Accounts (Hesaplar)
Hesaplar, Active Directory ortamında güvenlik sorumlularının kimliklerini temsil eder. En yaygın hesap türü, bir kişinin Windows ortamıyla etkileşimde bulunduğu şeklindeki bir kullanıcı hesabıdır. BT görevlisi personeli, düzenli olarak bilgisayar hesapları, grup hesapları ve hizmet hesaplarıyla ilgilenmelidir.
Kullanıcı Hesapları
Kullanıcı hesapları, neredeyse daima bir Active Directory ortamında gerçek kişileri temsil eder; bazı kullanıcı hesapları, masaüstü bilgisayarında oturum açan geleneksel bir kullanıcı değil, hizmetler için kullanılır.
Birçok kuruluşta, bir kullanıcı hesabı kullanıcı adı, bir şifre ve bir grup üyelik koleksiyonundan başka bir şey değildir. Kullanıcı hesapları aşağıdakileri içeren önemli ek bilgiler içerebilir:
●First name
●Last name
●Middle initial
●Full name
●Office information
●Email address
●Web page
●Job title
●Department
●Company
●Manager
●Phone numbers (main, home, mobile, fax, pager, IP phone)
●Address
●User profile location
●Log on script
●Home folder
●Remote desktop service profile
●Dial-in permissions
●Published certificates
●Remote Desktop Sessions settings
Bilgisayar Hesapları
Bilgisayar hesapları Active Directory içindeki bilgisayarı temsil eder. Bilgisayar hesaplarını belirli OU’lara sık sık taşımak ve daha sonra bu OU’lara bilgisayarı yapılandırmanın bir yolu olarak grup policy uygularsınız. Bilgisayara etki alanına girdiğinizde, bilgisayar hesabı otomatik olarak varsayılan Bilgisayarlar OU’suna yerleştirilir.
Bir bilgisayar hesabı üyeliği olan etki alanından senkronize edilmezse ve güven ilişkisini kaybederse ilişkiyi, yerel Yönetici hesabıyla oturum açıp aşağıdaki PowerShell komutunu çalıştırarak onarabilirsiniz: (Tekrardan DC ile iletişime geçip gerekli ilişkileri yapılandırır.)
Test-ComputerSecureChannel -Credential Domain\<AdminAccount> -Repair
Grup Hesapları
Active Directory, üç farklı türde grup hesabı kapsamı desteklemektedir: Domain local, varsayılan olan Global ve Universal. Ayrıca, iki grup türünü de destekler: Security ve Distribution. Kaynaklara erişimi denetleme, izinleri temsilci seçme ve e-posta dağıtımı için güvenlik gruplarını kullanırsınız. Distribution grupları yalnızca e-posta dağıtımı için kullanılabilir. Kuruluşunuz Exchange Server’ı kullanıyorsa, Exchange aracılığıyla dağıtım gruplarını yönetirsiniz. En iyi uygulama, kullanıcıları küresel gruplara yerleştirmek, bu genel grupları etki alanı yerel gruplarına eklemek ve etki alanı yerel gruplarına doğrudan izin ve haklar atamaktır. Varsayılan olarak, Account Operators, Domain Admins veya Enterprise Admins gruplarının üyeleri grup üyeliğini değiştirebilir.
Evrensel (Universal)
Evrensel bir grup, aynı ormandaki hesapları ve grupları tutabilir. Evrensel gruplar genel katalogda saklanır. Bir evrensel grubun üyeliğini değiştirirseniz, bu değişiklik ormandaki tüm genel katalog sunucularına çoğaltır. Evrensel gruplar, çoğaltma trafiğinin bir sorun olmadığı veya evrensel grup üyeliğine yönelik az sayıda değişikliğin bulunduğu tek orman ortamlarında harika. Evrensel gruplar, diğer evrensel gruplarda iç içe yerleştirilebilir veya etki alanı yerel gruplarına eklenebilir.
Global
Global gruplar, kendi ev adresinden gelen kullanıcı hesaplarını içerebilir. Küresel gruplar, kendi ev alanındaki diğer küresel grupları da içerebilir. Küresel gruplar, evrensel gruplara ve etki alanı yerel gruplarına üye olabilir.
Domain local
Etki alanı yerel grupları, evrensel gruplar, genel gruplar ve etki alanı yerel gruplarını üyeler olabilir. Etki alanı yerel grupları, ormandaki herhangi bir etki alanındaki hesapları ve güvenilir ormandaki etki alanlarındaki hesapları barındırabilir. Etki alanı yerel grupları yalnızca kendi etki alanındaki etki alanı yerel gruplarına eklenebilir. Bir etki alanı yerel grubuna yalnızca kendi etki alanındaki hak ve izin atanabilir. Etki alanı yerel grupları genel veya evrensel gruplara eklenemez.
Servis Hesapları (Service accounts )
Hizmet hesapları, işlevsel olarak, ağlardaki işletim sistemi ve kaynaklarla etkileşim kurmak için hizmetler tarafından kullanılan kullanıcı hesaplarıdır. Hizmet hesabına hak atayarak, hizmetin neler yapabileceğini veya yapamayacağını sınırlayabilirsiniz.
Bir hizmet hesabı hakkında hatırlanması gereken en önemli şeylerden biri, yerel olarak bir bilgisayara oturum açma hakkına sahip olmamanız, ancak bir hizmet hakkı olarak oturum açma hakkına sahip olmalarıdır. Bu önemlidir, çünkü birçok organizasyon yöneticisi, hizmet hesaplarını gereksiz haklara sahip oldukları kötü alışkanlıklara sahiptir ve hatta tüm hizmet hesaplarının geçerlilik süresi dolmayan aynı şifreyi vermeye kadar gitmektedir. Gelişmiş saldırganlar bunu biliyor ve bunu servis hesaplarından ödün vermek ve bunları ayrıcalıklı erişim elde etmek için bir yol olarak kullanmak için kullanıyor.
Yerel Sistem (Local System)
Yerel Sistem (NT AUTHORITY \ SYSTEM) hesabı yerleşik bir hesaptır. Yerel bilgisayardaki bir yerel yönetici hesabına eşdeğer ayrıcalıklara sahiptir. Ağ üzerinde etkileşime girerken bilgisayar hesabının kimlik bilgileri ile hareket eder. Bu en güçlü hizmet hesabınızdır ve genelde geniş bir ayrıcalıklar göz önüne alındığında bu hizmet hesabını elle bir hizmete atamak konusunda isteksiz davranmalısınız.
Yerel Servis (Local Service)
Yerel Hizmet (NT AUTHORITY \ LocalService) hesabı, bir bilgisayardaki yerel Users grubunun üyesi olan kullanıcı hesaplarıyla aynı ayrıcalık düzeyine sahiptir. Bu hesabın, Yerel Sistem hesabından daha az yerel ayrıcalığı var. Bu hesaba atanan tüm hizmetler, ağ kaynaklarına, kimlik bilgileri olmayan boş bir oturum olarak erişir. Hizmet, ağa erişim gerektirmeyen veya anonim bir kullanıcı olarak ağ kaynaklarına erişebildiği ve kullanıldığı bilgisayarda yalnızca minimum ayrıcalıklara sahip olması gerektiğinde bu hesabı kullanın.
Ağ Servisi (Network Service)
Ağ Hizmeti (NT AUTHORITY \ NetworkService), yerel Users grubunun bir üyesine atanmış olanlara eşdeğer olan yerel bilgisayarda ayrıcalıklara sahip olması nedeniyle, Local Service hesabına benzer. Birincil fark, bu hesabın bilgisayar hesabı kimlik bilgileri ile ağdaki kaynaklarla etkileşim kurmasıdır.
GMSA
Grup tarafından yönetilen hizmet hesabı (GMSA), DC tarafından yönetilen bir hizmet hesabıdır. Bunun anlamı, hizmet hesabının parolasını elle güncelleştirmek yerine Active Directory, parola alan parola ilkesine göre güncelleştirir. Normal kullanıcı hesaplarını hizmet hesapları olarak kullanan birçok kuruluş, bu hesaplar için karmaşık olmaktan ziyade basit ve statik bir şifre belirleme eğilimindedir.
Grup Tarafından Yönetilen Hizmet Hesapları, orman işlev düzeyi Windows Server 2012 veya sonrası olmalıdır. Windows Server 2008 düzeyindeki ormanlar, MSA (Stand-Alone Managed Service Account) adı verilen bir GMSA sürümünü desteklemektedir; ancak bu her bir MSA’nın yalnızca tek bir makinede kurulabilmesi için bir GMSA’dan daha sınırlıdır.
GMSA’ları Windows PowerShell kullanarak yönetiyorsunuz. Bir GMSA oluşturmak için hesabın adını, hesaba ilişkili bir DNS ana bilgisayar adını ve hesabı kullanmasına izin verilen güvenlik sorumlularının adını belirtin. Örneğin, ANK-SQL-Servers güvenlik grubundaki sunucular tarafından kullanılabilen babur.local etki alanı için ANK-SQL-GMSA adlı bir GMSA oluşturmak için aşağıdaki komutu kullanın:
Add-KdsRootKey -EffectiveImmediately
New-ADServiceAccount ANK-SQL-GMSA -DNSHostname ANK-SQL-GMSA.babur.local -PrincipalsAllowedToRetrieveManagedPassword ANK-SQL-Servers
Hesabı belirli bir sunucuya yükleyerek kullanabilmeniz için Install-ADServiceAccount cmdlet’i çalıştırın. Örneğin, hesabı servislere atayabilmeniz için ANK-SQL-GMSA hesabını bir sunucuya kurmak için şu komutu çalıştırın:
Install-ADServiceAccount ANK-SQL-GMSA
Hesabı bir servise atarken, şifreyi silmeli ve şifreyi onay kutusunu işaretlemelisin. Windows Server 2016, hesabın bir GMSA olduğunu ve şifre ayarlarını yönettiğini tanır.
Sanal Hesap (Virtual account)
Sanal bir hesap, bir grup tarafından yönetilen hizmet hesabının yerel eşdeğeridir. Sanal hesaplar varsayılan yerleşik hesaplara alternatif olarak SQL Server 2012 gibi ürünler tarafından desteklenir. Bir hizmetin mülkünü düzenleyerek ve hesap adını NT Service \ <HizmetAdı> olarak ayarlayarak sanal hizmet hesapları oluşturabilirsiniz.
AD yönetim makele serimizin devamında görüşmek üzere,