Domain ortamına dahil olan tüm sunucu ve bilgisayarlar varsayılan olarak domain admins grubuna üye olan hesaplarla yönetilebilirler. Fakat sunucu ve bilgisayarları domain admin hesabıyla yönetmek büyük bir güvenlik açığına neden olacağından sadece bu sunucu ve bilgisayarları yönetmeye yetkili olan ve domainde başka yetkisi olmayan hesapların tanımlanması uygun olacaktır.
Bu makaledeki işlemler yapıldıktan sonra diğer adım olarak sadece bu yönetim hesaplarıyla ilgili bilgisayar ve sunuculara giriş (login) izni verilmelidir. Söz konusu işlemler ise aşağıdaki makalede anlatılmaktadır:
1) Öncelikle "Active Directory users and computers" uygulaması kullanılarak, "destekgrup" adında bir grup oluşturup üyelerini belirliyoruz (grup ve üye adlarında admin, yonetici vs gibi ibareler geçmemeli)
2) İlgili bilgisayar organizasyonu (OU) altında politikamızı oluşturarak "Restricted Groups" sekmesi altında destekgrup adlı grubu Administrators grubuna ekliyoruz:
Böylece ilgili OU altındaki bilgisayarların lokal "administrators" grubu üyeleri "destekgrup" ve "domain admins" gruplarından (dolayısıyla onların üyelerinden) oluşacak.
3) Aşağıdaki komutla politikanın hemen aktif olmasını sağlayabiliriz:
Not: Buna benzer bir çalışmanın sunucular için de yapılması (farklı grup ve üyeler ile) uygun olacaktır. Mesela bilgisayarları yönetirken dpc1, dpc2... hesapları ile yönetim yapılabilirken sunucu yönetimi için ds1, ds2... vs. adlı hesaplar kullanılabilir. Bu hesapların şifreleri de birbirinden farklı olmalı ve belirli aralıklarla değiştirilmelidir.
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder