Bu makalemizde sccm tarafında en önemli noktalardan biri olan security configurations konusunu inceleyeceğiz. Öncelikle bilmemiz gereken, kullanıcı ve grup haklarıyla ilgili işlemlerdir. Dolayısıyla kullanıcı, grup ilişkileri, local domain, global, universal gruplar, windows domain, forest mode 2000,2003,2008 gibi farklı modlardaki grup değişiklikleri, bu gruplarından hangi farklı domain ve forestlardanüye alabilecekleri, içi içe nasıl nested group modeli oluşturulacağı, AGUDLP gibi modeller, sharing and security konularında bilgi sahibi olmalıyız, tabiki bu konulardaki makaleler portalımızda mevcuttur ve bu makalemizin konusu değildir. Sccm tarafında rol bazlı atamalarda birden fazla forest ve domain yapısı bulunan çok lokasyonlu projelerde öncelikle yukarıda belirtilen dizaynlar yapılır. Fakat bu demek değildir ki tek domain yapısında tek bir sccmadmin ile tüm işlemleri yapmak yeterlidir. Bir örnek verelim, sccm full admin tüm collection düzenlemeleri ve os deploy işlemleri yapabilir durumda, bu kullanıcı ile yanlışlıkla allsystemsüzerine bir os deploy yaparsanız sonuçları nasıl olur? Bu tip olası hataları önlemek için projelerimizde uyguladığımız bazı bestpractice uygulamalardan bahsedeceğiz. Önce kavramları tanıyalım.
Administrative users, öncelikle sccm tarafında AD üzerinden bir kullanıcı veya group tanımlarız, bu kullanıcı ve gruplar administrativeusers kısmında yer alır
Security roles ise objeler üzerinden neler yapılabileceğini gösteren hakların bir bütünüdür
Security scope, objeleri bağlayan alanlardır, x bir collection 1 isimli scopeüzerinde tanımlı ise ve bir kullanıcı full kontrol hakkına sahipse ve 1 isimli scope’a kısıtlanmışsa sadece o scope’adahil edilmiş x collection’ı ve daha sonradan dahil edilen collection üzerinden hak sahibi olur.
Accounts kısmında ise sccm konsolunda tanımlanmış hesaplar bulunur, mesela sccm client push için tanımlanmış kullanıcı, farklı bir forest discovery için tanımlanmış kullanıcı gibi.
Şimdi detaylandıralım. Yeni bir kullanıcı oluşturalım.
Açılan sihirbazda aşağıdaki seçeneklere bakalım. Dikkat edelim aşağıda scope ve roles kısmı var. Yukarıda anlattığımız gibi, bir kullanıcı eklenir, ona bir hak verilir ve bu hak scope ile obje bazlı olarak kısıtlanır veya genişletilir.
Şimdi varsayılan security roles üzerinden bi tane ekleyelim ve scope olarak da default scope seçelim.
Security roles kısmında aşağıdaki gibi eklediğimiz kullanıcının count olarak 1 şeklinde değiştiğini görelim.
Peki sadece varsayılan rolleri mi kullanmalıyız. Tabiki varsayılan roller duplicate edilebilir.
Mesela hem read-only analyst hem de collection için software deploy yapmayı sağlayan bir rol oluşturabiliriz.
Yukarıda oluşturduğumuz role için analyst&Software deploy role ismini verip kaydediyoruz.Ardından aşağıdaki gibi yeni oluşturduğumuz kullanıcının özelliklerine giriyoruz.
Yukarıdaki resimde add sekmesine tıklayarak aşağıda açılan menüden yeni oluşturduğumuz rolü seçiyoruz.
Son durum aşağıdaki gibidir.
Şimdi sıra geldi scope konusunu uygulamaya geçirmeye, yukarıdaki açıklamalarda scope mantığını anlatmıştık, şimdi aşağıda yeni bir scope oluşturuyoruz.
Peki bu scope’u nerede kullanacağız, örnek vermek gerekirse, sccm ile dosya dağıtımı yaptığımız istanbulda bulunan distribution point sunucularını bu scope’e ekleyebiliriz. Aşağıda bu işlemi yapalım.
Ardından önceden oluşturduğumuz scope seçimini yapalım.
Ardından yeni oluşturduğumuz kullanıcının özelliklerinde ki scope kısmını açalım:
Hepsini silip scope ekleyelim:
Scope seçimi:
Veya scope yerine collection bazlı kısıtlama da yapabiliriz:
Kısaca, yeni açılan sccmadmin kullanıcısı analyst&Software Deploy hakkına sahiptir, fakat bu hakkı sadece belirtilen scope’da kullanabilir, dilersek scope yerine collection veya birden collection da atayabiliriz. Bir sonraki makalemizde görüşmek üzere.