Windows sistemler de Local yönetici hesabının adını değiştirmek, sistem güvenliğini artırmak ve yetkisiz erişimleri önlemek için etkili bir yöntemdir. Bu işlem, özellikle saldırganların varsayılan “Administrator” hesabını hedef almasını zorlaştırabilir.
Grup İlkesi (Group Policy) kullanarak etki alanınızdaki tüm bilgisayarlarda bu değişikliği merkezi olarak uygulayabilirsiniz.
Local Administrator, varsayılan olarak SID 500'ü kullanır ve Local Administrator hesabının adını değiştirdiğinizde bile SID değeri değişmez.
Group Policy (GPO) ile Local Administrator Hesabı Değiştirme
Yapacağımız tüm işlemleri Group Policy Management konsolu üzerinden gerçekleştireceğiz ve oluşturulan Policy'nin uygulandığı OU içerisinde Computer objelerinin olması gerekmektedir.
- Bu işlemlerin hepsini Domain Controller sunucunuz üzerinden ve RSAT yüklü olan sunucularınız dan yapmanız gerekmektedir.
- https://cengizyilmaz.net/windows-server-2022-active-directory-kurulumu/
Yeni Group Policy Objesi Oluşturma
Group Policy Management konsolunuzu açın ve Group Policy Object seçeneğine sağ tıklayarak New seçeneği ile devam edin.
Oluşturacağınız Policy objesi için benzersiz ve tanıyabileceğiniz bir isim belirlemeniz gerekmektedir.
Group Policy Management yönetimi Prod bir ortamda sağlıyorsanız, her policy ve obje için bir standart belirlemeniz gerekmektedir.
Group Policy ile Local Admin İsim Nasıl Değiştirilir
Oluşturmuş olduğumuz “RenameLocalAdministrator” objesi üzerinde düzenleme yapmaya başlayabiliriz. Bunun için Group Policy Management ekranında oluşturmuş olduğumuz “RenameLocalAdministrator” objesine sağ tıklayarak Edit seçeneğini seçiyoruz.
Yapılandırmalarımız yapabilmek için aşağıdaki yolu takip ediyoruz;
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options
Administrator hesabımızın adını değiştireceğimiz policy üzerinde değişiklik yapmak için “Accounts: Rename administrator account” seçeneğini buluyoruz.
Accounts: Rename administrator account seçeneğindeyken Define this policy setting seçeneğini işaretliyoruz.
- Administrator hesabımız için yeni bir isim oluşturuyoruz, örneğin “Supervisor”
- Değişiklikleri Appy ve OK butonları ile kaydediyoruz.
GPO’yu İlgili Ou’ya Link Yapma
Group Policy Management üzerinden, Local Administrator hesabının ismini değiştirmek için oluşturduğumuz policy’i computer objelerimizin bulunduğu OU içine Link etmemiz gerekmektedir.
Link yapmak istediğimiz OU’ya sağ tıklayarak “Link an Existing GPO” seçeneğini seçiyoruz.
Oluşturduğumuz “RenameLocalAdministrator” Policy seçiyoruz ve OK butonu ile işlemlerimizi kaydediyoruz.
Local Administrator İsim Değişikliği İşlemi Doğrulama
Group Policy Management arayüzü ile oluşturduğumuz Policy ile ortamımız da bulunan tüm cihazlarda Local Administrator isim değişikliği sağladık. Yaptığımız bu işlemi doğrulamak için öncelikle GPO’nun uygulanması gerekmektedir.
GPO aşağıdaki koşullar gerçekleşince uygulanmaktadır;
- Restart işlemi
- gpupdate veya gpupdate /force komutu
- otomatik gpo uygulanmasını beklemek
- İstemci bilgisayarlarda Komut İstemi’ni (Command Prompt) yönetici olarak açın.
- Aşağıdaki komutu çalıştırarak grup ilkesini güncelleyin
gpupdate /force
- “lusrmgr.msc” komutunu çalıştırarak “Local Users and Groups” konsolunu açın.
- “Users” bölümünde, “Administrator” hesabının yeni belirlediğiniz isimle değiştiğini kontrol edin.
Administrator Properties kontrolü sağladığımız da Local Administrator hesabının Policy’de belirttiğimiz gibi “Supervisor” olarak güncellendiğini görebilmekteyiz.
Önemli Notlar:
- “Administrator” hesabı, bazı servisler veya görevler tarafından kullanılıyor olabilir. Bu nedenle, isim değişikliği sonrasında bu servislerin ve görevlerin doğru çalıştığını doğrulamak önemlidir.
- Herhangi bir sorunla karşılaşırsanız, GPO ayarlarını eski haline getirerek veya GPO’yu kaldırarak değişiklikleri geri alabilirsiniz.
Bu adımları izleyerek, Grup İlkesi kullanarak yerel yönetici hesabının adını güvenli bir şekilde değiştirebilirsiniz.
Active Directory Computer Account for this Workstation Trust Relationship hatası mı alıyorsunuz, aşağıdaki makaleyi takip edebilirsiniz.