Active DirectoryActive Directory Security

Time Based Group Membership Nedir?

Active Directory Time Based Group Membership Nedir? Active Directory Geçici Grup Üyeliği Oluşturma, Active Directory Zamana Dayalı Grup Üyeliği Nasıl Tanımlanır? Active Directory Zamanlanmış Grup Üyeliği Hakkında

Time Based Group Membership (Active Directory Geçici Grup Üyeliği)

Time based group membership yani active directory geçici grup üyeliği özelliği yöneticilerin bir TTL (Time To Live – Yaşam Süresi) değeri vererek geçici grup üyeliği atamasına olanak tanımaktadır. Tanımlanan TTL değeri Kerberos biletine eklenir. Bu özelliğe ayrıca sona eren bağlantılar (expiring links) özelliği de denir. Bir kullanıcı geçici grup üyeliğine atandığında, giriş Kerberos ticket-granting ticket (TGT) ömrü, tanımlanan TTL değerine eşit olacaktır. Örneğin, “elibol” kullanıcısına,  60 dakika Domain Admins grubuna üye olabilmesi için, geçici grup üyeliği verildi. Kullanıcı bu atamadan sonraki 50 dakika içinde oturum açarsa, Domain Admins grubunun bir üyesi olarak yalnızca 10 dakika kalabilecektir. Dolaysıyla, Domain Controller “elibol” kullanıcısı için yalnızca 10 dakika geçerli olacak bir TGT düzenleyecektir.

Grup üyeliği denetimi ve yönetimi, active directory domain service için temel taşlardan biridir. Microsoft, Privileged Access Management (Ayrıcalıklı Erişim Yönetimi – PAM) stratejisinin bir parçasını oluşturan yeni bir özelliği Windows Server 2016 ile birlikte tanıttı. Özellikle bir otomasyona entegre edilip birlikte kullanıldığında,  korumalı ve idari açıdan hassas hizmetlere Just-In-Time (JIT) erişim sağlamak için kullanılabilir. Bu yapı Azure AD Connect kullanılarak Azure Active Directory ile de senkronize edilebilir.

Time Based Group Membership yani  Active Directory geçici grup üyeliği özelliği varsayılan olarak etkin değildir. Bu gerekliliğin nedeni, Active Directory geçici grup üyeliği özelliğini kullanabilmek için gereken forest level düzeyinin minumum “Windows Server 2016” olmasıdır. Ayrıca Active Directory Time Based Group Membership özelliği etkinleştirildikten sonra devre dışı bırakılamaz.

Forest or Domain Functional Level durumlarını çok hızlı bir şekilde görülebilmesi için PowerShell kullanılabilir. Active Directory PowerShell Modülü, bu modları doğrulamak için kullanılabilecek Get-ADForest ve Get-ADDomain komutlarını içerir.

(Get-ADForest).ForestMode
(Get-ADDomain).DomainMode
Powershell Active Directory Domain ve Forest Function Levels
Powershell Active Directory Domain ve Forest Function Levels

Powershell ile Privileged Access Management (Ayrıcalıklı Erişim Yönetimi – PAM) Özelliğinin Kontrolü

Powershell ile Active Directory Domain Level ve Active Directory Forest Function Level doğrulandıktan sonra, isteğe bağlı etkinleştirilen  Privileged Access Management (Ayrıcalıklı Erişim Yönetimi – PAM) özelliğinin durumu yine Powershell ile kontrol edilebilir. Bu test için Get-ADOptionalFeature komutu kullanılabilir.

Get-ADOptionalFeature -Filter {Name -like "Privileged*"}
PowerShell ile Active Directory Privileged Access Management özelliğinin kontrolü
PowerShell ile Active Directory Privileged Access Management (PAM) özelliğinin kontrolü

Ne beklendiği bilinmiyorsa, bu komutun çıktısı biraz bunaltıcı görünebilir ancak basitçe ilgilenilecek bilgiler “EnabledScopes” alanı içindedir denilebilir. Bu alan Active Directory üstünde bu özelliğin  eğer etkinleştirilmişse nerede uygulandığı ve faaliyet alanlarını  gösterir. Powershell komut çıktısı, bu özelliğin şu anda bir kapsamının olmadığını yani etkinleştirilmediğini göstermektedir.

