İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.




Fırat Boyan 17.04.2017 13

Windows Server 2016'da Sharing (Paylaşım) İzinleri

Windows Server 2016'da paylaşım izinleri, dosya ve klasörler üzerinde hassasiyetle yönetilmesi gereken kritik bir konu olarak karşımıza çıkar. Bu izinler, Network üzerindeki kullanıcıların belirli dosyalara veya klasörlere erişimini kontrol etmenizi sağlar ve doğru yapılandırılmadığında veri güvenliği risklerini artırabilir. Paylaşım izinleri, dosyaların kimler tarafından okunabileceğini, yazılabileceğini veya değiştirilebileceğini belirlemenizi sağlayarak, Network'teki veri yönetimini güvenli ve düzenli hale getirir. Özellikle büyük organizasyonlarda, her kullanıcıya farklı seviyelerde erişim hakkı tanımlamak gerekebilir ve bu da Windows Server 2016'nın sunduğu detaylı izin yapılandırmaları sayesinde mümkündür.

Paylaşım izinlerinin temel amacı, dosya ya da klasörlere yerel Network üzerinden erişen kullanıcıların neler yapabileceğini sınırlamaktır. Windows Server 2016'da paylaşım izinlerini yapılandırmak oldukça basittir. İlk adımda, paylaşılacak klasör seçilir ve ardından belirli kullanıcılar ya da gruplar için izinler atanır. Bu izinler, Read, Change ve Full Control olarak üç ana başlıkta toplanır. Read, kullanıcının yalnızca dosyaları görüntüleyebilmesine olanak tanırken; Change, dosyaların düzenlenmesini ve silinmesini sağlar. Full Control ise en yüksek seviyede erişim iznini tanımlar ve kullanıcıya dosya veya klasör üzerinde tam yetki verir. Bu izinlerin doğru şekilde yapılandırılması, Network üzerindeki kullanıcıların ihtiyaç duydukları erişim düzeyine sahip olmasını sağlarken, gereksiz yetkilendirmeleri de önlemiş olur.

Ancak, Paylaşım İzinleri ile çalışırken dikkat edilmesi gereken önemli bir husus vardır. Bu izinler, yalnızca Network üzerinden erişim için geçerlidir. Yani, kullanıcı direkt olarak fiziksel bir sunucu ya da bilgisayardan oturum açmışsa, Sharing Permissions (paylaşım izinleri) devreye girmez. Bu durumda NTFS İzinleri geçerli olur. Dolayısıyla, hem NTFS hem de Paylaşım İzinleri birlikte göz önünde bulundurularak, her iki tarafın da dikkatlice yapılandırılması gerekir. Örneğin, bir klasöre Network üzerinden (Universal Naming Convention) erişimde Write izni verilirken, aynı klasöre fiziksel erişimde, yani kullanıcının direkt olarak sunucu ya da bilgisayara erişmesi durumunda, yalnızca Read izni tanımlamak mümkündür. Bu şekilde katmanlı bir güvenlik yapısı kurarak, dosyalarınızı hem yerel hem de Network tabanlı erişimlerde koruma altına alabilirsiniz. Örneğin, hem NTFS (New Technology File System) Permissions (NTFS izinleri) hem de Sharing Permissions (paylaşım izinleri) birlikte kullanıldığında, her iki güvenlik katmanı da devreye girer ve en kısıtlayıcı olan uygulanır. Bu sayede, sadece tek bir güvenlik yöntemi yerine, birden fazla katmanla korunmuş bir sistem oluşturulur ve farklı erişim yollarına karşı daha güçlü bir güvenlik sağlanır.

Bir kaç noktaya daha değinmekte fayda var.

• Paylaşım izinleri (Sharing Permissions), sadece klasörlere uygulanabilir.
• Paylaşım izinleri (Sharing Permissions), hem FAT hem de NTFS Format'lı Volume'ler üzerinde bulunan klasörlere uygulanabilir.
• Paylaşım izinleri (Sharing Permissions), paylaşıma açılan klasör, örneğin sadece \\SRVDC01 ya da \\10.10.10.100 gibi UNC (Universal Naming Convention) Path üzerinden erişildiği zaman geçerli olan bir izin yöntemidir.

Örnek Senaryo-1

Server'ım üzerinde COMPANY isimli bir klasör var. Bu klasörümü paylaşıma açarak gerekli paylaşım izin atamalarını sağlayacağım.

