# önder online
Teknoloji ve siber güvenlik dünyasına hoş geldiniz Güncel siber tehditler ve korunma yöntemleri Yapay zekâ ve otomasyonun güvenliğe etkileri Microsoft 365 ve Active Directory güvenlik rehberleri Yazılım geliştirmede güvenlik odaklı yaklaşımlar Teknoloji ve siber güvenlik dünyasına hoş geldiniz Güncel siber tehditler ve korunma yöntemleri

Menu

Bizi Takip Edin

Sistem

AD Forest Trust Üzerinde Yetkilendirme ve Group Policy Yönetimi

AD Forest Trust Üzerinde Yetkilendirme ve Group Policy Yönetimi
05 Jan 2026 Sistem 25 3 dakika okuma

Bu yazıda, "Cross-Forest" (Forest'lar arası) yetkilendirme ve Group Policy (GPO) davranışlarını laboratuvar ortamında simüle ediyoruz.

Geçtiğimiz yazıda onder.local ve monder.local Forest yapıları arasında iki yönlü (Two-way) Forest Trust kurulumunu tamamlamıştık. Ancak sadece güven kurmak yetmez; asıl mesele, bir Forest'taki kullanıcının diğerindeki bir dosyaya nasıl erişeceği ve merkezi politikaların nasıl yönetileceğidir.

Bu yazıda, "Cross-Forest" (Forest'lar arası) yetkilendirme ve Group Policy (GPO) davranışlarını laboratuvar ortamında simüle ediyoruz.

1. Cross-Forest Kaynak Erişimi (Yetkilendirme)

Bir Forest'taki kullanıcının diğer Forest'taki bir paylaşıma erişmesi için "AGDLP" (Account, Global, Domain Local, Permissions) stratejisinin genişletilmiş halini kullanırız.

Uygulama Adımları:

  1. Kaynak Forest (monder.local): Burada bir dosya paylaşımı (örn: Muhasebe_Belgeleri) oluşturdum.

  2. Grup Stratejisi: monder.local içerisinde bir Domain Local Group oluşturdum (örn: DL_Muhasebe_Read).

  3. Üyelik: Trust sayesinde, onder.local içerisindeki bir kullanıcıyı veya Global Grubu, monder.local'deki bu Domain Local grubuna üye olarak ekledim.

  4. Sonuç: onder.local\irfan kullanıcısı, kendi kimlik bilgileriyle \\monder-dc\Muhasebe_Belgeleri klasörüne sorunsuz erişebildi.

2. Group Policy Objects (GPO) ve Forest Trust İlişkisi

Sıkça sorulan soru şudur: "onder.local üzerindeki bir GPO, monder.local üzerindeki bir kullanıcıyı etkiler mi?"

Kritik Bilgi: Group Policy'ler Forest sınırını geçemez. Yani bir GPO objesini doğrudan diğer Forest'taki bir OU'ya (Organizational Unit) bağlayamazsınız (linkleme yapamazsınız).

Çözüm Senaryoları:

  • Ayrı Yönetim: Her iki Forest için de GPO'lar kendi Domain Controller'ları üzerinde oluşturulmalıdır.

  • GPO Migration: Eğer onder.local üzerindeki mükemmel bir güvenlik politikasını monder.local'de de kullanmak istiyorsanız, GPO'yu "Backup" alıp diğer tarafa "Import" etmeniz gerekir.

3. Loopback Processing ve Forest Trust

Eğer bir kullanıcı onder.local domainine üye olup, fiziksel olarak monder.local domainine dahil bir bilgisayarda oturum açarsa ne olur?

Bu durumda GPO Loopback Processing devreye girer. Bilgisayarın bulunduğu domaindeki (monder.local) "Computer Policy" kuralları uygulanmaya devam ederken, kullanıcının kendi domainindeki (onder.local) "User Policy" kuralları da çekilir.

4. Laboratuvar Testi: Kimlik Doğrulama Kanıtı

Yapılandırmanın çalıştığını kanıtlamak için şu testi gerçekleştirdim:

  1. monder.local'deki bir sunucuya Uzak Masaüstü (RDP) ile bağlanmaya çalıştım.

  2. Kullanıcı adı kısmına onder\irfan yazdım.

  3. Trust sayesinde monder domainindeki sunucu, onder domainindeki Kerberos anahtarına güvendi ve oturumu açtı.

Not: Eğer "Forest-wide Authentication" yerine "Selective Authentication" seçmiş olsaydık, bu RDP bağlantısı öncesinde bilgisayar nesnesi üzerinde "Allowed to Authenticate" izni vermem gerekecekti.

Sonuç

onder.local ve monder.local arasındaki bu çalışma, Active Directory'nin sadece bir veritabanı değil, devasa bir güven ağı olduğunu gösteriyor. Cross-forest yetkilendirme sayesinde yönetim kolaylaşırken, GPO sınırları sayesinde de yönetimsel bağımsızlık korunmuş oluyor.

 

Active Directory

İlgili Yazılar