Merhaba,
Bu makalemizde bilgisayar ve sunucularda; enterprise admins, domain admins grubuna üye olan yetkili hesaplarla lokal veya remote giriş (login) yapılmasını, servis çalıştırılmasını vb. engelleyerek bu yetkiye sahip hesapları nasıl koruyabileceğimizi göreceğiz.
Dikkat: Bu politikayı uygulamadan önce, bilgisayar ve sunucuları yönetmek üzere, yönetim hesaplarını aşağıdaki makalede anlatıldığı şekilde oluşturmalıyız:
1) Group Policy Management uygulamasını çalıştırıyoruz ve ilgili "organisation unit(OU)" üzerinde sağ tuş yaparak "Create a GPO in this domain and link it here" a tıklıyoruz:
2) Daha sonra ilgili politikayı "edit" ediyoruz:
3) Politikada aşağıdaki konumda bulunan değerlere giriş yaparak hepsinde "Enterprise admins" ve "Domain admins" gruplarını seçiyoruz:
Deny logon as a batch job
Deny logon as a service
Deny logon localy
Deny logon through terminal services
Son durum aşağıdaki şekilde olacak:
Bu politikayı, tüm client bilgisayarlara ve sunucuların bulunduğu organizasyon unit (OU) altına koyuyoruz (AD domain controller sunucular hariç)
4) Active Directory sunucumuz üzerinde politikanın hemen geçerli olması için aşağıdaki komutu çalıştırıyoruz:
5) TEST: İlgili organisation unit altındaki bilgisayarda çalıştır menüsünde "rsop.msc" ile (resultant set of policy) kontrol edilerek politikanın düzgün basılıp basılmadığı anlaşılacaktır. Ayrıca herhangi bir bilgisayardan mevcut bir domain admin hesabı ile login işlemi denendiğinde, oluşturmuş olduğumuz bu politika gereği giriş yapamıyor olmamız gerekir.
Böylece, Domaindeki bir bilgisayara veya exchange sunucumuza bağlanmak ve yönetmek için (program kurmak vs) domain admin yetkili bir hesaba ihtiyacımız olmayacaktır.
Umarım faydalı olmuştur.
Murat TAŞ
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder