Windows Server

Windows Admin Center Yetkilendirme ve İzleme

Windows Admin Center sunduğu hizmetler düşünülürse kısa bir sürede pek çok sistem yöneticisi tarafından kullanılacak bir üründür. Durum böyle olunca ürünün bize sunduğu en önemli özeliklerden birisi güvenlik ve izleme özelliğidir.

Temel olarak Microsoft’ un yaklaşımı herkese yeterli yetki verip gereksiz yetkilerden doğacak olan kötüye kullanım veya yanlış kullanımı engellemektedir.

Windows Admin Center’ da temel iki rol yer almaktadır.

·         Gateway users

·         Gateway administrators

User rolünün yetkisi temel olarak Windows Admin Center’ a bağlanıp yine uzak sunuculardaki yetkisi dahilinde yönetim yapmaktır.

Administrators rolü ise Admin Center yönetimi için kullanılır. Örneğin Admin Center’ ın kimlik doğrulama mekanizmasını değiştirmek veya kimlerin Admin Center a bağlanıp bağlanamayacağını ayarlar.

Varsayılan olarak gateway kurulduktan sonra browser üzerinden erişmek isterseniz size kimlik bilgisi sorar, bu kimlik bilgisi gateway makinesinin local admin kullanıcı grubu üyelerine erişim izni vermektedir.

Üretim ortamlarında tabiki bu çok geçerli bir yöntem olmadığı için local admin yetkili bir kullanıcı ile sisteme giriş yaptıktan sonra “identity provider” yani kimlik doğrulamasını yapacak sağlayıcıyı seçebiliyoruz.

Bunun için Admin Center’ a giriş yapın, Ayarlar bölümünden “Gateway Access” sekmesine tıklayın.

clip_image001

Şu anda varsayılan olarak Active Directory veya yerel grupları doğruluyor.  Örneğin Add diyerek AD içerisinden bir grup seçebiliriz.

clip_image002

clip_image004

Yukarıda da görebileceğiniz gibi artık Domain Users grubundaki herkes Windows Admin Center’ a user olarak bağlanabilirler. Unutmayın ki bu admin center bağlantı yetkisi olup sunucu yetkisi farklıdır.

Örneğin local yönetici yetkisi ile çalışan Windows Admin Center, domain ortamındaki bir makineyi yönetilen makinelerin arasına eklemek isterse aşağıdaki gibi ek bir kimlik doğrulama istenir.

clip_image006

Sonuç ise aşağıdaki resimde açıkça görüşmektedir. Birisi local bir hesap ile diğer makine ise domain yönetici hesabı ile erişilmiştir.

clip_image007

Veya daha kritik yönetici yetkilerine sahip gruplar için smartcard authantication’ ı zorunlu tutabilirsiniz

clip_image008

Buraya kadar yerel kullanıcı kimlikleri ile çalıştık. Bundan sonra ise eğer Azure hesaplar ile çalışmak isterseniz tek yapmanız gereken aşağıdaki Change butonuna basmaktır.

clip_image009

Ekranın sağ bölümünde yukarıdaki gibi bir seçenek çıkar ve buradan değişikliği yapabilirsiniz.

clip_image010

Azure Active Directory seçtikten sonra bir komut seti indirme linki belirir. Bunun indirelim ve aşağıdaki gibi çalıştıralım

Not: Öncesinde eğer ortamınız hazır değil ise bu iki komutu çalıştırın

Install-Module AzureRM.Resources

Install-Module AzureAD

clip_image012

.\New-AadApp.ps1 -GatewayEndpoint “https://gateway.cozumpark.com”

clip_image014

clip_image016

Artık yönetim için lokal kullanıcılar değil azure üzerindeki kullanıcıları seçebilirsiniz.

Birde daha gelişmiş yönetim için Role Base Access Control özelliğini kullanabilirsiniz ki bunu da ayrı bir makalede detaylandıracağım.

Kullanıcı işlemlerinden sonra sıra olay günlüklerine geldi. Öncelikle Windows Admin Center okuma temelli hiçbir aksiyonu loglamaz. Yani bir adminin bağlanıp sistemleri izlemesi onun için bir değişiklik değildir, ancak herhangi bir değişiklik olur ise Windows olay günlüklerinde “Microsoft-ServerManagementExperience” başlığı altında görebilirsiniz.

clip_image018

Log bilgileri aşağıdaki gibidir

clip_image020

Örnek bir log, tabiki ürün çok yeni olduğu için ilerleyen aşamalarda loglama çok daha iyileştirilecektir.

clip_image021

Makalemin sonuna gelmedim, umarım faydalı bir makale serisi olmuştur. Bir sonraki makalemde görüşmek üzere.

Kaynak

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/plan/user-access-options

 

 

 

 

 

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu