Sunucu ya da istemcileriniz üzerinde local Administrators grubu içerisine eklenmiş ve AD üzerinden silinmiş kullanıcıların SID değerleri istemci ve sunucular üzerinde kalıntı bırakmaktadır. Herhangi bir log çalışması, makinelerde kimler admin diye kontrol ettiğimizde bu değerlerin kaldığını görebiliriz.
İlgili kalıntıların silinmesi için aşağıdaki powershell betiğini kullanabiliriz. İlgili Computer accountlarının bulunduğu OU içerisine task scheduler oluşturularak çalıştırılabilir.
S-1-5-21 ile başlayan tüm kullanıcılar ilgili grup üzerinden üyeliği sonlandırılacaktır.
$administrators = @( ([ADSI]"WinNT://./Administrators").psbase.Invoke('Members') | % { $_.GetType().InvokeMember('AdsPath','GetProperty',$null,$($_),$null) } ) -match '^WinNT'; $administrators = $administrators -replace "WinNT://","" foreach ($adm in $administrators) { if($adm -match 'S-1-5-21*') { Remove-LocalGroupMember -Group "Administrators" -Member $adm } }
Başka bir yazımızda görüşmek üzere,