Windows Server

Windows Server 2016 Geçici Grup Üyeliği – Privileged Access

Bu makalemizde Windows Server 2016 ile birlikte gelen güzel bir özellikten bahsediyor olacağız. Ortamımızda bazı durumlarda bazı kişileri belirli gruplara, belirli zaman diliminde üye etmemiz gerekebilir. Bu işin sonrasında zamanı geçirmemek için eskiden manuel bir takip sağlayıp kişiyi grup üyeliğinden çıkarabiliyorduk. Privileged Access Mangenet özelliği ile bu işi otomatik bir duruma getirebiliyoruz.

Örnek olarak X denetim firmasından A isimli kişiyi Domain Users grubuna 5 dakikalığına üye yapmamız istenmekte. Şimdi bu özelliğe göre bu işlemi yapalım.

Öncelikle kısaca ortamımızı tanıyalım. Cozumpark.lokal etki alanında DOMAIN-CONTROLLER isimli bir DC sunucum bulunmakta.

clip_image002

RIZA ŞAHAN isminde RIZAS hesap adıyla oluşturulmuş bir test user hesabım var.

clip_image004

Bu klasik b ir kullanıcı ve sadece aşağıda görüldüğü gibi Domain Users grubunun üyesi.

clip_image006

Şimdi bu kullanıcıyı 3 dakikalığına Domain Admins grubuna üye edip, 3 dakika sonunda otomatik olarak üyeliğin kalkmasını sağlayacağız.

Bu işlem için öncelikle Privileged Access Mangement özelliğini devreye almamız gerekecek bu işlem için aşağıdaki komut setini kendi domain alanımıza göre uyarlayıp, Powershell ekranında Run As Administrator olarak çalıştırıp kullanmamız gerekecek.

Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target cozumpark.lokal

clip_image008

Bu komutu çalıştırdıktan sonra karşımıza gelen uyarı ekranını A ile geçelim.

clip_image010

Privileged Access Mangement özelliğini açtıktan sonra artık belirlediğimiz gruba, belirlediğimiz kullanıcıyı hangi zaman diliminde eklemek istiyorsak ona göre komutumuzu girmemiz gerekmekte.

Add-ADGroupMember  -Identity ‘Domain Admins’  -Members  ‘rizas’ -MemberTimeToLive (New-TimeSpan -Minutes 3)

clip_image012

Komutumuzu girdikten sonra işlem tamamlanınca kursör ana satıra düşmekte.

clip_image014

Şimdi Kullanıcımızın gruplarına göz atalım. Kullanıcımızın otomatik olarak Domain Admins grubunun üyesi olduğunu görebilmekteyiz.

clip_image016

Kalan süreyi aşağıdaki komut seti ile saniye cinsinden görebiliriz.

Get-ADGroup ‘Domain Admins’ -Property member -ShowMemberTimeToLive

clip_image018

clip_image020

Gerekli zaman dolduktan sonra kullanıcımız aşağıda görüldüğü gibi otomatik olarak grup üyeliğinden düşürülüyor.

clip_image021

Buradaki zaman ölçüsünü bir Minutes olarak belirledik ancak buradaki zaman dilimlerini aşağıdaki gibi belirleme imkanlarına sahibiz.

New-TimeSpan

   [-Days < Int32>]

   [-Hours < Int32>]

   [-Minutes < Int32>]

   [-Seconds < Int32>]

   [<CommonParameters>]

 

Buna ek olarak daha fazla özelleştirme için aşağıdaki kaynaktan yararlanarak burada kullanılabilecek komut setlerine erişim sağlayabilirsiniz.

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/new-timespan?view=powershell-5.1

Bir makalemizin daha sonuna geldik. Umarım yararlı olur. Bir başka makalede görüşmek dileğiyle.

 

Rıza ŞAHAN

www.rizasahan.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu