Active Directory Windows Server 2003 ağlarındaki bir dizin hizmetidir. Dizin hizmeti, ağdaki kaynakların bilgisini tutan ve bu bilgiyi kullanıcılara ve uygulamalara sunan ağ hizmetidir. Dizin hizmeti ağ kaynaklarına ulaşmak, bu kaynakları isimlendirmek ve güvenli bir şekilde yönetmek için gereken ortamı sağlamak amacıyla oluşturulur.
Active Directory ortamdaki ağ altyapısına büyük ölçüde işlevsellik kazandırmaktadır. Özellikle kaynakların kontrolünün ve yönetiminin merkezileştirilmesi Active Directory organizasyonunun en önemli özelliğidir. Active Directory, fiziksel topoloji üzerine dayalı bir sistemin kullanıcıya daha baside indirgenmiş şekilde görünmesini ve kaynaklara erişim esnasında kullanıcının eriştiği kaynağın (örneğin printer) ağın neresinde olduğunu veya kaynağın ağa ne şekilde bağlanmış olduğunu bilmeksizin bağlanmasını sağlar.
Active Directory çok büyük işletmelerdeki yoğun bilgileri alt kümelere bölerek saklayabilir ve böylece verilerin büyümesi veya küçülmesi durumunda, yani şirketin büyümesi veya küçülmesi durumunda sistemöe esneklik kazandırır.
Active Directory kurulu bir Windows Server 2003 ağ çapında sistem konfigürasyonlarını, kullanıcı profillerini ve uygulama bilgilerini Active Directory veritabanında saklar. Active Directory sistem yöneticilerinin, domain kapsamındaki tüm bilgisayarlarda desktop özelliklerini, ağ servislerini ve uygulamaları merkezi bir noktadan yönetebilmelerini sağlar.
Active Directory ayrıca, kullanıcıların sisteme bir kez dahil olmasını, yani logon olmasını ve ardından ağdaki birçok kaynağa tek bir logonla güvenli bir şekilde erişebilmesi konusunda da sistem yöneticilerine merkezi erişim kontrolü sağlar.
Active Directory Objeleri
Active Directory, veritabanında ağ objeleri hakkındaki bilgileri saklar. Bu Active Directory objeleri başta kullanıcılar, gruplar, bilgisayarlar ve yazıcılar olmak üzere ağ kaynaklarını temsil etmektedir. Dahası, Active Directory çapındaki tüm sunucular, Domain’ler ve Site’lar da Active Directory objeleri arasında yer almaktadır. Active Directory tüm objeleri dağıtılmış bir veritabanı üzerinde sakladığı için sistem yönticisi bu objelerin yönetimi kolaylıkla tek bir noktadan yürütebilir.
Yeni bir obje oluşturulduğu zaman bu objenin özellikleri (attribute) obje hakkında onu tanımlayan bilgiler içerir. Kullanıcılar bu objeye erişmek istediği zaman objeye atanan bu özelliklerden faydalanabilirler. Örneğin, bir kullanıcı domain içerisinde bir yazıcıya ulaşıyorken yazıcının bulunduğu yere (kat, bina, departman) göre arama yapabilir.
Active Directory’nin Mantıksal Yapısı
Active Directory’nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.
Söz konusu mantıksal komponentler
A. Domain
B. Organizational unit
C. Tree and forest
D. Global catalog
Active Directory’nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
Domain
Active Directory en temel mantıksal bileşeni Domain’dir. Domain, aynı dizin veritabanını paylaşan bilgisayarlar bütünüdür ve sistem yöneticisi tarafından oluşturulur. Her bir Domain benzersiz bir isme sahiptir ve sistem yöneticisi tarafından belirlenmiş olan kullanıcı ve grup hesaplarına erişim sağlar.
Ayrıca Domain’ler güvenlik sınırı (Security Boundary) olarak da bilinir. Güvenlik sınırı sayesinde, eğer sistem yöneticisi ayrıca bir izin belirlememişse, bir kullanıcının hakları sadece o Domain içerisinde geçerli olacaktır. Her bir Domain kendi güvenlik yapısına sahiptir.
