Kullanıcılarınızın masa üstü öğeleri, browser için sık kullanılan linkleri veya kişisel ayarlarının her logon olduğunda sıfırlandığını düşünün? Böyle bir ortamda kullanıcıların çalışması mümkün olmayacaktır. Alışkın olduğumuz kullanıcı masa üstleri için aslında böyle bir risk yoktur. Çünkü mevut bir laptop veya masa üstü bilgisayarı kendileri için sabit olarak kullanmakta ve hep aynı kullanıcı profilini yüklemektedir. Ancak VDI ortamlarında işler biraz değişiktir. VDI ortamlarındaki kullanıcı profil yönetimine geçmeden önce kısaca VDI nedir ondan bahsetmek istiyorum.

VDI teknolojisi Sanal Masaüstü Altyapısı’ dır. Veri merkezimizin içinde bulunan Sanal bilgisayarların uzak masa üstü protokolleri sayesinde son kullanıcılarımızın hizmetine sunulmasıdır. Sanallaştırma teknolojileri içinde bulunan ve belki de toplam sahip olma maliyetlerinde azalma göstermeyen ve aksine toplam sahip olma maliyetlerinde artış gösteren bir sanallaştırma çözümüdür. Çünkü VDI teknolojisinde yatırım son kullanıcı bilgisayarlarına değil, veri merkezlerimizin içine yapılmaktadır. Bu sebepten ötürü, veri merkezi yatırımları pahalı olduğu için maliyetlerimizi arttıran bir teknolojidir.

VDI teknolojisiyle ilgili yanlış bilinen bir inanç vardır. Birçok kurum şu düşünce içinde olabilirler;

“VDI teknolojisiyle birlikte son kullanıcı aygıt yatırımını düşürdük ve son kullanıcılarımıza Aptal Terminaller tahsis ettik, son kullanıcılarımıza zengin kaynaklara sahip bir donanım vermedik. Böylelikle VDI teknolojisi sayesinde toplam sahip olma maliyetlerimizde tasarruf elde ettik”

Yukarıda aktarılan düşünce yanlıştır!

VDI teknolojisi incelendiği zaman son kullanıcılarımızın kullanmış oldukları aygıtlar sadece VDI bileşenlerinden bir tanesidir. VDI teknolojisi bir bütün olarak incelendiği zaman pahalı ve hatta toplam sahip olma maliyetlerinde artış gösteren bir teknoloji olduğu tespit edilecektir.

Peki, VDI tanımını yaptık isek eğer şimdi sıra geldi kullanıcı profillerinin önemine. Yukarıda da özetlediğimiz gibi kullanıcılar artık basit istemcilerden veya son günlerin modası olan BYOD dediğimiz (bring your own device) yani çalışanların kendi mobil aygıtları üzerinden şirket kaynaklarına erişmesi modelinde masa üstünüz hep sabit olmalıdır.

Bu ve bunun gibi pek çok nedenden dolayı VDI ortamlarında kullanıcı profil yönetimi büyük önem taşımaktadır.

VDI için bir adet golden imajdan sonra kullanıcı tarafından yapılan her şey ( masa üstü arka planı, uygulama ayarları, Windows ayarları, masa üstü, belgeler ve benzeri klasörlerdeki dosyalar) profili üzerinde kayıt edilir ve bizimde amacımız bu profili herhangi bir VDI ortamında (sanal masa üstü) logon olursa olsun aynı kullanıcı deneyimi yaşatmasını sağlamaktır. Eğer işletmenizin ihtiyaçları doğrultusunda kullanıcıların herhangi bir şekilde kişiselleştirmeye gitmesini istemiyorsanız, ya da yaptığı tüm değişiklikler log off sonrasında ilk haline dönmesini istiyorsanız buna mandatory profiles denir ki bu bizim şu anda üzerinde durduğumuz bir konu değildir. Ancak bunu da bir çözüm olduğunu ve kullanıldığını söylemek isterim.

Kullanıcı profil yönetimi denince pek çok ürün olduğunu ve bunlardan bazılarının özellikle VDI ortamları için geliştirildiğini görebiliyoruz.

Peki, masa üstünü sanallaştırmadan önce profilleri ne yapmalıyız? Buradaki en önemli fikir tabiki artık profilleri yerel disklerde tutmamak olacaktır. Bu sayede User State Virtualization (USV) dediğimiz kullanıcıların yönetilen tüm cihazları için aynı kullanıcı deneyimi yaşamasını sağlayabileceğiz. USV, kullanıcıların her zaman kişisel tecrübelerine yönetilen herhangi bir cihaz üzerinden erişmesi demektir. Temel anlamda kullanıcının herhangi bir bilgisayardaki dosyaları, ayarları gibi kendisine ait kişiselleştirilmiş bilgileri tüm makinelerden sunmaktır. Bu sayede kullanıcıların herhangi bir yerden herhangi bir zamanda çalışmasına yardımcı olarak üretkenliği arttırılabilir. Bu özelliğin Microsoft tarafından sağlanması için Folder Redirection, Roaming Profile, One Drive Pro, Offline Files gibi teknolojiler birlikte kullanılabilir. Ben ise makalemde mevcut bu teknolojilerden roaming ve folder rediretion’ dan bahsedeceğim.

Not: Ek olarak Windows Server 2012 ile RDS ortamları için sunulan User Profile Disk teknolojisi için aşağıdaki makaleyi inceleyebilirsiniz.

Makale

Öncelikle VDI ortamları ile yerleşik bilgisayar ortamlarındaki en büyük fark aslında mobil platform kullanımıdır. Yani şirket çalışanları ister şirket içerisinde masa üstü bilgisayarı, ister yine şirket içerisinde toplantıda kullandığı laptop, veya evindeki tablet yada cep telefonu ile aynı kullanıcı deneyimi yaşamak ister. Durum böyle olunca da bunu Active Directory Roaming Profile ile sağlayabilirsiniz. (VDI Floating Pool)

Roaming Profile için temel çalışma mantığı son derece basit olup AD üzerinde kullanıcı için profile path tanımlanır ve kullanıcı çalışma yaptıktan sonra log off olur, log off sırasında o makinedeki tüm dosyalar sunucu üzerine gönderilir. Daha sonra evine gittiğinde tablet bilgisayarı ile sanal masa üstüne bağlandığında logon olurken sunucu üzerinden tekrar bu profil bilgileri yüklenir ( Aslında bu yükleme tablet bilgisayara olmaz, tablet bilgisayar üzerine kullandığınız VDI alt yapısının bir istemcisini kuruyorsunuz ve bu istemci yazılımı ile sanallaştırma sunucularına bağlanıyorsunuz.

Bu senaryo içerisinde aklınıza bazı durumlar takılabilir, bunlardan ilki çalışanlarınızın log off olmaması. Evet bu kötü bir durum olup log off olmaması durumunda bu bilgiler sunucu üzerine yazılmayacağı için başka bir bilgisayardan profil’ e ulaştığı zaman en güncel profili yüklenmeyecektir. Hatta zaman damgası mantığı ile çalıştığı için evdeki pc de çalışır, sonra şirketteki makineyi log off olmadan kapatıp açar ise o makinedeki çalışmaları da log on olurken ezilir. Bu tür senaryolar için tabiki çözümlerimiz var. Bunlardan ilki roaming profile ile beraber folder redirection dediğimiz profil içerisindeki belgelerinizin, masa üstü çalışma alanınızın aslında size ayrılan bir file server üzerinden çalışması, bu sayede siz log off olmasanız bile yazdığınız tüm işler sunucu üzerinde olacaktır. Folder redirection yoğun bir network kullanımına neden olur, çünkü aslında kullandığınız masa üstü ve belgelerim gibi ( bunları seçebilirsiniz) yollar, direkt olarak file server üzerinden okuma ve yazma yapmaktadır.  Bu bahsettiğim ikinci yöntem yani Roaming Profile ile Folder Redirection çözümlerinin beraber kullanılması aynı zamanda logon ve log off sürelerini de kısaltacaktır. Çünkü roaming profile için tüm kullanıcı profilinin yeni bir makineye yüklenmesi bazen ciddi bir zaman alabilir. Veya mevcut bir makinede hızlı bir şekilde logon oldu ancak 5GB lık bir veri çalışması yaptı ve log off olarak şirketten çıkmak istiyor, bu durumda bu 5GB’ ın sunucuya atılmasını beklemek zorundadır.

Peki, gelelim uygulama tarafına, aslında bu bölüm bir hayli uzun sürecek, yani Roaming Profile ile başlayıp Folder Redirection’ ın beraber kullanma senaryolarına kadar adım adım uygulamalı bir anlatım planladım, ancak her bir demo için ortam hazırlamak ve tek bir solukta yazmak benim iş yoğunluğumda uzun bir zaman alacağı için bölüm temeli yazıp sizler ile paylaşmak istiyorum.

İlk olarak Roaming Profile ile başlıyorum.

Romaing Profile için aşağıdaki gibi bir yol izlememiz gerekmektedir;

·         Farklı profil sürümlerinin desteklenmesi 

·         Roaming User Profiles için bir security group oluşturmak

·         Roaming user profiles için bir dosya paylaşımı hazırlamak

·         Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak

·         Roaming User Profiles ayarlarının kullanıcılar için tanımlanması

·         Roaming User Profiles için isteğe bağlı bilgisayar ayarları

·         Roaming User Profiles için tanımlanan GPO’ nun devreye alınması

·         Test İşlemleri

Farklı Profil Sürümlerinin Desteklenmesi 

Kullanmış olduğunuz işletim sisteminin sürümüne göre kullanıcı profilleri farklılıklar göstermektedir. Yani ilk olarak bir Windows 7 de oturum açan bir roaming user daha sonra bir Windows 8 de oturum açar ise veya tam tersi bir Windows 8 de oturum açan roaming user sonrasında Windows 7 makineye logon olursa tek olarak tutulan bu profil dosyası her iki işletim sisteminin tüm ayarlarını doğru bir şekilde yapılandırmak için yeterli değildir. Bu nedenle aşağıdaki gibi profil versiyonları bulunmaktadır.

Windows 7 - Windows Server 2008 R2= v2
Windows 8 - Windows Server 2012 = V3
Windows 8.1 - Windows Server 2012 R2 = V4
Windows 10 = V5

Yukarıdaki örnekte aynı kullanıcı için iki adet farklı sürümü görebiliyoruz.

Ancak varsayılan olarak bu özellik açık olmadığı için aşağıdaki gibi iki işletim sistemi sürümü için hotfix yüklemeniz ve bir kayıt defteri ayarı değiştirmeniz gereklidir.

Windows 8.1 ve Server 2012 R2 için http://support.microsoft.com/kb/2887595

Windows 8 ve Server 2012 için http://support.microsoft.com/kb/2887239

Kayıt defteri girdisi aşağıdaki gibi olup değeri “1” olacaktır

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters\UseProfilePathExtensionVersion

Bunu GPO ile aşağıdaki gibi tüm makinelere uygulayabilirsiniz

Artık sürüm desteğine kavuştuğumuza göre ikinci adıma geçebiliriz.

Roaming User Profiles için bir security group oluşturmak

Bu adım son derece basit olup örneğin “Roaming User Profiles Users and Computers” ismin de bir Security – Global grup oluşturuyoruz.

Roaming user profiles için bir dosya paylaşımı hazırlamak

Bu adımda ise kullanıcı profil dosyaları için bir file server üzerinde paylaşım oluşturacağız. Bunun için öncelikle Server Manager ekranında “File and Storage Services” düğümüne geliyoruz ve Share kısmına tıklayarak paylaşımların gösterildiği ekranı açıyoruz.

Sağ üst köşedeki Task menüsü altından New Share diyerek yeni bir paylaşım oluşturmak için sihirbazı açıyoruz.

Karşımıza çıkan ekranda SMB Share Quick diyerek ilerliyoruz. Eğer siz içerik ve kota yönetimi gibi sunucu tarafında beklenmedik bir yoğunluk oluşumunu engellemek istiyorsanız SMB Share Advanced seçeneği ile ilerleyebilirsiniz.

Hangi sunucu ve volume üzerinde paylaşım açacak ise onu seçiyoruz ( Server manager üzerinden birden çok sunucuyu yönetme şansınız olduğu için birden çok sunucu üzerinde de paylaşım açabilirsiniz)

Paylaşım için anlamlı bir isim veriyoruz, sonuna $ işaretini koyarak isek herkesin görmesini istemediğimiz gizli bir paylaşım olmasını sağlıyoruz.

Bu bölümdeki seçenekler isteğinize bağlı olup ben yine bir kişinin bir paylaşım üzerinde yetkisi olmayan klasörleri listelememesi için “Enable access-based enumeration” kutucuğunu işaretliyorum.

Bir sonraki bölüm ise izinler. Bu bölüm son derece kritik bir öneme sahip olup gösterilen izinleri uygulamak güvenlik açısından en doğru konfigürasyonu yapmanızı sağlayacaktır.

İlk olarak karşımıza çıkan ekranda “Customize permissions” linkine tıklıyoruz.

Daha sonra açılan pencerede “Disable inheritance” ve ardından karşımıza çıkan uyarı ekranında

Kırmızı işaretli linke tıklıyoruz.

Daha sonra ise izinleri yukarıdaki tabloda gösterildiği gibi tanımlıyoruz.

İzinlerin son hali yukarıdaki gibidir.

Artık Roaming Profile için gerekli olan dosya paylaşımını tamamlamış bulunuyoruz.

Evet adımlarımıza makalemin bir sonraki bölümünde devam edeceğim. Umarım bu bölüme kadar faydalı bir makale olmuştur, bir sonraki bölümde görüşmek üzere.

Kaynaklar

http://searchvirtualdesktop.techtarget.com/tip/User-profile-management-tools-16-options-to-consider

http://searchvirtualdesktop.techtarget.com/feature/Tips-for-VDI-user-profile-management

https://technet.microsoft.com/en-us/library/jj649079.aspx#EnableProfileVersions

Makalemin VDI tanımı Fatih Karaalioğlu’ nun aşağıdaki makalesinden alıntıdır

http://www.cozumpark.com/blogs/citrix/archive/2012/07/15/citrix-flexcast-teknolojisi-bolum1-sunucu-bilesenleri-ve-vdi-nedir.aspx

Makalemin ilk bölümünde genel olarak VDI, Roaming Profile, User State Virtualization, Folder Redirection gibi kavramlardan bahsetmiş ve uygulama olarak ise Roaming User Profile için gerekli adımları listelemiş ve bu adımlardan ilk 3 tanesinin nasıl yapılacağını sizler ile paylaşmamıştım.

Makalemin ilk bölümüne aşağıdaki link üzerinden ulaşabilirsiniz.

Bölüm1

Bu bölümde ise kaldığımız yerden roaming user profile uygulamasına devam ediyoruz.

·         Farklı profil sürümlerinin desteklenmesi 

·         Roaming User Profiles için bir security group oluşturmak

·         Roaming user profiles için bir dosya paylaşımı hazırlamak

·         Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak

·         Roaming User Profiles ayarlarının kullanıcılar için tanımlanması

·         Roaming User Profiles için isteğe bağlı bilgisayar ayarları

·         Roaming User Profiles için tanımlanan GPO’ nun devreye alınması

·         Test İşlemleri

İlk 3 adımı gerçekleştirmiş ve 4. Adım ile devam ediyoruz.

Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak

Eğer Roaming User Profile ayarlarını GPO ile yönetmek istiyorsanız bir OU oluşturabilir ve buna şimdilik boş bir GPO bağlayabilirsiniz. Makalemin ilerleyen bölümlerinde bunun detaylarını paylaşıyor olacağım. Şimdilik GPO oluşturmayı paylaşacağım.

Hatırlarsanız makalemin ilk bölümünde Roaming User Profile için bir grup oluşturmuş ve ilgili kullanıcıları bu gruba eklemenizi tavsiye etmiştim, şimdi ise GPO kaynaklı benzer bir aksiyon alacağız, bir OU oluşturup bu kullanıcıları da bu OU altına taşıyacağız.

OU oluşturduktan sonra buna boş bir GPO bağlıyoruz.

GPO oluşturduktan sonra sağ tıklıyoruz ve link kısmını kaldırıyoruz.

Bu sayede artık yapacağımız GPO değişiklikleri biz tekrar bağlayana kadar geçerli olmayacaktır.

Şimdi GPO Security Filter bölümünü de aşağıdaki gibi güncelliyoruz.

Yaptığımız işin özeti, burada var olan “Authenticated users” grubunu kaldırıp, roaming için tanımlamış olduğumuz grubu eklemektir.

Bu adımı da tamamlamış olduk. GPO içeriğini Roaming Profile ince ayarlarında ayrıca anlatacağım. Ama anlatacağım GPO ayarlarının çalışması için bu alt yapının hazır olması gerekmektedir. Eğer GPO ile Roaming Profile için herhangi bir ayar değişikliği yapmayacaksanız bu bölümü atlayabilirsiniz.

Roaming User Profiles ayarlarının kullanıcılar için tanımlanması

Bu bölümde ise AD üzerinde kullanıcıların profile yolu bilgisini tanımlayacağız. Bunun için ilgili kullanıcıyı bulup Profile Sekmesine aşağıdaki gibi yolu tanımlıyoruz;

\\fs1.cozumpar.local\UserProfiles$\%username%

Öncelikle burada dikkat etmeniz gereken bu kullanıcının her ortam için, yani kendi bilgisayarı veya bir terminal server – VDI ortamı için roaming kullanmasını istediğimden dolayı Profile sekmesini kullanıyorum. Bazı şirket ortamlarında şube yapısında kullanıcıların kendi bilgisayarlarına girerken Roaming Profile olmaması, yani local profil ile çalışmaları ancak RDS sunucularına bağlanırken belirli bir yerden profil çekmesini ve yine RDS den çıkarken bu profili güncellemesini veya tam tersi Mandatory Profile dediğimiz yöntem ile çıkışta bilgilerin kayıt edilmemesi için farklı bir sekme kullanıyoruz. Bu sekmenin ismi ise “Remote Desktop Services Profile”. Burada yapacağınız ayarlar lokal profile için geçerli olmayıp sadece RDS’ e erişim durumunda aktif olacaktır.

Yazım şekline dikkat ederseniz %username% gibi bir sonra ek kullanıyoruz ve uygula dedikten sonra aşağıdaki gibi aslında kullanıcı adına dönüyor.

Bunun temel sebebi, siz yüzlerce veya binlerce kişinin profil ayarlarının aynı anda değiştirmek istediğinizde size kolaylık sağlamak içindir.

Yukarıda gördüğünüz gibi istediğiniz kullanıcıları seçtikten sonra profile tabına yolu yazıp sonuna %username% demeniz herkesin klasörünün kendi hesap ismi ile ayrılacağını gösterir.

Roaming User Profiles için isteğe bağlı bilgisayar ayarları

Eğer kullanıcı bazlı değil de makine bazlı Roaming profile uygulamasını kullanmak istiyorsanız bu durumda GPO ile ilgili makinelere oturum açan kullanıcılar için bir yol belirtmemiz gerekmektedir. Yani sizin kullanıcılarınız aslında roaming profile kullanmayacak, ancak bazı makinelere logon olan kullanıcılar ki bu Terminal Server’ lar olabilir, giriş yaptıklarında arka planda bir havuz olduğu ve en uygun sunucu hangisi ise ondan oturum açacağı için bu makinelerde roaming profile kullanımı mantıklı olabilir. Böyle bir durum için yukarıda oluşturduğumuz GPO objesinin aşağıdaki gibi düzenliyoruz.

Computer Configuration - Administrative Templates - System - User Profiles  Bölümünde “Set roaming profile path for all users logging onto this computer” seçeneğine çift tıklıyoruz ve aşağıdaki gibi roaming user profile için ayarlanmış olan paylaşımın yolunu gösteriyoruz.

Roaming User Profiles için tanımlanan GPO’ nun devreye alınması

Makalemin başında belirtmiş olduğum GPO objesini tekrar ilgili OU’ ya bağlayarak aşağıdaki bölümden temel anlamda yönetim sağlayabilirsiniz.

Eğer bu OU ya makine da koyarsanız ki özellikle RDS gibi Roaming Profile kullanılacak makineler, daha çok seçeneğiniz olacaktır. Yukarıdaki seçenekler sadece kullanıcı policy için geçerlidir. Ancak aşağıdaki seçenekler makineler için geçerlidir.

Örneğin Roaming User Profile uygulamadan önce kullanılacak bilgisayarların bulunduğu OU için aşağıdaki ayarları yapmanızı tavsiye ederim.

Computer Configuration > Policies > Administrative Templates > System > User Profiles

Altında “Add the Administrator security group to roaming users profiles” bölümüne “Enable” yapıyoruz. Bunun temel nedeni, bir kullanıcı bir bilgisayarda ilk defa oturum açtıktan sonraki ilk log off sırasınca profilini ortak dizine gönderecektir. İşte bu klasörün yöneticiler tarafından da görüntülenmesi için ACL değişikliği yapılmasını sağlar. Eğer bunu yapmadan RUP sürecine başlarsanız, bu GPO dan önceki profil dosyalarına admin hakları ile erişmeniz mümkün değildir. Eğer dosya sahipliğini alıp erişirseniz bu durumda ise kullanıcı profilini yükleyemez.

Hakan kullanıcısı için bu hakkımız yok ancak bu GPO’ yu istemci bir makineye uygular, sonra bu makinede RUP ayarları başka bir kullanıcı olan Serkan kullanıcısı ile giriş yaparsak sonuç aşağıdaki gibi olacaktır.

Bu adımı da tamamladıktan sonra test işlemlerine başlayabiliriz. Bu işlemleri makalemin bir sonraki bölümünde sizler ile paylaşıyor olacağım.

Kaynaklar

http://searchvirtualdesktop.techtarget.com/tip/User-profile-management-tools-16-options-to-consider

http://searchvirtualdesktop.techtarget.com/feature/Tips-for-VDI-user-profile-management

https://technet.microsoft.com/en-us/library/jj649079.aspx#EnableProfileVersions

Makalemin ilk iki bölümünde temel kavramlar ve Roaming Profile için uygulama adımlarınızı sizler ile paylaşmıştım. Bu bölümde ise Roaming Profile için test adımları ve Folder Redirection uygulaması ile devam edeceğim.

Makalemin ilk iki bölümüne aşağıdaki linkler üzerinden ulaşabilirsiniz

Bölüm1
Bölüm2

Tüm hazırlıkları bitirmiş ve Roaming Profile için “hakan uzuner” isimli kullanıcıyı seçmiştik. Şimdi bu kullanıcı ile Windows 8 bir makinede logon olarak çalışalım, sonra biraz dosya çoğaltıp log off olalım ve bu dosyalardan bir profil klasörünü oluşmuş mu kontrol edelim.

Logon işleminden önce profil dosyası yok.

Windows 8 işletim sistemine lokal olarak logon oluyorum.

Kısa bir çalışma sonrasında log off oluyorum ve file server’ ı kontrol ediyorum.

Evet, profil dosyam oluşmuş, hem de versiyon bilgisi ile ( hatırlarsanız bunun için bir yama ve kayıt defteri değişikliği yapmıştık.

Şimdi bu işletim sistemi için bir takım çalışmalar yapıyorum.

Yukarıda gördüğünüz gibi W8-PC1 makinesinde bu bilgiler kayıtlı. Şimdi log off olup diğer PC ye logon oluyorum.

Gördüğünüz gibi farklı bir PC ye giriş yapmamız rağmen çalışma dosyalarımızı görebiliyoruz. Yani Roaming Profile sorunsuz bir şekilde çalışmaktadır.

Gelelim bu log on ve log off zamanının düşürme ayarlarına. Bildiğiniz gibi zaten makalemin konularından biri de bu, yani Folder Redirection, ancak ondan önce GPO ile de birkaç tane ayar deneyebilirsiniz.

Özetlemek gerekir ise, Roaming Profile çözümlerinde log on ve log off zamanlarını aşağıdaki 2 temel adım ile düşürebiliriz;

Folder Redirection

GPO –Computer Configuration altında

Configuration\Policies\Administrative Templates\System\User Profiles and User

Configuration\Policies\Administrative Templates\System\User Profiles

Bu GPO örneklerinden birisi “Background upload of a roaminguser profile's registry file while the user is logged on” Bu arka planda kullanıcının HKCU kayıt defteri bölümünü belirli aralıklar ile profile yoluna kopyalar, bu sayede kullanıcı ayarlarını almış olursunuz.

Şimdi ise hangi durumlarda RUP, hangi durumlarda FR veya hangi durumlarda her ikisini bir arada kullanabiliriz konusunun senaryo bazlı inceleyelim.

Senaryo1

Bir şirket çalışanı şirket network bağlantısı içerisinde dokümanlarına her bilgisayardan erişmek istiyor, ancak kişisel ayarlarını görmek gibi bir talebi yok. Örneğin bir üniversite öğrencisi, üniversite kampüsünde ki herhangi bir bilgisayardan kendi Word ve benzeri proje dokümanlarına erişmek ister, ama kişisel masa üstü ve benzeri kullanımı veya ihtiyacı yoktur. Bu durumda en iyi çözüm Folder Redirection’ dır.

Senaryo2

Bu senaryoda da şirket çalışanı şirket network bağlantısı içerisinde dokümanlarına ve bazı uygulamaları için kişisel ayarlarına her bilgisayardan erişme ihtiyacı vardır ( örneğin Office uygulamalarındaki yaptığı kişiselleştirmeler gibi). Örneğin bir avukat kendisinin davalar için kişiselleştirdiği Office dokümanlarına ve hatta sözlüğünü düzenlediği Word programına erişmek isteyebilir. Bu durumda da çözüm Folder Redirection olarak görülüyor. Kullanıcının “Documents” klasörünü ve “App Data(Roaming)” klasörlerini yönlendirmeniz yeterlidir.

Senaryo3

Bu senaryoda da şirket çalışanı şirket network bağlantısı içerisinde dokümanlarına ve tüm kişiselleştirilmiş profiline herhangi bir bilgisayardan erişmek istemektedir. Bu senaryodan zaten çözümün Roaming User Profile + Folder Redirection olduğunu görebiliyoruz.

Peki, şimdi mevcut bu yapı üzerine Folder Redirection özelliğini nasıl ekleyebiliriz.

Öncelikle bunun için ihtiyaçları belirlemek gereklidir. Yani neden Roaming Profile kullanılan bir yapıda Folder Redirection kullanma ihtiyacınız var? Bunlardan birisi log on ve log off sürelerini düşürmek olabilir. Malum büyük boyutlu dosyalar ile çalışan tasarımcı ve benzeri iş pozisyonu için çok uygun görünmeyen romaing profile çözümünün VDI ve benzeri mimarilerde kullanılmasının zorunlu olması durumunda alternatif çözüm yöntemlerinden biri olabilir. Örneğin şirketinizin yöneticileri çalışanların daha esnek ve üretken olması için mobil çalışmaya teşvik ediyor ancak bununda bir takım güvenlik zafiyetleri doğurmasından korkuyordur. Örneğin tasarımcı veya yazılımcılar evden, işten herhangi bir yerden herhangi bir zamanda hep aynı kullanıcı deneyimi kazanmak için VDI çözümü ile ilerleyebilirsiniz. Bu sayede kullanıcılar kendi laptoplarından, tablet bilgisayarlarından veya şirketin vermiş olduğu cihazlardan bağlantı yapabilir ancak aynı kullanıcı profili görmek için Roaming kullanmanız gerekebilir. Fakat yukarıda da belirttiğim gibi bazı durumlarda Roaming profile sizi yorabilir.

Burada farklı çalışma modelleri olduğunu bir kez daha hatırlatmak isterim. Eğer Roaming Profile klasik olarak lokal makinelerde kullanılıyor ise, bu durumda bu makinelerin log on ve log off süreleri profildeki değişikliklere bağlı olarak değişecektir. Bunun değiştirmek için Folder Redirection yapılır ise bu durumda ise bu makineler ile file server arasında hızlı bir network bağlantısı olması gerekmektedir. Çünkü folder redirection’ ın temel çalışma mantığı dosyanın lokasyonunu yerel makineden uzaktaki file server olarak değiştirmesi olup tüm okuma ve yazma işlemlerini file server üzerinden gerçekleştirmektedir. Şirket dışında iken bu dosyalara erişimi ihtiyacı olması durumunda ise offline files denilen teknoloji ile ihtiyaç duyulan dosyaları offline olarak kendi bilgisayarınızda saklayabilirsiniz.

VDI veya RDS senaryolarında ise aslında siz bir istemci bilgisayardan ki bu bir thinclient olur, laptop veya tablet olur bu platformlara bağlanıyorsunuz. Yani istemciniz için network hızı veya şirket içerisinde – dışında olması önemli değildir, ancak bağlandığınız makine için yine bu değerler geçerlidir. Örneğin bir terminal server’ a bağladınız ve 5GB lık farklı yeni profili çekmeye çalışıyorsunuz, bu hem terminal server yerel disk kaynakları, hem network kaynaklarını kullanacaktır. Zaten bu ve benzeri durumlar için GPO içerisinde cache size denilen bir ayar ile belirli boyuttan büyük cache dosyalarının silinmesini sağlayarak terminal server gibi ortak kullanılan sunucuların bir kişi tarafından kullanılamaz hale getirilmesinin önüne geçmeye özen göstermeliyiz.

User Configuration\Policies\Administrative Templates\System\User Profiles altında

Limit profile size

Evet daha fazla GPO ve detaya girmeden öncelikle Folder redirection için temel paylaşım gereksinimleri, GPO ayarları ve demo olarak ilerlemek istiyorum. Zaten yine bu makale serimin sonunda bu yapı için tavsiye ettiğim ve etmediğim GPO ayarlarını sizler ile paylaşıyor olacağım.

Folder Redirection adımlarını makalemin bir sonraki bölümünde sizler ile paylaşıyor olacağım.

Makalemin ilk üç bölümünde temel kavramlar ve Roaming Profile için uygulama adımlarını sizler ile paylaşmıştım. Bu bölümde ise Folder Redirection yapılandırması ile devam edeceğiz.

Makalemin ilk bölümlerine aşağıdaki link üzerinden ulaşabilirsiniz.

Bölüm1
Bölüm2
Bölüm3

Öncelikle kısa bir tanım ile başlayalım. FR, temel olarak aşağıdaki gibi listelenen kullanıcı profil klasörü içerisindeki bilgilerin direkt olarak server üzerinden çalışmasını sağlar. Yani log on ve log off sırasında eşitleme ama lokalden çalışma şeklinde değil de, klasörlerin doğrudan yazdığı ve okunduğu yolu network yolu olarak belirttiğimiz bir çözümdür.

Yukarıda işletim sistemine göre hangi klasörleri yönlendirebileceğimiz görüyoruz.

Temel faydaları nedir?

Network üzerinde kullanıcılar istedikleri makinelerden logon olabilirler ve dosyalarına erişebilirler.

Offline Files özelliği ile önemli dokümanları kendi bilgisayarlarında ağ bağlantıları yokken de erişmek üzere saklayabilirler.

Veriler merkezi bir yerde tutulduğu için yedeklemek ve yönetmek kolaydır.

Veriler anlık olarak yazıldığı için log off olmama nedeni ile yaşanabilecek veri kayıplarının önüne geçilmiştir.

Kullanıcı verileri lokal disklerde tutulmadığı için lokal disklerdeki bir sorun veya yeni işletim sistemi kurulumları kullanıcıları etkilemeyecektir.

Merkezi yönetim sayesinde kullanıcılara kota ve içerik yönetimi gibi policyler uygulanabilecektir.

Folder redirection için aynı Roaming User Profile’ da olduğu gibi ilk olarak paylaşım noktasındaki güvenlik ayarlarını yapmamız gerekiyor. Eğer makalemin başındaki gibi Roaming Profile için gerekli olan güvenlik ayarlarını düzgün bir şekilde yapmışsanız aynı dizinleri kullanabilirsiniz. Veya benzer özelliklerde ayrı bir paylaşım da açabilirsiniz.

Size tavsiyem ise ayrı bir paylaşım açmanız olacaktır.

Bunun için öncelikle Server Manager ekranında “File and Storage Services” düğümüne geliyoruz ve Share kısmına tıklayarak paylaşımların gösterildiği ekranı açıyoruz.

Sağ üst köşedeki Task menüsü altından New Share diyerek yeni bir paylaşım oluşturmak için sihirbazı açıyoruz.

Karşımıza çıkan ekranda SMB Share Quick diyerek ilerliyoruz. Eğer siz içerik ve kota yönetimi gibi sunucu tarafında beklenmedik bir yoğunluk oluşumunu engellemek istiyorsanız SMB Share Advanced seçeneği ile ilerleyebilirsiniz.

Hangi sunucu ve volume üzerinde paylaşım açacak ise onu seçiyoruz ( Server manager üzerinden birden çok sunucuyu yönetme şansınız olduğu için birden çok sunucu üzerinde de paylaşım açabilirsiniz)

Paylaşım için bir isim belirliyoruz.

Bu bölümdeki seçenekler isteğinize bağlı olup ben yine bir kişinin bir paylaşım üzerinde yetkisi olmayan klasörleri listelememesi için “Enable access-based enumeration” kutucuğunu işaretliyorum.

Bir sonraki bölüm ise izinler. Bu bölüm son derece kritik bir öneme sahip olup gösterilen izinleri uygulamak güvenlik açısından en doğru konfigürasyonu yapmanızı sağlayacaktır.

Öncelikle hedefimiz olan izinleri bir görelim.

Paylaşım tarafında everyone için full control verebilirsiniz, sonuçta klasör izinlerinde detaylı çalışma yapacağız. Ancak tavsiye edilen FR için bir group oluşturup o grup için Full Control vermek en doğru yöntemdir.

Root yani ana dizin için izinler aşağıdaki gibi olmalıdır.

Root dizini altında kullanıcı yönlendirilmiş dosyası için izinler (Users’ Redirected Folders)

Yukarıdaki izinleri gerçekleştirmek için aşağıdaki gibi ilerlemeye devam edelim.

İlk olarak karşımıza çıkan ekranda “Customize permissions” linkine tıklıyoruz.

Daha sonra açılan pencerede “Disable inheritance” ve ardından karşımıza çıkan uyarı ekranında

Kırmızı işaretli linke tıklıyoruz.

Daha sonra ise izinleri düzenleyip aşağıdaki gibi son duruma getiriyoruz.

Not: listede olmayan ek bir administrators grubuna izin verdim, amacım makale yazarken sizlere bu klasörün için hakkında bilgi vermek.

Daha sonra ilerleyerek paylaşımı tamamlıyoruz.

File server üzerindeki süreci tamamladıktan sonra GPO bölümüne geçebiliriz.

FR için GPO kullanıcı bazlı olup aşağıdaki gibi ulaşabilirsiniz.

Yönlendirmek istediğini klasörün üzerine sağ tıklayıp özellikler demeniz halinde aşağıdaki gibi bir pencere açılacaktır.

Temel olarak ayarlar kısmında “Basic” ve “Advanced” olarak iki seçenek gelir.

Basic – Redirect everyone’s folder to the same location

Bu seçenek, ilgili GPO’ yu alan tüm kullanıcılar aynı yol üzerinde klasör oluşturmasını sağlar. Bu seçeneğin altında ise aşağıdaki gibi 3 temel seçenek vardır

Create a folder for each user under the root path

Bu seçenek örneğin aşağıdaki gibi bize bir yol tanımlamamızı sağlar;

\\server\share\User Account Name\Folder Name

Yukarıdaki gibi bir yol tanımladığınız da kullanıcı bazlı bir ayrım yapmış oluyoruz. Örneğin ben yol olarak “\\rds\userprofiles$\ yazdım sadece, ancak yol aşağıdaki gibi olacaktır

\\rds\userprofiles$\hakan\Desktop

Redirect to the following location, bu seçenek ise aynı klasörün birden çok kullanıcı tarafından kullanılacağı durumlar için düşünülmüştür.

Yukarıda da gördüğünüz gibi bu yol verildiği zaman herkes bu klasörü kullanacaktır, kullanıcı bazlı bir ayrım olmayacaktır.

Redirect to the local user profile location, bu seçenek ise folder redirection özelliğinin devre dışı bırakılmadan önce belgelerin kullanıcının lokal diskine geri gönderilmesi için kullanılır.

Advanced—Specify locations for various user groups, bu seçenek ise klasörlerin grup üyelikleri bazında dağıtılması istendiğinde kullanılmaktadır.

Bu bölümü biraz daha detaylandırmak gerekir ise, aslında temel seçenekler ile aynı olan yine 3 seçeneğimiz var, fakat bundan farklı olarak bu GPO’ yu alan gibi bir kullanıcı mantığından öte bu GPO yu alan ve yukarıda da gördüğünüz gibi seçtiğim grubun üyesi bir kullanıcı için “muhasebe” yolunu seçerken, diğer bir grup için başka bir yol tanımlaması yapabilirim.

Birde ek olarak Follow the Documents folder seçeneği görebilirsiniz ki bunu sadece Music , Pictures , Videos klasörleri için görebilirsiniz. Bu ayarı yapmanız halinde bu 3 klasör dokümanların altına mapleneceği için dokümanlar klasörü ile beraber hareket eder.

Not configured, bu ise varsayılan ayar olup ilgili GPO için Folder redirection seçeneği silinmiş oluyor. Yani artık bu klasörler için ek bir yönlendirme yapmaz, klasörlerin üzerindeki ayar ne ise o şekilde çalışmaya devam eder.

Bir diğer ayar ise Settings bölümünde

“Grant the user exclusive Rights to Desktop”

Bu kutucuğun işaretli olması durumunda kullanıcı için oluşturulan klasörde sadece kullanıcı yetkili olup yönetici olarak erişmeniz mümkün olmayacaktır. Roaming User Profiles için hatırlarsanız benzer bir durum söz konusu olup onun içinde bir GPO ayarı vardı. Tavsiyem bu kutucuğu işaretlemeyin, bu sayede yönetici olarak yönetim hakkına sahip olabilirsiniz.

“Move the contents of Desktop to the new location”

Bu seçenek varsayılan olarak seçili olup mevcut klasörlerin yeni lokasyona taşınmasını sağlar ki bu da istediğimiz bir şey. Ama yok mevcut dosyalar değil bundan sonraki dosyalar taşınsın gibi bir durum isterseniz kutucuğu temizleyebilirsiniz.

“Also apply redirection policy to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating system”

Şimdi biz bir path girişini yapalım

Şimdi GPO uygulanan bir kullanıcı da gpupdate yaptıktan sonra veya bir log off log on olup yani GPO’ yu almasını sağlayalım. Daha sonra yönlendirdiğimiz bu klasör üzerindeki klasörlerin özelliklerinden path bilgisini kontrol edelim.

File server üzerini kontrol edelim.

İçeriğini admin olarak göremiyoruz, ana dizine izin vermiştim ek olarak hatırlarsanız, amacım yukarıdaki gibi ayrı klasörleri göstermekti, ama alt klasörler için yine hatırlarsanız izin vermemiştim. Şimdi kullanıcı tarafından da içeriği bir görelim.

ABE açık olduğu için serkan klasörünü göremiyor kullanıcı, yani sadece yetkisi olan klasörleri görebiliyor. İçine girelim.

Evet burada da masa üstü klasörümüzü görebiliyoruz. Gördüğünüz gibi son derece basit bir şekilde hem Roaming User Profile hem de Folder Redirection uygulamasını kullanarak gerek VDI ortamları için gerekse lokal kullanımlar için kullanıcı profil yönetimini görmüş olduk. Makalemin bu bölümünde daha çok folder redirection üzerinde durmuş olup son bölümünde GPO seviyesinde tavsiye edeceğim ayarları paylaşacağım.

Makalemin ilk dört bölümünde temel kavramlar, Roaming Profile için uygulama adımları ve Folder Redirection adımlarını sizler ile paylaşmıştım. Bu bölümde ise RUP ve FR için tavsiye edeceğim GPO ayarlarını paylaşacağım.

Makalemin ilk bölümlerine aşağıdaki link üzerinden ulaşabilirsiniz.

Bölüm1
Bölüm2
Bölüm3
Bölüm4

İlk olarak GPO tarafındaki tavsiyem

Computer > Policies > Administrative Templates > System altında bulunan “Display highly detailed status messages” Eski ismi “Verbose vs normal status message” ayarı olacaktır.

Bu ayarı açmamız halinde kullanıcı logon ve log off olurken ek olarak yapılan detaylar ekrana yansıtılacaktır. Örneğin “Mapping Drives, Playing Logon Sound, Mapping Printers, Applying Power Settings, Stopping Services” gibi mesajlar ekranda belirecektir. Aslında bunu size logon ve log off işlemlerini hızlandırmak için tavsiye ediyorum J Sorarsanız nasıl yani hızlandırıyor? Aslında hızlandırmıyor ancak sürekli olarak ekrandaki bu bilgiler kullanıcının dikkatini çekiyor ve o da fark etmeden aslında süreç hızlanmış gibi geliyor, bayağı psikolojilerine oynuyoruz yani J Tavsiye ederim mutlaka açın.

Bir diğer ayarı makalemin zaten içerisinde sizler ile paylaşmıştım.

Computer Configuration > Policies > Administrative Templates > Systems > User Profiles altındaki

“Add the Administrator security group to roaming users profiles”

Ayarı. Bu özellikle roaming user profile için yöneticilerinde profile klasörüne erişmesini sağlamaktadır. Malum bazı durumlarda profil klasörleri bozulabilir ve silip yeniden oluşturmak gerekebilir. Böyle durumlar için yöneticilerin bu klasörler üzerine yetkisi olmalıdır.

Bir diğer aya ise yine aynı bölümde yer alan

“Set the schedule for background upload of a roaming user profile's registry file whilw user is logged on” Eski ismi “Background upload of a roaming user profile’s registry file while user is logged on”

Bildiğiniz gibi RUP mimarisinde kullanıcı verileri log off olmadan file server üzerine yazılmıyor. Bunun için robocopy ile bir takım çözümler üretebilirsiniz ancak yerleşik olan GPO ile en azından kullanıcının kendi kişisel ayarlarını içeren kayıt defteri bilgisi belirli aralıklar ile sunucu tarafına atılabilir. Ancak bu kullanıcı verilerini kapsamaz, buna dikkat edin lütfen, sadece kayıt defteri içindir.

Bir diğer policy ise yine aynı bölümde yer alan “Delete user profiles older than a specified number of days on system restart” ayarıdır.

Bu ayar ise kullanıcı profillerini tutan örneğin RDS sunucuları gibi makineler için çok önemlidir. Kişisel bilgisayarlarda genellikle tek bir kullanıcı profili saklandığı için çok sorun olmamak ile beraber bir terminal server için durum değişir. Örneğin 500 kullanıcı bir yapıda 10 adet terminal server olsun ve havuz mantığı ile NLB sayesinde gelen kullanıcılar rastgele en uygun RDS sunucuya gitsin. Bu durumda aslında belirli bir süre sonra bir makinede belki de tüm bu 500 kullanıcı profili saklanıyor olabilir ki bu da o sunucunun yerel disklerinin dolması anlamına gelir. İşte bunu engellemek için bu GPO ayar ile örneğin son 30 gün aktif olmayan profil dosyalarının silinmesini otomatik olarak gerçekleştirebiliriz.

Bir diğer policy ise aşağıdaki yol altında

Users Configuration > Policies > Administrative Templates > Systems > User Profiles

Limit Profile Size

Bu policy yi kullanmanızı tavsiye etmiyorum. Kullanım noktasında iyi bilgilendirme yapmamanız halinde sizi ve kullanıcılarınızı bir hayli üzecektir.

Exclude directories in roaming profile

Eğer Roaming User Profile içerisinde Folder Redirection kullanmıyorsanız bazı uygulamaların gereksiz oluşturduğu büyük boyutlu cache dosyalarının sürekli taşınması ve yer kaplamaması için bu dizinleri bu süreçten hariç tutmak mantıklı olacaktır.

Bir diğer ipucu ise eğer masa üstü veya start menüsünü file server’ a redirect ettikten sonra bu lokasyonlardan herhangi bir kısa yol veya program çalıştırmaya çalıştığınız zaman aşağıdaki gibi bir uyarı alırsanız bunun temel nedeni file server makinesini internet Explorer için trusted site içerisine eklememiş olmanızdır.

Bu işlemi de GPO ile yapabilirsiniz. Ancak tahmin ettiğiniz yerden değil belki J

Gördüğünüz gibi sites bölümü gri yani kullanılamıyor durumda. Bunun için aşağıdaki yolu izliyoruz.

User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page altında “Site to Zone Assignment List” ayarlarından bunu yapabilirsiniz.

Sağ bölümde 1-4 arasında rakamları aşağıdaki gibi tablodaki gibi kullanabiliriz.

Evet GPO dendiği zaman malum bu işin sonun getirmek çok zor ancak ilk aşamada tavsiye ettiğim bu GPO ayarları ile daha verimli bir RUP ve FR yapısı kurabilirsiniz.

Bir sonraki makalemizde görüşmek üzere.

Kaynak

http://www.grouppolicy.biz/2010/08/best-practice-roaming-profiles-and-folder-redirection-a-k-a-user-virtualization/

Makalemin ilk bölümünde temel olarak intune kavramından, sunduğu özelliklerden, hesap oluşturulması, kullanıcı işlemleri, domain ekleme gibi temel adımları göstermiştim. Bu bölümde ise cihaz ekleme, grup ve ilke işlemlerinden bahsedeceğim.

Makalemin ilk bölümüne aşağıdaki link üzerinden erişebilirsiniz

Bölüm1

En son hatırlarsanız kullanıcı tanımlamış ve yöneticiye ( veya kullanıcının diğer bir mail hesabına) aşağıdaki gibi bir bilgilendirme maili gelmişti.

Bu mail kullanıcıyı son derece basit bir şekilde yönlendiriyor zaten. Verilen linke tıkladığınız zaman aşağıdaki gibi şifre değiştirme ekranı geliyor.

http://manage.microsoft.com

Kullanıcı giriş yaptıktan sonra karşısına aşağıdaki gibi bir sayfa açılacaktır.

Sağ üst köşeden cihaz ekleyebilir. Cihaz ekleme için farklı yöntemlerimiz bulunmaktadır. Ben ilk olarak bir masa üstü bilgisayarı eklemek noktasında detay paylaşacağım. Mobil aygıt eklemek için gerekli olan yönergeleri makalemin ilerleyen bölümlerinde paylaşacağım.

Bir bilgisayara intune agent yüklemek yani intune tarafından yönetilen bir aygıt olması için birkaç yöntem kullanabiliriz. Gerekli olan bu agent öncelikle sizin kurumsal işletim sistemi imajınızda olabilir, veya SCCM ve benzeri bir uygulama ile dağıtılabilir. En son olarak ise kendi bilgisayarında yönetici hakkı olan bir çalışan aşağıdaki gibi elle cihaz üzerine agent yükleyebilir.

SCCM,GPO ve benzeri yöntemler ile yükleme yapmak için öncelikle yetkili kullanıcı ile kurulum dosyasını indirmeniz gereklidir.

Yükleme dosyası aynı zamanda sizin hesabınıza ait sertifika içerir. Bu nedenle bu dosyayı iyi korumanız gerekli. Aksi halde bu dosya ile bir bilgisayarı sizin intune hesabınıza cihaz olarak ekleyebilirler.

Bundan sonraki dağıtım adımlarını zaten SCCM, GPO uzmanlığınız ile yapabilirsiniz.

İşletim sistemi imaj dosyasına yerleştirmek için ise;

İndirdiğiniz dosya içeriğini aşağıdaki dizine kopyalayın

%Systemdrive%\Temp\Microsoft_Intune_Setup

Daha sonra intune için kayıt defteri değişikliklerini yapın

%windir%\system32\reg.exe add HKEY_LOCAL_MACHINE\Software\Microsoft\Onlinemanagement\Deployment /v

MicrosoftIntuneEnrollPending /t REG_DWORD /d 1

Daha sonra aşağıdaki komutu setupcomplete.cmd olarak bu dizine kayıt edin “%Windir%\Setup\Scripts”

%systemdrive%\temp\Microsoft_Intune_Setup\Microsoft_Intune_Setup.exe /PrepareEnroll

Son olarak makineyi kapatın ve imajını alın. Bu konuda daha fazla bilgi için

https://technet.microsoft.com/en-us/library/dn646969.aspx#BKMK_Manual

SCCM ve imaj konusu sistem yöneticilerinin hakim olduğu bir konu olduğu için ( Lnyc, Flash player veya yama dağıtımından farklı değildir) ben elle yükleme adımlarını paylaşacağım.

Intune hesabına sahip olan kullanıcı sisteme logon olur ve sağ üst köşeden “Cihaz Ekle” linkine tıklar.

Basit bir yükleme yapıyoruz.

Bu temel yüklemden sonra gerekli olan yüklemeler ark planda yapılır.

Sağ alt köşedeki kum saati yüklemeleri göstermektedir.

Yükleme bittikten sonra ise bu ikona sağ tıklayarak istersek lokal çalışan Microsoft Intune Center, istersek bulut üzerindeki intune portala bağlanabiliriz.

Yukarıdaki ekrandan ise yöneticilerin portal üzerinden yayınladıkları uygulamaları indirebilir, uzak destek talebi yapabilir veya yama yönetimini takip edebilirsiniz. Aynı zamanda Endpoint Protection sayesinde malware koruması da sağlamaktadır.

Mobil aygıt eklemek için ise öncelikle Admin Console üzerinden bunu açmamız gerekiyor.

Admin konsolu için Account portal üzerine üst menüden Admin Console’ a geçebiliriz.

Daha sonra sırası ile

Admin > Mobile Device Management - Set Mobile Device Management Authority

Yukarıdaki gibi bir uyarı gelir ve biz kutucuğu işaretleyerek “Yes” butonuna basarız.  Artık mobil aygıt yönetimine hazırız.

Yukarıda görüldüğü gibi tüm cihazlar için uygunluk durumları listelenir.

Hemen bu sayfada mobil cihaz eklemeden önce mobil cihaz için bir güvenlik ilkesi ekleyebilirsiniz. Bunun için aşağıdaki gibi ilgili link’ e tıklamak yeterli olacaktır.

Bundan sonra aşağıdaki adımları izleyerek bir mobil aygıt ekleyebiliriz.

Yukarıdaki gibi otomatik olarak bir pencere açılacaktır. Burada isterseniz Ekleyeceğiniz cihaza özel politikalar oluşturabilirsiniz. Örneğin Android sistemleri veya iOS için mail profili tanımlarsanız cihazlarını sisteme kayıt ettiren kullanıcıların mail profilleri otomatik tanımlanacaktır. Bu bölümü makalemin ilerleyen bölümlerinde paylaşacağım. Bu nedenle şu anda tüm mobil aygıtları kapsayacak temel bir güvenlik politikası tanımlayabiliriz. Buradaki amacımız parola uzunluğu, veri şifreleme gibi bir takım temel güvenlik ayarlarını tanımlamak. Bu sayede bu işlemden sonra eklenen mobil aygıtlar bu policy ile çalışmaya başlayacaktır. Üstüne ek olarak yeni policy’ ler tanımlama şansınız vardır.

Ben önerilen ilkeleri seçtim ancak siz isterseniz ilkeleri kendi şirket ihtiyaçlarınıza göre değiştirebilirsiniz.

Yukarıda gördüğünüz gibi pek çok ayarı isterseniz elle tanımlayabilirsiniz. Bu policy içerisinden alınmış bir ekran görüntüsü olup daha pek çok ayar içermektedir.

Daha sonra bu ilkeyi tüm cihazlara veya istediğiniz – oluşturduğunuz cihazlara atayabilirsiniz.

Mobil aygıtların bağlanması için işletim sistemlerinden bağımsız olarak her üreticinin marketindeki “Company Portal” uygulamasını indirip kuruyoruz. Ben örnek olarak bir android sistemine kurulum yapacağım.

Not: iOS için öne gereksinimler olup bunun için aşağıdaki linki incelemenizi tavsiye ederim.

https://technet.microsoft.com/en-us/library/dc451224-1372-4b84-b641-cfa67cb3849b#BKMKPrereqs

Bu bölümde intune kullanıcı adınız ve şifrenizi giriyorsunuz.

Bu yazılımın işletim sistemi üzerindeki yetkileri ile ilgili bir uyarı çıkıyor, bunu kabul edip ilerliyoruz. ( Yani bu yazılımın neler yapabileceğini bize özetliyor ve kabul edip etmediğimizi soruyor, zaten amacımız cihaz yönetimi olduğu için kabul ediyoruz).

Eğer böyle bir uyarı alıyorsanız intune portalında mobil aygıt yönetimini açmamışsınızdır.

Microsoft bulut servisi ile kuracağımız güvenli bağlantı için kullandığımız sertifikanın ismini değiştirebilirsiniz. Ok diyerek ilerliyoruz.

Enroll işlemi başlıyor.

Enroll işlemi sonucunda yukarıdaki gibi bir ekran bizi karşılıyor.

Cihaz hakkında bilgi alabiliyoruz. Üzerine tıkladığımız zaman ise aşağıdaki gibi detay bilgilere sahip olabiliriz

Gördüğünüz gibi telefonumun şirket politikalarına göre uyumlu olarak (in compliance) olduğunu görebiliyoruz.

Evet, mobil aygıt yüklemesini de yapmış olduk. Tabiki şu anda arka planda cihazın şifrelenmesi ve benzeri işlemler yürütülecektir. Malum varsayılan policy ile gelen kurallar işletilecektir.

Makalemin bu bölümünün de sonuna geldim. Bir sonraki bölümde görüşmek üzere.

Kaynak

https://technet.microsoft.com/library/dn646983.aspx

https://technet.microsoft.com/tr-tr/library/jj573650.aspx

Makalemin ilk iki bölümünde intune kavramı, özellikleri, üyelik oluşturma, kullanıcı işlemleri, domain tanımlama, cihaz tanımlama ve temel mobil aygıt ilkesi konularında bilgi vermiştim. Bu bölümde ise grup yönetimi ve detaylı ilke yönetimini göreceğiz.

Bölüm1
Bölüm2

İstemci tarafındaki işimiz bittikten sonra konsol tarafından devam edelim.

Bunun için mevcut konsolun üst bölümünden Admin Console linkine tıklayabilirsiniz.

Aşağıdaki gibi bir konsol açılacaktır.

Konsola biraz daha yakından bakarsak, aşağıdaki gibi birkaç ekran görüntüsü paylaşmak istiyorum.

Evet, bu konsollar tabiki şu anda bir kullanıcı ve bir cihaz olduğu için çok hareketli görünmüyor, ancak onlarca, yüzlerce hatta binlerce makinenizin, kullanıcınızın olduğu bir ortamda gerçekten çok başrılı çalışan bir izleme ekranı olduğunu söyleyebilirim.

Pano, genel olarak yönetmekte olduğunuz masa üstü veya mobil aygıtların durumu hakkında bilgi verir. Biz şu ana kadar domain ekledik, kullanıcı tanımladık ve bir cihaz ekledik. Şimdi ise bu cihaz ve kullanıcıları daha iyi yönetmek için bir grup oluşturalım.

Bunun için sol taraftaki menüden gruplara gelerek en sağ menüden yeni bir grup oluşturuyoruz.

Grup için bir isim seçiyoruz. Hemen sol bölümde ise grup için seçenekleri ayarlayabiliyoruz.

Örneğin bu grubu ben bir Bilgisayar grubu olarak seçtim. İsterseniz kullanıcı gruplarını da ayrıca oluşturabilirsiniz.

Yine bu bölümde üyelik ile alakalı olarak dinamik üyelik şartlarını yerine getirecek seçimler yapabilirsiniz. Bir üst grup seçerek onun üyelerini alabiliyoruz. Etki alanındaki veya bir OU altındaki bilgisayarları ekleyebiliyoruz.

Y ada elle doğrudan makineleri ekleyebiliriz.

Grupların en güzel özelliği grup yaptığınız makineler için anında yukarıda gördüğünüz gibi bir ekran sunması. Yani bu grup altındaki makinelerin özetini görebiliyoruz.

Yukarıdaki adımların aynısını birde kullanıcı grubu veya grupları için yapabilirsiniz.

Bu adımları tekrar göstermiyorum ancak aşağıdaki gibi kendime bir de kullanıcı grubu tanımladım.

Şimdi ise sırada policy oluşturma adımlarında. Policyler sayesinde yönetmekte olduğunuz mobil veya masa üstü bilgisayarlar için güvenlik ayarları veya uygulama dağıtımı gerçekleştirebilirsiniz.

İlkeler yani Policy menüsüne gelip sağ tarafta yeni bir ilke ekleyebilirsin.

İlke Ekle diyerek ilerliyorum.

Yukarıdaki gibi uygulayabileceğiniz ilkeler için şablonlar çıkıyor. Android, IOS, Windows ve benzeri hangi cihaz için policy uygulamak istiyorsanız ilgili şablonu seçebilirsiniz.

Ben iOS için E-posta Profili şablonunu seçiyorum.

Daha sonra mail ayarları için gerekli bilgileri dolduruyorum ve oluşturuyorum.

En son olarak yukarıdaki gibi bir uyarı çıkıyor. İsterseniz hemen dağıtabilirsiniz ya da daha sonra bağlayabilirsiniz.

Örneğin ben oluşturduğum ios cihazları grubuna atadım.

Veya benzer şekilde mobil aygıtların üzerinde yüklü olan uygulamalar içinde bir ilke tanımlayabiliriz. Ancak bu durumda yerleşik olarak desteklenen uygulamalar ile şirketinizin kendi geliştirdiği veya varsayılan olarak desteklenmeyen uygulamalar için çözümler sunulmaktadır.

Managed app (iOS ve Android için)

Wrapped app (Sadece iOS)

Varsayılan olarak yönetilen uygulamalar aşağıdaki gibidir;

iOS için;

Intune Managed Browser

Microsoft Word

Microsoft Excel

Microsoft PowerPoint

Microsoft OneDrive

Android için;

Intune Managed Browser

Intune PDF Viewer

Intune AV Player

Intune Image Viewer

Microsoft Office Mobile

Microsoft OneDrive

Bu uygulamaları rahatlıkla yönetebiliyoruz. Örneğin Managed Browser için bir kural oluşturmak istediğiniz zaman aşağıdaki gibi basit bir kural ekranı geliyor;

İlke için bir isim sonrasında açıklama ve alt bölümde izinli veya yasaklı siteleri seçebiliyoruz.

Bir diğer konu ise şirketinizin kendi geliştirdiği veya yukarıdaki listede olmayan uygulamalar içinde “Microsoft Intune App Wrapping Tool for iOS” aracı yardımı ile bu sisteme uyumlu hale getirilmesi. Bu konuda daha fazla bilgi için aşağıdaki makaleyi inceleyebilirsiniz.

https://technet.microsoft.com/en-us/library/dn878028.aspx

Makalemizin bu bölümünün de sonuna geldik. Bir sonraki bölümde yazılım dağıtımı konusuna değineceğim.

Kaynak

https://technet.microsoft.com/library/dn646983.aspx

https://technet.microsoft.com/tr-tr/library/jj573650.aspx

Makalemin ilk üç bölümünde intune kavramı, özellikleri, üyelik oluşturma, kullanıcı ve grup işlemleri, domain tanımlama, policy – ilke kavramları ve tanımlamaları bilgi vermiştim. Bu bölümde ise yazılım dağıtma konusunda bilgi vereceğim.

Bölüm1
Bölüm2
Bölüm3

Intune konsolu üzerine yazlım bölümüne bağlandığınız zaman temel olarak iki çalışma alanı görüyoruz;

Detected Software

Managed Software

Detected Software

Yönetmekte olduğumuz cihazlardaki yüklü olan uygulamaların listesini görebildiğimiz çalışma alanıdır. Bu alandaki yüklü yazılım bilgileri sadece bilgisayarlar için geçerli olup mobil aygıtlar için yazılım bilgisi alamıyoruz. Malum bulut teknolojisini anlattığım için yanına şimdilik yazmak doğru olur, çünkü her daim güncellenen teknolojilerden bahsediyoruz J.

Özetle yüklü yazılımların özelliklerinin görüntülendiği ve bunlar için lisans girişi yapabileceğimiz bir çalışma alanıdır.

Managed Software

Bu bölümde ise yönettiğimiz bilgisayar ve mobil aygıtlar için dağıtmak üzere yazılım ekleyebildiğimiz, eklediğimiz yazılımın özelliklerini değiştirebildiğimiz, yine eklediğimiz yazılımı silebildiğimiz, bu yazılımların özelliklerini görüntüleyebildiğimiz ve yukarıda olduğu gibi lisans girebildiğimiz bir çalışma alanıdır.

Bu kavramları tanımladıktan sonra yazılım yüklemeden önce bilmemiz gereken bir diğer konu ise “Cloud storage” kavramıdır. Intune deneme sürümü ile bize yazılım dağıtımı yapmak için 2GB alan sunulmaktadır. Eğer ücretli sürüme geçerseniz cloud storage olarak tanımlanan bu alan 20GB olarak genişletilmektedir. Eğer bu alanda yetmez ise ek alan satın alma seçenekleri sunulmuştur.

Yazılım dağıtımına geçmeden önce bilmemiz gereken bir diğer konu başlığı “Microsoft Intune Software Publisher” aracıdır. Bu araç sayesinde bilgisayarımız üzerinden cloud storage üzerine yazılım yüklemelerini gerçekleştirebiliyoruz. Birazdan demo ortamında bu yazılımın detaylarını makale üzerinde göreceğiz.

Yayınladığımız yazılımların yüklenebilmesi için istemci tarafında da bir takım standartlar yer almaktadır.

Masa üstü bilgisayarlar için Windows Vista ve üstü, mobil aygıtlar için ise Apple iOS 7.1 ve sonrası, Google Android 2.3.4 ve sonrası, Windows Phone 8.0 ve sonrası, Windows RT ve Windows 8.1 RT, Windows 8.1 olması gerekmektedir.

Yazılım yükleme noktasında da iki seçenek mevcuttur.

·         Software Installer

·         External Link

·         Managed iOS app from the appstore

Software Installer yönteminde ilk olarak Microsoft Intune cloud storage üzerine yazılım paketimizi yüklüyoruz, daha sonra company portal üzerinde kullanıcıların erişebilmesini sağlıyoruz.

External Link yönteminde ise yine kendi içinde ikiye ayrılmaktadır. URL bazlı yöntemde her bir üreticinin online mağazasının uygulama linki kullanılır. Aşağıdaki işletim sistemleri bu yüklemeyi destekler.

Windows 8, Windows 8.1
Windows RT
Windows Phone 8, Windows Phone 8.1
iOS
Android

Diğer yöntem ise Link, bu yöntem ise web browser üzerinde çalışan web tabanlı uygulamalar için kullanılıyor olup intune ile yönetildiğiniz tüm istemler için desteklenen bir dağıtım yöntemidir.

Managed iOS app from the app store yükleme tipinde ise, iOS uygulamalarını app store üzerinden herhangi bir ücret ödemeden dağıtmak ve yönetmek için kullanılır.Bu yükleme tipi ile isterseniz gerekli programları yönettiğiniz aygıtlar için yükleyebilir veya yüklenmesi için mobile web portal' a koyabilirsiniz.

Buraya kadar temel kavramlar hakkında bilgi vermeye çalıştım. Bu bölümden sonra ise biraz daha detaylı genel yazılım dağıtım işlemlerinden bahsedeceğim.

1 – Dağıtacağınız yazılımın intune tarafından desteklendiğini kontrol edin.

2 – Yazılım dağıtmadan önce kullanıcı veya aygıt grupları tanımlayın ve dağıtım için bunları kullanın.

3 – Yazılımınızı intune cloud storage üzerine yükleyin.

4 – Yazılımınızı mobil aygıtlara veya bilgisayarlara dağıtın.

5 – Yazılım dağıtımını takip edin.

İlk maddeden zaten makalemin başında bahsetmiştim, aslında işletim sistemi seviyesinde çalışan uygulamaları intune üzerinden dağıtabilirsiniz.

İkinci madde için yine makale serimde kullanıcı ve aygıt için grup tanımlama adımlarını anlatmıştım.

Üçüncü madde için ise uygulama yapmamız gerekiyor. Çünkü bu konuda daha önce bilgi vermemiştim.

Öncelikle burada da aslında iki temel ayrım vardır. Bilgisayar ve mobil aygıtlar. Ben ilk olarak bilgisayar için dağıtım adımlarını paylaşıyor olacağım.

Microsoft intune yönetim konsolundan yazılım bölümüne geliyoruz. Ardından sağ bölümdeki yazılım ekle linkine tıklıyoruz.

Sizden logon olmanız istenir.

Karşımıza kısa bir yükleme uyarısı sonrasında “Microsoft Intune Software Publisher” çıkıyor.

Genel olarak lisanslar ile ilgili bir uyarı geliyor ve bunu hızlıca geçebiliriz.

Karşımıza çıkan yükleme seçeneklerinden External Link –Dış bağlantı bölümünü seçip yüklemek istediğimiz uygulama için çalışan bir link veriyoruz.

Not: Belirttiğiniz bağlantı şirket portalı – company portal kullanıcıları tarafından kullanılabilecektir. Kullanıcılar bu bağlantı sayesinde doğrudan bir çevrimiçi mağazadan uygulama indirebilir veya uygulamaları bir web sitesindeki bir web uygulaması gibi çalıştırabilir. Uygulama Microsoft Intune tarafından barındırılmaz.

Dağıtımını yapacağımız yazılımın kullanıcılar tarafından görüntüleyeceği şekilde bilgilerini tanımlıyoruz.

Özet bir bilgi ve paketimiz hazır.

Yine bilgisayar tarafındaki bir diğer yükleme seçeneği ise yükleme paketini dış bir link olarak değil de cloud storage üzerine yüklediğimiz senaryodur. Yani bilgisayar tarafında bir yükleme gerekmektedir.

Yukarıdaki gibi Microsoft Intune Software Publisher aracını çalıştırana kadar aynı adımları gerçekleştiriyoruz. Ancak burada aşağıdaki gibi farklı bir seçeneği seçiyoruz.

Bu sefer yüklenmesini istediğimiz programın yolunu belirtiyoruz. Ben Symantec Help uygulamasını dağıtmak istiyorum. Eğer yüklemeniz ek klasörler oluşturuyor ise hemen altta bulunan kutucuğu işaretleyebilirsiniz.

Yine bir önceki yazılım dağıtımında olduğu gibi son kullanıcı için bu yazılımın açıklama bilgilerini giriyoruz.

Yüklenecek işletim sistemi sürümü ve mimarisini seçiyorum.

Bilgisayarda dağıtmak istediğiniz yazılımın yüklü olup olmadığını kontrol etmek için kural seti belirleyebiliyoruz. Ben varsayılan algılama kurallarına güveniyorum J

Yükleme için ek komut seti ihtiyacınız var ise buraya ekleyebilirsiniz.

Eğer programın yüklemesi sırasında oluşan hata kodlarını biliyorsanız bu konuda geri dönüş kodunu yorumlatabilirsiniz. Bu da raporlama noktasında size yardımcı olacaktır.

Yaptığımız yazılım dağıtım paketi için özet bir görüntü görüyoruz.

Karşıya yükleme işlemi ile süreci tamamlıyoruz. Karşımıza çıkan yazılım detayları linkine tıklayarak detay bilgi görebiliriz.

Şimdi bu yazılımı bilgisayarlara dağıtalım.

Yine yönetim portalı üzerinden yazılım bölümüne geliyoruz, daha sonra dağıtmak istediğimiz yazılımı buluyoruz ve dağıtım yönetim linkine tıklıyoruz.

Karşımıza çıkan menü üzerinden dağıtım yapmak istediğimiz kullanıcı grupları veya aygıt gruplarını seçebilirsiniz.

Ben bu uygulamayı bir makine grubuna atadığım için “Gerekli Yükleme” - Required install yani zorunlu olarak yüklenecektir. Eğer bunu bir kullanıcı grubuna atasaydım “Kullanılabilir Yükleme” - Available install” seçeneği aktif olacak ve kullanıcıya istediği zaman bu uygulamayı yüklemesi için seçenek sunmuş olacaktık.

Hemen bir sağ bölümde ise bu uygulamanın yüklenmesi için son tarih bilgisi “deadline” verebiliriz.

Eğer none - yok seçersek bu durumda makine üzerindeki agent policy ayarları ne ise ona göre yükleme yapılır.

Hemen – as soon as possible seçersek bir sonraki istemci durum eşitlemesinde yükleme yapılır. Diğer seçenekler ise sırası ile bu günden bir, iki hafta sonra veya bir ay sonra yükleme yapılır. Veya en son seenek olarak özel seçeneğini seçerek istediğini tarihte yükleme yapılmasını seçebilirsiniz.

Gördüğünüz gibi saat 22:51 olmuş ben makale yazıyorum J

Bu son ayar ile yazılım dağıtımını da başlatmış oluyoruz. Eğer dağıttığınız yazılımın yeni bir sürümü çıkar ise bu mevcut yazılım üzerine gelip Düzenle – Edit demeniz ve güncel sürümü yüklemeniz yeterlidir.

İstemci tarafını kontrol edelim.

Sağ alt köşede gördüğünüz gibi bir uyarı beliriyor.

Sağ tıkladığınız zaman bir update olduğu bilgisi var.

Yüklemeden önce detay kontrol edebilirsiniz.

Gördüğünüz gibi biraz önce dağıttığım uygulama olduğunu görüyoruz.

Bir sonraki adım ise bu dağıttığımız yazılımı takip etmektir.

Bunun için ilgili yazılımı bulup özellikler sayfasını açmamız yeterlidir

Bu sayfadan bu yazılımın hangi bilgisayar veya kullanıcılar için dağıtıldığını takip edebilirsiniz.

Evet, makalemin bu bölümünün de sonuna geldim. Bir sonraki bölümde yazılım yükleme konusuna mobil cihazlar başlığı ile devam edeceğim. Bir sonraki bölümde görüşmek üzere.

Kaynak

https://technet.microsoft.com/en-us/library/dn646955.aspx

Makalemin ilk dört bölümünde intune kavramı, özellikleri, üyelik oluşturma, kullanıcı ve grup işlemleri, domain tanımlama, policy – ilke kavramları, yazılım dağıtımı ve bilgisayarlar için örnek bir yazılım dağıtımından bahsetmiştim. Bu bölümde ise mobil aygıtlar için yazılım dağıtımı yapacağım.

Bölüm1
Bölüm2
Bölüm3
Bölüm4

Bir önceki bölümde en son olarak bilgisayarlar için bir yazılım dağıtımı yapmıştık. Şimdi ise mobil aygıtlar için benzer bir uygulama yapacağız. Bilgisayarlarda olduğu gibi mobil aygıtlar içinde yazılım dağıtımı konusunda 3 temel yöntem bulunmaktadır.

·         Software Installer

·         External Link

·         Managed iOS app from the appstore

Adımları da aynı olduğu için bir daha bu menüleri paylaşmayacağım. Sadece bir örnek olması için Lync Client yazılımını Mobil cihazlara External Link yöntemi ile nasıl yükleriz onu paylaşacağım. Diğer iki yükleme yöntemi de yine makineler için yaptığımız adımlar ile aynı olup tabiki Software Installer yönteminde yüklemeye çalışacağınız yazılımın mobil işletim sistemi uygulaması olması gereklidir.

Öncelikle yazılım bölümüne geliyor, daha sonra yazılım ekle linkine tıklıyoruz.

Ardından aşağıdaki gibi bir logon ekranı geliyor.

Karşımıza kısa bir yükleme uyarısı sonrasında “Microsoft Intune Software Publisher” çıkıyor.

Genel olarak lisanslar ile ilgili bir uyarı geliyor ve bunu hızlıca geçebiliriz.

Bu bölümü yine bilgisayar için yazılım dağıtım makalemizden hatırlayacaksınız. Orada da buna benzer bir şekilde bilgisayar için uygun bir link veriyorduk. Yukarıda gördüğünüz gibi Lync Mobile yüklemesi için Google Play linki veriyorum. Diğer mobile cihazlar için ise linkler aşağıdaki gibidir;

Lync Mobile yüklemesi için external link

iOS: https://itunes.apple.com/us/app/microsoft-lync-2010-for-iphone/id484293461?mt=8

Windows Phone 8 veya Windows Phone 8.1: http://www.windowsphone.com/en-us/store/app/lync-2013/d85d8a57-0f61-4ff3-a0f4-444e131d8491

Bundan sonraki bölümde yine aynı olduğu için hızlı bir şekilde geçiyorum.

Kullanıcılar için yazılım hakkında bilgi bölümlerini dolduruyoruz.

İşlem özetinden sonra karşıya yükleye diyerek yükleme işlemini tamamlıyoruz.

Daha sonra yazılımın üzerine tıklayarak Dağıtımı Yönet linkine tıklıyoruz.

Karşımıza gelen kullanıcı gruplarından istediğimiz bir grubu seçiyoruz.

Makine dağıtığımdan hatırladığımız bu bölümde ise temel farklılık, makine için “Gerekli Yükleme” yani bir zorunluluk arz ederken kullanıcı için              “Kullanılabilir Yükleme” yani bir seçenek sunmaktadır.

Şimdi hemen ilgili kullanıcının mobil aygıtından Company Portal uygulamasını açalım.

Not: Company Portal, mobile cihazlar tarafında intune yönetimi için gerekli olan istemci yazılımıdır.

Gördüğünüz gibi mobil aygıt üzerinde Lync uygulamasını görebiliyoruz. Ben hızlıca yükleme işleminide yapıyorum.

Makalemin bu bölümünün de sonuna geldim. Bir sonraki bölümde görüşmek üzere.

Kaynak

https://technet.microsoft.com/en-us/library/dn646955.aspx

https://technet.microsoft.com/en-us/library/dn646967.aspx

Bu bölümde HP 830 Series PoE+ Unified Wired-WLAN Switch (HP830 Access Controller) cihazının Controller tarafındaki Basit ayarlarını cihazın kurulumu, kullanıcı işlemleri, loglama, Tarih ve saat Kısımındaki ayarlar, File Management yedekleme, geri yükleme, Default Settings konfigürasyonlarını yapıyor olacağız.

Aşağıdaki yönergeleri izleyerek cihazınızı kurmanız mümkün olacaktır.

Öncelikle HP 830 cihazına varsayılan ayarlarında web ara yüzü ile bağlanmanız mümkündür.

CLI(Konsol) bölümünden giriş yapılarak kullanıcı adı ve şifre vererek ve ilgili servisleri aktif ederek te yapabiliriz ama varsayılan ayarlarında konfigüre edilmiş olarak geldiği için aslında buna gerek yoktur.

HP830 Cihazımıza konsol bağlantısı yapıyoruz. Ve Aşağıdaki komutları giriyoruz

Yukarıda yapmış olduğumuz işlemde cihaza kullanıcı adı ve şifre verdik ve cihazın kullanmak istediğimiz servislerini aktif ettik.

Artık cihazımıza http üzerinden bağlana biliriz.Hp830 cihazı fabrika çıkışlı olarak üzerinde 192.168.0.101 ip adresi ile gelir.

Cihaza bağlanmak için aşağıdaki network düzeni alınmalıdır ya da PC direk cihazın herhangi bir portuna bağlanabilir.

İp yapılandırmanızı cihaza bağlanacak şekilde yapmalısınız.

