Bu makale içinde paylaşılan bilgiler Remote Desktop Services Mimarisinin temelini oluşturmaktadır ve ilk kurulum ile birlikte bu yapılandırmaları yapmamız gerekmektedir.
Windows Server 2012 Remote Desktop Services Kurulumunu Quick Installation yöntemini kullanarak yaptıysak, Domainimiz içinde bulunan bütün kullanıcılar RDS sunucumuza bağlantı yapabileceklerdir. Bunun nedeni Quick Installation Yöntemiyle kurulumu yaptığımızda oluşturulan Collection’a erişim Domain Users grubuna verilir ve domainimiz içinde bulunan bütün kullanıcılar bu grubun üyesi oldukları için Collection’a bağlantı sağlayabilirler.
Bu özellik Quick Installation seçiminin bizlere sağladığı bir avantaj gibi görünse de bir güvenlik açığı olarak karşımıza çıkmaktadır.
Windows Server 2012 R2 işletim Sistemimiz üzerinde oturum açmaya kalktığımız zaman görmüş olduğumuz ilk değişiklik, sunucumuzun oturum açma ekranın da domain bilgisini girmemizi istemesidir. Domainimiz içinde bulunan bütün kullanıcılar, bu sunucumuz üzerinde uzaktan oturumu açabileceklerdir.
Windows Server 2012 R2 işletim Sistemimiz üzerinde Local Group Policy özelliklerine baktığımız zaman
Local Computer Policy \Windows Settings\Securty Settings \Local Polies \ User Rights Assigment \ Allow log on through Remote Desktop Services yolunu izlediğimiz zaman Authenticated Users grubunun eklendiğini görebilmekteyiz.
Bu Policynin yapacak olduğu işlem şudur ki kimliğini doğrulayan her bir domain kullanıcısı bu sunucu üzerinde oturum açabileceklerdir.
Bu işlem, RDS sunucumuza ihtiyaç dışı kullanıcıların bağlanması sonucu performans ve güvenlik açığını beraberinde getirecektir.
Makalemizin başında belirttiğim gibi bu özellik Quick Installation ile birlikte gelen yeni bir özelliktir ve kurulum sonrası bu izinleri mutlak suret ile yapılandırmamız gerekmektedir. 2012 öncesinde bu izinleri bizler el ile veriyorduk, şimdi ise otomatikleştirildi.
Domainimiz üzerinde RDS sunucumuza bağlantı yapacak olan kullanıcılarımızı bir grup içinde birleştiriyoruz. Oluşturmuş olduğum grup Remote Users ve RDS ile bağlantı yapacak olan kullanıcılarım bu grubun üyesi durumunda. Amaç ve ihtiyaçlarımıza bağlı olarak bu grup isimleri ve sayıları değişebilir.
Active Directory Domain’ imiz üzerinde grubumuzu oluşturduk ve sonrasında RDS sunucumuz üzerinde;
Local Computer Policy \Windows Settings\Securty Settings \Local Polies \ User Rights Assigment \ Allow log on through Remote Desktop
Policyisini yukarıda ki gibi değiştiriyoruz ve sadece Live\Remote Users grubunu ekliyoruz.
Bu işlemi Group Policy ile değiştirdikten sonra Remote Desktop Services Yönetim ara yüzümüzde, izinleri değiştirecek olduğumuz Collection özelliklerine gelip Task \ Edit Properties işlemiyle ayrıca yapmamız gerekecektir.
Session Collection bölümünde Users Groups bölümüne geliyoruz ve oluşturmuş olduğumuz grubumuzu ekliyoruz.
Değişiklikler yapıldı. Servis veya Sunucumuzu yeniden başlatmadan yeni izinler uygulanacaktır.
Remote Users grubunun üyesi olan kullanıcılarımız güvenli bir şekilde RDS sunucumuz üzerinde oturum açabilmektedirler. Oturum açan her bir kullanıcıyı Connection penceresinden görebilmekteyiz.
RDS sunucumuzun olay günlüklerini kontrol ettiğimiz zaman izin vermiş olduğumuz grubun kullanıcıları başarılı bir şekilde oturumlarını açtığının olay günlüğünü görebiliyoruz. Olay günlüğünün bilgileri yukarıda görülmektedir.
Oluşturmuş olduğumuz grubun üyesi olmayan kullanıcılar, RDS sunucumuza bağlantı yapmak istedikleri zaman kimliklerini doğruladıktan sonra yukarıda ki hatayı alacaklardır.
To sign in remotely, you need the right to sign in through Remote Desktop Services. By default members of the Administrators group have this right. If the group you’re in does not have the right, or if the right has been removed from the Administrators group, you need to be granted the right manually
Ve yapmış oldukları işlem yukarıda ki hata mesajı ile sonlanacaktır.
The connection was denied because the user account is not authorized for remote login.
Yetkisiz kullanıcıların erişim talepleri veya yanlış yapılan Remote erişimlerin bütün olay günlükleri RDS sunucumuz üzerinde kayıt altına alınacaktır.
Bu policy değişikliği ve RDS yapılandırılmasında dikkat etmemiz gerekli olan en önemli konu Grup üyelerinin dışında bulunan RDS yöneticileri, Domain yöneticileri gibi ayrıcalıklı kullanıcılar bile RDS oturumundan yararlanamayacaklardır. Bu sebepten ötürü bu gibi kullanıcıların oluşturmuş olduğumuz grubun üyesi yapılması veya Policy ve RDS düzenlemesi için bu kullanıcılara ayrıca izinlerin verilmesidir.