Powershell ile Privileged Access Management Özelliğini Etkinleştirme

Doğrulama adımları tamamlandıktan sonra, bu özelliğin etkinleştirilmesi tek satır PowerShell kullanarak yapılacak kadar basittir.

$domain = (Get-ADDomain).DNSRoot
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target $domain
Powershell ile Privileged Access Management (PAM) Özelliğini Etkinleştirme
Powershell ile Privileged Access Management (PAM) Özelliğini Etkinleştirme

Powershell ile Privileged Access Management (PAM) özelliği etkinleştirildikten sonra, bir kez daha Get-ADOptionalFeature komutu kullanılarak etkinleştirilip etkinleştirilmediği doğrulanabilir.

Powershell ile Privileged Access Management (PAM) Özelliğinin Kontrolü
Powershell ile Privileged Access Management (PAM) Özelliğinin Kontrolü

Büyük veya karmaşık bir Active Directory ortamında daha fazla ilerlemeden önce bu özelliğin tamamen tüm ortama replikasyonunu beklemek gereklidir. Her bir Domain Controller üstünde durumu denetlemek Get-ADOptionalFeature komutu -Server parametresi ile kullanılarak yapılabilir.

Get-ADOptionalFeature -Filter {Name -like "Privileged*"} -Server "dc01.aktifdizin.lab"

Time Based Group Membership (Active Directory Geçici Grup Üyeliği) Kullanımı

Önceki adımlar başarılı bir şekilde uygulanabildiyse, Active Directory Time Based Group Membership yani Active Directory Geçici Grup Üyelik özelliği kullanılmaya başlanabilir.

Aşağıdaki örnekteki ilk satır bir zaman aralığı nesnesi oluşturmaktadır. New-TimeSpan komutu kullanılarak Dakika, Saat ve Gün (Minutes, Hours, Days) parametreleri belirtilebilir.

Powershell ile zaman aralığı oluşturulduktan sonra, MemberTimeToLive parametresi eklenerek Add-ADGroupMember komutu kullanılabilir.

Kullanıcı gruba eklendiğinde, Active Directory geçici grup üyeleri listesini çekmek ve kullanıcının gruba eklendiğini doğrulamak için Get-ADGroupMember komutu kullanılabilir. Süre bitiminde Get-ADGroupMember komutu çalıştırıldığında, kullanıcının artık bu grubun üyesi olmadığı ve otomatik olarak kaldırıldığı görülebilir.

$minutes = New-TimeSpan -Minutes 3
Add-ADGroupMember -Identity "Domain Admins" -Members "ahmet.elibol" -MemberTimeToLive $minutes
Get-ADGroupMember "Domain Admins" | Select Name
Powershell ile Active Directory Time Based Group Membership (Active Directory Geçici Grup Üyeliği)
Powershell ile Active Directory Time Based Group Membership (Active Directory Geçici Grup Üyeliği)

Active Directory Geçici Grup Üyeleri Listesi Nasıl Alınır?

Active Directory geçici grup üyeleri listesi kalan süreleri (TTL) ile birlikte aşağıdaki Powershell komutu ile alınabilir:

Get-ADGroup 'Domain Admins' -Property member -ShowMemberTimeToLive
Powershell ile kalan süreleri ile birlikte Active Directory geçici grup üyeleri listesi almak (Active Directory Time Based Group Membership)
Powershell ile kalan süreleri ile birlikte Active Directory geçici grup üyeleri listesi almak (Active Directory Time Based Group Membership)

Bu makalede, Active Directory Time Based Group Membership (Active Directory geçici grup üyeliği – Active Directory zamana dair / zamanlanmış grup üyeliği), Active Directory geçici grup üyeleri listesi almak, Active Directory geçici grup üyesi eklemek gibi yetenekler üzerinde duruldu. Bu özellikle dışarıdan profesyonel destek hizmetleri alan bilgi teknolojileri çalışanlarına yardımcı olacağı düşünülmektedir. Zaman ayırdığınız için teşekkür ederiz. Soru, görüş ve önerilerinizi aşağıdaki formu kullanarak bize iletebilirsiniz.

Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

İlgili Makaleler

2 Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu