Active Directory, Microsoft tarafından Windows tabanlı sunucular ve son kullanıcılar için geliştirilmiş olan merkezi bir kimlik yönetim sistemidir. İlk olarak Windows Server 2000’e entegre edilen sistem günümüzde pek çok kurumsal ve orta ölçekli firmalarda kullanılmakta ve güvenlik açısından önemli bir katkı sağlamaktadır. Bunun yanı sıra kaynakların kontrolü ve kullanıcı yönetimini merkezileştirme olarak da tercih edilir. Active Directory’de kullanıcı bilgisayar objeleri, kullanıcı hesapları ve grup bilgileri tutulduğundan sistem için aynı zamanda bir veritabanı demek doğru bir tabir olacaktır.

Active Directory Mantıksal Yapısı ve Unsurları

Active Directory mantıksal yapı olarak kullanıcılar için hiyerarşik bir sistem kurulmasını sağlar. Bu bağlamda hiyerarşik bir yapı için gerekli olan unsurlar şunlardır:

  • Domain
  • Forest ve Tree
  • Global Catalog
  • Organizational Unit
  • Schema
  • Lightweight Directory Access Protocol (LDAP)
  • Distinguished Names
  • Relative Distinguished Names

Domain

Domain, Active Directory için temel bir gerekliliktir. Active Directory’i kuracak olan sistem admini domain adını seçerken unique (benzersiz) ve spesifik bir isim seçmek zorundadır. Örneğin, codit.local gibi. Domainlerin kendine has bir güvenlik yapısı vardır. Yani kullanıcılar sadece bağlı olduğu domainde verilen yetkiler sayesinde işlemler yapabilir. Bir domain içerisinde child domainler, kullanıcı hesapları, organizational unitler, bilgisayarlar, sunucular vs. bulunur. Codit.local domainine join edilmiş CDTPC1 adlı bilgisayar ağda CDTPC1.codit.local olarak local ağda yer alır.

Child domain ise kök domaine bağlı olarak çalışan bir alt domaindir. Örneğin Codit Teknoloji şirketinin merkez haricinde A ve B şubelerinin olduğunu varsayacak olursak, Active Directory’de a.codit.local ve b.codit.local şeklinde child domain olarak oluşturulabilir. Bu child domainler ana domain olarak codit.local domainine bağlı olduğu için de codit.local, child domainler için bir parent domaindir. Parent ve child domainler arasında bir trust(güven) ilişkisi vardır.

Forest ve Tree

Forest, bir ya da birden fazla domain ve tree’nin yer aldığı bir topluluktur. Active Directory kurulumu esnasında oluşturulmuş olan ilk domain ile birlikte forest yapısı da oluştur. Forest’a eklenen her domain farklı isimlerde olsalar dahi aynı schema ve global catalog’a sahip olur. Tree ise Active Directory’e eklenen her bir domaindeki dallanmış bir yapıdır.

Global Catalog

Global Catalog, AD Forest içerisinde bulunan her domaindeki kullanıcı, grup ve diğer nesneler hakkında bilgilerin yer aldığı veritabanıdır. Global Catalog serverlarda tutulur. Global Catalog sunucusu, yapı içerisinde kurulmuş olan ilk domain controller olur. Eğer birden fazla domain controller varsa tercihe göre diğer domain controllerlara da global catalog server rolü verilir.  

Organizational Unit

Domain içerisindeki kullanıcı hesapları, bilgisayarlar ve grupların yönetimsel gerekliliklere göre departman bazında ayrılmasıyla oluşturulmuş olan objelerdir. Bir domain üzerinde istenildiği kadar OU oluşturulabilir. Örneğin “Üretim”, “Pazarlama”, “Satış” gibi. Bu departmanlarda çalışan kullanıcılar departmanlarına göre OU’lara ayrılabilir. Böylelikle sistem yöneticileri için Active Directory yönetimi bir nebze daha kolaylaşmış olur. Active Directory kurulduğunda varsayılan OU yapısı nesneleri gruplayarak Users, Computers ve Domain Controllers şeklinde gelmektedir.  

Schema

Schema kullanıcı, grup, bilgisayar gibi objelere ait bilgilerin tutulduğu yerdir. Forest içerisinde sadece bir tane bulunur ve bütün nesnelere ait bilgiler buraya yazılır. Schema bilgileri, Active Directory’nin veritabanında depolanır.

Lightweight Directory Access Protocol (LDAP)

OSI katmanları arasından Uygulama Katmanı’nda yer alan LDAP, TCP/IP olarak çalışan dizin servislerini sorgulama ve değiştirme işlemleri yaptığımız protokoldür. Aynı zamanda Active Directory’de sorgulama ve güncelleme için kullanılır. AD objeleri LDAP sayesinde CN (Common Name) ve OU (Organizational Unit) ile Active Directory içerisinde isimlendirilir. LDAP’ın iki tür isimlendirme şekli vardır:

  • Distinguished Names
  • Relative Distinguished Names

Distinguished Names, tüm AD objelerinin network üzerinden ulaşılmasını sağlayan path şeklinde benzersiz ismidir. Örneğin codit.local içerisinde IT OU’su içerisinde bulunan Ali Acr isimli kişi’nin Distinguished Name’i şu şekilde olacaktır.

CN=Ali Acr, OU=IT, DC=codit, DC=local

Burada DC denilen Domain Component demektir. Domain Component, domain hiyerarşisini oluşturmaktan sorumludur.

Relative Distinguished Name, Active Directory’deki domain içinde tektir. Distinguished Name içerisinde belirtilecek olan nesnenin adıdır.

Yine üstteki örneğimize göz atacak olursak,

CN=Ali Acr, OU=IT, DC=codit, DC=local isimlendirmesinde CN, bir relative distinguished name’dir.

Active Directory Rolleri

Active Directory rolleri FSMO rolleri olarak da bilinir ve 5 adet rol bulunur:

  • Domain Naming Master: Domain kurulumunda belirlenen domain ismi bu rol tarafından onaylanır.
  • Schema Master: Active Directory’deki nesnelerin yapısını belirler.
  • RID Master: Domain ortamındaki her bir nesneye SID numarası atayan roldür.
  • PDC Emulator: Domainde parola değişikliklerinden sorumludur.
  • Infrastructure Master: Domain ortamında nesneler üzerinde yapılan değişikliklerin güncellenmesinden sorumlu roldür.

Active Directory Özellikleri

Active Directory’nin özellikleri şunlardır:

  • Merkezileştirilmiş yönetim
  • Grup bazında yetkilendirme ve kısıtlama
  • Kimlik denetimi sağlanarak güvenliğin üst düzeyde tutulması
  • LDAP sayesinde firewall ile entegre çalışma
  • Replikasyon ile AD veritabanının ağ ortamında aktarılabilir olması.

Active Directory’i detaylı bir şekilde incelemenin ardından uygulamalı olarak kurulumuna göz atalım. 

Windows Server 2022’ye Active Directory Kurulumu

Active Directory kurulumu için Server Manager’da Manage > Add Roles and Features adımlarını takip ediyoruz.

Açılan wizard ekranında before you begin kısmını Next diyerek geçiyoruz.

Installation type kısmını Role-based or feature-based installation olarak bırakıyoruz. Çünkü Active Directory Domain Service rolünü kuracağız. Next diyip bir sonraki adıma geçiyoruz.

Hangi sunucu üzerine kurulacak onu seçeceğimiz alandayız. Zaten hali hazırda bu sunucu üzerine kuracağımız için Next diyoruz.

Server Roles kısmından Active Directory Domain Services seçiyoruz. Next diyoruz. Features kısmında hiçbir şey eklememize gerek yok. Next diyip geçebiliriz.

Restart the destination server automatically if required seçeneğini seçip Install diyoruz.

Rol yüklemesi tamamlandı. Şimdi promote this server to a domain controller seçeneğini seçip konfigürasyon aşamasına geçiyoruz.

Yeni kurulum yapıyor olduğumuz için bu ekranda Add a new forest seçeneğini seçip Root domain name kısmına da domain adını yazıyoruz. Next diyoruz.

FFL ve DFL Server 2016 olarak kalabilir. Zaten en son Server 2016’dır. DSRM alanına password giriyoruz. Domain controller capabilities kısmında gördüğünüz üzere Global Catalog seçeneği aktif. Yani Active Directory kurarken ilk domain controllerımız olduğu için bu sunucumuz aynı zamanda Global Catalog Server olacak. Next diyoruz.

İlk konfig ekranında yazdığımız test.local domain adımız netbios domain name kısmında TEST olarak karşımıza geldi. Burada ek bir bilgi vermem gerekirse netbios domain name maksimum 15 karakter olmalıdır. Domain adı belirlerken bunu da göz ardı etmenizde yarar var. Next diyoruz. 

Active Directory için database, log gibi dosyaların hangi yolda tutulacağını gösteriyor. Default olarak bu şekilde kalabilir ancak farklı bir yerde tutmak isterseniz de değişiklik yapabilirsiniz. Next diyip devam ediyoruz.

Ön gereksinimleri kontrol etti. Hiçbir sorun yok. Install diyip yüklemeyi başlatabiliriz. Bittiğinde otomatik olarak sunucuyu restart edecektir.

Sonrasında artık domain admin kullanıcısıyla oturum açılabilir. Kurulum tamamlanmıştır.

Active Directory nedir, sağladığı faydalar nedir, mimarisi nasıldır, özellikleri nelerdir? Detaylı bir şekilde inceleyip uygulamalı olarak kurulumunu da anlatmış olduk. Keyifli okumalar dileriz.