KULLANICI, GRUP VE OU (ORGANIZATIONAL UNIT) YÖNETİMİ

Active Directory'de günlük yönetimin temelleri: Kurumsal yapıyı modellemek için OU hiyerarşisi oluşturma, kullanıcı hesaplarını tanımlama ve yetkilendirme için grup stratejileri.

Giriş: Active Directory'nin en önemli işlevi, ağdaki tüm kullanıcı ve kaynaklara erişimi düzenlemektir. Bu düzenleme, **OU'lar, Kullanıcılar** ve **Gruplar** üçlüsü kullanılarak yapılır.

Bölüm 1: Organizational Unit (OU) Hiyerarşisi Oluşturma

OU'lar, Active Directory'de objeleri (kullanıcılar, bilgisayarlar, gruplar) mantıksal olarak düzenlemek ve üzerlerine Group Policy (GPO) uygulamak için kullanılır.

Adım Adım OU Oluşturma (GUI)

Konsolu Açma: Domain Controller (DC) üzerinde **Active Directory Users and Computers (ADUC)** konsolunu açın. (Komut: `dsa.msc`)
Yeni OU Oluşturma: Domain adınıza sağ tıklayın, **New (Yeni) > Organizational Unit** seçeneğini seçin.
Temel OU Yapısı: Genellikle kurumsal yapıyı yansıtan temel OU'ları oluşturun:
- `Users` (veya `Personel`)
- `Computers` (veya `Istemciler`)
- `Servers`
- `Groups` (Güvenlik grupları için)
Alt OU'ları Oluşturma: `Users` OU'su altına departman bazlı alt OU'lar oluşturun (Örn: `Muhasebe`, `IT`, `Satış`).

OU Yönetimi (PowerShell)

PowerShell ile hızlıca bir OU oluşturmak için:

New-ADOrganizationalUnit -Name "IT" -Path "DC=PROD,DC=LOCAL" -ProtectedFromAccidentalDeletion $true

**Açıklama:** Bu komut, domain'in köküne `IT` adında, yanlışlıkla silinmeye karşı korumalı bir OU oluşturur.

Bölüm 2: Kullanıcı Hesaplarını Yönetme

Kullanıcı hesapları, çalışanların ağdaki kaynaklara erişmek için kullandığı kimliklerdir.

Adım Adım Kullanıcı Oluşturma (GUI)

**Kullanıcı Oluşturma:** Kullanıcının ait olacağı OU'ya (Örn: `Users/IT`) sağ tıklayın, **New > User** seçeneğini seçin.
**Kullanıcı Bilgileri:**
- **First Name/Last Name:** Kullanıcının Adı ve Soyadı.
- **Full Name:** Ad ve Soyadın birleşimi.
- **User Logon Name (Pre-Windows 2000):** Kullanıcının oturum açma adı (Örn: `msengul`).
**Parola ve Seçenekler:**
- **Parola:** İlk parolayı belirleyin.
- **User must change password at next logon:** (Önerilen) Kullanıcının ilk girişte parolayı değiştirmesi istenir.
- **Password never expires:** Eğer bu bir hizmet hesabı (Service Account) ise bu seçeneği kullanın (Normal kullanıcılar için **önerilmez**).

Kullanıcı Oluşturma (PowerShell)

Hızlı ve otomatik kullanıcı oluşturmak için PowerShell'den yararlanın:

$Password = ConvertTo-SecureString "GucluParola123!" -AsPlainText -Force

New-ADUser -Name "Mert Sengul" `
-SamAccountName "msengul" `
-UserPrincipalName "msengul@prod.local" `
-GivenName "Mert" `
-Surname "Sengul" `
-Path "OU=IT,OU=Users,DC=PROD,DC=LOCAL" `
-AccountPassword $Password `
-Enabled $true `
-ChangePasswordAtLogon $true

**Not:** PowerShell ile toplu kullanıcı oluşturma, genellikle CSV dosyası kullanılarak yapılır (`Import-Csv` komutu ile entegre edilir).

Bölüm 3: Grup Yönetimi ve Yetkilendirme Stratejileri

Gruplar, yetkilendirmeyi basitleştirmek ve yönetimi kolaylaştırmak için kullanılır. Bir kaynağa (Shared Folder, Yazıcı, Uygulama) erişim vermek yerine, o kaynağa erişmesi gereken kullanıcıları bir gruba ekleriz.

Grup Tipleri ve Kapsamları (Scope)

Active Directory'de iki ana Grup Tipi ve üç ana Kapsam (Scope) bulunur:

Grup Tipi	Açıklama
Security (Güvenlik)	Yetkilendirme (ACL) için kullanılır. Dosya paylaşımları, yazıcılar ve GPO filtreleme için yetki atanır.
Distribution (Dağıtım)	Yalnızca e-posta göndermek için kullanılır (Mail listeleri). Yetkilendirme için kullanılamaz.

Grup Kapsamı (Scope)	Kullanım Amacı
Domain Local (DL)	Kaynaklara (dosya paylaşımı, yazıcı) yetki vermek için kullanılır. Genellikle aynı domain içindeki kaynaklara erişimi kontrol eder.
Global (G)	Kullanıcıları gruplamak için kullanılır. Genellikle aynı domain içindeki kullanıcıları içerir.
Universal (U)	Birden fazla orman/domain'de kaynaklara erişim için kullanılır. Global Catalog'da replike edilir (Dikkatli kullanılmalıdır).

AGDLP Kuralı (Önerilen Yetkilendirme Modeli)

Kurumsal yetkilendirme için en yaygın ve en güvenli model **AGDLP** (veya modern haliyle AGULP) kuralıdır:

**A (Accounts):** Kullanıcı **A**ccont'ları bir **G**lobal Gruba eklenir.
**G (Global Groups):** Bu **G**ruplar bir **D**omain **L**ocal Gruba eklenir.
**DL (Domain Local Groups):** **D**omain **L**ocal Gruplara **P**aylaşılan Kaynaklara (izinler) atanır.
**P (Permissions):** Kaynaklara (Shared Folder) atanan **P**ermission'lar.

Grup Oluşturma ve Yönetme (PowerShell)

**Global Grup Oluşturma:**

New-ADGroup -Name "G-IT-Users" `
-GroupScope Global `
-GroupCategory Security `
-Path "OU=Groups,DC=PROD,DC=LOCAL"

**Domain Local Grup Oluşturma:**

New-ADGroup -Name "DL-FileServer-ReadWrite" `
-GroupScope DomainLocal `
-GroupCategory Security `
-Path "OU=Groups,DC=PROD,DC=LOCAL"

**Kullanıcıyı Gruba Ekleme:**

Add-ADGroupMember -Identity "G-IT-Users" -Members "msengul"

**AGDLP Uygulaması (Grup içine Grup Ekleme):**
```
Add-ADGroupMember -Identity "DL-FileServer-ReadWrite" -Members "G-IT-Users"
```
**Sonuç:** `msengul` kullanıcısı → `G-IT-Users` → `DL-FileServer-ReadWrite` → Kaynak İzni.

İpucu: Tüm IT yöneticileri için, yalnızca yönetim amaçlı kullanılacak ve günlük işler için kullanılmayacak ayrı bir **Admin** hesabı oluşturulması ve bu hesaba Domain Admin yetkisi verilmesi en iyi güvenlik uygulamasıdır. Günlük kullanım hesabı (`msengul`), ayrıcalıklı yetkilere sahip olmamalıdır.

SONRAKİ DÖKÜMAN: TEMEL GPO OLUŞTURMA >>