1. Anasayfa
  2. Server 2016
  3. Alakalı Konular

Server 2016 Just Enough Administration (JEA) (Yeterli Yönetim) Nedir – Kurulumu

Hüseyin Aytaç tarafından
07/01/2017 Okuma süresi: 6dk, 17sn
0

Server 2016 Just Enough Administration (JEA) (Yeterli Yönetim) Nedir – Kurulumu. Windows Server 2016 işletim sisteminin beraberinde getirdiği güzel uygulamalardan bir tanesi olarak gösterebiliriz. JEA sayesinde yapınızda bulunan kullanıcılara Domain Admins yetkilendirmesi veya Administrators grubuna dahil etmek yerine uygulama bazlı yetkilendirme yapabilirsiniz.

JEA işlemlerinde bu aşamaya Role Based Access Control (RBAC) denmektedir. Anlamına rol bazlı yetki kontrolü diyebilirsiniz. Yapınızda bulunan yetkili kullanıcılarına ihtiyaç doğrultusunda yetkilendirme yaparak sistem içerisindeki güvenlik açıklarının oluşmasını engelleyebilirsiniz.

Aşağıda konu ile ilgili örneği bulabilirsiniz;


Resim-1

JEA, Windows Management Framework 5.0 paketi ile birlikte çalışmaktadır. Sistemin desteği Windows Server 2008 R2 ‘den beri devam etmektedir. Fakat tam olarak mimari Windows Server 2016 PP1 ile şekillenmiş ve yayına alınmıştır. Bu paket aracılığı ile Powershell üzerinden yapılandırmanızı sağlayabilirsiniz. JEA ‘nın arayüzü bulunmamaktadır.

Yapınızda bulunan Administrators/Domain Admins grubu üyelerini JEA aracılığı ile rol veya uygulama bazlı yapılandırabilir ve fazla Administrator hakkı bulunan kullanıcıları ihtiyaçları doğrultusunda bu şekilde yönlendirebilirsiniz.

Domain yapılarında kullanıcıların hakları ne kadar kısıtlanabilirse o kadar çok güvenliği arttırmış olursunuz.

Temel olarak baktığımız zaman Domain yapılarında Active Directory alanı hassas bir konu olduğu için güvenlik adımlarının en üst düzeyde tutulması gerekmektedir.

JEA ile ilgili ufak bir demo gerçekleştirebiliriz.

1. Gereksinimler;

a. Üzerinde Windows Server 2016 TP4 çalışır bir sunucu,

b. Üzerinde Windows Server 2012 veya 2012 R2 ile birlikte WMF 5.0 RTM olan bir sunucu gerekmektedir.

c. Windows Server 2016 işletim sistemi yüklü olan sunucu üzerinde domain yapılandırılmalı veya varolan domain yapısına dahil edilmelidir.

Not : Domain yapısının kurulması ile ilgili aşağıdaki makale de bulunan adımları izleyebilirsiniz.

https://social.technet.microsoft.com/wiki/contents/articles/36053.windows-server-2016-active-directory-kurulumu-ve-kullanc-domain-islemleri.aspx

Not : Internet üzerinden indirmiş olduğunu WMF 5.0 uygulamasını 2012 veya 2012 R2 sunucusunda kurmanız gerekmektedir.

2. Komutlar ve işlemler;

a. Uzak Powershell Aktifleştirme

Bu alanda daha önce den bahsettiğim gibi Powershell üzerinden işlemlerimizi gerçekleştireceğiz. Ondan dolayı “Enable-PSRemoting” komutu ile işlemlere başlıyoruz.

Enable-PSRemoting

b. Kullanıcı veya Grup Tanımlama

Kullanıcı ve grup tanımlarken önemli olan non-administrator dediğimiz domain içerisinde yetkisi olmayanlardır.

Varolan bir domain yapısı içerisinde yetkisiz bir tane kullanıcı veya grup oluşturunuz. Bu oluşturulan kullanıcı veya grup için JEA tanımlaması gerçekleştiriyor olacağız.

Script’ler içerisinde $nonadministrator diye bir değişken gördüğünüz zaman bunun sizin yapınızda oluşturulan kullanıcı veya grup ile atama yapılacağını unutmayınız.

Kendi test ortamımda svc.personel diye bir kullanıcı oluşturdum. Bu kullanıcıya JEA aracılığı ile sadece servis yeniden başlatma yetkisi veriyor olacağım.

c. Bakım Rolü Oluşturulması

Oluşturduğumuz kullanıcı için bakım rolünü ayarlamamız gerekiyor. Bu rol içerisinde bir önce ki yazıda bahsettiğim servis yeniden başlatma yetkisini içermektedir.

Resim-1 içerisinde göreceğiniz “VisibleCmdlets” adımı aslında JEA içerisinde hangi yetkilerin atanacağının belirlendiği alandır.

$powerShellPath = $env:SystemRoot\System32\WindowsPowerShell\v1.0″

# Fields in the role capability

$MaintenanceRoleCapabilityCreationParams= @{

Author =
“Contoso Yoneticisi”

ModulesToImport=
“Microsoft.PowerShell.Core”

VisibleCmdlets=
“Restart-Service”

CompanyName=
“Contoso”

FunctionDefinitions = @{ Name =‘Get-UserInfo’; ScriptBlock = {$PSSenderInfo}}

}

d. Modül oluşturma aşaması;

JEA ile yapılacak rol yetkilendirmelerinde mutlaka modül oluşturulması gerekmektedir. Bu alanda modül oluşturma işlemi yapılırken kayıt edilmesi gereken yerleri belirlemeniz gerekiyor. Varsayılan olarak aşağıdaki adreslere kayıt ettiğini görebilirsiniz.

Sadece yetkinlik dosyası oluşturmak için;

# Rol yetkinlik dosyası oluşturmak

New-PSRoleCapabilityFile -Path
$env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\Maintenance.psrc” @MaintenanceRoleCapabilityCreationParams

Modül dosyası oluşturmak için;

# Rol Yetkinlik Dosyasının kayıt edileceği alan için modul oluşturulması gerekmektedir.

New-Item -Path $env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module” -ItemType Directory New-ModuleManifest -Path $env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1″

New-Item -Path $env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities”
-ItemType Directory

e. Demo oturum oluşturmak ve kayıt etmek için konfigurasyon dosyası oluşturmak

Aşağıdaki komut satırını çalıştırdığınız zaman demo ortam yada canlı ortamınız için oturum konfigurasyonunuzu sonra ki oturum için kullanabilirsiniz.

#Domain belirleme

#Burada yapınızdaki domainleri getirebilir. Eğer isterseniz $domain=”contoso.com” olarka kendi domaininizi gösterebilirsiniz.

$domain = (Get-CimInstance -ClassName Win32_ComputerSystem).Domain

#Burada daha önce oluşturduğunuz yönetici olmayan grup ismini giriş yapmanızı gerekmektedir.

$NonAdministrator = $domain\JEA_NonAdmin_Operator”

$JEAConfigParams= @{

SessionType=
“RestrictedRemoteServer”

RunAsVirtualAccount = $true

RoleDefinitions = @{ $NonAdministrator = @{RoleCapabilities = ‘Maintenance’}}

TranscriptDirectory = $env:ProgramData\JEAConfiguration\Transcripts”

}

if(-not (Test-Path $env:ProgramData\JEAConfiguration”))

{


New-Item -Path $env:ProgramData\JEAConfiguration” -ItemType Directory

}

$sessionName = “JEA_Demo”

if(Get-PSSessionConfiguration -Name $sessionName -ErrorAction SilentlyContinue)

{
Unregister-PSSessionConfiguration -Name $sessionName -ErrorAction Stop

}

New-PSSessionConfigurationFile -Path $env:ProgramData\JEAConfiguration\JEADemo.pssc” @JEAConfigParams

#Oturum konfigurasyonunu kayıt etme alanı

Register-PSSessionConfiguration -Name $sessionName -Path $env:ProgramData\JEAConfiguration\JEADemo.pssc”

Restart-Service WinRM

f. JEA Kullanımı

JEA özelliğini aksiyonda gösterebilmek için aşağıya oluşturmul olduğunuz yönetici olmayan hesabın bilgilerini giriş yapmanız gerekmektedir.

$NonAdminCred = Get-Credential

Yukarıdaki komut satırını çalıştırdığınız zaman karşınıza bir pop-up gelecektir. Bu alanda daha önceden belirlediğiniz yönetici olmayan kullanıcıyı giriş yapmanız gerekmektedir.


Resim-2

Kullanıcı bilgilerini uygun bir şekilde giriş yaptıktan sonra aşağıdaki komut ile hangi sunucu üzerinde işlem yapılmak isteniyor iseniz ona bağlantı sağlayabilirsiniz.

Enter-PSSession -ComputerName W2K12DEMO01 -ConfigurationName JEA_Demo -Credential $NonAdminCred

Bu JEA yetki rolü için hangi komutların izinli olduğunu görmek istiyorsanız Get-Command diyerek yetkili olan atamalara bakabilirsiniz.

Aynı şekilde kullanıcı kontrolü yapmak isterseniz de Get-UserInfo diyerek kullanıcının durumunu da görebilirsiniz.

JEA yetkilendirmelerinde belirtmiş olduğunuz yetki parametresini test etme zamanı geldi. Bu alanda ben servis yeniden başlatma yetkisi tanımladığım için onu test ediyorum.

Restart-Service -Name Spooler -Verbose

Normalde bu belirtmiş olduğum komut Admin yetkilendirmesi talep etmektedir. Fakat JEA kullanımını gerçekleştirdiğimizden dolayı direkt olarak servis yeniden başlatma işlemini gerçekleştirebiliyoruz.

Bu kullanıcının yetkilerini test etmek isterseniz alternatif olarak Restart-Computer komutunu da çalıştırabilirsiniz. JEA üzerinde bu komuta yetki vermediğiniz için çalışmayacaktır.

İşlemleri sonlandırmak için Exit-PSSession yaparak daha önce açmış olduğunuz uzak Powershell oturumunu sonlandırabilirsiniz.

Bir sonra ki makale de görüşmek üzere… :)

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

https://www.mshowto.org

https://blogs.technet.microsoft.com/privatecloud/2015/12/20/introducing-the-updated-jea-helper-tool/

https://msdn.microsoft.com/en-us/library/dn896648.aspx

Introducing Windows Server 2016 – John McCabe

https://social.technet.microsoft.com/wiki/contents/articles/36053.windows-server-2016-active-directory-kurulumu-ve-kullanc-domain-islemleri.aspx

 

TAGs : Just Enough Administration, Just Enough Administration nedir, Just Enough Administration kurulumu, Just Enough Administration ayarlari, Just Enough Administration ilk ayarlar, Just Enough Administration nasil kurulur, Just Enough Administration nasil kullanilir, Just Enough Administration nedir, server 2016 Just Enough Administration, server 2016 Just Enough Administration kurulumu, Server 2016 JET nedir, server 2016 jet kurulumu, server 2016 jet amaci, Just Enough Administration nedir, Just Enough Administration kurulumu

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Etiketler
Hüseyin Aytaç
Yazarın Profili
İlginizi Çekebilir
27 Eki, 2016 Windows Server 2016 DC (Domain Controller) Kurulumu

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir