Active Directory gruplarında geçici üyelik

Okuma süresi - 2 dk.


Bugün, kullanıcılara Active Directory gruplarına geçici üyelik sağlama fırsatını değerlendireceğiz. Bu özellik, belirli bir süre için AD güvenlik grubundaki üyeliğe dayalı belirli ayrıcalıklar vermeniz gerektiğinde ve bu süre boyunca otomatik olarak (yönetici olmaksızın) bu hakları kaldırmak için kullanılabilir.

Temporary Group Membership , Privileged Access Management Feature adı verilen yeni bir Windows Server 2016 özelliği kullanılarak uygulanır. AD Geri Dönüşüm Kutusu’nda olduğu gibi, etkinleştirildikten sonra PAM’ı devre dışı bırakamazsınız.

Aşağıdaki PowerShell komutunu kullanarak forest üzerinde PAM’ın etkinleştirilmiş olduğundan emin olabilirsiniz.

Get-ADOptionalFeature -filter *

EnableScopes parametresinin değerine ihtiyacımız var. Örneğimizde boş. Bu etki alanı için , Privileged Access Management Feature etkin olmadığı anlamına gelir.

Etkinleştirmek için Enable-ADOptionalFeature komutunu kullanın ve alan adınızı değiştirmeyi unutmayın.

Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target contoso.com

PAM etkinleştirildikten sonra, Add-ADGroupMember cmdlet’inin özel bir argümanı olan MemberTimeToLive kullanılarak bir AD grubuna kullanıcı eklemeye çalışabilirsiniz. Ancak her şeyden önce, New-TimeSpan cmdlet’ini kullanarak, kullanıcının erişim izni alacağı zaman dilimini (TTL) belirtin. Diyelim ki, kullanıcı test1’i 5 dakika için Domain Admins grubuna dahil etmek istiyoruz.

$ttl = New-TimeSpan -Minutes 5

Add-ADGroupMember -Identity “Domain Admins” -Members test1 -MemberTimeToLive $ttl

Bir kullanıcının Get-ADGroup cmdlet’ini kullanarak bir grup üyesi olmaya ne kadar zaman ayırabildiğini kontrol edebilirsiniz.

Get-ADGroup ‘Domain Admins’ -Property member –ShowMemberTimeToLive

Komut sonuçlarında, grup üyeleri için <TTL = 246.CN = test1, CN = Kullanıcılar, DC = Contoso, DC = com> gibi bir bilgi bulunuyor. Test1 kullanıcısının 246 saniyeliğe Domain Admins grubuna üye olarak kalacağı anlamına geliyor. Sonrasında bu gruptan otomatik olarak kaldırılacak.