active directory owner rigths

Windows Server 2008 öncesi windows sistemlerinde oluşturulan bir obje için oluşturan kullanıcı owner adı altında tüm yetkilere sahip olabiliyordu. Örneğin siz AD üzerinde bazı OU ları helpdesk kullanıcılarına delege ettiniz ve sadece bu OU lar için kullanıcı açma izni verdiniz, ancak amacınız sadece onların kullanıcı açmasıdır. Kullanıcı üzerinde değişiklik yapmaları veya silmelerini istemiyorsunuz. Fakar siz her ne kadar object create yetkisi vermiş olsanızda oluşturulan her objede sahiplikleri ( owner ) olduğu için aslında tüm yetkilerede sahip olmaktadırlar ( bu izin WellKnown Security Principals altında bulunmaktadır ).

 

2008 sistemlerde ise artık bu açığı kapatabiliyoruz, biz bir OU için owner haklarını düzenleyebiliyoruz. Toplu olarak veya tek tek objelerin güvenlik ayarlarında ( DACL ) add diyerek "owner rights" kullanıcısını çağırabiliyor ve buna istediğiniz izinleri verebiliyorsunuz. ( CN=Owner Rights,CN=WellKnown Security Principals,CN=Configuration,DC=cozumpark,DC=com )