Bildiğiniz gibi Domain ortamında çalışanlarımız eğer özel bir kullanıcı değil ise Domain User hakkı ile “sınırlı kullanıcı” sıfatında kendi bilgisayarlarında çalışırlar. Bunun en temel sebebi ise işletim sistemi için kritik öneme sahip olan dosyaları, ayarları değiştirmemeleri gerekmesidir. Ancak power user ve benzeri ya da yazılımcılar, tasarımcılar yani domain user haklarından daha fazla yetki istenmesi durumunda bu kullanıcıların domain hesaplarını, kendi bilgisayarlarında local admin yapabiliyoruz. Oysaki bu çok yanlış bir karar. Çünkü onlar bir kere admin olduğumu sizin, bizim kadar özellikle güvenlik alanında tecrübeli olmadığı için bilgisayara kötü bir içeriğin bulaşması veya buna zafiyet oluşturması için bir yanlış konfigürasyon yapabilirler. Ayrıca şirket politikasına uymayan yazılımlar yükleyebilir ve yine lisans sorunlarına neden olabilirler.
Peki çözüm nedir? Öncelikle Domain User + GPO ile maksimum faydayı sağlamaya çalışabilirsiniz ancak ne yazık ki bu çok kullanışlı bir model olmaz. Diğer çözüm ise “Privilege Management” yani yetkililerin yönetilmesidir. Bu konuda ise ne yazık ki bütçeniz olmalıdır. Yani aşağıdaki gibi bir program alarak bu programı ilgili kullanıcıların bilgisayarına yüklüyorsunuz. Kullanıcılar domain user olmasına rağmen onlara önceden tanımlı veya onların her admin ya da privilege, yani yetki talep ettiklerinde isteklerin sizin yönetim konsoluna düşmesini ve onaylamanızı sağlayabilirsiniz. Tabi ki bunlar ucuz programlar değil.
Aşağıdaki ürünlerin yardımı ile son kullanıcı bilgisayarlarındaki yetkileri daha düzgün bir şekilde yönerebilirsiniz
Microsoft Intune
Manage Engine Endpoint Privilege Management
Privilege Management for Windows and Mac – BeyondTrust
Privilege Manager for Windows – OneIdentity
Privilege Manager – Delinea