Active Directory Delegate Domain Join
Bu kılavuzda şirket bilgisayarlarınızı active directory ortamına dahil etmek prosedürlerini inceleyeceğiz. Standart kullanıcıların bilgisayarlarını bir Active Directory ortamına dahil etmeleri güvenlik riskleri oluşturabilir. Benzer şekilde, bu görev için bir etki alanı yönetici hesabı kullanmak tavsiye edilmez. Aksi halde yönetici hesabı veya fazla yetki verilmiş bir kullanıcı ile bu işlem yapılırsa, daha önce etki alanına dahil edilmiş bir bilgisayar adını tekrar kullanırsanız ilk alınan bilgisayar bilgisayar domainde düşer ve sorun yaşarsınız. Bu yüzden sınırlı izinlere sahip ayrı bir hesap oluşturmamız gerekmektedir.
Buna ek olarak Active Directory ortamındaki standart kullanıcılar etki alanına en fazla 10 bilgisayar ekleyebilir. Yani hem helpdesk personelleri bu aşamada bir süre sonra sorun yaşayacak hemde güvenlik riskleri ortaya çıkmış oldu.
İlk olarak GPO üzerinden normal kullanıcıların (Authenticated Users) bilgisayarları etki alanına dahil etmesini engelleyelim. Bunun için Default Domain Controllers Policy üzerinde Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → User Rights Assignment → Add workstations to domain düzenleyerek sadece helpdesk personellerini olduğu grubu ekleyin.
Grup ilkelerindeki ayara ek olarak, ms-DS-MachineAccountQuota özniteliği bir kullanıcının etki alanına kaç tane bilgisayar ekleyebileceğini belirler. Varsayılan olarak bu değer 10 olarak gelir bunu 0 olarak ayarlamak için Active Driectory Users and Computers → example.local → Properties → Attribute Editor → ms-DS-MachineAccountQuota değerini düzenleyin.
ms-DS-MachineAccountQuota 0 atanmasıyla bizim belirlediğimiz hesapların bilgisayarları etki alanı katılımından da hariç tutulup tutulmadığı kafanızda soru işareti olacaktır. Bu soru işaretini gidermek için bizim belirlediğimiz kullanıcılara yetki vermemiz gerekmektedir. Bunun için Active Driectory Users and Computers → example.local → Delegate Control yolunu takip ediniz.
Açılan pencerede Add workstations to domain politikasına eklediğiniz kullanıcıları buraya ekleyin ve devam edin.
Delegasyon kısmında Join a computer to the domain işaretleyip Next ile işlemi bitirin.
Bu kılavuzda bir bilgisayarı etki alanına dahil ederken güvenlik ve sorun yaşamamız adına hangi düzenlemeleri yapmamız gerektiğini inceledik.