Windows Server 2012 Yerel Kullanıcı Hesapları ve Gruplar

Yerel Kullanıcı Hesabı nedir ve nasıl oluşturulur?

Yerel kullanıcı (Local User Account) bir bilgisayarda oturum açıp, sistemdeki yerel kaynakları kullanabilen kullanıcı adı ve parolası olan bir hesap türüdür. Bu tür kullanıcı hesaplarının tamamı bilgisayar içerisindeki SAM (Security Account Manager) database üzerinde tutulmaktadır. SAM database registry nin bir parçası olmakla birlikte HKEY_LOCAL_MACHINE\SECURITY\SAM ve Windows explorer da \%systemroot%\system32\config (SECURITY ve SAM dosyaları) altında tutulmaktadır. SAM dosyasına direk erişim sözkonusu değildir, bu sebepten dolayı değiştirilemez, taşınamaz ve silinemez.

Burada kesinlikle karıştırmamız gereken yerel bir kullanıcı hesabının sadece o bilgisayarda oturum açabildiği, o bilgisayarın kaynaklarına erişebildiği durumudur. Bir bilgisayarda oluşturdugunuz yerel kullanıcı hesabı diğer bilgisayarlarda oturum açamaz, çünkü diğer bilgisayarın SAM databaselerinde bu yeni kullanıcı hesabı bulunmamaktadır.

Local user account görüntülemek için;

  1. Server Manager / Computer Management açılır buradan Local Users and Groups seçilir. Başındaki sağ ok simgesine tıklanır ve Users klasörü açılır.


  1. Burada Server 2012 R2 kurulduğunda gelen 2 local user account görmekteyiz. Administrator ve Guest. Guest hesabı kurulumdan itibaren Disable (pasif) olarak gelmektedir, istenirse aktif hale getirilir ve geçici olarak bilgisayarı kullanacak bir kullanıcı hesabı olarak geçmektedir. Guest hesabının bilgisayar üzerinde hiçbir erişim hakkı, yönetimi yoktur.

Yeni Yerel Kullanıcı Oluşturma

  1. Server Manager / Computer Management açılır buradan Local Users and Groups / Users klasörüne sağ tıklayıp New User… seçeneği tıklanır.


  1. New User ekranında User name, Full name ve istenirse Description kısımları doldurulur. Buradaki örneğimde kullanıcı adı Zeus olarak seçilmiştir.

Logon Name: Buradaki user name eşsiz olması gereklidir. Yani aynı isimde iki kullanıcı oluşturamazsınız. En fazla SamAccountName 20 karakter yazılabilir (256 karaktere kadar artırılabilir) ve “, /, \, [, ], :, |, <, >, +, =, ;, ?, *,[]” gibi sembol karakterler kullanılamaz, aynı zamanda küçük / büyük harfe duyarsızdır. Logon name yani user name de türkçe karakter kullanmamaya özen gösteriniz.

Full name: Kullanıcımıza ait tam ad ve soyad bilgisidir. Burada türkçe karakter kullanabilirsiniz.

Password: Kullanıcıya ait kayıtlı paroladır. En az 6 En fazla 128 karakter olarak yazılabilir ve küçük / büyük harf duyarlılığı vardır. Parolalarınızda sembol karakterler kullabilirsiniz. Parolanızın default olarak kompleks olması zorunludur yani aşağıdaki 4 kategoriden en az 3 ünü içermelidir.

A-Z (İngiliz Alfabesi)

a-z (İngiliz alfabesi)

0-9 (Rakamlar)

#$£ gibi sembol karakterler

NOT: Aynı zamanda online bankacılık işlemlerinde olduğu gibi username ve fullname kısmına yazdığımız bilgileri parolamıza veremeyiz.

Zeus kullanıcım için yukarıdaki kriterlere uyan Password1 şifresini iki defa giriyorum.


NOT: Ek bilgi yunan mitolojisinde ZEUS tanrıların tanrısı en güçlü ve önemli tanrı olarak bilinmektedir.

  1. Yeni yerel kullanıcı oluşturmadaki diğer seçeneklerimiz aşağıdaki gibidir

User must change password at next logon: Varsayılan olarak seçili gelen bu özellikle kullanıcımız ilk logon olduğunda şifresi değiştirmeye zorlanmaktadır. Büyük yapılarda her kullanıcıya kendi özel şifresini tanımlamayacağımız için genellikle Olimpos19 gibi basit bir şifre ayarlanıp bu seçenekle kullanıcının kendisinin şifresini değiştirmesi sağlanır.

NOT: Ek bilgi eski Yunan mitolojisinde Olimpos tanrıların oturduğu kabul edilen 2919m. Yükseklikte Yunanistan’ın en yüksek zirvesini oluşturan Tesalya bölgesindeki dağdır. Türkiye’de ise Antalya’da antik kent kalıntıları bulunan çok güzel bir koyu olan tatil yöresidir.

User cannot change password: Kullanıcının şifresini hiçbir zaman değiştirememesini sağlar. Herhangi bir kullanıcı sistemdeyken CTRL+ALT+DEL tuşlarına basarak gelen ekranda change a password seçeneğiyle şifresini değiştirebilmektedir. Ancak, bu seçeneği aktif hale getirirsek, bizim verdiğimiz şifreyi kullanır ve şifreyi değiştiremez. Bu kutucuğu işaretlemek için birinci kutucuğu pasif hale getirmemiz gereklidir.


Password Never Expires: İşaretlenirse kullanıcıya atanmış şifrenin hiçbir zaman süresi dolmaz. Varsayılan olarak her şifrenin 42 günlük bir süresi bulunmaktadır. Nasıl online banka hesaplarınızda şifrelerinizi her 3 ayda 1 değiştiriyorsanız aynı şekilde bilgisayar şifrelerinizi de güvenlik sebebiyle değiştirmeniz önerilmektedir. Bu süre tamamlanırken veya aşıldıktan sonra şifrenin süresi dolduğuna dair bir uyarı gelmektedir. Kullanıcı yetkisi dahilinde şifresini değiştirebilir veya sistem yöneticisi şifreyi değiştirebilir.

Bu seçenek işaretlenirse hiçbir zaman kullanıcının şifresini değiştirmesiyle ilgili bir uyarı gelmez ve şifresini değiştirmeye gerek kalmaz. Bu seçenek genellikle belirli program ve yazılımlara ait hesaplarda aktif hale getirilmektedir.

Account is disabled: Kullanıcı hesabını silmeden, devre dışı bırakmak kullanılamaz hale getirmek için kullanılır. Genellikle sistem yöneticileri kullanıcı hesaplarını silmezler, pasif hale getirirler. Bu durum aynı zamanda sistem yöneticisi olarak örneğin 1 ay sonra işe başlayacak 10 kullanıcının hesabını şimdiden oluşturup kullanıma hazır hale getirip 1 ay sonrasında sadece Enable (etkin) yaparak iş planlaması yapmamıza da yardımcı olur.

  1. Create butonuna basılarak yeni yerel kullanıcımız oluşturulur. Close tıklanarak ekran kapatılır ve kullanıcımız Users folder altına gelmiştir.


Oluşturduğumuz bu kullanıcı standart bir kullanıcıdır. Bilgisayarda oturum açabilir, yüklü programları çalıştırabilir, internete çıkabilir vb. işlemleri yapabilir. Ancak örneğin sistem saatini değiştiremez, yeni bir program yükleyemez, herhangi bir hizmeti durdurup yeniden başlatamaz. Benim burada kullandığım bir tabir vardır mazur görünüz standart kullanıcıyı ezik kullanıcı olarak adlandıracağım.

  1. Peki bu kullanıcıyı yerel yönetici (admin) olarak ayarlamak istersek veya kullanıcı özelliklerini değiştirmek istersek ne yapmalıyız?


Bu durumda kullanıcımızın üzerine sağ tıklıyoruz Properties / Member Of adımlarına gidiyoruz.


Add butonuna tıklıyoruz ARTEMIS\Administrators grubunu ekliyoruz OK butonuna basıyoruz. İstenirse Advanced / Find Now tıklayıp bütün grupları listeleyebiliriz.


Böylelikle kullanıcımız Administrators grubuna üye olmuştur. İstenirse Properties adımlarından kullanıcı ismi vb. değişiklikleri yapabilirsiniz.


  1. Zeus kullanıcımız şifresini unuttu ve sisteme giremiyor? Sistem yöneticisi olarak birtakım üçüncü parti yazılımlar hariç bizim bu şifreyi bilmemiz olanaksızdır. Sistem yöneticileri kullanıcıların şifrelerini bilemezler. Peki bu durumda ne yapıyoruz, kullanıcımızın şifresini sıfırlıyoruz.

Bu adımda kullanıcımızın üzerine sağ tıklıyoruz ve Set Password seçeneğine tıklanır.


Gelen uyarı ekranında “bu seçeneği sadece kullanıcı şifresini unuttuğu veya şifre değiştirmeye hakkı olmadığı zamanlarda uygulayın” ikazını okuduktan sonra Proceed butonuna tıklıyoruz.


Kullanıcımız için belirlediğimiz şifreyi parola belirleme kurallarına göre New Password ve Confirm Password kısmına yazarak, OK butonuna tıklıyoruz. “The password has been set” uyarısına OK tıklıyoruz. Böylelikle kullanıcımızın şifresini değiştirilmiştir.


  1. Oluşturduğumuz bu kullanıcıyla sisteme login olma testini yapalım. Bunun için administrator kullanıcısından Sign Out oluyoruz. CTRL+ALT+DEL tuşlarına basarak gelen ekranda ZEUS kullanıcısı seçiyoruz.


Zeus kullanıcısının şifresini giriyoruz ve Enter (veya Sağ ok butonu) basıyoruz. Burada yazdığınız şifreyi doğru yazdığınızı görüntülemek için simgesine tıklayabilirsiniz.


Zeus kullanıcısıyla login oluyoruz ve Administrators grubuna üye olduğumuz için sunucu üzerinde her türlü işlemi gerçekleştirebilir durumdayız.


Yerel Gruplar

Grup, çok sayıdaki kullanıcının kolay yönetimini sağlayan yapılardır. Yerel gruplar ise tamamen workgroup ortamında kullanılan grup tipidir ve sadece oluşturuldukları bilgisayardaki kaynaklara erişim sağlayabilirler. Aynı haklara ve izinlere sahip olacak kullanıcıları bir gruba üye yapmak ve bu gruba gerekli izin ve hakları vermek erişim denetiminin en kolay yoludur.

Yeni yerel bir grup oluşturma

  1. Yeni bir grup oluşturmak için Server Manager / Computer Management açılır buradan Local Users and Groups / Groups klasörüne sağ tıklıyoruz ve New Group… seçiyoruz.


  1. New Group ekranında grubumuza ait grup ismini ve açıklama bilgilerini giriyoruz Create ardından Close butonlarına tıklıyoruz. Buradaki örneğimde Group Name olarak Olimpiyan grubu Description olarak ise On iki Olimposlular giriyorum.


NOT: Ek bilgi yunan mitolojisinde Olimpiyan Dünya’nın yöneticileri olan tanrılar grubudur.

  1. Grup üyeliklerini sonradan yapılandırmak için Add to Group… seçeneğiyle Add butonuna tıklayıp istenilen kullanıcıyı ekliyoruz.


Burada Olimpiyan grubuna Zeus kullanıcısını ekledik.


Yerleşik Yerel Gruplar (Built-in Groups)

Workgroup olarak çalışan ve ilk kurulan Windows Server 2012 R2 içerisinde default olarak yerleşik gruplar gelmektedir. Bu gruplar açıklamalarıyla aşağıdaki tabloda özetlenmiştir.

Grup İsmi 

Açıklaması 

Access Control Assistance Operators

 

Administrators 

 

Backup Operators 

 

Certificate Service DCOM Access 

 

Cryptographic Operators 

 

Distributed COM Users 

 

Event Log Readers 

 

Guests 

 

Hyper-V Administrators 

 

IIS_IUSRS 

 

Network Configuration Operators 

 

Performance Log Users

 

Performance Monitor Users 

 

Power Users 

 

Print Operators 

 

RDS Endpoint Servers  


 

RDS Management Servers 

 

RDS Remote Access Servers 

 

Remote Desktop Users 

 

Remote Management Users 

 

Replicator

 

Users

 

WinRMRemoteWMIUsers

 

 

Bu grupların ve kullanıcıların haricinde özel sistem grupları bulunmaktadır. Bu gruplara gerekli izinler verilebilir fakat üzerinde değişiklik yapılamazlar. Herhangi bir şekilde üye eklenemez ve silinemez. Oluşturduğumuz grupları bu gruplara üye yapabiliriz.


Sistem Grup 

Açıklaması 

ALL APPLICATION PACKAGES 

 

ANONYMOUS LOGON 

 

Authenticated Users

 

BATCH

 

CONSOLE LOGON

 

CREATOR GROUP

 

CREATOR OWNER

 

DIALUP 

 

Everyone 

 

INTERACTIVE 

 

IUSR 

 

Local Account 

 

Local Account and member of Administrators group 

 

LOCAL SERVICE 

 

NETWORK 

 

NETWORK SERVICE 

 

OWNER RIGHTS 

 

REMOTE INTERACTIVE LOGON 

 

SERVICE 

 

TERMINAL SERVER USER 

 

This Organization Certificate 

 


 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.