Bu işlemeler tamamlandıktan sonra cihaza bağlanabilir duruma gelmiş bulunmaktayız. Google Chrome 2.0.174.0, Microsoft Internet Explorer 6,0 SP2, Mozilla Firefox 3,0 bu tarayıcılar ile problemsiz bir şekilde bağlanmanız mümkündür. Bağlantı için varsayılan bilgiler aşağıdaki gibidir.

Username: admin

 Password: admin 

 Default IP address 192.168.0.100/24 192.168.0.101/24

Tarayıcıyahttp://192.168.0.101 ip adresini yazdığımız zaman karşımıza aşağıda görüldüğü üzere karşılama ekranı gelecektir bu ekrana Username yazan kısma admin Password yazan kısma admin yazarak ve alt kısımda bulunan güvenlik kodunu doldurarak Login butonuna basıyoruz.

Login dedikten sonra karşımıza aşağıdaki gördüğümüz gibi kontroller ara yüzü gelmektedir. Bu kısımda görüldüğü üzere device info menüsünden cihazın ip adresi interface durumlara vb. bilgiler bulunmaktadır.

Bundan sonraki adımda artık cihazı wizard edeceğiz yani kuracağız.

Bu işlem Quick Start Menüsü üzerinden yapılacak bu bölüme giderek yapılandırma sihirbazına gideceğiz

Bu alanda karşımıza aşağıdaki gibi ekran geliyor olacak

Bu kısma Next diyerek geçiyoruz

Next dedikten sonra karşımıza gelen ekranda Sysname cihaza vermek istediğiniz isim ,Syslocation Cihazın lokasyon bilgileri ,Syscontact bölümüne de ilgili teknik personel yazılabilir.Next diyerek devam ediyoruz.

Next dedikten sonra karşımıza aşağıdaki ekran geliyor. Bu kısımda cihaza vereceğimiz ip adresini belirliyoruz İpv4 ya da İpv6 şeklinde siz sistemde hangisini kullanıyorsanız onu konfigüre edebilirsiniz. İp adresini statik ve dinamik olarak siz seçebilirsiniz. Bu kısımda daha sonra oluşturacağınız vlan’lar içinde ip adresi verebilirsiniz. Next direyerek devam ediyoruz.

Next dedikten sonra karşımıza aşağıdaki gibi ekran gelecek bu ekranda yapmış olduğumuz yapılandırmanın özeti bulunmaktadır bu kısımdan yaptığımız yapılandırmayı inceleyerek bir yanlış olmadığını düşünüyorsanız Finish diye bilirsiniz.

Finish dedikten sonra cihazınız reboot olacak ve yeni yapmış olduğunuz ayarlar ile açılmaya başlayacak cihazın açılması 3 ile 5 dakika arasında sürmektedir.

Cihaz açıldıktan sonra cihaza yeni verdiğiniz ip adresi ile bağlanınız. Bağlandıktan sonra yapılması gereken ilk işlem saat ve tarih ayarlarıdır.

Device > System Time menüsünden Yukarıdaki ekrandan Tarih ve saat ayarlarını kolay bir şekilde yapabilirsiniz.

Veya cihaza Bir NTP sunucu da tanımlamanız mümkün

Gereken NTP sunucu bilgilerini girdikten sonra Apply deyip uygulayabilirsiniz.

Bu işlemlerden sonra Default user olan admin kullanıcısını değiştirmek için ya da yeni bir kullanıcı oluşturmak isteyebilirsiniz.

Cihaz üzerinde 4 çeşit farklı user tipi bulunmaktadır. Bunlar Visitor, Monitör, Konfigüre, Management şeklindedir.

Bu işlemleri de Device > Users> Create tabından yapabilirsiniz.

Bu kısımdan yeni bir kullanıcı oluşturulmaktadır Access Level Kısımından da kullanıcının hangi yetkiye sahip olacağı seçilebilir. Apply seçeneği ile kayıt edilmelidir.

Bir diğer önemli konuda cihaz loğlarıdır bu logları bir syslog sunucusuna almanızı kesinlik öneriyorum.

Log bölümüze Device > Syslog bölümünden bağlanmanız mümkün ekran aşağıdaki gibidir.

Tarih ve Saat’in doğru olması bu kısımda almış olduğunuz loğların doğru zaman zarfında olduğunu bilmeniz için çok önemlidir.

Bu kısımda cihaz kendi üzerine log almaktadır ama belirli bir süre boyunca bunun için bu logları bir syslog sunucusuna göndermeniz geriye dönük raporlar ve yaşanan sıkıntıların loğlarını okumak karşılaştırma yapmak için önemlidir.

Eğer bir syslog sunucusu eklemek istersek

Device > Syslog> Loghost menülerini kullanarak Syslog sunucusunun ip adresini yazınız.

Cihazımız şuanda çalışmaya hazır durumdadır. Öncelikle bu yaptığımızda ayarları kaydetmemiz gerekmektedir.

Device > Configuration

Menüleri kullanarak

İlgili menüde Save Current Settings butonunu kullanarak ayarlarımızı kaydedebiliriz.

Ayarlar kaydedildikten sonra yedek almanız önerilir.

Yedek almak içinde aynı menü üzerinden Backup menüsüne tıklatıp Yukarıdaki ekran doğrultusunda Backup diyerek yedeğinizi alabilirsiniz

Aldığınız yedek ten geri dönmek için de Restore menüsüne giderek aldığınız yedeği geri yüklemeniz mümkünüdür.

Aynı menü üzerinde Bulunan Device > Configuration>Initialize menüsünü kullanarak cihazı fabrika ayarlarına geri çevirebilirsiniz.

Bu işlemlerin sonucunda cihaz üzerinde bir takım config dosyaları oluşur log,xml,cfg,diag bu dosyaları direk bilgisayarınıza yedekmiş gibi indirebilirsiniz.

Device > File Management menüleri takip ederseniz karşınıza aşağıdaki ekranın bir benzeri gelecektir.

İstediğiniz dosyayı Download diyerek indirmeniz mümkündür. Bu dosyaları yedek olarakta kullanabilirsiniz.

Merhaba, bu makalemizde sizler ile Office 365 platformu üzerinde Domain ekleme işlemlerinden bahsediyor olacağım. Office 365 üyelik işlemlerinin sonrasında, default olarak kullanıma sunulan ‎”organizasyon_ismi.onmicrosoft.com” domain uzantısına sahip bir etki alanı yapısını bize sunuyor.

Biz, Office 365 üzerinde yapacağımız işlemlere ister default domain yapısı ile devam edebilir veya kendi organizasyonumuz içerisinde kullanmış olduğumuz domain ismini, Office 365 üzerinde tanımlayarak, User ve Microsoft ürünlerinin yönetimi tarafındaki işlemleri kendi domainimiz ile gerçekleştirebiliriz. Office 365 tarafına domain ekledikten sonra, Active Directory entegrasyonu gibi işlemleri ilerleyen makalelerimde sizler ile paylaşacağım.

Default gelen Office 365 Domain:

Office 365 domain eklememiz için Office 365’ in bizden istediği DNS kayıtlarının açılması gerekmekte. Ben, bana ait olan MsExchangeTR.org domainini, Office 365 üzerine ekleyeceğim.

Office 365 Admin panel > Office 365 > Domains > + Add domain linkine tıklıyoruz.

Karşılama ekranında bize Dns ile ilgili özet bilgi veriyor. Let’s get started linkine tıklıyoruz.

MsExchangeTR.org domainimi ekliyorum ve Next linki ile devam ediyorum.

Domaini eklemek için ilk adımda bizden DNS zone üzerinde bir TXT kaydı açmamızı istiyor.

Ben DNS hizmeti aldığım panelden ilk kaydımı (TXT) açıyorum. Add record ile TXT kaydımı açtım. Okay, I've added the record linkine tıklıyorum.

DNS kaydımız oturdu ve aktif oldu. Next ile sonra ki adıma geçiyoruz.

Bu adımda, Office 365 Userlarımızın mail adreslerini MsExchangeTR.org olarak güncelleyebileceğimizi bize belirtiyor. Update Selected Users linkine tıklarsak, Default domain yerine, yeni domain adımız userlara atanmış oluyor. Ben Skip this step kısmı ile geçiyorum.

Bir sonra ki adımda ise, istersen yeni userlar oluşturabilir, elimizde bulk olarak oluşturduğum .csv formatında bir dosyamız varsa import edebilir veya skip this step ile adımı geçebiliriz. Ben bu adımı geçiyorum.

DNS adımlarının hazır olduğunu belirten ekranı Next ile geçiyoruz.

Bu adımda www.MsExchangeTR.org adresini yayınlayıp, yayınlamayacağımızı soruyor. No ile sonra ki adıma geçiyorum.

Eğer, web sitenizi Office 365 üzerinden publish etmek istersek, NS kayıtları hakkında bize yapmamız gerekeni belirtiyor. Bu adımı, If you don't want to change your nameservers, you can manage your DNS at your DNS host kısmı ile geçiyorum. Çünkü kendi web panelim üzerinden yayınlanmasını istiyorum.

Bu adımda, bize domaini tanımladıktan sonra, hangi hizmetleri kullanmak istediğimizi soruyor.

Exchange Online için: Outlook for email, calendar, and contacts

Lync Online için: Lync for instant messaging and online meetings

Ben 2 adımıda seçiyor ve DNS kayıtlarının bu adımlara göre gelmesini istiyorum. Next ile sonra ki adıma geçiyoruz.

Exchange Online, Lync Online için aşağıda ki kayıtların oluşturulmasını istiyor.

Kayıtların içeriği:

MX records (Step-by-step instructions for adding a MX record)

CNAME records (Step-by-step instructions for adding a CNAME record)

TXT records (Step-by-step instructions for adding a TXT record)

SRV records (Step-by-step instructions for adding a SRV record)

Peki, DNS hizmetini farklı bir provider üzerinden alıyorsak ne olacak? GoDady, Yahoo gibi.

Add the records at your DNS host yanında bulunan CHANGE linki ile istediğiniz provider’ i seçebilirsiniz.

Yukarıda belirttiğim DNS kayıtlarımı, Hosting panelim üzerinden tek tek açtım. DNS’ in oturma sürecini göz önünde bulundurmayı unutmayın.

Okay, I've added the records linkine tıklıyoruz ve verfiy olmasını bekliyoruz.

Başarılı bir şekilde domainimizi eklemiş olduk.

Finish ile adımları bitiriyoruz. Bizi direk DOMAINS sayfasına yönlendiriyor. Ancak, ben domainin yine de son testlerini yapmak, başka bir sorun olup, olmadığını görmek için eklediğimiz domain adresini seçip, Find and fix issues linkine tıklıyorum.

Aşağıda ki gibi bir şekilde ekran görüyorsak, başarılı bir şekilde domainimizi Office 365 platformuna entegre etmişiz demektir.

Makalemizde MsExchangeTR.org domainimizi Office 365 üzerine tanımladık. Faydalı olması dileğiyle.

Merhaba, bu yazımda sizler ile Office 365 Exchange Online üzerinden Send As yetkilendirme işlemlerini sizler ile paylaşacağım. Office 365 üzerine Exchange Online 2013 entegre edilmesinden bu yana, bu işlemi Web GUI ile yapabilir duruma geldik. Önce ki sürüm Exchange Online 2010 olduğu için PowerShell komutları ile işlem yapmamız gerekiyordu. Dilersek yine PowerShell üzerinden bu işlemleri yapabiliriz.

İşlemlerimize başlayalım.  Office 365 Admin Panel altından Exchange linkine tıklayalım.

Exchange Online kısmına geldikten sonra, hangi user ile işlem yapacaksak ilgili user’ ı seçiyoruz ve özelliklerine giriyoruz. Ben Ufuk TATLIDIL user’ ı İlkim Ada user’ ı  adına mail yollaması için  Send As yetkisi vereceğim.

Çif tıklayarak veya kalem iconuna tıklayarak İlkim Ada user’ ının özelliklerine gelip, Mailbox Delegation linkine tıklıyoruz.

Açılan ekranda Send As kısmında bulunan “+” butonuna tıklayalım. Ufuk.tatlidil mail adresini seçip, Add ve OK adımları ile Send As kısmına ekleyelim.

Save ile ilgili user’ ı ekliyoruz.

Bu ayarların oturması biraz zaman alacaktır.

İşlemler sonrası aşağıda ki gibi bir hata alabilirsiniz.

Your message did not reach some or all of the intended recipients.

      Subject:         Test

      Sent:               1/19/2015 4:49 PM

The following recipient(s) cannot be reached:

     'mehmetufuk80@gmail.com' on 1/19/2015 4:49 PM

            This message could not be sent. Try sending the message again later, or contact your network administrator.  Error is [0x80070005-00000000-00000000].

Outlook üzerinde download address book işlemi yapmanız ve bir süre beklemeniz yeterli olacaktır.

Sorun düzelmez ise “C:\Users\username\AppData\Local\Microsoft\Outlook” atında bulunan offlice address book klasörünün ismini değiştirin (Outlook’ u kapatıp). Daha sonra tekrar Download Address Book işlemini yineleyin.

Şimdi OWA üzerinden test edelim. Office 365 OWA’ya login olalım.

From kısmını ilkim.ada@lab08288.o365ready.com yerine ufuk.tatlidil@lab08288.o365ready.com olarak değiştiriyorum.

Cozumpark mail adresime İlkim Ada’ nın hesabı ile Send As yetkisi verdiğimi Ufuk TATLIDIL user’ ı ile mail gönderdik.

Cozumpark mail adresime mail düştü.

Dilerseniz bu işlemi PowerShell üzerinden’ de yapabilirsiniz.

Komut 1: (Send As yetkisi vermek için)

Add-RecipientPermission -Identity ilkim.ada@lab08288.o365ready.com -Trustee ufuk.tatlidil@lab08288.o365ready.com -AccessRights SendAs

Komut 2: (yetki kontrolü için)

Get-RecipientPermission ilkim.ada@lab08288.o365ready.com

Komut 3: (silmek için)

Remove-RecipientPermission ilkim.ada@lab08288.o365ready.com –Trustee ufuk.tatlidil@lab08288.o365ready.com -AccessRights SendAs

Makalemizin sonuna geldik. Faydalı olması dileğiyle.

Merhaba, bu yazımda sizler ile Office 365 üzerinde kullandığımız Exchange Online’ a Windows PowerShell ile nasıl erişebileceğimizi ve bağlantı kurduktan sonra Exchange Online üzerinde kullanabileceğimiz bazı temel PowerShell komutlarını paylaşacağım.  Microsoft’un bir çok ürününde  PowerShell ile ilgili sistemler %100 oranında yönetebiliyoruz. Gui yani görsel ortamda bu yüzde % 80 oranına kadar inmekte. Durum böyle olunca’ da Ofis 365 Exhange Online ile Gui üzerinden yapamadığımız işlemleri PowerShell üzerinden yapabilmekteyiz. Ofis 365 Exchange Online üzerindeki temel işlemlerin dışında gelişmiş işlemler yapabilmek için PowerShell’i hazır duruma getirmemiz her zaman işimizi kolaylaştıracaktır.

Office 365 üzerinde ki Exchange Online’ a PowerShell ile nasıl bağlanabilirim?

