Windows Server 2012–Dynamic Access Control , Part 3
Merhaba;
Dynamic Access Control Part 2 isimli yazımda (https://aydogmusoglu.com/windows-server-2012-dynamic-access-control-part-2.html) ; Central Access Rule ve Policy’lerini , Active Directory tarafındaki yapılandırmaları ve kerberos protokolü için gereken yapılandırmaları açıklamıştım. Konu ile ilgili 3. yazımda file server tarafını inceleyerek test yapağız ve uygulamayı tamamlayacağız.
Dynamic Access Control için File Server’ın Hazırlanması:
Öncelikle Server1’e consoto\administrator ile giriş yaparak File Server rölünü kuralım.
Kurulum hayli kısa sürecektir.
Kurulum bititkten sonra bir paylaşım açıyoruz.Paylaşım açmak icin File and Storage Services konsolunu kullanabilirsiniz.Yada bilinen klasik yollarla bir paylaşım açabilirsiniz. Ama ilgili konsol oldukça işlevsel.
Marketing isimli bir paylaşım olusturdum. Paylaşım özelliklerini inceleyelim. Aşağıda görüldüğü gibi classification isimli bir tab mevcut. İçersinde herhangi bir değer görünmüyor. Burada olması gerekenler daha önce belirlediğimiz Resource Property’lerdir. Eğer sizde Resource Property’leri göremiyorsanız update yapabilirsiniz.
Server1’de PowerShell’ı açarak update işlemini aşağıdaki cmdlet ile yapıyorum.
Paylaşım özelliklerine tekrar bakıyorum.
Kullanmak istediğiniz Resourse Property değerini value’larını set ederek yapılandırabilirsiniz.
Marketing paylaşımının Security tab’ın geçiyoruz ve Advanced menüsü açıyoruz. Central access policy’yi seçiyoruz. Hemen alt kısmında uygulanacak Rule’u göstermektedir.
Ardından Apply,OK ve OK ile paylaşımı kapatabilirsiniz.Artık test yapabiliriz. Öncelikle Active Directory domain’imdeki test amaçlı kullanacağım user account’larına bakalım.
Üstteki kullanıcı listesine göre selda ve jane kullanıcısının paylaşım üzerinde izni olmalı. Baris ve John kullanıcısının izni olmamalıdır. Hızlı ve kolay bir kontrol için paylaşım özelliklerinden Effective Permissions tab’ını kullanalım.
Bir kaç kullanıcıyı seçerek test edebiliriz. Öncelikle Baris kullanıcısının efektif izinlerine bakmak istiyorum.
Görüldüğü gibi Access, oluşturduğumuz Rule’lara ve Policy’ye istinaden limitlenmiş.
Selda kullanıcısı için ise aynı durum söz konusu değil. Çünkü Departmanı Finance , Country ismi US ‘dir.
Eğer Baris içinde aynı durum olmuş olsaydı ;
erişim yetkileri selda ve jane kullanıcısına benzer olacaktı. Üstten görüldüğü gibi bir claim için varsayımlara bakabiliriz.(yani hangi durumda ne oluyor gibi)
Not: Selda kullanıcısı Full Control ve bir kaç izne sahip değil. Bunun sebebi marketing isimli paylaşımın security tab’ında Authenticated Users gibi genel bir grubun olmamasıdır. Security Tab’ına dikkatli bakacak olursak Selda, Baris,Jane ve Joe kullanıcıları için açıkça bir erişim izni tanımlı değildir. Dynamic Access devreye girmektedir.Override!!!.
Paylaşımlara yapılan erişim denemelerini ve Dynamic Access Control’ün gözlemini yapmak isterseniz daha önce oluşturduğunuz policy üzerinde(benimki DAC Policy idi) aşağıdaki Audit işlemini devreye alabilirsiniz.Diğer audit policy’lere de dikkat ediniz.
Audit mekanızmasını etraflıca incelemek isteyenler için http://technet.microsoft.com/en-us/library/hh831542.aspxadresi faydalı olacaktır.
Evet , Dynamic Access Control konulu uygulamamızı sonlandırmış olduk. Bence globalde ve Türkiye’de migration işlemlerinden sonra hayli göze çarpacak ve kullanılacak bir özellik ve yenilik olacaktır(RMS ile birlikteliği artı bir puan). Netice Data Loss Preventionkavramının çok önemli olduğu zamanlardayız değil mi ?
Herkese sorunsuz ve neşeli günler….