Active Directory Ortamında Kullanıcıların Domaine Dahil Etme Yetkisini Alma
Active Directory kurulum sonrasında varsayılan olarak bir user kendi hesabı ile 10 cihazı domaine dahil edebilme hakkına sahip durumdadır. Bu yetki bazı saldırılarda bu bir açık nokta olarak kullanılmış ve sonuca ulaşmıştır. Bu yetkiyi ortadan kaldırmak için öncelikle Adsi Edit konsolunu açalım ve mevcut sunucu üzerinde sağ tıklayarak Properties açılır menüsüne tıklayalım. Açılan ekranda ms-DS-MachineAccount-Quota bileşenini bulalım. Buradaki hakkın 10 olduğunu görebiliyoruz. Bu özelliğin üzerine tıklayarak “0” sıfır olarak değiştirelim. Şu anda değerimiz “0” oldu. Artık user yetkisine sahip kullanıcıların 10 adet sisteme kadar olan domaine join yapma yetkisini elinden almış olduk.