Active Directory (AD) Servisi Kullanmak (Bölüm-1)
Merhaba, ilk olarak bu konuda ufak çaplı ne, nedir şeklinde bilgilendirme yapmak istiyorum. Konuyu uzun tutup, AD hakkında herşeyden bahsetmek istiyorum ve epey kapsamlı bir konu olduğundan dolayı, bölüm bölüm olsun istedim. Active Directory (AD) servisi hakkında bu makalemde ön bilgilendirme yapmak ve çalışma mantığı hakkında bilgi vermek istedim.
Giriş
Active Directory kısa ismi AD olarak tabir ettiğimiz servis windows server 2003 sunucusunun kalbi gibi telafüz edilebilir. Her yönetimsel görev, AD bir şekilde etkilemektedir. Ağınızın yapısını tanımlamanıza yardımcı olacak bir yapıya sahiptir.
Ağ işletim sistemleri kaynakların yönetim görevini yerine getirirken, ağ nesnelerini kaydetmek ve erişimini kontrol etmek için dizin (directory) servisine gereksinim duyarlar. Bu nesnelere örnek verecek olursak; kullanıcılar, gruplar, yazıcılar, bilgisayarlar ve disk üzerinde paylaştırıl-mış dizin ve dosyalardır. Bir de kullanıcıların ağa girişi ve kimlik denetimleri gereksinimi vardır.
Dağıtılmış bilgisayar sistemlerinde ve Internet gibi yaygın bilgisayar ağlarıyla birbirine bağlanmış çok sayıda bilgisayar ve diğer aygıtlar vardır. Sistem yöneticisinin bu kaynakları en iyi şekilde yönetebilmesi, kullanıcıların da bu kaynaklara kolayca erişiminin sağlanması gerekir.
Windows Server 2003 Active Directory servisi ağ kaynaklarının yönetimi dışında sistem yapısı, kullanıcı ve grup bilgileri ve uygulamalar hakkında da bilgi saklar. Bütün bu nesneleri daha sonar düzenlenen grup ilkeleriyle (Group Policy) belli kurallara uygun olarak davranmasını sağlar. Grup ilkeleri kullanıcıların masaüstlerini (dağıtım masaüstü yönetimi), ağ servisle¬rini ve uygulamaları merkezi olarak bir noktadan yönetmeyi sağlar.
DNS (Domain Name System)
AD, Domain Name System (DNS)’i kullanır. DNS, bilgisayar gruplarını bir etki alanları halinde düzenleyen, standart bir internet hizmetidir. DNS, test.sercanzeybek.com gibi ana bilgisayar adlarını 192.168.2.10 gibi sayısal TCP/IP adreslerine eşleştirmek için de kullanılır. DNS araacılıyla, internet genelinde bir AD etki alanı hiyerarşisi de tanımlanabilir ya da etki alanı hiyerarşisi, ayrı veya özel olabilir.
Bu tür bir etki alanındaki bilgisayar kaynaklarına başvurduğunuzda, “test.sercanzeybek.com” ana bilgisayar adını kullanılabilir. Bu kısımda “test”, bağımsız bir bilgisayarın adını; “sercanzeybek”, kuruluş etki alanını ve “com” da üst düzey etki alanını temsil eder. Üst düzey etki alanları, DNS hiyerarşisinin kökündedir ve bu nedenle de etki alanları (root domains) olarak anlandırılırlar.
DNS, AD teknolojisinin tümleşik bir parçasıdır; ki, AD’yi yükleyebilmek için öncelikle DNS yapılandırılmış olması gerekiyor.
Mantıksal Yapı
AD mantıksal yapısı esnek olduğundan dolayı kullanıcılara ve yöneticilere hiyerarşik bir tasarım yapmaya olanak sağlar.
Active Directory (AD) yapısı mantıksal bileşenleri şunlardır:
• Domain
• Organizational Unit
• Forest
• Tree
Domain : Active Directory içinde mantıksal yapısının çekirdek birimi domain’dir. Domain (etki alanı) yönetimi paylaşan bir ağdır. Domain’ler güvenlik sorumluları, kullanıcı ve bilgisayar hesapları, yazıcılar ve paylaşılan klasörler domain (etki alanı) nesneleri bir yönetici ve ortak bir dizin veritabanını ve benzersiz bir ad tarafından tanımlanmıştır.
Organizational Unit : Yönetimi kolaylaştırmak için, bir domain içindeki başka nesneleri düzenlemek, saklamak için yaratılan nesnelere Organizational Unit yani (OU) denir. Kullanıcı hesapları, gruplar, bilgisayarlar, yazıcılar ve diğer kuruluş birimleri gibi nesneler içerebilir.
Forest : Bir Tree’den (orman), bir veya daha fazla ortak bir yapılandırma alanlarından oluşur. Örnek, sercanzeybek.com root domain’dir, test.sercanzeybek.com ise child (çocuk) domain’dir.
Tree : Forest (orman) içinde birden çok domain (alan adı) varsa, bu domain’ler adlandırma sistemi içine yerleşirler ve buna da Tree (ağaç) denir. Tree (ağaç) bitişik ad boşluğuna yani sercanzeybek.com gibi paylaşan domain’leren oluşan bir düzenlemeyi ifade eder.
LDAP (Lightweight Directory Access Protocol)
AD’ye bağlanmak ve her türlü okuma/yazma işlemini yapmak için, kullanılan protokole LDAP denir. LDAP, TCP Port 389'dan çalışan, BindRequest, SearchRequest, AddRequest, DelRequest, ModifyRequest, vb. komutları olan bir protokoldür. AD üzerinde işlem yapmak için LDAP kullanılması ise, bu protokolün standart olarak Microsoft dışındaki sistemlerde de benzer işlerde kullanılmasından kaynaklanıyor.
Bu nedenle, AD veritabanı LDAP mimarisine uygun olarak tasarlanmaktadır; bu da AD'nin başka sistemlerle de iletişime geçmesi, aynı ağlarda onlarla ortak çalışması işlemlerini çok kolaylaştırıyor. Örnek verecek olursak eğer, bu ortak dili (LDAP) kullanma özelliği sayesinde, Exchange Server ile, Netscape Server'lar ile, Novell Netware NDS ile, kısacası birçok marka ve modelde directory ile AD'nin ortak çalışması çok kolay yapılabiliyor. Buna örnek olarak, Windows 2003 sistemine geçerken, şirketimizin mevcut ağında, binlerce kullanıcı hesabını AD'de sıfırdan yaratmak yerine, zaten var oldukları ve kullanıldıkları Exchange 5.5 directory'sinden AD'ye göç ettirmek (migrate) ve sonra da ortak çalışmak işlemlerinin kolayca yapılabilmesini gösterebiliriz. Bu işlem için Windows 2003 Server içinde, AD Connector isimli özel bir uygulama bile bulunmakta.
AD veritabanı LDAP ile çalıştığı için, içinde bulunan her nesnenin de eşsiz bir LDAP ismi bulunmaktadır.
DN (Distinguished Name) diye adlandırılan bu isimler şu şekilde gösterilir:
CN=sercanz,OU=users,DC=sercanzeybek,DC=com