Forum

Domain admin grubu ...
 
Bildirimler
Hepsini Temizle

Domain admin grubu üyelerinin listesi

19 Yazılar
9 Üyeler
0 Reactions
5,180 Görüntüleme
(@DenizMurat)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Merhaba,


 Active directory Domain Admins grubu üyelerinin listesini almak istiyorum.


 Scriptle çekilmesi gerektiğini biliyorum, ama ilgili script'i bulamadım.


Yardımcı olabilir misiniz?


 


Teşekkürler.


 


 

 
Gönderildi : 12/07/2011 19:42

(@ceyhuncamli)
Gönderiler: 184
Estimable Member
 

Aşağıdaki script ile enterprise admins, domain admins ve schema admins gruplarına üye olan 
kullanıcıların listesini alabilirsin.Scriptin çıktısı c sürücüsü altında AD Admin Audit olarak yer alacaktır.
 
Option Explicit 'Define ConstantsConst adUseClient = 3Const ForWriting = 2 'Set the path and filename for the dump of sensitive users'  Folder must exist!Dim fileTemp : fileTemp = "C:\AD Admin Audit.txt" ' Create tmp file and report fileDim objFSO, objTempFileSet objFSO = CreateObject("Scripting.FileSystemObject")Set objTempFile = objFSO.OpenTextFile(fileTemp, ForWriting, True' Query RootDSE and return array with all AD domains in forestDim adoCommand, adoConnection, objRootDSESet adoCommand = CreateObject("ADODB.Command")Set adoConnection = CreateObject("ADODB.Connection")adoConnection.Provider = "ADsDSOObject"adoConnection.cursorLocation = adUseClientadoConnection.Open "Active Directory Provider"adoCommand.ActiveConnection = adoConnectionSet objRootDSE = GetObject("LDAP://RootDSE"' Build the LDAP QueryDim strBase, strFilter, strAttrs, strScope, strQuerystrBase   =  "<GC://" & objRootDSE.Get("rootDomainNamingContext") & ">;"strFilter = "(objectcategory=domainDNS);"strAttrs  = "distinguishedName;"strScope  = "subtree"strQuery = strBase & strFilter & strAttrs & strScope ' Set Query parametersadoCommand.CommandText = strQueryadoCommand.Properties("Page Size") = 50adoCommand.Properties("Timeout") = 30adoCommand.Properties("Cache Results") = False ' Execute the queryDim adoRecordSet : Set adoRecordSet = adoCommand.Execute ' Start LoopDo Until adoRecordSet.EOF	' Parse ad search results to create well formed DNS domain	Dim strDomain	strDomain = Replace(adoRecordSet.Fields(0).Value,"DC=","")	strDomain = Replace(strDomain,",",".")	Call GrpAll(strDomain)	adoRecordSet.MoveNextLoopadoRecordSet.CloseadoConnection.Close Private Function GrpAll(byVal strDomain)	' To search for more groups, edit the "strFilter" line. It uses a simple	'  LDAP or (|) so multiple groups can be added. It uses ADO record sets	'  to loop so it doesn't have to find all of them, just one. Every domain	'  will contain at least the Domain Admins group.	Dim adoComm, adoConn	Set adoComm = CreateObject("ADODB.Command")	Set adoConn = CreateObject("ADODB.Connection")	adoConn.Provider = "ADsDSOObject"	adoConn.cursorLocation = adUseClient	adoConn.Open "Active Directory Provider"	adoComm.ActiveConnection = adoConn 	strBase   = "<GC://" & strDomain & ">;"	strFilter = "(&(objectCategory=group)(|((name=Enterprise Admins*)(name=Domain Admins*)(name=Schema Admins*))));"	strAttrs  = "name,member;"	strScope  = "subtree" 	strQuery = strBase & strFilter & strAttrs & strScope	adoComm.CommandText = strQuery	adoComm.Properties("Page Size") = 5000	adoComm.Properties("Timeout") = 30	adoComm.Properties("Cache Results") = False 	Dim adoRS : Set adoRS = adoComm.Execute 	objTempFile.WriteLine "Group report for domain: " & strDomain 	adoRS.MoveFirst 	Do Until adoRS.EOF		Dim strMember		objTempFile.WriteLine vbTab & adoRS.Fields(0).Value		For Each strMember in adoRS.Fields(1).Value			objTempFile.WriteLine vbTab & vbTab & strMember		Next		adoRS.MoveNext	Loop 	adoRS.Close	adoConn.Close

End Function 

 
Gönderildi : 12/07/2011 20:12

(@erenkarakas)
Gönderiler: 61
Trusted Member
 

ms-dos ekranında yada çalıştırda şu komutu kullanırsan c:file.txt diyede oluşturur


net group "domain admins">c:\file.txt

 
Gönderildi : 12/07/2011 20:19

(@m-hakancan)
Gönderiler: 1866
Noble Member
 

Merhabalar,

Arkadaşlara ek olarak DC sunucunuz üzerinde PowerShell
kullanarak aşağıda ki komutu çalıştırırsanız size Domain Admins grubuna üye olan kullanıcılarınızın isimlerini
listeleyecektir.

Get-ADGroupMember 'Domain Admins' | Select-Object name

PowerShell üzerinde bu komutu çalıştırmadan önce Active Directory Modülünün yüklendiğinden emin olun. Eğer yüklemek isterseniz,

Import-Module ActiveDirectory

komutunu çalıştırmanız yeterli olacaktır.

Kolay gelsin...

 
Gönderildi : 12/07/2011 20:31

(@DenizMurat)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Teşekkürler, yanlız ben denetim tarafında olduğum için dc ye bağlanma gibi bir şansım yok, açıkçası it'cilerden yaardım istemeden bu bilgiyi elde etmem gerekiyor. O nedenle benim için farklı bir öneriniz olabilir mi?

 
Gönderildi : 13/07/2011 02:41

(@sinankahraman)
Gönderiler: 5225
Illustrious Member
 

Teşekkürler, yanlız ben denetim tarafında olduğum için dc ye bağlanma gibi bir şansım yok, açıkçası it'cilerden yaardım istemeden bu bilgiyi elde etmem gerekiyor. O nedenle benim için farklı bir öneriniz olabilir mi?

Yukarıda ki açıklamaya istinaden amacınız nedir? IT nin izin vermediği bir şeyi bizim size tavsiye etmemiz ÇözümPark Ailesinde etik karşılanmamaktadır. Amacımız IT nin yapısal düzenini bozmak değil onlara sorunlarında yardımcı olmak.

 
Gönderildi : 13/07/2011 11:17

(@DenizMurat)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Merhaba;


 


Amacım ne olabilir sizce bir denetçi olarak?


 


Tabikide Cobit gereği imtiyaz sahibi hesaplarının incelenmesi ve izlenmesini sağlamak.


Bunun içinde ayrıcalıklı bir grup olan domain admin grubu üyelerini öğrenip, hesap isimlerinin normal kullanıcı hesaplarından farklı olduğunu görmek ve birim bazında değerlendirmek.


Benim her zaman tarafsız bir kaynaktan bilgiye erişmem gerekir keza sözleşmemde de bu yazar.


Görevimiz IT nin yapısal düzenini bozmak değil, bozanları tesbit etmek.


Sizin etik ilkeleriniz eğer buna müsaade etmiyorsa tabiki orası size kalmış.

 
Gönderildi : 13/07/2011 12:31

(@sinankahraman)
Gönderiler: 5225
Illustrious Member
 

Bir dizinde kimlerin ne haklara sahip olduğunu öğrenmeniz işinize yarar
mı acaba ?

 
Gönderildi : 13/07/2011 16:21

(@FiratDONMEZ)
Gönderiler: 156
Estimable Member
 

Merhabalar

COBIT Denetcilerinin benim bildigim kadari ile oncelikli gorevleri :

Management Guidelines icerisindeki Tun teknoloji surecleri icin Meturity Model,Critical Success Factors,KGI ve KPI larin tanimlamalarini yaparak.Bu proseslerin degerlendirmelerini yapmaktir.Ve COBIT in amaci IT kaynaklarinin Stratejik karar vermeye yonelik olarak bir plan ortaya koymaktir.Bu durumda denetcilerin yapacaklari izleme ve degerlendirme (Monitor and Evaluate) prosesi her zaman o isi yapan kisiler ile birlikte yapilmalidir,Bunu yapmakta ki temel amac Personelin anlik degerlendirmesinin yapilabilmesinin yani sira kritik durumlarda kisilerin tepkilerinin olcumlenebilmesi..vs gibi elbette bunun yani sira olusturulan kriz yonetim modellerinin degerlendirilebilmesi.

 

Neyse daha fazla uzatmadan bu noktada biz IT cilerin mesleki etik anlayisindan ote COBIT denetcilerinin maalesef ki Turkiye de en azindan bu boyle kraldan cok kralci olmalari ile alakalidir.

Not : Kesinlikle kimseyi kucuk dusurucu ve/veya kisilerin islerine bir saygisizlik olmasi amaci ile yazilmis bir post degildir.Sadece COBIT in uluslararasi kullanimi ile ulkemizde ki kullanimi (Prosesleri yoneten/isleyen/degerlendiren/gozlemleyen) kisiler arasinda ki kendi dusuncem altinda bir degerlendirmesidir.

 
Gönderildi : 13/07/2011 16:45

(@DenizMurat)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Lütfen kendi kişisel düşünceleriniz doğru olarak görüp, başka insanlarada empose etmeye çalışmayın.


Öncelikle bddk'nın sitesinden bilgi işlem denetçileri için yayınlanan tebliğleri okuyun, daha sonra Cobit'e geçin, belki o zaman aynı dilden konuşmaya başlarız.


Bu arada merak etmeyin siz kimseyi küçük düşüremezsiniz, çünkü bu post'unuzla şu an yerin dibindesiniz.

 
Gönderildi : 13/07/2011 23:55

(@riza-sahan)
Gönderiler: 18032
_
 

Deniz hanım burada değerli arkadaşlar bilgilerini elinden geldiğince paylaşmaya çalışıyor.Lütfen karşılıklı olarak anlayış ve hoş görülü olalım.
Saygılarımla.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 14/07/2011 00:12

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Kullandığınız işletim sistemi nedir?

