MCSE (Microsoft Certified System Engineer)

Ana Sayfa | MCSE Nedir?

Active Directory Nedir?

small logo

Active Directory ( aktif dizin)

Windows 2000 server ile gelen LDAP sorgulama mantığı  ile çalışan nesnelerin oluşturulduğu, yönetildiği ve ilkelerin belirlendiği veritabanıdır.  Kurulum için 2000 server yada 2003 server versiyonlarından birinin yüklü olması gerekir. LDAP sorguları ile çalıştığı için UNIX, LINUX gibi işletim sistemlerine migrate ( dönüştürme ) yapılabilir.

Active directory yapısı :

Fiziksel ve mantıksal olarak iki farklı tasarımı vardır. Fiziksel tasarımda uzaklık gibi kavramlar göz önünde bulundurularak site üzerinde çalışılabilir. Mantıksal tasarımda OU , domain gibi nesneler kullanılarak " Active Directory Users and Computers " panelinden yönetim yapılır.
Fiziksel tasarım:
                                               Sistem.net
İzmir.sistem.net                                                        İstanbul.sistem.net

Active Directory Sites and Services :

Mantıksal tasarım:
                                               Sistem.net
muhasebe OU                        yönetim OU               bilgiislem OU

" Active Directory Users and Computers " içerisinden yapılandırılır.

Farklı domain gruplarını yönetmek için domainlerin ortak bir çatı altında belirli bir hiyerarşi ile yönetilmesi gerekir. Buradaki güven ilişkileri " Active Directory Domain and Trust " panelinden yürütülür.

Active Directory Nesneleri :

Site : Kurulumda ilk yapılandırılan ve güveni başlatan domainin adını alan fiziksel yönetim için kullanılan yapıdır. Örnek yapı:
Mcse.com sitesi

                                   Mcse.com
Muh.mcse.com                                  sistem.net
Yon.mcse.com                                   İzmir.sistem.net
.                                                       ist.sistem.net
                                   .

Yönetim paneli " Active Directory Sites and Services " dir.
Siteyi yöneten kullanıcıya enterprise admin adı verilir.

Domain : Bir DNS adı taşıyan kullanıcı, grup, bilgisayar, OU gibi nesneleri kapsayan yapıdır. Domain yapısında fiziksel özellikler aranmaz.
Örneğin: sistem.net, mcse.net, muh.mcse.net

Domaini yöneten kullanıcıya domain administrator adı verilir. Kendi domaini üzerinde her türlü hakka sahiptir.
Domain yönetim işlemleri " Active Directory Users and Computers "dan, güven ilişkisi işlemleri " Active Directory Domain and Trust " bölümünden yapılır.

Organisational Unit ( yapısal birim ) OU : Domain oluşturma gereksinimini ortadan kaldıran içerisine OU, Grup, Kullanıcı, Bilgisayar alabilen yapıdır.  Mantıksal olarak tasarlanır. Üzerinde ilkeler atanabilir. İlke atanma işlemleri site, domain, OU bazında yapılır. Varsayılan olarak OU yu yöneten kişi domain adminidir. İstenirse bazı kullanıcılar yönetim için delege atanabilir.

Grup : Esnek bir yönetim sağlayan bir kullanıcı yada bilgisayarın birden fazla OU altında gösterebilen yapıdır. İçerisine grup, bilgisayar, kullanıcı, printer alabilir. 2 tane grup türü vardır. Bunlar

  1. Security group: Üst nesnelerden gelen izinlerin etkilenebilmesi için grubun güvenlik grubu olması gerekir.
  2. Distrubition group: Dağıtım grubudur. mail server bulunan sistemlerde dağıtım işlerinin organizasyonu için kullanılır.

Bilgisayar : Group Policy ilkelerinin bilgisayar yapılandırması bölümünden etkilenen varsayılan olarak domaine giren bilgisayarlarda ""computers " klasörüne eklenen nesnelerdir. Güvenlik kontrolü GUID numaralarına göre yapılır.
(Guid: İşlemci seri numarası ile mac adresinin birleşimi numaradır.)

Printer:

Users : Group Policy ilkelerinin kullanıcı  yapılandırması bölümünden etkilenen hiyerarşide en altta bulunan nesnedir. Güvenlik kontrolü SID numaraları ile yapılır.

Bunların dışında " inetPeruser, domainControllers " gibi daha özel amaçlar için kullanılan kullanıcı ve bilgisayar grupları vardır.

Active Directory kurulumu :

  1. Kurulum için DNS sunucu yüklü olması gerekir yada kurulum esnasında yüklenmesi isteniyorsa server cd si hazır olmalıdır
  2. En az bir adet NTFS partition olmalıdır.
  3. Kurulum işlemi için başlat > çalıştır " dcpromo " yazılır.
  4. Kurulum ekranında DNS hizmetinin yapılandırılması sihirbaza bırakılır.

