Active Directory Nedir ?
Active Directory Forest and Tree
ACTIVE DIRECTORY NEDİR?
Active Directory nedir , Active Directory Kurulumu Windows 2000 ve sonrasının bulunduğu, Network ortamlarında kullanılan bir directory servisidir. Bu servis Network içerisinde bulunan kaynakların isim, tanım, lokasyon, erişim, yönetim ve güvenlik bilgilerini depolamanın yanı sıra bu bilgileri, kullanıcılar ile uygulamaların hizmetine sunar.
Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Network’e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.
ACTIVE DIRECTORY SCHEMA :
Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Network yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir.
Nitelik: Schema içinde bir kez tanımlandıktan sonra, arama (search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı (database) içerisinde depolanır.
Dolayısı ile;
- Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
- Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde güncellenir.
- Obje sınıf ve niteliklerinin korunmasında, Discretionary Access Control Lists (DACLs) kullanılır. DACLs ile Schema bilgileri üzerinde sadece yetkilendirilmiş kullanıcıların(authorized users) değişiklik yapabilmesi sağlanır.
Light Weight Directory Access Protokol (LDAP):
LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür.
Active Directory ‘nin Mantıksal Yapısı:
Active Directory ‘nin mantıksal yapısı, esnekliğinin yanı sıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.
Söz konusu mantıksal komponentler;
A. Domain
B. Organizational Unit (OU)
C. Tree and Forest
D. Global Catalog
DOMAIN (ETKİ ALANI):
Domain: Yönetici (administrator) tarafından tanımlanmış ve ortak bir Database (veri tabanı) içerisinde paylaşıma sunulmuş bilgisayarları kapsar. Network ortamında eşsiz (unique) isime sahip olmalıdır. Domain yöneticisinin kullanıcı ve grup hesaplarını denetlemesini, merkezileştirmektedir.
Domain’ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers (DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır.
ORGANIZATIONAL UNIT (OU):
Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
- Network yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm kullanıcı hesaplarının yönetiminin bir Administrator üzerinde, bütün bilgisayarların denetiminin de diğer bir Administrator’un üzerinde olması talep edilebilir.Bu sorunun çözümünü sağlamaya yönelik, kullanıcı hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
- Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak yapılandırılır.
TREE ve FOREST :
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain’i “forest root domain” olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain’e daha sonra eklenen Domain’ler ise “additional domain” ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain “parent domain”, Tree’ye eklenen Domain “child domain” olacaktır. Söz konusu Child Domain ‘in ismi, parent domain’in DNS ismini içerecektir.
Örneğin;
parent domain child domain
teknocinim.com -……… —…………… – video.teknocinim.com
takxi.com —…….. —………….. – durak.takxi.com
Yukarıdaki örnek ile iki Child Domain ‘imiz var.
FOREST :
Forest, bir veya daha fazla Tree’den oluşur. Forest içindeki Tree’ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree’ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.
Forest içinde her tree, kendi eşsiz isim alanına(unique name space) sahiptir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain’i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.
GLOBAL CATALOG :
Global Catalog: Active Directory içerisindeki tüm objelere ait niteliklerin tutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır. Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri kapsar.
Kullanıcılar açısından iki önemli işlevi vardır:
- Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory bilgilerine ulaşım.
- Network ortamına katılırken; universal group üyeliğinin kullanılabilmesi.
ACTİVE DIRECTORY’nin FİZİKSEL YAPISI:
Active Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize ederken, fiziksel yapı ile Netvvork trafiğini kontrol ve konfıgüre edebilirsiniz.
Active Directory’nin fiziksel yapısını; DC(Domain Controller) ve Siteler oluşturur. Active Directory’nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network ‘e katılımını(logon) belirler. Netvvork trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.
DOMAİN CONTROLLER (DC) :
Domain Controller(DC), replikasyon işlemine dahil olan Active Directory bilgilerinin depolandığı, üzerinde Windows Server 2003-2000 işletim sistemi çalışan bilgisayardır. Directory bilgilerinde değişiklik yapılmasına ve bu değişikliklerin aynı Domain içerisindeki diğer DC’ler ile replikasyonuna olanak sağlar. Directory verilerini depolar, kullanıcıların logon işlemlerini yönetir, kimlik denetimi ile directory arama(search) işlemlerini gerçekleştirir.
Active Directory ‘de Replikasyon İşlemi: Forest ve Domain içindeki DC’ler, Active Directory veri tabanında herhangi bir değişiklik olduğunda, otomatik olarak birbirleri ile replika olur, söz konusu veriyi güncellerler. Tüm directory yapısı içerisindeki DC ve istemci(Client) bilgisayarların, güncel veriye ulaşması sağlanır.
SİTE:
Site: IP (internet protocol) topluluğu olarak tanımlanabilir. Bir veya daha fazla yüksek hızlı link ile birbirine bağlanmış İP Subnet’lerini içerebilir. Site yapılandırılmasında, Active Directory için erişim ve replikasyon topolojisinin konfıgürasyonunu yapabilirsiniz. Böylelikle, Windows 2003-2000 işletim sistemi; replikasyon ve logon trafiği için zamanlandırılmış görevleri ve en etkin linkleri kullanabilir.
İki öncelikli nedenden dolayı site kurulabilir :
- Replikasyon trafiğini optimize etmek.
- Kullanıcıların, DC bilgisayarına güvenilir ve yüksek hızlı bağlantıyı kullanarak, logon olmasını sağlamak.
Network sisteminizin fiziksel yapısının planlanması Site, organizasyonunuzun mantıksal yapısının planlanması ise Domain vasıtası ile olur.
Active Directory içerisinde mantıksal ve fiziksel yapı birbirinden bağımsızdır:
- Network fiziksel yapısı ile Domain yapısı arasında bağ veya ilişki kurmanıza gerek yoktur.
- Active Directory, tek bir site içerisinde çoklu Domain veya tek bir Domain içerisinde çoklu site yapılandırılmasını destekler.
- Site ve Domain isim alanları arasında bağ veya ilişki kurmanıza gerek yoktur.
WINDOWS 2003 YÖNETİM METHODLARI :
Windows işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde kullanılacak method ve yöntemleri Administrator’a sunar. Administrator’un Network ortamındaki yönetimsel işlevi :
Merkezi yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Netvvork kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak kullanıcılara sunumu sağlanır.
Kullanıcıların yönetimi: Active Directory içerisinde organizasyon birimlerine uygulanılabilen Group Policy ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya aktarılır.
Yönetimsel kontroller için delege atanması: Active Directory, Administrator’ın organizasyon içerisindeki bir kullanıcıya veya gruba kısmen veya tamamen yetki vermesine olanak tanır.
Active Directory; Administrator’ın Netvvork kaynaklarını merkezi olarak yönetmesine olanak sağlar.
Group Policy ayarları: Site, Domain veya OU yapılarına uygulanabilir. Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.