Kategori arşivi: Active Directory

Active Directory Group Policy Modeling Nedir?

Active Directory üzerinde Group Policy Management Console kullanıyorsanız eğer dikkatinizi aşağıdaki başlık çekmiştir.

GPO doğası gereği site, domain veya OU bazlı uygulanır. Bir bilgisayar veya kullanıcı kendisine uygulanan tüm GPO ilkelerini kümülatif olarak alır. Bir nevi hepsinin toplamı (çakışma dışında, çakışma anında en yakın gpo en baskın gpo olacaktır) uygulanacak şekilde düşünebilirsiniz. Küçük bir şirket organizasyonunda sistem yöneticisi bu mimariyi kolay yönetebilir. Ancak çok büyük organizasyonlarda bazen GPO çakışmaları çok büyük kesintilere bile yol açabilir. Bu nedenle bir GPO değişikliği yapmadan önce veya planlanan bir GPO değişikliğini uygulamadan önce nasıl bir sonuç vereceğini kontrol etmek isterseniz GPO Modeling özelliğini kullanabilirsiniz.

Group Policy Result ile bazen Modeling çok karıştırılıyor, çünkü ikisinde de hedef bilgisayar, kullanıcı gibi kavramlar var, ancak Result mevcut bir kullanıcı veya makineye uygulanan GPO ayarlarını görmek için kullanılırken Modeling henüz uygulamadığınız ama uygulamayı düşündüğünüz bir GPO modeli için sonuç gösterecektir.

Loopback Processing Nedir? Nasıl Yapılır?

Bir GPO özelliğidir. Normal şartlarda bir GPO içerisinde kullanıcı ve bilgisayar olmak üzere temel iki konfigürasyon grubu vardır. Kullanıcı ayarlarındaki değişiklikler kullanıcıları, bilgisayar ayarlarındaki değişiklikler ise bilgisayarları etkilemektedir. Ancak bazı durumlarda bu özellik bizim sorunlarımıza çözüm olmayabilir. Örneğin sizin şirketinizde şube çalışanları öncelikle kendi bilgisayarlarına giriş yapıyordur ve bu durumda o kullanıcıların bulunduğu yapısal birim üzerine ( OU ) tanımlı GPO ne ise o GPO içerisindeki kullanıcı ayarları uygulanır. Örneğin masa üstüne bir kısa yol gelmesi, başlat menüsünde çalıştırın olmaması, internet explorer için proxy ayarları ve benzeri. Ancak bu kullanıcı birde terminal server üzerinden çalışma ihtiyacı duyuyor fakat terminal server üzerinde farklı kullanıcı policyleri tanımlamak istiyorsanız bu durumda GPO üzerinde loopback processing dediğimiz özelliği kullanıyoruz.

Örneğin kullanıcılar kendi bilgisayarlarında son derece sınırlı bir yetki ile çalışması için bir GPO uyguladınız, ancak bu kullanıcılar asıl işlemlerini yapmak için terminal server’ a bu GPO ile bağlanınca sorun oluyor çünkü bu GPO, çalışmak için çok sınırlı. İşte bu durumda şunu yapıyoruz.

Bu kullanıcı diyelim “Muhasebe” OU altında olsun ve biz bu Muhasebe OU suna sınırlı bir ayar yapalım. Daha sonra ise Terminal Server OU su üzerinde bir GPO yazalım. Normalde bu OU altında sadece bilgisayarlar olduğu için bu GPO User ayarları anlamsız gibi gelir, ama siz eğer Loopback kullanacaksanız bu durumda User ayarlarını istediğiniz gibi yapıyorsunuz. Yani Terminal Server’ a giriş yapıldığında kullanıcılara hangi ayarların uygulanmasını istiyorsanız onları yapın. Son olarak Terminal Server’ a giriş yapan kullanıcıların kendi OU su üzerindeki ( Muhasebe ) GPO ayarları yerine bu terminal server OU suna bağlı ayarların geçerli olması için bu GPO üzerinde aşağıdaki ayarları yapabilirsiniz

 

Computer Configuration – Administrative Templates – System – Group Policy bölümünde  Enable the Loopback Policy kısmına giriyoruz ve karşımıza iki seçenek çıkıyor,

 

Merge Mode
Bu seçenekte hem kullanıcı ( Muhasebe ) OU sunda hemde bilgisayar ( Terminal Server ) OU sundaki kullanıcı ayarları ortak olarak uygulanır ancak baskın olan kullanıcı ( Terminal Server ) OU sundakilerdir.

 

 

Replace Mode

 

Bu seçenekte ise sadece bilgisayar ( Terminal Server ) OU sundaki kullanıcı GPO ayarları geçerli olur.

Makale için aşağıdaki linki kullanabilirsiniz;

https://www.cozumpark.com/blogs/windows_server/archive/2008/04/09/group-policy.aspx

Credential Guard Özelliğini Domain Controller Üzerinde Açmayınız

Malum Windows Server 2016 ve Windows 10 ile beraber belki de en dikkat çeken yenilikler güvenlik alanında olmuştur. Özellikle hak yükseltme tekniği ile son kullanıcı bilgisayarlarından birine sızan kötü niyetli bir kişinin hızlı bir şekilde nasıl domain admins grubu üyesi olduğunu ve bu hakkı nasıl kötü kullandığını gerek global gerekse yerel pek çok şirkette ne yazık ki gördük.

Bu nedenle yeni nesil güvenlik önlemleri olan Credential Guard ve Device Guard çok kullanışlı teknolojilerdir. Ancak burada bir istisna var, Domain Controller üzerinde Microsoft Credential Guard kullanmayı önermemektedir, hatta desteklenmeyen bir senaryo olduğunu söylemektedir. Bu nedenle yeni projeleriniz bu detayı lütfen unutmayınız.

Kaynak

https://blogs.technet.microsoft.com/datacentersecurity/2017/02/21/why-you-should-not-enable-credential-guard-on-domain-controllers/

Windows 10 ve Server 2016 Üzerinde “Check online for updates from Microsoft Update” Linki Nerede?

Eğer WSUS olan bir ortamda en güncel yamaları almak isterseniz alışageldiğimiz “Check online for updates from Microsoft Update” linkini arayabilirsiniz. Özellikle yeni kurulan sunucular veya istemcilerde en güncel yamaları almasını isteriz. Ancak Windows 10 veya Server 2016 da bunu göremeyebilirsiniz;

Bunu göremiyorsanız eğer aşağıdaki kayıt defterinde bir değişiklik yapın

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

Bu bölüme aşağıdaki gibi yeni bir DWORD ekleyin ve değerini sıfır yapın

DisableWindowsUpdateAccess

Ardından sunucuyu bir kez restart etmeniz yeterlidir. Eğer kritik bir sunucu ise Windows Update servisini restart edip deneyebilirsiniz.

Eğer bu sorunu çözmez ise aşağıdaki link üzerinden 1607 için ADMX dosyasınız indiriniz;

Not: Bu sorun 1607 da göründüğü için onu indirin diyorum, eğer siz bu sorunu farklı bir sürümde yaşıyorsanız onu indirin. Mevcut sürümü görmek için “winver” komutunu kullanabilirsiniz.

https://www.microsoft.com/en-us/download/details.aspx?id=53430

Diğer sürümler için ADMX dosyasına aşağıdaki link üzerinden ulaşabilirsiniz

https://support.microsoft.com/en-in/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra

Daha sonra ilgili ADMX dosyalarını DC lerden birindeki Central Store a kopyalayın.

https://www.hakanuzuner.com/index.php/group-policy-iin-adm-ve-admx-sablonlari-adm-vs-admx-templates.html

Daha sonra Windows Server 2016 makinede bir gpupdate çalıştırın ve restart edin.

 

DNSSEC Nedir?

Malum internet aleminin adres defteri DNS’ dir ve aslında biz her adresi ziyaret etmeden önce DNS’ e bir sorgu göndeririz. Çok bilinen bir açıklama olan IP adreslerini aklımızda tutamıyoruz ama isimleri tutuyoruz, bu nedenle DNS Serviside isimleri ip adreslerine çeviren temel bir isim çözümleme servisidir. Buradan yola çıkarak DNS güvenliği son derece önemlidir. Yani bir DNS sunucusuna sorduğumuz sorunun cevabı olan IP adresi gerekten ilgili domain’ e ait olmalıdır. Örneğin www.cozumpark.com adresini sorduğunuz zaman DNS 188.132.200.15 ip adresini döner, sizde buraya bir paket gönderir iletişim sağlarsınız. Eğer DNS istekleri bir şekilde zehirlenir ve 188.132.200.15 yerine x.x.x.x gibi farklı bir ip adresine yönlendirilir ve orada da benzer bir site var ise kullanıcı şifresini o sisteme verecektir. Bundan dolayı güvenli bir internet için DNSSEC kullanılabilir. DNSSEC, kullanıcıları, verilerin belirtilen kaynaktan geldiği ve aktarma sırasında ( yani bir DNS den diğer DNS sunucusuna aktarılırken) değiştirilmediğini doğrular. DNSSEC aynı zamanda bir alan adının (domain) mevcut olmadığını da ispatlayabilir.

Ancak DNSSEC çoğu kez yanlış anlaşılmış bir servistir, DNS Ddos gibi saldırılarda işe yaramaz, DNS aktarımlarında verinin gizliliğini sağlamaz (değiştirilmemesini sağlar), buradaki kritik nokta sorgu ve cevapların güvenilirliğinin sağlanmasıdır.

Kritik soru ise, ben internal bir AD yapısında DNSSEC kullanmalıyı mıyım? Eğer şirket içerisinde network güvenliğinizi iyi sağlayamıyorsanız ve içeriden DNS sorgularına karşı bir atak yapılabileceğini düşünüyorsanı evet kullanabilirsiniz. Bunun için aşağıdaki makaleleri inceleyebilirsiniz.

https://technet.microsoft.com/en-us/library/dn593684(v=ws.11).aspx

https://technet.microsoft.com/en-us/library/hh831411(v=ws.11).aspx

 

Domain Controller ve Client’ların saat senkronizasyonu

Bu konuda çok fazla kaynak paylaşımı yaptığım için bu sefer özet ve komut seti temelli bir paylaşacağım yapacağım. Aşağıdaki komut setleri ile özellikle PDC makinesini dış bir kaynaktan ( windows, tubitak, ntp.org vb ) zaman bilgisini güncellmesi için ayarlayabilirsiniz.

Eğer PDC makinesinden emin değilseniz cmd ekranında

netdom query fsmo

veya powershell ekranında aşağıdaki komut ile PDC yi tespit edebilirsiniz

[System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest().RootDomain.PdcRoleOwner.Name

Yada aşağıdaki komutu kullanabilirsiniz

dsquery server -hasfsmo pdc

PDC’ yi bulduktan sonra PDC makinesine logon oluyoruz.

Komut setini yönetici yetkisi ile açıyoruz ve aşağıdaki komutu çalıştırıyoruz

w32tm.exe /config /manualpeerlist:”0.us.pool.ntp.org, 1.us.pool.ntp.org, 2.us.pool.ntp.org, 3.us.pool.ntp.org” /syncfromflags:manual /reliable:YES /update

Daha sonra

w32tm.exe /config /update

Restart-Service w32time

Kontroller için

Zaman bilgisini anlık olarak güncellemesi için
w32tm /resync /nowait

NTP ayarlarını kontrol etmek için
w32tm /query /configuration

Zaman kaynağını görüntüleme için
w32tm /query /source

Ayarladığımı tüm NTP sunucularının durumunu göstermek için

w32tm /query /peers

Zaman sunucusunun durumunu göztermek için, örneğin csmo yani local mi yoksa external bir time server ayarlımı

w32tm /query /status

PDC tarafındaki işlemlerimiz bitti, diğer DC, sunucu ve istemciler için aslında varsayılanda ek bir şey yapmaya gerek yoktur. Ancak özellikle DC leri kontrol etmekte fayda var.

w32tm /config /update /syncfromflags:DOMHIER
w32tm /resync /rediscover
Daha sonra
net stop w32time

net start w32time

Time server ayarlarını varsayılan yapmak için

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

The directory service is missing mandatory configuration information – Event ID 2091

Bu makalemde sizlere bazı müşterilerimizin Active Directory geçiş projelerinde veya sağlık tarama çalışmalarında karşımıza çıkan bir sorunun çözümünden bahsedeceğim. Aslında yeni ve güncel bir sorun olmamasına karşın bazı müşterilerde yaşanıyor olmasından kaynaklı bunu paylaşmak istedim. Bir domain controller sunucusu üzerinde directory servisini kaldırmaya kalktığınız zaman aşağıdaki gibi bir hata alabilirsiniz;

The operation failed because:

Active Directory Domain Services could not transfer the remaining data in directory partition DC=ForestDNSZones,DC=DOMAIN,DC=LOCAL to Active Directory Domain Controller \\CP.DOMAIN.LOCAL.

Okumaya devam et

Azure AD Connect Health

Hali hazırda on-prem kimlik doğrulama sistemlerini azure ad connect gibi ürünler üzerinden bulut ile eşitleyen müşterilerin bu eşitlemelerin sağlıklı gerçekleşip gerçekleşmediğini izlemesi için Azure AD Connect Health servisini kullanabilirler.

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-health/

 

Azure Active Directory Identity Protection – Bölüm 2 Kullanım Senaryoları

Makalemin ilk bölümüne sizlere Microsoft Azure AD Identity Protection servisinin genel tanımını ve nasıl çalıştığını anlattım. Makalemin bu bölümünde ise sahip olduğunuz Microsoft Azure hesabı için bu servisi nasıl kullanacağınızı göstereceğim.

Ürünü kullanmak için öncelikle portal’ a erişelim sağlamamız gerekmektedir.

https://portal.azure.com/

Daha sonra sol üst köşedeki artı tuşuna basarak arama menüsüne “Azure AD Identity” yazalım

Not: Eğer sizin de benim gibi birden çok hesabınız ve directory tanımınız var ise hangi domain hesabınız için bu özelliği kullanacağınızı hesap seçimi yaparak gerçekleştirmeniz gereklidir

1

Bu seçimi yaptıktan sonra aşağıdaki gibi adımları yerine getiriyoruz

Aure AD Identity Protection ürününe tıkladığımız zaman sağ tarafta aşağıdaki gibi bir pencere açılır ve buradan “Create” diyerek bu ürünü kullanmak için ilk adımı gerçekleştirmiş oluyoruz.

Okumaya devam et