Bu makalede CNO Create Computer Object Yetkisini detaylı bir şekilde görmüş olacağız. Create Computer Object yetkisi, Active Directory (AD) ortamında bir kullanıcının veya grubun yeni bir bilgisayar nesnesi oluşturmasına izin veren bir izindir. Bu yetki, genellikle Organizational Unit (OU – Organizasyon Birimi) düzeyinde atanır ve yeni bilgisayar hesaplarının belirli bir OU içinde oluşturulmasını sağlar. Bu makalede sadece cluster için bu yetkiyi vermiştik.
Create Computer Object Yetkisinin İşlevleri
Yeni Bilgisayar Hesabı Oluşturma→ Kullanıcı, belirlenen OU içinde yeni bir bilgisayar nesnesi (Computer Object) oluşturabilir.
Active Directory’ye Cihaz Ekleme→ Yeni bir cihaz (örneğin, Windows istemcisi veya sunucu) AD’ye katıldığında, bu nesne oluşturulabilir.
Delegasyon (Yetki Devri)→ Örneğin, belirli bir OU içinde bilgisayar ekleme yetkisi vermek için kullanılabilir.
Active Directory Users and Computers (ADUC) Konsolunu Açılır.
Sql sunucularımız için oluşturulan OU sağ tıklayıp New sekmesinden bir group oluşturulur.
Bu gurup security gurup olarak geçmektedir. İlgili OU altındaki tüm nesneler bu guruba eklenir. Daha sonra aşağıdaki yöntemdeki gibi group seçilip yetkilendirmelerin verilmesi gerekmektedir.
Oluşturulan Group ilgili OU altında görünür. Gerçek sistemlerde yapı bu şekildedir.
Daha sonra SQL OU altında bulunan tüm nesneler oluşturulan SqlGroup altına taşınmaktadır. Delegate bölümünde teker teker ayarlamaları yapmamak için bu yöntem yapılır. Tüm nesneleri seçtikten sonra Add to a group.. diyerek ilgili group’a ekleme işlemi yapılır.
Group altında tüm sunucular Alwayson servis hesabı cluster ve listener yapımız görülmektedir.
İlgili OU üzerine sağ tıklayıp Delegate Control.. yapısı seçilmektedir. Bu yapı ile ilgili Security Group altında bulunan tüm nesneler bir birleri üzerinde yetkili olmuş olacaktır.
Yetkiyi vermek istediğiniz kullanıcıyı veya group eklenir. Add bölümüne tıklanır. Belirlediğimiz security group eklenmektedir. Aşağıdaki bölümde gerçek sistemlerde yapıldığı gibi yapılmaktadır. Bu group ilgili OU altındadır ve OU içerisinde bulunan tüm nesneler bulunmaktadır.
Next dedikten sonra gelen ekranda Create a custom task to delegate seçeneğini seçiyoruz.
Gelen ekranda Only the following objects in the folder → Computer objects seçeneğini işaretlenir. Alt bölümde ise Create selected objects in this folder ve Delete selected objects in this folder yetkisi verilmektedir.
Gelen ekranda General, Property ve Creation/deletion specific child objects checkbox’ları seçilip full control yetkisi verilip kurulum adımları tamamlanmaktadır.
Gelen ekranda Finish denilip işlemler sonlandırılır.
Artık eklediğimiz cluster object name belirlemiş olduğumuz OU içerisinde yeni bilgisayar nesneleri oluşturabilir. Delegate Control ile kısıtlı bir yetkilendirme yapmamız gerekir.
Tanımlanmış olan bu özelliklerin aktif edilebilmesi için ya ilgili CNO disable edilmesi veya OU altında bulunan sunucuların restart olması gerekmektedir.
Not: Herhangi bir group belirlediğimiz OU altında delegate yapılabilir. Cluster name object yönteminin yaptığımız işleyiz yapılmaktadır.
Eğer bir group Delegate yapılırsa group içerisinde tüm kullanıcılar birbirleri üzerinde yetkili kullanıcılar olur.
Şunu da belirtmek gerekirse Create Computer Object yetkisini vermek için Delegate Control Wizard kullanabileceğiniz gibi OU (Organizational Unit) özelliklerinden (Properties ekranı) manuel olarak da ayarlayabilirsiniz. Aşağıdaki adımlar uygulanır.
Adımlar:
1. Active Directory Users and Computers (ADUC) açılır.
2. OU’ya sağ tıklayıp Properties seçeneğini tıklıyoruz.
3. Security sekmesine gelinir. (Görünmüyorsa, Advanced Features‘ı etkinleştirin).
Security bölümü properties ekranında aşağıdaki gibi görünmüyorsa View bölümünden Advanced Features kısmından eklenebilir.
4. Security bölümünden Add denilip Cluster Name Object seçilir. Daha sonra Advanced butonuna tıklıyoruz.
6. Gelen ekranda eklemiş olduğum CNO yapısını seçip Edit butonuna basıyorum.
7. Permissions bölümünde Create Computer Objects yetkisini verildikten sonra Ok denilip çıkılır.
Create computer object yetkisi verilmeyip full kontrol yetkiside verilebilir. Bu tamamen sizin tercihinize göre birşey
Başka makalede görüşmek dileğiyle..
İman edip dünya ve âhiret için yararlı işler yapanlara gelince, onları da nimetlerle dolu, içinde ebedî kalacakları cennetler bekliyor. Bunu Allah gerçek olarak vaad etmiştir. O azîzdir, hakîmdir.”Lokman-8-9
