İbrahim KADIKIRAN tarafından yazılmıştır.
Merhaba ben İbrahim. Bugün size Active directory hakkında temel düzeyde nedir ve mantığından bahsedeceğim. Şimdi hazırsak yazımıza geçelim.
Active Directory, Microsoft tarafından özellikle Windows Server ve Client bilgisayar sistemleri için tasarlanmış olan içerisinde sunucu, client bilgisayar, kullanıcı ve yazıcı gibi bilgileri tutan bir dizin servisidir. Tabi bahsi geçen verileri tuttuğu için aynı bir veritabanıdır. Bu servis içerisinde yer alan Group Policy yönetim aracı ile çeşitli kısıtlamalar yapabilir veya tek bir noktadan istediğimiz uygulamanın dağıtımını gerçekleştirebiliriz. Kaynakların kontrolü ve yönetiminin merkezileştirilmesi açısından büyük kolaylık sağladığı için çok tercih edilen bir servistir. Active directory bir database olarak düşünülebilir. Active directory tek bir noktadan yönetim olanağı sağlar. Kullanıcıların tek bir oturumla dizin kaynaklarına erişebilmesine imkan verir. Active directory “LDAP” uyumlu bir veritabanıdır. Active Directory’nin veritabanı “ntds.dit” dosyasıdır. Active directory kullanılan bir sistemde “ntds.dit” dosyasının yedeğinin alınması gerekmektedir.
Active Directory
Active Directory’nin en temel yapısı domain’dir (Etki alanı). Active Directory kurulum aşamasında domain adı girmemiz zorunludur. Active Directory yönetimi bu domain üzerinden yapılır. Aynı yapıda birden fazla domain kurup yönetebilirsiniz.
Active Directory kurulumunda “DNS” de otomatik verdiğiniz domain ismine göre kurulumu gerçekleşiriz. Kullanıcılar ve nesneler “DNS” aracılığı ile sorgu yaparak domain member işlemi gerçekleştirir. “DNS” Active Directory temellerinden biridir diyebiliriz. “DNS” in temel çalışma prensibi “IP” yi isme çevirmektir. örneğin benim pc’nin IP’si 172.16.1.42 ve pc ismi sercanpc.bilisimasistani.com “DNS” de bu kaydı girerek sercanpc olarak erişim sağlayabiliriz. Domain ortamına üye yapılan her pc otomatik ismi “DNS” de oluşturulur. Ayrıca manuel kayıtlar da girebilirsiniz. “DNS” başlı başına makale konusu olduğundan ayrı makalede detaylı anlatım yapabiliriz.
Dns hakkında detaylı bilgi için tıklayabilirsiniz.
Active directory ilk kurulurken tree ve forest da oluşur. bilisimasistani.com olarak kurduğumuz domain Parent domain olur. Daha sonradan aynı Forest için içinde örneğin akademi. bilisimasistani.com olarak farklı domain kurduğumuzda bu Child domain olur. Her eklenen domain tree’leri oluşturur. Tüm tree’lerde Forest yapısını oluşturur. Aynı Forest içinde bulunan domainler birbirine güvenir. Farklı Forest olarak da domain eklenebilir (ör; sercandemiroz.com )fakat birbirine güvenmez.
Farklı Forest olarak kurduğunuz domainleri Forest Trust yönetimi ile birbirinin kaynaklarını görmesine ve yönetmesine imkan verebilirsiniz.
Bu yapı genelde iki farklı şirketin birleşmesinde ve yeni şirket satın almalarında sıklıkla yapılır.
Tüm kullanıcılara ve pc’lere merkezi bir noktadan kısıtlama izin verme vb. işlemlerin yapıldığı uygulamadır. Örneğin bir kullanıcının masaüstünde bir uygulamanın kısayolu gösterme, uygulama kurmayı engelleme, pc’yi yönetmeyi engelleme, file server map’leme gibi binlerce işlem gerçekleştirebilirsiniz. Hazır olan bölümlerden işlemler yapıldığı gibi script ekleyerek de birçok işlem gerçekleştirebilirsiniz.
Active Directory Forest’ında bulunan her nesneyi barındıran veritabanıdır. Active Directory sunucularında bulunur. Verinin nerede olduğu sorgularına ve logon kayıtlarına cevap verir.
Active Directory içerinde yönetimi kolaylaştırmak ve gruplandırmak için kullanılır. Örneğin Teknik, Pazarlama, İnsan Kaynakları vs. gibi “OU” açarak ilgili kullanıcı ve pc’leri bu grupların içine ekleriz. Özellikle GPO yönetiminde büyük önem taşır, her departmana farklı yetkiler verebilmek için OU kullanımı şarttır.
Önemli yapıtaşlarından biri olan Site, farklı coğrafyalarda bulunan Domain Controller yapılarının veri akışını optimize etmeyi sağlar. Bir kullanıcının farklı bir Site içerisinde yapacağı işlemler çok daha hızlı bir şekilde yürütülebilmektedir.
Domain Controller, üzerinde Active Directory veritabanının bir kopyasını (replica) bulunduran sunucudur. Domain’de yapılan herhangi bir değişiklik bir Domain Controller üzerinde gerçekleştirilir ve daha sonra domain’deki tüm Domain Controller’lar bu değişiklikleri replikasyon yoluyla birbirlerine kopyalarlar. Domain Controller’lar dizin bilgisini bulundururlar ve kullanıcıların logon işlemlerini, kimlik doğrulama işlemlerini ve dizin arama işlemlerini yürütürler. Bir Domain’de bir veya daha çok Domain Controller olabilir. Küçük çaplı bir organizasyonda bir Domain Controller bir de Additional Domain Controller yeterli olurken farklı fiziksel lokasyonlara yayılmış büyük bir işletme için, bölge başına bir veya iki Domain Controller daha uygun olacaktır. Bir Domain’e birden fazla Domain Controller yerleştirmenin amacı hem hata toleransı sağlamak hem de Domain Controller’lar arasında yük dağılımı yapmaktır.
active-directory
Aktif dizin (Active directory) sisteminin işleyişini yöneten bek farklı rol tanımlanmıştır. Bu rollerin her birinin farklı görevleri vardır. Bir sunucu sadece bir role sahip olabileceği gibi rollerin hepsine de sahip olabilir. Etki alanı kurulduğunda rollerin ataması otomatik olarak ilk sunucuya yapılır yani PDC’ye. Daha sonra bu rolleri ister isek diğer sunuculara dağıtabiliriz.
Şema Yöneticisi (Schema master ) : AD şemasında yapılan güncelleştirmeleri ve değişiklikleri kontrol eder. Şemada bir değişiklik yapmak için Schema Administrator yetkisine sahip olmak gerekir.
Etki alanı adlandırma yöneticisi (Domain naming master) : AD ormanında yeni etki alanı eklenmesi veya mevcut etki alanlarının AD’den çıkarılması işlemlerini kontrol eder.
AD Etki alanı rolleri (Domain)
Schema Master: Active Directory Domain Services içerisinde, yapıdaki nesnelerin sahip olacağı özellikleri belirleyen bileşendir. Nesnelerin biçimsel yapısını belirler diyebiliriz. Örneğin, kullanıcı nesnesinde ad, soyad, şehir, görev gibi bilgilerin olacağını Schema belirler. Bu rol üzerinde sadece Domain Admins ve Enterprice Admins grubu üyelerinin yetkileri vardır.
Altyapı yöneticisi (Infrastructure master ) : Kendi dizin verileri ile genel katalog sunucularının verilerini karşılaştırır, güncelliğini yitirmiş verileri tesbit eder, güncellenmiş verilerin dağıtılmasını denetler.
Göreli kimlik yöneticisi (RID master ) : AD de bir kullanıcı, grup yada bilgisayar oluşturulduğunda bu nesnelere benzersiz bir kimlik “ID” verilmesini sağlar. Bu kimlik bilgisi etki alanının benzersiz kimliği ile göreli kimlik yöneticisinin atadığı kimliğin birleşmesinden oluşur.
PDC benzeştirici (PDC emulator) : Windows oturumlarının kimliklerini denetler, parola değişikliklerini işler ve BDC güncellemelerini çoğaltır.
Yönetilebilirlik
Delegasyon
Replikasyon
Ölçeklenebilirlik
Genişletilebilirlik
Güvenlik Entegrasyonu
Group Policy ile Yönetim
Diğer Dizin Servisleriyle Birlikte Çalışabilme
Güvenli Kimlik Doğrulama ve Yetkilendirme
1. DHCP (Dynamic Host Configuration Protocol)
2. DNS (Domain Name System)
3. LDAP (Lightweigth Directory Access Protocol)
4. Kerberos
Active directory nedir ?
Merhaba ben İbrahim. Bugün size Active directory hakkında temel düzeyde nedir ve mantığından bahsedeceğim. Şimdi hazırsak yazımıza geçelim.
Active Directory, Microsoft tarafından özellikle Windows Server ve Client bilgisayar sistemleri için tasarlanmış olan içerisinde sunucu, client bilgisayar, kullanıcı ve yazıcı gibi bilgileri tutan bir dizin servisidir. Tabi bahsi geçen verileri tuttuğu için aynı bir veritabanıdır. Bu servis içerisinde yer alan Group Policy yönetim aracı ile çeşitli kısıtlamalar yapabilir veya tek bir noktadan istediğimiz uygulamanın dağıtımını gerçekleştirebiliriz. Kaynakların kontrolü ve yönetiminin merkezileştirilmesi açısından büyük kolaylık sağladığı için çok tercih edilen bir servistir. Active directory bir database olarak düşünülebilir. Active directory tek bir noktadan yönetim olanağı sağlar. Kullanıcıların tek bir oturumla dizin kaynaklarına erişebilmesine imkan verir. Active directory “LDAP” uyumlu bir veritabanıdır. Active Directory’nin veritabanı “ntds.dit” dosyasıdır. Active directory kullanılan bir sistemde “ntds.dit” dosyasının yedeğinin alınması gerekmektedir.
Active Directory
Active Directory Yapısı
Domain (Etki alanı)
Active Directory’nin en temel yapısı domain’dir (Etki alanı). Active Directory kurulum aşamasında domain adı girmemiz zorunludur. Active Directory yönetimi bu domain üzerinden yapılır. Aynı yapıda birden fazla domain kurup yönetebilirsiniz.
DNS
Active Directory kurulumunda “DNS” de otomatik verdiğiniz domain ismine göre kurulumu gerçekleşiriz. Kullanıcılar ve nesneler “DNS” aracılığı ile sorgu yaparak domain member işlemi gerçekleştirir. “DNS” Active Directory temellerinden biridir diyebiliriz. “DNS” in temel çalışma prensibi “IP” yi isme çevirmektir. örneğin benim pc’nin IP’si 172.16.1.42 ve pc ismi sercanpc.bilisimasistani.com “DNS” de bu kaydı girerek sercanpc olarak erişim sağlayabiliriz. Domain ortamına üye yapılan her pc otomatik ismi “DNS” de oluşturulur. Ayrıca manuel kayıtlar da girebilirsiniz. “DNS” başlı başına makale konusu olduğundan ayrı makalede detaylı anlatım yapabiliriz.
Dns hakkında detaylı bilgi için tıklayabilirsiniz.
Tree-Forest
Active directory ilk kurulurken tree ve forest da oluşur. bilisimasistani.com olarak kurduğumuz domain Parent domain olur. Daha sonradan aynı Forest için içinde örneğin akademi. bilisimasistani.com olarak farklı domain kurduğumuzda bu Child domain olur. Her eklenen domain tree’leri oluşturur. Tüm tree’lerde Forest yapısını oluşturur. Aynı Forest içinde bulunan domainler birbirine güvenir. Farklı Forest olarak da domain eklenebilir (ör; sercandemiroz.com )fakat birbirine güvenmez.
Trust
Farklı Forest olarak kurduğunuz domainleri Forest Trust yönetimi ile birbirinin kaynaklarını görmesine ve yönetmesine imkan verebilirsiniz.
Bu yapı genelde iki farklı şirketin birleşmesinde ve yeni şirket satın almalarında sıklıkla yapılır.
Group Policy
Tüm kullanıcılara ve pc’lere merkezi bir noktadan kısıtlama izin verme vb. işlemlerin yapıldığı uygulamadır. Örneğin bir kullanıcının masaüstünde bir uygulamanın kısayolu gösterme, uygulama kurmayı engelleme, pc’yi yönetmeyi engelleme, file server map’leme gibi binlerce işlem gerçekleştirebilirsiniz. Hazır olan bölümlerden işlemler yapıldığı gibi script ekleyerek de birçok işlem gerçekleştirebilirsiniz.
Global Catalog (GC)
Active Directory Forest’ında bulunan her nesneyi barındıran veritabanıdır. Active Directory sunucularında bulunur. Verinin nerede olduğu sorgularına ve logon kayıtlarına cevap verir.
Organization Unit (OU)
Active Directory içerinde yönetimi kolaylaştırmak ve gruplandırmak için kullanılır. Örneğin Teknik, Pazarlama, İnsan Kaynakları vs. gibi “OU” açarak ilgili kullanıcı ve pc’leri bu grupların içine ekleriz. Özellikle GPO yönetiminde büyük önem taşır, her departmana farklı yetkiler verebilmek için OU kullanımı şarttır.
Site
Önemli yapıtaşlarından biri olan Site, farklı coğrafyalarda bulunan Domain Controller yapılarının veri akışını optimize etmeyi sağlar. Bir kullanıcının farklı bir Site içerisinde yapacağı işlemler çok daha hızlı bir şekilde yürütülebilmektedir.
Domain Controller
Domain Controller, üzerinde Active Directory veritabanının bir kopyasını (replica) bulunduran sunucudur. Domain’de yapılan herhangi bir değişiklik bir Domain Controller üzerinde gerçekleştirilir ve daha sonra domain’deki tüm Domain Controller’lar bu değişiklikleri replikasyon yoluyla birbirlerine kopyalarlar. Domain Controller’lar dizin bilgisini bulundururlar ve kullanıcıların logon işlemlerini, kimlik doğrulama işlemlerini ve dizin arama işlemlerini yürütürler. Bir Domain’de bir veya daha çok Domain Controller olabilir. Küçük çaplı bir organizasyonda bir Domain Controller bir de Additional Domain Controller yeterli olurken farklı fiziksel lokasyonlara yayılmış büyük bir işletme için, bölge başına bir veya iki Domain Controller daha uygun olacaktır. Bir Domain’e birden fazla Domain Controller yerleştirmenin amacı hem hata toleransı sağlamak hem de Domain Controller’lar arasında yük dağılımı yapmaktır.
active-directory
Aktif Dizin Fsmo rolleri
Aktif dizin (Active directory) sisteminin işleyişini yöneten bek farklı rol tanımlanmıştır. Bu rollerin her birinin farklı görevleri vardır. Bir sunucu sadece bir role sahip olabileceği gibi rollerin hepsine de sahip olabilir. Etki alanı kurulduğunda rollerin ataması otomatik olarak ilk sunucuya yapılır yani PDC’ye. Daha sonra bu rolleri ister isek diğer sunuculara dağıtabiliriz.
AD Ormanı rolleri (Forest)
Şema Yöneticisi (Schema master ) : AD şemasında yapılan güncelleştirmeleri ve değişiklikleri kontrol eder. Şemada bir değişiklik yapmak için Schema Administrator yetkisine sahip olmak gerekir.
Etki alanı adlandırma yöneticisi (Domain naming master) : AD ormanında yeni etki alanı eklenmesi veya mevcut etki alanlarının AD’den çıkarılması işlemlerini kontrol eder.
AD Etki alanı rolleri (Domain)
Schema Master: Active Directory Domain Services içerisinde, yapıdaki nesnelerin sahip olacağı özellikleri belirleyen bileşendir. Nesnelerin biçimsel yapısını belirler diyebiliriz. Örneğin, kullanıcı nesnesinde ad, soyad, şehir, görev gibi bilgilerin olacağını Schema belirler. Bu rol üzerinde sadece Domain Admins ve Enterprice Admins grubu üyelerinin yetkileri vardır.
Altyapı yöneticisi (Infrastructure master ) : Kendi dizin verileri ile genel katalog sunucularının verilerini karşılaştırır, güncelliğini yitirmiş verileri tesbit eder, güncellenmiş verilerin dağıtılmasını denetler.
Göreli kimlik yöneticisi (RID master ) : AD de bir kullanıcı, grup yada bilgisayar oluşturulduğunda bu nesnelere benzersiz bir kimlik “ID” verilmesini sağlar. Bu kimlik bilgisi etki alanının benzersiz kimliği ile göreli kimlik yöneticisinin atadığı kimliğin birleşmesinden oluşur.
PDC benzeştirici (PDC emulator) : Windows oturumlarının kimliklerini denetler, parola değişikliklerini işler ve BDC güncellemelerini çoğaltır.
Active Directory Özellikleri
Yönetilebilirlik
Delegasyon
Replikasyon
Ölçeklenebilirlik
Genişletilebilirlik
Güvenlik Entegrasyonu
Group Policy ile Yönetim
Diğer Dizin Servisleriyle Birlikte Çalışabilme
Güvenli Kimlik Doğrulama ve Yetkilendirme
Active directory’nin desteklediği teknolojiler
1. DHCP (Dynamic Host Configuration Protocol)
2. DNS (Domain Name System)
3. LDAP (Lightweigth Directory Access Protocol)
4. Kerberos
Moderatör tarafında düzenlendi: