Active Directory Shadow Group Gölge Grup Yönetimi

Active Directory mimarisinde 2008 ile beraber hayatımıza giren Fine Grained Password Policy sayesinde artık domain ortamında tek bir password policy kullanımı şartı ortadan kalkmıştır. Bu yeni policy sayesinde kullanıcı veya gruplara farklı farklı şifre ve kilitlenme politikaları uygulayabilmekteyiz. Örneğin adminler için sıkı bir politika, kullanıcılar için orta seviyede bir politika ve servis hersapları için yine farklı bir politika belirleyebilir ve bunları kullanıcı yada gruplara bağlayabilirsiniz. Ancak buradaki asıl sorun Fine Grained Password Policy leri OU ( Organization Unit ) lara bağlayamıyor olmamız. Eğer FGPP tanımlamak istiyorsanız bu durumda gruplarınızın buna uygun olarak dizayn edilmesi gerekiyor, ancak bu da günümüz şartlarında biraz zor. Çünkü eski yapıdan gelen alışkanlıklardan dolayı hemen hemen kimse grupları FGPP için ayarlamamıştır, ancak herkesin OU yapısı password policy için ayrı uygulanmaya hazırdır. Bundan dolayı microsoft 2008 ile beraber bu FGP policylerinin OU lara uygulanması için gölge grup denilen shadow groups kavramını çıkarmıştır. Peki nedir bu gölge grup derseniz, Fine Grained Policy' nin uygulanabildiği ve mantıksal olarak bir OU ya bağlanmış gruplardır. Bu sayede siz bu gruba bir policy uygulayarak aslında bir OU ya policy uygulamış olabiliyorsunuz.

Tabiki burada sistem OU içerisindeki kullanıcıların bu grubun üyesi yapılması esasına dayanmaktadır. Buradaki en büyük sorun ise OU dan bir taşıma yaparsanız bu kullanıcı için grup üyeliğini yine güncellemeniz gerekecektir ( yani yeni geldiği OU ya bağlı olan shadow group için üye olmalıdır ki bu OU ya bağlı olan Fine Grained password policy' yi alsın ).

Peki avantajı nedir derseniz, aslında guplara policy uygulamak çok daha avantajlıdır. Neden derseniz ;

1 - Gruplar yine başka gruplarıda içine alarak kullanıcı yönetimini kolaylaştıran ve OU lara göre bu işi daha esnek olarak yapan bir mimariye sahiptir.

2 - Pek çok Ad yapısı hali hazırda grupları sınıflandırdığı için böyle bir policy uygulaması çok daha kolay olacaktır. Yine Windows Server işletim sistemide yönetimi kolaylaştırmak için pek çok hazır grup kullanmaktadır ( Domain Admins, Enterprise Admins, Schema Admins, Server Operators, Backup Operators )

3 - Grup yapınızın FGPP için değiştirilmesi OU yapınızın değiştirilmesine göre daha kolay olacaktır. Çünkü OU yapınız muhtemel policy yönetiminize göre yapılandırıldığı için bunu FGPP için değiştirmek ciddi sorunlara sebep olabilir. Böyle yapısal bir değişiklik çok detaylı bir planlama gerektirmektedir.

Peki gölge gruplar nasıl kullanılır ? Gölge gruplar AD üzerinde aslında yeni bir grup kavramı değildir, mevcut grupların farklı bir şekilde kullanılması sonucu oluşan yeni bir çözümdür.

Bir örnek ile uygulamalı anlatmak isterim.

Öncelikle Domain ortamında bir adet OU açın, ben CP isminde bir OU açtım. Sonra içine bir kaç tane kullanıcı tanımlayın, ben Hakan1, Hakan2 ve Hakan3 isminde 3 kullanıcı tanımladım ve son olarak bir grup oluşturdum, ismi ise Shadow dir.

Şimdi ilk olarak oluşturduğumuz grubun distinguished name' ini alıyoruz

PS C:\Users\Administrator> dsquery group /name Shadow

çıktı;

"CN=Shadow,CN=Users,DC=cozumpark,DC=com"

Bu çıktıyı ilerleyen bölümde kullanacağız.

Benzer şekilde OU içinde DN değerini alıyoruz

PS C:\Users\Administrator> dsquery ou /name CP

çıktı;

"OU=CP,DC=cozumpark,DC=com"

Şimdi shadow grup olacak grubu tanımladık ve OU da hazır. İşleme devam etmeden önce shadow group üyelerinin boş olduğunu doğrulayalım

dsquery group /name FGPP | dsget group /members

çıktı

Boş olacak çünkü üye yok.

Bunu AD Users and Computer aracı üzerindende kontrol edebilirsiniz.

Şimdi ise sıra geldi OU içerisindeki User' ların Shadow grup' a eklenmesi. 

Dsquery user "OU=CP,DC=cozumpark,DC=com" | dsmod group "CN=Shadow,CN=Users,DC=cozumpark,DC=com" -chmbr
çıktı;

dsmod succeeded:CN=Shadow,cn=users,DC=cozumpark,DC=com

Evet şimdi baktığımız zaman Shadow grubunda Hakan1, Hakan2 ve Hakan3 kullanıcılarının üye olduğunu göreceksiniz, yani bu komut sayesinde OU içerisindeki tüm user' lar istediğiniz bir gruba üye olabiliyorlar.