Windows Server 2016

Windows Server 2016 Active Directory Domain Services

Active Directory Domain Services Nedir?

Active Directory, Windows işletim sistemi çalıştıran kurumsal ağların temelini oluşturur. Active Directory Domain Services veri tabanı, kullanıcı hesapları, bilgisayar hesapları ve gruplar gibi tüm nesnelerin (Object) deposudur.

 

Active Directory Domain Services, bu nesneler için yapılandırma ve güvenlik ayarları uygulamak için, hiyerarşik bir dizin sağlar. Domain Controllerlar, domain içerisinde oturum açan kullanıcı ve bilgisayar hesapları için kimlik doğrulama hizmeti de (Authentication) sağlar. Ayrıca aşağıdaki gibi bazı eylemleri gerçekleştirmek için Active Directory Domain Services kullanılabilir.

  • Uygulama yükleme, yapılandırma ve güncelleme.
  • Altyapı güvenliği yönetimi.
  • Uzaktan erişim hizmetlerini kullanma.
  • Dijital sertifikaların verilmesi ve yönetilmesi.

 

Active Directory Domain Services Bileşenleri

Active Directory hem mantıksal hem de fiziksel bileşenler barındırır. Ağ ve Sistem altyapısını başarılı bir şekilde yönetebilmek için bu bileşenlerin birlikte nasıl çalıştığını anlamak gerekir.

 

Mantıksal Bileşenler.

Active Directory mantıksal bileşenleri, kuruluş için uygun olan Active Directory tasarımını uygulamak için kullanılan yapılardır.

  • Partition. Ntds.dit adındaki Active Directory veri tabanının parçalarıdır.  Domain partition, Configuration partition, Schema partition ve Application partition olmak üzere 4 adet partition bulunur. Bu partition’ların kopyaları birden çok domain controller üzerinde tutulabilir ve directory replication ile birbirleriyle senkronize olurlar.
  • Schema. Active Directory üzerinde oluşturulan nesnelerin tanımlanması için kullanılan nesne türleri ve öznetliklerinin tanım kümesidir.
  • Domain. Kullanıcı ve bilgisayar hesapları gibi nesnelerin yönetimi için mantıksal bir alandır. Diğer domainler ile alt-üst ilişkisiyle düzenlenebilir.
  • Domain Tree. Kök bir domain ve DNS alan adını paylaşan hiyerarşik bir yapıdaki domainler topluluğudur.
  • Forest. Ortak bir Active Directory Domain Services kökü ve Schema’sını paylaşan, iki yönlü güven ilişkisine sahip domainler topluluğudur.
  • Site. Active Directory Domain Services içerisindeki nesnelerin fiziksel konumlarına göre belirlenen mantıksal bir alandır.
  • Subnet. Bir kuruluşun network IP adreslerinin bir parçasıdır. Site’daki bilgisayarlara atanır. Bir site’a birden fazla subnet atanabilir.
  • OU. Organization Unit’ler, kullanıcı hesapları, bilgisayar hesapları ve gruplar için, Grup İlkesi Nesnelerini (GPO) bağlayarak yönetilmelerini sağlayan bir kapsayıcı nesnedir.
  • Container. OU’lar gibi organizasyonel amaçlı kullanılan kapsayıcı nesnelerdir. Fakat GPO’lar Container’lara bağlanamaz.

 

Fiziksel Bileşenler.

  • Domain Controller. Active Directory Domain Services veri tabanının bir kopyasını barındırır. Çoğu işlem için, her domain controller değişiklikleri işler ve diğer domain controller’lara değişiklikleri paylaşır.
  • Data Store. Her Domain Controller üzerinde Data Store’un bir kopyası bulunur. Active Directory veri tabanı, Microsoft Jet veri tabanı teknolojisini kullanır. Dizin bilgilerini, C:\Windows\NTDS içerisindeki Ntds.dit dosyasında ve ilişkili günlük dosyalarında depolar.
  • Global Catolog Server. Birden fazla domain içeren forest içerisindeki nesnelerin tümünü, Kısmi ve salt okunur bir kopyasını barındıran sunucudur. Forest içerisindeki diğer Domain Controller nesnelerini aramayı hızlandırır.
  • Read Only Domain Controller (RODC). Active Directory Domain Services’in özel, salt okunur bir kopyasının olduğu sunucudur. Özellikle fiziksel güvenliğin düşük olduğu uzak ofislerde kullanımı için planlanır.

 

Active Directory Domain Services Schema Nedir?

Schema, Active Directory Domain Services üzerinde bulunan tüm nesne sınıflarını (Object Class) ve öznetliklerini (attribute) tanımlayan bileşendir. Bir Forest’daki tüm domainler Forest’a ait schema’nın bir kopyasını içerirler. Schema’daki herhangi bir değişiklik olduğunda Schema Master rolünün yüklü olduğu Domain Controller’dan (genellikle Forest içerisinde kurulan ilk Domain Controller’dır) diğer Domain Controller’lara dağıtılır.

Schema değişikliğini sadece Schema Admins grubunun üyeleri gerçekleştirebilir. Schema üzerinden hiçbir şey kaldırılamaz. Var olan öznetlikler değiştirilerek genişletilebilir. Örnek olarak Microsoft Exchange 2016 kurulumu yapılmadan önce, Exchange Server 2016 Schema değişikliklerini uygulanır. Bu değişiklikler, Schema üzerinde yüzlerce class veya attribute ekler veya değiştirir.

 

Object (Nesne)

Active Directory Domain Services, depolama birimi olarak nesneleri (Object) kullanır. Schema tüm nesne türlerini tanımlar. Active Directory üzerinde her veri işlendiğinde, Schema’ya uygun bir nesne tanımını için sorgulama yapılır. Bu sorgu sonucuna göre ilgili nesneler oluşturulur ve depolanır.

 

Active Directory Domain Services Forest Nedir?

Forest, Active Directory Domain Services’deki en üst düzey kapsayıcıdır ve bir güvenlik sınırıdır. Her Forest, ortak bir Directory Schema ve Global Catalog paylaşan bir veya daha fazla domainden oluşabilir. Forest içerisindeki tüm domainler otomatik olarak diğer domain’lere güvenir. Hangi domain içerisinde olduğuna bakılmaksızın tüm kullanıcılar, paylaşılmış ortak alanlar gibi kaynaklara erişebilir. Forest dışından hiçbir kullanıcı bu kaynaklara erişemez. Oluşturulan ilk domain Forest root domain olarak adlandırılır ve diğer domainlerde olmayan birkaç nesne barındırır.

  • Schema Master Rolü. Schema yönetiminden sorumlu Domain Controller rolüdür. Bütün forest içerisinde sadece bir Domain Controller üzerinde bulunur. Schema değişikliği yapılacağı zaman, Schema Master rolünün yüklü olduğu Domain Controller üzerinde yapılmalıdır.
  • Domain Naming Master Rolü. Bütün Forest içerisinde sadece bir Domain Controller üzerinde bulunur. Forest içerisinde yeni bir domain ekleneceği zaman, Domain Naming Master domain adlarını ekleyebilir.
  • Enterprise Admins Grubu. Varsayılan olarak Enterprise Admins grubunda üye olarak Forest Root Domain için Administrator hesabı bulunur. Enterprise Admins grubu, Forest içerisindeki bütün domainlerdeki Local Administrators grubunun bir üyesidir. Bu Enterprise Admins grubu üyelerinin, Forest içerisindeki tüm domainler üzerinde tam denetim ve yetki haklarına sahip olmalarını sağlar.
  • Schema Admins Grubu. Varsayılan olarak Schema Admins grubunun üyesi yoktur. Yalnızca Enterprise Admins grubunun veya Domain Admins grubunun (Forest Root Domain içerisindeki) üyeleri, Schema Admins grubuna üye ekleyebilir. Schema üzerinde sadece Schema Admins grubunun üyeleri değişiklik yapabilir.

 

Active Directory Domain Services Domain Nedir?

Active Directory Domain Services Domain, kullanıcı, bilgisayar, grup ve diğer nesneleri (Object) yönetmek için mantıksal bir kapsayıcıdır. Active Directory Domain Services Veri tabanı, tüm domain nesnelerini depolar (2 milyar nesneye kadar sınırı bulunur) ve her domain veri tabanının bir kopyasını tutar. Nesnelerden birinde bir değişiklik olduğunda, diğer Domain Controller’lara replike edilir.

Active Directoy Domain Services Domain, Domain’e üye olan bilgisayarlar üzerinde Domain içerisindeki kullanıcı hesaplarının oturum açabilmesi için Kimlik Doğrulaması (Authentication) kontrolü gerçekleştirir. Kimliği doğrulanmış kullanıcıların, domain üzerindeki kaynaklara erişebilmesi için yetkilendirme (Authorization) sağlar.

 

Active Directory Domain Services Organization Unit Nedir?

Organizational Unit’ler (OU), bir domaindeki kullanıcıları, bilgisayarları, grupları ve diğer nesneleri birleştirmek için kullanılan kapsayıcı bir nesnedir. OU’da bulunan nesneleri yönetmek için GPO’lar doğrudan OU’ya bağlanabilir. GPO’lar, yöneticilerin bilgisayar ve kullanıcılar için ayarları yönetmek ve yapılandırmak üzere oluşturdukları ilkelerdir.

OU’lar, kuruluşun departman veya coğrafi bölge gibi mantıksal hiyerarşik yapılarına göre de oluşturulabilir. Ayrıca her OU’nun yönetimi için bir yönetici atanabilir.

 

Active Directory Domain Controller ile ilgili detaylı bilgi için: Windows Server 2016 Domain Controller

 

“Windows Server 2016 Active Directory Domain Services” için 2 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir