Active Directory



Windows 2000 Server ile gelen özelliklerin başında “Active Directory” gelir. Active Directory ağ kaynaklarını yönetmek için geliştirilmiş bir sistemdir. Windows 2000 Server ‘ın kuruluşunun ardından  Active Directory kurularak kullanıcıla, gruplar, bilgisayarlar ve kaynakların yönetimi sağlanır. Active Directory kuruluşu ile birlikte başlıca üç ana program da bilgisayara yüklenir. Bu programlar aracılığıyla Active Directory nesneleri yaratılır ve yönetilir.
Active Directory yüklenen programlar:
·        Active Directory User and Computers
·        Active Directory Sites and Services
·        Active Directory Domain and Trusts
Şimdi Active Directory’nin ne olduğuna bakalım ve kuruluşunu yapalım:
Directory(dizin, fihrist), nesneler hakkında bilgi içeren bilgi kaynağıdır. Örneğin telefon directory’si telefon aboneleri hakkında bilgi saklar. Buradan yola çıkarak, dosya sistemi içinde de bi directory oluşturarak dosyalar ve kalasörler hakkında bilgiler saklanır. Internet gibi yaygın bilgisayar ağlarında yazıcı, faks, uygulamalar, veri kaynakları ve kullanıcılar (usesr) ve gruplar gibi bir çok ilgili nesne vardır. Kullanıcılar bu nesneleri bulmak ve kullanmak ister. Bununla birlikte sistem yöneticileri de bu nesneleri yönetmek isterler. İşte Active Directory iki gereksinimi de karşılamak içi geliştirilmiş bir sistemdir.
Active Directory

Active Directory ağ kaynakalrı (kullanıcılar, aygıtlar, izinler v.b) hakkında bilgi saklar.
Sistem konfigürasyonu, kullanıcı, grup bilgileri ve uygulamar hakkında bilgi saklarlar. Bunun dışında Windows 2000, Group Policy düzenlemeleriyle birlikte sistem yöneticisi kullanıcılarının masaüstlerini(dağıtım masa üstü yönetimi), ağ servislerini ve uygulamaları merkezi olarak bir nokatadan yönetir.
NESNE (OBJECT):
Bir nesne, ağ içerisindeki bir kaynağı temsil eder. Değerleri, nesnenin karakteristiklerini tanımlayan niteliklere sahiptir. Örneğin bir kullanıcı hesabı ad, soyad, oturum ismi ve diğer nitelikleri içerebilir. Nitelik değerlerine örnek olarak Abuzer, Kamis ve AKAMIS verilebilir. Bazı nesneler kapsayıcı (container) nesneler olabilir (bu nesneler kurumsal birimler ve alanlar gibi başka nesneleri içerebilir). Nesneler kullanıcılar, gruplar, bilgisayarlar ve alanlar gibi nesne sınıfları içerisinde gruplandırılabilir.
Directory sevisine neden gereksinim duyulur?
Kullanıcılar ve sistem yöneticileri ilgilendikleri nesnenin tam adını bilmezler. Ancak nesnelerin bir ya da daha fazla özelliğini bilebilirle ve directory’den adı geçen nesnenin özelliklerine benzer özelliklere sahip diğer nesnelerin bir listesini almak için sorgu yaptırabilirler. Örneğin “Muhasebe bilgilerinin bulunduğu kalasör” ya da “ üçüncü kattaki renkli printer”. Active Directory servisi kullanıcılara  herhangi bir nesnenin özelliklerinden birini vererek nesneyi bulmasına izin verirler.
Active Directory servisinin yapabilecekleri:
·        İzinsiz girişlere karşı bilgileir korumak için sistem yöneticisi tarafından nesnelere erişim izinlerinin tanımlanmasını sağlamak.
·        Directory veri tabanını ağdaki yerel bilgisayarlara dağıtır.
·        Directory bilgilerini daha fazla kullnıcı tarafından erişilebilir hale getirir. Bununla birlikte çökmelere karşı önlem almak amacıyla bir kopyasını çıkarır.(replikasyon).
·        Çok büyük sayılarda nesnenin saklanabilmesi için directory’i bir çok parçaya böler.
Directory servisi kurumsal anlamda çok sayıda kullanıcı, grup ve kaynağın yönetilmesinde işe yarar. Merkezi olarak yönetilebilir, her büyüklükteki donanımda ve organizasyonda çalışacak şekilde tasarlanmıştır.
ŞEKİL 6.2
Active Directory şu özellikleri ile temel directory servislerinin işlevlerini geliştirmiştir:
¨      Ölçeklenebilirlik: Bu özellik ile Active Directory az sayıda nesne içerebileceği gibi milyonlarca da nesne içerebilir.
¨      Genişletilebilirlik: Active Directory’ nin sahip olduğu şema üzerinde değişiklik yapılabilmesidir.
¨      Internet-standartlarında adlandırma: Ad çözümleme ve query protokolleri ise Internet ile bağlantı yapmayı sağlar.
¨      Tek bir noktadan erişim: Bu özellik ise, Administrator’ ın bir yerden yapacağı logon işlemi ile bütün ağları yönetmesi anlamına gelir.
¨      Hata Toleransı: Beklenmedik olaylara karşı Active Directory bilgilerinin çoğaltılması işlemlerinin içerir.
¨      Güvenlik kontrolü: Kullanıcıların erişim kontrollerinin dağıtılabilmesi anlamına gelir.
¨      Birlikte çalışma: Active Directory’ nin diğer işletim sistemleriyle bütünleşmesi anlamına gelir.
Active Directory’de adlandırma:
Active Directory nesnelerini adlandırmak(naming ) ve adlarını çözmek (resolving object names) için çeşitli standartlar sahiptir. Bu standartlar şunları içerir:
·        DNS:(Domain Name Systems)
·        LDAP:(Lightweight Directory Access Protocol)
DNS, endüstri satandartı kullnan bir adlandırma ve adların çözülmesi teknolojisidir. DNS sayasinde istemci(client) bilgisayarlar Active Directory hizmetlerine kolayca erişebilirler. Aynı şekilde LDAP da DNS, endüstri satandartı kullanan bir directory iletişim protokolüdür. Active Directory bilgilerine erişimi sağlar. Active Directory içinde bir kullanıcının ya da bir kaynağın adının kullanımında kurallar vardır. X500 ve LDAP standartı olarak bu adlandırma sistemin  temelleri şunlardır:
Distinguished Name
Active Directory içindeki herbir nesnenin adı vardır. Bu ada Distinguished Name denir. Bu adlar nesnenin bulunduğu domain’i tanımlar. Tipik bir Distinguished adı şu şekilde tanımlanır:
DC=com, DC=gazi, CN=Users, CN=Murat Deniz
Burada gazi.com domaini içinde Murat Deniz için bir Distinguished ad tanımlanmıştır.
DC, Domain Component(Domain bileşeni), CN ise Common Name için bir kısaltmadır.
ŞEKİL 6.4
Relative distinguished name
 Relative distinguished name bir distinguished adın bir parçasdır. Örneğimizde user nesnesinin “relative distinguished” adı Murat Deniz’dir. Bir üst nesnenin relative distinguished adı ise Users ‘dır.
Principal Name
Users Principal name (Kullanıcının ana adı) kullanıcının logon adı ve domain adından oluşur. Örneğin gazi.com domaini içinde Murat Deniz’in adımurat@gazi.com olabilir. Users principal neme network’e logon etmek için kullanılır.
Globally Unique Identifier
Windows 2000 yaratılan herbir nesneye 128-bitlik bir GUID(Globally Unique Identifier) atar. GUID, tek bir tane olduğu garanti edilen 128-bitlik bir numaradır. Nesneler oluşturulduğunda atanmış bir GUID ‘e sahipo olurlar. Nesne yer değiştirmiş olsa da asdı da değiştirilmiş olsa GUID hiçbir zaman değiştirlmez. Uygulamalar nesnenin GUID’ini saklayabilir ve o anki domain bilgisi ne olursa olsun nesneye erişim kesinleşir.
Daomain name system
Internette  bilgisayarların ve servislerin yerleştirilmesi için kullanıcı-tanımlı adlar kullanılır. Böylece bir kullanııcı bir DNS adını giridiğinde DNS servisleri bu adı çözerek IP numarasını elde edr. Gazi.com kolay anlaşılır bir addır fakat ağ üzerinde bilgisayarlar sayısal adreslerle (IP adresleri) iletişim kurarlar.
ŞEKİL 6.5
Dns sistemi içinde domainler hiyerarşik olarak yer alır. Bu düzeylendirme işlemi bir noktadan başlayarak alt domainler yapılanır. Bu hiyerarşi adlandırma sisteminide düzenler.
Gazi.com: üst domain
Anadolu:alt domain
Örnek:anadolu.gazi.com
Şekil 6.6
KURUMSAL BİRİM (ORGANIZATIONAL UNIT):
Bir kurumsal birim (Organizational Unit – OU) kullanıcılar, gruplar, yazıcılar, başka OU’ lar ve bilgisayarlar gibi diğer nesneleri içerebilen kapsayıcı nesnelerdir. OU’ lar nesneleri, yönetimsel amaçlarla mantıksal gruplamalar içerisinde düzenlemek için alanlar içerisinde kullanılırlar. Örneğin bir OU bir departmanı ya da binayı temsil edebilir. OU yapısının derinliği konusunda herhangi bir kısıtlama söz konusu olmasa da çok derin bir yapı performansı olumsuz olarak etkiler.
ALAN (DOMAIN):
Alanlar ağ içindeki bütün nesneleri mantıksal olarak gruplamak için kullanılan kapsayıcı nesnelerdir. Bu nesneler kullanıcılar, gruplar, bilgisayarlar, yazıcılar, dosyalar ve OU’ lar gibi nesneleri içerebilir. Active Directory kurumunuzun yapısını yansıtmak için bir veya daha fazla sayıda alan içerebilir. Her bir alan, sadece bu alan içerisinde yer alan nesneler hakkında bilgi sağlar. Active Directory, erişim kontrol listeleri (Access Control List -ACL) aracılığı ile bir alan içindeki nesnelere erişimi denetler. Erişim kontrol listeleri bir alan nesnesine hangi kullanıcıların erişebileceğini ve ne tür erişime izin verildiğini belirten bilgileri içerir. Teorik olarak her alan 10 milyon nesne içerebilmesine karşın yine de bu 1 milyonu geçmemeye özen gösterilmelidir.
ü      Alan Denetleyicileri: Alan denetleyicileri (domain controller) Windows 2000 Server işletim sistemini çalıştıran ve ayrıca Directory’nin (Active Directory) bir kopyasını içeren bilgisayarlardır. Alana ait yetkilendirme işlemlerini yerine getirirler ve ağ üzerindeki istemciler veya diğer sunucu bilgisayarlardan gelen taleplere cevap verirler.
ü      Üye Sunucular: Directory’nin bir kopyasını içermeyen sunuculara üye sunucular (member server) adı verilir. Örneğin bir uygulama sunucusu bir üye sunucusudur. Üzerinde Windows 2000 Server işletim sistemi yüklü olan, ancak bir alanın parçası olmayan sunucular bağımsız sunucular olarak isimlendirilir.
ü      Karışık Kip ve Doğal Kip: Alanlar karışık veya doğal kipte olabilirler. Varsayılan durumda, Windows 2000 ve Windows NT alan denetleyicileri karışık kipte yüklenirler. Yani hem Windows 2000 ve Windows NT alan denetleyicileri alanın parçası olabilirler. Doğal kip, sadece Windows 2000 alan denetleyicilerinin alan parçası olabilecekleri anlamına gelir. Bir sistem yöneticisi bir alan denetleyicisinin çalışma kipini değiştirmek için karışık kipten doğal kipe manuel olarak geçmek zorundadır.
AĞAÇ (TREE):
Bir Active Directory ağacı aynı komşu isim alanını kullanan bir veya daha fazla sayıda ki alanı içeren bir gruplamadır. Dikkat edilmesi gereken karakteristik özellikler aşağıdadır.
ü      Bir alt alan ismi, alt alanın göreceli ismi ile ona eklenmiş olan ana alan isimlerinden oluşur.
ü      Bir ağaçtaki alanlar aynı global kataloğu paylaşırlar. Bir global katalog ağaçtaki tüm nesneler hakkında bilgi içerir.
ü      Bir ağaçtaki alanlar aynı şemayı paylaşır. Bir şema Active Directory’de depolanabilecek nesne tiplerini tanımlar.
ORMAN (FOREST):
Bir Active Directory ormanı bir veya daha fazla ağaçtan oluşan gruplamalardır. Ormandaki her bir ağaç kendi isim alanını kullanır. Dikkat edilmesi gereken karakteristik özellikler aşağıdadır.
ü      Ormandaki her bir ağaç kendi isimlendirme yapısına sahiptir.
ü      Bir ormandaki ağaçlar aynı şemayı paylaşır.
ü      Bir ormandaki alanlar aynı global kataloğu paylaşır.
ü      Bir ormandaki alanlar birbirinden bağımsız çalışmasına rağmen ormanlar tüm kuruluş çapında haberleşmeye olanak verir.
SİTELER:
Siteler Active Directory’nin fiziksel yapısını tanımlar. Bir site bir veya daha fazla sayıda IP alt ağından (subnet) oluşur. Bir sitenin sınırı genellikle LAN’ ın sınırı ile aynıdır. Gruplandırılmış alt ağlar hızlı bağlantılar aracılığıyla (en düşük 512 Kbps hızında) bağlanmalıdır. Siteler site içi kopyalama işlemini yapılandırmak için kullandığınız bilgisayar ve bağlantı nesnelerini içerir.
GÜVEN (TURST) İLİŞKİLERİ:
Alanlar arasında mevcut olabilen güven ilişkileri bir alanda ki nesnelere erişebilmesini sağlar. İki tür güven ilişkisi mevcuttur.
ü      İki Yönlü Geçişli  Güven İlişkisi: Bir ağaçtaki ana ve alt alanlar arasında otomatik olarak tesis edilir. Bir ağaçtaki veya ormandaki bütün nesnelere bütün alanlardan erişebilmesini sağlar. Ayrıca bir ormandaki en üst düzey alanlar arasında da kullanılır.
ü      Açık Tek Yönlü Güven İlişkisi: Ayrı ağaçlardaki alanlar arasında güven ilişkileri tesis etmek için kullanılır. Windows NT 4.x ile geriye uyumluluğu destekler. Ayrıca farklı ağaçlarda yer alan alanlar arasındaki güven ilişkilerini de destekler.
KOPYALAMA (REPLICATION):
Active Directory multimaster kopyalama modelini uygular. Bu modelde bütün alan denetleyicileri birbirlerini eşleridir. Başka bir deyişle hiçbir alan denetleyicisi ana alan denetleyicisi değildir ve her alan denetleyicisi bir Directory kopyasına sahiptir. Alan içerisinde yer alan herhangi bir alan denetleyicisindeki herhangi bir Directory kopyasında değişiklik yapılabilir ve bu değişiklikler diğer kopyaların tümüne yansıtılır. Bu yaklaşımla hatalara karşı bir önlem toleransı sağlanmış olur. Böylelikle bir alan denetleyicisi kullanılamaz hale geldiğinde, kullanıcılara başka bir alan denetleyicisi aracılığı ile hizmet ve bilgi sunulacaktır.
Active directory’nin kuruluşu
Active Directory

Active directory kuruluşu içi dcpromo.exe kullanılır. Dcpromo.exe programı Active directory installation sihirbazını çalıştırır. Aynı şekilde Active directory’nin uninstall edilmesi içinde dcpromo.exe programı kullanılır.
Dcpromo.exe
Active directory kuruluşu ile yeni bir forest oluşturulur. Root domain ve ilk domain kontrolör.
Active directory için gereksinimler
·        Windows 2000 Server ya da Windows 2000 Advenced Server ya da Windows 2000 Datacenter  Server işletim sisteminin kurulu olması gerekir.
·        NTFS formatlı bir partition ya da volüm.
·        Directory için yaklaşık için yaklaşık 1 GB yer.
·        DNS kullanımı için TCP/IP protokolünün kurulu olması gerekir.
·        SRV kaynak kayıtlarını destekleyen bir DNS Server ya da DNS dinamik update protokolü.
·        Doğru  sistem zamanı ve zaman dilimi.
Active directory tasarımında düşünülecek şeylerin başında forest gelir. Active directory forest’ının tasarımında DNS domain adları ve NETBIOS (bilgisayar adı olarak bildiğimiz makine adları) adları gelir.
Bunun dışında Active directory tasarımında yapılacak diğer bir iş ise domain controller bilgisayarların belirlenmesidir. Ağ üzerinde kurulan ilk Active directory’nin kurulmasıyla forest üzerindeki ilk domain controller kurulmuş olur. Böylece root domain oluşur. Root domain konfigürasyonunu ve şema bilgisini saklar.
Bu işlem adım adım şu şekilde yapılır:
1.      Yeni domain için kontrolör ya da mevcut bir domaine eklenecek diğer domain kontrolörler.
2.      Yeni bir domain tree ya da child domain.
3.      Yeni bir forest ya da mevcut forest a katılım.
Active directory kurulış basamakları:
Bütün bu işlemler Active Directory İnstallation sihirbazı tarafından düzenlenir. Yapılacak işlemler:
·        TCP/IP kuruluşu ve konfigürasyonu kontrol edilir.
·        DNS kuruluşu ve konfigirasyonu kontrol edilir.
·        DNS adının NETBIOS adı üretilir.
·        Administrator izni kontrol edilir.
Şekil1  Active directory kuruluş sihirbazı
Active Directory


Active Directory


Active Directory


Active Directory


Active Directory


Active Directory


Active Directory
Active Directory


Active Directory
Active Directory




xxxxxx