1. Ana Sayfa
  2. Server 2012
  3. Windows Server 2012’de Dynamic Access Control (DAC) Nedir? Nasıl Kurulur ve Konfigüre Edilir – Bölüm 3

Windows Server 2012’de Dynamic Access Control (DAC) Nedir? Nasıl Kurulur ve Konfigüre Edilir – Bölüm 3

Bölüm 2’de; Central Access Rule ve Policy’lerini, Active Directory tarafındaki yapılandırmaları ve Kerberos protokolü için gereken yapılandırmaları açıklamıştım. Son yazımda file Server’lar tarafını inceleyerek test yapacağız ve konuyu tamamlayacağız.

Dynamic Access Control için File Server’ın Hazırlanması:

Öncelikle Server1’e consoto\administrator ile giriş yaparak File Server rolünü kuralım.


Resim-1

Kurulum hayli kısa sürecektir. Kurulum bittikten sonra bir paylaşım açıyoruz. Paylaşım açmak için File and Storage Services konsolunu kullanabilirsiniz. Yada bilinen klasik yollarla bir paylaşım açabilirsiniz. Ama ilgili konsol oldukça işlevsel.


Resim-2

Marketing isimli bir paylaşım oluşturdum. Paylaşım özelliklerini inceleyelim. Aşağıda görüldüğü gibi classification isimli bir tab mevcut. İçerisinde herhangi bir değer görünmüyor. Burada olması gerekenler daha önce belirlediğimiz Resource Property’lerdir. Eğer sizde Resource Property’leri göremiyorsanız bir update yapabilirsiniz.


Resim-3

Server1’de PowerShell’ı açarak update işlemini aşağıdaki cmdlet ile yapıyorum.


Resim-4

Paylaşım özelliklerine tekrar bakıyorum.


Resim-5

Kullanmak istediğiniz Resourse Property değerini value’larını set ederek yapılandırabilirsiniz.

Marketing paylaşımının Security Tab’ın geçiyoruz ve Advanced menüsü açıyoruz. Central Access Policy’yi seçiyoruz. Hemen alt kısmında uygulanacak Rule’u göstermektedir.


Resim-6

Ardından Apply, OK ve OK ile paylaşımı kapatabilirsiniz. Artık test yapabiliriz. Öncelikle Active Directory domain’imdeki test amaçlı kullanacağım user account’larına bakalım.


Resim-7

Üstteki kullanıcı listesine göre Selda ve Jane kullanıcısının paylaşım üzerinde izni olmalı. Baris ve John kullanıcısının izni olmamalıdır. Hızlı ve kolay bir kontrol için paylaşım özelliklerinden Effective Permissions tab’ını kullanalım.


Resim-8

Bir kaç kullanıcıyı seçerek test edebiliriz. Öncelikle Baris kullanıcısının efektif izinlerine bakmak istiyorum.


Resim-9

Görüldüğü gibi Access, oluşturduğumuz Rule’lara ve Policy’ye istinaden limitlenmiş.


Resim-10

Selda kullanıcısı için ise aynı durum söz konusu değil. Çünkü Departmanı Finance, Country ismi US’dir.

Eğer Baris içinde aynı durum olmuş olsaydı;


Resim-11

Erişim yetkileri Selda ve Jane kullanıcısına benzer olacaktı. Üstten görüldüğü gibi bir claim için varsayımlara bakabiliriz.(yani hangi durumda ne oluyor gibi)

Not: Selda kullanıcısı Full Control ve bir kaç izne sahip değil. Bunun sebebi marketing isimli paylaşımın Security tab’ında Authenticated Users gibi genel bir grubun olmamasıdır. Security Tab’ına dikkatli bakacak olursak Selda, Baris, Jane ve Joe kullanıcıları için açıkça bir erişim izni tanımlı değildir. Dynamic Access devreye girmektedir. Override!!!.

Paylaşımlara yapılan erişim denemelerini ve Dynamic Access Control’ün gözlemini yapmak isterseniz daha önce oluşturduğunuz Policy üzerinde(benimki DAC Policy idi) aşağıdaki Audit işlemini devreye alabilirsiniz. Diğer audit policy’lere de dikkat ediniz.


Resim-12

Audit mekanizmasını etraflıca incelemek isteyenler için http://technet.microsoft.com/en-us/library/hh831542.aspx adresi faydalı olacaktır.

Evet, Dynamic Access Control konulu uygulamamızı sonlandırmış olduk. Bence dünya çağında ve Türkiye’de Migration işlemlerinden sonra hayli göze çarpacak ve kullanılacak bir özellik ve yenilik olacaktır(RMS ile birlikteliği artı bir puan). Netice Data Loss Prevention kavramının çok önemli olduğu bir dönemdeyiz değil mi?

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

1981'de Isparta’da doğdum. Üniversiteye kadar yaşantım Isparta'da devam etti. Lisansımı ve Yüksek Lisansımı Yıldız Teknik Üniversitesinde tamamladım. Windows NT'nin zamanının geçip Windows 2000 Server ve Client tarafının yaygınlaşmaya başladığı dönemlerde Microsoft sertifikasyon eğitimleri ile amatörce ilgilendiğim Bilişim Teknolojileri alanında, profesyonelliğe doğru ilerleyişim başladı. Lisans eğitimimin son zamanlarında ve yüksek lisansım ilk yılında freelance olarak çalıştım. 2006'in ilk çeyreğinden itibaren Bilge Adam Bilgi Teknolojileri Akademisi’nde Microsoft Sertifikasyon eğitimleri vermeye bağladım. Ardından Ankara Kızılay şubesinde 2 yıl Sistem ve Ağ Uzmanlığı departmanında Bölüm Başkan Yardımcılığı yaptım. Bilge Adam Kurumsal’da MS Sistem ve Platform kısmında Danışmanlık ve Eğitim hizmetleri ile Bilge Adam macerama devam ettim. Son 1.5 yıl kurumum adına Savunma Teknolojileri Mühendisliği A.Ş. 'ye MS Sistem ve Platform, Vmware Infrastructure (ESXi, vSphere) , Endpoint Security & Content Gateways (Checkpoint & Websense) , Network Infrastructure (Cisco Systems - Routing & Switching) alanlarında danışmanlık hizmeti verdim. Şu an SYMTURK firmasında Enterprise Vault ve Altiris CMS ürünlerinde danışmanlık hizmetine devam ediyorum. Vakit ayırabildiğim ölçüde eşimle WoW oynuyorum.

Yorum Yap