Active Directory Etki alanı Hizmetleri

Active Directory'de plan yaparken, planınız en üst düzey nesnelerle başlamalı ve en alt düzey nesnelere doğru ilerlemelidir. Bu durumda yapmanız gerekenlerin listesi :

1. Bir orman planı geliştirin.
2. Orman planını destekleyen bir etki alanı planı geliştirin.
3. Etki alanını ve orman planını destekleyen bir kuruluş birimi planı geliştirin.

Ormanı planlamak ad alanı için ve bütün olarak kuruluşun gereksinimlerinin idaresi için bir plan geliştirmeyi içerir.

Her Active Directory uygulamasının en üst yapısı orman kökü etki alanıdır. Aynı ormana eklenen etki alanlarının şu karakteristikleri olur : 

-Ortak bir şemayı paylaşırlar

-Ortak bir yapılandırma dizin bölümünü paylaşırlar

-Ortak bir güven iliskisi yapılandırmasini paylaşırlar

-Ortak genel kataloğu paylaşırlar

-Orman çapında ortak yöneticileri paylaşırlar

Ormandaki tüm etki alanlarının aynı üst düzey yöneticileri vardır bunlar : 

Enterprise Admins grubu : etki alanlari ekleyip kaldırma iznine sahip orman düzeyinde ayrıcalıkları olan tek yöneticilerdir. Bu grup aynı zamanda her etki alanındaki yerel Administrators grubunun bir üyesidir, bu nedenle varsayılan ayar olarak bu kullanıcılar ormandaki herhangi bir etki alanını yönetebilir.

Schema Admins grubu : Şemayı değiştirme hakkına sahip yöneticilerdir.

varsayılan etki alanınızda ya da yeni oluşturulan bir etki alanında aşağıdaki kapsayıcılar bulunur : 

Builtin : yönetim için yerlesik grup hesaplarını içerir. Bunlar arasında Administrators ve Account Operators vardır.

Computers : Etki alanıdaki bilgisayar hesaplarını içerir.

Domain Controllers : Etki alanı denetleyicileri hesaplarını içerir ve yüklediğiniz etki alanı denetleyicisinin hesabınıda içermelidir.

ForeignSecurityPrincipals : Diğer etki alanı ağaçlarından güvenlik simgeleri için bir kapsayıcıdır.

Users : Etki alanındaki kullanıcı hesapları için varsayılan kapsayıcıdır.

OU(Yapısal Birim) oluşturmak

Bir etki alanı içerisinde OU hiyerarşileri oluşturabilirsiniz. Active Directory Users And Computers'da OU'lar oluşturabilirsiniz. Administrator grubunun bir üyesi olan bir hesap kullandığınız müddetçe etki alanında herhangi bir yerde OU oluşturabilirsiniz. Şimdi örnek olarak bir OU oluşturalım. - Start>Administrative Tools>Active Directory Users And Computers'i seçin. varsayılan olarak oturum açtığınız etki alanına bağlanırsınız. Farklı bir etki alanında OU oluşturmak isterseniz, Active Directory Users And Computers'a sağ tıklayıp change Domain'i seçin.

- Üst düzey bir OU oluşturmak için etki alanına sağ tıklayıp New>Organizational Unit'i seçin. Alt düzey bir OU oluşturmak için, içinde oluşturmak istediğiniz OU'ya sağ tıklayın New>Organizational Unit'i seçin. Gelen iletişim kutusunda OU için bir ad yazın OK' i tıklayın.

OU silme

Tüm OU'lar silme korumasına sahiptir. Bu koruma Windows server 2008'de yenidir. Bir OU'yu silmek için şu adımları tamamlamalısınız : 

- Active Directory Users And Computers'da View menüsünde Advanced Features'u seçerek Advanced Features'u etkinleştirin.

- OU'ya sağ tıklayıp properties'i seçin. iletişim kutusunun object nesnesinde Protect Object From Accidential Deletion onay kutusunu temizleyin OK'i tıklayın.

- Silmek istediğiniz OU'ya sağ tıklayıp delete'i seçin.

OU özellikleri

Bir OU'nun özelliklerini ayarlamak için Active Directory Users And Computers'da OU'ya sağ tıklayıp properties'i seçin. Aşağıdaki gibi bir iletişim kutusu gelecektir.

General sekmesinde OU ile ilgili açıklayıcı bilgiler girebilirsiniz.

Managed By sekmesinde OU'yu yönetmekten sorumlu kullanıcı veya kişi bilgisini belirtebilirsiniz. Bu, OU ile ilgili sorular için iletişime geçmeniz gereken kişileri bulmanıza yardımcı olur.

Advanced görünümü etkinleştirildiğinde aşağıdaki ek sekmelere ve seçeneklere sahip olursunuz : 

- Object nesnesinde OU adının diğer adını belirleyebilir ve OU'yu kaza ile silmeye karşı korunup korunmayacağını ayarlayabilirsiniz.

- COM+ sekmesinde OU'nun üyesi olması gereken(varsa) COM+ bölümünü belirleyebilirsiniz.

- Attribute Editor sekmesinde OU nesnesinin özniteliklerini görebilir ve ayarlayabilirsiniz.

Var olan hesap veya kaynakları bir OU'ya taşıyabilirsiniz. Sürüklemek istediğiniz hesap vaya kaynağı seçip sürüklemek istediğiniz OU'ya sürükleyip bırakın.

Etki alanlarının ve OU'ların yönetimini devretmek

Etki alanında kullanıcıyı Administrators grubunun bir üyesi yapmak yerine kullanıcıya belirli nesneler üzerinde tam denetim verirsiniz. örneğin, kullanıcının etki alanında kullanıcı ve grup hesaplarını yönetebilmesini ama diğer yönetimsel görevleri gerçekleştirememesini isteyebilirsiniz.

Bir OU içerisinde belirli türler üzerinde tam denetim verebilirsiniz. örneğin, yerel yöneticilerin kullanıcıları ve grupları yönetebilmelerini ama bilgisayar hesaplarını yönetememelerini isteyebilirsiniz.

Bir etki alanı veya OU'nun yönetimini devretmek için şu adımları izleyin : 

• Active Directory Users And Computers'i başlatın. Yönetimi devretmek istediğiniz etki alanı veya OU'ya sağ tıklayıp Delegate Control'u seçin. Next'e tıklayın.
• Select Users, Computers, or Groups iletişim kutusunu görüntülemek için Add'e tıklayın. varsayılan konum geçerli etki alanıdır. Kullanılabilir etki alanlarının ve erişebileceğiniz diğer kaynakların bir listesini görmek için Locations'i tıklayın.
• Seçilen veya varsayılan etki alanındaki bir kullanıcı veya grup hesabının adını yazın ve Check Names'i tıklayın. Kullanılabilir seçenekler aşağıdaki gibi, bulunan eşleşmelerin sayısına bağlıdır.
  Tek bir eşleşme bulunduğunda : iletişim kutusu uygun şekilde güncellenir ve girdinin altı çizilir.
  Bir eslesme bulunamazsa : Yanlış bir ad girilmiş olabilir ya da yanlış bir konumda çalışıyorsunuzdur.
  Birden fazla eşleşme bulunursa : Kullanmak istediğiniz adı seçin ve OK deyin.
  Ek kullanıcı veya gruplar eklemek için bir noktalı virgül(;) yazın ve işlemi tekrarlayın. OK'i tıklayın.
• Aşağıdaki şekilde çok kullanılan görevlerin bir listesi verilmiştir. Bu yaygın görevlerden birini devretmek isterseniz görevi seçin. Next ve Finish deyin.
   
• Devredilecek özel bir görev oluşturmak isterseniz Create A Custom Task To Delegate'i seçin ve Next'e tıklayın.
• Aşağıdaki gibi gelen sayfada kapsayıcı içerisindeki tüm nesnelerin yönetimini devredebilirsiniz veya belirli nesneleri devredebilirsiniz. Seçimimizi yapıp Next'diyoruz.
  
• Aşağıdaki şekilde gösterilen Permissions sayfasında daha önce seçilen nesneler için devredilecek izin seviyelerini seçebilirsiniz. Nesne veya nesneler üzerinde Full Control'a izin verebilir veya çok belirli izinler atayabilirsiniz. Daha sonra Next ve Finish'e tıklayın.
  

FSMO Rolleri

Windows 2000 den beri, Domain ve Forest ortamımızda çesitli işlerden sorumlu 5 adet rol vardır. Bunlara Flexible single Master Operations (FSMO) Rolleri denir. Bu roller : 

Schemma Master Role

Domain Naming Master Role

Relative Identifier Master Role

Primary Domain Controller Emulator Role

Infrastructure master Role

Schema Master Role ve Domain Naming master Role’ den forest ortamında sadece birer tane bulunurken, RID Master, PDC Emulator ve Inf.Master forest içerisindeki her domainde bir dc üzerinde yer alabilir. FSMO rollerinin tamamını aynı DC üzerinde tanımlayabileceğimiz gibi her rolü ayrı bir dc'ye verebiliriz.

Schema Master Rolü : Bu rolü üstlenen DC, Active Directory şema veritabanını günceller. Schema Master olan DC Active Directory Schema’ si için yazma yetkisine sahiptir. Eğer bu masterda sorun varsa schema üzerinde değişiklik yapılamaz. Schema’ da yapılan değişikliklere örnek olarak exchange server kurulumu verilebilir. Microsoft Management Console (MMC) a Schema Snap-in ini eklemek için küçük bir registry işlemi gerekmektedir.

Strart/Run/ regsvr32 schmmgmt.dll yazıp Enter a basıyoruz. Artık MMC de Active Directory şemasını görebilirsiniz.

Domain Naming Master Rolü : Foresta yeni bir domain ekleme ve çıkarma işlemlerinden sorumludur. Bir domain eklerken veya varolanı kaldırırken bu role sahip makineyle o an haberleşme sorunu olmaması gerekir. Bunun nedeni örneğin; CN_Partitions, CN=Configuration, DC=cagataykartal.com contextine yazabilme hakkının sadece Domain Naming master Rolüne sahip olan makinede olmasıdır. Bu rol olmasa mesela aynı anda 2 farklı bilgisayardan aynı foresta aynı domain eklenmesi gibi çakışma durumları olabilirdi. Bu rolün varsayılan sahibi ilk Active Directory nin kurulduğu root DC dir. Bu rol için dikkat edilmesi gereken en önemli şey blunduğu makinenin aynı zamanda Global Catalog Server olması gerekliliğir. Çünkü oluşturulan bir domainin ortamda aynı isimle daha önceden oluşturulup oluşturulmadığı sorulacaktır.

Domain Naming Master Rolünün hangi makinede olduğunu Active Directory Domains and Trust bölümünden görebiliriz.

Primary Domain Controller Emulator Rolü : Mixed mod domainlerde Active directory veritabanını, ortamdaki eski işletim sistemli makinelerin anlayacağı şekilde dönüstürür.

Domain Password değişiklikleri için ağ üzerinden PDC makinesi aranır. Windows 9x ve NT’ ler eger PDC emulator rölüne sahip makine o an için online değilse şifrelerini değiştiremezler. (Active Directory Client Programi ile bu sorun aşılır)

Active Directory’ de tüm DC’ ler kendilerine gelen domain şifre değişikliklerini PDC emulatore yollarlar. Mesela bir kullanıcı şifresini değistirir değiştirmez logon olmaya çalişsa henüz replikasyon yapılmadığı için şifresi doğru olmasına rağmen hala eski şifresi kayıtlı olduğu için Logon deny şeklinde bi uyarı alır ve logon olamaz. Bu sorun yasanmasın diye kullanıcı logon isteği gönderir göndermez o DC hemen PDC emulatore gider ve o kullanıcı adı ve şifreyi doğrulamasını ister. PDC Emulator şifreyi doğrularsa DC kullanıcıyı authenticate eder. Bu gibi replikasyonlara da (urgent replication, ani replikasyon) denir.

PDC Emulator, RID Master ve Infrastructure Master Rolleri aynı bölümden, Active Directory users and Computers içinde Domain adına sağ tık/ Operations Masters içerisinden görünmektedir.

Relative Identifier Master Rolü : Yeni bir user, grup veya computer hesabı oluşturduğumuzda, ona otomatik olarak bir SID numarası atanır. Bu Security Identify numarası benzersiz bir numara olmak durumundadır. Peki 1 tane domain ve 10 tane Additional DC miz olduğunu varsayarsak, her makineden kullanıcı oluşturabildiğimize göre dclerin farklı iki kullanıcıya aynı SID numarasını atamayacaklarından nasıl emin olabiliriz? RID master sayesinde emin olabiliriz.

Infrastructure Master Rolü : Aynı forest içinde birden çok Domainimiz varsa gereklidir. cagataykartal.com ve destek.cagataykartal.com isimli iki domainimiz olduğunu varsayalım. cagataykartal.com’ da oluşturulan Ahmet isimli kullanıcı destek.cagataykartal.com domainindeki IT grubuna üye olsun. Ahmet kullanıcısının adını cagataykartal.com’ da Ahmet2 olarak değiştirdiğimizde alt domaindeki IT grubunun içindeki Ahmet ismini, Ahmet2 yapan Infrastructure Master Role dür.

Rollerle ilgili dikkat etmemiz gereken unsurlar;

Domain Naming Master = Global Catalog olan DC de bulunmalı

Infrastructure Master = Global Catalog olan DC de bulunmamalı

PDC Emulator = Çok is yaptigi için performansli bir DC de olmalı

Adprep : Bir komut seti aracıdır. Her windows server yükleme medyasının içinde bulunan ( \Support\Adprep ) bu komut seti yardımı ile yeni sürüm bir windows işletim sisteminin var olan ortama bir dc olarak eklenmesi için gerekli ön adımları gerçekleştirmemize yardımcı olur. örneğin mevcut directory yapınızda windows server 2000 veya 2003 işletim sistemi üzerinde çalışan Domain Controller' larınız var ise bu durumda ortama 2008 veya 2008 R2 bir domain controller eklemek için öncelikle adprep komutunu çalıştırmanız gerekmektedir.

adprep /forestprep : Tüm forest içerisinde sadece bir kere Çalıştırılması ve yetki olarak schema admins grubu üyesi olunması gerekmektedir. Eğer birden çok dc olan bir ortamınız var ise schema master rolü hangi dc de ise onun üzerinde Çalıştırılması gereklidir.

adprep /domainprep - forest içerisindeki her domainde çalıştırılması gerekmektedir (tabiki bir forest içerisinde birden çok domain yapınız var ise ). Domain admins grubu üyesi olunması gerekmektedir yetki noktasında. Eğer birden çok dc olan bir ortamınız var ise infrastructure operations master rolü hangi dc de ise onun üzerinde Çalıştırılmasi gereklidir.

adprep /rodcprep - Tüm forest için tek bir sefer çalıştırmak yeterli olur. Bu komutun amacı eğer ortama windows server 2008 ile hayatmiza giren RODC rolünü ekleyecekseniz çalıştırmanız gerekmektedir.