Forum
Merhaba,
Active directory Domain Admins grubu üyelerinin listesini almak istiyorum.
Scriptle çekilmesi gerektiğini biliyorum, ama ilgili script'i bulamadım.
Yardımcı olabilir misiniz?
Teşekkürler.
Aşağıdaki script ile enterprise admins, domain admins ve schema admins gruplarına üye olan
kullanıcıların listesini alabilirsin.Scriptin çıktısı c sürücüsü altında AD Admin Audit olarak yer alacaktır.
Option Explicit 'Define ConstantsConst adUseClient = 3Const ForWriting = 2 'Set the path and filename for the dump of sensitive users' Folder must exist!Dim fileTemp : fileTemp = "C:\AD Admin Audit.txt" ' Create tmp file and report fileDim objFSO, objTempFileSet objFSO = CreateObject("Scripting.FileSystemObject")Set objTempFile = objFSO.OpenTextFile(fileTemp, ForWriting, True) ' Query RootDSE and return array with all AD domains in forestDim adoCommand, adoConnection, objRootDSESet adoCommand = CreateObject("ADODB.Command")Set adoConnection = CreateObject("ADODB.Connection")adoConnection.Provider = "ADsDSOObject"adoConnection.cursorLocation = adUseClientadoConnection.Open "Active Directory Provider"adoCommand.ActiveConnection = adoConnectionSet objRootDSE = GetObject("LDAP://RootDSE") ' Build the LDAP QueryDim strBase, strFilter, strAttrs, strScope, strQuerystrBase = "<GC://" & objRootDSE.Get("rootDomainNamingContext") & ">;"strFilter = "(objectcategory=domainDNS);"strAttrs = "distinguishedName;"strScope = "subtree"strQuery = strBase & strFilter & strAttrs & strScope ' Set Query parametersadoCommand.CommandText = strQueryadoCommand.Properties("Page Size") = 50adoCommand.Properties("Timeout") = 30adoCommand.Properties("Cache Results") = False ' Execute the queryDim adoRecordSet : Set adoRecordSet = adoCommand.Execute ' Start LoopDo Until adoRecordSet.EOF ' Parse ad search results to create well formed DNS domain Dim strDomain strDomain = Replace(adoRecordSet.Fields(0).Value,"DC=","") strDomain = Replace(strDomain,",",".") Call GrpAll(strDomain) adoRecordSet.MoveNextLoopadoRecordSet.CloseadoConnection.Close Private Function GrpAll(byVal strDomain) ' To search for more groups, edit the "strFilter" line. It uses a simple ' LDAP or (|) so multiple groups can be added. It uses ADO record sets ' to loop so it doesn't have to find all of them, just one. Every domain ' will contain at least the Domain Admins group. Dim adoComm, adoConn Set adoComm = CreateObject("ADODB.Command") Set adoConn = CreateObject("ADODB.Connection") adoConn.Provider = "ADsDSOObject" adoConn.cursorLocation = adUseClient adoConn.Open "Active Directory Provider" adoComm.ActiveConnection = adoConn strBase = "<GC://" & strDomain & ">;" strFilter = "(&(objectCategory=group)(|((name=Enterprise Admins*)(name=Domain Admins*)(name=Schema Admins*))));" strAttrs = "name,member;" strScope = "subtree" strQuery = strBase & strFilter & strAttrs & strScope adoComm.CommandText = strQuery adoComm.Properties("Page Size") = 5000 adoComm.Properties("Timeout") = 30 adoComm.Properties("Cache Results") = False Dim adoRS : Set adoRS = adoComm.Execute objTempFile.WriteLine "Group report for domain: " & strDomain adoRS.MoveFirst Do Until adoRS.EOF Dim strMember objTempFile.WriteLine vbTab & adoRS.Fields(0).Value For Each strMember in adoRS.Fields(1).Value objTempFile.WriteLine vbTab & vbTab & strMember Next adoRS.MoveNext Loop adoRS.Close adoConn.Close
End Function
ms-dos ekranında yada çalıştırda şu komutu kullanırsan c:file.txt diyede oluşturur
net group "domain admins">c:\file.txt
Merhabalar,
Arkadaşlara ek olarak DC sunucunuz üzerinde PowerShell
kullanarak aşağıda ki komutu çalıştırırsanız size Domain Admins grubuna üye olan kullanıcılarınızın isimlerini
listeleyecektir.
Get-ADGroupMember 'Domain Admins' | Select-Object name
PowerShell üzerinde bu komutu çalıştırmadan önce Active Directory Modülünün yüklendiğinden emin olun. Eğer yüklemek isterseniz,
Import-Module ActiveDirectory
komutunu çalıştırmanız yeterli olacaktır.
Kolay gelsin...
Teşekkürler, yanlız ben denetim tarafında olduğum için dc ye bağlanma gibi bir şansım yok, açıkçası it'cilerden yaardım istemeden bu bilgiyi elde etmem gerekiyor. O nedenle benim için farklı bir öneriniz olabilir mi?
Teşekkürler, yanlız ben denetim tarafında olduğum için dc ye bağlanma gibi bir şansım yok, açıkçası it'cilerden yaardım istemeden bu bilgiyi elde etmem gerekiyor. O nedenle benim için farklı bir öneriniz olabilir mi?
Yukarıda ki açıklamaya istinaden amacınız nedir? IT nin izin vermediği bir şeyi bizim size tavsiye etmemiz ÇözümPark Ailesinde etik karşılanmamaktadır. Amacımız IT nin yapısal düzenini bozmak değil onlara sorunlarında yardımcı olmak.
Merhaba;
Amacım ne olabilir sizce bir denetçi olarak?
Tabikide Cobit gereği imtiyaz sahibi hesaplarının incelenmesi ve izlenmesini sağlamak.
Bunun içinde ayrıcalıklı bir grup olan domain admin grubu üyelerini öğrenip, hesap isimlerinin normal kullanıcı hesaplarından farklı olduğunu görmek ve birim bazında değerlendirmek.
Benim her zaman tarafsız bir kaynaktan bilgiye erişmem gerekir keza sözleşmemde de bu yazar.
Görevimiz IT nin yapısal düzenini bozmak değil, bozanları tesbit etmek.
Sizin etik ilkeleriniz eğer buna müsaade etmiyorsa tabiki orası size kalmış.
Bir dizinde kimlerin ne haklara sahip olduğunu öğrenmeniz işinize yarar
mı acaba ?
Merhabalar
COBIT Denetcilerinin benim bildigim kadari ile oncelikli gorevleri :
Management Guidelines icerisindeki Tun teknoloji surecleri icin Meturity Model,Critical Success Factors,KGI ve KPI larin tanimlamalarini yaparak.Bu proseslerin degerlendirmelerini yapmaktir.Ve COBIT in amaci IT kaynaklarinin Stratejik karar vermeye yonelik olarak bir plan ortaya koymaktir.Bu durumda denetcilerin yapacaklari izleme ve degerlendirme (Monitor and Evaluate) prosesi her zaman o isi yapan kisiler ile birlikte yapilmalidir,Bunu yapmakta ki temel amac Personelin anlik degerlendirmesinin yapilabilmesinin yani sira kritik durumlarda kisilerin tepkilerinin olcumlenebilmesi..vs gibi elbette bunun yani sira olusturulan kriz yonetim modellerinin degerlendirilebilmesi.
Neyse daha fazla uzatmadan bu noktada biz IT cilerin mesleki etik anlayisindan ote COBIT denetcilerinin maalesef ki Turkiye de en azindan bu boyle kraldan cok kralci olmalari ile alakalidir.
Not : Kesinlikle kimseyi kucuk dusurucu ve/veya kisilerin islerine bir saygisizlik olmasi amaci ile yazilmis bir post degildir.Sadece COBIT in uluslararasi kullanimi ile ulkemizde ki kullanimi (Prosesleri yoneten/isleyen/degerlendiren/gozlemleyen) kisiler arasinda ki kendi dusuncem altinda bir degerlendirmesidir.
Lütfen kendi kişisel düşünceleriniz doğru olarak görüp, başka insanlarada empose etmeye çalışmayın.
Öncelikle bddk'nın sitesinden bilgi işlem denetçileri için yayınlanan tebliğleri okuyun, daha sonra Cobit'e geçin, belki o zaman aynı dilden konuşmaya başlarız.
Bu arada merak etmeyin siz kimseyi küçük düşüremezsiniz, çünkü bu post'unuzla şu an yerin dibindesiniz.
Deniz hanım burada değerli arkadaşlar bilgilerini elinden geldiğince paylaşmaya çalışıyor.Lütfen karşılıklı olarak anlayış ve hoş görülü olalım.
