Dec 20
Nov 10
ÇÖZÜMPARK - WEBCAST - Windows Server 2008 Active Directory Yenilikleri
Active Directory, CozumPark, Group Policy, WebCast, Windows Server 38 Comments »Microsoft Türkiye - ÇözümPark Bilişim Portalı Organizasyonunda 5 Kasım Çarşamba saat 15:00 - 17:30 arası düzenledigimiz Mesut ALADAĞ tarafından sunulan
“Windows Server 2008 İle Gelen Active Directory Yenilikleri”
konulu webcast kaydımız aşağıdadır.
Bu organizasyonumuzda emeği geçen ve sizlerle - bizleri buluşturan değerli Microsoft Türkiye Çalışanlarına ve Çözümpark Bilişim Portalı Kurucu ve Yöneticilerine teşekkür ediyorum . Webcast’e katılan yaklaşık 160′ın üzerinde katılımcımıza da ayrıca değerli vakitlerini ayırdıkları için teşekkür ediyorum. Önümüzdeki webcastlerde de kendileriniz aramızda görmenin bizlere çok büyük mutluluk vereceğini de belirtmek istiyorum.
WebCast Video’una www.cozumpark.com portalımızdan Video Bölümü sayfasından ya da http://mesutaladag.blogspot.com/2008/11/zmpark-webcast-windows-server-2008.html adresinden ulaşabilirsiniz.
Çözümpark Organizasyonunda önümüzdeki haftalarda düzenleyeceğimiz diğer webcastlerimizle ilgili bilgilere aşağıdan da ulaşabilirsiniz.
WEBCAST - 4
TARİH : 11/19/2008
SAAT : 15:00 - 16:00
KONUŞMACI : Mesut ALADAĞ
KONU ve KATILIM LİNKİ
Windows Server 2008 İle Terminal Servis Yenilikleri https://www.livemeeting.com/cc/microsoft/join?id=GTKWF2&role=attend
WEBCAST - 5
TARİH : 11/28/2008
SAAT : 15:00 - 16:00
KONUŞMACI : Mesut ALADAĞ
KONU ve KATILIM LİNKİ
System Center Configuration Manager 2007 ile Sistemlerin Yönetimi https://www.livemeeting.com/cc/microsoft/join?id=56Z6JT&role=attend
WEBCAST - 6
TARİH : 12/3/2008
SAAT : 15:00 - 16:00
KONUŞMACI : Mesut ALADAĞ
KONU ve KATILIM LİNKİ
IIS 7.0 Konfigürasyon ve Yönetimi
https://www.livemeeting.com/cc/microsoft/join?id=GPM7FM&role=attend
WEBCAST - 7
TARİH : 12/17/2008
SAAT : 15:00 - 16:00
KONUŞMACI : Mesut ALADAĞ
KONU ve KATILIM LİNKİ
Windows Server 2008 PowerShell Scripting Uygulamaları https://www.livemeeting.com/cc/microsoft/join?id=S3KG7C&role=attend
WEBCAST - 8
TARİH : 12/25/2008
SAAT : 15:00 - 16:00
KONUŞMACI : Mesut ALADAĞ
KONU ve KATILIM LİNKİ
System Center Operations Manager 2007 Sunucuların Yönetimi ve İzlenmesi https://www.livemeeting.com/cc/microsoft/join?id=DTF2MM&role=attend
ÇözümPark Portalı olarak şu ana kadar düzenlenmiş tüm webcastlerimize http://www.cozumpark.com/blogs/videolar/default.aspx adresinden ulaşabilirsiniz.
Oct 24
WINDOWS 2008 ACTİVE DİRECTORY FINE-GRAINED PASSWORD POLICIES
Active Directory, Group Policy, Windows Server 40 Comments »Bu makalemizde Windows Server 2008 Active Directory Servislerinde gelen fine-grained password policies konusu ile ilgili detayları sizlerle paylaşıyor olacağım.
Server 2008 öncesi işletim sistemlerinde active domain yapısı için yalnızca tek bir password policy uygulanabiliyordu, ve onu da domain seviyesinden uygulayabiliyorduk. Ve bu uygulanan policy’de domain içerisindeki tüm kullanıcılara etki ediyordu. Password policy ayarları içerisinde kullanıcıların kullanacakları şifrenin minimum karakter sayısı, yenilenme süresi, kompleks olma özelliği gibi kuralları içermektedir. Çoğu sektördeki sistem yöneticiler password policy ayarlarının OU seviyesinden de uygulanarak sadece o OU içerisindeki kullanıcıları etkilediğini düşünürler ki, bu düşünce tamamen yanlıştır. Domain altındaki OU’lar üzerinden uygulanan password policy ayarları sadece o OU içerisinde bulunan bilgisayarların yerel kullanıcı hesaplarını(local user account) etkilemektedir.
Windows Server 2008 ile gelen fine grained password policies (FGPP) yeteneği sayesinde password policy uygulanmasındaki eski sınırlama kaldırılmıştır. FGPP yeteneği nin kullanılabilmesi için domain içerisindeki tüm domain controller bilgisayarları Windows 2008 versiyonunda olmalı ve domain fonksiyonel seviyesi DFL3′e (Server 2008) yükseltilmelidir. DFL3 seviyesi domain içerisindeki kullanıcılar için farklı password policy uygulamalarının OU seviyesinde yapılabilmesine hala imkan vermemektedir. Fakat DFL3 seviyesi ile doğrudan kullanıcıya ya da gruba farklı password policy ayarlamalarının yapılabilmesine imkan vermektedir. FGPP yeteneği sadece password policy kuralları değil aynı zamanda hesap kilitlenme (account lockout) ayarlamaları yapmaya da imkan vermektedir. Böylece hassas hesaplar için daha az sayıda yanlış giriş denemesi ayarlanarak, hesapları daha hızlı kilitlenebilmektedir. Yönetim açısında policylerin kullanıcı seviyesi yerine grup seviyesinde uygulanmasını tavsiye ediyoruz.
Eğer kullanıcı birden fazla gruba üyeyse ve her gruptan farklı policy geliyorsa, Windows 2008 içerisinde kullanıcı için hangi policy’nin geçerli olacağına karar verebilme yeteneğine sahiptir. Eğer gerek kullanıcı için, gerekse de kullanıcının üye olduğu gruplar için herhangi bir password policy uygulanmamışsa, bu durumda kullanıcı için domain seviyesinden uygulanan password policy geçerli olacaktır. Bu özellikler sayesinde şirketler esnek bir yapıda password policy tanımlaması yapabilirler. Çoğu şirket Windows 2008 öncesi sistemlerdeki tek seviyeden tek bir password policy sınırlamasıyla yaşamaya alışmış olmasına rağmen, bazı şirketler de farklı password policy uygulamaları için ayrı domain yapıları kurarak ya da yüksek fiyatlı üçüncü parti yazılımlar satın alarak çözüme gitmişlerdi. Server 2008 ile artık bütün bunların yerini FGPP yeteneği aldı. Dolayısıyla sırf farklı password policy uygulamasından dolayı farklı domain kuran organizasyonlar mevcut yapılarını konsolide ederek tek bir domain içerisinde toplayarak hem yönetimsel yüklerini hem de donanımsal maliyet yüklerini azaltmış olacaklardır. Hemen hemen çoğu şirket yönetimsel yetkilere sahip ya da uygulamaların servis hesapları için kullanılan kullanıcı hesapları için daha güçlü güvenlik policyleri uygulamak isterler.FGPP uygulanması active directory system kabı içerisindeki Password Settings Container içerisinde Password Settings Objects (PSOs) nesneleri kullanılarak gerçekleştirilmektedir. PSOs yönetimi için şu anda Microsoft tarafından çıkarılan bir grafiksel araç mevcut değil. PSOs uygulaması şu an itibariyle ADSIEDIT aracı kullanılarak gerçekleştirilmektedir. PSOs uygulaması için çok kullanışlı bir grafiksel araç olmamasına rağmen, her domain controller üzerinde otomatik olarak yüklendiği için şu an ADSIEDIT aracı ile yetinmek durumundayız. Tabii internet üzerinde PSOs yönetimi için üçüncü parti ücretsiz yazılımları da indirip kullanabilirsiniz. Zaman içerisinde Microsoft da PSOs için bir grafiksel arayüz ya da Powershell komut satırı ile daha kullanışlı bir araç sağlayacaktır.
Server 2008 öncesi işletim sistemlerinde active domain yapısı için yalnızca tek bir password policy uygulanabiliyordu, ve onu da domain seviyesinden uygulayabiliyorduk. Ve bu uygulanan policy’de domain içerisindeki tüm kullanıcılara etki ediyordu. Password policy ayarları içerisinde kullanıcıların kullanacakları şifrenin minimum karakter sayısı, yenilenme süresi, kompleks olma özelliği gibi kuralları içermektedir. Çoğu sektördeki sistem yöneticiler password policy ayarlarının OU seviyesinden de uygulanarak sadece o OU içerisindeki kullanıcıları etkilediğini düşünürler ki, bu düşünce tamamen yanlıştır. Domain altındaki OU’lar üzerinden uygulanan password policy ayarları sadece o OU içerisinde bulunan bilgisayarların yerel kullanıcı hesaplarını(local user account) etkilemektedir.
Windows Server 2008 ile gelen fine grained password policies (FGPP) yeteneği sayesinde password policy uygulanmasındaki eski sınırlama kaldırılmıştır. FGPP yeteneği nin kullanılabilmesi için domain içerisindeki tüm domain controller bilgisayarları Windows 2008 versiyonunda olmalı ve domain fonksiyonel seviyesi DFL3′e (Server 2008) yükseltilmelidir. DFL3 seviyesi domain içerisindeki kullanıcılar için farklı password policy uygulamalarının OU seviyesinde yapılabilmesine hala imkan vermemektedir. Fakat DFL3 seviyesi ile doğrudan kullanıcıya ya da gruba farklı password policy ayarlamalarının yapılabilmesine imkan vermektedir. FGPP yeteneği sadece password policy kuralları değil aynı zamanda hesap kilitlenme (account lockout) ayarlamaları yapmaya da imkan vermektedir. Böylece hassas hesaplar için daha az sayıda yanlış giriş denemesi ayarlanarak, hesapları daha hızlı kilitlenebilmektedir. Yönetim açısında policylerin kullanıcı seviyesi yerine grup seviyesinde uygulanmasını tavsiye ediyoruz.
Eğer kullanıcı birden fazla gruba üyeyse ve her gruptan farklı policy geliyorsa, Windows 2008 içerisinde kullanıcı için hangi policy’nin geçerli olacağına karar verebilme yeteneğine sahiptir. Eğer gerek kullanıcı için, gerekse de kullanıcının üye olduğu gruplar için herhangi bir password policy uygulanmamışsa, bu durumda kullanıcı için domain seviyesinden uygulanan password policy geçerli olacaktır. Bu özellikler sayesinde şirketler esnek bir yapıda password policy tanımlaması yapabilirler. Çoğu şirket Windows 2008 öncesi sistemlerdeki tek seviyeden tek bir password policy sınırlamasıyla yaşamaya alışmış olmasına rağmen, bazı şirketler de farklı password policy uygulamaları için ayrı domain yapıları kurarak ya da yüksek fiyatlı üçüncü parti yazılımlar satın alarak çözüme gitmişlerdi. Server 2008 ile artık bütün bunların yerini FGPP yeteneği aldı. Dolayısıyla sırf farklı password policy uygulamasından dolayı farklı domain kuran organizasyonlar mevcut yapılarını konsolide ederek tek bir domain içerisinde toplayarak hem yönetimsel yüklerini hem de donanımsal maliyet yüklerini azaltmış olacaklardır. Hemen hemen çoğu şirket yönetimsel yetkilere sahip ya da uygulamaların servis hesapları için kullanılan kullanıcı hesapları için daha güçlü güvenlik policyleri uygulamak isterler.FGPP uygulanması active directory system kabı içerisindeki Password Settings Container içerisinde Password Settings Objects (PSOs) nesneleri kullanılarak gerçekleştirilmektedir. PSOs yönetimi için şu anda Microsoft tarafından çıkarılan bir grafiksel araç mevcut değil. PSOs uygulaması şu an itibariyle ADSIEDIT aracı kullanılarak gerçekleştirilmektedir. PSOs uygulaması için çok kullanışlı bir grafiksel araç olmamasına rağmen, her domain controller üzerinde otomatik olarak yüklendiği için şu an ADSIEDIT aracı ile yetinmek durumundayız. Tabii internet üzerinde PSOs yönetimi için üçüncü parti ücretsiz yazılımları da indirip kullanabilirsiniz. Zaman içerisinde Microsoft da PSOs için bir grafiksel arayüz ya da Powershell komut satırı ile daha kullanışlı bir araç sağlayacaktır.
ADSIEDIT Kullanılarak PSOs Oluşturulması
ADSIEDIT Kullanılarak PSOs Oluşturulması
ADSIEDIT kullanılarak beş adımda PSOs oluşturulmasını gerçekleştirebilirsiniz:
Öncelikle domain içerisindeki tüm domain controller bilgisayarlarının Windows 2008 işletim sisteminde çalıştığından ve domain fonksiyonel seviyesinin Server 2008 modunda olduğundan emin olun. Domain fonksiyonel seviyesinin kontrolünü Active Directory Users and Computers içerisinden yapabilirsiniz.
ADSIEDIT .msc komutu ile ADSIEDIT aracını başlatın ve domain veritabanınıza (dc=domain adınız) bağlanın. Daha sonra CN=Password Settings Container, CN=System,DC=domainadınız konumuna gelin.
Password Settings Container nesnesi üzerinde sağ tuşa basıp New àObject tıklayın.
Create Object sihirbazını kullanarak yeni bir msDs-PasswordSettings nesnesi oluşturun. Nesneyi oluştururken aşağıdaki tabloda listelenmiş değerleri kullanın.
ADSIEdit konsolu içerisinde oluşturduğumuz PSO nesnesinin özelliklerinden msDS-PSOAppliesTo özniteliğinin değerinden PSO’nin uygulanacağı kullanıcı ya da grubu göstererek gerçekleştirebilirsiniz. Örneğin ben Admins isimli bir grup oluşturmuştum, onu kullanacağım.
Bu adımlar sonrasında Admins grubu üyesi olan bir kullanıcının şifresi değiştirilmek istendiğinde oluşturulan PSO nesnesinde yukarıdaki tabloda uygulanan gereksinimleri karşılaması gerektiğini kontrol edin.
PSOs ve ADSIEDIT hakkında aşağıdaki makalelerden de detaylı bilgi alabilirsiniz:
ADSIedit Overview
http://technet2.microsoft.com/WindowsServer/en/library/ebca3324-5427-471a-bc19-9aa1decd3d401033.mspx?mfr=truePSOMgr
http://joeware.net/freetools/tools/psomgr/
View a Resultant PSO for a User or a Global Security Group (desget command with effective pso option)
http://technet2.microsoft.com/windowsserver2008/en/library/21a35cbb-398d-4ab4-a6f8-39b76fb0323b1033.mspx?mfr=true
http://technet2.microsoft.com/windowsserver2008/en/library/21a35cbb-398d-4ab4-a6f8-39b76fb0323b1033.mspx?mfr=true
Recent Comments