Kullanıcı haklarını incelemeden önce sisteme sıradan bir kullanıcı olarak girelim ve bu kullanıcının neler yapıp neler yapamayacağını görelim. Sisteme Erkan adındaki kullanıcı ile giriş yaptım. Erkan sıradan bir kullanıcı. Üyesi olduğu tek bir grup var: Domain Users. Erkan, bilgisayarın saatini değiştirmek isterse Şekil 1.8'deki gibi bir mesaj alır (mesajın Türkçe si: Sistem saatini değiştirme hakkınız yok!).

Şekil 1.9 : "Bilgisayarınızı Kapatamazsınız"

          Erkan, bilgisayarı kapatmak isterse Şekil 1.9'deki gibi bir mesaj alır (mesajın Türkçe si: Bilgisayarı kapatma yetkiniz yok!).

          Demek ki, sisteme logon yapmak tek başına birşey ifade etmiyor: Bazı işleri yapmak için özel haklara sahip olmanız gerekiyor. Kullanıcılara hak vermek için User Manager for Domains programındaki Policies (Poliçeler) mönüsünden User Rights (Kullanıcı Hakları) şıkkını seçiyoruz ve Şekil 1.19'daki ekranla karşılaşıyoruz.

          Şekil 1.19'da Domain alanında hangi NT etki alanının kullanıcılarına hak vereceğimizi görüyoruz. Right alanında kullanıcılara verilecek hakkı seçiyoruz. Sonra da Grant To alanında bu hakkın verileceği kullanıcıları seçiyoruz.
Şekil 1.8 : "Saati değiştiremezsiniz mesajı"

Şekil 1.10: Hak Belirleme Ekranı

          Bir şey dikkatimizi çekiyor: Kullanıcılara hak vermiyoruz, haklara kullanıcı atıyoruz. Bu durum özellikle Novell Netware sistemine alışkın kişiler için biraz garip gelebilir.

          En aşağıda da bir kutu var: Show Advanced User Rights (İleri Düzey Kullanıcı Haklarını Göster). Bu kutu seçili değil. Demek ki ileri düzey kullanıcı hakları başta gösterilmiyor;ancak bu kutu işaretli ise ileri düzey hakları görebiliriz. Şimdi verilebilecek hakları inceleyelim. Önce normal haklar, sonra ileri düzey haklar:

Normal Haklar

  Access this computer from network: Ağ üzerinden bu bilgisayara bağlanma hakkı.

•  Add workstations to domain: NT etki alanına bilgisayar ekleyebilme hakkı.

Back up files and directories: Dosya ve klasörleri yedekleme hakkı.

  Change the system time: Bilgisayarın zamanını değiştirebilme hakkı.

•  Force shutdown from a remote system: Uzaktan bir bilgisayarı kapatabilme hakkı. Böyle bir hak var ama şu anda anlamı yok.

•  Load and unload device drivers: Sisteme aygıt sürücüsü yükleme/kaldırma hakkı.

  Log on locally: Bilgisayarın kendisinden lokal olarak logon edebilme hakkı. Eğer bir kullanıcının bu hakkı yoksa kullanıcı bu bilgisayarın başından logon etmek istediğinde şöyle bir mesaj alır ve sisteme logon edemez: The local policy of this system does not permit you to logon locally (Bu sistemin poliçesi sizin lokal olarak logon etmenize izin vermiyor).

Manage auditing and security log: İzlenecek olayları ve kişileri belirleyebilme hakkı. Bu hakka sahip kullanıcılar Event Viewer'daki Security loguna da bakabilirler.

• Restore files and directories: Dosya ve klasörleri yedekten yükleyebilme hakkı.

• Shut down the system: Bilgisayarı kapatabilme hakkı.

• Take ownership of files or other objects: Başka kullanıcıların mülkiyetinde olan kaynakların mülkiyetini üzerine alabilme hakkı.

