Active Directory Nedir?

Active Directory, Microsoft taraf─▒ndan ├Âzellikle Windows Server ve Client bilgisayar sistemleri i├žin tasarlanm─▒┼č olan i├žerisinde sunucu, client bilgisayar, kullan─▒c─▒ ve yaz─▒c─▒ gibi bilgileri tutan bir dizin servisidir. Tabi bahsi ge├žen verileri tuttu─ču i├žin ayn─▒ bir veritaban─▒d─▒r. Bu servis i├žerisinde yer alan Group Policy y├Ânetim arac─▒ ile ├že┼čitli k─▒s─▒tlamalar yapabilir veya tek bir noktadan istedi─čimiz uygulaman─▒n da─č─▒t─▒m─▒n─▒ ger├žekle┼čtirebiliriz. Kaynaklar─▒n kontrol├╝ ve y├Ânetiminin merkezile┼čtirilmesi a├ž─▒s─▒ndan b├╝y├╝k kolayl─▒k sa─člad─▒─č─▒ i├žin ├žok tercih edilen bir servistir.

Active Directory ilk olarak Windows Server 2000 ile hayat─▒m─▒za girdi. Zamanla 2003, 2008 ve 2012 sistemlerinde kendini geli┼čtirerek g├╝n├╝m├╝zdeki halini alm─▒┼čt─▒r. T├╝m sorgulama ve de─či┼čiklik i┼člemleri ile veritaban─▒ y├Ânetimi gibi i┼člemler ESE (Extensible Storage Engine) isimli veritaban─▒ motoru taraf─▒ndan y├╝r├╝t├╝l├╝r.

Active Directory servisi, Domain Controller olarak adland─▒r─▒lan sunucu veya sunucular ├╝zerinde tutulur. ─░lgili servisin varsay─▒lan konumu ÔÇť%systemroot%NTDSÔÇŁ ┼čeklindededir. Veritaban─▒ dosya ismi ise ntds.dit (New Technology Directory Service-Directory Information Tree)ÔÇÖ tir. Bununla birlikte t├╝m i┼člemlerin ge├žici olarak yer ald─▒─č─▒, de─či┼čikliklerin veritaban─▒na yaz─▒lmadan ├Ânce ├že┼čitli sebeplerden ├Ât├╝r├╝ sakland─▒─č─▒ ve transaction log olarak adland─▒r─▒lan edb.log isimli dosya da, Active Directory servisinin ├žal─▒┼čmas─▒nda kritik rol oynar. Bir di─čer ├Ânemli veritaban─▒ bile┼čeni ise ESE checkpoint olarak adland─▒rabilece─čimiz ebd.chk dosyas─▒d─▒r. Bu dosyan─▒n g├Ârevi edb.log a yaz─▒lan de─či┼čiklik bilgisinin ÔÇťntds.ditÔÇŁ i├žerisine, d├╝zg├╝n ve tutarl─▒ olarak yaz─▒l─▒p yaz─▒lamad─▒─č─▒n─▒ konrol etmektir.

Active Directory ├ľzellikleri;

  • Y├Ânetilebilirlik
  • ├ľl├žeklenebilirlik
  • Geni┼čletilebilirlik
  • G├╝venlik Entegrasyonu
  • Di─čer Dizin Servisleriyle Birlikte ├çal─▒┼čabilme
  • G├╝venli Kimlik Do─črulama ve Yetkilendirme
  • Group Policy ile Y├Ânetim
  • Dns ve Dhcp gibi Servislerle Birlikte ├çal─▒┼čabilme ├ľzelli─či

Active Directory FSMO Rolleri (Flexible Single Master of Operation);

Bir Active Directory sunucusu ├╝zerinde 5 adet role bulunmaktad─▒r. Bunlar;

  • Schema Master
  • Domain Naming Master
  • PDC Emulator
  • RID Master
  • Infrastructure Master

┼čeklindedir. Bu rolleri ÔÇťnetdom query fsmoÔÇŁ komutu ile listeleyebiliriz.

Schema Master

Active Directory Domain Services i├žerisinde, yap─▒daki nesnelerin sahip olaca─č─▒ ├Âzellikleri belirleyen bile┼čendir. Nesnelerin bi├žimsel yap─▒s─▒n─▒ belirler diyebiliriz. ├ľrne─čin, kullan─▒c─▒ nesnesinde ad, soyad, ┼čehir, g├Ârev gibi bilgilerin olaca─č─▒n─▒ Schema belirler. Bu rol ├╝zerinde sadece Domain Admins ve Enterprice Admins grubu ├╝yelerinin yetkileri vard─▒r.

Domain Naming Master

Domain (Etki alan─▒) isimlerini b├╝nyesinde tutan rehberdir diyebiliriz. Yeni bir domain kurulaca─č─▒ zaman isim onay─▒n─▒ bu rol verir. ─░sim ├žak─▒┼čmas─▒n─▒ ├Ânler.

RID Master

A─čda bulunan t├╝m nesnelerin kendine has (benzersiz) bir SID numaras─▒ vard─▒r. Nesnelerin benzersiz bir SID numaras─▒ almas─▒n─▒ sa─člar ve ├žak─▒┼čmay─▒ ├Ânler.

Infrastructure Master

Farkl─▒ etki alanlar─▒ndan gelen kullan─▒c─▒lar─▒n SID numaras─▒ ile ilgili ayarlamalar─▒ ger├žekle┼čtirir. Global Catalog sunucusu ile replikasyonu sa─člar.

PDC Emulator

A─čda bulunan DCÔÇÖler aras─▒nda replikasyonu sa─člar. Windows oturumlar─▒n─▒ kontrol eder.

Active Directory

Active Directory Mant─▒ksal Yap─▒s─▒;

Active Directory Domain

Domain, Active DirectoryÔÇÖnin en temel bile┼čenidir. Domain sistem y├Âneticisi taraf─▒ndan benzersiz bir isim se├žilerek olu┼čturulmal─▒d─▒r. Ayr─▒ca DomainÔÇÖler g├╝venlik noktas─▒nda belli s─▒n─▒rlara sahiptir. E─čer sistem y├Âneticisi ayr─▒ca bir izin belirlememi┼čse, bir kullan─▒c─▒n─▒n haklar─▒ sadece o Domain i├žerisinde ge├žerli olacakt─▒r. Her bir Domain kendi g├╝venlik yap─▒s─▒na sahiptir.
DomainÔÇÖler ayr─▒ca replikasyon birimi olarak adland─▒r─▒l─▒r. Bir Domain i├žerisinde, Active Directory veritaban─▒ kopyalar─▒n─▒ bulunduran Domain ControllerÔÇÖlar bu koyalar─▒ Domain i├žerisinde yap─▒lan de─či┼čiklikleri birbirlerine kopyalarak replikasyon yaparlar.

Active Directory Organizational Unit

Organizational Unit bir Domain i├žerisindeki kullan─▒c─▒lar─▒, gruplar─▒ veya bilgisayarlar─▒ organize etmek amac─▒yla olu┼čturulmu┼č objelerdir. Organizasyonun ihtiyac─▒n─▒ kar┼č─▒lamak ve y├Ânetimi kolayla┼čt─▒rmak noktas─▒nda objeleri gruplamak amac─▒yla kullanabilirsiniz.
├ľrnek olarak, objeleri gruplarken y├Ânetimsel gereksinimler ├Ân planda tutalabilir. Organizasyonda bir y├Ânetici kullan─▒c─▒lardan di─čer y├Ânetici ise bilgisayarlardan sorumlu olacaksa, biri kullan─▒c─▒lar i├žin biri de bilgisayarlar i├žin iki adet OU olu┼čturulur ve kullan─▒c─▒lar birinde bilgisayarlar da di─čerinde toplan─▒r. Son olarak ikisine de ayr─▒ ayr─▒ y├Ânetciler atanabilir. Veya departmansal grupland─▒rmalar yap─▒labilir. ├ľrne─čin bir ÔÇťMuhasebeÔÇŁ bir de ÔÇťPazarlamaÔÇŁ departmanlar─▒ i├žin OU olu┼čturulur ve bu departmanlarda ├žal─▒┼čan kullan─▒c─▒lar ilgili OUÔÇÖlara yerle┼čtirildikten sonra departman ┼čefleri bu birimlere y├Ânetici olarak atanabilir. Bu i┼člemler ayn─▒ zamanda biz sistem y├Âneticilerinin i┼člerini kolayla┼čt─▒racakt─▒r.

Active Directory Tree ve Forest

Olu┼čturulan ilk Windows Server DomainÔÇÖi, Active Directory yap─▒s─▒ndaki K├Âk DomainÔÇÖi (Root Domain) ifade eder. Bundan sonra olu┼čturulacak olan yeni ek DomainÔÇÖler dizinin mant─▒ksal Tree veya Forest yap─▒s─▒n─▒ olu┼čturacakt─▒r.

