Ne sağlar?

• Network’ün domain olarak adlandırılan birimler halinde düzenlenmesini sağlar.

• Kullanıcıve grupların listesini merkezi olarak tutar.

• Kullanıcı ve grupların ancak gerekli izinlere sahip olmasıdurumunda kaynaklara erişmesini ağlar.

• Domain içindeki nesnelere birçok özelliklerinden erişimi sağlar.

• Domainin OU adı verilen alt parçalara bölünmesini sağlar. Bu yönetimin delege edilmesini sağlar.

Kullanıcı Hesapları :

Active Directory Kullanıcıları ve Bilgisayarları'nda bulunan Kullanıcılar kapsayıcısı, üç yerleşik kullanıcı hesabını görüntüler: Administrator, Guest ve HelpAssistant. Etki alanını oluşturduğunuzda, bu yerleşik kullanıcı hesapları otomatik olarak oluşturulur.

Her yerleşik hesabın farklı hak ve izin birleşimi vardır. Etki alanındaki en kapsamlı haklar ve izinler Administrator hesabına aittir; Guest hesabının hakları ve izinleri ise sınırlıdır.Windows Server 2003 çalıştıran etki alanı denetleyicilerindeki her bir varsayılan kullanıcı hesabı açıklandı.

1. Administrator : Etki alanı üzerinde tam denetim hakkına sahiptir ve kullanıcılara gereken kullanıcı haklarını ve erişim denetimi izinlerini atayabilir. Bu hesap, yalnızca yönetici kimlik bilgileri gerektiren görevler için kullanılmalıdır.
2. Guest : Etki alanında gerçek hesapları olmayan kişiler tarafından kullanılır. Hesabı devre dışı bırakılmış (ancak silinmemiş) bir kullanıcı da Guest hesabını kullanabilir. Guest hesabı parola gerektirmez.
3. HelpAssistant : Uzaktan Yardım oturumunu açmak için kullanılan birincil hesap. Bu hesap, Uzaktan Yardım oturumu istediğinizde otomatik olarak oluşturulur ve bilgisayara erişimi sınırlıdır. HelpAssistant hesabı Uzak Masaüstü Yardım Oturumu Yöneticisi hizmeti tarafından yönetilir ve bekleyen bir Uzaktan Yardım isteği yoksa, otomatik olarak silinir.

Veri Şifreleme Standardı (DES) :

Basit veya karışık kripto sistemlerinin kullanımı sonucu oluşturulmuştur. Sistemler arasında oluşturulan bir bağlantı sonrası gönderilmek istenen veri kabaca, ilk haliyle şifrelenir. Şifrelenen veri karşı sisteme ulaştığı anda kod çözücüler sayesinde çözülür.

Veri Şifreleme Standardı'na (DES) gerek duyuyorsanız, Bu hesap için DES şifreleme türünü kullan seçeneğini belirleyin. DES, MPPE Standart (40 bit), MPPE Standart (56 bit), MPPE Yüksek (128 bit), IPSec DES (40 bit), IP Sec 56 bit DES ve IPSec 3'lü DES (3DES) de içinde olmak üzere, çok sayıda şifreleme düzeyini destekler.

Domain Modeli :

Dizin sistemiyle yönetilen networke domain adı verilir. Workgroupların aksine merkezi bir oterite sağlarlar. Administrator’lar network üzerindeki kullanıcı ve kaynakları tanımlayarak domaini oluştururlar. Böylece kullanıcıların domain üzerindeki bir kaynağa erişebilmeleri için Administrator’ın kendisine izin vermesi gerekir. Domaine girmek için geçerli bir kulanıcı adına ihtiyaçvardır.

Özellikleri :

• Merkezi Veri Depolama

• Ölçeklenebilirlik

• Genişletilebilirlik

• Yönetilebilirlik

• Domain Name System (DNS) ile entegrasyon

• Client yapılandırma yönetimi

• Politika tabanlı yönetim

• Bilginin kopyalanması(replication)

• Esnek ve güvenli kimlik doğrulama ve yetkilendirme

• Güvenlik entegrasyonu

• Diğer dizin servisleriyle birlikte çalışabilme

• İmzalanmış ve şifrelenmiş LDAP trafiği

Desteklediği Teknolojiler

• DHCP (Dynamic Host Configuration Protocol)

• DNS (Domain Name System)

• LDAP (Lightweigth Directory Access Protocol)

• Dizin sistemlerine standart olarak erişmeyi sağlar.

• Örnek: CN=halil, OU=bim, DC=sakarya DC=edu DC=tr

• CN=Common Name

• DC=Domain Component

• OU=Organizational unit

Kerberos :

Domain içinde kimlik doğrulaması için kullanılan standart bir protokoldür. Kerberos protokolü kullanıcıyı ve network servislerini tanımlar. Network servislerine erişim için ticket bilgisini kullanır. Bu bilgiler şifrelenmiş verilerdir. Bu servisin önemli bir kısmını Key Distribution Center (KDC) oluşturur. KDC, her domain kontroler üzerinde AD servisinin bir parçası olarak çalışarak parolaları ve diğer hesap bilgilerini saklar.

Active Directory’e Geçmek :

• Active Directory kurulumu adlandırmak olmak gerektirir.

• Active Directory tasarımıve kısımda ele alınır.

• Mantıksal Tasarım

• Fiziksel Tasarım

Mantıksal Tasarım :

• Domain Kullanıcılarını ve bilgisayarlarını tanımlayarak mantıksal tasarım başlar. Mantıksal tasarımın amacı yönetim için gerekli bileşenlerin oluşturulmasıdır.

• Mantıksal tasarımda şu bileşenler yer alır:

• Forest

• Tree

• Domain

• Organizational Unit

Forest :

Bir organizasyon için tasarlanan networke en geniş anlamda verilen addır. Forestlar içinde tree’ler ve domain’ler bulunur. Bu domainler bir yada daha çok tree olarak organize edilebilir.Forestlar aşağıdaki özellikleri taşırlar:

• Forest’taki tüm domain’ler ortak bir şemayı paylaşırlar.

• Forest’taki tüm domain’ler ortak bir global kataloğu paylaşırlar.

• Forest’taki tüm domain’ler iki taraflıgüven ilişkileriyle birbirine bağlanmışlardır

Tree :

Forest içindeki domainler belli bir hiyerarşi ve adlandırma sistemi içinde treelerden oluşur. Tree’lerde adlandırma bir root’tan başlayarak ilerler.

• FurkanKARTAL.Com.TR

– Kutuphane.FurkanKARTAL.Com.TR

• VisualBasic.Kutuphane.FurkanKARTAL.Com.tr

Var olan bir domain’e bir ya da daha çok domain ekleyerek oluşturulan gruplamaya ya da hiyerarşik düzene TREE denir.

Domain :

Active directory mantıksal tasarımın temel bileşeni domain’dir. Domain, ortak yönetimi paylaşan, sınırı olan, belli bir adı olan network’tür. Domain’ler kendi güvenlik sınırıda oluşturur ve kendi yöneticileri tarafından yönetilirler. Domainler aynızamanda bir replikasyon birimidirler. Domain içindeki bütün domain kontroler bilgisayarlar, kendi domainlerinin veritabanının bir kopyasınıiçerirler multi master sistemiyle birbirine kopyalarlar.

Organizational Unit :

OU’lar domain içinde kullanıcı, grup ve bilgisayarların yer aldığı konteynerlardır.OU’ların kullanım alanları:

• Yönetimi delege etmek

• Group policy sayesinde kısıtlamalar yapmak

• Nesneleri saklamak

Fiziksel Tasarım :

Mantıksal tasarım domain ve OU’ların şirketin yönetim amacına uygun olarak oluşturulmasını içerirken, fiziksel tasarım tümüyle ağın alt yapısıyla ilgilidir.Yani networkün fiziksel açıdan tasarımı, yerleşimi, WAN teknolojileri, kullanılan protokoller, sunucular ve bilgisayarların yerleşimi tasarlanır.

Site Kavramı :

Site bir IP subnettir. IP adresi sistemi içinde oluşturulmuş bir network’tür. Bu anlamda site, çok güvenilir ve hızlıbağlantılarla birbrine bağlanabilen bir yada daha çok IP subnet’i kombinasyonu olarak oluşur. Genel olarak site LAN ile aynı sınırlara sahiptir. Siteler birer IP adresiyle tanımlanır:

• İstanbul sitesi: 192.168.2.1/24

Domain Controller :

Domain’de directory veritabanının bir kopyasını barındıran Windows Server 2003 işletim sisteme sahip bilgisayara domain controller denir. Fonksiyonları ;

• Güncellenen bilgileri diğer DC’lerden replike eder.