İleri Düzey Haklar

• Act as a part of the operating system: İşletim sisteminin bir parçası gibi çalışabilme (daha yetkili ve daha öncelikli olarak) hakkı. Exchange Server, SMS Server ve SQL Server gibi programlar kendi hizmetlerini bağlatacak olan kullanıcı hesabının bu hakka sahip olmasını isterler.

• Bypass traverse checking: Bir klasör ağacını izleyebilme hakkı.

• Create a pagefile: Bir takas dosyası oluşturabilme hakkı.

• Create a token object: Erişim jetonları oluşturabilme hakkı.

• Create permanent shared objects: NT'de özel, kalıcı nesneler yaratabilme hakkı.

• Debug programs: Uygulamaların ne yaptığını izleyebilme hakkı.

• Generate security audits: İzleme loguna kayıt yaratabilme hakkı.

• Increase quotas: Nesnelerin kota değerini arttırabilme hakkı. Şu anda anlamı yok.

• Increase scheduling priority: Bir prosesin öncelik düzeyini arttırabilme hakkı.

• Lock pages in memory: Bellekteki bölümleri kilitleme, dolayısıyla sabit diske aktarılmasını engelleme hakkı.

• Log on as batch job: Bir toplu iş kuyruğu olarak sisteme logon edebilme hakkı.

• Log on as a service: Sisteme bir hizmet gibi logon edebilme hakkı. Exchange Server, SMS Server ve SQL Server gibi programlar kendi hizmetlerini başlatacak olan kullanıcı hesabının bu hakka sahip olmasını isterler.

• Modify firmware environment values: Sistem çevresel değişkenlerini değiştirebilme hakkı.

• Profile single process: Bir prosesi izlemek için NT'nin profilleme yeteneğini kullanabilme hakkı.

• Profile system performance: Sistemi gözleyebilmek için NT'nin profilleme yeteneğini kullanabilme hakkı.

• Replace a process level token: Bir prosesin erişim jetonunu değiştirebilme hakkı.

Kullanıcı  Hesaplarının  Uymaları  Gereken  Kurallar

          User Manager for Domains içinden bir hesap poliçesi belirleyebiliriz. Bu durumda sistemdeki kullanıcılar bu poliçeye uymak zorunda olacaklardır.

Şimdi User Manager programını açalım ve Policies mönüsünden Account (Hesap)... şıkkını seçelim (Şekil 1.11).

Şekil 1.11: Hesap Poliçesi Ekranı (Account Policy)

          Şekilde gördüğünüz gibi bu bölümden çok sayıda şey ayarlayabiliyoruz. Bölüm bölüm inceleyelim:

• Domain: ETKIALANI: Bu ifade poliçenin ETKIALANI adındaki NT etki alanında geçerli olduğunu gösteriyor.

• Passwords Restrictions (Şifre Kısıtlamaları): Bu bölümde kullanıcıların şifreleri üzerine çok sayıda kısıtlama getirilebiliyor.

• Maximum Password Age (Şifrenin Maksimum Geçerlilik Süresi): Bu bölümde şifrelerin hep geçerli mi olacağı yoksa belli süreler sonunda değiştirilmesi mi gerektiğini belirtiyoruz.

• Password Never Expires: Şifrenin bir geçerlilik süresi yoktur, her zaman geçerlidir, kullanıcı tarafından istendiğinde değiştirilebilir.

• Expires in ... days: Şu kadar gün sonunda geçerliliği kalmaz. İlk değer olarak bu şık seçilidir ve şifrelerin geçerlilik süresi 42 gündür. Bu süre değiştirilebilir.

• Minimum Password Age (Şifrenin Minimum Geçerlilik Süresi): Bu bölümde şifrelerin minimum geçerlilik süresini belirliyoruz. Örneğin şifrenin geçerlilik süresini 42 gün olarak verdik diyelim. Kullanıcı şifresini 42. günün sonunda değiştirebileceği gibi daha 1. gün sonunda bile değiştirebilir. Bu bölüme gireceğimiz değerle şifrenin, örneğin, altı günden önce değiştirilmemesini sağlayabiliriz.

