Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
• Network yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator üzerinde, bütün
bilgisayarların denetiminin de diğer bir Administrator'un üzerinde olması
talep edilebilir. Bu sorunun çözümünü sağlamaya yönelik, kullanıcı
hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
• Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.
OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya gruba devredebilirsiniz. Delege olarak adlandırılan kullanıcı,
Administrator'un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control) veya sınırlandırılmış kontrol yetkilerine sahip olabilecektir.
Domain'in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.
Örneğin: Sizin İstanbul'da bir Network'ünüz var ve tek bir Domain olarak yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da bir şube açıyorsunuz ve 2 Network'ü birbirine bağlıyorsunuz. Ancak Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i "forest root
domain" olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen Domain "child domain" olacaktır. Söz konusu child domain'in ismi, parent domain'in DNS ismini içerecektir.
Örneğin;
parent domain child domain
mcse.com.tr - — yns.mcse.com.tr
mcse.com.tr — — deniz.mcse.com.tr
Yukarıdaki örnek ile iki Child Domain'imiz var.
Her Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven ilişkisi"
(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.
Transitive Trusts: "yns.mcse.com.tr" ile "mcse.com.tr" arasında doğrudan güven ilişkisi kuruludur, "deniz.mcse.com.tr" ile "mcse.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.mcse.com.tr ile deniz.mcse.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.
Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST :
Forest, bir veya daha fazla Tree'den oluşur. Forest içindeki Tree'ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree'ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.
Forest içinde her tree, kendi eşsiz isim alanına (unique name space) sahiptir. Örneğin: Mcse Ltd şirketi, Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain'i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.
GLOBAL CATALOG
Global Catalog: Active Directory içerisindeki tüm objelere ait niteliklerin
tutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla
kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır.
Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri
kapsar.
Kullanıcılar açısından iki önemli işlevi vardır:
• Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory
bilgilerine ulaşım.
• Network ortamına katılırken; universal group üyeliğinin kullanılabilmesi.
Global katalog bilgilerini sorgulama ve proseslerinin bir kopyasını üzerinde bulunduran DC(Domain Controller), "global catalog server" olarak adlandırılır.
Active Directory içerisinde ilk yapılandırılan DC, otomatikman "global catalog server" olur. Kimlik denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile Directory içerisinde, birden fazla global catalog server yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı takdirde, Forest içerisindeki tüm Domain'lere tek tek gidip, bu sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı olan objeleri listede görebilir.
Hiç yorum yok:
Yorum Gönder