Active Directory, şirketlerin Network kaynaklarını güvenli bir şekilde yönetmesini sağlayan güçlü bir araçtır. Ancak, yanlışlıkla silinen kullanıcı hesapları, ciddi operasyonel aksaklıklara neden olabilir. Bu durumda, silinen hesapların geri yüklenmesi ve audit işlemleri büyük önem taşır.
Silinen bir kullanıcı hesabının geri yüklenmesi gerektiğinde, ilk adım Active Directory Recycle Bin'in etkin olup olmadığını kontrol etmektir. Active Directory Recycle Bin, Windows Server 2008 R2 ile tanıtılmış ve sonrasında da geliştirilmeye devam etmiştir. Bu özellik, silinen nesnelerin belirli bir süre boyunca geri yüklenmesini sağlar. Recycle Bin etkin değilse, kullanıcı hesaplarını geri getirmek için daha karmaşık yöntemler kullanmanız gerekebilir.
Recycle Bin etkinleştirildikten sonra, silinen bir kullanıcı hesabını geri yüklemek oldukça basittir. Windows PowerShell, bu işlemi gerçekleştirmek için en ideal araçtır. Ancak, PowerShell kullanımı konusunda deneyimli değilseniz, GUI tabanlı araçlar da tercih edilebilir.
Geri yükleme işleminin başarılı olması için belirli izinlere sahip olmanız gerektiğini unutmamalısınız. Active Directory'de silinen nesneleri geri yüklemek için genellikle Domain Admins veya Enterprise Admins gruplarına üye olmanız gerekmektedir. Bu yetkilere sahip olduktan sonra, gerekli adımları izleyerek kullanıcı hesaplarını hızlıca geri getirebilirsiniz.
Audit işlemleri de geri yükleme kadar önemlidir. Silinen bir hesabın kim tarafından, ne zaman ve nasıl silindiğini bilmek, hem güvenlik hem de uyumluluk açısından kritik olabilir. Security logları, bu tür bilgileri sağlamak için kullanılır. Event Viewer üzerinden Security loglarını inceleyerek, silme işleminin detaylarını öğrenebilirsiniz. Özellikle Event ID 4726, bir kullanıcı hesabının silindiğini gösterir ve bu ID üzerinden detaylı analiz yapılabilir.
Audit işlemlerini daha etkin hale getirmek için, Advanced Audit Policy Configuration kullanılarak daha detaylı loglama yapılabilir. Bu politika, daha ayrıntılı ve spesifik olayların kaydedilmesini sağlar, bu da sorun giderme ve güvenlik denetimleri için oldukça yararlıdır.
Active Directory yönetimi, dikkat ve özen gerektiren bir süreçtir. Silinen kullanıcı hesaplarının geri yüklenmesi ve audit işlemleri, bu sürecin önemli bileşenlerindendir. Recycle Bin özelliğinin etkinleştirilmesi, PowerShell veya GUI araçları ile geri yükleme işlemlerinin gerçekleştirilmesi ve detaylı audit politikalarının uygulanması, Active Directory'nin güvenli ve verimli bir şekilde yönetilmesini sağlar. Bu sayede, olası operasyonel aksaklıkların önüne geçebilir ve Network kaynaklarını daha etkin bir şekilde koruyabilirsiniz.
1- Örnek olarak Fırat Boyan adındaki kullanıcıyı iligli Organization Unit (OU) üzerinden kullanıcı üzerinde sağ tıklayarak Delete seçeneği ile siliyorum.



2- Active Directory kullanıcı hesabı silme işlemini gerçekleştirdikten sonra sıra, silme işlemi sonrasında oluşan Event Viewer Log kaydı kimlik numarası (Event ID) 4726 olacaktır. Bu Event ID değerini kullanarak aşağıdaki PowerShell komutunu çalıştırıyorum.
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property * |

3- PowerShell ile yapılan bu işlemin aynısını Event Viewer üzerinden de gerçekleştirebiliriz. 4726 nolu Event ID Log kayıtlarını, Event Viewer > Windows Logs > Security altında sağ bölümdeki Actions altında bulunan Filter Security Log... bölümünden filtreleyerek çekeceğim.

4- Açılan Filter Current Log penceresinde işartli olan kısıma Event ID değeri olan 4726 yazıp, OK butonuna basarak filtreleme uyguluyorum.

5- Filtreleme sonrasında tüm silme kayıtlarına ilişkin log bilgileri karşımıza geliyor.

6- En tepedeki Log kaydı, en son yapmış olduğum silme işlemine ait olduğu için bu Log kaydını tıkıladığımda karşıma Log içeriğinin PowerShell'de gördüğüm ile aynı olduğunu görebiliyorum.

Hangi yöntemi kullanırsanız kullanın, bu yöntemlerle basit bir şekilde Active Directory kullanıcı hesaplarının silinme Log kayıtlarını ve detaylarını görüntüleyebilir, bilgi alabilirsiniz.
Active Directory'de silinen kullanıcı hesaplarını denetlemek için Event Log kayıtları, replikasyon durumu ve nesnenin silinme süreci detaylı incelenmelidir. Bir hesap silindiğinde belirli bir Event ID oluşturulur ve bu kayıt ilgili Domain Controller üzerinde tutulur. Ancak, replikasyon gecikmeleri nedeniyle olayın tüm Domain Controller'lara yayılması zaman alabilir. Bu nedenle, yalnızca tek bir noktada inceleme yapmak yeterli olmaz.
Recycle Bin etkinse, silinen nesneler belirli bir süre geri getirilebilir. Ancak bu süre aşıldığında nesne kalıcı olarak kaybolur. Replikasyon tamamlandıktan sonra geri dönüş mümkün değilse, sistemde tutulan yedeklerden geri yükleme yapılması gerekir. Bu süreçte, nesnenin ait olduğu orijinal güvenlik kimliği ve grup üyelikleri gibi bilgilerin korunup korunmadığı da değerlendirilmelidir.
Silme işlemlerinin kontrol altında tutulması için düzenli log analizi yapılmalı, denetim politikaları aktif olmalı ve belirli hesaplar için ek güvenlik önlemleri uygulanmalıdır. Geri dönüş sürecinin sorunsuz ilerlemesi için Active Directory altyapısında düzenli yedekleme mekanizmaları oluşturulmalı ve kritik nesnelerin beklenmedik şekilde silinmesini engelleyecek yapılandırmalar uygulanmalıdır.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.
2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.
Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.