Abone Ol

USER ACCOUNT CONTROL Active Directory Nedir

15 Ocak 2021 0Comments 139Views

Active Directory user account control attribute bize kullanıcı veya bilgisayarın sahip olduğu özellikleri kısaca anlatır.Aşağıda çoğu attribute ayrıntılı olarak belirtilmiştir.

Account Name	Değerler
SCRIPT	1
ACCOUNTDISABLE	2
HOMEDIR_REQUIRED	8
LOCKOUT	16
PASSWD_NOTREQD	32
PASSWD_CANT_CHANGE	64
ENCRYPTED_TEXT_PWD_ALLOWED	128
TEMP_DUPLICATE_ACCOUNT	256
NORMAL_ACCOUNT	512
Disabled Account	514
Enabled, Password Not Required	544
Disabled, Password Not Required	546
INTERDOMAIN_TRUST_ACCOUNT	2048
WORKSTATION_TRUST_ACCOUNT	4096
SERVER_TRUST_ACCOUNT	8192
DONT_EXPIRE_PASSWORD	65536
Enabled, Password Doesn’t Expire	66048
Disabled, Password Doesn’t Expire	66050
Disabled, Password Doesn’t Expire & Not	66082
SMARTCARD_REQUIRED	262144
Enabled, Smartcard Required	262656
Disabled, Smartcard Required	262658
Disabled, Smartcard Required, Password Not Required	262690
Disabled, Smartcard Required, Password Doesn’t Expire	328194
Disabled, Smartcard Required, Password Doesn’t Expire & Not Required	328226
TRUSTED_FOR_DELEGATION	524288
Domain controller	532480
NOT_DELEGATED	1048576
DONT_REQ_PREAUTH	4194304
PASSWORD_EXPIRED	8388608
TRUSTED_TO_AUTH_FOR_DELEGATION	16777216
PARTIAL_SECRETS_ACCOUNT	67108864

SCRIPT – Giriş yapılırken script çalışacak olması
ACCOUNTDISABLE – Accountun disable durumda olması
HOMEDIR_REQUIRED – Home Folderın olması gerektiği
PASSWD_NOTREQD – Şifre gerekmediği
PASSWD_CANT_CHANGE – Kullanıcının şifre değiştiremediği
ENCRYPTED_TEXT_PASSWORD_ALLOWED – Kullanıcının şifrelenmiş şifre gönderebileceği
TEMP_DUPLICATE_ACCOUNT – Başka domain kullanıcısı olduğu ve bu domaine erişim yetkisi
NORMAL_ACCOUNT – Normal kullanıcı
INTERDOMAIN_TRUST_ACCOUNT – I Başka domainlerle trust ilişkisi olduğu
WORKSTATION_TRUST_ACCOUNT – Bilgisayarın Domain Control ile güven ilişkisi olduğu
SERVER_TRUST_ACCOUNT – Serverın Domain Control ile güven ilişkisi olduğu
DONT_EXPIRE_PASSWD – Şifrenin herhangi bir değişme zamanı olmadığı
SMARTCARD_REQUIRED – Kullanıcı girişinde smartcard kullanılması gerektiği
TRUSTED_FOR_DELEGATION – Kerberos delegasyonu yapıldığı
NOT_DELEGATED – Account delege olmadığı
DONT_REQUIRE_PREAUTH – Kerberos bağlantının öncelikle yapıması
PASSWORD_EXPIRED – Şifrenin Sona ermesi
TRUSTED_TO_AUTH_FOR_DELEGATION – Delegasyon işlemi yapabilmesi
PARTIAL_SECRETS_ACCOUNT – Salt okunur şekilde domain yapısını okuyabilmesi.

User Account Control kısmı active directory yöneticileri için önem arz etmektedir. Kullanıcılara ve bilgisayarlara gereksiz yetki vermekten kaçının, örnek olarak otomatik olarak kullanıcı oluşturulan scriptlerde bu attribute lar çok önem arz etmektedir, buraları kontrol etmeyi unutmayız.

Active Directory, Genel

Active Directory OU YAPISI VE DISTINGUISHED NAME

15 Ocak 2021 0Comments 150Views

OU Yapısı

Active Directory OU yapısını daha etkin ve kolay bir şekilde kontrol edebilmek ve güvenlik bakımından da ayarlamaları arttırabilmek için çeşitli Yapısal Birimler (OU)oluşturulur.

Bu yapısal birimler kolay yönetimde sağladığı avantajlar saymakla bitmez. Örneğin; İstanbul’da çalışanlar için oluşturulacak bir OU da sadece İstanbul’daki personeller buraya konularak yönetim kolaylaşabilir, OU üzerinde Security kısmında kimlere yetki verileceği seçilebilir, Policy Uygulandığında hangi OU uygulanacağı seçilebilir gibi bir çok yönetim ve güvenlik kolaylığı sağlamaktadır.

