Bölüm 2’de; Central Access Rule ve Policy’lerini, Active Directory tarafındaki yapılandırmaları ve Kerberos protokolü için gereken yapılandırmaları açıklamıştım. Son yazımda file Server’lar tarafını inceleyerek test yapacağız ve konuyu tamamlayacağız.
Dynamic Access Control için File Server’ın Hazırlanması:
Öncelikle Server1’e consoto\administrator ile giriş yaparak File Server rolünü kuralım.
Resim-1
Kurulum hayli kısa sürecektir. Kurulum bittikten sonra bir paylaşım açıyoruz. Paylaşım açmak için File and Storage Services konsolunu kullanabilirsiniz. Yada bilinen klasik yollarla bir paylaşım açabilirsiniz. Ama ilgili konsol oldukça işlevsel.
Resim-2
Marketing isimli bir paylaşım oluşturdum. Paylaşım özelliklerini inceleyelim. Aşağıda görüldüğü gibi classification isimli bir tab mevcut. İçerisinde herhangi bir değer görünmüyor. Burada olması gerekenler daha önce belirlediğimiz Resource Property’lerdir. Eğer sizde Resource Property’leri göremiyorsanız bir update yapabilirsiniz.
Resim-3
Server1’de PowerShell’ı açarak update işlemini aşağıdaki cmdlet ile yapıyorum.
Resim-4
Paylaşım özelliklerine tekrar bakıyorum.
Resim-5
Kullanmak istediğiniz Resourse Property değerini value’larını set ederek yapılandırabilirsiniz.
Marketing paylaşımının Security Tab’ın geçiyoruz ve Advanced menüsü açıyoruz. Central Access Policy’yi seçiyoruz. Hemen alt kısmında uygulanacak Rule’u göstermektedir.
Resim-6
Ardından Apply, OK ve OK ile paylaşımı kapatabilirsiniz. Artık test yapabiliriz. Öncelikle Active Directory domain’imdeki test amaçlı kullanacağım user account’larına bakalım.
Resim-7
Üstteki kullanıcı listesine göre Selda ve Jane kullanıcısının paylaşım üzerinde izni olmalı. Baris ve John kullanıcısının izni olmamalıdır. Hızlı ve kolay bir kontrol için paylaşım özelliklerinden Effective Permissions tab’ını kullanalım.
Resim-8
Bir kaç kullanıcıyı seçerek test edebiliriz. Öncelikle Baris kullanıcısının efektif izinlerine bakmak istiyorum.
Resim-9
Görüldüğü gibi Access, oluşturduğumuz Rule’lara ve Policy’ye istinaden limitlenmiş.
Resim-10
Selda kullanıcısı için ise aynı durum söz konusu değil. Çünkü Departmanı Finance, Country ismi US’dir.
Eğer Baris içinde aynı durum olmuş olsaydı;
Resim-11
Erişim yetkileri Selda ve Jane kullanıcısına benzer olacaktı. Üstten görüldüğü gibi bir claim için varsayımlara bakabiliriz.(yani hangi durumda ne oluyor gibi)
Not: Selda kullanıcısı Full Control ve bir kaç izne sahip değil. Bunun sebebi marketing isimli paylaşımın Security tab’ında Authenticated Users gibi genel bir grubun olmamasıdır. Security Tab’ına dikkatli bakacak olursak Selda, Baris, Jane ve Joe kullanıcıları için açıkça bir erişim izni tanımlı değildir. Dynamic Access devreye girmektedir. Override!!!.
Paylaşımlara yapılan erişim denemelerini ve Dynamic Access Control’ün gözlemini yapmak isterseniz daha önce oluşturduğunuz Policy üzerinde(benimki DAC Policy idi) aşağıdaki Audit işlemini devreye alabilirsiniz. Diğer audit policy’lere de dikkat ediniz.
Resim-12
Audit mekanizmasını etraflıca incelemek isteyenler için http://technet.microsoft.com/en-us/library/hh831542.aspx adresi faydalı olacaktır.
Evet, Dynamic Access Control konulu uygulamamızı sonlandırmış olduk. Bence dünya çağında ve Türkiye’de Migration işlemlerinden sonra hayli göze çarpacak ve kullanılacak bir özellik ve yenilik olacaktır(RMS ile birlikteliği artı bir puan). Netice Data Loss Prevention kavramının çok önemli olduğu bir dönemdeyiz değil mi?
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar