ACTIVE

DIRECTORY
Active Directory Temelleri

HALİL ŞEN –FCYD

Sistem Yönetimi Uzmanı
Konular:
„ Active Directory Nedir?
„ Active Directory Ne Sağlar?
„ Active Directory Domain Modeli
„ Active Directory’nin Özellikleri
„ Desteklediği teknolojiler
„ Active Directory’e Geçmek
„ Mantıksal Tasarım
„ Forest
„ Tree
„ Domain
„ Organizational Unit
„ Fiziksel Tasarım
„ Site Kavramı
„ Domain Controller
„ Global Catalog
„ Trust İlişkileri
„ Windows Server 2003 Trust’ları
„ Replikasyon
„ Replikasyon Sistemleri
„ Shema Kavramı
„ AD veritabanı
„ Directory Partition’ları
Active Directory nedir?
Network üzerindeki nesneleri
tutar.
Network üzerindeki nesneleri
Active yönetmek için directory servisleri
tasarlanmıştır
Directory

Merkezi Yönetim Dizin Hizmetleri İşlevleri

„Tek bir noktadan „Organizasyon

yönetim
„Yönetim
„Kullanıcılarıntek bir „Kontrol
oturumla dizin
kaynaklarına erişebilmesi
 Active Directory Ne Sağlar?
„ Network’ün domain olarak adlandırılan birimler halinde
düzenlenmesini sağlar.
„ Kullanıcı ve grupların listesini merkezi olarak tutar.
„ Kullanıcı ve grupların ancak gerekli izinlere sahip olması
durumunda kaynaklara erişmesini sağlar.
„ Domain içindeki nesnelere birçok özelliklerinden erişimi
sağlar.
„ Domainin OU adı verilen alt parçalara bölünmesini
sağlar. Bu yönetimin delege edilmesini sağlar.
 Active Directory dizin sistemi

Active Directory dizin sistemi network’ü yönetmeyi sağlar.

Active Directory
veritabanı
Active Directory Domain Modeli
„ Dizin sistemiyle yönetilen networke domain
adı verilir. Workgroupların aksine merkezi
bir oterite sağlarlar. Administrator’lar
network üzerindeki kullanıcı ve kaynakları
tanımlayarak domaini oluştururlar. Böylece
kullanıcıların domain üzerindeki bir kaynağa
erişebilmeleri için Administrator’ın kendisine
izin vermesi gerekir. Domaine girmek için
geçerli bir kulanıcı adına ihtiyaç vardır.
 Active Directory Domain Modeli
.

Bluehat.com

ankara.bluehat.com
istanbul.bluehat.com izmir.bluehat.com

fatih.istanbul.bluehat.com
 Active Directory’nin Özellikleri
9 Merkezi Veri Depolama
9 Ölçeklenebilirlik
9 Genişletilebilirlik
9 Yönetilebilirlik
9 Domain Name System (DNS) ile entegrasyon
9 Client yapılandırma yönetimi
9 Politika-tabanlı yönetim
9 Bilginin kopyalanması (replication)
9 Esnek ve güvenli kimlik doğrulama ve
yetkilendirme
9 Güvenlik entegrasyonu
9 Diğer dizin servisleriyle birlikte çalışabilme
9 İmzalanmış ve şifrelenmiş LDAP trafiği
 Desteklediği teknolojiler
„ DHCP (Dynamic Host Configuration Protocol)
„ DNS (Domain Name System)
„ LDAP (Lightweigth Directory Access Protocol)
Dizin sistemlerine standart olarak erişmeyi sağlar.
Örnek: CN=halil, OU=bim, DC=sakarya DC=edu DC=tr
CN=Common Name
DC=Domain Component
OU=Organizational unit
Desteklediği teknolojiler
„ Kerberos v5 : Domain içinde kimlik
doğrulaması için kullanılan standart bir
protokoldür. Kerberos v5 protokolü
kullanıcıyı ve networkservislerini tanımlar.
Network servislerine erişim için ticket
bilgisini kullanır. Bu bilgiler şifrelenmiş
verilerdir. Bu servisin önemli bir kısmını
Key Distribution Center (KDC) oluşturur.
KDC, her domain kontroler üzerinde AD
servisinin bir parçası olarak çalışarak
parolaları ve diğer hesap bilgilerini saklar.
Active Directory’e Geçmek
„ Active Directory kurulumu başta domain
adlandırmak olmak üzere bir dizi işlem
gerektirir.
„ Active Directory tasarımı ve gelişme süreci iki
kısımda ele alınır.
„ Mantıksal Tasarım
„ Fiziksel Tasarım
Mantıksal Tasarım

Testsirket.com

OU
OU OU
Org1.Testsirket.com Org2.Testsirket.com
Mantıksal Tasarım
„ Domain Kullanıcılarını ve bilgisayarlarını
tanımlayarak mantıksal tasarım başlar.
Mantıksal tasarımın amacı yönetim için
gerekli bileşenlerin oluşturulmasıdır.
„ Mantıksal tasarımda şu bileşenler yer alır:
„ Forest
„ Tree
„ Domain
„ Organizational Unit
Forest
„ Bir organizasyon için tasarlanan networke en geniş
anlamda verilen addır. Forestlar içinde tree’ler ve
domain’ler bulunur. Bu domainler bir yada daha çok
tree olarak organize edilebilir.
„ Forestlar aşağıdaki özellikleri taşırlar:
„ Forest’taki tüm domain’ler ortak bir şemayı paylaşırlar.
„ Forest’taki tüm domain’ler ortak bir global kataloğu
paylaşırlar.
„ Forest’taki tüm domain’ler iki taraflı güven ilişkileriyle
birbirine bağlanmışlardır.
 Forest
firma.com

firma2.com
b1.firma.com a1.firma.com

a1.firma2.com

b1.firma2.com
b2.b1.firma.com

b2.b1.firma2.com
Tree
„ Forest içindeki domainler belli bir hiyerarşi ve
adlandırma sistemi içinde treelerden oluşur.
Tree’lerde adlandırma bir root’tan başlayarak
ilerler.
Sakarya.edu.tr
Muhendislik.sakarya.edu.tr
Bilgisayar.mühendislik.sakarya.edu.tr
Var olan bir domain’e bir ya da daha çok
domain ekleyerek oluşturulan gruplamaya ya
da hiyerarşik düzene TREE denir.
Domain
„ Active directory mantıksal tasarımın temel
bileşeni domain’dir. Domain, ortak yönetimi
paylaşan, sınırı olan, belli bir adı olan
network’tür. Domainler kendi güvenlik sınırıda
oluşturur ve kendi yöneticileri tarafından
yönetilirler. Domainler aynı zamanda bir
replikasyon birimidirler. Domain içindeki
bütün domain kontroler bilgisayarlar, kendi
domainlerinin veritabanının bir kopyasını
içerirler multi master sistemiyle birbirine
kopyalarlar.
Organizational Unit
„ OU’lar domain içinde kullanıcı, grup ve
bilgisayarların yer aldığı konteynerlardır.
„ OU’ların kullanım alanları:
„ Yönetimi delege etmek
„ Group policy sayesinde kısıtlamalar yapmak
„ Nesneleri saklamak
 Domain Modeli
yönetici

Fc-holding.com
Dosyalar
Kullanıcılar

Izmir
Printerlar

Satış OU’su
Satış Muh
Fiziksel Tasarım
„ Mantıksal tasarım domain ve
OU’larınşirketin yönetim amacına uygun
larak oluşturulmasını içerirken, fiziksel
tasarım tümüyle ağın alt yapısıyla
ilgilidir.Yani networkün fiziksel açıdan
tasarımı, yerleşimi, WAN teknolojileri,
kullanılan protokoller, sunucular ve
bilgisayarların yerleşimi tasarlanır.
Fiziksel Tasarım
IP subnet
192.168.1. _ site
ankara

Site link

site
istanbul
Site Kavramı
„ Site bir IP subnettir. IP adresi sistemi içinde
oluşturulmuş bir network’tür. Bu anlamda site,
çok güvenilir ve hızlı bağlantılarla birbrine
bağlanabilen bir yada daha çok IP subnet’i
kombinasyonu olarak oluşur. Genel olarak
site LAN ile aynı sınırlara sahiptir. Siteler birer
IP adresiyle tanımlanır:
„ İstanbul sitesi: 192.168.2.1/24
Domain Controller

DC 1

DC 2

sakarya.com
Domain Controller
„ Domain’de directory veritabanının bir kopyasını
barındıran Windows Server 2003 işlerim sisteme
sahip bilgisayara domain controller denir.
Fonksiyonları:
„ Güncellenen bilgileri diğer DC’lerden replike eder.
„ Kullanıcıların domaine logon olmasını sağlar.
„ AD multi-master replikasyonu kullanır. Bunun anlamı
bütün DC’ler üzerinde update işlemi yapılabilir.
„ Forest domainleri hakkında bilgi sahibi olur bu durum
da global katalog olarak adlandırılır.
Global Catalog
Birden çok domainli bir forest’da bütün
domainler hakkında sorgu yapmak için Global
Catalog kullanılır. Global Catalog olan yada
rolünü üstlenen DC, directory’de yer alan tüm
domainlere ilişkin temel bilgilere sahiptir.
Böylece GC’ye ulaşan bir client, bütün
domainlerin nesnelerini sorgulama şansına
sahip olur. Farklı domainlerdeki kullanıcıların
faklı domainlere logon olmasını sağlar.
Active Directory nesneleri Global Catalog
Domain
Domain

Domain Domain
Domain Domain

Global
Katalog
Trust İlişkileri
„ Birden çok domainden oluşan bir forest içinde
domainler arasındaki ilişkiye güven (trust)
denir. Trustlar sayesinde bir domaindeki
kullanıcı diğer domaindeki gruba üye olabilir
yada kaynak paylaşımına erişebilir.
„ Domain Güven ilişkileri şu şekilde sınıflanır:
„ One-way
„ Two-way
„ Transitive
„ Non-transitive
 Windows Server 2003 Trust’ları
Forest 1 Tree/Root
Tree/Root Forest
Forest
Forest 2
Parent/Child Trust
Trust Trust
Trust
Parent/Child
Trust
Trust
Forest Forest
Domain D (root) (root)

Domain E Domain A Domain B Domain P Domain Q

Shortcut
Shortcut Trust
Trust
Realm
Realm External
External
Trust
Trust Trust
Trust
Domain F Domain C

Kerberos Realm
Replikasyon
„ Replikasyon iki DC arasındaki otomatik
kopyalama işlemine verilen addır.
Replikasyon süreci söyle çalışır:
„ Bir DC üzerinde AD nesnesi güncellenir.
„ 5 dak. Change Notificasyon süresi beklenir.
Bu süre içinde güncellemeler de replike
edilmek üzre biriktirilir. Böylece her değişiklik
için bir replikasyon yapılmamış olur.
„ Süre dolduğunda, replikasyon yapılır. Hedef
DC replikasyon topolojisine göre otomatik
olarak seçilir.
Replikasyon
Kampüs

2) intrasite
1) intersite

OU

2) intrasite
iibf Muh

hendek
sakarya.com
Replikasyon Sistemleri
„ Urgent Replication (Acil Replikayon) : Bu
durumda bu 5 dak. süre beklenmez.
„ Store-and-forward işlemi: Bir değişiklik
olduğunda bu sistem sayesinde diğer DC’lere
hemen göndermez. Belli bir süre bekletir ve
gönderir.
Şema Kavramı
„ AD’de hangi nesnelerin yer alabileceği ve bu
nesnelerin niteliklerinin neler olabileceğini tanımlayan
bir kurallar grubudur. Shema, AD’nin biçimsel bir
tanımı olarak değerlendirilebilir. AD ile birlikte
kullanacılar, gruplar, domain ve bilgisayarlar gibi
AD’de yer alabilecek network nesnelerini tanımlayan
ve çoğu durum için yeterli olan varsayılan bir schema
gelmektedir. Bu SChema’ya yeni nesne sınıfları ve
nitelik tipleri eklenebilir.Bunu Shema Admins grubu
üyeleri yapabilir.
„ Semayı oluşturan bileşenler nesne sınıfları, nitelik
tipleri ve Control Access Rights’dır.
 ACTIVE DIRECTORY

Attribute
Bilgisayarlar
Bilgisayar Adı
Tanım Bilg 1

Bilgisayarlar
Bilg 2

Bilg 3

Attribute
Kullanıcılar
Ad
Soyad User 1
Logon Adı

User 2
Kullanıcılar
Active Directory Veritabanı
„ Active Directory dizin bilgileri bir veritabanı üzerinde tutulur. Bu
dizinde kullanıcılar, gruplar, bilgisayarlar, domain’ler Ou’lar ve
güvenlik politikaları gibi nesneler saklanır. Dizin verileri domain
controllerlar üzerinde NTDS.dit dosyasında tutulur. Ntds.dit
aşağıdaki tabloları içerir:
„ Shema tablosu: Active Directory’de yazılabilecek nesne
türlerini, aralarındaki ilişkileri ve her nesne üzerinde seçimlik
ve zorunlu özellikleri gösterir. Bu tablo oldukça statiktir ve
veri tablosundan daha küçüktür.
„ Link Tablosu: AD’de yer alan nesnelerle ilgili değerleri
içeren özelliklerden oluşur. Örneğin member of özelliğini ele
alalım. Bu özellik, kullanıcının üye olduğu gruplarla ilgili
bilgileri içerir. Bu tablo da veri tablosundan küçüktür.
Active Directory Veritabanı
„ Veri Tablosu: Active Directory’de yer alan
kullanıcıları, grupları, diğer nesneleri ve
uygulamaya yönelik verileri içerir. Bu tabloda
her satır bir nesneyi, her sütun da o nesnenin
özelliğini temsil eder.
„ Replikasyon bakımından ise Active Directory
veri tabanı Dört kısımdan oluşur
„ Domain Data
„ Configurasyon Data
„ Shema Data
„ Application Data
Directory Partition’ları

domain
domain

Configuration

forest Schema

Application
Active
Directory
Database
Directory Partition’ları
„ Domain Partition: Domaine ait nesneler
bulunur. Kullanıcı, bilgisayar vb. Kayıtları bu
bölüm içinde yer alır. Domain Partition bilgileri
yalnızca kendi domaini içindeki diğer DC
partnerları arasında replike edilir.
„ Configuration Partition içinde AD forestının
yapısı tutulur. Yeni bir domainin eklenmesi
yada silinmesi bu bölüm içinde yapılır.
Burdaki bilgiler forest içindeki diğer DC
partnerları arasında replike edilir.
Directory Partition’ları
„ Şema kısmında AD nesnelerinin özellikleri
(attributes) yer alır. Şema bilgileri bu bölümde
tutulur. Burdaki bilgiler forest içindeki diğer
DC partnerları arasında replike edilir.
„ Application Partition ise yalnızca belli DC
bilgisayarlarla replike olur. Bu bölüm
uygulamalar ve servisler tarafından özel
bilgiler saklanmak üzere kullanılır.