File Server'ı Tanıyalım
Bir önceki bölümde FileServer isimli makineye gerçek bir File Server rolü atadık. Şimdi, AD içerisindeki gerçek bir File Server'ı tanıyacağız.
Burada bir dosya paylaşacağız. Ancak, bu dosya paylaşımını kime yapacağız? Bunun için CySec/Hatay/ içerisindeki kullanıcıları seçtim. Hatırlarsanız cyber worm bu grubun şefi idi.
AD'ye girip bahsettiğim lokasyona giriyorum. Burada daha önce bütün grup elemanlarını içeren CySec Hatay Group diye bir grup kurmuştuk. Şimdi, Hatay CySec Group EMP adında bir grup daha oluşturuyorum ve cyber worm yani şef haricindeki herkes bu gruba dahil olacak. Bunun nedenini az sonra anlayacaksınız.
Gördüğünüz üzere şu an AD içerisindeyim ve AD içerisindeyken sunucuları görüyor, onlarla alakalı işlemler yapabiliyorum. Ekrandaki örnekte FileServer isimli sunucuya sağ tıkladığımda yeni bir paylaşım yapabileceğimi görüyorsunuz. Ancak, ben File Server'ın kendisinden işlem yapmayı tercih ediyorum. Dolayısıyla direkt olarak File Server'dan devam edeceğim.
Şu anda File Server içerisindeyim ve sunucumun altında, sunucu içerisinde paylaşılan klasörleri görüyorum; Informations ve Users. Az önce gösterdiğim gibi FileServer (2) yazan yere sağ tıklayıp yeni bir paylaşım yapabilirsiniz ama ben size farklı bir yöntemini daha göstermek istiyorum.
Sağ üst tarafta TASKS diye bir alan görüyorsunuz. Bunun üzerine tıklarsanız, FileServer'ın üzerine sağ tıkladığınızda sizi karşılayan mini menüyü görürsünüz. TASKS üzerine tıklıyorum ve New Share diyorum.
New Share dedikten sonra karşıma gelen pencerede 5 seçenek görüyorsunuz. Bu seçeneklerin solunda, her seçeneğe özgü adımları görüyorsunuz. Sağında ise her seçenek için bir açıklama mevcut. Ben şimdilik ilk iki seçeneği kısaca açıklayacağım.
SMB Share - Quick seçeneğini seçerseniz paylaşacağınız şeyi ek bir ayar gerektirmeden paylaşabilirsiniz. SMB Share - Advenced seçeneğini seçerseniz paylaşacağınız şey için kota belirleyebiliyorsunuz. Tek farkı bu.
Hatta onu da görelim.
Bakın sol tarafta Quota diye bir alan açıldı. Ben SMB Share - Quick seçeneğini seçmek istiyorum ve Next diyorum.
Bu arada, paylaşacağımız şeyi belirlemeyi unuttuk. Paylaşmak için C: içerisinde ToBeShared diye bir klasör oluşturdum ve içerisine iki adet klasör, üç adet .txt dosyası ekledim. Paylaşırken yapacağımız şeyi kısaca açıklamak istiyorum. CySec/Hatay/ içerisindeki herkes buradaki bütün dosya ve klasörleri görüntülesin istiyoruz. Ancak, normal kullanıcılar yani cyber worm dışında kalan kullanıcılar en üstteki klasör olan ve içerisinde örneğin çalışanların giriş çıkış saatleri, sildikleri veya ekledikleri şeyler, yaptıkları değişiklikler gibi bilgileri tutan logs_about_emps klasörünün içindeki dosyalara erişemesin istiyoruz. Bununla beraber cyber worm dahil olmak üzere herhangi bir kullanıcı o klasörü veya içerisindeki dosyaları silemesin istiyoruz.
Bu arada, normalde yani gerçek hayatta daha spesifik isimler vermeniz gerekiyor. Hangi dosyanın kime verildiğini ilk bakışta anlamalısınız. Örneğin ToBeShared yerine Shared_CySec_Hatay tarzında bir şey yazabilirsiniz.
Hadi yapalım.
Paylaşım ekranına döndük. Sol tarafta da görebileceğiniz üzere Share Location adımındayız. Bu kısımda en üstteki kırmızı kutucukta gösterdiğim gibi, paylaşımı hangi sunucu için yapacağınızı seçiyorsunuz. Şu an zaten bir tane sunucumuz mevcut o yüzden devam ediyoruz.
Ortadaki kırmızı kutucukta ise paylaşacağınız şeyin nerede olduğunu soruyor. Eğer D: veya E: gibi sürücüleriniz olsaydı bunlar orada gözükecekti. Bizim zaten bir tane sürücümüz var, o yüzden sorun yok.
En alttakinde yapacağınız şey, paylaşacağınız klasörün yolunu belirlemek.
Bunun için Type a custom path seçeneğinin yanındaki daireyi işaretliyoruz ve aktif hâle gelen Browse butonuna tıklıyoruz.
Açılacak olan pencerede ekranda gördüğünüz gibi paylaşacağımız ToBeShared klasörünü seçip Select Folder diyoruz.
Sonrasında verdiğimiz lokasyonun buraya geldiğini görmelisiniz. Bu görüntüyü elde ettikten sonra Next diyebiliriz.
Bu kısımda klasörün, paylaştıktan sonra kullanıcılara gözükmesini istediğiniz ismi belirleyebilir ve bu klasör hakkında bir açıklama ekleyebilirsiniz. Kırmızı kutucuk içerisinde üstteki kısım sizin bunu nereden paylaştığınızı ifade ederken alttaki kısım sunucudan bu klasöre erişmek için nereye gidileceğini gösterir. Next deyip geçiyoruz.
Bu kısımda test ortamında olduğumuz için pek bir şey yapmanıza gerek yok ama yine de açıklamam gerekiyor. Eğer ilk seçeneği seçerseniz yani işaretlerseniz ve paylaştığınız klasör veya dosyaya bir kullanıcının Read (en düşük izin) izni yoksa makine bu klasör veya dosyayı ondan gizleyecektir; gözükmeyecektir.
İkinci seçeneği seçerseniz (seçmelisiniz) sunucu, offline olan kullanıcılar için klasör paylaşımını Cache üzerinden karşılar.
Üçüncü seçeneği işaretlerseniz kullanıcılar network içerisindeki dosyaları dışarı aktarırken bu dosyalar şifrelenir.
Ben şu an bunu olduğu gibi bırakıp devam ediyorum.
Şimdi, burası önemli. Dikkat ederseniz burada tam 5 tane grup ve hepsinin izinleri var. Dikkatinizi çekmesi gereken gruplar iki ve üçüncü sırada olan Users gruplarıdır. Biz paylaşacağımız bu klasörü C: içerisinden yanni lokalden çektiğimiz için ve bu cihaza kayıtlı diğer kullanıcılar da C:'ye erişebildiği için bu klasör hakkında hak sahibi oluyorlar. Biz bunu istemiyoruz. O yüzden Customize Permissions butonuna tıklamamız lazım.
Sileceğimiz grupların üzerine tıklayıp seçtikten sonra Remove diyoruz.
Neden olmadı? Çünkü miras olayı var. Kırmızı çizgi ile altını çizdiğim cümleye bakarsanız bunun bir miras aldığını anlayabilirsiniz. Demek ki bizim bu miras işini ortadan kaldırmamız lazım. Bunun için şu uyarı mesajını kapatalım.
Gerçekten de miras alıyormuş. Inherited From kısmına baktığımızda da C: üzerinden miras alındığını görüyoruz. O zaman Disable Inheritance diyelim.
Bu işlemleri kısa kesmek adına tek bir ekran görüntüsünde anlatmak istedim. İlk önce Disable Inheritance diyerek mirası kaldırıyoruz. Sonrasında Users gruplarını kaldırıyorum ve cyber worm ile beraber CySec Hatay Group EMP grubunu buraya ekliyorum. Bu durumda bütün CySec/Hatay/ üyeleri buraya gelmiş oluyor.
Şimdi bunların izinlerine bakalım.
cyber worm yani bu grubun şefine Read&Execute'a kadar izin verdim; dikkat ederseniz Modify vermiyorum. Şimdi EMP grubunun izinlerine bakalım.
EMP grubu için de aynı izinleri veriyorum ve OK diyorum. Şimdi, hem cyber worm hem de EMP grubu ToBeShared klasörüne erişebilir, içerisindekileri görebilir ve onları çalıştırabilir durumda. Peki, bizim isteğimiz neydi? logs_about_emps klasörüne kısıt koymayı amaçlıyorduk. Bu klasöre yalnızca cyber worm erişebilir ama cyber worm da dahil olmak üzere bu klasörü kimse silemez demiştik. O zaman yapalım.
File Server içerisindeyken ToBeShared klasörüne giriyorum ve logs_about_emps klasörüne sağ tıklayıp Properties diyorum. Sonrasında Sharing kısmına gelip Advenced Sharing butonuna tıklıyorum. Eğer burada Share this folder seçeneğini seçerseniz bu klasörü ToBeShared klasöründen bağımsız bir şekilde paylaşacaktır. Biz bunu istemiyoruz.
Bu yüzden Sharing yerine Security kısmına gelip Advenced butonuna tıklıyorum. Burada gördüklerimize göre cyber worm Read, Write, Execute izinlerine sahip ama Modify iznine sahip değilken EMP grubu yalnızca Read iznine sahip, bu klasör üzerinde başka izni yok. Peki, EMP grubunun üzerine çift tıklayalım ve detaylara bakalım.
Burada Applies To: kısmında This Folder Only yani bu izinler yalnızca bu klasör için geçerli olsun diyorum. Buraya dikkat edin çünkü Applies To: kısmı oldukça kullanışlıdır. Aşağıda da zaten sadece Read izni olduğunu görüyoruz. Şimdi, bütün bunları test edelim ve gerçekten amacımıza ulaşabilmiş miyiz bir bakalım. Bunun için Windows11'e gidiyor, cyber worm adına oturum açıyorum. Kullanıcı adı cyberworm_cw@cw.com idi.
Evet, cyber worm şu an logs_about_emps klasörüne de içerisindeki dosyaya da erişebiliyor. cyber worm için oturum açtığımızı sağdaki terminal ekranında anlayabilirsiniz. Peki, diğer dosyalara erişebiliyor mu?
Elbette. cyber worm için verdiğimiz izinler doğrultusunda her şeye erişimi mevcut. Peki, silme işlemi yapabiliyor mudur sizce?
Kesinlikle hayır.
Şimdi, EMP grubu içerisinden bir kullanıcıyla oturum açalım. Orada Ghost Tank ve Tim Irv vardı. Ghost ile oturum açayım.
Gördüğünüz gibi logs.txt dosyasına erişemiyor çünkü izni yok. Klasörün içini görsün ki serbest olmadığını anlasın ama log dosyasına da erişemesin. Diğer dosyalara ve klasörlere erişimi var mı peki?
Gayet de erişimi mevcut. Herhangi bir sorun yok. Oturumu Tim Irv için açsaydık yine aynı sonuçlarla karşılaşırdık çünkü verdiğimiz izinler EMP grubunda bulunan herkesi etkileyecektir. Uygulamamız bu kadardı.
Yayınlanma Tarihi: 2024-01-18 15:11:46
Son Düzenleme Tarihi: 2024-01-21 16:08:07