Active Directory Temporary Group Windows Server 2016 ile birlikte hayatımıza giren bir özelliktir. Bu son derece kullanışlı özellik bize bir kullanıcıyı AD üzerinde güvenlik grubuna geçici olarak eklememize olanak vermektedir.
Kullanıcının grup üyeliği için TTL değeri belirtip ilgili grup üyeliği için kısıtlama yapabiliyoruz. Kullanıcıya tanımladığımız TTL süresi boyunca istenen grubun üyesi olacaktır ama TTL süresi dolduğu zaman ise herhangi bir müdahaleye gerek kalmadan otomatik olarak grup üyeliğinden çıkarılacaktır.
Temporary Group özelliği için Active Directory forest düzeyinde “Privileged Access Management” özelliğini etkinleştirmemiz gerekiyor.
Not olarak eklemekte fayda var burada yaptığımız değişiklik, Active Directory Recycle Bin de olduğu gibi geri alınamıyor.
Privileged Access Management etkinleştirmesi için Forest seviyesi 2016 olması gerekmektedir.
Privileged Access Management özelliğinin aktif olup olmadığına bakmak için ise aşağıdaki komut setini kullanarak bakabiliriz. Enable Scopes değerini kontrol ediyoruz.
“Get-ADOptionalFeature -filter {name -like “Privileged*”}”
Privileged Access Management özelliğini GUI üzerinden maalesef yapamıyoruz bu yüzden işlemi PowerShell arayüzünden yapmamız gerekiyor. Komutu çalıştırdıktan sonra bizden ek onay isteyecektir. Komut çalıştırdıktan sonra tekrar kontrolümüzü sağlıyoruz. İlgili komut setimiz aşağıdaki gibidir.
“Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target techknowlojist.local”
PAM etkinleştirdik şimdi MemberTimeToLive ile TTL süresini belirleyeceğiz peşinden ise hangi grup ve hangi user için bu işlemi yapacak ise komutumuzu düzenliyoruz. Komut setimiz aşağıdaki gibidir.
“$TTL = New-TimeSpan -Minutes 10
Add-ADGroupMember -Identity “T0_Sec_Group” -Members “t0ahmet” -MemberTimeToLive $TTL”
İşlem sonrasında Grup içerisinde bulunan üyemizin TTL süresini kontrol Edeceğiz. T0_Sec_Group isimli grubumuzun üyesi “t0ahmet” için TTL süresi kontrol esnasında 598 olarak gözükmekte.
“Get-AdGroup -Identity “T0_Sec_Group” -Properties Member -ShowMemberTimeToLive”
Süre sonunda tekrar ilgili grubu kontrol ettiğimizde kullanıcı grup üyeliğinden çıkartılmış durumda olduğunu görüyoruz.
Active Directory Temporary Group isimli yazımızın sonuna geldik umarım faydalı olur. Herkese sorunsuz sağlıklı günler dilerim.