Ayyıldız2 | 2008 TR Yapısı • 1-99 Orta Emek Destan • Oto Avsız • 10 Temmuz 21:00 HEMEN TIKLA!
[h=4]SCCM 2012 Security Configurations[/h]
Bu makalemizde sccm tarafında en önemli noktalardan biri olan security configurations konusunu inceleyeceğiz. Öncelikle bilmemiz gereken, kullanıcı ve grup haklarıyla ilgili işlemlerdir. Dolayısıyla kullanıcı, grup ilişkileri, local domain, global, universal gruplar, windows domain, forest mode 2000,2003,2008 gibi farklı modlardaki grup değişiklikleri, bu gruplarından hangi farklı domain ve forestlardan üye alabilecekleri, içi içe nasıl nested group modeli oluşturulacağı, AGUDLP gibi modeller, sharing and security konularında bilgi sahibi olmalıyız, tabiki bu konulardaki makaleler portalımızda mevcuttur ve bu makalemizin konusu değildir. Sccm tarafında rol bazlı atamalarda birden fazla forest ve domain yapısı bulunan çok lokasyonluprojelerde öncelikle yukarıda belirtilen dizaynlar yapılır. Fakat bu demek değildir ki tek domain yapısında tek bir sccmadmin ile tüm işlemleri yapmak yeterlidir. Bir örnek verelim, sccm full admin tüm collection düzenlemeleri ve os deploy işlemleri yapabilir durumda, bu kullanıcı ile yanlışlıkla all systems üzerine bir osdeploy yaparsanız sonuçları nasıl olur? Bu tip olası hataları önlemek için projelerimizde uyguladığımız bazıbest practice uygulamalardan bahsedeceğiz. Önce kavramları tanıyalım.
Administrative users, öncelikle sccm tarafında AD üzerinden bir kullanıcı veya group tanımlarız, bu kullanıcı ve gruplar administrative users kısmında yer alır
Security roles ise objeler üzerinden neler yapılabileceğini gösteren hakların bir bütünüdür
Security scope, objeleri bağlayan alanlardır, x bir collection 1 isimli scope üzerinde tanımlı ise ve bir kullanıcı full kontrol hakkına sahipse ve 1 isimli scopea kısıtlanmışsa sadece o scopea dahil edilmiş xcollectionı ve daha sonradan dahil edilen collection üzerinden hak sahibi olur.
Accounts kısmında ise sccm konsolunda tanımlanmış hesaplar bulunur, mesela sccm client push için tanımlanmış kullanıcı, farklı bir forest discovery için tanımlanmış kullanıcı gibi.
Şimdi detaylandıralım. Yeni bir kullanıcı oluşturalım.
Açılan sihirbazda aşağıdaki seçeneklere bakalım. Dikkat edelim aşağıda scope ve roles kısmı var. Yukarıda anlattığımız gibi, bir kullanıcı eklenir, ona bir hak verilir ve bu hak scope ile obje bazlı olarak kısıtlanır veya genişletilir.
Şimdi varsayılan security roles üzerinden bi tane ekleyelim ve scope olarak da default scope seçelim.
Security roles kısmında aşağıdaki gibi eklediğimiz kullanıcının count olarak 1 şeklinde değiştiğini görelim.
Peki sadece varsayılan rolleri mi kullanmalıyız. Tabiki varsayılan roller duplicate edilebilir.
Mesela hem read-only analyst hem de collection için software deploy yapmayı sağlayan bir rol oluşturabiliriz.
Yukarıda oluşturduğumuz role için analyst&Software deploy role ismini verip kaydediyoruz.Ardındanaşağıdaki gibi yeni oluşturduğumuz kullanıcının özelliklerine giriyoruz.
Yukarıdaki resimde add sekmesine tıklayarak aşağıda açılan menüden yeni oluşturduğumuz rolü seçiyoruz.
Son durum aşağıdaki gibidir.
Şimdi sıra geldi scope konusunu uygulamaya geçirmeye, yukarıdaki açıklamalarda scope mantığını anlatmıştık, şimdi aşağıda yeni bir scope oluşturuyoruz.
Peki bu scopeu nerede kullanacağız, örnek vermek gerekirse, sccm ile dosya dağıtımı yaptığımız istanbulda bulunan distribution point sunucularını bu scopee ekleyebiliriz. Aşağıda bu işlemi yapalım.
Ardından önceden oluşturduğumuz scope seçimini yapalım.
