Active Directory'de Yeni Bilgisayar ve Kullanıcı Hesapları için Varsayılan OU'yu Değiştirme
Varsayılan olarak, bir bilgisayar etki alanına (domain) sysdm.cpl (Sistem Özellikleri) GUI'si aracılığıyla katıldığında, oluşturulan bilgisayar hesabı doğrudan Active Directory'nin kök düzeyindeki Computers konteynerine yerleştirilir. Benzer şekilde, bazı araçlar veya varsayılan ayarlar kullanılarak oluşturulan yeni kullanıcı hesapları da genellikle varsayılan Users konteynerine düşer. Kurumsal ortamlarda, nesnelerin düzgün yönetim, Group Policy (GPO) uygulaması ve delegasyon için doğru Organizasyon Birimlerinde (OU) bulunması kritik öneme sahiptir.
Neden Varsayılan Konteynerleri Değiştirmelisiniz?
Computers ve Users konteynerleri, GPO uygulamak veya yönetim haklarını delegasyon etmek için tasarlanmamıştır. Tüm bilgisayarların veya kullanıcıların belirli bir OU yapısı içinde olması, organizasyonel uyumluluğu sağlar ve yönetim süreçlerini otomatize etmeyi kolaylaştırır.
Zorluk Seviyesi: Intermediate
Adım 1: Gerekli Araçların Hazırlanması
Bu işlem için Active Directory Domain Services (AD DS) yönetim araçlarına ihtiyacınız vardır. Özellikle dsmod veya PowerShell komutları kullanılacaktır. Bu adımları gerçekleştirecek hesabın Domain Admin yetkisine sahip olması gerekir.
Adım 2: Yeni Bilgisayarlar İçin Varsayılan OU'yu Ayarlama (Domain Join)
Windows işletim sistemlerinde, bir bilgisayar etki alanına katılırken (domain join) varsayılan hedef OU'yu değiştirmek için RedirADJOIN kayıt defteri anahtarını kullanırız. Bu ayar, sysdm.cpl kullanılarak yapılan tüm yeni bilgisayar katılımları için geçerli olacaktır.
- Hedef OU'nun Active Directory'de mevcut olduğundan emin olun (Örn:
OU=Workstations,DC=sirket,DC=local). - Domain Controller (DC) üzerinde veya yönetim araçlarının kurulu olduğu bir makinede Komut İstemi'ni (CMD) yönetici olarak açın.
- Aşağıdaki komutu kullanarak varsayılan bilgisayar OU'sunu ayarlayın. Bu komut, bilgisayar nesnelerinin nereye oluşturulacağını belirtir:
reg add HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v RedirectDefaultAcctDomain /t REG_SZ /d "OU=Workstations,DC=sirket,DC=local" /fÖnemli Not: Bu kayıt defteri değişikliği yalnızca yeni katılan bilgisayarlar için geçerlidir. Mevcut bilgisayarların konumunu değiştirmez. Değişikliğin etkili olması için genellikle bir yeniden başlatma gerekmez, ancak Netlogon servisi yeniden başlatılabilir.
Adım 3: Yeni Kullanıcılar İçin Varsayılan OU'yu Ayarlama (User Creation)
Yeni kullanıcı hesaplarının varsayılan olarak nereye oluşturulacağını belirlemek için dsadd veya PowerShell komutları kullanılır. Ancak, dsadd user komutunun kendisi varsayılan OU'yu ayarlamak için bir mekanizma sunmaz; bunun yerine, komutu çalıştırırken hedef OU'yu açıkça belirtmek en güvenli yoldur.
Eğer bir yönetim aracı (örneğin, Active Directory Users and Computers - ADUC) kullanılmıyorsa ve komut satırı ile kullanıcı oluşturuluyorsa, OU yolu her zaman belirtilmelidir:
dsadd user "CN=YeniKullanici,OU=Employees,DC=sirket,DC=local" -pwd Sifre123! -disabled noPowerShell ile Otomasyon: PowerShell kullanıyorsanız, New-ADUser cmdlet'i ile de OU belirtilir. Varsayılan OU'yu değiştirmek için bir kayıt defteri ayarı ADUC veya dsa.msc için doğrudan bir karşılık sunmaz; bu araçlar genellikle o anda açık olan OU'ya nesne oluşturur.
Adım 4: ADUC için Varsayılan OU Ayarı (İleri Düzey)
Active Directory Users and Computers (ADUC) arayüzünde, kullanıcılar veya bilgisayarlar oluşturulurken, araç genellikle en son kullanılan OU'yu veya kök dizini hatırlar. ADUC'nin her zaman belirli bir OU'yu açmasını sağlamak için, ADUC'yi başlattıktan sonra hedef OU'ya gidip kapatmak, bir sonraki açılışta o OU'yu öncelikli kılabilir. Ancak, bu kalıcı bir sistem ayarı değildir.
İpucu: Yönetimsel otomasyon için, kullanıcıları veya bilgisayarları oluşturmak yerine, Move-ADObject veya Move-ADComputer cmdlet'lerini kullanarak oluşturulduktan hemen sonra doğru OU'ya taşımak, en tutarlı yönetim stratejisidir.
