Windows Uzak Masaüstü Kullanıcıları Grubu Nasıl Yapılandırılır

Windows Uzak Masaüstü, Microsoft’un şimdiye kadar sunduğu en güçlü yerleşik özelliklerden biridir. Yöneticilerin, destek ekiplerinin ve yetkili kullanıcıların fiziksel olarak önünde oturmadan dünyanın herhangi bir yerinden bir makineye bağlanmasına ve onu tam olarak kontrol etmesine olanak tanır. Ancak bu güçle birlikte kritik bir sorumluluk da gelir: uzaktan erişimin kime verileceğini ve bağlandıktan sonra ne yapabileceklerini kontrol etmek.

Windows, varsayılan olarak uzaktan erişimi yalnızca Yöneticilerle sınırlandırır. Bu makul bir varsayılan ayardır, ancak gerçek dünyada bir sorun yaratır: birisinin uzaktan oturum açmasına izin vermek için her zaman yönetici kimlik bilgilerini vermek istemezsiniz. İşte tam da burada Uzak Masaüstü Kullanıcıları Grubu devreye girer.

Bu kılavuz, grubun amacını anlamaktan RDP’yi etkinleştirmeye, kullanıcı ekleme ve kaldırmaya ve erişimi doğrulamaya kadar bilmeniz gereken her şeyi adım adım açıklar; böylece uzaktan bağlantıyı güvenli ve verimli bir şekilde yönetebilirsiniz.

Uzak Masaüstü Kullanıcıları Grubu Nedir?

Uzak Masaüstü Kullanıcıları Grubu, Windows’ta yerleşik bir yerel güvenlik grubudur. Tek amacı, yönetici olmayan hesaplara bir makineyle Uzak Masaüstü Protokolü (RDP) oturumu kurma hakkı vermektir.

Bunun pratikte neden önemli olduğu:

• Bu grup olmadan, yalnızca yerel Yöneticiler grubunun üyeleri RDP aracılığıyla bağlanabilir.
• Bu grupla, belirli standart kullanıcılara tam yönetici ayrıcalıklarına yükseltmeden uzaktan erişim verebilirsiniz.
• Bu, kullanıcıların yalnızca gerçekten ihtiyaç duydukları izinlere sahip olması gerektiğini söyleyen sistem güvenliğinin temel kavramı olan en az ayrıcalık ilkesini izler.

İster tek bir iş istasyonunu ister bir sunucu filosunu yönetiyor olun, bu grubu anlamak ve doğru şekilde yapılandırmak, sorumlu sistem yönetiminin vazgeçilmez bir parçasıdır.

> Uzak bir sunucu mu yönetiyorsunuz? Bir VPS Hosting ortamını yönetiyorsanız, sunucunuz genel internete açık olduğundan RDP kullanıcı grubu yapılandırması özellikle kritik öneme sahiptir.

Ön Koşullar

Başlamadan önce aşağıdakilerin mevcut olduğundan emin olun:

• Yapılandırmak istediğiniz makinede Yerel Yönetici erişimi (yerel grupları bu olmadan değiştiremezsiniz).
• Uzak Masaüstü Kullanıcıları Grubuna eklemek istediğiniz hesapların tam kullanıcı adları.
• Hedef makinede etkinleştirilmiş Uzak Masaüstü (aşağıdaki 1. Adımda ele alınmıştır).
• İstemci makinesi ile hedef ana bilgisayar arasında, güvenlik duvarında TCP port 3389 açık olacak şekilde ağ bağlantısı.

Adım 1: Hedef Makinede Uzak Masaüstünü Etkinleştirme

RDP aracılığıyla kimin bağlanacağını yönetmeden önce, Uzak Masaüstünün gerçekten açık olduğunu doğrulamanız gerekir. İşte nasıl yapılacağı:

Sistem Özelliklerini Açın

1. Masaüstünde veya Dosya Gezgini’nde Bu Bilgisayar‘a (veya Bilgisayarım‘a) sağ tıklayın.
2. Özellikler‘i seçin.

Uzak Ayarlara Erişin

1. Sol panelde Uzak ayarlar‘a tıklayın. Bu, Sistem Özellikleri iletişim kutusunu doğrudan Uzak sekmesinde açar.

Uzak Masaüstünü Etkinleştirin

1. Uzak Masaüstü bölümünün altında Bu bilgisayara uzak bağlantılara izin ver‘i seçin.
2. Güvenlik duvarı kuralları hakkında sizi uyaran bir istem görünebilir — Windows’un RDP için güvenlik duvarı istisnasını otomatik olarak yapılandırmasına izin vermek için Tamam‘a tıklayın.

Ağ Düzeyinde Kimlik Doğrulama (NLA)

1. Yalnızca Ağ Düzeyinde Kimlik Doğrulama ile Uzak Masaüstü çalıştıran bilgisayarlardan bağlantılara izin ver (önerilir) etiketli bir onay kutusu göreceksiniz.

• Çoğu durumda bu seçeneği işaretli bırakın. NLA, tam bir RDP oturumu kurulmadan önce kullanıcıların kimlik doğrulamasını gerektirir; bu da kaba kuvvet ve hizmet reddi saldırılarına karşı saldırı yüzeyini önemli ölçüde azaltır.
• Yalnızca NLA’yı desteklemeyen eski istemcileri (Windows XP, eski ince istemciler vb.) desteklemeniz gerekiyorsa işareti kaldırın. Bu bir güvenlik ödünleşimidir ve belgelenmelidir.

Değişiklikleri Uygulayın

1. Uygula‘ya, ardından Tamam‘a tıklayın.

Uzak Masaüstü artık bu makinede etkindir.

Adım 2: Uzak Masaüstü Kullanıcıları Grubuna Kullanıcı Ekleme

RDP etkinleştirildiğinde, artık Uzak Masaüstü Kullanıcıları Grubunu erişime ihtiyaç duyan hesaplarla doldurabilirsiniz.

Yöntem A: Bilgisayar Yönetimi Kullanarak (Çoğu Yönetici İçin Önerilir)

Bilgisayar Yönetimini Açın:

1. Başlat düğmesine sağ tıklayın ve Bilgisayar Yönetimi‘ni seçin.

• Alternatif olarak, Windows + R tuşlarına basın, compmgmt.msc yazın ve Enter‘a basın.

Yerel Kullanıcılar ve Gruplar’a Gidin:

1. Sol bölmede Yerel Kullanıcılar ve Gruplar‘ı genişletin.
2. Gruplar‘a tıklayın.

Uzak Masaüstü Kullanıcıları Grubunu Açın:

1. Orta bölmede Uzak Masaüstü Kullanıcıları‘nı bulun ve üzerine çift tıklayın. Bu, grubun Özellikler penceresini açar.

Kullanıcı Ekleyin:

1. Ekle düğmesine tıklayın.
2. Kullanıcı Seç iletişim kutusunda, eklemek istediğiniz hesapların kullanıcı adlarını yazın. Birden fazla kullanıcı için adları noktalı virgülle (;) ayırın.
3. Girişleri yerel kullanıcı veritabanına (veya etki alanına katılmışsa Active Directory’ye) karşı doğrulamak için Adları Denetle‘ye tıklayın.
4. Onaylamak için Tamam‘a tıklayın.

Kaydedin ve Kapatın:

1. Uzak Masaüstü Kullanıcıları Özellikleri penceresini kapatmak için tekrar Tamam‘a tıklayın.

Seçilen kullanıcılar artık bu makineye RDP erişimine sahiptir.

Yöntem B: PowerShell Kullanarak (Toplu İşlemler İçin Daha Hızlı)

Birden fazla makineyi yönetiyorsanız veya bu işlemi otomatikleştirmek istiyorsanız, PowerShell çok daha verimlidir.

Tek bir kullanıcı ekleyin:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Bir etki alanı kullanıcısı ekleyin:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAINusername"

Mevcut grup üyelerini görüntüleyin:

Get-LocalGroupMember -Group "Remote Desktop Users"

Bir kullanıcıyı kaldırın:

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

PowerShell komutları betik haline getirilebilir ve Grup İlkesi veya uzak yönetim araçları aracılığıyla dağıtılabilir; bu da onları kurumsal ortamlar veya ölçekte Dedicated Servers yönetimi için ideal kılar.

Yöntem C: Sistem Özellikleri Kısayolunu Kullanarak

Doğrudan Uzak ayarlar iletişim kutusundan daha hızlı bir yol vardır:

1. Sistem Özellikleri → Uzak sekmesine geri dönün.
2. Alttaki Kullanıcı Seç… düğmesine tıklayın.
3. Bu, Bilgisayar Yönetimi’nde gezinmeden Uzak Masaüstü Kullanıcıları Grubuna kullanıcı eklemenize veya kaldırmanıza olanak tanıyan aynı iletişim kutusunun basitleştirilmiş bir sürümünü açar.

Adım 3: Kullanıcı Erişiminin Çalıştığını Doğrulama

Doğrulama olmadan yapılandırma eksiktir. Kullanıcıları gruba ekledikten sonra, erişimin gerçekten beklendiği gibi çalıştığını onaylayın.

Bağlantıyı Test Edin

1. İstemci makinede, Windows + R tuşlarına basın, mstsc yazın ve Uzak Masaüstü Bağlantısı‘nı başlatmak için Enter‘a basın.
2. Hedef makinenin IP adresini veya ana bilgisayar adını girin.
3. Bağlan‘a tıklayın.
4. İstendiğinde, yeni eklenen kullanıcının kimlik bilgilerini girin (yönetici hesabı değil).

Ne Beklenmeli

• Her şey doğru yapılandırılmışsa, kullanıcı kimlik doğrulaması yapacak ve uzak masaüstü oturumuna geçecektir.
• Bağlantı reddedilirse şunları kontrol edin:
• Kullanıcının gerçekten Uzak Masaüstü Kullanıcıları Grubunda olup olmadığı.
• Hedef makinede Uzak Masaüstünün etkin olup olmadığı.
• Windows Güvenlik Duvarının TCP port 3389‘da gelen bağlantılara izin verip vermediği.
• Hiçbir Grup İlkesinin yerel RDP ayarlarını geçersiz kılıp kılmadığı (etki alanı ortamlarında yaygındır).

Windows Güvenlik Duvarı Kuralını Kontrol Edin

Gelişmiş Güvenlik ile Windows Defender Güvenlik Duvarı‘nı açın ve Uzak Masaüstü – Kullanıcı Modu (TCP-In) kuralının etkin olduğunu ve Bağlantıya izin ver olarak ayarlandığını doğrulayın.

Adım 4: Kullanıcıları Yönetme ve Kaldırma

Erişim yönetimi, tek seferlik bir görev değil, süregelen bir sorumluluktur. Kullanıcılar kuruluşlardan ayrılır, roller değişir ve altı ay önce uygun olan erişim bugün bir güvenlik riski olabilir.

Bilgisayar Yönetimi Aracılığıyla Kullanıcı Kaldırma

1. Bilgisayar Yönetimi‘ni açın (compmgmt.msc).
2. Yerel Kullanıcılar ve Gruplar → Gruplar‘a gidin.
3. Uzak Masaüstü Kullanıcıları‘na çift tıklayın.
4. Kaldırmak istediğiniz kullanıcı hesabını seçin.
5. Kaldır‘a tıklayın.
6. Değişiklikleri kaydetmek için Tamam‘a tıklayın.

PowerShell Aracılığıyla Kullanıcı Kaldırma

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Süregelen Erişim Yönetimi İçin En İyi Uygulamalar

Gelişmiş Konular

Grup İlkesi ve Etki Alanı Ortamları

Bir Active Directory etki alanında, yerel grup ayarları Grup İlkesi Nesneleri (GPO’lar) tarafından geçersiz kılınabilir. İlgili ilke şu konumda bulunur:

Computer Configuration → Windows Settings → Security Settings →
Local Policies → User Rights Assignment → Allow log on through Remote Desktop Services

Kullanıcılar yerel Uzak Masaüstü Kullanıcıları Grubunda olmalarına rağmen bağlanamıyorsa, bir GPO’nun bu hakkı etki alanı düzeyinde kısıtlayıp kısıtlamadığını veya geçersiz kılıp kılmadığını kontrol edin.