 
Gönderildi : 14/07/2011 00:13

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Lütfen kendi kişisel düşünceleriniz doğru olarak görüp, başka insanlarada empose etmeye çalışmayın.

Öncelikle bddk'nın sitesinden bilgi işlem denetçileri için yayınlanan tebliğleri okuyun, daha sonra Cobit'e geçin, belki o zaman aynı dilden konuşmaya başlarız.

Bu arada merak etmeyin siz kimseyi küçük düşüremezsiniz, çünkü bu post'unuzla şu an yerin dibindesiniz.

Adımlarla yazıyorum :

* http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15326 linkte iki tane download var, support.cab ve suptools.msi. Bunları download ediyorsun.

* suptools.msi dosyasını kurmalısın, bunu kurarken uyumlulukla ilgili çıkan uyarıya run program deyip geçebilirsin, kurulum gerçekleşecek.

* support.cab dosyasına çift tık, içerisinden adsiedit toolunu çalıştırıyorsun ve karşına Active Directory açılıyor.

Not : Burada active directory baglantisinin gerçekleşmesi için makinenin domaine bagli olmasi gerekir, ki öyle olduğunu umuyorum.

* Sol bölümde üç başlık göreceksin; domain, configuration ve schema şeklinde. Domain olanı genişletiyosun, 

* CN=Users bölümünü genişletiyorsun ve alt tarafta Domain Admins olarak bir klasör gözükecek.

* Domain Admins klasörüne sağ click properties yapıyorsun.

* Attribute Editor ve Security olarak iki başlık göreceksin, burada Attribute Editor kısmında alt tarafta dünya kadar özellik var, M ' ye bas ve Member bölümünü buluyorsun.

* Orayı açtığında Values bölümünde ilk olarak Administrator, sornasında ise başka üyeler varsa domain admins onlardır.

Not : Bunları yapmak için Admin yetkisi gerekmez.

 
Gönderildi : 14/07/2011 00:37

(@DenizMurat)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Çok teşekkürler Alper Bey, sonunda biri beni anlamadan eleştirmek yada akıl vermek yerine sorduğum soruya cevap vermiş oldu.


Yardımınız için tekrar teşekkürler.

 
Gönderildi : 14/07/2011 00:53

(@FiratDONMEZ)
Gönderiler: 156
Estimable Member
 

Merhabalar Denız Hanım..

Kusuruma bakmayın amacım sizi kırmak veya eleştirmek değildi ki bunu açıkçada yazmıştım.Yazdığım bir diğer konu ise yurt dışında ve türkiye deki sistemin işleyişi ile alakalıydı.Ki bu nokta da BDDK veya farklı bir kuruluş beni bağlamıyor.Bizler gibi yurt dışında yaşayan ve bu mesleği yapan insanlar bu konularda inanınki oradan daha katı denetlemelerden geçiriliyoruz.Kurumsal ve bireysel olarak.

Neyse dediğim gibi amacım sizi kırmak değil di tekrardan çok ama çok özür dilerim.Çözümpark ortamı benim gözümde bir aile gibidir ki bir ailede de her birey kendi görüşünü söyler açıklar.Yerin dibinde olmak o kadar da önemli değil benim gözümde önemli olan insanların görüşlerini sağlam temellere dayandırarak ve mantık dahilinde savunması ancak bu şekilde diğer insanlar bu görüşleri savunan kişileri kaale alır vede dinler.

 
Gönderildi : 14/07/2011 01:27

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Arkadaşlar Merhaba;

deniz arkadaşımız bir denetçi olarak teknik olmadıgı için sormuş sizinde sonradan düşündügünüz gibi yardımcı olmak dogru olandır diye düşünüyorum. Burda gerekli bilgiye ulaşmak için ldap query gönderebilecek bir yetkiye sahip olmaktır çeşitli toollar kullanılabilir ama öncelikle durum mevcut kullanıcınız hakları misal yanlış hatırlamıyorsam domain admin olmanız gerekiyor.

İyi akşamlar.

 

 
Gönderildi : 14/07/2011 02:15

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Selam, grup üyelikleri degistirilmedikce veya AD üzerinde attributelerde degisiklik yapilmiyorsa domain admin hakkina gerek kalmiyor, sadece view edildigi icin ldap querysi porta (389) sınırlı kaliyor. Default userla gerekli bilgi çekilebilir veya görüntülenebilir.

 
Gönderildi : 14/07/2011 02:30

(@DenizMurat)
Gönderiler: 10
Active Member
Konu başlatıcı
 

 


Alper Bey tekrar çok teşekkürler, söylediğiniz gibi ek yetkiye gerek kalmadan domain admin grubu üyelerini görebildim ancak string editor içinde yer alan bu değerleri export edemiyorum.


 


Bu konuda bir öneriniz olabilir mi acaba?


 

 
Gönderildi : 14/07/2011 13:08

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Bu konuda bir bilgim yok maalesef.

 
Gönderildi : 14/07/2011 16:06

Paylaş: