Forum

Domain Admin yetkil...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Domain Admin yetkili kişinin RDP yapmasını engellemek

8 Yazılar
5 Üyeler
0 Reactions
2,937 Görüntüleme
(@mkaraca)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Merhabalar;

Domain Controller'da Domain Admin yetkisine sahip bir kullanıcının Windows sunucumuza RDP yapmasını engelleme şansımız var mıdır?

 
Gönderildi : 25/03/2021 14:06
Konu Etiketleri

(@hasanemreeroglu)
Gönderiler: 53
Trusted Member
 

Merhaba,
RDP için bir security group oluşturabilir ,  sonrasında oluşturduğun gruba sadece ,  rdp yapacak kullanıcıları eklersin. Bu grubu RDP yapmasını istemediğin sunucunun RDP gruplarına ekleyerek deneyebilirsin; ancak Domain Admin yetkili biri bunu farklı bir Group Policy basarak veya Computer Management üzerine o sunucuyu ekleyip grup ayarlarını tekrar değiştirebilir ve bağlanabilir. 

 
Gönderildi : 25/03/2021 14:43

(@mkaraca)
Gönderiler: 5
Active Member
Konu başlatıcı
 

@hasanemreeroglu ilginiz ve cevabınız için teşekkür ederim. Dediğiniz gibi domain admin yetkili birisi grup ayarları ile oynayabildiği için çözüm bulamıyorum. 

Server'a erişim için 2 aşamalı doğrulama koyma gibi birşey yapılabilir mi? Sanırım en uygun çözüm böyle birşey olur.

 
Gönderildi : 25/03/2021 14:48

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba, amacınız nedir? Neden böyle çokta mantıklı olmayan bir şey istiyorsunuz? Sonuçta Domain Admin olan bir kişi MFA sistemi dahil o sunucuda çalışan her şeyi durdurabilir, silebilir, kaldırabilir. Yani boşa kürek çekiyorsunuz, amacınızı paylaşırsanız belki yardımcı olabiliriz.

Benim önerim domain admin olabilir ama network admin değil ise sunucu sistemleri için network seviyesinde vlan ayrımı var ise o sunucuya RDP yapacak ip leri sınırlarsınız. Yine sanal bir sistem ise örneğin esx gibi, panel şifresini yine bilmiyor ise domain admin olması bir şey değiştirmez konsoldan da bağlanamaz. En son ilo veya idrac gibi şeyler var ki dediğim gibi istek çok mantıklı olmadığı için daha fazla yazma motivasyonum yok 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/03/2021 14:51

(@mkaraca)
Gönderiler: 5
Active Member
Konu başlatıcı
 

@hakanuzuner teşekkür ederim. Evet isteğim mantıklı birşey değil ancak gerekli. 

Server'ların bulunduğu Vlan ayrı network admin olarak engellemeyi deneyeceğim. ILO ve IDRAC konularını araştıracağım.  Çözüm öneriniz için teşekkür ederim.

 
Gönderildi : 25/03/2021 14:58

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Rica ederim, bence ıslak bir sopa ile dövün adamı 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/03/2021 15:08

(@serkanates)
Gönderiler: 1323
Üye
 

Sopa konusu ilginç olabilir (bknz: budaklı meşe odunu) ama bence sunucuyu domain'den çıkartın. Sonuçta ilgili hesap domain admin. Domain yoksa sorunda yok. Ancak network admininiz ayrı ise o zaman ilgili hesap için bazı güzellikler düşünebilirsiniz fakat 1 kişi için bu kadar uğraşa değer mi bilemiyorum. Alternatif olarak bu sunucularda RDP erişimini kapatıp alternatif remote yazılımları kullanabilirsiniz. Maliyet ve güvenlik konusunu ayrıca tartışmak gerekir.

 
Gönderildi : 25/03/2021 15:26

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Muhabbet güzelmiş 🙂 bu biraz patrona sen muhasebeye karışamazsın demek gibi olmuş.:)
DA yetkinliğinde birini workgroup'la durduramazsınız bence.:) Gerçi bunu düşünmek zorunda kalan organizasyon için ben network katmanında da durdurulabileceğini pek sanmıyorum.:)

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/03/2021 17:47

Paylaş: