Windows Server 2012–Dynamic Access Control , Part 3

Merhaba;

Dynamic Access Control Part 2 isimli yazımda (http://www.aydogmusoglu.com/windows-server-2012-dynamic-access-control-part-2.html) ; Central Access Rule ve Policy’lerini , Active Directory tarafındaki yapılandırmaları ve kerberos protokolü için gereken yapılandırmaları açıklamıştım. Konu ile ilgili 3. yazımda file server tarafını inceleyerek test yapağız ve uygulamayı tamamlayacağız.

Dynamic Access Control için File Server’ın Hazırlanması:

Öncelikle Server1’e consoto\administrator ile giriş yaparak File Server rölünü kuralım.

image

Kurulum hayli kısa sürecektir.

Kurulum bititkten sonra bir paylaşım açıyoruz.Paylaşım açmak icin File and Storage Services konsolunu kullanabilirsiniz.Yada bilinen klasik yollarla bir paylaşım açabilirsiniz. Ama ilgili konsol oldukça işlevsel.

image

Marketing isimli bir paylaşım olusturdum. Paylaşım özelliklerini inceleyelim. Aşağıda görüldüğü gibi classification isimli bir tab mevcut. İçersinde herhangi bir değer görünmüyor. Burada olması gerekenler daha önce belirlediğimiz Resource Property’lerdir. Eğer sizde Resource Property’leri göremiyorsanız update yapabilirsiniz.

image

Server1’de PowerShell’ı açarak update işlemini aşağıdaki cmdlet ile yapıyorum.

image

Paylaşım özelliklerine tekrar bakıyorum.

image

Kullanmak istediğiniz Resourse Property değerini value’larını set ederek yapılandırabilirsiniz.

Marketing paylaşımının Security tab’ın geçiyoruz ve Advanced menüsü açıyoruz. Central access policy’yi seçiyoruz. Hemen alt kısmında uygulanacak Rule’u göstermektedir.

image

Ardından Apply,OK ve OK ile paylaşımı kapatabilirsiniz.Artık test yapabiliriz. Öncelikle Active Directory domain’imdeki test amaçlı kullanacağım user account’larına bakalım.

image

Üstteki kullanıcı listesine göre selda ve jane kullanıcısının paylaşım üzerinde izni olmalı. Baris ve John kullanıcısının izni olmamalıdır. Hızlı ve kolay bir kontrol için paylaşım özelliklerinden Effective Permissions tab’ını kullanalım.

image

Bir kaç kullanıcıyı seçerek test edebiliriz. Öncelikle Baris kullanıcısının efektif izinlerine bakmak istiyorum.

image

Görüldüğü gibi Access, oluşturduğumuz Rule’lara ve Policy’ye istinaden limitlenmiş.

image

Selda kullanıcısı için ise aynı durum söz konusu değil. Çünkü Departmanı Finance , Country ismi US ‘dir.

Eğer Baris içinde aynı durum olmuş olsaydı ;

image

erişim yetkileri selda ve jane kullanıcısına benzer olacaktı. Üstten görüldüğü gibi bir claim için varsayımlara bakabiliriz.(yani hangi durumda ne oluyor gibi)

Not: Selda kullanıcısı Full Control ve bir kaç izne sahip değil. Bunun sebebi marketing isimli paylaşımın security tab’ında Authenticated Users gibi genel bir grubun olmamasıdır. Security Tab’ına dikkatli bakacak olursak Selda, Baris,Jane ve Joe kullanıcıları için açıkça bir erişim izni tanımlı değildir. Dynamic Access devreye girmektedir.Override!!!.

Paylaşımlara yapılan erişim denemelerini ve Dynamic Access Control’ün gözlemini yapmak isterseniz daha önce oluşturduğunuz policy üzerinde(benimki DAC Policy idi) aşağıdaki Audit işlemini devreye alabilirsiniz.Diğer audit policy’lere de dikkat ediniz.

image

Audit mekanızmasını etraflıca incelemek isteyenler için http://technet.microsoft.com/en-us/library/hh831542.aspxadresi faydalı olacaktır.

Evet , Dynamic Access Control konulu uygulamamızı sonlandırmış olduk. Bence globalde ve Türkiye’de migration işlemlerinden sonra hayli göze çarpacak ve kullanılacak bir özellik ve yenilik olacaktır(RMS ile birlikteliği artı bir puan). Netice Data Loss Preventionkavramının çok önemli olduğu zamanlardayız değil mi ?

Herkese sorunsuz ve neşeli günler….

Leave a Reply

Your email address will not be published. Required fields are marked *