Birçok domainde kullanıcılar domain üzerinde minimum haklara sahip olsalar da kendi bilgisayarlarında local administrators grubunun üyeleri olarak bırakılırlar. Bunun sebebi bazı programların çalışmaması, helpdesk grubunun ellerindeki pc’yi biran önce kullanıcıya teslim etmeleri veya problemleri çabuk bir şekilde gidermeye çalışmalarıdır. Fakat kullanıcılarınızın kendi bilgisayarlarında local admin haklarına sahip olması aslında helpdesk maliyetlerini daha da fazla arttırır. Kullanıcılar internet vasıtasıyla indirdikleri programları install edebilirler. Bu programlar gerekli olan ofis programları, otomasyon programları vs. yi engelleyebilir. Örneğin google toolbar internet explorer üzerinde bazı formlarda sorun yaratabilir. Gerekli ayarları yapamayan bir kullanıcı ZoneAlarm kurduktan sonra çığlık çığlığa departmanınızı arayıp hiçbir yere bağlanamadığını bildirebilir. Dolayısıyla kullanıcılarınızdan local admin hakkını almanız hem sizin hem network’ünüz açısından faydalı olacaktır.
İsterseniz Group Policy kullanarak bazı yöntemler geliştirebilirsiniz fakat burada daha farklı bir yöntemi ele alacağız.
Microsoft Windows 2000 Server Resource Kit içinde bulunan CusrMgr.exe aracından yararlanacağız.
http://www.dynawell.com/support/Reskit/win2k.asp
C:\>cusrmgr
CUsrMgr Ver 1.0 Jan98 by G.Zanzen (c) MCS Central Europe
Sets a random password to a user
usage: -u UserName [-m \\MachineName] \\ default LocalMachine
Resetting Password Function
-p Set to a random password
-P xxx Sets password to xxx
User Functions
-r xxx Renames user to xxx
-d xxx deletes user xxx
Group Functions
-rlg xxx yyy Renames local group xxx to yyy
-rgg xxx yyy Renames global group xxx to yyy
-alg xxx Add user (-u UserName) to local group xxx
-agg xxx Add user (-u UserName) to global group xxx
-dlg xxx deletes user (-u UserName) from local group xxx
-dgg xxx deletes user (-u UserName) from global group xxx
SetProperties Functions
-c xxx sets Comment to xxx
-f xxx sets Full Name to xxx
-U xxx sets UserProfile to xxx
-n xxx sets LogonScript to xxx
-h xxx sets HomeDir to xxx
Cusrmgr.exe aracı parametrelerinden anlaşıldığı gibi, istediğiniz bir kullanıcıyı, istediğiniz bir gruba eklemenizi ve çıkarmanızı sağlıyor.
Örnek:
cusrmgr.exe -u Domain\Erkan.sezgin -alg "Remote Desktop Users" komutu erkan.sezgin kullanıcısını Remote Desktop Users grubunun üyesi yapar.
cusrmgr.exe -u Domain\erkan.sezgin -dlg administrators komutu kullanıcıyı local admin grubundan çıkarır.
Peki, tüm domainde kullanıcıların local admin haklarını almak için bunu nasıl kullanacağız?
Gözönüne almamız gereken kullanıcıların bu .exe’yi nereden ve nasıl çalıştıracağı ve .exe’nin çalıştığı bilgisayarlara kullanıcı adı parametresini nasıl göndereceğimizdir.
Kullanıcının bilgisayarlarında bu .exe’yi bir logon.bat dosyasıyla çağırabiliriz. Fakat çağırdığımız .exe’nin herkesin erişebileceği bir paylaşımda olması gerekir.
Eğer;
\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -alg "Remote Desktop Users"
İçeriğine sahip bir bat dosyası oluşturup kullanıcı logon olduğunda çalışmasını sağlarsak, logon username’i alarak Remote Desktop Users grubuna üye yapacaktır.
\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -dlg administrators
Komutunu .bat dosyasında ikinci satır olarak eklerseniz, remote desktop users grubuna ekleme işleminden sonra logon user’ı Local Administrator grubundan çıkartacaktır.
1. Bat dosyasını aşağıdaki gibi düzenleyerek logon.bat ismini verelim.
\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -alg "Remote Desktop Users"
\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -dlg administrators
2. Dosyamızı \\DCname\Netlogon paylaşımına kopyaladıktan sonra Active Directory Username and Computers konsolundan Username > Properties > Profile sekmesinde Logon Script bölümüne logon.bat yazalım.
Şekil-1
Kullanıcı logon olduğunda script çalışacak ve domain user’larınız kendi bilgisayarlarında artık local admin olamayacaklardır. Kullanıcılarda çalışacak olan bu script’i tüm network e yaymanız iş yükünüzü planlamanızı sağlar. Aslında admin hakları olmadan çalışamayan programların sorunu registry’de ve/veya local disk üzerinde bazı yerlere yazma yetkisinin olmamasında gizlidir. Programların destek merkezlerinden bu tip konularda yardım alınabileceğini de hatırlatmak isterim. Sonuç olarak tüm network yapınızda bu işlemi gerçekleştirmek istiyorsanız ilk olarak departman bazlı bir modeli planlamanızı öneririm. Bu şekilde çıkacak sorunları çözmek için yeteri kadar vaktiniz olacaktır.
