Bir önceki makalemizde security configurations konusunu işlemiştik. Bu makalemizde ise hem sccm tarafında muhakkak uygulanması gereken hem de önceki makalemizi pekiştirmeyi sağlayacak bir konu ile devam edeceğiz. Os deploy işlemlerini güven altına almak.
Normal şartlarda sccm kurulumunu yapan kullanıcı full-admin yetkisine sahiptir, ve an az bir full-admin olmalıdır.
İsterseniz bunu bir örnekle gösterelim, sadece bir tane full admin kullanıcımız var ve bu hakkı almak istediğimizde bakalım neler olacak.
Aynı zamanda scope bazlı kısıtlamak da pek mantklı olmayacaktır. Bu durumda bu kullanıcıyı Active Directory üzerinden disable edebilirsiniz, tabiki bu kullanıcı sccm konsolu üzerinden sccm push, discovery gibi hiçbir noktada tanımlanmış olmamalıdır. Bu kullanıcı disable edilmeden önce muhakkak başka bir kullanıcı oluşturulmalı ve gerekli haklar atanmalıdır.
Şimdi 1nci işlem olarak dizaynımızı yapmalıyız.
1 – Os deploy yetkisi olmayan, fakat diğer tüm işlemleri yapabilen, full admin kullanıcısı oluşturacağız.
2 –Sadece os deploy yapma yetkisi olan bir kullanıı oluşturacağız
3 – Os deploy için ayrı bir collection oluşturacağız
4 – Os deploy yapılacak ve hali hazırda işletim sistemi ve agent kurulu sccm istemcilerini os deploy isimli collection’a taşıyabilecek bir kullanıcı oluşturacağız
5 – Gerekli hakları vereceğiz.
1 – Sccmadmin kullanıcısının eklenmesi
Ardından bu kullanıcıya fulladmin, osdeploy, operations admin dışındaki yetkileri veriyoruz, eğer istenirse app deploy, spftware deploy gibi tüm roller farklı kullanıcılara verilebilir. Aşağıdaki gibi seçimimizi yapalım:
Ardından os deploy adında boş bir collection açıyoruz:
Aşağıda kural yazmanda açılan collection boş olacaktır uyarısı gelmektedir, zaten istediğimiz budur, os deploy yapılacak pcleri biz manuel olarak eklemek istiyoruz.
Ardından osdeploy kullanıcımızı ilk adımdaki gibi oluşturalım:
Ve assigned security roles olarak sadece os deploy verelim, scope kısmında ise tüm listeyi kaldırıp sadece os deploy isimli collection seçelim:
Bu menüyü de kapatıyoruz ve 3ncü kullanıcımızı açmadan önce sadece os deploy collection’ı için sccm istemcisi ekleme rolünü oluşturuyoruz:
Rolümüzü oluştururken read only analyst rolünü kopyalıyoruz, collection kısmına inip gerekli izinleri vermek için expand ediyoruz ve modify hakkı veriyoruz.
Şimdi ise sccm os deploy collection editor kullanıcısını ekleyelim ve yukarıda oluşturduğumuz custom security rol atamasını yapalım:
Sıra geldi konsolu farklı kullanıcılarla açmaya.
1 – sccmadmin ile açıyoruz:
Os deploy kısmında hiçbir öğeye sağ klik dahi yapamıyoruz:
Bu da demek oluyor ki os deploy öğelerini göremiyoruz ve deploy edemeyeceğiz.
Bakalım 2nci kullanıcı da istediğimiz şekilde mi
2 – os deploy kullanıcısı ile oturum açalım.
Bu kullanıcı aşağıda görüntülenebileceği gibi os deploy kısmını yönetebiliyor:
Önceden oluşturduğumuz os deploy task sequence’i deploy etmeye çalışalım:
All systems, pilot, x, y grubu gibi collectionlarımızı görmüştük fakat bu kullanıcıyı sadece os deploy ile kısıtladığımız için tek seçenek bu collection. Tabiki pxe deploy için unknown computers isimli collection’ı içine bu kullanıcıya hak verebilirsiniz.
Diğer collectionları göremediği için herhangi bir sccm istemcisini de os deploy içine move edemez:
Gelelim son kullanıcımıza, sccm os deploy collection editor, bu kullanıcıya kısaca OSCE diyeceğiz.
Aşağıdaki gibi collectionların tamamını görebilir.
Ve yine aşağıdaki gibi os deploy kısmında sağ klik dahi yapamaz ve varolan task sequencleri deploy edemez:
Ve tam istediğimiz gibi istenen sccm istemcisini os deploy collection üyesi yapabilir:
Ardıdan collection seçebiliriz:
Tabiki all systems ousu , all desktop and clients görüntülenmemekte, bunu istersek sadece os deploy’a eklemesi içinde kısıtlayabiliriz.
Sonuç olarak
1 – sccm full admin os deploy yapamaz
2 – sadece sccmosdeploy os deploy yapabilir ama sadece bir ou’ya, ve başka hiçbir hakkı yoktur.
3 – sccmosdeploy collection editor ise os deploy isimli collection için üye ekleyebilir.
Bu makalemizde data kaybını ve benzer sorunları önlemek adına sccm security configurations ile os deploy işlemlerini kademeli yönetimle güvene almak için nasıl bir dizayn yapabileceğimizi anlatmaya çalıştık. Devam eden sccm seri ve makalelerinde görüşmek dileğiyle.