Windows Server 2022 üzerinde bir dosya sunucusu kurmak göründüğü kadar basit değildir; asıl zorluk, doğru kullanıcıların doğru klasörlere erişmesini sağlarken yetkisiz erişimi kapatmaktır. Bunun anahtarı, sunucuda iki ayrı izin katmanının birlikte çalıştığını kavramaktır: ağ üzerinden gelen erişimi denetleyen paylaşım (SMB) izinleri ve dosya sisteminin kendisinde tutulan NTFS izinleri. Bu makalede File and Storage Services rolüyle bir SMB paylaşımı oluşturmayı, iki izin türünün farkını, erişim tabanlı numaralandırmayı (ABE) ve grup tabanlı yetkilendirmeyi adım adım, kurumsal bir kurulum mantığıyla anlatacağız.
Ön Koşullar
- Windows Server 2022 (Masaüstü Deneyimi veya Server Core) ve yönetici (Administrator) yetkisi.
- Paylaşılacak verinin yer alacağı NTFS ile biçimlendirilmiş bir disk bölümü. Paylaşım ve NTFS izinleri yalnızca NTFS (veya ReFS) birimlerde tam anlamıyla çalışır; FAT32 bölümleri NTFS izinlerini desteklemez.
- Tercihen bir Active Directory ortamı. Yetkilendirmeyi tek tek kullanıcılarla değil güvenlik grupları ile yapmak, sürdürülebilir bir kurulumun temelidir.
En Kısıtlayıcı İzin Kazanır
Bir kullanıcı adresine ağ üzerinden bağlandığında Windows iki izin kümesini de değerlendirir ve kullanıcıya ikisinin de izin verdiği en dar yetkiyi tanır. Örneğin paylaşım izni Tam Denetim (Full Control), NTFS izni ise yalnızca Okuma (Read) ise, sonuç erişim Okuma olur. Bu nedenle yaygın ve önerilen yaklaşım şudur: paylaşım iznini geniş tutmak (örneğin grubuna Change veya Full), gerçek ince ayarı ise NTFS izinleriyle yapmak. Böylece iki izin kümesini paralel olarak yönetmek yerine tek noktadan (NTFS) denetim sağlanır.
Önemli ayrım: Paylaşım izinleri yalnızca ağ üzerinden geçerlidir; sunucuya yerel olarak (RDP/konsol) oturum açan biri için uygulanmaz. NTFS izinleri ise hem yerel hem ağ erişimde her zaman geçerlidir.
Adımlar
1. Dosya Sunucusu rolünü kurun. PowerShell'i yönetici olarak açıp aşağıdaki komutu çalıştırın. Bu komut dosya sunucusu rolünü ve yönetim araçlarını yükler ( cmdlet'i, sunucu yöneticisinin aksine yönetim araçlarını varsayılan olarak kurmaz; bu nedenle parametresi gereklidir):
````
2. Klasörü ve güvenlik gruplarını hazırlayın. Paylaşılacak klasörü oluşturun ve yetkilendirmeyi yapacağınız grupları belirleyin. Örneğin (yazma) ve (yalnız okuma) gibi anlamlı adlandırmalar kullanın:
````
3. SMB paylaşımını oluşturun. cmdlet'i ile klasörü ağa açın ve paylaşım düzeyinde erişimi gruplara verin. , ve parametreleri paylaşım izinlerini belirler:
````
4. NTFS izinlerini ayarlayın. Asıl yetkilendirmeyi dosya sistemi düzeyinde yapın. komut satırı aracı betiklenebilir ve toplu atamalar için güvenilirdir. Aşağıdaki örnek yazma grubuna Değiştir (M), okuma grubuna Okuma ve Çalıştırma (RX) verir; (nesne kalıtımı) ve (kapsayıcı kalıtımı) bayrakları iznin alt klasör ve dosyalara kalıtımla yayılmasını sağlar:
````
5. Erişim tabanlı numaralandırmayı (ABE) etkinleştirin. ABE, kullanıcının erişim yetkisi olmayan klasör ve dosyaları listede gizler — kullanıcı yetkisi olmayan bir öğeyi hiç görmez. Yeni SMB paylaşımlarında ABE varsayılan olarak kapalıdır (varsayılan numaralandırma modu ). Etkinleştirmek için:
````
6. Var olan bir paylaşıma izin eklemek veya değiştirmek için kullanabilirsiniz. Erişim hakkı değerleri yalnızca , veya 'tir:
````
7. Doğrulayın. Paylaşımın ve izinlerin doğru oturduğunu sunucuda kontrol edin:
````
8. İstemciden erişimi test edin. Bir istemci bilgisayardan ilgili grubun bir üyesiyle oturum açın ve Dosya Gezgini adres çubuğuna paylaşım yolunu yazın:
````
Yazma grubundaki kullanıcı dosya oluşturup düzenleyebilmeli, okuma grubundaki kullanıcı yalnızca görüntüleyebilmeli ve yetkisiz bir kullanıcı (ABE açıkken) klasörü listede hiç görmemelidir.
İpuçları
- Tek tek kullanıcı yerine grup atayın. Personel değiştiğinde tek yapmanız gereken kullanıcıyı doğru gruba eklemek veya çıkarmaktır; izinlere dokunmazsınız. Bu, hem hatayı hem yönetim yükünü azaltır.
- `Everyone` grubuna Tam Denetim'i körlemesine vermeyin. Paylaşım düzeyinde geniş izin vermek istiyorsanız grubu daha güvenli bir tercihtir; ince denetimi NTFS'e bırakın.
- ABE bir izin mekanizması değildir. Yalnızca görünürlüğü gizler; gerçek erişim engelini NTFS ve paylaşım izinleri sağlar. ABE'yi her zaman sağlam izin yapısının üstüne bir gizlilik katmanı olarak düşünün.
- Kalıtımı planlayın. bayraklarıyla verilen izinler alt klasörlere ve dosyalara yayılır. İstisna gereken hassas alt klasörlerde kalıtımı bilinçli olarak kesip özel izin tanımlayın.
- Yerel erişimi unutmayın. Sunucuda yerel oturum açan bir hesap için paylaşım izinleri devreye girmez; bu durumda erişimi yalnızca NTFS izinleri belirler. Bu yüzden NTFS katmanını her zaman doğru kurun.
Dosya sunucunuz sağlam bir izin mimarisiyle çalışırken, üzerinde çalışan Windows Server ve Office lisanslarının da %100 orijinal olması kurumsal sürekliliğiniz için önemlidir. Enlisans, orijinal Windows Server ve Office lisanslarını hızlı teslimat ve güvenilir destekle sunar.















