Active Directory içerisinde yer alan kullanıcı ya da bilgisayar hesaplarının hangi kaynak (bilgisayar, web uygulaması, mobile cihaz vs. ) üzerinden oturum açtıklarını kolaylıkla bulmanızı sağlayan bir program yazdım.
Kullanıcı hesabını ve kaç adet kayıt içerisinde arama yapılacağını girmeniz gerekmektedir.
Programı kullanmadan önce aşağıdaki yazıyı dikkatlice okumanızı öneririm.
Domain ortamında herhangi bir kaynak üzerinden oturum açma ve yetkilendirme işlemleri Kerberos tarafından yapılır. Domain controller makineler bu işlemleri varsayılan olarak detaylı olarak kayıt altına almaz. Bu yüzden programın sonuç döndürmesi için öncelikle “Default domain Controller Policy” üzerinden oturum açma işlemlerinin kayıt altına alınması ayarı yapılmalıdır.
Güvenlik ayarlarında yer alan “Advanced audit Policy configuration” bölümünden Aduit Policies > Logon/Logoff bölümüne geliyoruz.
“Audit Logon” politikasını “success” olarak ayarlıyoruz.
Sadece DC ler üzerinde yapılan bu değişiklik ile artık tüm Kerberos işlemleri detaylı bir şekilde kayıt altına alınacaktır. Olay günlüklerinde güvenlik bölümüne 4624 id ile kayıtlar düşmektedir.
NOT: Bu ayardan sonra çok fazla kayıt olay görüntüleyicisine yazılır. Bunun sebebi de aynı kaynak üzerinden gelen Kerberos kayıtlarının birden fazla olmasıdır. Logon ID, Logon GUID ve Source Port çok fazla olabilir. DC ler üzerinde artan olay kayıtları sizin için sıkıntı olacak ise bu ayarı yapmayınız. Bu durumda programda çalışmaz.
Kısa süre önce oturum açan hesabı bulma ile uzun süre önce oturum açan hesabı bulma arasında arama işlemi çok uzun sürebileceğinden dolayı arama yapılacak kayıt sayısını girmeniz gerekmektedir. Bu sayı en son kayıt edilen kaç adet olay günlüğüne bakılacağıdır.
İndirmek için:
Çalışması için .net 4.5.1 ve en az powershell 3.0 gereklidir.
.net 4.5.1 :
https://www.microsoft.com/tr-tr/download/confirmation.aspx?id=40779
Powershell 3.0:
https://www.microsoft.com/en-us/download/confirmation.aspx?id=34595