Bu makalemizde, Windows Server 2008 R2 işletim sistemi üzerinde, Active Directory Delegation Contol işleminden bahsediyor olacağız. Active Directory tarafındaki işlem adımlarına geçiş yapmadan önce, Active Directory Delegation nedir, ne amaçla kullanılır gibisinden sorulara cevap vererek makalemize devam ediyor olalım.

Active Directory Delegation Control

Active Directory Delegation Control, Active Directory Domain’i içerisinde bulunan kullanıcı ve gruplara OU (Organizational Unit) bazlı yetkilendirme işlemi gerçekleştirmemizi sağlamaktadır. Active Directory Delegation Control işlemi ile, Active Directory içerisinde bulunan kullanıcılara ve gruplara özel yetkilendirmeler gerçekleştirebilirsiniz. Delegasyon işlemine tabi tuttuğunuz kullanıcılar, kendilerine atanmış olan yetkiler çerçevesinde, belli başlı görevleri gerçekleştirebilirler. Bu görevlerden bazıları ise;

  • Kullanıcı ve Grup oluşturma
  • Parola Sıfırlama
  • OU içerisindeki kullanıcıları, Domain içerisindeki yönetim gruplarına üye yapma, gibi örnekler verebiliriz.

Aşağıdaki şekil üzerinde ise, Active Directory Domain’i içerisindeki kullanıcı gruplarının, farklı OU ‘lar üzerinde gerçekleştirmiş oldukları yetkisel işlemleri görmektesiniz. Delegasyon işlemini bir örnekle açıklayacak olursak , Administrator grubu içerisinde bulunan kullanıcılar, Domain içerisinde, Full Control yetkisine sahip iken, Muhasebe ve Eğitim grubu içerisinde yer alan kullanıcıların OU ‘lar üzerinde sadece, kullanıcı ve grup oluşturma, şifre resetleme ve hesap enable/disable etme gibi yetkilere sahip olmaktadırlar. Aşağıdaki şekil üzerinde de bunun bir örneğini görmektesiniz.

Evet, Active Directory Delegation Control kavramından da kısaca bahsettikten sonra, mevcut domain içerisindeki kullanıcı ve gruplarımıza Active Directory Delegation işlemini nasıl uygulayacağız , buna bir bakalım. Ben Active Directory Delegation işlemini, Windows Server 2008 R2 işletim sistemi ile çalışan DC (Domain Controller) sunucusu üzerinde gerçekleştiriyor olacağım. Active Directory Delegation işlemine başlamak için, DC (Domain Controller) sunucumuz üzerinde Active Directory Users And Computers konsolunu açıyoruz.

Yukarıdaki şekil üzerinde de görüldüğü gibi, sunucumuz üzerinde bir adet yavuztasci.com isminde domainimiz mevcut. Ben delegation işlemini OU bazlı gerçekleştireceğim için mevcut domain’im üzerinde Muhasebe ve Eğitim isminde iki adet OU oluşturuyorum. OU oluşturma işleminden sonra yine bu OU ‘lar içerisinde security gruplar oluşturacağız.İki adet OU oluşturmamdaki amaç ise, OU içerisindeki kullanıcıların her birine ayrı ayrı yetkiler vermektir. Domain üzerinde OU oluşturmak için domain üzerine gelip sağ tuş yapıyoruz ve gelen menüden New -> Organizational
Unit seçeneğine tıklıyoruz.

Oluşturulacak olan OU ismini Muhasebe olarak belirledikten OK diyorum.

OU oluşturma işleminin akabinde, yine bu OU içerisine delegation_muhasebe isminde bir grup oluşturuyorum ve daha önce oluşturmuş olduğum yavuz isimli kullanıcıyı bu gruba üye yapıyorum. OU içerisinde grup oluşturmak için Muhasebe OU’su üzerine gelip sağ tuş yaparak gelen ekrandan New -> Group seçeneklerini seçiyorum.

OK diyerek bu pencereyi de kapatıyorum.Yukarıdaki şekil üzerinde de OU ve security grubun başarılı bir şekilde oluşmuş olduğunu görmekteyiz. Şimdi ise, daha önceden oluşturmuş olduğum yavuz isimli kullanıcıyı bu gruba üyeyapıyorum. Kullanıcıyı bu gruba üye yapmak için ise, grup üzerine gelip çift tıklıyorum ve açılan pencereden Members tabına geçiş yapıyorum.

Members tabı üzerinde iken Add tuşuna basarak domain içerisindeki yavuz isimli kullanıcıyı bu gruba üye yapıyorum.

Kullanıcıyı gruba üye yapma işleminden sonra OK diyerek bu pencereyi de kapatıyorum. Muhasebe OU üzerindeki kullanıcı ve grup oluşturma işlemlerini bitirdikten sonra, tekrar domain üzerinde sağ tuş yaparak Eğitim isminde yeni bir OU ve delegation_egitim isminde yeni bir security grup oluşturup domain içerisindeki Mehmet kullanıcısını bu gruba üye yapıyorum.

Organization Unit ve kullanıcı oluşturma işlemlerinden sonra, delegasyon işlemini uygulamak istediğim Muhasebe OU’su üzerine gelip sağ tuş yaparak karşıma gelen menüden Delegate Control seçeneğine tıklıyorum.

Welcome to the Dlegation of Control Wizard ekranını next diyerek geçiyorum.

User sor Groups ekranında ise, delegasyon işleminin uygulanmasını istediğimiz kullanıcı ve grupları ekleme işlemini gerçekleştiriyoruz. Kullanıcı veya grupları eklemek için Add tuşuna basıyoruz.

Add tuşunun ardından karşımıza çıkan liste içerisinden oluşturmuş olduğumuz grubu seçiyoruz ve OK diyoruz.

Delegation işlemini uygulayacağımız kullanıcı ve grubu seçtikten sonra next diyerek diğer bir adıma geçiş yapıyoruz.

Task to Delegate ekranına baktığımızda, delegation işlemi sırasında uygulayabileceğimiz (task) görevler karşımıza çıkmakta. Ben, Create a custom task to delegate seçeneğini seçerek next diyorum.

Active Directory Object Type ekranında, karşımıza bazı delegation seçenekleri çıkmakta. Bu seçeneklerden de kısaca bahsedecek olursak;

This folder, existing objects in this folder, and creation of new objects in this folder

Delegation işlemine bu seçenek ile devam edildiği taktirde, yeni oluşturulmuş olan objelere, klasörlere varsayılan ilkeler uygulanmaktadır.

Only the following objects in the folder

Bu seçenek ile ise, oluşturmuş olduğunuz objelere ve klasörlere, çeşitli amaçlarınız doğrultusunda kullanabileceğiniz ilkeler uygulayabiliyorsunuz. Ben de, oluşturmuş olduğum OU üzerindeki kullanıcımın sadece Computer hesabı oluşturmasını istediğim için bu seçeneği seçiyorum. Atanmasını isteğim ilkeleri de belirledikten sonra en altta bulunan iki seçeneği de seçerek next diyorum.

Permissions ekranında, OU içerisindeki kullanıcılarımız için izin ataması işlemlerini gerçekleştiriyoruz. Ben kullanıcımın Full yetkiye sahip olmasını istediğim için Permissions altından Full Control seçeneğini seçiyor ve next diyorum.Completing the Delegation of Control Wizard ekranında, delegasyon işleminin başarılı bir şekilde tamamlanmış olduğunu görüyoruz. Finish diyerek bu pencereyi de kapatıyoruz. Delegasyon işlemlerimizi bitirdikten sonra, yetkilendirme yaptığımız kullanıcı hesabı ile sistemimize login olup, yetkilendirme işleminin başarılı bir şekilde çalışıp çalışmadığını kontrol ediyoruz.

Yavuz isimli kullanıcı ile sistemime login olduğumda, kullanıcımın Muhasebe OU ‘su üzerinde sadece Computer hesabı oluşturmaya yetkili olduğunu görüyorum. Hatırlarsanız Active Directory içerisinde bir de Eğitim isminde bir OU oluşturup, bu OU içerisine de Mehmet isimli kullanıcıyı üye yapmıştık. Şimdi, sunucuma Mehmet isimli kullanıcı ile login oluyorum.

NOT: Delegasyon işlem adımları bütün OU’lar üzerinde aynı olduğundan bu OU üzerindeki işlem adımları detaylandırılmamıştır.


Mehmet isimli kullanıcının, şekilde üzerinde de görüldüğü gibi, Eğitim OU ‘su üzerinde sadece User (kullanıcı hesabı) oluşturmaya yetkili olduğunu görüyoruz.