AD shadow groups

Active Directory mimarisinde 2008 ile beraber hayatımıza giren Fine Grained Password Policy sayesinde artık domain ortamında tek bir password policy kullanımı şartı ortadan kalkmıştır. Bu yeni policy sayesinde kullanıcı veya gruplara farklı farklı şifre ve kilitlenme politikaları uygulayabilmekteyiz. Örneğin adminler için sıkı bir politika, kullanıcılar için orta seviyede bir politika ve servis hersapları için yine farklı bir politika belirleyebilir ve bunları kullanıcı yada gruplara bağlayabilirsiniz. Ancak buradaki asıl sorun Fine Grained Password Policy leri OU ( Organization Unit ) lara bağlayamıyor olmamız. Eğer FGPP tanımlamak istiyorsanız bu durumda gruplarınızın buna uygun olarak dizayn edilmesi gerekiyor, ancak bu da günümüz şartlarında biraz zor. Çünkü eski yapıdan gelen alışkanlıklardan dolayı hemen hemen kimse grupları FGPP için ayarlamamıştır, ancak herkesin OU yapısı password policy için ayrı uygulanmaya hazırdır. Bundan dolayı microsoft 2008 ile beraber bu FGP policylerinin OU lara uygulanması için gölge grup denilen shadow groups kavramını çıkarmıştır. Peki nedir bu gölge grup derseniz, Fine Grained Policy' nin uygulanabildiği ve mantıksal olarak bir OU ya bağlanmış gruplardır. Bu sayede siz bu gruba bir policy uygulayarak aslında bir OU ya policy uygulamış olabiliyorsunuz.

Tabiki burada sistem OU içerisindeki kullanıcıların bu grubun üyesi yapılması esasına dayanmaktadır. Buradaki en büyük sorun ise OU dan bir taşıma yaparsanız bu kullanıcı için grup üyeliğini yine güncellemeniz gerekecektir ( yani yeni geldiği OU ya bağlı olan shadow group için üye olmalıdır ki bu OU ya bağlı olan Fine Grained password policy' yi alsın ). Ancak bunun içinde otomatik çalışan scriptler kullanabilirsiniz.

Özetle Shadow Group bir Global Security Group' tur. Tek özelliği OU lara mantıksal olarak bağlıdır, bu sayede OU içerisindeki User ojelerini kendine üye olarak ekleyebilmektedir.