Active Directory Kullanıcılarının Domain’e Bilgisayar Eklemele Yetkilerini Kaldırma

By | 20/01/2014

Merhaba arkadaşlar,

Bugün bu makalemizde sizlere Active Directory ortamınızdaki tüm kullanıcı hesaplarına ilk kurulumda default olarak verilmiş olan domain ortamına bilgisayar ekleme iznini nasıl kaldırabileceğinizi anlatmaya çalışacağım.

Active Directory kurulumunda default olarak her kullanıcı hesabı ortama maksimum 10 adet kullanıcı hesabı ekleyebilir yetkisi ile gelir. Bu yetki bilinçsiz bir şekilde kullanıldığında sorunlar yaşanması mümkündür. Bu sebeple kullanıcı sayısı fazla olan büyük bir yapıda çalışıyorsanız bu yetkiyi kullanıcı hesaplarından almanızı tavsiye ederim    

Ben burada bu yetkiyi alma işlemini anlattıktan sonra domain users’dan aldığımız bilgisayar ekleme yetkisini hangi yetkili  kullanıcılara nasıl verecebileceğimizi anlatıp makaleyi bitireceğim.

Domain kullanıcı hesaplarının bilgisayar ekleme yetkisini düzeltme (Yetkiyi Kaldırma);

Domain kullanıcılarının ortama bilgisayar objesi ekleme işlemini ADSI Edit ile Active Directory şema yapısı içine erişip ms-DS-MachineAccountQuota isimli satırı bulalım ve sayısal değerini 0 – sıfır olarak düzenlememiz yeterli olacaktır.

Aşağıdaki resimdeki gibi DC=recepyuksel,DC=net üzerinde sag tuş yapıp Properties ile özelliklerine erişelim ve açılan menüde ms-DS-MachineAccountQuota değerini bulalım.

Bu değer resimde de görüleceği gibi default 10 adet olarak ayarlanmıştır. Bu değer edit edit edip 0 yapacağız.

ADGP_1

Aşağıdaki resimdeki gibi buradaki 10 değerini 0 yapalım ve Apply ile uygulayıp bu pencereyi ve ADSI Edit editörünü kapatalım.

ADGP_2

 

Active Directory ortamına bilgisayar ekleme yetkisini bir grup’a verme ( Group Policy ile Ayarlama )

Biraz önce Domain Users grubundan active directory ortamına bilgisayar ekleme yetkisini almıştık, fakat bu yetkiyi bir grup’a veya kullanıcıya vermeliyiz ki Active Directory ortamına bilgisayarlar dahil edilebilsin. Bu işlem için önerim bu işlemi yapacak teknik servis kullanıcıları için bir güvenlik gurubu oluşturmanız ve bu gruba yetki vermeniz olacaktır. Burada ben örnek olarak Domain Admins güvenlik grubuna yetki vereceğim.

Group Policy manager’i açalım Default Domain Policy açalım

 ADGP_3

Policies > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Add workgroup objesini bulunuz.

ADGP_4

Bu policy değeri aşağıdaki gibi boş gelecektir eğer ilk kez ayarlanıyor ise. (Normalde active directory kurulumu yapıldıktan sonra ilk yapılması gereken ayarlardan birisi bu bölüme yetkili kullanıcıların eklenmesi olmalıdır.)

ADGP_5

Define these policy settings’i işaretleyelim ve Add User or Group ile domain’e bilgisayar hesabı ekleme işini yapmasını istediğimiz kullanıcı isimlerini veya grubunu ekleyelim.

Ben Domain Admins isimli grup’un bu işi yapması için yetki verdim aşağıdaki resimdeki gibi.

 ADGP_6

Active Directory sunucunuzu restart ettikten sonra yapmış olduğumuz ayarlar devreye girmiş olacaktır. Ortamdaki yetkisiz kullanıcılar domain’e bilgisayar hesabı ekleyemezler, bu işlemleri test edip yaptığınız işlemlerin düzgün çalıştığını görmenizi öneririm  

Faydası olması dileklerimle.

Recep YÜKSEL / 01.2014

2 thoughts on “Active Directory Kullanıcılarının Domain’e Bilgisayar Eklemele Yetkilerini Kaldırma

  1. unnamed

    biri çıkıp teşekkür etmemiş. elinize sağlık. güzel makale.

    Reply
    1. recepyuksel Post author

      Ben size Teşekkür ederim. At denize muhabbeti bizimkisi, sorun yok kimse teşekkür etsin diye paylaşmıyoruz bunları ama gelen teşekkürler’de bizi mutlu etmiyor değil hani. 🙂

      Allah senden razı olsun sağolasın.

      Saygılarımla.

      Reply

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.