ActiveDirectory Nedir (What is ActiveDirectory ?)
Merhaba arkadaşlar ile makalem ile karşınızdayım. Sizlerle paylaşmak istediğim konu küçük, orta ve büyük ölçekli şirketlerde kullanılan Active Directory konusudur. sözü daha fazla uzatmadan bilgi akışına giriş yapıyorum.
Active Directory, Windows 2000 ve sonrasının bulunduğu, Network ortamlarında kullanılan bir directory servisidir. Bu servis Network içerisinde bulunan kaynakların isim, tanım, lokasyon, erişim, yönetim ve güvenlik bilgilerini depolamanın yanısıra bu bilgileri, kullanıcılar ile uygulamaların hizmetine sunar.Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Netvvork’e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.Diğer önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory yapısında yer alan sistem konfıgürasyonu, kullanıcı profilleri ve uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu; server bilgisayarda depolanır. Active Directory yapısında yer alan, Group Policy uygulamaları ile Network ortamındaki servis ve uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel kolaylık sağlanmıştır.Active Directory yapısında, Netvvork objeleri hakkında bilgiler depolanır. Active Directory objeleri: Kullanıcı(user), grup(group), bilgisayar(computer) ve yazıcı(printer) lardır. Ayrıca Network ortamında yer alan bütün Server bilgisayarları(server), Domainleri ve siteleri de obje olarak değerlendirir. Tek bir yönetici(administrator) ile sözkonusu kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için Netsvork kaynakları, bir veri tabanı içerisinde obje olarak sunulmaktadır.Bir obje oluşturulduğunda objeye ait özellikler veya nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile kullanıcıların, objeleri Netvvork ortamında kolaylıkla bulması sağlanırACTIVE DIRECTORY SCHEMA :Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Netvvork yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde birkez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.Dolayısı ile;» Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.• Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde güncellenir.
• Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs ile Schema bilgileri üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized users) değişiklik yapabilmesi
sağlanır.
LIGHTVVEIGHT DİRECTORY ACCESS PROTOCOL (LDAP) :LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;* Distinguished Names* Relative Distinguished NamesDistinguished names: Tüm Active Directory objeleri, Netvvork ortamındakendilerine ulaşılmasını sağlayan komple path içeren,distinguishedname’esahiptir.
Örneğin; CN=Mutlu Can , OU=Pazarlama , DC=albatros, DC=comBurada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır. CN: Grup ve kullanıcı adları tanımlamalarında kullanılır. OU: Organization Units tanımlamalarında kullanılır. DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır.
Örneğin: Domain adı fener.com ise, DC=fener, DC=com şeklinde belirtilir.Başka bir örnek verelim; “Görkem” isimli kullanıcı, “Kadikoy” isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı “fener.sabitaksu.com” olsun.Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=Gorkem, OU=Kadikoy, DC=fener, DC=sabitaksu, DC=comRelative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin; CN=Gorkem, OU=Kadikoy, DC=fener, DC=sabitaksu, DC=com Yazılımında fener.prestige.com içinde tek olan yani; Relative Distingished Name; Görkem’dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
ACTİVE DIRECTORY’nin MANTIKSAL YAPISI: Active Directory’nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir. Söz konusu mantıksal komponentlerA. Domain B. Organizational unit C. Tree and forestD. Global catalog Active Directory’nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
DOMAIN (ETKİ ALANI): Domain: Yönetici(administrator) tarafından tanımlanmış ve ortak bir Database (veri tabanı) içerisinde paylaşıma sunulmuş bilgisayarları kapsar. Network ortamında eşsiz(unique) isime sahip olmalıdır. Domain yöneticisinin kullanıcı ve , grup hesaplarını denetlemesini, merkezileştirmektedir.Eğer birden fazla Domain var ise her Domain için, bir yönetici vardır ve kendi Domain’lerini yönetirler. Windows 2003 Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir. Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain Administrator, diğer Domain’ler üzerinde de güvenlik ayarlaması yapabilir.Domain’ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers(DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır. ORGANIZATIONAL UNIT (OUs):Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.Bir organizasyonda OU yapısının sunduğu avantajlar;• Netvvork yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator üzerinde, bütün bilgisayarların denetiminin de diğer bir Administrator’un üzerinde olması talep edilebilir. Bu sorunun çözümünü sağlamaya yönelik, kullanıcıhesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.• Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak yapılandırılır.OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya gruba devredebilirsiniz. Delege olarak adlandırılan kullanıcı, Administrator’un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control veyasınırlandırılmışkontrol yetkilerine sahip olabilecektir.Domain’in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.Örneğin: Sizin İstanbul’da bir Netvvork’ünüz var ve tek bir Domain olarak yapılandırılmış. Network’ünüzü genişletme düşüncesinde iken Ankara’da bir şube açıyorsunuz ve 2 Network’ü birbirine bağlıyorsunuz. Ancak Ankara’ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara’ya ait nesneleri koyuyorsunuz. Bu OUs’e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara’yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST :Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain’i “forest rootdomain” olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain’e daha sonra eklenen Domain’ler ise “additional domain” ismini alır.
