Eğer büyük bir yapıya sahipseniz ve clientlarınız Active Directory ile yapmış olduğunuz kısıtlamalardan dolayı bir şekilde local admin hesaplarını kullanıyorlarsa, bu olay can sıkıcı bir hale geldiyse ve bunun önüne geçmek istiyorsanız, çözümünüz basit bir Group Policy düzenlemesi olacaktır. Aşağıda yaptığımız işlemle tüm clientlardan local admin yetkilerini alıp sadece istediğimiz kişi yada grupların bu hakka sahip olmasını sağlayabiliriz.
Resim-1
Server manager ekranında Tool menusunden Group Policy Managment a tıklıyoruz.
Resim-2
Group Policy Managment da Group Policy Object tabına geliyoruz.
Resim-3
Resim-4
New diyerek Policymize bir isim vererek Ok diyoruz.
Resim-5
Ben Policy Name olarak Restricted Uygulama ismini verdim. Oluşturduğum policy üzerine sağ tıklayıp edit diyorum.
Resim-6
Group Policy Managment editör ekranında Computer Configuration altında Windows Settings altında
Restricted Group sağ tıklayarak Add Group seçeneğini seçiyorum.
Resim-7
Browse diyerek Administrators u seçip OK diyerek devam ediyorum.
Resim-8
Tüm clientlarda local admin yetkisine sahip olması gereken kullanıcıları ve daha önceden AD de oluşturduğum Local Admins Security Group u Add ile ekliyorum. Apply ve OK diyerek bu pencereyi kapatıyorum.
Resim-9
Resim-10
Oluşturduğum bu policy ile ilgili OU üzerine gelip Link an Existing GPO diyerek aktif ediyorum.
Sonrasında CMD prompta gpupdate /force komutu ile policyi tetikliyorum.
Local Admin yetkisine sahip clientlar policy i aldıklarında sadece bizim ayarladığımız kullanıcı ve gruplar local admin hakkına sahip oluyor diğer tüm local admin yetkisine sahip eski kullanıcılar bu listeden temizleniyor.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Ellerinize sağlık Osman Bey. Faydalı bir makale olmuş
Hocam Merhaba. Server 2012 DC ve Win 7 client tarafında bu policy i ne yaptıysam çalıştıramadım. Yaptıklarınızı harfiyen yapıyorum fakat Local Admin grubunda bir türlü geçerli olmuyor