Silinen Active Directory nesnelerinin ayrıntılarına ilişkin rapor nasıl oluşturulur
AD nesnelerinin silinmesi genellikle yönetici ayrıcalıkları kapsamında sunulan bir seçenektir ve bu nedenle şüpheli bir silme durumunda, olayı başlatan kullanıcının bulunması oldukça önemli bir hale gelir. Böyle bir yetkisiz kullanıcı, ağın güvenliği açısından büyük bir risk teşkil edebilir ve BT yöneticisi bunları ne kadar erken tespit ederse, hasar da bir o kadar az olur.
Yerel AD'de, Windows PowerShell dahi bu raporu kendi başına oluşturamaz. Bu bilgilerin edinilebilmesi için birden fazla uygulamanın kullanılması gerekecektir. Bir diğer yandan ADAudit Plus, bu raporu birkaç dakika içinde size ulaştırabilir. Bunun nedeni, ADAudit Plus'ın tüm ağın genel denetimini yürütmenize yardımcı olacak birkaç raporu pakete dahil şekilde sunmasıdır. Bunun dışında, burada bir bilgisayar nesnesini silen kullanıcının Windows PowerShell ve ADAudit Plus kullanılarak nasıl bulunacağına dair bir karşılaştırma verilmektedir.
Windows PowerShell'in Kullanımı
- İlgili etki alanını tanımlayın.
- Raporda ihtiyacınız olan öznitelikleri belirleyin. Örneğin Ayırt Edici Ad (DN), sorgu kapsamında olmasını istediğiniz gün sayısı vb.
- Hakkında rapor oluşturmanız gereken Etki Alanı Denetleyicisini seçin.
- Kodu yazın. Bu bölümün sonuna örnek kod eklenmiştir.
- Komut dosyasını derleyin.
- Bunu Windows PowerShell'de yürütün.
- Silinen bilgisayarlar listesinden ayrıntılarını almanız gereken bilgisayarı seçin. Silinen nesnenin Ayırt Edici Adını (DN) kopyalayın. DN, Komut İsteminde silinen nesne hakkında daha fazla ayrıntı görüntüleyebilecek bir komutu çalıştırmak için kullanılacaktır.
- Active Directory Olay Görüntüleyicisini açın ve silme olaylarını bilgisayar nesnesini silen kullanıcıyı tespit etmek üzere filtrelemek için bir önceki adımda elde edilen verileri kullanın.
Burada örnek bir komut dosyası verilmiştir:
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
Çıktıdan, silinen nesnenin DN'sini kopyalayın.
Ardından, Komut İstemini açın ve DC'nizin adını ve silinen nesnenin DN'sini uygun alanlara girerek şunu yazın: epadmin /showobjmeta nameofDC "Bilgisayar nesnesinin DN'si"
Bu size silme tarihini ve saatini verecektir. Artık AD nesnesini silen kullanıcıyı bulmak amacıyla Active Directory Olay Görüntüleyicisindeki olayları filtrelemek için tarihi kullanabilirsiniz.
ADAudit Plus Kullanarak
- Ayrıntılı rapor için ADAudit Plus'ı açın ve Raporlar > Bilgisayar Yönetimi > En Son Silinen Bilgisayarlar alanına gidin.
- İlgili Etki Alanı ve OU'yu seçin ve Oluştur öğesine tıklayın.
- Raporu kullanılabilecek çeşitli biçimlerde (CSV, PDF, HTML, CSVDE ve XLSX) dışa aktarmak için Dışa Aktar seçimini yapın.
Ekran görüntüsü:
Silinen bir nesnenin ayrıntılarını bulmak için Windows PowerShell kullanılacağında aşağıdaki gibi çeşitli sınırlamalar mevcuttur:
- PowerShell komut dosyası yalnızca Active Directory Etki Alanı Hizmetleri rolüne sahip bir bilgisayardan çalıştırılabilir.
- Bu durumda gerekli verileri elde etmek için birden fazla uygulamanın kullanılması gerekli hale gelir.
- Çıktıyı farklı bir biçimde dışa aktarmak için komut dosyasının değiştirilmesi gerekecektir.
- Daha fazla filtre uygulamak komut dosyasının karmaşıklık düzeyini artıracaktır.
Bir diğer yandan, ADAudit Plus'ın pakete dahil olarak sunulan raporları sadece birkaç tıkla gerekli bilgileri sağlar. Bunun nedeni, ADAudit Plus'ın tüm ağın genel denetimini yürütmenize yardımcı olacak birkaç raporu pakete dahil şekilde sunmasıdır. Bunun dışında, özel güvenlik ihtiyaçlarınıza uygun biçimde geliştirilebilecek özel raporlar da bulunmaktadır.