Domain’ler ayrıca replikasyon birimi olarak adlandırılır. Bir Domain içerisinde, Active Directory veritabanı kopyalarını bulunduran Domain Controller’lar bu koyaları Domain içerisinde yapılan değişiklikleri birbirlerine kopyalarak replikasyon yaparlar.
Organizational Units
Organizational Unit bir Domain içerisindeki objeleri organize etmek amacıyla oluşturulmuş objelerdir. Bir Organizational Unit kendi içerisinde kullanıcılar, gruplar, bilgisayarlar veya başka OU’lar olmak üzere başka objeler barındırabilirler.
OU’ları, organizasyonun ihtiyacını en iyi şekilde karşılayacak mantıksal bir hiyerarşi oluşturuyorken objeleri gruplamak amacıyla kullanabilirsiniz.
Örneğin, objeleri grupluyorken yönetimsel gereksinimleri ön planda tutabilirsiniz. Mesela, organizasyonda bir yönetici kullanıcılarda bir diğer kullanıcı da bilgisayarlardan sorumlu olacaksa, biri kullanıcılar için biri de bilgisayarlar için iki adet OU oluşturulur ve kullanıcılar birinde bilgisayarlar da diğerin toplanır. Son olarak da ikisini de ilgili kullanıcı yönetici olarak atanabilir.
OU birimlerinin kullanılabileceği bir başka örnek ise organizasyonun departmansal birimlere ayrılmasında geçerli olabilir. Örneğin bir “Muhasebe” bir de “Pazarlama” departmanları için OU oluşturulur ve bu departmanlarda çalışan kullanıcılar ilgili Oulara yerleştirildikten sonra departman şefleri bu birimlere yönetici olarak atanabilir.
Trees ve Forests
Oluşturulan ilk Windows Server 2003 Domain’i, Active Directory yapısındaki Kök Domain’i (Root Domain) ifade eder. Bundan sonra oluşturulacak olan yeni ek Domain’ler dizinin mantıksal Tree veya Forest yapısını oluşturacaktır.
Tree
Birbirine ardışık bir isim aralığını paylaşan Windows Server 2003 Domain’lerinin hiyerarşik olarak düzenlenmiş şeklidir.Önceden oluşturulmuş bir Tree yapısında yeni bir Domain eklediğiniz zaman, yeni eklenen Domain sondan eklendiği Domain’inin Child Domain’i durumunda olur ve eklendiği Domain de eklenen Domain için Parent Domain olur. Yeni oluşturulan Child Domain’in ismi Parent Domain’den gelen isimle birleştirilir ve yeni oluşan Domain’in DNS ismi ortaya çıkar.
Örneğin bakicubuk.com bir Root Domain’dir. Bu Domain’e eklenecek yeni bir Domain baki.com Domain’inin Child Domain’i olacaktır, buna örnek olarak it.baki.com Domain’ini gösterebiliriz. Bu örnekte it.baki.com, baki.com Domain’inin Child Domain’i olacaktır. baki.com Domain’i ise Parent Domain konumundadır.
Forests
Forest, birden fazla Tree’nin birleşmiş halidir. Forest içerisindeki Tree’ler ardışık isim aralığına sahip değildirler. Oluşturulan ilk Domain bir Tree’yi ifade edecektir ve ilk Tree’nin oluşturulmasıyla Forest’da oluşmuş olacaktır. Sonradan bu Forest’a eklenecek olan Tree’ler, diğer Tree’lerle aynı isim aralığını paylaşmayacak olasalar da aynı Schema ve Global Catalog’a sahip olacaktır. Forest oluşturulurken kurulmuş olan ilk Tree Forest-Root olarak bilinir ve diğer Tree’ler bu Forest Root altında toplanırlar.
Global Catalog
Global Catalog, Active Directory’deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu barındırılan özellikler, varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir (örneğin kullanıcı ön ismi, son ismi ve logon ismi). Global Catalog kullanıcılara şu hizmetleri sunar:
• Gereken verinin nerede olduğundan bağımsız olarak Active Directory objeleri hakkında bilgiler sunar.
• Bir ağa logon oluyorken Universal Group Membership bilgisini kullanır.
Global Catalog Sunucusu Domain’deki bir Domain Controller’dır ve Domain’de oluşturulan ilk Domain Controller otomatik olarak Global Catalog seviyesine yükseltilir. Sonradan ek Global Catalog Sunucular eklenebilir.
Active Directory Schema
Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Network yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde bir
kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.
Dolayısı ile
• Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
• Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde
güncellenir.
• Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs ile Schema bilgileri üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized users) değişiklik yapabilmesi
sağlanır.
Lightweight Directory Access Protocol ( LDAP )
LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;
* Distinguished Names
* Relative Distinguished Names
Distinguished names: Tüm Active Directory objeleri, Network ortamında
kendilerine ulaşılmasını sağlayan komple path içeren, distinguished name’e
sahiptir.
Örneğin;
CN=Baki Cubuk , OU=Pazarlama , DC=mcse, DC=com
Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.
CN: Grup ve kullanıcı adları tanımlamalarında kullanılır
OU: Organization Units tanımlamalarında kullanılır.
DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı bakicubuk.com ise, DC=bakicubuk, DC=com şeklinde belirtilir.
Başka bir örnek verelim;
“TULUG” isimli kullanıcı, “Ereğli” isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı “baki.cubuk.com” olsun.
Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=tulug, OU=Eregli, DC=baki, DC=cubuk, DC=com
Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;
CN=Tulug, OU=Eregli, DC=baki, DC=cubuk, DC=com Yazılımında baki.cubuk.com içinde tek olan yani; Relative Distingished Name; tulug ‘diur. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
Active Directory’nin Fiziksel Yapısı
Active Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize ederken, fiziksel yapı ile Network trafiğini kontrol ve konfıgüre edebilirsiniz.
Active Directory’nin fiziksel yapısını; DC(Domain Controller) ve Siteler oluşturur. Active Directory’nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network’e katılımını(logon) belirler. Network trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.
Domain Controllers
Domain Controller, üzerinde Active Directory veritabanının bir kopyasını (replica) bulunduran bilgisayardır.Domain’de gerşekleştirilen herhangi bir değişiklik bir Domain Controller üzerinde gerçekleştirilir ve daha sonra domain’deki tüm Domain Controller’lar bu değişiklikleri replikasyon yoluyla birbirlerine kopyalarlar. Domain Controller’lar dizin bilgisini bulundururlar ve kullanıcıların logon işlemlerini, kimlik doğrulama işlemlerini ve dizin arama işlemlerini yürütürler.
Bir Domain’de bir veya daha çok Domain Controller olabilir. Ufak çapta bir organizasyona (LAN) bir Domain ve iki Domain Controller yetecekken farklı fiziksel lokasyonlara yayılmış büyük bir işletme için (WAN), her bir bölge başına bir veya iki Domain Controller daha uygun olacaktır. Bir Domain’e birden fazla Domain Controller yerleştirmenin amacı hem hata toleransı sağlamak hem de Domain Controller’lar arasında yük dağılımı yapmaktır.
Sites
Bir Site, birbirlerine yüksek bant genişliğine sahip dış hatlarlar bağlanmış bir veya birden fazla IP (Internet Protocol) alt ağlarını ifade etmektedir. Site’ları doğru bir şekilde yapılandırarak kullanıcıların logon işlemlerinde oluşan ağ trafiğini ve replikasyon işlemleri sırasında oluşan yoğunluğu en aza indirgemek için Active Directory’nin alt ağlar arasındaki fiziksel bağlantıları en efektif şekilde kullanmasını sağlayabiliriz.
Site oluşturmaktaki başlıca sebepler şunlardır:
• Replikasyon trafiğinin optimize edilmesi
• Kullanıcıların logon olması esnasında en hızlı ve en güvenilir bağlantıyı kullanarak doğru Domain Controller’ı bulabilmeleri
Active Directory ve DNS
Active Directory ve DNS entegrasyonu Windows Server 2003 Sisteminin en önemli özelliklerinden biridir. Active Directory ve DNS, objelerin hem Active Directory objeleri hem de DNS domainleri ve kaynak kayıtları (Resource Records) olarak sunulabilecek şekilde benzer bir hiyerarşik isimlendirme yapısına sahiptirler. Bu entegrasyonun sonucu olarak Windows Server 2003 Ağındaki bilgisayarlar, Active Directory’ye özgü birtakım servisleri çalıştıran bilgisayarların yerini öğrenmek için DNS Sunucuları kullanmaktadırlar. Örneğin, bir client Active Directory’ye logon olmak veya herhangi bir kaynağı (yazıcı veya paylaşılmış bir klasör) dizin içerisinde aratmak için bilmesi gereken Domain Controller’ IP adresini DNS Sunucu üzerinde SRV kayıtlarından öğrenmektedir. Active Directory’nin sorunsuz bir şekilde çalışması için DNS sunucuların SRV kayıtlarını eksiksiz bir şekilde barındırması gerekmektedir. SRV kayıtlarının amacı, client’lara logon esnasında veya herhangi bir kaynağa ulaşıyorken Domain Controller’ların yerlerini belirtmektir ve bu kayıtlar DNS sunucularda tutulur. SRV kayıtlarının olmadığı bir ortamda, client’lar Domain’e logon olamayacaklardır.
Ayrıca Windows Server 2003, DNS bilgilerinin Active Directory veritabanı ile tümleşik olarak saklanmasına olanak vermektedir. Bu sayede DNS bilgilerinin replikasyonu daha efektif ve güvenli bir hale gelmektedir.
Windows Server 2003, Active Directory organizasyonunu kurmadan, önce oluşturulacak olan Domain’in DNS altyapısını önceden oluşturmayı gerektirmektedir. Eğer oluşturulacak olan Domain’in DNS altyapısı kurulum öncesinden hazırlanmamışsa, kurulum esnasında da DNS altyapısı kurulabilir.
Windows Server 2003 Yönetim Methodları
Windows işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde kullanılacak method ve yöntemleri Administrator’a sunar. Administrator’un Network ortamındaki yönetimsel işlevi :
Merkezi yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Network kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak kullanıcılara sunumu sağlanır.
Kullanıcıların yönetimi: Active Directory içerisinde organizasyon birimlerine uygulanılabilen Group Policy ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya aktarılır.
Yönetimsel kontroller için delege atanması: Active Directory, Administrator’ın organizasyon içerisindeki bir kullanıcıya veya gruba kısmen veya tamamen yetki vermesine olanak tanır.
Active Directory; Administrator’ın Network kaynaklarını merkezi olarak yönetmesine olanak sağlar.
Kaynakların merkezi yönetiminin avantajı: Tek bir administrator tarafından, Network kaynaklarının merkezi denetim ve yönetimi. Active Directory, tüm objelere ait bilgiler ile nitelikleri içerir. Bu nitelikler, kaynakların tanımını içeren verilerdir. Active Directory, objelerin bilgilerini yerleştirmede kolaylık sağlar. Bu bilgileri kullanarak, yapılan arama işlemlerinde obje, Active Directory dizininde her nerede olursa olsun, kolaylıkla bulunabilir. Organizasyon birimleri içerisinde grup objeleri oluşturabilirsiniz. OU bünyesinde Group Policy uygulanabileceği gibi, delege atanmasına da imkan tanır. Delege, Administrator tarafından kendisine verilen yetki oranında, işlem yapabilir.
Group Policy ayarları: Site, Domain veya OU yapılarına uygulanabilir. Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.