Forum
Merhaba;
Server 2019 kullanıyoruz . Active directory'de bütün kullanıcıları user ve hiç birinin program vs kurma yetkisi yok .
Bilgi işlem personellerimiz sadece kullanıcıların bilgisayarında sadece yazıcı yükleyip kaldırmak , program yükleyip kaldırma gibi yetkiler vermek istiyoruz .
Araştırmaların sonucunda restricted groups ile lokal admin yetkisi verebiliyoruz işimizi görüyor ama Örnek : \\192.168.5.99\c$ yaptığında kullanıcıların c$ ile bütün bilgilerine uzaktan erişebiliyor . Bunu lokal admin haricinde nasıl yapabilirim
Admin paylaşımlarını kapatmak Microsoft tarafından da kesinlikle tavsiye edilmeyen bir durum.
Yapmak istediğiniz işlemi LAPS kullanarak çözebilirsiniz.
Erdem merhaba, LAPS ile nasıl çözecek? LAPS local admin şifrelerini herkes için ayrı ayrı atar, ama sonuçta ilgili personel yani kurulumu yapacak personel o şifreyi bilmeli ki kurulumu yapmalı. Şifreyi biliyor ise de zaten C$, D$ hepsine erişir.
Özetle LAPS bu iş için çözüm değil.
Melih Bey, şimdi istemiş olduğunuz yetkiler local admin yetkisine denk gelmese işler daha kolay olurdu. Örneğin sadece printer yüklemek için admin hakkına gerek yok, ama size önerim local admin yerine power users isminde bir grup var, önce ilgili bilgi işlem çalışanlarını buna ekleyin ve istediklerinizi deneyin.
Peki kurumsal şirketlerde bu süreç nasıl oluyor?
Yani düşünün ki bir bankada 10.000 personel var ve ortalama 500 IT çalışanı var, doğal olarak kullanıcı destek ekibi localadmin hakkına sahip.
Burada temel kural Audit veya SIEM ürünleri ile kimlerin hangi dosyalara eriştikleri kontrol edildiği için kimse buna cesaret edemiyor.
Veya local adminlik verilmiyor ve local admin hakkı sunan programlar kullanıyorsunuz. Yani kişi local admin olmuyor ama admin hakkı için kendi kullanıcısına yetki veriliyor.
BeyondTrust buna bir örnek ama bu çok pahalı ve kompelks bir çözüm. Genelde büyük kurumlarda bu yapılır.
Yani hem admin olsunlar hem bilgileri göremesinler gibi bir çözüm yok veya para ve zaman harcamanız gerekli.
En ucuz çözüm tüm yönetimcel paylaşımlar yerine sadece C$ paylaşımını kapatabilirsiniz. Ancak unutmayın local admin hakkında sahip olacağı için kullanıcı zaten istediği gibi paylaşım açacaktır.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@hakanuzuner Hakan hocam selamlar, zaten son cümlede bu isteğin kesin bir çözümü olmadığını sizde belirtmişsiniz. LAPS ile şöyle ki bir çözüm olabilir; lokal admin şifresini her gün değişecek şekilde ayarlarsanız, ortamdaki her pc için de farklı bir şifre atanacağından ve bu şifre yönetimini de belirli kişilere yetkilendirme yaparsanız tam olarak olmasa da bir çözüm sağlayabilirsiniz diye düşünüyorum. Ortamda SIEM ürünü de varsa gerekli kolerasyon kuralları da yazıldıktan sonra destek personelinden yapılabilecek kötü niyetli erişimler engellenmiş olur.