FSSO RDP Logon Override
Bu makalede, RDP oturumu tarafından oluşturulan oturum açma yok saymayı anlatacağız.
Bu makalede Active Directory yöneticilerinin (veya diğer kullanıcıların) hesaplarıyla ağ üzerinden çeşitli bilgisayarlara (RDP-MSTSC-RDS) ile erişmesi gereken durumlar için yararlı bir özelliktir. RDP bağlantılarında kullanıcı yetkilerini geçersiz kılmadan uzak masaüstüne bağlanma eylemi, bu oturum açma işlemini FSSO listesinden kaldırarak orijinal kullanıcı oturumunun üzerine yazacaktır. Bu politika eşleşmesi nedeniyle engellenen internet erişimine neden olur. Kısaca örneklemek gerekirse;
Örnek 1: Benim kullanıcımın internet yetkisi var. İnternet yetkisi olmayan bir kullanıcı ile rdp bağlantısı yaptığımızda benim internetimde kesiliyor. Bu durumda sorun yaşanmaması için aşağıdaki adımları takip etmeniz önerilir;
Örnek 2: Örneğin Savaş kullanıcısının internet hakkı var. Hakan kullanıcısının ise internet hakkı yok. Ben Savaş kullanıcısı ile login olduğum kendi bilgisayarımdan RDP protokolü aracılığı ile başka makinaya “Hakan” kullanıcı adıyla bağlanınca bağlandığım bilgisayarda internet olmaması normal. Çünkü Hakan kullanıcısının internet hakkı yok ama garip olan benim RDP yaptığım ve Savaş olarak login olduğum makinenin de interneti gidiyor. Bunun düzelmesi için de kendi bilgisayarımda oturumumu kapatıp açmam gerekiyor.
Örnek 3: Active directory domain de olan bilgisayar da rds ye bağlanıyorum.Bağlandığım bilgisayarda giriş yaptığım kullanıcının internet yetkisi olmadığı için benimde internetim belli bir süre gidiyor.Networke bağlıyım ama internete çıkamıyorum.Uygulama olarak nremote kurdum onda da internete çıkışım ile ilgili sorun yaşıyorum.Bağlantıyı kesip Logoff , logon olunca localde internetim düzeliyor.
Bu sorunun çözümü için tavsiye edilen iki yöntem bulunmaktadır. Biz 2. Yöntem ile sorunsuz erişim yapabildik.
- Yapınızdaki makinelere Administrator hesapları ile RDP yapıyorsanız aşağıdaki 1. Seçeneği uygulayın. (Bu seçeneği uyguladığınızda makinelere giriş yaparken fortigate üzerinde administrator kullanıcıları göstermez Firewall üzerinde birden çok admin hesabı görmezsiniz.)
- Yapınızdaki makinelere kullanıcının kendi hesapları ile RDP yapıyorsanız aşağıdaki 2. Seçeneği uygulayın.(Bu seçeneği uyguladığınızda makinelere giriş yaparken fortigate üzerinde kullanıcı bilginiz değişmeyip kullanıcıların erişimleri geçerli kalır.)
1) Collector Agent üzerinde bulunan yoksay (ignore) listesini kullanın:
Oturum açmaları göz ardı edilecek belirli kullanıcıları seçin.
Not: Kullanıcı makinelerine administrator hesapları ile erişiyorsanız bu hesapları mutlaka ignore user list’e eklemeniz gerekir.
2) Toplayıcı ajan : Kullanıcılar için RDP bağlantısında kimlik bilgisini geçersiz kılma özelliği
- İzlenen Dc’leri göster (show monitored dc’s)
- ‘İzlemek için DC’ seçeneğini seçin (select dc monitor)
- Sol alt köşede ‘RDP geçersiz kılmayı devre dışı bırak’ seçeneğini seçin (disable rdp override)
Not: Eğer makinelere RDP yaparken kullanıcı hesaplarını kullanıyorsanız bu seçeneği kullanmanız gerekiyor.
Umarım faydalı bir ipucu olmuştur.
Eline sağlık abi
Elinize sağlık Savaş hocam