Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Network'e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.
Diğer önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory yapısında yer alan sistem konfigürasyonu, kullanıcı profilleri ve uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu; server bilgisayarda depolanır. Active Directory yapısında yer alan, Group Policy uygulamaları ile Network ortamındaki servis ve uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel kolaylık sağlanmıştır.
Active Directory yapısında, Network objeleri hakkında bilgiler depolanır.
Active Directory objeleri: Kullanıcın (user), grup (group), bilgisayar (computer) ve yazıcı (printer) lardır. Ayrıca Network ortamında yer alan bütün Server bilgisayarları(server), Domainleri ve siteleri de obje olarak değerlendirir. Tek bir yönetici(administrator) ile sözkonusu kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için Netsvork kaynakları, bir veri tabanı içerisinde obje olarak sunulmaktadır.
Bir obje oluşturulduğunda objeye ait özellikler veya nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile kullanıcıların, objeleri Network ortamında kolaylıkla bulması sağlanır.
Active Directory, yukarıda da bahsettiğim gibi Windows tabanlı ağ içinde kullanılan bir servistir. Bu servis ağ kaynakları (kullanıcılar, aygıtlar, izinler vb.), sistem konfigürasyonu, kullanıcı profilleri, uygulamalar hakkında bilgi saklar. �Group Policy� düzenlemeleriyle birlikte sistem yöneticisi kullanıcıların masaüstlerini (dağıtım masaüstü yönetimi), network servislerini ve uygulamaları merkezi olarak bir noktadan yönetmeyi sağlar.Yani kısaca tek merkezden etkin yönetim diyebiliriz.Active Directory Windows@Server�ın ağ yapısını da ortaya koyan bir sistemdir ve DNS (Domain Name System) temellidir.Ağ yapısından kastım, yukarıda domain yapısına ilişkin forest, tree kavramlarıyla yakından ilişkili olması durumudur.AD Görevi:Active Directory dizin servisi network kaynaklarının organize edilmesini, yönetilmesini ve denetimini sağlar. Bununla birlikte Active Directory networkün yerleşimini (topology) ve protokollerinin yapılandırılmasını da üstlenen bir sistemdir. Active Directory"nin kurulmasıyla birlikte networkün tasarımı ve yönetimi Active Directory temelinde yapılır. AD Özellikleri:· Ölçeklenebilirlik.· Genişletilebilirlik.· Internet-standartlarında adlandırma.· Tek bir noktadan erişim.· Hata toleransı.· Güvenlik kontrolü.· Birlikte çalışma ..gibiÖlçeklenebilirlik özelliği ile Active Directory milyonlarca nesne içerebilir.Bunlar kullanıcıdan tutun, yazıcılara kadar uzanan nesneler topluluğudur. Genişletilebilirlik özelliği ise AD Şeması üzerinde değişiklik yapılabilmesi anlamına gelir. İnternet standartlarında adlandırma, ad çözümleme ve query protokolleri ise İnternet ile bağlantı yapmayı sağlar. Tek bir noktadan erişim özelliği ise Administrator�ün bir yerden yapacağı logon işlemi ile bütün ağları yönetmesi anlamına gelir. Hata toleransı ise beklenmedik olaylara karşı Active Directory bilgilerinin çoğaltılması işlemlerini içerir.Buna teknik terim olarak Fault tolerance deriz. Güvenlik kontrolü ise kullanıcıların erişim kontrollerinin dağıtılabilmesi (delege edilmesi) anlamına gelir. Birlikte çalışma ise Active Directory�nin diğer işletim sistemleriyle bütünleşmesi anlamına gelir. LDAP, X.500 standartları gibi. Active Directory Şeması Active Directory veritabanı içinde şema sayesinde nesneler tutulur ve bütün nesnelerin tanımlamalarını içerir. Bilgisayarlar, kullanıcılar, yazıcılar ve diğer bütün network nesneleri şemadaki tanımlarıyla ve özellikleriyle saklanır.Şema içinde nesneler için iki temel bilgi tutulur. Class ve attribute. Class bilgisi yaratılacak nesneyi tanımlar. Attribute"ler ise birden çok class için kullanılabilen alanlardır.
LDAP (Lightweight Directory Access Protocol) LDAP Directory serviste kullanılan bir protokoldur ve nesnelere erişim için kullanılır. Diğer bir deyişle Active Directory "de tüm nesneler LDAP tarafından sorgulanacak biçimde dizilir.LDAP ile Active Directory nesnelerine erişmek için belli bir adlandırma sistemi kullanılır: 2 adettir.· Distinguished Name· Relative Distinguished Name Active Directory içindeki her nesnenin bir distinguished adı vardır. Mesela :CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=net Yukarıdaki LDAP tanımı "bilisimhaber.net" domaininde, bilgi işlem OU"su içindeki Onur adlı kullanıcıyı belirtmektedir. Relative Distinguished Name ise Distinguished Name içindeki bir kısmı tanımlayan addır. Örnek: Distinguished Name: CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=netRelative Distinguished Name"ler ise: CN=Onur, OU=Bilgi İşlem, DC=bilisimhaber, DC=net İşte, AD sorgulamaları kısaca bu şekilde yapılmaktadırUyumayın, daha bitmediiii AD Güven İlişkileri ("Trust" deriz biz buna)Active Directory forest"ı içindeki bütün domainler arasında iki yönlü ve geçişli (transitive) güven (trust) otomatik olarak kurulur.Hemen örnek vereyim Yukarıda verdiğim forest yapısında iki domain var, aynı forest içinde iki farklı domain..Neydi bunlar biri odut.com diğeri microsoft.comOtomatik olarak bu iki domain birbiriyle "trust" ilişkisi içersindedir.Biz buna "transitive trust relationship" deriz.Yani karşılıklı güven ilişkisi..Bu durumda her iki domain"deki kaynaklar ortaklaşa, izin alınmadan kullanılabilir.Daha geniş anlamda güven ilişkileri (trust relationship), bir domain içindeki kullanıcıların diğer domainlerideki kaynaklara erişebileceği ya da oradaki gruplara üye olabileceği anlamına gelir.
Global Catalog Active Directory replikasyonu ve kullanıcıların domainlere logon olmasıyla ilgili bir diğer Active Directory terimi de global katalogdur. Varsayım olarak domainin ilk Domain Controller bilgisayarı global katalogdur.Hani yukarıda bilgisayara AD kurduk ya işte o bilgisayar o domain"in global katalog"udur. Global Catalog bilgisayar içinde belli özellikler olmak üzere domainin bütün nesneleri yer alır. Bu nedenle bütün sorgulama işlemlerinde Global Katalog"a bakmak yeterlidir. Her Active Directory sitesinde bir Global Catalog olması önerilir. Bunun dışında kullanıcının logon olabilmesi için Global Catalog"a erişebilmesi gerekir. Bir diğer önemli konuda Global Catalog, Universal grup üyeliklerini de takip eder. Tabi bu grup olaylarına ileride değineceğim daha kapsamlı olarak..aceleye gerek yok Active Directory"nin Fiziksel Yapısı Mantıksal yapı, kullanıcı, grup gibi nesnelerin yönetimiyle ilgiliyken, fiziksel yapı tamamıyla network alt yapısıyla ilgilidir. Mantıksal yapıyla ilgilidir, ancak tamamıyla örtüşmesi zorunlu değildir. Mantıksal yapının tasarımında yönetim konuları ele alınırken, fiziksel yapının tasarımında network yapısı (subnetler), routerler, bant genişlikleri, switch"ler vb. gibi konular ele alınır.Bunu "Eurystheus" hocamız bize network konularında güzelcene açıklar tabii Active Directory yapısı her zaman bir varsayılan site içindedir. Ancak özellikle şirketin coğrafik olarak yayılması işin içine WAN bağlantılarını ortaya çıkarır. Bu durumda uzak birimlerin site olarak tasarlamak ve aralarında replikasyonu kontrol etmek ana işlemdir. Fiziksel yapı içinde siteler önemli rol oynarlar. Bir site, yüksek hızda birbirine bağlı bir ya da daha çok IP subnetidir. Bu anlamda site içinde replikasyon işlemi çok hızlı yapılır. Buradaki örneği çoğaltabiliriz tabii ki.."SITE" 2 "den fazla domain arasında da kurulabilir. Sadece önemli olan husus, DC yani Domain Controller"lar arasında SITE kurulması gerektiğidir.Yukarıda da bahsettiğim gibi en önemli amacımız "nasıl en hızlı şekilde domain"ler arasında replikasyonu sağlayabiliriz.Bu faktöre göre hangi şehirler ya da domain"ler arasında ve ucuz maliyetle site kurmamız gerektiği önemli bir konudur.
ACTIVE DIRECTORY VE DOMAIN YAPISINA GENEL BAKIŞ: Active Directory, Türkçe"de Aktif Dizin anlamına gelmektedir.Buradaki Dizin tüm sistemdeki nesnelerin bilgileri anlamındadır.Aktif Dizin ise kayıtların ve bilgilerin sadece statik olarak değil değişken olarak veritabanında tutulduğu bir sistemdir. Active Directory Windows 2000 ve 2003 server ağında kullanılan bir servislerden bir tanesidir.Bu servis ağdaki tüm kaynaklarla ilgili bilgilerin tutulmasını ve bu bilgilerin tüm kullanıcı ve objelere sunulmasını sağlar.Örneğin computer accounts(bilgisayar hesapları),printers(yazıcılar),users(kullanıcılar) ... Active Directory tüm ağdaki kaynakların tek bir merkezden yönetilmesini sağladığı için, ağdaki herhangi bir kullanıcının, herhangi bir objenin fiziksel olarak yerini bilme gibi bir zorunluluğu yoktur.Çünkü fonksiyonel olarak Active Directory ağdaki tüm kaynakların organizasyonundan,yönetiminden ve kontrolundan tek başına sorumludur.Buna en iyi örnek biraz önce de söylediğim gibi yazıcı örneğidir.Ağdaki herhangi bir kullanıcının yazıcıdan çıktı alması için yazıcının ağda fiziksel olarak nerde olduğunu, ne şekilde ağa bağlantısının yapıldığını bilmesine gerek yoktur. Active Directory"de Denetim: Workgroups(Çalışma grupları) ve Domain(etki alanı): Bu iki kavram Active Directory sisteminin en önemli yapıtaşlarındandır.İlk olarak Workgroups kavramı Domain kavramına nazaran daha çok ev ve küçük çaplı ofis kurumları için idealdir ve bu çapta bir anlamda sınırlandırılmıştır.Domain ise daha geniş çaplı bir alanı kapsayan kurumlar ve kullanıcı grupları için geçerlidir.
WORKGROUPS(Çalışma grupları): Genel olarak kullanıcı sayısının en fazla 10 kişi olduğu ve ağ"ın P2P(peer-to-peer) yani eşler arası şeklinde kurulumunun yapıldığı durumlarda WORKGROUPS kullanılır.Burdaki P2P kavramından kastım, ağdaki hiçbir kullanıcının server(sunucu) ya da client(istemci) olarak kabul edilmemesidir.Yani ağdaki herkes eştir, herkes hizmet birimi hem de istek birimidir. Workgrups"da herkes kendi güvenlik ve paylaşım izinlerini yüklemekle serbesttir.Burada sizlere, hazırlanmış güzel bir örnek sunuyorum.DOMAINS(etki alanları): Eğer ağ çok sayıda kaynak ve kullanıcı içeriyorsa, bu durumda WORKGROUPS yerine DOMAIN modeli tercih edilmelidir.Bunun en büyük gerekçelerinden biri de kaynakların yönetiminin ve kontrolunun DOMAIN modelinde daha etkin oluşudur.Çünkü tüm kullanıcı hesapları ve kullanıcı grupları tek bir merkezden(Active Directory) yönetilmektedir.Aynı zamanda bu durum sistem yöneticilerinin de yükünü artıracaktır haliyle.. Domain aynı zamanda internet kullanıcılarının her zaman karşılaştığı bir kavramdır.Genel olarak Windows2000, 2003 domaininde ki kurallar ile internet domain kuralları birbirini izlemektedir.Domain isimlerine de ek olarak tanımlayıcılar geliştirilmiştir.Bunlardan en çok kullanılanları: .org-->ticari amaç gütmeyen kurumlar için .com-->ticari kurumlar için .edu-->eğitim kurumları için .gov-->resmi kurumlar için...örnek domain ismi: microsoft.com, mcse.org, meb.gov.tr, cisco.edu...gibi Bununla beraber; -Domain adları ile DNS adları aynı olabilir. -255 karaktere kadar domain ismi olabilir. -Domain isminde bir veya birden fazla nokta işareti olabilir. FOREST(orman) ve TREE(ağaç): TREE: DNS yapısında bir Domain"in alt ve diğer domain"lerle oluşturduğu toplu yapıya TREE denir. Tree de yer alan ilk Domain DNS adının kök ismine sahiptir.örn: odut.com Domain topluluğunda yani TREE "de yer alan ilk domain olsun.bunun altına tekrar "donanım" isimli bir child domain(alt domain) açarsak DNS adresimiz donanim.odut.com olacaktır.
FOREST: Ağaçlardan(TREE) oluşan toplu yapıya ORMAN(FOREST) diyoruz .(herhalde yani..) FOREST"ın TREE"den farkı ;TREE de aynı domain ismine ve onun uzantılarına sahip domain isimleri varken, FOREST"da farklı domain isimlerine sahip birimler, dolayısıyla farklı TREE"ler vardır. -Resim"de odut.com, abc.odut.com ve xyz.odut.com TREE yapısını oluşturmaktadır. -Resim"deki tüm domainler(microsoft.com da dahil olmak üzere)hep birlikte FOREST yapısını oluşturmaktadır. -Microsoft.com domain"i de tek başına ikinci TREE"yi oluşturmuş diyebiliriz. ORGANIZATIONAL UNITS(organizasyonel birimler): Domain"ler OU(organizational units)"lar gibi daha küçük birimlere ayrılabilirler.OU"lar Domain içindeki kullanıcıları, bilgisayarları, grupları ve diğer OU"ları bir arada toplayabileceğimiz birimlerdir. örnek: -firmadaki departman müdürleri -belli bir programı(mesela muhasebe programı) kullanan kullanıcılar -sadece administrator hesabına sahip kullanıcılar -muhasebe departmanı çalışanları("muhasebe" isminde bir OU yaratılabilir) Active Directory yapılandırılmasında Domain"ler çok büyük ve bir o kadar da birimi kapladığı, keza herşeyi içerdiği için denetim yönünden büyük bir dezavantaja sahiptir.Domain admin"i(yöneticisi) bu bazda büyük bir güce sahip olmasının yanında yönetimini farklı gruplara özelleştirmesi gibi bir durum da söz konusu değildir.Bu yüzden Domain"de OU"lar büyük öneme sahiptir.OU"ların başına farklı admin"ler atayarak Domain admin"in de yükü hafifletilmiş olur. Yalnız burada dikkat edilmesi gereken bir konuda OU"lara atanacak olan Admin"lerin yine Domain ya da Enterprise Admin"ler tarafından atanacak olmasıdır dolayısıyla atanacak olan admin"e ne gibi yetkilerin verilmesi konusu da Domain admin"in insiyatifine kalmış bir konudur.
DOMAINLERDE DENETİM, Domain Controllers
etki alanı denetçisi) Domain"lerde denetim, Domain Controller(DC) dediğimiz hizmet birimleri tarafından sağlanır.DC"ler domain ilk kurulduğu zaman oluşturulan birimlerdir.DC"ler Domain"deki tüm dizin (active directory) bilgilerinden sorumludur.ÖRN:dizin sorgulama,kullanıcı ve bilgisayar hesapları,yazıcılar,OU oluşturma...gibi. Ağdaki herhangi bir makinaya ilk kez Active Directory kurulumuyla bilgisayar ağdaki ilk DC durumuna gelmiş olur.Active Directory domain"lerinde hata kaldırabilirlik(fault tolerance),performans ve güvenlik açısından iki tane DC bulundurulmasında fayda vardır.Kurulan ikinci DC de ağda additional DC adını alır.(replica server) ACTIVE DIRECTORY KURULUMU: Ağda istediğimiz bilgisayarı Domain Controller yapabiliriz.Bunun için; Start-->Programs-->Administrative Tools-->Configure your server seçeneğinin yanısıra Start-->Run bölümünde "dcpromo" komutunu yazarak Active Directory kurulumuna başlayabiliriz. -İlk olarak next deyip "Domain Controller type" penceresine geliyoruz.Eğer kuracağımız DC domain"deki ilk DC olacaksa ilk seçeneği seçiyoruz.Eğer domain"de mevcut DC varsa alttaki seçeneği seçiyoruz.Biz ilk defa kuracağımız için ilk seçeneği seçeceğiz.Yaratacağımız ilk domain tree olacağı için ilk seçeneği seçiyoruz.-Kurulum bir sonraki ekranda bize yeni bir FOREST mı yaratcağımızı ya da mevcut FOREST"a yeni bir domain mi ekleyeceğmizi soruyor.Bu aynı zamanda yaratacağımız ilk FOREST olacağı için tekrar ilk seçeneği seçiyoruz.
Daha sonra Domain ismimizi belirliyoruz.Domain ismimiz odut.com olsun.Ekranda da görüldüğü gibi NetBIOS ismimiz ODUT olarak otomatikman karşımıza çıkıyor.Kurulumda aynı zamanda NetBIOS ismini belirtmemizin amacı ağdaki windows95,98 ve NT makinalarının Domain adımızı anlamasını sağlamaktır.Onların anlayacağı şekilde belirtilen Domain adına NetBIOS denir.NetBIOS adı en fazla 15 karakter olabilir ve DNS ismlerindeki gibi nokta içermez. NOT:Yukarıdaki örnekte NetBIOS isminin illa ki ODUT olma gibi bir zorunluluğu yoktur.NetBIOS ismini "ODUN" da koyabilirdik.Fakat adlandırmada karışıklık olmaması için ODUT koyuyoruz ismini..
Daha sonraki aşamalarda AD veritabanının hangi klasörde ve DC için gerekli bazı bilgilerin nerde saklanacağına ilişkin menüler gelecek.Bunları "next" deyip geçebiliriz.
Daha sonra karşımıza sistemde DNS"in bulunmadığına dair bir uyarı ekranı gelecek.Windows"un DNS"i otomatik olarak yapılandırması için ilk seçeneği seçiyoruz.Bu bölümde ilk seçeneği seçersek anonim kullanıcıların(nt,98,95) Domain"i sourgulayabilmesine izin veririz.ikinci seçenekte ise eski programların kullanılmadığı varsayılır ve domain"de hesabı olan kullanıcılar ancak Domain"i sorgulayabilir.Biz ilk seçeneği seçelim.
Bu pencerede Admin hesabınızın şifresi neyse onu girin.Bilgisayarı "directory restore mode" da açabilmemiz için gereklidir bu şifre.. Directory Restore ModeBu modu eğer Active Directory veritabanında bir aksaklık olduğu zaman Veritabanını geri yükleyebilmek için kullanırız.Modu açabilmek için bilgisayarı baştan başlatıp açılış sırasında F8 tuşuna basarız ve ekrana gelen seçeneklerden "Directory Restore Mode"u seçeriz. Her windows2000 veya 2003 makinada yerel kullanıcı hesapları SAM(security accounts manager) adında bir dosyada tutulur.Ancak o makina DC durumuna getirildiği zaman tüm yerel kullanıcı hesapları ntds.dit dosyasına aktarılır.Bu dosya aynı zamanda Active Directory veritabanın tutulduğu dosyadır.Eğer tekrar dcpromo komutuyla Active directory"i kaldırırsak SAM dosyası tekrar geri yüklenir.Zaten DC "de Active directory users and computers bölümünü açtığımız zaman "local users and computers" bölümünün üzerindeki çarpı işaretini görürüz.Yani artık yerel kullanıcı hesapları Active Directory veritabanına aktarılmıştır. İşte Directory Restore Mode seçeneğiyle dizin bilgilerinde kaza sonucu meydana gelen silinmeler sonucu sistem veritabanını geri yükleyebiliriz. Daha sonra "next" diyerek, özet pencereyi de gördükten sonra kurulum işlemini tamamlamış oluyoruz.
ACTIVE DIRECTORY"NIN KALDIRILMASIRun"da dcpromo komutunu kullanmamız yeterlidir.Bu durumda bilgisayarımız normal bir işletim sistemi halini alacaktır.(Stand-Alone) tabii ki kendi admin hesabımızla ve şifremizle active directory"yi kaldırmamız gerek. Gerekli Administrator adı ve şifresini giriyoruz.Burada stand-alone yani normail bilgisayarda admin şifresini oluşturmamız gerek.
Artık bir domain"imiz yok.Dolayısıyla Active Directory kaldırılmış oldu.
ACTIVE DIRECTORY KULLANICILARIStart menü"den Administrative Tools"dan "actice directory users and computers" seçelim. Users kısmından sağ tıklayıp "new user" diyerek yeni bir kullanıcı ekleyebiliriz. Daha sonra "finish" diyerek kullanıcı ekleme işlemini tamamlıyoruz.-User must change password at next logon:Eğer bu özelliği seçersek bir daha ki log-on "da kullanıcı şifresini değiştirmek zorundadır. -User cannot change password:Kullanıcı şifresini değiştiremez.Sadece admin"ler tarafından şifre değiştirilebilir. -Password never expires:Şifrenin kullanım süresi dolmaz. -Account is disabled:Kullanıcı hesabı silinir.Bu durumda kullanıcı domain"e log-on olamaz
Kullanıcıların Domain"e girmesi: Bilgisayarımıza log-on olduktan sonra (kendi administrator hesabımızla), bilgisayarım özelliklerinden "network identification" bölümüne geliriz.Diyelim ki makinamızın ismi "w2k_pro"..bu bölümde görüyoruz ki ismimiz herhangi bir DNS ekine sahip değil.Ve şu anda "workgroup" a dahiliz. Properties"e girerek, domain"e dahil edelim.Domain kısmına domain ismimizi yazalım ilk önce. Hoşgeldin yazasıyla domain"e girmiş bulunuyoruz, hayırlı uğurlu olsun arkadaşlar! artık bilgisayar açıldığında log-on olurken log-on to: kısmında kendi domain ismimizi seçebiliriz.
Hiç yorum yok:
Yorum Gönder