Site Overlay

Active Directory Zamana Dayalı Grup Üyeliği

Bu makalede Active Directory Zamana Dayalı Grup Üyeliği işlemlerinin nasıl aktif edileceği anlatılmaktadır.

Windows Server 2016 ile hayatımıza giren Temporary Group Membership özelliği, bir kullanıcıyı AD üzerinde oluşturulmuş güvenlik grubuna geçici olarak eklememize izin vermektedir.

Kullanıcının grup üyeliği için TTL değeri belirterek grup üyeliği için sınırlandırmalar yapabilmekteyiz, yani sadece TTL süresi boyunca belirtilen grubun üyesi olacaktır. TTL süresi dolduğu zaman herhangi bir onay vermeden otomatik olarak grup üyeliğinden çıkarılacaktır.

Temporary Group Membership için Active Directory forest düzeyinde “Privileged Access Management” özelliğinin etkinleştirilmesi gerekmektedir.

Privileged Access Management etkinleştirmesi için Forest seviyesi 2016 olması gerekmektedir. Öğrenmek için

(Get-ADForest).ForestMode
Active Directory Zamana Dayalı Grup Üyeliği
Active Directory Zamana Dayalı Grup Üyeliği

Privileged Access Management özelliğinin etkin olup olmadığını kontrol etmek için PowerShell üzerinden aşağıdaki komutu çalıştırabilirsiniz, bizim ihtiyacımız olan EnabledScopes değeridir.

Get-ADOptionalFeature -filter {name -like "Privileged*"}
Active Directory Zamana Dayalı Grup Üyeliği
Active Directory Zamana Dayalı Grup Üyeliği

Privileged Access Management etkinleştirmesini GUI üzerinden yapamamaktayız, bu yüzden PowerShell üzerinden işlemlerimize devam etmemiz gerekiyor.

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target arifakyuz.com

Komutumuzu çalıştırdıktan sonra bizden etkinleştirme için ek bir onay istemektedir ve daha sonra EnabledScope değerine baktığım zaman PAM etkinleştirildiğini görebiliyorum.

Active Directory Zamana Dayalı Grup Üyeliği
Active Directory Zamana Dayalı Grup Üyeliği

PAM etkinleştirmesinden sonra MemberTimeToLive ve New-TimeSpan parametreleri ile grup içi üyelik süresini belirleyebiliriz.

$TTL = New-TimeSpan -Minutes 10
Add-ADGroupMember -Identity ″Sec_CozumPark″ -Members "deniz" -MemberTimeToLive $TTL
image 4
Active Directory Zamana Dayalı Grup Üyeliği

Daha sonra Grup içerisinde bulunan üyemizin TTL süresini kontrol edebiliriz. Sec_CozumPark grubu üyesi “deniz gurbuz” için TTL süresi 442 olarak yapılanmış durumda.

image 5
Active Directory Zamana Dayalı Grup Üyeliği

Not: TTL süresi sonunda kullanıcının Kerberos süresi de sona ermektedir.

Active Directory Zamana Dayalı Grup Üyeliği – Temporary Group – ÇözümPark (cozumpark.com)


image 3
Arif Akyüz İçerik Üreticisi Siber Güvenlik Uzmanı

Arif Akyüz
İçerik Üreticisi & Siber Güvenlik Uzmanı
[email protected]