ActiveDirectory Nedir (What is ActiveDirectory ?)
Merhaba
arkadaşlar ile makalem ile karşınızdayım. Sizlerle paylaşmak istediğim
konu küçük, orta ve büyük ölçekli şirketlerde kullanılan Active
Directory konusudur. sözü daha fazla uzatmadan bilgi akışına giriş
yapıyorum.
Active Directory,
Windows 2000 ve sonrasının bulunduğu, Network ortamlarında kullanılan
bir directory servisidir. Bu servis Network içerisinde bulunan
kaynakların isim, tanım, lokasyon, erişim, yönetim ve güvenlik
bilgilerini depolamanın yanısıra bu bilgileri, kullanıcılar ile
uygulamaların hizmetine sunar.Active Directory; Network kaynaklarının
merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network
ortamındaki fiziksel topoloji ile protokoller arası iletişimi
sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl
Netvvork'e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.Diğer
önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory
yapısında yer alan sistem konfıgürasyonu, kullanıcı profilleri ve
uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu;
server bilgisayarda depolanır. Active Directory yapısında yer alan,
Group Policy uygulamaları ile Network ortamındaki servis ve
uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki
kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel
kolaylık sağlanmıştır.Active Directory yapısında, Netvvork objeleri
hakkında bilgiler depolanır. Active Directory objeleri:
Kullanıcı(user), grup(group), bilgisayar(computer) ve yazıcı(printer)
lardır. Ayrıca Network ortamında yer alan bütün Server
bilgisayarları(server), Domainleri ve siteleri de obje olarak
değerlendirir. Tek bir yönetici(administrator) ile sözkonusu
kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için
Netsvork kaynakları, bir veri tabanı içerisinde obje olarak
sunulmaktadır.Bir obje oluşturulduğunda objeye ait özellikler veya
nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile
kullanıcıların, objeleri Netvvork ortamında kolaylıkla bulması
sağlanırACTIVE DIRECTORY SCHEMA :Active Directory Schema: Kullanıcı,
grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir.
Windows 2000 ve sonrasında tüm Netvvork yapınız (forest) içerisinde,
sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine
yazılır.Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.Obje
sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema
içinde birkez tanımlandıktan sonra, arama(search) işlemlerinde
kullanılabilir.Örneğin: Kullanıcıların çalıştıkları bölümler, doğum
yeri gibi.Schema bilgileri: Active Directory veri tabanı(database)
içerisinde depolanır.Dolayısı ile;» Kullanıcı uygulamaları için
dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema
üzerinden gerçekleşir.• Yeni oluşturulan veya değiştirilen obje
dinamik olarak Schema içerisinde güncellenir.
• Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs ile Schema bilgileri üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized users) değişiklik yapabilmesi
sağlanır.
LIGHTVVEIGHT
DİRECTORY ACCESS PROTOCOL (LDAP) :LDAP: Active Directory yapısı
içerisinde sorgulama(query) ve güncelleme (update) için kullanılan,
temel bir directory servis protokolüdür. LDAP ile Active Directory
objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve
CN(Common Name) kullanılarak, Active Directory içerisinde yeniden
tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine
erişimde kullanılır ve iki tanım içerir;* Distinguished Names*
Relative Distinguished NamesDistinguished names: Tüm Active
Directory objeleri, Netvvork
ortamındakendilerine ulaşılmasını sağlayan komple path içeren,distinguishedname'esahiptir.
Örneğin;
CN=Mutlu Can , OU=Pazarlama , DC=albatros, DC=comBurada kullanılan
CN=Common Name OU=Organizational Unit DC=Domain Controller
anlamındadır. CN: Grup ve kullanıcı adları tanımlamalarında kullanılır.
OU: Organization Units tanımlamalarında kullanılır. DC: Domain
hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır.
Örneğin:
Domain adı fener.com ise, DC=fener, DC=com şeklinde belirtilir.Başka
bir örnek verelim; "Görkem" isimli kullanıcı, "Kadikoy" isimli
Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı
"fener.sabitaksu.com" olsun.Bunun Distingushed Name yazılımı aşağıdaki
şekilde olacaktır: CN=Gorkem, OU=Kadikoy, DC=fener, DC=sabitaksu,
DC=comRelative Distinguished Name: LDAP distinguished name içerisinde
yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu
Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;
CN=Gorkem, OU=Kadikoy, DC=fener, DC=sabitaksu, DC=com Yazılımında
fener.prestige.com içinde tek olan yani; Relative Distingished Name;
Görkem'dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı
mükerrer olamaz.
ACTİVE DIRECTORY'nin
MANTIKSAL YAPISI: Active Directory'nin mantıksal yapısı, esnekliğinin
yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında
hiyerarşik bir yapı kurulmasına olanak verir. Söz konusu mantıksal
komponentlerA. Domain B. Organizational unit C. Tree and forestD.
Global catalog Active Directory'nin kurulumu, konfıgürasyonu, yönetimi
ve sorunlarının çözümü için, mantıksal yapısının kapsam ve
fonksiyonlarının anlaşılması gereklidir.
DOMAIN (ETKİ ALANI): Domain:
Yönetici(administrator) tarafından tanımlanmış ve ortak bir Database
(veri tabanı) içerisinde paylaşıma sunulmuş bilgisayarları kapsar.
Network ortamında eşsiz(unique) isime sahip olmalıdır. Domain
yöneticisinin kullanıcı ve , grup hesaplarını denetlemesini,
merkezileştirmektedir.Eğer birden fazla Domain var ise her Domain için,
bir yönetici vardır ve kendi Domain'lerini yönetirler. Windows 2003
Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir.
Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile
sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain
Administrator, diğer Domain'ler üzerinde de güvenlik ayarlaması
yapabilir.Domain'ler ayrıca Replikasyon birimi olarak işlem yaparlar.
Bu işlev, Domain içerisinde yer alan ve Domain Controllers(DC) olarak
adlandırılan bilgisayar tarafından yapılır. Active Directory
bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC
bilgisayarlar arası Replikasyon ile sağlanır. ORGANIZATIONAL UNIT (OUs):Domain
içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group
objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları,
burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs
bulundurabilir.Organizasyonunuzda mantıksal hiyerarşi içerisinde
objeleri gruplandırmak için, organizasyon birimlerini
kullanabilirsiniz.Bir organizasyonda OU yapısının sunduğu
avantajlar;• Netvvork yönetim modeli, yönetimsel sunumlara dayanır.
Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator
üzerinde, bütün bilgisayarların denetiminin de diğer bir
Administrator'un üzerinde olması talep edilebilir. Bu sorunun
çözümünü sağlamaya yönelik, kullanıcıhesapları ve bilgisayar
hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını,
bölümsel veya coğrafık sınırlar belirleyebilir.• Her bir Domain
içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.OU içerisindeki objeler üzerinde bulunan yönetimsel
kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer
alan bir veya daha fazla kullanıcı veya gruba
devredebilirsiniz. Delege olarak adlandırılan
kullanıcı, Administrator'un isteğine bağlı olarak, tüm OU içerisindeki
objeler üzerinde tam yetkiye(Full Control veyasınırlandırılmışkontrol
yetkilerine sahip olabilecektir.Domain'in yöneticisini Başbakana, OUs
yöneticisini ise bir belediye başkanına benzetebiliriz.Örneğin: Sizin
İstanbul'da bir Netvvork'ünüz var ve tek bir Domain olarak
yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da
bir şube açıyorsunuz ve 2 Network'ü birbirine bağlıyorsunuz. Ancak
Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs
bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait
nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve
sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu
sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı,
ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE
ve FOREST :Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i
"forest rootdomain" olarak adlandırılır. Organizasyonunuzun ihtiyacına
bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök
Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini
alır.
TREE:Windows 2003 Domain içinde olan
hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen
Domain "child domain" olacaktır. Söz konusu child domain'in ismi,
parent domain'in DNS ismini içerecektir.
Örneğin;
parent
domain child domainalbatros.com.tr -.......... —............... -
kumsal.albatros.com.tralbatros.com.tr —........ —..............
deniz.albatros.com.trYukarıdaki örnek ile iki Child Domain'imiz var.Her
Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven
ilişkisi"(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way,
Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında
varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven
(transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının
bir kombinasyonudur.