1- Klasör Özellikleri penceresinde Sharing tab'ında Advanced Sharing... butonuna tıklıyorum.

sharing permissions-paylaşım izinleri

2- Advanced Sharing penceresinde Share this folder Check Box'ını seçili hale getiriyorum.

sharing permissions-paylaşım izinleri

3- Share this folder Check Box'ını seçili hale getirdikten sonra, izinleri atayabileceğimiz Permissions butonu da aktif hale geliyor.

sharing permissions-paylaşım izinleri

Paylaşım izinleri ve tanımlamalarını Permissions penceresinden yapacağız. Paylaşım izinleri (Sharing Permissions), Allow ve Deny grupları altında; Read (okuma), Change (değiştirme), Full Control (tam denetim) olmak üzere üç kısımdan ve iki temel izinden oluşmaktadır.

Allow İzin Grubu

1- Read: Varsayılan olarak Everyone grubu atanmış olup, bu grup için varsayılan seçenektir.

» Klasör içindeki dosyaları ve alt klasörleri görüntüleme yetkisi verir. 

sharing permissions-paylaşım izinleri

2- Change: Read izninin bütün özelliklerini içermesinin yanında;

» Klasör içerisindeki dosyalar üzerinde değişiklik yapma yetkisi verir.
» Alt klasörleri ve dosyaları silme yetkisi verir.

sharing permissions-paylaşım izinleri

3- Full Control: Read ve Change izinlerinin bütün özelliklerini içermesinin yanında;

» Klasör izin değişikliği ya da sahipliğini alma gibi yetkiler verir.

sharing permissions-paylaşım izinleri

Deny İzin Grubu

1- Read: Klasör içindeki dosya ve alt klasörlere erişimi engeller.

sharing permissions-paylaşım izinleri

2- Change: Read izninin bütün özelliklerini içermesinin yanında;

» Klasör içerisindeki dosyalar üzerinde değişiklik yapmayı engeller.
» Alt klasörleri ve dosyaları silmeyi engeller.

sharing permissions-paylaşım izinleri

3- Full Control: Read ve Change izinlerinin bütün özelliklerini içermesinin yanında;

» Klasör izin değişikliği ya da sahipliğini alma gibi işlemleri engeller.

sharing permissions-paylaşım izinleri

4- Paylaşım İzinleri (Sharing Permissions) İçin Kullanıcı ve/veya Grup tanımlamaları yapma Group or user names altındaki alana ACL (Access Control List) adı verilmektedir. Paylaşım İzinleri (Sharing Permissions) İçin Kullanıcı ve/veya Grup tanımlamaları da, Kullanıcı ve/veya Grup buradaki ACL'e eklenmeleri ile sağlanmaktadır. ACL'e eklenen her Kullanıcı ve/veya Grup için ayrı ayrı izin tanımlamaları yapılabilmektedir.

sharing permissions-paylaşım izinleri

5- Kullanıcı ve/veya Grup eklemek için Add.. butonuna basıyorum.

sharing permissions-paylaşım izinleri

6- Karşıma çıkan Select Users, Computers, Service Account or Groups penceresinde Enter the object names to select alanında, Kullanıcı ve/veya Grup isminin tamamı yazılabilir veya ismin bir kısmı yazılarak sağdaki Check Names butonuna basılarak sistemin bunu algılayarak ismi otomatik tamamlaması sağlanabilir. Ben Fırat Boyan Kullanıcısını ekliyorum.

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

6.1- Size tavsiyem, gerekmedikçe Everyone kullanıcı grubu kaldırarak, sadece izin ataması yapmak istediğiniz Kullanıcı ve/veya Grupları ACL'e eklemeniz olacaktır.

sharing permissions-paylaşım izinleri

7- Fırat Boyan isimli kullanıcıya COMPANY isimli klasör üzerinde Full Control-Allow yetkisi veriyorum.

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

8- Bu işlemden sonra "COMPANY" isimli klasörüm paylaşıma açılarak Fırat Boyan isimli kullanıcıya da gerekli yetkilendirme yapıldı.

sharing permissions-paylaşım izinleri

9- Fırat Boyan kullanıcısı ile PC01 Host Name'li bilgisayarda oturum açarak, \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişiyorum.

sharing permissions-paylaşım izinleri

10- "COMPANY" isimli paylaşım klasörüme tıkladığımda Fırat Boyan kullanıcısı için Full Control-Allow yetkisi tanımlamama rağmen erişim için gerekli iznimin olmadığı hata bilgisi ile karşılaştım. Bunun nedeni, klasöre asıl klasör izni olan Security (Güvenlik-NTFS) izin ataması gerçekleştirmemiş olmamdır.

sharing permissions-paylaşım izinleri

Bilgi!: Bir kaynağa ister Universal Naming Convention (UNC) üzerinden, ister de paylaşımın açıldığı bilgisayardan erişilsin, mutlaka güvenlik izlerinin yapılandırılması şarttır. Ancak bu noktada bir ayrım söz konusudur:

» Paylaşıma açılan klasör, Network  üzerinden erişiliyorsa, hem Sharing Permission hem de Security Permission gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.
» Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa, Sharing Permission geçerli olmaz. Sadece Security Permission geçerli olur ve aralarında karşılaştırma da yapılmaz.

11- Yukarıdaki bilgiler doğrultusunda Server'da paylaşıma açtığım "COMPANY" isimli paylaşım klasörüm üzerinde bu sefer de Security sekmesinde Fırat Boyan kullanıcısı için Security Permission tanımlaması gerçekleştireceğim. Bunun için Edit... butonuna basıyorum.

sharing permissions-paylaşım izinleri

12- Karşıma çıkan pencerede ACL (Access Control List) içine Fırat Boyan kullanıcısını eklemek için Add... botonuna basıyorum.

sharing permissions-paylaşım izinleri

13- Eklemek istediğim kullacım olan Fırat Boyan için fırat yazarak Check Names butonuna basıyor, ismin tamamlanmasını sağlayarak OK butonuna basıp, ekliyorum.

sharing permissions-paylaşım izinleri

14- Kullanıcım eklendikten sonra varsayılan olarak Read (Okuma) izni atanmış durumdadır.

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

15- Fırat Boyan kullanıcısı PC01 Host Name'li bilgisayarda tekrar \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişim sağladığımda bu sefer sorunsuz bir şekilde klasörün içini görüntüleyebiliyorum.

 sharing permissions-paylaşım izinleri

16- Paylaşım klasörüm içinde bir New Folder (Yeni Klasör) oluşturuyorum.

 sharing permissions-paylaşım izinleri

16.1- Fırat Boyan kullanıcısı için Full Control-Allow yetkisi tanımlamama rağmen yeni bir klasör oluşturamıyorum. Bunun nedeni de; Network üzerinden erişilen paylaşım klasöründe hem Sharing Permission hem de Security Permission gerçeli olarak, her iki taraftadaki izinlerin karşılaştırıldığıdır. Bu noktada da en kısıtlayıcı izinler Security Permission tarafında Read (okuma) olarak tanımlandığı için, Sharing Permission Full Control-Allow olsa dahi, en kısıtlayıcı olan uygulanacaktır.

sharing permissions-paylaşım izinleri

Örnek Senaryo-2 (Örnek Senaryo-1'in devamı)

17- Active Directory Users and Computers üzerinde daha önceden oluşturmuş olduğum IT isimli Security Group'a Fırat Boyan kullanısını da dahil ediyorum.

sharing permissions-paylaşım izinleri

17.1- IT isimli Security Group için Full Control-Allow ataması yapıyorum.

sharing permissions-paylaşım izinleri

17.2- Fırat Boyan kullanıcısı için de bu sefer Full Control-Deny ataması yapıyorum.

sharing permissions-paylaşım izinleri

17.3- Fırat Boyan kullanıcısı PC01 Host Name'li bilgisayarda tekrar \\Host Name ya da \\IP Adresi üzerinden paylaşıma erişim sağladığımda, kullancımın "IT" isimli Security Group üzerinde Full Control-Allow izni olmasına rağmen gerekli iznimin olmadığı hata bilgisi ile karşılaştım. Bunun nedeni; DENY tanımlanan bir kullanıcı, herhangi bir grup'tan ALLOW iznili olarak gelse dahi DENY, her zaman ALLOW'un üzerinde olmasıdır.

sharing permissions-paylaşım izinleri

Faydalı olmalı dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye 13 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


21.02.2022 Ömer
Merhaba Fırat bey Makale için teşekkürler. Ortak klasörde bazı arkadaşlar kendi bölümdeki dosyaları kes yapıştır ile taşıdıklarında oradaki tüm haklar bu alana geliyor ve diğerleri erişemiyor. Buna sebep olan ayar nedir? Security ayar kontrol ettiğimde inheriting Enable olarak görünüyordu şuan onu disable olarak düzeltim sorun düzelmişmidir? Paylaşım ayarlarında kafamı karıştıran tek konu bu inheriting olayı. Makaleleri okuyorum anlamıyorum bazen teoriden çok pratiğe ihtiyaç oluyor.

21.02.2022 Ömer
Daha detaylı açıklayayım, DC server OU ile gruplar oluşturduk, Firma paylaşım altında, Departman bölümleri, Arge, kalite vs. Birde ORTAK klasör var. ortak klasöre herkes yazıp silebiliyor şekilde ayarladık. Örnek Kalite bölümdeki kullanıcı Firma- Kalite klasör içindeki diğer alt klasör veya dosyaları kes-yapıştır ile taşıdığında Kalite altındaki yetkileride taşınıyor. Diğer kullanıcılar erişemiyor.

21.02.2022 Fırat Boyan
Merhaba, Kendi bölümündeki dosyalar derken? klasör demek istedin sanırım? Klasör demek istediğini var sayarak izah edeyim. Bir klasörüm en üst dizini, ör. C:\ gibi içinde bulunduğu Disk'tir. Disk Volume içinde açtığın her klasör, Disk üzerindeki izinleri miaras (inheritance) yolu ile alt klasörlere basar. Bir klasörde mirası (Inheritance) disable etmen, sadece o klasörün üst klasörleri ile olan miras ilişkisini keser. Alt klasörlerle değil. Dolayısı ile de Interitance'ı disable ettiğin klasördeki izinler ne ise, onun altında açtığın her klasör, izinlerini Interitance'ı disable ettiğin kalasörden alır. Burada senin yapman gereken, o kişileri sadece Read hakkı ile sınırlama olur.


04.10.2021 Berkay Içmen
Merhaba Hocam, Ben bir klasör oluşturuyorum bu klasörün içinde alt klasörler var klasöre kalite güvence grubu girecek ama alt klasörlerde tanımladığım kişi sadece tanımladığım klasörü görüp içine girebilecek nasıl ayarlayabileceğim paylaşım yaptığımda herkes görüyor veya giriyor tüm klasörlere ayarlamama rağmen
31.07.2021 Mehmet Yildirim
Merhaba Hocam, GPO ile Kullanıcıların masaüstünde yeni klasör oluşturuyorum. Oluşturduğum bu klasörü GPO ile nasıl paylaşıma açabilirim ve buna domain computer yetkisini verebilirim.

07.08.2021 Fırat Boyan
Merhaba Mehmet, Sorun bende tam net olmadı. Biraz daha açıklayıcı hale getirebilir misin?


14.02.2021 Sümeyye
Selamlar Fırat Bey, öncelikle güzel bir makale olmuş, elinize sağlık :) Ama bir sorum olucak size. Bir foldera sharing permission verdiğimizde bu folderın tüm subfolderları bir network pathe sahip oluyor normalde. Ama bazı subfolderlarda root folderına sharing permission verilmesine rağmen network path: not shared olarak görünüyor. Bunun sebebi ne olabilir sizce?

14.02.2021 Fırat Boyan
Merhaba, teşekkür ederim. Bu bir hata değildir. Share edilmiş Parent folder altındaki hiçbir root folder'ı tekrar share etmeye ya da sharing permission vermeye gerek yoktur. Sharing permission, Parent folder'da yapılır. Microsoft bu şekilde kodlamıştır.


27.02.2020 Cadnas Kasap
Merhaba Firat Bey, Cok iyi bir yazi olmus ama tam anlamam icin bir kac defa daha okumam gerek , ama size bir sorum olacak. bizim ofiste yeni bir file server 2016 kuruldu simdi eski olan file server 2012 den butun dokumanlari ve user security robocopy ile kopyalaniyor ama user shear rights kopayalanmiyor ! yardimlariniz icin simdiden tesekkurler

27.02.2020 Fırat Boyan
Merhaba, Teşekkürker. /E ve /SET parametrelerini komutuna ekleyerek dener misin?


01.07.2019 ömer
Bu güzel makale için teşekkürler. 2. makalenizin linkinide eklemiş olsaydınız çok güzel olurdu hem site içi hemde google tarafından aradım bulamadım.

01.07.2019 Fırat Boyan
Merhaba. Faydalı olması güzel. Makalenin 2. kısmını henüz yazmaya fırsatım olmadı ancak en kısa zamanda yazacağım.


17.04.2017 CENK SAYGIN
Fırat Hocam, sınıfta sizden öğrendiğim konunun güzel bir tekrarı oldu benim için. Teşekkür ediyorum.