“Account is sensitive and cannot be delegated” ayarı, Active Directory’deki bir hesabın güvenliğini artırmak için kullanılan bir seçenektir. Bu ayar, bir hesabın yetki devri (delegation) işlemlerinde kullanılmasını engeller ve genellikle hassas veya yüksek ayrıcalıklı hesaplar için uygulanır.

“Account is sensitive and cannot be delegated” Neden kullanılmalıdır?

Bu ayar etkinleştirildiğinde:

Yetki Devri Sınırlanır: Bu özellik, hesabın kimliğinin başka bir hizmet veya kullanıcı tarafından devralınmasını engeller. Özellikle Kerberos protokolünde, kimlik devri yapılmak istendiğinde kullanılabilir.

Güvenlik Sağlar: Hassas hesapların başka bir işlem ya da sistem tarafından kullanılmasını önleyerek, saldırı yüzeyini azaltır.

Yüksek Riskli Hesaplar İçin Önerilir: Domain Admins gibi yüksek yetkili gruplara veya özel ayrıcalık gerektiren hesaplara uygulanır.

Özellikle saldırganlar bir hesabın kimliğini devralıp onun yetkilerini kötüye kullanabilir. “Sensitive and cannot be delegated” ayarı etkinleştirildiğinde, böyle bir kimlik devri yapılamaz, bu da hesaba yetkisiz erişimi daha zor hale getirir.

Nerelerde Kullanılır?

Bu özellik genellikle aşağıdaki hesap türlerinde kullanılır:

Yönetici Hesapları (örneğin Domain Admins, Enterprise Admins)

Yüksek Hassasiyetli Servis Hesapları

Özel Ayrıcalıklı Kullanıcılar (örneğin, güvenlik veya denetim amaçlı oluşturulmuş hesaplar)

Nasıl Etkinleştirilir?

Active Directory’de bir hesabın “Account is sensitive and cannot be delegated” olarak işaretlenmesi için ilgili kullanıcı özelliklerinden bu seçenek işaretlenir veya PowerShell komutları ile bu ayar yapılabilir:

Set-ADUser -Identity “KullanıcıAdi” -AccountNotDelegated $true

Aktif olarak kullanılan accountları görüntülemek için aşağıdaki powershell komutu kullanılır.

Get-ADUser -Filter {AccountNotDelegated -eq $true} -Properties AccountNotDelegated | Select-Object Name, SamAccountName, AccountNotDelegated