Kullanıcıları makinelerinde yönetici yapmak

Sıklıkla gerek duyulan işlemlerden birisi, kullanıcıları kendi bilgisayarlarında (genelde oturum açtıkları bilgisayarlar) yönetici yapmaktır.

Grup İlkelerinde Restricted Groups şeklinde bir kısım var. Bu kısımda bir grup belirtip onun üyelerinin hangi kullanıcılar ya da gruplar olduğunu belirleyebiliyoruz. Ama bu ayar söz konusu sorunu çözmüyor çünkü grup olarak "Administrators" grubunu belirleyebiliriz ama bu gruba yalnızca bir bilgisayarda oturum açan kullanıcıyı eklemenin yolu yok.

Bu iş için yine Grup İlkesi kullanılabilir.

Benim bulduğum çözümde, bir yapısal birime (OU) ya da etki alanının kendisine bir Grup İlkesi bağlanıyor. Bu grup ilkesinde Registry’nin bir bölgesi için izin değişikliği, makineler için bir başlangıç betiği (startup script) ve kullanıcılar için bir oturum açma betiği (logon script) bulunuyor.

Bu çözümde, kullanıcı oturum açtığında onun adı bir çevresel değişkene (environment variable) yazılıyor. Oturum açma betiği bu işi yapıyor.

Bilgisayarlara tanımlanan başlangıç betiği bu çevresel değişkeni okuyor, kullanıcının adını öğreniyor, bunu yerel Administrators grubuna ekliyor.

Normalde, sıradan kullanıcılar sistem çevresel değişkenlerini okuyabiliyor ama yazamıyor (yeni bir sistem çevresel değişkeni oluşturamıyor). Bu nedenle, yapılacak ilk iş sistem değişkenlerini barındıran Registry anahtarı üzerindeki izni değiştirmek. İlgili Registry adresi HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment şeklinde. Bu adresle ilgili izin Grup İlkesinde Computer Configuration, Policies, Windows Settings, Security Settings, Registry altından eklenmeli. Bu anahtar için varsayılan izin "Authenticated Users, Read permission" şeklinde. Biz Authenticated Users grubuna "Set Value" ve "Create Subkeys" özel izinlerini de vermeliyiz. Bu izinler, Grup İlkesinin bağlandığı OU’daki bilgisayarlar yeniden başlatıldığında uygulanır.

Kullanıcılar için tanımlanacak oturum açma betiğinde şu komut bulunacak:

Setx userid %username% /m

setx komutu çevresel değişkenleri yaratır, değiştirir ya da siler. Bizim örneğimizde değişkenin adı "userid" ve bu değişkenin "username" değişkeninin içeriğine eşitliyoruz. Değişken adı önemli değil; istediğiniz gibi değiştirebilirsiniz. Komuttaki /m anahtarı, değişkeni sistem çevresel değişkenleri listesine ekler. Bunu yazmazsak değişken kullanıcı değişkenlerine yazılır ve işimizi görmez. Bu betik Grup İlkesinin bağlandığı OU’daki kullanıcılar oturum açtığında çalışır. Bu nedenle, ilgili makinelerin ve kullanıcıların aynı OU içinde bulunması ya da Grup İlkesinin ilgili OU’lara bağlanması gerekir.

Bilgisayarlar için tanımlanacak başlangıç betiğinde şu komut bulunacak:

net localgroup administrators %userid% /add

Yukarıdaki komut "userid" değişkeninin içeriğini okur, kullanıcı adını öğrenir ve onu administrators grubuna ekler.

Özet olarak, Grup İlkesi içinde Registry izinleri değiştirilmekte, kullanıcı adı kaydedilmekte ve bu ad Administrators grubuna eklenmektedir.

İşlemler anında gerçekleşmez. Bilgisayarların birkaç kez yeniden başlatılması ve kullanıcıların oturum açması gerekir.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s


%d blogcu bunu beğendi: