Windows Server varsayılanında Authenticated Users grubu, bulundukları Domain’e 10 Workstation ekleyebilirler. Bu yetkilendirmeyle ilgili açıklama hâlihazırda server işletim sistemi içerisinde mevcut. Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\ altında bulunan Explain;
Benim görüşüm bunun bir güvenlik açığı olduğu yönünde; yönetilen domainlerde bu kısıtlamanın yapılmasının Domain yapısı içerisindeki güvenliğe katkı sağlayacağı kanaatindeyim. Bu yetki kısıtlaması yalnızca Domain Users grubunu kapsar. Administrators gruplarını kapsamaz.
- Run’ı açıp adsiedit.msc kısayolunu çalıştırmasını istiyoruz;
- ADSI Edit’e sağ tıklayarak Connect To diyoruz;
- Açılan pencerede Name yazan kısıma Domain adını yazıyoruz;
- Bağlandığımız domainin altında bulunan DC=deniz, DC=local’e yazan kısıma sağ tıklayıp Properties dedikten sonra, Attiribute Editor altında bulunan ms-DS-MachineAccountQuota niteliğine çift tıklayıp açılan ekranda Value altında 10 yazan kısıma 0 yazıp OK/Apply/OK diyerek ADSI Edit penceresini kapatıyoruz.
Active Directory üzerindeki bu tip konfigürasyonlar basit gibi görünse de unutulduğunda, User Management sorunları yaşatabilecek cinsten.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
www.mshowto.org
TAGs: active directory, adsiedit, domainde yetki kısıtlama, machine account quota, prevent adding workstation, user management, Windows Server 2016
