Windows Server

Windows Server 2012 R2 Remote Desktop Services Kullanıcı Erişim İzinlerinin Yapılandırılması

 

Bu makale içinde paylaşılan bilgiler Remote Desktop Services Mimarisinin temelini oluşturmaktadır ve ilk kurulum ile birlikte bu yapılandırmaları yapmamız gerekmektedir.

Windows Server 2012 Remote Desktop Services Kurulumunu Quick Installation yöntemini kullanarak yaptıysak, Domainimiz içinde bulunan bütün kullanıcılar RDS sunucumuza bağlantı yapabileceklerdir. Bunun nedeni Quick Installation Yöntemiyle kurulumu yaptığımızda oluşturulan Collection’a erişim Domain Users grubuna verilir ve domainimiz içinde bulunan bütün kullanıcılar bu grubun üyesi oldukları için Collection’a bağlantı sağlayabilirler.

Bu özellik Quick Installation seçiminin bizlere sağladığı bir avantaj gibi görünse de bir güvenlik açığı olarak karşımıza çıkmaktadır.

 

clip_image002

 

Windows Server 2012 R2 işletim Sistemimiz üzerinde oturum açmaya kalktığımız zaman görmüş olduğumuz ilk değişiklik, sunucumuzun oturum açma ekranın da domain bilgisini girmemizi istemesidir. Domainimiz içinde bulunan bütün kullanıcılar, bu sunucumuz üzerinde uzaktan oturumu açabileceklerdir.

 

clip_image004

 

Windows Server 2012 R2 işletim Sistemimiz üzerinde Local Group Policy özelliklerine baktığımız zaman

Local Computer Policy \Windows Settings\Securty Settings \Local Polies \ User Rights Assigment \ Allow log on through Remote Desktop Services yolunu izlediğimiz zaman Authenticated Users grubunun eklendiğini görebilmekteyiz.

Bu Policynin yapacak olduğu işlem şudur ki kimliğini doğrulayan her bir domain kullanıcısı bu sunucu üzerinde oturum açabileceklerdir.

Bu işlem, RDS sunucumuza ihtiyaç dışı kullanıcıların bağlanması sonucu performans ve güvenlik açığını beraberinde getirecektir.

Makalemizin başında belirttiğim gibi bu özellik Quick Installation ile birlikte gelen yeni bir özelliktir ve kurulum sonrası bu izinleri mutlak suret ile yapılandırmamız gerekmektedir. 2012 öncesinde bu izinleri bizler el ile veriyorduk, şimdi ise otomatikleştirildi.

 

clip_image006

 

Domainimiz üzerinde RDS sunucumuza bağlantı yapacak olan kullanıcılarımızı bir grup içinde birleştiriyoruz. Oluşturmuş olduğum grup Remote Users ve RDS ile bağlantı yapacak olan kullanıcılarım bu grubun üyesi durumunda. Amaç ve ihtiyaçlarımıza bağlı olarak bu grup isimleri ve sayıları değişebilir.

 

clip_image008

 

Active Directory Domain’ imiz üzerinde grubumuzu oluşturduk ve sonrasında RDS sunucumuz üzerinde;

Local Computer Policy \Windows Settings\Securty Settings \Local Polies \ User Rights Assigment \ Allow log on through Remote Desktop

Policyisini yukarıda ki gibi değiştiriyoruz ve sadece Live\Remote Users grubunu ekliyoruz.

 

clip_image010

 

Bu işlemi Group Policy ile değiştirdikten sonra Remote Desktop Services Yönetim ara yüzümüzde, izinleri değiştirecek olduğumuz Collection özelliklerine gelip Task \ Edit Properties işlemiyle ayrıca yapmamız gerekecektir.

 

clip_image012

 

Session Collection bölümünde Users Groups bölümüne geliyoruz ve oluşturmuş olduğumuz grubumuzu ekliyoruz.

 

clip_image014

 

Değişiklikler yapıldı. Servis veya Sunucumuzu yeniden başlatmadan yeni izinler uygulanacaktır.

 

clip_image016

 

Remote Users grubunun üyesi olan kullanıcılarımız güvenli bir şekilde RDS sunucumuz üzerinde oturum açabilmektedirler. Oturum açan her bir kullanıcıyı Connection penceresinden görebilmekteyiz.

 

clip_image018

 

RDS sunucumuzun olay günlüklerini kontrol ettiğimiz zaman izin vermiş olduğumuz grubun kullanıcıları başarılı bir şekilde oturumlarını açtığının olay günlüğünü görebiliyoruz. Olay günlüğünün bilgileri yukarıda görülmektedir.

 

clip_image020

 

Oluşturmuş olduğumuz grubun üyesi olmayan kullanıcılar, RDS sunucumuza bağlantı yapmak istedikleri zaman kimliklerini doğruladıktan sonra yukarıda ki hatayı alacaklardır.

To sign in remotely, you need the right to sign in through Remote Desktop Services. By default members of the Administrators group have this right. If the group you’re in does not have the right, or  if the right has been removed from the Administrators group, you need to be granted the right manually

 

clip_image022

 

Ve yapmış oldukları işlem yukarıda ki hata mesajı ile sonlanacaktır.

The connection was denied because the user account is not authorized for remote login.

 

clip_image024

 

Yetkisiz kullanıcıların erişim talepleri veya yanlış yapılan Remote erişimlerin bütün olay günlükleri RDS sunucumuz üzerinde kayıt altına alınacaktır.

Bu policy değişikliği ve RDS yapılandırılmasında dikkat etmemiz gerekli olan en önemli konu Grup üyelerinin dışında bulunan RDS yöneticileri, Domain yöneticileri gibi ayrıcalıklı kullanıcılar bile RDS oturumundan yararlanamayacaklardır. Bu sebepten ötürü bu gibi kullanıcıların oluşturmuş olduğumuz grubun üyesi yapılması veya Policy ve RDS düzenlemesi için bu kullanıcılara ayrıca izinlerin verilmesidir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu