Active Directory'deki Additional Account Info sekmesi, kullanıcı hesaplarına ilişkin daha fazla bilgiye erişim sağlayarak sistem yönetiminde oldukça kullanışlı bir araçtır. Bu sekme, bir kullanıcının en son ne zaman oturum açtığı, parola değiştirme tarihi ve hesap kilitlenme gibi kritik bilgileri sunar. Özellikle büyük ve karmaşık ortamlarda, kullanıcı hesaplarının yönetimi zorlayıcı olabilir. Additional Account Info, bu yönetimi kolaylaştırmak için Active Directory Users and Computers konsoluna ek bir özellik olarak gelir ve yöneticilere kullanıcılarla ilgili hızlı bir genel bakış sağlar.
Bu sekme, Active Directory'yi daha derinlemesine anlamanızı sağlar çünkü kullanıcı hesaplarına dair birçok önemli bilgi burada depolanır. Örneğin, Last Logon alanı, kullanıcının son başarılı oturum açma tarihini gösterir. Bu bilgi, kullanıcıların aktif olup olmadığını veya belirli bir süre boyunca oturum açmamış kullanıcıların hesaplarının devre dışı bırakılması gerektiğini belirlemenize yardımcı olur. Aynı zamanda, Password Last Set alanı, kullanıcının en son ne zaman parolasını değiştirdiğini gösterir. Şirketlerde parola politikalarının uygulanmasında bu veri oldukça faydalıdır; çünkü belirli bir süre boyunca parola değiştirmeyen kullanıcıların parolalarını güncellemesi gerekebilir.
Active Directory ortamlarında hesap güvenliği, her zaman öncelikli konulardan biridir. Bu bağlamda, Account Lockout gibi alanlar, bir kullanıcının hesabının ne zaman kilitlendiği bilgisini gösterir. Kullanıcı hesapları, yanlış parola girişimlerinin belirli bir sayıyı aşması durumunda kilitlenebilir ve bu bilgi, özellikle güvenlik denetimleri ve kullanıcı desteği için kritik olabilir. Additional Account Info sekmesi, bu tür sorunları hızlıca tespit edip çözmenizi kolaylaştırır. Örneğin, kullanıcı kilitlenme tarihine ve saatine bakarak, o sırada yanlış parola girişimlerinin olup olmadığını doğrulayabilir ve olası güvenlik tehditlerine karşı önlem alabilirsiniz.
Bu sekmedeki bir diğer önemli bilgi ise Logon Hours alanıdır. Bu alan, kullanıcının Active Directory'ye belirli saatlerde oturum açmasına izin veren ya da kısıtlayan ayarları yönetmenizi sağlar. Büyük kuruluşlarda, belirli saat aralıkları dışında çalışanların sisteme erişiminin kısıtlanması gerekebilir. Logon Hours bu tür bir denetim sağlarken, kullanıcıların iş saatleri dışında Network kaynaklarına erişimlerinin sınırlanmasına olanak tanır.
Ayrıca, Additional Account Info sekmesi, kullanıcıların oturum açtıkları bilgisayarları da takip etmenize imkan tanır. Logon Workstations özelliği ile kullanıcının yalnızca belirli makinelerde oturum açmasını sağlayabilirsiniz. Bu, özellikle belirli bilgisayarlarda hassas verilere erişimi sınırlamak için kullanışlı bir güvenlik önlemidir.
Active Directory'deki Additional Account Info sekmesi, kullanıcı hesaplarına ilişkin daha fazla bilgiye erişim sağlayarak sistem yönetiminde oldukça kullanışlı bir araçtır. Bu sekme, bir kullanıcının en son ne zaman oturum açtığı, parola değiştirme tarihi ve hesap kilitlenme gibi kritik bilgileri sunar. Özellikle büyük ve karmaşık ortamlarda, kullanıcı hesaplarının yönetimi zorlayıcı olabilir. Additional Account Info, bu yönetimi kolaylaştırmak için Active Directory Users and Computers konsoluna ek bir özellik olarak gelir ve yöneticilere kullanıcılarla ilgili hızlı bir genel bakış sağlar.
Active Directory'deki Additional Account Info sekmesi, kullanıcı hesaplarıyla ilgili birçok kritik bilgiyi tek bir yerde toplayarak yöneticilere büyük kolaylık sağlar. Bu bilgiler, kullanıcıların hesap durumları ve Network üzerindeki aktiviteleri hakkında hızlı bir genel bakış sunar. Sekme, aşağıdaki önemli bilgileri sağlar:
✅ Password Last Set: Kullanıcının parolasını en son ne zaman değiştirdiğini gösterir. Bu bilgi, şirket içindeki parola politikalarının uygulanmasını sağlamak ve güvenlik açıklarını önlemek açısından önemlidir.
✅ Password Expires: Kullanıcının parolasının ne zaman geçerliliğini yitireceğini belirtir. Bu alan, kullanıcıların şifre yenileme süreçlerini yönetmede yardımcı olur ve hesapların kilitlenmesini önlemek için gerekli bilgilere erişim sağlar.
✅ User Account Control: Kullanıcının hesabının aktif, devre dışı veya kilitli olup olmadığını gösterir. Bu bilgi, güvenlik olaylarını yönetmek ve hesap erişim sorunlarını hızlıca çözmek için kritik bir rol oynar.
✅ Last Logon (Logoff): Kullanıcının en son ne zaman oturum açtığını ya da oturumunu kapattığını belirtir. Bu veri, kullanıcının Network üzerindeki aktivitelerini izlemek ve belirli hesapların etkinliğini kontrol etmek için kullanılır.
✅ SID, SID History: Kullanıcının Security Identifier (SID) ve önceki SID kayıtlarını içerir. Bu bilgiler, kullanıcıların geçmişte hangi hesaplarla ilişkilendirildiğini ve eski haklarını izlemek için kullanılır.
✅ GUID: Kullanıcının benzersiz kimlik numarası olan Globally Unique Identifier (GUID) bilgisini içerir. Bu bilgi, Active Directory ortamında kullanıcı hesaplarının takibi için önemlidir.
Bu bilgiler, Active Directory'deki kullanıcı hesaplarının daha güvenli ve etkin yönetilmesini sağlar.
Bu bilgiler aslında ADSI Edit veya Attribute Editor sekmesinden de edinilebilir ancak Additional Account Info Sekmesindeki bilgiler biraz daha genişletilmiş şekilde sunulmaktadır. Active Directory Users And Computers konsolundaki kullanıcı özellikleri (User Properties) sekmesinde Additional Account Info sekmesinin eklebebilnesi için Account Lockout and Management Tools adındaki kendini açabilen arşiv dosyasına (Self-Extracting Archive File) dosyasına ihtiyacınız var.
Bu Self-Extracting Archive File dosyası, içerisinde acctinfo.dll adında bir .dll dosyası barındırmaktadır. Bu arşiv dosyasını da C:\Windows\SysWOW64 dizinine çıkartın.
Dizinde bulunan acctinfo.dll dosyasını CMD üzerinden aşağıdaki komutu kullanarak çalıştırın. Bu komut kullanılarak çalıştırıldığında Additional Account Info Sekmesi, kullanıcıların User Properties alanındaki sekmeler içinde bir sekme olarak oluşacaktır. Komut, regsvr32 C:\Windows\SysWOW64\acctinfo.dll şeklinde olacaktır.
Komutu çalıştırdıktan sonra, Additional Account Info Sekmesi kullanıcıların User Properties alanındaki sekmeler içinde oluştuğunu göreceksiniz.
Ek olarak, Additional Account Info Sekmesinde alt kısımda bulunan Account Lockout Status... butonuna tıkladığınızda, yapınızdaki tüm Domain Controller'lar listelenecek ve kullanıcı şifresinin hangi Active Directory Site üzerindeki hangi Domain Controller'da kilitlendiği bilgisinisi de detaylıca görebilirsiniz. Account Lockout Status... butonuna tıkladığınızda, komutu çalıştırmak isteyip istemediğimizi soran bir pencere çıkıyor. Yes butonuna basarak devam ediyoruz.
Active Directory arayüzünde kullanıcı objesinin Additional Account Info sekmesine tıklandığında ekrana gelen Collecting Data penceresi, o anda sistemin kullanıcıyla ilgili Logon, Authentication ve oturum verilerini hedef Domain Controller üzerinden toplamaya başladığı anlamına gelir. Microsoft Mangement Control (MMC), bu işlemi başlatırken arka planda belirli LDAP Query'leri gönderir ve özellikle replike edilmeyen Attribute'lara doğrudan ulaşmaya çalışır.
Bu Attribute'lar arasında lastLogon, badPwdCount, LogonCount ve lockoutTime gibi değerler bulunur. Bunlar Active Directory replikasyon yapısı gereği tüm Domain Controller'larda aynı değeri içermez. Bu yüzden Additional Account Info sekmesi, bu verileri her zaman authoritative DC'den almaya çalışır. Kullanıcının en son oturum açtığı ya da üzerinde değişiklik yapılan DC tespit edilir ve veri doğrudan o DC'den çekilir.
Eğer ortamda birden fazla site varsa veya istemcinin Logon olduğu DC, console'u açan bilgisayarın bulunduğu site dışındaysa bu ekranın açık kalma süresi uzayabilir. Sorgular LDAP üzerinden doğrudan hedef DC'ye gider ve gecikme yaşanırsa bu durum kullanıcıya Collecting Data ekranı şeklinde yansır. Bekleme süresinin uzunluğu, Network erişimi, DNS çözümleme süresi ve hedef DC'nin yanıt süresine göre değişir.
İşlem tamamlandığında MMC, Additional Account Info sekmesi içinde kullanıcıya ait Logon geçmişi, başarısız parola denemeleri ve diğer hesap davranışlarını gösterir. Bu bilgiler günlük denetimlerde ya da şüpheli etkinlik analizlerinde zaman kazandırır. PowerShell kullanmadan ya da her DC'yi ayrı ayrı sorgulamadan bu verilere ulaşmak için pratik bir yol sunar.
Her şey tek bir sekmeye tıklanarak başlasa da, arkasındaki işlem doğrudan Domain içi otorite kaynaklardan canlı veri çekme mantığına dayanır. Detayları bilen biri için bu ekranın neden göründüğü, ne kadar beklenmesi gerektiği ve hangi verinin hangi DC'den geldiği açık hale gelir.
Açılan ekranda, Farklı Site'lardaki Domain Controller'larınızın durumlarını da bu sayede gözlemleme imkanına sahipsiniz.
Bu makalede, Active Directory kullanıcı nesnelerinde varsayılan olarak görünmeyen Additional Account Info sekmesinin nasıl aktif hale getirildiği ve içerdiği verilerin hangi bağlamlarda kullanıldığı teknik örneklerle ele alındı. Kullanıcının son oturum açma zamanı, logon denemeleri, hangi Domain Controller üzerinden giriş yapıldığı gibi detaylar, replikasyon gecikmelerinin analizi ya da güvenlik denetimleri için doğrudan kullanılabilir hale geliyor. Özellikle Last Logon, Last Logon Timestamp ve Last Logon Date alanları arasındaki farkların anlaşılması, doğru raporlama ve analiz açısından kritik değil ama işlevsel bir fark yaratıyor.
Bu sekmenin aktif edilmesi için kullanılan yol, sistemde yüklü olan Acctinfo.dll dosyasının doğru şekilde register edilmesine dayanıyor. Bu işlem, Active Directory Users and Computers arayüzüne ek özellikler kazandırmak için kullanılan pratik bir yöntem. İlgili DLL Register edildikten sonra eklenen bu sekme, GUI üzerinden çok daha okunabilir ve sade bir bilgi ekranı sunarak PowerShell ya da Event Log gibi yollarla ulaşılması daha zahmetli olabilecek verileri tek bakışta gösteriyor.
Görünmeyen ama sistemin zaten sunduğu bu alanları ortaya çıkarmak, ihtiyaç anında doğru veriye daha hızlı ulaşmayı sağlar. Makaledeki örnek uygulama, yapılması gereken adımların teknik bütünlüğünü koruyarak, sahada işinizi kolaylaştıracak bir arayüz detayı olarak ele alındı.
Faydalı olması dileğiyle...