Fırat Ürper

Çalışma Notlarım

Sistem

Active Directory Nedir, Yapısı ve Avantajları Nelerdir?

By admin//

Active Directory Nedir?

Bilgisayarlar ve sunucular tekil olarak çalışabilirler ve aynı şekilde ayrı olarak da yönetilebilirler. Ancak günümüzdeki siber yapılar gün geçtikçe genişlemekte ve içerisindeki cihaz sayıları artmaktadır. Bu artış sebebi yüzünden bahsi geçen tüm sistemlerin tekil olarak yönetimi çok zorlayıcı bir işlem haline gelecektir. Bu sebepten ötürü yönetim işlemini kolaylaştırmak adına sistemleri olabildiği kadar merkezi hale getirerek kontrolü ve bütünlüğü sağlamamız gerekmektedir. Domain ortamı kurulması sayesinde tüm sistem tek bir çatı altında toplanmaktadır. Bu yapıyı kurumak için merkezde bir sunucu kurmamız gerekmektedir. Windows server işletim sisteminin içinde bulunan servisler bu yapı kurulabiliyorken Linux tabanlı işletim sistemlerinde de benzer servisler (samba vb.) kurulabilmektedir. Ayrıca Microsoft’un bulut platformu olan Azure ile Active Directory sistemini bulut üzerinden de yapabilmekteyiz. Active Directory’nin kendi içerisinde yer alan bazı bileşenler vardır. Bunlardan bahsetmek gerekirse;

Domain Controller (DC) Nedir : Domain Controller, bilgisayar sistemlerindeki erişim isteklerini yanıtlayan ve sistemler üzerindeki kullanıcıları doğrulayan bir sistemdir. Domain yapıları kullanıcıların ve kullanıcı bilgisayarlarının bir arada aynı ağ içerisinde hiyerarşik bir şekilde çalışmasını sağlayan yapılardır. Active Directory’nin bu bileşeni, domain yapısının beynidir.

Domain Controller’ın ana sorumlulukları ağa erişen kullanıcıların kim olduğunu, kullanıcıların doğrulanmasını ve hangi kullanıcının nereye erişebileceğini ya da erişemeyeceğini belirlemektir. Kullanıcılar, kendisine verilen yetki kadar sistemde hak sahibidir. Domain Controller’ın önemli olmasının sebebi ağdaki akan verileri tanımlayan ve doğrulayan bir sistemdir. Bu verilerin içerisinde tüm bilgisayarların ismi, kullanıcı adları gibi önemli bilgiler vardır. Bu da Domain Controller’ı saldırganları kendisine çeken sistemlerden birisi haline getirmekte. Domain Controller’ın faydaları şu şekildedir;

  • Merkezi bir kullanıcı yönetimi sağlar.
  • Klasörler ve yazıcılar için kaynak paylaşımını aktifleştirir.
  • Kullanıcı verilerini kriptolar.
  • Geliştirilmiş güvenlik için kilitlenebilir ya da güvenlik önlemleri arttırılabilir.
  • Domain Controller’ın dezavantajları da şu şekildedir;
  • Siber saldırı hedefi haline gelmektedir.
  • Güvenliğinin sağlanmaması durumunda hacklenmesi söz konusu.
  • Ağ, Domain Controller’ın ayakta kalmasına bağlıdır.
  • Donanım ve yazılım gereksinimleri.

Group Policy Object (GPO) Nedir: Group Policy Object, sistemin belirlenen kullanıcılara nasıl gözükeceğini ve sistemin bu kullanıcılara nasıl davranacağını belirleyen grup ilke ayarlamalarının bir bütünüdür. Üç farklı GPO vardır. Bunlar;

  • Yerel Grup İlke Objeleri: Yerel GPO’lar, bir bilgisayara erişen ve işlemler yapan kullanıcıların kaydını tutar ve gerekli işlemleri uygular. Yerel GPO’lar sadece bir bilgisayar için geçerlidir. Varsayılan olarak tüm Windowsların yerel bir GPO’su vardır. 
  • Yerel Olmayan Grup İlke Objeleri: Bu obje, var olan bir ilke ayarını bir veya birden fazla kullanıcıya ve bilgisayara uygulamak istediğimizde kullanmamız gereken objedir. Yerel olmayan objeler tıpkı yerel objelerde olduğu gibi kullanıcılara ve bilgisayarlara uygulanabilirken bunlara ek olarak Active Directory objelerine bağlantısını da gerçekleşmektedir.
  • Başlangıç Grup İlke Objeleri: Windows Server 2008 işletim sistemi ile beraber tanıtılmıştır. Başlangıç GPO’ları grup ilke ayarları için bir tema görevini görmektedir.

Group Policy Object’lerin faydaları ise şöyledir:

  • Daha efektif bir yönetim sağlar.
  • GPO üzerinden yazılım, yama ve diğer güncelleştirmelerini uygulayarak yönetim kolaylaştırılmasını sağlar.
  • GPO, şifre uzunluğunu, tekrar kullanım kuralını ve benzeri gibi parametrelerle daha iyi bir parola ilkesi oluşturmaktadır.
  • GPO ayrıca şirketlerin önemli firma dosyalarını merkezileştirilmiş ve izlenebilir bir depolama sistemini sağlar.

Group Policy Object’lerin sınırlamaları ise; Ardı ardına işlemler yapar. Sistem üzerinde tam bir esneklik sağlanamamaktadır. Bakımı zordur.

DNS Server Nedir?

Domain Name System yani DNS, internetin telefon defteri gibidir. Kullanıcılar internete bir site adı yazdıklarında (Google.com vb) aslında sitenin adına değil, sitenin sunucusunun ip adresine giderler. DNS, sunucu ip adresine denk gelen adı tanımlar ve işlem yapan bilgisayarın bu adresi çözümlemesini sağlar.

DNS Sunucu yerel ya da dışarıda bir sunucu olabilir. İnternet üzerinde hizmette ve faaliyette bulunan bazı kuruluşların internete yayınladıkları DNS adresleri olabiliyor. (1.1.1.1, 8.8.8.8 vb.) Ayrıca DNS sunucusunu kendi sisteminizde de kurabilmektesiniz.

WSUS (windows Server Update Services) Nedir?

Windows Server Update Services (WSUS), Microsoft tarafından sunulan ve Windows Server işletim sistemleri için güncellemeleri ve yamaları indirip yönetebilen ücretsiz bir eklentidir. Microsoft tarafından sağlanan çok çeşitli işletim sistemlerinin ve ilgili uygulamaların sürekli güncellenmesine yardımcı olur. Küçük ve orta ölçekli işletmelerin (KOBİ’ler) BT yöneticilerinin ağlarındaki bilgisayarlara yayınlanan güncellemelerin dağıtımını etkin bir şekilde yönetmelerini sağlar.

WSUS’nin grup ilkesi, yöneticilerin ağlarına bağlı iş istasyonlarını WSUS sunucusuna yönlendirmesine ve son kullanıcıların Windows Update’e erişimini kısıtlamasına olanak tanır, böylece yöneticilere ağ üzerinde tam kontrol sağlar. Otomatik indirmeler, BITS yardımıyla etkinleştirilir ve bant genişliği kullanımının optimize edilmesine yardımcı olur. WSUS, işlemleri için .NET Framework, Microsoft Yönetim Konsolu ve İnternet Bilgi Hizmetini kullanır.   

Active Directory Olumlu ve Olumsuz Yönleri

Active Directory Windows Server yapılarında kullanılan bir dizin servisidir ve içerisinde server, client, users, printer gibi bilgileri tutmaktadır. Active Directory servisiyle birlikte gelen Group Policy ile çeşitli kısıtlamalar yapılabilmekte ve kullanıcılar bu kısıtlamalara dahil edilebilmektedir. Merkezi olarak herhangi bir uygulamanın dağıtımını da gerçekleştirebiliriz. Kısaca tüm bileşenlerin tek bir etki alanında toplanması ile işlem kolaylığı ve erişilebilirlik sağlamak amaçlanmıştır. Active Directory Microsoft tarafından, ilk olarak Windows 2000 işletim sürümü ile piyasaya sürülmüştür.

 Günümüze kadar da gelişerek gelmiştir. Birçok kurum güvenli bir yönetim için Active Directory hizmetinden faydalanmaktadır. Bu servisin geriye uyumluluğu sayesinde de yeni bir sürüme geçiş işlemi kolay bir şekilde sağlanabilmektedir. Active Directory Özellikleri’ni şöyle sıralayabiliriz.

  • Yönetilebilirlik
  • Ölçeklenebilirlik
  • Genişletilebilirlik
  • Güvenlik
  • Diğer dizin servisleri ile birlikte çalışabilme
  • Güvenli kimlik doğrulama ve yetkilendirme
  • Group Policy Object(GPO) yönetimi

Active Directory Yapısı

Domain Controller: Domain yapısının kurulduğu ve her nesnenin veritabanını depolayan bilgisayarlara Domain Controller(DC) adı verilmektedir.Domain Controller kurulabilmesi için sunucu tabanlı işletim sistemine sahip bilgisayar gerekmektedir. 

Yedeklilik(redundancy) ve yüksek erişilirlik(high availability) gibi nedenlerden dolayı en az iki Domain Controller kurulması önerilmektedir.Bu ihtiyacı Additional Domain Controller(ADC) sağlamaktadır. DC ve ADC hem writable hem de readable özelliktedir.Bunlara ek olarak bir de Read Only Domain Controller(RODC) vardır ki sadece readable özeliktedir.RODC kurulumundaki amaç ise birden fazla şubesi olan şirketlerde,fiziksel güvenliği sağlamak adına, bir Active Directory servisinin kurulmasını engellemektir.Böylece olası bir hatanın büyük bir soruna yol açmasının önüne geçilebilmektedir.

Domain: Domain kullanıcıların ve ağa dahil olan cihazların yönetimini merkezileştiren yapıdır. Active Directory de bu yapı üzerinde çalışan bir servistir.

Site: Önemli yapıtaşlarından biri olan Site, farklı coğrafyalarda bulunan Domain Controller yapılarının veri akışını optimize etmeyi sağlar.Bir kullanıcının farklı bir Site içerisinde yapacağı işlemler çok daha hızlı bir şekilde yürütülebilmektedir.

Organizational Unit: Türkçe yapısal birim olarak adlandırılan ve merkezi yönetimimizi kolaylaştıran bir yapıdır. Domain içerisindeki kullanıcı, yazıcı ve bilgisayarları gruplandırmamıza yarar. Burada amaç uygulanacak policy etki alanını istediğimiz şekilde yönetebilmektir. Örneğin bir policy sadece belirli kullanıcılar için uygulanabilir.

Forest: Mantıksal olarak Domain yapılarının içinde bulunduğu yapıdır. Forest içerisinde kurulan ilk Domain, Root Domain adını almaktadır.

Tree: Aynı isim altında toplanan Domainler topluluğuna Domain Tree denilmektedir.Mevcut Domain Parent Domain, daha sonra eklenen Domainler Child Domain olarak adlandırılır ve bu eklemelerle mevcut Domain genişletilebilir.Aynı Tree içerisinde bulunan domainler, ortak bir isimlendirmeye tabidir.

Global Catalog: Global Catalog, Active Directory’deki her bir nesnenin anahtar bir bilgisini tutarak nesneye ulaşılması istenilen durumda kolayca bulunmasını sağlar.Her bir Domain de en az bir adet Global Catalog sunucusu bulunmalıdır.İlk kurulan Domain yapısında da otomatik yüklenmektedir.

Active Directory İçerisinde Bulunan Roller

Active Directory üzerinde beş adet rol bulunmaktadır: 

  • Domain Naming Master:Bir domain kurulacağı zaman domain ismi bu rol tarafından onaylanmaktadır.Herhangi bir isim çakışmasını önlemektedir.
  • Schema Master:Active Directory üzerinde oluşturulan nesnelerin yapısını belirleyen roldür.
  • RID Master: Domain ortamına dahil edilen her nesnenin (unique) bir SID numarası vardır ve bu RID Master tarafından sağlanmaktadır.Böylece olası bir çakışmanın önüne geçilmektedir.
  • PDC Emulator: Domain ortamında zaman ayarının eşitliğini sağlar.Parola değişikliklerinden sorumludur.
  • Infrastructure Master: Domain ortamında nesnelerde gerçekleşen değişikliklerin güncellenmesinden sorumludur.

Active Directory Olumlu Yönleri

  • Active Directory yönetimi merkezileştirmesi ve kolaylaştırması.
  • Kullanıcılara grup bazında yetkilendirme ya da kısıtlama yapılması.
  • Kullanıcılar tarafından zararlı uygulamaların yüklenmesinin engellenmesi.
  • Kimlik denetimi sağlayarak şirket genelinde güvenliği sağlayabilmesi.
  • Firewall ile tam entegre çalışabilmesi.
  • Replikasyon teknolojisi ile Active Directory veritabanının ağ ortamında aktarılabilir olması.

Active Directory Olumsuz Yönleri

Active Directory her ne kadar faydalı ve gerekli olsa da güvenliğinin sağlanamadığı takdirde olumsuz sonuçlar doğurabilmektedir. Örneğin ele geçirilen bir kimliğin Domain Admin seviyesine çıkarılması çok kısa bir sürede gerçekleştirilebilmektedir. Bu da kurumumuzda veri kaybına neden olabilir. Active Directory ile ilgili yeterli seviyeye erişememiş bir Domain Admin, sağlıklı kurulumun gerçekleştirilemediği bir Active Directory sunucusu ya da kimlik yönetiminin doğru yapılandırılamaması olumsuz sonuçlar ortaya çıkarabilir. Kurumdan ayrılan ve artık aktif olmayan kullanıcıların da sistemde kayıtlı kalması güvenlik açığına neden olmaktadır. Bu olumsuzluklara sebebiyet vermemek adına bilinçli bir Domain Admin olmak ve güvenlik yönünden sistemleri yeterli seviyeye ulaştırmak amaçlanmalıdır.