Saygılarımla.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Kullandığınız işletim sistemi nedir?
Lütfen kendi kişisel düşünceleriniz doğru olarak görüp, başka insanlarada empose etmeye çalışmayın.
Öncelikle bddk'nın sitesinden bilgi işlem denetçileri için yayınlanan tebliğleri okuyun, daha sonra Cobit'e geçin, belki o zaman aynı dilden konuşmaya başlarız.
Bu arada merak etmeyin siz kimseyi küçük düşüremezsiniz, çünkü bu post'unuzla şu an yerin dibindesiniz.
Adımlarla yazıyorum :
* http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15326 linkte iki tane download var, support.cab ve suptools.msi. Bunları download ediyorsun.
* suptools.msi dosyasını kurmalısın, bunu kurarken uyumlulukla ilgili çıkan uyarıya run program deyip geçebilirsin, kurulum gerçekleşecek.
* support.cab dosyasına çift tık, içerisinden adsiedit toolunu çalıştırıyorsun ve karşına Active Directory açılıyor.
Not : Burada active directory baglantisinin gerçekleşmesi için makinenin domaine bagli olmasi gerekir, ki öyle olduğunu umuyorum.
* Sol bölümde üç başlık göreceksin; domain, configuration ve schema şeklinde. Domain olanı genişletiyosun,
* CN=Users bölümünü genişletiyorsun ve alt tarafta Domain Admins olarak bir klasör gözükecek.
* Domain Admins klasörüne sağ click properties yapıyorsun.
* Attribute Editor ve Security olarak iki başlık göreceksin, burada Attribute Editor kısmında alt tarafta dünya kadar özellik var, M ' ye bas ve Member bölümünü buluyorsun.
* Orayı açtığında Values bölümünde ilk olarak Administrator, sornasında ise başka üyeler varsa domain admins onlardır.
Not : Bunları yapmak için Admin yetkisi gerekmez.
Çok teşekkürler Alper Bey, sonunda biri beni anlamadan eleştirmek yada akıl vermek yerine sorduğum soruya cevap vermiş oldu.
Yardımınız için tekrar teşekkürler.
Merhabalar Denız Hanım..
Kusuruma bakmayın amacım sizi kırmak veya eleştirmek değildi ki bunu açıkçada yazmıştım.Yazdığım bir diğer konu ise yurt dışında ve türkiye deki sistemin işleyişi ile alakalıydı.Ki bu nokta da BDDK veya farklı bir kuruluş beni bağlamıyor.Bizler gibi yurt dışında yaşayan ve bu mesleği yapan insanlar bu konularda inanınki oradan daha katı denetlemelerden geçiriliyoruz.Kurumsal ve bireysel olarak.
Neyse dediğim gibi amacım sizi kırmak değil di tekrardan çok ama çok özür dilerim.Çözümpark ortamı benim gözümde bir aile gibidir ki bir ailede de her birey kendi görüşünü söyler açıklar.Yerin dibinde olmak o kadar da önemli değil benim gözümde önemli olan insanların görüşlerini sağlam temellere dayandırarak ve mantık dahilinde savunması ancak bu şekilde diğer insanlar bu görüşleri savunan kişileri kaale alır vede dinler.
Arkadaşlar Merhaba;
deniz arkadaşımız bir denetçi olarak teknik olmadıgı için sormuş sizinde sonradan düşündügünüz gibi yardımcı olmak dogru olandır diye düşünüyorum. Burda gerekli bilgiye ulaşmak için ldap query gönderebilecek bir yetkiye sahip olmaktır çeşitli toollar kullanılabilir ama öncelikle durum mevcut kullanıcınız hakları misal yanlış hatırlamıyorsam domain admin olmanız gerekiyor.
İyi akşamlar.
Selam, grup üyelikleri degistirilmedikce veya AD üzerinde attributelerde degisiklik yapilmiyorsa domain admin hakkina gerek kalmiyor, sadece view edildigi icin ldap querysi porta (389) sınırlı kaliyor. Default userla gerekli bilgi çekilebilir veya görüntülenebilir.
Alper Bey tekrar çok teşekkürler, söylediğiniz gibi ek yetkiye gerek kalmadan domain admin grubu üyelerini görebildim ancak string editor içinde yer alan bu değerleri export edemiyorum.
Bu konuda bir öneriniz olabilir mi acaba?
Bu konuda bir bilgim yok maalesef.