İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 13.04.2020 3

ms-DS-MachineAccountQuota İle Domain Join Limiti Değiştirme

Standart bir Active Directory kullanıcı hesabına sahip bir kullanıcı, varsayılan olarak 10 tane bilgisayarı Domain ortamına Join etme hakkına sahiptir. Bu durum, bazı organizasyonlar için güvenlik riski teşkil edebilmektedir. Bu makalemde sizlere Windows Server 2019'da standart bir Active Directory kullanıcısının varsayılan olarak 10 tane bilgisayarı Domain'e Join edebilme hakkını kısıtlamak ya da artırmak için ms-DS-MachineAccountQuota Attribute değerini nasıl değiştirebileğinize değiniyor olacağım. ms-DS-MachineAccountQuota Attribute değerine, ADSI Edit ve PowerShell olmak üzere iki noktadan müdahale edebiliyoruz.

1- ADSI Edit ile ms-DS-MachineAccountQuota Attribute Değişirme

1.1- ms-DS-MachineAccountQuota Attribute'un ADSI Edit üzerinden değiştirebilmek için ADSI Edit üzerinde sağ tıklıyor, Connect to... seçeneğine tıklıyorum.

ms-DS-MachineAccountQuota

1.2- Connection Settings penceresinde Default naming context seçeneğini seçip, OK butonuna basıyorum.

ms-DS-MachineAccountQuota

1.3- firatboyan.com Distinguished Name'i üzerinde sağ tıklayarak Properties seçeneğini seneçiyorum.

ms-DS-MachineAccountQuota

1.4- Açılan pencerede Attribute Editor altındaki ms-DS-MachineAccountQuota Attribute'una ulaşıp, üzerinde çift tıklıyorum.

ms-DS-MachineAccountQuota

1.5- MachineAccountQuota Attribute'u üzerinde çift tıkladığımızda, Value değerini değiştirebilir duruma geliyoruz. Buradaki 10 rakamı, standart bir Active Directory kullanıcı hesabına sahip bir kullanıcının varsayılan olarak 10 tane bilgisayarı Domain'e Join etme hakkının tutulduğu değer bilgisidir. Bu değer bilgisi; bu alandan artırılıp, azaltılabilir.

ms-DS-MachineAccountQuota

2- PowerShell ile ms-DS-MachineAccountQuota Attribute Değişirme

1- ms-DS-MachineAccountQuota Attribute'unu PowerShell üzerinden değiştirebilmek için aşağıdaki komutu yazıyorum.

Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

ms-DS-MachineAccountQuota

1.1- Çıkan sonuçta; ms-DS-MachineAccountQuota bilgisinde standart bir Active Directory kullanıcı hesabına sahip bir kullanıcının varsayılan olarak 10 tane bilgisayarı Domain'e Join edebilme hakkının tutulduğu değer bilgisidir.

1.2- Varsayılan değer olan 10 sayısını değiştirmek için Set-ADDomain PowerShell komutunu aşağıdaki gibi PowerShell konsoluna yazıyorum. Ben, örneğimde 10 değerini 0 (sıfır) olarak değiştiriyorum.

Set-ADDomain -Identity -Replace @{"ms-DS-MachineAccountQuota"="0"}

ms-DS-MachineAccountQuota

3- PowerShell konsolundan ms-DS-MachineAccountQuota Attribute'unu değişirtirdikten sonra ADSI Edit üzerinde ms-DS-MachineAccountQuota Attribute'una ulaştığımda, PowerShell üzerinden değiştirdiğim değerin bu alanda da değiştiğini görebiliyoruz.

ms-DS-MachineAccountQuota

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye 3 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


16.08.2023 Ceyhun Özkan
Güzel makale, Elinize sağlık.
11.06.2020 Ys
Kullanıcı bazlı nasıl yapabiliriz ? Mesela user1 kullanıcısına tek sınırsız yetki vermek istiyorum.

12.06.2020 Fırat Boyan
Şahsen denemedim ancak GPO üzerinde User Rights Assignment Add workstations to Domain üzerinden ilgili kullanıcı eklenerek yapılabilir diye düşünüyorum. Ben de müsait bir zaman deneyeceğim.