Open in app

Sign in

Write

Sign in

Active Directory Nedir ?

Bilge Güngör
7 min readOct 31, 2023

--

Bilgisayarlar ve sunucular tekil olarak çalışabilirler ve aynı şekilde ayrı olarak da yönetilebilirler. Ancak günümüzdeki siber yapılar gün geçtikçe genişlemekte ve içerisindeki cihaz sayıları artmaktadır. Bu artış sebebi yüzünden bahsi geçen tüm sistemlerin tekil olarak yönetimi çok zorlayıcı bir işlem haline gelecektir. Bu sebepten ötürü yönetim işlemini kolaylaştırmak adına sistemleri olabildiği kadar merkezi hale getirerek kontrolü ve bütünlüğü sağlamamız gerekmektedir.

Günümüzdeki karmaşık ağlar ve kimlik yönetimi sistemleri düşünüldüğünde, Active Directory’nin doğuşu, ağ yönetiminde devrim niteliği taşır. Öncesi dönemde, ağlarda kimlik doğrulama işlemleri oldukça basitti ve kullanıcılar genellikle sadece kullanıcı adı ve şifre kullanarak ağa erişebiliyorlardı. Ancak bu basit yöntemler, ağların büyümesi ve daha karmaşık hale gelmesiyle birlikte yetersiz hale geldi. Kullanıcıların erişim haklarının merkezi olarak yönetilmesi, parolaların güvenli bir şekilde saklanması ve güvenli kimlik doğrulama gereksinimleri arttı.

1990'ların başında, Microsoft, Windows NT işletim sistemi ile birlikte Active Directory’nin temellerini atmıştır. Active Directory, bu sorunları ele almak ve ağ yönetimini daha etkili hale getirmek için tasarlanmıştır. Active Directory ilk olarak Windows Server 2000 ile hayatımıza girdi. Zamanla Windows Server 2003, 2008, 2012, 2016, 2019 ve 2022 sistemlerinde kendini geliştirerek günümüzdeki halini almıştır. Tüm sorgulama ve değişiklik işlemleri ile veri tabanı yönetimi gibi işlemler ESE (Extensible Storage Engine) isimli veri tabanı motoru tarafından yürütülür.

Active Directory Nedir?

Active Directory, en kısa ve net tanım olarak merkezi bir kimlik yönetim sistemidir. Daha geniş bir ifade ile Microsoft tarafından özellikle Windows tabanlı sunucu ve son kullanıcı bilgisayar sistemleri için tasarlanmış olan, içerisinde sunucu ve son kullanıcı bilgisayar objeleri ile kullanıcı hesaplarının ve grup bilgilerinin tutulduğu bir dizin servisidir. Bu dizin servisi içerisinde; server, client, printer, user gibi bilgileri tutar. Bu bilgileri tuttuğu için aynı zamanda da bir veri tabanıdır. Active directory “LDAP” uyumlu bir veri tabanıdır. Active Directory’nin veri tabanı “ntds.dit(New Technology Directory Servis — Directory Information Tree)” dosyasıdır. Active Directory kullanılan bir sistemde “ntds.dit” dosyasının yedeğinin alınması gerekmektedir.

Active Directory yönetimi merkezileştirir ve kolaylaştırır. Active Directory servisiyle birlikte gelen Group Policy ile çeşitli kısıtlamalar yapılabilmekte ve kullanıcılar bu kısıtlamalara dahil edilebilmektedir. Merkezi olarak herhangi bir uygulamanın dağıtımını da gerçekleştirebiliriz. Kısaca tüm bileşenlerin tek bir etki alanında toplanması ile işlem kolaylığı ve erişilebilirlik sağlamak amaçlanmıştır. Birçok kurum güvenli bir yönetim için Active Directory hizmetinden faydalanmaktadır. Active Directory, büyük ölçekli ağlarda kullanıcı ve kaynak yönetimi için önemli bir araçtır. Öncelikle Microsoft Windows’un bir özelliğidir, ancak diğer işletim sistemleri de sınırlı bir dereceye kadar buna katılabilir, örneğin Linux tabanlı bir ana bilgisayarı bir Active Directory ortamına katabilirsiniz.

