Hakan DOĞAN

H erhangi bir sebepten dolayı kapanmış veya yeniden başlatılmış bilgisayarların hangi kullanıcı tarafından işlem yapıldığını göremk istiyorsanız event ID kaydı oluşturur.  Bu EventID kaydını görmek için bilgisayarınızda powershell yönetici olarak açıp aşağıdaki komutu yapıştırıp çalıştırın.. C:/ Dizini altına  systemShutdownRestart.txt isminde txt oluşturacak...Resimdeki gibi hangi kullanıcı ne zaman bilgisayarı yeniden başlatmış görebilirsiniz... Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txt

Domain yapısında kullanıcıya hangi parola politikası uygulanmış görmek için client’ın oturum açtığı bilgisayar üzerinde bu komut uygulanmalıdır; net accounts /domain  

Sorun yaşadığınız bilgisayarda Regedit (Kayıt Defteri Düzenleyicisini Açın) HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion içerisindeki Grup İlkesi klasörünü silin Bilgisayarı yeniden Başlatın..

Active Directory ortamında Aging ayarları ile beraber açılan scavenging yapılandırılmaları olmaması durumunda eski kayıtların silinmediğini görebiliriz.  Powershell yardımı ile listeleme ve silme işlemi için; Double kayıtları görmek için Get-DnsServerResourceRecord -ZoneName "hakan.local" -RRType A | Where-Object {($_.Timestamp -le (get-date).adddays(-60)) -AND ($_.Timestamp -like "*/*")} Silmek için ise ; Remove-DnsServerResourceRecord -ZoneName "hakan.local" -RRType A | Where-Object {($_.Timestamp -le (get-date).adddays(-60)) -AND ($_.Timestamp -like "*/*")}