Windows Admin Center sunduğu hizmetler düşünülürse kısa bir sürede pek çok sistem yöneticisi tarafından kullanılacak bir üründür. Durum böyle olunca ürünün bize sunduğu en önemli özeliklerden birisi güvenlik ve izleme özelliğidir.
Temel olarak Microsoft’ un yaklaşımı herkese yeterli yetki verip gereksiz yetkilerden doğacak olan kötüye kullanım veya yanlış kullanımı engellemektedir.
Windows Admin Center’ da temel iki rol yer almaktadır.
· Gateway users
· Gateway administrators
User rolünün yetkisi temel olarak Windows Admin Center’ a bağlanıp yine uzak sunuculardaki yetkisi dahilinde yönetim yapmaktır.
Administrators rolü ise Admin Center yönetimi için kullanılır. Örneğin Admin Center’ ın kimlik doğrulama mekanizmasını değiştirmek veya kimlerin Admin Center a bağlanıp bağlanamayacağını ayarlar.
Varsayılan olarak gateway kurulduktan sonra browser üzerinden erişmek isterseniz size kimlik bilgisi sorar, bu kimlik bilgisi gateway makinesinin local admin kullanıcı grubu üyelerine erişim izni vermektedir.
Üretim ortamlarında tabiki bu çok geçerli bir yöntem olmadığı için local admin yetkili bir kullanıcı ile sisteme giriş yaptıktan sonra “identity provider” yani kimlik doğrulamasını yapacak sağlayıcıyı seçebiliyoruz.
Bunun için Admin Center’ a giriş yapın, Ayarlar bölümünden “Gateway Access” sekmesine tıklayın.
Şu anda varsayılan olarak Active Directory veya yerel grupları doğruluyor. Örneğin Add diyerek AD içerisinden bir grup seçebiliriz.
Yukarıda da görebileceğiniz gibi artık Domain Users grubundaki herkes Windows Admin Center’ a user olarak bağlanabilirler. Unutmayın ki bu admin center bağlantı yetkisi olup sunucu yetkisi farklıdır.
Örneğin local yönetici yetkisi ile çalışan Windows Admin Center, domain ortamındaki bir makineyi yönetilen makinelerin arasına eklemek isterse aşağıdaki gibi ek bir kimlik doğrulama istenir.
Sonuç ise aşağıdaki resimde açıkça görüşmektedir. Birisi local bir hesap ile diğer makine ise domain yönetici hesabı ile erişilmiştir.
Veya daha kritik yönetici yetkilerine sahip gruplar için smartcard authantication’ ı zorunlu tutabilirsiniz
Buraya kadar yerel kullanıcı kimlikleri ile çalıştık. Bundan sonra ise eğer Azure hesaplar ile çalışmak isterseniz tek yapmanız gereken aşağıdaki Change butonuna basmaktır.
Ekranın sağ bölümünde yukarıdaki gibi bir seçenek çıkar ve buradan değişikliği yapabilirsiniz.
Azure Active Directory seçtikten sonra bir komut seti indirme linki belirir. Bunun indirelim ve aşağıdaki gibi çalıştıralım
Not: Öncesinde eğer ortamınız hazır değil ise bu iki komutu çalıştırın
Install-Module AzureRM.Resources
Install-Module AzureAD
.\New-AadApp.ps1 -GatewayEndpoint “https://gateway.cozumpark.com”
Artık yönetim için lokal kullanıcılar değil azure üzerindeki kullanıcıları seçebilirsiniz.
Birde daha gelişmiş yönetim için Role Base Access Control özelliğini kullanabilirsiniz ki bunu da ayrı bir makalede detaylandıracağım.
Kullanıcı işlemlerinden sonra sıra olay günlüklerine geldi. Öncelikle Windows Admin Center okuma temelli hiçbir aksiyonu loglamaz. Yani bir adminin bağlanıp sistemleri izlemesi onun için bir değişiklik değildir, ancak herhangi bir değişiklik olur ise Windows olay günlüklerinde “Microsoft-ServerManagementExperience” başlığı altında görebilirsiniz.
Log bilgileri aşağıdaki gibidir
Örnek bir log, tabiki ürün çok yeni olduğu için ilerleyen aşamalarda loglama çok daha iyileştirilecektir.
Makalemin sonuna gelmedim, umarım faydalı bir makale serisi olmuştur. Bir sonraki makalemde görüşmek üzere.
Kaynak
https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/plan/user-access-options