Active Directory deki kullanıcıların listesini almak

Bazı durumlarda Active Directory deki kullanıcıları bir yerlere aktarmak gerekebilir.. Böyle bir durumda domain controller üzerinde başlat çalıştır da cmd komutunu yazıp konsolu açın burada net users >c:users.txt yazdığınızda c diskinin altında users.txt diye bir dosya oluşacak ve tüm kullanıcılar buraya kaydolacaktır.

Powershell komutu ise;

Get-ADUser -filter * -properties * | Select-Object -Property samaccountname,DisplayName | ConvertTo-Csv | Out-File c:davuteren_local_users.csv

Kullanıcı listenizin .csv formatında c dizininizin altına aktarıldığını görebilirsiniz.

Notepad ya da Microsoft Excel Programı ile bu dosyayı görüntüleyebilirsiniz.

Active Directory deki kullanılmayan bilgisayarları tespit etmek

Active Directory üzerinde belli bir süre kullanılmayan, yani logon olunmayan bilgisayarları tespit ederek silmemiz mümkün.

dsquery computer -inactive 14 -limit 0

Komut satırında bu komutu çalıştırdığımızda bize 14 gün boyunca domain’e login olmayan bilgisayar hesaplarını gösterecektir.

dsquery computer -inactive 14 -limit 0 | dsrm -noprompt

komutu ile de bulunan bu hesaplar silinir.

Kaynak: http://technet.microsoft.com/en-us/library/cc775825%28WS.10%29.aspx

System Center Service Manager üzerinde Active Directory Connector Oluşturmak

System Center Ailesin’den Service Manager’ı kurduğunuzda ilk olarak yapmanız gereken Active Directory ortamındaki kullanıcıları, grupları, bilgisayarları ve ortama deploy edilmiş printerları vs. service manager içine aktarmaktır. Bu makalemizde Active Directory’e bağlantı kurup AD objelerini Service Manager üzerine alıyor olacağız. Bunu yapabilmek için öncelikle sol tarafta görünen navigation menüsünden Administration > “connectors” sekmesini seçerek create connector > Active Directory Connector butonuna basarak kuruluma geçelim.

Bu adımda bizi bir welcome ekranı karşılıyor, Next ile devam ediyoruz.

Connection’umuz için bir isim veriyoruz.

Domain bazında tüm objeleri service manager a alabilmek için use the domain combobox ını seçmemiz gerek ya da herhangi bir OU daki objeleri de alabilirsiniz.

Burada yeni bir hesap oluşturabilir ya da ekranda ki gelen hesapla servise bağlantı kurabilirsiniz, ben burada administrator hesabıyla active directory e bağlantı kuracağım. New butonuna basarak devam ediyorum.

Gelen ekranda tüm bilgisayar, printer, kulanıcılar ve grupları alabilmek için all computers, printers, users and user groups combobox ını seçerek devam ediyorum.

Burada karşımıza özet ekranı geliyor, eğer adımlarda herhangi bir kısmı eksik yapmadığınızı hissediyorsanız create butonuna basarak connector u oluşturuyoruz.

Connector başarıyla active directory e bağlandı.

Şimdi synchronize Now butonuna basarak connectorun AD ile objeleri almasını tetikleyebilirsiniz, ya da bu işlemim Otomatik olarak yapılmasını bekleyebilirsiniz.

Connector Otomatik olarak zaman zaman kendini tetikliyecektir. Bu işlemin başarılı olduğunu control ediniz.

Bu makalemde System Center Service Manager Üzerinde Active Director Connector oluşturmayı gördük, bir başka makalemde görüşmek ümidiyle Hoşçakalın

System Center Service Manager Kurulumu ile ilgili makaleme buradan ulaşabilirsiniz

Remote Server Administration Tools

Windows Client Bilgisayarınızdan Domaindeki kullanıcılarınızı, policy lerinizi, dhcp, dns inizi sunucuya bağlanmadan kolayca yönetebilirsiniz. Nasıl mı? Aşağıdaki Adresten uygulamayı bilgisayarınıza indirip kurmanız yeterlidir.

Remote Server Administration Tools for Windows 8.1

Remote Server Administration Tools for Windows 8

Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1)

Yukarıdaki linklerden Windows 8 ve Windows 7 için olanları indirebilirsiniz

Active Directory Guvenligi – Guclu Parola Kullanimi

Parolalar, kuruluşunuzun güvenliğini sağlamak amacıyla yetkisiz erişimlere karşı ilk savunma hattını oluşturur. Fakat güçlü parola kullanmak genellikle hafife alınıp gözardı edilir. Windows işletim sistemleri üzerinde karmaşık parola ilkeleri mevcuttur, aktif edildiğinde, basit parolalar girmek istediğinizde size bir uyarı vererek, sizi karmaşık parola kullanımına zorlayacaktır. Bugün mevcut şifre kırma programları yeteli zaman, tahmin ve deneme yöntemleri ile parolaları kırabilirken basit bir parolanın kırılabilmesi hiç de zor değildir.

Güçlü parolaları kırmak kolay parolaları kırmaya göre daha zor ve daha çok zaman alır.

Parola karmaşıklığını etkinleştirebilmek için kendi bilgisayarınızda aşağıdaki adımları, domain ortamında ise yeni bir group policy oluşturarak bunu etkin hale getirebilirsiniz.

Başlat/Çalıştır/ gpedit.msc

Gelen ekrandan Computer Configuration/Windows Settings/Security Settings/Account Policies/

Enforce password history: Geriye dönük kaç parolanın hatırlanması gerektiği ayarının yapıldığı bölüm. Burada eski 3 parolanızı yeniden kullanamazsınız.

Maximum password age: Parolanızın süresinin kaç gün sonra sona ereceğini bu alandan ayarlayabilirsiniz örneğin benim ayarıma göre 72 gün sonra parolamı değiştirmem gerekecek

Minimum password age: Parolamı değiştirdikten sonra, kaç gün içerisinde parolamı yeniden değiştirebilirim. Benim örneğimde yeniden parola değiştirebilmem için 2 gün geçmesi gerek

Minimum password length: En az olması gereken parola uzunluğunu ifade eder.

Password must meet complexity requirements: Parola karmaşıklık ilkesini aktif etmek yani bu bizim makalemizin konusunu oluşturuyor. Parolalarınızın daha güvenli olabilmesi için basit parolalar girememenizi sağlar.

Store password using reversible encryption: bu seçenek parolalarınızın eskiye dönük bir şekilde şifrelenerek saklanmasına yardımcı olur.

Zayıf bir parola nasıl olur?

  • Parolanın boş bırakılması
  • Parolanızın Monitöre yapıştırılması
  • Kullanıcı adınız, gerçek adınız veya şirket adını içerir
  • Basit bir cümleyi içerir “Password” gibi.

Güçlü bir parola nasıl olmalı?

  • En az 7 karakter uzunluğundadır.
  • Parolanızın mönitörde yapışık olmaması
  • Kullanıcı adınızı, gerçek adınızı veya şirket adınızı içermez.
  • Basit bir cümleyi içermez
  • her bir şifresi farklıdır. Örneğin: PassWord1, password2, Password3 bunun gibi arttırarak parola belirlemek güçlü parola değildir.

Grup

Örnek

Büyük karakterler

A, B, C … gibi

Küçük karakterler

A, b, c … gibi

Numaralar

0, 1,2, 3, 4, 5, 6, 7, 8, 9

Semboller

` ~ ! @ # $ % ^ & * ( ) _ + – = { } | : ” ; ‘ < > ? , . /

Güçlü bir parola örneği !([email protected]> & <Oz1em)

Bazı parolalar güçlü gibi görünse de aslında güçlü olmayabilir. Merhaba2U! gibi tüm kriterleri karşılıyor gibi görünse de kırılması kolaydır. Bunun yerine [email protected] [email protected]! Şeklinde kullanılabilinirse güçlü bir parola oluşturmuş olursunuz. Bunların haricinde ASCII karakterlerde kullanmanız güçlü bir parola oluşturmanızda size yardımcı olacaktır. (kUµ!¶0o and Wf©$0k#»g¤5ªrd.)

Unutulmaması gereken şudur ki windows en fazla 127 karakter uzunluğunda parola kullanımına izin vermektedir. Bu windows 98 ve daha önceki sürümlerde 14 karakterdir. Eğer ki ortamınızda 98 işletim sisteminiz varsa 14 karakterden daha uzun parolalarla giriş yapamayacaksınızdır.

Güçlü parolalar oluşturmanız temennisiyle

Referans: http://technet.microsoft.com/en-us/library/cc756109%28v=ws.10%29.aspx

Dipnot: Yeni oluşturduğunuz parolanızın hackerlar tarafından kaç gün de kırılabileceğine dair bilgi almak isterseniz aşağıdaki linkten yararlanabilirsiniz.

https://password.kaspersky.com/tr/

You do not have sufficient privilages to delete hatasi ve cozumu

Active Directory yönetiminde olmazsa olmazlar arasında Organization Unit (Konteynır) lar belli bir düzeni sağlar. Nasıl siz çalışma masanızda ya da evinizdeki eşyalar için bir düzen oluşturmuşsanız Active Directory de de bunu oluşturmak yönetimi kolaylaştıracaktır. Örneğin bilgisayarların, bölgelerin, kullanıcıların, serverların farklı OU lara koyulması Group Policy uygulamasınıda kolaylaştıracaktır. Fakat bazen OU lar üzerinde düzenleme yapıp boşta kalan OU ları silmeniz gerekebilir. İlgili OU yu silmeye çalıştığınızda “You do not have sufficient privilages to delete xxx, or this object is protected from accidental deletion” bu hatayı alıyor olabilirsiniz. Bunun sebebi OU yu oluşturan kişinin bu konteynırın yanlışlıkla silinmemesi için koruma oluşturmasıdır.

Eğer siz gerçekten bu OU yu silmek istiyorsanız yapmanız gereken bazı şeyler vardır.

Öncelikle Active Directory Users and Computers üzerindeki gelişmiş seçenekleri aktif etmemiz gerekiyor. ViewAdvanced Features i seçerek gelişmiş seçenekleri aktif ediyoruz.

Bu bize AD objeleri üzerinde daha fazla seçenek sunacaktır. Şimdi silmek istediğiniz OU nun üzerinde özellikler e tıklayarak Properties seçeneğini seçiyoruz gelen ekranda Object sekmesinde Protect object from accidental deletion seçeneğinin işaretinin kaldırılması gerekmekte, sonrasında bu OU yu silebilirsiniz.

PowerShell ile silmek için ilgili makaleyi inceleyebilirsiniz: http://technet.microsoft.com/en-us/library/ee617239.aspx

Yapilan Yazici Yonlendirmesini Kullanici Bazli Iptal Etme

Merhaba, Bu yazımda terminal sunucu üzerinde printer redirection (yazıcı yönlendirmesi) yaptınız fakat yönlendirilen yazıcıda uygulama(program) bazlı performans problemleri yaşıyorsunuz ve yazıcınız tüm uygulamalarda hızlı bir şekilde yazdırabilirken bir uygulamada yazıcıya gönderdiğiniz yazıyı uzun süre bekledikten sonra yazdırabiliyorsanız problem büyük ihtimal driver kaynaklıdır. Bu durumda kullanıcının printerini sunucu üzerine elle eklemeniz gerekebilir. Diyelim ki bunu da yaptınız ve normal bir şekilde yazıcıya çıktı gönderebiliyorsunuz fakat default (varsayılan) yazıcı kullanıcının bilgisayarındaki yazıcı regedit (kayıt defteri) e girerek binbir takla atmış olabilirsiniz.

Merhaba, Bu yazımda terminal sunucu üzerinde printer redirection (yazıcı yönlendirmesi) yaptınız fakat yönlendirilen yazıcıda uygulama(program) bazlı performans problemleri yaşıyorsunuz ve yazıcınız tüm uygulamalarda hızlı bir şekilde yazdırabilirken bir uygulamada yazıcıya gönderdiğiniz yazıyı uzun süre bekledikten sonra yazdırabiliyorsanız problem büyük ihtimal driver kaynaklıdır. Bu durumda kullanıcının printerini sunucu üzerine elle eklemeniz gerekebilir. Diyelim ki bunu da yaptınız ve normal bir şekilde yazıcıya çıktı gönderebiliyorsunuz fakat default (varsayılan) yazıcı kullanıcının bilgisayarındaki yazıcı regedit (kayıt defteri) e girerek binbir takla atmış olabilirsiniz.

Buda çare olmamıştır tahminim. Hala eklediğiniz yazıcı varsayılan olarak gelememektedir. Aslında bunun çok kolay bir yolu var. Yaptığım çalışmalarda, yazıcı yönlendirmesini kullanıcı bazlı kapatmanız mümkün olmadığını gördüm fakat şöyle bir ayar yapılarak bu sorunu giderebilmek mümkün ve bunu sizinle paylaşmak istiyorum. Active Directory üzerindeki kullanıcının özelliklerine girdiğinizde Environment sekmesi altındaki uzak masaüstü için yazıcı ve sürücü yeniden yönlendirme işaretlerini buradan kaldırmanız gerekiyor.

Yukarıdaki resimde gördüğünüz check işaretlerini kaldırdığınızda kullanıcı bir sonraki girişinde bu problemi bir daha yaşamayacaktır.

Umarım faydalı olmuştur.

AD deki Kullanicidan Password never expires secenegini kaldirmak

Bazen üst yönetimin isteği, bazen se sistem yöneticisinin kuralları gereği Active Directory içerisindeki kullanıcılar için parolalar her zaman geçerli olsun istenir. Daha sonra sistem yöneticisi değişir ve güvenlik gereği, parola politikalarını devreye almak ister fakat daha önce 500 kullanıcı için parola her zaman geçerli olsun işaretlenmişse bu nokta da dsquery ve dsmod komutları makaleme konu olmakta.

Active Directory Users and Computers (dsa.msc) ya baktığımızda arayüzden kullanıcıların özelliklerine girdiğinizde Password never expires seçeneğinin seçildiğini görebilirsiniz.

Bu ekrandaki gibi password never expires işaretini kaldırabilmek için 500 kullanıcı hesabı üzerinde değişiklik yapmanız gerekir, buda haylaz bir admin için ciddi zaman kaybıdır 🙂

Üstteki resimdeki gibi kullanıcının parola politikasından etkilenmesi için gerekli değişikliği yapabilmemiz için domain controller özelliği olan bir bilgisayarda komut satırını run as administrator ile açmalı ve aşağıdaki komutu çalıştırmalıyız

dsquery user “DC=davuteren,DC=local” | dsmod user -pwdneverexpires no

bu, şu demek oluyor; davuteren.local domain hesabının altındaki tüm hesapları dolaş ve burada password never expires işaretli ise kaldır demek. Eğer sondaki no yazan alanı yes yaparsanız da tam tersini yapmış olacaksınız.

Bunu bir OU üzerinde uygulamak isteyebilirsiniz, ya da OU distinguish nameini nasıl bulabilirim diye düşünüyorsanız

Domain controller üzerinde başlat/çalıştır a gelerek dsa.msc komutunu çalıştıralım.

View seçeneğinden Advanced Features seçeneğinin işaretlenmesi gerek, bu işaretlendiğinde konsola daha farklı menüler eklenmiş olacak.

Domain name üzerinde sağ tıklayarak properties seçeneği ile özelliklerine gelelim

Attribute editör seçeneğinde alt satırlara indiğinizde bulunduğunuz dizinin ya da bunu OU üzerinde yapmışsanız o OU ya ait distingueshed name i görebilirsiniz. Yukarıda girdiğimiz komut satırında DC=davuteren,DC=local alanını kendi distinguished name inize göre değiştirebilirsiniz.

Eğer yaptığınız işlemi geri almak isterseniz de

dsquery user “DC=davuteren,DC=local” | dsmod user -pwdneverexpires yes

komutu ile tüm domaindeki kullanıcılara parola her zaman geçerli olsun seçeneğini işaretlemiş olursunuz.