Privileged Access Management (PAM) Nedir?
Privileged Access Management, Microsoft Identity Manager’a dayanan yeni bir özeliktir. Belirli yönetimsel işlemler için gerekli olan izinleri, sadece belirlenen bir süre boyunca tanımlanmasını sağlar.
Örneğin kısa süreli Domain Admin yetkisine ihtiyacı olan bir personelin basit bir PowerShell komutu ile 1 saatliğine Domain Admins grubuna eklenmesini ve süresi dolduğunda otomatik olarak gruptan çıkarılması sağlanabilir. Böylece Windows sistemler üzerinde güvenliği aşılmış bir Active Directory ortamında, kullanıcı haklarının ele geçirilmesi vb. güvenlik riskleri de azaltılmış olur.
Privileged Access Management Etkinleştirme
Windows Server 2016 Active Directory üzerinde PAM’ı kullanmak için PowerShell üzerinden PAM özelliği etkinleştirilmelidir.
Not: PAM özelliği etkinleştirildikten sonra kapatılamaz.
Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target matasoylu.com
Örnekteki işlemi gerçekleştirelim; Domain Admins grubunda iki kullanıcı hesabı bulunmaktadır ve Melih.ATASOYLU kullanıcısını 1 saatliğine Domain Admins grubu için yetkilendirelim.
PowerShell üzerindeki aşağıdaki komutlar ile zaman süresini belirleyip, bu zaman sürecinde istenilen hesabın istenilen gruba eklenmesini sağlayalım.
$Time = New-TimeSpan -Hours 1 Add-ADGroupMember -Identity "Domain Admins" -Members Melih.ATASOYLU -MemberTimeToLive $Time
Domain Admins grubu kontrol edildiğinde gruba Melih ATASOYLU kullanıcısının da dahil olduğu gözüküyor.
Gruptaki kullanıcıların TimeToLive sürelerini görmek için aşağıdaki PowerShell komutu kullanılabilir.
Get-ADGroup "Domain Admins" -Property member –ShowMemberTimeToLive
One Comment