Delegate Control ile Yetki Dağıtmak

Büyük bir şirketin koca domain yapısını tek başına kontrol etmek gerçekten zor bir iş olmalı. Çünkü domain ortamının güvenliği, bakımı ve takibi derken araya birde IK'nın personel işleri girince, insanın çıldırası gelir değil mi? Şirkete her işe başlayan ve işten ayrılan personel için işlem yapmanızı isteyen onca telefon aramaları oldukça rahatsız edici. Bundan kurtulabilmenin bir yolu olmalı, fakat kimseyle yetkimizi paylaşmadan bunu nasıl gerçekleştirebiliriz?
Cevap Delegate Control, adı üstünde seçtiğiniz kullanıcı hesaplarını sanki elçi gibi yetkili olarak tanımlıyorsunuz ve yetkili oldukları OU içinde işlemlerini gerçekleştirebilirler. (Yada saltanatlarını sürebilirler :)  Bu kişiler sadece sizin verdiğiniz ek izinler ile kendi OU'larını düzenleyebilirler (kullanıcı oluşturma, silme, şifre yenileme vs...), bunun dışında domain ortamını tehlikeye düşürecek herhangi bir şey yapamazlar.

Bu örneğimde belirlediğimiz bir kişiye kendi çalışma arkadaşlarının veya altında ki çalışanlarının şifrelerini sıfırlama yetkisini verilebileceğini ve nasıl kullanılabileceğini öğrenelim.

 Her zaman olduğu gibi bu işlemi gerçekleştirebilmek için "Active Directory Users and Computers" penceresini açın.

 Delegate Control yetkisini vereceğiniz OU klasörünü seçin ve farenin sağ tuşuna basın. Çıkan menüden Delegate Control'e basın. Bu örnekte IK (İnsan Kaynakları) OU'su için bu işlemi gerçekleştiriyor olacağım.

 Evet, açılan pencereyi "Next" butonu ile ilk adımı geçtikten sonra, yetkili olabilecek kişiyi seçiyoruz. Bunun için "Add" butonuna basın.

 Ardından gelen küçük pencereden belirlediğiniz domain kullanıcı hesabını seçin. Ben bu işlemleri gerçekleştirme yetkisini IK müdürüne teslim etmeyi uygun gördüm.

 Bu adımda verebileceğiniz yetkiler listeleniyor. Biraz ingilizceniz varsa, yetkilerin ne işe yaradığını rahatlıkla anlayabilirsiniz. Ben bu örnekte sadece şifre sıfırlama yetkisi vereceğim için, ikinci seçeneği seçerek, "Next" butonuna basıyorum.

 Delegate Control ile belirlediğimiz kişiye şifre sıfırlama yetkisi vermiş oluyoruz. Bu işlemi "Finish" butonuna basarak, tamamlıyoruz.

 Şimdi bu işlemin gerçekleşip, gerçekleşmediğini görelim. Bunun için OU'nun özelliklerine ulaşıyoruz.

Özellikler penceresinden "Security" (Güvenlik) tabına geçiş yapın. Görüldüğü üzere seçmiş olduğum IK Müdürünün kullanıcı adı görünüyor. Eğer bu işlemden vazgeçmek istersem, "Remove" butonu ile bu kullanıcı hesabını silerek, işlemi düzeltebilirim.

RSAT Kurulumu ve Kullanıcı Tarafı Yetki Kullanımı

Server tarafından Delegate Control ile nasıl yetki verebileceğimizi öğrendik. Fakat belirlemiş olduğumuz kullanıcılar bu yetkileri nasıl kullanacaklar? Sonuçta kendi bilgisayarlarında "Active Directory" pencereleri bulunmuyor. O halde kendi OU'larını nasıl düzenleyecekler?

Bunun da cevabı RSAT (Remote Server Administration Tools). Bu araç Active Directory'e ulaşmaları mümkün oluyor. Bu yazımda Windows 10 Pro işletim sistemine nasıl kurulum yapabileceğimizi anlatacağım.

İlk olarak RSAT'ı internet adresi üzerinden indirmemiz gerekiyor. Nedeni Windows 10 işletim sisteminin Windows özellikleri arasında gelmiyor oluşu. RSAT araçını indirmek için bu adrese tıklayın.

Windows 10 için İndirdiğimiz RSAT güncellemesini çalıştırarak, kurulum işlemine başlıyoruz.

 Sıkıştırılmış dosyaların çıkarılması biraz bekledikten sonra...

 Güncellemeyi yüklemek istiyor musunuz? sorununa "Evet" dedikten sonra...

 Güncelleme lisanını kabul edin ve kurulumun bitmesini bekleyin.

Kurulum tamamlandığında bilgisayarımızın yeniden başlatılması gerekiyor.

 Kurulumun başarılı bir şekilde gerçekleştiğini anlayabilmek için, arama çubuğundan Windows Özelliklerini aç veya kapat" yazın ve pencereyi çalıştırın.

Kaydırma çubuğunu bir aşağılara çektiğiniz de sizde göreceksiniz ki, istediğimiz araçlar kurulmuş.

Not: Bu adımdan sonra admin hesabınızdan çıkış yapın. Bundan sonra ki adımları Delegate Control ile belirlemiş olduğunuz kullanıcı hesabı ile giriş yaparak devam edin.

 Müdür hesabı ile giriş yaptık diyelim. Başlat menüsünden Programlar listesinden "Active Directory Kullanıcı ve Bilgisayarlar" seçeneğini bulun ve çalıştırın.

 Görüldüğü üzere Server tarafında ki gibi bir pencere açılmış olacak. Belirlediğimiz kullanıcı hesabı Insan Kaynaklarında yetkili olduğu için IK OU'suna tıklayın.

 Burada test10 adlı kullanıcı hesabının şifresini sıfırlayalım. Kullanıcıyı seçin ve farenin sağ tuşu ile açılan pencereden "Parolayı Sıfırla" seçeneğini seçin.

 Açılan pencereden yeni bir parola belirleyin ve "Tamam" butonuna basın.

 Görüldüğü üzere kolayca sıfırlandı. Şimdi yetkisinin diğer Departman OU'larda çalışıp, çalışmadığını kontrol edelim.

 Bunun için Güvenlik departmanı için hazırladığımız OU'dan bir kullanıcının şifresini sıfırlamaya çalışalım.

 Az önce yaptığımız gibi yeni bir şifre belirleyin ve "Tamam" butonuna basın.

 Görüldüğü üzere kişinin bu OU üzerinde herhangi bir yetkisi bulunmadığından sistem erişimini engelledi.

Yazım fazla uzun olmaması için sadece şifre sıfırlama yetkisi üzerinden örnek verdim. İhtiyacınıza göre yetkileri çeşitlendirerek, iş yükünüzü paylaştıra bilirsiniz.