Bana gerçekten ilginç gelen bir durumu sizlerle paylaşmak istiyorum. AD içerisinde korunması gereken bazı objeler vardır. Bunlar:
- Enterprise Admins
- Schema Admins
- Domain Admins
- Administrators
- Account Operators
- Server Operators
- Print Operators
- Backup Operators
- Cert Publishers’dır.
Bunların korumasını üstlenen obje ise AdminSDHolder objesidir. Şöyle bir örnek versem belki daha iyi olabilir. Bir kullanıcı oluşturalım…
New-ADUser -Name "Beren" -GivenName "Beren" -Surname "GORUN" -SamAccountName "b.gorun" -UserPrincipalName "[email protected]" -Path "CN=Users,DC=kuday,DC=local" -AccountPassword(Read-Host -AsSecureString "Sifre
niz") -Enabled $true
DC’de oluşturduğumuz bu kullanıcıyı daha sonrasında bütün yetkilerle donatalım. AD içerisinde Users and Computers ekranında Domain Admin grubunun Security tab’ına geldiğinizde burda kullanıcımızı göreceksiniz. Ancak enteresan bir şekilde 1 saat sonra kullanıcımız burdan silinmiş olacaktır. Bu aslında hayalet admin hesapları silmeye yönelik alınmış bir yöntemdir. AD içerisinde küçük bir işlem için oluşturulmuş bir yetkili kullanıcı eğer unutulursa AdminSDHolder objesi yardımınıza koşacaktır. Ancak şöyle ilginç bir durum söz konusu. Siz AdminSDHolder objesi içerisine full yetkili bir hesap tanımlarsanız. 1 saat sonra bu sisteme yetkili bir kullanıcı olarak eklenecektir. Tabi triggerlama olayını kendinizde yapıp 1 saat beklemeyebilirsiniz.
Daha açıklayıcı olması için burdaki videouyu izleyebilirsin. AD içerisinde kalıcılık sağlamak için gerçekten güzel bir yöntem.
İlk Yorumu Siz Yapın