Active Directory Grupları

Fatih Arslan Tugay - Aug 25 '21 - - Dev Community

Grup Nedir?

Kullanıcı hesaplarını, bilgisayar hesaplarını ve grup hesaplarını bir araya getirerek (grup oluşturarak) yönetilebilir birimler halinde toplamak için kullanılan Active Directory nesnelerine grup (group) adı verilir. Bireysel kullanıcılar yerine gruplarla çalışmak, ağ bakımını ve yönetimini basitleştirmeye yardımcı olur. Grup nesneleri aracılığıyla kullanıcıların ağ üzerindeki kaynaklara erişimi ve bu kaynaklar üzerindeki izinleri merkezi şekilde konrol edilebilmektedir. Örnek olarak ağ üzerindeki belirli bir kaynağa erişecek olan birden fazla kullanıcıyı, yeni oluşturacağımız bir grubun üyesi yapmak ve ardından bu grubun izin atamalarını yapmak izin yönetim işlemlerini oldukça kolaylaştıracaktır.

Grup nesneleri Active Directory yapısı içinde CN=Group,CN=Schema,CN=Configuration,DC=example,DC=lab içerisinde tutulurlar. Ayrıca "group" değerinde "objectClass" attributeları ve grupları türlerine göre ayırt etmemizi saylayan "groupType" attributeları bulunur.

Grup Türleri

Active Directory grup hesabında 2 farklı grup türü olduğu görülmektedir:

1. Güvenlik Grubu (Security Group)

Güvenlik grupları, Active Directory ağı içerisindeki kaynaklara güvenlik hakları (izin) atamak için kullanılabilir. İzinler, kaynağa kimlerin erişebileceğini ve tam denetim gibi erişim düzeyini belirler. Güvenlik grubu kullanılarak, bir departmanda bir grup kullanıcı hesabı toplanabilir ve onlara paylaşılan bir klasöre erişim atanabilir. Bu işlem için dağıtım grubu kullanılamaz.

Ayrıca Active Directory yüklendiğinde bazı güvenlik gruplarına kullanıcı hakları otomatik olarak atanır. Örneğin, Active Directory'deki Yedekleme Operatörleri (Backup Operators) grubuna eklenen bir kullanıcı, etki alanındaki her etki alanı denetleyicisinde bulunan dosyaları ve dizinleri yedekleme ve geri yükleme yeteneğine sahiptir çünkü varsayılan olarak yedekleme dosyaları ve dizinleri ve geri yükleme dosyaları ve dizinleri kullanıcı hakları Yedekleme Operatörleri grubuna otomatik olarak atanır.

Güvenlik gruplarını listeleyecek bir LDAP filtresi kullanmak istersek: (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483648))

2. Dağıtım Grubu (Distribution Group)

Dağıtım grupları aynı anda bir grup kullanıcıya e-posta göndermek aracılığıyla e-posta dağıtım grubu olarak kullanılabilir. Dağıtım grupları güvenlik açısından etkin değildir, bu nedenle isteğe bağlı erişim kontrol listelerinde listelenemezler. Bir güvenlik grubu, dağıtım grubunun tüm yeteneklerine sahiptir. Fakat bir kullanıcının aynı anda birçok güvenlik grubuna üyeliği performans azalmasına neden olabilir. Bu nedenle kullanılabileceği her yerde dağıtım grupları tercih edilmelidir.

Aynı şekilde dağıtım gruplarını listeleyecek bir LDAP filtresi yaratmak için "groupType" değeri güvenlik grubu olmayan tüm grupları seçmemiz yeterlidir: (&(objectCategory=group)(!(groupType:1.2.840.113556.1.4.803:=2147483648)))

Grup Kapsamı (Scope)

Gruplar, grubun etki alanı ağacında (domain tree) veya ormanda (forest) ne ölçüde uygulandığını tanımlayan bir kapsamla karakterize edilir. Grubun kapsamı, gruba nerede izin verilebileceğini tanımlar. Her grup kapsamı kendine özgü çeşitli özelliklere sahiptir. Active Directory tarafından tanımlanan üç grup kapsamı vardır:

  • Domain Local: Yalnızca oluşturulduğu domain içerisinde görülebilir, dolayısıyla izin atamaları yalnızca bulunduğu domainden yapılabilir. Bulunduğu domain dışından erişilemez ve grup içerisinde başka bir Domain Local Grup barındırmadığı sürece Universal kapsamına dönüşüm yapabilir.
  • Global: Hem kendi domaininde, hem de güven ilişkisinde olduğu (Trust) diğer domainlerde görülebilir ve buralardan erişim sağlanabilir, izin ataması yapılabilir. Başka bir Global Grup içerisinde üye olmadığı sürece Universal kapsamına dönüşüm yapabilir.
  • Universal: Bulunduğu orman yapısı içerisindeki tüm domainlerdeki kaynaklardan erişim ve izin atamaları sağlanabilir. İçerisinde Universal Grup barındırmadığı sürece Domain Local ve Global kapsamlarına dönüşebilir.

Kaynak: https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .