9 Ocak 2017 Pazartesi

ADAXES ile Active Directory Yönetimi Bölüm 3

Merhaba, yazımızın bu serisinde artık Delegasyon ve diğer kullanıcı yönetimi kimlik yönetimi vb işlemleri gerçekleştirecğiz. Bunları yaparken bazı otomatik rulelar tanımlayacağız. Örneğin  disable edilen  kullanıcılar Disabled_Users  OU birimi altına taşınsın gibi. Veya Mali işler biriminde açılan bir account otomatik olarak olarak X x  gruplarına üye yapılsın vs gibi. Yazımıza hızlıca  User Delegasyon etme işlemiyle başlamak istiyorum.
Örnek alacağımız kullanıcı Hasan.Dimdik kullanıcısı olacak.

Aşağıdaki resimde göreceğiniz üzere Hasan Dimdik kullanıcısı izmir lokasyonunda IT biriminde çalışıyor. İzmir OU su altındaki tüm user işlemlerini kendisine delege edeceğiz. Ve artık işlemlerini ADAXES Web interface üzerinden gerçekleştirecek.



ADAXES Administration Console aracımı açıyorum.
Configuration Penceresinde sağ click > New > Security Role seçeneğini seçiyorum.



Security Role seçeneğini seçtiğimizde isim ve açıklama ekranı gelecek uygun tanmlayıcı bir isim ve açıklama girerek ilerliyorum. Aşağıdaki resimde olduğu gibi.


Gelen Role-Permissions ekranında  Add seçeneği ile vereceğimiz yetkileri belirliyoruz.


Seçenekleri  inceleyelim.
Öncelikli olarak Create ve Delete Child objects  seçimini yaparak  Select Object Types seçeneğini tıklıyoruz.

Select Child objects Type kısmından  User objesini seçiyoruz. Ardından OK diyorum.


Gelen Add Permissions ekranında istersem  User Objesi için Full Control verebileceğim gibi  seçenekleri tek tek inceleyerek uygun olanları da verebilirim.
Ben seçenekleri inceleyerek uygun olanları seçiyorum.


Uygun kriterleri belirleyip  Allow diyerek izin verilen seçenekleri olarak işaretleyip OK dediğim zaman
Aşağıdaki resimde göreceğiniz üzere  verdiğim izinlerin listesi karşımıza geliyor.


Next diyerek ilerliyorum.
Assign role ekranında bu işlemler için yetkilendireceğim user veya grupu belirliyorum.
Önerim Grup oluşturarak kullanmanız yönünde. Çünkü Bölge IT lerinde çalışan sayısı fazla ise tek tek kişi bazlı ekleme yapmak zor olacaktır.


Hasan dimdik kullanıcımı directory den Search ederek seçiyorum.



Assign tıkladığımda Hasan dimdik isimli kullanıcımın hangi OU birimleri için bu yetkilere sahip olacağını belirleyeceğim.
Assign seçeneğini tıkladığımda Role Activity scope üzerinden ilgili OU birimi buluyor ve aşağıdaki seçimi yaparak  OU biriminin alt oularını da etkilemesini sağlıyorum.


Yaptığım Delegasyonun son hali ve özet kısmı aşağıdadır. Finish diyerek pencereyi kapıyorum. Ve delegasyonumu belirttiğim kullanıcım için belirttiğim yetkilerle belirttiğim OU birimlerinde oluşturmuş olduk.


Oluşturduğumuz  Security Role grupa ait ekran aşağıdaki gibidir.


Gelelim şimdi test işlemine J
Hasan dimdik kullanıcısı ile  ADAXES Web interface Helpdesk ekranında girerek user create etmeyi deneyelim.
Helpdesk paneline giriş yaparak Create user seçeneği ile ilerliyorum.



Create user seçeneğini seçtiğim anda beni doğrudan yetki sahibi olduğum OU birimlerine götürüyor. Hatırlarsanız bu işlemi   Create user sekmesine Home page kısmına eklerken belirlemiştik. Yazımızın 2.bölümünü okumayanlar 2.bölümden bu bilgiye ulaşabilir.


İzmir Finans  OU sunu seçerek ilerliyorum.
Örnek olması açısından bir kullanıcı adı belirliyorum.



Şifre set etme ekranım oldukça işlevsel dilersem random bir password set edebilirim. Adaxes  ürününü en beğendiğim özelliklerinden biri diyebilirim. Çünkü  Kurumsal firmalar ve bir çok kurum  Default Local admin passwordleri default  User create passwordleri vs kullanır. Aslında bu da bir güvenlik açığıdır.  Her seferinde random password bulmakta zorlananların yardımına koşacak bir özellik. Şifre belirledikten sonra kullanıcımızı oluşturabiliriz.


User create işlemimiz başarılı J



Yani delegasyonumuz çalışıyor.
Şimdi de diğer yetkilerimizi kontrol edelim. Örneğin şimdilik bu kullanıcıyı  birkaç gruba üye yapalım.
Ardından Disable edelim, tekrar enable edelim, veya şifresini resetleyelim.
Öncelikli olarak  Finans grubuna ait birkaç gruba kullanıcımı üye yapıyorum.
Kullanıcmı  Helpdesk panel üzerinde Search ederek buluyoru. Ardından Member of kısmına geçiyorum.


Henüz aşağıdaki resimden göreceğiniz üzere hiçbir gruba üye değil Add seçenği ile  ekleyeceğim grupları buacağım.



İsmi İzmir ile başlayan grupları aratıyorum. Ve gelen seçeneklerden uygun olduğunu düşündüğüm grupları seçiyorum. Aynı anda birden çok grup seçebiliyorum.


Yukarıda belirttiğim 3 gruba kullanıcımı üye yapıyorum.



İşlemimiz başarılı.

Şimdide kullanıcımı disable etmeyi deniyorum.


Emin misiniz sorusunu yöneltiyor. 


İşlemimiz başarılı.


Hesabımı tekrar enable ediyorum. Çünkü testlerimiz olacak.



Evet şimdide userımı lock etmeyi deneyeceğim ve tekrar  Unlock edeceğim.



Görüldüğü üzere user accountum  lock olmuş durumda.


Web interface üzerinden Unlock Account seçeneğini seçiyorum.



Lock olmuş olan kullanıcımı direk listeliyor. Ve seçerek Ok diyorum.



İşlemimiz başarılı.
Test ortamımda Exchange Server ürünü olmadığı için Exchange mailbox create etme aşamalarını ve delegasyon adımlarını göstermiyorum. Fakat  şunu söyleyebilirim.  Delegasyon aşamaları User  right seçim ekranında mevcut.  Vereceğiniz yetkiler çok spesifik olmakla birlikte  Exchange Server ve Mailbox Database bazlı yetkilendirmeler yapabiliyorsunuz.
Bu yaptığımız Delegasyon testleri esnasında gözden kaçan bir iki detay hakkında bilgi vermek istiyorum.
1.       User create etme aşamasında logon name formatı ismin ilk harfi ve soyismin tamamı yönündeydi. Oysaki kurumsal ve enterprise ortamlarda kullanılan metod bu değil. Bunu nasıl değiştirebiliriz. Buna bakalım.
2.       Olarak Şirket ismi Departman ismi Employee Id dediğimiz   Personel Sicil numarası gibi bilgileri  nasıl otomatik olarak tanımlayabiliriz bunlara bakalım.
İlk işlemimiz username formatı yönünde olacak bu ayarlamayı yaptığımı alan aşağıdaki gibidir.
ADAXES Administration Console  açıyoruz ve ardından  < Property Pattern kısmına geliyoruz  Seçenekleri ayarlayacağımız kısım   User Pattern kısmı.
Default user logon name değeri aşağıdaki gibidir.



Bu seçeneği hemen isim.soyisim olacak şekilde değiştiriyorum.


Edit seçeneği ile orijinali halini editliyorum ve vereceğim değer aşağıdaki gibi olacak.
%firstname%.%lastname:lower%


Ok diyerek ve Ardından  Administration Console üzerinden > Save Changes  diyerek işlemi bitiyorum. Ve ardından test ediyorum.


Helpdesk Web İnterface üzerinden Create user seçeneği ile ilerliyorum.  Örnek olması açısından bir isim yazıyorum ve username   formatının istediğim kriter olan isim.soyisim formatında  otomatik olarak oluştuğunu görüyorum.


İşlemimiz başarılı.
Şimdide arkadaşlar User Create Ederken şirket ismimizi yani “COMPANY” bilgimizi  otomatik olarak  Organization Sekmesine ekleyelim.
İşlemleri yine Property Pattern kısmından ve  User Pattern başlığı altından yapacağız.
User Pattern  ekranında sağ alanda en üstteki  “Add” seçeneğini seçelim ve Company alanını seçelim.


Generate Default Value kısmına  şirket ismimizi yazalım. Ben örnek olması açısından “MSHOWTO” yazıyorum.



Ardından aşağıdaki işlemleri yapalım ki  otomatik olarak şirket ismimiz gelsin ve değiştirilmeye izin vermesin.
Must be one of the following values only:  seçeneğini seçiyor Edit bölümüne geçiyoruz.


Burada “Add” diyerek şirket ismimizi veya şirket isimlerimizi ekliyoruz.


Ok diyerek pencereyi kapayabilir ve Ardından   Save Changes ile değişikliği kaydetmeliyiz.
Son hali aşağıdaki gibidir.



Hasan Dimdik kullanıcımla girerek  Create user diyorum ve ilgili Company Name alanının durumunu kontrol ediyorum.


Company Name kısmında şirket ismim belirlediğimiz üzere MSHOWTO olarak gelmiş
Şirket ismini silerek User Create etmeyi deneyelim.


Gördüğünüz üzere Değer belirtmemizi aksi halde işlemi tamamlayamayacağımızı bildiren uyarı.
İşlemimiz başarılı. Artık her yeni user create ederken şirket ismimiz otomatik olarak gelecek ve değiştirilmeye imkan tanımayacak şekilde ayarlı.
Bu şirketlerde oldukça istenen bir durum.
Evet Arkadaşlar yazımızın 3.bölümü de oldukça uzun oldu. 4.bölümde Departman isimleri oluşturmayı ve diğer can alıcı ve çok işimize yarayacak özelliklerini ele alıyor olacağız.




































Hiç yorum yok:

Find UAC GPO

 Merhaba, Aşağıdaki PS script AD ortamındaki tüm GPO’ları tarar ve UAC ile ilgili ayarları içerenleri bulur. Yüzlerce GPO olan ortamlarda za...