Aslında amacım Active Directory ile ilgili policy’leri sizlere uygulamalar ile anlatmak. Yani yola böyle çıkmıştım fakat karşıma ara yollar da çıkınca sapmadan duramadım 🙂 Bu nedenle bu makalede sizlere AD Central Policy’den bahsedeceğim fakat aynı zamanda FSRM (File Server Resources Manager) rolünü de kurup, konfigüre etmiş olacağız… Makalenin sonunda sizleri bir de bonus beklemediğini bilmenizi isterim ( :
AD Central Access Policy, çok fazla işlevi olan ve kullanılması gereken bir özellik olarak çıkıyor karşımıza. Nihayetinde ortamda Active Directory söz konusu ise mümkün olan her işi merkezi olarak otomatize etmek gerekir. Bu hem iş yükü olarak bizi rahatlatacak hem de güvenliğimizi bir adım yukarıya taşıyacaktır. Bu arada otomatize etmekten bahsetmişken bir çok işlemin PowerShell script’i ile gerçekleştiriliceğini göreceksiniz.
Bu makale aynı zamanda lab senaryosu olarak oluşturulmuştur. Bu nedenle tavsiyem adımları önce lab ortamında izlemeniz ve sonrasında canlı ortamda uygulamanızdır.
O zaman hadi başlayalım!
1- Senaryomuzda Finans Departmanı için access policy hazırlayacağız. Bu nedenle ihtiyaç duyulacak kullanıcıları FIN OU’su altında aşağıdaki gibi oluşturuyoruz.
| User | User Name | Department | Group | Country / Region | |
| Altan Bodur | altan.bodur | altan.bodur@tt.local | Finance | Finance Admin | TR |
| Birgün Sessiz | birgun.sessiz | birgun.sessiz@tt.local | Finance | Finance Exception | TR |
| Aslan Biricik | aslan.biricik | aslan.biricik@tt.local | HR | TR | |
| Gaye Çantacı | gaye.cantaci | gaye.cantaci@tt.local | HR | TR | |
| RMS Server | rms.server | rms.server@tt.local |
2- Central Access İçin Policy Oluşturma:
a. GPO oluşturmadan önce bu GPO’yu linkleyeceğimiz File Server OU’sunu oluşturuyoruz. İhtiyaç duyulan OU’yu aşağıdaki PowerShell script’i ile oluşturabilirsiniz:
# Oluşturulacak OU’nun adını yazılır.
$NameOfOU = “HR”
# Oluşturulacak OU’nun AD üzerinde hangi path’de olacağı bilgisi yazılır.
$PathOfOU = “OU=HQ,DC=TT,DC=local”
# Yukarıda bulunan bilgilere göre yeni OU oluşturulur.
New-ADOrganizationalUnit -Name $NameOfOU -Path $PathOfOU -ProtectedFromAccidentalDeletion $true
b. Group Policy Management konsolu açılır ve yeni oluşturulan File Server üzerinde sağ click yaparak Create a GPO in this domain, and Link it here butonuna basılır.
c. Yeni oluşturulan GPO’ya FlexibleAccessGPO adı verilir.
3- Dynamic Access Control’ü Aktif Etme:
a. Group Policy Management konsolunda Default Domain Controller Policy üzerinde sağ click yapılır ve edit butonuna basılır.
b. Açılan Group Poliy Editor penceresinde sırasıyla aşağıdaki objelere ulaşılır:
Computer Configuration
Policies
Administrative Templates
System
KDC
KDC üzerinde çif tıkladıktan sonra açılan pencerede KDC support for claims, compound authentication, and Kerberos armoring edit edilir ve enable duruma getirilir.
4- File Server Resource Manager Rolünün Kurulumu:
Yapımızda File Server olmadığını düşünelim ve kurulumu yapalım. (File Server’ınız var ve FSRM rolü kuruluysa bu adımı geçebilirsiniz).
a. Server Manager’da Add roles and features butonuna basılır.
b. Server Roles sekmesinde File and Storage Services altında File Server Resource Manager seçilir ve Next ile devam edilir.
c. Sonraki adımlarda ekstra bir ayara ihtiyaç duyulmadığından Install ile kurulum tamamlanır.
d. iFilter için Microsoft Office 2010 Filter Pack‘ini kuruyoruz.
Not: Nedir bu iFilter ne işe yarar derseniz; dokümanları, e-mail eklerini, database kayıtları gibi dosyaları index’leyerek Microsoft’un search engine’inine işini yapması için yardımcı olur.
5- FSRM İçin Mail Seçeneğini Konfigüre Etme:
File Server üzerinde kotalar oluşturabilir ve monitoring için bazı ayarlar yapabiliriz. (Aslında FSRM rolüne biraz da bu yüzden ihtiyacımız bulunmaktadır. Bu tür ayarlar yapmadıktan sonra herhangi bir sunucuda dosya paylaşımlarını açıp gerekli yetkilendirmeye yapabilir ve bu sunucuyu File Server olarak kullanabiliriz. Tabii ki işler çığırından çıktıktan sonra artık FSRM rolünün kurulumu kaçınılmaz hâle gelecektir 🙂
Bu nedenle bu ayarları yaptıktan sonra üretilen alarmların admin’lere ulaşması için File Server’da mail ayarlarını yapmamız gerekmektedir.
a. File Server Resource Manager yönetim konsolu açılır ve Configure Options butonuna tıklanır.
Açılan pencerede sırasıyla aşağıdaki bilgileri giriyoruz:
I. SMTP sunucusunun adı ya da IP’si.
II. Bilgi mail’lerini almasını istediğimiz alıcının mail adresi. (Birden fazla kişiye göndermek için mail adresleri arasında “,” kullanabiliriz.
III. Gönderilen bilgi mail’inin kimden geldiğini gösterecek bir mail adresinin yazılması.
Not: Bu bir relay mail olacağı gerçekte böyle bir mail adresi olmasına gerek bulunmamaktadır.
Tüm bu işlemleri yaptıktan sonra konfigürasyonumuzun kontrolü için Send Test E-Mail butonuna basıyoruz.
Konfigürasyonda bir hata olmadığına ve başarılı bir şekilde test mail’inin gönderildiğini görüyoruz.
Default administrator recepients alanına yazdığımız mailbox’ı kontrol ettiğimizde de test mail’inin gelmiş olduğunu görebiliyoruz.
6- File Server sunucusunun local group’larında bulunan WinRMRemoteWMIUsers__ grubuna NT AUTHORITY\Authenticated Users ekliyoruz.
7- Aşağıdaki PowerShell script’i ile File Server sunucusunda yeni bir paylaşılmış klasör oluşturuyoruz:
New-Item -Path “C:\FS” -ItemType Directory
New-Item -Path “C:\FS\Finance” -ItemType Directory
New-SmbShare -Name “Finance” -Path “C:\FS\Finance” -FullAccess “TT\Administrator”
8- LAB ortamımızda ihtiyacımız olan dosyaları aşağıdaki linkten indiriyoruz:
https://1drv.ms/u/s!AqXk8GQJGK3FgZAF1fifwUN3gzTz8Q?e=TSHFhk
9- Az önce oluşturduğumuz Finance klasörüne everyone için Read and Write hakkı veriyoruz.
Not: Central Access Policy default olarak C partition’ında aktif değildir.
10- Active Directory Righst Management Services (RMS) Rol Kurulumu.
Dikkat! RMS rolünü kuracağımız hesap, rolün kurulumunu yapacağımız sunucunun local admin grubuna üye olmalıdır. Ayrıca aynı hesap AD üzerinde Entrprise Admins grubuna da üye olmalıdır.
a. Active Directory Rights Management Services rolünü seçerek next ile devam ediyoruz.
Takip eden ekranlarda hiç bir değişiklik yapmadan kurulum ekranına ulaşıyor ve install butonuna basıyoruz.
b. Kurulum tamamlandıktan sonra Perform additional configuration butonuyla yapılandırmaya geçiyoruz.
c. RMS rolünün bizlere neler sağlayacağını okuduktan sonra next ile devam ediyoruz.
d. Yeni bir RMS yapılandırması gerçekleştirdiğimiz için Create a new AD RMS root Cluster seçeneğiyle devam ediyoruz.
e. Database server konfigürasyonu için Use Windows Internal Database on this sever seçeneğiyle devam ediyoruz.
Dikkat! Bu seçenek LAB ortamları için idealdir. Production ortamında RMS rolünü kullanacaksınız ayrı bir database server yapılandırmanız önerilmektedir.
f. Daha önceden oluşturduğumuz “rmsserver” hesabını Specify Service Account alanına tanımlıyoruz.
g. Cryptographic Mode ekranında Mode 2’yi seçerek devam ediyoruz.
h. Yapımızdaki diğer RMS sunucuları bu cluster’a dahil ederken ihtiyaç duyacağımız şifreyi AD RMS Cluster Key Password alanına girerek ilerliyoruz.
i. AD RMS Cluster Web Site’ımız Default Web Site altında barındırılacaktır. Yapımızda başka bir web site olmadığından default ile devam ediyoruz.
j. Specify Cluster Address penceresinde öncelikli olarak Use an unencrypted connection seçeneğini işaretliyoruz. Ardından da File Server adını FQDN ile birlikte yazıyoruz.
