AD-DC Enterpise-Domain Administrator Disable

AD-DC Enterpise-Domain Administrator Disable

Microsoftun Windows Server mimarilerinde Active Directory(Domain Controller) rolünün yüklü olduğu makina üzerinde öyle bir kullanıcı varki tüm herşeyin sahibi, denetimi ve kontrolü elinde tutan, kendine bağlı olan client’ları(köleleri) yöneten ve birinci dereceden söz sahibi olan, kullanıcılar tarafından domain admin’i olarak bilinen fakat microsoft tarafından ise goduser olarak öne sürülen, tabi bizim kültürümüze uymayan bu tabir ile benim Kral(köleleri yöneten) user olarak tanımlayacağım Enterprise Administrator’dur. Konuyu aşağıdaki screenshot’tan sahip olduğu üyelikleri görünce daha iyi anlayacaksınız.

eda1

eda2

Windows Server sistemlerinde Administrator kullanıcısı aktif olarak gelir, kurulum aşamasında başka bir user oluşturamazsınız, Administrator’a şifre belirleyip sisteme bu şekilde(domain\user) login olursunuz.

eda3

Tabi defaultta Administrator aktif olarak geldiği ve bu durum herkesçe bilindiği üzere, yanı sıra bir sürü zafiyeti getirebilir. Örneğin dışardan veya içerden domain sisteminize siber saldırı gerçekleştirmek isteyen kötü niyetli kişiler olabilir. Bunun için özel araçlar yada yazılımlar kullanacak olan kişiler domain sisteminize sızmak isteyip, üst düzey yönetici user(Enterprise Administrator)’a saldırı gerçekleştirmek isteyip onun haklarını ele geçirip yani aynı haklara sahip olup bir bakıma sistemde at koşturmak isteyebilir. Bunu gerçekleştirmesi gereken, onu 1-0 önde götürecek olan, herkesçe bilinen user tabi ki Administrator’dur. Tabi güvenlikte bunun %yüz önünü almak diye birşey yok ama bu ve buna benzer sebeplerden ötürü bir nebzede olsa önlem almak ve kullanım açısından daha efektif bir yapı olması nedeniyle Administrator kullanıcısını disable edip, aynı üyeliklere sahip sizin belirleyeceğiniz bir isimde farklı bir user oluşturmak doğru bir hareket olacaktır. Şimdi bunu nasıl yapacağımıza bir bakalım. İlk önce farklı bir isimde bir user oluşturalım ki ben SuperMan adında bir user oluşturuyorum.

eda4

Üyelik hakları sadece Domain Users olarak gelir, ben şimdi üst düzey user olabilmesi için gereken haklarıda Add diyerek vericem.

eda5

Şekilde görüldüğü gibi hakları verdim. Apply ve OK diyerek uyguladım.

eda6

Daha sonra Administrator kullanıcısını disable’ye çekelim.

eda7

Çıkan uyarıya, OK tıklayın.

eda8

Administrator aşağıdaki gibi disable konumuna çekildi.

eda9

Daha sonra sisteme tekrar oluşturduğumuz diğer user ile logoff/logon olalım. Zaten Administrator’la bağlanmaya çalışırsanız aşağıdaki uyarıyı alacaksınız.

eda10

Other user seçip domain\user şeklinde bağlanalım.

eda11

Hepsi bu kadar, kaldığınız yerden tekrar devam edebilirsiniz.

 

No Comments

Post a Comment

3 × 2 =