Genellikle kurumsal şirketlerde AD ortamlarında yönetici seviyesinde segmentasyon vardır. Yani örnek siz en yetkili yönetici yetkisine sahipseniz bir hesabınız oluyor ve bu hesap domain admins grubu üyesi oluyor. Oysaki böyle bir durumda bu hesap ile login olduğunuz kendi makineniz dahil her makinede orantısız güç kullanmış oluyorsunuz, bu da en çok bilinen “Lateral Movement” dediğimiz bir atağa davetiye çıkarmaktadır. Çözüm olarak standart bir hakan kullanıcısı, eğer son kullanıcı makinelerine bağlanacaksanız wrk_admin grubuna üye bir hesap, sunucular için srv_admin ve en son ent_admin olmak üzere eğer hepsi sizde ise 4 ayrı hesabınız olmalıdır. Ama büyük şirketler de zaten örneğin son kullanıcı bilgisayarlarına bağlanan helpdesk personeli zaten sunuculara bağlanmaz, bu nedenle onlara iki hesap yeterli olacaktır. Daha kurumsal veya bütçesi olan müşterilerde ise bu işler için genelde PAM kullanıldığını göreceksiniz.
Peki PAM alacak paranız yok veya PAM olsa dahi sonuçta PAM için en önemli konu istemci makineleri ile sunucu network’ un ayrılması ve bunu diyelim bir şekilde bypass edebiliyorsanız mutlaka segmentasyon yapmanız gerekli. İşte bu segmentasyon için en çok kullanılan yöntem (bedava) Restricted Groups ilkesidir. Peki bunu nasıl yapıyoruz derseniz işte cevabı