Exchange ve Domain Controller Portları

Herkese merhaba ..

Çok uzun bir süre sonra yine karşınızdayım. Yaklaşık 8 aydır Blog'uma hiçbir yazı yazamıyordum. Bunun en büyük nedeni çalıştığım firmadaki işlerimin yoğunluğu, biraz da benim tembelliğimden kaynaklanıyordu. Ama bundan sonra eskisi gibi yazılarıma sık sık yenilerini ekleyeceğim ..

Bugün bir uygulamadan değil de Firmalarında "Port Based Security" ilkesini benimsemiş arkadaşlar için yararlı olabileceğini düşündüğüm bir konudan bahsedeceğim. Eğer siz de firmanızdaki güvenliği port bazlı sağlıyorsanız ve yapınızda MS Active Directory'si ve Exchange Server var ise, Active Directory ve Exchange replikasyonlarında mutlaka sorun yaşamışsınızdır diye düşünüyorum. Aşağıda bu replikasyonların sorunsuz sağlanabilmesi için çıkardığım Port listesinden yararlanabilirsiniz;

exchange tarafından kullanılan portlar

Protocol: LDAP Port (TCP/UDP): 389 (TCP)

Protocol: LDAP/SSL Port (TCP/UDP): 636 (TCP)

Protocol: LDAP Port (TCP/UDP): 379 (TCP)

Protocol: LDAP Port (TCP/UDP): 390 (TCP)

Protocol: LDAP Port (TCP/UDP): 3268 (TCP)

Protocol: LDAP/SSL Port (TCP/UDP): 3269 (TCP)

Protocol: IMAP4 Port (TCP/UDP): 143 (TCP)

Protocol: IMAP4/SSL Port (TCP/UDP): 993 (TCP)

Protocol: POP3 Port (TCP/UDP): 110 (TCP)

Protocol: POP3/SSLPort (TCP/UDP): 995 (TCP)

Protocol: NNTP Port (TCP/UDP): 119 (TCP)

Protocol: NNTP/SSL Port (TCP/UDP): 563 (TCP)

Protocol: HTTP Port (TCP/UDP): 80 (TCP)

Protocol: HTTP/SSL Port (TCP/UDP): 443 (TCP)

Protocol: SMTP Port (TCP/UDP): 25 (TCP)

Protocol: SMTP/SSL Port (TCP/UDP): 465 (TCP)

Protocol: SMTP/LSA Port (TCP/UDP): 691 (TCP)

Protocol: RVP Port (TCP/UDP): 80 (TCP)

Protocol: IRC/IRCX Port (TCP/UDP): 6667 (TCP)

Protocol: IRC/SSL Port (TCP/UDP): 994 (TCP)

Protocol: X.400 Port (TCP/UDP): 102 (TCP)

Protocol: MS-RPC Port (TCP/UDP): 135 (TCP)

Protocol: T.120 Port (TCP/UDP): 1503 (TCP)

Protocol: ULS Port (TCP/UDP): 522 (TCP)

Protocol: H.323 (Video) Port (TCP/UDP): 1720 (TCP)

Protocol: Audio Port (TCP/UDP): 1731 (TCP)

Protocol: DNS Port (TCP/UDP): 53 (TCP)

Dc üzerinde Firewall Portları

Dc üzerinde firewall varsa,düzgün çalışabilmesi için açılması gerekli portlar;

UDP 123: NTP

TCP 3268: Global Catalog LDAP

TCP 389: LDAP

UDP 389: LDAP

TCP 53: DNS

UDP 53: DNS

TCP 53211: AD Replication

TCP 53212: File Replication Service

TCP 88: Kerberos

UDP 88: Kerberos

Yukarıdaki bu liste çok genel bir listedir ve olabilecek tüm uygulamaları kapsamaktadır. Siz bu listeden kullandığınız uygulamaya / uygulamalara göre istediğinizi seçerek güvenliğinizi bir adım daha öteye taşıyabilirsiniz.

Bir sonraki yazımda görüşmek üzere ..

Yeni İş, Yeni Umutlar ..

Uzun bir süredir (yaklaşık bir aydır) blogumda yazı yayınlayamıyorum. Öncelikle bunun için blogumu takip eden herkesten özür dilerim. Fakat bunun nedeni yeni bir işe başlamam .. Artık ben de iş hayatına atıldım :)

15 gün önce BDH bünyesinde sistem uzmanı olarak işe başladım. Tahmin edeceğiniz gibi de bu aralar her zamankinden daha fazla çalışıyorum ve kendime hiç zaman ayıramıyorum. İşte bu yüzden yazılarıma bir süre ara vermek zorunda kaldım. En yakın zamanda yeni yazılarımla tekrar karşınızda olacağım.
Görüşmek üzere ..

DHCP Relay Agent Uygulaması

Bir süredir finallerim ve sertifikasyon sınavlarım nedeni ile blogumda yazı yayınlayamıyordum. Bugün size Relay Agent uygulamasından bahsetmeye çalışacağım ..

DHCP Relay Agent farklı bir subnetteki DHCP Server'dan kendi subnetimizdeki kullanıcılara IP aldırmamızı sağlar. Relay Agent olacak makine bir bilgisayar da olabilir bir Router'da olabilir. Basit olarak DHCP Relay Agent kendi subnet'indeki kullanıcıların DHCP Broadcast'lerini yakalayarak bunları Unicast'e çevirip yetkili DHCP Server'a gönderir

Bu uygulama için öncelikle Routing And Remote Access Configure edilmelidir. Bunun için;



RRAS açılır ve "Configure and Enable RRAS" seçeneği seçilir. BU seçenek seçildiğinde karşımıza bir sihirbaz gelecektir.



Next diyerek bu sayfayı geçiyoruz.



Bu sayfada RRAS'ı ne olarak konfigüre etmek istediğimize karar veriyoruz. Relay Agent Uygulaması için Custom Configuration seçilir.



Bu sayfada kullanmak istediğimiz servisi seçiyoruz. Kendi Network'ümüzde farklı subnet'teki bir DHCP server'i Relay Agent olarak gösterecğimizden LAN (Local Area Network) Routing seçeneğiniz seçip devam ediyoruz.



Son olarak karşımıza bir özet sayfası geliyor. Yapmak istediğimiz ayarların özetini bu sayfada görebilir değişiklik yapmak istiyorsak geri dönerek bu işlemleri gerçekleştirebiliriz. Finish seçeneğini seçerek sihirbazı bitiriyoruz.



Ardından karşımıza bir uyarı gelecek. Bu uyarıda RRAS konfigürasyonu için servisin durdurulması gerektiği bilgisi veriliyor. Evet seçeneğini seçtikten sonra RRAS servisinin konfigürasyonu tamamlanmıştır. Şimdi Relay Agent uygulamasına geçelim.



Bunun için IP Routing altından Genaral tabına gelinir ve buraya "New Routing Protocol" seçeneği seçilir.



Bu sayfada ekleyeceğimiz protokolü seçerek işlemi sonlandırıyoruz. ( DHCP Relay Agent )

Protokolü de eklediğimize göre şimdi Relay Agent için yeni bir Interface (arayüz) eklemeliyiz. Bunun için;



Yine IP Routing altında DHCP Relay Agent tabına gelinir ve "New Interface" seçilir.



Bu sayfada ekleyeceğimiz Interface'yi seçiyoruz.



Bu sayfada ise Router'in DHCP server'a paketleri ulaştırırken kaç hop atlayacağını ve süreyi belirtiyoruz. ( Default'ta ikisi de 4'tür. )

Şimdi de Eklediğimiz Interface'ye Relay Agent olacak makinenin IP'si girmeliyiz. Bunun için;



Eklediğimiz DHCP Relay Agent Interface'sinin özellikler tabına geliyoruz.



Burada Relay Agent olacak makinenin IP'sini girmemiz gerekiyor. Bu işlemi de gerçekleştirdikten sonra Relay Agent Uygulamasını tamamlamış oluyoruz.

NOT:

- Relay Agent protokolü DHCP Server bulunmayan subnetlere eklenir.

- Relay Agent'a IP olarak DHCP Server'in IP'si girilmelidir.

- Eğer Relay Agent olan makine subnet'ler arasındaki Router değilse, bu makineye Default Gateway olarak Router'in kendisine bakan bacağı gösterilmelidir.

- DHCP Server'a Gateway olarak Router gösterilmelidir.

- DHCP Server'in Üzerinde Relay Agent olarak eklendiği subnetin aralığında bir Scope olmalıdır.

- Her Router DHCP Broadcast'lerini geçirmez. Bu nedenle bu uygulama sadece RFC-1542 uyumlu Router'lar ile yapılabilir.

Görüşmek üzere ..

Windows Server 2003 Certification Authority - KRA (Key Recovery Agent) Uygulaması

Bir önceki yazımda size Windows 2003 Server’da CA kurulumundan bahsetmiştim. Şimdi ise CA uygulamaları içinde en kapsamlı olan KRA (Key Recovery Agent) uygulamasını açıklamaya çalışacağım. Bu uygulamayı seçmemin sebebi; KRA oluşturmanın CA ara yüzü ve Web ara yüzünü de kapsayan bütün sertifika uygulamalarını barındırmasıdır.

KRA uygulaması için sistemimizde olması gerekenler;

- V.2 Templateler

- Windows Server 2003 Enterprise ya da Data Center Edition ve üzerinde kurulu bir CA

- Microsoft Active Directory

- CMC Protokolü

CMC Şifreleme İleti Sözdizimi (CMS) kullanan bir Sertifika Yönetim protokolüdür.

Bu işlem için öncelikle Key Recovery Agent olacak kullanıcı belirlenmelidir. Bunun için;

CA ara yüzünden Certificates Templates tabına sağ tıklanarak manage seçeneği seçilir. Bu menüde; V.1 ve V.2 (Windows Server 2000 ve Windows Server 2003 için) template’ler bulunmaktadır.

Burada Key Recovery Agent Template’i bulunur ve Porperties tabına girilir.

Template’nin Porperties tabından Security sekmesine gelinir ve Add denerek KRA olması istenen kullanıcı listeye eklenir. Ardından kullanıcıya gerekli haklar verilir. (KRA olabilmek için Read ve Enroll haklarının verilmesi gerekmektedir.)

Ardından yayınlanacak olan sertifika veya sertifikalar duplicate edilir. (Çoğaltılır)

Bu işlem için çoğaltılacakolan template’nin üzerine gelip sağ tıklayarak Duplicate Template dememiz yeterlidir.

Karşımıza yukarıdaki gibi bir pencere çıkacaktır. Burada Genaral tabından sertifikamıza tanımlayıcı bir isim belirleyebiliriz. Yine aynı tabdan sertifikanın geçerlilik süresini (Validity Period) ve yenilenme süresini (Renewal period) belirleyebiliriz.

Yine aynı menüde Issuance Requirements tabına geldiğimizde karşımıza önemli bir ayrıntı çıkmaktadır. Burada CA certificate manager approval seçeneği işaretlenirse talep edilen sertifika Administrator’un yetkisi olmadan kullanıcıya yüklenemez.

Gerekli ayarlamaları yaptıktan sonra OK dediğimizde sertifikayı çoğaltmış ve yayınlanmaya hazır hale getirmiş oluyoruz.

Bunun ardından sertifikayı yayınlama aşamasına geliyoruz. Ben bu senaryoda 2 sertifika yayınlayacağım. Birisi KRA olacak kişi için Key Recovery Agent serifikası, bir diğeri de sıradan bir kullanıcı için User sertifikası. Bunun için;

CA menüsünden Certificate Templates’e sağ tıklıyoruz ve New / Certificate Template to issue seçeneğini seçiyoruz.

Ardından karşımıza yayınlanabilecek sertifikaların listelendiği bir sayfa gelecek. Bu sayfada yayınlayacağımız bir yada daha fazla sertifikayı seçerek (CTRL tuşuna basılı tutarak birden fazla sertifikayı aynı anda seçebiliriz) OK diyoruz.

Bu işlemin ardından yayınlayacağımız sertifikalar CA ara yüzünde gözükmektedir.

Şimdi sıra kullanıcıların sertifikaları çekmesine geldi. Bu işlemi öncelikle KRA için yapacağım.

Bu işlem için KRA olacak kullanıcı ile (bu senaryoda kaan kullanıcısı) sertifikamı talep etmek için http://localhost/certsrv adresinden Certificate Services ara yüzüne girilip Request a certificate seçeneği seçilmelidir.

Ardından Create and submit a request to this CA (Bu CA için bir talep yarat ve bu talebi ilet) seçeneği seçilir.

Karşımıza gelen sayfanın en üstünden istenilen sertifika seçilir.

Ardından sayfanın en altından Submit seçeneği seçilir. Submit dediğimizde karşımıza bir uyarı penceresi gelecektir. Bu uyarıda sadece güvenlen web sitelerinin sertifikalarını talep etmemiz gerektiği ile ilgili bir uyarı yer almaktadır. Bu uyarıya Yes dediğimizde talebimiz yaratılacak ve Certification Authority’e iletilecektir.

Ardından karşımıza talebimizin alındığını gösteren bir mesaj gelecektir. Fakat sertifikayı yayınlarken sertifikanın özellikler tabından sertifikanın admin izin vermeden yüklenememesini seçtiğimiz için KRA sertifikasının öncelikle Administrator tarafından onaylanması gerekmektedir.

Administrator bu işlemi CA ara yüzünden yapabilir.

Bu işlem için CA ara yüzü açılır ve Pending Requests tabına gelinir. Burada onay bekleyen sertifikanın üzerine sağ tıklanır ve All Tasks / Issue (onaylayacaksak) ya da Deny (onay vermeyeceksek) seçeneği seçilir. Genelde Pending Request’lerin Web ara yüzüne düşmeleri zaman alır, bu yüzden bu işlemin CA ara yüzünden yapılması zaman kazandırır.

Administrator sertifika için onayı verdiğine göre artık KRA olacak kullanıcı Web ara yüzünü kullanarak sertifikasını yükleyebilir.

Bu işlem için;

KRA olacak kullanıcı yine http://localhost/certsrv ile talep ettiği sertifikayı bulur.

Ardından Install this certificate (bu sertifikayı yükle) seçeneğini seçer.

Bu işlemi de yaptıktan sonra geriye CA özelliklerinden arşiv özelliklerini açmak kalıyor.

Bu işlem için öncelikle CA / Properties tabına gelinir.

Ardından Recovery Agents tabına gelinir. Önce Arşiv özelliğini açılıp ardından da yayınladığımız KRA Sertifikası Add denerek KRA Certificates kısmına eklenir.

Bu işlemle birlikte CA Servisi yeniden başlatılacaktır.

Böylece KRA uygulamasını bitirmiş oluyoruz. Domainimizde belirlediğimiz kullanıcıyı Key Recovery Agent yapmış olduk.

NOT: KRA’nın çalışabilmesi için yayınlanan sertifikaların private key’lerine ulaşması gerekmektedir. Bunun için yayınladığımız template’lerde Arşiv özelliğini aktif hale getirmeliyiz. Böylece yayınlanan sertifikaların private key’leri Active Directory tarafından arşivlenebilir.

Şimdi de Anahtar Kurtarma Prosesinin nasıl çalıştığını görelim.

Bu konuyu açıklamak için kullanacağım senaryo şu şekilde olacaktır:

kaanerden.net domaininin kullanıcılarından “user1” encrypt ettiği dosyalarını açamamaktadır. Durumu Domain Admin’ine iletir. Domain Admin’i de yaptığı araştırmadan sonra sertifikanın silindiğini belirler ve KRA’ya bu durumu bildirir.

User1 şifrelediği dosyasını açmaya çalışıyor fakat açamıyor.

Bu işlemi gerçekleştirmenin iki yolu vardır. Bunlardan ilki komut satırını kullanmaktır. Microsoft bu prosesi oluştururken gerekli yetkileri hem KRA’ya hem de Administrator’a paylaştırmıştır.

İlk rol Administrator’a aittir. Administrator öncelikle user1 için yayınlanan sertifikanın seri numarasını bulmalıdır.

Bunun için CA ara yüzünden Issued Certificates kısmında user1 için yayınlanan sertifikayı açarak Details tabından seri numarasını elde eder. Daha sonra komut satırını açarak;

“ Certutil –getkey Cert_No cert.blob “ formatındaki komutu koşturmalıdır. Bu komut C dizininin altında cert.blob adında bir dosya oluşturacak.

Bunun ardından sıra KRA’ya geliyor. cert.blob dosyası oluşturulduktan sonra KRA da komut satırına girerek;

“ certutil –recoverkey cert.blob cert.pfx “ komutunu koşturmalıdır. Bu komut Administrator’un oluşturduğu .blob dosyasını kullanılabilir bir sertifika dosyası olan .pfx’e dönüştürür. Bu komut ile birlikte KRA’nın C dizininin altında cert.pfx adlı bir dosya oluşacaktır. Bu dosya user1 kullanıcısının kaybettiği sertifikadır. Bu .pfx dosyası user1 tarafından yüklendiğinde eski şifrelenmiş dosyalarını tekrar açabilecektir.

Anahtar Kurtarma Prosedürünün diğer bir yapılış yöntemi ise Key Recovery Tool’u kullanmaktır. Bu tool’u kullanabilmek için bilgisayarınızda Windows Server 2003 Resource Kit’in yüklü olması gerekir.

Key Recovery Tool’u çalıştırmak için Başlat / Çalıştır menüsüne “ krt “ yazmak yeterlidir.

KRT ara yüzü

Key Recovery Tool’u kullanmak çok kolaydır. Öncelikle arama yapacağımız kriteri belirleyip Value kısmına yazmalıyız. Ben burada user 1 için yayınladığım sertifikayı kurtarmaya çalıştığım için Value kısmına user1 yazdım. Search butonuna bastığımızda Certificates yazan alanda aradığımız kriterlere uygun sonucu göreceğiz. Buradan sonra karşımıza 3 seçenek çıkıyor.

1.)Retrieve Blob:

Bu seçeneği Domain Administrator cert.blob dosyasını oluşturmak için seçer. İşlem sonunda komut satırında olduğu gibi bir .blob dosyası oluşturulur.

2.)Decrypt Blob:

Bu seçeneği ise KRA seçebilir. Bu seçenek ile KRA, Administrator’un oluşturduğu cert.blob dosyasını Cert.pfx e dönüştürür.

3.) Recover:

Bu seçeneğin seçilmesi için KRA ve Domain Administrator yetkileri aynı kullanıcıda olmalıdır. Eğer kendi yapımızda Administrator ve KRA aynı kişi ise Recover seçeneği ile tek adımda .pfx dosyasını oluşturabiliriz.

Bu adımlar sonunda oluşan cert.pfx dosyası sertifikası kaybolan kullanıcının bilgisayarına Import edildiğinde, (yüklendiğinde) kullanıcı daha önce şifrelediği dosyalarını tekrar açabilecek hakkı kazanır.

Bu yazımda size Anahtar Kurtarma Prosedürü ile birlikte CA kullanılarak yapılabilecek neredeyse bütün uygulamalardan bahsetmeye çalıştım. Bir sonraki yazımda görüşmek üzere ..

CA KURULUMU

Bu yazımda size güvenlik için bence olmazsa olmaz olan CA’dan (Certification Authority) bahsetmek istiyorum. Certification Authority’i kullanarak şirketimizde sertifika bazlı güvenliği sağlayabiliriz.

CA kurulumu için öncelikle bilgisayarımızda IIS yüklü olmalı. Fakat ben bu senaryoda IIS i kurmadan CA kurulumunu yapacağım sonra bu durumu düzelteceğim.

Öncelikle Control Panel’den Add / Remove Programs menüsünü açıyoruz. BU menüyü kısa yoldan “Başlat / Çalıştır”a gelip “appwiz.cpl” komutu ile de açabiliriz.

Ardından “Add / Remove Windows Components” seçeneğini seçip işleme devam ediyoruz.

Karşımıza çıkan sayfada “Certificate Services” seçeneğini seçiyoruz.

Burada ayrıca “Details” seçeneğini seçerek yapacağımız yüklemenin ayrıntılarını görebiliriz.

Burada “Ent. root CA” seçeneğini seçerek kuruluma devam edelim. Eğer sertifika hizmetini domain ortamında kullanacaksak ilk 2 seçeneği seçmeliyiz. Eğer CA hizmeti Workgroup ortamında verilecekse Stand-alone seçeneklerinden bir tanesi kullandığımız senaryoya göre seçilmelidir.

Burada CA için bir isim tanımlıyoruz.

Sertifika servisi ile ilgili veri tabanının ve log dosyalarının nerede saklanacağını belirliyoruz. Burada kurulum sihirbazı bizim için bir lokasyon belirliyor. Lokasyonları belirledikten sonra “Next” diyerek kuruluma devam ediyoruz.

Kurulum başladıktan bir süre sonra IIS Servisi kurulu olmadığı için “Web Enrollment Support” kurulumu ile ilgili bir hata alacağız. Bu hatayı önemsemeden kuruluma devam edebiliriz. IIS kurulduktan sonra bu sorun giderilecektir. Eğer CA kurulumundan önce IIS kurulumunu yaparsak bu hata ile karşılaşmayız.

Bu ekran ile birlikte CA kurulumunu tamamlamış olduk.

Şimdi IIS kurulumuna geçelim;

“Windows Bileşenleri” Ekle / Kaldır menüsünden Application Server seçeneği seçildiğinde IIS ile ilgili kurulması gereken bileşenler kurulacaktır.

Kurulum esnasında sihirbaz bizden I386 dosyasını isteyecek. Bu dosyanın yerini bilgisayarımızdan ya da Windows Server 2003 CD’sinden gösterip kuruluma devam ediyoruz.

Bu ekran ile birlikte IIS kurulumunu bitirmiş oluyoruz.

Bunun ardından komut satırından; (cmd)

“ certutil –vroot ”

komutunu koşturarak IIS’te CA ile ilgili gerekli ayarların gerçekleşmesini sağlıyoruz.

Böylece kurulumu tamamlamış olduk.

Certification Authority arayüzü.

Bu yazımda size CA kurulumunu anlatmaya çalıştım. Bir sonraki yazımda CA kullanılarak nasıl sertifika oluşturulacağından ve nasıl sertifika talep edebileceğimizden bahsedeceğim.

Görüşmek üzere ..

Windows XP'de Uyarı Balonlarını Engelleme

Bu işlem için öncelikle bir text dosyası açıyoruz. Daha sonra açtığımız bu text dosyasının içine ;

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
"Start_NotifyNewApps"=dword:00000000


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
"Start_NotifyNewApps"=dword:00000000

yazıyoruz. Daha sonra text dosyasını kapatıyoruz ve ".txt" olan dosya uzantısını ".reg" olarak değiştiriyoruz.

NOT: Eğer bilgisayarınızda dosya uzantılarını göremiyorsanız uzantıları görüntüleyebilmek için, herhangi bir klasörün "Araçlar" menüsünden "Klasör Seçenekleri"ni seçerek "Görünüm" tabına gelmeniz ve

"Bilinen dosya türleri için uzantıları gizle"

seçeneğinin yanındaki "check"i kaldırmanız yeterlidir.

