataması yapmaktır. Bunun için, Kullanıcı özellikleri Sharing sekmesindaki Share this folder seçeneğini seçip, Kullanıcı profil klasörünü paylaşıma açıyor, aynı zamanda da ilgili alanları alanların aktif olmasını sağlıyorum. Sonrasında da Permissions butonuna tıklıyorum.
6.1- Varsayılan olarak gelen Everyone kullanıcı grubunu Remove butonuna tıklayarak kaldırıyorum.
6.2- Everyone kullanıcı grubunu kaldırdıktan sona bu sefer, Add... butonuna tıklayarak User5 kullanıcsını ekliyorum.
6.3- User5 kullanıcsın seçip, OK butonuna tıklıyorum.
6.4- User5 kullanıcsını ekledikten sonra, kullanıcımın sadece Read hakkına sahip olduğundan emin oluyor, OK butonuna tıklıyorum.
6.5- Kullanıcı profil klasörü paylaşıma açıldı.
Mandatory Profile Yapılandırması Test Aşaması
Mandatory Profile Yapılandırma işlemlerimizi tamamladıktan sonra sıra, yapılandırma ayarlarımızı test etme işlemine geldi.
7- User5 kullanıcsı ile PC10 Hostname'li bilgisayara oturum açıyorum.
7.1- Profilde bir takım değişiklikler yapıyorum.
7.2- Yapılan değişiklikerin kullanıcı profil veri tabanına kaydedilip kaydedilmeceğini test etmek için Sign out oluyorum.
7.3- User5 kullanıcsı ile oturum açıyorum.
8- Oturum açtığınızda profilde hiçbir değişiklik yapılmadığını, Sign out olmadan önce yaptığınız değişkliklerin hiçbirisinin uygulanmadığını göreceksiniz.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.