İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 31.05.2020 2

Windows Server 2019'da Sharing (Paylaşım) İzinleri

Bu makalemde sizlere Paylaşım izinleri (Sharing Permissions) konusundan bahsedip, bir klasörü nasıl paylaşıma açabileceğinizden ve paylaştırılmış bir klasörde kullanıcılara nasıl paylaşım izin atama işlemi yapabileceğinizden bahsediyor olacağım. İzinler, klasör ve dosya gibi kaynaklar üzerinde kullanıcı veya grup için atanmış erişim seviyesinin ne olacağını belirleyen bir takım yetkilendirmelerdir. Örneğin bir kulanıcı için, paylaştırılmış bir klasör üzerinde okuma izni (Read Permission) verilirken, başka bir kullanıcı için yine paylaştırılmış bir klasörde hem okuma izni (Read Permission) hem de yazma izni (Write Permission) verilebilir. Kısacası, paylaştırılmış bir klasör üzerinde hangi kullanıcı ya da kullanıcı grubuna hangi izinleri vereceğinizi İzinler ile sağlayabilir, kullanıcı ya da grupların bu klasörler üzerindeki yetkilerini düzenleyebilirsiniz.
Network üzerinde bir klasöre paylaşım izinleri (Sharing Permissions) verebilmek için öncelikle o klasörü paylaşıma açmak gerekmektedir. Paylaşıma açma işlemi gerçekleşmeden, Network üzerinden kaynaklara erişmek mümkün olmayacaktır.

Örnek Senaryo-1
Server'ım üzerinde COMPANY isimli bir klasör var. Bu klasörümü paylaşıma açarak gerekli izin atamalarını oluşturmuş olduğum kulanıcılar üzerinde sağlayacağım ancak başlamadan önce bir kaç noktaya da değinmekte fayda var.

Paylaşım izinleri (Sharing Permissions), sadece klasörlere uygulanabilir.
Paylaşım izinleri (Sharing Permissions), hem FAT hem de NTFS Format'lı Volume'ler üzerinde bulunan klasörlere uygulanabilir.
Paylaşım izinleri (Sharing Permissions), paylaşıma açılan klasör sadece UNC (Universal Naming Convention) Path üzerinden \\Host Name ya da \\IP Adresi üzerinden erişildiği zaman geçerli olan bir izin yöntemidir.

Yukarıdaki bu bilgilere göre COMPANY isimli klasörümü paylaşıma açıyorum;

1- Klasör Özellikleri penceresinde Sharing tab'ında Advanced Sharing... butonuna tıklıyorum.

sharing permissions-paylaşım izinleri

2- Advanced Sharing penceresinde Share this folder Check Box'ını seçili hale getiriyorum.

sharing permissions-paylaşım izinleri

3- Share this folder Check Box'ını seçili hale getirdikten sonra, izinleri atayabileceğimiz Permissions butonu da aktif hale geliyor.

sharing permissions-paylaşım izinleri

Paylaşım izinleri ve tanımlamalarını Permissions penceresinden yapacağız. Paylaşım izinleri (Sharing Permissions) üç kısımdan ve iki temel izinden oluşmaktadır. Bunlar, Allow ve Deny grupları altında; Read (okuma), Change (değiştirme), Full Control (tam denetim) şeklindedir.

1- Allow Grubu

Read: Varsayılan olarak Everyone grubu atanmış olup, bu grup için varsayılan seçenektir.
• Klasör içindeki dosyaları ve alt klasörleri görüntüleme yetkisi verir. 

sharing permissions-paylaşım izinleri

Change: Read izninin bütün özelliklerini içermesinin yanında;
• Klasör içerisindeki dosyalar üzerinde değişiklik yapma yetkisi verir.
• Alt klasörleri ve dosyaları silme yetkisi verir.

sharing permissions-paylaşım izinleri

Full Control: Read ve Change izinlerinin bütün özelliklerini içermesinin yanında;
• Klasör izin değişikliği ya da sahipliğini alma gibi yetkiler verir.

sharing permissions-paylaşım izinleri

2- Deny Grubu

Read: Klasör içindeki dosya ve alt klasörlere erişimi engeller.

sharing permissions-paylaşım izinleri

Change: Read izninin bütün özelliklerini içermesinin yanında;
• Klasör içerisindeki dosyalar üzerinde değişiklik yapmayı engeller.
• Alt klasörleri ve dosyaları silmeyi engeller.

sharing permissions-paylaşım izinleri

Full Control: Read ve Change izinlerinin bütün özelliklerini içermesinin yanında;
• Klasör izin değişikliği ya da sahipliğini alma gibi işlemleri engeller.

sharing permissions-paylaşım izinleri

4- Paylaşım İzinleri (Sharing Permissions) İçin Kullanıcı ve/veya Grup tanımlamaları yapma Group or user names altındaki alana ACL (Access Control List) adı verilmektedir. Paylaşım İzinleri (Sharing Permissions) İçin Kullanıcı ve/veya Grup tanımlamaları da, Kullanıcı ve/veya Grup buradaki ACL'e eklenmeleri ile sağlanmaktadır. ACL'e eklenen her Kullanıcı ve/veya Grup için ayrı ayrı izin tanımlamaları yapılabilmektedir.

sharing permissions-paylaşım izinleri

5- Kullanıcı ve/veya Grup eklemek için Add.. butonuna basıyorum.

sharing permissions-paylaşım izinleri

6- Karşıma çıkan Select Users, Computers, Service Account or Groups penceresinde Enter the object names to select alanında, Kullanıcı ve/veya Grup isminin tamamı yazılabilir veya ismin bir kısmı yazılarak sağdaki Check Names butonuna basılarak sistemin bunu algılayarak ismi otomatik tamamlaması sağlanabilir. Ben Fırat Boyan Kullanıcısını ekliyorum.

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

6.1- Size tavsiyem, gerekmedikçe Everyone kullanıcı grubu kaldırarak, sadece izin ataması yapmak istediğiniz Kullanıcı ve/veya Grupları ACL'e eklemeniz olacaktır.

sharing permissions-paylaşım izinleri

7- Fırat Boyan isimli kullanıcıya COMPANY isimli klasör üzerinde Full Control-Allow yetkisi veriyorum.

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

8- Bu işlemden sonra "COMPANY" isimli klasörüm paylaşıma açılarak Fırat Boyan isimli kullanıcıya da gerekli yetkilendirme yapıldı.

sharing permissions-paylaşım izinleri

9- Fırat Boyan kullanıcısı ile PC01 Host Name'li bilgisayarda oturum açarak, \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişiyorum.

sharing permissions-paylaşım izinleri

10- "COMPANY" isimli paylaşım klasörüme tıkladığımda Fırat Boyan kullanıcısı için Full Control-Allow yetkisi tanımlamama rağmen erişim için gerekli iznimin olmadığı hata bilgisi ile karşılaştım. Bunun nedeni, klasöre asıl klasör izni olan Security (Güvenlik-NTFS) izin ataması gerçekleştirmemiş olmamdır.

sharing permissions-paylaşım izinleri

Bilgi!: Bir kaynağa ister UNC-Universal Naming Convention üzerinden, ister de paylaşımın açıldığı bilgisayardan erişilsin, mutlaka güvenlik izlerinin (NTFS İzinnleri) yapılandırılması şarttır. Ancak bu noktada bir ayrım söz konusudur. Bu ayrım da;

• Paylaşıma açılan klasör, Network  üzerinden erişiliyorsa, hem Sharing Permission (Paylaşım İzni) hem de Security Permission (NTFS İzni) gerçeli olarak, her iki taraftadaki izinler karşılaştırılır ve aralarında en kısıtlayıcı olan hangisi ise, o uygulanır.
• Paylaşıma açılan klasör, paylaşımın açıldığı bilgisayardan erişiliyorsa, Sharing Permission (Paylaşım İzni) geçerli olmaz. Sadece Security Permission (NTFS İzni) geçerli olur ve aralarında karşılaştırma da yapılmaz.

11- Yukarıdaki bilgiler doğrultusunda Server'da paylaşıma açtığım "COMPANY" isimli paylaşım klasörüm üzerinde bu sefer de Security sekmesinde Fırat Boyan kullanıcısı için Security Permission (NTFS İzni) tanımlaması gerçekleştireceğim. Bunun için Edit... butonuna basıyorum.

sharing permissions-paylaşım izinleri

12- Karşıma çıkan pencerede ACL (Access Control List) içine Fırat Boyan kullanıcısını eklemek için Add... botonuna basıyorum.

sharing permissions-paylaşım izinleri

13- Eklemek istediğim kullacım olan Fırat Boyan için fırat yazarak Check Names butonuna basıyor, ismin tamamlanmasını sağlayarak OK butonuna basıp, ekliyorum.

sharing permissions-paylaşım izinleri

14- Kullanıcım eklendikten sonra varsayılan olarak Read (Okuma) izni atanmış durumdadır.

sharing permissions-paylaşım izinleri

sharing permissions-paylaşım izinleri

15- Fırat Boyan kullanıcısı PC01 Host Name'li bilgisayarda tekrar \\Host Name ya da \\IPAdresi üzerinden paylaşıma erişim sağladığımda bu sefer sorunsuz bir şekilde klasörün içini görüntüleyebiliyorum.

 sharing permissions-paylaşım izinleri

16- Paylaşım klasörüm içinde bir New Folder (Yeni Klasör) oluşturuyorum.

 sharing permissions-paylaşım izinleri

16.1- Fırat Boyan kullanıcısı için Full Control-Allow yetkisi tanımlamama rağmen yeni bir klasör oluşturamıyorum. Bunun nedeni de; Network (ağ) üzerinden erişilen paylaşım klasöründe hem Sharing Permission (paylaşım izni) hem de Security Permission (Güvenlik-NTFS İzni) gerçeli olarak, her iki taraftadaki izinlerin karşılaştırıldığıdır. Bu noktada da en kısıtlayıcı izinler Security Permission (Güvenlik-NTFS İzni) tarafında Read (okuma) olarak tanımlandığı için, Sharing Permission (Paylaşım İzni) Full Control-Allow olsa dahi, en kısıtlayıcı olan uygulanacaktır.

sharing permissions-paylaşım izinleri

Örnek Senaryo-2 (Örnek Senaryo-1'in devamı)
17- Active Directory Users and Computers üzerinde daha önceden oluşturmuş olduğum IT isimli Security Group'a Fırat Boyan kullanısını da dahil ediyorum.

sharing permissions-paylaşım izinleri

17.1- IT isimli Security Group için Full Control-Allow ataması yapıyorum.

sharing permissions-paylaşım izinleri

17.2- Fırat Boyan kullanıcısı için de bu sefer Full Control-Deny ataması yapıyorum.

sharing permissions-paylaşım izinleri

17.3- Fırat Boyan kullanıcısı PC01 Host Name'li bilgisayarda tekrar \\Host Name ya da \\IP Adresi üzerinden paylaşıma erişim sağladığımda, kullancımın "IT" isimli Security Group üzerinde Full Control-Allow izni olmasına rağmen gerekli iznimin olmadığı hata bilgisi ile karşılaştım. Bunun nedeni; DENY tanımlanan bir kullanıcı, herhangi bir grup'tan ALLOW iznili olarak gelse dahi DENY, her zaman ALLOW'un üzerinde olmasıdır.

sharing permissions-paylaşım izinleri

Bu makalemin devamı niteliğindeki Windows Server 2019'da NTFS (Güvenlik) İzinleri konulu makalemi de okumanızı tavsiye ederim.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum. Kıdemli Sistem Mühendisi, Microsft Sertifikalı Eğitmen (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest, Noter Yeminli Tercümanım. 18 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum ve Bilgi Teknolojileri alanında eğitim hizmetleri veren Bilge Adam bünyesinde Microsoft Sertifikalı Eğitmen (MCT) olarak Sistem ve Network Uzmanlığı eğitimleri veriyorum. Bunun yanı sıra, kurumsal firmalara BT danışmanlık hizmetleri de vermekteyim. Hakkımda daha fazla bilgi sahibi olmak ve sahip olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.

YORUMLAR
Bu makaleye 2 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


08.07.2022 Metin Özdemir
Hocam tek kelime ile mükemmel anlatım. Hep ikisini de veriyor ama neden olduğunu bilmiyordum Bir se ilk share kısmına everyone full veriyordum gerek yokmuş

08.07.2022 Fırat Boyan
Merhaba Metin, yorumun için teşekkürler :) Aslında Sharing kısmında Everyone yerine Authenticated Users grubuna yetki vermek güvenlik açısından daha doğru olacaktır. Burada Full Control-Allow vermenin hiçbir sakıncası yok. En kısıtlayıcı olana göre işelm yaptığı için burada önemli olan kısım, Security tarafında ne verdiğindir.