Active Directory Nedir?

Active Directory Servisi

Active Directory servisi Windows 2000 Server ile hayatımıza girdi ve o günden beri network sistemlerimizin en önemli parçalarından birisi haline gelmiştir.

Active Directory servisi kendi içerisinde de ikiye ayrılmakdatır ve bütün nesneleri ve organizasyonumuzun gereksinimlerini bu yapılar içinde saklar. Bunlar;

1)Mantıksal Yapı

2)Fiziksel Yapı

Active Directory kullanıcı hesapları, bilgisayar hesapları ve network üzerinde bulunan diğer bütün kaynaklar hakkında bilgileri tutar ve bu kaynaklara erişimi ve kullanımı sağlar. Ayrıca bu kaynaklar hakkında isim bilgisi, lokasyon bilgisi, tanımlama bilgisi, yönetim bilgisi ve güvenlikleri hakkında da bilgiler tutar.

Active Directory fonksiyonlarına bakarsak eğer karşımıza aşağıdaki değerler çıkmaktadır;

Network kaynaklarının merkezi kontrolü : Active Directory sayesinde sunucularımızı, paylaşılmış dosya ve klasörlerimizi, yazıcılarımızı ve diğer network kaynaklarımızı dizin içinde merkezi olarak yetkilendirilmiş kullanıcıların erişimine olanak tanırız.

Kaynak yönetiminin merkezi ve dağıtık yapılması : Sistem yöneticileri dağınık bir yapıda bulunan bilgisayarları, sunucuları, yazıcıları, network servislerini ve uygulamaları var olan yapı dahilinde merkezi bir yerden yönetebilirler. Ayrıca delegasyon yöntemini kullanarak bazı yetkilerini diğer kişilere aktarabilirler.

Nesneleri mantıksal yapısı içerisinde güvenli bir şekilde saklar : Active Directory bütün nesneleri güvenli ve hiyerarşik olarak mantıksal yapısı içerisinde saklar.

Network trafiğini optimum kullandırır : Active Directory’nin fiziksel yapısı network bant genişliğini en verimli şekilde kullanmayı sağlar.

Mantıksal Yapı

Active Directory hiyerarşik olarak mantıksal yapısı içerisinde nesneleri güvenli bir şekilde saklar. Bu hiyerarşik yapıda neler var onlara bir bakalım;

Nesneler (Objects) : Mantıksal yapının en basit bileşenleridir. Kullanıcı hesabı, bilgisayar hesabı, bir yazıcı tanımlaması vs nesnelere örnektir.

Yapısal Birimler (Organizational Units) : Yönetimsel amaçlarımıza göre daha doğrusu yönetimi biraz daha kolaylaştırmak adın kullanabileceğimiz bir yapıdır. Dolayısı ile nesnelerimizi kategorilere, bölümlere vs ayırıp yönetim işimizi daha da kolaylaştırabiliriz. Delegasyon yöntemini de bu yapı üzerinde uygulayıp bazı yetkilerimizi balşa kişilere aktarabiliriz. Yapısal birimler diğer yapısal birimlerle birleştirilebilir ya da iç içe olabilirler.

Etki alanı (Domain) : Active Directory’nin temel fonksiyonlarını getirebildiği yapıdır. Yönetimsel olarak bütün nesneler bu yapıda yer alır ve paylaştırılmış bir veritabanını, güvenlik ilkelerini ve diğer domainlerle güven ilişkilerini sağlarlar. 3 farklı fonksiyonu vardır;

Nesneler için yönetim sınırını belirler

Paylaştırılmış kaynaklar için güvenlik tanımlamaları

Nesnelerin replikasyonunun bir parçasıdır

Etki alanı ağaçları (Domain Trees) : En az iki ve ya daha fazla etki alanının birleşmesinden oluşan bir yapıdır. Mesela ikinci bir etki alanı root etki alanına eklenirse bu çocuk (Child) etki alanı olur. Çocuk etki alanının bağlı olduğu yapıya yani Root etki alanına ise Ana Etki alanı (Parent Domain) denir.

Çocuk etki alanının adı ana etki alanının devamı şeklindedir. Örnek vermek gerekirse cryptonium.com ana etki alanımız olsun ve çocuk etki alanımız ise istanbul.cryptonium.com şeklinde olacaktır.

Ormanlar (Forests) : Active Directory’nin tüm yapısını içerir. Bir veya birden fazla etki alanı ağacını içerir. Orman içindeki ilk etki alanı Root Domain olarak kabul edilir. Bu da örnek ile açıklanmak gerekirse cryptonium.com bizim root domainimizdir, istanbul.cryptonium.com ise çocuk domainimizdir.


Fiziksel Yapı

Bileşenlerine kısaca göz atmak gerekirse eğer;

Etki Alanı Denetleyicileri (Domain Controllers) : Windows Server 2003 veya Windows 2000 Server ürün ailelerinden birisinin üzerinde kurulu olduğu ve Active Directory servisinin kurulmuş olduğu sunucular Etki Alanı Denetleyicileri olarak adlandırılır. Her etki alanı denetleyicisi depolama ve replikasyon yapılarını düzenler ve gerçekleştirir. Bir etki alanı denetleyicisi sadece bir etki alanına hizmet verebilir. Eğer sistemin sürekliliğinden emin olmak istiyorsak birden fazla etki alanı denetleyicisi kurulmalıdır.

Active Directory Sites : Biribirine iyi bağlantılarla bağlanmış olan bilgisayar kümelerinden oluşur. Site kullanmamızın amacı değişik lokasyonlarda konuşlandırdığımız etki alanı denetleyicilerinin aralarındaki bant genişliğini en iyi şekilde kullanmalarını sağlamaktır. Ayrıca farklı etki alanı denetleyicileri üzerindeki değişiklikleri de günceller eşitleriz.

WAN Link : Siteler arasındaki bağlantıyı sağlar.

Active Directory Bölümleri

Her etki alanı denetleyicisi üzerinde oluşturulan bölümler vardır. Bunlar aşağıdaki gibidir;

Domain Bölümü (Domain Partition) : Etki alanında bulunan bütün nesnelerin bir kopyasını üzerinde saklar. Bu bölüm sadece aynı domain içinde bulunan diğer bir etki alanı denetleyicisi ile eşitlenir.

Konfigürasyon Bölümü (Configuration Partition) : Orman topolojisi bu kısımdadır. Topoloji ise, orman (Forest) içerisindeki bütün etki alanı denetleyicileri ve onların kendi aralarındaki bağlantılarını barındırır.

Şema Bölümü (Schema Partiton) : Orman (Forest-Wide) şemayı içerir. Her orman her nesnenin sınıfını belirleyen bir şemaya sahiptir. Konfigürasyon ve şema bölümler orman içinde bulunan bütün etki alanı denetleyicileri ile eşitlenir.

Uygulama Bölümü (Application Partition) : Güvenlikle ilgili olmayan ve bazı uygulamalar tarafında kullanılan nesneleri içerir. Bu bölüm özel etki alanı denetleyicileri ile eşitlenir.

Operations Masters

Eğer etki alanı içerisinde herhangi bir değişiklik olduğunda bu değişiklik etki alanı içerisinde bulunan bütün etki alanı denetleyicileri ile eşitlenir. Bazı değişiklikler ise daha önce de bahsettiğimiz gibi mesela şema üzerinde yapılan değişikler ise orman içerisinde bulunan bütün etki alanları ile eşitlenir. Bu eşitleme sistemine Multimaster Replication denir.

Multimaster eşitleme süresinde çakışmalar olabilir. Bunun sebebi ise aynı nesne üzerinde darklı etki alanları üzerinde değişikliklerin yapılması ile mümkün olur. Çakışmaları önlemek için Single Master Replication kullanılabilir. Bu işlemi de tek bir etki alanı denetleyicisini tanımlamakla mümkün olur.

Operations Masters rolleri uygun bir sırada ve birlikte çalışabilecek yapıda orman ya da etki alanı içinde yer alırlar. Active Directory üzerinde 5 farklı rol vardır. Bunlar;

Orman genelinde geçerli olan roller ve Etki alanı genelinde geçerli olan roller vardır.

Orman genelinde olanlar : Schema Master, Domain Naming Master

Etki alanı genelinde olanlar : Relative Identifier (RID), PDC Emulator, Infrastructure Master

Kısaca bu rolleri incelemek gerekirse;

Schema Master : Şema ile ilgili bütün güncellemeleri kontrol eder. Schema Master rolü Active Directory üzerinde oluşturulacak olan bütün nesnelerin sınıf ve nitelikleri ile ilgili listeleri üzerinde barındırır.

Domain Naming Master : Orman içerisinde yeni eklenecek olan ya da kaldırılacak olan etki alanlarının kontrolünü yapar. Bir nevi ormanın bekçisi gibidir ve kesilen ya da ekilen ağaçları kontrol eder ve gereken izni verir. Eğer bir etki alanı eklenmek istenirse devreye girer ve işlevini yerine getirir.

Primary Domain Controller Emulator (PDC Emulator) : Mixed Mode etki alanı ortamında Windows NT gibi hareket eder. İlk kurulan etki alanı denetleyicisi PDC Emulator görevini alır.

Relative Identifier (RID) Master : Yeni bir nesne oluşturulduğu zaman devreye girer ve Security Identifier (SID) atamalarında görev alır.

Infrastructure Master : Nesnelerin bir etki alanından diğerine taşınması esnasında göre alır ve nesnenin eski ve yeni etki alanındaki yerini belirler. Kısacası etki alanlarındaki nesne taşımalarını takip eder.

Active Directory hakkında kısaca temel bilgileri aldıktan sonra artık Active Directory servisimizi kurmaya başlayabiliriz.

Active Directory servisini kurabilmemiz için bazı sistem gereksinimlerimiz olacaktır.

Bu sistem gereksinimlerimiz ise aşağıdaki gibidir;

Windows Server 2003 veya Windows 2000 Server ailesinden birisi kurulu olan bir bilgisayar olmalı

NTFS olarak formatlanmış en az 250 MB boş disk alanı olmalı

Etki alanını oluşturabilmek için yönetimsel yetkiye sahip olmalı

TCP/IP bileşenleri yüklü olmalı ve statik bir IP adresi girilmiş olmalı

DNS bilgileri tanımlanmış olmalı

Evet yukarıdaki gereksinimleri karşılıyorsak eğer dizinimizin kurulumuna başlayabiliriz.

Active Directory kurulum işlemi aşağıdaki yapıları oluşturur;

Güvenlik protokolünü başlatır ve güvenlik ilkelerini tanımlar

Active Directory bölümlerini, veritabanlarını ve log dosyalarını oluşturur

Ormanın root etki alanını oluşturur

SYSVOL klasörünü oluşturur

Etki alanı denetleyicisinin site üyeliğini tanımlar

Dizin üzerindeki ve eşitleme yapısındaki güvenlik değerleri tanımlar

Yedekten geri dönüşün güvenli olması için şifre tanımlamasını sağlar