Merhaba,
Önceki yazılarımızdan bir tanesinde helpdesk personeline Active Directory kullanıcılarının parolalarını değiştirme yetkisi vermeyi ele almıştık. Bu yazımızda ise yetki sınırlarını bir adım öteye taşıyor ve helpdesk ekibinin, belirli bir Organizational Unit (OU) içindeki kullanıcı, grup ve bilgisayar nesnelerini başka bir OU’ya taşıyabilmesi için gereken delegasyon adımlarını detaylı şekilde ele alıyoruz.
Bu tür yetkilendirme, özellikle kullanıcıların bölüm değişikliği, bilgisayarların yeniden konumlandırılması ya da organizasyonel yapıdaki revizyonlar gibi durumlarda IT ekibine esneklik sağlar.
Senaryo Tanımı
-
Kaynak OU:
OU=Comps,DC=m3g,DC=intra -
Hedef OU:
OU=Computers,OU=m3g,DC=m3g,DC=intra -
Yetkilendirilecek Grup:
Helpdesk(AD içindeki özel bir güvenlik grubu)
Amacımız: Helpdesk grubuna, Comps OU’sundaki kullanıcı, grup ve bilgisayar nesnelerini m3g OU’sunun altındaki Computers OU’suna taşıyabilme izni vermek.
Microsoft’un resmi sitesinde taşıma yapılacak object türüne göre olan tablo aşağıdaki gibidir.
(*) If you would like to allow moving a user, group or computer object from an Organizational Unit and not its sub-Organizational Units, you can choose This object only as the value of Apply to.
(**) note that “Write name” (lower case) and “Write Name” (upper case) refer to different property permissions – setting both is required.
Ben örneğimde computer objelerini taşıyacağım için ona göre devam ediyorum, fakat siz diğer obeler için de yetki vermek istiyorsanız, tablonun ilgili OU’su için gerekli olan yetkileri tanımlamalısınız. Yani yapacağımız iki işlem var.
- Kaynak OU üzerinde delegasyon yetkilerini tanımlama.
- Hedef OU üzerinde delegasyon yetkilerini tanımlama.
Bu bilgiler ışığında kaynak OU’muz üzerinde yetkileri tanımlamadan önce, RSAT kurulu ve standart user ile açtığım makinemde taşıma işlemini gerçekleştirmeye çalışıyor ve hata alıyorum.
(Ben drag and drop methodunu kullandım dilerseniz objenin üstünde sağ click yaparak Move seçeneğini de seçebilirsiniz. )
1. Kaynak OU üzerinde yetkileri tanımlama
Active Directory üzerinde delagasyon vermek için source OU ‘muzda sağ click yapıyor ve Delegation Control.. diyerek Next’ E tıklıyorum.
Açılan pencerede yetki vermek istediğim grubu seçiyorum. ve Next diyerek bir sonraki ekrana geçiyorum.
Gelen ekranda hali hazırdaki kullanımımıza sunulmuş hazır templatelerden kullanmayacağımı belirten alttaki “Create a Custom Task to Delegate” seçeneğini işaretliyor ve yine Next’e tıklıyorum.
Sonraki adımda ise hangi AD objeleri üzerinde yetki tanımlayacağımı seçiyorum. Benim örneğimde, computer objelerinin taşınması yetkisini vermek istediğimden Computer objects seçeneğini seçiyorum.
Alttaki checkbox’lar için konuşacak olursak eğer, çoğu makalede ikisini de seçtirirler. Hatta bir sonraki adımda bizim yetki vereceğimiz 3 property varken, bir çok forumda ve dokümanda write ve/veya write all property ile tüm property’lere yazma ve hatta full control yetkisi verdiklerini gördüm. Evet doğru o yetkilerle de istediğiniz gibi çalışacaktır. Fakat fazla yetki vermiş olacaksınız ve bu bir güvenlik zaafiyeti yaratabilir durumdadır. Bu sebeple biz minimum yetki ile bu işlemi yapmak istedğimizden ve bu OU üzerindeki computer objesi taşındığında buradaki computer objesinin kaldırılması gerektiğinden sadece “Delete selected objects in this folder” seçeneğini seçerek devam edeceğiz.
Bir sonraki gelen ekranda ise;
Read distinguishedName
Write distinguishedName
Read name
Write name
Read Name
Write Name
yetkilerini seçerek devam ediyorum. Resmi sitede ve tablonun altında da belirtildiği gibi name ve Name attributeleri farklı property’lere referans eder ve ikisini de işaretlemek gereklidir.
Bu makaledeki yazılanları yapmaya çalıştığınızda fark edeceksiniz ki, Read distinguishedName ve Write DistinguishedName yetkilerini göremiyorsunuz. Bunun için ilgili makaleyi okumanızı öneririm. Ama özetle System32 altındaki dssec.dat dosyasındaki distinguishedName attribute’i computer objeleri için filtered değer olan 7 ‘den 0 ‘a çekmelisiniz.
Summary ekranında m3g.intra/Comps altındaki Coımputer Objelerine Helpdesk Grubu için verdiğiniz yetkileri görebilirsiniz. Finish butonu ile tamamlayabilirisiniz.
2. Hedef OU üzerinde yetkileri tanımlama
Hedef OU üzerinde sağ click yapıyor ve Properties seçeneğini seçiyorum.
Gelen ekrandan Security tabına geçerek Advanced butonuna tıklıyorum.
Açılan pencerede Add botununu seçiyorum.
Yetkilerimi tanımlayacağım ekran açıldığında ise, yukarıdaki Select a Principal linkinden ilgili grubumu seçerek, yetkiler kısmından sadece Create Computer Objects iznini işaretliyorum. Applies To kısmında This object and all descantdant obejcts seçili olduğunda, hedef OU’ nuz içinde başka OU’ lar var ise onlarda da geçerli olur. Eğer yalnızca o OU seviyesinde geçerli olmasını ister iseniz, applies to kısmını This Object olarak seçebilirsiniz.
Yetki tanımlaması bu kadar. Rsat yüklü client makinesine tekrar giderek Kaynak OU üzerindeki makinelerden bir kaçını taşımaya çalışıyorum.
Ve evreka… Bilgisayarlar başarıyla taşındı. İlk adımdaki yetkilerde Create yetkisi vermediğimiz için tersi işlem yapıalmayacaktır. Yani OU=Computers,OU=m3g,DC=m3g,DC=intra Ou’sundan OU=Comps,DC=m3g,DC=intra OU’suna bilgisayar objesini taşımak isterseniz Access Denied alacaksınız.
Faydalı olması dileğiyle…