Güvenli Bir Bağlantı Üzerinden RDP

3389 portunu doğrudan internete açmak, iyi bilinen bir güvenlik riskidir. Saldırganlar açık RDP portlarını aktif olarak tarar. Şu sertleştirme önlemlerini göz önünde bulundurun:

• Varsayılan RDP portunu 3389’dan standart dışı bir porta değiştirin.
• RDP trafiğini herkese açık olarak ifşa etmek yerine tünellemek için VPN kullanın.
• Bağlantıları hedef makineye ulaşmadan önce aracılık etmek ve kimlik doğrulamak için RDP Gateway dağıtın.
• Kaba kuvvet girişimlerini sınırlamak için Hesap Kilitleme İlkelerini Etkinleştirin.

> Kendi sunucunuzu mu barındırıyorsunuz? Windows’u bir cPanel’li VPS veya yönetilen bir Dedicated Server üzerinde çalıştırıyorsanız, AlexHost’un altyapısı RDP uç noktalarınızın etrafında önemli bir ilk savunma hattı ekleyen DDoS koruması ve ağ düzeyinde güvenlik duvarı içerir.

Sunucu Ortamınızı Daha da Güvence Altına Alma

Uzak Masaüstü yapılandırması, kapsamlı bir güvenlik duruşunun yalnızca bir katmanıdır. Sunucunuzda iş açısından kritik hizmetler çalıştırıyorsanız, RDP sertleştirmenizi şunlarla eşleştirmeyi düşünün:

• Aynı ana bilgisayardaki web’e yönelik hizmetler için geçerli bir SSL Sertifikası.
• Sunucunuzun ham bir IP yerine güvenilir bir ana bilgisayar adı aracılığıyla erişilebilir olması için uygun Alan Adı Kaydı ve DNS yapılandırması.
• Saldırı yüzeyini azaltmak için birincil sunucunuzdan ayrılmış E-posta Hosting.

Yaygın RDP Sorunlarını Giderme

Sonuç

Windows Uzak Masaüstü Kullanıcıları Grubunu yapılandırmak, her sistem yöneticisi için temel bir beceridir. Doğru yapıldığında, gereksiz yere yönetici kimlik bilgileri vermeden kimin bir makineye uzaktan erişebileceği üzerinde hassas, ayrıntılı bir kontrol sağlar.

Temel adımları özetlemek gerekirse:

1. Sistem Özellikleri’nde Uzak Masaüstünü Etkinleştirin ve NLA’yı uygun şekilde yapılandırın.
2. Bilgisayar Yönetimi, PowerShell veya Sistem Özellikleri kısayolu aracılığıyla Uzak Masaüstü Kullanıcıları Grubuna kullanıcı ekleyin.
3. Yeni eklenen kullanıcı hesabıyla bir bağlantı test ederek erişimi doğrulayın.
4. Erişimi süregelen bir şekilde yönetin — artık erişime ihtiyaç duymayan kullanıcıları kaldırın ve grup üyeliğini düzenli olarak denetleyin.

Uzak Masaüstü, uzaktan yönetim, BT desteği ve sunucu yönetimi için vazgeçilmez bir araçtır. Ancak her güçlü araç gibi, güvenli kalması için dikkatli yapılandırma ve sürekli gözetim gerektirir.

İster tek bir iş istasyonunu ister VPS sunucuları ve dedicated makinelerden oluşan tüm bir altyapıyı yönetiyor olun, bu ilkeler evrensel olarak geçerlidir. Şimdi iyi alışkanlıklar edinin; uzaktan erişim kurulumunuz uzun vadede hem verimli hem de güvenli olacaktır.