Transitive
Trusts: "kumsal.albatros.com.tr" ile "albatros.com.tr" arasında
doğrudan güven ilişkisi kuruludur, "deniz.albatros.com.tr" ile
"albatros.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz
konusu her iki güven ilişkisi de default olarak geçişli(transitive)
olduğundan, kumsal.albatros.com.tr ile deniz.albatros.com.tr arasında
dolaylı olarak güven ilişkisi kurulmuş olur.Two-Way Trusts: Aralarında
iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak
paylaştırılmış kaynaklarını(shared recources), diğer Domain
kullanıcılarının hizmetine açmış olmaktadırlar.
İki
yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı:
Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler
arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST
:Forest, bir veya daha fazla Tree'den oluşur. Forest içindeki Tree'ler,
aynı isim alanını kullanamazlar. Fakat forest içindeki tree'ler ortak
bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki
tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven
ilişkisine sahiptir.Forest içinde her tree, kendi eşsiz isim
alanına(unique name space) sahiptir. Örneğin: Albatros Ltd şirketi,
Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory
Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı
isim alanını paylaşmamalarına rağmen, yeni Domain'i mevcut bir Forest
altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki
organizasyon, birbirleri ile kaynaklarını veya yönetimsel
fonksiyonlarını paylaşabilirler.GLOBAL CATALOG :Global Catalog: Active
Directory içerisindeki tüm objelere ait niteliklerintutulduğu yerdir.
Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıklakullanılan
nitelik bilgileri, default olarak Global Catalog içerisinde
depolanır.Directory içerisindeki herhangi bir objenin tanımlanması
için, gerekli bilgilerikapsar.Kullanıcılar açısından iki önemli işlevi
vardır:• Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory bilgilerine ulaşım.• Netvvork
ortamına katılırken; universal group üyeliğinin
kullanılabilmesi. Global katalog bilgilerini sorgulama ve proseslerinin
bir kopyasını üzerinde bulunduran DC(Domain Controller), "global
catalog server" olarak adlandırılır.Active Directory içerisinde ilk
yapılandırılan DC, otomatikman "global catalog server" olur. Kimlik
denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile
Directory içerisinde, birden fazla global catalog server
yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki
yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı
takdirde, Forest içerisindeki tüm Domain'lere tek tek gidip, bu
sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların
yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini
de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama
sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı
olan objeleri listede görebilir.
ACTİVE DIRECTORY'nin FİZİKSEL YAPISI: Active
Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı
bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize
ederken, fiziksel yapı ile Netvvork trafiğini kontrol ve konfıgüre
edebilirsiniz.Active Directory'nin fiziksel yapısını; DC(Domain
Controller) ve Siteler oluşturur. Active Directory'nin fiziksel yapısı,
replikasyonun yer ve zamanı ile Network'e katılımını(logon) belirler.
Netvvork trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde
olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına
bağlıdır.
DOMAİN CONTROLLER (DC):
Domain Controller(DC), replikasyon işlemine dahil olan Active Directory
bilgilerinin depolandığı, üzerinde Windows Server 2003-2000 işletim
sistemi çalışan bilgisayardır. Directory bilgilerinde değişiklik
yapılmasına ve bu değişikliklerin aynı Domain içerisindeki diğer DC'ler
ile replikasyonuna olanak sağlar. Directory verilerini depolar,
kullanıcıların logon işlemlerini yönetir, kimlik denetimi ile directory
arama(search) işlemlerini gerçekleştirir. Tek bir yerel Netvvork
ortamına( LAN; local area netvvork) sahip küçük bir işletmede; tek bir
Domain yapısı içerisinde, güvenlik amacıyla(fault tolerance) iki DC
yapılandırılabilir(DC & Additional DC). Birçok farklı coğrafık
lokasyona yayılmış organizasyonlar ise, her bir lokasyon içerisinde iki
DC yapılandırabilir (DC & Additional DC) .Active Directory'de
Replikasyon İşlemi: Forest ve Domain içindeki DC'ler, Active Directory
veri tabanında herhangi bir değişiklik olduğunda, otomatik olarak
birbirleri ile replika olur, söz konusu veriyi güncellerler. Tüm
directory yapısı içerisindeki DC ve istemci(Client) bilgisayarların,
güncel veriye ulaşması sağlanır. Replikasyon yer ve zamanı ile
Netvvork'e katılımı(logon), Active Directory'nin fiziksel yapısı
belirler. Active Directory, Multi-Master replikasyon modelini kullanır.
Her Windows 2003-2000 Domain'i bir veya daha fazla DC içerebilir. Her
DC, kendi Domain yapısına ait Active Directory veri tabanının
değişiklik yapılabilen, güncellenebilen bir kopyasını depolar. Üzerinde
değişiklik yapılan bilgilerin, diğer DC'ler ile replikasyonu derhal
yapılabileceği gibi, kısa zaman aralıklarında periyodik olarak da
yapılabilir.
SİTE:Site:
IP(internet protocol) topluluğu olarak tanımlanabilir. Bir veya daha
fazlayüksek hızlı link ile birbirine bağlanmış İP
Subnet'lerini içerebilir. Siteyapılandırılmasında, Active Directory
için erişim ve replikasyon topolojisininkonfıgürasyonunu
yapabilirsiniz. Böylelikle, Windows 2003-2000 işletim
sistemi;replikasyon ve logon trafiği için zamanlandırılmış görevleri ve
en etkin linklerikullanabilir.İki öncelikli nedenden dolayı site
kurulabilir :• Replikasyon trafiğini optimize etmek.• Kullanıcıların,
DC bilgisayarına güvenilir ve yüksek hızlı bağlantıyı kullanarak, logon
olmasını sağlamak.Network sisteminizin fiziksel yapısının planlanması
Site, organizasyonunuzun mantıksal yapısının planlanması ise Domain
vasıtası ile olur.Active Directory içerisinde mantıksal ve fiziksel
yapı birbirinden bağımsızdır:• Network fiziksel yapısı ile Domain yapısı arasında bağ veya ilişki
kurmanıza gerek yoktur.• Active Directory, tek bir site içerisinde çoklu Domain veya tek bir Domain
içerisinde çoklu site yapılandırılmasını destekler.
• Site ve Domain isim alanları arasında bağ veya ilişki kurmanıza gerek
yoktur.
WINDOWS 2003 YÖNETİM METHODLARI :Windows
işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki
tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde
kullanılacak method ve yöntemleri Administrator'a sunar.
Administrator'un Network ortamındaki yönetimsel işlevi :Merkezi
yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Netvvork
kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel
gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak
kullanıcılara sunumu sağlanır.Kullanıcıların yönetimi: Active Directory
içerisinde organizasyon birimlerine uygulanılabilen Group Policy
ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı
veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz
konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya
aktarılır.Yönetimsel kontroller için delege atanması: Active Directory,
Administrator'ın organizasyon içerisindeki bir kullanıcıya veya gruba
kısmen veya tamamen yetki vermesine olanak tanır.Active Directory;
Administrator'ın Netvvork kaynaklarını merkezi olarak yönetmesine
olanak sağlar.Kaynakların merkezi yönetiminin avantajı: Tek bir
administrator tarafından, Network kaynaklarının merkezi denetim ve
yönetimi. Active Directory, tüm objelere ait bilgiler ile nitelikleri
içerir. Bu nitelikler, kaynakların tanımını içeren verilerdir. Active
Directory, objelerin bilgilerini yerleştirmede kolaylık sağlar. Bu
bilgileri kullanarak, yapılan arama işlemlerinde obje, Active Directory
dizininde her nerede olursa olsun, kolaylıkla bulunabilir. Organizasyon
birimleri içerisinde grup objeleri oluşturabilirsiniz. OU bünyesinde
Group Policy uygulanabileceği gibi, delege atanmasına da imkan tanır.
Delege, Administrator tarafından kendisine verilen yetki oranında,
işlem yapabilir.Group Policy ayarları: Site, Domain veya OU yapılarına
uygulanabilir. Uygulama sonrasında Active Directory, söz konusu
ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale
gelmesini sağlar.
Umarım açıklayıcı bir
ifade ile sizele active Directory i anlatabilmişimdir. Makalemin
devamında kurulum ve diğer bilgiler yer alacaktır.
Saygılarımla Tuncay GÜVEN
Be the first to rate this post
- Currently 0/5 Stars.
- 1
- 2
- 3
- 4
- 5
Server 2003
active directory giriş