Bilgisayarların Domain’e Alınma İşlemlerinin Denetlenmesi

Active Directory yapısında normal kullanıcılar, yetkilendirilmiş kullanıcılar ve domain yöneticileri bilgisayarları domain e katabilirler.

Normal kullanıcılarda bilgisayarları domain e katma sayısı sınırı varsayılan olarak on kez iken (adsiedit üzerinden arttırıp azaltılabilir) yetkilendirilmiş kullanıcılar ve yöneticiler için bir sayı sınırı yoktur.

Domain e katılan bilgisayar active directory users and computers konsolunda “computers” kabının içerisine düşer.

Domain yapısında istersek domain e alınma işlemlerinin denetlenmesini sağlayabiliriz. Örneğin sadece yetkili hesapların domain e alma işlemlerini yapabilmesini ve daha önceden active directory users and computers konsolunda elle oluşturulan bilgisayarların domain e alınabilmesini sağlamak gibi.

İlk olarak group policy yönetimi den “Default Domain Controller Poilcy” politikamızı açıyoruz. Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies User Right Assignments bölümüne geliyoruz.

Bu bölümde yer alan “Add Workstation to Domain” politikası kimlerin bilgisayarları domain e alabileceğini göstermektedir.

 

Varsayılan olarak bu alanda “Authenticated Users” yer almaktadır. Yani tüm kullanıcılar.

Bu grubu kaldırıyoruz.

Active Directory Users and Computers e geliyoruz. Builtin kabında yer alan “Account Operators” grubu domainde hesap oluşturmamızı sağlayan gruptur.

 

Bu gruba bilgisayarları domain e almak için yetkili olacak kullanıcı veya grupları ekleyebiliriz.

Uygulamamızdaki en önemli bölüme geldik.

Domain e alınan bilgisayarların varsayılan olarak yer aldığı “computers” kabına bir takım yetkiler vermemiz gerekmektedir. Bunun sebebi de sadece önceden elle oluşturulan bilgisayar hesaplarının domain e katılabilmesini sağlamaktır.

Computers kabının özelliklerinden güvenlik sekmesine geliyoruz. Eğer bu sekmeyi göremiyorsanız gelişmiş görünümü açmamışsınızdır.

 

“Advanced” seçeneğini seçiyoruz.

 

Açılan pencerede “Add” seçeneği ile daha önce account groups a eklediğimiz kullanıcıyı ekleyeceğiz ve deny seçeneğini seçeceğiz.

 

İzinlerden yasaklamak istediğimiz izin ise “Create Computer objects”

 

Bu sayede yetki verdiğimiz kullanıcılar computers kabında bilgisayar nesnesi oluşturamadıklarından dolayı bilgisayarları da domain e alamayacaklardır.

Almak istediklerinde aşağıdaki gibi bir hata ile karşılaşırlar.

 

Peki domain e alma işlemi bundan sonra nasıl gerçekleşecek.

Öncelikle domain admin ler ya da yetki olan diğer kullanıcılar domain e alınacak olan bilgisayarın ismini bir organization unit içerisinde oluşturmaları gerekmektedir.

 

Buna prestage denmektedir.

Burada iki amaç vardır. Birincisi tüm bilgisayar nesnelerinin istenilen OU içerisine toplanmasını sağlamak. İkincisi ise bilgisayar isimlerini kontrol altına almaktır.

Bu aşamadan sonra account operators grubundaki kullanıcılar bilgisayarları domain e katabilirler.

 

Paylaş

2 thoughts on “Bilgisayarların Domain’e Alınma İşlemlerinin Denetlenmesi

  1. Erhan

    Merhaba,

    Create Computer objects alanında deny vererek computers kabında bilgisayar nesnesi oluşturmalarını engelledik peki, ama istedikleri başka bir OU’da da ekleyemezler mi?

    Reply
  2. Ortaç Demirel Post author

    Merhabalar,

    Bilgisayarları domain e alma ekranını hatırlarsanız eğer bu bölümde OU seçme gibi bir işlem mevcut değildir.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *