blog posts

Active Directory ve faydaları

Ağların, organizasyon, şirket gibi kullanım yerlerinde kullanımı verimliliğin artmasına yol açabilecek çok sayıda ve etkin hizmeti vardır. Bu makale, Active Directory’yi tanımayı ve avantajlarını ve özelliklerini incelemeyi amaçlamaktadır. Active Directory ve Active Directory hizmetlerinin yapısını inceleyip, Active Directory ile Domain Controller arasındaki farkı açıklıyoruz.

 

Aktif Dizin Nedir?

Active Directory, diğer birçok hizmetten oluşan bir hizmettir; yani, Active Directory hizmeti başlığı altında çalışan çeşitli hizmetler: ağda tanımlanan kullanıcılar, bu kullanıcılara verilen erişim, Ağda paylaşılan dosyalar ve yazıcılar gibi . Active Directory bu hizmetleri merkezi bir şekilde sağlayarak bu hizmetlerin kolay ve doğru bir şekilde organize edilmesini ve yönetilmesini sağlar.

Active Directory, Microsoft’un Windows Server üzerinde çalışan ve yöneticilerin izinleri ve ağ kaynaklarına erişimi yönetmesine olanak tanıyan dizin hizmetidir. Active Directory’nin görevi, çok sayıda kullanıcıyı alt gruplar ve mantıksal gruplar halinde yönetmek ve organize etmektir. Ayrıca her seviyeye erişimi de kontrol eder.

Yöneticiler, basit bir oturum açma işlemiyle ağ üzerinden veri dizinini yönetebilir ve düzenleyebilir; ağdaki yetkili kullanıcılar, ağ kaynaklarına her yerden erişebilir. Karmaşık ağların yönetimi bile AD ile kolayca yapılabilir ve organizasyonel büyümenin yanı sıra Active Directory’yi de geliştirmek mümkündür.

Etki alanları, biri Windows Server’ı çalıştıran denetleyicileri içerir. Ağ yöneticisi bu denetleyicilerde değişiklik yaptığında tüm denetleyiciler Active Directory tarafından güncellenir. Ağ yöneticisi her ağ kaynağını Active Directory ile yönetebilir ve hatta kullanıcının bilgisayarına bile girebilir.

 

aktif dizin yapısı

Active Directory, hiyerarşik bir yapı sağlayarak etki alanlarının ve kaynakların kolay organizasyonunu sağlar. Bu sayede kullanıcılar dosya ve yazıcı gibi ağ kaynaklarını kolaylıkla bulabilirler.

ADDS veya Active Directory Etki Alanı Hizmetleri gibi dizin hizmetleri, dizin bilgilerini depolamanın ve yöneticilerin ve ağ kullanıcılarının bu bilgilere nasıl erişebileceğinin bir yolunu sağlar. Örneğin ADDS, kullanıcı hesabı bilgilerini (isim, şifre, telefon numarası vb.) saklayarak aynı ağdaki diğer yetkili kullanıcıların bu bilgilere erişmesine olanak tanır. Bu saklanan bilgilere dizin adı verilir.

Veriler nesneler olarak depolanır. Nesne aynı kullanıcı, grup, program ve aygıttır (yazıcı gibi).
İki tür nesne vardır: yazıcılar ve bilgisayarlar gibi kaynaklar veya kullanıcılar ve gruplar gibi güvenlik kuralları.

 

Aktif dizin yapısı, her biri belirli bağlantılara ve erişimlere sahip olabilen üç düzey içerir:

Etki Alanları: Hepsi aynı veritabanını kullanan kullanıcılar ve cihazlar gibi nesneler bir etki alanında gruplandırılır. Etki alanı, Active Directory veritabanında bulunan kullanıcı ve aygıt gibi bir grup nesnedir. Domainler DNS – Alan Adı Sistemi yapısına sahiptir.

Ağaçlar: Bir veya daha fazla alan adı, ağaç adı verilen bir gruba yerleştirilebilir. Ağaçtaki iki alan arasında güvenli bir bağlantı vardır. Ağacın yapısı hiyerarşiktir, yani eğer alan 1, alan 2 ile güvenli bir bağlantıya sahipse ve alan 2, alan 3 ile güvenli bir bağlantıya sahipse, alan 1’in de alan 3 ile güvenli bir bağlantısı vardır.

Ormanlar: Birkaç ağaç orman adı verilen bir koleksiyonda gruplandırılmıştır. Orman, etki alanı yapılandırmasını, uygulama bilgilerini, dizin düzenini ve tüm nesnelerin listesini içerir. Dizin şeması, nesnenin ormanda sahip olduğu sınıf ve özellikler anlamına gelir.

Kuruluş birimleri veya Organizasyon Birimleri kullanıcıları, grupları ve cihazları düzenler: örneğin, etki alanındaki her nesne veya kullanıcı benzersiz olmalıdır ve mevcut bir kullanıcı adını yeniden tanımlamak mümkün değildir. Active Directory yönetim yazılımı, Active Directory’yi yönetmek için kullanılabilir. Ancak oturum açarken Active Directory güvenliğinin erişim kontrolü ve kimlik doğrulama ile sağlandığını unutmayın.

Aktif Dizin Hizmetleri

Daha önce birçok hizmetin Active Directory Etki Alanı Hizmeti – ADDS başlığı altında çalıştığını söylemiştik.

 

Bu hizmetlerin her biri dizin yönetimi yeteneklerini geliştirir ve şunları içerir:

Etki Alanı Hizmetleri veya AD DS: kullanıcılar ve etki alanları arasındaki merkezi veri depolama ve iletişim yönetiminden sorumludur. Ayrıca oturum açma ve arama sırasında kimlik doğrulama gerçekleştirir.

Sertifika Hizmetleri veya AD CS: Güvenli sertifikalar oluşturur, yönetir ve paylaşır. Sertifika, bilgileri İnternet üzerinden güvenli bir şekilde taşımak için şifreleme kullanır.

Basit Dizin Hizmetleri veya AD LDS: dizinleri destekler ve uygulamaların LDAP protokolünü kullanmasını sağlar. LDAP, ağdaki dizin hizmetlerine erişmek ve bu hizmetleri sürdürmek için kullanılan bir protokoldür. LDAP, kullanıcı adı ve parola gibi nesneleri dizin hizmetlerinde (Active Directory gibi) saklar ve bunları ağ üzerinden paylaşır.

Dizin Federasyon Hizmetleri veya AD FS: Görevi, birden fazla ağdaki uygulamalara kullanıcı erişimini doğrulamaktır. Bunun için Tek Oturum Açma – SSO’yu kullanır. Birden fazla uygulamada kullanıcı kimlik doğrulaması için tek oturumlu SSO sağlar. Bu ne anlama geliyor? Yani SSO, kullanıcının yalnızca bir kez oturum açmasını gerektirir ve her hizmet için kimlik doğrulaması gerçekleştirmesini gerektirmez.

Hak Yönetimi veya AD RMS: Dijital içeriğin izinsiz kullanımını ve dağıtımını önlemek için telif hakkı yasasını uygular. Yani bilgi haklarını kontrol eder ve yönetir. Nasıl? Word belgeleri veya e-posta gibi sınırlı erişime sahip bir sunucudaki içeriği şifreleyerek.

 

Etki alanı hizmeti kontrol ediliyor – Etki Alanı Hizmeti

Active Directory’deki ana hizmet etki alanı hizmetidir: AD DS. Bu hizmet, dizin bilgilerini saklar ve etki alanındaki kullanıcı etkileşimlerini kontrol eder. AD DS, kullanıcı bir aygıta bağlandığında veya ağdaki bir sunucuya bağlanmaya çalıştığında erişimi denetler. AD DS, hangi kullanıcının hangi kaynaklara erişime sahip olduğunu denetler; örneğin, bir yöneticinin verilere normal bir kullanıcıdan farklı bir erişim düzeyi vardır.

Exchange Server ve SharePoint Server gibi diğer Microsoft ürünleri, kaynaklara erişim sağlamak için AD DS’yi kullanır. Active Directory etki alanı hizmetinin barındırıldığı sunucuya etki alanı denetleyicisi adı verilir.

 

Active Directory ve Etki Alanı Denetleyicisi arasındaki fark

Active Directory ağ üzerinde bir dizin hizmetidir, etki alanı denetleyicisi bu hizmeti ağ üzerinde sağlar. Yani Active Directory ile Etki Alanı Denetleyicisi arasındaki fark, birinin bir hizmet olması, diğerinin ise bu hizmeti sağlamasıdır.

Daha açık hale getirmek için bir örnek verelim. Telefon taksi, taksi ya da arabanın olmadığı durumlarda uygulanamayacak bir hizmettir. Yani araba, telefon taksisinin sağladığı bir hizmettir.

Active Directory, kişiler hakkında telefon numaraları ve adresler gibi tüm ayrıntıları içeren bir telefon rehberi gibidir. Active Directory, kullanıcılar ve ağa bağlı bilgisayarlar ve cihazlar hakkında tüm ayrıntılara sahiptir.

Etki Alanı Denetleyicisi, Active Directory’nin çalıştığı yerdir. DC fiziksel bir kavramdır ve aktif dizin mantıksal bir kavramdır.

 

 

Active Directory’nin geçmişi ve sürümleri

Microsoft, Active Directory’yi ilk olarak 2000 yılında Windows Server 2000 ile tanıttı. Daha sonra yeni Windows sunucularının yanı sıra yeni sürümler de sağladı. Windows Server 2003’te güncellemeler ve orman eklenmiş olup, ormandaki etki alanlarını düzenleme ve değiştirme yeteneği oluşturulmuştur. Windows Server 2008’de AD FS işlevselliği eklendi. Windows Server 2016’da AD DS güncellendi ve Active Directory güvenliği ve AD ortamının buluta taşınması mümkün hale geldi.

Windows Server 2016’daki güvenlik güncellemeleri Ayrıcalıklı Erişim Yönetimi veya PAM’in eklenmesini içerir. PAM, nesne erişimini, verilen erişim türünü ve kullanıcının ne yaptığını izler.

Dizin hizmetleri Red Hat Directory Server, Apache Directory ve OpenLDAP, Active Directory’nin rakipleridir.

 

Active Directory’nin Avantajları

 

1- Kullanıcıların ve ağ varlıklarının bilgilerinin merkezi olarak tutulması:

Domain: İsim, şifre, telefon numarası, adres vb. tüm kullanıcı bilgileri merkezi olarak tutulur ve bu nedenle hızlı bir şekilde yedeklenip erişebilme ve merkezi olarak yönetebilme özelliğine sahiptirler.

Grup: Bilgiler her sisteme dağılmıştır, bu da çok zayıf güvenliğe ek olarak yedeklemeyi çok zor ve belki de imkansız hale getirir ve merkezi yönetime sahip değildir.

2- Ölçeklenebilirlik:

Etki Alanı: Merkezi bilgi ve yönetim sayesinde çok sayıda farklı nesneyi barındırabilir ve yönetebilir.

Grup: Bilginin dağılmasından dolayı yönetilemediği için bu tür ağların kullanıcı sayısının 10’u geçmemesi tavsiye edilir.

3- Genişletilebilirlik:

Etki Alanı: Yeni nesneler tanımlayabilir (varsayılan olarak tanımlananlar hariç) ve bunları ağ altında kullanabilirsiniz.

Grup: Yalnızca tanımlı nesneler kullanılabilir.

4- Yönetilebilirlik:

Kapsam: Bilgi ve yönetimin merkezileştirilmesi nedeniyle ağın belirli bir hedefe taşınması kolaydır. Örneğin güvenliği artırmak için ağ her hafta yeni bir güvenlik özelliğiyle donatılabilir.

Grup: Bilgi yoğunlaşması eksikliğinden dolayı yönetim statükoyu koruyacak ölçüde yapılmaktadır. Yönetim belirli hedeflere ulaşmak için mevcut değildir.

5- DNS ile entegrasyon

Domain: DNS sistemi ile koordinasyon sayesinde ağ üzerindeki çeşitli servislere erişim kolaydır. Şube modundaki nominal sıraya göre düşük olanların adreslerini yüksek olanlardan alabilirsiniz.

Grup: Şube sistemi olmadığından ve hiçbir hizmet diğer ağ nesnelerinin adresini bilmediğinden, kullanıcı hedefini adı veya IP adresiyle bilmediği sürece diğer ağ nesnelerine erişme yeteneği çok zayıftır.

6- Kullanıcıların ve bilgisayarların faaliyetlerini merkezi olarak yönetebilme yeteneği:

Etki Alanı: Ağ varlıklarının etkinlik düzeyi ve erişim düzeyi, tüm ağda merkezi olarak tanımlanabilir.

Grup: Kullanıcının kendi bilgisayarına maksimum erişimi tanımlanabilir. Ağ altında bu mümkün değildir.

7- Politikalanabilirlik (Politika Tabanlı Sistem):

Kapsam: Ağ kapsamında farklı politikalar uygulanarak ağın belirli bir hedefe doğru ilerletilmesi mümkündür.

Grup: İlkenin uygulaması ağ içinde değil yalnızca bir bilgisayarın sınırında tanımlanır.

8-Büyük ağlar düzeyinde sunucular arasında bilgi alışverişi yapabilme yeteneği:

Etki Alanı: Farklı sunucular arasında bilgi alışverişi yapılır, böylece tüm sunucular ağdaki en son değişikliklere aşina olur ve hizmetin güncel olarak sağlanması sağlanır. Örneğin yeni bir kullanıcı girdiği anda tüm sunucular tarafından tanınabiliyor ve bu sayede girdiği anda tüm hizmetlerden yararlanabiliyor.

Grup: Temel olarak sunucu olmadığından veri aktarılmaz. Bu nedenle yeni kullanıcının herhangi bir hizmet talep edebilmesi için ağ yöneticisi tarafından o hizmetle tanıştırılması gerekmektedir.

9- Ağ varlıklarının güvenliği ve tanımlanmasında esneklik:

Domain: Ağın herhangi bir yerindeki herhangi bir nesneyi tanımlama yeteneğine sahiptir ve farklı model ve yöntemlerle (Güvenlik Protokolleri) kimlik doğrulaması yapabilir.

Grup: Her bilgisayar yalnızca aynı bilgisayarda tanımlanan varlığı tanımlayabilir.

10- Kapsamlı ve entegre güvenlik:

Etki Alanı: Etki alanına girilerek bazı güvenlik sorunları varsayılan olarak uygulanır ve ardından yönetici ağ güvenliğini hayal edilemeyecek bir düzeye çıkarabilir.

Grup: Merkezi yönetim ve bilgi eksikliği nedeniyle güvenlik yeteneği temel, zayıf ve her bilgisayara özgü (ev kullanıcısı düzeyinde güvenlik) olarak tanımlanır.

11- (güvenlik-konfor):

Domain: Active Directory Partition ile entegrasyon yeteneğine sahip bir hizmet veya yazılım kullanıyorsanız, o yazılımın bilgilerini Active Directory bilgileriyle birlikte sunucular arasında çok güvenli ve hızlı bir şekilde taşıyabilirsiniz.

12- Diğer Active Directory’ye bağlanabilme ve iletişim kurabilme yeteneği:

Domain: Win 2003 Active Directory, global standartlar olan LDAP ver3 ve NSPI temel alınarak yazıldığından, buna göre yazılmış active dizinleri ile iletişim kurabilir. Bu aktif dizinler Microsoft’un kendisi dışında bir şirket tarafından yazılmış olsa bile.

13- Değişim bilgilerinin dijital olarak işaretlenmesi:

Domain: Bilgiler sunucular arasında şifreli olarak aktarıldığından çok iyi bir güvenliğe sahiptir.