Active Directory Fiziksel ve Mantıksal Yapısı Nelerdir - Active Directory Fiziksel Yapısı - Active Directory Mantıksal Yapısı

Active Directory (aktif dizin)
Windows 2000 server ile gelen LDAP sorgulama mantığı ile çalışan nesnelerin oluşturulduğu, yönetildiği ve ilkelerin belirlendiği veritabanıdır. Kurulum için 2000 server yada 2003 server versiyonlarından birinin yüklü olması gerekir. LDAP sorguları ile çalıştığı için UNIX, LINUX gibi işletim sistemlerine migrate ( dönüştürme ) yapılabilir.

Active directory yapısı :
Fiziksel ve mantıksal olarak iki farklı tasarımı vardır. Fiziksel tasarımda uzaklık gibi kavramlar göz önünde bulundurularak site üzerinde çalışılabilir. Mantıksal tasarımda OU , domain gibi nesneler kullanılarak " Active Directory Users and Computers " panelinden yönetim yapılır.
Fiziksel tasarım:
Sistem.net ......İzmir.sistem.net ......İstanbul.sistem.net

Active Directory Sites and Services :
Mantıksal tasarım:

muhasebe OU ....Sistem.net yönetim OU ......bilgiislem OU

" Active Directory Users and Computers " içerisinden yapılandırılır.

Farklı domain gruplarını yönetmek için domainlerin ortak bir çatı altında belirli bir hiyerarşi ile yönetilmesi gerekir. Buradaki güven ilişkileri " Active Directory Domain and Trust " panelinden yürütülür.

Active Directory Nesneleri :
Site : Kurulumda ilk yapılandırılan ve güveni başlatan domainin adını alan fiziksel yönetim için kullanılan yapıdır. Örnek yapı:
Mcse.com sitesi

Muh.mcse.com Yon.mcse.com ....Mcse.com.....sistem.net İzmir.sistem.net ist.sistem.net

Yönetim paneli " Active Directory Sites and Services " dir.
Siteyi yöneten kullanıcıya enterprise admin adı verilir.

Domain : Bir DNS adı taşıyan kullanıcı, grup, bilgisayar, OU gibi nesneleri kapsayan yapıdır. Domain yapısında fiziksel özellikler aranmaz.

Örneğin: sistem.net, mcse.net, muh.mcse.net

Domaini yöneten kullanıcıya domain administrator adı verilir. Kendi domaini üzerinde her türlü hakka sahiptir.
Domain yönetim işlemleri " Active Directory Users and Computers "dan, güven ilişkisi işlemleri " Active Directory Domain and Trust " bölümünden yapılır.

Organisational Unit ( yapısal birim ) OU : Domain oluşturma gereksinimini ortadan kaldıran içerisine OU, Grup, Kullanıcı, Bilgisayar alabilen yapıdır. Mantıksal olarak tasarlanır. Üzerinde ilkeler atanabilir. İlke atanma işlemleri site, domain, OU bazında yapılır. Varsayılan olarak OU yu yöneten kişi domain adminidir. İstenirse bazı kullanıcılar yönetim için delege atanabilir.

Grup : Esnek bir yönetim sağlayan bir kullanıcı yada bilgisayarın birden fazla OU altında gösterebilen yapıdır. İçerisine grup, bilgisayar, kullanıcı, printer alabilir. 2 tane grup türü vardır. Bunlar

Security group: Üst nesnelerden gelen izinlerin etkilenebilmesi için grubun güvenlik grubu olması gerekir.
Distrubition group: Dağıtım grubudur. mail server bulunan sistemlerde dağıtım işlerinin organizasyonu için kullanılır.
Bilgisayar : Group Policy ilkelerinin bilgisayar yapılandırması bölümünden etkilenen varsayılanolarak domaine giren bilgisayarlarda ""computers " klasörüne eklenen nesnelerdir. Güvenlik kontrolü GUID numaralarına göre yapılır.
(Guid: İşlemci seri numarası ile mac adresinin birleşimi numaradır.)

Printer:

Users : Group Policy ilkelerinin kullanıcı yapılandırması bölümünden etkilenen hiyerarşide en altta bulunan nesnedir. Güvenlik kontrolü SID numaraları ile yapılır.

Bunların dışında " inetPeruser, domainControllers " gibi daha özel amaçlar için kullanılan kullanıcı ve bilgisayar grupları vardır.

Active Directory kurulumu :
Kurulum için DNS sunucu yüklü olması gerekir yada kurulum esnasında yüklenmesi isteniyorsa server cd si hazır olmalıdır
En az bir adet NTFS partition olmalıdır.
Kurulum işlemi için başlat > çalıştır " dcpromo " yazılır.
Kurulum ekranında DNS hizmetinin yapılandırılması sihirbaza bırakılır.
*** Domain adı belirtilir. Eski sürüm işletim sistemleri ile uyum için NETBIOS adı belirtilir.
*** Active Directory veritabanı ve günlük dosyalarının yeri gösterilir.
*** SYSVOL klasörü için NTFS birim seçilir. Bu klasörde inf dosyaları halinde tüm yapılandırma ve ilke bilgileri tutulur. Kullanıcıların oturum açma esnasında AD ye erişmelerinde bu klasör kullanılır. Yani klasör paylaşıma açılacaktır.
Active directory restore mpod un kullanımı için gereken parola girilir. Bu parola Windows açılışında F8 gelişmiş başlangıç seçenekleri ve seçim esnasında sorulacaktır. Son olarak kurulum tamamlanır server restart işleminden sonra Active Directory kullanımına hazır hale gelecektir ve oluşturulan domaine dahil olacaktır. Winserver2003.sistem.net gibi.

Kurulum için:
Domain adı: sistem.net
Netbios adı: SISTEMYENI
Sysvol : c:\sysvol\

Global catalog : GC ( Global Catalog ), Active Directory' deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu barındırılan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir. ( örneğin kullanıcı önismi, son ismi ve logon ismi ) GC kullanıcılara şu hizmetleri sunar :

Gereken verinin nerde olduğundan bağımsız olarak Active Directory objeleri hakkında bilgiler sunar.
Bir ağa logon olurken Universal Group Membership bilgisini kullanır
Varsayılan olarak GC sunucusu Active Directory'nin yüklendiği sunucudur. İstenirse ek global katalog sunucuları yüklenebilir.

Active Directory Veritabanı :
Active directory veritabanının ve log dosyalarının düzgün şekilde oluşturulmuş olması gerekmektedir. Bunu doğrulamamız için bakmamız gereken yer, eğer kurulumsırasında başka bir yer belirlemediysek,
%SystemRoot%NTDS klasörüdür. Bu klasör içerisinde şu dosyalar yer almalıdır.:

ntds.dit : Active directory veritabanı dosyasıdır.
Edb.* : Transaction logları ve checkpoint dosyaları.
Res*.log : Rezerve edilen log dosyaları.
Domainde oturum açacak kullanıcı oluşturmak için:

" active directory users and computers " paneli açılır
Kullanıcının oluşturulacağı nesne altında sağ tıklayıp " yeni" " kullanıcı"
Kullanıcının adı ve oturum açma adı tanımlanır.
Parola tanımlaması yapılır.
Kullanıcı oluşturulur.
Server 2003 de AD kurulumu ile güvenlik özelliği olarak parolalar karmaşık ve uzun olmak zorundadır. Bu güvenlik özelliğini değiştirmek için :

" active directory users and computers " da domaine sağ tıklanır.
Özellikler > grup ilkesi
Default domain policy seçilir ve "düzenle"
Açılan ilke yöneticisinden
Bilgisayar ayarları > Windows ayarları > güvenlik ayarları > hesap ilkeleri > parola ilkesi altında tüm istenilen ayarlar değiştirilir.

İlke değişikliklerinden sonra başlat- çalıştır- cmd- gpupdate komutu ile yapılandırmalar etkin olur.
Uygulama:
Sistem.net
İzmir OU İstanbul OU Ankara OU
Grup1 grup2 grup3

Grup1 : user1
Grup2 : user1, PC1
Grup3 : user3, PC2

Uygulama2:
Sistem.net

Pazarlama yonetim bilgiislem
Ali PC10 ahmet
PC11 ali PC12
Veli PC11 veli

Grup kapsamları :
Global gruplar ( genel ): Aynı network kaynaklarını paylaşan kullanıcıların dahil edildiği gruptur. Forest yapısı içerisindeki tüm domainlere üye olabilir.

Domain local group : Kendi domain yapısı içerisindeki kaynaklara erişen kullanıcıların dahil edildiği gruptur. Yalınızca kendi domainine dahil olabilir.

Universal ( evrensel ) group : Native Mode'u kullanan networklerde kullanılır. Forest içerisindeki tüm bilgisayarlar tarafından görülür. Ve tüm kaynaklara ulaşabilir.

Active directory' de kullanıcı özellikleri :
Genel : Kullanıcının arama işlemlerinde kullanılan tanımlamalarını içerir.
Adres : Kullanıcının arama işlemlerinde kullanılan adres tanımlamalarını içerir.
Hesap : Active directory de kayıtlı olan kullanıcı adı, NETBIOS adı, oturum açma saatleri ve yeri, hesap süresinin sonlanma tarihi bu sekmeden girilir.
Profil : Oturum açıldığında komut dosyalarının çalışıp bazı işlemler yürütülmesi gerekiyorsa örneğin;
Kullanıcı profili
Profil yolu : c:\scripts\
Oturum açma komut dosyası : c:\scripts\boot.vbs
Giriş klasörü : c:\scripts\
Eğer network üzerinde ise; network yoluna bağlanılır ve map gösterilip yol yazılır.

Telefonlar : Kullanıcının sorgularda kullanılacak telefon bilgileridir.
Kuruluş : Kullanıcının sorgularda kullanılacak kuruluş bilgileridir.

Üyelik : Domainde bilgisayar üzerinde oturum açacak her kullanıcı domain users üyesi olmak zorundadır.
Birincil grup : Kullanıcı birden fazla gruba bağlı ise group policy ilkelerinden gelecek olan yapılandırmalara göre bir gruba öncelik vermek zorundadır.

Uzaktan Denetim : Terminal service ile ilgili ayarlamalar buradan yapılır. Uzaktan erişimle ilgili izleme ve müdahale seçenekleri ayarlanır.

Terminal Hizmetleri Profili : Terminal serverda uzaktan application mode ile uygulama dağıtılıyorsa üç farklı seçenek ile program başlangıcı ve tanımı yapılabilir.

Uzak masaüstü seçeneklerinden
AD kullanıcı özellikler > terminal hizmetleri profil sekmesi
Terminal hizmetleri yapılandırması
Ortam : Uzak masaüstü seçeneği serverda " Remote Adminstrator Mode" da çalışıyorsa bu sekmeden çalışılacak olan program belirtilir.
Uzak masaüstü bağlantılarında oturumda açılacak olan program için öncelikle Terminal servisyapılandırmasına bakılır. Boş bırakılmış ise Active Directory kullanıcı özelliklerine bakılır. O da boş bırakılmış ise kullanıcı kendi ayarları ile logon işlemini yapar.

Oturumlar : Terminal üzerinden oturum açan kullanıcının oturum zaman aşımı ayarları yapılır. Örneğin; kullanıcı 20 dakika boyunca oturumu kullanmaz ise bağlantıyı ve server kaynaklarını meşgul etmemesi için
" boş oturum sonırı " 20 olarak ayarlanır.
" etkin oturum sınırı " 60 olarak ayarlanırsa kullanıcının oturumu açtıktan 60 dakika sonra sonlanacaktır.

İçeri ararken (Dial-In) :VPN aramalarında kullanılacak olan kuralları belirtir.
VPN özelliğinin aktif olması için bu sekmeden kullanıcıya
" erişime izin ver " hakkının verilmesi gerekir.
Geri arama seçenekleri ile ücretin RAS server tarafından karşılanması sağlanabilir.

Not: Kullanıcının oturum açma ekranında oturum açacağı domaini seçebilmesi için suffix bilgisinin eklenmesi gerekir.

" Active Directory Domain and Trust " açılır.
AD domain and trust a sağ tıklanır ve özellikler seçilir.
Diğer UPN son eklerine kullanıcının seçim yapacağı dış network tanımı girilir. (mcse.com gibi )
Dış network e bağlanmasını istediğimiz kullanıcı özelliklerinden hesap sekmesinden girişte hangi domaini seçmesi gerektiği belirtilebilir.
Uygulama1:
Sistem.net
Mcse OU programcilik OU cisco OU

User1 user2 user4
User2 user3 user3
PC1 PC2 PC2
PC3

User1, user2 özellikleri : VPN araması var, terminal bağlanamaz.
User3 : uzakmasaüstü açılışında wordpad programı çalışacak
Hesabın süre bitimi : 11.04.2007, yalınızca PC3 de oturum açacak
User4 : haftasonu 00:00 - 09:00 saatlerinde oturum açabilecek.
VPN de yalnızca 0212 555 55 55 numarasından yapacağı çağrılar kabul edilecek. RDP üzerinden istemci sürücülerini ve printerı paylaşacak. Birincil grubu cisco olacak.

Yönetimsel işlemleri kolaylaştırmak :
Delegation ( denetim temsilcisi seçme ) işlemi domainde adminstarotor ın iş yükünü azaltmak için kullanılan belirli grup yada kullanıcılara kısıtlıhaklar verilmesi yöntemidir. Delegation işlemi OU yada domain bazında yapılabilir.

User4 kullanıcısının MCSE OU su üzerinde kullanıcı hesapları ve printerlar üzerinde hertürlü yazma ve okuma hakkının verilmesi:

MCSE OU su sağ tıklanır ve denetim temsilcisi seç
Açılan sihirbazdan user4 eklenir; ileri.
Denetim temsilcisi seçmek için özel görev oluştur seçilir; ileri.
Yalnızca klasörün içinde bulunan aşağıdaki nesnelerden " acound " ve " yazıcılar " aktif yapılır; ileri.
Genel sekmesi aktif iken okuma ve yazma hakları verilir ve işlem tamamlanır.

Uygulama2:
User2 kullanıcısının programcılık OU sundaki bilgisayarları silme iznini verin.

programcılık OU suna sağ tıklanır ve denetim temsilcisi seç.
Açılan sihirbazdan user2 eklenir ileri
Denetim temsilcisi seçmek için özel görev oluştur seçilir.ileri
Bu klasördeki nesneler için seçeneğinden devam edilir.
" özelliğe bağlı " seçeneği aktif yapılır. Bu işlem seçenekleri çoğaltacaktır.
Oluşturma ve silme aktif yapılarak silme izinlerinin de seçenekleri dahil edilir ve alttaki bölümden " bilgisayar nesnelerini sil " aktif yapılır.

Domain Özellikleri :
Genel Sekmesi : Domain hakkında temel bilgileri verir.
İşlev Düzeyi : AD kurulumunda server 2003 işlev düzeyi seçilmemiş ise domaine sağ tıklayıp bu düzey 2000 server dan 2003 server a yükseltilebilir. Bu işlemin avantajı yalnızca 2003 serverlar ile çalışılacağı için 2000 server ların güvenlik açıkları ve eksikliklerinden etkilenmemesidir. Dezavantajı ise yükseltme kurulduktan sonra geriye dönüş olmayacağı için 2000 server domainde kullanılamayacaktır.

Yöneten : Varsayılan olarak domain admin kullanıcı grubu bu domaini yönetir ek kullanıcılar bu bölümden tanımlanabilir.

Grup ilkesi : GPMC ( Group policy Management Konsol ) un yönetimi ve o domaine hangi policy lerin etkilendiğini belirtmek için kullanılır.
Yeni bir ilke oluşturmak için yeni butonu ile ilkeyi tanımlayan ve kolay hatırlanacak bir ad girilir.
Ekle butonu ile açılan menüden " tümü " seçeneğinden daha önceden tanımlanmış grup ilkelerine link verilebilir.

Domain, site ya da OU üzerinde birden fazla ilke grubu tanımlanmış ise yukarı ve aşağı butonları ile hangisinin öncelikli olacağı belirtilir.
Eklenen ilkeyi seçip düzenlebutonuna basılırsa GPMC açılır. İlke ayarları buradan yapılır.İlke kümesinin seçeneklerinden ;
Üzerine yazma : Tanımlı ilkelerin alt kapsayıcılar tarafından farklı ayarlarda kullanılmasını engeller. Örneğin domain üzerinde 5 karakter parola zorunluluğuna sahip bir ilke ayarlayıp üzerine yazma seçeneği aktif olursa alt OU ve domainler aksini belirtmiş olsa dahi 5 karakter parola zorunluluğu kullanacaktır.
Devre dışı seçeneği: ilkeyi linki kaldırmadan devre dışı bırakır.

Özellikler : ilke kümesinin özelliklerinden

genel sekmesi : Yapılandırmanın bilgisayar yada kullanıcı ayarlarının çalışıp çalışmayacağını belirler.
Bağlantılar : İlke kümesinin hangi OU ve domainler ile ilişkili olduğunu gösterir.
Güvenlik : İlke kümesinin kim tarafından yönetildiği, kimlere uygulanacağı yada kimlere uygulanmayacağı buradan seçilir.
Authenticated Users : Kimliği doğrulanmış kullanıcılar demektir. OU ya da domain e dahil olmuş kullanıcılar bu gruba dahildir. Grup ilkesi uygula ayarı da aktiftir. Özellikle bir kullanıcının bu ayardan etkilenmesi istenmiyorsa güvenlik sekmesinden eklenip " grup ilkesi uygula " ayarına deny verilmesi gerekir.
WMI Süzgeci : Bu bölümde oluşturulan vbs scriptleri (virtual basic scripti) ile özelleştirilmiş filtreler oluşturulup gelişmiş ilke alma yöntemleri belirlenir.

Kaynak: Sahhan

--------------Tualimforum İmzam--------------
Serap