Geçici Grup Üyeliği Tanımlama – Server 2016 Privileged Access Management (PAM)

Merhaba,

Çoğu zaman, Active Directory’deki bazı erişim hakları belirli bir süre geçici olarak vermek gerekir. Geçici verilen yetkiler unutulabilir veya süresi dolduğunda verilen yetkiyi biran önce geri almak gerekebilir. Geçici localadmin yetkisi, geçici domainadmin yetkisi vs..

Bu gibi durumlarda Server 2016 ile gelen özellik olan Privileged Access Management (PAM) özelliğini inceleyeceğiz. Bu özelliği gerçek hayatta hangi alanlarda kullanabileceğinizi ve proaktif çözümler üretebileceğimize birlikte bakalım..

Heyecanlandığınızı hissedebiliyorum.. bir sonraki makale de bu özellik ile çok farklı noktalara dokunacağız..

Öncelikle bu özelliği kullanmak için yapımızı Windows Server 2016 olarak güncellememiz gerekiyor. Privileged Access Management (PAM) özelliği varsayılanda kapalı olarak geliyor. PAM özelliğini aktif etmek için aşağıdaki powershell komutunu kullanmanız yeterli olacaktır;

Enable-ADOptionalFeature -Identity “Privileged Access Management Feature” -Scope ForestOrConfigurationSet -Target “kuzeydmz.com”

Resim1

PAM özelliğini hızlı bir şekilde devreye aldık. Şimdi aşağıdaki komut ile kontrolümüzü yapalım;

Get-ADOptionalFeature -Filter {Name -like Privileged*

Resim2

Şimdi bu özelliğinin nasıl kullanıldığını gerçek bir örnek üzerinde görelim.

Mk isimli kullanıcının sadece 5 dakika boyunca SystemCenterAdmins grubunda kalmasını ve 5 dakika sonra otomatik olarak çıkmasını istiyorum.

Bu örneğe göre Komutlarımızı sırası ile inceleyelim;

MK Kullanıcısını $mkPamUser isimli değişkene atadım.

$MkPamUser get-aduser Mk

Aşağıdaki gibi bu yetkinin kaç dakika geçerli olacağını belirliyorum.

$mkAdminTime = New-TimeSpan  -Minutes 5

Son olarak 5 dakika boyunca kullanıcının
SystemCenterAdmins grubunda kalmasını sağlayacak komut satırını çalıştırıyorum.

Add-ADGroupMember -Identity “SystemCenterAdmins” -Members $MkPamUser -MemberTimeToLive $mkAdminTime

Bu işlemden sonra kullanıcı otomatik olarak gruba eklenecek ve süresi dolduğunda otomatik olarak gruptan çıkarılacaktır.

Aşağıdaki komut ile Grup üyeliğinin kalan süresini kontrol edebilirsiniz;

Get-ADGroup  -Identity “SystemCenterAdmins” -Properties Member -ShowMemberTimeToLive

SystemCenterAdmins grubunun içine baktığımda Mk kullanıcısının eklendiğini görebiliyorum;

Resim3

MK kullanıcısının kaç saniye bu grupta kalacağını da aşağıdaki komut ile kontrol ediyorum;

Resim4

283 saniye sonra kullanıcının gruptan çıktığını görmüş olacağız;

Bir sonraki makalede merkezi bir şekilde localadmin yetkilerinin nasıl yönetilmesi gerektiğine dair bilgiler ve geliştirdiğim Powershell scriptleri paylaşacağım.

1 Comment

  1. Arif Başaran

    Kolay ve anlaşılabilir. Teşekkürler hocam.

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *