Aktif Dizin(Active Directory)

Aktif Dizin(Active Directory) Aktif Dizin(Active Directory)Aralarında herhangi bir şekilde ilişki bulunan alakalı bilgilerin saklanan bütüne dizin denir. Örneğin bir telefon dizini, kişilerin isimlerini ve bu isimlere karşılık gelen telefon numaralarını ve adreslerini tutar. Bu makelemizde aktif dizin servislerini inceleyeceğiz. Yazar: Yunus Emre ALPÖZEN Yazıldığı Tarih: 03.02.2005 İstatistik: Bu makale 326 defa okundu. Zorluk Derecesi: 1 2 3 4 5 Anahtar Sözcükler: Aktif Dizin, Windows 2000, Windows 2003. Dağıtık bir sistemde ya da genel bir ağ üzerinde dosya sunucusu, yazıcı, fax sunucusu, veri tabanı sunucu ve kullanıcılar gibi bir çok nesne vardır. Kullanıcılar bu nesnelerinin yerlerini buldmak ve kullanmak durumundadırlar. Sistem yöneticileri de bu kaynakların ağ üzerinde nasıl dağıldıklarını ve erişimlerini denetlemek zorundadırlar. Bir dizin servisi bu nesnelerin yönetilebilmesi ve kullanılabilmesi için bu nesneler hakkında gerekli tüm bilgileri merkez bir yerde depolar, bu kaynakların konumlandırılma ve yönetilme işlemlerini basitleştirir.Dizin, ağ üzerindeki nesnelerin yönetilebilinmesi ve konumlandırılabilmesi için gerekli bilgileri depolanması anlamındadır. Bir dizin servisi ise ağ üzerindeki kaynakları tanımlayan kullanıcıların ve uygulamaların onları kullanabilmesine izin veren bir ağ servisidir. Bir dizin servisi ağ üzerindeki bir telefon santrali gibi çalışır. Kaynakları kullanmak isteyen kullanıcıların ve kaynakların beraberce çalışabilmeleri için kimlikleri yönetir, kaynaklar arasındaki ilişkilerde aracılık yapar.Bir dizin servisi ağ üzerine yayılmış bilgisayar sistemlerindeki kaynaklara olan erişimleri basitleştirir ve organize eder. Kullanıcılar ya da sistem yöneticileri ihtiyaç duydukları nesnelerin tam adlarını bilemeyebilirler. Bununla beraber belirli bir ya da daha fazla özelliğini sorgulayarak nesneyi bulabilmelidirler. Örneğin, 4 katlı bir işyerindeki 3.katta yer alan renkli yazıcılar sorgulanmak istenebilir. Dizin servisi bu sorgulara olanak tanımlamalıdır. Bir dizin servisinde bulunması gereken diğer özellikler ise şunlardır: Sisteme dahil olmayan ya da sisteme dahil olup da yetkisi bulunmayan kişilerin ilgili kaynaklara erişimlerini engellemelidir. Yani nesneler üzerinde bir güvenlik mekanizması sağlamalıdır. Bir dizini ağ üzerindeki bir çok bilgisayara yayabilmelidir. Daha fazla kullanıcıya hizmet verebilmek ya da sistem göçmelerinden kullanıcılara hizmet vermeyi aksatmamak için dizin ile ilgili bilgileri çoklayabilmelidir.Bu özellikler bir dizin servisinin sahip olması gereken standart özellikler olarak tanımlanmıştır.Aktif Dizin, Windows 2000/2003 sunucuları tarafından sağlanan dizin servisidir. Aktif dizin aşağıdaki işlemleri desteklemeyi amaç edinmiştir; Basitleştirilmiş yönetim, aktif dizin etki alanındaki kaynakları hiyeraşik olarak organize eder. Etki alanı(domain) sunucuların ve diğer ağ kaynaklarının tek bir etki alanı adı altında mantıksal olarak gruplandırılmasıdır. Etki alanı, Windows 2000/2003 ağı üzerindeki kopyalama ve güvenlik için en temel birimdir. Her etki alanı bir ya da daha fazla etki alanı denetçisi içerir. Etki alanı denetçisi(domain controller), üzerinde Windows 2000/2003 çalışan, kullanıcıların ağa erişimlerini, kayıt tutma, kimlik denetimi, dizin ve ortak kaynaklara erişimleri kontrol eder. Yönetimi kolaylaştırmak için her etki alanı içindeki etki alanı denetçileri eşittir. Herhangi biri üzerinden yapacağınız değişiklikler, etki alanındaki diğer etki alanı denetçilerine kopyalanır. Aktfi dizin, ağ üzerindeki tüm nesneler için tek noktadan yönetim imkanı sağlar. Genişletilebilirlik, Aktif dizin üzerinde tutulan tüm bilgiler ağ üzerine yayılmış olduğu için çok fazla sayıda nesne tanımlanmasına olanak sağlar. Bir etki alanın altında daha küçük etki alanları oluşturarak sisteminizi rahatlıkla genişletebilirsiniz. Açık standartlara destek vermek, Aktif dizin, İnternet’in namespace kavramıyla, Windows 2000 dizin servislerini entegre eder. Bu yapı size çoklu namespacede var olan heterojen yazılımları ve donanımsal ortamlarla birleşik ağları birleştirmenize olanak sağlar. Aktif dizin, her hangi bir uygulama ve ya LDAP ve ya HTTP gibi dizinlerle bilgi alışverişinde bulunabilir ve isimleri çözümleyebilmek Etki Alanı İsim Servisi(DNS=Domain Name Service)’ni kullanır. Ayrıca aktif dizin NDS(Novell Directory Services) gibi LDAP versiyon 2 ve versiyon 3 ’ü destekleyen diğer dizin servisleriyle kendi üzerinde tutulan bilgileri paylaşabilmektedir. Standart isim biçimlerine destek vermek, Aktif dizin ortak bir kaç isim biçimini desteklemektedir. Bu nedenle kullanıcılar ve uygulamalar daha çok alışkın oldukları biçimleri kullanarak aktif dizine erişebilirler. Bu isim biçimleri aşağıdaki tabloda gösterilmiştir. Biçim Tanımı RFC 822 someone@domain gibi İnternet e-posta adreslerine benzer bir biçimdir. HTTP URL http://domain/path-to-page gibi Web adreslerine benzer bir biçimdir. UNC(Universal Naming Convention) \microsoft.comxlörnek.xls gibi paylaşımdaki ağ kaynaklarına erişim yoluna benzer bir biçimdir. LDAP URL RFC 1779 da belirtilen özellik kullanarak erişim yoluna benzer bir biçimdir.LDAP://birsunucu.microsoft.com/ CN=FirstnameLastname, OU=sys, OU=product, OU=division, DC=develCN: ortak adı(common name) ifade eder.OU: organizasyonel birim adı(organizational unit name) ifade eder.DC: etki alanı bileşen adı(domain component name) ifade eder.Aktif dizin, Windows 2000/2003 güvenlik alt sisteminin içinde yer alan bir servistir. Aktif dizin fonksiyonelliği katmanlı bir yapı ile ifade edilebilir. Her katman istemci uygulamalarına hizmet veren sunucu işlemlerini ifade eder. Aktif dizin üç servis katmanı ve dizin servislerini sağlayabilmek için birlikte çalışan bir kaç arayüz ve protokol sağlar. Her üç servis katmanı dizin veri tabanındaki kayıtları konumlandırmak için farklı tiplerde bilgiler barındırır. Bu üç katmanın üzerinde istemciler ve dizin servisleri arasındaki iletişim için protokoller ve API’ler sağlamaktadır.Aktif Dizinin katmanları; Dizin Sistem Ajanı, dizinde tutulan üst-alt ilişkilerini kullanarak bir hiyeraşi oluşturur. Dizin Erişim istekleri için bir API sağlar. Veri Tabanı Katmanı, uygulamalar ve veri tabanı arasında bir ara geçiş katmanıdır. Aktif Dizin veri tabanına erişimler asla doğrudan veri tabanı üzerinden yapılmaz. Tüm istekler bu katman üzerinden geçmek zorundadır. Genişletilebilir Bellek Motoru, nesneleri birbirlerinden ayrılmasını sağlayan isim özelliklerini kullanarak dizinde tutulan kayıtlarla iletişimi sağlar.Aktif Dizin için Veri Tabanı dosyası NTDS.DIT dir. Bu dosya sadece genişletilebilir bellek moturu ile işlenebilir. Etki alanı denetçisi bir Windows 2000/2003 sunucusunun windows dizini altındaki NTDS dizininde tutulur. Bu veri tabanı dosyasını yine etki alanı denetçisi bir Windows 2000/2003 sunucusunun windows dizini altındaki system32 dizininde yer alan NTDSutil aracı ile yönetebilirsiniz.İstemciler aktif dizine dizin sistem ajanı tarafından sağlanan mekanizmalar aracılığıyla ulaşırlar. Bu mekanizmalar; LDAP/ADSI, LDAP(Lightweight Directory Access Protocol) destekleyen istemciler aktif dizine bağlanmak için bu protokolü kullanırlar. Aktif dizin RFC 1777 de tanımlı olan LDAP versiyon 2 ve RFC 2251 de tanımlı olan LDAP versiyon 3 desteklemektedir. Windows 2000/XP/2003 ve ilgili bileşenleri kurulu Windows NT 4 SP6a, Windows 95/98/Me istemciler LDAP versiyon3 ile dizin servislerine bağlanabilmektedir. ADSI(Active Directory Service Interfaces) LDAP API’sine bir soyutlama sağlamaktadır. Buna karşın aktif dizin sadece LDAP kullanmaktadır. Bu soyutlama sadece istemci tarafı içindir. Messaging API (MAPI), Microsoft Outlook gibi RPC adres defteri gibi özellikleri kullanabilen MAPI istemcileridir. Security Accounts Manager(SAM), Windows NT4.0 ve önceki windows istemcileri Dizin servislerine bağlanmak için SAM kullanırlar. Karışık durumdaki etki alanlarındaki yedek etki alanı denetçilerindeki kopyalamalarda SAM üzerinden yapılmaktadır. Replication(REPL), Dizin kopyalama işlemi için uygun aktif dizinin dizin sistem ajanın patentli RPC arayüzlerini kullanarak diğer aktif dizinlerine bağlanmalarını sağlar. Son Söz: Aktif Dizin, Windows 2000/2003 dizin servisidir. Bir çok güvenlik eklentisine sahip ve Kerberos ile birebir etkileşim ile çalışabilmektedir. Ancak kötü şifre seçimi konusunda yapılabilecek bir şey yoktur. Bir sonraki makalemizde şifre seçiminin nasıl yapılması gerektiğinden bahsedeceğiz. Bir sonraki makalemizde görüşünceye kadar güvende kalın. İlgili Makaleler: Referanslar: Spealman. Jill. 2000. MCSE Training Kit—Microsoft Windows 2000 Active Directory Services, Microsoft PressYazar : Yunus Emre ALPÖZENe-Posta : yunus.alpozen et msakademik.net

Döküman Arama

Başlık :

Kapat