Grup; kullanıcı ve bilgisayar hesaplarından, kişilerden ve tek birim olarak yönetilebilen başka gruplardan oluşan bir koleksiyondur. Belirli bir gruba ait olan kullanıcı ve bilgisayarlara grup üyeleri denir.

Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) gruplar, bir etki alanında ve kuruluş birimi (OU) kapsayıcı nesnelerinde bulunan dizin nesneleridir. AD DS yükleme sırasında birtakım varsayılan gruplar sağlar. Ayrıca grup oluşturmaya yarayan bir seçenek de sunar.

AD DS'deki grupları şu amaçlarla kullanabilirsiniz:

  • Paylaşılan bir kaynakla ilgili izinleri tek kullanıcılar yerine bir gruba atayarak yönetimi basitleştirme. Bir gruba izinler atandığında, bu grubun tüm üyelerine kaynak için aynı erişim atanır.

  • Grup İlkesi ile bir gruba bir kez kullanıcı hakları atayarak yönetim temsilcisi atama. Böylece bu gruba, grupla aynı haklara sahip olmasını istediğiniz üyeler ekleyebilirsiniz.

  • E-posta dağıtım listeleri oluşturma.

Grupların temel özelliği kapsam ve türüne bağlıdır. Bir grubun kapsamı, grubun bir etki alanı veya orman içinde uygulanacağı kapsamın genişliğini belirler. Grup türüyse, bir grubu paylaşılan bir kaynaktan izin atamak için mi (güvenlik grupları için), yoksa yalnızca e-posta dağıtım listeleri için mi (dağıtım grupları için) kullanabileceğinizi belirler.

Ayrıca üyeliklerini değiştiremeyeceğiniz veya görüntüleyemeyeceğiniz gruplar da vardır. Bu gruplara özel kimlikler denir. Bunlar duruma göre farklı zamanlarda farklı kullanıcıları temsil eder. Örneğin, Herkes grubu başka etki alanlarından gelen konuklar ve kullanıcılar dahil, o sırada ağda bulunan tüm kullanıcıları temsil eden özel bir kimliktir.

Aşağıdaki bölümlerde, AD DS'deki grup hesapları hakkında ek bilgi bulabilirsiniz:

Varsayılan grupları anlama

Domain Admins grubu gibi gruplar, bir Active Directory etki alanı oluşturduğunuzda otomatik olarak oluşturulan güvenlik gruplarıdır. Önceden tanımlanan bu grupları paylaşılan kaynaklara erişimi denetim altına almak ve etki alanı çapında belirli yönetim rollerine temsilci atamak için kullanabilirsiniz.

Varsayılan grupların çoğuna, grup üyelerinin bir etki alanında, yerel sistemde oturum açmaları veya dosya ve klasörleri yedeklemeleri gibi belirli eylemleri gerçekleştirmeleri için yetki veren birtakım kullanıcı hakları otomatik olarak atanır. Örneğin, Backup Operators grubunun üyeleri etki alanındaki tüm etki alanı denetleyicileri için yedekleme işlemlerini gerçekleştirme hakkına sahiptir.

Bir gruba kullanıcı eklediğinizde kullanıcı aşağıdakileri alır:

  • Gruba atanan tüm kullanıcı hakları

  • Tüm paylaşılan kaynaklarda gruba atanan tüm izinler

Varsayılan gruplar Yerleşik kapsayıcısında ve Kullanıcılar kapsayıcısında bulunur. Yerleşik kapsayıcısındaki varsayılan gruplar Yerleşik Yerel grup kapsamına sahiptir. Bunların grup kapsamı ve grup türü değiştirilemez. Kullanıcılar kapsayıcısı, genel kapsamla tanımlanan gruplar ve etki alanı yerel kapsamıyla tanımlanan gruplar içerir. Bu kapsayıcılarda bulunan grupları etki alanı içindeki başka gruplara veya kuruluş birimlerine taşıyabilirsiniz, ancak başka etki alanlarına taşıyamazsınız.

Varsayılan gruplar hakkında daha fazla bilgi için, bkz. Varsayılan Gruplar (https://go.microsoft.com/fwlink/?LinkId=131422 (Bu sayfa İngilizce içeriğe sahip olabilir)).

Grup kapsamını anlama

Grupların temel özelliği, etki alanı ağacı veya ormanı içindeki uygulandıkları kapsamın genişliğine göre belirlenir. Üç grup kapsamı vardır: etki alanı yerel, genel ve evrensel.

