Find UAC GPO

 Merhaba,

Aşağıdaki PS script AD ortamındaki tüm GPO’ları tarar ve UAC ile ilgili ayarları içerenleri bulur. Yüzlerce GPO olan ortamlarda zaman kazandırabilir.

$GPOs = Get-GPO -All

foreach ($GPO in $GPOs) {

    # GPO raporunu XML formatında alıyoruz

    $Report = Get-GPOReport -Guid $GPO.Id -ReportType Xml

    # UAC ile ilgili ayarları kontrol ediyoruz

    if ($Report -match "User Account Control: Run all administrators in Admin Approval Mode") {

        Write-Output "GPO: $($GPO.DisplayName) --> 'User Account Control: Run all administrators in Admin Approval Mode' içeriyor."

    }

    if ($Report -match "User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode") {

        Write-Output "GPO: $($GPO.DisplayName) --> 'User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode' içeriyor."

    }

    if ($Report -match "User Account Control: Behavior of the elevation prompt for standard users") {

        Write-Output "GPO: $($GPO.DisplayName) --> 'User Account Control: Behavior of the elevation prompt for standard users' içeriyor."

    }

    if ($Report -match "User Account Control: Detect application installations and prompt for elevation") {

        Write-Output "GPO: $($GPO.DisplayName) --> 'User Account Control: Detect application installations and prompt for elevation' içeriyor."

    }

    if ($Report -match "User Account Control: Only elevate executables that are signed and validated") {

        Write-Output "GPO: $($GPO.DisplayName) --> 'User Account Control: Only elevate executables that are signed and validated' içeriyor."

    }

}

Exchange Online üzerindeki Kullanıcı sayısı 50 nin üzerindeki mail gruplarını listeleme.

 Merhaba,

Exchange Online üzerinde Distribution Group üye sayısı 50 üzerindeki DL'leri listelemek isterseniz aşağıdaki komutu Powershell ile Exchange Online bağlantısı gerçekleştirdikten sonra çalıştırmanız yeterlidir.

komut aşağıdaki gibi.

Get-DistributionGroup | Where-Object { ($_.RecipientTypeDetails -eq 'MailUniversalDistributionGroup' -or $_.RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -and (Get-DistributionGroupMember $_.Identity -ResultSize Unlimited | Measure-Object).Count -gt 50 } | Select-Object DisplayName, PrimarySmtpAddress, @{Name='MemberCount';Expression={(Get-DistributionGroupMember $_.Identity -ResultSize Unlimited | Measure-Object).Count}}

Listeyi .csv formatında export almak isterseniz aşağıdaki komutu çalıştırabilirsiniz.

Get-DistributionGroup |

Where-Object {

    ($_.RecipientTypeDetails -eq 'MailUniversalDistributionGroup' -or $_.RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -and

    (Get-DistributionGroupMember $_.Identity -ResultSize Unlimited | Measure-Object).Count -gt 50

} |

Select-Object DisplayName, PrimarySmtpAddress, @{

    Name='MemberCount'; 

    Expression={(Get-DistributionGroupMember $_.Identity -ResultSize Unlimited | Measure-Object).Count}

} |

Export-Csv -Path "C:\Temp\DGroups_50Plus.csv" -NoTypeInformation -Encoding UTF8

AD Üzerindeki Disable Fakat Manager alanı dolu olan Userları listeleme

 Merhaba,

AD üzerinde işten ayrıldığı için veya farklı nedenlerle Disable edilmiş kullanıcıların Manager alanlarının da boş olması raporlama açısından önemlidir.

aşağıdaki powershell komutu ile büyük ölçekli bir AD yapınız var ise Disable olan fakat Organization tabındaki Manager alanı dolu olan kullanıcıları listeleyebilirsiniz.

Get-ADUser -Filter {Enabled -eq $false} -Properties Manager | Where-Object { $_.Manager -ne $null } | Select-Object Name, SamAccountName, Enabled, Manager

Unlinked Durumda olan GPO'ları listeleme

 Merhaba,

Büyük yapılarda veya çoklu AD Domain ortamlarında Merkezi yönetimi kolaylaştırmak için Group Policy Object işimizi oldukça kolaylaştırmadır. Fakat,  AD yapımız büyüdükçe Client ve Server, User gibi Obje sayılarımız arttıkça GPO yönetimi de karmaşıklaşmaya ve oluşturulan Group Policy Objects item sayıları da artmaya başlamaktadır. 400 ve üzeri GPO objesi olan ortamlar dahi görebilmemiz mümkün.  GPO sayısı fazla olan ortamlar da bazı durumlar Unlinked durumda olan yani bir GPO oluşturulmuş ayarları da yapılmış ama sonradan uygulamaktan vazgeçilmiş ve hiç bir yere Client veya User OU'larına link edilmemiş.

bu tarz bir sorgu yapmak istediğiniz zaman izleyeceğiniz yöntem aşağıda oldukça basit bir şekilde gösterilmektedir.

