Active Directory ( aktif dizin) Windows 2000 server ile gelen LDAP sorgulama mant ile alan nesnelerin

oluturulduu, ynetildii ve ilkelerin belirlendii veritabandr. Kurulum iin 2000 server yada 2003 server versiyonlarndan birinin ykl olmas gerekir. LDAP sorgular ile alt iin UNIX, LINUX gibi iletim sistemlerine migrate ( dntrme ) yaplabilir. Active directory yaps : Fiziksel ve mantksal olarak iki farkl tasarm vardr. Fiziksel tasarmda uzaklk gibi kavramlar gz nnde bulundurularak site zerinde allabilir. Mantksal tasarmda OU , domain gibi nesneler kullanlarak " Active Directory Users and Computers " panelinden ynetim yaplr. Fiziksel tasarm: Sistem.net zmir.sistem.net stanbul.sistem.net Active Directory Sites and Services : Mantksal tasarm: Sistem.net muhasebe OU ynetim OU bilgiislem OU " Active Directory Users and Computers " ierisinden yaplandrlr. Farkl domain gruplarn ynetmek iin domainlerin ortak bir at altnda belirli bir hiyerari ile ynetilmesi gerekir. Buradaki gven ilikileri " Active Directory Domain and Trust " panelinden yrtlr. Active Directory Nesneleri : Site : Kurulumda ilk yaplandrlan ve gveni balatan domainin adn alan fiziksel ynetim iin kullanlan yapdr. rnek yap: Mcse.com sitesi Mcse.com Muh.mcse.com sistem.net Yon.mcse.com zmir.sistem.net . ist.sistem.net . Ynetim paneli " Active Directory Sites and Services " dir. Siteyi yneten kullancya enterprise admin ad verilir. Domain : Bir DNS ad tayan kullanc, grup, bilgisayar, OU gibi nesneleri kapsayan yapdr. Domain yapsnda fiziksel zellikler aranmaz. rnein: sistem.net, mcse.net, muh.mcse.net Domaini yneten kullancya domain administrator ad verilir. Kendi domaini zerinde her trl hakka sahiptir. Domain ynetim ilemleri " Active Directory Users and Computers "dan, gven ilikisi ilemleri " Active Directory Domain and Trust " blmnden yaplr.

Organisational Unit ( yapsal birim ) OU : Domain oluturma gereksinimini ortadan kaldran ierisine OU, Grup, Kullanc, Bilgisayar alabilen yapdr. Mantksal olarak tasarlanr. zerinde ilkeler atanabilir. lke atanma ilemleri site, domain, OU baznda yaplr. Varsaylan olarak OU yu yneten kii domain adminidir. stenirse baz kullanclar ynetim iin delege atanabilir. Grup : Esnek bir ynetim salayan bir kullanc yada bilgisayarn birden fazla OU altnda gsterebilen yapdr. erisine grup, bilgisayar, kullanc, printer alabilir. 2 tane grup tr vardr. Bunlar 1. Security group: st nesnelerden gelen izinlerin etkilenebilmesi iin grubun gvenlik grubu olmas gerekir. 2. Distrubition group: Datm grubudur. mail server bulunan sistemlerde datm ilerinin organizasyonu iin kullanlr. Bilgisayar : Group Policy ilkelerinin bilgisayar yaplandrmas blmnden etkilenen varsaylan olarak domaine giren bilgisayarlarda ""computers " klasrne eklenen nesnelerdir. Gvenlik kontrol GUID numaralarna gre yaplr. (Guid: lemci seri numaras ile mac adresinin birleimi numaradr.) Printer: Users : Group Policy ilkelerinin kullanc yaplandrmas blmnden etkilenen hiyeraride en altta bulunan nesnedir. Gvenlik kontrol SID numaralar ile yaplr. Bunlarn dnda " inetPeruser, domainControllers " gibi daha zel amalar iin kullanlan kullanc ve bilgisayar gruplar vardr. Active Directory kurulumu : 1. Kurulum iin DNS sunucu ykl olmas gerekir yada kurulum esnasnda yklenmesi isteniyorsa server cd si hazr olmaldr 2. En az bir adet NTFS partition olmaldr. 3. Kurulum ilemi iin balat > altr " dcpromo " yazlr. 4. Kurulum ekrannda DNS hizmetinin yaplandrlmas sihirbaza braklr. *** Domain ad belirtilir. Eski srm iletim sistemleri ile uyum iin NETBIOS ad belirtilir. *** Active Directory veritaban ve gnlk dosyalarnn yeri gsterilir. *** SYSVOL klasr iin NTFS birim seilir. Bu klasrde inf dosyalar halinde tm yaplandrma ve ilke bilgileri tutulur. Kullanclarn oturum ama esnasnda AD ye erimelerinde bu klasr kullanlr. Yani klasr paylama alacaktr. Active directory restore mpod un kullanm iin gereken parola girilir. Bu parola Windows alnda F8 gelimi balang seenekleri ve seim esnasnda sorulacaktr. Son olarak kurulum tamamlanr server restart ileminden sonra Active Directory kullanmna hazr hale gelecektir ve oluturulan domaine dahil olacaktr. Winserver2003.sistem.net gibi. Kurulum iin: Domain ad: sistem.net Netbios ad: SISTEMYENI Sysvol : c:\sysvol\

Global catalog : GC ( Global Catalog ), Active Directory' deki tm objelerin zelliklerinin bir alt kmesini tayan bilgi deposudur. Bu barndrlan zellikler varsaylan olarak, sorgulamalar esnasnda en sk kullanlan zelliklerdir. ( rnein kullanc nismi, son ismi ve logon ismi ) GC kullanclara u hizmetleri sunar : 1. Gereken verinin nerde olduundan bamsz olarak Active Directory objeleri hakknda bilgiler sunar. 2. Bir aa logon olurken Universal Group Membership bilgisini kullanr 3. Varsaylan olarak GC sunucusu Active Directory'nin yklendii sunucudur. stenirse ek global katalog sunucular yklenebilir. Active Directory Veritaban : Active directory veritabannn ve log dosyalarnn dzgn ekilde oluturulmu olmas gerekmektedir. Bunu dorulamamz iin bakmamz gereken yer, eer kurulum srasnda baka bir yer belirlemediysek, %SystemRoot%NTDS klasrdr. Bu klasr ierisinde u dosyalar yer almaldr.: 1. ntds.dit : Active directory veritaban dosyasdr. 2. Edb.* : Transaction loglar ve checkpoint dosyalar. 3. Res*.log : Rezerve edilen log dosyalar. Domainde oturum aacak kullanc oluturmak iin: 1. " active directory users and computers " paneli alr 2. Kullancnn oluturulaca nesne altnda sa tklayp " yeni" " kullanc" 3. Kullancnn ad ve oturum ama ad tanmlanr. 4. Parola tanmlamas yaplr. 5. Kullanc oluturulur. Server 2003 de AD kurulumu ile gvenlik zellii olarak parolalar karmak ve uzun olmak zorundadr. Bu gvenlik zelliini deitirmek iin : 1. " active directory users and computers " da domaine sa tklanr. 2. zellikler > grup ilkesi 3. Default domain policy seilir ve "dzenle" 4. Alan ilke yneticisinden Bilgisayar ayarlar > Windows ayarlar > gvenlik ayarlar > hesap ilkeleri > parola ilkesi altnda tm istenilen ayarlar deitirilir. 1. lke deiikliklerinden sonra balat- altr- cmdgpupdate komutu ile yaplandrmalar etkin olur. Uygulama: Sistem.net zmir OU stanbul OU Ankara OU Grup1 grup2 grup3

Grup1 : user1 Grup2 : user1, PC1 Grup3 : user3, PC2 Uygulama2: Sistem.net Pazarlama yonetim bilgiislem Ali PC10 ahmet PC11 ali PC12 Veli PC11 veli Grup kapsamlar : Global gruplar ( genel ): Ayn network kaynaklarn paylaan kullanclarn dahil edildii gruptur. Forest yaps ierisindeki tm domainlere ye olabilir. Domain local group : Kendi domain yaps ierisindeki kaynaklara erien kullanclarn dahil edildii gruptur. Yalnzca kendi domainine dahil olabilir. Universal ( evrensel ) group : Native Mode'u kullanan networklerde kullanlr. Forest ierisindeki tm bilgisayarlar tarafndan grlr. Ve tm kaynaklara ulaabilir. Active directory' de kullanc zellikleri : Genel : Kullancnn arama ilemlerinde kullanlan tanmlamalarn ierir. Adres : Kullancnn arama ilemlerinde kullanlan adres tanmlamalarn ierir. Hesap : Active directory de kaytl olan kullanc ad, NETBIOS ad, oturum ama saatleri ve yeri, hesap sresinin sonlanma tarihi bu sekmeden girilir. Profil : Oturum aldnda komut dosyalarnn alp baz ilemler yrtlmesi gerekiyorsa rnein; Kullanc profili Profil yolu : c:\scripts\ Oturum ama komut dosyas : c:\scripts\boot.vbs Giri klasr : c:\scripts\ Eer network zerinde ise; network yoluna balanlr ve map gsterilip yol yazlr. Telefonlar : Kullancnn sorgularda kullanlacak telefon bilgileridir. Kurulu : Kullancnn sorgularda kullanlacak kurulu bilgileridir. yelik : Domainde bilgisayar zerinde oturum aacak her kullanc domain users yesi olmak zorundadr. Birincil grup : Kullanc birden fazla gruba bal ise group policy ilkelerinden gelecek olan yaplandrmalara gre bir gruba ncelik vermek zorundadr. Uzaktan Denetim : Terminal service ile ilgili ayarlamalar buradan yaplr. Uzaktan eriimle ilgili izleme ve mdahale seenekleri ayarlanr. Terminal Hizmetleri Profili : Terminal serverda uzaktan application mode ile uygulama datlyorsa farkl seenek ile program balangc ve tanm yaplabilir. 1. Uzak masast seeneklerinden 2. AD kullanc zellikler > terminal hizmetleri profil sekmesi

3. Terminal hizmetleri yaplandrmas Ortam : Uzak masast seenei serverda " Remote Adminstrator Mode" da alyorsa bu sekmeden allacak olan program belirtilir. Uzak masast balantlarnda oturumda alacak olan program iin ncelikle Terminal servis yaplandrmasna baklr. Bo braklm ise Active Directory kullanc zelliklerine baklr. O da bo braklm ise kullanc kendi ayarlar ile logon ilemini yapar. Oturumlar : Terminal zerinden oturum aan kullancnn oturum zaman am ayarlar yaplr. rnein; kullanc 20 dakika boyunca oturumu kullanmaz ise balanty ve server kaynaklarn megul etmemesi iin " bo oturum sonr " 20 olarak ayarlanr. " etkin oturum snr " 60 olarak ayarlanrsa kullancnn oturumu atktan 60 dakika sonra sonlanacaktr. eri ararken (Dial-In) :VPN aramalarnda kullanlacak olan kurallar belirtir. VPN zelliinin aktif olmas iin bu sekmeden kullancya " eriime izin ver " hakknn verilmesi gerekir. Geri arama seenekleri ile cretin RAS server tarafndan karlanmas salanabilir. Not: Kullancnn oturum ama ekrannda oturum aaca domaini seebilmesi iin suffix bilgisinin eklenmesi gerekir. 1. " Active Directory Domain and Trust " alr. 2. AD domain and trust a sa tklanr ve zellikler seilir. 3. Dier UPN son eklerine kullancnn seim yapaca d network tanm girilir. (mcse.com gibi ) 4. D network e balanmasn istediimiz kullanc zelliklerinden hesap sekmesinden girite hangi domaini semesi gerektii belirtilebilir. Uygulama1: Sistem.net Mcse OU programcilik OU cisco OU User1 user2 user4 User2 user3 user3 PC1 PC2 PC2 PC3 User1, user2 zellikleri : VPN aramas var, terminal balanamaz. User3 : uzakmasast alnda wordpad program alacak Hesabn sre bitimi : 11.04.2007, yalnzca PC3 de oturum aacak User4 : haftasonu 00:00 - 09:00 saatlerinde oturum aabilecek. VPN de yalnzca 0212 555 55 55 numarasndan yapaca arlar kabul edilecek. RDP zerinden istemci srclerini ve printer paylaacak. Birincil grubu cisco olacak. Ynetimsel ilemleri kolaylatrmak : Delegation ( denetim temsilcisi seme ) ilemi domainde adminstarotor n i ykn azaltmak iin kullanlan belirli grup yada kullanclara kstl haklar verilmesi yntemidir. Delegation ilemi OU yada domain baznda yaplabilir.

User4 kullancsnn MCSE OU su zerinde kullanc hesaplar ve printerlar zerinde hertrl yazma ve okuma hakknn verilmesi: 1. MCSE OU su sa tklanr ve denetim temsilcisi se 2. Alan sihirbazdan user4 eklenir; ileri. 3. Denetim temsilcisi semek iin zel grev olutur seilir; ileri. 4. Yalnzca klasrn iinde bulunan aadaki nesnelerden " acound " ve " yazclar " aktif yaplr; ileri. 5. Genel sekmesi aktif iken okuma ve yazma haklar verilir ve ilem tamamlanr.

Uygulama2: User2 kullancsnn programclk OU sundaki bilgisayarlar silme iznini verin. 1. programclk OU suna sa tklanr ve denetim temsilcisi se. 2. Alan sihirbazdan user2 eklenir ileri 3. Denetim temsilcisi semek iin zel grev olutur seilir.ileri 4. Bu klasrdeki nesneler iin seeneinden devam edilir. 5. " zellie bal " seenei aktif yaplr. Bu ilem seenekleri oaltacaktr. 6. Oluturma ve silme aktif yaplarak silme izinlerinin de seenekleri dahil edilir ve alttaki blmden " bilgisayar nesnelerini sil " aktif yaplr. Domain zellikleri : Genel Sekmesi : Domain hakknda temel bilgileri verir. lev Dzeyi : AD kurulumunda server 2003 ilev dzeyi seilmemi ise domaine sa tklayp bu dzey 2000 server dan 2003 server a ykseltilebilir. Bu ilemin avantaj yalnzca 2003 serverlar ile allaca iin 2000 server larn gvenlik aklar ve eksikliklerinden etkilenmemesidir. Dezavantaj ise ykseltme kurulduktan sonra geriye dn olmayaca iin 2000 server domainde kullanlamayacaktr. Yneten : Varsaylan olarak domain admin kullanc grubu bu domaini ynetir ek kullanclar bu blmden tanmlanabilir. Grup ilkesi : GPMC ( Group policy Management Konsol ) un ynetimi ve o domaine hangi policy lerin etkilendiini belirtmek iin kullanlr. Yeni bir ilke oluturmak iin yeni butonu ile ilkeyi tanmlayan ve kolay hatrlanacak bir ad girilir. Ekle butonu ile alan menden " tm " seeneinden daha nceden tanmlanm grup ilkelerine link verilebilir.

Domain, site ya da OU zerinde birden fazla ilke grubu tanmlanm ise yukar ve aa butonlar ile hangisinin ncelikli olaca belirtilir. Eklenen ilkeyi seip dzenle butonuna baslrsa GPMC alr. lke ayarlar buradan yaplr.lke kmesinin seeneklerinden ; zerine yazma : Tanml ilkelerin alt kapsayclar tarafndan farkl ayarlarda kullanlmasn engeller. rnein domain zerinde 5 karakter parola zorunluluuna sahip bir ilke ayarlayp zerine yazma seenei aktif olursa alt OU ve domainler aksini belirtmi olsa dahi 5 karakter parola zorunluluu kullanacaktr. Devre d seenei: ilkeyi linki kaldrmadan devre d brakr. zellikler : ilke kmesinin zelliklerinden genel sekmesi : Yaplandrmann bilgisayar yada kullanc ayarlarnn alp almayacan belirler. Balantlar : lke kmesinin hangi OU ve domainler ile ilikili olduunu gsterir. Gvenlik : lke kmesinin kim tarafndan ynetildii, kimlere uygulanaca yada kimlere uygulanmayaca buradan seilir. Authenticated Users : Kimlii dorulanm kullanclar demektir. OU ya da domain e dahil olmu kullanclar bu gruba dahildir. Grup ilkesi uygula ayar da aktiftir. zellikle bir kullancnn bu ayardan etkilenmesi istenmiyorsa gvenlik sekmesinden eklenip " grup ilkesi uygula " ayarna deny verilmesi gerekir. WMI Szgeci : Bu blmde oluturulan vbs scriptleri ( virtual basic scripti) ile zelletirilmi filtreler oluturulup gelimi ilke alma yntemleri belirlenir.