Active Directory’i daha iyi anlamak için öncelikle Active Directory haricindeki sistemi anlamamız gerekir. Active Directory sistemi haricindeki sistemlerde, aynı ağda bulunan her bilgisayarın kullanıcı ve parola bilgilerini tutan kendi küçük veri tabanları bulunmaktadır. Microsoft bu ağı “Workgroup” olarak tanımlamaktadır.

Workgroup kullanılabilir olmamasının nedenlerinden bazıları şunlardır ;

  • Workgroup yapısında merkezi bir yönetim yoktur. Her bilgisayarın kendi kullanıcılarını ve parolalarını yönetmesi gerekir. Bu, büyük ölçekli ağlarda yönetim karmaşıklığına yol açabilir.
  • Kullanıcılar, diğer bilgisayarlara erişim için aynı kullanıcı adı ve parolayı kullanmalıdır. Bu, kullanıcılar için ekstra bir zahmet ve yönetim işlemi anlamına gelir.
  • Bir kullanıcının parolasını değiştirmesi gerektiğinde, bu değişiklik ağdaki diğer bilgisayarlarla senkronize edilmelidir. Aksi takdirde, kullanıcı diğer bilgisayarlara erişimde sorun yaşayabilir.

Active Directory, bu sınırlamalara bir çözüm sunar. Eğer ağımız küçükse yönetilebilmesi kolaydır. Fakat ağdaki bilgisayar sayısı artarsa yönetimi oldukça zorlaşacaktır. Bu nedenle büyük çaplı ağlarda Active Directory gibi merkezi bir veritabanı yapısı gerekmektedir.

Active Directory tüm kullanıcıları ve parolalarını merkezi bir veri tabanında tutar. Active Directory’ de bir kullanıcının parolası değiştiğinde ağdaki tüm bilgisayarların bu değişiklikten bilgisi olur.

Active Directory daha önce de belirttiğimiz gibi ağımız için merkezi bir veri tabanına sahiptir. Aynı zamanda bu yapı genişleyebilen bir yapıdır.

Bu yapıda :

  • AD, kullanıcıların ve bilgisayarların kimlik bilgilerini saklar. Kullanıcı adları, parolalar, e-posta adresleri ve diğer kimlik bilgileri bu merkezi veritabanında korunur. Bu, kullanıcıların sisteme güvenli bir şekilde oturum açmasını sağlar.
  • Ağınızdaki kaynakların (örneğin, yazıcılar, dosya paylaşımları) bilgilerini saklar. Bu, kullanıcıların ve bilgisayarların bu kaynaklara erişimini düzenler ve izler.
  • Active Directory, e-posta hizmetlerini sağlayan Exchange Server ile bütünleşir. Kullanıcıların e-posta hesapları ve iletişim bilgileri gibi veriler de AD’de saklanır. Bu, Exchange Server’ın Active Directory ile koordineli bir şekilde çalışmasını ve kullanıcıların e-posta ile iletişimini sürdürebilmesini sağlar.
  • AD, Group Policy ayarlarını saklar. Group Policy, ağınızdaki bilgisayarlarda ve kullanıcı hesaplarında anlık değişiklikler yapmanızı sağlar. Bu, işletme düzeyinde politikaları uygulamak, güvenlik ayarlarını yapılandırmak ve ağ kaynaklarını yönetmek için kullanılır.

Active Directory Özellikleri

  • Yönetilebilirlik
  • Ölçeklenebilirlik
  • Genişletilebilirlik
  • Güvenlik Entegrasyonu
  • Diğer Dizin Servisleriyle Birlikte Çalışabilme
  • Güvenli Kimlik Doğrulama ve Yetkilendirme
  • Group Policy ile Yönetim
  • DNS ve DHCP gibi Servislerle Birlikte Çalışabilme Özelliği

Active Directory Olumlu Yönleri

  • Active Directory yönetimi merkezileştirmesi ve kolaylaştırması.
  • Kullanıcılara grup bazında yetkilendirme ya da kısıtlama yapılması.
  • Kullanıcılar tarafından zararlı uygulamaların yüklenmesinin engellenmesi.
  • Kimlik denetimi sağlayarak şirket genelinde güvenliği sağlayabilmesi.
  • Firewall ile tam entegre çalışabilmesi.
  • Replikasyon teknolojisi ile Active Directory veri tabanının ağ ortamında aktarılabilir olması.

Active Directory Olumsuz Yönleri

Active Directory, kurumsal ağların anahtar bileşenlerinden biridir ve bu nedenle kötü niyetli saldırılara karşı savunmasız olabilir. Özellikle Domain Admin yetkilerine sahip bir hesabın ele geçirilmesi, ağ güvenliğini büyük ölçüde tehlikeye atabilir. Bu nedenle, güçlü parola politikaları ve iki faktörlü kimlik doğrulama gibi güvenlik önlemleri alınmalıdır.

Active Directory’nin karmaşıklığı, yanlış yapılandırmalara yol açabilir. Hatalı bir yapılandırma, ağ sorunlarına, güvenlik açıklarına ve hatta veri kaybına neden olabilir. Bu nedenle, Active Directory’nin doğru bir şekilde kurulması ve yönetilmesi önemlidir.

Eski veya ayrılmış kullanıcı hesaplarının sistemde saklanması, güvenlik açıklarına neden olabilir. Bu hesapların düzenli olarak devre dışı bırakılması veya silinmesi gereklidir.

Active Directory, karmaşıklığı ve büyüklüğü nedeniyle erişim kontrollerinin yönetilmesini zorlaştırabilir. Doğru izinlerin verilmediği veya izinlerin gereksiz derecede geniş olduğu durumlarda güvenlik açıkları oluşabilir.

Active Directory sunucuları, ağın temelini oluşturur. Bu nedenle, bu sunucularda yaşanan bir arıza, tüm ağın çökmesine yol açabilir. Bu nedenle yedekleme ve yüksek erişilebilirlik önlemleri alınmalıdır.

Active Directory’nin bu olumsuz yönleri, bilinçli bir şekilde yönetilmediğinde ve güvenlik önlemleri alınmadığında sorunlara yol açabilir. Bu nedenle, Active Directory’nin uzmanca yönetilmesi, güvenlik kontrollerinin düzenli olarak yapılması ve güvenlik politikalarının oluşturulması gereklidir. Bilinçli ve dikkatli bir yaklaşımla, bu olumsuzluklar en aza indirilebilir.

Active Directory’nin Desteklediği Teknolojiler

1.DHCP (Dynamic Host Configuration Protocol)

2.DNS (Domain Name System)

3.LDAP (Lightweight Directory Access Protocol)

4.Kerberos

5.NTLM

6.LDAPs (LDAP Secure)

Active Directory FSMO (Flexible Single Master of Operation) Rolleri

Active Directory içerisinde beş temel rol bulunmaktadır, ve her biri farklı görevlere sahiptir.

1.Domain Naming Master (Alan Adı İsim Yöneticisi):

  • Yeni bir alan adı oluşturulurken alan adının onaylanmasını sağlar.
  • Alan adı çakışmalarını önler.

2.Schema Master (Şema Yöneticisi):

  • Active Directory’ de nesnelerin yapısını belirler.
  • Nesnelerin özelliklerini ve yapılarını tanımlar.

3.RID Master (RID Yöneticisi):

  • Nesnelere benzersiz güvenlik tanımlayıcı numaraları (SID) sağlar.
  • Kimlik çakışmalarını önler ve güvenliği sağlar.

4.PDC Emulator (PDC Emülatörü):

  • Zaman ayarının eşitliğini sağlar.
  • Parola değişikliklerini denetler.

5.Infrastructure Master (Altyapı Yöneticisi):

  • Nesnelerdeki değişikliklerin güncellenmesinden sorumludur.
  • Özellikle farklı domainler arasındaki ilişkileri yönetir ve nesnelerin güncelliğini korur.

Authentication (Kimlik Doğrulama) ve Authorization (Yetkilendirme)

Active Directory gibi kimlik ve erişim yönetimi sistemleri, Authentication ve Authorization süreçlerini etkili bir şekilde yönetmek için güçlü bir temel sağlarlar.

Authentication (Kimlik Doğrulama):

Authentication, kullanıcıların veya cihazların kimliklerini doğrulamak için kullanılan işlemleri ifade eder. Bu, bir kullanıcının veya cihazın gerçekten kim olduğunu belirlemek anlamına gelir.

Authentication, kullanıcının kimliğini doğrulamak için kullanılan süreçleri içerir, ancak bu, kullanıcının belirli kaynaklara erişme yetkisini içerdiği anlamına kesinlikle gelmez. Yani, bir kullanıcının kimliği doğrulanmış olsa bile, bu kullanıcının hangi kaynaklara erişebileceği henüz belirlenmemiştir.

Authentication vs Authorization — What’s the difference? (ssl2buy.com)

Authorization (Yetkilendirme):

Authorization, kimlik doğrulamadan sonra bir kullanıcının veya cihazın belirli kaynaklara (dosyalar, sunucular, uygulamalar vb.) erişim hakkını kontrol etme sürecini ifade eder. Bu aşama, kullanıcıların belirli kaynaklara erişme yetkisi olduğu ve ne tür işlemleri gerçekleştirebileceği ile ilgilidir.

Düşünün ki bir trafik polisi sizi durdurduğunda size “Adınız soyadınız nedir?” diye bir soru soruyor. Siz bu soruya, “Ben Bilge Güngör’üm,” diyerek yanıt veriyorsunuz. Ancak polis, sadece sizin sözlerinize güvenmeyip kimliğinizi doğrulamak için nüfus cüzdanınızı istiyor. İşte bu, Authentication aşamasıdır. Burada, kimliğinizi doğrulamak için somut bir kanıt (nüfus cüzdanı) sunmanız gerekmektedir.

Şimdi polis, kimlik doğrulama aşamasını başarıyla geçtikten sonra ehliyetinizi istiyor. Ehliyet, sürücü olarak belirli bir yetkiye sahip olduğunuzu belgeliyor. Polis, bu belgeye bakarak sizi trafiğe devam etmek veya başka bir yere gitmek için yetkilendiriyor. Yani, Authorization aşaması burada gerçekleşiyor. Bu aşamada, kimlik doğrulama sonrasında sahip olduğunuz yetkilere ve haklara bakılıyor.

Yani, Authentication senin kim olduğunu doğrulamak gibi bir şeydir, Authorization ise senin ne yapabileceğini belirlemek gibi bir şeydir. Her ikisi de güvenliği ve düzeni sağlamaya yardımcı olur.

Bu yazıyı okumak için zaman ayırdığınız için teşekkür ederim. 4 yıllık üniversite hayatında bu konu hakkında bilgi verilmemesinin büyük bir eksiklik olduğunu düşünüyorum. Kaynakların anlattığım bu bilgileri bir başlık altında toparlayamadığı ve anlaşılabilir olmadığı için herkesin bilgiye kolayca erişmesi için hepsini bir araya getirmek istedim. Active Directory konusunun birinci yazısıdır. Umarım yazı sizin için faydalı olmuştur. Geri dönüşleriniz benim için önemlidir ve bu yazının gelişmesine yardımcı olabilir. Eksik bulduğunuz kısımları bana ileterek Türkçe kaynakların kalitesine katkıda bulunabilirsiniz. Umarım sizin için faydalı olabilmişimdir. Bir sonraki Active Directory devam yazısında görüşmek üzere, iyi günler dilerim :)

Active Directory
How Does It Work
Microsoft
Technology

--

--

Bilge Güngör

Written by Bilge Güngör

42 Followers

https://www.linkedin.com/in/bilgegungor/

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams