Active Directory Privileged Access Management yazımızda Windows2016Forest ile gelen yeni bir özelliği göstereceğiz. Active Directory yapısında yeni özelliklerden biri olan PAM , time based olarak group membership vermemize olanak sağlamaktadır. Bu sayede geçiçi olarak kullanıcıları gruplara dahil edebilirsiniz. Bunun Azure Tarafındaki benzeri PIM(Privileged Identity Management) olarak bilinmektedir.
Başka bir yazıda PIM’e de detaylıca değineceğiz. Bu yazımızda aktif etmeyi ve bir kullanıcıyı Domain admin grubuna 2 dakikalığına ekleyeceğiz. Haydi başlayalım.
Öncellikle Forest Functional Level Windows2016 Olmalıdır.
Get-ADOptionalFeature -Filter *Powershell üzerinde komutu çalıştırdığımızda Privileged Access Management Feature görmekteyiz. Scope şu an tanımlı değil bizler forest level olarak tanımla yapacağız. Resimde görüldüğü gibi RequiredForestMode= 2016 olarak gözükmektedir.
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -target DomainNameKomutla beraber Feature enable ediyoruz.
Şimdi geldi test etmeye. Öncellikle Time ayarlaması yapıyoruz. Ben örnek olarak 2 dakika ayarladım. Sizler hours özelliğinide kullanabilirsiniz. Gerçek ortamlarda genellikle saatlik işlemler olabilmektedir. 2 Dakikalığına timebased adlı kullanıcıyı Domain Admin yaptık.
$time=New-TimeSpan -Minutes 2
Add-ADGroupMember -Identity "Domain Admins" -Members timebased -MemberTimeToLive $time
Get-ADGroup "Domain Admins" -ShowMemberTimeToLive -Property MemberKod ile member ne kadar zamanı kaldığını görebilmekteyiz.
Son olarak Active Directory Privileged Access Management geçici olarak bir kullanıcıyı herhangi bir grubun üyesi yapabilmekteyiz. Zamanı geldiğinde otomatik olarak gruptan çıkarılır. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.