![[TR] ms-DS-MachineAccountQuota ve Beraberinde Getirdiği Güvenlik Riskleri](https://kadirkozan.com/wp-content/uploads/2026/02/Microsoft_Active_Directory.webp)
Active Directory güvenliğinden söz edildiğinde çoğu kişinin aklına karmaşık saldırıla, kritik açıklar ya da yüksek yetkili hesapların ele geçirilmesi gelir. Oysa birçok kurumda asıl risk yıllardır sistemde duran ama pek kimsenin dikkat etmediği küçük ayarlardan kaynaklanır. İşte ms-DS-MachineAccountQuota da tam olarak bu tür ayarlardan biridir.
İlk bakışta önemsiz gibi görünen bu parametre aslında Active Directory ortamında ciddi güvenlik riskleri oluşturabilecek bir yetki alanı tanımlar. Üstelik pek çok kurumda varsayılan değeriyle bırakıldığı için çoğu zaman fark edilmeden saldırganların işini kolaylaştırabilir.
Active Directory neden bu kadar önemli?
Active Directory kurum içindeki kullanıcıların, bilgisayarların, grupların ve birçok erişim yetkisinin merkezi olarak yönetildiği yapıdır. Kısacası kurumun dijital omurgasıdır. Kim hangi kaynağa erişebilir, hangi cihaz ağa dahil olabilir, hangi kullanıcı hangi yetkiye sahip olabilir gibi birçok kritik konu burada belirlenir.
Bu yüzden Active Directory üzerinde bulunan her ayar doğrudan güvenlik yapısını etkileyebilir. Bazı ayarlar herkes tarafından bilinir ve düzenli olarak kontrol edilir. Ancak bazı parametreler vardır ki çoğu zaman varsayılan haliyle bırakılır. İşte ms-DS-MachineAccountQuota da bu gözden kaçan ayarlardan biridir.
ms-DS-MachineAccountQuota nedir?
Bu parametre standart bir kullanıcının Active Directory ortamında kaç adet bilgisayar hesabı oluşturabileceğini belirler. Varsayılan olarak bu değer 10’dur. Yani domain üzerinde normal bir kullanıcı hesabına sahip olan biri ek bir yönetici yetkisi olmadan en fazla 10 bilgisayarı domaine ekleyebilir.
Geçmişte bu ayar kullanım kolaylığı sağlamak için mantıklı görülüyordu. Özellikle büyük ortamlarda her bilgisayar ekleme işlemi için BT ekibine ihtiyaç duyulmaması adına böyle bir esneklik bırakılmıştı. Ancak günümüz güvenlik anlayışında bu kolaylık ciddi bir risk anlamına gelebiliyor.
Çünkü artık mesele sadece “bir bilgisayarı domaine eklemek” değil. Bir saldırgan için domaine eklenen her yeni cihaz veya bilgisayar hesabı içeride hareket etmek için yeni bir fırsat anlamına geliyor.
Neden risk oluşturuyor?
Bu ayarın varsayılan değeriyle bırakılması özellikle düşük yetkili bir hesabın ele geçirildiği durumlarda saldırganlara beklenmedik avantajlar sağlar. Yani saldırganın elinde yalnızca sıradan bir kullanıcı hesabı olsa bile bu yetki sayesinde Active Directory içinde yeni adımlar atması mümkün hale gelir.
1. Sahte bilgisayar hesapları oluşturulabilir
Bir saldırgan ele geçirdiği standart kullanıcı hesabı ile domaine yeni bilgisayar hesapları ekleyebilir. Bu hesaplar her zaman gerçek bir cihazı temsil etmek zorunda değildir. Saldırgan bu nesneleri belirli saldırı senaryolarında kullanabilir.
Özellikle Kerberos tabanlı saldırılarda bu tür hesaplar önemli hale gelir. Son yıllarda sıkça duyulan Resource-Based Constrained Delegation (RBCD) gibi tekniklerde oluşturulan bu makine hesapları saldırı zincirinin bir parçası olabilir.
Yani ilk bakışta “sadece bilgisayar hesabı” gibi görünen şey aslında ayrıcalık yükseltmeye kadar uzanan bir sürecin başlangıcı olabilir.
2. Kurum politikalarına uygun olmayan cihazlar domaine dahil edilebilir
Kötü niyetli bir iç kullanıcı ya da hesabı ele geçirilmiş bir kişi güvenlik standartlarını karşılamayan bir cihazı domain ortamına ekleyebilir. Bu cihaz güncel olmayabilir gerekli güvenlik yazılımlarına sahip olmayabilir veya doğrudan saldırı amacıyla hazırlanmış olabilir.
Normal şartlarda kurumsal ağa dahil edilen cihazların belirli kontrollerden geçmesi gerekir. Ancak bu parametre açık bırakıldığında bu süreç daha kontrolsüz hale gelir. Sonuçta kuruma ait olmayan ya da güvenli olmayan bir cihaz, sanki normal bir kurumsal sistemmiş gibi domain ortamına dahil edilebilir.
3. Ağ içinde yatay hareket kolaylaşabilir
Bir saldırgan için hedef sadece tek bir kullanıcı hesabı ele geçirmek değildir. Asıl hedef oradan ilerleyerek daha kritik sistemlere ulaşmaktır. İşte burada domain’e eklenen yeni bilgisayar hesapları önemli bir zemin oluşturur.
Saldırgan bu sistemler üzerinden ağda keşif yapabilir, kimlik bilgileri toplamaya çalışabilir, başka sistemlerle ilişki kurabilir ve zamanla daha yüksek yetkili hesaplara doğru ilerleyebilir. Yani küçük gibi görünen bu ayar ağ içindeki daha büyük saldırıların önünü açabilir.
Microsoft ne öneriyor?
Microsoft’un önerisi, bu tür riskleri azaltmak için ms-DS-MachineAccountQuota değerinin ihtiyaç yoksa 0 olarak ayarlanması yönündedir. Bu sayede standart kullanıcıların kendi başlarına bilgisayar hesabı oluşturmasının önüne geçilir.
Böylece domain’e yeni cihaz ekleme işlemi yalnızca yetkili kişiler veya belirlenmiş süreçler üzerinden yapılır. Özellikle kurumsal ortamlarda zaten bilgisayarların domaine alınması genellikle BT ekiplerinin kontrolünde gerçekleştiği için, bu değerin 0 yapılması çoğu zaman operasyonel bir sorun çıkarmaz. Tam tersine güvenlik seviyesini belirgin şekilde artırır.
Bu ayar nasıl değiştirilir?
Bu parametreyi değiştirmek için iki temel yöntem kullanılabilir: ADSI Edit ve PowerShell.
Yöntem 1: ADSI Edit ile değiştirme
Grafik arayüz kullanmak isteyen yöneticiler için ADSI Edit kolay bir yöntemdir.
İzlenecek adımlar şu şekildedir:
- Domain Controller üzerinde ADSI Edit aracını açın.
- Default Naming Context bölümüne gidin.
- Domain yapınıza karşılık gelen DC=domain,DC=local nesnesine sağ tıklayıp Properties seçeneğini açın.
- Attribute Editor sekmesinde ms-DS-MachineAccountQuota özniteliğini bulun.
- Varsayılan değer olan 10 yerine 0 yazın.
- OK ve Apply ile değişikliği kaydedin.
Yöntem 2: PowerShell ile değiştirme
Komut satırı üzerinden işlem yapmak isteyenler için PowerShell daha hızlı bir yöntem sunar.
Değeri 0 yapmak için aşağıdaki komut kullanılabilir;
Set-ADDomain -Identity (Get-ADDomain).DistinguishedName -Replace @{ "MS-DS-MachineAccountQuota"=0 }Mevcut değeri görmek için ise şu komut yeterlidir;
Get-ADDomain | Select-Object -Property "MS-DS-MachineAccountQuota"Bu komutlarla hem mevcut yapı kontrol edilebilir hem de gerekli değişiklik kolayca uygulanabilir.
Değişiklik yapmadan önce nelere dikkat edilmeli?
Her ne kadar bu değerin 0 yapılması güvenlik açısından önerilse de değişiklikten önce kurum içindeki süreçlerin gözden geçirilmesi önemlidir. Çünkü bazı ortamlarda bilgisayarların domaine eklenmesi belirli kullanıcılar veya otomasyon süreçleri üzerinden yapılıyor olabilir.
Bu yüzden değişiklik öncesinde şu sorulara cevap vermek faydalı olur:
- Bilgisayarları domaine kim ekliyor?
- Bu işlem sadece BT ekibi tarafından mı yapılıyor?
- Otomatik kurulum veya deployment süreçlerinde bu yetki kullanılıyor mu?
- Değişiklik sonrası operasyonel bir aksama olur mu?
Kısacası amaç sadece ayarı değiştirmek değil, bunu kontrollü ve doğru şekilde yapmaktır.
![[TR] Exchange Server SE Lisanslama ve Satın Alma Süreci](https://kadirkozan.com/wp-content/uploads/2026/03/exchange-server-1-150x150.png)
![[TR] VMware Workstation ve Hyper-V Uyumsuzluğu Hatasının Çözümü](https://kadirkozan.com/wp-content/uploads/2026/03/windows-11-150x150.jpg)