Kurumsal ağ yapılarında, SQL Server gibi kritik servislerin performanslı ve sorunsuz çalışabilmesi için belirli ayrıcalıklara (privileges) ihtiyacı vardır. Çoğu zaman bu servis hesaplarının, üzerinde çalıştıkları sunucularda dosya okuma/yazma, servis yönetimi ve performans izleme gibi işlemler için Local Administrator grubuna dahil edilmesi gerekir.
Her sunucuya manuel olarak gidip bu yetkiyi vermek, hem zaman kaybına hem de konfigürasyon hatalarına yol açar. Bu makalede, Microsoft Active Directory üzerinde Group Policy Object (GPO) kullanarak, merkezi bir noktadan tüm SQL sunucularındaki servis hesaplarına güvenli ve standart bir şekilde nasıl yerel yönetici yetkisi verileceğini adım adım inceleyeceğiz.
Active Directory sunucusunda Active Directory Users and Computers bölümüne girilir.
Gelen ekranda sunucular üzerinde administrator grubuna ekleyeceğimiz bir sql server servis hesabı oluşturulur.
Oluşturulan servis hesabı SQLOU adında Organization Unit altına taşınır.
Daha sonra windows arama yerinden Group Policy Managemet Console’u açıyoruz.
Gelen ekranda Group Policy Object kısmına sağ tıklayıp New deyip yeni bir Group oluşturuyoruz.
Gurup ismi belirlenir.
Oluşturulan gurup üzerine sağ tıklanıp Edit.. seçeneğine tıklanır.
Gelen ekranda Restricted Groups üzerine sağ tıkla ve Add Group… seçeneğini tıklanır.
Eğer İngilizce ve Türkçe işletim sistemlerinin karışık olduğu bir ortamdaysan, yerel grup isimleri farklılık gösterebilir. Ancak GPO genellikle bu yerel grup isimlerini akıllıca eşleştirir.
Gelen ekranda Browse.. diyerek Administrators grubu seçilir.
İlgili yapı seçildikten sonra OK denilerek işlem onaylanmaktadır.
Grubu ekledikten sonra bir pencere açılacak.
Yukarıdaki resimde Administrator Properties kısmında bulunan bölümlerin ne olduğuna değinecel olursak:
- Members of this group (Bu grubun üyeleri): Buraya eklediğin hesaplar, hedef bilgisayardaki Administrators grubunun tek üyeleri olur. Mevcut üyeler silinir. (Genelde tehlikelidir, dikkatli kullanılması gerekir.)
- This group is a member of (Bu grup şunun üyesidir): Bu seçenek genellikle tercih edilmez çünkü biz yerel gruba birini eklemek istiyoruz.
Eğer mevcut adminleri silmeden sadece sqlservis01 hesabını eklemek istiyorsan şunları yapılır. Members of this group kısmındaki Add… butonuna tıklanır. Gelen ekranda sqlservis01 hesabı eklenir.
NOT: Bu listeye Domain Adminlerini ve yerel Administrator hesabını da eklemeyi unutma, yoksa o bilgisayarlarda sadece sqlservis01 yetkili kalır ve diğerleri yetkisini kaybeder.
Restricted Groups altında ifademizin oluştuğu görülmektedir.
Oluşturulan GPO’muzun uygulanacağı OU’yu seçiyoruz.
İlgili OU üzerine sağ tıklayıp Link an Existing GPO.. sekmesine tıklanır.
İlgili OU üzerinde oluşturulan hangi GPO’nun etkili olması için ilgili GPO seçilir. Yukarıda oluşturduğumuz GPO SqlServisGroup olduğu için seçim işlemi yapılmaktadır.
İlgili GPO’nun seçmiş olduğumuz OU altına eklendiği görülmektedir.
Sunucularımızın üzerinde Administrator gurubuna baktığımızda sql server servis hesabının gelmediği görülmektedir.
Cmd komut satırını yönetici olarak çalıştırdıktan sonra gpupdate /force komutunu çalıştırıp mevcut güncellemeleri çekiyoruz.
Administrator gurubumuza tekrardan baktığımız sql server servis hesabının administrator gurubuna başarılı bir şekilde eklendiği görülmektedir.
GPO üzerinden yapılandırılan bu yöntemle; sistem yöneticileri operasyonel yükü azaltırken, sunucu parkuru üzerindeki denetimi artırmaktadır. Merkezi yönetim sayesinde ‘Configuration Drift’ (yapılandırma kayması) engellenmiş ve tüm SQL sunucularının aynı yetki standartlarına sahip olması sağlanmıştır.
Ancak, güvenlik prensipleri gereği (Principle of Least Privilege), servis hesaplarına bu yetkilerin sadece gerekli olduğu durumlarda verilmesi ve bu hesapların güçlü parolalarla korunması kritik öneme sahiptir. Düzenli olarak yapılan GPO denetimleri, altyapınızın hem sürdürülebilir hem de güvenli kalmasını sağlayacaktır.
Başka makalede görüşmek dileğiyle..
