Windows Server 2016 ile hayatımıza giren Temporary Group Membership özelliği, bir kullanıcıyı AD üzerinde oluşturulmuş güvenlik grubuna geçici olarak eklememize izin vermektedir.
Kullanıcının grup üyeliği için TTL değeri belirterek grup üyeliği için sınırlandırmalar yapabilmekteyiz, yani sadece TTL süresi boyunca belirtilen grubun üyesi olacaktır. TTL süresi dolduğu zaman herhangi bir onay vermeden otomatik olarak grup üyeliğinden çıkarılacaktır.
Temporary Group Membership için Active Directory forest düzeyinde “Privileged Access Management” özelliğinin etkinleştirilmesi gerekmektedir.
Not: Burda yapılan değişiklikler, Active Directory Trash Bin de olduğu gibi geri kapatılmamaktadır.
Privileged Access Management etkinleştirmesi için Forest seviyesi 2016 olması gerekmektedir.
(Get-ADForest).ForestMode
Privileged Access Management özelliğinin etkin olup olmadığını kontrol etmek için PowerShell üzerinden aşağıdaki komutu çalıştırabilirsiniz, bizim ihtiyacımız olan EnabledScopes değeridir.
Get-ADOptionalFeature -filter {name -like "Privileged*"}
Privileged Access Management etkinleştirmesini GUI üzerinden yapamamaktayız, bu yüzden PowerShell üzerinden işlemlerimize devam etmemiz gerekiyor.,
Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target cozumpark.com
Komutumuzu çalıştırdıktan sonra bizden etkinleştirme için ek bir onay istemektedir ve daha sonra EnabledScope değerine baktığım zaman PAM etkinleştirildiğini görebiliyorum.
PAM etkinleştirmesinden sonra MemberTimeToLive ve New-TimeSpan parametreleri ile grup içi üyelik süresini belirleyebiliriz.
$TTL = New-TimeSpan -Minutes 10
Add-ADGroupMember -Identity ″Sec_CozumPark″ -Members "deniz" -MemberTimeToLive $TTL
Daha sonra Grup içerisinde bulunan üyemizin TTL süresini kontrol edebiliriz. Sec_CozumPark grubu üyesi “deniz gurbuz” için TTL süresi 442 olarak yapılanmış durumda.
Not: TTL süresi sonunda kullanıcının Kerberos süresi de sona ermektedir.