Active Directory Nedir? Domain Controller Nedir?
- Konbuyu başlatan Ghost Killer
- Başlangıç tarihi
- 20 Mar 2022
- 1,866
- 770
- 28
Ellerinize saglik
Selamlar, bu konumuzda Active Directory Nedir? Domain Controller Nedir? Temel Mantıkları Nelerdir? Nasıl Çalışırlar? Olumlu ve Olumsuz Yanları Nelerdir? gibi pek çok başlıktan bahsedeceğiz.
Active Directory Nedir?
Active Directory, Microsoft tarafından özellikle Windows Server ve Client işletim sistemlerini merkezi olarak yönetebilmek amacıyla tasarlanmış; içerisinde sunucu, client bilgisayar, kullanıcı ve yazıcı gibi bilgileri tutan bir dizin hizmetidir. Kısaca; Active Directory yönetimi merkezileştirir ve kolaylaştırır.
İlk olarak Windows Server 2000 ile yapılandırılmıştır. Microsoft hemen hemen tüm ürünlerini Active Directory yapısıyla entegre olacak şekilde piyasaya sürmektedir, örneğin Microsoft Exchange için Active Directory zorunludur.
Active Directory genel ağ altyapısına işlevsellik, yönetim ve raporlama olanağı sunar. En küçük firmadan çok büyük şirketlere kadar özellikle kullanıcı yönetiminde esneklik kazandırır.
Kullanıcılar Active Directory üzerine üye edildikten sonra 3rd uygulamalar da dahil birçok uygulama ve servise tek kullanıcı adı şifre üzerinden bağlanabilir. Active Directory servislerinden olan Group Policy sayesinde Active Directory ye üye olan tüm kullanıcılara çeşitli yetkilendirme ve kısıtlama yapılabilir.
Active Directory kullanımına örnek vermek gerekirse; kullanıcının bilgisayar giriş şifrelerini yönetebilme, file server, mail, crm gibi uygulamalara aynı kullanıcı adı ve şifresiyle giriş yapılmasına olanak sağlar.
Group Policy kullanımına örnek vermek gerekirse; kullanıcının IP değiştirmesini engelleme, habersiz program yüklemeyi engelleme ve ya Windows update lerin merkezi bir yerden yüklenmesine olanak sağlanması gibi.
Active Directory servisinin yapılandırıldığı sunucular “Domain Controller” olarak adlandırılır. Bir Domain’de bir veya ihtiyaca göre onlarca Domain Controller olabilir. Ufak çapta bir organizasyona (LAN) bir Domain ve iki Domain Controller yetecekken, farklı fiziksel lokasyonlara yayılmış büyük bir işletme için (WAN), her bir bölge başına bir veya iki Domain Controller daha uygun olacaktır. Bir Domain’e birden fazla Domain Controller yerleştirmenin amacı hem hata toleransı sağlamak hem de Domain Controller’lar arasında yük dağılımı yapmaktır.
Active directory bileşenleri:
Logical components
Forest -> Active Directory domainlerinden mantıksal yapıdaki en dış katmandır. İçerisinde bir ya da birden fazla domain yapısı barındıran yapıya forest denir. Forest içerisinde kurulan ilk domaine Forest root domain adı verilir.
Schema ->Bütün active directory nesnelerinin bilgilerini tutan yapıdır.
Domain ->Domain kullanıcıların ve ağa dahil olan cihazların yönetimini merkezileştiren yapıdır. Active Directory de bu yapı üzerinde çalışan bir servistir.
Site ->Active Directory domainleri içerisindeki, DCler arası replikasyon trafiğini sağlamak ve kontrol altına almak için oluşturulmuş yapılardır.
Subnet -> Alt ağ dır, IP yönetimini daha verimli yapabilmek için kullanılır.
Organizational unit ->Domain içerisindeki nesneleri organize etmeyi sağlayan birimleridir. Organizational Unitler kullanıcı hesapları, grup hesapları, bilgisayar hesapları, yazıcılar, paylaşılmış klasörler gibi nesneleri içerirler.
Physical components
Domain controller ->Active Directory veritabanının bir kopyasını (replica) üzerinde bulunduran sunucudur.
Global catalog server -> Active Directory Forest’ında bulunan her nesneyi barındıran veritabanıdır. active directory nesnelerinin yer bilgilerini tutan yapıdır. İlk kurulan DC aynı zamanda global katalog sunucusudur. Sonradan kurulan DC’ lerde de manuel olarak Global Katalog özelliği açılabilir.
Read Only Domain Controller -> mevcut Active Directory sunucusu içerisinde bulunan objelerin bir kopyasını üzerinde barındıran bir etki alanı denetleyicisidir. Active Directory sunucuları gibi yazma hakkına sahip değildir. Yani, RODC sunucusu üzerinde herhangi bir kullanıcı veya grup oluşturma ve herhangi bir obje silme işlemi gerçekleştirilememektedir.
Bilgisayarlar ve sunucular tekil olarak çalışabilirler ve aynı şekilde ayrı olarak da yönetilebilirler. Ancak günümüzdeki siber yapılar gün geçtikçe genişlemekte ve içerisindeki cihaz sayıları artmaktadır. Bu artış sebebi yüzünden bahsi geçen tüm sistemlerin tekil olarak yönetimi çok zorlayıcı bir işlem haline gelecektir. Bu sebepten ötürü yönetim işlemini kolaylaştırmak adına sistemleri olabildiği kadar merkezi hale getirerek kontrolü ve bütünlüğü sağlamamız gerekmektedir. Domain ortamı kurulması sayesinde tüm sistem tek bir çatı altında toplanmaktadır.
Bu yapıyı kurumak için merkezde bir sunucu kurmamız gerekmektedir. Windows server işletim sisteminin içinde bulunan servisler bu yapı kurulabiliyorken Linux tabanlı işletim sistemlerinde de benzer servisler (samba vb.) kurulabilmektedir. Ayrıca Microsoft'un bulut platformu olan Azure ile Active Directory sistemini bulut üzerinden de yapabilmekteyiz. Active Directory’nin kendi içerisinde yer alan bazı bileşenler vardır. Bunlardan bahsetmek gerekirse;
Domain Controller (DC) Nedir?
Resim 1: Domain Controller
Domain Controller, bilgisayar sistemlerindeki erişim isteklerini yanıtlayan ve sistemler üzerindeki kullanıcıları doğrulayan bir sistemdir. Domain yapıları kullanıcıların ve kullanıcı bilgisayarlarının bir arada aynı ağ içerisinde hiyerarşik bir şekilde çalışmasını sağlayan yapılardır. Active Directory’nin bu bileşeni, domain yapısının beynidir.
Domain Controller’ın ana sorumlulukları ağa erişen kullanıcıların kim olduğunu, kullanıcıların doğrulanmasını ve hangi kullanıcının nereye erişebileceğini ya da erişemeyeceğini belirlemektir. Kullanıcılar, kendisine verilen yetki kadar sistemde hak sahibidir. Domain Controller’ın önemli olmasının sebebi ağdaki akan verileri tanımlayan ve doğrulayan bir sistemdir. Bu verilerin içerisinde tüm bilgisayarların ismi, kullanıcı adları gibi önemli bilgiler vardır. Bu da Domain Controller’ı saldırganları kendisine çeken sistemlerden birisi haline getirmekte.
Domain Controller’ın faydaları şu şekildedir;
Group Policy Object (GPO) Nedir?
Resim 2: Group Policy Object
Group Policy Object, sistemin belirlenen kullanıcılara nasıl gözükeceğini ve sistemin bu kullanıcılara nasıl davranacağını belirleyen grup ilke ayarlamalarının bir bütünüdür. Üç farklı GPO vardır. Bunlar;
DNS Server Nedir?
Resim 3: Domain Name System
Domain Name System yani kısaca DNS, internetin telefon defteri gibidir. Kullanıcılar internete bir site adı yazdıklarında (Google.com vb.) aslında sitenin adına değil, sitenin sunucusunun ip adresine giderler. DNS, sunucu ip adresine denk gelen adı tanımlar ve işlem yapan bilgisayarın bu adresi çözümlemesini sağlar.
DNS Sunucu yerel ya da dışarıda bir sunucu olabilir. İnternet üzerinde hizmette ve faaliyette bulunan bazı kuruluşların internete yayınladıkları DNS adresleri olabiliyor. (1.1.1.1, 8.8.8.8 vb.) Ayrıca DNS sunucusunu kendi sisteminizde de kurabilmektesiniz.
WSUS Nedir?
.gif)
Resim 4: Windows Update Services
Windows Server Update Services (WSUS), Microsoft tarafından sunulan ve Windows Server işletim sistemleri için güncellemeleri ve yamaları indirip yönetebilen ücretsiz bir eklentidir. Microsoft tarafından sağlanan çok çeşitli işletim sistemlerinin ve ilgili uygulamaların sürekli güncellenmesine yardımcı olur. Küçük ve orta ölçekli işletmelerin (KOBİ'ler) BT yöneticilerinin ağlarındaki bilgisayarlara yayınlanan güncellemelerin dağıtımını etkin bir şekilde yönetmelerini sağlar.
WSUS, mevcut sistemi analiz eder ve gerekli güncellemeleri belirler ve sistem yetkililerin kurumsal bir ortamda indirmeleri yönetmesine yardımcı olur. WSUS tarafından sağlanan güncellemelerden bazıları kritik güncellemeleri, tanım güncellemelerini, sürücüleri, güvenlik güncellemelerini, hizmet paketlerini, araçları ve düzenli geliştirmeleri içerir.
WSUS'nin grup ilkesi, yöneticilerin ağlarına bağlı iş istasyonlarını WSUS sunucusuna yönlendirmesine ve son kullanıcıların Windows Update'e erişimini kısıtlamasına olanak tanır, böylece yöneticilere ağ üzerinde tam kontrol sağlar. Otomatik indirmeler, BITS yardımıyla etkinleştirilir ve bant genişliği kullanımının optimize edilmesine yardımcı olur.
WSUS, işlemleri için .NET Framework, Microsoft Yönetim Konsolu ve İnternet Bilgi Hizmetini kullanır.
Active Directory Olumlu ve Olumsuz Yönleri
Active Directory Windows Server yapılarında kullanılan bir dizin servisidir ve içerisinde server, client, users, printer gibi bilgileri tutmaktadır. Active Directory servisiyle birlikte gelen Group Policy ile çeşitli kısıtlamalar yapılabilmekte ve kullanıcılar bu kısıtlamalara dahil edilebilmektedir. Merkezi olarak herhangi bir uygulamanın dağıtımını da gerçekleştirebiliriz. Kısaca tüm bileşenlerin tek bir etki alanında toplanması ile işlem kolaylığı ve erişilebilirlik sağlamak amaçlanmıştır. Active Directory Microsoft tarafından, ilk olarak Windows 2000 işletim sürümü ile piyasaya sürülmüştür. Günümüze kadar da gelişerek gelmiştir. Birçok kurum güvenli bir yönetim için Active Directory hizmetinden faydalanmaktadır. Bu servisin geriye uyumluluğu sayesinde de yeni bir sürüme geçiş işlemi kolay bir şekilde sağlanabilmektedir.
Domain Etki Alanı
Active Directory Özellikleri
-Yönetilebilirlik
-Ölçeklenebilirlik
-Genişletilebilirlik
-Güvenlik
-Diğer dizin servisleri ile birlikte çalışabilme
-Güvenli kimlik doğrulama ve yetkilendirme
-Group Policy Object(GPO) yönetimi
Active Directory Yapısı
Domain Controller: Domain yapısının kurulduğu ve her nesnenin veritabanını depolayan bilgisayarlara Domain Controller(DC) adı verilmektedir. Domain Controller kurulabilmesi için sunucu tabanlı işletim sistemine sahip bilgisayar gerekmektedir.
Yedeklilik (redundancy) ve yüksek erişilirlik (high availability) gibi nedenlerden dolayı en az iki Domain Controller kurulması önerilmektedir. Bu ihtiyacı Additional Domain Controller(ADC) sağlamaktadır. DC ve ADC hem writable hem de readable özelliktedir. Bunlara ek olarak bir de Read Only Domain Controller(RODC) vardır ki sadece readable özeliktedir. RODC kurulumundaki amaç ise birden fazla şubesi olan şirketlerde, fiziksel güvenliği sağlamak adına, bir Active Directory servisinin kurulmasını engellemektir. Böylece olası bir hatanın büyük bir soruna yol açmasının önüne geçilebilmektedir.
Domain: Domain kullanıcıların ve ağa dahil olan cihazların yönetimini merkezileştiren yapıdır. Active Directory de bu yapı üzerinde çalışan bir servistir.
Site: Önemli yapıtaşlarından biri olan Site, farklı coğrafyalarda bulunan Domain Controller yapılarının veri akışını optimize etmeyi sağlar. Bir kullanıcının farklı bir Site içerisinde yapacağı işlemler çok daha hızlı bir şekilde yürütülebilmektedir.
Forest ve Tree
Organizational Unit: Türkçe yapısal birim olarak adlandırılan ve merkezi yönetimimizi kolaylaştıran bir yapıdır. Domain içerisindeki kullanıcı, yazıcı ve bilgisayarları gruplandırmamıza yarar. Burada amaç uygulanacak policy etki alanını istediğimiz şekilde yönetebilmektir. Örneğin bir policy sadece belirli kullanıcılar için uygulanabilir.
Forest: Mantıksal olarak Domain yapılarının içinde bulunduğu yapıdır.Forest içerisinde kurulan ilk Domain, Root Domain adını almaktadır.
Tree: Aynı isim altında toplanan Domainler topluluğuna Domain Tree denilmektedir.Mevcut Domain Parent Domain, daha sonra eklenen Domainler Child Domain olarak adlandırılır ve bu eklemelerle mevcut Domain genişletilebilir.Aynı Tree içerisinde bulunan domainler, ortak bir isimlendirmeye tabidir.
Global Catalog: Global Catalog, Active Directory'deki her bir nesnenin anahtar bir bilgisini tutarak nesneye ulaşılması istenilen durumda kolayca bulunmasını sağlar. Her bir Domain de en az bir adet Global Catalog sunucusu bulunmalıdır. İlk kurulan Domain yapısında da otomatik yüklenmektedir.
Active Directory İçerisinde Bulunan Roller
Active Directory üzerinde beş adet rol bulunmaktadır.
Domain Naming Master: Bir domain kurulacağı zaman domain ismi bu rol tarafından onaylanmaktadır. Herhangi bir isim çakışmasını önlemektedir.
Schema Master: Active Directory üzerinde oluşturulan nesnelerin yapısını belirleyen roldür.
RID Master: Domain ortamına dahil edilen her nesnenin (unique) bir SID numarası vardır ve bu RID Master tarafından sağlanmaktadır. Böylece olası bir çakışmanın önüne geçilmektedir.
PDC Emulator: Domain ortamında zaman ayarının eşitliğini sağlar. Parola değişikliklerinden sorumludur.
Infrastructure Master: Domain ortamında nesnelerde gerçekleşen değişikliklerin güncellenmesinden sorumludur.
Active Directory Olumlu Yönleri
-Active Directory yönetimi merkezileştirmesi ve kolaylaştırması.
-Kullanıcılara grup bazında yetkilendirme ya da kısıtlama yapılması.
-Kullanıcılar tarafından zararlı uygulamaların yüklenmesinin engellenmesi.
-Kimlik denetimi sağlayarak şirket genelinde güvenliği sağlayabilmesi.
-Firewall ile tam entegre çalışabilmesi.
-Replikasyon teknolojisi ile Active Directory veritabanının ağ ortamında aktarılabilir olması.
Active Directory Olumsuz Yönleri
Active Directory her ne kadar faydalı ve gerekli olsa da güvenliğinin sağlanamadığı takdirde olumsuz sonuçlar doğurabilmektedir. Örneğin ele geçirilen bir kimliğin Domain Admin seviyesine çıkarılması çok kısa bir sürede gerçekleştirilebilmektedir. Bu da kurumumuzda veri kaybına neden olabilir.
Active Directory ile ilgili yeterli seviyeye erişememiş bir Domain Admin, sağlıklı kurulumun gerçekleştirilemediği bir Active Directory sunucusu ya da kimlik yönetiminin doğru yapılandırılamaması olumsuz sonuçlar ortaya çıkarabilir. Kurumdan ayrılan ve artık aktif olmayan kullanıcıların da sistemde kayıtlı kalması güvenlik açığına neden olmaktadır. Bu olumsuzluklara sebebiyet vermemek adına bilinçli bir Domain Admin olmak ve güvenlik yönünden sistemleri yeterli seviyeye ulaştırmak amaçlanmalıdır.
Her bilgisayarın, Server (sunucu) ya da Client (istemci) fark etmeksizin, kendi kendisinin sunucusu ve istemcisi olduğu WorkGroup ortamlarında merkezi bir yönetimden söz etmemiz mümkün değildir. WorkGroup ortamındaki her bir Standalone bilgisayarın yönetimini ilgili bilgisayar başında tek tek yapılandırmanız lazımdır ki bu da çok verimsiz bir iş işleyişi ortaya koyacak, güvenlik açıkları ortaya çıkaracak ve beraberinde de tam bir kaos doğuracaktır. Güvenlikli bir merkezi yapılandırmadan söz edeceksek bu, Domain ortamının kurularak, tüm sistemin tek bir çatı altında tutulması ile mümkün olabilir. Burada sizlere Kısaltmasını DC olarak söylemeye alıştığımız Domain Contoller (DC) kavramının ne olduğundan bahsedeceğiz.
Domain Controller (DC), başka bir ifade ile Etkli Alanı Yöneticisi, şirket yapınızdaki bilgisayar ağlarınızın, bilgisayar sistemlerinizin çatısını oluşturmaktadır. Bu çatıyı kurabilmek için; Server (sunucu) bilgisayar dediğimiz bir makinaya Windows Server ailesinden bir işletim sistemi kurarak, bu server (sunucu) bilgisayarı Domain Controller (DC) olarak yapılandırıp, bilgisayar sistemlerinizin çatısını oluşturur, tüm bilgisayar sistemlerinizi (diğer Server (sunucu) bilgisayarlar da dahil olmak üzere) bu Domain Controller (DC) üzerinden yönetirsiniz.
Domain Contoller ile tüm sistemin tek noktadan yönetiminin getirdiği fayda ve avantajlar
● Domain içerisindeki her Active Directory Object'in nesne bilgileri, Active Directory Database'inde (NTDS.dit) depolanır.
● Global Catalog sayesinde tüm Domain yapısının bilgisi kendi bünyesinde barındırılır.
● Active Directory Users and Computers ile tüm kullanıcı ve bilgisayar hesapları tek merkezden yönetilir ve Domain ortamındaki her Domain controller birbirleri ile replikasyon yaparak, yedeklilik sağlanır.
● Client (istemci) bilgisayarlardan gelen tüm isteklere cevap vererek, gerekli yönlendirmeleri yapar, Logon trafiğini yönetir.
● Her bir site'ye kurulacak Ek Etki Alanı Yöneticisi (Additional Domain Controller) sayesinde Active Directory Sites and Services ile Logon işlemleri sadece ilgili site üzerinden yapılarak, performans sağlanır.
● Group Policy (grup ilkesi) sayesinde Domain (ektki alanı) içerisinde güvenlik ilkeleri oluşturularak, güvenlik sağlanır.
● DNS Server sayesinde Domain ortamındaki Host Name-IP, IP-Host Name çözümlemeleri yapılarak, daha performanslı bir iletişim sağlanır.
● DHCP Server sayesinde Network ortamındaki tüm bilgisayarların IP Adresi yönetimleri merkezi konumdan yapılır.
İki çeşit Domain Controller (DC) yapısından bahsedebiliriz.
Primary Domain Controller (PDC)
Additonal Domain Controller (ADC)
Primary Domain Controller (PDC)
Windows Server ürün ailesinden bir işletim sistemi kurulduktan sonra, Active Directory Domain Services Rolü kurulumu gerçekleştirirerek, Domain Controller olarak yapılandırmak için Promote edilen, yani Active Directory Kurulumu yapılan ilk server (sunucu) bilgisayar, Primary (Master) Domain Controller (DC) olarak yaşamına başlar.
Additonal Domain Controller (ADC)
Primary Domain Controller (PDC) kurulumu yapıldıktan sonra, ortamınızda kuracağınız her Server (Sunucu) Bilgisayar, ya Member Server ya da yine <strong>Active Directory Domain Services rolü kurulumu gerçekleştirerek, Domain Controller olarak yapılandırmak için Promote edilen, yani Active Directory Kurulumu yapılan her bir Ek Etki Alanı Yöneticisi server (sunucu) bilgisayar, Additonal Domain Controller (ADC) görevi yürütür.
Bir Domain ORTAMINDA sadece bir tane Primary (Master) Domain Controller (DC) olabilir ancak birden fazla Additonal Domain Controller olabilir. Yedeklilik (Redundancy), yüksek erişilirlik (High Availability-HA) gibi çeşitli nedenlerle bir Domain üzerinde en az 3 tane Domain Controller (Ör. 1 primary & 2 additional) kurulması tavsiye edilir.
Konumuzu okuduğunuz için teşekkürler, iyi forumlar dilerim.
Yorumlarınız için teşekkürler.
