Standart bir Active Directory User Account'una sahip bir kullanıcı, varsayılan olarak 10 tane bilgisayarı Domain'e Join etme hakkına sahiptir. Bu durum, bazı organizasyonlar için güvenlik riski teşkil edebilmektedir. Bu makalemde sizlere Windows Server 2019'da standart bir Active Directory kullanıcısının varsayılan olarak 10 tane bilgisayarı Domain'e Join edebilme hakkını kısıtlamak ya da artırmak için ms-DS-MachineAccountQuota Attribute'unundaki değerini nasıl değiştirebileğinize değiniyor olacağım.
ms-DS-MachineAccountQuota Attribute'una ADSI.EDIT ve Powershell olmak üzere iki noktadan müdahale edebiliyoruz.
1- ADSI.Eedit ile ms-DS-MachineAccountQuota Attribute'unu Değişirme
ms-DS-MachineAccountQuota Attribute'un ADSI Edit üzerinden değiştirebilmek için;
1.1- ADSI Edit üzerinde sağ tıklıyor, Connect to... seçeneğine tıklıyorum.
1.2- Connection Settings penceresinde Default naming context seçeneğini seçip, OK butonuna basıyorum.
1.3- firatboyan.com Distinguished Name'i üzerinde sağ tıklayarak Properties seçeneğini seneçiyorum.
1.4- Açılan pencerede Attribute Editor altındaki ms-DS-MachineAccountQuota Attribute'una ulaşıp, üzerinde çift tıklıyorum.
1.5- MachineAccountQuota Attribute'u üzerinde çift tıkladığımızda, Value değerini değiştirebilir duruma geliyoruz. Buradaki 10 rakamı, standart bir Active Directory User Account'una sahip bir kullanıcının varsayılan olarak 10 tane bilgisayarı Domain'e Join etme hakkının tutulduğu değer bilgisidir. Bu değer bilgisi; bu alandan artırılıp, azaltılabilir.
2- Powershell ile ms-DS-MachineAccountQuota Attribute'unu Değişirme
ms-DS-MachineAccountQuota Attribute'unu Powershell üzerinden değiştirebilmek için;
2.1- Get-ADObject Powershell komutunu aşağıdaki gibi Powershell konsoluna yazıyorum.
|
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota |
2.1.1- Çıkan sonuçta; ms-DS-MachineAccountQuota bilgisinde standart bir Active Directory User Account'una sahip bir kullanıcının varsayılan olarak 10 tane bilgisayarı Domain'e Join edebilme hakkının tutulduğu değer bilgisidir.
2.1- Varsayılan değer olan 10 sayısını değiştirmek için Set-ADDomain Powershell komutunu aşağıdaki gibi Powershell konsoluna yazıyorum. Ben, örneğimde 10 değerini 0 (sıfır) olarak değiştiriyorum.
|
Set-ADDomain -Identity -Replace @{"ms-DS-MachineAccountQuota"="0"} |
3- Powershell konsolundan ms-DS-MachineAccountQuota Attribute'unu değişirtirdikten sonra ADSI Edit üzerinde ms-DS-MachineAccountQuota Attribute'una ulaştığımda, Powershell üzerinden değiştirdiğim değerin bu alanda da değiştiğini görebiliyoruz.
Faydalı olması dileğiyle...
.jpg)
Adım Fırat Boyan. Sistem ve Ağ Mühendisi (MCSE), Microsft Sertifikalı Bilgi Teknolojileri Eğitmeni (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest , Noter Yeminli Tercümanım. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum ve 15 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda MİRSİS Bilgi Teknolojileri bünyesinde Kıdemli Sistem Uzmanı olarak çalışıyorum ve Bilişim Teknolojileri alanında eğitim hizmeti veren en önde gelen eğitim kurumu olan Network Akademi'ye bağlı MCT-Microsoft Sertifikalı Eğitmen olarak Sistem ve Ağ eğitimleri vermekteyim. Kurumsal firmalara da bireysel bazda IT Danışmanlık Hizmetleri veriyorum.
Hakkımda daha fazla bilgi sahibi olmak ve sahip olduuğum olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.
YORUMLAR
Bu makaleye 2 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
|
11.06.2020
Ys
Kullanıcı bazlı nasıl yapabiliriz ? Mesela user1 kullanıcısına tek sınırsız yetki vermek istiyorum.
|
12.06.2020
Fırat Boyan
Şahsen denemedim ancak GPO üzerinde User Rights Assignment Add workstations to Domain üzerinden ilgili kullanıcı eklenerek yapılabilir diye düşünüyorum. Ben de müsait bir zaman deneyeceğim.
|
|