Domain user a belli...
 
Bildirimler
Hepsini Temizle

Domain user a belli bir exe kurma yetkisi vermek  

  RSS
Mehmet BALKAy
(@mehmetbalkay)
Üye

Merhabalar,

Her kullanıcının domain user olduğu bir domain ortamında, kullanıcı bazlı bir uygulama (SSL VPN için) kurma yetkisine ihtiyaç var. Şöyle ki : 

  • Domain user için kullanıcı adı "mehmetbalkay"
  • Kurulması istenen dosya adı "mehmetbalkay@brd.local__ssl_vpn_client.exe" 

Sadece bu isimli bir dosyayı, domain user olan bir kullanıcıya kurdurabilmek için bir yol var mıdır?

Teşekkürler, iyi çalışmalar.

Alıntı
Gönderildi : 04/02/2019 13:57
Semih İMİR
(@semihimir)
Üye

Merhaba,

Runas'ı inceleyebilirsiniz. Runas hakkında forumda birçok konu mevcut. 

http://www.cozumpark.com/forums/post/38366.aspx

https://www.windows-commandline.com/windows-runas-command-prompt/

runas /user:administrator C:\data\mybatchfile.bat


CevapAlıntı
Gönderildi : 04/02/2019 16:44
Mehmet BALKAy
(@mehmetbalkay)
Üye

Merhaba üstadım,

Cevabınız için teşekkürler. Bahsettiğiniz runas komutu mantık olarak işimizi görecektir. Ancak bunu son kullanıcıyla paylaşmak çok efektif olmuyor malesef.
Son kullanıcı portala kullanıcı adı ve şifreyle girip, kendine özel exe dosyasını indirip çift tıklayıp çalıştıracak. Olay tam olarak o açıkçası.

Runas işin farklı bir boyutu olarak çözüm olacaktır ancak amacım , son kullanıcıya exe den başka bir şeye tıklama gerekliliğine sokmadan nasıl yol alabiliriz onu bulmak.

Tekrar teşekkür ederim.

CevapAlıntı
Gönderildi : 04/02/2019 17:33
Semih İMİR
(@semihimir)
Üye

Merhaba,

Kullanıcılara kurduracağınız exe ler standart değil mi? Her kullanıcı için spesifik kurulumlar mı mevcut? Program kurulumunu batch script ile yaptırabilirsiniz. Kullanıcılarınıza script dosyasını indirtip tıklatacaksınız sonrasında runas'a verdiğiniz credential bilgilerine göre program kurumu yapılacak. Program yolu olarak da sunucularınız üzerinde paylaşıma açtığınız bir konum vereceksiniz. Linkte örneği mevcut, bir inceleyin derim.

https://community.spiceworks.com/scripts/show/1089-runas-example

 

CevapAlıntı
Gönderildi : 04/02/2019 17:56
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Yetki ağacına göz atmakta fayda var. Kullanıcı herhangi birşey kurabilecekse domain user olmasının anlamı kalmıyor malumunuz. 🙂
Kullanıcı kafasına göre birşey kuramasın dediğimizde planlama, iş yükü bizlere bakıyor malum. Kurup bozduğunda da bize bakıyor nasıl olsa.:)
Ustanın dediği gibi runas çok konuşuldu planı size bağlı. Her şekilde arada yetkiyi devredecek 3rd bir uygulama kullanımı lazım. Yada siz uygulamayı merkezi olarak cihazlara basacaksınız.
Bunun dışında bir grup ise bu şayet local admin yapıp uygulama yasaklama yoluna gidilebilir.
https://www.cozumpark.com/blogs/windows_8/archive/2014/06/22/windows-8-1-applocker.aspx
Diğer türlü sürekli işler için Avecto gibi uygulamalarda seçenek.
https://www.nebulabilisim.com.tr/urunler/avecto
Bir de emco remote installer gibi sizin hızlıca merkezi uygulama basabileceğiniz 3rd uygulamalar mevcut.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 04/02/2019 18:13
Mehmet BALKAy
(@mehmetbalkay)
Üye

Değerli yanıtlarınız için çok teşekkürler.

Şöyle bir durumu kısaca özetlemem gerekiyor. Tüm kullanıcılarım domain user. Hiç bir ayar, program yetkisi vb. yok. Olmayacakta. 

Sadece, SSL VPN kurulumu için, Sophos un lokal portalına girip, kendine ait exe dosyasını indirip kurmasına izin vermek istiyorum.

Portaldan dosyaları tek tek indirmek, sunucuya atmak vb. mantıklı değil. Zira, kullanıcı lokalde değilken de bunu yapabilsin istiyorum.

Tam anlatabildin umarımki. Yani bir nevi tek kullanımlık bileti olsun kullanıcının, tek kurulum yapsın ve o kurulumu da sadece ve sadece 

"username@domain.local__ssl_vpn_client.exe" isimli uygulama için yapabilsin istiyorum. Çok şey istiyorum sanki, bana da öyle geliyor okuyunca 🙂

Vardır bir yolu mutlaka diye de umut ediyorum :))

CevapAlıntı
Gönderildi : 04/02/2019 19:39
Semih İMİR
(@semihimir)
Üye

Merhaba,

Sürecinizi gözden geçirin derim 🙂 Kullanıcıya lokal adminlik vermediniz kurulum yapsın istiyorsunuz.Dışarıda vpn bağlantısı dahi olmayan kullanıcı için vpn client uygulamasını kursun istiyorsunuz. Adam yetkiyi bir yerden,authority sağlayacıdan çekebilsin ki programı kurabilsin. Bence havada kalan şeyler var. Eğer yapabilirseniz paylaşın bizde öğrenmiş olalım 🙂 Bilen yapan varsa konuya cevap verecektir.

CevapAlıntı
Gönderildi : 04/02/2019 20:42
Mehmet BALKAy
(@mehmetbalkay)
Üye

[quote user="Semih İMİR"]

Merhaba,

Sürecinizi gözden geçirin derim 🙂 Kullanıcıya lokal adminlik vermediniz kurulum yapsın istiyorsunuz.Dışarıda vpn bağlantısı dahi olmayan kullanıcı için vpn client uygulamasını kursun istiyorsunuz. Adam yetkiyi bir yerden,authority sağlayacıdan çekebilsin ki programı kurabilsin. Bence havada kalan şeyler var. Eğer yapabilirseniz paylaşın bizde öğrenmiş olalım 🙂 Bilen yapan varsa konuya cevap verecektir.

[/quote]

 

Değerli üstadım,

Sürecimle ilgili bir sıkıntı olduğunu düşünmüyorum. Elbetteki yorumlarla geliştirmeye de açığım. 

Sürecin, sizin tarafınızda tam oturmadığını düşündüğüm taraflarını şöyle açıklayayım : 

  • Kullanıcıya local veya domain adminlik vermeden sadece belli bir isimdeki .exe dosyasına kurulum için yetki vermek istiyorum.
  • Adam vereceğimiz tek dosyalık kurulum için yetkiyi lokalde dc de oturum açtığında gpo ile çekmeli, derdim tam olarak bu.
  • Dışarda vpn bağlantısı dahi olmayan kullanıcı, en az bir defa dc de oturum açmış olacağından bu yetkiyi mutlaka çekmiş olacak zaten.
  • Yapabilirsem mutlaka daha önceki konularımda olduğu gibi buradan paylaşacağım , sizin de benimle birlikte öğrenmenizi sağlayacağım. Şüpheniz olmasın 😉

Tekrar önerileriniz için teşekkürler.
Farklı önerileri olan varsa, memnuniyetle denemek isterim.

CevapAlıntı
Gönderildi : 05/02/2019 00:55
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Bilen olmaz çünkü öyle bir sistem yok malumunuz. 🙂
Olsaydı zaten runas ve domain user installation konusu defalarca geçti yazılırdı.:)
http://www.cozumpark.com/forums/thread/537302.aspx

Mehmet hocam;
".exe dosyasına kurulum için yetki vermek istiyorum"

diyorsunuz ancak User'ın OS üzerinde tümden yetkisizliğini atlıyorsunuz. Yetki ağaçları ve etkilerine baksanız aslında basit bir trick olmayacağını anlayacaksınız. Ne yapabilmesi lazım kullanıcının o durum için yetkisini egale etmesi, aşırması lazım bunu da yukarıda tarif edilen yöntemlerle yaptırabiliyoruz. Kullanıcı yapamaz çünkü elinde access sahibi şifre yok. Runas ve benzeri diğerleri yaptığı şey zaten tanımlanan, atanan yetkili kullanıcı ile prosesi işletmek.
GPO bunu tekil basamaz çünkü OS da ki user privilages, credential o şekilde işlemiyor. Şayet o kadar basit olsaydı trojan injection herkese çok basit olurdu. 🙂
Kaynağı GPO tanımalı ve install sürecini kendisine belirtildiği şekilde işletebilmeli dizayn opsiyonları bu şekilde. Süreci ancak bir kullanıcı belirtebilir yada o cihaza atanan admin credential ile yapabilir. Kaynağı belirsiz çünkü uğraştığınız GPO yayıncının isimlendirme değişikliği ile boşa düşer belirttiğiniz dosya isminde versiyon bazlı isimlendirmeye gidilebilir dikkat ederseniz.
Webden çektirilemez değil bu işlem GPO baktığı kaynakta hangi dosya olduğunu nereden bilecek? Hadi ftp den çektirdiniz diyelim hangisini kuracağını nereden bilecek? 🙂 GPO schedule job haricinde hadi User VPN ile erişiyor olsun ne zaman kurması gerektiğini nereden bilecek?
SCCM gibi ürünler bu işler için de değil mi zaten boşuna mı para veriyor millet. 🙂
Bir diğer yaşayacağınız sorun bu işlemi hızlı batch yöntemleriyle yukarda ki forum konusunda ki gibi kulağı tersten tutarak çözdürmeniz sıkıntılı olur çünkü VPN uygulamaları reg üzerinde birçok device/driver değişikliği yapar. Manuel adımlarda ki bir eksiklik uygulamayı çalıştırmayabilir.
Kısaca araya manuel admin credential girmek zorunda bu GPO rules için de geçerli.

Haricen bunu Sophos'la konuştunuz mu endpoint vs ürünü sizde varsa application control ile bu süreci otomatize edeceğiniz bir seçeneği vardır belki de.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 05/02/2019 03:49
Mehmet BALKAy
(@mehmetbalkay)
Üye

[quote user="İbrahim YILDIZ"]

Bilen olmaz çünkü öyle bir sistem yok malumunuz. 🙂
Olsaydı zaten runas ve domain user installation konusu defalarca geçti yazılırdı.:)
http://www.cozumpark.com/forums/thread/537302.aspx

Mehmet hocam;
".exe dosyasına kurulum için yetki vermek istiyorum"

diyorsunuz ancak User'ın OS üzerinde tümden yetkisizliğini atlıyorsunuz. Yetki ağaçları ve etkilerine baksanız aslında basit bir trick olmayacağını anlayacaksınız. Ne yapabilmesi lazım kullanıcının o durum için yetkisini egale etmesi, aşırması lazım bunu da yukarıda tarif edilen yöntemlerle yaptırabiliyoruz. Kullanıcı yapamaz çünkü elinde access sahibi şifre yok. Runas ve benzeri diğerleri yaptığı şey zaten tanımlanan, atanan yetkili kullanıcı ile prosesi işletmek.
GPO bunu tekil basamaz çünkü OS da ki user privilages, credential o şekilde işlemiyor. Şayet o kadar basit olsaydı trojan injection herkese çok basit olurdu. 🙂
Kaynağı GPO tanımalı ve install sürecini kendisine belirtildiği şekilde işletebilmeli dizayn opsiyonları bu şekilde. Süreci ancak bir kullanıcı belirtebilir yada o cihaza atanan admin credential ile yapabilir. Kaynağı belirsiz çünkü uğraştığınız GPO yayıncının isimlendirme değişikliği ile boşa düşer belirttiğiniz dosya isminde versiyon bazlı isimlendirmeye gidilebilir dikkat ederseniz.
Webden çektirilemez değil bu işlem GPO baktığı kaynakta hangi dosya olduğunu nereden bilecek? Hadi ftp den çektirdiniz diyelim hangisini kuracağını nereden bilecek? 🙂 GPO schedule job haricinde hadi User VPN ile erişiyor olsun ne zaman kurması gerektiğini nereden bilecek?
SCCM gibi ürünler bu işler için de değil mi zaten boşuna mı para veriyor millet. 🙂
Bir diğer yaşayacağınız sorun bu işlemi hızlı batch yöntemleriyle yukarda ki forum konusunda ki gibi kulağı tersten tutarak çözdürmeniz sıkıntılı olur çünkü VPN uygulamaları reg üzerinde birçok device/driver değişikliği yapar. Manuel adımlarda ki bir eksiklik uygulamayı çalıştırmayabilir.
Kısaca araya manuel admin credential girmek zorunda bu GPO rules için de geçerli.

Haricen bunu Sophos'la konuştunuz mu endpoint vs ürünü sizde varsa application control ile bu süreci otomatize edeceğiniz bir seçeneği vardır belki de.

[/quote]

 

Kıymetli üstadım,

Ben IT dünyasında bir çok şeyi daha yeni yeni öğrendiğimize inanıyorum, ancak bir şeyi çok iyi öğrendim. Hiç bir zaman için şunu söylememeyi
"Bilen olmaz çünkü öyle bir sistem yok malumunuz."

Bizim işimizde, öyle bir sistem yok demek bence çok fazla büyük konuşmak oluyor -ki bu sektörde olmaz diye bir şey yok. Mutlaka bir farklı yolu dahi olsa vardır , araştıralım demeyi tercih ederim ben her zaman.

Gelelim benim yazdığımda atladığınız yerlere : 

  • Ben, ".exe dosyasına kurulum için yetki vermek istiyorum" demiyorum, "sadece belli bir isimdeki .exe dosyasına kurulum için yetki vermek istiyorum" diyorum. Bu bence müthiş büyük bir ayrıntı. Exceptions her zaman gidilecek bir yol açacaktır bizim işimizi yapan insanlara.
  • "GPO yayıncının isimlendirme değişikliği ile boşa düşer belirttiğiniz dosya isminde versiyon bazlı isimlendirmeye gidilebilir dikkat ederseniz" demişsiniz. Versiyon bazlı exe isim değişikliği yok. Portaldan indirilen dosya, her kullanıcı için kullanıcı adıyla aynı ve sonrası da değişmiyor.
  • "Webden çektirilemez değil bu işlem GPO baktığı kaynakta hangi dosya olduğunu nereden bilecek? Hadi ftp den çektirdiniz diyelim hangisini kuracağını nereden bilecek?" demişsiniz. Kullanıcı manuel olarak portaldan kendi dosyasını kendisi indirecek ve o isimli exeyi kendisi çalıştıracak. 
  • "SCCM gibi ürünler bu işler için de değil mi zaten boşuna mı para veriyor millet. " demişsiniz. Aradığım işlemin çözümü bir cihaz , yazılım vb. de olabilir. Buna da açığım zaten.
  • "Bir diğer yaşayacağınız sorun bu işlemi hızlı batch yöntemleriyle yukarda ki forum konusunda ki gibi kulağı tersten tutarak çözdürmeniz sıkıntılı olur çünkü VPN uygulamaları reg üzerinde birçok device/driver değişikliği yapar." demişsiniz, kesinlikle katılıyorum zira bu adımı denedim ve sorunlu olduğunu gördüm 🙂
  • "Haricen bunu Sophos'la konuştunuz mu endpoint vs ürünü sizde varsa application control ile bu süreci otomatize edeceğiniz bir seçeneği vardır belki de." demişsiniz ki , bu yöntem şimdilik en uygun yöntem olabilir. Bir görüşelim kendileriyle. 

 

Uzuun uzun yazmışsınız, tekrar teşekkür ediyorum. Tekrarlamak istiyorum , "Teknolojide olmaz diye bir şey yok." 😉

Selamlar , kolaylıklar diliyorum..

CevapAlıntı
Gönderildi : 05/02/2019 11:01
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Mehmet hocam defaatle tecrübe ettiğiniz üzere geniş alanda söyleminiz doğru ama özel alanda olmayabilir kalıplara sıkışabilir.:) Evet teknoloji de sınır yok ama ürünlerin standartları kendi koşullarına göre şuan ürün konuşuyoruz. Bu yaklaşımla daha anlaşılır oldu 3rd uygulamalara açıksınız.

"sadece belli bir isimdeki .exe dosyasına kurulum için yetki vermek istiyorum" diyorum. Bu bence müthiş büyük bir ayrıntı. Exceptions 
evet bu ancak Endpoint ürünlerde olan bir özellik. Application control yapan bir uygulamanın bir naming exception'a izin oluşturması gerekli. Ancak benim gördüğüm bazılarında olduğu gibi bu isim bazlı kurallama yürümeyebilir ürüne bağlı. Biliyorsunuzdur applocker gibi uygulamalarda da temel de exe gösteririz ama arka planda o uygulama, exe'e dair guid gibi o dosyaya ait bilgiler üzerinden işletir. Bu rename edilen illegal exe lerin kontrolü için olan bir durum. Yani aklınızda bulunsun diye diyorum uygulamayı belirlediğinizde yapabilir yada yapamaz bu inceleyeceğiniz birşey. 

Öncelikle ölçeğini bilmediğimiz elinizde ki sophos ürünle veya yatırımla çözmek mantıklı olur. Olmazsa da bu tip süreçler yaygın ise birçok uygulama mevcut. Ör daha uygun fiyatlıları;
https://emcosoftware.com/remote-installer
https://www.manageengine.com/products/desktop-central/windows-software-installation.html

Geçmişte zorluk yaşatan geçici durumlar için emco'u trial olarak kullanmıştım tabi burada işlemler manuel yada scheduled yürüyor dediğiniz gibi bir exception var mı denemedim.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 05/02/2019 15:22
Mehmet BALKAy
(@mehmetbalkay)
Üye

Anlıyorum üstadım. Teşekkürler. 

Bizim dilimizden , ancak biz anlayabiliriz ki tam olarak öyle olduğunu görmek çok güzel 🙂

Belirttiğiniz 3rd part uygulamaları da deneyelim bakalım, sonrası Allah kerim. Araştırmaya devam 😉

Tekrar tekrar teşekkürler.

CevapAlıntı
Gönderildi : 05/02/2019 17:07
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Eyvallah. Kolay gelsin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 05/02/2019 20:29
Paylaş: