denizpekdas.com

IT sektörü başta olmak üzere ilgimi çeken haberleri ve makaleleri paylaştığım kişisel bloğum.

Active Directory’de Domain Users’ın Workstation Ekleme Yetkisini Kısıtlama

Windows Server varsayılanında Authenticated Users grubu, bulundukları Domain’e 10 Workstation ekleyebilirler. Bu yetkilendirmeyle ilgili açıklama hâlihazırda server işletim sistemi içerisinde mevcut. Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment altında bulunan Explain;



Benim görüşüm bunun bir güvenlik açığı olduğu yönünde; yönetilen domainlerde bu kısıtlamanın yapılmasının Domain yapısı içerisindeki güvenliğe katkı sağlayacağı kanaatindeyim. Bu yetki kısıtlaması yalnızca Domain Users grubunu kapsar. Administrators gruplarını kapsamaz.
  • Run’ı açıp adsiedit.msc kısayolunu çalıştırmasını istiyoruz;




  • ADSI Edit’e sağ tıklayarak Connect To diyoruz;


  • Açılan pencerede Name yazan kısıma Domain adını yazıyoruz;




  • Bağlandığımız domainin altında bulunan DC=deniz, DC=local’e yazan kısıma sağ tıklayıp Properties dedikten sonra, Attiribute Editor altında bulunan ms-DS-MachineAccountQuota niteliğine çift tıklayıp açılan ekranda Value altında 10 yazan kısıma 0 yazıp OK/Apply/OK diyerek ADSI Edit penceresini kapatıyoruz.


Active Directory üzerindeki bu tip konfigürasyonlar basit gibi görünse de unutulduğunda, User Management sorunları yaşatabilecek cinsten.
Paylaştıkça Çoğalır: