Unlinked Durumda olan GPO'ları listeleme

 Merhaba,

Büyük yapılarda veya çoklu AD Domain ortamlarında Merkezi yönetimi kolaylaştırmak için Group Policy Object işimizi oldukça kolaylaştırmadır. Fakat,  AD yapımız büyüdükçe Client ve Server, User gibi Obje sayılarımız arttıkça GPO yönetimi de karmaşıklaşmaya ve oluşturulan Group Policy Objects item sayıları da artmaya başlamaktadır. 400 ve üzeri GPO objesi olan ortamlar dahi görebilmemiz mümkün.  GPO sayısı fazla olan ortamlar da bazı durumlar Unlinked durumda olan yani bir GPO oluşturulmuş ayarları da yapılmış ama sonradan uygulamaktan vazgeçilmiş ve hiç bir yere Client veya User OU'larına link edilmemiş.

bu tarz bir sorgu yapmak istediğiniz zaman izleyeceğiniz yöntem aşağıda oldukça basit bir şekilde gösterilmektedir.

Group Policy Management Aracını başlatarak ilgili Domain veya Forest üzerinde Sağ Click Search ile ilerleyebilirsiniz.

Search seçimini yaptıktan sonra Unlinked durumda olan Group Policy objelerini listelemek için kullanacağımız sorgu türü aşağıdaki gibidir.

üstteki kriterler ile Search yaptığımız da 3 adet unlinked durumda GPO listeledi.

listelediği GPO'ları tek tek kontrol ettiğimde Unlinked durumda olduğunu görüyorum.

Windows Firewall with Advanced Security Port ekleme Çıkarma Takibi

 Merhaba,

Active Directory Ortamlarında uygulanan AD Hardening işlemlerinin olmazsa olması Domain Controller Sunucularınızdaki ve Member Sunucularınızdaki Local Windows Firewall ayarlamalarıdır.  Çoğunlukla Windows Firewall aktif hale getirilir sadece gerekli olan Portlara port olarak erişim izni verilir.

Peki Kritik nitelik taşıyan bir Sunucunuzda AD Hardening aktif ve Windows Firewall etkin durumda.

Fakat risk taşıyan bir Porta Inbound veya Outbound olarak izin verilmiş.

İşlemi kimin ve ne zaman yaptığını bulmak isterseniz yazımı referans alabilirsiniz.

Öncelikle sunucudaki işlemi bağlı olduğum Kullanıcı ile değil  Farklı bir kullanıcı ile Run as Different User seçimi yaparak gerçekleştirdim.

Allow SQL TCP 1433 isimli bir Inbound Rule oluşturdum.

eventvwr.msc komutu ile Event Viewer aracımızı başlatarak aşağıdaki PATH'e kadar gitmemiz gerekiyor.

Event Viewer\ Application and Services Logs\ Microsoft\ Windows\ Windows Firewall with Advanced Security\ Firewall  > Bu alandaki 2004- 2005 ve 2006 nolu event ID'ler üzerinden eklenen değiştirilen ve silinen Firewall kuralları hakkında bilgi toplayabiliriz.

event ID 2004 ile oluşturulan Rule ve kim tarafından ne zaman oluşturulduğu bilgisini görebiliyoruz.

yazımın başında da bahsettiğim üzere  işletim sistemine login olduğum kullanıcıdan farklı bir kullanıcı ile Run as Different User seçimi ile işlem yapmıştım. doğru user bilgisini sisteme işlemiş.

şimdi de aynı kullanıcı ile aynı firewall kuralında port değişikliği yapalım.

event id olarak 2005 görmemiz gerekiyor.

port numarasını 1608 olarak değiştirmiştim.  Event ID olarak bu şekilde yansımış.

şimdi de aynı kuralı sileceğim.

Event ID 2006 olarak düşmesi gerekiyor.