Windows Server Kullanıcı Şifresi Değiştirme ve Parola Yönetimi

Windows Server Kullanıcı Şifresi Değiştirme ve Parola Yönetimi

Windows Server üzerinde kullanıcı parolalarını kimin nasıl değiştirdiği, ilk bakışta basit görünür. Ama bir domain ortamında farklı kullanıcı türleri, farklı policy katmanları ve farklı kurtarma senaryoları var. Bu rehber; local user, Active Directory kullanıcısı ve domain controller admin olmak üzere üç farklı bağlam için — hem grafik arayüz hem PowerShell — pratik ve kapsamlı anlatımı bir arada sunuyor.

VDS Windows Server kullananlar için ek bir bölüm var: console erişimi, KVM üzerinden kurtarma ve şifreyi tamamen unuttuğunuzda ne yapacağınız.

Windows Server kullanıcı yönetim altyapısı

Windows Server'da üç farklı kullanıcı türü var; hangisiyle çalıştığınızı bilmeden şifre değiştirme adımları anlamsız kalır.

Local Users (Yerel Kullanıcılar): Her sunucunun kendi SAM (Security Account Manager) database'i var. compmgmt.msc → Local Users and Groups altında yönetilir. Bu kullanıcılar yalnızca o sunucu üzerinde geçerlidir; domain'e katılmış makinede local ve domain hesapları birlikte var olabilir, ama local hesapla network kaynaklarına erişim kısıtlıdır.

Domain Users (Active Directory Kullanıcıları): Merkezi bir Active Directory domain controller'da tek veritabanında tutulur. Kullanıcı bir kez doğrulanır, tüm yetkili sunuculara erişir. GPO üzerinden parola politikası merkezi uygulanır. Kurumsal ortamların standart yapısı budur.

Microsoft Account: Modern Windows istemcilerde yaygın, Windows Server'da nadir. Bulut kimliği ile local hesabı birleştirir. Sunucu yönetiminde genellikle kullanılmaz; domain ya da local hesap tercih edilir.

Hangi türde olduğunuzu anlamak için: whoami /upn komutunda @domain.com formatı görüyorsanız domain user, salt kullanıcı adı görüyorsanız local user.

Local user parola değiştirme: RDP ve konsol içinde

RDP ile bağlı olduğunuzda sunucunun kendi masaüstündesiniz. Ctrl+Alt+Del kısayolu istemcinizin değil sunucunun kilitlenmesini sağlar, bu yüzden RDP içinde Ctrl+Alt+Del yerine Ctrl+Alt+End tuş kombinasyonunu kullanmanız gerekir. Açılan menüde "Change a password" seçeneği mevcut hesabın parolasını değiştirmenizi sağlar.

Kendi hesabınız dışında başka bir kullanıcının parolasını değiştirmek için (admin yetkisi gerekir):

1. Başlat → compmgmt.msc çalıştırın (ya da Server Manager → Tools → Computer Management)
2. Sol panelde System Tools → Local Users and Groups → Users
3. Değiştireceğiniz kullanıcıya sağ tıklayın → Set Password...
4. Uyarıyı onaylayın ("This will reset…") → Yeni şifreyi iki kez girin

Uyarıyı ciddiye alın: "Set Password" yetkisini resetler; kullanıcının EFS ile şifrelenmiş dosyaları veya sertifika korumalı verileri varsa bu veriler erişilemez hale gelebilir. Yetkisi olan bir kullanıcı kendi şifresini değiştirdiğinde bu sorun yoktur; yalnızca admin tarafından zorla sıfırlamada geçerlidir.

PowerShell ile local user parola yönetimi

Komut satırı üzerinden çalışmak hem tekrar edilebilir hem de uzak sunucularda scriptlenebilir. Windows Server 2012 R2 ve sonrası için LocalAccounts modülü varsayılan kurulu gelir.

powershell

Mevcut local kullanıcıları listele

Get-LocalUser

Parola değiştir (güvenli okuma)

$sifre = Read-Host -AsSecureString "Yeni parola"
Set-LocalUser -Name "kullanici_adi" -Password $sifre

Yeni local user oluştur

New-LocalUser -Name "testuser" -Password (Read-Host -AsSecureString "Parola") -FullName "Test Kullanici" -Description "Test hesabi"

Administrators grubuna ekle

Add-LocalGroupMember -Group "Administrators" -Member "testuser"

Kullanıcı durumu: hesabı etkinleştir/devre dışı bırak

Enable-LocalUser -Name "testuser"
Disable-LocalUser -Name "testuser"

Otomatik script içinde Read-Host -AsSecureString yerine doğrudan string kullanmak zorunda kalıyorsanız (CI/CD gibi ortamlar), ConvertTo-SecureString -AsPlainText -Force kullanın; ama bu durumda parolayı açık text olarak script'e gömmüş olursunuz — hassas ortamlarda kaçının, secret manager kullanın.

Active Directory kullanıcısı parola değiştirme

Domain ortamında parola yönetimi ADUC (Active Directory Users and Computers) üzerinden veya PowerShell ile yapılır. Her iki yöntem de domain controller'a bağlantı gerektirir.

ADUC (Grafik Arayüz) ile:

1. Başlat → dsa.msc çalıştırın ya da Server Manager → Tools → Active Directory Users and Computers
2. Sol panelde domain adınızı genişletin, kullanıcının bulunduğu OU'ya gidin
3. Kullanıcıya sağ tıklayın → Reset Password...
4. Yeni parolayı iki kez girin
5. "User must change password at next logon" kutusunu işaretleyin (zorunlu değil, önerilen)
6. "Unlock the user's account" seçeneği görüntüleniyorsa hesap kilitliyse birlikte açabilirsiniz

PowerShell ile (Active Directory modülü):

powershell

AD modülü kurulu değilse (RSAT)

Add-WindowsFeature RSAT-AD-PowerShell

Parola sıfırla

$yeniSifre = ConvertTo-SecureString "G3rcekl!ParolaBurada" -AsPlainText -Force
Set-ADAccountPassword -Identity "kullanici.adi" -NewPassword $yeniSifre -Reset

Kullanıcıyı sonraki girişte parola değiştirmeye zorla

Set-ADUser -Identity "kullanici.adi" -ChangePasswordAtLogon $true

Hesap kilidini kaldır

Unlock-ADAccount -Identity "kullanici.adi"

Kullanıcı bilgilerini kontrol et

Get-ADUser -Identity "kullanici.adi" -Properties PasswordLastSet, LockedOut, AccountExpirationDate

-Identity parametresine SAMAccountName, UPN ([email protected]) veya Distinguished Name verilebilir. Uzak sunucudan farklı credential ile çalışmak için Get-Credential ile alınan credential'ı -Credential parametresine geçin.

AD parola politikası: GPO ile merkezi yönetim

Domain ortamında parola politikası Group Policy ile uygulanır. Varsayılan konum: Default Domain Policy GPO → Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy.

Politika	Açıklama	Yaygın Değer
Minimum password length	Minimum karakter sayısı	12–16 karakter
Password must meet complexity requirements	Büyük+küçük+rakam+özel karakter	Etkin
Enforce password history	Aynı parolanın tekrar kullanım engeli	24
Maximum password age	Parolanın geçerli olduğu maksimum gün	90 (ya da disabled)
Minimum password age	Değiştirmeden önce beklenecek minimum gün	1
Account lockout threshold	Kilitlenme için başarısız deneme sayısı	5–10
Observation window	Deneme sayacının sıfırlanma süresi	15 dk
Lockout duration	Kilitleme süresi (0 = admin açana kadar)	30 dk

GPO değişiklikleri domain controller'dan istemcilere çoğunlukla 90 dakika içinde yayılır; anlık uygulamak için hedef makinede gpupdate /force çalıştırın.

