User Account Control – UAC and User Profiles

Kullanıcı hesabı denetimi (UAC) bilgisayarınızda izinsiz değişiklik yapılmasını önlemeye yardımcı olan çoğu zaman sıkıntı yaratan bir özelliktir. UAC, Bilgisayarınızda yönetici düzeyinde izin gerektiren bir değişiklik yapılacağı zaman sistemin çalışmasını kötü yönde etkileyecek durumlarda bir uyarı penceresi çıkararak bizden izin veya bir yönetici parolası talebinde bulunur.

Tam anlamıyla sunucumuzu güvenli tutmaya yarayan, kötü amaçlı yazılımların ve casus programlarının kendiliğinden yüklenmesini, sunucumuza izinsiz yapılan her türlü yükleme veya değişiklik işlemlerinin yapılmasını önleyebiliriz. Önerilen ayar UAC nin açık olmasıdır ve default da bu ayar açık gelir fakat çoğu sebeplerden dolayı bu özelliği kapatacağımız durumlar olacaktır.

UAC yi açmak için Control Panel içerisinde arama yerine UAC yazarak veya Action Center / Change User Account Control Settings adımlarından ulaşabilirsiniz.

Kullanıcı Hesap Tipinin Değiştirilmesi

Standart (Ezik) olarak oluşturduğunuz bir kullanıcıyı yetkili bir kullanıcı yapmak veya yetkili bir kullanıcıyı standart bir kullanıcı duruma getirmek için windows kontrol paneli kullanabiliriz.

1. Control Panel \ User Accounts \ Zeus \Manage Accounts \Change an Account adımlarını izleyerek Change the account type tıklanır.
   

1. Bir önceki örneğimizde Administrators grubuna üye yaptığımız zeus kullanıcısını standart kullanıcı olarak değiştiriyoruz. Bunun için Standart seçimini yapıp Change Account Type tıklıyoruz.
   

1. Zeus kullanıcısıyla tekrar sunucumuza login oldugumuzda sistem saatini bile değiştirmek istersek aşağıdaki gibi bir ekranla karşılaşıyoruz. Standart kullanıcı sunucu üzerinde görüldüğü üzere hiçbir değişiklik yapamamaktadır.
   

1. Peki standart bir kullanıcı ile login olup yönetici hesabıyla login olmadan herhangi bir programı çalıştırmak, kurulum yapmak veya değiştirmek istersek ne yapacağız? Bunun için imdadımıza Run as administrator yetişmektedir.
   

Mesela Windows Powershell programını Run as administrator ile açıp powershell üzerinde yönetici haklarına sahip bir şekilde çalışmamızı yapabiliriz. Bu özellike diğer uygulamalar veya programlar için geçerlidir ve oldukça faydalı bir arayüzdür.

Yerel Kullanıcı Hesabı Özellikleri

Yerel olarak oluşturduğumuz kullanıcıların Properties adımlarında hangi özellikler bulunmaktadır, detaylı olarak inceleyelim.

1. General: Genel ayarların olduğu bölümdür. Bu bölümdeki ayarların özelliklerini Account is locked out haricinde inceledik.
   

Account is locked out: Default olarak aktif olmayan bu seçenek Policy tanımlamaları yapıldıktan sonra bir kullanıcı belirli bir sayıda şifresini yanlış girerse hesabının kilitlenmesini ve kilitlenmiş hesabın (enable oluyor) buradan açılmasını sağlamak amacıyla kullanılmaktadır. Kilitlenmiş hesabı tekrar açmak için bu kutucuğu boşaltmak gereklidir.

1. Member of: Kullanıcının üye olduğu gruplar listelenir veya istenirse diğer gruplara üyelikleri tanımlanır. Default olarak yeni oluşturulan bir kullanıcı Users grubuna üyedir. Bu bölümün örneğini Zeus kullanıcısını Administrators grubuna üye yaparak göstermiştik.
   
2. Profile: Kullanıcının profil bilgilerinin değiştirilebileceği bölümdür. Bu bölümde User Profile ve Home Folder olmak üzere iki kısım bulunmaktadır.
   

User Profiles

Kullanıcı profilleri olarak tanımlanır ve 4 çeşit kullanıcı profili bulunmaktadır. Bunlar Default User Profile, Local User Profile, Roaming User Profile, Mandatory User Profile olarak geçmektedir.

1. Default User Profile: Bütün kullanıcıların varsayılan profilleri olarak tanımlanır. Kullanıcı sisteme ilk login olduğu zaman bu profilin aynısı kullanıcı profiline aktarılır.
   

Administrator kullanıcısıyla masaüstünüzde belgelerinizde dökümanlarınızın oldugunu varsayalım. Yeni bir kullanıcı oluşturup bu kullanıcıyla sisteme login oldugunuzda tamamen sanki yeni kurulmuş bir sistem gibi masaüstü gelmektedir. Çünkü bu profil bilgileri Default User Profile üzerinden aktarılmaktadır. Kullanıcı profili C:\Users altında kullanıcı ismiyle oluşturulmaktadır.

Şöyle bir durum sorabilirsiniz, örneğin biz her yeni oluşturduğumuz kullanıcının masaüstünde özel bir yazılımın kısayolu olsun istiyoruz. Bunun için ne yapmalıyız?

Bunun için iki seçeneğimiz bulunmaktadır. Birincisi Default User Profile altında Desktop içerisine programın kısayolunu kopyalarsak otomatik olarak her oluşturulan kullanıcının profili default user profile dan kopyalanacağı için kendiliğinden gelir. Yalnızca bu durum eski kullanıcılarımıza etki etmez.

Peki bütün kullanıcılarımıza eski veya yeni farketmeden bu kısayolu masaüstüne göndermek istersek ne yapmalıyız? İkinci yöntem olarak da Public profile altında desktop yoluna bu kısayolu kopyalamamız yeterli olacaktır. Public profile içerisinde yapılan değişiklikler aynı anda sistemdeki bütün kullanıcılara etki etmektedir. Bunun örneğini yapalım.

İlk olarak View altında Hidden items kutucuğunu işaretliyoruz. Bundan sonra C:\Users altında default ismiyle gizli bir klasör görünecektir.

Default profile altında Desktop içerisine Notepad programının kısayolunu atıyorum ve ekranı kapatıyorum.

Yeni bir kullanıcı oluşturuyoruz kullanıcıma Leda ismini veriyorum ve o kullanıcıyla sunucumuza login oluyorum. Default User Profile içeriği yeni oluşturulan kullanıcıya kopyalandığı için masaüstünde Notepad kısayolunu görebiliyoruz.

NOT: Ek bilgi yunan mitolojisinde Leda, Zeus un eşlerinden biridir. Zeus kuğu şeklinde görünüp leda isimli güzel kızla birlikte olmuştur. Dünyanın en güzel kızı Helen bu birliktelikten doğmuştur.

Diğer senaryomuzda bütün kullanıcılarımız için masaüstüne Wordpad kısayolunu atmak istersek C:\Users\Public\Desktop altına kısayolumuzu kopyalıyoruz. Bu kısayol sistemde aktif olan kullanıcılarımızda hemen görünmeye başlayacaktır.

Leda kullanıcısıyla sisteme login olduğumuzda bu değişikliği görebiliriz.

1. Local User Profile: Sisteme ilk login olduğu zaman oluşan profildir. C:\Users altında tutulmaktadır.
   

1. Roaming User Profile: Gezici kullanıcı profili olarak adlandırılabilir. Buradaki amaç kullanıcı hangi bilgisayardan oturum açarsa açsın profil bilgilerinin en son oturumu kapattığı şekliyle gelmesi, kendi profiliyle login olmasıdır.
   

Bu özellik Active Directory yapısı için çok daha uygundur. Örnek vermek gerekirse bir çağrı merkezinde kullanıcının kendine özel bir bilgisayarı olmayabilir, hangi bilgisayar boş ise onda oturum açması gereken durumlar olacaktır. Bu ve benzeri senaryolarda kullanıcı kendi profiline sistemdeki herhangi bir bilgisayara login olduğunda erişebilmektedir.

Bu özelliği workgroup dan ziyade Active Directory ortamında aktif hale getirmek çok daha uygun olacaktır. Örnek olarak Leda kullanıcımı gezici profil olarak ayarlıyorum.

İlk olarak gezici kullanıcı profillerinin tutulacağı bir dosya oluşturmamız ve bu dosyayı paylaşıma açarak Everyone Full Control vermemiz gereklidir.

Kullanıcı özelliklerinden profile path değerini \\PaylaşımSunucuAdı\PaylaşımAdı\%username% olarak ayarlıyoruz. Örneğimizde \\Artemis\Roaming\%username% olarak yazıyorum.

NOT: %username% kullanıcının logon name değişkenidir. Apply butonuna bastıktan sonra kullanıcı logon name otomatik olarak yazılmaktadır.

Leda kullanıcımız hangi bilgisayardan sisteme login olursa olsun hep aynı profile erişim sağlayacaktır. Kullanıcımızın roaming profile bilgileri aşağıda ekrandaki gibidir.

Bu sunucuda yönetici haklarına sahip bir kullanıcı ile Leda.v2 profil dosyasına erişim sağlamaya çalıştığımızda aşağıdaki gibi bir uyarı alırız. Continue derseniz de bu dosyaya erişim hakkınız yoktur diye bir hata çıkmaktadır.

Bu durumda dosyanın sahipliğini üzerimize almamız gereklidir. Yani biz sistem yöneticisiyiz evet ama her dosyaya da erişemeyiz. Kullanıcıların kendilerine ait dosyaları olabilmektedir.

Dosyaların Sahipliğini Alma

Bunun için dosyanın üzerinde Properties / Security adımına geçiyoruz. Burada advanced butonuna tıklanır.

Görüldüğü üzere Owner (sahiplik) bilgisini görememekteyiz. Burada change butonuna tıklıyoruz ve administrator kullanıcısını ekliyoruz.

Administrator kullanıcısını ekledikten sonra aşağıdaki gibi görünecektir. Aynı zamanda “Replace owner on subcontainers and objects” seçimiyle bütün dosyalara etki etmesini sağlıyoruz.

Apply butonuna bastığımızda bütün izinlerin yenileceğine dair uyarıya Yes tıklıyoruz.

İşlem sonrası Leda kullanıcısının profil içeriğine ulaşabilir durumdayız. Bu değişiklik kullanıcı tarafını etkilememektedir.

1. Mandatory User Profile: Sabit kullanıcı profili olarak adlandırılabilir. Hatırlayanınız vardır internet cafelerde DeepFreeze diye bir program kullanılmaktadır. Bilgisayara kim oturursa otursun, hangi değişikliği yaparsa yapsın bilgisayar yeniden başlatıldığında bizim ayarladığımız ilk ayarlarla oturum açılmaktadır. Yani kullanıcı profilinde yapılan hiçbir değişiklik kalıcı olmamaktadır.
   

Özellikle bilgisayarla ilgili sürekli birtakım şeyleri değiştiren, sürekli masaüstünde program kısayollarını silen vb. durumlardaki kullanıcılar için ideal bir çözümdür.

Bu işlem için kullanıcı profilindeki gizli sistem dosyası olan NTUSER.DAT dosyasının uzantısını değiştirip NTUSER.MAN yapmamız yeterli olacaktır. NTUSER.DAT dosyasını görüntüleyebilmek için ilk olarak gizli dosyaları görüntüle seçeneği sonra Folder Options altında “Hide Protected operating system files” seçeneği pasif hale getirilir.

Kullanıcı profili içerisinde NTUSER.DAT dosyası NTUSER.MAN olarak değiştirilir. Kullanıcımızla sisteme login oluruz birkaç dosya, kısayol oluşturuyoruz, masaüstü arka planını değiştiriyoruz. Logoff olup tekrar logon olduğumuzda yaptığımız değişikliklerin hiçbirinin kalıcı olmadığını göreceğiz.