Active Directory Nedir ?
En temel anlatım şekliyle Active Directory BT uzmanları için Windows Server ile oluşturulmuş ağlarda bir dizin hizmetidir. Kurum içerisindeki kaynakların (Bilgisayarlar, Yazıcılar, Ağ servisleri, Uygulamalar, Kullanıcı Profilleri, Sistem Konfigürasyonları vb.) bilgisini toplar, bu toplanan verileri bir veri tabanı altında tutar. Bu hizmeti ağınızın tüm kaynaklarına ulaşmak ve güvenliği sağlanmış bir şekilde merkezi bir yapıda yönetebilmeniz için gerekli olan ortamı oluşturmaktadır. Active Directory Nedir başlıklı anlatımımıza devam etmeden önce buna neden ihtiyaç duyduğumuzu da açıklamak gerekiyor. Microsoft bu dizin hizmetini niçin icat etmiş olabilir? Artık günümüzde yüzbinlerce kurum ve kuruluşun kullandığı bu dizin hizmetinin bize sağladıklarını anlayabilmek için ilk önce kimlik doğrulamayı anlamamız gerekir.
LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) – MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION)
Kimlik doğrulama, herhangi bir kaynağa kullanım izni verilmeden önce, kimliğinizi doğrulama işlemidir.
Bilgisayarınızı kullanmadan önce şifre kullanıyorsanız ve şifrenizi girdiğinizde bilgisayarınız açılıyor (işlem yapmanıza izin veriyorsa) kimlik doğrulama kullanıyorsunuz anlamına gelmektedir. Kimlik doğrulamaya daha açık bir örnek vermemiz gerekirse, örneğin herhangi bir Avrupa Ülkesine gitmek istediğinizde Pasaport kullanmanız gerekir, Pasaport sizin bildirmiş olduğunuz kişinin o olup olmadığınızı doğrulamak için kullanılır. Bu yazımız da iki tür doğrulama anlatılmıştır. LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) ve MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION)
LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION)
Şöyle bir Senaryo düşünelim,
Sevdiğiniz bir elektronik mağazasından bir dizüstü bilgisayar satın alıyorsunuz evinize veya işyerinize gidip üzerinde sistem kurulu olan bu bilgisayarı açtığınız da karşınıza gelen bilgi pencerelerinde sizden kişisel bilgilerinizi girmeniz istenir bu bilgilerden iki tanesi Kullanıcı adı ve şifredir. Bu bilgileri yazdığınızda bilgisayarınız sizin için bir hesap oluşturacaktır ve siz bu bilgileri girip sisteminizi açtığınız da kimlik doğrulamanız gerçekleşir ve oturum açarak bilgisayarınızı kullanmaya başlayabilirsiniz.
Şimdi ise senaryomuza şu şekilde devam ediyoruz,
Bu bilgisayarımızın çalındığını, bulma imkânımızın olmadığını ve yeni bir tane aldığımızı düşünelim,
Yeni aldığımız bilgisayarımızı açtığımız da çalınan bilgisayarımız da ki yaratmış olduğumuz kullanıcı adı ve şifre ile bilgisayarımız çalışmayacaktır. Bunun nedeniLOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) ile çalışıyor olmamızdır ve bilgisayarımız çalındığı için bu bilgi o bilgisayarımız la beraber artık yoktur. Ancak tabii ki LOKAL KİMLİK DOĞRULAMA (LOCAL AUTHENTICATION) kullandığımız için aynıkullanıcı adı ve şifre ile yeni bir kullanıcı yaratabiliriz. Bu durumu araba anahtarları gibi de düşünebilirsiniz. Sizin aracınızdan çok sayıda vardır ancak anahtarınız bir tek sizin aracınızın kapılarını açar.
MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION)
Eğer kurum içindeki cihazlarımızın tek bir veri tabanından kimlik doğrulaması yapmasını istersek bunun adına da MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION) denir.
Bunu anlayabilmemiz için bu seferki senaryomuza bir hastaneyi örnek verelim,
Diyelim ki siz bir hastanede başhekim veya hastane müdürüsünüz ve hastane içerisindeki bölümlere ait odalarınız, üzerlerinde kimlik bilgisi tutan manyetik kartlar ile çalışıyor olsun. Tüm hastane çalışanlarının yetkileri dâhilinde hastane içerisin deki odalara girip çıkabildikleri bir ortamda başhekim veya hastane müdürü kendi odalarına kartları ile girebilirken yetkisi olmayan çalışanlar kartını burada okuttuğunda girişine izin verilmeyecektir. Burada ki yetkiler merkezi bir konumda ki veri tabanından atanmakta size verilen kartların üzerinde kim olduğunuz göreviniz ve yetkileriniz yer almaktadır işte buna MERKEZİ KİMLİK DOĞRULAMA (CENTRAL AUTHENTICATION) denir. Diğer senaryomuzun aksine burada kartımızı kaybedersek, Hastane yönetiminden alacağımız yeni kart ile çok ufak bir ayar neticesinde yetkimiz olan tüm kapılardan uğraşmadan geçebiliriz. Ve kaybolan kartımızın da kapıları açmasını çok basit bir şekilde engelleyebiliriz.
