Bu yazımızda Active directory yapısında kritik olarak değerlendirilen bir konuya admin count 1 konusuna değinmek istedim. Bu konu neden bu kadar kritik aşağıda öncelikle admin count’un anlamını ve daha sonra neler yapılamaktadır bunlardan bahsedeceğim.
Admin count attribute aslında kısaca açıklamak gerekirse; Öncelikle active directory üzerinde normal yetkisiz bir kullanıcınız koray olsun . Bu kullanıcıyı sistem yönetici bugünlük active directory yapısında kritik gruplardan herhangi bir tanesine (Domain Admins, Enterprise Admins, Schema Admins vb. gibi )dahil ettiğini varsayalım. Bu grupları nasıl bulacağınızı aşağıda powershell script olarak göstermekteyim. Bundan sonra Dahil edilen kullanıcı artık active directory’un AdminSDHolder tarafından korunması başlamaktadır. Fakat bilinmesi gereken ADSDHolder güvenlik ayarları 1 saatte bir güncellenmektedir.
Artık korunan koray kullanıcısını bu gruptan çıkardık. Fakat kullanıcının admin count değeri hala 1 olarak kaldığından korunmaya devam etmektedir. Bu sebepten dolayı admin count değerlerinin sık sık kontrol edilerek eliminasyon yapılması gerekmektedir.
Admin count olan grupları için ;
get-Adgroup -ldapfilter "(admincount=1)" | select-object Name
Admin count olan kullanıcılar için ;
get-Aduser -ldapfilter "(admincount=1)" | select-object Name
Bu sebeplerden dolayı admin count değeri gruplara ekleme yapmadan da değişebilir. Sistemlerinizin güvenliği için admin count değerini kontrol etmekte yarar vardır. Microsoft tarafından yayınlanan makalede admin count değerleri değişen kişileri bularak değeri 0 yapmaya yönelik script hali hazırda vardır. Ayrıca sizlerde bu kullanıcının admin count değerini değiştirebilirsiniz.
Admin count 1 olan kullanıcıların değerlerini sıfırlamak için ;
get-Aduser -ldapfilter "(admincount=1)" | SET-aduser clear admincount
Diğer yazılarımızı takip etmek için aşağıdaki son yazılarımızı ve kategorilerimizden yararlanabilirsiniz.