ACTIVE DIRECTORY

Windows 2000 Server ile gelen özelliklerin başında “Active Directory” gelir. Active
Directory ağ kaynaklarını yönetmek için geliştirilmiş bir sistemdir. Windows 2000
Server ‘ın kuruluşunun ardından Active Directory kurularak kullanıcıla, gruplar,
bilgisayarlar ve kaynakların yönetimi sağlanır. Active Directory kuruluşu ile birlikte
başlıca üç ana program da bilgisayara yüklenir. Bu programlar aracılığıyla Active
Directory nesneleri yaratılır ve yönetilir.

Active Directory yüklenen programlar:

 Active Directory User and Computers
 Active Directory Sites and Services
 Active Directory Domain and Trusts
Şimdi Active Directory’nin ne olduğuna bakalım ve kuruluşunu yapalım:
Directory(dizin, fihrist), nesneler hakkında bilgi içeren bilgi kaynağıdır. Örneğin
telefon directory’si telefon aboneleri hakkında bilgi saklar. Buradan yola çıkarak,
dosya sistemi içinde de bi directory oluşturarak dosyalar ve kalasörler hakkında
bilgiler saklanır. Internet gibi yaygın bilgisayar ağlarında yazıcı, faks, uygulamalar,
veri kaynakları ve kullanıcılar (usesr) ve gruplar gibi bir çok ilgili nesne vardır.
Kullanıcılar bu nesneleri bulmak ve kullanmak ister. Bununla birlikte sistem
yöneticileri de bu nesneleri yönetmek isterler. İşte Active Directory iki gereksinimi de
karşılamak içi geliştirilmiş bir sistemdir.

ACTIVE
DIRECTORY

Şekil 1:NETWORK

Active Directory ağ kaynakalrı (kullanıcılar, aygıtlar, izinler v.b) hakkında bilgi saklar.
Sistem konfigürasyonu, kullanıcı, grup bilgileri ve uygulamar hakkında bilgi saklarlar.
Bunun dışında Windows 2000, Group Policy düzenlemeleriyle birlikte sistem
yöneticisi kullanıcılarının masaüstlerini(dağıtım masa üstü yönetimi), ağ servislerini
ve uygulamaları merkezi olarak bir nokatadan yönetir.

NESNE (OBJECT):
Bir nesne, ağ içerisindeki bir kaynağı temsil eder. Değerleri, nesnenin
karakteristiklerini tanımlayan niteliklere sahiptir. Örneğin bir kullanıcı hesabı ad,
soyad, oturum ismi ve diğer nitelikleri içerebilir. Nitelik değerlerine örnek olarak
Abuzer, Kamis ve AKAMIS verilebilir. Bazı nesneler kapsayıcı (container) nesneler
olabilir (bu nesneler kurumsal birimler ve alanlar gibi başka nesneleri içerebilir).
Nesneler kullanıcılar, gruplar, bilgisayarlar ve alanlar gibi nesne sınıfları içerisinde
gruplandırılabilir.

Directory sevisine neden gereksinim duyulur?

Kullanıcılar ve sistem yöneticileri ilgilendikleri nesnenin tam adını bilmezler. Ancak
nesnelerin bir ya da daha fazla özelliğini bilebilirle ve directory’den adı geçen
nesnenin özelliklerine benzer özelliklere sahip diğer nesnelerin bir listesini almak için
sorgu yaptırabilirler. Örneğin “Muhasebe bilgilerinin bulunduğu kalasör” ya da “
üçüncü kattaki renkli printer”. Active Directory servisi kullanıcılara herhangi bir
nesnenin özelliklerinden birini vererek nesneyi bulmasına izin verirler.
Active Directory servisinin yapabilecekleri:
 İzinsiz girişlere karşı bilgileir korumak için sistem yöneticisi tarafından nesnelere
erişim izinlerinin tanımlanmasını sağlamak.
 Directory veri tabanını ağdaki yerel bilgisayarlara dağıtır.
 Directory bilgilerini daha fazla kullnıcı tarafından erişilebilir hale getirir. Bununla
birlikte çökmelere karşı önlem almak amacıyla bir kopyasını çıkarır.(replikasyon).
 Çok büyük sayılarda nesnenin saklanabilmesi için directory’i bir çok parçaya böler.
Directory servisi kurumsal anlamda çok sayıda kullanıcı, grup ve kaynağın
yönetilmesinde işe yarar. Merkezi olarak yönetilebilir, her büyüklükteki donanımda ve
organizasyonda çalışacak şekilde tasarlanmıştır.

ŞEKİL 6.2

Active Directory şu özellikleri ile temel directory servislerinin işlevlerini geliştirmiştir:

 Ölçeklenebilirlik: Bu özellik ile Active Directory az sayıda nesne

içerebileceği gibi milyonlarca da nesne içerebilir.

 Genişletilebilirlik: Active Directory’ nin sahip olduğu şema üzerinde

değişiklik yapılabilmesidir.

 Internet-standartlarında adlandırma: Ad çözümleme ve query protokolleri

ise Internet ile bağlantı yapmayı sağlar.

 Tek bir noktadan erişim: Bu özellik ise, Administrator’ ın bir yerden yapacağı
logon işlemi ile bütün ağları yönetmesi anlamına gelir.

 Hata Toleransı: Beklenmedik olaylara karşı Active Directory bilgilerinin

çoğaltılması işlemlerinin içerir.

 Güvenlik kontrolü: Kullanıcıların erişim kontrollerinin dağıtılabilmesi

anlamına gelir.
 Birlikte çalışma: Active Directory’ nin diğer işletim sistemleriyle bütünleşmesi
anlamına gelir.

Active Directory’de adlandırma:

Active Directory nesnelerini adlandırmak(naming ) ve adlarını çözmek (resolving
object names) için çeşitli standartlar sahiptir. Bu standartlar şunları içerir:
 DNS:(Domain Name Systems)
 LDAP:(Lightweight Directory Access Protocol)
DNS, endüstri satandartı kullnan bir adlandırma ve adların çözülmesi teknolojisidir.
DNS sayasinde istemci(client) bilgisayarlar Active Directory hizmetlerine kolayca
erişebilirler. Aynı şekilde LDAP da DNS, endüstri satandartı kullanan bir directory
iletişim protokolüdür. Active Directory bilgilerine erişimi sağlar. Active Directory
içinde bir kullanıcının ya da bir kaynağın adının kullanımında kurallar vardır. X500 ve
LDAP standartı olarak bu adlandırma sistemin temelleri şunlardır:

Distinguished Name
Active Directory içindeki herbir nesnenin adı vardır. Bu ada Distinguished Name
denir. Bu adlar nesnenin bulunduğu domain’i tanımlar. Tipik bir Distinguished adı şu
şekilde tanımlanır:
DC=com, DC=gazi, CN=Users, CN=Murat Deniz
Burada gazi.com domaini içinde Murat Deniz için bir Distinguished ad tanımlanmıştır.
DC, Domain Component(Domain bileşeni), CN ise Common Name için bir
kısaltmadır.

ŞEKİL 6.4

Relative distinguished name

Relative distinguished name bir distinguished adın bir parçasdır. Örneğimizde user
nesnesinin “relative distinguished” adı Murat Deniz’dir. Bir üst nesnenin relative
distinguished adı ise Users ‘dır.

Principal Name
Users Principal name (Kullanıcının ana adı) kullanıcının logon adı ve domain adından
oluşur. Örneğin gazi.com domaini içinde Murat Deniz’in adı murat@gazi.com
olabilir. Users principal neme network’e logon etmek için kullanılır.
Globally Unique Identifier
Windows 2000 yaratılan herbir nesneye 128-bitlik bir GUID(Globally Unique
Identifier) atar. GUID, tek bir tane olduğu garanti edilen 128-bitlik bir numaradır.
Nesneler oluşturulduğunda atanmış bir GUID ‘e sahipo olurlar. Nesne yer değiştirmiş
olsa da asdı da değiştirilmiş olsa GUID hiçbir zaman değiştirlmez. Uygulamalar
nesnenin GUID’ini saklayabilir ve o anki domain bilgisi ne olursa olsun nesneye
erişim kesinleşir.
Daomain name system
Internette bilgisayarların ve servislerin yerleştirilmesi için kullanıcı-tanımlı adlar
kullanılır. Böylece bir kullanııcı bir DNS adını giridiğinde DNS servisleri bu adı
çözerek IP numarasını elde edr. Gazi.com kolay anlaşılır bir addır fakat ağ üzerinde
bilgisayarlar sayısal adreslerle (IP adresleri) iletişim kurarlar.

ŞEKİL 6.5

Dns sistemi içinde domainler hiyerarşik olarak yer alır. Bu düzeylendirme işlemi bir
noktadan başlayarak alt domainler yapılanır. Bu hiyerarşi adlandırma sisteminide
düzenler.
Gazi.com: üst domain
Anadolu:alt domain

Örnek:anadolu.gazi.com

Şekil 6.6

KURUMSAL BİRİM (ORGANIZATIONAL UNIT):

Bir kurumsal birim (Organizational Unit – OU) kullanıcılar, gruplar, yazıcılar, başka
OU’ lar ve bilgisayarlar gibi diğer nesneleri içerebilen kapsayıcı nesnelerdir. OU’ lar
nesneleri, yönetimsel amaçlarla mantıksal gruplamalar içerisinde düzenlemek için
alanlar içerisinde kullanılırlar. Örneğin bir OU bir departmanı ya da binayı temsil
edebilir. OU yapısının derinliği konusunda herhangi bir kısıtlama söz konusu olmasa
da çok derin bir yapı performansı olumsuz olarak etkiler.

ALAN (DOMAIN):
Alanlar ağ içindeki bütün nesneleri mantıksal olarak gruplamak için kullanılan
kapsayıcı nesnelerdir. Bu nesneler kullanıcılar, gruplar, bilgisayarlar, yazıcılar,
dosyalar ve OU’ lar gibi nesneleri içerebilir. Active Directory kurumunuzun yapısını
yansıtmak için bir veya daha fazla sayıda alan içerebilir. Her bir alan, sadece bu alan
içerisinde yer alan nesneler hakkında bilgi sağlar. Active Directory, erişim kontrol
listeleri (Access Control List -ACL) aracılığı ile bir alan içindeki nesnelere erişimi
denetler. Erişim kontrol listeleri bir alan nesnesine hangi kullanıcıların erişebileceğini
ve ne tür erişime izin verildiğini belirten bilgileri içerir. Teorik olarak her alan 10
milyon nesne içerebilmesine karşın yine de bu 1 milyonu geçmemeye özen
gösterilmelidir.
 Alan Denetleyicileri: Alan denetleyicileri (domain controller) Windows 2000
Server işletim sistemini çalıştıran ve ayrıca Directory’nin (Active Directory) bir
kopyasını içeren bilgisayarlardır. Alana ait yetkilendirme işlemlerini yerine
 getirirler ve ağ üzerindeki istemciler veya diğer sunucu bilgisayarlardan gelen
taleplere cevap verirler.
 Üye Sunucular: Directory’nin bir kopyasını içermeyen sunuculara üye sunucular
(member server) adı verilir. Örneğin bir uygulama sunucusu bir üye sunucusudur.
Üzerinde Windows 2000 Server işletim sistemi yüklü olan, ancak bir alanın parçası
olmayan sunucular bağımsız sunucular olarak isimlendirilir.
 Karışık Kip ve Doğal Kip: Alanlar karışık veya doğal kipte olabilirler. Varsayılan
durumda, Windows 2000 ve Windows NT alan denetleyicileri karışık kipte
yüklenirler. Yani hem Windows 2000 ve Windows NT alan denetleyicileri alanın
parçası olabilirler. Doğal kip, sadece Windows 2000 alan denetleyicilerinin alan
parçası olabilecekleri anlamına gelir. Bir sistem yöneticisi bir alan denetleyicisinin
çalışma kipini değiştirmek için karışık kipten doğal kipe manuel olarak geçmek
zorundadır.

AĞAÇ (TREE):
Bir Active Directory ağacı aynı komşu isim alanını kullanan bir veya daha fazla sayıda
ki alanı içeren bir gruplamadır. Dikkat edilmesi gereken karakteristik özellikler
aşağıdadır.
 Bir alt alan ismi, alt alanın göreceli ismi ile ona eklenmiş olan ana alan
isimlerinden oluşur.
 Bir ağaçtaki alanlar aynı global kataloğu paylaşırlar. Bir global katalog ağaçtaki
tüm nesneler hakkında bilgi içerir.
 Bir ağaçtaki alanlar aynı şemayı paylaşır. Bir şema Active Directory’de
depolanabilecek nesne tiplerini tanımlar.

ORMAN (FOREST):
Bir Active Directory ormanı bir veya daha fazla ağaçtan oluşan gruplamalardır.
Ormandaki her bir ağaç kendi isim alanını kullanır. Dikkat edilmesi gereken
karakteristik özellikler aşağıdadır.
 Ormandaki her bir ağaç kendi isimlendirme yapısına sahiptir.
 Bir ormandaki ağaçlar aynı şemayı paylaşır.
 Bir ormandaki alanlar aynı global kataloğu paylaşır.
 Bir ormandaki alanlar birbirinden bağımsız çalışmasına rağmen ormanlar tüm
kuruluş çapında haberleşmeye olanak verir.

SİTELER:
Siteler Active Directory’nin fiziksel yapısını tanımlar. Bir site bir veya daha fazla
sayıda IP alt ağından (subnet) oluşur. Bir sitenin sınırı genellikle LAN’ ın sınırı ile
aynıdır. Gruplandırılmış alt ağlar hızlı bağlantılar aracılığıyla (en düşük 512 Kbps
hızında) bağlanmalıdır. Siteler site içi kopyalama işlemini yapılandırmak için
kullandığınız bilgisayar ve bağlantı nesnelerini içerir.
GÜVEN (TURST) İLİŞKİLERİ:
Alanlar arasında mevcut olabilen güven ilişkileri bir alanda ki nesnelere erişebilmesini
sağlar. İki tür güven ilişkisi mevcuttur.
 İki Yönlü Geçişli Güven İlişkisi: Bir ağaçtaki ana ve alt alanlar arasında
otomatik olarak tesis edilir. Bir ağaçtaki veya ormandaki bütün nesnelere bütün
alanlardan erişebilmesini sağlar. Ayrıca bir ormandaki en üst düzey alanlar
arasında da kullanılır.
 Açık Tek Yönlü Güven İlişkisi: Ayrı ağaçlardaki alanlar arasında güven ilişkileri
tesis etmek için kullanılır. Windows NT 4.x ile geriye uyumluluğu destekler.
Ayrıca farklı ağaçlarda yer alan alanlar arasındaki güven ilişkilerini de destekler.

KOPYALAMA (REPLICATION):
Active Directory multimaster kopyalama modelini uygular. Bu modelde bütün alan
denetleyicileri birbirlerini eşleridir. Başka bir deyişle hiçbir alan denetleyicisi ana alan
denetleyicisi değildir ve her alan denetleyicisi bir Directory kopyasına sahiptir. Alan
içerisinde yer alan herhangi bir alan denetleyicisindeki herhangi bir Directory
kopyasında değişiklik yapılabilir ve bu değişiklikler diğer kopyaların tümüne
yansıtılır. Bu yaklaşımla hatalara karşı bir önlem toleransı sağlanmış olur. Böylelikle
bir alan denetleyicisi kullanılamaz hale geldiğinde, kullanıcılara başka bir alan
denetleyicisi aracılığı ile hizmet ve bilgi sunulacaktır.

Active directory’nin kuruluşu

Active directory kuruluşu içi dcpromo.exe kullanılır. Dcpromo.exe programı Active
directory installation sihirbazını çalıştırır. Aynı şekilde Active directory’nin uninstall
edilmesi içinde dcpromo.exe programı kullanılır.

Dcpromo.exe
Active directory kuruluşu ile yeni bir forest oluşturulur. Root domain ve ilk domain
kontrolör.

Active directory için gereksinimler

 Windows 2000 Server ya da Windows 2000 Advenced Server ya da Windows
2000 Datacenter Server işletim sisteminin kurulu olması gerekir.
 NTFS formatlı bir partition ya da volüm.
 Directory için yaklaşık için yaklaşık 1 GB yer.
 DNS kullanımı için TCP/IP protokolünün kurulu olması gerekir.
 SRV kaynak kayıtlarını destekleyen bir DNS Server ya da DNS dinamik update
protokolü.
 Doğru sistem zamanı ve zaman dilimi.

Active directory tasarımında düşünülecek şeylerin başında forest gelir. Active

directory forest’ının tasarımında DNS domain adları ve NETBIOS (bilgisayar adı
olarak bildiğimiz makine adları) adları gelir.
Bunun dışında Active directory tasarımında yapılacak diğer bir iş ise domain
controller bilgisayarların belirlenmesidir. Ağ üzerinde kurulan ilk Active directory’nin
kurulmasıyla forest üzerindeki ilk domain controller kurulmuş olur. Böylece root
domain oluşur. Root domain konfigürasyonunu ve şema bilgisini saklar.

Bu işlem adım adım şu şekilde yapılır:

1. Yeni domain için kontrolör ya da mevcut bir domaine eklenecek diğer domain
kontrolörler.
2. Yeni bir domain tree ya da child domain.
3. Yeni bir forest ya da mevcut forest a katılım.
Active directory kurulış basamakları:
Bütün bu işlemler Active Directory İnstallation sihirbazı tarafından düzenlenir.
Yapılacak işlemler:
 TCP/IP kuruluşu ve konfigürasyonu kontrol edilir.
 DNS kuruluşu ve konfigirasyonu kontrol edilir.
 DNS adının NETBIOS adı üretilir.
 Administrator izni kontrol edilir.
Şekil1 Active directory kuruluş