İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 26.06.2020 5

Windows Server 2019'da NTFS (Güvenlik) İzinleri

NTFS (New Technology File System), ilk olarak Windows NT'de varsayılan dosya sistemi olarak teknoloji hayatımıza girden sonra sırasıyla Windows 2000, Windows Xp, Windows 7, Windows 8, Windows 10 ve Windows Server işletim sistemleri için de varsayılan dosya sistemi olmuştur. NTFS, FAT dosya sisteminin yerine geliştirilmiştir.

İzinler (Permissions), klasör ve dosya gibi kaynaklar üzerinde kullanıcı veya grup için atanmış erişim ve yönetim seviyesinin ne olacağını belirleyen bir takım yetkilendirmelerdir. Başka bir ifade ile paylaştırılmış bir klasör üzerinde hangi kullanıcı ya da kullanıcı grubuna hangi izinleri vereceğinizi izinler ile sağlayabilir, kullanıcı ya da grupların bu klasörler üzerindeki yönetimsel yetkilerini düzenleyebilirsiniz. NTFS izinleri, sadece NTFS olarak biçimlendirilmiş Disk'ler üzerindeki klasörlerde uygulanabilmektedir.

Hem danışmanlık verdiğim firmalarda, hem de eğitimlerimde genel olarak Sharing ve Security sekmelerinde izin yapılandırmaların karıştırıltığını gördüm. NTFS İzinleri, bir klasörü ister paylaşıma açılsın, ister açılmasın, klasör üzerinde izin yapılandırma işlemi için olmazsa olmaz bir yetkilendirme alanıdır. Biraz daha açacak olursam, Windows Server 2019'da Sharing (Paylaşım) İzinleri makalemde bahsettiğim gibi, bir klasöre UNC (Universal Naming Convention) üzerinden erişeceğiniz zaman paylaşım izinlerine ihtiyacınız var. Ancak burada paylaşım izinleri tek başına yeterli olmamaktadır. Eğer Security sekmesi üzerinde de izin atamaları yapmazsanız, hiçbir şekilde o klasöre erişim sağlayamazsınız. Çünkü klasörün asıl izin alanı, Security sekmesi üzerindeki izinlerdir ve kullanıcı, klasöre erişim sağladığında hem Sharing, ham de Security Tab'larındaki izinler kontrol edilir ve en kısıtlayıcı olan hangisi ise, o uygulanır. Ancak bunun tam tersi olarak; klasöre UNC (Universal Naming Convention) üzerinden erişme ihtiyacınız yoksa, yani klasöre sadece klasörün olşturulduğu ilgili bilgisayar üzerinde erişim sağlayacaksanız, bu durumda Sharing sekmesindaki Paylaşım İzinleri ihtiyacınız bulunmayıp, sadece Security sekmesi üzerinde de izin atamaları yapmanız yeterli olacaktır. Özetle;

• Paylaşıma açılan klasör, Network üzerinden erişiliyorsa, hem Sharing Permission (Paylaşım İzni) hem de Security Permission (NTFS İzni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.
• Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa, paylaşım izni geçerli olmaz. Sadece güvenlik izni geçerli olur ve aralarında karşılaştırma da yapılmaz.

NTFS (New Technology File System) İzinleri

NTFS (New Technology File System) İzinler Tablosu aşağıdaki gibidir. İzinler (Permissions) 2 bölüme ayırılabilir. 

1- Temel İzinler (Basic Permissions)
6 adet temel izin bulunmtakdır.
2- Gelişmiş İzinler (Advanced Permissions)
6 Temel izine bağlı 13 tane gelişmiş izin bulunmaktadır.

 NTFS (New Technology File System) İzinleri (Security Permissions)

NOT 1: Tablodaki kırmızı renkteki (X) işaretleri; bir yetkilendirmenin, kendisinden sonra ek olarak hangi alt yetkiyi kapsadığını, daha başka bir ifade ile, hangi artı özelliği içerdiğini göstermektedir. Detaylarına makalemin ilerleyen kısımlarında değineceğim.

1- Temel İzinler (Basic Permissions)

Temel İzinler, bir klasör ya da dosya için verilecek ana izinlerdir. Bu ana izinlerden her birisi, kendi altında gelişmiş izinler dediğimiz alt yetkilendirme detaylarına sahiptir ve her bir temel izne karşılık gelen gelişmiş izin bulunmaktadır.

Read: Klasör içerisindeki dosya ve alt klasörleri listeleme.

List Folder Contents: Klasör içerisindeki dosya ve alt klasörleri listeleme.

Read and Execute: Dosya içeriklerinin okunması ve (Script'ler, .exe uzantılı vb. çalıştırılabilir) dosyaların çalıştırılması.

NOT 2: Bir kullanıcı ya da grup, yetkilendirme için ACL'e (Access Control List) eklendiğinde; Read, List Folder Contents ve Read and Execute izinleri varsayılan olarak seçilidir.

Write: Başka bir dizinden ilgili klasöre klasör/dosya kopyalama/taşıma izni verir ya da engeller. İlgili klasör içinde klasör/dosya oluşturma izni de verir ya da engeller ancak oluşturulan klasör/dosya isim ve uzantısı değiştirme ya da silme işlemi yapılamayacaktır. Bu izin seçeneği, özellikle ilgili klasördeki dosya(lar)da sadece veri girişi (dosyaya veri ekleme, silme) için kullanılabilir. 

Modify: Klasör/dosya oluşturma, silme, isim değiştirme, değişiklik yapma izni verir ya da engeller.

Full Control: Klasör/dosya üzerinde tam denetim hakkı sağlar.

2- Gelişmiş İzinler (Advanced Permissions)

Gelişmiş izinler, bir kaç tanesinin bir arada bir grup olarak yukarıda bahsettiğim herhangi bir temel izinine karşılık gelmektedir. Temel izinlerin (Basic Permissions) & gelişmiş izinler karşılıkları başlığında ayrıntılı bir şekilde gruplandırma yapılmıştır ancak öncelikle tamamını tek bir liste halinde görerek, her birisinin hangi amaçla kullanıldığını inceleyelim.

Traverse Folder/Execute File: Traverse Folder, kullanıcının ana klasöre erişim izni olmasa dahi alt klasörlere erişim izni olduğu takdirde, alt klasörün dizin yolunu yazarak erişim sağlamasını sağlayan yada engelleyen izindir. Execute File ile de ulaştığı alt klasörde .ps1, .exe, .bat uzantılı herhangi bir çalıştırılabilir (Executable) dosya varsa, bu çalıştırılabilir dosyanın çalıştırılmasını sağlar ya da engeller.

List Folder/Read Data: Klasörün ve alt klasörlerin isimlerini ve dosyalardaki Data’ları görüntüler yada engeller. List Folder, klasör için uygulanırken; Read Data, dosyalar için uygulanır.

Read Attributes:  Klasör ve dosyaların Read only ya da Hidden gibi özelliklerini görüntülemeye izin verir yada engeller.

Read Extended Atributtes: Read only ya da Hidden özelliklerinin sağ tarafında bulunan Advanced... butonuna tıklandığında karşımıza çıkan dosya ve klasörlerdeki gelişmiş özellikleri görüntüler yada engeller.

Create Files/Write Data:  Write temel izni (Basic Permission) ile gelen bu izin, eğer Create Folders/Append Data seçeneği kaldırılmışsa, başka bir dizinden ilgili klasöre sadece dosya kopyalama/taşıma işlemleri için kullanılır. İlgili klasör içinde dosya oluşturma işlemi de yapılabilir ancak oluşturulan dosyanın isim veya uzantısı değiştirilemeyecektir.

Create Folders/Append Data: Write temel izni (Basic Permission) ile gelen bu izin, eğer Create Files/Write Data seneği kaldırılmışsa, başka bir dizinden ilgili klasöre sadece boş klasör kopyalama/taşıma işlemleri için kullanılır. İlgili klasör içinde klasör oluşturma işlemi de yapılabilir ancak oluşturulan klasör ismi değiştirilemeyecektir. 

Write Attributes:  Dosya ve klasörlerin Read only ya da Hidden gibi özelliklerini değiştirmeye izin verir yada engeller. Bu özellik dosya yada klasördeki verilerde değişiklik yapmaz. 

Write Extended Attributes: Dosya ve klasörün gelişmiş özelliklerininin değiştirilmesine izin verir yada engeller. Bu özellikler çeşitli programlar tarafından kullanılır.

Delete: Ana klasör (boş ya da içindeki dosyalarla birlikte) ve ana klasör altındaki klasörler (boş ya da içindeki dosyalarla birlikte) ya da sadece dosyaları (ana klasör ya da alt klasörde olması fark etmeksizin) silmeye izin verir yada engeller. Hem klasör hem de dosya için uygulanır.

Delete Sub Folder and Files: İçinde dosya bazında Delete izni kaldırılmış dosyaların bulunduğu alt klasörlerin silmesine izin verir ya da engeller. Sadece klasör için uygulanır.

Bilgi!: Bir dosyada dosya bazında Delete izni kaldırılmışsa ve bu dosyalar da ana klasör altındaki alt klasörlerde bulunuyorsa, alt klasörler tek başına klasörden gelen Delete izni ile silinemezler! Bu işlem için ek olarak Delete Sub Folder and Files iznine gereksinim bulunmaktadır! Ancak şunu da belirtmekte fayda var ki alt klasörde dosya bazında Delete izni kaldırılmamış dosyalar varsa, bunlar ilgili klasör içinden silinecektir!

Read Permission: Klasör ve dosyalar üzerindeki izinleri görüntülemeye izin verir yada engeller.

Change Permission: Dosya ve klasörler üzerindeki izinlerin değiştirilmesine izin verir yada engeller.

Take OwnerShip: Klasör ve dosya sahipliğininin (Ownership) alabilmesine izin verir ya da engeller.

Bilgi!: Change Permission ve Take Ownership izinleri ile ilgili az bilinen bir detayı sizinle paylaşmak istiyorum. Bir klasör sahibi, yani klasör oluşturan kullanıcı, ilgili klasörün sahibi olur ve ilgili klasörde sadece Read yetkisine sahip olsa bile, kendisinin oluşturmuş olduğu klasördeki izinleri değişirebilme hakkına sahiptir.

Temel İzinlerin Gelişmiş İzin Karşılıkları

Aşağıdaki listede, hangi temel iznin (Basic Permission) seçimi ile hangi gelişmiş iznin (Advanced Permission) otomatik olarak seçildiği listelenmiştir. Yani siz bir temel izin seçimi yaptığınızda; bu temel izne bağlı gelişmiş izinler, otomatik olarak seçilirler. Başka bir ifade ile; her bir temel izinin, bir grup halinde bir kaç tane gelişmiş izin karşılığı bulunmaktadır. Aşağıdaki listede her temel izinle birlikte otomatik olarak seçilen gelişmiş izinler, kendisinden önceki alt temel izinlerin de geliş izinleri ile birlikte seçili hale gelmektedir. Kırmızı renkle belirlenen gelişmiş izinler, iligili temel izinle birlikte seçilmektedir.

Read 
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Read Permissions

List Folder Contents 
Traverse Folder/Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Read Permissions

Read &execute 
Traverse Folder/Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Read Permissions

Write 
• Traverse Folder /Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
Create Files/Write Data
Create Folders/Append Data
Write Attributes
• Write Extended Attiributes
• Read Permissions

Modify 
• Traverse Folder/Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Create Files/Write Data
• Create Folders/Append Data
• Write Attributes
• Write Extended Attiributes
Delete
• Read Permissions

Full Control 
• Traverse Folder/Execute File
• List Folder/ Read Data
• Read Attributes
• Read Extended Attributes
• Create Files/Write Data
• Create Folders/Append Data
• Write Attributes
• Write Extended Attiributes
Delete Subfolders and Files
• Delete
• Read Permissions
Change Permissions
Take Ownership

Uygulama-1
Makalemin başında da belirttiğim gibi; bir kaynağa ister Network üzerinden, ister de paylaşımın açıldığı bilgisayardan erişilsin, mutlaka NTFS izin ataması yapılması şarttır. Bu noktada Paylaşıma açılan klasör, Network üzerinden erişiliyorsa, hem Sharing Permission (paylaşım izni) hem de Security Permission (güvenlik izni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır. Ancak Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa, Sharing sekmesindeki izinler geçerli olmaz. Sadece Security sekmesindek izinler geçerli olur ve aralarında karşılaştırma da yapılmaz. Klasör yetkilendirme işlemleri büyük çoğunlukla File Server'lar üzerinden, sunucu merkezli uzaktan erişecek şekilde yapılandırıldığı için kaynağa erişim, UNC (Universal Naming Convention) Path üzerinden yapılır. İşte bu noktada kaynak klasör üzerinde hem Sharing hem de Security sekmelerindeki klasör izin yapılandırma stratejisini iyi kurgulamak gerekiyor.

Benim bu noktada saha tecrübelerime de dayanarak şahsi tavsiyem, Sharing sekmesinde Everyone ya da Authenticated Users kullanıcı grubu için Full Control yetkisi verip, tüm kısıtlamaları Security sekmesinde yapılandırmanız yönünde olacaktır. Çünkü Paylaşıma açılan klasör, Network üzerinden erişiliyorsa, hem Sharing hem de Security sekmesindeki izinler gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.

1- File Server'da COMPANY adında bir klasör oluşturup, bu klasörü de paylaşıma açıyorum. Paylaşıma açarken de Permissions butonuna tıklayarak Everyone kullanıcı grubuna Allow bölümünde Change yetkisi veriyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Sıra, COMPANY klasöründe NTFS izin ataması yapma işlemine geldi. Security sekmesinda Ör. User100 kullanıcısı için Allow bölümünde Read yetkisi veriyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

3- User100 kullanıcısının Windows 10 işletim sistemli bilgisayarından UNC (Universal Naming Convention) Path üzerinden paylaşım klasörüne erişerek Yeni Klasör (New Folder) oluşturmaya çalıştığımda karşıma, bu işlemi yapmak için yetkim olmadığı uyarısını alıyorum. Hatırlarsanız COMPANY klasörünü paylaşıma açarken Sharing sekmesinde Everyone kullanıcı grubu için Change yetkisi tanımlamıştım. Yani normalde klasör oluşturabiliyor olmam gerekirken, Security sekmesinde User100 kullanıcısı için ki Everyone kullanıcı grubu içindedir, sadece Read yetkisi verdiğim ve bu iki taraftaki izinlerde en kısıtlayıcı olan Read yetkisi olduğu için, sadece okuma işlemi gerçekleştrebiliyoruz. İşte "en kısıtlayıcı olan hangisi ise, o uygulanır." ifadesinin açıklaması da budur.

NTFS (New Technology File System) İzinleri (Security Permissions)

Uygulama-2
1- Aynı COMPANY isimli klasörde aynı User100 kullanıcısı için Security Permission tarafındaki yetki seviyesini Write olarak güncelliyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

2- User100 kullanıcısının Windows 10 işletim sistemli bilgisayarından UNC (Universal Naming Convention) Path üzerinden paylaşım klasörüne erişerek Yeni Klasör (New Folder) oluşturyor, Enter tuşuna ya da boş alanda Mouse tıklaması yapmadan, klasör adını değiştirmeye çalıştığımda, bu işlemi yapmak için yetkim olmadığı uyarısını alıyorum. Klasör adı değişikliği gibi bir işlem, aslında Delete (silme) eylemi olarak uygulandığı ve Write temel izninin karşılığında da Delete bulunmadığı için bu işlemi gerçekleştirememekteyiz.

NTFS (New Technology File System) İzinleri (Security Permissions)

3- Tek başına Write izninin kullanımı ile, izin verilmiş olan klasör içerisindeyken mevcut ya da yeni oluşturulmakta olan dosya ya da klasörlerin isimlerini değiştiremeyeceğinizden bahsetmiştim. Bu işlemi, başka bir dizinden (ör. Desktop), izin yetki tanımının yapıldığı paylaştırılmış klasöre Cut (kes), Paste (yapıştır) ya da Drag & Drop (sürükle & bırak) yöntemi ile klasör ya da dosya kopyalama/taşıma işlemleri için kullanılabilir.

NTFS (New Technology File System) İzinleri (Security Permissions)

Uygulama-3
1- Aynı COMPANY isimli klasörde aynı User100 kullanıcısı için Security tarafındaki yetki seviyesini Modify olarak güncelliyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Security tarafındaki Modify yetkilendirmesi ile kullanıcı, artık Delete yetkisi de aldığı için tüm bunları kapsayan isim olan değiştirme yetkisine sahip oluyor. Bazen bana dosya ya da isim değiştmeye karışık gelen gelişmiş izinin hangisi oladuğunu soranlar oluyor. Bir klasör ya da dposya adı değişikliğinde de isim silme işlemi yapmış oluyorsunuz. Mantık bu şekildedir.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

Uygulama-4
1- Aynı COMPANY isimli klasörde aynı User100 kullanıcısı için Security tarafındaki yetki seviyesini Full Control olarak güncelliyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

2- Kullanıcıya Full Control yetkisi verilmiş olmasına rağmen, Full Control yetkisinin getirdiği gelişmiş izinlerden (Advanced Permissions) Security tarafındaki Change kısıtlaması nedeni ile faydalanamamaktadır. Bunu biraz daha detaylandıracak olursam;

Hem Sharing tarafında Everyone kullanıcı grubu için verdiğimiz Change yetkisi ile Security tarafındaki User100 kullanıcısına tanımladığımız Modify yetkisi, yetki seviyesi anlamında eşit durumdadır. Malakemin yukarıdaki kısımlarında her iki taraftadaki (Sharing & Security) izinlerin karşılaştırılıp, aralarında en kısıtlayıcı olanın uygulandığını söylemiştim. İşte burada da Active Directory'deki hangi kullanıcıya Full Control yetkisi verirseniz verin, bu sefer de Sharing tarafındaki en kısıtlayıcı yetki olan Change olduğu için, bu izin geçerli olacaktır ve Full Control etkisiz kalacaktır.

NTFS (New Technology File System) İzinleri (Security Permissions)

Special Permissions (Özel İzinler) Kavramı

Makalemin başlangıcında belirttiğim gibi, her bir temel iznine karşılık gelen bir kaç gelişmiş iznin bulunmaktadır. Yani, her bir temel izinin, bir grup halinde bir kaç tane gelişmiş iznin karşılığı bulunmaktadır. Herhangi bir temel izine karşılık gelen gelişmiş iznlerden bir ya da birkaç tanesini devre dışı bıraktığınızda bu, Special Permission (Özel İzin) olarak etkiletlenir. Ör. Full Control temel iznine karşılık gelen gelişmiş iznlerden Take Ownership seçeneğini kaldırdığımızda bu, kullanıcı için Special Permission olarak etkiletlenir.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

Özetle, ACL'de herhanbi bir kullanıcı ya da grup için Special Permission alanının işaretli olduğunu görüyorsanız bunun anlamı, herhangi bir temel izinin gelişmiş izninlerinden bir ya da birkaç tanesinin devre dışı bırakıldığıdır.

Inheritance (Miras) Kavramı

1- Bir klasörde bir kullanıcı ya da gruba NTFS izin ataması yaptığınızda, varsayılan olarak tüm alt klasör ve dosyalara da bu izinler otomatik olarak atanır. ACL'de (Access Control List) bir kullanıcı ya gruba ait yetkilendirme seçeneklerinin siyah renkte olması, yetkilendirmelerin o klasörden yapıldığını ya da mirasın (Inheritance) devre dışı bırakıldığı anlamına gelmektedir. Tam tersi olarak; ACL'de bir kullanıcı ya gruba ait yetkilendirme seçeneklerinin gri renkte olması, yetkilendirmelerin, üst klasör(ler)den geldiğini gösterir.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Ancak alt klasörlerde farklı kullanıcılar ya da gruplar için farklı yetkilendirme ihtiyaçları doğabilir. Böyle bir durumda da mirasın (Inheritance) devre dışı bırakılması gerekmektedir.

2.1- Mirasın devre dışı bırakılabilmesi için Klasör özelliklerinden Advanced butonuna tıklıyorum.
2.2- Karşıma çıkan Advanced Security Settings penceresinde alt kısımda Disable inheritance butonuna tıklıyorum.
2.3- Disable inheritance butonuna tıkladığımda karşıma iki seçenek çıkıyor.

Convert inherited permissions into explicit on this object: Bu seçenek ile miras iptal edilirken, mevcut kullanıcı(lar) ve grup(lar) ACL'de olduğu gibi tutulur ve değişiklik yapılmasına (silme, yetkilerin düzeltilmesi) izin verilir duruma gelir.
Remove all inherited permissions from this object: Bu seçenek ile miras iptal edilirken, mevcut kullanıcı(lar) ve grup(lar) ACL'den tamamen silinir ve sıfırdan değişiklik yapılmasına (ekleme, silme, yetkilerin düzeltilmesi) izin verilir duruma gelir. Bu seçeneğin en tek farkı, kullanıcıların ve grupların ACL'den tamamen silinmedisir. Bu seçeneği seçerken dikkatli olmanızı öneririm.

NTFS (New Technology File System) İzinleri (Security Permissions)

İzinlerin Yeniden Yapılandırılması

Bir klasör ya da klasörlerdeki izinlerin tamamen karışması ve artık yönetilemez duruma gelmesi, danışmanlık verdiğim kurumlarda da sıklıkla karşılaştığım bir durum. Plansız ve bilinçsizce yönetilmeye çalışılan yetkilendirmelerde işler ciddi anlamda içinden çıkılamaz hale gelebiliyor. Peki böyle bir durumda ne yapacağız? Böyle durumda imdadımıza Replace all child permission entries with inheritable permission entries from this object seçeneği, seçeneğin seçildiği klasördeki yetkilerin aynısını alt klasörlere de uygulamaktadır (alt klasörlerde miras devre dışı bırakılmış olsa bile!).

1- İzinlerin yeniden yapılandırılması için, düzenlemeyi yapacağım bir üst klasör seçiyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Klasör özellikleri penceresinde Advanced butonuna tıklıyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

3- Karşıma çıkan klasör Advanced Security Settings pencesinin alt kısmında bulunan Replace all child permission entries with inheritable permission entries from this object seçeneğini seçiyor, OK butonuna basarak işlemi tamamlıyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

4- Karşıma, bu klasördeki tüm izinlerin alt klasörlere uygulanacağı uyarısı geliyor. Yes butonuna tıklıyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

5- FILES ana klasörü altındaki FOLDER-3 klasöründe mirası devre dışı bırakmıştık. Bu klasördeki yetkilendirmeler de, Replace all child permission entries with inheritable permission entries from this object seçeneğini seçtiğim klasördekine göre düzenlenmiş, miras yeniden aktif edilmiştir.

NTFS (New Technology File System) İzinleri (Security Permissions)

Klasör Sahipliği (Folder Ownership) Kavramı

Varsayılan olarak bir klasörün sahibi, o klasörü oluşturandır. Klasör Sahipliği (Folder Ownership), pratikte önemsiz gibi görünse de, bir çok açıdan önem kazanmaktadır. Buna göre;

Roaming Profile (gezici profil) üzerinde Mandatory Profile (zorunlu profil) oluşturmak amacıyla Roaming Profile (gezici profil) klasörlerine erişim sağlamak için klasör sahipliğinin alınması gerekmektedir.
• File Server Resource Manager (FSRM) ile oluşturulan Disk kotası işlemlerinde Disk kotaları, klasör sahipliğine göre hesaplanır. Bu nedenle de Her kullanıcı sahip olduğu kalasörün klasör sahipliğini kendisine alması gerekmektedir.
• Active Directory'den hesabı silinen bir User'ın klasör sahipliğinde SID numara bilgisi kalmaktadır. Bu tür durumlarda klasörün aktif bir Active Directory kullanıcı nesnesi üzerine geçirilmesi gerekmektedir.
• Bir klasörün sahibi, iligli klasör üzerinde sadece Read iznine sahip olsa bile klasör sahipliği, ACL'deki izinleri yönetme hakkı vermektedir.

6- FILES isimli ana klasör altında bulunan FOLDER-1 isimli klasörün klasör sahibinin Administrators grubunun olduğunu görebiliyoruz.

NTFS (New Technology File System) İzinleri (Security Permissions)

6.1- Administrators kullanıcısı, FILES ana klasör altında FOLDER-1-1 isimli bir klasör daha açtığında, klasör sahibi otomatik olarak Administrators kullanıcısı olmuştur.

NTFS (New Technology File System) İzinleri (Security Permissions)

6.2- User100 kullanıcısı, FILES ana klasör altında FOLDER-1-2 isimli bir klasör açtığında bu sefer klasör sahibi otomatik olarak User100 olmaktadır.

Bilgi!: Varsayılan olarak bir klasörün sahibi, o klasörü oluşturandır.

NTFS (New Technology File System) İzinleri (Security Permissions)

6.3- User100 kullanıcısı, klasör sahibi Administrator olan FILES ana klasör altında FOLDER-1-1 isimli klasörün sahipliğini almak istediğinde, Change bağlantısında tıklayıp, klasör sahipliğini atayacağı kullanıcıyı belirlemesi yeterlidir.

NOT 3: Bunu yapabilmesi için ise, klasör üzerinde Full Control temel izinine bağlı Take Ownership gelişmiş izinine sahip olması gerekmektedir.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

6.4- Klasörün sahipliğini aldıktan ya da devrettikten sonra alt kısımdaki Replace owner on subcontainers and objects seçeneğine tıkladığınızda alt klasörlerdeki klasör sahipliğinin de alındığı ya da devredilği ana klasördeki kullanıcıya geçecektir.

NOT 4: İlgili klasör üzerinde gelişmiş izninlerinden Take Ownership izni olan herhangi bir kullanıcı veya grup, klasör sahipliğini devralabilir.

NTFS (New Technology File System) İzinleri (Security Permissions)

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum. Kıdemli Sistem Mühendisi, Microsft Sertifikalı Eğitmen (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest, Noter Yeminli Tercümanım. 18 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum ve Bilgi Teknolojileri alanında eğitim hizmetleri veren Bilge Adam bünyesinde Microsoft Sertifikalı Eğitmen (MCT) olarak Sistem ve Network Uzmanlığı eğitimleri veriyorum. Bunun yanı sıra, kurumsal firmalara BT danışmanlık hizmetleri de vermekteyim. Hakkımda daha fazla bilgi sahibi olmak ve sahip olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.

YORUMLAR
Bu makaleye 5 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


07.07.2021 Mustafa
windows 2019 serverda paylaştırdığım bir dosyaya 2008 serverdan erişemiyorum 2008 server dosya paylaşımını görmüyor yardımcı olur musunuz

07.07.2021 Fırat Boyan
Gizli paylaşım olarak açmış olabilir misin?


06.01.2021 Muharrem Göktaş
Merhaba Fırat bey makale için teşekkürler gerçekten çok detaylı. Çözemediğim bir konu önceden izinleri verilmiş şablon klasörlerim var ve ben kullanıcının sadece bu klasörlerin isimlerini değiştirmesini ama yeni klasör açamamsını istiyorum. Bir türlü çözemedim bir yolu var mı ?
16.09.2020 Nizam Mammadaliyev
Hocam Merhabalar. Belirli bir dosyanin yalnizca belirli kullanicilar tarafindan gorule bilmesini nasil temin ede bilirim?.Mesela kullanicinin dosyaya erisme hakki yoksa onu goremesin.

16.09.2020 Fırat Boyan
Merhaba, Access-Based Enumeration (ABE)