Windows Server 2008 R2 File Services, NTFS Paylaşım ve Güvenlik

Murat İbrahim Kantar 19 Temmuz 2012 8
Windows Server 2008 R2 File Services, NTFS Paylaşım ve Güvenlik
  • Sumo

 

Merhaba arkadaşlar,

Bu makalemizde Windows Server 2008 R2 üzerinde File Service kurulumu, NTFS paylaşım ve izinlerini örneklerle inceleyeceğiz.  File Service ile kaynak yönetimini düzenli ve güvenli bir şekilde yapabilirsiniz. Verilerin saklanacak olduğu Storage üzerinde paylaşım, gereksiz dosya uzantılarının engellenmesi ve kota yönetimini kolaylıkla sağlarız.  Böylelikle disk doluluğundan dolan sistem hatalarını engellemiş oluruz. NTFS dosya üzerinde ki paylaşım ve paylaşım izinleri güvenlik açısından oldukça önemlidir. Kullanıcı ve grup bazlı yetkilendirme yapabiliriz.

 

İlk olarak NTFS izinlerinden bahsedelim,

–                     Security kısmına verilen bir yetki, bir klasör ve içerisinde ki tüm klasörleri etkiler.

 

“ Data “ isimli bir klasörümüz olduğunu ve içerisinde Data 1, Data2 ve Data 3 klasörlerinin olduğunu varsayalım. “ Data “ Klasörüne Murat Kantar kullanıcısına sadece “ Read “ okuma yetkisi verdik. Data klasörü altındaki Data 1, Data 2, Data 3 klasörleri de otomatik olarak “ Read “ okuma yetkisini görür. Veya Data klasörünün içerisine bir klasör kopyaladığımızda otomatik olarak Murat Kantar’a read yetkisi verilir. Kendi yetkileri silinir ve kopyalandığı klasörün ayarları geçerlidir. Bu duruma İnheritance denir.

 

Eğer her klasör için Security ayarını manual yapmak istiyorsak öncelikle İnheritance’ı kapatmamız gerekir. Inheritance özelliğini kapatmak için   Klasör üzerine sağ click yaparak > Properties tıklarız > Security sekmesinden Advanced butonuna tıklarız Change Permissions “ İnclude İnheritable permissions from this object’s parent “ işaretini kaldırırız ve Remove deriz. Böylelikle üst klasöre uyguladığımız “security” güvenlik ayarı alt klasörler için geçerli olmaz ve tüm security’de ki kullanıcıları sıfırlar. Admin yetkisi olan bir kullanıcı ile yetki vermemiz gerekir.

 

“Replace all child object permissions with inheritable permissions from this object “ işaretlersek Klasöre verdiğimiz security yetkilerini alt klasörlere de uygular fakat başka bir yerden klasör kopyalarsak, kopyaladığımız klasörün security ayarlarını silmez ve bizim normal klasörümüz için ayarladığımız security ayarlarıyla birlikte etkin olur.

-Read : Okuma

-Write : Yazma

-List folder contents : Yetki verilen kişi klasörün içerisindeki dataları görebilir fakat içlerine giremez.

-Read & execute : Örneğin, server üzerinde bir program kurulu ve program özelliği açısında client’lara kurulmadan server üzerinden çalışılabilen bir program. Program, kullanıcının bilgisayarına map driver oluşturulur ve program exe’sinin kısa yolu ile çalıştırılır. Read & execute yetkisi olmadan bu işlemi yapamayız. Bu yetki ile exe’yi çalıştırır ve okur. Üzerinde bir değişiklik yapamaz.

-Modify : Yazma, okuma, silme, değiştirme gibi her işlemi yapar.

Full Control : Modify nin sahip olduğu yetkiler dışında Change Permissions ve Take Ownership yetkisine sahiptir. Kullanıcıların yetkilerini değiştirebilir ve klasör sahipliğini değiştirebilir. Disk Kotası Take owner ship’e göre hesaplanır.

 

İzinleri verdiğimiz ilk Security sekmesi, std. Permissions’ dır.

 

Special Permissons : Daha detaylı yetki verebileceğimiz bir alandır.

Special Permission alanına ulaşmak için, yetki vereceğiniz klasörün üzerine sağ click > Properties > Security > Change Permissions > User a çift tıklanır.

 

Paylaşım izinlerinin önceliği ( Sharing – NTFS Security )

 

Örneğin, Bir Klasöre paylaşım verilmiştir. Sharing sekmesinden = Read,Write yetkisi  , Security sekmesinden = Full Control yetkisi verilmiştir.

Pc’nin başına oturur vaziyette paylaşım klasörü kullanılırsa Security üzerinde ki yetki ( FullControl )

geçerlidir. Murat Kantar kullanıcısı Paylaşım klasörüne network üzerinden bağlanılıp işlem yapılmak istendiğinde  Sharing ve Security yetkilerini sistem karşılaştırır ve daha kısıtlı olan yetkiyi baz alarak işlem yapmasına izin verir. Yani Sharing sekmesinde : read & write, Security sekmesinde : Full Control  yetkileri verildiyse sistem bu yetkileri karşılaştırır ve Sharing yetkileri daha kısıtlı olduğundan dolayı otomatik olarak o geçerli olur.

 

Effective Permissions

Bu alandan bir kullanıcının klasör de ki tüm yetkilerini gösterir. Ör; bir kullanıcıya klasör üzerinde sadece okuma yetkisi verilmiştir. Aynı kullanıcı “Manage” isimli bir gruba üye ve “full control” yetkisi verilmiştir. Bu durumda Kullanıcı Full Control yetkisine sahiptir. Bu gibi bir durumla karşılaşmamak için  Effective Permissions alanında kullanıcının yetkilerini kontrol etmeliyiz.

Bu alandan yetkileri kontrol ederken sistem öncelikle sharing ve security ayarlarını kontrol eder ve geçerlilik izinlerini bu alanda gösterir. 

 

 

Bir kullanıcının hiçbir şekilde klasörde işlem yapmasını istemiyorsak “ Deny “ alanını kullanırız.

Deny yetkisi tüm yetkilerden üstündür. Örneğin “Manage” grubuna Full Control verilmiş bir üyenin Security yetkisinde Deny varsa eğer “ deny “ geçerlidir. Sistem “ sharing “ ve “ security” ayarlarını analiz ederken “ deny “ gördüğü anda tüm hesaplamaları iptal eder.

 

Örneğin; Murat Kantar kullanıcısı bu klasör üzerinde hiçbir işlem yapamaz.

 

Owner; adminin klasöre girme yetkisi olmasa dahi owner (Sahiplik) üzerine alarak klasöre erişebilir ve kullanıcılara yetki vererek owner yetkisini kullanıcıya atayabilir.

Bunun için; Klasör üzerinde sağ click yapılarak Properties tıklanır   Advanced tıklanarak Owner sekmesine girilir Edit Other Users And Groups alanından Owner (sahiplik)  yetkisi değiştirilebilir.

 

File Service kurulumu;

Server üzerinde casino online manuel olarak oluşturulan paylaşımlar varsa File Service otomatik oluşmuştur fakat içindeki eklentiler istediğimiz şekilde kurulmuş olmayabilir. Biz örneğimizde server üzerinde ki tüm paylaşımları kapatıp File Service ( File server ) kurulumu yapacağız.

 

Next butonu ile kuruluma başlanır.

 

Select Server Roles alanında “ File Services “ işaretlenir ve Next butonu ile devam edilir.

 

Bu ekranda File Services ile neler yapabileceğimizden bahsediyor. Next ile kuruluma devam ederiz.

 

Select Role Services alanından “ File Server, DFS Namespaces, File Server Resource Manager  ve Services for Network File System “ işaretlenir.

File Server : Dosya yönetimi

DFS : Network de farklı bilgisayarlarda ki paylaşımları tek bir link üzerinden görüntülemeye ve görüntülediğimiz paylaşımın hangi bilgisayara ait olduğunu göstermeden kullanılabilir hale getirilmeyi sağlar.

Services for Network File System : Unix pc lerin Windows pc lere bağlana bilmesi için bu servisi de kurmamız gerekir.

BranchCache for network files : Farklı bölgelerde ki farklı network alt yapısında, bölgede ki bir bilgisayar fileserver dan dosya çekerken veya kullanırken networkde bir ağırlık olmaması adına kullanılır. Aynı bölgede ki bir kullanıcı aynı klasöre ulaşmak istediğinde sistem otomatik olarak kullanıcıyı datayı ilk çeken kullanıcının bilgisayarına yönlendirir ve datayı oradan çekmesini sağlar, böylelikle network de yavaşlık sağlanmaz.

 

Create a DFS Namespace alanından “ Create a namespace later using the DFS Management snap-in in Server Manager “  işaretlenerek ismin daha sonra  seçileceğini belirttik ve Next ile devam edilir.

 

Yönetmek istediğimiz diski seçip Next’e basarız.

 

Confirm Installation Selections ekranında Install butonuna basarak kurulumun tamamlanmasını bekleriz.

 

Ve kurulum tamamlanmıştır.

 

Quota Templates

Bu alandan kota boyutu, kota aşımı olduğunda bizi nasıl uyarmasını istediğimizi ayarlarız. (E-Mail, Log, Command – bat komutu çalıştırma )

Sağ click yaparak  Create Quota Template tıklanır.

 

Kota şablonu oluştururken ilgili alanlar doldurulur/seçilir. Şablon ismi, kota limiti vb.

 

Add sekmesinden belirtilen boyutu geçildiğinde nasıl uyarılmak istenildiği seçilir.

 

 

Böylece şablonu oluşturma işlemini tamamlamış oluruz.

 

Kota şablonumuzu oluşturduktan sonra Quotas alanından Kota koymak istediğimiz Klasörü seçeriz.

Quotas Sekmesinde Sağ click yaparak Create Quota seçeneğine tıklanır,

 

Kota koymak istediğimiz klasör seçilir.

 

Derive properties from this quota tempate alanından oluşturmuş olduğumuz Kota alanını seçeriz >  “ Manager Size”  ( biraz önce oluşturduğumuz Şablon bu alanda görünür ) Create butonuna basılır.

Böylelikle seçtiğimiz klasör boyutu �’e ulaştığı anda belirttiğimiz mail adresine mail ve Application Log yazacaktır.

File Screening Management

Paylaşımda ki klasöre hangi dosyaların atılabileceğini ve atılamayacağını ayarlayacağımız alandır. Bu ayarı yaptığımızda klasöre paylaşımdan veya direkt olarak pc başından o dosya kopyalanamaz. Bu işlemi 3 adımda yaparız.

 

  1. File Groups

File Screening Managemnet > File Group Sağ click yaparak Create File Group tıklanır.

 

Oluşturacağımız obje’ nin isim ve engellenmesini istediğimiz dosya uzantısı alanları doldurulur. Ok butonuna basarak Obje oluşturulmuş olur.

Şekilde de görüldüğü gibi Mp3 Engelleme isminde obje oluşmuştur.

 

 2. File Screen Templates

File Screening Management > File Screen Templates Sağ click yaparak Create File Screen Template tıklanır.

 

Active Screening : Do not allow users to save unauthorized files “ Alanı işaretli olursa belirtilen mp3 uzantılarındaki dosyaları hiçbir uygulanan klasöre kopyalayamaz.

Passive Screening : Allow users to save files ( Us efor monitoring ) “ Alanı işaretli olursa uygulanan klasöre belirtilen mp3 uzantılı dosyalar kopyalandığında  ayarladığımız E-mail veya Event Log yoluyla bizi bilgilendirir.

 

3. File Screens

File Screening Management > File Screens sekmesine sağ click yaparak Create File Screen tıklanır.

 

Browse alanından engellemenin uygulanmasını istediğimiz klasör seçilir.

 

Klasör seçildikten sonra Custom Properties kısmından oluşturduğumuz File Group seçilir.

 

Engellenmesini istediğimiz dosyalar kopyalanmaya çalışıldığında veya kopyalandığında uyarı olarak e-mail, event log vb. uyarıları bu alandan ayarlarız.

 

 

Ve Mp3 block oluşturulmuştur.

 

Storage Reports Managament

Raporlama için kullanılır. File Services üzerinde çalışan tüm klasörlerin boyut, içerik, aynı isimle kayıtlı dosyalar, kullanım yoğunluğu, kapladığı yer vb. gibi bir çok seçeneğini raporladığımız alandır.

Storage Reports Management üzerine sağ click yaparak Generate Reports Now tıklanır.

 

“Select volume and folders to report on “ alanına  “ Add” diyerek raporlamak istediğimiz klasörü veya diski seçeriz.

“Select reports to generate” kısmından raporun içeriğini, hangi bilgileri barındırmasını istediğimizi seçeriz.

Report Formats : raporun hazırlanacağı formatın seçildiği alandır.

 

“ Wait for reports to be generated and then display them “ işlem sürecini ekranda göstererek yapar.

 

Daha sonra seçtiğiniz  formatta raporu hazırlayarak açar.

Microsoft sistemler birbirlerine SMB üzerinden bağlanır. Unixler ise Microsoftlara bağlanabilmek için , Microsoft sistemin üzerinde NFS “Network File System” kurulu olmalıdır.

 

DFS “ Distributed File System “

New Namespace Wizard

Networkde ki tüm paylaşımları tek bir link üzerinden görüntülemeyi sağlar. Paylaşımda ki klasörlere link verir. O linke bağlanıldığında da paylaşımın asıl bulunduğu bilgisayar adı gözükmez.

DFS Management > Namespaces üzerine sağ click  New Namespace tıklanır.

 

Namespace Server alanından Browse tıklanarak server seçilir.

 

 Namespace Type ekranında, eğer ortamda Server 2003’ler yoksa  “ Enable Windows Server 2008 Mode “ seçili bırakalım.

 

Review Settings and Create Namespace ekranında Create tıklarız.

FCB.DOMAIN\Tum_Paylasim’a çift tıklanır.

Net Folder

 

Add paylaşımın bulunduğu bilgisayar adı yazılarak tüm paylaşımlar listelenir ve link verilmek istenen paylaşım seçilir.

\\fcb.barcelona\Tum_paylasim içine girildiğinde link verdiğimiz paylaşım görülmüştür. Birden fazla paylaşıma bu şekilde link verilerek tek bir paylaşım altında toplayabiliriz.

 

Makalemizde Windows Server 2008 R2 üzerine File Services kurulumu, NTSF dosya yapısı paylaşım ve izinleri ile ilgili örneklerle incelemeler yaptık. Yararlı olması dileğiyle, başka bir makalede görüşmek üzere, hoşça kalın.

 

8 Comments »

  1. yunus ze 28 Şubat 2013 at 18:14 - Reply

    eywallah hocamda, da bir sorum olacak birkaç kullanıcıya sadece bir programı kurma yetkisi nasıl verebiliriz local aadmin olmadan.

  2. Murat İbrahim Kantar 03 Mart 2013 at 11:57 - Reply

    Yunus Bey,

    Local Admin yetkisi vermeden, domain üzerinden kullanıcı bazlı program kurulum yetkisi verebilirsiniz.

    Bu makaleyi incelemenizi tavsiye ederim; http://www.mcitp.gen.tr/active-directory-delegation-kullanici-yetkilendirme/

  3. Ferhat 15 Ağustos 2013 at 10:38 - Reply

    Hocam merhaba,

    Makaleniz icin ellerinize saglik. Yanliz bir sorum olucak, Ben bir kullanici gurubu actim ve bu kullanici gurubunun server uzerinde beirli dosyalara okuma (read) yazma (write) yetkisi vermek ancak excute yada silme yetkisi vermek istemiyorum. Yani kullanici gurubu okuzssun yazsin ama silemesin (server uzerinde calismlarda ornegin bi excel tablosunun uzerinde calisdiginda, calistigi sekilde kaydedebilsin yanliz excel dosyasini silemesin) Bunu kisa yoldan nasil yaparim. O kullanici gurubuna hangi izinleri verip hangilerinin vermemem gerekiyor.

    • Murat İbrahim Kantar 16 Ağustos 2013 at 16:16 - Reply

      Merhaba Ferhat,

      İlgin için teşekkür ederiz,

      Aslında sorunun içinde cevaplarıda yazmışsın 🙂 paylaşım üzerindeki klasörün sharing ve security alanlarından oluşturduğun grubu ekleyerek Special Permissons alanından detaylı yetkilendirme yapabilirsin. Makalenin içinde NTFS izinleri kısmını incelersen detaylı bilgi mevcut.

  4. Mehmet Erdem 30 Nisan 2014 at 09:06 - Reply

    Merhaba bir sorum olacak. Kullanmakta olduğum 2008 server işletim sisteminde x bir kullanıcı oluşturup admin yetkisi verdim. Fakat o kullanıcının kendi klasörleri dışında hiç bir klasörde .rar dosyası açamıyorum. Admin yetkiniz bulunmamaktadır diyor. zaten dosyaları o klasörlere kopayarken de bu uyarı çıkmaktadır. Bu güvenlik önlemini hangi policy ile kapatabilirim?

    Teşekkürler.

    • Murat İbrahim Kantar 02 Mayıs 2014 at 08:35 - Reply

      Merhaba Mehmet,

      Hatayı görüntü olarak paylaşabilir misin?

  5. Semih Murat ERSOY 05 Kasım 2014 at 03:39 - Reply

    Merhaba,
    Server 2008 tabanında kapalı devre 53 bilgisayara hizmet veren bir dosya paylaşımı yapıyorum.
    Bir kullanıcı ağ içerisinden servera bağlandığında başlangıç için küçük olan, sonraları ağırlaşan bir kasılma sorunu yaşıyorum. Ben Admin yetkisiyle ağ üzerinden servera dosya yazarken de aynı kasılma söz konusu oluyor. Hele birden fazla kopyalama yaptığımda bu daha da şiddetleniyor. Bilgisayar özellikleri sistemde sorun çıkarmayacak düzeyde. Daha önceden server 2003 kullanıyordum ve bu durum söz konusu değildi. 3 TB HDD desteği sunmadığı için server 2003 ten vazgeçmek zorunda kaldım. Lütfen bana bu konuda yardımcı olur musunuz? Teşekkür ederim.

  6. esma 21 Ocak 2015 at 14:32 - Reply

    domain üzerindeki dosyalara içerik hariç dosya uzantısına yetki verebilir miyiz? örneğin kullanıcı oluşturdugu dosyada istediği değişikliği yapabilecek. fakat dosya uzantısını değiştiremeyecek. ornek.doc dosyasını ornek.aaa yapamayacak. bu mümkünmü?

Yorum Bırak »

*