Özgür ŞENERDOĞAN: Kasım 2017

Merhaba, System Center Configuration Manager ürünü ile OS Deployment işlemi gerçekleştiriyorsanız Sıfır kurulum veya hazırlamış olduğunuz imajları dağıtırken bazı hatalarla karşılaşabilirsiniz. Elinizdeki hazırlamış olduğunuz .wim uzantılı imajı dağıtırken alabileceğiniz örnek bir hatayı aşağıda paylaşıyorum. Ortamımda ki istemcilerime SCCM üzerinden işletim sistemi dağıtımı yapıyorum. Ve 2 tür de işletim sistemi dağıtımım mevcut. 1. Sıfır kurulum dediğimiz referans bir bilgisayara veya notebook cihaza hem kurulum yapıp hem de o cihazın sysprep’li halinin imajını aldığımız kurulum yöntemi. 2. Yöntem ise Hazır imaj dediğimiz uygulamalar kurulmuş gerekli updateler geçilmiş sysprep işlemi yapılmış ve dağıtıma hazır imaj türüdür.

2. seçenekteki dağıtım türüyle hazır imajı gönderirken bir hata ile karşılaştım.

Aşağıda göreceğiniz üzere.

Bu hatanın nedeninden kısaca bahsetmek gerekirse, işletim sistemi dağıtımı esnasında yükleme yapılacak makine için oluşturulan imaj paketi türünden kaynaklı bir sorun.

SCCM Console aracını açarak sırasıyla > Software Library > Task Sequences > hazır imaj dağıtımı yapmak için oluşturduğumuz Task Sequence > Edit diyerek aşağıdaki alanda bir değişikliğe gitmemiz gerekiyor. Çünkü, Image kısmındaki 1-1 olan ilk 100 mb ya da 350 mb lık bölümdür. Yani C diskindeki Reserved alan olarak algılayabiliriz. Kurulumu buraya yapamayacağı ı için bu hatayı üretmektedir.

Doğru Image olarak 2-2 seçeneğini seçerek bu hatayı önlemiş olacağız.

Bu önemli ayar değişikliğini yaptıktan sonra hazırlamış olduğunuz .wim uzantılı imajı dağıtırken sorun yaşamazsınız J

İyi Çalışmalar.

Merhaba, bu yazımız da büyük ve orta ölçekli kurumsal şirketler ve kamu kurumlarında yaygın olarak kullanılan hayati önem derecesine sahip Dosya Sunucularının Auditing işlemlerini inceleyeceğiz. Dosya sunucularınız üzerinde yetkilendirmeleri minimal şekilde ve gerekli erişim izinlerini birim bazlı veya özel durumlar da kişi bazlı yaptığınızı düşünüyorum. Dosya sunucularının erişim yetkilendirmeleri ayrı bir makale konusu ve oldukça hassas ve deneyim gerektiren bir konu olduğu için burada detaylı şekilde girmiyorum. Yazımın içeriğinde silme işlemlerinin Audit edilmesini inceleyeceğiz. Çünkü erişimleri yukarıda bahsettiğim şekilde minimal ve doğru yetkilerle tanımlarsanız dosya sunucusunun barındırdığı kaynakları audit etmenize gerek kalmayacaktır. Çünkü herkes kendisi için ayrılmış ortak alana aynı şekilde erişimi gerektiği kadar tanımlanan yetkiler doğrultusunda erişecektir. Dosya sunucularınız üzerinde silme işlemleri hassas işlemlerdir. Ve çoğu zaman belirli ve özel kullanıcılara bu yetkiler tanımlanır. Fakat istisnai durumlar da bazı birim müdürleri veya Departman yöneticilerinin isteği doğrultusunda belli kullanıcılara da silme yetkisi tanımlayabilirsiniz. Bu tür talepleri daima mail yoluyla veya ticket sistemi üzerinden ilgili kişiden onayı alınarak işlem yapmanızı tavsiye ederim J ortaya çıkacak kötü durum senaryolarında başınız olabildiğince az ağrımış olur J Teknik işlemlere geçmeden önce hatırlatma olarak bu işlemlerin büyük ölçekli dediğimiz Enterprise şirketler de nasıl yapıldığını belirtmek istiyorum büyük şirketler de çeşitli loglama ve SIEM ürünleri kullanıldığı için bu tür dosya erişimleri de detaylı olarak loglanmaktadır. Biz 3. Parti bir ürün kullanmak yerine Windows Server üzerinde bazı ayarları aktif hale getirerek nasıl loglama yaptığımızı inceleyeceğiz.

Aşağıda Mevcut Active Directory yapım ve OU dizaynım mevcut.

Öncelikli olarak yapacağımız konfigürasyon Group Policy üzerinde Auditing özelliğini açmak yönünde olacak. Bir çok kaynakta Auditing özelliğini Default Domain Policy üzerinde enable etmeniz yazsa da benim tavsiyem File Serverınız veya Cluster yapıda File Server mimarisine sahipseniz ve bir çok file serverınız varsa onların olduğu OU üzerinde bu policyi aktif hale getirmeniz ben örneğimde bu şekilde yapacağım.

Server Manager aracı üzerinden Group Policy Management aracımı başlatıyorum.

Yeni bir GPO oluşturarak Serverlarımın olduğu OU ya linkliyorum.

GPO’ya uygun bir isim belirliyorum ve ardından düzenliyorum.

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit object Access policysini aktif hale getirerek Success için ayarlıyorum.

Policy değişikliğimizin hemen uygulanması için “gpudapte /force” komutunu çalıştırmayı unutmuyoruz.

Policy tarafındaki ayarlarımız tamamdır. Şimdi File Server da audit edeceğimiz klasör veya klasörler üzerinde işlem sağlayacağız. Tavsiyem en tepedeki Root klasör üzerinde Auditing işlemlerini ayarlamanız ben örneğimde bu şekilde yapacağım. Mevcut File Server yapım aşağıdaki gibidir.

En tepede ORTAK isminde Shared bir folder’ım ve altında ilgili departman klasörlerim mevcut.

Auditing açacağım klasöre sağ click Properties diyor ve aşağıda göstereceğim Auditing sekmesine kadar ilerliyorum.

Auditing tabında “Add” seçeneğini seçiyorum ve “audit” işlemleri yapılacak kullanıcı veya kullanıcı grubumu ve gerekli audit edilecek seçenekleri belirliyorum.

Auditing işlemi yapacak kullanıcı grubum olarak “Domain Users” grubumu seçtim. Çünkü domain userlarımın File Server üzerindeki işlemlerini Audit edeceğim.