Active Directory Nedir ? Nasıl işler ?

Active Directory Microsoft ağlarında kullanılan özellikle Windows Server ve Client Bilgisayar sistemleri için tasarlanmış bir dizin hizmetidir.İçerisinde sunucu,kullanıcı ve yazıcı gibi bilgileri tutar.Bu gibi verilere Group Policy ilkeleri sayesinde,çeşitli yönetimsel kısıtlamalar yapılabilir veya kullanıcıların çalışma ortamları ihtiyaçlar dahilinde şekillendirilebilir.Active Directory’de sistemde yer alan tüm veriler NTDS,DIT olarak tek bir veritabanında saklanır.Bu şekilde yönetimi merkezileştirir ve kolaylaşmasını sağlar.

Group Policy Nedir ?

Group Policy,Active Directory ile birlikte gelen bir özelliktir.Hem büyük bir ağın güvenliğini sağlarken hem de kullanıcıların ihtiyaç duyduğu çalışma ortamlarının yaratılması,kullanıcılara belli bazı hakların verilmesi veya kısıtlanması gibi işlemleri merkezi bir yerden otomatik yapılmasına izin veren yönetimsel bir araçtır.

Policy’lerin çalışması Obje tabanlıdır.Policy ile uygulanmasını istediğimiz tüm işlemler Group Policy Object(GPO) denilen dosyalarda saklanılmaktadır.Bu şekilde oluşturduğumuz GPO dosyaları bilgisayar tarafından okunur ve içerisindeki ayarlar cihazımız tarafından işlenerek uygulanır.

Active Directory ilk olarak Windows Server 2000 ile hayatımıza girdi.Git gide kendini geliştirerek günümüzdeki halini almaya başladı.İçerisindeki bulunan tüm sorgulama ve değişiklikler ise ESE(Extensible Storage Engine) isimli veritabanı motoru tarafından yürütülür.LDAP uyumlu bir veritabanıdır.Bu veritabanı ise domain controller olan sunucu ve sunucular üzerinde tutulur.Dosyanın konumuna %systemroot%NTDS yazarak ulaşabilirsiniz.

Veritabanı dosya ismi ise ntds.dit (New Technology Directory Service-Directory Information Tree)’ tir. Bununla birlikte tüm işlemlerin geçici olarak yer aldığı, değişikliklerin veritabanına yazılmadan önce çeşitli sebeplerden ötürü saklandığı ve transaction log olarak adlandırılan edb.log isimli dosya da, Active Directory servisinin çalışmasında kritik rol oynar. Bir diğer önemli veritabanı bileşeni ise ESE checkpoint olarak adlandırabileceğimiz ebd.chk dosyasıdır. Bu dosyanın görevi edb.log a yazılan değişiklik bilgisinin ntds.dit”içerisine, düzgün ve tutarlı olarak yazılıp yazılamadığını konrol etmektir.

Active Directory Mantıksal Yapısı:

Active Directory’nin mantıksal yapısı içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.Bu bileşenler ise;

  • Domain
  • Domain Tree
  • Organizational Unit (OU)
  • Forest
  • Global Catalog

Domain: Domain, aynı dizin veritabanını paylaşan bilgisayarlar bütünüdür.Aynı zamanda güvenlik sınırı olarak da bilinir.Güvenlik sınırı sayesinde,eğer sistem yöneticisi ayrıca bir izin belirlememişse,kullanıcının hakları sadece o Domain içerisinde geçerli olacaktır.Yani kısaca Domain, merkezi yönetimi sağlamak amacıyla kurulan çekirdek yönetim birimine verilen isimdir.

Domain Tree: Aynı isim altında toplanmış bir veya birden fazla domain’in hiyerarşik olarak oluşturduğu yapıya verilen isimdir.

domain tree ile ilgili görsel sonucu
Örnek bir Domain Tree

Organizational Unit(OU): Domain içerisindeki kullanıcıları grupları ve bilgisayarları bir arada tutan objelerdir.Temel amaçları organizasyon hiyerarşisini belirlemek,OU seviyesinde delegasyon yapabilmek ve group policy ilkesini uygulamaktır.

İlgili resim
Organizational Unit(OU)

Forest: Active Directory, Mantıksal yapısı içinde Forest en dış katmandadır.İçerisinde birden fazla Domain Tree barındırabilir.Fakat Forest içindeki Domain Tree’ler aynı alan adını kullanmazlar.

domain forest ile ilgili görsel sonucu
Örnek bir Forest

Global Catalog: Forest’in içinde bulunan nesneler hakkındaki bilgilerin merkezi depolanmasını sağlar.Global Catalog’a ev sahipliği yapan Domain Controller, Global Catalog Server olarak bilinir.Global Catalog Sunucusu, tüm nesnelerin tam kopyasını ana etki alanı için dizinde ve Forest’taki diğer tüm etki alanlarının tüm nesnelerinin kısmi bir kopyasını depolar.Bir telefon rehberine benzetilebilir.Global Catalog, kullanıcıların belirli bilgileri bulmak için sorgular yapabilecekleri bir telefon rehberi gibi bilgileri saklar.

Active Directory Fiziksel Yapısı:

Active Directory’nin fiziksel yapısını Domain Controller ve Site’lar oluşturur.

Domain Controller: Active Directory veritabanının bir kopyasını üzerinde bulunduran sunuculardır.Domain’de yapılan herhangi bir değişiklik bir Domain Controller üzerinde gerçekleştirilir ve daha sonra domain’deki tüm Domain Controller’lar replikasyon yoluyla bu değişiklikleri birbirlerine kopyalarlar. Bir domain’de bir veya daha çok Domain Controller olabilir.

Site: Bir ya da birden fazla IP Subnet’ini içeren yapıdır. Site, Windows domainleri içerisindeki, DC’ler arası replikasyon trafiğini ve süresini kontrol altına almak için oluşturulmuş yapılardır. Network içerisindeki IP subnetlerini site’lar içerisinde tanımlayarak replikasyon trafiğide kontrol altına alınmış olur.

Active Directory FSMO Rolleri(Flexible Single Master of Operation)

Bir Active Directory sunucusu üzerinde 5 adet role bulunmaktadır. Bunlar;

  • Schema Master
  • Domain Naming Master
  • PDC Emulator
  • RID Master
  • Infrastructure Master

şeklindedir. Bu rolleri “netdom query fsmo” komutu ile listeleyebiliriz.

Schema Master

Active Directory Domain Services içerisinde, yapıdaki nesnelerin sahip olacağı özellikleri belirleyen bileşendir. Nesnelerin biçimsel yapısını belirler diyebiliriz. Örneğin, kullanıcı nesnesinde ad, soyad, şehir, görev gibi bilgilerin olacağını Schema belirler. Bu rol üzerinde sadece Domain Admins ve Enterprice Admins grubu üyelerinin yetkileri vardır.

Domain Naming Master

Domain (Etki alanı) isimlerini bünyesinde tutan rehberdir diyebiliriz. Yeni bir domain kurulacağı zaman isim onayını bu rol verir. İsim çakışmasını önler.

RID Master

Ağda bulunan tüm nesnelerin kendine has (benzersiz) bir SID numarası vardır. Nesnelerin benzersiz bir SID numarası almasını sağlar ve çakışmayı önler.

Infrastructure Master

Farklı etki alanlarından gelen kullanıcıların SID numarası ile ilgili ayarlamaları gerçekleştirir. Global Catalog sunucusu ile replikasyonu sağlar.

PDC Emulator

Ağda bulunan DC’ler arasında replikasyonu sağlar. Windows oturumlarını kontrol eder.

Yazımı okuduğunuz için teşekkür ederim sonraki yazılarda görüşmek üzere.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir