ACTIVE
DIRECTORY
Active Directory Temelleri
HALİL ŞEN –FCYD
Sistem Yönetimi Uzmanı
Konular:
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
Active Directory Nedir?
Active Directory Ne Sağlar?
Active Directory Domain Modeli
Active Directory’nin Özellikleri
Desteklediği teknolojiler
Active Directory’e Geçmek
Mantıksal Tasarım
Forest
Tree
Domain
Organizational Unit
Fiziksel Tasarım
Site Kavramı
Domain Controller
Global Catalog
Trust İlişkileri
Windows Server 2003 Trust’ları
Replikasyon
Replikasyon Sistemleri
Shema Kavramı
AD veritabanı
Directory Partition’ları
Active Directory nedir?
Active
Directory
Merkezi Yönetim
„Tek
bir noktadan
yönetim
„Kullanıcıların
tek bir
oturumla dizin
kaynaklarına erişebilmesi
Network
üzerindeki
nesneleri
tutar.
Network
üzerindeki
nesneleri
yönetmek için directory servisleri
tasarlanmıştır
Dizin Hizmetleri İşlevleri
„Organizasyon
„Yönetim
„Kontrol
Active Directory Ne Sağlar?
„ Network’ün domain olarak adlandırılan birimler halinde
„
„
„
„
düzenlenmesini sağlar.
Kullanıcı ve grupların listesini merkezi olarak tutar.
Kullanıcı ve grupların ancak gerekli izinlere sahip olması
durumunda kaynaklara erişmesini sağlar.
Domain içindeki nesnelere birçok özelliklerinden erişimi
sağlar.
Domainin OU adı verilen alt parçalara bölünmesini
sağlar. Bu yönetimin delege edilmesini sağlar.
Active Directory dizin sistemi
Active Directory dizin sistemi network’ü yönetmeyi sağlar.
Active Directory
veritabanı
Active Directory Domain Modeli
„ Dizin sistemiyle yönetilen networke domain
adı verilir. Workgroupların aksine merkezi
bir oterite sağlarlar. Administrator’lar
network üzerindeki kullanıcı ve kaynakları
tanımlayarak domaini oluştururlar. Böylece
kullanıcıların domain üzerindeki bir kaynağa
erişebilmeleri için Administrator’ın kendisine
izin vermesi gerekir. Domaine girmek için
geçerli bir kulanıcı adına ihtiyaç vardır.
Active Directory Domain Modeli
.
Bluehat.com
istanbul.bluehat.com
izmir.bluehat.com
fatih.istanbul.bluehat.com
ankara.bluehat.com
Active Directory’nin Özellikleri
9 Merkezi Veri Depolama
9 Ölçeklenebilirlik
9 Genişletilebilirlik
9 Yönetilebilirlik
9 Domain Name System (DNS) ile entegrasyon
9 Client yapılandırma yönetimi
9 Politika-tabanlı yönetim
9 Bilginin kopyalanması (replication)
9 Esnek ve güvenli kimlik doğrulama ve
yetkilendirme
9 Güvenlik entegrasyonu
9 Diğer dizin servisleriyle birlikte çalışabilme
9 İmzalanmış ve şifrelenmiş LDAP trafiği
Desteklediği teknolojiler
DHCP (Dynamic Host Configuration Protocol)
„ DNS (Domain Name System)
„ LDAP (Lightweigth Directory Access Protocol)
Dizin sistemlerine standart olarak erişmeyi sağlar.
Örnek: CN=halil, OU=bim, DC=sakarya DC=edu DC=tr
CN=Common Name
DC=Domain Component
OU=Organizational unit
„
Desteklediği teknolojiler
„ Kerberos
v5 : Domain içinde kimlik
doğrulaması için kullanılan standart bir
protokoldür. Kerberos v5 protokolü
kullanıcıyı ve networkservislerini tanımlar.
Network servislerine erişim için ticket
bilgisini kullanır. Bu bilgiler şifrelenmiş
verilerdir. Bu servisin önemli bir kısmını
Key Distribution Center (KDC) oluşturur.
KDC, her domain kontroler üzerinde AD
servisinin bir parçası olarak çalışarak
parolaları ve diğer hesap bilgilerini saklar.
Active Directory’e Geçmek
„ Active
Directory kurulumu başta domain
adlandırmak olmak üzere bir dizi işlem
gerektirir.
„ Active Directory tasarımı ve gelişme süreci iki
kısımda ele alınır.
Mantıksal Tasarım
„ Fiziksel Tasarım
„
Mantıksal Tasarım
Testsirket.com
OU
OU
Org1.Testsirket.com
OU
Org2.Testsirket.com
Mantıksal Tasarım
„ Domain
Kullanıcılarını ve bilgisayarlarını
tanımlayarak mantıksal tasarım başlar.
Mantıksal tasarımın amacı yönetim için
gerekli bileşenlerin oluşturulmasıdır.
„ Mantıksal tasarımda şu bileşenler yer alır:
Forest
„ Tree
„ Domain
„ Organizational Unit
„
Forest
„ Bir organizasyon için tasarlanan networke en geniş
anlamda verilen addır. Forestlar içinde tree’ler ve
domain’ler bulunur. Bu domainler bir yada daha çok
tree olarak organize edilebilir.
„ Forestlar aşağıdaki özellikleri taşırlar:
„
„
„
Forest’taki tüm domain’ler ortak bir şemayı paylaşırlar.
Forest’taki tüm domain’ler ortak bir global kataloğu
paylaşırlar.
Forest’taki tüm domain’ler iki taraflı güven ilişkileriyle
birbirine bağlanmışlardır.
Forest
firma.com
b1.firma.com
firma2.com
a1.firma.com
a1.firma2.com
b1.firma2.com
b2.b1.firma.com
b2.b1.firma2.com
Tree
„ Forest içindeki domainler belli bir hiyerarşi ve
adlandırma sistemi içinde treelerden oluşur.
Tree’lerde adlandırma bir root’tan başlayarak
ilerler.
Sakarya.edu.tr
Muhendislik.sakarya.edu.tr
Bilgisayar.mühendislik.sakarya.edu.tr
Var olan bir domain’e bir ya da daha çok
domain ekleyerek oluşturulan gruplamaya ya
da hiyerarşik düzene TREE denir.
Domain
„ Active directory mantıksal tasarımın temel
bileşeni domain’dir. Domain, ortak yönetimi
paylaşan, sınırı olan, belli bir adı olan
network’tür. Domainler kendi güvenlik sınırıda
oluşturur ve kendi yöneticileri tarafından
yönetilirler. Domainler aynı zamanda bir
replikasyon birimidirler. Domain içindeki
bütün domain kontroler bilgisayarlar, kendi
domainlerinin veritabanının bir kopyasını
içerirler multi master sistemiyle birbirine
kopyalarlar.
Organizational Unit
„ OU’lar domain içinde kullanıcı, grup ve
bilgisayarların yer aldığı konteynerlardır.
„ OU’ların kullanım alanları:
Yönetimi delege etmek
„ Group policy sayesinde kısıtlamalar yapmak
„ Nesneleri saklamak
„
Domain Modeli
yönetici
Fc-holding.com
Dosyalar
Kullanıcılar
Izmir
Printerlar
Satış OU’su
Satış
Muh
Fiziksel Tasarım
„ Mantıksal
tasarım
domain
ve
OU’larınşirketin yönetim amacına uygun
larak oluşturulmasını içerirken, fiziksel
tasarım tümüyle ağın alt yapısıyla
ilgilidir.Yani networkün fiziksel açıdan
tasarımı, yerleşimi, WAN teknolojileri,
kullanılan
protokoller,
sunucular
ve
bilgisayarların yerleşimi tasarlanır.
Fiziksel Tasarım
IP subnet
192.168.1. _
site
ankara
Site link
site
istanbul
Site Kavramı
„ Site bir IP subnettir. IP adresi sistemi içinde
oluşturulmuş bir network’tür. Bu anlamda site,
çok güvenilir ve hızlı bağlantılarla birbrine
bağlanabilen bir yada daha çok IP subnet’i
kombinasyonu olarak oluşur. Genel olarak
site LAN ile aynı sınırlara sahiptir. Siteler birer
IP adresiyle tanımlanır:
„ İstanbul sitesi: 192.168.2.1/24
Domain Controller
DC 1
DC 2
sakarya.com
Domain Controller
„ Domain’de
directory veritabanının bir kopyasını
barındıran Windows Server 2003 işlerim sisteme
sahip bilgisayara domain controller denir.
Fonksiyonları:
„
„
„
„
Güncellenen bilgileri diğer DC’lerden replike eder.
Kullanıcıların domaine logon olmasını sağlar.
AD multi-master replikasyonu kullanır. Bunun anlamı
bütün DC’ler üzerinde update işlemi yapılabilir.
Forest domainleri hakkında bilgi sahibi olur bu durum
da global katalog olarak adlandırılır.
Global Catalog
Birden çok domainli bir forest’da bütün
domainler hakkında sorgu yapmak için Global
Catalog kullanılır. Global Catalog olan yada
rolünü üstlenen DC, directory’de yer alan tüm
domainlere ilişkin temel bilgilere sahiptir.
Böylece GC’ye ulaşan bir client, bütün
domainlerin nesnelerini sorgulama şansına
sahip olur. Farklı domainlerdeki kullanıcıların
faklı domainlere logon olmasını sağlar.
Active Directory nesneleri
Global Catalog
Domain
Domain
Domain
Domain
Domain
Global
Katalog
Domain
Trust İlişkileri
„ Birden çok domainden oluşan bir forest içinde
domainler arasındaki ilişkiye güven (trust)
denir. Trustlar sayesinde bir domaindeki
kullanıcı diğer domaindeki gruba üye olabilir
yada kaynak paylaşımına erişebilir.
„ Domain Güven ilişkileri şu şekilde sınıflanır:
One-way
„ Two-way
„ Transitive
„ Non-transitive
„
Windows Server 2003 Trust’ları
Forest 1
Tree/Root
Tree/Root
Trust
Trust
Parent/Child
Parent/Child
Trust
Trust
Forest
(root)
Domain D
Domain E
Domain A
Forest
(root)
Domain B
Shortcut
Shortcut Trust
Trust
Domain F
Forest 2
Forest
Forest
Trust
Trust
Domain C
Kerberos Realm
Realm
Realm
Trust
Trust
Domain P
External
External
Trust
Trust
Domain Q
Replikasyon
„ Replikasyon
iki DC arasındaki otomatik
kopyalama
işlemine
verilen
addır.
Replikasyon süreci söyle çalışır:
Bir DC üzerinde AD nesnesi güncellenir.
„ 5 dak. Change Notificasyon süresi beklenir.
Bu süre içinde güncellemeler de replike
edilmek üzre biriktirilir. Böylece her değişiklik
için bir replikasyon yapılmamış olur.
„ Süre dolduğunda, replikasyon yapılır. Hedef
DC replikasyon topolojisine göre otomatik
olarak seçilir.
„
Replikasyon
Kampüs
1)
2)
intrasite
intersite
OU
2) intrasite
iibf
hendek
Muh
sakarya.com
Replikasyon Sistemleri
„ Urgent Replication (Acil Replikayon) : Bu
durumda bu 5 dak. süre beklenmez.
„ Store-and-forward
işlemi: Bir değişiklik
olduğunda bu sistem sayesinde diğer DC’lere
hemen göndermez. Belli bir süre bekletir ve
gönderir.
Şema Kavramı
„ AD’de hangi nesnelerin yer alabileceği ve bu
nesnelerin niteliklerinin neler olabileceğini tanımlayan
bir kurallar grubudur. Shema, AD’nin biçimsel bir
tanımı olarak değerlendirilebilir. AD ile birlikte
kullanacılar, gruplar, domain ve bilgisayarlar gibi
AD’de yer alabilecek network nesnelerini tanımlayan
ve çoğu durum için yeterli olan varsayılan bir schema
gelmektedir. Bu SChema’ya yeni nesne sınıfları ve
nitelik tipleri eklenebilir.Bunu Shema Admins grubu
üyeleri yapabilir.
„ Semayı oluşturan bileşenler nesne sınıfları, nitelik
tipleri ve Control Access Rights’dır.
ACTIVE DIRECTORY
Attribute
Bilgisayarlar
Bilgisayar Adı
Tanım
Bilg 1
Bilgisayarlar
Bilg 2
Bilg 3
Attribute
Ad
Soyad
Logon Adı
Kullanıcılar
User 1
User 2
Kullanıcılar
Active Directory Veritabanı
„ Active Directory dizin bilgileri bir veritabanı üzerinde tutulur. Bu
dizinde kullanıcılar, gruplar, bilgisayarlar, domain’ler Ou’lar ve
güvenlik politikaları gibi nesneler saklanır. Dizin verileri domain
controllerlar üzerinde NTDS.dit dosyasında tutulur. Ntds.dit
aşağıdaki tabloları içerir:
„ Shema tablosu: Active Directory’de yazılabilecek nesne
türlerini, aralarındaki ilişkileri ve her nesne üzerinde seçimlik
ve zorunlu özellikleri gösterir. Bu tablo oldukça statiktir ve
veri tablosundan daha küçüktür.
„ Link Tablosu: AD’de yer alan nesnelerle ilgili değerleri
içeren özelliklerden oluşur. Örneğin member of özelliğini ele
alalım. Bu özellik, kullanıcının üye olduğu gruplarla ilgili
bilgileri içerir. Bu tablo da veri tablosundan küçüktür.
Active Directory Veritabanı
„
Veri Tablosu: Active Directory’de yer alan
kullanıcıları, grupları, diğer nesneleri ve
uygulamaya yönelik verileri içerir. Bu tabloda
her satır bir nesneyi, her sütun da o nesnenin
özelliğini temsil eder.
„ Replikasyon bakımından ise Active Directory
veri tabanı Dört kısımdan oluşur
Domain Data
„ Configurasyon Data
„ Shema Data
„ Application Data
„
Directory Partition’ları
domain
domain
Configuration
forest
Schema
Application
Active
Directory
Database
Directory Partition’ları
„ Domain Partition: Domaine ait nesneler
bulunur. Kullanıcı, bilgisayar vb. Kayıtları bu
bölüm içinde yer alır. Domain Partition bilgileri
yalnızca kendi domaini içindeki diğer DC
partnerları arasında replike edilir.
„ Configuration Partition içinde AD forestının
yapısı tutulur. Yeni bir domainin eklenmesi
yada silinmesi bu bölüm içinde yapılır.
Burdaki bilgiler forest içindeki diğer DC
partnerları arasında replike edilir.
Directory Partition’ları
„ Şema kısmında AD nesnelerinin özellikleri
(attributes) yer alır. Şema bilgileri bu bölümde
tutulur. Burdaki bilgiler forest içindeki diğer
DC partnerları arasında replike edilir.
„ Application Partition ise yalnızca belli DC
bilgisayarlarla replike olur. Bu bölüm
uygulamalar ve servisler tarafından özel
bilgiler saklanmak üzere kullanılır.
Download

ACTIVE DIRECTORY