• Kullanıcıların domaine logon olmasını sağlar.

• AD multi-master replikasyonu kullanır. Bunun anlamı bütün DC’ler üzerinde update işlemi yapılabilir.

• Forest domainleri hakkında bilgi sahibi olur bu durum da global katalog olarak adlandırılır.

Global Catalog :

Birden çok domainli bir forest’da bütün domainler hakkında sorgu yapmak için Global Catalog kullanılır. Global Catalog olan yada rolünü üstlenen DC, directory’de yer alan tüm domainlere ilişkin temel bilgilere sahiptir. Böylece GC’ye ulaşan bir client, bütün domainlerin nesnelerini sorgulama şansına sahip olur. Farklı domainlerdeki kullanıcıların faklı domainlere logon olmasını sağlar.

Trust İlişkileri :

• Birden çok domainden oluşan bir forest içinde domainler arasındaki ilişkiye güven (trust) denir. Trustlar sayesinde bir domaindeki kullanıcı diğer domaindeki gruba üye olabilir yada kaynak paylaşımına erişebilir.

• Domain Güven ilişkileri şu şekilde sınıflanır:

• One-way

• Two-way

• Transitive

• Non-transitive

Replikasyon :

Replikasyon iki DC arasındaki otomatik kopyalama işlemine verilen addır. Replikasyon süreci söyle çalışır:

• Bir DC üzerinde AD nesnesi güncellenir.

• 5 dak. Change Notificasyon süresi beklenir. Bu süre içinde güncellemeler de replike edilmek üzere biriktirilir. Böylece her değişiklik için bir replikasyon yapılmamış olur.

• Süre dolduğunda, replikasyon yapılır. Hedef DC replikasyon topolojisine göre otomatik olarak seçilir.

Kurulumu :

• Active Directory kurulumu için dcpromo.exe kullanılır. Dcpromo.exe programı Active Directory Yükleme Sihirbazını çalıştırır. Aynı şekilde Active Directory'nin kaldırılması için de dcpromo.exe programı kullanılır.

• dcpromo.exe

• Active Directory kuruluşu ile yeni bir forest oluşturulur. Root domain ve ilk domain kont­rolör.

Bu işlem adım-adım şu şekilde yapılır:

• Yeni domain için bir domain kontrolör ya da mevcut bir domaine eklenecek diğer domain kontrolörler.

• Yeni bir domain tree ya da child domain.

• Yeni bir forest ya da mevcut forest'e katılım.

• Bütün bu işlemler Active Directory Yükleme Sihirbazı tarafından düzenlenir. Kuruluş sırasında şu işlemler yerine getirilir.

• TCP/IP kuruluşu ve konfigürasyonu kontrol edilir.

• DNS kuruluşu ve konfigürasyonu kontrol edilir.

• DNS adının NETBIOS adı üretilir.

• Administrator izini kontrol edilir

Active Directory ile yüklenen programlar :

• Active Directory Users and Computers

• Active Directory Sites and Services

• Active Directory Domain and Trusts

Sonuç :

• Bir çok organizasyonun “Directory Servislerinin” önemini anlamasıyla kullanımda yaygınlaşma

• Kullanıcı, grup haklarının yönetiminde kolaylık ve bir standart sağlamak
• Kolay erişim (LDAP, ADO sorgulaması)
• Ağ sisteminin genişletilmesinde kolaylık

· Daha önceden hak zorluklarından gereksiz bilgisayarlar bile ortaya çıkabiliyordu

• Merkezi yönetim
• TCO (Total Cost Ownership) düşük olması
• Uygulama geliştiricileri için esnek

· Script diller, internet üzerinden erişim

• Microsoft firması bu sinerjiyi daha da ileri götürerek bu konuda hardware firmalarıyla ortaklaşa çalışmalar yapmakta ve bu teknojiyi daha da geliştirmekte
• Diğer platformlar tarafından bu teknolojide geliştirilen standartların desteklenmesi (LDAP vb.)
• Müşteri için faydaları

· Daha kolay yönetim

· Robust dağıtık yönetim çerçevesi

· Anlamlı birimler halinde delege edilmiş ağ yönetimi

· Gereksiz ağ kaynaklarının kullanımı azaltma

· Ağ kaynakları arasında tutarlı davranan uygulamaların olması