OU Oluşturmak için; New>Organizational Unit

İSTANBUL VE ANKARA OU OLUŞTURULMUŞ HALİ

Distinguished Name

Distinguished Name kısaca DN diye belirtilir. Windows File sisteminde olduğu gibi active directory de objenin yoludur. Aynı DN den active directoryda başka bir tane daha bulunmaz tamamen benzersizdir.

Açıklama

Active Directory OU yapısına değindik ve bu aşamada distinguished name konusunun önemini anlattık. Active Directory de bu yapıyı tam olarak kavramamak ileride çok büyük sıkıntılar yaratcaktır. Ou yapısını File yapısına benzetebilir. Ou yapısındada dosya yapısında dolay çoğu şey uygulanır. OU larınızı düzenli olarak oluşturmak yönetme aşamasında sizlere çok çok yardımcı olacaktır. Distinguished name yapısıda aslında dosya yoluna benzetilebilir. Dosya yolu için neler geçerliyse aynıları bu taraftada düşünülenebilir. Dosya yolunu nasıl kullanıyorsak powershell tarafında da distinguished name çok çok kullanılmaktadır. O yüzden bunu anlamak ve yerini hemen bulmak bir çok işinizi çözecektir.

Active Directory yapısında kullanılan tüm yazıları active directory kategorisinden takip edebilirsiniz.

Active Directory kullanıcı sayısı gibi bazı yararlı scriptleri “https://tolgaceyhan.com/powershell-ile-active-directory-kullanici-sayilarini-gormek/” görebilirsiniz.

Active Directory

Active Directory, Active Directory Güvenlik, Genel

ACTIVE DIRECTORY POWERSHELL GET-USER KOMUTLARI 2 NASIL KULLANILIR

15 Ocak 2021 0Comments 171Views

– FILTER KULLANIMI : Active Directory Get-Aduser yardımı ile User bilgilerini kolayca çekebildiğimiz Get-aduser komutuyla beraber kullanılan -filter komutu ile kolaylıkla filtreleme yapılabilmektedir. Filtreleme yapılacak properties seçip script içerisinde uygulanmasını inceleceğiz. Bu arada Get-Member konusuna değinip ne işe yaradığını anlatacağız.

Get-ADUser -Filter* -Properties * | Get-Member

tüm properties ve method lara ulaşılır. Get-Member komutu önemlidir. Herhangi bir powershell komutu için nesne türünün üyelerini gösteririr.GET-ADUSER İLE GET-MEMBER

Get-ADUser -filter * -Properties *

ile çıkan tüm properties leri görebiliriz

Yukarıda çıkan tüm properties lerde filtreleme yapılabilir.

ÇOK KULLANILAN FILTRELER

get-aduser -Filter {samaccountname -like ‘a*’}

samaccountname a ile başlayanlar; * işareti herşey demektir.

get-aduser -Filter {enabled -eq “True”}

enable olan kullanıcılar

get-aduser -Filter {admincount -eq 1}

admin count 1 olan kullanıcılar. Admin count properties in active directory yapısı içerisindeki güvenlik konusuyla diğer yazıyı okuyun. ADMIN COUNT

get-aduser -Filter {lockedout -eq “True”}

kullanıcı kilitlenmiş kullanıcılar

get-aduser -Filter {passwordnotrequired -eq “True”}

şifreye gerek duymayan kullanıcılar. Bu attribute önemini anlatan diğer bir yazıya bakabilirsiniz.PASSWORD NOT REQUIRED

get-aduser -Filter {PasswordNeverExpires -eq “True”}

şifre değiştirme süresinin hiçbir zaman olan kullanıcılar. Bu attribute önemini anlatan diğer bir yazıya bakabilirsiniz.PASSWORD NEVER EXPIRE

$gün=(Get-Date).AddDays(-30)

Get-date komutu şu anki günü bulmamızı sağlar. (Get-Date). ile gün,saat,dakika gibi eklemeler yapıp çıkartabiliriz. Get-Date komutu özellikle günle ilgili yapılacak filtrelemelerde çok iş gören komutlardan bir tanesidir.

get-aduser -Filter {whencreated -gt $gün}

tarihle ilgili filtrelemeleri bu şekilde yapılabilir. Örnekte ne zaman dan önce oluşturulmuşa bakıldı. Filteleme kısmında -gt(büyüktür) veya -lt(küçüktür) kullanılır.

-SEARCHBASE KULLANIMI :

Get-aduser komutuyla beraber kullanılan -searchbase komutu ile kolaylıkla istenilen OU(Organization Unit) arama yapılabilmektedir. Bu sayede istenilen OU da çok rahat bir biçimde arama yapılıp aksiyon alınabilmektedir. Burada distinguished name olarak söylediğimiz objenin yolu bizim için önem arz etmektedir. Aşağıdaki komutta nasıl kullanıldığı ve açıklamalı diğer yazı belirtilmiştir.

get-aduser -filter * -SearchBase “distinguishedname”

searchbase ile istenilen ou da arama yapılabilir. OU yapısı ve DistinguishedName hakkında detaylı bilgiler için diğer bir yazıya bakabilirsiniz. OU YAPISI VE DISTINGUISHED NAME