Domain üzerinde kullanıcı ekleme, parolasını değiştirme, politika oluşturma, organizasyon birimi oluşturma gibi işlemleri yapabilmek için bazı yetkiler gerekmektedir. Kullanıcı "Domain Admins" grubuna dahil edilebildiği gibi, kısmi yetkilendirmeler de yapılabilir.

Kısıtlı yetkilendirmeler tanımlamak için aşağıdaki işlemleri yapmak gerekmektedir.

Politika Oluşturma ve Düzenleme Yetkileri

Normal kullanıcı ile GPO oluşturabilmek, silmek ve düzenleyebilmek için gerekli delegasyonlar aşağıdaki gibidir

1. Ldap yetkileri tanımlanır

   1. Kullanıcının hangi OU’ya yetki vermesi isteniyorsa, kullanıcıya Politika Linkini düzenleme yetkisi verilir. (Örnek olarak “Merkez” OU’su kullanılmıştır.)

      1. Active Directory Users and Computers → Merkez → Delegate Control
      2. Kullanıcı eklenir
      3. Manage Group Policy Links Seçilir
   2. GPO Obje izinleri verilir

      1. ADSI → System → Policies → Properties → Security

      2. Linux politikalarını yönetecek normal kullanıcı eklenir.
2. Klasör yetkileri tanımlanır.

   1. Obje izinleri verilir
   2. Eklenen kullanıcıya tıklanarak Advance seçilir.
   3. Kullanıcıya çift tıklanır ve aşağıdaki izinlerin açık olduğundan emin olunur.

      • List Contents

      • Read all properties

      • Read permissions

      • Create Container objects

      • Delete Container objects

      • Create groupPolicyContainer objects

      • Delete groupPolicyContainer objects
3. Politika klasörlerine delegasyonlar tanımlanır.

   1. Dosya yöneticisinden Politikaların bulunduğu paylaşım açılır.
   2. Policies → Settings → Security → EditKullanıcıya listeleme, okuma ve yazma izinleri verilir.
   3. Kullanıcıya listeleme, okuma ve yazma izinleri verilir.
   4. 2.b maddesinde Policies klasörüne tanımlanan yetkilerin aynısı script klasörüne de tanımlanmalıdır.

Kullanıcı ve Grup Yetkileri

Kullanıcı oluşturmak, silmek, kullanıcı bilgilerini düzenlemek, kullanıcının parolasını yönetmek, kullanıcının gruplarını yönetmek, Grup oluşturmak, silmek ve grup bilgilerini düzenlemek için gerekli olan izinler aşağıdaki gibidir.

• Create, delete and manage user accounts

• Reset user password and force password change at next login

• Read all user information

• Create, delete and manage groups

• Modify the membership of a group

1. Active Directory Users and Computers → Merkez → Delegate Control
2. Kullanıcı eklenir.
3. İzinler tanımlanır.

Domaine Dahil Etme Yetkileri

Normal kullanıcı ile domaine alma işlemi yapmak için, yalnızca belirtilen ou’lara join olabilmesi için aşağıdaki delegasyonların tanımlanması gerekmektedir.