Merhaba arkadaşlar,

Bu makalemizde sizlere Active Directory ortamınızdaki tüm kullanıcı hesaplarına AD ilk kurulumunda default olarak verilmiş olan domain ortamına bilgisayar ekleme iznini nasıl kaldırabileceğinizi anlatmaya çalışacağım.

Active Directory kurulumunda default olarak her kullanıcı hesabı AD ortamına maksimum 10 adet kullanıcı hesabı ekleyebilir yetkisi ile gelir. Bu yetki bilinçsiz bir şekilde kullanıldığında önceden tahmin edilemeyen sorunlar yaşanması mümkündür. Bu sebeple kullanıcı sayısı fazla olan büyük bir yapıda çalışıyorsanız bu yetkiyi kullanıcı hesaplarından almanız istenmeyen problemlerin yaşanmasını engelleyecektir.   

Ben bu makalemde bu yetkiyi önce herkesten alma işlemini anlattıktan sonra domain users’dan aldığımız bilgisayar ekleme yetkisini hangi yetkili kullanıcılara nasıl verecebileceğimizi anlatıp makaleyi bitireceğim.

Domain kullanıcı hesaplarının bilgisayar ekleme yetkisini düzeltme (Yetkiyi Kaldırma);

Domain kullanıcılarının ortama bilgisayar objesi ekleme işlemini ADSI Edit ile Active Directory şema yapısı içine erişip ms-DS-MachineAccountQuota isimli satırı bulalım ve sayısal değerini 0 – sıfır olarak düzenlememiz yeterli olacaktır.

Aşağıdaki resimdeki gibi DC=recepyuksel,DC=net üzerinde sag tuş yapıp Properties ile özelliklerine erişelim ve açılan menüde ms-DS-MachineAccountQuota değerini bulalım.

Bu değer resimde de görüleceği gibi default 10 adet olarak ayarlanmıştır. Bu değer edit edit edip 0 yapacağız.

ADGP_1

Aşağıdaki resimdeki gibi buradaki 10 değerini 0 yapalım ve Apply ile uygulayıp bu pencereyi ve ADSI Edit editörünü kapatalım.

ADGP_2

 

Active Directory ortamına bilgisayar ekleme yetkisini bir grup’a verme ( Group Policy ile Ayarlama )

Biraz önce Domain Users grubundan active directory ortamına bilgisayar ekleme yetkisini almıştık, fakat bu yetkiyi bir grup’a veya kullanıcıya vermeliyiz ki Active Directory ortamına bilgisayarlar dahil edilebilsin. Bu işlem için önerim bu işlemi yapacak teknik servis kullanıcıları için bir güvenlik gurubu oluşturmanız ve bu gruba yetki vermeniz olacaktır. Burada ben örnek olarak Domain Admins güvenlik grubuna yetki vereceğim.

Group Policy manager’i açalım Default Domain Policy açalım

 ADGP_3

Policies > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Add workgroup objesini bulunuz.

ADGP_4

Bu policy değeri aşağıdaki gibi boş gelecektir eğer ilk kez ayarlanıyor ise. (Normalde active directory kurulumu yapıldıktan sonra ilk yapılması gereken ayarlardan birisi bu bölüme yetkili kullanıcıların eklenmesi olmalıdır.)

ADGP_5

Define these policy settings’i işaretleyelim ve Add User or Group ile domain’e bilgisayar hesabı ekleme işini yapmasını istediğimiz kullanıcı isimlerini veya grubunu ekleyelim.

Ben Domain Admins isimli grup’un bu işi yapması için yetki verdim aşağıdaki resimdeki gibi.

 ADGP_6

Active Directory sunucu ve sunucularınızı sırası ile restart ettikten sonra yapmış olduğumuz ayarlar devreye girmiş olacaktır.

Ortamdaki yetkisiz kullanıcılar domain’e bilgisayar hesabı ekleyemezler, bu işlemleri test edip yaptığınız işlemlerin düzgün çalıştığını görmenizi öneririm. 

Faydası olması dileklerimle.

Recep YÜKSEL