magnify
Home Windows Server Windows Admin Center User Permission and Logging – Yetkilendirme ve İzleme
formats

Windows Admin Center User Permission and Logging – Yetkilendirme ve İzleme

Windows Admin Center sunduğu hizmetler düşünülürse kısa bir sürede pek çok sistem yöneticisi tarafından kullanılacak bir üründür. Durum böyle olunca ürünün bize sunduğu en önemli özeliklerden birisi güvenlik ve izleme özelliğidir.

Temel olarak Microsoft’ un yaklaşımı herkese yeterli yetki verip gereksiz yetkilerden doğacak olan kötüye kullanım veya yanlış kullanımı engellemektedir.

Windows Admin Center’ da temel iki rol yer almaktadır.

·         Gateway users

·         Gateway administrators

User rolünün yetkisi temel olarak Windows Admin Center’ a bağlanıp yine uzak sunuculardaki yetkisi dahilinde yönetim yapmaktır.

Administrators rolü ise Admin Center yönetimi için kullanılır. Örneğin Admin Center’ ın kimlik doğrulama mekanizmasını değiştirmek veya kimlerin Admin Center a bağlanıp bağlanamayacağını ayarlar.

Varsayılan olarak gateway kurulduktan sonra browser üzerinden erişmek isterseniz size kimlik bilgisi sorar, bu kimlik bilgisi gateway makinesinin local admin kullanıcı grubu üyelerine erişim izni vermektedir.

Üretim ortamlarında tabiki bu çok geçerli bir yöntem olmadığı için local admin yetkili bir kullanıcı ile sisteme giriş yaptıktan sonra “identity provider” yani kimlik doğrulamasını yapacak sağlayıcıyı seçebiliyoruz.

Bunun için Admin Center’ a giriş yapın, Ayarlar bölümünden “Gateway Access” sekmesine tıklayın.

clip_image001

Şu anda varsayılan olarak Active Directory veya yerel grupları doğruluyor.  Örneğin Add diyerek AD içerisinden bir grup seçebiliriz.

 clip_image002

clip_image004

Yukarıda da görebileceğiniz gibi artık Domain Users grubundaki herkes Windows Admin Center’ a user olarak bağlanabilirler. Unutmayın ki bu admin center bağlantı yetkisi olup sunucu yetkisi farklıdır.

Örneğin local yönetici yetkisi ile çalışan Windows Admin Center, domain ortamındaki bir makineyi yönetilen makinelerin arasına eklemek isterse aşağıdaki gibi ek bir kimlik doğrulama istenir.

clip_image006

Sonuç ise aşağıdaki resimde açıkça görüşmektedir. Birisi local bir hesap ile diğer makine ise domain yönetici hesabı ile erişilmiştir.

 

clip_image007

Veya daha kritik yönetici yetkilerine sahip gruplar için smartcard authantication’ ı zorunlu tutabilirsiniz

clip_image008

Buraya kadar yerel kullanıcı kimlikleri ile çalıştık. Bundan sonra ise eğer Azure hesaplar ile çalışmak isterseniz tek yapmanız gereken aşağıdaki Change butonuna basmaktır.

clip_image009

Ekranın sağ bölümünde yukarıdaki gibi bir seçenek çıkar ve buradan değişikliği yapabilirsiniz.

clip_image010

Azure Active Directory seçtikten sonra bir komut seti indirme linki belirir. Bunun indirelim ve aşağıdaki gibi çalıştıralım

Not: Öncesinde eğer ortamınız hazır değil ise bu iki komutu çalıştırın

Install-Module AzureRM.Resources

Install-Module AzureAD

clip_image012

.\New-AadApp.ps1 -GatewayEndpoint “https://gateway.cozumpark.com”

clip_image014

clip_image016

Artık yönetim için lokal kullanıcılar değil azure üzerindeki kullanıcıları seçebilirsiniz.

Birde daha gelişmiş yönetim için Role Base Access Control özelliğini kullanabilirsiniz ki bunu da ayrı bir makalede detaylandıracağım.

Kullanıcı işlemlerinden sonra sıra olay günlüklerine geldi. Öncelikle Windows Admin Center okuma temelli hiçbir aksiyonu loglamaz. Yani bir adminin bağlanıp sistemleri izlemesi onun için bir değişiklik değildir, ancak herhangi bir değişiklik olur ise Windows olay günlüklerinde “Microsoft-ServerManagementExperience” başlığı altında görebilirsiniz.

clip_image018

Log bilgileri aşağıdaki gibidir.

clip_image020

Örnek bir log, tabiki ürün çok yeni olduğu için ilerleyen aşamalarda loglama çok daha iyileştirilecektir.

clip_image021

Makalemin sonuna gelmedim, umarım faydalı bir makale serisi olmuştur. Bir sonraki makalemde görüşmek üzere.

Kaynak

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/plan/user-access-options

 

 

 

 

 

 

 

 

 

 

 

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Windows Admin Center User Permission and Logging – Yetkilendirme ve İzleme için yorumlar kapalı  comments 
© Hakan Uzuner
credit