Dikkat! AD RMS konfigürasyonu tamamlandıktan sonra Port değişikliği yapılamamaktadır. Bu nedenle değişiklik yapılacaksa bu adımda yapılmalıdır.
LAB ortamında olduğumuz için 80 port’u ile konfigürasyona devam edeceğiz.
k. Licensor Certificate kısmında bir önceki sayfada girdiğimiz File Server tanımından dolayı sunucu adı otomatik olarak gelmektedir. Değişiklik yapmadan devam ediyoruz.
l. AD üzerinde SCP’nin (Service connection point) register olmasına ihtiyaç bulunmaktadır. Bu nedenle Register the SCP now seçeneğiyle devam ediyoruz.
m. Confirmation sayfasında tanımlarımızı kontrol edip, bir yanlışlık olmadığını düşünüyorsak install butonuna basarak yapılandırmayı başlatmış oluyoruz.
n. RMS rolünü başarılı bir şekilde yapılandırdığımızı gördükten sonra close butonuna basarak sihirbazı kapatıyor ve ardından mevcut oturumu log-off ile kapatıyoruz.
o. Aynı sunucuda “rmsserver” hesabıyla log-in oluyor ve AD RMS konsolunu açıyoruz. Ardından Server Manager uygulamasında Active Directory Rights Manager Services alanına ulaşıyoruz.
p. Konsolda önce Right Policy Templates sekmesine tıklıyoruz. Ardından da Create Distrubuted Rights Policy butonuna basıyoruz.
r. Açılan Rights Policy Template penceresinde bilgileri aşağıdaki şekilde doldurup Add ile ekliyor ve next ile devam ediyoruz.
s. Add User Rights alanında FinanceAdmin grubunu giriyor ve Full Control’ü işaretliyoruz. Ardından Finish butonuna basıyoruz.
Dikkat! Bu grubun bir mail adresi olmak zorundadır.
t. C:\inetpub\wwwroot\_wmcs\certification klasörüne ulaşarak ServerCertification.asmx dosyasında sağ click yaparak Authenticated Users’a okuma ve yazma yetkisi (read&write) yetkisi veriyoruz.
v. PowerShell uygulamasını açarak Get-FsrmRmsTemplate cmdlet’i ile az önce oluşturduğumuz FSRM template’ini doğruluyoruz.
Böylelikle hem File Server sunucumuzda FSRM Rolünü hem de AD Central Access Policy’yi yapılandırmış olduk.
Not: Bu makaleyi hazırlamak için Microsoft’un bu lab ortamı referans alınmıştır.
Peki sizler de benim gibi GUI ile değil de PowerShell ile işlerinizi yapmaktan hoşlanıyorsanız işin eğlenceli kısmına geçebiliriz 🙂
- FSRM PowerShell Module’ünü Yükleme.
# FSRM PowerShell module kurulur.
2. Install-Module -Name cFSRMSetFsrmAdrSettings
# Access denied remediation (iyileştirme) ayarlarının yapılması.
Set-FsrmAdrSetting -Event AccessDenied -Enabled -DisplayMessage “Bu dosyaya erişim hakkınız bulunmamaktadır.” -EmailMessage “Bu dosyaya erişim hakkı istemek için BT yöneticisine e-posta gönderebilirsiniz.” -AllowRequests -MailToOwner:$false -MailCCAdmin -MailTo “administrator@tolga.local” -IncludeDeviceClaims -IncludeUserClaims -EventLog -DeviceTroubleShooting
3. Get-FsrmAdrSettings
# Access denied remediation (iyileştirme) ayarlarının görüntülenmesi.
Get-FsrmAdrSettings
4. New-FsrmQuota
# Bizim karar verdiğimiz boyuta göre kota belirleme
New-FsrmQuota -Path “C:\FS\Sales” -Description “limit usage to 1 GB.” -Size 1GB
# Hazır olan bir template’i referans alarak kota belirleme
New-FsrmQuota -Path “C:\Shares” -Description “limit usage to 100 MB based on template.” -Template “100 MB Limit”
5. Get-FsrmQuota
# FileServer yapımız için uyguladığımız kotoları görüntüleme
Get-FsrmQuota
6. Get-FsrmQuotaTemplate
# FSRM Role’ünü kurduktan sonra default olarak gelen template’leri görüntüleme
Get-FsrmQuotaTemplate | select Name, Size, SoftLimit
7. New-FsrmAutoQuota
FSRM Auto Quota’yı bir klasöre uyguladığımızda sonradan oluşturduğumuz alt klasörlere de bu kotayı uygulamış oluyoruz. Tabii ki bu kota yöntemini sadece klasör bazında değil volume bazında da kullanabilmekteyiz.
# FsrmAutoQuota 250 mb’lık hazır template ile ihtiyaç duyulan kota uygulanır.
New-FsrmAutoQuota -Path “C:\FS\Purchasing” -Template “250 MB Extended Limit”
Az önce kotayı uyguladığımız klasörün altına oluşturacağımız klasörlere de kotanın otomatik olarak uygulanacağından bahsetmiştik. Peki alttaki tüm klasörlere uygulanmasını istemiyorsak ne yapabiliriz?
Aşağıdaki script ile klasör bazında bunu gerçekleştirebiliriz.
#Auto Quota’nın uygulanmasını istemediğimiz klasörler için bu script çalıştırılır.
New-FsrmAutoQuota -Path “C:\FS\Purchasing\GeneralPUR” -Template “250 MB Extended Limit” -Disabled
8. Get-FsrmAutoQuota
Mevcut FileServer yapımızda uyguladığımız Auto Quota’ların hangi klasörlere uygulandığını görebiliriz. Böylece yapımızı düzenleyebilir ve alt klasörlere uygulanan kotaları da değiştirebiliriz.
# FileServer yapımızda uyguladığımız AutoQuota’ları görüntüleyebiliriz.
Get-FsrmAutoQuota | select Disabled, Path, Size, SoftLimit, Template | FT
9. Classification
Classification, FileServer yapıları için en önemli konulardan biridir. Günümüzde MS AIP (Azure Information Protection) bu görevi layıkıyla yerine getiriyor olsa da lokal olarak bu konuya çözüm sağlamak da mümkündür.
Mevcut yapımızda TCKNO için classification ayarlarını nasıl yapacağımızı inceleyelim.
a- Set-ADResourceProperty
Öncelikle Resource Property içerisinde yer alan iki farklı objeyi aktif hâle getiriyoruz.
# Bu script ile ADResourceProperty içerisinde yer alan Impact ve Personally Identifiable Information objelerini enable ediyoruz.
Set-ADResourceProperty -Enabled:$true -Identity “CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=TT,DC=LOCAL”
Set-ADResourceProperty -Enabled:$true -Identity “CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=TT,DC=LOCAL”
Script başarıyla tamamlandıktan sonra Active Directory Admin Center üzerinden de yapılan işlemi görüntüleyebilirsiniz.
Bir sonraki adımda FSRM property’lerini oluşturuyoruz.
# Bu script ile TCKN için ihtiyaç duyulan FSRM property’lerini oluşturuyoruz.
Update-FsrmClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;$AutomaticClassificationScheduledTask
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name ‘Çok Gizli’ -Property “Impact_MS” -PropertyValue “3000” -Namespace @(‘C:\FS\Sales’) -ClassificationMechanism “Content Classifier” -Parameters @(“StringEx=Min=1;Expr=Company Confidential”) -ReevaluateProperty Overwrite
Script başarıyla tamamlandıktan sonra FSRM konsolu üzerinde aşağıdaki property’leri görüntüleyebilirsiniz.
Üçüncü adımda ise TCKN için ihtiyaç duyulan classification rule’u yazıyoruz.
# Bu script ile TCKN için ihtiyaç duyulan classification rule oluşturulur.
Update-FsrmClassificationPropertyDefinition
New-FSRMClassificationRule -Name “TCKN” -Property “PII_MS” -PropertyValue “5000” -Namespace @(‘C:\FS\Sales’) -ClassificationMechanism “Content Classifier” -Parameters @(“RegularExpressionEx=Min=10;Expr=^(G[ACEGHJ-NPR-TW-Z]|B[A-CEHJ-NPR-TW-Z]|N[A-CEGHJL-NPR-SW-Z]|K[A-CEGHJ-MPR-TW-Z]|T[A-CEGHJ-MPR-TW-Z]|Z[A-CEGHJ-NPR-TW-Y])[0-9]{6}[A-DFM]{0,1}$ -ReevaluateProperty Overwrite”)
Script başarıyla tamamlandıktan sonra FSRM konsolu üzerinde aşağıdaki rule’ları görüntüleyebilirsiniz.
Son adımda ise oluşturduğumuz kuralı aktif hâle getiriyoruz.
# Bu Script ile FSRMClassification aktif duruma gelecektir.
Start-FSRMClassification -RunDuration 0 -Confirm:$false
Tüm bu işlemleri yaptıktan sonra sıra geldi bonusa. O hâlde buyrun (:
Tolga Tüzün 