Forum

Domain Admin yetkil...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Domain Admin yetkili kişinin RDP yapmasını engellemek

Mehmet Karaca
(@mkaraca)
Üye

Merhabalar;

Domain Controller'da Domain Admin yetkisine sahip bir kullanıcının Windows sunucumuza RDP yapmasını engelleme şansımız var mıdır?

Alıntı
Konu başlatıcı Gönderildi : 25/03/2021 14:06
Konu Etiketleri

Hasan Emre EROGLU
(@hasanemreeroglu)
Üye

Merhaba,
RDP için bir security group oluşturabilir ,  sonrasında oluşturduğun gruba sadece ,  rdp yapacak kullanıcıları eklersin. Bu grubu RDP yapmasını istemediğin sunucunun RDP gruplarına ekleyerek deneyebilirsin; ancak Domain Admin yetkili biri bunu farklı bir Group Policy basarak veya Computer Management üzerine o sunucuyu ekleyip grup ayarlarını tekrar değiştirebilir ve bağlanabilir. 

CevapAlıntı
Gönderildi : 25/03/2021 14:43

Mehmet Karaca
(@mkaraca)
Üye

@hasanemreeroglu ilginiz ve cevabınız için teşekkür ederim. Dediğiniz gibi domain admin yetkili birisi grup ayarları ile oynayabildiği için çözüm bulamıyorum. 

Server'a erişim için 2 aşamalı doğrulama koyma gibi birşey yapılabilir mi? Sanırım en uygun çözüm böyle birşey olur.

CevapAlıntı
Konu başlatıcı Gönderildi : 25/03/2021 14:48

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba, amacınız nedir? Neden böyle çokta mantıklı olmayan bir şey istiyorsunuz? Sonuçta Domain Admin olan bir kişi MFA sistemi dahil o sunucuda çalışan her şeyi durdurabilir, silebilir, kaldırabilir. Yani boşa kürek çekiyorsunuz, amacınızı paylaşırsanız belki yardımcı olabiliriz.

Benim önerim domain admin olabilir ama network admin değil ise sunucu sistemleri için network seviyesinde vlan ayrımı var ise o sunucuya RDP yapacak ip leri sınırlarsınız. Yine sanal bir sistem ise örneğin esx gibi, panel şifresini yine bilmiyor ise domain admin olması bir şey değiştirmez konsoldan da bağlanamaz. En son ilo veya idrac gibi şeyler var ki dediğim gibi istek çok mantıklı olmadığı için daha fazla yazma motivasyonum yok 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/03/2021 14:51

Mehmet Karaca
(@mkaraca)
Üye

@hakanuzuner teşekkür ederim. Evet isteğim mantıklı birşey değil ancak gerekli. 

Server'ların bulunduğu Vlan ayrı network admin olarak engellemeyi deneyeceğim. ILO ve IDRAC konularını araştıracağım.  Çözüm öneriniz için teşekkür ederim.

CevapAlıntı
Konu başlatıcı Gönderildi : 25/03/2021 14:58

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Rica ederim, bence ıslak bir sopa ile dövün adamı 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/03/2021 15:08

Serkan Ateş
(@SerkanAtes)
Üye

Sopa konusu ilginç olabilir (bknz: budaklı meşe odunu) ama bence sunucuyu domain'den çıkartın. Sonuçta ilgili hesap domain admin. Domain yoksa sorunda yok. Ancak network admininiz ayrı ise o zaman ilgili hesap için bazı güzellikler düşünebilirsiniz fakat 1 kişi için bu kadar uğraşa değer mi bilemiyorum. Alternatif olarak bu sunucularda RDP erişimini kapatıp alternatif remote yazılımları kullanabilirsiniz. Maliyet ve güvenlik konusunu ayrıca tartışmak gerekir.

CevapAlıntı
Gönderildi : 25/03/2021 15:26

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Muhabbet güzelmiş 🙂 bu biraz patrona sen muhasebeye karışamazsın demek gibi olmuş.:)
DA yetkinliğinde birini workgroup'la durduramazsınız bence.:) Gerçi bunu düşünmek zorunda kalan organizasyon için ben network katmanında da durdurulabileceğini pek sanmıyorum.:)

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/03/2021 17:47

Paylaş: