Windows Server 2003 ve Windows XP Professional İşletim sistemlerinde kaynaklara erişimi kontrol etmek için iki tür izin (permission) mekanizması geliştirilmiştir.
- NTFS Permsissions
- Shared Folder Permissions
NTFS izinleri (permissions), yerel sistem ve network üzerindeki dosyalara/klasörlere erişimin kontrol edilmesinde kullanılır ve NTFS formatlı diskler üzerinde verilir.
Windows güvenlik sistemi içinde, kullanıcıların erişeceği dosyaların, klasörlerin ve yazıcıların belirtilmesi mümkündür. Bu erişimde izinlerin (permissions) rolü büyüktür.
Örneğin bir klasöre (folder) erişim için herkese (everyone) okuma (read) izni verilebilir. Ya da daha spesifik izinler kullanıcılara verilir (allow) ya da engellenir (deny).
Shared Folder izinleri ise bilgisayara uzaktan (diğer bir bilgisayarda) erişimi düzenleyen izinlerdir. Diskin formatının NTFS ya da FAT32 olması fark etmez. Özellikle network (LAN) ortamında kaynakların paylaştırılması için bu izin de gerekir.
Shared Folder izinleri:
Read izni, kullanıcının kaynağa erişmesini sağlar. Ancak içerikte herhangi bir değişiklik yapılamaz. Change izni, kaynak üzerinde değişiklik yapılmasını sağlar. Change izni silmeyi de sağlar. Full Control izni söz konusu kaynak içeriğinde yer alan herhangi bir dosyanın/dosyaların üzerindeki tanımlı bütün işlemleri ve izinleri de yönetmeyi sağlar. Bu nedenle bu iznin herkese verilmesi kaynak güvenliği açısından doğru bir uygulama değildir.
“Allow” ve “Deny” Düzenlemeleri
Windows Server 2000 ve 2003’te izin sistemi Allow ve Deny olarak düzenlenmiştir. Allow, nesne üzerinde verilen izinleri belirtirken, Deny ise verilmeyen izinleri (engellemeleri) gösterir. Genel kural, kullanıcılara yapacağı iş için minimum izinleri vermektir. Bu sayede sistem kaynakları güvenli biçimde kullanılabilir.
NTFS dosya sistemi ile formatlanmış disk alanlarında uygulanan izinlerdir. Bu izinler, lokal ya da network üzerinden erişen kullanıcı ve grupların dosya ve klasöre erişimi belirler.
Disk alanlarının daha güvenli bir şekilde korunması ve yetkilendirilmesi için NTFS disk formatının seçilmesi ve NTFS izinlerinin verilmesi gerekir. Bunun dışında güvenlik anlamında birçok düzenlemenin yapılabilmesi için, örneğin Active Directory kurulumu, sıkıştırma (compress), disk kotaları, EFS gibi güvenlik özellikleri açısından da diskin NTFS formatlı olması gerekir.
Windows Server 2000 ve 2003’te NTFS izinlerinde de izin sistemi de Allow ve Deny olarak düzenlenmiştir. Allow, nesne üzerinde verilen izinleri belirtirken, Deny ise verilmeyen izinleri (engellemeleri) gösterir.
Genel kural, kullanıcılara yapacağı iş için minimum izinleri vermektir (allow). Verilmiş izinlerden bir kısmı geri almak ya da tümüyle engellemek için Deny kısmı kullanılır.
Paylaşılmış bir kaynak üzerinde Deny düzenlemesi genellikle uygulanmaz. Bu özellik, kullanıcılara ya da gruplara önceden atanmış olan belirli izinleri geçersiz kılmak (override) için kullanılır.
NTFS izinleri dosya ve kullanıcı bazında verilebilir. Yani bir dosyayı kullanacak kişiler NTFS izinleriyle belirtilir. Sistem şöyle işler: NTFS formatlı bir disk üzerinde bir dosya oluşturulduğunda ACL (Access Control List) bilgisi de oluşturulmuş olur. Bu bilgi o dosyaya kimlerin erişeceğini içerir. Sistem içinde bu dosyaya erişim olduğunda, işletim sistemi ACL içindeki bilgilere göre erişime izin verir ya da engeller.
NTFS Dosya İzinleri (File Permissions)
Full Control: Tanımlanmış tüm izinleri içerir. Diğer tüm izinlerin bir kombinasyonu gibi düşünülebilir. Bu izne sahip olan kullanıcı Change Permissions ve Take Ownership dahil olmak üzere dosya üzerinde tüm işlemleri yapabilir.
Modify: Read&Execute ve Write izinlerinin bir kombinasyonudur, ancak kullanıcıya Delete gibi önemli bir hakkı da verir.
NOT: Modify izni seçildiğinde otomatik olarak Read, Read&Execute ve Write izinlerinin de seçildiğini görebilirsiniz.
Write: Bu izin dosyayı değiştirme hakkını verir. Bir dosyanın içeriği değiştirilmek istendiğinde, o dosyayı önce açmak ve okumak gerekir. Yani bir dosyayı değiştirmek için Read izni Write izni ile birlikte verilmiş olmalıdır.
Read & Execute: Bu izin Read izni ile aynı özellikleri taşır, ek olarak kullanıcıya uygulamaları çalıştırma iznini verir.
Read: Read izni kullanıcıya verilmiş en basit haktır. Dosya için söz konusu olduğunda o dosyanın görülebilmesini/okunabilmesini sağlar.
NTFS izinlerini düzenlemek için:
NTFS üzerindeki bir dosya ya da klasör (folder) üzerinde sağ tıklanır. Properties iletişim kutusunda Security sekmesi ile NTFS izinleri düzenlenir. Security sekmesi görülmüyorsa disk NTFS formatlı olmayabilir.
İzinler Allow (yapar) ve Deny (yapamaz) şeklinde verilir.
Birden çok NTFS izni söz konusu olduğunda:
Bir dosya üzerinde birden çok NTFS izni uygulandığında, grup üyeliklerinden gelen olumlu izinlerin birleşimi (kümülatif) geçerli olur. Ancak Deny izinleri ile bir birleşim varsa, Deny edilmiş izinler olumlu izinleri ezer ve bileşime Deny olarak hakim olur.
Örneğin, bir kullanıcıya bir dosya üzerinde Read izni verilmiş olsun. Aynı kullanıcı bir grubunun üyesidir ve bu grubuna da Write izni verilmiştir. Bu durumda kullanıcının o dosya üzerindeki izni de Write olur. Ancak grubun izni Deny olmuş olsaydı, o zaman kullanıcının geçerli izni Deny olurdu.
Kullanıcı ve grup üyeliği durumları:
Bir kullanıcı kendisinin Full Control iznine sahip olduğu bir klasör için o kullanıcının dahil olduğu grup Read iznine sahipse, bu durumda yukarıdaki kural gereği olumlu birleşim uygulanır. Yani efektif izin, söz konusu klasör için Full Control’dür. Ancak kullanıcının üye olduğu grubun Deny durumu varsa durum değişir. Bu durumda kullanıcı da Deny’dan etkilenir, sonuç olarak Deny izniyle de o dosyaya erişemez.
Inheritance (Üstten Etkilenme)
Varsayım olarak bir klasöre (dizine) uygulanan izinler, klasör içindeki dosyalar ve alt klasörlere de uygulanır. Ancak alt klasör ve dosyaların üst klasörden farklı izinlere sahip olmasını istiyorsanız, üstten etkilenmeyi (inheritance) önleyebilirsiniz.
Inheritance, klasörlerin izinlerinin düzenlendiği iletişim kutusundan kontrol edilebilir. Properties/Security/Advanced
Inheritance Mekanizması
Bir NTFS disk üzerindeki root klasör içinde yaratılan bütün klasörler varsayım olarak üst klasörün izinlerinden etkilenirler.
Bu düzenleme: “Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here” onay kutusu ile yapılır.
Bu onay kutusunun kaldırılmasıyla Inheritance sistemi ortadan kalkar. Ancak bu aşamada düzenleyiciye iki seçenek sunulur:
Copy: inheritance kırılır, ancak alınmış izinler sabit kalır.
Remove: inheritance kırılır ve alınmış izinler de iptal edilir. Yalnızca klasör için düzenlenmiş (üstten gelmeyen) izinler geçerli olur.
Root Klasör
Inheritance düzenlemeleri root düzeyinde (C:\, D:\ gibi) olmaz. Alt düzeydeki klasörler için uygulanır.
Root düzeyinde benzer bir Replace … seçeneği vardır. Bu seçenek, aşağıya doğru izinlerin güncellenmesini sağlar.
Özel erişim izinleri standart erişim izinlerinin yanı sıra daha spesifik işlemlerin yapılmasını sağlar. Standart erişim izinleri, özel izinlerin mantıksal bir grubunu içerir.
NTFS Özel İzinleri (Special Permissions)
Örneğin, standart izin Read için özel erişim izinleri şunlardır:
List folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions
Synchronize
Bu durumda Read (allow) izni olan bir kullanıcıdan Read Attributes izni Deny ile alınabilir. Bunun dışında, NTFS özel izinlerinin içinde yer alan iki izin, dosya ve klasörlerin yönetiminde önemlidir. Bu izinler Change Permissions ve Take Ownership’dir.
Change Permissions izni kullanıcıya bir dosya ya da klasör üzerinde izin verme ya da mevcut izinleri değiştirme hakkını verir.
Take Ownership izni ise kullanıcıların dosya ya da klasörlerin sahipliğini almasını sağlar. Bir dosyayı yaratan kullanıcı o dosyanın sahibidir (owner). Bu sahipliğin başkasına devri için o kişiye sahipliği alma izni olan Take Ownership izni verilir. Böylece o kullanıcı sahipliği alır ve sahiplik el değiştirir. Bunun dışında (kullanıcının hesabının yok olması gibi durumlarda) Administrator, diğer kullanıcılara ait olan dosya ve klasörlerin iznini alabilir.
Sahipliği alabilecek kullanıcılar:
1. Administrators
2. Take ownership iznine sahip olan herhangi bir kullanıcı ya da grup
3. Restore files and directories ayrıcalığına sahip bir kullanıcı.
Efektif İzinler
Bir kullanıcının ya da grubun bir nesne üzerinde (toplamda) hangi izinlere sahip olduğu bilinmek isteniyorsa efektif izinler kullanılabilir. Efektif izinler, belirlenen kullanıcıya ya da gruba verilen izinleri hesaplar. Yapılan hesap grup üyeliğinden kullanıcı hesabına kadar, hatta üstten gelen (inherited) izinleri de kapsar. Kullanıcının ya da grubun üyesi olduğu tüm domain ve lokal gruplar hesaplama içinde yer alır.
Efektif izinler, bir kullanıcının sahip olduğu izinlerin yaklaşık bir hesaplamasını yapar. Kullanıcının oturum açma (logon) biçimine göre bazı izinler verilip alındığından, kullanıcının sahip olduğu gerçek izinler farklı olabilir.
Efektif izinleri belirlemede kullanılan faktörler:
· Global grup üyeliği
· Lokal grup üyeliği
· Lokal izinler
· Haklar (Privileges)
Dosya ya da klasörün üzerindeki efektif izinleri görmek için:
Klasörlerin izinlerinin düzenlendiği iletişim kutusundan (Properties/Security/Advanced) Effective Permissison tabı seçilir. Select düğmesi aracılığıyla istenilen kullanıcı seçileren izinleri görülür.
Shared Folder (Paylaştırılmış Klasör) İzinleri
Shared Folder izinleri dosya ve klasörlere network üzerinden erişimle ilgilidir. Bu sayede kullanıcılar network üzerinde yer alan bir diğer bilgisayardaki klasörlere erişebilirler.
Bu izinler Workgroup olarak çalışıldığında da geçerlidir. Bu izinler kullanıcının kendi makinesinde dosya ve klasörlere erişimini kontrol etmek için kullanılmaz. Tümüyle network üzerinden erişimi kontrol etmek içindir.
Shared Folder izinleri, dosya sisteminin NTFS ya da FAT olmasıyla ilgili değildir. Her ikisi için de bir kısıtlama ya da her iki disk sistemi için de network’ten erişim için geçerli bir düzenlemedir.
Bu izinler networkten erişim için gereklidir. Aynı şekilde network erişim kısıtlanacaksa da bu izinlerle (deny) sağlanabilir.
Shared Folder izni verdiğiniz bir kullanıcı bu klasöre network üzerinde erişmek için bağlandığında shared folder erişimi sağlar. Ancak ardından bir NTFS klasöre ya da dosyaya erişecekse, NTFS izinlerinin de buna izin vermesi gerekir. Yani, shared folder iznine karşılık, o klasör ve dosyayı koruyan bir NTFS izni varsa o izin düzenlemelerinin de bu erişime vermesi gerekir. Aksi takdirde erişim engellenir.
Bir klasörü paylaştırmak için Administrators, Server Operators ya da Power Users (Member Server, Professional için) grubunda olmak gerekir.
Paylaşım izinleri ve NTFS izinleri birlikte kullanılıyorsa daha sınırlayıcı (more restrictive) olan izin etkili olur.
Örneğin, eğer paylaşım izni Everyone için Read (varsayım olan izin) ise ve NTFS izni kullanıcılara paylaşılmış dosya üzerinde değişiklik yapma hakkını veriyorsa (Modify), bu durumda paylaşım izni (düşük olan) geçerli olur yani kullanıcı dosyayı değiştiremez yalnızca okur (read).
Bir Klasörü Paylaştırmak
Bir klasörü paylaştırmak için önce klasör seçilir. Ardından sağ tıklanır ve Properties iletişim kutusundan Sharing sekmesi seçilir.
Share Name: Network kullanıcılarının bu klasöre erişmek için kullanacakları isimdir.
Description: Paylaşılan kaynakla ilgili açıklama yapılmasını sağlar.
User Limit: Paylaşılan klasöre aynı anda bağlanılacak kullanıcı sayısını belirtir.
Microsoft Windows Server 2003, klasörleri paylaştırmak için iki seçenek sağlar: Lokal klasörleri Windows Explorer kullanarak paylaştırabilirsiniz ya da lokal ve uzak klasörleri Computer Management’ı kullanarak paylaştırabilirsiniz.
Shared Folder İzinleri:
Read
1. Dosya isimlerini ve alt klasör isimlerini görür
2. Dosya içindeki verileri okur
3. Program dosyalarını çalıştırır
Change (Read izinlerine ek olarak)
1. Dosya ve alt klasör ekleyebilir
2. Dosyalar içinde yer alan verileri değiştirebilir
3. Dosyaları ve alt klasörleri silebilir
Full Control (Read ve Change izinlerine ek olarak)
1. NTFS dosyaları ve klasörlerindeki izinleri değiştirebilir
2. Dosyaların sahipliğini alabilir
3. Diğer bütün işlemleri yapabilir
Paylaşılmış Klasörlere/Dizinlere Bağlanmak
Bir paylaştırılmış klasöre/dizine bağlanmak için şu yollardan birisi kullanılabilir:
1. Start/Run
\\istanbul\data istanbul üzerinde paylaştırılmış olan “data” isimli klasöre bağlanır.
2. My Network Places
My Network Places simgesi aracılığıyla.
3. Map Network Drives
Paylaşımı map ederek.
Bir Ağ Sürücüsünü Map’lemek
Windows Server 2003 ve Windows XP üzerinde paylaştırılmış olan bir klasöre bağlanmak için:
1. Windows Explorer’ı başlatın.
2. Tools menüsünden Map Network Drive’ı seçin.
3. Drive alanını kullanarak, paylaşılan bir kaynak için network sürücüsünü yaratabilir ya da diğer varsayım seçenekleri kullanabilirsiniz.
4. Folder bölümüne istediğiniz dizini yazabilir ya da Browse ile araştırabilirsiniz.
Örnek:\\istanbul\data
NTFS İzinleri ve Shared Folder İzinlerinin Birlikte Kullanımı
Kullanıcı ya da grup, network üzerinden gelerek bir NTFS dosya ya da klasöre erişim yaparken her iki izin sistemine de tabi olabilir. Bu nedenle network üzerinde kaynağa erişecek kullanıcıları kaynak üzerinde yapacağı işleme uygun olarak Shared Folder izni ve NTFS izni verilmelidir.
Her iki izin sisteminden de geçecek olan kullanıcı bu izinlerden daha kısıtlayıcı olanın (more restrictive) sağladığı izinleri kullanır.
1. Lokal (yerel) Kullanıcı Bakımından
Yerel kullanıcı yalnızca NTFS izinlerine tabidir.
2 . Network Kullanıcısı Bakımından
Önce Shared Folder
Sonra NTFS izin düzenlemesi de izin vermelidir.
Biri diğerinden daha kısıtlayıcı ise o zaman daha kısıtlayıcı olan (more restrictive) geçerli olur.
Örneğin: Eğer Shared izni Everyone=Read olarak ayarlandıysa ve diğer taraftan NTFS izni kullanıcılara dosya üzerinde değişiklik yapma (Modify) iznini veriyorsa, bu durumda Shared izni (Read) geçerli olur ve kullanıcılar dosya üzerinde değişiklik yapamazlar. Bu nedenle network üzerinde erişim yapacak kullanıcının NTFS disk volümü üzerinde Modify izni olması için Shared Folder izni olarak Change izninin de olması gerekir.
Yazan : ceyhun çamlı
\\ Etiketler: kaynaklara erişim izinleri
Son Yorumlar