Active Directory Temel Kavramları (tr-TR)

Merhabalar;

Bu makalemde sizlere Active Directory kavramlarını anlatacağım.Bildiğiniz üzere Domain Kavramı Hayatımıza Windows Server 2000 ile girdi ve günümüze kadar gelişti.Microsoft tarafında dizin kavramına bizler Active Directory diyoruz.Domain kurabilmek için Windows Server (2000,2003,2008,2012 & R2) işletim sistemlerinden birini kullanıyor olmamız gerekmektedir.
Active Directory İçerisindeki kavramlar ;

  • Forest
  • Tree
  • Domain
  • Domain Controller (DC)
  • Site
  • Organizational Unit (OU)

Yazmış olduğumuz ilk dcpromo komutu ile birlikte aynı zamanda forest yapımızı oluşturmuş oluyoruz. Child Domain ise üstteki domainin adının devamını alır.Örneğin sube1.hasan.com. Aşağıya doğru dallanıp budaklanan bu yapıya da Tree denir.

ac1

Eğer hasan.com dan farklı isim kullanmak istersem örneğin dimdik.com o zaman farklı bir Tree ye başlamam gerekmektedir.ac2

Yukarıda dimdik.com isimli yeni bir Tree ye başlamış olduk.Genelde Aynı firmaların yan şirketleri bu şekilde yapılanmaya giderler ve genelde aynı admin tarafından yönetilirler. Biz yukarıda bir ortam yaratmış olduk,bütün bu ortama verilen isme de Forest denir.ac3

 

Bildiğimiz gibi her domain in kendi admini ve Domain Admins Grubu vardır.Yani hasan.com Domain adminleri vardır aynı zamanda sube1.hasan.com a ait de Domain Adminleri  vardır.Peki bu domain adminler nerelere karışabilirler ? Domain Admin denildiğinde direk kendi domaininden sorumlu olduğunu anlıyoruz .Yani hasan.com Admin i sadece o domaini,sube1.hasan.com admini sube1 den sorumludur.Yukarıdaki yapıda ismen aşağıda olması hiyerarşik olarak aşağıda olduğu anlamına gelmez.Bütün Forest’ı yönetebilecek olan Admin ise Enterprise Admin‘dir.Enterprise Admin sadece Forest Root Domain üzerinde vardır.Bizim ilk domainimiz hasan.com olduğu için Enterprise Admin Grubu oradadır. Hasan diye bir kullanıcı oluşturup Enterprise Admin grubuna üye yaparsam bu kişi bütün forest ı yönetebilir.
İstersek bir domainde birden fazla Domain Controller barındırabiliriz.Bunu yapmamızdaki amaç ise hata toleransını arttırmaktır.Burada önemli olan ise ilk DC’nin özel olmasıdır.İlk oluşturduğumuz Domain Controller lar üzerinde  bazı roller bulunmaktadır ve ilk olarak hepsi burada yer almaktadır .Bu rolleri diğer Dc lere de dağıtabiliyoruz fakat hepsi şunda olsun diyemiyoruz.
Örneğin oluşturduğumuz ilk Dc çökerse veya ulaşılamaz ise kullanıcıların log on olamadığını,saat ayarlarının bozulduğunu görürüz. Fakat diğer oluşturduğumuz Dc ler için durum böle değil,Şu şekilde açıklayalım bu durumu, Root Dc ,dışındaki bir Dc çöktüğünü varsayalım. bu durumda tüm yapı değil sadece o DC’de log on olan kullanıcılar etkilenir, geç log on olma gibi problemler yaşanır fakat diğer DC lere yönlendirme yapılarak bu durum giderilebilir.

SITE KAVRAMI

Birden çok şubemizin olduğunu ve herbirinde DC olduğunu düşünelim.İşletmemizin İzmir Ankara ve İstanbul şubeleri olsun.Amacımız ise her kullanıcı  kendi tarafında log on olsun.Aksi taktirde İzmir kullanıcısı İstanbul’da oturum açarsa ,log on da gecikmeler olabilir.Varsayılan ayarlarda değişiklik yapmazsanız tek bir site oluşur.Yani İstanbul,İzmir ve Ankara kullanıcıları aynı yerdeymiş gibi gözükür.Bu durumda İzmir’deki kullanıcının İstanbul veya Ankara’da oturum açmasına sebep olabilir.Her kullanıcının kendi lokasyonunda oturum açmasını sağlamak için ortamı Site lara bölmeliyiz.Yani kullanıcılara İzmir,Ankara ve İstanbul Siter ları olduğunu göstermeliyiz.Kullanıcıların nerede olduğunu göstermek için işaretçi koyarız.Örneğin bir kullanıcı LapTop ile  İzmir’den Ankara’ya gittiğinde ip’si değişir.Bizde bu sayede lokasyonunun değiştiğini anlarız ve Ankarada log on olmasını sağlamış oluruz.Buradaki işaretçi ise ip’dir .


ORGANIZATIONAL UNIT KAVRAMI

Yapımızı yönetmeye çalıştığımızda Computers ve Users diye klasör karşımıza geliyor.Örneğin yapımda 500 kullanıcı olsun.Bütün kullanıcılarımız Users Klasörü altında oluşmuş olacak ve işletmemizin Muhasebe ,İK ve Teknik gibi bölümleri olsun. Ben Muhasebe grubuna Paint programı kullanımını yasaklamak istiyorum fakat bütün kullanıcılar aynı klasör altında oluştuğu için yapacağım ayar 500 kullanıcı içinde geçerli olur. Bu yüzden yapımızı Muhasebe OU ,İK OU,Teknik OU diye ayırıyoruz.Böylece Muhasebe ile ilgili bir yasaklama uygulamak istediğimizde Muhasebe OU’suna şu yasak diyebiliyoruz. Organizational Unit’in diğer avantajı ise herhangi bir kullanıcıya Delegation(yetkilendirme) yapabiliyor olmamızdır.Örneğin hasan kullanıcısını yetkilendirerek Muhasebe OU’sundaki kullanıcıların şifrelerini değiştirebilmesi için yetkilendirebiliyoruz.
Ou larımızı daha düzenli oluşturmamız için bazı yöntemler mevcuttur ;

  • Location
  • Organization
  • Location –> Organization
  • Organization –> Location

1) Locationac4

 

2)Organization

ac5

3)Location –> Organizationac6

4) Organization –> Locationac7

Yukarıda gördüğünüz gibi OU lar yapımızı daha düzenli hale getirmek için çok önemlidir ve aynı zamanda OU lara Group Policy ayarlarını uygulayabiliyoruz bu sayede karmaşayı engellemiş oluyoruz. Aksi olsaydı yaptığımız bir kural bütün kullanıcıları etkileyecekti , şimdi ise istediğimiz OU ya gerekli kuralı atayabiliriz.

Umuyorum Faydası Dokunmuştur.

Hasan DİMDİK

tat

Leave your vote

0 points
Upvote Downvote

Comments

0 comments

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.