Group Policy Management Aracını başlatarak ilgili Domain veya Forest üzerinde Sağ Click Search ile ilerleyebilirsiniz.

Search seçimini yaptıktan sonra Unlinked durumda olan Group Policy objelerini listelemek için kullanacağımız sorgu türü aşağıdaki gibidir.

üstteki kriterler ile Search yaptığımız da 3 adet unlinked durumda GPO listeledi.

listelediği GPO'ları tek tek kontrol ettiğimde Unlinked durumda olduğunu görüyorum.

Windows Firewall with Advanced Security Port ekleme Çıkarma Takibi

 Merhaba,

Active Directory Ortamlarında uygulanan AD Hardening işlemlerinin olmazsa olması Domain Controller Sunucularınızdaki ve Member Sunucularınızdaki Local Windows Firewall ayarlamalarıdır.  Çoğunlukla Windows Firewall aktif hale getirilir sadece gerekli olan Portlara port olarak erişim izni verilir.

Peki Kritik nitelik taşıyan bir Sunucunuzda AD Hardening aktif ve Windows Firewall etkin durumda.

Fakat risk taşıyan bir Porta Inbound veya Outbound olarak izin verilmiş.

İşlemi kimin ve ne zaman yaptığını bulmak isterseniz yazımı referans alabilirsiniz.

Öncelikle sunucudaki işlemi bağlı olduğum Kullanıcı ile değil  Farklı bir kullanıcı ile Run as Different User seçimi yaparak gerçekleştirdim.

Allow SQL TCP 1433 isimli bir Inbound Rule oluşturdum.

eventvwr.msc komutu ile Event Viewer aracımızı başlatarak aşağıdaki PATH'e kadar gitmemiz gerekiyor.

Event Viewer\ Application and Services Logs\ Microsoft\ Windows\ Windows Firewall with Advanced Security\ Firewall  > Bu alandaki 2004- 2005 ve 2006 nolu event ID'ler üzerinden eklenen değiştirilen ve silinen Firewall kuralları hakkında bilgi toplayabiliriz.

event ID 2004 ile oluşturulan Rule ve kim tarafından ne zaman oluşturulduğu bilgisini görebiliyoruz.

yazımın başında da bahsettiğim üzere  işletim sistemine login olduğum kullanıcıdan farklı bir kullanıcı ile Run as Different User seçimi ile işlem yapmıştım. doğru user bilgisini sisteme işlemiş.

şimdi de aynı kullanıcı ile aynı firewall kuralında port değişikliği yapalım.

event id olarak 2005 görmemiz gerekiyor.

port numarasını 1608 olarak değiştirmiştim.  Event ID olarak bu şekilde yansımış.

şimdi de aynı kuralı sileceğim.

Event ID 2006 olarak düşmesi gerekiyor.

File Server Yapısında Inheritance Disable Klasörleri Listeleme

 Merhaba,

Binlerce Klasörün olduğu Karmaşık File Server yapısında Inheritance Disable durumda olan klasörleri bulmak listelemek isteyebilirsiniz. Aşağıdaki PowerShell Scripti işinize yarayacaktır. Kendim kullanıyorum. Powershell  Run As Admin seçimi ile ilerlemenizi öneririm.! 

NOT: büyük ölçekli bir yapıda bu scripti çalıştırıp tespit ettiğiniz Inheritance Disable durumdaki klasörlerin ayarlarıyla oynamadan önce Sorgulamanızı tavsiye ederim.!  Best Practice'e aykırı gördüğünüz o yapıya özel bir neden olabilir.! 

$Path="\\Ozgurnew-HP\Ortak\Insan Kaynaklari"

dir $Path -Directory -recurse | get-acl |

Where {$_.AreAccessRulesProtected} |

Select @{Name="Path";Expression={Convert-Path $_.Path}},AreAccessRulesProtected |

format-table -AutoSize

üstteki Powershell Script sorgusu sonucu göreceğiniz üzere PUANTAJ isimli klasör de Inheritance Disable durumdaymış. 

görsel arayüzden durumu kontrol edebiliriz.

VMware ESXI Custom Vendor ISO

 Merhaba,

HPE Lenovo Dell gibi üreticilerin fiziksel sunucularına ESXI kurmak isterseniz Üreticiye özel hazırlanmış Custom ESXI ISO'Larına ihtiyacınız var demektir. Linkte son sürüm ESXI 8.0 için özel ISO'lar mevcut.

Custom ESXI 8.0 ISO'lar

Custom ESXI 7.0 ISO'lar