Etki alanı yerel gruplarını anlama

Etki alanı yerel gruplarının üyeleri, Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 ve Windows Server 2008 R2 etki alanlarındaki diğer grupları ve hesapları içerebilir. Bu grupların üyelerine yalnızca bir etki alanı içinde izinler atanabilir.

Etki alanı yerel kapsamına sahip gruplar tek bir etki alanı içindeki kaynaklara erişimi tanımlamanıza ve yönetmenize yardımcı olur. Bu gruplar üye olarak aşağıdakilere sahip olabilir:

  • Genel kapsama sahip gruplar

  • Evrensel kapsama sahip gruplar

  • Hesaplar

  • Etki alanı yerel kapsamına sahip diğer gruplar

  • Yukarıdakilerden herhangi birinin bileşimi

Örneğin, beş kullanıcıya belirli bir yazıcıya erişim izni vermek için, beş kullanıcı hesabının tümünü yazıcı izinleri listesine ekleyebilirsiniz. Bununla birlikte, daha sonra bu beş kullanıcıya yeni bir yazıcıya erişim izni vermek isterseniz, beş hesabın tümünü bu kez yeni yazıcının izin listesinde belirtmeniz gerekir.

Biraz planlamayla, etki alanı yerel kapsamına sahip bir grup oluşturup, bu gruba yazıcıya erişim izinleri atayarak bu tekrarlamalı yönetim görevini basitleştirebilirsiniz. Beş kullanıcı hesabını genel kapsama sahip bir grupta bir araya getirin ve bu grubu etki alanı yerel kapsamına sahip gruba ekleyin. Bu beş kullanıcıya yeni bir yazıcıya erişim izni vermek istediğinizde, etki alanı yerel kapsamına sahip olan gruba yeni yazıcıya erişim izni atayın. Genel kapsama sahip grubun tüm üyeleri otomatik olarak yeni yazıcıya erişim kazanır.

Genel grupları anlama

Genel grupların üyeleri, yalnızca grubun tanımlı olduğu etki alanındaki başka grupları ve hesapları içerebilir. Bu grupların üyelerine ormandaki herhangi bir etki alanı içinde izinler atanabilir.

Kullanıcı ve bilgisayar hesapları gibi günlük bakım gerektiren dizin nesnelerini yönetmek için genel kapsama sahip grupları kullanın. Genel kapsama sahip gruplar kendi etki alanı dışında çoğaltılmadığından, genel kapsama sahip olan bir gruptaki hesapları, genel katalogda çoğaltma trafiğine neden olmadan sık sık değiştirebilirsiniz.

Hak ve izin atamaları yalnızca atamanın yapıldığı etki alanı içinde geçerli olmakla birlikte, uygun etki alanları arasında genel kapsama sahip grupları tekdüzen biçiminde uygulayarak, benzer amaçlara sahip hesaplara başvuruları bir araya toplayabilirsiniz. Bu, etki alanları arasında grup yönetimini basitleştirir ve düzene sokar. Örneğin, Avrupa ve ABD olmak üzere iki etki alanı bulunan bir ağda, ABD etki alanında Genel Muhasebe adında genel kapsama sahip bir grup varsa, Avrupa etki alanında da Genel Muhasebe adında bir grup olması gerekir (Avrupa etki alanında muhasebe işlevi varsa).

Önemli

Genel katalogda çoğaltılan etki alanı dizin nesnelerinde izinleri belirtirken, etki alanı yerel grupları yerine genel grupları veya evrensel grupları kullanmanız önemle önerilir.

Evrensel grupları anlama

Evrensel grupların üyeleri, etki alanı ağacı veya ormanında bulunan herhangi bir etki alanındaki başka grupları ve hesapları içerebilir. Bu grupların üyelerine etki alanı ormanı veya ağacında bulunan herhangi bir etki alanı içinde izinler atanabilir.

Etki alanlarına yayılan grupları birleştirmek için evrensel kapsama sahip gruplar kullanın. Bunu yapmak için, hesapları genel kapsama sahip gruplara ekleyin ve bu grupları evrensel kapsama sahip gruplarda iç içe yerleştirin. Bu stratejiyi kullandığınızda, genel kapsama sahip gruplardaki hiçbir üyelik değişikliği evrensel kapsama sahip grupları etkilemez.

Örneğin, Avrupa ve ABD olmak üzere iki etki alanı ve her etki alanında Genel Muhasebe adında genel kapsama sahip bir grup bulunan bir ağda, üye olarak ABD\GenelMuhasebe ve Avrupa\GenelMuhasebe adında iki Genel Muhasebe grubuna sahip olan EvrenselGMuhasebe adında, evrensel kapsama sahip bir grup oluşturun. EvrenselGMuhasebe grubunu kuruluşun her yerinde kullanabilirsiniz. Genel Muhasebe gruplarında tek tek yapılan üyelik değişiklikleri EvrenselGMuhasebe grubunun çoğaltılmasına neden olmaz.

Evrensel kapsama sahip gruplarda sık sık üyelik değişiklikleri yapmayın. Bu tür gruplarda yapılan üyelik değişiklikleri, grubun tüm üyeliğinin ormandaki her genel katalogda çoğaltılmasına neden olur.

Grup türlerini anlama

AD DS'de iki tür grup vardır: dağıtım grupları ve güvenlik grupları. Dağıtım gruplarını e-posta dağıtım listeleri oluşturmak için ve güvenlik gruplarını da paylaşılan kaynaklara izin atamak için kullanabilirsiniz.

Dağıtım listelerini, kullanıcı topluluklarına e-posta göndermek için yalnızca e-posta uygulamalarıyla birlikte (Microsoft Exchange Server 2007, vb.) kullanabilirsiniz. Dağıtım gruplarında güvenlik özelliği etkin değildir ve buna göre bu gruplar sınırsız erişim denetimi listelerinde (DACL) yer alamazlar. Paylaşılan kaynaklara erişimi denetim altına almak için bir gruba gereksinim duyduğunuzda güvenlik grubu oluşturun.

Güvenlik grupları dikkatli şekilde kullanıldığı takdirde, ağınızdaki kaynaklara erişim atamak için etkili bir yöntem sunarlar. Güvenlik gruplarını kullanarak aşağıdakileri yapabilirsiniz:

  • AD DS'deki güvenlik gruplarına kullanıcı hakları atama.

    Kullanıcı hakları, grup üyelerinin bir etki alanı (veya orman) kapsamı içinde neler yapabileceğini belirlemek amacıyla güvenlik gruplarına atanırlar. Yöneticilerin bir kişinin etki alanındaki yönetimsel rolünü tanımlamasına yardımcı olmak için, AD DS yüklendiği sırada bazı güvenlik gruplarına otomatik olarak kullanıcı hakları atanır. Örneğin, Active Directory'deki Backup Operators grubuna eklenen bir kullanıcının etki alanındaki her etki alanı denetleyicisinde dosya ve dizinleri yedekleme ve geri yükleme olanağı vardır.

  • Güvenlik gruplarına kaynaklarla ilgili izinler atama.

    İzinler kullanıcı haklarından farklıdır. İzinler, bir kaynağa kimlerin erişebileceğini ve Tam Denetim gibi erişimin düzeyini belirler. Paylaşılan kaynaklara erişim ve izinleri yönetmek için güvenlik grupları kullanabilirsiniz. Etki alanı nesnelerinde ayarlanan bazı izinler, Account Operators grubu veya Domain Admins grubu gibi varsayılan güvenlik gruplarına çeşitli düzeylerde erişime izin verecek şekilde otomatik olarak atanır.

Dağıtım grupları gibi güvenlik grupları da e-posta varlıkları olarak kullanılabilir. Gruba e-posta iletisi gönderildiğinde, ileti grubun tüm üyelerine gönderilir.

Özel kimlikler

Kullanıcılar kapsayıcısı ve Yerleşik kapsayıcısındaki gruplara ek olarak, Windows Server 2008 R2, Windows Server 2008 veya Windows Server 2003 çalıştıran sunucular bazı özel kimlikler içerir. Kolaylık açısından bu kimliklere genellikle grup denir. Bu özel gruplar, değiştirilebilecek belirli üyeliklere sahip değildir. Bununla birlikte, duruma göre farklı zamanlarda farklı kullanıcıları temsil edebilirler. Aşağıdaki gruplar özel kimlikleri temsil eder:

  • Anonim Oturum Açma

    Bu grup hesap adı, parola veya etki alanı adı kullanmadan ağ üzerinden bir bilgisayara ve kaynaklarına erişen kullanıcı ve hizmetleri temsil eder. Windows NT ve daha önceki sürümlerini çalıştıran bilgisayarlarda, Anonim Oturum Açma grubu Herkes grubunun varsayılan bir üyesidir. Windows Server 2008 R2, Windows Server 2008 veya Windows Server 2003 çalıştıran bilgisayarlarda, Adsız Oturum Açma grubu varsayılan olarak Herkes grubunun üyesi değildir.

  • Herkes

    Bu grup başka etki alanlarındaki konuklar ve kullanıcılar dahil olmak üzere o sırada ağda bulunan tüm kullanıcıları temsil eder. Ağda her kullanıcı oturumu açıldığında, kullanıcı Herkes grubuna otomatik olarak eklenir.



  • Bu grup, kaynağın bulunduğu bilgisayarda yerel olarak oturum açarak kaynağa erişen kullanıcıların tersine, kaynağa o an ağ üzerinden erişmekte olan kullanıcıları temsil eder. Ağ üzerinden belirli bir kaynağa her kullanıcı erişimiyle birlikte, kullanıcı Ağ grubuna otomatik olarak eklenir.

  • Etkileşimli

    Bu grup, bir kaynağa ağ üzerinden erişen kullanıcıların aksine, belirli bir bilgisayarda zaten oturum açmış olup, bu bilgisayarda bulunan belirli bir kaynağa halen erişen kullanıcıları temsil eder. Bir kullanıcının zaten oturum açmış olduğu bilgisayardaki belirli bir kaynağa her erişiminde, kullanıcı Etkileşimli grubuna otomatik olarak eklenir.

Özel kimliklere kaynaklar için haklar ve izinler atanabilse de üyelikler değiştirilemez veya görüntülenemez. Grup kapsamları özel kimliklere uygulanmaz. Kullanıcılar, her oturum açtıklarında veya belirli bir kaynağa her eriştiklerinde, bu özel kimliklere otomatik olarak atanırlar.

Nerede grup oluşturulabileceğini anlama

AD DS'de, gruplar etki alanlarında oluşturulur. Grup oluşturmak için Active Directory Kullanıcıları ve Bilgisayarları'nı kullanırsınız. Gerekli izinlerle, ormanın kök etki alanında, ormandaki diğer tüm etki alanlarında veya bir kuruluş biriminde grup oluşturabilirsiniz.

Bir grubun temel özellikleri, oluşturulduğu etki alanının yanı sıra kapsamıyla da belirlenir. Bir grubun kapsamı aşağıdakileri belirler:

  • Eklenebilecek üyelerin bulunduğu etki alanı

  • Gruba atanan hak ve izinlerin geçerli olduğu etki alanı

Grup oluşturacağınız etki alanı veya kuruluş birimini, grup için gerekli yönetime göre seçin. Örneğin, dizininizde, her birinin farklı yöneticisi olan birden fazla kuruluş biriminiz varsa, yöneticilerin kullanıcıların grup üyeliğini kendi ilgili kuruluş birimlerinde yönetebilmesi için, bu kuruluş birimleri içinde genel kapsama sahip gruplar oluşturmayı düşünebilirsiniz. Kuruluş birimi dışında erişim denetimi için gruplar gerekirse, kuruluş birimindeki grupları, ormanda başka yerlerde kullanabileceğiniz evrensel kapsama sahip gruplar (veya genel kapsama sahip başka gruplar) halinde iç içe yerleştirebilirsiniz.

Etki alanı işlev düzeyi Windows 2000 yerel veya daha yüksek olarak ayarlanırsa, etki alanı bir kuruluş birimleri hiyerarşisi içeriyorsa ve yönetim her kuruluş birimindeki yöneticilere atanırsa, grupları genel kapsam içinde yerleştirmek daha verimli olabilir. Örneğin, KuruluşBirimi1; KuruluşBirimi2 ve KuruluşBirimi3'ü içeriyorsa, KuruluşBirimi1'deki genel kapsama sahip bir grup KuruluşBirimi2 ve KuruluşBirimi3'te genel kapsama sahip kendi üye gruplarına sahip olabilir. KuruluşBirimi1'de, yönetici KuruluşBirimi1'e grup üyeleri ekleyip kaldırabilir ve KuruluşBirimi2 ve KuruluşBirimi3'ün yöneticileri, KuruluşBirimi1'deki genel kapsama sahip grup için yönetici haklarına sahip olmaksızın kendi kuruluş birimlerindeki hesaplar için grup üyeleri ekleyip kaldırabilir.

Not

Bir etki alanı içinde grupları taşıyabilirsiniz. Bununla birlikte, bir etki alanından diğerine yalnızca evrensel kapsama sahip olan gruplar taşınabilir. Evrensel kapsama sahip bir gruba atanan haklar ve izinler, grup yeni bir etki alanına taşındığı zaman kaybolur ve yeni atamalar yapılması gerekir.

Ek başvurular


İçindekiler