Bvural41 1
Bvural41
Hikaye Ekle

SCCM 2012 – Security Configurations

  • Konuyu başlatan Konuyu başlatan DN Angel
  • Başlangıç tarihi Başlangıç tarihi
  • Cevaplar Cevaplar 0
  • Görüntüleme Görüntüleme 259
[h=4]SCCM 2012 – Security Configurations[/h]
Bu makalemizde sccm tarafında en önemli noktalardan biri olan security configurations konusunu inceleyeceğiz. Öncelikle bilmemiz gereken, kullanıcı ve grup haklarıyla ilgili işlemlerdir. Dolayısıyla kullanıcı, grup ilişkileri, local domain, global, universal gruplar, windows domain, forest mode 2000,2003,2008 gibi farklı modlardaki grup değişiklikleri, bu gruplarından hangi farklı domain ve forestlardan üye alabilecekleri, içi içe nasıl nested group modeli oluşturulacağı, AGUDLP gibi modeller, sharing and security konularında bilgi sahibi olmalıyız, tabiki bu konulardaki makaleler portalımızda mevcuttur ve bu makalemizin konusu değildir. Sccm tarafında rol bazlı atamalarda birden fazla forest ve domain yapısı bulunan çok lokasyonluprojelerde öncelikle yukarıda belirtilen dizaynlar yapılır. Fakat bu demek değildir ki tek domain yapısında tek bir sccmadmin ile tüm işlemleri yapmak yeterlidir. Bir örnek verelim, sccm full admin tüm collection düzenlemeleri ve os deploy işlemleri yapabilir durumda, bu kullanıcı ile yanlışlıkla all systems üzerine bir osdeploy yaparsanız sonuçları nasıl olur? Bu tip olası hataları önlemek için projelerimizde uyguladığımız bazıbest practice uygulamalardan bahsedeceğiz. Önce kavramları tanıyalım.

Administrative users, öncelikle sccm tarafında AD üzerinden bir kullanıcı veya group tanımlarız, bu kullanıcı ve gruplar administrative users kısmında yer alır

Security roles ise objeler üzerinden neler yapılabileceğini gösteren hakların bir bütünüdür

Security scope, objeleri bağlayan alanlardır, x bir collection 1 isimli scope üzerinde tanımlı ise ve bir kullanıcı full kontrol hakkına sahipse ve 1 isimli scope’a kısıtlanmışsa sadece o scope’a dahil edilmiş xcollection’ı ve daha sonradan dahil edilen collection üzerinden hak sahibi olur.

Accounts kısmında ise sccm konsolunda tanımlanmış hesaplar bulunur, mesela sccm client push için tanımlanmış kullanıcı, farklı bir forest discovery için tanımlanmış kullanıcı gibi.








Şimdi detaylandıralım. Yeni bir kullanıcı oluşturalım.





Açılan sihirbazda aşağıdaki seçeneklere bakalım. Dikkat edelim aşağıda scope ve roles kısmı var. Yukarıda anlattığımız gibi, bir kullanıcı eklenir, ona bir hak verilir ve bu hak scope ile obje bazlı olarak kısıtlanır veya genişletilir.





Şimdi varsayılan security roles üzerinden bi tane ekleyelim ve scope olarak da default scope seçelim.





Security roles kısmında aşağıdaki gibi eklediğimiz kullanıcının count olarak 1 şeklinde değiştiğini görelim.





Peki sadece varsayılan rolleri mi kullanmalıyız. Tabiki varsayılan roller duplicate edilebilir.





Mesela hem read-only analyst hem de collection için software deploy yapmayı sağlayan bir rol oluşturabiliriz.





Yukarıda oluşturduğumuz role için analyst&Software deploy role ismini verip kaydediyoruz.Ardındanaşağıdaki gibi yeni oluşturduğumuz kullanıcının özelliklerine giriyoruz.





Yukarıdaki resimde add sekmesine tıklayarak aşağıda açılan menüden yeni oluşturduğumuz rolü seçiyoruz.





Son durum aşağıdaki gibidir.





Şimdi sıra geldi scope konusunu uygulamaya geçirmeye, yukarıdaki açıklamalarda scope mantığını anlatmıştık, şimdi aşağıda yeni bir scope oluşturuyoruz.





Peki bu scope’u nerede kullanacağız, örnek vermek gerekirse, sccm ile dosya dağıtımı yaptığımız istanbulda bulunan distribution point sunucularını bu scope’e ekleyebiliriz. Aşağıda bu işlemi yapalım.





Ardından önceden oluşturduğumuz scope seçimini yapalım.





Ardından yeni oluşturduğumuz kullanıcının özelliklerinde ki scope kısmını açalım:





Hepsini silip scope ekleyelim:





Scope seçimi:





Veya scope yerine collection bazlı kısıtlama da yapabiliriz:





Kısaca, yeni açılan sccmadmin kullanıcısı analyst&Software Deploy hakkına sahiptir, fakat bu hakkı sadece belirtilen scope’da kullanabilir, dilersek scope yerine collection veya birden collection da atayabiliriz
 

Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)

Geri
Üst