*** Domain adı belirtilir. Eski sürüm işletim sistemleri ile uyum için NETBIOS adı belirtilir.
*** Active Directory veritabanı ve günlük dosyalarının yeri gösterilir.
*** SYSVOL klasörü için NTFS birim seçilir. Bu klasörde inf dosyaları halinde tüm yapılandırma ve ilke bilgileri tutulur. Kullanıcıların oturum açma esnasında AD ye erişmelerinde bu klasör kullanılır. Yani klasör paylaşıma açılacaktır.
Active directory restore mpod un kullanımı için gereken parola girilir. Bu parola Windows açılışında F8 gelişmiş başlangıç seçenekleri ve seçim esnasında sorulacaktır. Son olarak kurulum tamamlanır server restart işleminden sonra Active Directory kullanımına hazır hale gelecektir ve oluşturulan domaine dahil olacaktır. Winserver2003.sistem.net gibi.  

Kurulum için:
Domain adı: sistem.net
Netbios adı: SISTEMYENI
Sysvol : c:\sysvol\

Global catalog : GC ( Global Catalog ), Active Directory' deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu barındırılan özellikler varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir. ( örneğin kullanıcı önismi, son ismi ve logon ismi ) GC kullanıcılara şu hizmetleri sunar :

  1. Gereken verinin nerde olduğundan bağımsız olarak Active Directory objeleri hakkında bilgiler sunar.
  2. Bir ağa logon olurken Universal Group Membership bilgisini kullanır
  3. Varsayılan olarak GC sunucusu Active Directory'nin yüklendiği sunucudur. İstenirse ek global katalog sunucuları yüklenebilir.

Active Directory Veritabanı :

Active directory veritabanının ve log dosyalarının düzgün şekilde oluşturulmuş olması gerekmektedir. Bunu doğrulamamız için bakmamız gereken yer, eğer kurulum sırasında başka bir yer belirlemediysek,
%SystemRoot%NTDS klasörüdür. Bu klasör içerisinde şu dosyalar yer almalıdır.:

  1. ntds.dit    : Active directory veritabanı dosyasıdır.
  2. Edb.*       : Transaction logları ve checkpoint dosyaları.
  3. Res*.log  : Rezerve edilen log dosyaları.

Domainde oturum açacak kullanıcı oluşturmak için:

  1. " active directory users and computers " paneli açılır
  2. Kullanıcının oluşturulacağı nesne altında sağ tıklayıp " yeni" " kullanıcı"
  3. Kullanıcının adı ve oturum açma adı tanımlanır.
  4. Parola tanımlaması yapılır.
  5. Kullanıcı oluşturulur.

Server 2003 de AD kurulumu ile güvenlik özelliği olarak parolalar karmaşık ve uzun olmak zorundadır. Bu güvenlik özelliğini değiştirmek için :

  1. " active directory users and computers " da domaine sağ tıklanır.
  2. Özellikler > grup ilkesi
  3. Default domain policy seçilir ve "düzenle"
  4. Açılan ilke yöneticisinden

Bilgisayar ayarları > Windows ayarları > güvenlik ayarları > hesap ilkeleri > parola ilkesi altında tüm istenilen ayarlar değiştirilir.

  1. İlke değişikliklerinden sonra başlat- çalıştır- cmd- gpupdate komutu ile yapılandırmalar etkin olur.

Uygulama:
                                         Sistem.net
İzmir OU                                İstanbul OU                           Ankara OU
Grup1                                     grup2                                      grup3

Grup1  : user1
Grup2  : user1, PC1
Grup3  : user3, PC2

 

Uygulama2:
                                            Sistem.net

Pazarlama                   yonetim                              bilgiislem
Ali                               PC10                                      ahmet
PC11                          ali                                           PC12
Veli                             PC11                                      veli

Grup kapsamları :

Global gruplar ( genel ): Aynı network kaynaklarını paylaşan kullanıcıların dahil edildiği gruptur. Forest yapısı içerisindeki tüm domainlere üye olabilir.

Domain local group : Kendi domain yapısı içerisindeki kaynaklara erişen kullanıcıların dahil edildiği gruptur. Yalınızca kendi domainine dahil olabilir.

Universal ( evrensel ) group : Native Mode'u kullanan networklerde kullanılır. Forest içerisindeki tüm bilgisayarlar tarafından görülür. Ve tüm kaynaklara ulaşabilir.

Active directory' de kullanıcı özellikleri :

Genel : Kullanıcının arama işlemlerinde kullanılan tanımlamalarını içerir.
Adres : Kullanıcının arama işlemlerinde kullanılan adres tanımlamalarını içerir.
Hesap : Active directory de kayıtlı olan kullanıcı adı, NETBIOS adı, oturum açma saatleri ve yeri, hesap süresinin sonlanma tarihi bu sekmeden girilir.
Profil : Oturum açıldığında komut dosyalarının çalışıp bazı işlemler yürütülmesi gerekiyorsa örneğin;
Kullanıcı profili
Profil yolu : c:\scripts\
Oturum açma komut dosyası : c:\scripts\boot.vbs
Giriş klasörü : c:\scripts\
Eğer network üzerinde ise; network yoluna bağlanılır ve map gösterilip yol yazılır.

Telefonlar : Kullanıcının sorgularda kullanılacak telefon bilgileridir.
Kuruluş : Kullanıcının sorgularda kullanılacak kuruluş bilgileridir.

Üyelik : Domainde bilgisayar üzerinde oturum açacak her kullanıcı domain users üyesi olmak zorundadır.
Birincil grup : Kullanıcı birden fazla gruba bağlı ise group policy ilkelerinden gelecek olan yapılandırmalara göre bir gruba öncelik vermek zorundadır.

Uzaktan Denetim : Terminal service ile ilgili ayarlamalar buradan yapılır. Uzaktan erişimle ilgili izleme ve müdahale seçenekleri ayarlanır.

Terminal Hizmetleri Profili : Terminal serverda uzaktan application mode ile uygulama dağıtılıyorsa üç farklı seçenek ile program başlangıcı ve tanımı yapılabilir.

  1. Uzak masaüstü seçeneklerinden
  2. AD kullanıcı özellikler > terminal hizmetleri profil sekmesi
  3. Terminal hizmetleri yapılandırması

Ortam : Uzak masaüstü seçeneği serverda " Remote Adminstrator Mode" da çalışıyorsa bu sekmeden çalışılacak olan program belirtilir.
Uzak masaüstü bağlantılarında oturumda açılacak olan program için öncelikle Terminal servis yapılandırmasına bakılır. Boş bırakılmış ise Active Directory kullanıcı özelliklerine bakılır. O da boş bırakılmış ise kullanıcı kendi ayarları ile logon işlemini yapar.

Oturumlar : Terminal üzerinden oturum açan kullanıcının oturum zaman aşımı ayarları yapılır. Örneğin; kullanıcı 20 dakika boyunca oturumu kullanmaz ise bağlantıyı ve server kaynaklarını meşgul etmemesi için
" boş oturum sonırı " 20  olarak ayarlanır.
" etkin oturum sınırı " 60 olarak ayarlanırsa kullanıcının oturumu açtıktan 60 dakika sonra sonlanacaktır.

İçeri ararken (Dial-In) :VPN aramalarında kullanılacak olan kuralları belirtir.
VPN özelliğinin aktif olması için bu sekmeden kullanıcıya
" erişime izin ver " hakkının verilmesi gerekir.
Geri arama seçenekleri ile ücretin RAS server tarafından karşılanması sağlanabilir.

Not: Kullanıcının oturum açma ekranında oturum açacağı domaini seçebilmesi için suffix bilgisinin eklenmesi gerekir.

  1. " Active Directory Domain and Trust " açılır.
  2. AD domain and trust a sağ tıklanır ve özellikler seçilir.
  3. Diğer UPN son eklerine kullanıcının seçim yapacağı dış network tanımı girilir. (mcse.com gibi )
  4. Dış network e bağlanmasını istediğimiz kullanıcı özelliklerinden hesap sekmesinden girişte hangi domaini seçmesi gerektiği belirtilebilir.

Uygulama1:
                                                           Sistem.net
Mcse OU                               programcilik OU                                           cisco OU

User1                                     user2                                                             user4
User2                                     user3                                                             user3
PC1                                        PC2                                                                PC2
                                               PC3

User1, user2 özellikleri : VPN araması var, terminal bağlanamaz.
User3 : uzakmasaüstü açılışında wordpad programı çalışacak
Hesabın süre bitimi : 11.04.2007, yalınızca PC3 de oturum açacak
User4 : haftasonu 00:00 - 09:00 saatlerinde oturum açabilecek.
VPN de yalnızca 0212 555 55 55 numarasından yapacağı çağrılar kabul edilecek. RDP üzerinden istemci sürücülerini ve printerı paylaşacak. Birincil grubu cisco olacak.

Yönetimsel işlemleri kolaylaştırmak :

Delegation ( denetim temsilcisi seçme ) işlemi domainde adminstarotor ın iş yükünü azaltmak için kullanılan belirli grup yada kullanıcılara kısıtlı haklar verilmesi yöntemidir. Delegation işlemi OU yada domain bazında yapılabilir.

User4 kullanıcısının MCSE OU su üzerinde kullanıcı hesapları ve printerlar üzerinde hertürlü yazma ve okuma hakkının verilmesi:

  1. MCSE OU su sağ tıklanır ve denetim temsilcisi seç
  2. Açılan sihirbazdan user4 eklenir; ileri.
  3. Denetim temsilcisi seçmek için özel görev oluştur seçilir; ileri.
  4. Yalnızca klasörün içinde bulunan aşağıdaki nesnelerden " acound " ve " yazıcılar " aktif yapılır; ileri.
  5.  Genel sekmesi aktif iken okuma ve yazma hakları verilir ve işlem tamamlanır.

 

Uygulama2:
User2 kullanıcısının programcılık OU sundaki bilgisayarları silme iznini verin.

  1. programcılık OU suna sağ tıklanır ve denetim temsilcisi seç.
  2. Açılan sihirbazdan user2 eklenir ileri
  3. Denetim temsilcisi seçmek için özel görev oluştur seçilir.ileri
  4. Bu klasördeki nesneler için seçeneğinden devam edilir.
  5. " özelliğe bağlı " seçeneği aktif yapılır. Bu işlem seçenekleri çoğaltacaktır.
  6. Oluşturma ve silme aktif yapılarak silme izinlerinin de seçenekleri dahil edilir ve alttaki bölümden " bilgisayar nesnelerini sil " aktif yapılır.

Domain Özellikleri :

Genel Sekmesi : Domain hakkında temel bilgileri verir.
İşlev Düzeyi : AD kurulumunda server 2003 işlev düzeyi seçilmemiş ise domaine sağ tıklayıp bu düzey 2000 server dan 2003 server a yükseltilebilir. Bu işlemin avantajı yalnızca 2003 serverlar ile çalışılacağı için 2000 server ların güvenlik açıkları ve eksikliklerinden etkilenmemesidir. Dezavantajı ise yükseltme kurulduktan sonra geriye dönüş olmayacağı için 2000 server domainde kullanılamayacaktır.

Yöneten : Varsayılan olarak domain admin kullanıcı grubu bu domaini yönetir ek kullanıcılar bu bölümden tanımlanabilir.

Grup ilkesi : GPMC ( Group policy Management Konsol ) un yönetimi ve o domaine hangi policy lerin etkilendiğini belirtmek için kullanılır.
Yeni bir ilke oluşturmak için yeni butonu ile ilkeyi tanımlayan ve kolay hatırlanacak bir ad girilir.
Ekle butonu ile açılan menüden " tümü " seçeneğinden daha önceden tanımlanmış grup ilkelerine link verilebilir.

Domain, site ya da OU üzerinde birden fazla ilke grubu tanımlanmış ise yukarı ve aşağı butonları ile hangisinin öncelikli olacağı belirtilir.  
Eklenen ilkeyi seçip düzenle butonuna basılırsa GPMC açılır. İlke ayarları buradan yapılır.İlke kümesinin seçeneklerinden ;
Üzerine yazma : Tanımlı ilkelerin alt kapsayıcılar tarafından farklı ayarlarda kullanılmasını engeller. Örneğin domain üzerinde 5 karakter parola zorunluluğuna sahip bir ilke ayarlayıp üzerine yazma seçeneği aktif olursa alt OU ve domainler aksini belirtmiş olsa dahi 5 karakter parola zorunluluğu kullanacaktır.
Devre dışı seçeneği: ilkeyi linki kaldırmadan devre dışı bırakır.

Özellikler : ilke kümesinin özelliklerinden

genel sekmesi : Yapılandırmanın bilgisayar yada kullanıcı ayarlarının çalışıp çalışmayacağını belirler.
Bağlantılar : İlke kümesinin hangi OU ve domainler ile ilişkili olduğunu gösterir.
Güvenlik : İlke kümesinin kim tarafından yönetildiği, kimlere uygulanacağı yada kimlere uygulanmayacağı buradan seçilir.
Authenticated Users : Kimliği doğrulanmış kullanıcılar demektir. OU ya da domain e dahil olmuş kullanıcılar bu gruba dahildir. Grup ilkesi uygula ayarı da aktiftir. Özellikle bir kullanıcının bu ayardan etkilenmesi istenmiyorsa güvenlik sekmesinden eklenip " grup ilkesi uygula " ayarına deny verilmesi gerekir.
WMI Süzgeci : Bu bölümde oluşturulan vbs scriptleri ( virtual basic scripti)  ile özelleştirilmiş filtreler oluşturulup gelişmiş ilke alma yöntemleri belirlenir.

 

Ana Sayfa | Kurs İçeriği | Notlar | Ödevler | ©2009 A. Alper Şahan