Bir çok zaman biz sistem yöneticileri, yapmış olduğumuz işlerin yoğunluğundan bir takım işlere yetişemeyebiliriz. Bilgi işlem departmanı içerisinde bulunan personel sayısının yetersiz olduğunu patronlarımıza söylesekte, işlemleri mevcut kadro ile yürütmemiz gerektiği bilgisi verilmesi kaçınılmazdır. Türkiye gibi bir ülkede bulunupta, sadece işini yaparak yaşamını sürdüren sistemci çok azdır. Hemen hemen her işi bilmek zorundayız.
Veya uzak bölgelerde bulunan lokasyonlarımız var ve bu lokasyonlara bütçe problemi nedeni ile kaliteli bir personel almayı planlayamıyoruz. Almış olduğumuz personelin bilgisi de yeterli olmadığı için üst düzey bir yetki ( EnterPrise Admin, Domain Admin, Power User vb..) ile ödüllendirmek istemiyoruz. Fakat uzak bölgede bulunan şubenizinde yönetimsel işlemlerinin yapılması gerekiyor ve oraya giderek zaman harcamak istemiyoruz. Bu kadar olumsuzluklar arka arkaya sıralandıkdan sonra yapılması gereken bir çözümün olması gerekli.
İşte tam bu sıkışık durumumuzda imdadımıza 2003 Server Ailesinin bizlere sunmuş olduğu özelliklerden birisi olan DELEGATE CONTROL yetişiyor. Bir Domain ortamının en yetkisiz kullanıcı grubu olan Domain Users grubunun içinde bulunan bir kullanıcımızın, sistem saatini bile değiştiremezken, Delegate Control sayesinde vermiş olduğumuz yetkiler doğrultusunda Password resetlemek, Hesap açmak ? kapatmak ? Hesabı pasif hale getirmek, Grup oluşturmak vb.. bir çok yönetimsel işlemi, size her hangi bir artı yük getirmeden başarabildiğini görebileceğiz.
Konuyu daha iyi anlatmak adına hazırlamış olduğum senaryo; Yöneticisi olduğumuz bir Domain üzerinde bulunan DELEGATE OU? su içinde, DomainUsers Grubunun üyesi olmakda olan bir kullanıcımıza, Delegate Control sayesinde gerekli izinleri atayarak yönetim işlemlerimizi hafifletmeyi hedefliyoruz. Bu domain user?imizi Delegate OU içerisinde barınan (farklı OU? larda bulunan X bir kullanıcı da olabilir) seçerek işleme başlayabiliriz.
Senaryomuza göre bu Domain User kullanıcısına vereceğimiz yetkiler;
1 Delege vermiş olduğumuz DELEGATE OU? su içerisinde alt OU? lar açabilecek.
2 İşe yeni alınmış bir personelin kullanıcı hesabını açabilecek (Not : Açmış olduğu hesap
kendi hesabından ki Domain User hesabından daha fazla yetkiye sahip olamayacak. Yani bu kullnıcımız bir tane Domain Admin hesabı oluşturamayacak.)
3 Delegate OU? su içerisinde yeni gruplar oluşturabilecek ve bu OU içerisinde barınan
kullanıcıları oluşturmuş olduğu grubun üyesi yapabilecek.
4 Senelik izne ayrılan bir kullanıcının, bilgisayar hesabını devre dışı bırakabilecek.
5 Delegate OU? su içinde bulunan kullanıcıların Passwordlarını sıfırlayabilecek.
Ve eğer istersek izin vermiş olduğumuz ölçüde bir çok şeyleri yapabilecek.
Atamayı yapacak olduğumuz kullanıcımızın, bu görevleri yerine getirebilmesi için gerekli olan malzeme; MMC konsolunda hazırlamış olduğumuz, özelleştirilmiş bir yönetim konsolu ve yönetim konsolunu çalıştırabilmesi için bu kullanıcımızın kullanmış olduğu bilgisayara yüklü olması gereken Adminpak.msi kurulum tooludur. Adminpak.msi kurulum toolunu Windows2003 Server Cd?mizin içinde I386 Klasörünün altında bulabiliriz.
Birinci aşama olarak : Delegate OU? muzun içinde bulunan Domain User yetkisine sahip fbcelik adlı kullanıcımıza gerekli delegeyi (izinleri) atıyoruz.
| Resim 1 |
Delegate OU muz ve altında iki adet alt OU barınmaktadır. Bunlar Delegate_User ve Delagete_computer OU larıdr.
| Resim 2 |
Gerekli Delegeyi verecek olduğumuz fbcelik kullanıcısının üyesi olduğu grupları görebiliyoruz. Fbcelik kullanıcısının Domain User olduğunu gördükden sonra işlemimize başlıyoruz.
| Resim 3 |
DC mizin üzerinde | Başlat | | Çalıştır | | MMC | yazarak consolumuza ulaşıyoruz.
| File | | Add/Remove Snap-in | sekmesini tıklayarak add butonunu seçip Active Directore User and Computers Snap? inimizi seçiyoruz.
| Resim 4 |
Açmış olduğumuz konsolumuz içinde delege vereceğimizi Delegate OU su üzerinde sağ tuş Delegete Control seçiyoruz. Gerekli delegeyi vermemize yardımcı olacak olan sihirbazımız next diyerek ilerliyoruz.
| Resim 5 |
Gerekli izinleri verecek olduğumuz kullanıcımızı ve/veya kullanıcılarımızı ekliyoruz. Senaryomuza göre bu görevi sadece Fbcelik kullanıcısı üstlenecek. Yetki verecek olduğumuz kullanıcımızı ekledikten sonra ileri diyoruz.
| Resim 6 |
Gelen ekranda fbcelik kullanıcımızın, delege vermiş olduğumuz OU üzerinde ne gibi haklara sahip olacağını belirliyoruz. Seneryomuzun (ihtiyaçlarımızın) gerektirmiş olduğu kutuları işaretliyoruz ve ileri diyoruz.
| Resim 7 |
Gelen ekranda başarılı bir şekilde yetkilerin verildiği bizlere söyleniyor
| Resim 8 |
Güvenlik nedeni ile bu işlemleri yapacak olan kullanıcımızın, Domain üzerinde görmesini istemeyeceğimiz yerleri, kullanıcımıza verecek yönetim konsolundan devre dışı bırakıyoruz New Window from here (yeni pencerede açılmasını) seçiyoruz.
Delegeyi vermiş olduğumuz kullanıcımızın, işlemleri rahat bir şekilde yapabilmesi için, yeni bir yönetimsel konsol hazırlamak üzere New Taskpad View bölümümüzü çalıştırıyoruz.
| Resim 9 |
Delegeyi verecek olan kullanıcımızın bilgi ve becerisine göre, kullanışlı bir yönetim konsolu yapmamız mümkün. İkonların küçüklüğünden büyüklüğüne, ikonların altında bulunan açıklama yazılarının olup-olmamasından, yeni yönetim konsolunun nasıl görüneceğine kadar bir çok özelliği belirleyebiliyoruz. Burada ki kısım tamamen bu yetkileri verecek olan kullanıcımızın işlemleri kolay yapabilmesini sağlayabilmek için hazırlamış olduğumuz bir arayüzdür.
| Resim 10 |
| Resim 11 |
İsteğe bağlı olarak konsolumuza açıklayıcı bir bilgi giriyoruz ve ileri diyoruz.
| Resim 12 |
Sihirbazımız tamamlandığında New Task Vizard (Yeni Görev atama sihirbazımızı) çalıştır kutucuğunu işareleyip finish diyoruz ve bize yardımcı olacak olan yeni görev atama sihirbazımız görüntülendiğinde ileri diyoruz.
| Resim 13 |
Yönetim Konsolunun sahip olacağı arayüzün nasıl görünmesi gerektiğini belrtiyoruz.
| Resim 14 |
Senaryomuzun birinci maddesi olan Delege vermiş olduğumuz DELEGATE OU? su içerisinde alt OU? ler oluşturabilmesi için gerekli bölümü işaretliyoruz. İleri diyoruz
Resim 11 görmüş olduğumuz ekranın aynısı geliyor ve Kullanıcımızın kolay anlayabilmesi için açıklayıcı bir bilgiyi yazarak ilerliyoruz.
| Resim 15 |
Yeni bir OU yu niteleyecek olan bir ikonu belirliyoruz. İsteğe bağlı olarak Custom Icon bölümünden özelleştirilmiş bir simgede yerleştirebiliriz.
| Resim 16 |
Senaryomuzun iki ve üçüncü isteklerini hazırlamak üzere Run this wizard again ( sihirbazı tekrardan çalıştır ) kutucuğunu işaretleyip, karşımıza çıkacak olan hos geldiniz sihirbazına ileri diyoruz.
| Resim 17 |
Kullanıcımıza Delegate User OU içinde yeni bir User oluşturabilmesi için gerekli izinleri veriyoruz ve Resim 20 de göründüğü gibi çıkan ekranda Linkimize açıklayıcı bilgimizi yazıyoruz.
| Resim 18 |
Sihirbazımızı tekrar çalıştırıyoruz.
| Resim 19 |
Yeni bir grup oluşturabilmesi için gerekli izinleri atayarak işlemlerimizi tamamlıyoruz.
| Resim 20 |
Senaryomuza göre Yapmak istediğimiz ilk üç bölümün atamaları tamamlandı ve tekrardan sihirbazımızın çalışmasını istemediğimizi belirtip işlemimizi bitiriyoruz.
| Resim 21 |
Şimdiye kadar yapmış olduğumuz çalışma sonrasında Yönetim Konsolumuzun almış olduğu görüntü.
| Resim 22 |
Delegate OU sunun alt OU su olan ve computer hesaplarının barınmış olduğu Delegete_Computer OU? su üzerinde senaryomuzun dördüncü isteği olan ve geçici olarak izne çıkan bir kullanıcının hesabını devre dışı yapabilmesi için, gerekli izin atamalarını yapmak üzere Edit Taskpad View bölümünü seçiyoruz.
| Resim 23 |
NOT : Yukarıda Resimde görüldüğü üzere daha sonradan isteğe bağlı olarak yönetim konsolumuzu tekrardan düzenleme imkanımız bulunmaktadır.
| Resim 24 |
| Resim 25 |
Atamış olduğumuz yetki doğrultusunda geçici olarak izne çıkan bir kullanıcının hesabını, yetkilendirdiğimiz kullanıcımız devre dışı bırakabilecek.
| Resim 26 |
Bağlantıya verilecek isim, İkon seçimi gibi gerekli bilgileri tamamladıkdan sonra, Delegate_computer OU suna atanmasını istediğimiz yetkiler bu kadar olduğu için, sihirbazımızı tekrardan çalıştırmamız gerektiğini belirtip görevi tamamlıyoruz.
| Resim 27 |
Yapmış olduğumuz değişikliklerden sonra konsolumuzun yeni görünümü.
| Resim 28 |
Ve senaryomuza göre, son isteğimiz olan Delegate_User OU sunda verecek olduğumuz Parola resetleme yetkisini atamak üzere sihirbazımızı son kez çalıştırıp, çıkan ekranda Task sekmesine gelerek işlemimize devam ediyoruz.
| Resim 29 |
| Resim 30 |
Yönetim Konsolumuzun Son hali
| Resim 31 |
Yönetim bilisine sahip olmayan sıradan bir kullanıcımza bu kadar karışık ( bize göre çok basit olmasına rağmen ) bir arayüz vermek istemeyeceğimiz için View bölümü altında konsolumuz içerisinde görünmesini istemediğimiz yerleri kesiyoruz.
| Resim 32 |
Gerek olmadığını düşündüğümüz yerleri kestikten sonra ok diyip Hazırlamış olduğumuz Yönetim consolumuzu farklı olarak kaydediyoruz. Bu bölümde dikkat edilmesi gereken en önemli husus, direk olarak kaydet dersek bundan sonra fbcelik kullanıcısı için hazırlamış olduğumuz basit arayüzü artık bizimde kullanacak olduğumuzdur. Bu kadar basit bir yönetim konsolu, bizim yönetim isteklerimze cevap vermeyeceği için farklı kaydet diyerek işlemimizin ilk bölümünü tamamlıyoruz.
Hazırlamış olduğumuz yönetim konsolumuzun, fbcelik kullanıcımızın kullanmış olduğu bilgisayarda çalışabilmesi için adminpak.msi toolunun yüklenmiş olması gerektiğini yazımızın başında belirtmiştik. Windows Server Cd mizin içinde bulunan toolumuzu fbcelik kullanıcımızın makinesine yüklüyoruz.
| Resim 33 |
Yazımızın başında belirttiğimiz gibi, gerekli yetkiler verilmediği sürece, kullanmış olduğu makinenin saatini bile değiştiremeyecek olan fbcelik kullanıcısı bu toolu da yükleyemiyor. Bu toolu yüklemenin bi çok yolu vardır. Bunlar;
1. DC üzerinden yazılım dağıtarak yapabiliriz
2. Yönetici yetkisine sahip bir kullanıcı ile sistemi açıp toolumuzu yükleye biliriz
3. Veya benimde yaptığım gibi runas servisini kullanabilirsiniz.
Toolumuzu yükleyebilmek için | Conrol Paneli | | Add or Remove Programs | üzerinde mousemizin sağtuşuna basarak run as diyerek
| Resim 34 |
Yönetici hesabına sahip bir kullanıcının parolasını doğrulayıp Add or Remove Programs bölümümüze giriş yapıyoruz.
| Resim 35 |
Sıralamayı takip ederek ilerliyoruz.
Adminpak.msi toolumuzun bulunmuş olduğu yeri gösterip kurulumumuzu gerçekleştiriyoruz.
| Resim 36 |
Hazırlamış olduğumuz yönetim konsolumuzu, işlemleri yapacak olan fbcelik? kullanıcımızin kolay erişebileceği ( örnek olarak fbcelik kullanıcımızın masaüstü ) bir yere taşıyoruz.
| Resim 37 |
Resim 37?de görüldüğü üzere bir domain user kullanıcısı olan fbcelik kullanıcısı, maknesinin saatini değiştiremiyor ama Domain ortamına bir kullanıcı oluşturabiliyor.
| Resim 38 |
Yetkileri verilmiş olduğu OU içerisindeki kullanıcıların parolasını resetleyebiliyor.
| Resim 39|
Ve bilgisayar hesabını devre dışı bırakabiliyor.
Biz senaryomuzu tamamladık ve bilgi işleme yeni bir eleman alınmasa bile kendi bünyemiz içerisinde görev dağılımı yaparak basit işlemleri yapmaktan kurtulduk. İhtiyacımız doğrultusunda basit bir çalışmanın ardından iş yükümüzün ne kadar hafifleyebileceğini görmüş olduk
Sürekli Yenilenen IT sektöründe bilgimizi sürekli tazeleyebilmek için kendimize zaman ayırmayı unutmayalım.
|