Trakya Üniversitesi Teknik Bilimler Meslek Yüksekokulu BPR 116 SUNUCU İŞLETİM SİSTEMİ
Windows 2000 ve Windows Server 2003 networkleri için geliştirilmiş Windows 2000 ve Windows Server 2003 networkleri için geliştirilmiş. Network kaynaklarını paylaşmayı ve yönetmeyi sağlayan merkezi bir dizin sistemidir. Hiyerarşik bir organizasyona sahiptir: Kullanıcılar, Gruplar, Bilgisayarlar, Paylaşımlar, .. Kolay yönetim, esnek yapı, birlikte çalışabilirlik. Ağ kaynaklarının verimli bir şekilde yönetilmesini sağlayan, genişletilebilir dizin hizmetidir. Fiziksel ve mantıksal olarak iki yapı bulunur
Actıve Directory Özellikleri Merkezi yönetim Ölçeklenebilirlik Genişletilebilirlik Domain Name System (DNS) ile entegrasyon Politika-tabanlı yönetim Multi-master replikasyon Esnek ve güvenli kimlik doğrulama ve yetkilendirme Diğer dizin servisleriyle birlikte çalışabilme İmzalanmış ve şifrelenmiş LDAP trafiği Script ile yönetim.
Active Directory’nin Fiziksel Mimarisi Active Directory’nin fiziksel katmanı aşağıdaki özellikleri denetler: Dizin bilgilerine erişilme biçimi Dizin bilgilerinin bir sunucunun sabit diski üzerinde depolanma biçimi Yerel Güvenlik Yetkilisi İçinde Active Directory Güvenlik alt sistemi içerisinde, Active Directory, yerel güvenlik yetkilisinin (Local Security Authority-LSA) bir alt bileşenidir. LSA, Windows Server 2008’in güvenlik özelliklerini sağlayan ve erişim denetimiyle kimlik doğrulama işlevlerinin gerektiği gibi çalışmasını sağlayan birçok bileşenden oluşur. LSA yalnız yerel güvenlik ilkesini yönetmez, aynı zamanda aşağıdaki işlevleri de gerçekleştirir: Güvenlik tanımlayıcıları (security identifiers) üretir. Oturum açma için etkileşimli işlemler sağlar. Denetimi (auditing) yönetir
Active Directory’nin Mantıksal Yapısı Active Directory’nin mantıksal katmanı veri deposunda bulunan bilgilerin nasıl görüleceğini belirler ve aynı zamanda o bilgilere erişimi denetler. Mantıksal katman bunu, ad alanları tanımlayarak ve dizine depolanmış kaynaklara erişmede kullanılan şemaları adlandırarak yapar. Bu, türü ne olursa olsun dizine depolanmış bilgilere erişmede tutarlı bir yol sunar. Örneğin, bir kullanıcı kaynağı hakkında bilgi edinmeye çok benzer şekilde bir yazıcı kaynağı hakkındaki bilgileri elde edebilirsiniz. Active Directory’nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir. Söz konusu mantıksal yapı bileşenleri A. Domain B. Organizational Unit C. Tree and Forest D. Global Catalog Active Directory’nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
Active Directory Nesneleri Dizin içinde oluşturulmuş her nesne belirli bir tür veya sınıftandır. Nesne sınıfları şemada tanımlanır ve aşağıdaki türleri içerir: Kullanıcı Grup Bilgisayar Yazıcı Yapısal Birim
Active Directory nesneleri Domain Domain Sorgular Global catalog server
Kullanıcı Server1 Printer1 Server2 Directory Server Ad: Server 1 İşl. Sistemi: Windows Server 2003 Tür: Dosya sunucusu Yer: 1. kat Ad: Server 2 İşl. Sistemi: Windows Server 2000 Yer: 2. kat Printer Ad: Printer 1 Tür: HP Laser Yer: 3. kat Server1 Server2 Printer1
Lightweight Directory Access Protocol ( LDAP ) LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır; * Distinguished Names * Relative Distinguished Names
Domain Active Directory en temel mantıksal bileşeni Domain’dir Domain Active Directory en temel mantıksal bileşeni Domain’dir. Domain, aynı dizin veritabanını paylaşan bilgisayarlar bütünüdür ve sistem yöneticisi tarafından oluşturulur. Her bir Domain benzersiz bir isme sahiptir ve sistem yöneticisi tarafından belirlenmiş olan kullanıcı ve grup hesaplarına erişim sağlar. Ayrıca Domain’ler güvenlik sınırı (Security Boundary) olarak da bilinir. Güvenlik sınırı sayesinde, eğer sistem yöneticisi ayrıca bir izin belirlememişse, bir kullanıcının hakları sadece o Domain içerisinde geçerli olacaktır. Her bir Domain kendi güvenlik yapısına sahiptir. Domain’ler ayrıca replikasyon birimi olarak adlandırılır. Bir Domain içerisinde, Active Directory veritabanı kopyalarını bulunduran Domain Controller’lar bu kopyaları Domain içerisinde yapılan değişiklikleri birbirlerine kopyalarak replikasyon yaparlar.
