Öncelikle grup oluşturmadan bahsedeceğiz. Grup oluşturmadan en önemli nokta grubun nerede oluşturulacağıdır.
Resimde IT’ye sağ tıkladık “new–> group” seçtik ve bu pencere geldi. Şimdi Gruba bir isim vereceğiz ancak aynı zamanda grubun scope unu seçeceğiz. Burada eğer :
Global Group : Bunun içine başka kullanıcıları koyacağımız anlamına gelir.
Domain Local : bu grubu bazı kaynaklara erişim için izin vermek üzere kullanacağız anlamına gelir.
Universal grup : İçine Forest’tan kullanıcı ve grupları ekleyeceğimiz anlamına gelir.
Grup tipinde de
Security Group : içine ACL (Access List)
koyabileceğimiz veya yetkiler atayabileceğimiz anlamına gelir.
Distribution group: genellikle email için kullanılır ve yetki yoktur.
Grubun yerini ve tipini belirledik ve örnekte “IT Users” isminide verdikten sonra ok e basıp oluşturuyoruz. Daha sonra gruba sağ tıklayıp, yerini değiştirebiliriz (Move) veya içine başka grup ekleyebiliriz (nesting) veya diğer işlemleride yapabiliriz.
Grup işlemlerini Powershell ile de yapabiliriz.
Get-ADGroupMember : bir Grubun üyelerini görmek için.
Get-ADGroupMember -Identitiy administrators : Administrator grubunda kimler var görmek için.
Get-ADGroupMember -Identitiy “Enterprise Admins” -recursive : böylece hiyerarşik olarak Enterprise adminlerini görürüz.
Bir grubu restricted yapmakta mümkündür böylece içine kimse isteğimiz dışında atanamaz veya çıkarılamaz. Bunu Group Policy Management Editor ile yaparız. Genellikle en önemli hesaplar bu grupta bulunur.
Restricted Group ayarı :
Computer Configuration –> Policies–> Windows Settings –>Security Settings–>Restricted Groups
Az önce oluşturduğumuz “max muster” kullanıcısı eğer bu grupta değilse onu administrator olarak atayamayız. Atarsak geri çıkarılır. Veya içindeyse çıkarsakta geri alınır.Ama önce DC yi yeni kurduğumuzda korumak istediğimiz grupları buraya eklemeliyiz. Restricted grouplar sadece domain levelde mümkündür.
Ayrıca istersek gruplarda delegate yetkisi verebiliriz. Böylece her hangi bir kullanıcı o grubun üzerinde belirli işlemleri yapmaya yetkili olur. Bunu yapmak için grup ismine sağ tıklayıp “delegate control” seçip sonra wizard ı takip ediyoruz.
Bazı gruplar default olarak kurulmuştur.
Ayrıca protected grouplar mevcuttur. Protected gruplar OU da ki değişimlerden etkilenmezler. Bu grupların amacı policylerin kendilerine enforce edilmesini önlemektir.