Daha sonra oluşturduğunuz ".reg" uzantılı dosyaya çift tıklayarak işlemi tamamlayabilirsiniz.

Böylece çoğu zaman olup olmadık yerlerde bilgisayarınızın sağ alt köşesinden çıkan baloncuklardan kurtulmuş oluyorsunuz :)))))

Roaming Profile Uygulaması

Bugünkü yazımda size Roaming Profile (Gezici Profil) uygulamasını anlatmaya çalışacağım ..

Öncelikle C dizininin altında profilleri saklayacağımız klasör oluşturulur ve bu klasörün “sharing and security” tabına girilir. Ben burda Profiller adında bir klasör oluşturdum.

Ardından oluşturulan klasörün “Sharing” tabından “Share this folder” (Bu klasörü paylaştır) seçeneği işaretleyip “Permissions” tabına gelinir ve “Everyone” yani bütün kullanıcılara “Full Control” (Tam kontrol) izni verilir.

Sharing tabından gerekli izinleri verdikten sonra şimdi de NTFS kısmından yani oluşturulan Profiller klasörünün “Security” tabından “Everyone”ı ekleyip gerekli izinleri verilmelidir.

NTFS tarafında verilmesi gereken izinler;

* Everyone / Read & Execute, List Folder Contents ve Read

Bu işlemlerin ardından C dizininin altına açtığımız “Profiller” klasörünün altıda Gezici Profil’ini oluşturacağımız kullanıcının adıyla aynı ( ör: kerden ) bir klasör oluşturulur ve bu klasörünün “Sharing and Security” tabına gelinir.

Buradan sonra yapmamız gereken şey oluşturduğumuz klasörün “Security” tabına gelerek gezici profilini oluşturmaya çalıştığımız kullanıcıyı buraya ekleyerek ona bu klasör üzerinde Full Control hakkı vermektir. Böylece kullanıcı kendi profilinin olduğu klasörde tam yetki sahibi olur. Bu klasörün kişiye özel olmasını sağlamak için yapmamız gereken diğer bir değişiklik ise yine aynı menüyü kullanarak Everyone ve Domain Users gruplarının haklarını kaldırmaktır.Bu sayede “Administrator” ve kullanıcının kendisi hariç diğer kullanıcıların bu klasöre ulaşmalarını engellemiş oluyoruz.





İzinleri ayarladıktan sonra şimdi de kullanıcının klasörün sahipliğini almasını sağlamalıyız.
Bu işlem için yine c:\Profiller\kerden klasörünün "Sharing and Security" tabına geliyoruz ve "Advanced" seçeneğini seçiyoruz. Bu işlemden sonra karşımıza aşağıdaki pencere gelecektir.



Bu menüde "Other Users or Groups" seçilerek kullanıcının kendisi bu listeye eklenir.



Kullanıcıyı listeye ekledikten sonra "Apply" seçeneğini seçmemiz kullanıcının bu klasörün sahipliğini almasını sağlayacaktır.



Bu işlemden sonra yapılması gereken mirası kaldırmaktır. Bunun için aynı menüden "Permissions" tabına gelinir ve "Allow inheritable Permissions" (Mirasa izin ver) seçeneğindeki "check" kaldırılır.



Artık yapmamız gereken son bir işlem kaldı. O da kullanıcının Active Directory'deki hesabına profilinin yolunu göstermek.



Bu işlem için "Active Directory Users and Computers" açılır. Kullınıcının özelliklerinden "Profile" tabına gelinir ve "Profile Path" yazan kısma;

\\domain_adi\Profiller\kullanici_adi

formatinda klasörün yolu gösterilir.

Bu işlem ile birlikte Roaming Profile uygulamasını tamamlamış oluyoruz. Gezici profilini oluşturduğumuz kullanıcının profil bilgileri, kullanıcının domaine ilk Log-on'u ile birlikte oluşturduğumuz klasöre kaydedilecektir.