En az Yetki ile Domaine Bilgisayar Dahil Etme yazımızda sizlere güvenlik tarafında önemli bir noktaya değineceğiz. Bilgisayarları domaine dahil etmek için Her kullanıcının domain admin yetkisine ihtiyacı yoktur. Ayrıca bu yetkiyi herkese vermek zaten daha önceki yazılarımızda anlattık sistemlerinizi büyük tehlikelere atmaktadır. Bu yüzden aslında yönetici hesapları dışında bazı kişilere domaine dahil etme yetkisi vermek gerekmektedir. Bu durum aslında servis hesapları içinde gerekmektedir. En çok yüzey alanı olan uygulamalarda bu tarz uygulamalar güvenliği arttırmaktadır. Bu gibi durumlarda aşağıda birazdan anlatacağım yöntemi kullanabilirsiniz.
DOMAIN ADMINS GRUBUNDA OLMADAN DOMAINE BİLGİSAYAR DAHİL EDEBİLİYORUM.
Bunun için öncellikle karar vermeniz gereken hangi OU üzerinde yapacaksınız ya da root dan mı verecekseniz. Buna iyi karar verin öyle uygulama yapınız. Biz bu örnekte de root üzerinden verelim.
Öncellikle joindomain adında bir kullanıcı oluşturdum. Bu kullanıcı üzerinden bu işlemi yapacağım.
Root üzerinde yapmaktayız , isterseniz herhangi bir OU üzerinde de yapabilirsiniz. Sağ click yaparak Delegate Control diyerek devam ediyoruz.
Kullanıcımızı add butonundan ekliyoruz.
En kritik yer burasıdır. Hangi task’i yapmasınızı istiyoruz bunu seçmekteyiz. Biz burda “Join a computer to the domain” yetkisi ile bilgisayarı domaine katma yetkisini veriyoruz.
Sonuç olarak artık bu kullanıcıyı herhangi bir Domaine Bilgisayar Dahil Etme kullanabiliriz. En başta da belirttiğim gibi her kullanıcıya veya servis hesabına en az yetki ile çalıştırmamız gerekir. Gereğinden fazla yetki hiç bir zaman gerekmektedir. AD güvenlik ile bir çok makalemiz bulunmaktadır. Bu yazıları okumak için aşağıdaki kategorilerden yararlanabilirsiniz.