2026 itibarıyla Microsoft, NIST SP 800-63B önerilerini GPO'ya yansıtmada yavaş. NIST karmaşıklık zorunluluğunu önermez, bunun yerine passphrase (uzun cümle parola) ve ihlal edilmiş parola denetimine odaklanır. Pratik yaklaşım: minimum 14–16 karakter, complexity enabled, ama periyodik zorunlu değişim yerine ihlal tespiti kullanmak.

Fine-Grained Password Policy (FGPP): kullanıcı/grup bazında politika

Default Domain Policy tek bir parola politikası uygular; tüm kullanıcılara aynı kurallar geçerlidir. Ancak domain admin hesapları için daha sıkı, service account'lar için farklı bir politika isterseniz Fine-Grained Password Policy (FGPP) devreye girer.

FGPP, Password Settings Object (PSO) olarak ADAC (Active Directory Administrative Center) üzerinden yönetilir:

1. dsac.exe çalıştırın → sol panelde domain adınızı seçin
2. Sağ panelde System klasörünü açın → Password Settings Container
3. Sağ tıkla → New → Password Settings
4. İsim, öncelik (precedence, küçük sayı daha öncelikli), politika değerleri ve Direct Applies To (hangi kullanıcı ya da grup) girilir

Çakışma durumunda en düşük precedence değerli PSO kazanır. Bir kullanıcıya birden fazla PSO uygulanıyorsa en düşük precedence geçerlidir.

Örnek: Domain Admins grubuna 20 karakterlik passphrase + lockout threshold 3 + lockout duration "manual unlock" PSO uygulayabilirsiniz; sıradan kullanıcılar Default Domain Policy'e tabi kalır.

Self-service password reset (SSPR)

Kullanıcıların kilitli kaldığında ya da parolalarını unuttuğunda helpdesk'e başvurmak zorunda kalmamaları için SSPR kullanılır.

Microsoft Entra ID entegrasyonu (hibrit): On-premises Active Directory, Entra Connect ile bulut kimlik servisiyle senkronize edildiğinde, kullanıcılar tarayıcı üzerinden kendi parolalarını sıfırlayabilir. Entra ID P1/P2 lisansı gerektirir. Sıfırlama on-prem AD'ye geri yazar (Password Writeback özelliği).

On-premises SSPR çözümleri: ManageEngine ADSelfService Plus ve Specops uReset gibi araçlar, AD entegre self-service portal ve MFA doğrulama sağlar; Entra ID lisansı olmadan kurumsal SSPR işlevselliği sunar.

Küçük ortamlarda SSPR yerine helpdesk prosedürünü standartlaştırmak daha pratik olabilir; SSPR yatırımı 50+ kullanıcılı ortamlarda anlamlı hale gelir.

Unutulan admin parolası kurtarma: Local Server

RDP erişimi yok, parolayı unuttunuz, sunucu çalışıyor. Fiziksel konsol ya da KVM erişimi gereklidir.

Yöntem 1 — Windows Server kurulum medyasından boot:

1. Windows Server ISO'sunu boot kaynağı olarak seçin (Buyukweb VDS için KVM konsoldan ISO mount edilebilir)
2. Boot menüsünde "Repair your computer" → Troubleshoot → Command Prompt
3. Sistemin kurulu olduğu sürücü harfini bulun (genellikle D: ya da E: repair ortamında)
4. Parola sıfırla:
   net user Administrator YeniGucluSifre!2024
   5. Reboot, normal şekilde giriş yapın

Disk şifreliyse (BitLocker): Repair konsolundan sürücüye erişemezsiniz. BitLocker recovery key gereklidir; key AD'de veya Microsoft hesabında kayıtlıdır. VDS ortamında BitLocker nadiren kullanılır ama bilinmesi gereken kritik nokta: encrypted disk kurtarma key olmadan geri dönülemez.

Eski yöntem (utilman.exe trick): Güvenli çalışıyor olmayan, exploit tabanlı bir teknik — bu rehberde anlatılmıyor; güncel Windows Server sürümlerinde ek güvenlik mekanizmaları bu yöntemi zorlaştırmış durumda.

Domain Controller admin parolası unutulduğunda

DC admin parolasını unutmak kurumsal ortamda ciddi bir durumdur. Bir DC varken diğerini kullanmak en kolay yol; birden fazla DC'nin temel bir nedeni de budur.

Tek DC varsa — DSRM (Directory Services Restore Mode):

1. Sunucu başlarken F8 ile boot seçeneklerine girin → Directory Services Restore Mode
2. DSRM parolası, DC kurulumunda "Provide Directory Services Restore Mode Administrator Password" adımında girilmiştir; bu parola domain admin parolasından bağımsız tutulur
3. DSRM parolasını da unuttuysanız, çalışırken PowerShell ile güncellenebilir:
   powershell
   ntdsutil "set dsrm password" "reset password on server null" q q

Krbtgt account reset: Güvenlik ihlali şüphesi varsa (credential dump vb.) hem primary hem secondary Kerberos ticket granting secret sıfırlanmalı; iki aşamalı sıfırlama gerekir, DC replikasyon aralığını bekleyin, ardından ikinci sıfırlamayı yapın.

Üretim için öneri: PIM (Privileged Identity Management) ile "break-glass" acil erişim hesapları oluşturun, bu hesap bilgilerini güvenli fiziksel kasada veya offline secret yöneticisinde tutun. Günlük kullanım için ayrıcalıklı hesap kullanmayın; JIT (just-in-time) erişim modelini benimseyin.

Parola karmaşıklığı tartışması: 2026 perspektifi

Microsoft GPO'da hâlâ varsayılan olarak Password must meet complexity requirements = Enabled. Bu, büyük/küçük harf + rakam + özel karakter kombinasyonunu zorunlu kılar. Ancak NIST SP 800-63B (2024 revision) karmaşıklık zorunluluğunu açıkça önermez; gerekçe: karmaşık parola zorunluluğu kullanıcıları kötü davranışlara iter (P@ssword1! gibi pattern'ler).

NIST önerileri özetle:

• Minimum 8 karakter (kurumsal: 15+)
• İhlal edilmiş parola listesiyle karşılaştırma (Have I Been Pwned tarzı)
• Kullanıcı istediği sürece parola değişimi zorunlu tutmama
• Karmaşıklık zorunluluğu yerine uzun passphrase teşvik etme

Pratik denge için önerilen yaklaşım: minimum 14–16 karakter + complexity enabled (uyumluluk için) + password blacklist (kısık parola engeli) + LAPS her sunucu için + MFA. Periyodik zorunlu değişim yerine şüpheli erişim tespitinde sıfırlatma.

LAPS: yerel admin parolası otomatik yönetimi

LAPS (Local Administrator Password Solution), Microsoft'un ücretsiz sunduğu araçtır. Ağdaki her Windows sunucu/istemcinin yerel Administrator parolasını otomatik olarak rastgele bir değere ayarlar, bu değeri Active Directory'de güvenli şekilde depolar ve belirlenen süre sonunda yeniler.

Neden kritik: Tüm sunucularda aynı local admin parolasını kullanmak ("lateral movement" saldırısı açısından kötü pratik) — bir makinenin parolası ele geçirildiğinde saldırgan diğer tüm sunuculara aynı kimlikle girebilir. LAPS her sunucuya benzersiz parola atar, bu zinciri kırar.

LAPS v2 (Windows Server 2022+, Windows 11 22H2+): Artık ayrı indirme gerektirmiyor; işletim sistemine entegre. Eski sistemler için Microsoft'un LAPS MSI paketi mevcuttur.

powershell

LAPS v2 — Windows Server 2022 Şemayı genişlet (AD'de bir kez)

Update-LapsADSchema

DC üzerinde OU için LAPS izni ver

Set-LapsADComputerSelfPermission -Identity "OU=Servers,DC=domain,DC=com"

GPO ile LAPS'ı etkinleştir: Computer Config > Admin Templates > LAPS

"Enable Local Admin Password Management" = Enabled

Parola okuma (admin hesabıyla)

Get-LapsADPassword -Identity "SUNUCU01" -AsPlainText

LAPS, büyük kurumsal ortamlar için neredeyse zorunlu bir güvenlik katmanıdır; ama 5-10 sunuculu küçük ortamlarda da kurulumu basit ve yararı belirgindir.

Parola senkronizasyon sorunlarını gidermek

Domain ortamında parola değiştirdikten sonra hâlâ eski parola ile giriş yapılabiliyorsa ya da yeni parola çalışmıyorsa birkaç olası sebep var:

Kerberos saat farkı: Kerberos protokolü istemci ile DC arasında maksimum 5 dakika saat farkı toleransı tanır. Saat farkı 5 dakikayı aşarsa kimlik doğrulama başarısız olur ve hata mesajı genellikle parola hatasına benzer. w32tm /query /status ile saat durumunu kontrol edin; NTP yapılandırmasını düzeltin.

DNS hatası: İstemci doğru DC'ye ulaşamıyorsa parola değişikliği veya kimlik doğrulama işlemi başarısız olur. nslookup _ldap._tcp.domain.com ile DC SRV kaydını test edin.

NTLM devre dışı: Bazı sıkılaştırılmış GPO'lar NTLM'i tamamen engeller; eski uygulamalar NTLM gerektiriyor olabilir. Event ID 4776 (NTLM doğrulama) loglarını inceleyin.

Replikasyon gecikmesi: Birden fazla DC varsa parola değişikliği tüm DC'lere replike olana kadar gecikme yaşanabilir. repadmin /showrepl ile replikasyon durumunu kontrol edin; acil durumda repadmin /syncall /AdeP ile zorlayın.

SChannel uyumsuzluğu: TLS sıkılaştırma sonrası eski protokol gerektiren uygulamalar bağlanamayabilir; Event Viewer → Security loglarında SChannel kaynaklı hataları arayın.

Buyukweb VDS Windows perspektifi

Buyukweb'den Windows Server VDS aldığınızda KVM tabanlı sanal sunucu, Administrator yetkisiyle teslim edilir. Parola yönetimi tamamen sizin sorumluluğunuzdadır.

RDP ile parola değiştirme: Ctrl+Alt+End → "Change a password" — en hızlı yol.

RDP erişimi yoksa: Buyukweb kontrol panelinden KVM web konsoluna giriş yapın. KVM konsol, sunucuya sanki önünde oturuyormuş gibi bağlanmanızı sağlar. Buradan hem grafik arayüz hem de komut satırıyla çalışabilirsiniz.

Parolayı tamamen unuttuysanız: KVM konsoldan Windows Server kurulum medyasını boot kaynağı olarak mount edin, repair ortamına geçin, net user Administrator YeniSifre! ile sıfırlayın. Bu işlemi kendiniz yapabilirsiniz; teknik destek hattı 0850 302 60 70 arayarak da yönlendirme talep edebilirsiniz, ancak lisans ve veri yönetimi kullanıcının sorumluluğundadır.

VDS sıfırlama (son çare): Eğer OS tamamen bozulduysa ve kurtarma mümkün değilse kontrol panelinden yeniden kurulum yapılabilir; bu durumda disk içeriği silinir. Önemli verilerinizi düzenli yedekleyin.

Sıkça Sorulan Sorular

RDP'de parola nasıl değiştirilir?

RDP oturumu içinde Ctrl+Alt+End tuş kombinasyonunu kullanın. Açılan menüde "Change a password" seçeneği kendi hesabınızın parolasını değiştirmenizi sağlar. Başka bir kullanıcının parolasını değiştirmek için compmgmt.msc → Local Users and Groups → ilgili kullanıcı → sağ tık → Set Password gerekir (admin yetkisi şart).

AD admin parolasını unuttum, ne yapmalıyım?

Birden fazla DC varsa başka bir DC'deki admin hesabını kullanın. Tek DC varsa Directory Services Restore Mode (DSRM) ile boot edin; DC kurulumunda belirlediğiniz DSRM parolasıyla giriş yapın ve kullanıcı parolasını sıfırlayın. DSRM parolasını da unuttuysanız, ntdsutil ile değiştirebilirsiniz (bunun için sunucu çalışır durumdayken DC'ye erişim gerekir).

LAPS kurulumu nasıl yapılır?

Windows Server 2022 ve Windows 11 22H2+ üzerinde LAPS v2 işletim sistemine entegre gelir. AD şemasını Update-LapsADSchema ile genişletin, OU'lara Set-LapsADComputerSelfPermission ile izin verin, GPO'dan "Enable Local Admin Password Management" aktif edin. Eski sistemler için Microsoft'tan LAPS MSI'ı indirip sunucularınıza dağıtın; Group Policy ile konfigürasyon yapın.

FGPP (Fine-Grained Password Policy) nedir?

Aynı domain içinde farklı kullanıcı grupları için farklı parola politikası uygulamanızı sağlar. Password Settings Object (PSO) olarak Active Directory Administrative Center'dan (ADAC) oluşturulur ve kullanıcıya veya gruba doğrudan bağlanır. Örneğin domain admin grubu için daha uzun parola + daha düşük lockout threshold, servis hesapları için "parola süresi dolmasın" gibi ayarlar mümkündür.

VDS Windows parolasını nasıl sıfırlarım?

RDP erişiminiz varsa Ctrl+Alt+End ile değiştirin. RDP erişiminiz yoksa Buyukweb kontrol panelinden KVM web konsoluna girin, oradan grafik arayüz veya komut satırı kullanın. Parolayı tamamen unuttuysanız KVM konsoldan Windows kurulum medyasını mount edin, repair ortamına geçin, net user Administrator yeni_sifre ile sıfırlayın.

Parola karmaşıklığı zorunlu mu olmalı?

Microsoft GPO varsayılanı "Enabled" — büyük/küçük harf + rakam + özel karakter zorunlu. Bu, uyumluluk açısından çoğu ortamda tutulabilir. Ama güvenlik pratiği olarak asıl önemli olan uzunluk (14+), çalıntı parola denetimi (ihlal edilmiş listesiyle karşılaştırma) ve MFA'dır. Karmaşıklık tek başına yeterli bir güvence değildir.

Parola süresi (expiry) kapatılabilir mi?

Evet. GPO'da "Maximum password age" değerini 0 yaparsanız parola süresiz geçerli olur. NIST SP 800-63B de periyodik değişimi önermez. Ancak güvenlik ihlali şüphesi olan hesaplarda veya düzenli kullanıcı hesaplarında belirli bir döngü tutmak hâlâ yaygın pratik. Kapatmadan önce MFA ve şüpheli erişim izleme mekanizmalarının yerinde olduğundan emin olun.

---

Windows Server parola yönetimi, tek bir "şifreyi değiştir" adımından çok daha geniş bir konu. Local hesap yönetimi ile başlayıp AD politikası, FGPP, LAPS ve kurtarma senaryolarına uzanan bu altyapı; doğru kurulduğunda hem güvenliği hem yönetim kolaylığını sağlar.

İlgili Buyukweb Hizmetleri

Windows Server parola yönetimi ve güvenlik konusunu çalışıyorsanız:

• VDS Sunucu — KVM tabanlı, Administrator yetkisi, Windows Server kurulu
• Fiziksel Dedicated Sunucu — Yüksek kapasite, tam donanım kontrolü
• Windows Hosting — Plesk Windows panel hazır
• Sunucu Barındırma (Colocation) — Kendi donanımınızı bizim veri merkezimizde konumlandırın

Teknik sorularınız için 0850 302 60 70 veya iletişim sayfası — Bursa Tier 3 veri merkezi, 17 yıllık altyapı tecrübesi, 7/24 Türkçe destek.