[Çözüldü] Active Directory Grup Policy Özel Yetki Tanımı

Merhaba,

Öncelikle kullanıcıları parça parça user seviyesine çekin ve ne gibi problemler çıkıyor bunları gözlemleyin. Belki hiç sorun çıkmayacak.

Eğer uygulama admin hakları talep eden bir prompt ile karşılaşırsa 3. parti yazılımlardan RunAsTool kullanabilirsin. 

RunAsTool

RunAsTool Kullanımı - ÇözümPark (cozumpark.com)

Tüm kullanıcıların local admin şifrelerini laps ile kontrol edebilirsiniz. Complex şifre oluşturacaktır. Kullanıcılar user seviyesinde olmak zorundalar. Domain admin haklarına sahip bir kullanıcı pc de oturum açıp şifreyi değiştirebilir ve laps ın hiçbir esprisi kalmaz. 

Laps için

Local Admin Password Management – Lokal Yönetici Şifrelerinin Farklı Olarak Ayarlanması - Local Administrator Password Solution LAPS - ÇözümPark (cozumpark.com)

İyi günler.

Selamlar ;

Samet Bey Domain admin yetkisi çok ciddi bir risk proje devam  ederken domain yapınız kullanılamaz  hale  gelebilir ki proje sorunsuz tamamlandıktan sonra da gözden kaçan ve  domain admin olarak kalan 1  kullanıcı bile sizin için çok ciddi sorunlar doğuracaktır. Domain users yetkileri ile domain sistemine dahil edin ve  sorunları gözlemleyin en kötü ihtimal geçici olarak LOCAL ADMİN yetkisi verin ancak DOMAİN ADMİN yetkisi tam dolu tabanca ile  rus ruleti oynamaktan farksız.

Merhabalar,

Şöyle Bir Durumumuz Var. Bir firmayı domaine alıyoruz. Yaklaşık olarak 400 pc var. ilk aşmada tüm kullanıcılar farklı uyuglamalar kullandığı için herhangi bir problem olmaması için öncelikle hepsini domain admin olarak yetkilendirdik. lakin içerdeki uyanık arkadaşlar local admin şifrelerini değiştirerek pcleri local olarak açıyorlar. istediğimiz domain admin olsa da kullanıcı şifrelerini değiştirmeyi kullanıcı hesaplarına ve bilgisayarım+yönet e girmesini nasıl engelleyebiliriz. ayrıca bir script yazarak her logon olduklarında bilgisayardaki tüm local kullanıcıların şifrelerini BİM tarafından belirlenen bir şifre oluşturabilir miyiz ?

şimdiden ilginize teşekkür ederim.

Merhaba

Gerekli bilgiler verilmiş aslında,

Özetle

1 - Kimseyi domain admins grubuna üye yapmayın, restricted groups GPO ile veya yine GPO preferences özelliği ile local admin listesine domain users grubunu eklerseniz herkes otomatik olarak kendi bilgisayarında lokal admin olur. Tabi bu hakkı verdiğiniz sürece makinede istediğini yapacaktır, yani bir lokal admini durdurmanız söz konusu olmaz.

2 - LAPS örneği verilmiş bu zaten lokal admin şifre yönetimi için doğru bir yöntemdir.

Çözüm noktası ise, ben bunu yıllar önce yaşadım, yıl 2002 🙂

Herkesi domain user yaptım, doğal olarak başta nebim gibi erp programları bile çatladı, bu işin püf noktası GPO üzerinde folders bölümünde program files klasörüne domain users için yazma yetkisi vermeniz sorunlarn %80 ini çözer, çözülmeyenler genelde özel kayıt defteri yazma değiştirme ile ilgili olur ki çok sorun olmaz, zaten onları da tek tek tespit edebilirsiniz.