Bu bağlantı işlemini, Windows 7,8,8.1 veya Server 2008,2008r2,2012,2012r2 gibi işletim sistemleri üzerinde bulunan PowerSell ile yapabilirsiniz.

Windows PowerShell’ i Run As Administrator ile açıyoruz.

Açılan PowerShell üzerinde Office 365 Exchange Online ‘a bağlanmak için ilk komutumuz.

$Cred = Get-Credential

PowerShell’e bu komutu girdikten sonra, karışımıza bir Authentication ekranı gelmekte. Bu ekrana Office 365 Admin mail adresimizi ve şifremizi girip, OK butonuna basıyoruz.

Authentication Credential işlemi başarılı olunca aşağıda ki gibi bir ekran ile karşılaşıyoruz.

Yukarıda ki ekranı görünce aşağıda ki Office 365 bağlantısı için gerekli PS komutunu giriyoruz.

$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $cred -Authentication Basic –AllowRedirection

İşlem sonrası Import-PSSession $s komutunu girerek Office 365 Exchange Online Tenant Admin için PowerShell cmdlet’leri Available duruma getirmiş oluyoruz.

Ve PowerShell hazır duruma geliyor.

İşlemleri tamamladınız. Gerekli PowerShell komutları ile işlemleriniz bittikten sonra Remove-PSSession $s ile açmış olduğunuz session’ u sonlandırabilirsiniz. Yukarıda ki işlemler sonrası Office 365 Exchange Online’ a PowerShell ile bağlandık ve komutlar için hazır duruma getirdik. Şimdi birkaç komut çalıştırıp, test edelim.

En temel komutumuz ile başlayalım.

Get-Mailbox

Komut ile Office 365 Exchange Online üzerinde ki Userlarımızın Alias, ServerName ve ProhibitSendQuota bilgilerine erişebiliyoruz.

Bir kullanıcıya göz atmak istersek.

Get-Mailbox –identity “ufuk.tatlidil”

Burada ki 2 ufuk.tatlidil kullanıcısı sizi şaşırtabilir. Biri Office 365 Admin hesabım, diğeri On Prem Active Directory ve Exchange 2013 üzerinden Office 365 Exchange Online’ a move ettiğim standart user’ ım.

Biraz daha derine inip, Get-AuthServer | Format-List * komutu ile kullandığımız Office 365 Exchange Online’ nın hangi sunucularda ve daha bir çok bilgiye ulaşabiliriz.

Get-ManagementRole komutu ile Office 365 Exchange Online üzerinde hangi rollerin manage edilebildiğini ve role type’lerini görebiliyoruz.

Biraz temel, biraz gelişmiş komutlar ile Office 365 Exchange Online’ a Windows PowerShell ile bağlantı sağladık ve birkaç Cmdlets çalıştırdık. İlerleyen yazılarımda daha gelişmiş PowerShell komutları ile Office 365 Exchange Online üzerinde işlemler yapacağız.

Faydalı olması dileğiyle.

https://technet.microsoft.com/en-us/library/jj984289%28v=exchg.150%29.aspx

Gerek internet tarayıcıları ile erişilen giriş kontrollü web sitelerinde, gerekse kurumsal yazılımlar veya özel ağlar üzerinden erişilen kurumsal uygulamalarda birincil fonksiyon kimlik doğrulamadır. Kritik verilerin, özel sistemlerin ve yetkilendirme gerektiren tüm kaynakların erişiminde doğru kullanıcı kimlik doğrulaması ve yetkilendirme gittikçe artan bir önem taşımaktadır.

Bugün herhangi bir bankacılık veya finans uygulamasına, e-ticaret sitesine, mesleki ya da sosyal medya portaline ulaşmak istediğinizde, mutlaka sizi tanımlayacak ve kimliğinizi doğrulayacak erişim verilerine sahip olmanız gerekir. Aynı şekilde, bir kamu kurumunun, bir şirketin, bir üniversitenin veya benzeri bir kuruluşun özel kurumsal kaynaklarına erişmeniz gerektiğinde, kimlik doğrulma adımlarından başarıyla geçmeniz beklenir.

Kullanıcı Adı ve Şifre

Halen en yaygın kullanılan erişim yöntemleri “kullanıcı adı” ve “şifre” temelinde çalışmaktadır. İlgili sistemlerde bir kullanıcı adı yaratılır. Her sistem alanında atanan kullanıcı adları benzersiz olmalıdır. Bu nedenle, çoğunlukla e-posta adresleri veya T.C. Kimlik Numarası gibi kişiye özel veriler kullanıcı adı olarak seçilir. Kullanıcı tercihine bırakılan kullanıcı adlarında ise, ilgili sistem alanında aynı kullanıcı adının sadece bir kez kullanılmasını sağlayan çakışma kontrolleri kullanılır.

Kolay kullanım avantajına rağmen, kırılması ve yanıltılması en kolay erişim yöntemidir. Pek çok farklı siber atak tekniğiyle kullanıcı şifreleri kırılabildiği gibi, kullanıcı ile uygulama arasındaki veri akışının dinlenmesiyle de kullanıcılara ait şifreler çalınabilmektedir. Daha ileri gidersek, bu şekilde çalışan sistemlerin veri tabanlarında tutulan kullanıcı şifreleri, sistemi doğrudan hedef alan ataklarla topluca ele geçirilebilir ve pek çok kişinin erişim verileri bir anda kötü niyetli kişilerin eline geçebilir.[NAB1] 

Tek Kullanımlık Şifreler

Kullanıcı adı ve şifre yönteminin dezavantajlarını azaltabilmek ve riski tek kullanım seviyesine çekebilmek için, yazılım veya donanım bazlı tek kullanımlık şifre (“one-time-password– OTP”) çözümleri ortaya çıkmıştır. İlgili kurumsal uygulama ile kullanıcı arasında anlaşılmış ve tek seferlik bir şifre üretimini esas alan bu yöntemin çalışması için, donanım bazlı OTP cihazları veya cep telefonlarıyla SMS yoluyla paylaşılabilen tek kullanımlık şifreler kullanılabilmektedir.

Her ne kadar azaltılmış bir risk olsa da, bu sistemlerin de tek kullanımlık şifrenin üretildiği noktalarda “hack” edilmesi veya tek kullanımlık şifrenin farklı atak yöntemleriyle ele geçirilmesiyle, ilgili oturumu kötü niyetli bir kişinin kullanması mümkün olmaktadır.

Biyometrik Kimlik Doğrulama

Tüm bu riskleri azaltmak için öne çıkarılan diğer bir yöntemse, kişisel bir biyometrik verinin doğrudan kullanıldığı biyometrik kimlik doğrulama yöntemleridir. En sık kullanılanları parmak izi, avuç içi, yüz tanıma, retina taraması gibi alternatifler olan biyometrik kimlik doğrulama yöntemleri, kaliteli ve ileri teknolojiye sahip veri kontrol yapıları kullanıldığında aldatılması zor yöntemlerdir. Sadece yüzey görüntüsünü almak yerine deri altı dokudan parmak izi verisi edinen donanımlar veya çok noktadan yüz yapısını analiz eden görüntü işleme metotları gibi ileri biyometrik yöntemler bu bakımdan daha çok güvenilen çözümlerdir.

Ancak, biyometrik yöntemlerle ilgili en büyük handikap, kişisel verilerin korunmasıyla ilgili mevzuat bakımından düzenlenmeye muhtaç bir alan olması ve kişisel mahremiyet bakımından kısıtlı kişisel uygulamalar (parmak izi okuyuculu bilgisayar erişim sistemleri gibi), dar alanlı kurumsal uygulamalar (kurumsal kapı geçiş kontrol sistemleri gibi) veya belirli yetkili mercilerin daha geniş kapsamlı uygulamaları (e-pasaport ve benzeri kimlik belgelerinde saklanan biyometrik veriler gibi) dışında kullanımı geniş platformlara yayılamayan çözümler olmalarıdır.

Kişilere ait biyometrik verilerin edinilmesi ve güvenilir biçimde saklanması bu yöntemin en önemli zorluklarından birini oluşturmaktadır. Kişisel biyometrik verilerin tek bir cihaz üzerinde tutulabileceği erişim donanımlarının maliyeti çok yüksek olmakta, bu verilerin merkezi tutulduğu sistemlerde ise verilerin saklanması ve korunmasıyla ilgili teknik ve hukuki problemler ortaya çıkabilmektedir.

Elektronik Sertifika Temelli Kimlik Doğrulama

Yukarıda bahsi geçen kimlik doğrulama yöntemlerinin pek çok dezavantajını ortadan kaldıran, yaygın kullanım imkânı olan ve güvenlik seviyesi üst düzeyde bir kimlik doğrulama yöntemi tercih edildiğinde, farklı kullanım alternatifleriyle elektronik sertifika temelli (çift faktörlü) kimlik doğrulama yöntemleri öne çıkmaktadır.

Açık Anahtarlı Altyapı (“Public Key Infrastructure– PKI”) bazlı bir çözüm olan bu yöntemde, yetkili Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) tarafından sağlanan e-imza amaçlı Nitelikli Elektronik Sertifikalar (NES) veya daha basit içerikte olup teknik bakımdan kimlik doğrulma amaçlı güvenlik sertifikaları (basit elektronik sertifikalar) kullanılmaktadır[NAB2] .[NAB3] 

Kimlik doğrulama işleminde e-imza tercih edilmesi durumunda, Türkiye’deki elektronik imza mevzuatı gereği mutlaka uluslararası standartlara göre belgeli güvenlik özelliklerine sahip özel donanımlar olan akıllı kartlar, kart okuyucular veya akıllı çubuklar (“token”) üzerinde yer alan NES’ler kullanılmaktadır. Yapıları gereği NES’ler e-imza amaçlı oldukları için, NES kullanılarak kimlik doğrulanırken ilgili sistemlere giriş sırasında bir e-imza oluşturulur ve bu e-imzanın doğrulanmasıyla kimlik doğrulama yapılır. Ayrıca, bu sayede sadece kimlik doğrulama değil, uygulamaların ilgili işlem adımlarında mevzuata uyumlu ve hukuken geçerli e-imza kullanma imkânı da kazanılmış olur. Kimlik doğrulamada güvenlik sertifikalarının kullanılması durumunda ise, bu sertifikaların da akıllı kartlar veya “token” üzerinde bulunmaları durumunda, hem sahip olunan bir unsur (akıllı kart / token) hem de bilinen bir unsur (akıllı kartın erişim şifresi – PIN) ile uygulamalara erişim çift faktörlü olarak sağlanabilir.

e-İmzanın ve NES’lerin güvenli erişim ve kimlik doğrulama amaçlı kullanıldığı uygulamaların başında, www.turkiye.gov.tr web adresi üzerinden hizmet veren Türkiye e-Devlet Kapısı gelmektedir. Bu portale giriş için kullanıcı adı ve şifre bazlı “e-Devlet Şifresi” yöntemi genel kullanıma açılmış olsa da, daha ileri kimlik doğrulama seçenekleri olarak “Elektronik İmza (e-İmza)”, “Mobil İmza (m-İmza)” ve “T.C. Kimlik Kartı” ile elektronik sertifika temelli kimlik doğrulama olanakları da tüm vatandaşlarımıza sunulmuştur. “Elektronik İmza (e-İmza)” ve “Mobil İmza (m-İmza)” ile NES kullanımı, “T.C. Kimlik Kartı” ile NES veya güvenlik sertifikası kullanımı mümkündür. Güvenlik hassasiyeti bakımından bu yöntemlerin tercih edilme oranı son dönemde önemli ölçüde artış göstermiştir[NAB4] .

Benzer tüm kurumsal web uygulamalarında, gerek özel sektör gerekse kamuda, bahsi geçen elektronik sertifikaların kullanılmasıyla kimlik doğrulama imkânı sağlayan yazılımlara ihtiyaç duyulmaktadır. Bir önceki yazımızda kısaca tanıttığımız TÜRKTRUST yazılım çözümlerinden CASTAN, web üzerinde akıllı kart ve elektronik sertifika ile kimlik doğrulama yapılmasına olanak tanıyan, hem NES’ler hem de X.509 v3 standardına uygun diğer tüm sertifikalar ile çalışabilen ve kolaylıkla her sisteme entegre edilebilen bir çözümdür[NAB5] .

TÜRKTRUST tarafından geliştirilen CASTAN yazılım çözümüyle, kullanım yerinden bağımsız olarak, İnternet üzerinde erişim sağlanabilen her noktadan web uygulamalarına esnek ve güvenli erişim sağlanabilmektedir. CASTAN yazılımı uluslararası standartlar uyarınca belirlenmiş güvenlik gereklilikleriyle tam uyumludur ve sistemlerde çalışmakta olan mevcut uygulamalarda değişiklik yapılmadan kolayca uygulanabilir ve yönetilebilir. Bağlantı sırasında ve tüm oturum boyunca akıllı kart kontrolü ile her adımda sürekli kimlik doğrulama olanağı ve kolay oturum kapatma imkânı mevcuttur.

TÜRKTRUST CASTAN çözümü, PKCS#11 standardına uygun akıllı kart ve “token” desteği sağlamaktadır. Ayrıca, oturum açma sırasında gerçek zamanlı çevrim içi sertifika durum sorgusu (OCSP) yapılabilmektedir. "Java Applet" yapısı ile platform bağımsızlığı sağlanmış olan çözüm, istenilen kök sertifikalar ile özelleştirilebilmektedir. Akıllı kart PIN kontrolü, belirlenen ESHS kök sertifikaları üzerinden sertifika doğrulaması ve OCSP üzerinden sertifika geçerlilik kontrolü ile üç adımda güvenlik kontrolü yapılarak erişim güvenliği sağlanmaktadır[NAB6] .

3-Faktörlü Kimlik Doğrulama

Elektronik sertifika temelli kimlik doğrulama çözümlerinin bir adım ötesinde, doğrulama adımına kişisel bir biyometrik verinin de eklendiği 3-faktörlü kimlik doğrulama yöntemleri bulunmaktadır. Yukarıda “Biyometrik Kimlik Doğrulama” başlığı altında değinilen kullanım kısıtları bu yöntemler için de geçerlidir. Hem biyometrik hem de elektronik sertifika temelli unsurları birleştiren bu çözümlerin maliyeti de görece daha yüksektir.

Uygulamalar için kimlik doğrulama yöntemleri seçilirken, kullanım ve yönetim kolaylığı, istenilen güvenlik düzeyi, maliyet gibi unsurların dikkate alınması gerekmektedir. Elektronik sertifika temelli kimlik doğrulama yöntemleri, sağladıkları pek çok avantajla bu bağlamda öne çıkmaktadır[NAB7] .

System Center ürün ailesinin bir üyesi olan Service Manager uygulaması sayesinde kurumlar IT süreçlerinde ki Sorun Kaydı (Incident), Hizmet İsteği (Service Request), Değişiklik İsteği (Change Request) vb. işlemleri kayıt altında tutabilmekte ve raporlayabilmektedir. Bu makalemde sizlere Service Manager 2012 Sp1 ürününün Service Manager 2012 R2 sürümüne yükseltilmesini anlatmaya çalışacağım. Upgrade işlemi Self-Service Portal haricinde inplace upgrade i desteklemektedir. Service Manager da güncelleme işlemi için aşağıda ki sıranın takip edilmesi gerekmekte.

Datawarehouse Sunucusu

Service Manager Management Sunucu ya da Sunucuları

Self-Service Portal

Service Manager konsolları

Not: Self-Service portal inplace upgrade işlemini desteklemediği için sıfırdan kurulması gerekmektedir.

Not: Yükseltme işleminin yapılabilmesi için tüm Service Manager bileşenlerinin üzerinde minimum Update Rollup 2 geçilmiş olmalıdır. Aksi halde aşağıda ki hata ile karşılaşılacaktır.

Not: Yükseltme işlemine başlanmadan önce eğer sanal makine kullanılıyor ise full yedek ya da en azından snapshot alınması karşılaşılacak bir olumsuzluk durumunda faydalı olacaktır.

Yükseltme işlemine yukarıda ki sıraya uyarak Datawarehouse sunucumuzdan başlayalım. İşlemi gerçekleştirebilmemiz için tüm Datawarehouse Job larının Not Started durumda olması gerekmektedir. Aksi halde yükseltme işlemi gerçekleştirilemez. Bunu sağlamak için bir poweshell ekranı açalım (administrator olarak) ve aşağıda ki komutları sırasıyla çalıştıralım.

Set-ExecutionPolicy -force RemoteSigned

Ardından powershell komut satırında C:\Program Files\Microsoft System Center 2012\Service Manager klasörü içerisine gelelim ve aşağıda ki komutu çalıştıralım. Böylece datawarehouse komut tanımlarını yüklemiş olacağız.

Import-Module .\Microsoft.EnterpriseManagement.Warehouse.cmdlets.psd1

Son olarak aşağıda ki komutu çalıştırarak Datawarehouse Job larını listeleyelim.

Get-SCDWJob

Yukarıda ki ekran görüntüsünden de görüleceği üzere bazı job lar Running durumunda. Ben bu durumda bu job ların tamamlanmasının beklenmesini tavsiye ederim. Tüm job lar Not Started durumuna geldiğinde sırasıyla aşağıda ki komutları çalıştırarak Datawarehouse job larını disable edelim.

Disable-SCDWJobSchedule -JobNanme Extract_DW_"Datawarehouse Management Grup Adı"

Not: Yukarıda ki komutta "Datawarehouse Management Grup Adı" bölümü tırnak işaretleri olmadan yazılmalıdır. Eğer Grup adı bilinmiyor ise Service Manager konsolunda Datawarehouse--> Data Sources bölümüne bakılarak öğrenilebilir.                                                                                                                                                                                           

Disable-SCDWJobSchedule -JobName Extract_"Service Manager Grup Adı"

Not: Yukarıda ki komutta "Service Manager Management Grup Adı" bölümü tırnak işaretleri olmadan yazılmalıdır. Eğer Grup adı bilinmiyor ise Service Manager konsolunda Datawarehouse--> Data Sources bölümüne bakılarak öğrenilebilir.

Disable-SCDWJobSchedule -JobName Transform.Common

Disable-SCDWJobSchedule -JobName Load.Common

Disable-SCDWJobSchedule -JobName DWMaintenance

Disable-SCDWJobSchedule -JobName MPSyncJob

Start-SCDWJob -JobName MPSyncJob

Not:  Çalıştırılan son komut extraction, transformation ve loading job larının tamamlanmasını sağlamak içindir. Bu işlem kısa sürede tamamlanacak ve ardından tüm job lar Not Started durumda olacaktır. Bunu Get-SCDWJob komutunu çalıştırarak ya da Service Manager konsolunda Datawarehouse--> Datawarehouse Jobs bölümünden görebiliriz.

Datawarehouse job larını disable yaptığımıza göre artık yükseltme işlemine başlayabiliriz. Service Manager 2012 R2 medyasından setup ı çalıştıralım ve karşımıza gelen ilk ekranda Upgrade seçeneği altında ki "Service Manager data warehouse management server" seçeneğine tıklayalım.

Karşımıza gelen "Prepare for upgrade" penceresinde yükseltme için gerekli olan bilgilere haiz olduğumuzu ve disaster recovery için gerekli hazırlıklarımızı yaptığımızı kutuları işaretleyerek kabul ediyoruz.

Next diyerek ilerlediğimiz de karşımıza lisans anahtarını gireceğimiz bölüm çıkmakta. Bu alanı elimizde ki lisans anahtarını girerek geçelim. Sistemimizde zaten Service Manager kurulu olduğundan prerequisites bölümünde herhangi bir eksiklik olayacaktır. Bu bölümü de Next diyerek geçelim ve son ekranda Install diyerek yükseltme işlemini başlatalım.

Yükseltme işlemi tamamlandığında karşımıza gelen ekranda Encryption Backup and Restore Wizard seçeneğinin seçili olduğundan emin olalım. Eğer bu key i almaz isek bir disaster durumunda elimizde yedeğimiz olsa dahi geri dönüş şansımız olmayacaktır.

Close a tıkladığımızda karşımıza  Encryption Backup and Restore Wizard penceresi gelecektir. Burada Backup Encryption key seçeneği seçili durumda iken Next diyerek ilerleyelim.

Provide location penceresinde anahtar dosya için bir isim ve kayıt edileceği yeri seçelim.

Next diyerek ilerlediğimizde bizden anahtar dosyası için bir parola belirlememiz istenecektir. Burada ki parola unutmayacağımız bir parola olmalıdır :)

Böylece Service Manager Datawarehouse sunucumuzu 2012 R2 sürümüne yükseltmiş olduk. Sırada  Service Manager Management sunucusunun yükseltilmesi işlemi var.

Management sunucusuna bağlanalım ve Service Manager 2012 R2 kurulum dosyasını çalıştıralım. Karşımıza gelen ekranda Upgrade seçeneği altında ki linki tıklayarak yükseltme işlemine başlayalım.

Karşımıza datawarehouse yükseltmesinde ki gibi yükseltme için gerekli olan bilgilere haiz olduğumuzu ve disaster recovery için gerekli hazırlıklarımızı yaptığımızı kutuları işaretleyerek kabul ediyoruz ve Next diyerek ilerliyoruz. Karşımıza benzer şekilde lisans ve prerequisites ekranları gelecektir. Bunları da bir önceki işlemde olduğu gibi yaparak geçelim. Yükseltme işlemi tamamlandığında karşımıza gelen ekranda Encryption Backup and Restore Wizard seçeneğinin seçili olduğundan emin olalım.

Bir önceki datawarehouse yükseltmesinde ki gibi key in yedeğini aldığımızda Service Manager Management Sunucumuzu da 2012 R2 sürümüne başarılı bir şekilde yükseltmiş olduk.

Bu işlem ile birlikte artık Datawarehouse sunucumuz üzerinde ki job ları çalıştırabilir ve senkronizasyon işleminin başlatabiliriz. Bunun için datawarehouse sunucusu üzerinde bir powershell ekranı açalım ve aşağıda ki komutları çalıştıralım.

Import-Module .\Microsoft.EnterpriseManagement.Warehouse.cmdlets.psd1

Enable-SCDWJobSchedule -JobNanme Extract_DW_"Datawarehouse Management Grup Adı"

Enable-SCDWJobSchedule -JobName Extract_"Service Manager Grup Adı"

Enable-SCDWJobSchedule -JobName Transform.Common

Enable-SCDWJobSchedule -JobName Load.Common

Enable-SCDWJobSchedule -JobName DWMaintenance

Enable-SCDWJobSchedule -JobName MPSyncJob

Start-SCDWJob -JobName MPSyncJob

Not: Makaleyi yazdığım dönemde son olarak Update Rollup 5 bulunmakta idi. Bu güncelleme de yine yükseltme sırasında olacak şekilde tüm makinelere geçilmesi gerekmektedir. Ancak Service Manager Datawarehouse sunucusuna güncellemenin geçilebilmesi için yükseltme sonrası tüm Datawarehouse Job ların çalışıp tamamlanmış olması gerekmektedir. Aksi halde güncelleme geçilemeyecektir.

Artık geriye Service Manager konsolu kurulu olan bilgisayarlarda yükseltme işleminin yapılması kaldı. Konsol kurulumlarının gerçekleştirilmesi oldukça kolay bir şekilde yapılabilmektedir. Ancak Service Manager Self-Service  Portal güncellemeyi aynı makine üzerinde desteklememektedir. Bu nedenle sıfır kurulum yapılması gerekmektedir. Self-Service Portal kurulumunu http://www.cozumpark.com/blogs/windows_server/archive/2015/02/22/service-manager-2012-r2-self-service-portal-kurulumu-bolum-1.aspx ve http://www.cozumpark.com/blogs/windows_server/archive/2015/02/22/service-manager-2012-self-service-portal-kurulumu-bolum-2.aspx adreslerinde ki makalelerden takip ederek yapabilirsiniz.

Bu makalemde sizlere Service Manager 2012 Sp1 ürününün Service Manager 2012 R2 sürümüne yükseltilmesini anlatmaya çalıştım.

Faydalı olması dileğiyle...

Birçoğumuzun bildiği üzere SharePoint Server ile her ölçekte şirket için Doküman yönetimi, İçerik yönetimi, Portal yönetimi yapabildiğimiz web uygulama tabanlı Microsoft platformudur. SharePoint üzerinde görevler, iş akışları ve web siteleri oluşturarak organizasyon içi ve organizasyon dışına hizmet verebilmekteyiz.

Peki, Office 365 platformundaki 4 hizmetten biri olan SharePoint Online bize ne sağlamaktadır ve SharePoint Server ile farklılıkları nelerdir bunları inceleyelim. SharePoint Online bizlere Doküman yönetimi, İçerik yönetimi ve Portal yönetimi gibi temel SharePoint işlemlerini daha esnek ve kolayca yapabilmemizi sağlamaktadır. Sunucuların arka planda otomatik bakımı sayesinde, çok kısa bir kapalı kalma süresiyle en güncel özelliklerle her zaman kullanabilmekteyiz.

 Office 365 paketinin bir parçası olarak Lisanslanabileceği gibi sadece SharePoint paketi olarak da lisanslanabilmektedir. Hem SharePoint Onprem hem de SharePoint Online’ da 2’ şer lisans türü bulunmaktadır, SharePoint Online Plan 1, SharePoint Standart sürüme eşdeğer ve SharePoint Online Plan2’ de SharePoint Kurumsal sürüme karşılık gelmektedir diyebiliriz.

Aşağıdaki tabloda OnPrem ve Online sürümlerin karşılaştırmalı bilgilerini görebilirsiniz, hemen hemen SharePoint Server sürümünde ne yapıyorsak aynısını Online tarafta da yapabiliyor durumdayız.

Şimdide SharePoint Server, SharePoint Online ve Hybrid yapıların artı ve eksilerini inceleyelim,

Görüleceği gibi SharePoint Online Yöneticiler için maliyet açısından ve biz IT personelleri için de yönetimsel efor açısından çok daha uygun olduğu çok nettir, umarım faydalı olmuştur.

Enterprise Mobility Suit, arka planda Azure Active Directory Premium, Microsoft Intune ve Azure Rights Management ürünlerinin birleşimiyle oluşmuş Microsoft’ un bulut tabanlı kapsamlı bir mobil cihaz çözümüdür. Organizasyon ihtiyaçlarına hızlı çözümler üreten, kullanıcılarımızın esnekliğini ve üretkenliğini, kurumsal verilerimizin de güvenliğini arttırmamıza yardımcı olmaktadır. Organizasyon içindeki Bring Your Own Device ve Software as a Service (SaaS) gibi hizmetlerle entegre çalışabilmektedir.

Temel olarak bakıldığında Mobil Cihaz/Bilgisayar Yönetimi, Mobil Uygulama Yönetimi ve Genel bütün cihazlar için de güvenlik ve kimlik yönetimi sağlamaktadır.

Bu terimleri biraz daha açmak gerekirse;

Mobil Cihaz/Bilgisayar ve uygulama yönetimi ile yapabileceklerimiz,

Windows, Windows Phone, iOS ve Android tabanlı cihazlarımızı ve bu cihazlar üzerinde bulunan uygulamaları, EMS’ nin 3 bileşeninden biri olan Microsoft Intune yardımı ile yönetebiliriz,

Cihazlar üzerinden Şirket kaynaklarımıza erişimleri belirli kurallara göre düzenleyebilir ve spesifik erişim kuralları oluşturabiliriz,

Her iki platform üzerinden de yönetimi çok basittir, Bulut tarafında Microsoft Intune ve On-Prem tarafta da SCCM 2012 ile kolaylıkla yönetebiliyoruz,

Şirket içinde ve bulutta ortak bir kimlik kullanma ve mobil cihaz yönetimi (MDM) için derinlemesine entegrasyon olanaklarıyla BT ortamımızı tek çatı altında toplayabiliriz,

Uzaktan ilgili kullanıcıya ait cihazı wipe edebiliriz,

Uzaktan ilgili kullanıcıya ait cihazlara sertifika yükleyebiliriz,

Cihazlara PIN atama işlemini yapabiliriz,

Bilgiyi koruma özelliği,

Microsoft Azure AD Premium ve Azure Rights Management (Azure RMS)yardımıyla hem bulut hem de hybrid modeller için mevcut on-prem alt yapısı içerisinde bilgi güvenliği sağlar,

Windows SDK ( Software Development Kit) ile Nativ uygulamalarımız içerisindeki bilgileri koruyabilmekteyiz,

Dosya seviyesinde koruma sağlar,

Rights Management vasıtasıyla Exchange Online, Sharepoint Online içerisindeki datalarımıza içerik filtreleme ve şifreleme özelliklerini entegre edebiliriz,

Conditional Access özelliği ile kullanıcı ya da cihazlar için çeşitli kurallar uygulayabiliriz,

Daha fazla koruma için uygulama ve verileri seçerek silebilme olanağına sahibiz,

Hybrid kimlik ve erişim yönetimi,

Yardım masamıza gelen talepleri azaltmak amacıyla kullanıcılarımız için self-servis parola sıfırlama olanağı sunar,

Buluttaki ya da On-Premdeki bütün Security ve Distribution gruplarını yönetebiliriz,

Birçok Mobil, Masaüstü ve  Software as a Service (SaaS) uygulamalarını yönetebilir ve kullanıcı ya da gruplar için yetkilendirme yapabiliriz,

Mobil cihazlar üzerindeki olağan dışı hareketler loglanarak rapor çekilebilir ve diğer tehlikelerden cihazlarımızı koruyabiliriz,

Bulut ve On-Prem sunucular arasında karşılıklı olarak gelişmiş seviyede kullanıcı kimlik senkronizasyonu yapabiliriz,

Daha fazla güvenlik için çok faktörlü kimlik doğrulama (Multi-Factor Authentication) özelliği sunar,

Aşağıda tabloda karşılaştırmalı olarak görebilirsiniz,

EMS lisanslama kısmında ise yukarıdaki 3 bileşenin ( Azure AD Premium, Microsoft Intune,Azure Rights Management) toplam fiyatı kadar bir lisans fiyatı ödemeniz gerekmektedir.

Microsoft Enterprise Mobility Suite makale serimizin bu ilk bölümünde, Ürünün ne olduğunu, bizlere neler sağlayabilir gibi sorulara cevaplar bulmaya çalıştık, bir sonraki makalemizde uygulama tarafı detaylıca incelenecek ve ürünün bütün özelliklerini anlatmaya çalışacağım.