Grup, Windows NT geliştiricileri tarafından bir ağdaki
kullanıcı hesaplarını yönetmek için tasarlanmış bir diğer araçtır. Belli bir
grup içindeki tüm kullanıcı hesaplarının ağ üzerinde aynı hakları vardır.
Kullanıcı hesaplarını gruplar ile yönetmek, yöneticinin ağdaki kaynaklara
kullanıcı erişimini denetleme ve izleme işini de kolaylaştırmaktadır. Grup
yapılandırmaları, güven ilişkileri ile birlikte, Windows NT güvenlik sisteminin
ayrılmaz parçalarıdır.
Büyük bir ağda, gruplar zorunlu ağ araçlarıdır; ancak küçük
bir örgütsel ortamda bile, gruplar kimin neye eriştiğini belirlemede oldukça
faydalıdır.
Microsoft Windows NT Server 4.0’ a veya Microsoft Windows
NT Workstation 4.0’ a yüklediğinizde,
başlangıç için birkaç grup ve bir miktar kullanıcı hesabı sistemde hazır
olacaktır.
Windows NT’ de iki yerleşik
kullanıcı hesabı vardır: Administrator
ve Guest. En önemli yerleşik
kullanıcı hesabı, kuşkusuz Administrator’ dır. Guest kullanıcı hesabı ise ender
olarak oturum açan kullanıcılar içindir. Guest hesabını silemezsiniz, ancak bu
hesap, varsayılan ayar olarak devre dışıdır. Eğer bir konuğa erişim izni vermek
istiyorsanız hesabı etkinleştirmeniz yeterlidir.
Belli bir grubun içindeki tüm kişisel kullanıcı hesapları, ağ
üzerinde aynı haklara sahiptir. Bir kullanıcı birden fazla gruba eklenebilir ve
ait olduğu her grubun tüm yetenek ve
haklarına sahip olur. Kullanıcı hakları, gruptaki belirli kişiler için değil,
grubun tümü için geçerli olacak şekilde bir gruba eklenip çıkarılır.
Windows NT Server’ da yaratılan gruplar iki genel kategoriden
birine ait olacaktır: genel gruplar (etki alanı grupları) ve yerel gruplar. Bir
genel grup, birden fazla etki alanında hak ve izinler atanabilen bir gruptur;
yalnızca etki alanı denetçisinden yaratılıp yönetilebilir. Bir yerel grup ise,
yalnızca yaratılmış olduğu etki alanında hak ve izin atanabilen gruptur; etki
alanı denetçisi veya yerel bilgisayarda yaratılıp yönetilebilir. User Manager
for Domains’ in yerleşik grup listesine baktığınızda ikisi dışında tüm genel
grup başlıklarının "Domain" ile başladığını ve her ismin önünde bir
yerküre simgesi bulunduğunu- görürsünüz.
Genel grupların özellikleri
Genel gruplar çoklu etki
alanı içeren büyük ağlarda oldukça faydalıdırlar, çünkü tüm bir kullanıcı
grubuna, diğer güvenen etki alanlarındaki kaynaklar için tek bir adımda erişim
verilebilir. Genel grupların özellikleri şunlardır:
• Bir genel grup, yalnızca yaratıldığı etki
alanından (ana etki alanı) kişisel
kullanıcı hesapları içerebilir.
• Bir genel grup, yerel veya genel başka hiçbir
grubu içeremez.
• Bir genel grup, yerel kullanıcılar içeremez.
• Bir genel gruba, grubun yaratılmış olduğu
etki alanındaki (ana etki alanı) ve
ana etki alanına güvenen diğer etki alanlarındaki herhangi bir kaynak için
izinler atanabilir.
• Bir genel grup, bir yerel grubun üyesi
olabilir.
Yerel grupların özellikleri
Adına rağmen, bir yerel grup
pek çok açıdan bir genel gruptan daha kapsamlı ve güçlüdür. Bir yerel grup,
etki alanındaki kullanıcıları ve diğer güvenilen etki alanlarındaki genel
grupları tek bir pakette toplayarak gruptaki herkese ana etki alanında tek bir
adımda hak ve izinler atamanın etkili bir yoludur. Yerel grupların önemli
özellikleri şunlardır:
• Bir yerel grup, ana etki alanı tarafından
güvenilen etki alanlarından genel gruplar içerebilir. Bir başka yerel grup
içeremez.
• Bir yerel gruba, yalnızca içinde yaratılmış olduğu ana etki alanında
izinler atanabilir.
• Bir yerel grup başka bir grubun üyesi olamaz.
• Yalnızca Bir Etki Alanında İşlemesi Gereken Grup Tek bir
etki alanında hak ve izinler gerektiren grup, yerel olmalıdır.
• Diğer Etki Alanlarından Kullanıcılar İçerebilen Grup Birden
fazla etki alanından kullanıcılar içeren grup, yerel olmalıdır.
• Başka Gruplar İçerebilen Grup Eğer hem
kullanıcı hesaplarını, hem de diğer grupları içerecek bir grup gerekiyorsa, bu
yerel bir grup olmalıdır.
• Başka Bir
Etki Alanında İzin ve Hakları Atanabilen Bir Etki Alanındaki Bir Grup Eğer başka bir etki alanındaki kaynakları kullanmak
isteyen bir grup kullanıcınız varsa, yaratılacak olan grup genel olmalıdır.
• Windows NT İş İstasyonlarında İzinleri Atanabilen Grup Eğer
Windows NT iş istasyonlarında izinler verilebilecek bir gruba ihtiyacınız
varsa, bunun genel olması gerekecektir. Yerel gruplara bu tür izinler
verilemez.
Windows NT Server’ ın üç
yerleşik genel grubu vardır: Domain Admins, Domain Users ve Domain Guests. Bu
gruplar etki alanının birincil ve yedek denetçilerinde konumlandırılırlar;
ağdan silinemezler. Varsayılan durumda üyesi oldukları yerel gruplardan kaldırılabilirler.
Domain Admins
Bir etki alanı için
Administrator (yönetici) hesabı, varsayılan durumda, Domain Admins (etki alanı
yöneticileri) genel grubunda içerilmektedir. Domain Admins ise, varsayılan
durumda, hem ana etki alanının Administrators yerel grubuna, hem de her ana
etki alanının Windows NT Workstation Administrators yerel grubuna üyedir. Bir
Domain Admins üyesinin şu ağ unsurları için izin ve hakları vardır:
• Kullanıcının ana etki alanı
• Ana etki alanındaki iş istasyonları
• Güvenilen etki alanları
Domain Admins grubuna
ekleyerek, diğer kullanıcılara da yönetsel yetenekler verebilir-siniz. Yalnızca
Administrator hesabı olan bir kullanıcı Domain Admins üzerinde değişiklik
yapabilir.
ipucu
Eğer Domain Admins (etki alanı yöneticileri) genel grubunun, özel bir iş
istasyonunu veya denetçi olmayan bir sunucuyu yönetebilmesini istemiyorsanız, o
iş istasyonu veya sunucunun Administrators yerel grubundan Domain Admins’ i
kaldırın.
Domain Users
Bir etki alanındaki
kullanıcı hesapları, varsayılan durumda, Domain Users (etki alanı
kullanıcıları) genel grubunun üyeleridir. Yeni bir hesap yaratıldığında, bu
hesap otomatik olarak Domain Users’ a eklenir. Her Domain Users üyesinin, etki
alanındaki herhangi bir Windows NT iş istasyonunda normal erişim ve yetenekleri
vardır.
Yalnızca Administrators veya
Account Operators yerel grupları, Domain Users üzerinde - değişiklikler
yapabilir.
ipucu
Domain Users genel grubu üyelerinin, belirli bir iş istasyonuna veya
denetçi olmayan belirli bir sunucuya erişimini istemiyorsanız, o bilgisayarın
Users yerel grubundan Domain Users’ ı kaldırın.
Domain Guests
Tüm Guest (konuk) kullanıcı
hesapları, varsayılan durumda, Domain Guests (etki alanı konukları) genel
grubunun üyeleridir. Başlangıçta Domain Guests yalnızca yerleşik Guest hesabını
içerir. Domain Guests, varsayılan durumda, Guest yerel grubuna üyedir. Yalnızca
Administrators veya Account Operators yerel gruplarının üyeleri Domain Guests
üzerinde değişiklik yapabilir.
Eğer tipik etki alanı
kullanıcısından daha az hak ve izne sahip olması gereken bir kullanıcınız
varsa, bu kişiyi Domain Guests grubunun üyesi yapın ve Domain Users’ dan
kaldırın.
Bir etki alanındaki Windows
NT Server yerleşik yerel gruplarının, etki alanı denetçilerinde, kişisel ağ bilgisayarlarında
veya her ikisinde de bulunabileceğine dikkat edin. Windows NT sunucularında
etki alanı denetçileri olarak işlev gören yerleşik yerel gruplar şunlardır:
• Account Operators
• Administrators
• Backup Operators
• Guests
• Print Operators
• Replicator
• Server Operators
• Users
Etki alanı denetçileri
olarak işlev görmeyen Windows NT sunucularında ve Windows NT iş istasyonlarında
bulunan yerleşik yerel gruplar aşağıda listelenmiştir:
• Administrators
• Backup Operators
• Guests
• Power Users
• Replicator
• Users
Account Operators
Account Operators (hesap
işletmenleri) yerel grubunun üyeleri User Manager for Domains’ i kullanarak
kendi ana etki alanları için kullanıcı hesap ve grupları yaratabilirler. Ayrıca
gerektiğinde etki alanındaki kullanıcı hesap ve gruplarının çoğunu değiştirip
silebilirler.
Domain Admins genel grubunu
ve aşağıda sıralanan yerel gruplardan hiçbirini silemez ve değiştiremezler:
• Administrators
• Backup Operators
• Print Operators
• Server Operators
• Account Operators
bu kısıtlamalar gruptaki
kullanıcı hesapları ve bu yerel gruplardan herhangi birine ait olan genel grup
için de geçerlidir.
Administrators
En güçlü yerel grup olan
Administrators’ ın etki alanı ve etki alanı denetçileri üzerinde tam bir
denetimleri vardır. Administrators (yöneticiler) yerel grubu sistemde her
yetenek ve hakkın otomatik olarak verildiği tek yerel gruptur. Windows NT
Server yüklendiğinde, Domain Admins genel grubu, varsayılan durumda,
Administrators’ ın üyesi durumuna gelir.
Administrators grubunun
aşağıdaki yetenek ve kullanıcı hakları listesinde "bilgisayar"
sözcüğü etki alanı denetçisi, sunucu veya Windows NT iş istasyonu anlamına
gelebilir.
NOT
Yerleşik Administrator kullanıcı hesabı, hem Administrators yerel grubunun,
hem de Domain Admins genel grubunun üyesidir; her iki gruptan da kaldırılamaz.
Backup Operators
Backup Operators (yedekleme
işletmenleri) yerel grubunun üyeleri, kritik iki Administrator kullanıcı hesap
işlevi için yedekleme sağlar, ancak diğer yönetsel işlevleri yapamazlar.
Güvenlik ayarlarını da değiştiremezler.
Guests
Guests (konuklar) yerel
grubu geçici veya bir kerelik ağ kullanımı içindir. Konukların sunucularda
hiçbir hakları yoktur, ancak bir iş istasyonunda oturum açabilirler. Bununla
birlikte, bir konuk kullanıcı sistemi kapatabilir, çünkü Everyone grubunun tüm
üyeleri bu hakka sahiptir. Domain Guests genel grubu Guests yerel grubunun bir
üyesidir.
Print Operators
Print Operators (yazdırma
işletmenleri) grubunun üyeleri, bir etki alanındaki yazıcı işlemlerini her
yönüyle yönetebilirler.
Power Users
Power Users (güç
kullanıcıları), yalnızca Windows NT iş istasyonlarında ve etki alanı denetçisi
olmayan sunucularda bulunur. Power Users grubunun bir üyesi yalnızca kendisinin
yaratmış olduğu hesap ve grupları değiştirebilir.
Replicator
Bu grup diğer yerel gruplar
gibi değildir. Hiç kimse otomatik olarak Replicator (çoğaltıcı) grubunun üyesi
yapılmaz. Aslında, gerçek kullanıcıların hiçbiri bu gruba eklenmemelidir. Bu
gruba atanmış yalnızca bir hesap olmalıdır. Replicator, etki alanı
denetçisindeki Replicator hizmetine oturum açar, dosya ve dizinlerin
çoğaltımını yönetir.
Server Operators
Her etki alanı veya yedek
denetçisinin, etki alanı sunucularını yönetebilecek Server Operators (sunucu
işletmenleri) grubu vardır. Bu grubun üyeleri yöneticinin işlerinden pek çoğunu
yapabilirler. Ancak, güvenlik seçeneklerini değiştiremezler.
Users
Bu grup, aşağıda
listelenenlere benzer gündelik son kullanıcı görevlerini yapmaları için,
kullanıcılara çeşitli haklar sağlar:
• Bir iş istasyonunda oturum açmak ve bunu ağa
erişim için kullanmak.
• Uygulamaları çalıştırmak.
• Yerel yazıcıları ve ağ yazıcılarını
kullanmak.
• Kendi yerel gruplarını yaratmak ve yönetmek.
• Kişisel bir profili bulundurmak.
• İş istasyonunu kapatmak ve kilitlemek.
NOT
Users yerel grup üyelerinin sunucuda başka yerel grup yaratma yetenekleri
olsa da, aynı zamanda sunucuda yerel olarak oturum açma hakları veya User
Manager for Domains’ e
erişimleri olmadıkça gerçekte bu işi yapamayacaklardır.
Everyone
Everyone yerel grubu gerçek
anlamda bir grup değildir ancak bu terim, User Rights Policy iletişim kutuları
gibi bazı yerlerde görünmektedir. Bir etki alanında kullanıcı hesabı olan
herkes, varsayılan durumda, o etki alanının Everyone yerel grubunun da
üyesidir.
Bir etki alanının içinde,
Everyone grubu, paylaşılan sunucu dizinlerine ağ üzerinden bağlantı yapabilir
ve paylaşılan yazıcılara yazdırabilir.
Windows NT Server, yalnızca
belli bir kullanıcının belli bir zamanda Windows NT sistemini nasıl
kullandığını göstermek amacıyla kullanılan özel yerleşik grupları da içerir.
Başka bir deyişle, bu grupların gerçek anlamda üyeleri yoktur; grup üyeliği,
bir kaynağa yapılan kullanıcı erişimi açısından tanımlanmaktadır. Dört özel yerleşik
grup şunlardır:
• Interactive Yerel
olarak oturum açan herhangi bir kullanıcı
• Network Ağ
aracılığıyla bir kaynağa erişim kazanmış olan herhangi bir kullanıcı
• System İşletim
sistemi
• Creator/Owner Bir dosya,
bir alt dizin veya bir yazdırma işi yaratan herhangi biri
Bu soysal grupların yapısı,
kişisel hesapların, yerel veya genel grupların konumları yerine kaynaklara
erişim türüne göre izinler atamayı mümkün kılmaktadır.
NOT
Interactive ve Network grupları birlikte, önceki kısımda anlatılan Everyone grubunu oluştururlar.
Hak ve izinleri gruplar
temelinde atamanızın bir nedeni, kişileri grupların içine ve dışına taşımanın
kolay olmasıdır.
Bir gruba üye ekleme
yordamları, yerel ve genel gruplar için aynıdır.
1.
User Manager for Domains’ i açın.
2.
Alt gözde grup adına çift tıklayın. Seçtiğiniz grup
türü (yerel veya genel) için Properties iletişim kutusu görünecektir.
3.
Yerel bir grup için, Add’ e tıklayarak Add Users And
Groups iletişim kutusunu açın. Kullanıcıları seçip, önce Add düğmesine, sonra
da OK’ e tıklayın. Properties iletişim kutusunu kapatmak için OK’ e tıklayın.
4.
Not Members kutusundaki bir genel grup için, eklenecek
kullanıcıları seçin. Önce Add düğmesine, sonra da OK’ e tıklayın.
Yerel veya genel bir gruptan
kullanıcıları kaldırmak için şu adımlan izleyin:
1.
User Manager for Domains’ i açın.
2.
Grup adına çift tıklayın.
3.
Kaldırmak istediğiniz adı (veya grubu) seçin; sonra da
Remove düğmesine tıklayın. işiniz bittiğinde OK’ e tıklayın.
Genelde yeni yerel gruplar,
farklı kaynaklara erişim izinleri vermek amacıyla yaratılır. Genel grupların
yaratılma amacı ise, kullanıcıları yaptıkları işe veya örgütlenme içinde
üstlendikleri bir başka role göre organize etmektir. Bir örnek verelim. Ağda
yeni bir yüksek-hızlı yazıcınız olduğunu varsayın. Yazıcının, üretim bölümünün
belli üyeleri tarafından kullanılmasını ve diğer kullanıcıların onu meşgul
etmemesini istiyorsunuz. O zaman, şunları yapmalısınız:
1. Yerel bir grup yaratın ve
bu gruba yeni yazıcıyı kullanma iznini verin.
2. Yeni yazıcıyı kullanma
iznine sahip olan ağdaki herkesi içerecek bir genel grup yaratın.
3. Genel grubu yerel gruba
ekleyin.
Eğer bir iş istasyonuna
bağlı bir yazıcıya bir genel grubun erişimini istiyorsanız, bu grubu iş
istasyonu yazıcısını kullanma izni olan, iş istasyonundaki yerel gruba ekleyin.
1.
User Manager for Domains’ i açın.
2.
User menüsünden New Global Group’ u seçin.
3.
Group Name kutusuna grubun adını yazın.
4.
Description kutusuna grubun tanımını yazın.
5.
Not Members penceresinde adlarını vurgulayarak üyeleri
ekleyin; Add düğmesine tıklayın.
6.
İletişim kutusunu kapatmak için OK’ e tıklayın.
Yeni bir yerel grup yaratmak
için, yeni gruba bir ad verin; sonra da yerel etki alanından ya da güvenilen
bir etki alanından genel gruplar ya da tek tek üyeler ekleyin.
1.
User Manager for Domains’ i başlatın.
2.
User menüsünden New Local Group’ u seçin.
3.
Group Name kutusuna grubun adını yazın.
4.
Description kutusuna grubun tanımını yazın (isteğe
bağlıdır, ancak şiddetle önerilir.)
5.
Add düğmesine tıklayın.
6.
Yeni yerel grubun üyesi olmasını istediğiniz kişi veya
genel grup adlarına, sonra da Add düğmesine tıklayın.
7.
Yeni grup için üyeler seçme işini tamamladığınızda OK’
e tıklayın.
Eğer yeni bir grup
yaratmanız gerekiyorsa ve gereksindiğiniz gruba çok benzeyen hazır bir grup
varsa, User Manager for Domains içindeki Copy işlevini bu amaçla kullanabilirsiniz.
1.
User Manager for Domains’ i başlatın.
2.
Kopyalamak istediğiniz grubu seçin. User menüsünden
Copy komutunu verin; New Local
Group iletişim kutusu görünecektir.
3.
Group Name kutusuna yeni kopyanın adını yazın. Grubun
tanımını değiştirmek isteğe bağlıdır; ancak önerilen bir durumdur.
4.
Kullanıcı eklemek için, Add düğmesine tıklayın. Add
Users and Groups iletişim
kutusuna, orijinal grupta bulunmayıp bu grupta olmasını istediğiniz
kullanıcıları ekleyin.
5.
Yeni grupta olmasını istemediğiniz orijinal gruptaki
kullanıcıları kaldırmak için, onları seçin ve Remove düğmesine tıklayın.
6.
İşiniz bittiğinde OK’ e tıklayın.
Yalnızca User Manager for
Domains ile yarattığınız grupları silebilirsiniz. Grup silindiğinde bu grup
için SID de silinir ve asla yeniden kullanılmaz.
Bir grubu silmek için şu
adımları izleyin:
1.
User Manager for Domains’ i başlatın.
2.
Silmek istediğiniz grubu seçin.
3.
Del’ e basın veya User menüsünden Delete’ i seçin.
4.
OK’ e tıklayarak silmeyi onaylayın ve sonra da Yes’ e
tıklayın.
NOT
Bir grubu silmek, bu grubu Windows NT Server’ dan kaldırır ancak bu
grubun üyesi olan kullanıcı hesaplarını (veya bir yerel grubun silinmesi
durumunda, genel grubu) kaldırmaz.