Ardından yeni oluşturduğumuz kullanıcının özelliklerinde ki scope kısmını açalım:
Hepsini silip scope ekleyelim:
Scope seçimi:
Veya scope yerine collection bazlı kısıtlama da yapabiliriz:
Kısaca, yeni açılan sccmadmin kullanıcısı analyst&Software Deploy hakkına sahiptir, fakat bu hakkı sadece belirtilen scopeda kullanabilir, dilersek scope yerine collection veya birden collection da atayabiliriz
Bu makalemizde sccm tarafında en önemli noktalardan biri olan security configurations konusunu inceleyeceğiz. Öncelikle bilmemiz gereken, kullanıcı ve grup haklarıyla ilgili işlemlerdir. Dolayısıyla kullanıcı, grup ilişkileri, local domain, global, universal gruplar, windows domain, forest mode 2000,2003,2008 gibi farklı modlardaki grup değişiklikleri, bu gruplarından hangi farklı domain ve forestlardan üye alabilecekleri, içi içe nasıl nested group modeli oluşturulacağı, AGUDLP gibi modeller, sharing and security konularında bilgi sahibi olmalıyız, tabiki bu konulardaki makaleler portalımızda mevcuttur ve bu makalemizin konusu değildir. Sccm tarafında rol bazlı atamalarda birden fazla forest ve domain yapısı bulunan çok lokasyonluprojelerde öncelikle yukarıda belirtilen dizaynlar yapılır. Fakat bu demek değildir ki tek domain yapısında tek bir sccmadmin ile tüm işlemleri yapmak yeterlidir. Bir örnek verelim, sccm full admin tüm collection düzenlemeleri ve os deploy işlemleri yapabilir durumda, bu kullanıcı ile yanlışlıkla all systems üzerine bir osdeploy yaparsanız sonuçları nasıl olur? Bu tip olası hataları önlemek için projelerimizde uyguladığımız bazıbest practice uygulamalardan bahsedeceğiz. Önce kavramları tanıyalım.
Administrative users, öncelikle sccm tarafında AD üzerinden bir kullanıcı veya group tanımlarız, bu kullanıcı ve gruplar administrative users kısmında yer alır
Security roles ise objeler üzerinden neler yapılabileceğini gösteren hakların bir bütünüdür
Security scope, objeleri bağlayan alanlardır, x bir collection 1 isimli scope üzerinde tanımlı ise ve bir kullanıcı full kontrol hakkına sahipse ve 1 isimli scopea kısıtlanmışsa sadece o scopea dahil edilmiş xcollectionı ve daha sonradan dahil edilen collection üzerinden hak sahibi olur.
Accounts kısmında ise sccm konsolunda tanımlanmış hesaplar bulunur, mesela sccm client push için tanımlanmış kullanıcı, farklı bir forest discovery için tanımlanmış kullanıcı gibi.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Şimdi detaylandıralım. Yeni bir kullanıcı oluşturalım.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Açılan sihirbazda aşağıdaki seçeneklere bakalım. Dikkat edelim aşağıda scope ve roles kısmı var. Yukarıda anlattığımız gibi, bir kullanıcı eklenir, ona bir hak verilir ve bu hak scope ile obje bazlı olarak kısıtlanır veya genişletilir.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Şimdi varsayılan security roles üzerinden bi tane ekleyelim ve scope olarak da default scope seçelim.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Security roles kısmında aşağıdaki gibi eklediğimiz kullanıcının count olarak 1 şeklinde değiştiğini görelim.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Peki sadece varsayılan rolleri mi kullanmalıyız. Tabiki varsayılan roller duplicate edilebilir.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Mesela hem read-only analyst hem de collection için software deploy yapmayı sağlayan bir rol oluşturabiliriz.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Yukarıda oluşturduğumuz role için analyst&Software deploy role ismini verip kaydediyoruz.Ardındanaşağıdaki gibi yeni oluşturduğumuz kullanıcının özelliklerine giriyoruz.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Yukarıdaki resimde add sekmesine tıklayarak aşağıda açılan menüden yeni oluşturduğumuz rolü seçiyoruz.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Son durum aşağıdaki gibidir.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Şimdi sıra geldi scope konusunu uygulamaya geçirmeye, yukarıdaki açıklamalarda scope mantığını anlatmıştık, şimdi aşağıda yeni bir scope oluşturuyoruz.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Peki bu scopeu nerede kullanacağız, örnek vermek gerekirse, sccm ile dosya dağıtımı yaptığımız istanbulda bulunan distribution point sunucularını bu scopee ekleyebiliriz. Aşağıda bu işlemi yapalım.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Ardından önceden oluşturduğumuz scope seçimini yapalım.
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Ardından yeni oluşturduğumuz kullanıcının özelliklerinde ki scope kısmını açalım:
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Hepsini silip scope ekleyelim:
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Scope seçimi:
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Veya scope yerine collection bazlı kısıtlama da yapabiliriz:
Linkleri görebilmek için Turkmmo Forumuna ÜYE olmanız gerekmektedir.
Kısaca, yeni açılan sccmadmin kullanıcısı analyst&Software Deploy hakkına sahiptir, fakat bu hakkı sadece belirtilen scopeda kullanabilir, dilersek scope yerine collection veya birden collection da atayabiliriz