Etki Alanında Kullanıcıları Local Administrators Grubundan Çıkarmak
Yeniden herkese selamlar;
Bugünkü yazım aslında hemen hemen tüm şirketlerin sistem yöneticilerinin derdi olan kullanıcının Local Administrators grubuna üye olmaları. Kullanıcı bu sayede kendi bilgisayarının tüm kontrolünü elinde tutmuş oluyor ve istemeden de olsa sisteme kurduğu programlar ile virüs bulaşmasına sebep olabiliyor ya da sistemin ayarlarında değişiklik yapabiliyorlar. Bunlarda sistem sayısının fazla olduğu kurumlarda merkezi yönetim konusunda sıkıntılara ve aksaklıklara sebep olabiliyor. Bunun önüne geçebilmenin bir yolu yine merkezi yönetimin bize sağlamış olduğu kolaylıktan geliyor. Daha önceki bir yazımda bilgisayarların Local Administrators parolalarının Group Policy deki Startup script metodu ile nasıl değiştirilebileceğini göstermiştim. Şimdi yine Group Policy de bu Logon Script metodunu kullanarak kullanıcıları Local Administrators grubundan çıkaracağız.
Bunun için removeuser.bat adında bir dosya oluşturalım ve bu dosyanın içine aşağıdaki komutu yazalım;
net localgroup administrators %username% /delete
Sıra geldi bu script dosyasını GroupPolicy ile dağıtmaya. Active Directory Users and Computers konsolunda domain adına sağ tıklayarak Properties şeçeneğini seçtikten sonra GroupPolicy sekmesine gelerek Default Domain Policy yi seçip aşağıdan edit e tıklayalım. Burada işlemi kullanıcı bazında yapacağımız için User Configuration kısmında Windows Settings altında bulunan Scripts(Logon/Logoff) bölümüne gelelim ve buradan Logon seçeneğine çift tıklayalım. İletişim kutusunda alt kısımda bulunan Show Files butonuna tıklayarak açılan pencereye daha önceden yazmış olduğumuz removeuser.bat adlı dosyayı kopyalayalım. Sağ tarafta bulunan Add butonuna tıklayalım ve çıkan iletişim kutusunda Browse seçeneği ile az önce kopyalamış olduğumuz dosyayı seçerek gösterelim ok diyerek kapatalım.
Bu işlemlerden sonra client bilgisayarlarda ilgili kullanıcı logon olduğunda bu script dosyası çalıştırılacak ve kullanıcı Local Administrators grubundan haberi ya da onayı olmadan çıkarılacaktır.
Sağlıcakla Kalın.
M. Hakan CAN
Bir sorum olacak Hakan Bey. Bu group policy ile dagittigimiz dosya kullanicilarda sadece 1 kere mi calisiyor yoksa her logon olduklarinda mi calisiyor ? Tesekkur ederim…
Selamlar;
Öncelikle yorumunuz ve sorunuz için teşekkür ederim.
Bu script dosyasını Group Policy de Logon kısmından çalıştırdığımız için dediğiniz gibi kullanicilar her login olduğunda çalıştırılacaktır. Kullanıcının bir kez login olması işimizi göreceğinden herkesin login olmuş olduğundan emin olabileceğimiz bir süre sonra (2-3 gün gib) bu script i Group Policy ile dağıtımdan kaldırabiliriz. Saygılarımla;
Merhaba Hakan bey,
domain admin yetkim olmadığından kendi user ( b-10 ) accountu mu tüm kullanıcılara local admin olarak tanımlamak istiyorum yazacağımız komut ne olmalıdır ?
domain name: RSN
domain user: B-10
umarım kısa sürede cevap alabilirim çünkü şuanda okuduğum yazı 2008 tarihli 🙂
çok teşekkürler
iletişim adresim ;
ersinyildirim@live.com