Active Directory, şirketlerde kullanıcıların, bilgisayarların ve erişim yetkilerinin merkezi olarak yönetildiği sistemdir. Bir çalışan işe başladığında ona erişim verilmesi, belirli gruplara dahil edilmesi ve sistemlerde yetkilendirilmesi gibi işlemler bu yapı üzerinden yapılır.
Bu işlemler grafik arayüz üzerinden yapılabilir, ancak kullanıcı sayısı arttıkça bu yöntem hem yavaş hem de hataya açık hale gelir. Aynı işlemleri tekrar tekrar yapmak gerektiğinde PowerShell kullanımı büyük avantaj sağlar.
PowerShell, komut yazarak sistem yönetimi yapmayı sağlayan güçlü bir araçtır. Active Directory ile birlikte kullanıldığında kullanıcıları gruplara eklemek, erişim vermek ve sistemleri düzenlemek çok daha hızlı hale gelir.
Bu yazıda Active Directory PowerShell Add komutlarını, ne işe yaradıklarını ve gerçekçi örneklerle nasıl kullanıldıklarını adım adım inceleyeceğiz.
1. Add Komutları Nedir?
Add komutları, mevcut bir yapıya yeni bir şey eklemek için kullanılır.
Yani:
- Yeni kullanıcı oluşturmaz
- Yeni grup oluşturmaz
- Var olan yapıya ekleme yapar
En yaygın kullanım:
- Kullanıcıyı gruba eklemek
- Bilgisayara servis hesabı bağlamak
- Güvenlik kurallarına kullanıcı eklemek
2. Active Directory Add Komutları (Gerçekçi Örneklerle)
Add-ADCentralAccessPolicyMember
Ne yapar:
Bir erişim politikasına yeni kural ekler.
Add-ADCentralAccessPolicyMember –Identity “DosyaErisimPolitikasi” –Members “SadeceIKGoruntuleme”
Bu komut, “DosyaErisimPolitikasi” adlı erişim politikasına “SadeceIKGoruntuleme” adlı kuralı ekler.
Bu örnekte politika, şirket dosyalarına erişimi kontrol eder. Eklenen kural ise insan kaynakları (İK) dosyalarının sadece belirli kişiler tarafından görüntülenmesini sağlar.
Add-ADComputerServiceAccount
Ne yapar:
Bir bilgisayara servis hesabı bağlar.
Add-ADComputerServiceAccount –Identity “MUHASEBE-PC01” –ServiceAccount “webUygulamasiServisi”
Bu komut, “MUHASEBE-PC01” adlı bilgisayara “webUygulamasiServisi” adlı servis hesabını bağlar.
Bu durumda o bilgisayarda çalışan uygulama, kullanıcı hesabı yerine bu servis hesabı ile çalışır. Bu da güvenliği artırır ve şifre yönetimini kolaylaştırır.
Add-ADDomainControllerPasswordReplicationPolicy
Ne yapar:
RODC üzerinde parola saklama izni verir.
Kısa açıklama: RODC (Read-Only Domain Controller), genellikle şubelerde bulunan ve sadece okuma yetkisi olan domain sunucusudur.
Add-ADDomainControllerPasswordReplicationPolicy –Identity “SubeDC01” –AllowedList “ahmet.yilmaz”
Bu komut, “ahmet.yilmaz” kullanıcısının parolasının “SubeDC01” adlı şube sunucusunda saklanmasına izin verir.
Bu sayede kullanıcı şubede çalışırken daha hızlı oturum açabilir. Ancak bu ayar dikkatli yapılmalıdır çünkü parola bilgisi o sunucuda tutulur.
Add-ADFineGrainedPasswordPolicySubject
Ne yapar:
Belirli kullanıcı veya gruba özel parola kuralları uygular.
Add-ADFineGrainedPasswordPolicySubject –Identity “YoneticilerGucluSifre” –Subjects “IT-Yoneticileri”
Bu komut, “IT-Yoneticileri” grubuna daha güçlü parola kuralları uygular.
Örneğin:
- Daha uzun şifre zorunlu olabilir
- Daha sık şifre değiştirme gerekebilir
Bu genellikle yönetici hesaplarını daha güvenli hale getirmek için kullanılır.
Add-ADGroupMember
Ne yapar:
Kullanıcıyı gruba ekler.
Add-ADGroupMember –Identity “Muhasebe-Kullanicilari” –Members “mehmet.kaya”
Bu komut, “mehmet.kaya” kullanıcısını “Muhasebe-Kullanicilari” grubuna ekler.
Bu işlemden sonra kullanıcı:
- Muhasebe klasörlerine erişebilir
- Muhasebe sistemlerini kullanabilir
Yani kullanıcıya yetki doğrudan değil, grup üzerinden verilmiş olur.
Add-ADPrincipalGroupMembership
Ne yapar:
Kullanıcıyı birden fazla gruba ekler.
Add-ADPrincipalGroupMembership –Identity “ayse.demir” –MemberOf “IK-Kullanicilari”,“VPN-Kullanicilari”,“Mail-Kullanicilari”
Bu komut, “ayse.demir” kullanıcısını aynı anda üç farklı gruba ekler.
Bu sayede kullanıcı:
- İnsan kaynakları sistemine erişir
- VPN kullanabilir
- Mail sistemine dahil olur
Yeni kullanıcı kurulumlarında en çok kullanılan komutlardan biridir.
Add-ADResourcePropertyListMember
Ne yapar:
Kaynaklara ek özellik tanımlar.
Add-ADResourcePropertyListMember –Identity “DosyaSiniflandirmaListesi” –Members “DepartmanBilgisi”
Bu komut, dosya sınıflandırma sistemine “DepartmanBilgisi” adlı yeni bir özellik ekler.
Bu sayede dosyalar:
- Muhasebe
- İnsan Kaynakları
- IT
gibi kategorilere ayrılabilir.
3. Gerçek Senaryo
Yeni başlayan bir çalışan için:
Add-ADGroupMember –Identity “IT-Kullanicilari” –Members “ibrahim.tonca”
Add-ADPrincipalGroupMembership –Identity “can.arslan” –MemberOf “VPN-Kullanicilari”,“Mail-Kullanicilari”
Bu işlem sonucunda kullanıcı:
- IT sistemlerine erişir
- VPN kullanabilir
- Mail sistemine dahil olur
4. Bu Komutlar Neden Önemli?
- İşleri hızlandırır
- Tekrarlı işlemleri azaltır
- Yetki yönetimini kolaylaştırır
- Daha düzenli bir sistem sağlar
Uyarı!
Active Directory PowerShell komutları doğrudan canlı sistem üzerinde işlem yapar. Add komutları basit görünse de yanlış kullanıldığında ciddi güvenlik sorunlarına neden olabilir.
Yanlış bir kullanıcıyı yanlış gruba eklemek, o kullanıcıya istemeden geniş yetkiler vermek anlamına gelir. Bu durum veri güvenliği açısından ciddi risk oluşturur.
Bu nedenle komutları çalıştırmadan önce hangi kullanıcıyı, hangi gruba veya hangi politikaya eklediğinizi mutlaka kontrol edin ve mümkünse işlemleri önce test ortamında deneyin.
