AD mühitində olan istifadəçilər, qruplar, serverlər, yəni object-lərə security policies necə tətbiq edilir? Yəni, kimin access-i hardan gəlir? Kim access-i hardan alır? Bu security policies necə görülür və bunlara necə müdaxilə edilir? Gəlin bunların tətbiq edildiyi bölmələrə baxaq.

1) Domain Security Policy nədir? Bu, domendəki bütün kompüterlərdə və sistemlərdə təsirli olan, domenin qurulduğu andan etibarən default olaraq formalaşan və tətbiq olunan qaydalar toplusudur. Başqa sözlə, bu, domen altında olan bütün obyektlərə təsir edən, formalaşan və domen qurulduqda təsirli olan qaydalar toplusudur. Yəni domain-də olan bütün obyektlərə, kompüter, server, user – bunlara təsir edir. Ən üstdə olan Policy-lərdir.

Tutaq ki, şirkətdə 100 dənə istifadəçi kompüteri var. Bunların hamısı domain-ə qoşulub. Sən burda DCP-də rule yaratsan, o bütün bu 100 dənə domain-ə qoşulmuş kompüterlərə aid olacaq.

2) Domain Control Security Policy nədir? Bu, yalnız domen controller roluna, yəni DC roluna malik olan VM-lərdə təsirli olan, domen qurulduqda avtomatik olaraq yaradılan və təsirli olan qaydalar toplusudur. Yəni sənin şirkətdə neçə dənə DC-in varsa, məsələn, 4-5 dənə DC var. Sən DCSP-də rule yaratsan, bu rule yalnız və yalnız bu DC-lərə tətbiq olunacaq.

3) Local Security Policy nədir? Bu, yalnız yerləşdiyi VM-ə təsir edən qaydalar toplusudur. Başqa sözlə, domenə daxil olub-olmamasından asılı olmayaraq hər bir Windows əməliyyat sistemində olan və olduğu VM-ə təsir edən qaydalar toplusudur.

Məsələn, ancaq kompüterin özündə LCP-yə girsək, domain-də yox ha!, adi istifadəçi kompüterinin özünün də, bütün Windows-ların domain-ə qoşulub qoşulmamasından asılı olmayaraq, GPO-su var. Lori dildə izah versək, məsələn, 1 dənə domain-ə qoşulmamış hostumuz var, biz bu kompüterdə LCP-də Rule yaratsaq, yaratdığımız bu rule yalnız və yalnız bu hosta tətbiq olunacaq.

Gəlin, indi baxaq ki, bunlar harada yerləşir? Server Managerden-Tools bölməsinə daxil olub Group Policy Management, və yaxud Start-Group Policy Management search etsəniz, belə bir pəncərə açılacaq :

GPO-ya daxil olduq. Deyəcəksiniz ki, bəhs etdiklərimiz adları burda eyni deyil. Əslində belədir :

a) Domain Security Policy – Default Domain Policy

b) Domain Controller Security Policy – Default Domain Controllers Policy

Bu GPO Console elə açmışkən, elə bir məlumat vermək istərdim. Bu Console Windows Server 2003 və 2000-də yox idi, default olaraq Windows Server 2008-də gəldi. Əvvəllər bu console olmadığı üçün Administrator Tools adlı ayrı bir interfeysdən görə bilirdik.

Bəs, Local Policy harada yerləşir? Run-gpedit.msc yazsanız, açılan pəncərədə Local Group Policy görəcəksiniz :

Dediyimiz ki, bir daha xatırlatma edim ki, Local Computer Policy hamısında rast gəlinir – həm client, həm Windows Server.

Local Security Policy – Local Computer Policy.

DC-yə keçib, orada Default Domain Policy (Domain Security Policy) baxaq. Bu konsol GPO-ları idarə edərkən bizim ən vacib köməkçimizdir. Burada siz qaydaları müəyyən edə, təhlükəsizlik parametrlərini dəyişdirə və s. işlər üçün nəzərdə tutulub. Bu, yəqin ki, AD Users and Computers-dən sonra ən çox istifadə edəcəyimiz yer olacaq. Yaratdığımız OU-lar burada da görünəcək. Məsələn, Helpdesk adlı OU GPO-da da əks olunub.

Əlavə olaraq, burada OU da yarada bilərsiniz. Bunun üçün domain üzərində sağ düymə-New Organizational Unit deyərək yaradılır. AD-də yaradılan OU-lar da GPO-da əks olunur. Burada da xüsusi tətbiqləri edə bilərsiniz. Silmək istəsəniz əgər, OU üzərində sağ düymə-Delete edərək silmək olur. 

Ümumiyyətlə, GPO-ların tətbiq oluna bildiyi yegane obyekt OU və birdə Domain–dir. GPO-lar, beləliklə, DSP və DCSP, bu GPO obyektləri yalnız OU-lara və domenlərə tətbiq oluna bilər. Onu başqa yerdə tətbiq edə bilməzsiniz. Sadə konteynerə aid deyil, qruplara aid deyil, birbaşa istifadəçilərə aid deyil, yalnız OU və domen-e üçün tətbiq oluna bilər. Site strukturunuz varsa, istisna da site-da tətbiq oluna bilər. Çox istifadə oluna bilməz, amma burada görürsünüz.

Bəs yaxşı, Default Domain Policy(DSP) məzmununu, yəni içini necə görə bilərəm? Necə dəyişikliklər edə bilərəm? Bunun üçün üzərində sağ düymə-Edit vuraraq açılan pəncərədən baxa bilərik. 

Burada 2 bölmə görünür:

1) Computer Configuration

2) User Configuration

Computer Configuration – sadəcə, kompüter (hostlarda) tətbiq olunur.

User Configuration – sadəcə, user obyektlərində tətbiq olunur və onlara təsir edir.

Burada gördüyünüz kimi, group yoxdur, yalnız user və computer var.

Gəlin, burada görünən Computer Configuration bölməsinə qısa bir nəzər yetirək. Burada bu bölməyə yavaş-yavaş göz ataq:

Computer Configuration-Windows Settings-Security Settings

Demək, belə bir mövzuya qısa nəzər atsaq, ki, bildiyimiz kimi, Windows AD quruluşu, Microsoft AD quruluşunda Complex Password istifadə edilir və o üzdən 7 simvoldan az, tərkibində böyük-kiçik hərf, rəqəm, eyni zamanda simvol ( məsələn, !, @, # və s. ) olmayan bir password verilə bilməz. Bax, bu dediklərimizin istifadə edildiyi yer buradır:

Computer Configuration-Windows Settings-Security Settings-Account Policies-Password Policy

Burada dəyişiklik etsəniz, bayaq dediyimiz standartda da dəyişiklik etmiş olacayıq. Buradakı Password Policy tətbiqlərini də Domain mühitində edirik. Password Policy tərkibindəki policy-lərə nəzər salaq:

1) Enforce Password History – bu o deməkdir ki, istifadəçi hər dəfə parol dəyişəndə, məsələn, 1-ci dəfə dəyişdi, ikinci dəfə dəyişəndə köhnə parolu yaza bilməsin. Burada biz 8 yazsaq, belə yadda saxlayır ki, istifadəçi əvvəlki 8 dənə köhnə parolları yaza bilməsin. Hər dəfə fərqli-fərqli parollar yazılmalıdır. Yəni, ən son istifadə olunan parolların təkrar daxil edilməsinə müəyyən bir həddə qədər qadağa qoyulması prosesidir.

2) Maximum Password Age – şifrənin maksimum istifadə olunma müddəti

3) Minimum Password Length – məsələn, görürük ki, burada qeyd olunur, password uzunluğu 7 simvoldan az ola bilməz! Amma biz dəyişiklik edə bilərik, daxil oluruq bura ve bu hissədə istədiyimiz uzunluğu (məsələn, 10 simvol) qeyd edirik.

Define this policy setting – bu aktiv olanda, parolun neçə simvoldan ibarət olacağını təyin edə bilirik, deaktiv olduqda isə sıfırlanmış, yəni policy müəyyən olunmamış halda olur.

4) Minimum Password Age – şifrənin minimum istifadə olunma müddəti

5) Password must meet complexity requirements – parolun qarışıq, yəni mürəkkəb şəkildə olması.

Bu işləmləri etdikdən sonra, Password Policy Domain mühitində tətbiq olunacaq.

QEYD! İndi belə bir sual verək. OU mühitində Password dəyişmək mümkündürmü? Həqiqətən də, DDP(DSP) – OU-ya tətbiq oluna bilməz!, group və user-ə tətbiq edə bilərsiniz, bunu Fine-grained Password Policy ilə edə bilərsiniz. Windows Server 2008-dən istifadə edilməyə başlanıldı, hələ də istifadə edilə bilir. Amma bunu interfeysə qoymadı. Və son olaraq nəticə budur ki, Password Policy OU mühitində tətbiq edilmir!

Bayaqdan tətbiq etdiyimiz dəyişikliklər domain mühitində aktivdir, xüsusilə də əgər siz gəlib dəyişikliyi Domain Security Policy-də etdiysəniz, bütün Domain-ə təsir edəcək.

Bunların tətbiq olunması zaman alır, ya VM-lərin Restart edilməsi lazımdır, yada ki 60 dəq qədər gözləmək lazımdır ki, gedib tətbiq edilən policy-ləri götürsün. Əgər bu müddəti sürətləndirmək istəyirsinizsə, bunun üçün Cmd-Run as administrator ilə açıb bu komandanı icra edirik və enter vururuq:

gpupdate /force

İndi isə bu bölməyə nəzər yetirək – Account Lockout Policy.

Gördüyünüz kimi, bu bölmə deaktivdir, amma biz aktiv edə bilərik. Baxaq:

1) Account lockout duration – accountun müəyyyən cəhdlərindən (səhv parol daxil etmə) sonra lock edir və müəyyən edilmiş zamandan sonra lock-dan çıxır. Məsələn, burada 15 dəq qeyd eləsək, account lock-a düşəndən 15 dəq sonra lock-dan çıxır və yenidən cəhd edə bilirsiniz, ta ki, biz AD-də girib unlock edənə qədər.

2) Account lockout threshold – burada gördüyünüz kimi, 5 cəhd yazmışıq.

Bu o deməkdir ki, parolu 5 dəfə səhv yaza bilərik, artıq 5-ci cəhddə də səhv olsa, artıq lockout düşəcək.

Bayaq yuxarıda qeyd elədiyim kimi, ya 15 dəq gözləmələsiniz, ya da işiniz təcilidirsə, System Admin ilə və ya bəzi yerlərdə Support əməkdaşlarında da access verilir, əlaqə saxlayıb, user-in lock-dan çıxarılmasını bildirirsiniz. Ən doğru şəkildə isə qaydalara uyğun olaraq case (sorğu) yaradırsınız və baxılır.