• Allow Changes Immediately: Kullanıcı hemen şifre değişikliğine gidebilir.

• Allow Changes in ... Days: Şu kadar günden önce şifre değişikliğine izin verme.

• Minimum Password Length (Minimum Şifre Uzunluğu): Bu bölümde şifrenin uzunluğu üzerine kural koyabiliyoruz.

• Permit Blank Password: Boş Şifreye İzin Ver.

• At Least ... Characters: En Az Şu Kadar Karakter Olsun. Bu alanı işaretlerseniz kullanıcı şifre değiştirdiğinde şifrenin uzunluğu en az belirtilen karakter kadar olmalı-dır.

• Password Uniqueness (Şifrenin Eşsizliği): Kullanıcı şifre değiştirmek zorunda kaldığında kolaya kaçıp bir önceki şifreyi tekrar yeni şifre olarak girebilir. Bu da şifrenin değiştirilmesi gereğini fiilen ortadan kaldırır. Bunu önlemek için yeni şifre girilirken eski şifrelerin girilmesini engelleyebiliriz.

• Do Not Keep Password History: Şifrelerin Tarihçesini Tutma. Bu seçenek işaretli ise eski şifreler yeni şifre olarak tekrar girilebilir.

• Remember ... Passwords: ... Tane Şifreyi Anımsa. Bu seçenek işaretli ise verilen bir şifre, aradan belirtilen miktar şifre geçmedikçe, tekrar verilemez.

• Account Lockout (Hesap Kilitleme): Bu bölümde bir kişinin adıyla sisteme giriş yapılmasını önlemek için kurallar koyuyoruz. İlk değer olarak No account lockout (hesap kilitlemesi yok) alanı işaretlidir. Yani, bir ki§inin adıyla ve şifresiyle girmek için sonsuz sayıda deneme yapılabilir.

Eğer Account lockout alanını işaretlerseniz a§ağıda belirtilen kurallara göre yanlış deneme yapılan hesap kilitlenebilir.

• Lockout after ... bad logon attempts: ... Tane yanlış giriş denemesinden sonra hesabı

kilitle.

• Reset count after ... minutes: Bekleme süresini ... dakika olarak ayarla. Buraya bir değer girerseniz girilen değer sonunda yanlış giriş hesabı sıfırlanır. Yani, birden saymaya başlar.

          Aşağıdaki kilit süresi kısmında da kilitlenen bir hesabın ne kadar süreyle kilitli kalacağı belirleniyor.

• Forever (until admin unlocks): Sonsuza kadar (Yönetici kilidi çözene kadar). Bu seçenek işaretli ise kilitli hesap yönetici tarafından çözülebilir.

• Duration ... minutes: Süre ... dakika. Bu alan işaretli ise belirtilen süre boyunca hesap kilitli kalır. Süre bitiminde hesap tekrar işlerliğe kavuşur.

En aşağıda iki adet alan var:

• Forcibly disconnect remote users from server when logon hours expire (logon saatleri geçtiğinde uzaktan bağlanan kullanıcılarının bağlantısını zorla kopar): Kullanıcıların logon saatleri belirlenmişse kullanıcılar bu saatlerin dışında logon yapamazlar. Ama daha önceden logon yapmışlarsa çalışmaya devam ederler. Bu seçeneği işaretlerseniz bu durumdaki kullanıcıların bağlantısı kesilir.

• Users must logon in order to change password (Kullanıcılar şifrelerini değiştirmek için sisteme logon etmeliler): Bu seçenek işaretli ise kullanıcılar sisteme logon yaparken şifre değiştirme şıkkı karşılarına çıkmaz. Kullanıcılar şifrelerini logon yaptıktan sonra uygun bir şekilde değiştirirler.