Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. Bu makalemizde sistem yöneticileri için temel konulardan biri olan “Bilgisayar Hesaplarının Yönetimini” detaylı olarak ele alacağız. Bu konuda da uzun vadede referans olabilecek bir makale hazırlamaya çalıştık. Bu makaledeki anlatımlarımızı her ne kadar Windows Server 2012 R2 üzerinde yapmış olsak da, büyük bir kısmı özellikle Windows 2003’den bugüne tüm active directory ortamlarında geçerlilik arzediyor olacak.
Bilgisayar Hesapları (Computer Accounts)
Microsoft Windows sunucu (Windows Server 2012 R2/2012/2008 R2/2008 vb. gibi) ve istemci (Windows 8.1/8/7/XP vb.) işletim sistemlerinde çalışan her bilgisayarın bir bilgisayar hesabı vardır. Kullanıcı hesabında olduğu gibi, bilgisayar hesapları da ağ ve domain ortamındaki kaynaklara erişmek isteyenler için bir kimlik denetimi ve doğrulama mekanizması oluşturmayı amaçlamaktadır.
Active Directory domainleri içerisinde bilgisayar hesapları da kullanıcı hesapları gibi güvenlik nesnelerinden bir tanesidir. Bir başka deyişle, bilgisayarlar da bir hesaba ve şifreye sahiptirler. Active Directory domain controller sunucular tarafından yapılan kimlik doğrulamasının geçilebilmesi için, kullanıcının bir kullanıcı hesabına sahip olması ve domain ortamında geçerli bir bilgisayar hesabı üzerinden domaine giriş yapması gerekir.
Bilgisayar Hesabı Niçin Açılır?
Bilgisayar hesapları, kullanıcı logon işlemlerinde kimlik denetimi yapma, IP adreslerini dağıtma, Active Directory domainlerinin bütünlük ve güvenilirliğini sağlama ve güvenlik politikalarını zorunlu kılma gibi yönetimsel amaçları yerine getirmektedirler. Ağ kaynaklarına tam erişimi sağlamak için, bilgisayarların Active Directory içerisinde geçerli bir bilgisayar hesabına sahip olmaları gerekir. Bilgisayar hesabının en önemli iki kullanım amacı: güvenlik, yönetimsel aktiviteleri yerine getirmek.
Güvenlik Amaçlı (Security):
Active Directory domain servisinin avantajlarından ve kaynaklarından tam anlamıyla yararlanmak için, bilgisayar hesabının Active Directory içerisinde açılması gerekir. Bilgisayar hesabı açıldığında, bilgisayarınız Kerberos kimlik denetimi ve IP trafiğini şifreleyen IP Security(IPSec) gibi ileri güvenlik özelliklerinden geçtikten sonra ortamdaki kaynaklara erişim sağlayabilir.
Yönetim Amaçlı (Management):
Bilgisayar hesapları, sistem yöneticilerine ağ yapısını yönetmede de fayda sağlayan nesnelerdir. Sistem yöneticileri, active directory domainleri içerisindeki bilgisayar hesaplarını kullanarak kullanıcı masaüstü ortamını merkezden yönetebilir, Active Directory domaini üzerinden uygulama dağıtımı yapabilir ve Microsoft System Center Configuration Manager (SCCM) gibi kurumsal yönetim platformu uygulamalarını kullanarak donanım(hardware) ve yazılım(software) envanterini de tutabilirler. Domain içerisindeki bilgisayar hesapları ağ ortamındaki kaynaklara erişimi kontrol amaçlı olarak da kullanılabilirler.
Domain Ortamında Bilgisayar Hesaplarının Açılması
Active directory domain yapılarında bir bilgisayar domain ortamına üye yapıldıktan sonra, active directory domain veritabanında (NTDS.DIT) o bilgisayar ait hesap otomatik olarak yaratılır. Varsayılan olarak domain ortamındaki bilgisayar hesapları Computers kabı içerisinde gelmektedir. Fakat sistem yöneticileri bu bilgisayar hesabını istedikleri kap (container) ya da organizational unit (OU) nesnesine taşıyabilirler.
