İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 22.07.2022 1

Active Directory'de Silinen Kullanıcı Hesabı Denetimi Nasıl Yapılır?

Active Directory, şirketlerin ağ kaynaklarını güvenli bir şekilde yönetmesini sağlayan güçlü bir araçtır. Ancak, yanlışlıkla silinen kullanıcı hesapları, ciddi operasyonel aksaklıklara neden olabilir. Bu durumda, silinen hesapların geri yüklenmesi ve audit işlemleri büyük önem taşır.

Silinen bir kullanıcı hesabının geri yüklenmesi gerektiğinde, ilk adım Active Directory Recycle Bin'in etkin olup olmadığını kontrol etmektir. Active Directory Recycle Bin, Windows Server 2008 R2 ile tanıtılmış ve sonrasında da geliştirilmeye devam etmiştir. Bu özellik, silinen nesnelerin belirli bir süre boyunca geri yüklenmesini sağlar. Recycle Bin etkin değilse, kullanıcı hesaplarını geri getirmek için daha karmaşık yöntemler kullanmanız gerekebilir.

Recycle Bin etkinleştirildikten sonra, silinen bir kullanıcı hesabını geri yüklemek oldukça basittir. Windows PowerShell, bu işlemi gerçekleştirmek için en ideal araçtır. Ancak, PowerShell kullanımı konusunda deneyimli değilseniz, GUI tabanlı araçlar da tercih edilebilir.

Geri yükleme işleminin başarılı olması için belirli izinlere sahip olmanız gerektiğini unutmamalısınız. Active Directory'de silinen nesneleri geri yüklemek için genellikle Domain Admins veya Enterprise Admins gruplarına üye olmanız gerekmektedir. Bu yetkilere sahip olduktan sonra, gerekli adımları izleyerek kullanıcı hesaplarını hızlıca geri getirebilirsiniz.

Audit işlemleri de geri yükleme kadar önemlidir. Silinen bir hesabın kim tarafından, ne zaman ve nasıl silindiğini bilmek, hem güvenlik hem de uyumluluk açısından kritik olabilir. Security logları, bu tür bilgileri sağlamak için kullanılır. Event Viewer üzerinden Security loglarını inceleyerek, silme işleminin detaylarını öğrenebilirsiniz. Özellikle Event ID 4726, bir kullanıcı hesabının silindiğini gösterir ve bu ID üzerinden detaylı analiz yapılabilir.

Audit işlemlerini daha etkin hale getirmek için, Advanced Audit Policy Configuration kullanılarak daha detaylı loglama yapılabilir. Bu politika, daha ayrıntılı ve spesifik olayların kaydedilmesini sağlar, bu da sorun giderme ve güvenlik denetimleri için oldukça yararlıdır.

Active Directory yönetimi, dikkat ve özen gerektiren bir süreçtir. Silinen kullanıcı hesaplarının geri yüklenmesi ve audit işlemleri, bu sürecin önemli bileşenlerindendir. Recycle Bin özelliğinin etkinleştirilmesi, PowerShell veya GUI araçları ile geri yükleme işlemlerinin gerçekleştirilmesi ve detaylı audit politikalarının uygulanması, Active Directory'nin güvenli ve verimli bir şekilde yönetilmesini sağlar. Bu sayede, olası operasyonel aksaklıkların önüne geçebilir ve ağ kaynaklarını daha etkin bir şekilde koruyabilirsiniz.

1- Örnek olarak Fırat Boyan adındaki kullanıcıyı iligli Organization Unit (OU) üzerinden kullanıcı üzerinde sağ tıklayarak Delete seçeneği ile siliyorum.

DeletedObjectAudit

DeletedObjectAudit

DeletedObjectAudit

2- Active Directory kullanıcı hesabı silme işlemini gerçekleştirdikten sonra sıra, silme işlemi sonrasında oluşan Event Viewer Log kaydı kimlik numarası (Event ID) 4726 olacaktır. Bu Event ID değerini kullanarak aşağıdaki PowerShell komutunu çalıştırıyorum.

Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *

DeletedObjectAudit

3- PowerShell ile yapılan bu işlemin aynısını Event Viewer üzerinden de gerçekleştirebiliriz. 4726 nolu Event ID Log kayıtlarını, Event Viewer > Windows Logs > Security altında sağ bölümdeki Actions altında bulunan Filter Security Log... bölümünden filtreleyerek çekeceğim.

DeletedObjectAudit

4- Açılan Filter Current Log penceresinde işartli olan kısıma Event ID değeri olan 4726 yazıp, OK butonuna basarak filtreleme uyguluyorum.

DeletedObjectAudit

5- Filtreleme sonrasında tüm silme kayıtlarına ilişkin log bilgileri karşımıza geliyor.

DeletedObjectAudit

6- En tepedeki Log kaydı, en son yapmış olduğum silme işlemine ait olduğu için bu Log kaydını tıkıladığımda karşıma Log içeriğinin PowerShell'de gördüğüm ile aynı olduğunu görebiliyorum.

DeletedObjectAudit

Hangi yöntemi kullanırsanız kullanın, bu yöntemlerle basit bir şekilde Active Directory kullanıcı hesaplarının silinme Log kayıtlarını ve detaylarını görüntüleyebilir, bilgi alabilirsiniz.

Faydalı olması dileğiyle...

TAGs: Active Directory'de kullanıcıyı kim silmiş?, Active Directory'de silinen kullanıcıyı bulma, AD'de kullanıcıyı kimin sildiğini bulma


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye 1 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


09.01.2023 Serkan Gul
Merhabalar Firat bey, Kazara Active Directory ogrenmeye calisirken sizin sayfaniza denk geldim. Uzaktan dersler veriyor musunuz? Level1 Tier help desk olarak Capitada calisiyorum (Kuzey Irlanda, Belfast) ama bu iste yeniyim, yani IT sektorunde yeniyim biraz. Sanirim daha cok Networking alaninda iyisiniz yani yazilim tarafina pek bakmiyorsunuz. Kendi isimde ayni kategoride ve kendimi daha fazla egitmek isterim fakat halen yazilim konusuna girmek istiyorum fakat bir turlu de basaramadik, yani baslayamadim. Bunun yanisira, Microsoft outlook, AD, Group Policy, Servers gibi konularda da iyi bir donanima sahip olmak istiyorum. Sizin bu konuyla ilgili dusunceniz nedir? Veya online egitimi almam mi gerekiyor sizden? Tesekkurler