Birçok domainde kullanıcılar domain üzerinde minimum haklara sahip olsalar da kendi bilgisayarlarında local administrators grubunun üyeleri olarak bırakılırlar. Bunun sebebi bazı programların çalışmaması, helpdesk grubunun ellerindeki pc’yi biran önce kullanıcıya teslim etmeleri veya problemleri çabuk bir ÅŸekilde gidermeye çalışmalarıdır. Fakat kullanıcılarınızın kendi bilgisayarlarında local admin haklarına sahip olması aslında helpdesk maliyetlerini daha da fazla arttırır. Kullanıcılar internet vasıtasıyla indirdikleri programları install edebilirler. Bu programlar gerekli olan ofis programları, otomasyon programları vs. yi engelleyebilir. ÖrneÄŸin google toolbar internet explorer üzerinde bazı formlarda sorun yaratabilir. Gerekli ayarları yapamayan bir kullanıcı ZoneAlarm kurduktan sonra çığlık çığlığa departmanınızı arayıp hiçbir yere baÄŸlanamadığını bildirebilir. Dolayısıyla kullanıcılarınızdan local admin hakkını almanız hem sizin hem network’ünüz açısından faydalı olacaktır.

Ä°sterseniz Group Policy kullanarak bazı yöntemler geliÅŸtirebilirsiniz fakat burada daha farklı bir yöntemi ele alacağız.

Microsoft Windows 2000 Server Resource Kit içinde bulunan CusrMgr.exe aracından yararlanacağız.

http://www.dynawell.com/support/Reskit/win2k.asp

C:\>cusrmgr

CUsrMgr Ver 1.0 Jan98 by G.Zanzen (c) MCS Central Europe

Sets a random password to a user

usage: -u UserName [-m \\MachineName] \\ default LocalMachine

  Resetting Password Function

       -p Set to a random password

       -P xxx Sets password to xxx

  User Functions

       -r xxx Renames user to xxx

       -d xxx deletes user xxx

  Group Functions

       -rlg xxx yyy Renames local group xxx to yyy

       -rgg xxx yyy Renames global group xxx to yyy

       -alg xxx Add user (-u UserName) to local group xxx

       -agg xxx Add user (-u UserName) to global group xxx

       -dlg xxx deletes user (-u UserName) from local group xxx

       -dgg xxx deletes user (-u UserName) from global group xxx

  SetProperties Functions

       -c xxx sets Comment to xxx

       -f xxx sets Full Name to xxx

       -U xxx sets UserProfile to xxx

       -n xxx sets LogonScript to xxx

       -h xxx sets HomeDir to xxx

Cusrmgr.exe aracı parametrelerinden anlaşıldığı gibi, istediÄŸiniz bir kullanıcıyı, istediÄŸiniz bir gruba eklemenizi ve çıkarmanızı saÄŸlıyor.

Örnek:

cusrmgr.exe -u Domain\Erkan.sezgin -alg "Remote Desktop Users" komutu erkan.sezgin kullanıcısını Remote Desktop Users grubunun üyesi yapar.

cusrmgr.exe -u Domain\erkan.sezgin -dlg administrators komutu kullanıcıyı local admin grubundan çıkarır.

Peki, tüm domainde kullanıcıların local admin haklarını almak için bunu nasıl kullanacağız?

Gözönüne almamız gereken kullanıcıların bu .exe’yi nereden ve nasıl çalıştıracağı ve .exe’nin çalıştığı bilgisayarlara kullanıcı adı parametresini nasıl göndereceÄŸimizdir.

Kullanıcının bilgisayarlarında bu .exe’yi bir logon.bat dosyasıyla çağırabiliriz. Fakat çağırdığımız .exe’nin herkesin eriÅŸebileceÄŸi bir paylaşımda olması gerekir.

EÄŸer;

\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -alg "Remote Desktop Users"

Ä°çeriÄŸine sahip bir bat dosyası oluÅŸturup kullanıcı logon olduÄŸunda çalışmasını saÄŸlarsak, logon username’i alarak Remote Desktop Users grubuna üye yapacaktır.

\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -dlg administrators

Komutunu .bat dosyasında ikinci satır olarak eklerseniz, remote desktop users grubuna ekleme iÅŸleminden sonra logon user’ı Local Administrator grubundan çıkartacaktır.

1. Bat dosyasını aÅŸağıdaki gibi düzenleyerek logon.bat ismini verelim.

\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -alg "Remote Desktop Users"

\\FileServer\ShareName\cusrmgr.exe -u DomainName\%USERNAME% -dlg administrators

2. Dosyamızı \\DCname\Netlogon paylaşımına kopyaladıktan sonra Active Directory Username and Computers konsolundan Username > Properties >  Profile sekmesinde Logon Script bölümüne logon.bat yazalım.

Åžekil-1

Kullanıcı logon olduÄŸunda script çalışacak ve domain user’larınız kendi bilgisayarlarında artık local admin olamayacaklardır. Kullanıcılarda çalışacak olan bu script’i tüm network e yaymanız iÅŸ yükünüzü planlamanızı saÄŸlar. Aslında admin hakları olmadan çalışamayan programların sorunu registry’de ve/veya local disk üzerinde bazı yerlere yazma yetkisinin olmamasında gizlidir. Programların destek merkezlerinden bu tip konularda yardım alınabileceÄŸini de hatırlatmak isterim. Sonuç olarak tüm network yapınızda bu iÅŸlemi gerçekleÅŸtirmek istiyorsanız ilk olarak departman bazlı bir modeli planlamanızı öneririm. Bu ÅŸekilde çıkacak sorunları çözmek için yeteri kadar vaktiniz olacaktır.