Varsayılan olarak, Active Directory domain kullanıcıları kendi kullanıcı hesaplarını kullanarak 10’a kadar bilgisayarı domaine üye yapabilirler. Bu varsayılan limit artırılabilir. Eğer sistem yöneticileri, Active Directory içerisinde bilgisayar hesabını doğrudan oluşturursa, kullanıcı bu önceden açılmış bilgisayar hesabını kullanarak da bilgisayarı domaine üye yapabilir. Böylece 10 limitini de kullanmamış olur. Bu şekilde daha fiziksel olarak bilgisayarın kendisi domainde olmadan hesabının önceden domain içerisinde açılması işlemine “pre-staging” adı verilir.Pre-staging, sistem yöneticilerinin bir OU ya da Computers kabı içerisinde domaine üye yapılacak bilgisayara ait bilgisayar hesabını önceden oluşturmasına verilen isimdir. Bu şekilde açılan bilgisayar hesaplarına da “pre-staged computer account” adı verilir. Genellikle standart yetkili kullanıcıların önceden domainde bilgisayar hesabı açma yetkileri yoktur. Dolayısıyla önceden administrator ya da yetki verilmiş yönetici kullanıcılar tarafından açılmış pre-staged bilgisayar hesaplarını kullanırlar.
Bilgisayar Hesabı Nasıl Oluşturulur?
Varsayılan olarak Account Operators grubunun üyeleri Computers kabı içerisinde ve yeni OU’ler içerisinde bilgisayar hesabı oluşturabilir. Fakat, bu grubun üyeleri Built-in, Domain Controllers, Foreign Security Principals, Lost and Found, Program Data, System veya Users kapları içerisinde bilgisayar hesabı açamazlar.
Bilgisayar hesabı oluşturmak için:
1. Active Directory Users and Computers konsolu içerisinde, Computers veya bilgisayar hesabını oluşturacağınız OU üzerinde sağ tuşa basın ve New’den Computer’e tıklayın.
2. New Object-Computer diyalog kutusunda, Computer Name kutusuna bilgisayar adını yazın. Burdaki isim bilgisayarın da sahip olacağı isim olmalıdır, aksi halde domaine üye yapıldığında eşleşme yapamaz.
Hemen alt tarafta karşımıza gelen Assign this computer account as a pre-Windows 2000 computer kutusu seçilerek, password’ün bilgisayar adına bağlı olarak ayarlanması sağlanabilir. Eğer bu kutucuk işaretlenmez ise, bilgisayar hesabına rasgele bir şifre ilk şifresi olarak atanır. Şifre otomatik olarak her 5 günde bir bilgisayar ve bilgisayarın bulunduğu domain controller arasında değiştirilir. Bu seçeneğin günümüzde aslında kullanım alanı, önemi ya da bir faydası kalmamıştır. Windows 2000 öncesi bilgisayarların password gereksinimlerini karşılayıp karşılamadığına tercümanlık yapmak konulmuş, onların gereksinimine uyum sağlamak amaçlı bir seçenekti. Biz kutucuğu boş bırakıyoruz ve OK ile onaylayarak bilgisayar hesabı oluşturma işlemini tamamlıyoruz.
NOT:Yukarıdaki adımları gerçekleştirmek için, Active Directory içerisindeki Account Operators, Domain Admins, veya Enterprise Admins gruplarından birinin üyesi olmanız veya delegasyonla eşdeğer yetkiye sahip olmanız gerekir.
Bilgisayar Hesabı Özelliklerinin İncelenmesi:
Her bilgisayar hesabına ait active directory içerisinde benzersiz olan ve o bilgisayara ait bilgileri tutan özelliklerdir.
Sekme |
Özellik |
General |
Bilgisayarın netbios adı (Computer name), DNS ismi, tanımlayıcı bilgi ve rolü ile ilgili bilgileri içerir. |
Operating System |
Bilgisayar üzerinde kurulu işletim sistemi adı, versiyonu ve eğer kurulu ise service pack versiyonu gösterir. |
Member Of |
Bilgisayarın üye olduğu domain içerisindeki grupları gösterir. |
Location |
Bilgisayarın konum bilgisini gösterir. |
Managed By |
Bilgisayarın yönetimini yapan kullanıcı atanması ve atanan kullanıcıya ait bilgileri gösterir. |
Object |
Objenin canonical name’i, oluşturulma tarihi, üzerinde değişiklik yapılan son tarih, USN numarası. |
Security |
Bilgisayar hesabı üzerinde yetkiye sahip olan kullanıcı ve grupları gösterir. Ayrıca bu sekme kullanılarak bilgisayar hesabı üzerinde yetki tanımları da yapılabilir. |
Dial-in |
Bilgisayar hesabının Remote Access Server ve Virtual Private Network (VPN) izinleri yapılandırılabilir. |
Delegation |
Bu sekme Windows 2003 forest seviyesi ve sonrasında gelmiştir. Delegasyon, bir uygulama ya da servisin bir kullanıcı adına başka bir kaynağa erişim sağlama davranışının adıdır. Bu İngilizce olarak “Impersonation” olarak da geçer. Impersonation yöntemi sayesinde kaynağa erişmek isteyen kullanıcı hesabı adına o uygulamanın servis hesabı istenen kaynağı alıp, kullanıcıya teslim eder. Bir web sunucunun SQL veritabanı sunucusundaki veriyi istekte bulunan web client sunucusuna temin etmesi yaygın bir örnektir. “Trust this computer for delegation to any service (Kerberos only)” seçeneği ile o bilgisayar üzerindeki tüm servislere Kerberos protokolü ile delegasyona izin verilmiş olur. “Trust this computer for delegation to specified services only” seçeneği ile hangi servisler için delegasyon yetkisi verilecekse bunlar ayrı ayrı tanımlanabilir. Özellikle SharePoint gibi çok katmanlı uygulamalarda bu sekme yaygın olarak kullanılır. Bu sekme ve delegasyon konusu ile ilgili detayları ayrı bir makalede ele alıyor olacağız. |
Attribute Editor |
Bilgisayar hesabına ait active directory veritabanı içerisindeki tüm nitelikler ve bunların sahip olduğu değerleri gösterir. |
NOT – 1 :Active Directory Users and COmputers konsolunda bilgisayar hesabı özelliklerinde Object, Attribute Editor, Security sekmelerinin görülebilmesi için aşağıdaki şekilde de görülen “Advanced Features” özelliğinin aktif olması gerekir.
NOT -2 :Active Directory içerisindeki bilgisayar hesabı veya kullanıcı hesabı özelliklerinde değişiklik yapabilmek için, Account Operators, Domain Admins veya Enterprise Admins gruplarından birine üye olunmalı veya delegasyon yöntemi ile gerekli izinler verilmelidir.
Bilgisayar Hesaplarının Resetlenmesi
Bir sistem yöneticisi olarak, bazı durumlarda bilgisayar hesaplarının resetlenmesi gerekir. Özellikle domain ortamına üye yapılmış bir sunucu ya da istemci bilgisayarının domain controller ile güvenli haberleşmesi sağlanamıyorsa (ağ olarak herşeyin normal çalışmasına rağmen), bilgisayar domaine logon olamadığı durumlarda karşınıza çıkabilir. Örneğin, domaine üye bir sunucu ya da istemci bilgisayarı aylar önceki yedeklere geri dönülmesi durumunda bilgisayar hesabını resetlemeniz gerekebilir. Genelde bu durumlarda o bilgisayardan domaine logon olmayı denediğiniz “The trust relationship between this workstation and the primary domain failed” hatasını alırsınız. Böyle bir durumda genelde bilgisayarı domainden çıkarıp, tekrar domaine alma yöntemi izleniyor, esasında buna gerek yoktur. Ya bu başlık altında anlatacağımız gibi grafiksel arayüzden bilgisayar hesabı resetlenmeli, ya da NETDOM.exe resetpwd komutu kullanılmalı veya PowerShell komut satırından
Reset-ComputerMachinePassword komutu kullanılmalıdır. Bilgisayar hesabını resetlemek için, Account Operators, Domain Admins veya Enterprise Admins gruplarından birinin üyesi olmak ya da delegasyonla eşdeğer yetkiye sahip olmak gereklidir.
Bilgisayar Hesabı Nasıl Resetlenir?
Bilgisayar hesabını resetlemek için:
1. Active Directory Users and Computers açılır. Computers kabına tıklanır ve hesabı resetlenecek bilgisayar üzerinde sağ tuşa basınca gelen menüden “Reset Account” tıklanır.
Komut Satırından Bilgisayar Hesabının Resetlenmesi
DSMOD komutu kullanılarak komut satırından bilgisayar hesabının resetlenmesi için:
1. Komut satırı açılır.
2. Aşağıdaki komut uygulanır.
dsmod computer ComputerDN -reset
ComputerDN :Resetlenecek bilgisayar veya bilgisayarların distinguished name adı.
NETDOM komutu kullanılarak komut satırından bilgisayar hesabının resetlenmesi için:
1. Komut satırı açılır.
2. Aşağıdaki komut uygulanır.
netdom.exe resetpwd /s:<server> /ud:<user> /pd:*
<server> : Domain Controller adi
<user> : DOMAIN\User formatinda resetleme yetkisine sahip kullanıcı hesabı
Sonuç Olarak;
Bu makalemizde de sistem yöneticileri için temel konulardan biri olan “Bilgisayar Hesaplarının Yönetimini” detaylı olarak ele aldık. Yeni bir makalede görüşmek üzere hoşçakalın.