Active Directory Yapısı Şirketinizin network ihtiyaçlarını karşılayacak şekilde yapılandırılmış bir Windows 2003 Active Directory yapısı size büyük kolaylıklar sağlamaktadır. Fakat sistemi kurmaya başlamadan önce sisteminizin ihtiyaçları ve imkanlarını göz önüne alarak çok detaylı ve uygulanabilir bir planlama yapmanız gerekir.
ÖRNEK
Mantıksal Yapı(Logical Structure) Mantıksal Komponentler : Active Directory içerisindeki kaynakların organize edilmesi ve gruplandırılmasını içeren yapı mantıksal yapıdır. Mantıksal olarak bir objenin lokasyonu organize edildikten sonra fiziksel olarak konumu değişse de kaynağa ulaşımda sorun yaşanmayacaktır. Active Directory içerisindeki mantıksal komponentleri dört gruba ayırıyoruz: Domain Tree Organizational Unit Forest
DOMAIN Bir Windows networkünde merkezi yönetimi sağlamak amacıyla kurulan çekirdek yönetim birimine domain adı verilir. Domain, aynı isim altında toplanmış objelerin oluşturduğu yapılara verilen isimdir.Aynı domain içerisinde bulunan bütün objeler ortak bir veritabanı içerisinde depolanırlar. Windows 2003 networkleri üzerinde domain yapısının oluşturulabilmesi için Active Directory dizin servisinin, Windows Server 2003 ailesinden bir işletim sistemine sahip bilgisayar üzerinde kurulması ve yapılandırılması gerekir. Active Directory dizin servisinin kurulumunu gerçekleştirmek için bazı gereksinimlerin yerine getirilmesi gerekir.Bu gereksinimlerle ilerleyen slaytlarda görebilirsiniz.
ORGANIZATIONAL UNITLER
ORGANIZATIONAL UNITLER Organizational unit, domain içerisindeki objeleri organize etmeyi sağlayan birimlerdir. Organizational Unit’ler, kullanıcı hesapları(user accounts), grup hesapları(group accounts), bilgisayar hesapları (computer accounts), yazıcılar (printers), paylaştırılmış klasörler(shared folders) gibi nesneleri içerirler. Her domain içerisinde oluşturulan OU hiyerarşisi birbirinden bağımsızdır.
ORGANIZATIONAL UNITLER Nesneler organizational unit’ler içerisinde konumlandırılarak dağınıklık önlenmiş ve yönetim kolaylaştırılmış olur. Şirketiniz içerisinde, sahip olmuş olduğunuz departmanlar bazında OU’lar oluşturup, departmanlar içerisindeki nesneler için de ayrı ayrı alt OU’lar oluşturabilirsiniz. Mesela; muhasebe departmanı için bir OU oluşturup, bu OU altında da muhasebe departmanı içerisindeki bilgisayarlar için ayrı bir alt OU, kullanıcılar için ayrı bir alt OU oluşturarak düzenli bir yapı oluşturabilirsiniz.Bu işlemi şirket içerisindeki diğer departmanlar için tekrarladığınızda düzenli ve yönetimi kolay bir yapı oluşturmuş olacaksınız.
ORGANIZATIONAL UNITLER Organizational Unit'in sağladığı bir diğer avantaj ise delegasyondur(delegation). Bir departman içerisindeki nesneler için yukarıda anlatmış olduğumuz metot kullanılarak bir OU yapısı oluşturularak ve buradaki OU’lar için sistemdeki bir kullanıcınızı delege olarak görevlendirebilirsiniz. Kullanıcınızın delege atanması esnasında hangi görevlere sahip olacağı belirlenmektedir. Bu sayede administrator yükünün azalması ve bazı noktalarda yönetimin kolaylaşması sağlanmış olacaktır.
Organizational Unit Hiyerarşik Modelleri Fonksiyona Göre OU Yapısı Çıkarma Şirket Yapısına Göre OU Yapısı Çıkarma Coğrafi Konuma Göre OU Yapısı Çıkarma Hybrid(Melez) Yapıya Göre OU Yapısı Çıkarma
Fonksiyona Göre OU Yapısı Çıkarma Şirketi coğrafi ve departman farkı gözetmeksizin iş fonksiyonlarına göre ayırmayı kapsamaktadır. Eğer IT fonksiyonlarınız coğrafi veya şirket bazlı değilse bu modeli kullanabilirsiniz.
Fonksiyona Göre OU Yapısı Çıkarma Fonksiyon tabanlı hiyerarşi şirketsel ve departmansal olarak yeniden düzenlemelerden etkilenmez. Bu yapılanmada gruplandırmayı kullanıcılar, yazıcılar, serverlar ve network kaynaklarına göre tabakalandırabilirsiniz. Fonksiyonel gruplandırma replikasyonu da etkilemektedir. Fonksiyon tabanlı departmanlar orta ve büyük ölçekli şirketlerde kullanılacak uygun bir yapı değildir ve çok geniş kategorilere ayrılamaz.Fonksiyon tabanlı yapılanma sadece küçük çaplı şirketler için kullanılır.
Şirket Yapısına Göre OU Yapısı Çıkarma Bu tip hiyerarşide şirket içerisindeki departman veya bölümlere göre bir gruplandırma vardır.
Şirket Yapısına Göre OU Yapısı Çıkarma Eğer Active Directory yapınız şirket yapısını yansıtacak şekilde organize edilmiş ise, yönetimsel otoritenin delege edilmesi zorlaşabilir.Çünkü Active Directory içerisindeki printer, dosya paylaşımı gibi nesneler, delegasyon mantığına ve sistemine göre gruplandırılamayabilir.Çünkü, administrator yapıyı organizasyon sistemine göre kurar, kullanıcılara göre değil.
Coğrafi Konuma Göre OU Yapısı Çıkarma Eğer şirket merkezden yönetiliyorsa ve network yönetimi coğrafi olarak dağılmış ise, konum tabanlı yönetimin kullanılması önerilir. Örneğin, mayasoft.com domain’i için istanbul, mecidiyekoy, besiktas gibi alt OU’lar oluşturarak bu yapı oluşturulabilir.
Coğrafi Konuma Göre OU Yapısı Çıkarma Coğrafi Konuma göre yapılan hiyerarşinin karakteristik özellikleri: Yeni yapılanmalardan etkilenmez.Departman ve bölümler sık sık değişse de, şirketlerde lokasyon çok nadir değiştiği için yeniden yapılanmalardan etkilenme çok nadir olur. Büyüme ve genişlemelere açık bir yapıdır.Eğer bir şirket başka bir şirket ile birleşirse veya satın alırsa, mevcut sisteme yeni birimleri entegre etmek çok daha kolaydır. Networkü güçlü olan konumlara avantaj sağlar.Bir şirketin fiziksel network topolojisi konum tabanlı hiyerarşiye çok benzemektedir.Eğer konum tabanlı bir domain yapısı oluşturursanız, yüksek bant genişliğine sahip yerlerin avantajını görebilirsiniz.Bu durumda düşük bant genişliğine sahip alanlar içerisinde data güncellemelerini sınırlandırabilirsiniz. Uzlaşmacı bir güvenliği içerir.Eğer lokasyonda çok sayıda bölüm veya departman varsa, domain üzerinde veya organizational unit üzerinde yönetim yetkisine sahip bir kullanıcı veya grup, alt child domainler veya organizational unitler üzerinde de yetkiye sahip olmuş olacaktır.
Hybrid(Melez) Yapıya Göre OU Yapısı Çıkarma Öncelikli olarak konuma göre, daha sonra da şirket yapısına göre veya diğer yapılanma tiplerinin birleşimine göre yapılanırsa buna hybrid(melez) hiyerarşi adı verilir.Melez hiyerarşide şirketin ihtiyaçlarına cevap verecek şekilde çeşitli alanların güçleri birleştirilir. Bu tip hiyerarşinin sahip olduğu karakteristikler: -Coğrafi olarak, departman bazlı veya bölünmüş alanlara göre ek büyümelere uygundur -Departman veya bölüme göre ayrı yönetim sınırları oluşturur -Aynı konumda olup farklı birimlerde veya departmanlarda olan yönetici kullanıcılar arasında bir yardımlaşma yapısı kurarak, yönetimsel işlemleri kolaylaştırmaktadır.
TREES AND FORESTS (AĞAÇLAR VE ORMANLAR)
TREE Tree, aynı isim altında toplanmış bir veya daha fazla sayıda Windows 2003 domaininin hiyerarşik olarak oluşturduğu yapıya verilen isimdir. Diğer bir deyişle, aynı isim altında toplanan domainler topluluğuna "tree" adı verilebilir. Tree, mevcut bir parent domain’e child domainlerin eklenmesi ile genişletilebilir. Tree içerisindeki domainler hiyerarşik bir isim yapısını paylaşmaktadırlar. Tree içerisinde bulunan child domainler, isim yapılarında parent domaininin ismini kendi domain isimlerinin sonuna ekleyerek kullanırlar. Aynı tree içerisindeki domainler, ortak bir isimlendirme yapısına (domain namespace) sahiptirler.
FOREST Forest, bir veya daha fazla sayıdaki domain ağacının(domain tree) oluşturduğu yapıya verilen isimdir. Forest içerisinde ilk kurulan domain’e "forest root domain' adı verilir. Forest root domainin DC bilgisayarında otomatik olarak active directory şema ve global katalog oluşur. Aynı forest içerisinde bulunan bütün domainler ortak bir şema ve ortak bir global catalog kullanmaktadırlar.
GLOBAL CATALOG Active Directory içerisinde bulunan bütün objelerin ve kaynakların adres bilgisini ve haklarını (permissions) tutan ve bir kaynağa veya objeye erişmek istediğiniz zaman, eğer gerekli izniniz varsa size o kaynağın veya objenin adresini veren domain controller bilgisayarına global katalog server adı verilir. Kısacası siz bir kaynağa ya da objeye ulaşmak istediğinizde size o kaynağın ya da objenin adresini global katalog server vermektedir. Global Catalog Server forest yapısının kütüğünü tutan, sanki bir "muhtar" gibi çalışan ve networkün haritasını tutan bilgisayardır. Forest'da Global Catalog server rolü sadece forest root DC’ye yani forest içerisinde ilk kurulan Domain Controller bilgisayarına aittir.İhtiyacınıza gore Global Catalog rolü forest yapısındaki diğer DC bilgisayarlarına da atanabilir.
Trust Relationships (Güven İlişkileri)
Trust Relationships (Güven İlişkileri) Farklı iki domain arasında bilgi ve kaynak paylaşımı amacıyla kurulan ilişkiye güven ilişkisi(trust relationship) adı verilir.Windows 2003 networkünde iki domain aynı forest içerisinde ise otomatik olarak bu iki domain arasında karşılıklı yani çift yönlü (two way) ve geçişli (transitive) güven ilişkisi oluşur.Örneğin bir parent domain ile onun altındaki child domain arasındaki güven ilişkisi gibi. Geçişli yani transitive güven ilişkisi active directory domain yapısına has bir özelliktir. Geçişli güven ilişkisi aşağıdaki şekilde açık olarak görülmektedir.Domain A Domain B’ye güveniyor, Domain B de Domain C’ye güveniyor.Böyle bir yapıda Domain A aynı zamanda Domain C’ye de güvenmiş oluyor. Windows NT 4.0 güven ilişkisinde geçişlilik özelliği yoktu, yani NT 4.0 domainleri arasındaki güven ilişkisi non-transitive’dir.NT 4.0 domainlerinde Domain A ve Domain C arasına ayrıca güven ilişkisi kurulması gerekirdi.