ADAXES ile Active Directory Yönetimi Bölüm 7

Merhaba,  yazımızın 6. Bölümünde en son olarak Disable Edilen user accountun  belirlediğimiz OU birimlerine taşınması işlemini sonrasında da şifresinin random şekilde resetlenmesi işlemini otomasyon halinde uyarlamıştık. Şimdiki bölümümüz de ise Disable edilen user accountun üyesi olduğu gruplardan çıkarılması işlemini gerçekleştireceğiz. Bildiğiniz üzere Kurumsal yapılarda ve Enterprise firma ortamlarında  grup üyelikleri de oldukça önem arz etmektedir. Bir kişi üyesi olmaması gerektiği bir security grupa üye edilirse erişmemesi gereken kaynaklara erişmiş olur. Bu da bilgi güvenliği ihlalini ve güvenlik açığını beraberinde getirir aynı şekilde bir kişi üyesi olmaması gereken bir distribution grupa üye olması halinde tarafını ilgilendirmeyen belkide şirketiniz için büyük önem arz eden mailler tarafına ulaşabilir. Bu maillerin çıktısını alması veya  farklı yöntemlerle mailleri kendisine kopyalaması da büyük bir risk. Yazımızın ilk kısımında Kapatılan bir user accountun otomatik olarak üyesi olduğu gruplardan çıkarılması işlemini yapacağız. Öncesinde  OU birimlerimiz ve Departmanlarımızın kullanımına ait mail ve security grupları inceleyelim.

Bu işlemleri yine önceki yazımız da olduğu gibi Merkez_USERS OU birimi üzerinden gerçekleştireceğiz. Merkez_Users  OU birimindeki tüm departmanların kullandığı  security ve mail gruplarını ben tek bir OU altında toplamıştım. Aşağıdaki ekran görüntüsünde görüldüğü gibi.

Tavsiyem, Kendi yönetimini yaptığınız kurumlarda da  Grup düzenlemelerini üstteki örnekte olduğu gibi yapmanız yönünde. Böylelikle karmaşık bir yapı oluşmamış olacağı gibi aynı zamanda  standart bir düzeniniz olacaktır.

Şimdi gelelim otomasyon işlemlerimize. Adaxes Administration Consoleu açıyorum.

Configuration >  Business Rules > sağ click > New > Business Rule.

Business rule oluşturma ekranımızda uygun bir isim ve isteğe bağlı açıklama yazıyoruz.

Triggering Operation  kısmında ise  User seçimini yaparak > After > disabling a User Account ile ilerliyoruz.

Gelen ekranda Add Action  seçimini tıklıyoruz.

Add Action ekranında  Remove the User from a Group  seçimini yapıyoruz.

Select Group ekranını tıkladığımızda  üyelikten çıkarılmasını istediğimiz grup veya grupları seçeceğimiz ekran. Aslında kritik bir nokta.! Çünkü doğru ve kullanıcılarımızı ilgilendiren grupları eklemeliyiz. Örneğin, biz örneğimiz de Merkez_Finans birimi altındaki bir userla bu işlemi yapıcaz. Ama farklı bir merkez birimi altındaki userlada yapabiliriz. Veya gerçek hayatta farklı OU birimlerinde ki userları disable edeceksiniz.

Bu yüzden bu alanda benim tercihim tepedeki Root OU biriminiz de dahil olmak üzere tüm alt OU birimlerine kadar tüm OU ların sahip olduğu grupları eklemeniz.

Merkez  ismiyle arattığımda başı Merkez ile başlayan tüm  gruplarım listeleniyor.

Tümünü seçerek OK diyorum.

Gruplarımız listeye eklendikten sonra yapacağımız bir işlem daha kaldı.

Herhangi bir grup üzerinde Sağ click > Add New Candition diyoruz.

Disable edilen  user accountlarla ilgili süreci yönettiğimiz için seçimlerimiz aşağıdaki gibi olacaktır.

Activity Scope ekranında  ise  Mshowto.local  isimli domainimizi ekleyebiliriz.  Veya dilersek  bu işlemi kapsamasını istediğimiz OU birimimizi ekleyebiliriz. Ben domainimizi ekliyorum.

Finish diyor ve business rule işlemimizi tamamlıyoruz.

Test işlemimize başlayalım. Test işlemine tabi tutacağımız kullanıcımız Özge Kaya kullanıcısı.

Üyesi olduğu grupları hemen kontrol edelim.

Userımızı disable ediyoruz.

İşlemimiz başarılı.

Gelelim kontrollere J

Disable ettiğimiz kullanıcımızın Grup üyelikleri uçmuş durumda.

Adaxes Administration Console > logging kısmından da  userı disable duruma aldıktan sonra gerçekleşen süreci takip edebiliriz.

Her şey yolunda ve olması gerektiği gibi J birden fazla gruptan çıkarma işlemi gerçekleşmiş gibi görünmesinin sebebi Business Rule oluştururken  Merkez_Users OU birimi altındaki tüm grupları

eklediğimiz içindir.

Şimdi ise arkadaşlar şu işlemi yapalım, buraya kadar aslında yaptıklarımız gayet olması gereken ve bir çoğumuzun gündlik rutin işlettiği süreçler. Biz otomasyonla bu süreçleri otomatik hale getirdik. Peki disable ettiğimiz bir kullanıcıyı Re-enable dediğimiz tekrar enable duruma almak istediğimiz de bu işlemin onay mekanizmasına sunulmasını istersek. Evet şimdi bu işlemi yapacağız, ve onayı verecek olan kişi ilgili  kullanıcının Managerı yani Müdürü veya Yöneticisi  olan kişi olacak. Yani böylelikle bilgi güvenliği ve olası karışıklıkları önlemiş olacağız.

Hemen Adaxes Administration Console aracımı başlatıyorum. Sırasıyla. > Configuration > New > Business Rule diyorum.

Gelen isim ve açıklama ekranında uygun ve açıklayıcı bilgileri girerek Next Diyoruz.

Gelen ekranda  Triggering Operation  alanını aşağıdaki gibi seçiyoruz. > User > Before >  Enabling a User Account.

Gelen ekranda Add Action ı tıklıyoruz.

Sırasıyla seçeceğimiz işlem. >  Send This operation for Approval. Seçeneğini seçiyorum ve ardından aşağıdaki seçeneklerden uygun olanı belirtiyorum. Benim isteğim Enable olacak Disable durumdaki User Accountları için o userın managerından approval alınması. Dolasıyıla seçimim de Manager of the target user yönünde.

Gerekli ve yapımız için uygun olan seçimi yaptıktan sonra Next diyoruz.

Activity Scope ekranında Domainimizi belirtiyoruz. Çünkü bu işlemi domain bazında yapabiliriz yaptığımız diğer örneklerdeki gibi dilersek OU bazlı yapabileceğimiz bir işlem değil.  OU birimi ekleyerek bu işlemi gerçekleştirmek isterseniz çalışmayacaktır J

Finish diyoruz ve işlemi sonlandırıyoruz.

Business Rule oluşturma işlemimiz tamanlandı ve belirttiğimiz gibi,  enable duruma almak istediğimiz userımızın  Yöneticisine onay gidecek, ve onaylaması durumunda ilgili userımız enable duruma geçecek.

Testimizde kullanacağımız kullanıcımız Hakkı inkaya kullanıcısı. Aşağıda kullanıcım hakkında detay bilgi yer almaktadır.

Öncelikle userımı Disable duruma alıyorum.

İlgili işlemlere dair Logging görüntüsünü aşağıda paylaşıyorum. Çünkü userı disable user dediğim andan itibaren arka planda otomatik olarak gerçekleşen süreçleri en iyi özetleyen kısım Logging kısmı J

Şimdi ise kullanıcımızı enable duruma almayı deneyeceğim. Adaxes Web interface Helpdesk modülü üzerinden süreci başlatıyorum.

Evet arkadaşlar OK diyorum ve accountu yeniden Enable duruma almayı deniyorum. Aldığım uyarı mesjı aşağıdaki gibi.  Bu işlemin bir kişi tarafından onaylanması yani Approvel sürecinden geçmesi gerektiğini bana bildiriyor.

Hakki inkaya kullanıcımızın  Managerı Bill Gatesdi  yukarıdaki resimlerden hatırlarsanız userın  özelliklerinde Organization kısmında bu isim yazıyordu.

Şimdi Adaxes  web İnterface Self Service modülüne giriş yapıyorum. Bu modüle tüm kullanıcılarınız erişebilir durumdadır. Ve Tavsiyem bu default ayarı değiştirmemeniz yönünde.

Web interface Self service bağlantı linkine Adaxes Administration Console aracını başlatarak aşağıdaki şekilde ulaşabilirsiniz.

Properties tıkladıktan sonra. Web interface Sekmesine geçerek ilgili tam adresi görüntüleyebilirsiniz.

Dilerseniz, tavsiyem bu Self Service linkini tüm kullanıcılarınızın desktoplarına Group Policy aracılığıyla kısayol olarak atmanız. Bu şekilde kullanıcılar adres vs yazma gereksinimi görmeden direk giriş yapabilirler.

Bill Gates kullanıcımla Self service  portalıma giriş yapıyorum.

Evet  Hakki inkaya kullanıcımın enable edileceğini ve benim bu durum hakkında  Approve yani onay verebileceğimi veya Deny diyerek bu işlemi reddedebileceğimi gösteren bir mesaj var karşımda.

Approve diyerek süreci işletiyorum. Dilersem  Deny diyebilirim. Tabii  ki böyle bir kullanıcım tekrar işe başlamamışsa veya bu kullanıcımın accountunu tekrar enable yapmamızı gerektirecek bir durum yoksa J

İşlemi onaylıyorum.

Evet şaban yıldırım kullanıcımla helpdesk web portala girip baktığımda userım enable olmuş durumda.

Bir de bu işlemlerin Logging kısmına bakalım. Oradada herşey yolunda gitmiş mi J

Evet arkadaşlar buraya kadar yaptığımız işlemle de userların disable edilme sürecinde gösterdiğimiz titizliğin aslında aynısını  disable edilen bir user accountun Re-enable edilmesi gereken süreçlerde de göstermiş olduk. Bazen kullanıcılarımız işten ayrılır ve kısa süre sonra geri işe alınır, veya tam tersi bir durum olabilir işten ayrılan bir userın   hesabına geçici süreliğine erişim gerekebilir. İşte bu gibi durumlarda yaptığınız her işlemi aslında birilerinin bilgisi doğrultusunda yapmış oluyorsunuz aynı zamanda risk almamış ve oluşabilecek aksaklıkların önüne geçmiş oluyorsunuz. Yazımızın bu serisini burada noktalıyorum. Diğer bölümümüz de işimize yarayacak diğer ayarları ele alıyor olacağız.