Active Directory Tree

Bir Tree yap─▒s─▒nda yeni bir Domain eklendi─či zaman, yeni eklenen Domain sondan eklendi─či DomainÔÇÖinin Child DomainÔÇÖi durumunda olur ve eklendi─či Domain de eklenen Domain i├žin Parent Domain olur. Yeni olu┼čturulan Child DomainÔÇÖin ismi Parent DomainÔÇÖden gelen isimle birle┼čtirilir ve yeni olu┼čan DomainÔÇÖin DNS ismi ortaya ├ž─▒kar.
├ľrne─čin ÔÇťtest1.localÔÇŁ bir Root DomainÔÇÖdir. Bu DomainÔÇÖe eklenecek yeni bir Domain ÔÇťtest1.localÔÇŁ DomainÔÇÖinin Child DomainÔÇÖi olacakt─▒r. Buna ├Ârnek olarak ÔÇťmail.test1.localÔÇŁ DomainÔÇÖini g├Âsterebiliriz. Bu ├Ârnekte mail.test1.local, test1.local DomainÔÇÖinin Child DomainÔÇÖi olacakt─▒r. Test1.local DomainÔÇÖi ise Parent Domain konumundad─▒r.

Active Directory Forest

Forest, birden fazla TreeÔÇÖnin birle┼čmi┼č halidir. Olu┼čturulan ilk Domain bir TreeÔÇÖyi ifade eder ve ilk TreeÔÇÖnin olu┼čturulmas─▒yla ForestÔÇÖda olu┼čmu┼č olur. Sonradan bu ForestÔÇÖa eklenecek olan TreeÔÇÖler, di─čer TreeÔÇÖlerle ayn─▒ isim aral─▒─č─▒n─▒ payla┼čmayacak olasalar da ayn─▒ Schema ve Global CatalogÔÇÖa sahip olurlar. Forest olu┼čturulurken kurulmu┼č olan ilk Tree Forest-Root olarak bilinir ve di─čer TreeÔÇÖler bu Forest Root alt─▒nda toplan─▒rlar.

Global Catalog

Global Catalog (GC), Active Directory ForestÔÇÖ ─▒ i├žinde yer alan her objeyi bulunduran bir veritaban─▒d─▒r ve Global Catalog ServerÔÇś larda tutulur. Bu bar─▒nd─▒r─▒lan ├Âzellikler, varsay─▒lan olarak, sorgulamalar esnas─▒nda en s─▒k kullan─▒lan ├Âzelliklerdir. Global Catalog kullan─▒c─▒lara ┼ču hizmetleri sunar;

ÔÇó Gereken verinin nerede oldu─čundan ba─č─▒ms─▒z olarak Active Directory objeleri hakk─▒nda bilgiler sunar.
ÔÇó Bir a─ča logon olunurken Universal Group Membership bilgisini kullan─▒r.

Global Catalog Sunucusu DomainÔÇÖdeki bir Domain ControllerÔÇÖd─▒r ve DomainÔÇÖde olu┼čturulan ilk Domain Controller otomatik olarak Global Catalog seviyesine y├╝kseltilir. Sonradan ek Global Catalog Sunucular eklenebilir.

Active Directory Schema

Kullan─▒c─▒, grup, bilgisayar ve yaz─▒c─▒lar gibi b├╝t├╝n objelere ait bilgileri i├žerir. Forest i├žerisinde, sadece bir Schema bulunur ve b├╝t├╝n obje bilgileri bu Schema ├╝zerine yaz─▒l─▒r. Kullan─▒c─▒lar─▒n ├žal─▒┼čt─▒klar─▒ b├Âl├╝mler ve do─čum yeri gibi bilgileri buna ├Ârnek olarak verebiliriz. Schema bilgileri, Active Directory veritaban─▒ (database) i├žerisinde depolan─▒r.

ÔÇó Kullan─▒c─▒ uygulamalar─▒ i├žin dinamik bir yap─▒ sunar. Kullan─▒c─▒lar─▒n obje ara┼čt─▒rma i┼člemleri, Schema ├╝zerinden ger├žekle┼čir.
ÔÇó Yeni olu┼čturulan veya de─či┼čtirilen obje dinamik olarak Schema i├žerisinde g├╝ncellenir.
ÔÇó Obje s─▒n─▒f ve niteliklerinin korunmas─▒nda, discretionary access control lists(DACLs) kullan─▒l─▒r.
ÔÇó DACLs ile Schema ├╝zerinde yaln─▒zca yetkilendirilmi┼č kullan─▒c─▒lar─▒n (authorized users) de─či┼čiklik yapabilmesi sa─član─▒r.

Lightweight Directory Access Protocol (LDAP)

Tan─▒m olarak LDAP, TCP/IP ├╝zerinde ├žal─▒┼čan dizin servislerini sorgulama ve de─či┼čtirme amac─▒yla kullan─▒lan uygulama katman─▒ protokol├╝d├╝r. Active Directory mimarisi i├žerisinde ise sorgulama (query) ve g├╝ncelleme (update) i├žin kullan─▒lan, temel bir directory servis protokol├╝d├╝r. LDAP ile Active Directory objeleri, OU (Organizational Unit) ve CN (Common Name) kullan─▒larak Active Directory i├žerisinde yeniden tan─▒mlan─▒r. LDAP isimlendirme y├Ântemi; Active Directory objelerine eri┼čimde kullan─▒l─▒r ve iki tan─▒m i├žerir;

ÔÇó Distinguished Names
ÔÇó Relative Distinguished Names

Distinguished Names

T├╝m Active Directory objeleri, network ortam─▒nda kendilerine ula┼č─▒lmas─▒n─▒ sa─člayan komple path i├žeren, distinguished nameÔÇÖe sahiptir. ├ľrne─čin;

CN=DCTEST , OU=Test , DC=test1, DC=local

Burada kullan─▒lan CN Common Name, OU Organizational Unit, DC ise Domain Controller anlam─▒ndad─▒r. DC, Domain hiyerar┼čisini belirler. T├╝m DNS ak─▒┼č─▒ tek tek yaz─▒l─▒r. ├ľrne─čin; Domain ad─▒ test1.local ise, DC=test1, DC=local ┼čeklinde belirtilir. Bir ba┼čka ├Ârnek verecek olursak e─čer ÔÇťDCTEST2ÔÇŁ isimli kullan─▒c─▒, ÔÇťTEST1ÔÇŁ isimli OU i├žinde bulunsun ve ba─čl─▒ bulundu─ču Domain ad─▒ ÔÇťtest1.localÔÇŁ olsun. Bunun ÔÇťDistingushed NameÔÇŁ yaz─▒l─▒m─▒ a┼ča─č─▒daki ┼čekilde olacakt─▒r;

CN=DCTEST1, OU=TEST1, DC=test1, DC=local

Relative Distinguished Name LDAP distinguished name i├žerisinde yer al─▒r ve objeye ait e┼čsiz (unique) tan─▒mlamay─▒ i├žerir. Yani Active Directory i├žinde belirtilen Domain i├žinde tektir. ├ľrne─čin;

CN=DCTEST2, OU=TEST1 DC=test1, DC=local

yaz─▒l─▒m─▒nda test1.local i├žinde tek olan Relative Distingished Name DCTEST2 ÔÇśdir. En son yaz─▒lan de─čer, her zaman tek de─čerdir. Ondan dolay─▒ m├╝kerrer olamaz.

Active Directory Fiziksel Yap─▒s─▒;

Active Directory i├žinde fiziksel yap─▒, mant─▒ksal yap─▒dan ba─č─▒ms─▒z bir mimariye sahiptir. Mant─▒ksal yap─▒ ile network kaynaklar─▒ organize edilirken, fiziksel yap─▒ ile network trafi─činin kontrol├╝ ve konfig├╝rasyonu ger├žekle┼čtirilebilir. Active DirectoryÔÇÖnin fiziksel yap─▒s─▒n─▒; DC (Domain Controller) ve SiteÔÇÖlar olu┼čturur. Active DirectoryÔÇÖnin fiziksel yap─▒s─▒, replikasyonun yer ve zaman─▒ ile NetworkÔÇÖe kat─▒l─▒m─▒n─▒ (logon) belirler. Network trafi─či ile logon i┼člemlerinin optimizasyonu ve bu i┼člemlerde olabilecek hatalar─▒n giderilmesi, fiziksel yap─▒n─▒n anla┼č─▒lmas─▒na ba─čl─▒d─▒r.

Domain Controller

Domain Controller, ├╝zerinde Active Directory veritaban─▒n─▒n bir kopyas─▒n─▒ (replica) bulunduran sunucudur. DomainÔÇÖde yap─▒lan herhangi bir de─či┼čiklik bir Domain Controller ├╝zerinde ger├žekle┼čtirilir ve daha sonra domainÔÇÖdeki t├╝m Domain ControllerÔÇÖlar bu de─či┼čiklikleri replikasyon yoluyla birbirlerine kopyalarlar. Domain ControllerÔÇÖlar dizin bilgisini bulundururlar ve kullan─▒c─▒lar─▒n logon i┼člemlerini, kimlik do─črulama i┼člemlerini ve dizin arama i┼člemlerini y├╝r├╝t├╝rler. Bir DomainÔÇÖde bir veya daha ├žok Domain Controller olabilir. K├╝├ž├╝k ├žapl─▒ bir organizasyonda bir Domain Controller bir de Additional Domain Controller yeterli olurken farkl─▒ fiziksel lokasyonlara yay─▒lm─▒┼č b├╝y├╝k bir i┼čletme i├žin, b├Âlge ba┼č─▒na bir veya iki Domain Controller daha uygun olacakt─▒r. Bir DomainÔÇÖe birden fazla Domain Controller yerle┼čtirmenin amac─▒ hem hata tolerans─▒ sa─člamak hem de Domain ControllerÔÇÖlar aras─▒nda y├╝k da─č─▒l─▒m─▒ yapmakt─▒r.

Sites

Bir Site, birbirlerine y├╝ksek bant geni┼čli─čine sahip d─▒┼č hatlarla ba─članm─▒┼č bir veya birden fazla IP alt a─člar─▒n─▒ ifade etmektedir. SiteÔÇÖlar─▒ do─čru bir ┼čekilde yap─▒land─▒rarak kullan─▒c─▒lar─▒n logon i┼člemlerinde olu┼čan a─č trafi─čini ve replikasyon i┼člemleri s─▒ras─▒nda olu┼čan yo─čunlu─ču en aza indirgemek i├žin Active DirectoryÔÇÖnin alt a─člar aras─▒ndaki fiziksel ba─člant─▒lar─▒ en efektif ┼čekilde kullanmas─▒n─▒ sa─člayabiliriz. Site olu┼čturmaktaki ba┼čl─▒ca sebepler ┼čunlard─▒r:

  • Replikasyon trafi─činin optimize edilmesi
  • Kullan─▒c─▒lar─▒n logon esnas─▒nda en h─▒zl─▒ ve en g├╝venilir ba─člant─▒y─▒ kullanarak do─čru Domain ControllerÔÇÖ─▒ bulabilmeleri

Active Directory ve DNS

Active Directory ve DNS entegrasyonu Windows Server sisteminin en ├Ânemli ├Âzelliklerinden biridir. Active Directory ve DNS, objelerin hem Active Directory objeleri hem de DNS domainleri ve kaynak kay─▒tlar─▒ (Resource Records) olarak sunulabilecek ┼čekilde benzer bir hiyerar┼čik isimlendirme yap─▒s─▒na sahiptirler. Bu entegrasyonun sonucu olarak Windows Server a─č─▒ndaki bilgisayarlar, Active DirectoryÔÇÖye ├Âzg├╝ birtak─▒m servisleri ├žal─▒┼čt─▒ran bilgisayarlar─▒n yerini ├Â─črenmek i├žin DNS sunucular─▒ kullanmaktad─▒rlar. ├ľrne─čin, bir client Active DirectoryÔÇÖye logon olmak veya herhangi bir kayna─č─▒ (yaz─▒c─▒ veya payla┼č─▒lm─▒┼č bir klas├Âr) dizin i├žerisinde aratmak i├žin bilmesi gereken Domain ControllerÔÇÖ IP adresini DNS sunucu ├╝zerinde SRV kay─▒tlar─▒ndan ├Â─črenmektedir. Active DirectoryÔÇÖnin sorunsuz bir ┼čekilde ├žal─▒┼čmas─▒ i├žin DNS sunucular─▒n SRV kay─▒tlar─▒n─▒ eksiksiz bir ┼čekilde bar─▒nd─▒rmas─▒ gerekmektedir. SRV kay─▒tlar─▒n─▒n amac─▒, clientÔÇÖlara logon esnas─▒nda veya herhangi bir kayna─ča ula┼č─▒yorken Domain ControllerÔÇÖlar─▒n yerlerini belirtmektir. SRV kay─▒tlar─▒n─▒n olmad─▒─č─▒ bir ortamda, clientÔÇÖlar DomainÔÇÖe logon olamayacaklard─▒r. Ayr─▒ca Windows Server, DNS bilgilerinin Active Directory veritaban─▒ ile t├╝mle┼čik olarak saklanmas─▒na olanak vermektedir. Bu sayede DNS bilgilerinin replikasyonu daha efektif ve g├╝venli bir hale gelmektedir.

─░yi ├žal─▒┼čmalar dilerim..

Bir cevap yaz─▒n

E-posta hesab─▒n─▒z yay─▒mlanmayacak. Gerekli alanlar * ile i┼čaretlenmi┼člerdir