Active Directory ve Exchange Schema Versiyonu Kavramları

Active Directory mimarisini öğrenirken en temel şeylerden biri olan active directory veri tabanı içerisindeki bölümleri incelemek ile başlıyoruz. Bu bölümlere baktığımız zaman

Domain

Configuration

Schema

Application

Olmak üzere 3 bölümden oluştuğunu görebiliyoruz.

Her ne kadar yurdum bir bilgi işlem çalışanı bunlar ile pek ilgilenmiyor olsa bile schema konusunda herkesin bir fikri vardır. Çünkü eğitmen ve danışman seviyesinde değil, Banka, Telekom, GSM gibi bir şirket organizasyonunda çalışmıyor ise bu kadar derin bilgiler çok gerekli değil.

Ama schema bunlara göre biraz farklı, çünkü şirket seviyesi ne olur ise olsun mutlaka bir kere bu sistem yöneticisi schema ile tanışmış oluyor J Bunun temel sebebi ise Exchange, Lync, System Center veya benzeri ürünlerin schema genişletme ihtiyacı. Veya bir migration projesinde ki yine benzer ihtiyaçlar bulunmaktadır. Buradan yola çıkaraktan bende temel anlamda neymiş bu schema ve nedir bunun sürümleri noktasında bilgi vermek istiyorum.

Schema, temel olarak AD veri tabanındaki bölümlerden biri olup domain bölümünde saklanan objeler için öz nitelik olarak isimlendirdiğimiz attribute tablolarını saklamaktadır. Yani temel olarak aslında veri değil veri saklanacak tabloların detaylarını saklar.

İlk okuyunca bana da karışık geliyor ama örnekle açıklayınca güzel oluyor J

Bir kullanıcının adı, soyadı, şifresi, telefon numarası gibi bu alanları schema tabloları belirler. Ama örneğin bir kullanıcı telefon numarası schema içerisinde değil domain bölümü içerisinde saklanır.

Başka bir örnek, Exchange server yüklemeden önce AD üzerinde göremediğiniz pek çok öz nitelik birden ortaya çıkar, evet bunlar boştur ama tablo olarak schema genişlediği için artık bunlar sizin kullanımınıza sunulmuştur.

Yukarıda yine bir schema genişlemesinden bahsettim hemen bunu da açıklayayım.

Örneğin yapınıza yeni bir ürün kuracaksınız, bu ürün eğer AD üzerinde bir takım bilgiler saklamak istiyor ise öncelikle bu bilgileri saklaması için uygun tabloların olması gerekmektedir. Bu nedenle Exchange, lync ve benzeri ürünlerde öncelikle schema genişletilir, yani gerekli olan yeni tablolar oluşturulur ve sonrasında ürün ile beraber bu alanlar kullanılmaya başlanır.

Gelelim bu schema sürümlerine;

Belki etrafınızdan da duymuş olabilirsiniz, işte server 2008 kullanıyorum schema versiyonum 44, ya da server 2012 kullanıyorum schema versiyonum 56 gibi, Aşağıda Microsoft tarafından tanımlanmış bazı schema versiyonları mevcuttur.

İşletim Sistemi

Schema Versiyonu

Windows Server 2000

13

Windows Server 2003

30

Windows Server 2003 R2

31

Windows Server 2008

44

Windows Server 2008R2

47

Windows Server 2012

56

Bu schema versiyonları service pack paketi yüklemelerinde bile değişiklik sağlayabilir. Yine bunu da bir örnekle açıklamak gerekirse Exchange server 2010 SP1 li kurdunuz bunun forest tarafındaki range upper attribute una baktığınızda ms-Exch-Schema-Version-pt değerinin 14726 olduğunu gözlemlerken, Exchange Server 2010 için SP3 kurulumu yaptığınızda bu versiyonun 14734 e yükseldiğini görebilirsiniz. Bu değerlerin neler olduğunu merak ediyorsanız aşağıdaki gibidir. Makalem bitmeden bu değerlere de nereden bakılabileceğinizden de bahsediyor olacağım.

Exchange Version

Forest rangeUpper attribute of ms-Exch-Schema-Version-Pt

 

Forest objectVersion attribute of Organization container

Domain objectVersion attribute on Microsoft Exchange System Objects

Exchange 2000 RTM

4397

4406

Exchange 2000 SP3

4406

4406

Exchange 2003 RTM

6870

6903

6936

Exchange 2003 SP1

6870

6903

6936

Exchange 2003 SP2

6870

6903

6936

Exchange 2007 RTM

10637

10666

10628

Exchange 2007 SP1

11116

11221

11221

Exchange 2007 SP2

14622

11222

11221

Exchange 2007 SP3

14625

11222

11221

Exchange 2010 RTM

14622

12640

12639

Exchange 2010 SP1

14726

13214

13040

Exchange 2010 SP2

14732

14247

13040

Exchange 2010 SP3

14734

14322

13040

Exchange 2013 RTM

15137

15449

13236

Exchange 2013 CU1

15254

15614

13236

Exchange 2013 CU2

15281

15688

13236

Exchange 2013 CU3

15283

15763

13236

Gelin şimdi Schema versiyonuna nasıl bakabileceğimizi görelim.

Başlat / Çalıştır üzerinde ADSIedit.msc komutunu çalıştırıyoruz. ADSIedit; Active directory servis ara yüzüne bağlanabilmemizi sağlayan bir araçtır.

 

 Açılan ara yüzden ADSI Edit üzerinde sağ tıklayarak connect to… butonuna basıyoruz.

 

Gelen ekranda Path kısmında hangi sunucuya bağlı olduğunuzu görebilirsiniz.

 

Computer kısmından sunucu seçimi yapıp istediğiniz bir sunucuya da bağlanabilirsiniz. Biz schema ile ilgili işlemler yapmak istediğimiz için select a well known naming context seçeneği ile ilerliyeceğiz. Burada schema seçeneğini seçimini yaparak ok butonuna basıyoruz.

Gelen ekranda CN=Schema ile başlayan kısımda sağ tıklayarak Properties seçeneğini seçiyoruz.

Object version attribute unun value değerinin 56 olduğunu görmektesiniz. Bu yukarıdaki tablolarda belirtildiği gibi Windows Server 2012 işletim sistemine ait versiyondur.

Dip Not: Bazı durumlarda ortamınıza; ortamınızdan farklı versiyon bir domain controller eklemeniz gerektiğinde windows server 2008 r2 gibi schema versiyonlarının uyumlu olması gerekir bundan dolayı schema versiyonunu yükseltmeniz gerekebilir.

*** Bu versiyonun elle değiştirilmesi önerilmez

Exchange Server 2010 a ait schema versiyonuna ait bilgiye de şu şekilde bakabiliriz. Schemayı genişlettikten sonra Name kısmında ms-Exch-Schema-Version-Pt yi bulup özelliklerini incelemelisiniz.

Attribute editor üzerinde range upper değerinin yukarıda belirtilen exchange tablosuyla uyumlu olduğunu gözlemleyebilirsiniz.

Schemayı kontrol etmenin bir diğer yolu ise LDP.exe ile mümkün bunun için başlat/çalıştır da ldp.exe komutunu çalıştırmamız gerekiyor.

Açılan menu üzerinden Connection/Bind seçimini yaparak devam ediyoruz

Gelen Bind ekranında hiç bir şeyi değiştirmede Bind as currently logged on user seçimiyle ok butonuna basarak oturumu açalım.

View tabından Tree seçimini yaparak schema ya bağlanmak için gerekli seçim ekranına geliyoruz

Bu ekranda CN=Schema.CN=Configuration ile devam eden seçeneğe gelerek seçiçiçizi yapıyoruz bu arada root domain adım davuteren.com dur.

Schema açıldığında orta bölümde object version un 56 olduğunu yine görebilirsiniz.

Bu alanda en üst butonların olduğu bölümde options/general seçeneğini seçerek Max Childeren değerini 65535 olarak değiştiriyorum. Bunun sebebi Exchange Server la alakalı schema versiyonuna bakmak istiyorum burada varsayılan olarak gelen değer 1000 satırlık obje geldiği için ben bunu tüm sorguları göstermesi için bu şekilde değiştiriyorum.

Schema içerisinde ms-Exch-Schema-Version-Pt olan bölüme gelerek range upper değerinin yukarıdaki tabloyla eşleştiğini gözlemleyebilirsiniz.

Bu durumda benim sistemimde exchange server 2010 SP3 lü versiyon var demektir. J

Biraz çok oldum ama schema versiyonunu DSQuery ile de komut satırından şu şekilde bulabilirsiniz

dsquery * CN=ms-Exch-Schema-Version-Pt,cn=schema,cn=configuration,dc=davuteren,dc=com -scope base -attr rangeUpper

Powershell ile;

http://gallery.technet.microsoft.com/Check-the-Exchange-3ed71580

Registry ile;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\System Schema Version değerini açıp DWORD değerini decimal gösterimde gösterdiğinizde görebilirsiniz.

Bildiklerimi size olabildiğince aktarmaya çalıştım, umarım faydalı olmuştur.

Bir sonraki makalemde görüşmek ümidiyle

Domain ortamındaki tüm bilgisayarları listelemek

Merhabalar; bugun size küçük bir visual basic script dosyasını baylaşacağım, müdürünüz aramış ve içerideki tüm bilgisayarların tam bir listesini istemiş olabilir, panik yapmanıza gerek yok 😉 Ekteki script ile bu işlemi kolayca yapabilirsiniz. scripti çalıştırıp domain adınızı yazmanız yeterli olacaktır

domain adını girip ok butonuna bastığınızda masaüstüne computers.txt adında bir not defteri açılarak tüm bilgisayarların bir dökümünü size sunacaktır.

Active Directory Offline Defrag Nasıl Yapılır

Domain controllerlar üzerinde zaman zaman Active Directory bakımı yapmakgerekir, eğer çok büyük bir yapınız yok ise belki bu durum replikasyonlardanbirinin hata vermesi sonucu olabilir ya da NTDS.dit dosyanız gereksiz birşekilde büyümüş olabilir, bu gibi durumlarda active directory dosyalarınızabakım yapmak isteyebilirsiniz. Bu işlemin nasıl yapılabileceğini anlatmayaçalışacağım.

Önerim Active Directory yedeğinin kesinlikle alınmış olmasıdır ayrıca sisteminizde herhangi bir problem yoksa defrag yapmayınız aksi taktirde replikasyon problemlerine sebebiyet verebiliyor.

C sürücü harfinin sizin sistem sürücüsü olduğunu varsayarsak şu yolutakip etmemiz gerekecektir. C:windows tds klasörünün içerisine girerek TEMPadında bir klasör oluşturalım bunun sebebi NTDS.dit dosyasını geçici olarak buklasöre almak ve active directory dosyalarını birleştirdikten sonra tekrardanwindows tds klasörüne geri taşımak içindir.

Bu işlemi offline olarak gerçekleştireceğimiz için Başlat/Çalıştır daservices.msc yazarak enter a basıyoruz gelen ekran servislerin olduğu ekrandırburada Active Directory Domain Service in üzerine gelerek bu servisidurdurmamız gerekiyor.

Servisin durduğundan emin olduktan sonra komut satırını açarak(Başlat/Çalıştır/CMD)

Komut satırı açıldığında NTDSUTIL yazarak NTDSUTIL aracını çağırıyoruz.Komut satırında bu parametrenin altına düştüğünüzde NTDS dosyasının birörneğini almak anlamına gelen Activate Instance NTDS komutunu yazarak bu moduaktifleştiriyoruz. Daha sonrasında Files komutunu vererek dosya bakım modunageçiyoruz burada info komutunu vererek database’e ait dosya boyutları vs.bilgileri görebilirsiniz isterseniz burada database in boyutunu bir yere notederek işlem bittikten sonra tekrar boyuta bakarak işlemin ne kadar yer kazandırdığını belirleyebilirsiniz.

Compact to c:windows tds empkomutunu vererek defragmantasyona (database i birleştirme de denebilinir)başlayabiliriz.

Defragmantasyon işlemi bittiğinde aşağıdaki gibi compaction is successfulyazan bir ibare alırsınız. Bu aşamadan sonra yapmanız gereken temp in içerisinedefrag yapıp gönderdiğimiz ntds.dit dosyasının alınarak tekrar eski yerinekonulması ve eski log dosyalarının silinerek bilgisayarın yeniden başlatılmasıolarak sıralayabiliriz.

Bu aşamadan sonra copy “c:windows tds emp tds.dit””c:windows tds tds.dit” komutunu vererek yeni oluşturduğumuz ntds dosyasınıolması gereken yere taşımış oluruz. Bunun dışında oluşan log dosyalarını dasilelim del c:windows tds*.log komutuyla eski log dosyalarınıda silmemizgerekmektedir.

Bu işlemlerin ardından isterseniz active directory services I yeniden başlatırsınız yada bilgisayarınızı yeniden başlatırsınız, bana ikinci seçenek daha kolay geldiği için sunucuyu yeniden başlatıyorum

Sunucunun açılması biraz zamanalabilir. Bu aşamada biraz sabretmek gerekiyor J

Bir süre sonra replikasyonlarsitelarınız üzerinden tetiklenecektir bu süreç tamamldığında Komut satırındarepadmin /replsummary komutunu verdiğinizde replikasyonların hata vermediğinigözlemleyebilirsiniz.

 

Active directory üzerinde offlinedefragmantasyonu anlatmaya çalıştım. Bir sonraki makalede görüşmek ümidiyle

Active Directory deki kullanılmayan bilgisayarları tespit etmek

Active Directory üzerinde belli bir süre kullanılmayan, yani logon olunmayan bilgisayarları tespit ederek silmemiz mümkün.

dsquery computer -inactive 14 -limit 0

Komut satırında bu komutu çalıştırdığımızda bize 14 gün boyunca domain’e login olmayan bilgisayar hesaplarını gösterecektir.

dsquery computer -inactive 14 -limit 0 | dsrm -noprompt

komutu ile de bulunan bu hesaplar silinir.

Kaynak: http://technet.microsoft.com/en-us/library/cc775825%28WS.10%29.aspx

PowerShell ile Active Directory Audit Raporlari

Merhabalar, Powershell ile Active Directory Audit raporlarını kolayca alabileceğiniz bir komut bütütnünden bahsetmek istiyorum sizlere. Bu powershell komutunu çalıştırdığınızda forest ve domain bazlı raporlar alabiliyorsunuz. Örnek vermek gerekirse sisteminizde kaç kullanıcınız var, kaç grubunuz var, kimler admin hakkına sahip, kaç dc niz var, site yapınız nasıl gibi bir çok bilgiye erişme şansınız var.

Powershell dosyasını buradan indirebilirsiniz.

Powershell i açtığınızda

Set-ExecutionPolicy RemoteSigned

Set-ExecutionPolicy Unrestricted

bu komutları çalıştırdıktan sonra cscripts dizinine kopyaladığınız powershell komutunu, powershell üzerinde o dizine gelerek ./New-ADAssetReport.ps1 komutu ile çalıştırabilirsiniz. (burada ki / işareti güvenlik dolayısı ile ters olmuştur. bilgilerinize)

Domain seviyesinde ve Forest seviyesinde aşağıdaki raporları alabiliyorsunuz

Forest Level Audit Report

  • Forest Information
    • Forest Summary
      • Name/Functional Level
      • Domain/Site/DC/GC/Exchange/Lync/Pool counts
    • Forest Features
      • Tombstone Lifetime
      • Recycle Bin Enabled
      • Lync AD Container
    • Exchange Servers
      • Organization/Administrative Group/Name/Roles/Site
      • Serial/Product ID
    • Lync
      • Element (Server/Pool)
      • Type (Internal/Edge/Backend/Pool)
      • Name/FQDN
  • Site Information
    • Summary
      • Site Name/Location/Domains/DCs/Subnets
    • Details
      • Site Name/Options/ISTG/Links/Bridgeheads/Adjacencies
    • Subnets
      • Subnet/Site Name/Location
    • Site Connections
      • Enabled/Options/From/To
    • Site Links*new*
      • Name/Replication Interval/Sites
  • Domain Information
    • Domains
      • Name/NetBIOS/Functional Level/Forest Root/RIDs Issued/RIDs Remaining *new*
    • Domain Password Policies
      • Name/NetBIOS/Lockout Threshold/Pass History Length/Max Pass Age/Min Pass Age/Min Pass Length
    • Domain Controllers
      • Domain/Site/Name/OS/Time/IP/GC/FSMO Roles
    • Domain Trusts
      • Domain/Trusted Domain/Direction/Attributes/Trust Type/Created/Modified
    • Domain DFS Shares
      • Domain/Name/DN/Remote Server
    • Domain DFSR Shares *new*
      • Domain/Name/Content/Remote Servers
    • AD Integrated DNS Zones
    • Group Policy Object Information

Domain Level Audit Report

  • Account Statistics (count) 1
    • Total User Accounts
    • Enabled
    • Disabled
    • Locked
    • Password Does Not Expire
    • Password Must Change
  • Account Statistics (count) 2
    • Password Not Required
    • Dial-in Enabled
    • Control Access WithNPS
    • Unconstrained Delegation
    • Not Trusted For Delegation
    • NoPre-AuthRequired
  • Group Statistics
    • Total Groups
    • Built-in
    • Universal Security
    • Universal Distribution
    • Global Security
    • Global Distribution
    • Domain Local Security
    • Domain Local Distribution
  • Privileged Group Statistics
    • DefaultPrivGroup Name
    • Current Group Name (if itwere changed)
    • Member Count
  • Privileged Group Membership for the following groups
    • Enterprise Admins
    • Schema Admins
    • Domain Admins
    • Administrators
    • Cert Publishers
    • Account Operators
    • Server Operators
    • Backup Operators
    • Print Operators
  • Account information for thepriorsections:
    • Logon ID
    • Name
    • Password Age (Days)
    • Last Logon Date
    • Password Does Not Expire
    • PasswordReversable
    • Password Not Required

Kaynak Kod: http://gallery.technet.microsoft.com/Active-Directory-Audit-7754a877

Active Directory Guvenligi – Guclu Parola Kullanimi

Parolalar, kuruluşunuzun güvenliğini sağlamak amacıyla yetkisiz erişimlere karşı ilk savunma hattını oluşturur. Fakat güçlü parola kullanmak genellikle hafife alınıp gözardı edilir. Windows işletim sistemleri üzerinde karmaşık parola ilkeleri mevcuttur, aktif edildiğinde, basit parolalar girmek istediğinizde size bir uyarı vererek, sizi karmaşık parola kullanımına zorlayacaktır. Bugün mevcut şifre kırma programları yeteli zaman, tahmin ve deneme yöntemleri ile parolaları kırabilirken basit bir parolanın kırılabilmesi hiç de zor değildir.

Güçlü parolaları kırmak kolay parolaları kırmaya göre daha zor ve daha çok zaman alır.

Parola karmaşıklığını etkinleştirebilmek için kendi bilgisayarınızda aşağıdaki adımları, domain ortamında ise yeni bir group policy oluşturarak bunu etkin hale getirebilirsiniz.

Başlat/Çalıştır/ gpedit.msc

Gelen ekrandan Computer Configuration/Windows Settings/Security Settings/Account Policies/

Enforce password history: Geriye dönük kaç parolanın hatırlanması gerektiği ayarının yapıldığı bölüm. Burada eski 3 parolanızı yeniden kullanamazsınız.

Maximum password age: Parolanızın süresinin kaç gün sonra sona ereceğini bu alandan ayarlayabilirsiniz örneğin benim ayarıma göre 72 gün sonra parolamı değiştirmem gerekecek

Minimum password age: Parolamı değiştirdikten sonra, kaç gün içerisinde parolamı yeniden değiştirebilirim. Benim örneğimde yeniden parola değiştirebilmem için 2 gün geçmesi gerek

Minimum password length: En az olması gereken parola uzunluğunu ifade eder.

Password must meet complexity requirements: Parola karmaşıklık ilkesini aktif etmek yani bu bizim makalemizin konusunu oluşturuyor. Parolalarınızın daha güvenli olabilmesi için basit parolalar girememenizi sağlar.

Store password using reversible encryption: bu seçenek parolalarınızın eskiye dönük bir şekilde şifrelenerek saklanmasına yardımcı olur.

Zayıf bir parola nasıl olur?

  • Parolanın boş bırakılması
  • Parolanızın Monitöre yapıştırılması
  • Kullanıcı adınız, gerçek adınız veya şirket adını içerir
  • Basit bir cümleyi içerir “Password” gibi.

Güçlü bir parola nasıl olmalı?

  • En az 7 karakter uzunluğundadır.
  • Parolanızın mönitörde yapışık olmaması
  • Kullanıcı adınızı, gerçek adınızı veya şirket adınızı içermez.
  • Basit bir cümleyi içermez
  • her bir şifresi farklıdır. Örneğin: PassWord1, password2, Password3 bunun gibi arttırarak parola belirlemek güçlü parola değildir.

Grup

Örnek

Büyük karakterler

A, B, C … gibi

Küçük karakterler

A, b, c … gibi

Numaralar

0, 1,2, 3, 4, 5, 6, 7, 8, 9

Semboller

` ~ ! @ # $ % ^ & * ( ) _ + – = { } | : ” ; ‘ < > ? , . /

Güçlü bir parola örneği !([email protected]> & <Oz1em)

Bazı parolalar güçlü gibi görünse de aslında güçlü olmayabilir. Merhaba2U! gibi tüm kriterleri karşılıyor gibi görünse de kırılması kolaydır. Bunun yerine [email protected] [email protected]! Şeklinde kullanılabilinirse güçlü bir parola oluşturmuş olursunuz. Bunların haricinde ASCII karakterlerde kullanmanız güçlü bir parola oluşturmanızda size yardımcı olacaktır. (kUµ!¶0o and Wf©$0k#»g¤5ªrd.)

Unutulmaması gereken şudur ki windows en fazla 127 karakter uzunluğunda parola kullanımına izin vermektedir. Bu windows 98 ve daha önceki sürümlerde 14 karakterdir. Eğer ki ortamınızda 98 işletim sisteminiz varsa 14 karakterden daha uzun parolalarla giriş yapamayacaksınızdır.

Güçlü parolalar oluşturmanız temennisiyle

Referans: http://technet.microsoft.com/en-us/library/cc756109%28v=ws.10%29.aspx

Dipnot: Yeni oluşturduğunuz parolanızın hackerlar tarafından kaç gün de kırılabileceğine dair bilgi almak isterseniz aşağıdaki linkten yararlanabilirsiniz.

https://password.kaspersky.com/tr/

You do not have sufficient privilages to delete hatasi ve cozumu

Active Directory yönetiminde olmazsa olmazlar arasında Organization Unit (Konteynır) lar belli bir düzeni sağlar. Nasıl siz çalışma masanızda ya da evinizdeki eşyalar için bir düzen oluşturmuşsanız Active Directory de de bunu oluşturmak yönetimi kolaylaştıracaktır. Örneğin bilgisayarların, bölgelerin, kullanıcıların, serverların farklı OU lara koyulması Group Policy uygulamasınıda kolaylaştıracaktır. Fakat bazen OU lar üzerinde düzenleme yapıp boşta kalan OU ları silmeniz gerekebilir. İlgili OU yu silmeye çalıştığınızda “You do not have sufficient privilages to delete xxx, or this object is protected from accidental deletion” bu hatayı alıyor olabilirsiniz. Bunun sebebi OU yu oluşturan kişinin bu konteynırın yanlışlıkla silinmemesi için koruma oluşturmasıdır.

Eğer siz gerçekten bu OU yu silmek istiyorsanız yapmanız gereken bazı şeyler vardır.

Öncelikle Active Directory Users and Computers üzerindeki gelişmiş seçenekleri aktif etmemiz gerekiyor. ViewAdvanced Features i seçerek gelişmiş seçenekleri aktif ediyoruz.

Bu bize AD objeleri üzerinde daha fazla seçenek sunacaktır. Şimdi silmek istediğiniz OU nun üzerinde özellikler e tıklayarak Properties seçeneğini seçiyoruz gelen ekranda Object sekmesinde Protect object from accidental deletion seçeneğinin işaretinin kaldırılması gerekmekte, sonrasında bu OU yu silebilirsiniz.

PowerShell ile silmek için ilgili makaleyi inceleyebilirsiniz: http://technet.microsoft.com/en-us/library/ee617239.aspx

Yapilan Yazici Yonlendirmesini Kullanici Bazli Iptal Etme

Merhaba, Bu yazımda terminal sunucu üzerinde printer redirection (yazıcı yönlendirmesi) yaptınız fakat yönlendirilen yazıcıda uygulama(program) bazlı performans problemleri yaşıyorsunuz ve yazıcınız tüm uygulamalarda hızlı bir şekilde yazdırabilirken bir uygulamada yazıcıya gönderdiğiniz yazıyı uzun süre bekledikten sonra yazdırabiliyorsanız problem büyük ihtimal driver kaynaklıdır. Bu durumda kullanıcının printerini sunucu üzerine elle eklemeniz gerekebilir. Diyelim ki bunu da yaptınız ve normal bir şekilde yazıcıya çıktı gönderebiliyorsunuz fakat default (varsayılan) yazıcı kullanıcının bilgisayarındaki yazıcı regedit (kayıt defteri) e girerek binbir takla atmış olabilirsiniz.

Merhaba, Bu yazımda terminal sunucu üzerinde printer redirection (yazıcı yönlendirmesi) yaptınız fakat yönlendirilen yazıcıda uygulama(program) bazlı performans problemleri yaşıyorsunuz ve yazıcınız tüm uygulamalarda hızlı bir şekilde yazdırabilirken bir uygulamada yazıcıya gönderdiğiniz yazıyı uzun süre bekledikten sonra yazdırabiliyorsanız problem büyük ihtimal driver kaynaklıdır. Bu durumda kullanıcının printerini sunucu üzerine elle eklemeniz gerekebilir. Diyelim ki bunu da yaptınız ve normal bir şekilde yazıcıya çıktı gönderebiliyorsunuz fakat default (varsayılan) yazıcı kullanıcının bilgisayarındaki yazıcı regedit (kayıt defteri) e girerek binbir takla atmış olabilirsiniz.

Buda çare olmamıştır tahminim. Hala eklediğiniz yazıcı varsayılan olarak gelememektedir. Aslında bunun çok kolay bir yolu var. Yaptığım çalışmalarda, yazıcı yönlendirmesini kullanıcı bazlı kapatmanız mümkün olmadığını gördüm fakat şöyle bir ayar yapılarak bu sorunu giderebilmek mümkün ve bunu sizinle paylaşmak istiyorum. Active Directory üzerindeki kullanıcının özelliklerine girdiğinizde Environment sekmesi altındaki uzak masaüstü için yazıcı ve sürücü yeniden yönlendirme işaretlerini buradan kaldırmanız gerekiyor.

Yukarıdaki resimde gördüğünüz check işaretlerini kaldırdığınızda kullanıcı bir sonraki girişinde bu problemi bir daha yaşamayacaktır.

Umarım faydalı olmuştur.

AD deki Kullanicidan Password never expires secenegini kaldirmak

Bazen üst yönetimin isteği, bazen se sistem yöneticisinin kuralları gereği Active Directory içerisindeki kullanıcılar için parolalar her zaman geçerli olsun istenir. Daha sonra sistem yöneticisi değişir ve güvenlik gereği, parola politikalarını devreye almak ister fakat daha önce 500 kullanıcı için parola her zaman geçerli olsun işaretlenmişse bu nokta da dsquery ve dsmod komutları makaleme konu olmakta.

Active Directory Users and Computers (dsa.msc) ya baktığımızda arayüzden kullanıcıların özelliklerine girdiğinizde Password never expires seçeneğinin seçildiğini görebilirsiniz.

Bu ekrandaki gibi password never expires işaretini kaldırabilmek için 500 kullanıcı hesabı üzerinde değişiklik yapmanız gerekir, buda haylaz bir admin için ciddi zaman kaybıdır 🙂

Üstteki resimdeki gibi kullanıcının parola politikasından etkilenmesi için gerekli değişikliği yapabilmemiz için domain controller özelliği olan bir bilgisayarda komut satırını run as administrator ile açmalı ve aşağıdaki komutu çalıştırmalıyız

dsquery user “DC=davuteren,DC=local” | dsmod user -pwdneverexpires no

bu, şu demek oluyor; davuteren.local domain hesabının altındaki tüm hesapları dolaş ve burada password never expires işaretli ise kaldır demek. Eğer sondaki no yazan alanı yes yaparsanız da tam tersini yapmış olacaksınız.

Bunu bir OU üzerinde uygulamak isteyebilirsiniz, ya da OU distinguish nameini nasıl bulabilirim diye düşünüyorsanız

Domain controller üzerinde başlat/çalıştır a gelerek dsa.msc komutunu çalıştıralım.

View seçeneğinden Advanced Features seçeneğinin işaretlenmesi gerek, bu işaretlendiğinde konsola daha farklı menüler eklenmiş olacak.

Domain name üzerinde sağ tıklayarak properties seçeneği ile özelliklerine gelelim

Attribute editör seçeneğinde alt satırlara indiğinizde bulunduğunuz dizinin ya da bunu OU üzerinde yapmışsanız o OU ya ait distingueshed name i görebilirsiniz. Yukarıda girdiğimiz komut satırında DC=davuteren,DC=local alanını kendi distinguished name inize göre değiştirebilirsiniz.

Eğer yaptığınız işlemi geri almak isterseniz de

dsquery user “DC=davuteren,DC=local” | dsmod user -pwdneverexpires yes

komutu ile tüm domaindeki kullanıcılara parola her zaman geçerli olsun seçeneğini işaretlemiş olursunuz.