Merhaba,
Büyük ölçekli kurumsal yapılarda, Active Directory (AD) üzerinden kullanıcı hesaplarının yönetimi, BT operasyonlarının bel kemiğini oluşturur. Bu yapının en ön saflarında görev alan Help Desk ekipleri ise kullanıcı destek süreçlerinin ilk temas noktasıdır. Özellikle parola sıfırlama ve değiştirme işlemleri, hem kullanıcı memnuniyeti hem de güvenlik açısından kritik görevler arasında yer alır.
Kullanıcıların parolalarını unutması, hesaplarının kilitlenmesi ya da güvenlik nedeniyle parola değişikliği talep etmeleri, günlük operasyonlarda sık karşılaşılan durumlardandır. Bu noktada Help Desk personelinin, ilgili kullanıcıların parolalarını hızlı ve güvenli bir şekilde değiştirebilmesi; hem zaman kaybının önüne geçer hem de iş sürekliliğini destekler.
Bu yazıda, Active Directory ortamında Help Desk personelinin sadece parola değiştirme yetkisine sahip olacak şekilde nasıl yetkilendirileceğini, güvenliğin nasıl sağlanacağını ve bu sürecin en iyi uygulamalarla nasıl yürütüleceğini adım adım ele alacağız.
Neden Sadece Parola Değiştirme Yetkisi Verilmeli?
Help Desk personelinin kullanıcı hesabı üzerindeki tüm yetkilere sahip olması, güvenlik açısından ciddi riskler doğurabilir. Bu nedenle sadece belirli görevler için özelleştirilmiş yetkilendirme yapılmalı; örneğimizde bu durum sadece “parola sıfırlama” veya “kullanıcıyı aktif/pasif hale getirme” olacaktır. Minimum yetki prensibi (Least Privilege Principle), burada da geçerliliğini korur.
Delegation of Control Wizard ile Yetki Tanımlama
Öncelikle ortamımdaki active directory ortamımda HelpDesk isimli bir group oluşturarak standart user olan stdusr kullanıcısını bu grubun üyesi yapıyorum.
Help Desk personeline belirli OU (Organizational Unit) altında bulunan kullanıcıların parolalarını değiştirme yetkisi vermek için:
1. Active Directory Users and Computers (ADUC) konsolunu açarak, ve ilgili OU’yu sağ tıklayarak → Delegate Control… seçeneğini seçin.
2. Next butonuna tıklayın.
3. Yetki vermek istediğiniz kullanıcıyı veya grubu seçin → Next.
4. Açılan pencerede “Reset user passwords and force password change at next logon” seçeneğini işaretleyin.
5. Next → Finish.
Bu işlemlerle birlikte Help Desk personeli, sadece ilgili OU (Delegasyon verilen OU) içindeki kullanıcıların parolasını sıfırlayabilir.
Dikkat Edilmesi Gerek Hususlar :
Help Desk kullanıcıları parola tanımlarken verilmek istenen parolanın, parola karmaşıklığı, uzunluğu ve geçmişi ile ilgili politikalar ile tutarlı olması gerekir. Aksi takdirde Help Desk parolaları geçersiz olabilir.
Her parola sıfırlama işlemi bir güvenlik olayıdır. Bu nedenle:
-
Audit Policy üzerinden “Account Management” olayları izlemeye alınmalıdır.
-
Güvenlik loglarında Event ID 4723, 4724, ve 4725 gibi olaylar parola işlemleri ile ilgilidir.
-
İsteğe bağlı olarak bu işlemler, bir SIEM çözümüne yönlendirilerek sürekli izlenebilirlik sağlanabilir.
Unutmayın! Doğru yapılandırılmış bir delegasyon, hem güvenliği artırır hem de BT ekibinin üzerindeki yükü azaltır. Help Desk kullanıcılarına sadece ihtiyaç duydukları kadar yetki vermek, kurumsal politikaların vazgeçilmez bir parçasıdır. Active Directory üzerinde yapılan her delegasyon işleminin dikkatle planlanması ve düzenli olarak gözden geçirilmesi önerilir.
Dilerseniz, HelpDesk kullanıcılarınız için Active Directory üzerinde OU’lar arası object taşıması (Computer Objects, Group Objects, User Objects) için de yetki tanımlayabilirsiniz. Bunun için ilgili yazıya gitmeniz yeterli.
