Bu makalemde sizlere Windows Server 2019'da Paylaşım izinleri (Sharing Permissions) konusundan bahsedip, paylaştırılmış bir klasörde kullanıcılara nasıl izin atama işlemi yapabileceğinizden bahsediyor olacağım.
İzinler (Permissions); klasör ve dosya gibi kaynaklar üzerinde kullanıcı veya grup için atanmış erişim seviyesinin ne olacağını belirleyen bir takım yetkilendirmelerdir. Örneğin bir kulanıcı için, paylaştırılmış bir klasör üzerinde okuma izni (Read Permission) verilirken, başka bir kullanıcı için yine paylaştırılmış bir klasörde hem okuma izni (Read Permission) hem de yazma izni (Write Permission) verilebilir.
Kısacası; paylaştırılmış bir klasör üzerinde hangi kullanıcı ya da kullanıcı grubuna hangi izinleri vereceğinizi İzinler ile sağlayabilir, kullanıcı ya da grupların bu klasörler üzerindeki yetkilerini düzenleyebilirsiniz.
Dosya Sunucularında (File Server) İzin (Permission) Tipleri
1- Paylaşım İzinleri (Sharing Permissions)
2- Güvenlik & NTFS izinleri (Security & NTFS Permissions)
olmak üzere ikiye ayrılmaktadır.
NOT: Makalem 2 bölümden oluşacak olup; 1. bölümü, şuan okumakta olduğunz Paylaşım İzinleri (Sharing Permissions) konulu makaledir.
1- Paylaşım İzinleri (Sharing & Shared Folder Permissions)
Network (ağ) üzerinde bir klasöre paylaşım izinleri (Sharing Permissions) verebilmek için öncelikle o klasörü paylaşıma açmak gerekmektedir. Paylaşıma açma işlemi gerçekleşmeden, Network (ağ) üzerinden kaynaklara erişmek mümkün olmayacaktır.
Örnek Senaryo-1
Server'ım üzerinde COMPANY isimli bir klasör var. Bu klasörümü paylaşıma açarak gerekli izin atamalarını oluşturmuş olduğum kulanıcılar üzerinde sağlayacağım ancak başlamadan önce bir kaç noktaya da değinmekte fayda var;
• Paylaşım izinleri (Sharing Permissions), sadece klasörlere uygulanabilir.
• Paylaşım izinleri (Sharing Permissions), hem FAT hem de NTFS Format'lı Volume'ler üzerinde bulunan klasörlere uygulanabilir.
• Paylaşım izinleri (Sharing Permissions), paylaşıma açılan klasör sadece UNC (Universal Naming Convention) Path üzerinden \\Host Name ya da \\IPAdresi üzerinden erişildiği zaman geçerli olan bir izin yöntemidir.
Yukarıdaki bu bilgilere göre COMPANY isimli klasörümü paylaşıma açıyorum;
1- Klasör Özellikleri penceresinde Sharing Tab'ında Advanced Sharing... butonuna tıklıyorum.
2- Advanced Sharing penceresinde Share this folder Check Box'ını seçili hale getiriyorum.
3- Share this folder check box'ını seçili hale getirdikten sonra, izinleri atayabileceğimiz Permissions butonu da aktif hale geliyor.
Paylaşım izinleri ve tanımlamalarını Permissions penceresinden yapacağız. Paylaşım izinleri (Sharing Permissions) üç kısımdan ve iki temel izinden oluşmaktadır;
Bu izinler (Permissions);
Allow ve Deny grupları altında
• Read (Okuma),
• Change (Değiştirme),
• Full Control (Tam Denetim) izinleridir.
ALLOW
● Read: Varsayılan olarak klasörler üzerinde Everyone grubuna atanan izindir. Bu iznin özellikleri şunlardır:
• Klasör üzerindeki dosyaları ve alt klasörleri görüntüleyebilme,
● Change: Read izninin bütün özelliklerini içermesinin yanında, şu özellikleri de içermektedir:
• Klasör üzerindeki dosyaları ve alt klasörleri görüntüleyebilme,
• Klasör içerisindeki dosyalar üzerinde değişiklik yapma,
• Alt klasörleri ve dosyaları silme,
NOT: Hiçbir seçenek seçili değilken, yani Read izni aktif olmasa bile, Change izin seçeneğini seçtiğinizde, hem Change hem de Read izinleri aynı anda seçilecektir. Tersi yönde ise her ikisi de seçili iken Read izin seçeneğini kaldırdığınızda, hem Change hem de Read izin seçenekleri aynı anda kalkacaktır.
Ancak her ikisi de seçili iken, sadece Change izin seçeneğini kaldıdığınızda sadece Change izin seçeneği kalkacaktır.
● Full Control: Read ve Change izinlerinin bütün özelliklerini içermesinin yanında, klasörler üzerindeki izin atamalarını da değiştirebilme hakkını içerir.
NOT: Hiçbir seçenek seçili değilken, yani Read ve Change izinleri aktif olmasa bile, Full Control izin seçeneğini seçtiğinizde, hem Full Control, hem de Change ve Read izinleri aynı anda seçilecektir. Tersi yönde ise her üçü de seçili iken Read izin seçeneğini kaldırdığınızda, hem change hem de Full Control izin seçenekleri aynı anda kalkacaktır.
Ancak her üçü de seçili iken, sadece Change izin seçeneğini kaldıdığınızda sadece Full Control ve Change izin seçenekleri kalkacaktır.
DENY
● Read: Bu izin seçili olduğunda, Kullanıcı ve/veya Gruplar, paylaşımdaki klasörlere erişim sağlayamazlar. Erişim sağlayamacakları için de, klasör üzerinde hiçbir işlem yapamazlar.
● Change: Read izninin bütün özelliklerini içereceği için, klasör üzerinde hiçbir işlem yapılamaz.
● Full Control: Read ve Change izinlerinin bütün özelliklerini içereceği için, Kullanıcı ve/veya Gruplar için tam bir kısıtlama sağlacaktır.
4- Paylaşım İzinleri (Sharing Permissions) İçin Kullanıcı ve/veya Grup tanımlamaları yapma Group or user names altındaki alana ACL (Access Control List) adı verilmektedir. Paylaşım İzinleri (Sharing Permissions) İçin Kullanıcı ve/veya Grup tanımlamaları da, Kullanıcı ve/veya Grup buradaki ACL'e eklenmeleri ile sağlanmaktadır. ACL'e eklenen her Kullanıcı ve/veya Grup için ayrı ayrı izin tanımlamaları yapılabilmektedir.
5- Kullanıcı ve/veya Grup eklemek için Add.. butonuna basıyorum.
6- Karşıma çıkan Select Users, Computers, Service Account or Groups penceresinde Enter the object names to select alanında, Kullanıcı ve/veya Grup isminin tamamı yazılabilir veya ismin bir kısmı yazılarak sağdaki Check Names butonuna basılarak sistemin bunu algılayarak ismi otomatik tamamlaması sağlanabilir. Ben Fırat Boyan Kullanıcısını ekliyorum.
6.1- Size tavsiyem, gerekmedikçe Everyone kullanıcı grubu kaldırarak, sadece izin ataması yapmak istediğiniz kullanıcı ve/veya grupları ACL'e eklemeniz olacaktır.
7- Fırat Boyan isimli kullanıcıya COMPANY isimli klasör üzerinde Full Control ALLOW yetkisi veriyorum.
8- Bu işlemden sonra "COMPANY" isimli klasörüm paylaşıma açılarak Fırat Boyan isimli kullanıcıya da gerekli yetkilendirme yapıldı.
9- Fırat Boyan kullanıcısı ile PC01 Host Name'li bilgisayarda oturum açarak, \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişiyorum.
10- "COMPANY" isimli paylaşım klasörüme tıkladığımda Fırat Boyan kullanıcısı için Full Control ALLOW yetkisi tanımlamama rağmen erişim için gerekli iznimin olmadığı hata bilgisi ile karşılaştım.
Bunun nedeni, klasöre asıl klasör izni olan Security (Güvenlik-NTFS) izin ataması gerçekleştirmemiş olmamdır.
Bilgi!: Bir kaynağa ister Network (ağ) üzerinden, ister de paylaşımın açıldığı bilgisayardan erişilsin, mutlaka Security (Güvenlik-NTFS) izin ataması yapılması şarttır.
Ancak bu noktada bir ayrım söz konusudur. Bu ayrım da;
• Paylaşıma açılan klasör, Network (ağ) üzerinden erişiliyorsa, hem Sharing Permission (Paylaşım İzni) hem de Security Permission (Güvenlik-NTFS İzni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.
• Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa, Sharing Permission (Paylaşım İzni) geçerli olmaz. Sadece Security Permission (Güvenlik-NTFS İzni) geçerli olur ve aralarında karşılaştırma da yapılmaz.
11- Yukarıdaki bilgiler doğrultusunda Server'da paylaşıma açtığım "COMPANY" isimli paylaşım klasörüm üzerinde bu sefer de Security sekmesinde Fırat Boyan kullanıcısı için Security Permission (Güvenlik-NTFS İzni) tanımlaması gerçekleştireceğim.
11.1- Bunun için Edit... butonuna basıyorum.
12- Karşıma çıkan pencerede ACL'e (Access Control List) Fırat Boyan kullanıcısını eklemek için Add... butonuna basıyorum.
13- Eklemek istediğim kullacım olan Fırat Boyan için fırat yazarak Check Names butonuna basıyor, ismin tamamlanmasını sağlıyarak OK butonuna basıp ekliyorum.
14- Kullanıcım eklendikten sonra varsayılan olarak Read (Okuma) izni atanmış durumdadır.
15- Fırat Boyan kullanıcısı PC01 Host Name'li bilgisayarda tekrar \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişim sağladığımda bu sefer sorunsuz bir şekilde klasörün içini görüntüleyebiliyorum.
16- Paylaşım klasörüm içinde bir New Folder (Yeni Klasör) oluşturuyorum.
16.1- Fırat Boyan kullanıcısı için Full Control ALLOW yetkisi tanımlamama rağmen yeni bir klasör oluşturamıyorum.
Bunun nedeni de; Network (ağ) üzerinden erişilen paylaşım klasöründe hem Sharing Permission (Paylaşım İzni) hem de Security Permission (Güvenlik-NTFS İzni) gerçeli olarak, her iki taraftadaki izinlerin karşılaştırıldığıdır.
Bu noktada da en kısıtlayıcı izinler Security Permission (Güvenlik-NTFS İzni) tarafında Read (okuma) olarak tanımlandığı için, Sharing Permission (Paylaşım İzni) Full Control ALLOW olsa dahi, en kısıtlayıcı olan uygulanacaktır.
NOT: Paylaştırılmış bir klasör üzerindeki Network (ağ) erişimlerinde Security Permission'a (Güvenlik-NTFS İzni) da tabi olduğumuz için, konu önem arz etmektedir ancak bu konuya, makalemin 2. bölümü olan Güvenlik & NTFS izinleri (Security & NTFS Permissions) konulu makalemde daha ayrıntılı bir biçimde değiniyor olacağım.
Örnek Senaryo-2 (Örnek Senaryo-1'in devamı)
17- Active Directory Users and Computers üzerinde daha önceden oluşturmuş olduğum IT isimli Security Group'a Fırat Boyan kullanısını da dahil ediyorum.
17.1- IT isimli Security Group için Full Control ALLOW ataması yapıyorum.
17.2- Fırat Boyan kullanıcısı için de bu sefer Full Control DENY ataması yapıyorum.
17.3- Fırat Boyan kullanıcısı PC01 Host Name'li bilgisayarda tekrar \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişim sağladığımda, kullancımın IT isimli Security Group üzerinde Full Control ALLOW izni olmasına rağmen gerekli iznimin olmadığı hata bilgisi ile karşılaştım.
Bunun nedeni;
DENY tanımlanan bir kullanıcı, herhangi bir grup'tan ALLOW iznili olarak gelse dahi DENY, her zaman ALLOW'un üzerinde olmasıdır.
Bu makale serimin 1. bölümü olan Paylaşım İzinleri (Sharing Permissions) bölümünü burada noktalıyorum.
Makale serimin 2. bölümü olan Windows Server 2019'da NTFS (Security Permissions) ve Klasör Paylaşım İzinleri (Sharing Permissions) Bölüm-2 makalemi de okumanızı tevsiye ederim.
Faydalı olmalı dileğiyle...