distinguished name Active directory domain yapısında her bir objenin ayrıcalıklı bir ismi vardır. Bu isme distinguished name denmektedir. Bu isim sayesinde nesnelerin domain içerisindeki yerleri tam olarak belli olur. Bu sayede objeler birbirinden ayrılmaktadır. Örneğin cozumpark.com alan adına sahip bir domain yapısında yonetim ismindeki bir yapısal birim içerisindeki bir kullanıcının distinguished name ( ayrıcalıklı ismi ) çıktısı aşağıdaki gibi olacaktır. dn: mail=selcukyazar@trakya.edu.tr,ou=BIRIM,jvd=trakya.edu.tr,o=hosting,dc=myhosting,dc=example
Organizational Units Organizational Unit bir Domain içerisindeki objeleri organize etmek amacıyla oluşturulmuş objelerdir. Bir Organizational Unit kendi içerisinde kullanıcılar, gruplar, bilgisayarlar veya başka OU’lar olmak üzere başka objeler barındırabilirler. OU’ları, organizasyonun ihtiyacını en iyi şekilde karşılayacak mantıksal bir hiyerarşi oluşturuyorken objeleri gruplamak amacıyla kullanabilirsiniz. Örneğin, objeleri gruplarken yönetimsel gereksinimleri ön planda tutabiliriz. Mesela, organizasyonda bir yönetici kullanıcılardan bir diğer kullanıcı da bilgisayarlardan sorumlu olacaksa, biri kullanıcılar için biri de bilgisayarlar için iki adet OU oluşturulur ve kullanıcılar birinde bilgisayarlar da diğerinde toplanır. Son olarak ikisinde de ilgili kullanıcılar yönetici olarak atanabilir. OU birimlerinin kullanılabileceği bir başka örnek ise organizasyonun departmansal birimlere ayrılmasında geçerli olabilir. Örneğin bir “Muhasebe” bir de “Pazarlama” departmanları için OU oluşturulur ve bu departmanlarda çalışan kullanıcılar ilgili OU'lara yerleştirildikten sonra departman şefleri bu birimlere yönetici olarak atanabilir.
Global Catalog Global Catalog, Active Directory’deki tüm objelerin özelliklerinin bir alt kümesini taşıyan bilgi deposudur. Bu barındırılan özellikler, varsayılan olarak, sorgulamalar esnasında en sık kullanılan özelliklerdir (örneğin kullanıcı ön ismi, son ismi ve logon ismi). Global Catalog kullanıcılara şu hizmetleri sunar: • Gereken verinin nerede olduğundan bağımsız olarak Active Directory objeleri hakkında bilgiler sunar. • Bir ağa logon oluyorken Universal Group Membership bilgisini kullanır. Global Catalog Sunucusu Domain’deki bir Domain Controller’dır ve Domain’de oluşturulan ilk Domain Controller otomatik olarak Global Catalog seviyesine yükseltilir. Sonradan ek Global Catalog Sunucular eklenebilir.
Active Directory ve DNS Active Directory ve DNS entegrasyonu Windows Server Sisteminin en önemli özelliklerinden biridir. Active Directory ve DNS, objelerin hem Active Directory objeleri hem de DNS domainleri ve kaynak kayıtları (Resource Records) olarak sunulabilecek şekilde benzer bir hiyerarşik isimlendirme yapısına sahiptirler. Bu entegrasyonun sonucu olarak Windows Server Ağındaki bilgisayarlar, Active Directory’ye özgü birtakım servisleri çalıştıran bilgisayarların yerini öğrenmek için DNS Sunucuları kullanmaktadırlar