TREE:Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain “parent domain”, Tree’ye eklenen Domain “child domain” olacaktır. Söz konusu child domain’in ismi, parent domain’in DNS ismini içerecektir.
Örneğin;
parent domain child domainalbatros.com.tr -………. —…………… – kumsal.albatros.com.tralbatros.com.tr —…….. —………….. deniz.albatros.com.trYukarıdaki örnek ile iki Child Domain’imiz var.Her Child Domain, kendi Parent Domain’i ile “iki yönlü, geçişli güven ilişkisi”(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain’leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.
Transitive Trusts: “kumsal.albatros.com.tr” ile “albatros.com.tr” arasında doğrudan güven ilişkisi kuruludur, “deniz.albatros.com.tr” ile “albatros.com.tr” arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.albatros.com.tr ile deniz.albatros.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain’ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain’ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST :Forest, bir veya daha fazla Tree’den oluşur. Forest içindeki Tree’ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree’ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.Forest içinde her tree, kendi eşsiz isim alanına(unique name space) sahiptir. Örneğin: Albatros Ltd şirketi, Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain’i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.GLOBAL CATALOG :Global Catalog: Active Directory içerisindeki tüm objelere ait niteliklerintutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıklakullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır.Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgilerikapsar.Kullanıcılar açısından iki önemli işlevi vardır:• Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory bilgilerine ulaşım.• Netvvork ortamına katılırken; universal group üyeliğinin kullanılabilmesi. Global katalog bilgilerini sorgulama ve proseslerinin bir kopyasını üzerinde bulunduran DC(Domain Controller), “global catalog server” olarak adlandırılır.Active Directory içerisinde ilk yapılandırılan DC, otomatikman “global catalog server” olur. Kimlik denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile Directory içerisinde, birden fazla global catalog server yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı takdirde, Forest içerisindeki tüm Domain’lere tek tek gidip, bu sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı olan objeleri listede görebilir.
ACTİVE DIRECTORY’nin FİZİKSEL YAPISI: Active Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize ederken, fiziksel yapı ile Netvvork trafiğini kontrol ve konfıgüre edebilirsiniz.Active Directory’nin fiziksel yapısını; DC(Domain Controller) ve Siteler oluşturur. Active Directory’nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network’e katılımını(logon) belirler. Netvvork trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.
DOMAİN CONTROLLER (DC): Domain Controller(DC), replikasyon işlemine dahil olan Active Directory bilgilerinin depolandığı, üzerinde Windows Server 2003-2000 işletim sistemi çalışan bilgisayardır. Directory bilgilerinde değişiklik yapılmasına ve bu değişikliklerin aynı Domain içerisindeki diğer DC’ler ile replikasyonuna olanak sağlar. Directory verilerini depolar, kullanıcıların logon işlemlerini yönetir, kimlik denetimi ile directory arama(search) işlemlerini gerçekleştirir. Tek bir yerel Netvvork ortamına( LAN; local area netvvork) sahip küçük bir işletmede; tek bir Domain yapısı içerisinde, güvenlik amacıyla(fault tolerance) iki DC yapılandırılabilir(DC & Additional DC). Birçok farklı coğrafık lokasyona yayılmış organizasyonlar ise, her bir lokasyon içerisinde iki DC yapılandırabilir (DC & Additional DC) .Active Directory’de Replikasyon İşlemi: Forest ve Domain içindeki DC’ler, Active Directory veri tabanında herhangi bir değişiklik olduğunda, otomatik olarak birbirleri ile replika olur, söz konusu veriyi güncellerler. Tüm directory yapısı içerisindeki DC ve istemci(Client) bilgisayarların, güncel veriye ulaşması sağlanır. Replikasyon yer ve zamanı ile Netvvork’e katılımı(logon), Active Directory’nin fiziksel yapısı belirler. Active Directory, Multi-Master replikasyon modelini kullanır. Her Windows 2003-2000 Domain’i bir veya daha fazla DC içerebilir. Her DC, kendi Domain yapısına ait Active Directory veri tabanının değişiklik yapılabilen, güncellenebilen bir kopyasını depolar. Üzerinde değişiklik yapılan bilgilerin, diğer DC’ler ile replikasyonu derhal yapılabileceği gibi, kısa zaman aralıklarında periyodik olarak da yapılabilir.
SİTE:Site: IP(internet protocol) topluluğu olarak tanımlanabilir. Bir veya daha fazlayüksek hızlı link ile birbirine bağlanmış İP Subnet’lerini içerebilir. Siteyapılandırılmasında, Active Directory için erişim ve replikasyon topolojisininkonfıgürasyonunu yapabilirsiniz. Böylelikle, Windows 2003-2000 işletim sistemi;replikasyon ve logon trafiği için zamanlandırılmış görevleri ve en etkin linklerikullanabilir.İki öncelikli nedenden dolayı site kurulabilir :• Replikasyon trafiğini optimize etmek.• Kullanıcıların, DC bilgisayarına güvenilir ve yüksek hızlı bağlantıyı kullanarak, logon olmasını sağlamak.Network sisteminizin fiziksel yapısının planlanması Site, organizasyonunuzun mantıksal yapısının planlanması ise Domain vasıtası ile olur.Active Directory içerisinde mantıksal ve fiziksel yapı birbirinden bağımsızdır:• Network fiziksel yapısı ile Domain yapısı arasında bağ veya ilişki
kurmanıza gerek yoktur.• Active Directory, tek bir site içerisinde çoklu Domain veya tek bir Domain
içerisinde çoklu site yapılandırılmasını destekler.
• Site ve Domain isim alanları arasında bağ veya ilişki kurmanıza gerek
yoktur.
WINDOWS 2003 YÖNETİM METHODLARI :Windows işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde kullanılacak method ve yöntemleri Administrator’a sunar. Administrator’un Network ortamındaki yönetimsel işlevi :Merkezi yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Netvvork kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak kullanıcılara sunumu sağlanır.Kullanıcıların yönetimi: Active Directory içerisinde organizasyon birimlerine uygulanılabilen Group Policy ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya aktarılır.Yönetimsel kontroller için delege atanması: Active Directory, Administrator’ın organizasyon içerisindeki bir kullanıcıya veya gruba kısmen veya tamamen yetki vermesine olanak tanır.Active Directory; Administrator’ın Netvvork kaynaklarını merkezi olarak yönetmesine olanak sağlar.Kaynakların merkezi yönetiminin avantajı: Tek bir administrator tarafından, Network kaynaklarının merkezi denetim ve yönetimi. Active Directory, tüm objelere ait bilgiler ile nitelikleri içerir. Bu nitelikler, kaynakların tanımını içeren verilerdir. Active Directory, objelerin bilgilerini yerleştirmede kolaylık sağlar. Bu bilgileri kullanarak, yapılan arama işlemlerinde obje, Active Directory dizininde her nerede olursa olsun, kolaylıkla bulunabilir. Organizasyon birimleri içerisinde grup objeleri oluşturabilirsiniz. OU bünyesinde Group Policy uygulanabileceği gibi, delege atanmasına da imkan tanır. Delege, Administrator tarafından kendisine verilen yetki oranında, işlem yapabilir.Group Policy ayarları: Site, Domain veya OU yapılarına uygulanabilir. Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.
Umarım açıklayıcı bir ifade ile sizele active Directory i anlatabilmişimdir. Makalemin devamında kurulum ve diğer bilgiler yer alacaktır.
Saygılarımla Tuncay GÜVEN