.

Can's Windows Server Blog

Powershell – 4 Get-Command

Bir komut iki parçadan oluşuyor verb-noun. Bu nedenle eğer bir komut arıyorsak aşağıda ki gibi yapabiliriz.

Ve/veya

Yapabiliriz.

Ama bazen cok fazla gelir cunku bazıları eklenen programlarla geliyorlar. Eger sadece cmdlet ariyorsak aramayi daraltabiliriz.

Powershell -3 Folder Drive Mapping

Bir folderin drive a MAP edilmesi:

Root path vermek zorundayiz “c:\test “ ama bu UNC de olabilir eger baska bir sistemden bagliyorsak (yada mount ediyorsak)

Ayrica

PSProvider vermek zorundayiz bu sefer FileSystem

Credentials PSProvidera göre degisir bazi PSProvider lar farkli credentials ile de calisabilme kabiliyetine sahiptir.

Artik “cd demo: “ komutu ile direk map ettigimiz yere ulasabiliriz. „:“ ya dikkat.

Bu sadece powershell ile erisilebilir bir drivedir. Mycomputer a gidip bakarsak göremeyiz.!!

Notlarım Sayfa 7

Powershell -2 Man pages

Aynı linuxte olduğu gibi PS’dede man pages mantığı mevcut. (zaten olmasa olmazdı)

hatta ve hatta


yaptığımızda sayfalarca detaylı bir man pages ile karşılaşırız. Örneklerde mevcuttur.

Burada kirmizi ile isaretli yer [] ile belirtilen birden cok degisken alabildigidir.
Örnegin

Get-service -ComputerName server-r2,localhost

Ama önce bit txt dosyasi olusturup sonra orda listeyi gönderebiliriz.

PS C:\ > get-service -ComputerName ( Get-Content .\computers.txt )

Ayrıca

Ancak

<string[]>  ise string olarak birden cok degiskeni alabilecegi anlamina geliyor.

PS C:\> dir c:\,C:\Windows\,C:\Users\

Gibi

Ancak

Örnegin “-Exclude “ [ ] icinde degil [-Exclude <string[]> ] yani -Exclude optional ama -Exclude kullaniyorsan stringi de kullanmak zorundasin diyor.

Powershell -1 PSDrive

Windows ta linuxtekinden farklı olarak file system dışında sistmelerde vardır. Mesela Registryde veya certstore da file sistem gibi gezmek mümkündür. İçerikleri görebiliriz ama file systemde yaptığımız işlemler burada farklı çalışır.

PS C:\> cd hkcu:
PS HKCU:\> dir


    Hive: HKEY_CURRENT_USER


Name                           Property
----                           --------
AppEvents
Console                        CtrlKeyShortcutsDisabled : 0
                               CursorColor              : 4294967295
                               CursorSize               : 25
                               DefaultBackground        : 4294967295
                               DefaultForeground        : 4294967295
                               EnableColorSelection     : 0
                               ExtendedEditKey          : 1
                               ExtendedEditKeyCustom    : 0
                               FaceName                 : __DefaultTTFont__
                               FilterOnPaste            : 1
                               FontFamily               : 0
                               FontSize                 : 1048576
                               FontWeight               : 0
                               ForceV2                  : 1
                               FullScreen               : 0
                               HistoryBufferSize        : 50
                               HistoryNoDup             : 0
                               InsertMode               : 1
                               LineSelection            : 1
                               LineWrap                 : 1
                               LoadConIme               : 1
                               NumberOfHistoryBuffers   : 4
                               PopupColors              : 245
                               QuickEdit                : 1
                               ScreenBufferSize         : 589889656
                               ScreenColors             : 7
                               ScrollScale              : 1
                               TerminalScrolling        : 0
                               TrimLeadingZeros         : 0
                               WindowAlpha              : 255
                               WindowSize               : 1966200
                               WordDelimiters           : 0
                               ColorTable00             : 0
                               ColorTable01             : 8388608
                               ColorTable02             : 32768
                               ColorTable03             : 8421376
                               ColorTable04             : 128
                               ColorTable05             : 8388736
                               ColorTable06             : 32896
                               ColorTable07             : 12632256
                               ColorTable08             : 8421504
                               ColorTable09             : 16711680
                               ColorTable10             : 65280
                               ColorTable11             : 16776960
                               ColorTable12             : 255
                               ColorTable13             : 16711935
                               ColorTable14             : 65535
                               ColorTable15             : 16777215
                               CurrentPage              : 3
Control Panel
Environment                    TEMP                  : C:\Users\can\AppData\Local\Temp
                               TMP                   : C:\Users\can\AppData\Local\Temp
                               Path                  : C:\Program Files\Intel\WiFi\bin\;C:\Program Files\Common Files\I
                               ntel\WirelessCommon\;C:\Users\c
                                                       an\AppData\Local\Microsoft\WindowsApps;C:\Users\can\AppData\Loca
                               l\atom\bin;
                               OneDrive              : C:\Users\can\OneDrive
                               SSH_AUTH_SOCK         : /tmp/ssh-bh1cEupdliI4/agent.2696
                               SSH_AGENT_PID         : 5600
                               TACVIEW_DCS2ACMI_PATH : C:\PROGRA~2\Tacview\DCS\
                               PT6HOME               : C:\Program Files (x86)\Cisco Packet Tracer 6.1.1sv
                               PT5HOME               : C:\Program Files (x86)\Cisco Packet Tracer 6.1.1sv
                               QT_DEVICE_PIXEL_RATIO : auto
                               OneDriveConsumer      : C:\Users\can\OneDrive
EUDC
Keyboard Layout
Microsoft
Network
Printers
Software


    Hive: HKEY_CURRENT_USER\Software


Name                           Property
----                           --------
PDFsam Basic                   installed : 1


    Hive: HKEY_CURRENT_USER


Name                           Property
----                           --------
System
Uninstall
Volatile Environment           LOGONSERVER               : \\MONSTER
                               USERDOMAIN                : MONSTER
                               USERNAME                  : can
                               USERPROFILE               : C:\Users\can
                               HOMEPATH                  : \Users\can
                               HOMEDRIVE                 : C:
                               APPDATA                   : C:\Users\can\AppData\Roaming
                               LOCALAPPDATA              : C:\Users\can\AppData\Local
                               USERDOMAIN_ROAMINGPROFILE : MONSTER

Böylece normalde aldığımız “dir” komutundan çok daha farklı bir çıktı alırız.

İşte bu farklı sistemlere “PSDrive” deniyor.

“Get-PSDrive” ile bu değişik sistemleri listeleyebiliriz.

PS C:\Users\can> Get-PSDrive

Name           Used (GB)     Free (GB) Provider      Root                                               CurrentLocation
----           ---------     --------- --------      ----                                               ---------------
Alias                                  Alias
C                 163.84         58.39 FileSystem    C:\                                                      Users\can
Cert                                   Certificate   \
D                 695.36        236.15 FileSystem    D:\
E                                      FileSystem    E:\
Env                                    Environment
F                                      FileSystem    F:\
Function                               Function
G                                      FileSystem    G:\
HKCU                                   Registry      HKEY_CURRENT_USER
HKLM                                   Registry      HKEY_LOCAL_MACHINE
I                                      FileSystem    I:\
J                                      FileSystem    J:\
Variable                               Variable
WSMan                                  WSMan

Environment değişkenleri sistem değişkenleride gördüğünüz gibi burada. Bunlara basit bir şekilde erişebiliriz.

Drivelar C gibi sonunda “:” oldugundan burda da drive gibi baglandigindan Env: seklinde yaziyoruz. Sonuçta bunlarda PSDrive yani Powershell Drive’dır

Bu listede görülmeyen registry adreslerine de erişebiliriz.

#Set-Location Registry::\HKEY_USERS#

ve

New-PSDrive HKU Registry HKEY_USERS
Set-Location HKU:

Sayfa 4 Linux Man page den devam

Yeni gelenler

Evet bir yandan Udemy de Azure çalışırken bir yandan da iş yerinde Powershell bilgimi arttırıyorum. Powershell notlarımı artık burada yayınlamaya başlayacağım.

bayaaa bir kitap gibi oldular zaten.

AD RMS (Rights Management Services)

Amacı bilgilerin dışarı çıkmasını engellemektir. Office ve sharepoint gibi uygulamalar RMS kullanabilirler.

Encryption ile beraber kullanılırsa saklanan veya taşınan verinin güvenliği sağlanabilir.

  • Dosyayı bulunduğu klasörün yetkilerinden bağımsız olarak korur. Bulunduğu klasöre erişen kullanıcının okuma ve yazma yetkisi olsada engel olabilir.
  • Sadece açmaya yetkili kullanıcılar içeriği görebilir.
  • Copy, print, forward…… gibi actionları da kontrol eder.

RMS ile çalışmak için gerekli şeyler

  • AD RMS root certification clusterı oluşturulmuş olmalı
    • İlk RMS server kurulurken oluşturulur.
      • Kurulduğu domaindeki tüm lisans ve certifikasyon işlemlerini yönetir.
      • Bilgileri MSSQLserverda yada WID (Windows Internal Database) de saklar.
      • AD RMS licensing-only clusterları geniş dağıtık ortamlarda kullanılır.
        • lisans dağıtımı ve içerik kullanımı ve publishinge izin verir.

Installation

  • AD DS Domaininde olmalıdır.
  • Server 2008 ve sonrasına kurulabilir.
  • AD DS üzerinden SCP (Service Connection Point) yayınlar bu SCP içinde Clusterın yer bilgisi vardır.
  • Domain sistemleri AD RMS servisini bulmak için SCP’yi sorgularlar.
  • RMS client Vista ve sonrası olabilir.
    • RMS-enabled applicationların AD RMS templatelerini kullanmasını enforce etmek gerekir.
  • AD RMS kurulumu cluster olarak bilinir ancak bu HA vs değildir.
    • DC olmayan HA bir servera kurulması önerilir.
    • Eğer birden çok forest mevcut ise her forestın kendi RMS clusterı olmalıdır.

AD FS Web Application Proxy

Web based uygulamaları veya AD FS’in doğrudan internetten erişilebilir olmasını engeller ve onları iso eder.

Aynı zamanda hem web uygulamaları için reverse proxy olarak çalışır hemde AD FS için Proxy olarak çalışır.

Eski adı AD FS Proxy.

Hem AD FS pre-authentication kullanana claims-aware uygulamaları hemde pass-through ore-authentication kullanan uygulamaları publish eder.

genellikle perimeter da ve iki firewall un arasında olur. Böylece dışardan gelen external kullanıcılar internal web-based uygulamalara erişebilirler.

AD FS Proxy (Web Applicaiton Proxy) AD FS server ile aynı DNS adını kullanır bu nedenle SPLIT DNS kullanılır.

  • Authentication webpage
    • Bir sistem domaine katılmadığında AD FS ile temas kurar ve proxy o zaman bir authentication web sayfası sunar ve kullanıcı adı ve şifresini sorar.
    • Bu sayfa customized yapılabilir.
  • DNS ayarlama
    • Web Application Proxy AD FS e harici ve dahili erişirlirken kullanılan aynı hostname i kullanır.
    • Dahili ağda AD FS hostname AD FS in adına resolve olur.
    • Harici ağda AD FS Hostname Web Application Proxye resolve olur.

Pre-Authentication

  • AD FS
    • internal networkteki internet uygulamasının authentication ını AD üzerinden AD FS yapacaksa.
  • Pass-through
    • Internal networkte ki internet uygulaması authenticationdan sorumlu olacaksa Pass-Through

Web app proxy uygulamabilecek senaryolar.

  • Sharepoint
  • Exchange
  • Remote Desktop Gateway Service
  • Diğer business uygulamaları

Installation

  • Requirements
    • AD FS kurulmuş olmalıdır.
    • Web Application Proxy Windows Server 2012 R2 ve sonrasına kurulabilir.
    • Certificates
      • Public trusted CA den alınmoş bir SSL sertifikası
      • AD FS’den sertifikayı export edip Web Application Proxy Serverın Personal certificate storeuna import edebilirsiniz.
    • Load balancing (NLB)
      • Büyük organizasyonlarda donanımsal yoksa NLB kullanılarak software olarak yapılabilir.
    • DNS
      • Perimeter DNS Serverindaki kaydı Web Application Proxy Server kurulumundan önce oluşturmak gerekir.
      • Web Application Proxy Server harici DNS resolution için harici DNS Serverlarını kullanacak şekilde ayarlanmalıdır.

Kurulum yine server manager üzerinden olmaktadır. Kurulumu takiben ayarlama (Configuration) yapılmalıdır.

URL ve Sertifikalar

Publish edilen her bir wep application için harici ve dahili URL ayarlanmalıdır. Böylece harici kullanıcılar harici URL kullanarak erişebilirler. Dahili URL ise Web Application Proxy server tarafından wep applicationa erişmek için kullanılır. Böylece hariçten gelenler proxye ulaşırken proxy onların adına wep applicationa ulaşır.

AD FS Primary and Multi-Factor Authentication

Authentication Policyleri AD FS in authentication’ı nasıl yapacağını tanımlamak için kullanılır.

Global veya Relying Part trust olarak tanımlanabilir.

Global authentication Policy AD FS tarafından güvenliği sağlanan tüm uygulama ve servislere uygulanabilir.

Relying Party Trust authentication sadece belirli uygulama ve servisler içindir.

Eğer özel bir relying party trust tanımlanmamışsa o zaman Global authentication yapılır.

Global Authentication intranet veya extranet için yapılabilir. istenirse MFA’da authentication policynin bir parçası olabilir.

Primary Authentication Methods

  • Intranet
    • Windows Authentication
    • Certificate Authentication
    • Device Authentication
    • Azure MFA
    • Microsoft Passport Authentication
  • Extranet
    • Forms Authentication
    • Certificate Authentication
    • Device Authentication
    • Azure MFA
    • Microsoft Passport Authentication

Access Control Policy Templates

Relying partyininclaim tipi ve değerine göre kullanıcının girişine izin verir veya vermez.

Bir grup Relying Party e atanabilir.

Default olarak kimsenin giriş hakkı yoktur açıkça bu izin verilmelidir.

Mevcut templateler kullanılabilir veya kendimiz oluşturabiliriz.

AD FS Account and Resource Partners

Account Partner (Claims Provider)

  • Kullanıcı credentials larını web based service ile toplar ve authenticate eder.
  • Sonra bu claimsleri security token’ı olarak hazırlar.
  • Bu tokenlar federation trust üzerinden partner organizasyonun kaynaklarından faydalanmak üzere sunulur.
  • Claims provider federation server üzerine Relying Party Trust configure edilir.
  • Karşı tarafın (resource domain) claims providerdan claimleri nasıl kabul edeceğini tanımlar.

Resource Partner

  • Resource Partner
    • Partner Federation Serverdan gelen tokenları kabul eder ve doğrular.
    • Security tokenlarından gelen claimleri alır.
    • Authorization decisiondan sonra web serverları için yeni claimler üretir.
  • Claims Provider Trust
    • Claim kuralları account Partnerların (Claims Providers) claimleri nasıl yaratacağı ve resource partnerların (Relying Parties) bunları nasıl alacağını tanımlar.
    • Bu claimler önceden hazırlanmış templateler kullanılarak oluşturulabilir.
      • Send LDAP attributes as claims
      • Send Group membership as claim
      • Pass through or filter an incoming claim
      • transform an incoming claim
      • Permit or deny users based on an incoming claim
    • Veya AD FS Claim rule language kullanarak özel kurallar yaratabiliriz.

AD Federation Service Installation

  • SQL server veya WID (Windows Internal Database)
    • SQL serverFederation Serverdan önce kurulmalıdır.
  • Service Account
    • AD FS için Managed Service Account grubu (gMSA) oluşturun.
      • AD FS kurulum wizardı otomatik olarak yapar.
    • Gerekirse normal service accountu da kullanabiliriz.
      • Bu durumda password never expires seçilmeli.
  • Certificates
    • Kurulum esnasında certifikayı import edebiliriz.
    • Publicly trusted CA’den temin edilmiş bir SSL olması gerekir.
    • AD FS içinde Personal Certificate Store ‘a bu certifka install edilmeli.
  • DNS
    • Internal DNS Server’da host kaydı oluşturulmalı.
      • Standalone Federation Server için
    • Perimeter DNS Server’da host kaydı oluşturulmalı.
      • Standalone federation proxy server / web proxy server için
    • Federation Service name için CNAME kullanılmaz.

Kurulum yine server manager üzerinden add roles and features ile yapılıyor. Kurulumdan sonra ayar yapmak gerekiyor.
Önce ilk tek serveri kurup daha sonra gerekirse diğer serverlar çoklu kurulum yapabilir.