Time Based Group Membership Nedir?
Active Directory Time Based Group Membership Nedir? Active Directory Geçici Grup Üyeliği Oluşturma, Active Directory Zamana Dayalı Grup Üyeliği Nasıl Tanımlanır? Active Directory Zamanlanmış Grup Üyeliği Hakkında
Time Based Group Membership (Active Directory Geçici Grup Üyeliği)
Time based group membership yani active directory geçici grup üyeliği özelliği yöneticilerin bir TTL (Time To Live – Yaşam Süresi) değeri vererek geçici grup üyeliği atamasına olanak tanımaktadır. Tanımlanan TTL değeri Kerberos biletine eklenir. Bu özelliğe ayrıca sona eren bağlantılar (expiring links) özelliği de denir. Bir kullanıcı geçici grup üyeliğine atandığında, giriş Kerberos ticket-granting ticket (TGT) ömrü, tanımlanan TTL değerine eşit olacaktır. Örneğin, “elibol” kullanıcısına, 60 dakika Domain Admins grubuna üye olabilmesi için, geçici grup üyeliği verildi. Kullanıcı bu atamadan sonraki 50 dakika içinde oturum açarsa, Domain Admins grubunun bir üyesi olarak yalnızca 10 dakika kalabilecektir. Dolaysıyla, Domain Controller “elibol” kullanıcısı için yalnızca 10 dakika geçerli olacak bir TGT düzenleyecektir.
Grup üyeliği denetimi ve yönetimi, active directory domain service için temel taşlardan biridir. Microsoft, Privileged Access Management (Ayrıcalıklı Erişim Yönetimi – PAM) stratejisinin bir parçasını oluşturan yeni bir özelliği Windows Server 2016 ile birlikte tanıttı. Özellikle bir otomasyona entegre edilip birlikte kullanıldığında, korumalı ve idari açıdan hassas hizmetlere Just-In-Time (JIT) erişim sağlamak için kullanılabilir. Bu yapı Azure AD Connect kullanılarak Azure Active Directory ile de senkronize edilebilir.
Time Based Group Membership yani Active Directory geçici grup üyeliği özelliği varsayılan olarak etkin değildir. Bu gerekliliğin nedeni, Active Directory geçici grup üyeliği özelliğini kullanabilmek için gereken forest level düzeyinin minumum “Windows Server 2016” olmasıdır. Ayrıca Active Directory Time Based Group Membership özelliği etkinleştirildikten sonra devre dışı bırakılamaz.
Forest or Domain Functional Level durumlarını çok hızlı bir şekilde görülebilmesi için PowerShell kullanılabilir. Active Directory PowerShell Modülü, bu modları doğrulamak için kullanılabilecek Get-ADForest ve Get-ADDomain komutlarını içerir.
(Get-ADForest).ForestMode (Get-ADDomain).DomainMode
Powershell ile Privileged Access Management (Ayrıcalıklı Erişim Yönetimi – PAM) Özelliğinin Kontrolü
Powershell ile Active Directory Domain Level ve Active Directory Forest Function Level doğrulandıktan sonra, isteğe bağlı etkinleştirilen Privileged Access Management (Ayrıcalıklı Erişim Yönetimi – PAM) özelliğinin durumu yine Powershell ile kontrol edilebilir. Bu test için Get-ADOptionalFeature komutu kullanılabilir.
Get-ADOptionalFeature -Filter {Name -like "Privileged*"}
Ne beklendiği bilinmiyorsa, bu komutun çıktısı biraz bunaltıcı görünebilir ancak basitçe ilgilenilecek bilgiler “EnabledScopes” alanı içindedir denilebilir. Bu alan Active Directory üstünde bu özelliğin eğer etkinleştirilmişse nerede uygulandığı ve faaliyet alanlarını gösterir. Powershell komut çıktısı, bu özelliğin şu anda bir kapsamının olmadığını yani etkinleştirilmediğini göstermektedir.
Powershell ile Privileged Access Management Özelliğini Etkinleştirme
Doğrulama adımları tamamlandıktan sonra, bu özelliğin etkinleştirilmesi tek satır PowerShell kullanarak yapılacak kadar basittir.
$domain = (Get-ADDomain).DNSRoot Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target $domain
Powershell ile Privileged Access Management (PAM) özelliği etkinleştirildikten sonra, bir kez daha Get-ADOptionalFeature komutu kullanılarak etkinleştirilip etkinleştirilmediği doğrulanabilir.
Büyük veya karmaşık bir Active Directory ortamında daha fazla ilerlemeden önce bu özelliğin tamamen tüm ortama replikasyonunu beklemek gereklidir. Her bir Domain Controller üstünde durumu denetlemek Get-ADOptionalFeature komutu -Server parametresi ile kullanılarak yapılabilir.
Get-ADOptionalFeature -Filter {Name -like "Privileged*"} -Server "dc01.aktifdizin.lab"
Time Based Group Membership (Active Directory Geçici Grup Üyeliği) Kullanımı
Önceki adımlar başarılı bir şekilde uygulanabildiyse, Active Directory Time Based Group Membership yani Active Directory Geçici Grup Üyelik özelliği kullanılmaya başlanabilir.
Aşağıdaki örnekteki ilk satır bir zaman aralığı nesnesi oluşturmaktadır. New-TimeSpan komutu kullanılarak Dakika, Saat ve Gün (Minutes, Hours, Days) parametreleri belirtilebilir.
Powershell ile zaman aralığı oluşturulduktan sonra, MemberTimeToLive parametresi eklenerek Add-ADGroupMember komutu kullanılabilir.
Kullanıcı gruba eklendiğinde, Active Directory geçici grup üyeleri listesini çekmek ve kullanıcının gruba eklendiğini doğrulamak için Get-ADGroupMember komutu kullanılabilir. Süre bitiminde Get-ADGroupMember komutu çalıştırıldığında, kullanıcının artık bu grubun üyesi olmadığı ve otomatik olarak kaldırıldığı görülebilir.
$minutes = New-TimeSpan -Minutes 3 Add-ADGroupMember -Identity "Domain Admins" -Members "ahmet.elibol" -MemberTimeToLive $minutes Get-ADGroupMember "Domain Admins" | Select Name
Active Directory Geçici Grup Üyeleri Listesi Nasıl Alınır?
Active Directory geçici grup üyeleri listesi kalan süreleri (TTL) ile birlikte aşağıdaki Powershell komutu ile alınabilir:
Get-ADGroup 'Domain Admins' -Property member -ShowMemberTimeToLive
Bu makalede, Active Directory Time Based Group Membership (Active Directory geçici grup üyeliği – Active Directory zamana dair / zamanlanmış grup üyeliği), Active Directory geçici grup üyeleri listesi almak, Active Directory geçici grup üyesi eklemek gibi yetenekler üzerinde duruldu. Bu özellikle dışarıdan profesyonel destek hizmetleri alan bilgi teknolojileri çalışanlarına yardımcı olacağı düşünülmektedir. Zaman ayırdığınız için teşekkür ederiz. Soru, görüş ve önerilerinizi aşağıdaki formu kullanarak bize iletebilirsiniz.
Teşekkürler hocam,
Kaleminize sağlık.
Siteyi takip ettiğiniz için ben teşekkür ederim.