Yükleniyor...
jumbotron

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


Fırat Boyan 26.06.2020 2

Windows Server 2019'da NTFS (Security Permissions) ve Klasör Paylaşım İzinleri (Sharing Permissions) Bölüm-2

NTFS (New Technology File System) İzinleri (Security Permissions) Windows Server 2019'da NTFS (Security Permissions) ve Paylaşım İzinleri (Sharing Permissions) Bölüm-1 konulu makalemde sizlere bir klasörün nasıl paylaşıma açılacağından ve paylaştırılmış bir klasörde kullanıcılara nasıl izin atama işlemi yapabileceğinizden bahsediyor bahsetmiştim.

Bu makalemde de sizlere, makalemin 2. bölümü olarak, Windows Server 2019'da NTFS Güvenlik İzinleri (Security Permissions & NTFS Permissions) konusundan bahsedip, paylaştırılmış bir klasörde kullanıcılara nasıl izin atama işlemi yapabileceğinizden bahsediyor olacağım.

İzinler (Permissions); klasör ve dosya gibi kaynaklar üzerinde kullanıcı veya grup için atanmış erişim seviyesinin ne olacağını belirleyen bir takım yetkilendirmelerdir. Örneğin bir kulanıcı için, paylaştırılmış bir klasör üzerinde okuma izni (Read Permission) verilirken, başka bir kullanıcı için yine paylaştırılmış bir klasörde hem okuma izni (Read Permission) hem de yazma izni (Write Permission) verilebilir. Kısacası; paylaştırılmış bir klasör üzerinde hangi kullanıcı ya da kullanıcı grubuna hangi izinleri vereceğinizi İzinler ile sağlayabilir, kullanıcı ya da grupların bu klasörler üzerindeki yetkilerini düzenleyebilirsiniz.

Dosya Sunucularında (File Server) İzin (Permission) Tipleri

1- Paylaşım İzinleri (Sharing Permissions)
2- NTFS (New Technology File System) İzinleri (Security Permissions) olmak üzere ikiye ayrılmaktadır.


NOT 1: Makalem 2 bölümden oluşuyor olup; 2. bölümü, şuan okumakta olduğunz NTFS Güvenlik İzinleri (Security Permissions & NTFS Permissions) konulu makaledir.

2- NTFS Güvenlik İzinleri (Security Permissions & NTFS Permissions)
Hem danışmanlık verdiğim firmalarda, hem de eğitimlerimde genel olarak Sharing ve Security Tab'larındaki izin yapılandırmaların birbirine karıştırıltığını gördüm. NTFS Güvenlik İzinleri (Security Permissions), bir klasörü ister paylaşıma açın, ister açmayın, klasör üzerinde izin yapılandırma işlemi için olmazsa olmaz bir yetkilendirme alanıdır.

Bir klasörü ister paylaşıma açın, ister açmayın ifademin altını doldurmam gerekirse; Makalemin 1. bölümünde bahsettiğim Paylaşım İzinleri (Sharing Permissions) konusunda, klasöre UNC (Universal Naming Convention) üzerinden (Network üzerinden) erişeceğiniz zaman Paylaşım İzinlerine (Sharing Permissions) ihtiyacınız var. Ancak burada Paylaşım İzinleri (Sharing Permissions) tek başına yeterli olmamaktadır. Eğer Security (Güvenlik) Tab'ı üzerinde de izin atamaları yapmazsanız, hiçbir şekilde o klasöre erişim sağlayamazsınız. Çünkü klasörün asıl izin alanı, Security (Güvenlik) Tab'ı üzerindeki izinlerdir ve kullanıcı klasöre erişim sağladığında hem Sharing, ham de Security Tab'larındaki izinlere bakılır ve en kısıtlayıcı olan hangisi ise, o uygulanır.

Ancak bunun tam tersi olarak; klasöre UNC (Universal Naming Convention) üzerinden (Network üzerinden) erişme ihtiyacınız yoksa, yani klasöre sadece klasörün olşturulduğu ilgili bilgisayar üzerinde erişim sağlayacaksanız, bu durumda Sharing Tab'ındaki Paylaşım İzinleri (Sharing Permissions) ihtiyacınız bulunmayıp, sadece Security (Güvenlik) Tab'ı üzerinde de izin atamaları yapmanız yeterli olacaktır.

Özetle;
• Paylaşıma açılan klasör, Network (ağ) üzerinden erişiliyorsa, hem Sharing Permission (Paylaşım İzni) hem de Security Permission (Güvenlik-NTFS İzni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.
• Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa,  Paylaşım İzni (Sharing Permission) geçerli olmaz. Sadece NTFS Güvenlik İzni (NTFS Security Permission) geçerli olur ve aralarında karşılaştırma da yapılmaz.

NTFS (New Technology File System) İzinleri

NTFS (New Technology File System) İzinler Tablosu aşağıdaki gibidir. İzinler (Permissions) 2 bölüme ayırılabilir.

Bunlardan;
1- Temel İzinler (Basic Permissions)
6 adet Temel İzin  (Basic Permission) bulunmtakdır.

2- Gelişmiş İzinler (Advanced Permissions)
6 Temel izinine (Basic Permission) bağlı 13 tane Gelişmiş İzin (Advanced Permission) bulunmaktadır.

 NTFS (New Technology File System) İzinleri (Security Permissions)

NOT 2: Tablodaki kırmızı renkteki işaretler; bir yetkilendirmenin, kendisinden sonra ek olarak hangi alt yetkiyi kapsadığını, daha başka bir ifade ile, hangi artı (+) özelliği içerdiğini göstermektedir. Detaylarına makalemin ilerleyen kısımlarında değineceğim.

1- Temel İzinler (Basic Permissions)

Temel İzinler (Basic Permissions), bir klasör ya da dosya için verilecek ana izinlerdir. Bu ana izinlerden her birisi, kendi altında gelişmiş izinler (Advanced Permissions) dediğimiz alt yetkilendirme detaylarına sahiptir ve her bir temel izne (Basic Permission) karşılık gelen gelişmiş izin (Advanced Permission) bulunmaktadır.

Read: Klasör içerisindeki dosya ve alt klasörleri listeleme.

List Folder Contents: Klasör içerisindeki dosya ve alt klasörleri listeleme.

NOT 3: Read izni ile List Folder Contents izinleri pratikte birbirleri ile tamamen aynı gibi görünse de, aralarında ciddi farklar vardır.

Bu ciddi farklardan en önemlisi;

1- Her ikisinden de klasör içeriğini görüntüleyebiliyorken, List Folder Contents ile sadece klasör içindeki dosyaları görünteleyebilir, dosya ve dokümanları açamazsınız.
Kısacası klasör içi görülebilsin ancak dosyalar açılamasın gibi talep durumunda, sadece List Folder Contents seçilebilir.
List Folder Contents izni, sadece klasör bazında uygulanabilmekte olup, dosyalara uygulanamamaktadır.

2- List Folder Contents seçimi ile gelen, detaylarına makalemin ilerleyen kısımlarında değineceğim, Traverse Folder /Execute File, gelişmiş izindir (Advanced Permissions).

Read and Execute: Dosya içeriklerinin okunması ve (Script'ler, .exe uzantılı vb. çalıştırılabilir) dosyaların çalıştırılması.

NOT 4: Tek başına Read and Execute seçimi, beraberinde Read ve List Folder Contents izinlerine de otomatik olarak olarak seçili durumda getirecektir. Tam tersi olarak da Read and Execute, Read ve List Folder Contents izinlerinin her üçü de seçili durumda iken, sadece Read and Execute izni seçim dışı bırakılabilmektedir.

NOT 5: Bir kullanıcı ya da grup yetkilendirme için ACL'e (Access Control List) eklendiğinde; Read,List Folder Contents ve Read and Execute izinleri varsayılan olarak seçilidir.

Write: Dosya ve klasör ekleme.

NOT 6: Tek başına Write izninin kullanımı ile, izin verilmiş olan klasör içerisindeyken mevcut ya da yeni oluşturulmakta olan dosya ya da klasörlerin isimlerini değiştiremezsiniz. Bu seçenek; başka bir dizinden, (izinin verildiği) paylaştırılmış klasöre Cut (kes), Paste (yapıştır) ya da Drag & Drop (sürükle & bırak) yöntemi ile klasör ya da dosya taşıma işlemleri için kullanılabilir. Ancak, vermiş olan klasör içerisindeyken, herhangi bir dosyada ekleme veya silme yapabilirsiniz.

Ek bilgi!: Tek başına Write izninin kullanımı ile Delete (silme) işlemi de yapamazsınız.

Modify: Klasör oluşturma, silme, oluşturulmuş ve oluşturulmakta olan klasör, dosya, ve alt klasörler üzerinde değişiklikler yapma.

Full Control: Klasör ve klasör içindekiler üzerinde tam denetim hakkı. Bu tam denetim hakkı ile Modify izinine ek olarak

NOT 7: Full Control izni, Modify iznine ek olarak Change Permissions (izinleri değiştirme), Take Ownership (sahipliğini alma) ve Delete Subfolders and Files (alt klasör be dosyaları silme) olarak 3 tane ek Gelişmiş İzin (Advanced Permission) izin yetkisi vermektedir.

2- Gelişmiş İzinler (Advanced Permissions)

Gelişmiş izinler (Advanced Permissions), bir kaç tanesinin bir arada bir grup olarak yukarıda bahsettiğim herhangi bir temel izinine (Basic Permissions) karşılık gelmektedir. Temel İzinlerin (Basic Permissions) & gelişmiş izinler (Advanced Permissions) Karşılıkları başlığında ayrıntılı bir şekilde gruplandırma yapılmıştır ancak öncelikle tamamını tek bir liste halinde görerek, her birisinin hangi amaçla kullanıldığını inceleyelim.

Traverse Folder/Execute File: kullanıcının ana klasöre erişim izni olmasa dahi alt klasörlere erişim izni olduğu takdirde, alt klasörün yolunu yazarak erişim sağlamasını sağlayan yada engelleyen izindir.
Execute File ile de ulaştığı alt klasörde herhangibir Script, .exe, .bat gibi herhangi bi çalıştırılabilir (Executeable) dosya var ise bu exe dosyasını çalıştırabilir.

List Folder/Read Data: Klasörün ve alt klasörlerin isimlerini ve dosyalardaki Data’ları görüntüleyebilir yada engellenir. List Folder klasör için uygulanırken; Read Data, dosyalar için uygulanır.

Read Attributes: Klasör ve dosyaların özelliklerini görüntülemeye izin verir yada engeller (Read only yada Hidden özellikleri gibi).

Read Extended Atributtes: Dosya ve klasörlerdeki gelişmiş özellikleri görüntüler yada engeller.

Create Files/Write Data:  Karşılaştırmayı okuyun.

Create Folders/Append Data: Karşılaştırmayı okuyun.

Create Files / Write Data & Create Folders / Append Data Karşılaştırması 
Aşağıdaki kullanım koşullarında farkını göstermektedir:

Write temel izni (Basic Permission) ile devreye giren bu iki gelişmiş izin (Advanced Permission), ikisi de aynı anda seçili iken NOT 6'da belirttiğim Tek başına Write izninin kullanımı ile, izin verilmiş olan klasör içerisindeyken mevcut ya da yeni oluşturulmakta olan dosya ya da klasörlerin isimlerini değiştiremezsiniz. kuralına tabi olacaktır.

Ancak;

1- Sadece Create files / write data seçili durumda iken.

NOT: Create folders / append data seçili durumda değil.

- Dosya oluşturulabilir.
- Mevcut dosyada dosya adı ve uzantısında (.docx, .txt, .xlsx vb.) değiştirme yapabilir.
- Mevcut dosya içeriğinde dosya içinde veri silme, dosya içinde veri ekleme vb. işlemleri yapılamaz.
Ek olarak;
- Klasör oluşturulamaz.
- Mevcut klasör adı değiştirilemez.
- Yeni klasör oluşturulamaz.

2- Sadece Create folders / append data seçili durumda iken.

NOT: Create files / write data seçili durumda değil.

- Klasör oluşturulabilir.
- Mevcut klasör adında değiştirme yapabilir.
Ek olarak;
- Dosya oluşturulamaz.
- Mevcut dosyalarda dosya adı ve uzantısında (.docx, .txt, .xlsx vb.) değiştirme yapılamaz.
- Mevcut dosyalarda dosya içinde veri silme, dosya içinde veri ekleme vb. işlemleri yapılamaz.

Write Attributes: Dosya ve klasörlerin özelliklerini değiştirmeye izin verir yada engeller.
Bu özellik dosya yada klasördeki verilerde değişiklik yapmaz, sadece (Read only ya da Hidden olması gibi) özelliklerini değiştirir.

Write Extended Attributes: Dosya ve klasörin geliştirilmiş özelliklerini değiştirebilir yada engeller. Bu özellikler çeşitli programlar tarafından oluşturulabilir.

Delete: Ana klasör (boş ya da içindeki dosyalarla birlikte) ve ana klasör altındaki klasörler (boş ya da içindeki dosyalarla birlikte) ya da sadece dosyaları (ana klasör ya da alt klasörde olması fark etmeksizin) silmeye izin verir yada engeller.
Hem klasör hem de dosya için uygulanır.

Bilgi!: Dosyalarda (dosya bazında) Delete izni kaldırılmışsa ve bu dosyalar da ana klasör altındaki alt klasörlerde bulunuyorsa, alt klasörler tek başına klasörden gelen Delete izni ile silinemezler! Bu işlem için ek olarak Delete Sub Folder and Files iznine gereksinim bulunmaktadır! Ancak şunu da belirtmekte fayda var ki alt klasörde dosya bazında Delete izni kaldırılmamış dosyalar klasör içinden silinecektir!

Delete Sub Folder and Files: İçinde dosya bazında Delete izni kaldırılmış dosyaların bulunduğu alt klasörlerin silmesine izin verir ya da engeller.
Sadece klasör için uygulanır.

Read Permission: Klasör ve dosyalar üzerindeki izinleri görüntülemeye izin verir yada engeller.

Change Permission: Dosya ve klasörler üzerindeki izinleri değiştirir yada engeller.

Take OwnerShip: Klasör ve dosyaların sahipliğini (Ownership) alabilir ya da alması engellenir.

Temel İzinlerin (Basic Permissions) & Gelişmiş İzinler (Advanced Permissions) Karşılıkları

Aşağıdaki listede, hangi temel iznin (Basic Permission) seçimi ile hangi gelişmiş iznin (Advanced Permission) otomatik olarak seçildiği listelenmiştir. Yani siz bir temel izin (Basic Permission) seçimi yaptığınızda; bu temel izne (Basic Permission) bağlı gelişmiş izinler (Advanced Permissions), otomatik olarak seçilirler. Yani her bir temel izinin (Basic Permission), bir grup halinde bir kaç tane gelişmiş iznin (Advanced Permission) karşılığı bulunmaktadır. Ancak temel izin (Basic Permission) olarak seçilmiş gelişmiş izinlerden (Advanced Permissions) bir ya da bir kaç tanesini seçim dışı bırakabilme imkanına sahipsiniz. Bu durumda makalemin ilerleyen kısımlarında detayına gireceğim Özel izinler (Special Permissions) devreye girecektir.

Read seçimi ile;
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Read Permissions

Ör. bir klasörde bir kullanıcı ya da grup için Read İzin seçimi ile otomatik olarak seçilen temel izinlerden (Advanced Permissions) Read iznini kaldırdığınızı düşünelim; böyle bir durumda, iligli kullanıcı ya da grup için klasör ve dosyalarda kimlerin hangi izinlere sahip olduğu bilgisi okunamaz duruma gelir.

Uyarı! 1: List Folder/Read Data ve/veya Read Attributes gelişmiş izinlerden (Advanced Permissions) birisini ya da ikisini birden kaldırmanız durumunda, klasör erişimi sağlayamazsınız.

List Folder Contents seçimi ile;
• Traverse Folder/Execute File *
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes

Uyarı! 2: List Folder/Read Data ve/veya Read Attributes Özel izinlerinden birisini ya da ikisini birden kaldırmanız durumunda, klasör erişimi sağlayamazsınız.

Read Extended Attributes seçimi ile;
• Traverse Folder/Execute File *
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Read Permissions

Write İzin seçimi ile;
• Traverse Folder /Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Create Files/Write Data *
• Create Folders/Append Data *
• Write Attributes *
• Write Extended Attiributes *
• Read Permissions

Modify İzin seçimi ile;
• Traverse Folder/Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Create Files/Write Data
• Create Folders/Append Data
• Write Attributes
• Write Extended Attiributes
• Delete *
• Read Permissions

NOT 8: Modify temel izininin (Basic Permission), Write temel izindeki (Basic Permission) gelişmiş izin (Advanced Permission) karşılığına gelen tek fark, Delete iznidir.

Full Control İzin seçimi ile;
• Traverse Folder/Execute File
• List Folder/ Read Data
• Read Attributes
• Read Extended Attributes
• Create Files/Write Data
• Create Folders/Append Data
• Write Attributes
• Write Extended Attiributes
• Delete Subfolders and Files
• Delete
• Read Permissions
• Change Permissions *
• Take Ownership *

Uygulama-1

Makalemin başında da belirttiğim gibi; bir kaynağa ister Network (ağ) üzerinden, ister de paylaşımın açıldığı bilgisayardan erişilsin, mutlaka Security (güvenlik-NTFS) izin ataması yapılması şarttır. Bu noktada Paylaşıma açılan klasör, Network (ağ) üzerinden erişiliyorsa, hem Sharing Permission (paylaşım izni) hem de Security Permission (güvenlik-NTFS izni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır. Ancak Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa, Sharing Permission (Paylaşım İzni) geçerli olmaz. Sadece Security Permission (güvenlik-NTFS izni) geçerli olur ve aralarında karşılaştırma da yapılmaz.

Klasör yetkilendirme işlemleri büyük çoğunlukla File Server'lar üzerinden, sunucu merkezli uzaktan erişecek şekilde yapılandırıldığı için kaynağa erişim, UNC (Universal Naming Convention) Path üzerinden yapılır. İşte bu noktada kaynak klasör üzerinde hem Sharing Permission (paylaşım izni) hem de Security Permission (güvenlik-NTFS izni) yapılandırma stratejisini iyi kurgulamak gerekiyor.

Benim bu noktada, saha tecrübelerime de dayanarak, şahsi tavsiyem, Sharing Permission (paylaşım izni) bölümünde Everyone kullanıcı grubu için en fazla Change (duruma före Full Control) yetkisi verip, tüm kısıtlamaları Security Permission (güvenlik-NTFS izni), tarafında yapılandırmak olacaktır. Çünkü Paylaşıma açılan klasör, Network (ağ) üzerinden erişiliyorsa, hem Sharing Permission (paylaşım izni) hem de Security Permission (güvenlik-NTFS izni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.

1- File Server'da COMPANY adında bir klasör oluşturup, bu klasörü de paylaşıma açıyorum. Paylaşıma açarken de Permissions butonuna tıklayarak Everyone kullanıcı grubuna Allow bölümünde Change yetkisi veriyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Sıra, COMPANY klasöründe NTFS izin ataması yapma işlemine geldi. Security (güvenlik) Tab'ında Ör. User100 kullanıcısı için Allow bölümünde Read yetkisi veriyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

3- User100 kullanıcısının Windows 10 işletim sistemli bilgisayarından UNC (Universal Naming Convention) Path üzerinden paylaşım klasörüne erişerek Yeni Klasör (New Folder) oluşturmaya çalıştığımda karşıma, bu işlemi yapmak için yetkim olmadığı uyarısını alıyorum. Hatırlarsanız COMPANY klasörünü paylaşıma açarken Sharing Permission (paylaşım izni) bölümünde Everyone kullanıcı grubu için Change yetkisi tanımlamıştım. Yani normalde klasör oluşturabiliyor olmam gerekirken, Security Permission (güvenlik-NTFS izni) tarafında User100 kullanıcısı için ki Everyone kullanıcı grubu içindedir, sadece Read yetkisi verdiğim ve bu iki taraftaki izinlerde en kısıtlayıcı olan Read yetkisi olduğu için, sadece okuma işlemi gerçekleştrebiliyoruz. İşte "en kısıtlayıcı olan hangisi ise, o uygulanır." ifadesinin açıklaması da budur.

NTFS (New Technology File System) İzinleri (Security Permissions)

Uygulama-2

1- Aynı COMPANY isimli klasörde aynı User100 kullanıcısı için Security Permission (güvenlik-NTFS izni) tarafındaki yetki seviyesini Write olarak güncelliyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

2- User100 kullanıcısının Windows 10 işletim sistemli bilgisayarından UNC (Universal Naming Convention) Path üzerinden paylaşım klasörüne erişerek Yeni Klasör (New Folder) oluşturyor, Enter tuşuna ya da boş alanda Mouse tıklaması yapmadan, klasör adını değiştirmeye çalıştığımda, bu işlemi yapmak için yetkim olmadığı uyarısını alıyorum.
Klasör adı değişikliği gibi bir işlem aslında Delete (silme) eylemi olarak uygulandığı ve Write temel izninin (Basic Permission), gelişmiş izin (Advanced Permission) karşığında da Delete bulunmadığı için bu işlemi gerçekleştirememekteyiz.

NTFS (New Technology File System) İzinleri (Security Permissions)

3- Tek başına Write izninin kullanımı ile, izin verilmiş olan klasör içerisindeyken mevcut ya da yeni oluşturulmakta olan dosya ya da klasörlerin isimlerini değiştiremeyeceğinizden bahsetmiştim. Bu işlemi, başka bir dizinden (ör. Desktop), (izin yetki tanımının yapıldığı) paylaştırılmış klasöre Cut (kes), Paste (yapıştır) ya da Drag & Drop (sürükle & bırak) yöntemi ile klasör ya da dosya taşıma işlemleri için kullanılabilir.

NTFS (New Technology File System) İzinleri (Security Permissions)

Uygulama-3

1- Aynı COMPANY isimli klasörde aynı User100 kullanıcısı için Security Permission (güvenlik-NTFS izni) tarafındaki yetki seviyesini Modify olarak güncelliyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Security Permission (güvenlik-NTFS izni) tarafındaki Modify yetkilendirmesi ile kullanıcı, artık Delete yetkisi de aldığı için tüm bunları kapsayan isim olan değiştirme yetkisine sahip oluyor. Bazen bana dosya ya da isim değiştmeye karışık gelen gelişmiş izinin (Advanced Permissions) hangisi oladuğunu soranlar oluyor. Bir klasör ya da dposya adı değişikliğinde de isim silme işlemi yapmış oluyorsunuz. Mantık bu şekildedir.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

Uygulama-4

1- Aynı COMPANY isimli klasörde aynı User100 kullanıcısı için Security Permission (güvenlik-NTFS izni) tarafındaki yetki seviyesini Full Control olarak güncelliyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

2- Kullanıcıya Full Control yetkisi verilmiş olmasına rağmen, Full Control yetkisinin getirdiği gelişmiş izinlerden (Advanced Permissions) Security Permission (güvenlik-NTFS izni) tarafındaki Change kısıtlaması nedeni ile faydalanamamaktadır. Bunu biraz daha detaylandıracak olursam;

Hem Sharing Permission (Paylaşım İzni) tarafında Everyone kullanıcı grubu için verdiğimiz Change yetkisi ile Security Permission (güvenlik-NTFS izni) tarafındaki User100 kullanıcısına tanımladığımız Modify yetkisi, yetki seviyesi anlamında eşit durumdadır. Malakemin yukarıdaki kısımlarında her iki taraftadaki (Sharing & Security) izinlerin karşılaştırılıp, aralarında en kısıtlayıcı olanın uygulandığını söylemiştim. İşte burada da Active Directory'deki hangi kullanıcıya Full Control yetkisi verirseniz verin, bu sefer de Sharing Permission (Paylaşım İzni) tarafındaki en kısıtlayıcı yetki olan Change olduğu için, bu izin geçerli olacaktır ve Full Control etkisiz kalacaktır.

NTFS (New Technology File System) İzinleri (Security Permissions)

Special Permissions (Özel İzinler) Kavramı

Makalemin başlangıcında belirttiğim gibi, her bir temel iznine (Basic Permission) karşılık gelen bir kaç gelişmiş iznin (Advanced Permission) bulunmaktadır. Yani, her bir temel izinin (Basic Permission), bir grup halinde bir kaç tane gelişmiş iznin (Advanced Permission) karşılığı bulunmaktadır. Herhangi bir temel izine (Basic Permission) karşılık gelen gelişmiş iznlerden (Advanced Permission) bir ya da birkaç tanesini devre dışı bıraktığınızda bu, Special Permission (Özel İzin) olarak etkiletlenir.

Ör. Full Control temel iznine (Basic Permission) karşılık gelen gelişmiş iznlerden (Advanced Permission) Take Ownership'i kaldırdığımızda bu, kullanıcı için Special Permission (Özel İzin) olarak etkiletlenir.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

Özetle, ACL'de (Access Control List) herhanbi bir kullanıcı ya da grup için Special Permission'ın işaretli olduğunu görüyorsanız bunun anlamı, herhangi bir temel izinin (Basic Permission) gelişmiş izninlerinden (Advanced Permissions) bir ya da birkaç tanesinin devre dışı bırakıldığıdır.

Inheritance (Miras) Kavramı

1- Bir klasörde bir kullanıcı ya da gruba NTFS izin ataması yaptığınızda, varsayılan olarak tüm alt klasör ve dosyalara da bu izinler otomatik olarak atanır. ACL'de (Access Control List) bir kullanıcı ya gruba ait yetkilendirme seçeneklerinin SİYAH renkte olması, yetkilendirmelerin o klasörden yapıldığını ya da mirasın devre dışı (Disable Inheritance) bırakıldığı anlamına gelmektedir. Tam tersi olarak; ACL'de (Access Control List) bir kullanıcı ya gruba ait yetkilendirme seçeneklerinin GRİ renkte olması, yetkilendirmelerin, üst klasör(ler)den geldiğini gösterir.

NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)
NTFS (New Technology File System) İzinleri (Security Permissions)

2- Ancak alt klasörlerde farklı kullanıcılar ya da gruplar için farklı yetkilendirme ihtiyaçları doğabilir. Böyle bir durumda da mirasın devre dışı bırakılması (Disable Inheritance) gerekmektedir.

2.1- Mirasın devre dışı bırakılabilmesi için Klasör özelliklerinden Advanced butonuna tıklıyorum.
2.2- Karçıma çıkan Advanced Security Settings penceresinde alt kısımda Disable inheritance butonuna tıklıyorum.
2.3- Disable inheritance butonuna tıkladığımda karşıma iki seçenek çıkıyor.

Bunlar;
Convert inherited permissions into explicit on this object: Bu seçenek ile miras iptal edilirken, mevcut kullanıcı(lar) ve grup(lar) ACL'de (Access Control List) olduğu gibi tutulur ve değişiklik yapılmasına (silme, yetkilerin düzeltilmesi) izin verilir duruma gelir.
Remove all inherited permissions from this object: Bu seçenek ile miras iptal edilirken, mevcut kullanıcı(lar) ve grup(lar) ACL'den (Access Control List) tamamen silinir ve sıfırdan değişiklik yapılmasına (ekleme, silme, yetkilerin düzeltilmesi) izin verilir duruma gelir. Bu seçeneğin en tek farkı, kullanıcıların ve grupların ACL'den (Access Control List) tamamen silinmedisir. Bu seçeneği seçerken dikkatli olmanızı öneririm.

NTFS (New Technology File System) İzinleri (Security Permissions)


İzinlerin Karışması ve Yeniden Yapılandırma

Bir klasör ya da klasörlerdeki izinlerin tamamen karışması ve artık yönetilemez duruma gelmesi, danışmanlık verdiğim kurumlarda da sıklıkla karşılaştığım bir durum. Plansız ve bilinçsizce yönetilmeye çalışılan yetkilendirmelerde işler ciddi anlamda içinden çıkılamaz hale gelebiliyor.

Peki böyle bir durumda ne yapacağız?

Böyle durumda imdadımıza Replace all child permission entries with inheritable permission entries from this object seçeneği, seçeneğin seçildiği klasördeki yetkilerin aynısını alt klasörlere de uygulamaktadır (alt klasörlerde miras devre dışı bırakılmış olsa bile!).

1- İzinlerin yeniden yapılandırılması için, düzenlemeyi yapacağım bir üst klasör seçiyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

2- Klasör özellikleri penceresinde Advanced butonuna tıklıyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

3- Karşıma çıkan klasör Advanced Security Settings pencesinin alt kısmında bulunan Replace all child permission entries with inheritable permission entries from this object seçeneğini seçiyor, OK butonuna basarak işlemi tamamlıyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

4- Karşıma, bu klasördeki tüm izinlerin alt klasörlere uygulanacağı uyarısı geliyor. Yes butonuna tıklıyorum.

NTFS (New Technology File System) İzinleri (Security Permissions)

5- FILES ana klasörü altındaki FOLDER-3 klasöründe mirası devre dışı bırakmıştık. Bu klasördeki yetkilendirmeler de, Replace all child permission entries with inheritable permission entries from this object seçeneğini seçtiğim klasördekine göre düzenlenmiş, miras yeniden aktif edilmiştir.

NTFS (New Technology File System) İzinleri (Security Permissions)

Klasör Sahipliği (Folder Ownership) kavramı

Varsayılan olarak bir klasörün sahibi, o klasörü oluşturandır. Klasör Sahipliği (Folder Ownership), pratikte önemsiz gibi görünse de, bir çok açıdan önem kazanmaktadır:

Buna göre;
• Roaming Profile (gezici profil) üzerinde Mandatory Profile (zorunlu profil) oluşturmak amacıyla Roaming Profile (gezici profil) klasörlerine erişim sağlamak için klasör sahipliğinin alınması gerekmektedir.
• File Server Resource Manager (FSRM) ile oluşturulan Disk kotası işlemlerinde Disk kotaları, klasör sahipliğine göre hesaplanır. Bu nedenle de Her kullanıcı sahip olduğu kalasörün klasör sahipliğini kendisine alması gerekmektedir.
• Active Directory'den hesabı silinen bir User'ın Klasör sahipliğinde SID+RID numara bilgisi kalmaktadır. Bu tür durumlarda klasörün aktif bir Active Directory User üzerine geçirilmesi gerekmektedir.
• Bir klasörün sahibi, iligli klasör üzerinde sadece Read iznine sahip olsa bile klasör sahipliği, ACL'deki (Access Control List) izinleri yönetme hakkı vermektedir.

6- FILES isimli ana klasör altında bulunan FOLDER-1 isimli klasörün klasör sahibinin (Folder Owner) Administrators kullanıcısı olduğunu görebiliyoruz.

NTFS (New Technology File System) İzinleri (Security Permissions)

6.1- Administrators kullanıcısı, FILES ana klasör altında FOLDER-1-1 isimli bir klasör daha açtığında, klasör sahibi (Folder Owner) otomatik olarak Administrators kullanıcısı olmuştur.

NTFS (New Technology File System) İzinleri (Security Permissions)

6.2- User100 kullanıcısı, FILES ana klasör altında FOLDER-1-2 isimli bir klasör açtığında bu sefer klasör sahibi (Folder Owner) otomatik olarak User100 olmaktadır.

Bilgi!: Varsayılan olarak bir klasörün sahibi, o klasörü oluşturandır.

NTFS (New Technology File System) İzinleri (Security Permissions)

6.3- User100 kullanıcısı, klasör sahibi (Folder Owner) Administrator olan FILES ana klasör altında FOLDER-1-1 isimli klasörün sahipliğini almak istediğinde, Change bağlantısında tıklayıp, klasör sahipliğini atayacağı kullanıcıyı belirlemesi yeterlidir.

NOT 9: Bunu yapabilmesi için ise, klasör üzerinde Full Control temel izinine (Basic Permission) bağlı Take Ownership gelişmiş izinine (Advanced Permission) sahip olması gerekmektedir.

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

NTFS (New Technology File System) İzinleri (Security Permissions)

6.4- Klasörün sahipliğini aldıktan ya da devrettikten sonra alt kısımdaki Replace owner on subcontainers and object seçeneğine tıkladığınızda alt klasörlerdeki klasör sahipliği de (Folder Ownership) sahipliğin alındığı ya da devredilği ana klasördeki kullanıcıya geçecektir.

NOT 10: İlgili klasör üzerinde gelişmiş izninlerinden (Advanced Permissions) Take Ownership izni olan herhangi bir kullanıcı veya grup, klasör sahipliğini devralabilir.

NTFS (New Technology File System) İzinleri (Security Permissions)

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilgi Teknolojileri sektöründeyim.
Bilgi teknolojileri alanında danışmanlık hizmetleri veren bir ARGE firması olan MİRSİS Bilgi Teknolojileri'nde Kidemli Sistem Uzmanı konumunda görev yapıyor, uzun yıllardır da Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Sistem ve Network Uzmanlığı eğitimleri veriyor, işlerimden arta kalan zamanlarda da bireysel olarak kurumsal firmalara Bilgi Teknolojileri Danışmanlık Hizmetleri sunuyorum.
Hakkımda daha fazla bilgi sahibi olmak ve sahip olduuğum olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.




2
YORUMLAR
Bu makaleye 2 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

YORUM YAZ
   
  
(Yorum onay bildirimi için gereklidir. Yayınlanmaz.)
 
750 Karakter yazabilirsiniz.

   
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.


Yorumlar:
16.09.2020 Nizam Mammadaliyev
Hocam Merhabalar. Belirli bir dosyanin yalnizca belirli kullanicilar tarafindan gorule bilmesini nasil temin ede bilirim?.Mesela kullanicinin dosyaya erisme hakki yoksa onu goremesin.

16.09.2020 Fırat Boyan
Merhaba, Access-Based Enumeration (ABE)