Active Directory Nedir?
Active Directory kullanıcıları doğrulamak için kullanılan “Merkezi” bir veri tabanıdır. Bu durumda her bir hastane personeli bu veri tabanında tutulur herhangi bir hastane personeli yetkisi olmayan bir kapıdan geçmek için kartını okuttuğu sırada kart üzerinde ki bilgi veri tabanı ile eşleştirilerek o kapıyı açıp açamayacağı belirlenir.
Daha gerçekçi bir örnekte ise, birçok kuruluş ve işletmenin BT Organizasyonları çalışan personel bilgilerini Active Directory üzerinde tutar. Çalışan, herhangi bir kaynağı kullanmak istediği takdir de öncelikle kimlik doğrulması yapması gerekmektedir. Buradaki kaynakların kullanım izinleri ve yetkileri BT Organizasyonu tarafından belirlenir.
Kimlik Doğrulama (Authentication) – Anlattığımız gibi söz konusu kaynak kullanılmaya başlanmadan önce kimliğinin doğrulanması işlemidir.
Yetkilendirme (Authorization) – Kimliği doğrulanmış kişi Kaynağı kullanıp kullanmaması konusunda yetkili olup olmadığını doğrulama işlemidir.
Active Directory bazı temel bileşenlerden oluşmaktadır, birincisi ve en önemlisi her Active Directory yapısının tek bir etki alanı denetleyicisi vardır. Bu etki alanı veri tabanında Yetkilendirme(Authorization) , Kimlik Doğrulama (Authentication) ve Hesap (Accounting) mekanizmaları yer almaktadır. Bu dizin hizmeti Windows 2003 ile başlamış Windows Server 2008 , Windows 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 ile sürekli geliştirilerek devam etmektedir. Bir sunucuyu etki alanı denetleyicisi yapmak için, Ekran görüntüsü aşağıda gösterildiği gibi Active Directory Domain Services Rolünün yüklü olması gerekmektedir.
Genel BT terminolojisinde bir etki alanı kurum kaynaklarının topluluğudur. Örneğin bir şirket kurduğunuzu düşünelim, şirketimizin ismi x.ltd.şti olsun, 100 adet personeliniz , 100 adet bilgisayarınız , 1 adet web sitesiniz ve 1 adet mail sunucunuz olsun bu kaynakların hepsi x.com’a ait olacaktır. İşte bu etki alanın adıdır.
Peki, Active Directory terminolojisinde işleri biraz değiştirelim,
Yukarıdaki örneğimizi kullanarak x.com etki alanımız bizim ORMAN (FOREST) veyaÜST DÜZEY (top-level) etki alanımız olsun. Peki neden?
Çünkü Active Directory etki alanı içinde etki alanları oluşturarak bunları bir koleksiyon halinde oluşturmamıza olanak sağlar işte buna ORMAN (FOREST) denir. Diyelim ki x.com şirketimizi Avrupa’ya hizmet verebilecek şekilde genişletmek istiyoruz, Orada da çalıştıracağımız personellerin kullanacağımız servis ve donanımların kayıtlarına ihtiyacımız olacaktır. Active Directory ile x.com içinde bir etki alanı daha oluşturarak bunun adını da Avrupa.x.com yapabiliriz. O zaman bu “Avrupa” etki alanı içinde Sunucular, bilgisayarlar ve kullanıcıları atamak mümkün olacaktır.
Aşağıda yer alan resim içerisinde yapı bize ORMAN (FOREST) anlatılmaktadır.ORMANIN (FOREST) içindeki etki alanı altındaki bölümleri göstermektedir.
ACTIVE DIRECTORY KULLANICI VE BILGISAYARLARI (ACTIVE DIRECTORY USERS AND COMPUTERS)
Aşağıda yer alan resim de ise Active Directory’nin bir yönetim aracını görüyorsunuz.
Yukarıda resimde gördüğünüz üzere etki alanı X.com olarak belirlenmiştir. Active Directory terminolojisinde X.com başlığı altında bu kuruluşa ait (Organizational Units veya kısaltması ile OU) kuruluş birimlerinin Active Directory tarafından yaratılmış olduğunu görebilirsiniz.
(Organizational Units veya kısaltması ile OU) Kuruluş birimi Active Directory’nin çok önemli bir parçasıdır. Daha önce de bahsettiğimiz gibi kurum içinde ki BT organizasyonlarının Active Directory üzerinden Coğrafi konumları, departmanları bölme ve yönetme gibi işlemlerin büyük çoğunluğu bu panel üzerinden yapılmaktadır.
Belli bir yerde, çalışanlar için ayrılmış bir ormandaki (FOREST) bir etki alanı (DOMAIN) oluşturmak ve bu etki alanı içinde , her bölüm veya konum içinde yer alan kuruluş birimleri oluşturulur (Organizational Units veya kısaltması ile OU) bu örnekte x.com içinde Avrupa çalışanlarım için bir etki alanımız yer almaktadır. Şimdi onu göreceğiz
Etki alanı yukarıda ki gibi oluşturulduktan sonra, aşağıdaki resimde görebileceğiniz gibi etki alanımızı Avrupa.x.com olarak değiştiriyoruz
Şimdi, Avrupa içerisinde nerede bir x.com şirketimizin ofisi varsa bu ofislerin çalışanları için birer (Organizational Units veya kısaltması ile OU) kuruluş birimi oluşturalım.
X.com şirketimiz için Avrupa’da (Londra, Paris, Roma, Berlin, Amsterdam) olmak üzere 5 adet (Organizational Units veya kısaltması ile OU) kuruluş birimi oluşturduk. Ancak gördüğünüz gibi henüz içleri boş,
Gördüğünüz gibi Londra içinde 4 adet (Organizational Units veya kısaltması ile OU)kuruluş birimi oluşturduk. Biri Kullanıcılar için (USERS) , biri bilgisayarlar için (COMPUTERS) , biri sunucular için (SERVERS) ve son olarak ta oluşturmak istediğimiz gruplar için (GROUPS), peki grupları ne için oluşturuyoruz?
Active Directory grupları AAA protokolünü kullanarak çok daha kolay uygulamaya olanak sağlar (AAA) yukarıda bahsetmiştik (Authentication , Authorization, Accounting) bu üçünün kısaltması AAA olarak geçmektedir. Evet, şimdi de Londra ofisimizde örneğin 2 adet satış ve pazarlama 2 adet Araştırma ve Geliştirme (Ar-Ge) çalışanımız olsun bunlar içinde Kullanıcılar (USERS) OU’muzun altında 2 adet daha OUoluşturacağız. Aşağıda ki resimde görebilirsiniz,
Şimdi de satış ve pazarlama departmanın da ayrıca Ar-Ge departmanın da çalışacak kişiler için kullanıcıları oluşturacağız,
Şimdi de Londra ofisimiz de dosyalarımızı saklayabileceğimiz bir sunucumuz olsun,
Ar-Ge bölümün de yer alan kullanıcılar sadece Ar-Ge klasörü içerisinde ki bilgi ve belgelere tam erişim izni vermek istiyoruz. Dikkat edin Tam erişim izni vermek istiyoruz dedik çünkü eğer istersek sadece okuma izni de verebiliriz bu durumda kullanıcı izin verilen dizinde ki bilgileri sadece okuma yetkisine sahip olacaktır yani görebilir içeriğini okuyabilir ancak değiştiremez ve silemez. Yapacağımız yetkilendirmenin fonksiyonu Tam Yetki olacaktır. Ayrıca Satış departmanında ki bir kullanıcı Dosya Sunucusu üzerinde Ar-Ge klasörüne girip oradaki bilgileri görmek isterse erişim mümkün olmayacaktır. Bu ayarlamalar için Ar-Ge klasörüne Grup kullanarak kullanıcılar için erişim izni veren gruplarımızı oluşturalım,
Grubumuzu yarattık şimdi yetkili olacak kullanıcıları grubumuza ekleyebiliriz.
Evet, burada grubun adına dikkat edin. Burada her zaman önemli olan oluşturduğunuz gruplarınızın isimlerinin yeterince açıklayıcı olmasıdır ki çok fazla grup ve paylaşılacak çok bilginiz, yapmak istediğiniz farklı yetkilendirmeleriniz olursa Dizin Hizmetiniz çorbaya döner. Şimdi son olarak yukarıda Dosya sunucumuzun üzerinde oluşturduğumuz klasörlere bu grupları bağlamalıyız ve işlemimiz nihayete erecektir.
İşimiz bitti . artık Ar-Ge grubuna eklediğimiz kullanıcılarımız Sunucumuz üzerinde ağ üzerinde paylaşımda olan Ar-Ge klasörümüze artık tam yetki ile erişim izni almış durumdadır. Diğer grup ve kullanıcılarımız ise bu klasöre erişmek istediklerinde erişim hatası ile karşılaşacaklardır.
Yani temelde (Organizational Units veya kısaltması ile OU) bize organizasyonumuz içerisinde kullanıcılar, bilgisayarlar, Sunucular vb. onları gruplar ile çok ayrıntılı bir şekilde politikalar, kurallar uygulayarak tüm sistemimizi organize etmemizi sağlar.
Umarım hazırlamış olduğum bu makale çok uzun olmasına rağmen Dizin Hizmetini anlatma konusunda sizlere yardımcı olacaktır. Bu makale boyunca okuduğunuz gibi kurum ve kuruluşların dizin hizmeti kullanma noktasında da farklı ihtiyaç ve talepleri vardır. Bu işe gönül vermiş arkadaşlarımızın da bu yapıyı çok iyi öğrenmeleri gerekmekte ki yönettikleri sistemler üzerinde en büyük yardımcılardan birisi Microsoft Active Directory’dir. Bir sonraki yazımızda görüşmek dileği ile sabrınız için teşekkür ederim.
Erhan CEVIZ Gemma Teknoloji
