Selamlar arkadaşlar bu dersimizde Ad üzerinde farklı birkaç işlemden bahsedeceğim.
Domain ortamındaki kullanıcılar fiziksel ya da uzak bağlantı ile ortamda bulunan DC ye bağlanamazlar. Bunun için Group Policy altında bulunan birkaç ayarda değişiklik yapmak gerekmektedir.
DC’ye User Log on izni vermek için :
Windows serverımıza yüklemiş olduğumu Group Policy Management üzerinde bulunan Default Domain Controllers Policy üzerine gelinir ve Edit’e tıklanır.
Policies à Windows Settings à Security Settings à Local Policies à User Right Assignment yolu izlenir. Allow log on locally ye çift tıklanır. Açılan pencerede Add User or Group sekmesine tıklanır. Açılan pencereden istediğimiz grupu ve kullanıcıyı ekleriz ve OK diyerek alandan çıkarız. Artık cihazımıza eklenen User ya da Group’daki kişilerde log on olabilecektir.
DC’ye Remote Bağlanma İzni Vermek :
Yukarıdaki yolu tekrar izliyoruz.
Allow log on through Remote Desktop Services’e tıklarız. Açılan pencerede Define these policy settings’i seçeriz. Daha sonra Add User or Group alanından istediğimiz kullanıcı ya da grubu ekleriz ve OK tuşu ile ayarı kayıt ederiz. Böylelikle herhangi bir bilgisayardan mstsc ile bağlanabilir hale gelecektir. Ancak sadece belirledimiz grup ya da kullanıcı ile.
DC’yi uzaktan kapatabilmek için yapılması gereken ayar :
Yine aynı yolu takip ediyoruz.
Aynı şekilde kullanıcımızı ekliyoruz ve OK diyerek kalıcı hale getiriyoruz. Bu şekilde cihazımız Shutdown komutu ile uzaktan kapatılabilir hale gelmektedir.
Kullanıcıların hangi cihazlar üzerinde log on olacağını ayarlamak :
Bunun için AD üzerinde yaratmış olduğumuz kullanıcıya sağ tıklayıp Properties kısmına giriyoruz.
Account tabı altında bulunan Log On To… tuşuna basıyoruz. Karşımıza gelen Logon Workstations penceresinde The following computers’ı seçiyoruz. Computer name kısmına adımızı yazdıktan sonra Add tuşuna basarak cihazımızı listeye ekliyoruz. Bu kullanıcımız artık sadece DENEME_PC1 bilgisayarında log on olabilecektir.
Eğer cihaz adını yanlış yazarsanız aşağıdaki gibi bir hata alacaksınız.
Your account is configured to prevent you from using this PC. Please try another PC.
Bu hata almanız durumunda cihaz adını kontrol etmeniz gerekmektedir.
Kullanıcıların hangi saat aralığında log on olabilecekleri belirlemek :
Account sekmesi altında bulunan Logon Hours… ile cihazlardaki logon saatlerini ayarlamanız mümkündür. Logon Permitted yazması izinli olduğu saatler anlamına gelmektedir. Logon Denied yazması ve beyaza olarak boyanmasıda giremiycekleri zamanı gösterir.
Group policy altından cihazı log off olması için zorlamanız da mümkündür.
Cihaza fiziksel olarak kullanıcıların bağlanmasını sağlamak ya da engellemek için :
Bunu eğer DC kurulu olan sistem üzerinde yapıyorsanız ; Group policy management altında Group Policy Objects altında bulunan Default Domain Contorllers Policy üzerine sağ tıklayıp edit demeniz ya da Standart bir kullanıcı pc’sinde yapıyorsanız da gpedit.msc ile local policy kısmına girmeniz gerekiyor.
Ben DC kurulu sistemde yaptığımdan dolayı Default Domain Contorllers Policy üzerinde işlemi yaptım. Yukarıdaki yolu izleyerek Allow log on locally ya da Deny log on locally tıklayarak eklemeler ya da çıkartmalar yapıyorsunuz.
Cihazımıza Network üzerinden erişim olup olmamasını belirlemek :
Bunun içinde yukarıdaki yol izlenir. Access this computer from the network’e basarak izin verirken Deny this computer from the network’e basarak eklenen kullanıcı ya da gruplara engelleme koymamız mümkün olacaktır.
Userların yerlerini bulmak ve silinemez hala getirmek :
Object tabını açabilmek için ilk önce Active Directory Users and Computers’ı açıp View – Advanced Features’a tıklamanız gerekmektedir. Daha sonra user’ımıza sağ click properties yaparız ve object tabına geliriz. Buradaki Canonical name of object: yazan kısımda sistem üzerinde kullanıcının nerede olduğunu göstermektedir. Protect object from accidental deletion yazan kısma seçmemiz durumda da kullanıcımızı silinemez duruma getirmiş oluyoruz.
Kullanıcı profilinde Path oluşturmak :
User’ımızın Properties’ine giriyoruz. Burada ki Profile tabına geliyoruz. Yukarıdaki Home Folder altında bulunan Local path ve Connect seçeneklerini seçerek cihazımıza sadece bir adet map oluşturabiliriz.
Kullanıcımızda Profile Path ve Logon Script oluşturma :
Buradaki Profile Path’in kullanımı eğer istersek kullanıcımızın datalarını belirlediğimiz bir alanda tutmamızı sağlar. Örnek olarak buraya : \\Server_adi\Paylasim_klasörü\%username% yazmamız durumunda, kullanıcımızın dosyaları artık o klasöre atılacaktır. Ancak burda dikkat edilmesi gereken bir husus vardır. Paylaşıma açılan klasörümüzün paylaşım izinleri ve NTFS izinleri kısmında full yetki verilmesi gerekmektedir.
Logon Script ; Bu kısım ile de kullanıcımız cihazını ilk açtığında çalıştırılacak olan script’i isterseniz yazabilirsiniz isterseniz bunu bir .txt dosyasına yazdıktan sonra bat’a çevirip netlogon klasörü altına atarak sadece batın adını yazmanız ile de çalışacaktır.
Örnek olarak : aşağıda yazılan kodları bir .txt dosyasına yazınız.
Echo %username% kullanıcısı %computername% bilgisayarından %data% tarihinde %time% saatinde logon olmuştur. >> \\server_ad&ip\klasor\kayıtlarım.txt
Kodumuzu açıklamak gerekirse. Bu scripti çalıştıran kişinin hangi saatte hangi bilgisayardan oturum açtığını belirtilen yoldaki .txt dosyasına yazacaktır.
Siz bu kodların bulunduğu .txt dosyasının adını kod.bat yapın ve Netlogon klasörü içersine atın. Logon script kısmına da kod.bat yazın. Bunu istediğiniz her kullanıcı için yapmanız gerekmektedir.
Eğer birden fazla kullanıcıya bunu yazmak istiyorsanız Users and Computers ekranında birden fazla kullanıcıyı işaretletin ve sağ tık ile propertieslerine girin. Profile tabına gelerek yazın.
Bir sonraki makalemde görüşmek üzere kolaylıklar dilerim.
