GPO Local User Accounts Disable

   Windows etki alanı ağları için en iyi güvenlik uygulamaları, Active Directory etki alanındaki bilgisayarlarda ve sunucularda yerel kullanıcı hesaplarının devre dışı bırakılmasını önerir. Bir bilgisayarda yönetici izinlerine sahip olan yerel kullanıcılar, ağınızın güvenliği açısından zayıf bir halka olarak değerlendirilir.

 Administrator hesapları için benzersiz, karmaşık parolalar ayarlamak için Windows LAPS gibi araçları kullanabilir veya yerel yönetici ve kullanıcı hesaplarını tamamen devre dışı bırakmak için AD Grup İlkelerini kullanabilirsiniz.

GPO üzerinden bir çok politika ile administrator yetkilerini kaldırabilirsiniz. Ancak bu yine de güvenliği tam anlamında sağlamaz ve zamanla yönetilemez hale gelir. Bunun dışında, büyük yapılarda bazen helpdesk personelleri farklı local hesapları oluşturabilir. GPO üzerinde, Windows'taki tüm yerel kullanıcıları veya yalnızca belirli yerel kullanıcıları devre dışı bırakacak politika ayarları yoktur. Bu nedenle, yerel kullanıcıların tümünü veya bir kısmını devre dışı bırakmak için ​​komut dosyasını kullanmanız gerekir.

Aşağıdaki PowerShell betiği, belirlenen kullanıcılar dışındaki tüm yerel kullanıcıları devre dışı bırakmak için kullanılabilir. 

  • Aşağıdaki PowerShell betiği bilgisayardaki administrator ve pc dışındaki tüm yerel kullanıcı hesaplarını devre dışı bırakır.
  • Administrator hesabının ismini değiştirmek için diğer kılavuzlara bakabilirsiniz.
$Exceptions = @("administrator", "pc")
Get-LocalUser | Where-Object { $_.Enabled -eq $true -and $_.Name -notin $Exceptions } | ForEach-Object {
    Disable-LocalUser $_ 
}

Yukarıdaki betiği, kendinize göre düzenleyip uzantısı .ps1 olacak şekilde kayıt edin.  

   Grup politikası yönetim konsolunu açın ve  sağ tıklayıp new seçeneğine ile devam edin. Yeni GPO'ya bir isim verin. Oluşturulan ilkemiz üzerinde gerekli ayarları yapıp düzenlemek için sağ tıklayarak açılan menüden Edit açılır menüsüne tıklayın.

Kopyalama işleminden sonra powershell betiğini seçerek Ok butonlarına basıp işlemi tamamlayın.

Bir test istemcisi makinesinde, gpupdate /force komutunu çalıştırarak grup ilkesi güncellemesini manuel olarak gerçekleştirin.

gpupdate /force

Güncelleme sonrası bilgisayarı yeniden başlattıktan sonra, belirlediğim gibi superuser dışındaki tüm yerel kullanıcı hesaplarını devre dışı bıraktığını görebiliyoruz.

Blog'a Dön