close

Enter

Log in using OpenID

Active Directory Kurulumu-Kullanıcı Tanımlama

embedDownload
Active Directory (Etki Alanı Denetleyicisi)
Etki Alanı Denetleyici Kurulumu – Kullanıcı Tanımlama
– Grup Oluşturma
Öğr.Gör. Gökhan TURAN
Gölhisar Meslek Yüksekokulu
21.10.2013
Active Directory (Etki Alanı Denetleyicisi)
Bir ağ ortamında bilgisayarların birbirleri ile bağlantı yapısı iki şekilde olur. Bunlar Peer-to-Peer bağlantı ile
Client-Server bağlantıdır.
Peer-to-Peer (Eş Bilgisayarlar Arası Ağ)
Şimdi üstteki resme bir bakalım. 3 tane Windows Server 2003 aynı ağ üzerinde. Her bir makina üzerinde o
makinayı değişik zamanlarda kullanan üçer kullanıcı tanımlı durumda. Şimdi PC 1 diskini ağ üzerinde
paylaştırmak istesin, diski paylaştırdıktan sonra paylaşıma kimlerin erişip erişemeyeceğini belirlemek istiyor.
Sorun şu ki, paylaşıma erişimini belirleyebileceği kullanıcılar yine PC 1 üzerinde tanımlı kullanıcılar.
Yani PC 1 diskini paylaştırdıktan sonra, Ali ve Veli bu paylaşıma erişsin diyebilir (Can erişmesin). Bu durumda
PC 2 üzerinden bu paylaşıma erişebilmek için, PC 2'de de Ali veya Veli isminde ve aynı şifrelere sahip
kullanıcılar oluşturmak ve bu kullanıcılardan biri ile oturum açmak zorunluluğu var. Şöyle bir durum düşünün,
siz sistem yöneticisisiniz ve duruma göre 3 makinada da oturum açabilmeniz gerekebiliyor, bu durumda 3
makinada da kendiniz için bir kullanıcı oluşturmanız gerekiyor. Ya şifrenizi değiştirmeniz gerekirse, gidip 3
makina da da teker teker değiştirmelisiniz.
Peki ya 3 değil de 300 PC söz konusu ise? Gördüğünüz gibi peer-to-peer, yani her bilgisayarın kendi
kaynaklarını ve erişim izinlerini kendi başına yönettiği sistem, küçük ve güvenliğin önemsiz olduğu ağlarda
uygun olmasına rağmen sistem biraz büyüyünce veya güvenlik söz konusu olunca yetersiz kalıyor.
Client-Server (İstemci-Sunucu) Yapı
Artık tüm kullanıcılar tek bir makina üzerinde tutuluyor. Terminallere açılışta kullanıcı ismi/şifresi girildiğinde,
girilen değer server üzerindeki bu veritabanından kontrol ediyor, girilen değer server üzerindeki bir kayıtla
uyuşuyorsa oturum açılıyor. PC 1 diskini paylaştırıp, kimlerin erişim hakkı olduğunu belirlerken artık server
üzerindeki kullanıcı listesinden seçim yapabilir.
Böylece ağ'da tanımlı herkesi görebilir. Artık yönetim de çok kolay, yeni bir kullanıcı geldiğinde, birisinin
şifresi değiştiğinde server üzerindeki kaydın değişmesi kafidir. İşte Active Directory "server" üzerinde kullanıcı
bilgilerini ve daha bir çok değeri tutan bir veritabanıdır. NT 4 zamanında sadece "Domain" olarak adlandırılan
bu yapı, Windows 2000 ile Active Directory adını almıştır. Çünkü NT4'te Domain yapısında yukarıdaki resim
gibi sadece kullanıcı bilgileri tutulurken, Windows 2000 ile beraber Active Directory içinde ağ ile ilgili her
türlü güvenlik ve ayar bilgileri hiyerarşik bir yapıda (dizin yapısı) tutulmaya başlanmıştır.
Eğer ağ'da yukarıdaki örnekteki gibi tüm güvenlik bilgileri (kullanıcı adı, şifre, güvenlik kısıtlamaları vs.) bir
merkezde tutuluyorsa, bu merkezi yapıya "Domain" adı veriliyor. Domain bilgilerini üzerinde tutan bilgisayara
ise Domain Controller deniyor. Sistem büyüdükçe, tek bir Domain Controller yeterli gelmeyebilir ve birden
fazla Domain Controller kurulabilir. Her biri aslında birebir aynı bilgileri üzerlerinde tutar, ancak örneğin 300
kullanıcı varsa, 150 kullanıcı bir Domain Controller'den oturum açar, diğer 150 tane ise diğer Domain
Controller'den. Böylece yük iki Domain Controller arasında paylaştırılmış olur.
Ancak dediğim gibi iki Domain Controller üzerinde de tüm domain bilgisi tutulur, her iki bilgisayar üzerinde
de aynı bilgiler bulunur. Ola ki, Domain Controller'lerden birisi çökerse, 300 kullanıcı da geriye kalan tek
Domain Controller'den oturum açmaya devam edebilirler. Bir "Domain" den söz edebilmek için bu domain
bilgilerini üzerinde tutan en az bir Domain Controller (yani fiziksel bir bilgisayar) olmak zorundadır. Açılışta
kendi üzerinde tanımlı kullanıcıların yanı sıra "Domain" üzerinde tanımlı kullanıcılarla da açılmak üzere
ayarlanmış bir terminal bilgisayar Domain'e üye olmuş demektir.
Active Directory'yi DNS olmaksızın kuramazsınız çünkü Active Directory kendisi için gerekli bazı bilgileri DNS
sunucu üzerinde tutar, terminaller de açıldıklarında Active Directory bilgilerini üzerinde tutan bilgisayarı yani
Domain Controller olan bilgisayarı DNS yardımı ile bulurlar.
Active Directory (Etki Alanı Denetleyicisi) Kurulumu
Active Directory kurulumunu Başlat>Çalıştır>dcpromo komutu ile başlatıyoruz.
Gelen açıklama ekranını İleri ile geçiyoruz. Daha sonra karşımıza alttaki ekran geliyor.
Bu ekranda yeni bir domain mi oluşturduğumuzu, yoksa var olan bir domain'e ek bir Domain Controller’mı
(Yeni bir etki alanının etki alanı denetleyicisi) eklediğimizi belirtiyoruz. Biz yeni bir domain oluşturduğumuz
için üstteki seçenek ile devam ediyoruz.
Bu ekranda ise yeni bir domain ağacı oluşturma (example.microsoft.com gibi) veya var olan Domain ağacına
yeni bir alt domain ekleme (headquarters.example.microsoft.com gibi) seçeneğini soruyor. Daha önceden
tanımlı hiçbir şey olmadığına göre üstteki seçenek ile devam ediyoruz.
İşte şimdi bize bu domain (etki alanı) için oluşturduğumuz Yeni etki alanının tam DNS adını soruyor. Buraya
sirket.com yazıyoruz. Yani önce sirket.com diye bir DNS Bölge oluşturmuştuk, şimdi de bu Bölge için bir
Windows Etki alanı oluşturuyoruz.
DNS isimleri sadece Windows Server 2003 için geçerli, eski Windows sürümleri sadece Netbios isimlerini
tanıyorlar. Bu tip Windows'ların görmesi için Domain'in Netbios ismini girmeliyiz. Genellikle bize önerilen
isim uygun olacaktır, ancak bu ismin 14 karakterden uzun olamayacağını ve özel karakterleri (_, /,* vb.)
içeremeyeceğini unutmayın.
Şimdi bize Active Directory bilgilerinin disk üzerinde nerede tutulacağını soruyor. Bu değerleri olduğu gibi
bırakalım.
Şimdi bize Sysvol klasörünün yerini soruyor. Bu klasör NT4 zamanında kullandığımız NETLOGON klasörünün
yerine geçiyor. Aslında Windows Server 2003’te birçok ayar Active Directory veritabanında tutuluyor.
Örneğin kullanıcı veya bilgisayar bazında kısıtlamalar getirmenize yarayan Group Policy'ler AD içinde
tutuluyor. Ancak Group Policy'ler sadece Windows Server 2003 makinelerinde etkili, eğer eski sürüm
Windows’lar varsa (NT4, W9x) bu durumda NT4 zamanında oluğu gibi Config.Pol ve benzeri script
dosyalarınızı bu Sysvol dizinine koyacaksınız. Sysvol'un NT4'teki NETLOGON dizinine göre en önemli avantajı
ise, eğer birden fazla Domain Controller (Etki Alanı Denetimi) kuracak olursak bu klasörün içeriğinin Domain
Controller'ler (Etki Alanı Denetimi) arasında otomatik olarak güncellenmesi.
Bu ekranda bize sorduğu şey şu: Ağ üzerinde Domain Controller (Etki Alanı Denetimi) olarak çalışan NT4
makineler var mı? Eğer yoksa (terminal olarak Nt4 makineler olabilir önemli değil), alttaki seçenekle devam
ediyoruz. Biz yeni bir sistem kurduğumuza ve ileride tutup da, NT4 makine almayacağımıza göre biz de alttaki
seçenek ile devam ediyoruz.
Şimdi bizden bir şifre belirlememizi istiyor. Eğer Active Directory'de bir takım bozulmalar olursa, önceden
aldığımız Active Directory yedeklerini kullanarak sistemi düzeltebiliriz. Bu işlemi yaparken bilgisayarı
"Directory Services Restore Mode" denilen özel bir modda açıyoruz. İşte bu moda girerken bize soracağı
şifreyi bu ekranda belirlememiz gerekiyor. Burayı boş geçmeyin, çünkü kötü niyetli veya bilinçsiz bir kullanıcı
bilgisayarı bu modda açıp, sistemi çökertecek veya var olan Active Directory yapısını bozacak bir yükleme
yapabilir.
Şimdiye kadar yaptığımız seçimleri özetleyen bu ekrandan sonra dosyaların kopyalanması başlayacaktır.
Bu işlem biraz zaman alabilir.
İşlem tamamlanınca Son ile bitiriyoruz ve Şimdi Yeniden Başlat ile makineyi yeniden başlatıyoruz.
Bilgisayar açılınca, oturum ekranında "Seçenekler" düğmesine tıklarsak artık "Oturum Açma Yeri:" yanında
domain (etki alanı adı) ismini görebiliriz. Şifreyi girip makinemizi açalım. Artık bu makine bir Domain
Controller (Etki Alanı Denetleyicisi) ve üzerinde sirket.com "Windows Etki Alanını barındırıyor.
Sunucu Üzerinde Hesap Açma
Sunucu üzerinde hesap açmak için Yönetimsel Araçlar altında Active Directory Kullanıcıları ve Bilgisayarları
menüsüne tıklanır.
Karşımıza aşağıdaki gibi pencere gelecektir. Burada boş alana sağ tıklayıp Yeni>Kullanıcı yollarını izleriz.
Karşımıza aşağıdaki pencere gelecektir. Burada yeni kullanıcıya ait bilgiler girildikten sonra ileri butonuna
tıklanır.
Kullanıcının oturum açabilmesi için parola girilip ileri butonuna tıklanır.
Son butonuna tıkladıktan sonra yeni bir kullanıcı oluşturmuş oluruz.
Sunucu Üzerinde Grup Oluşturma
Sunucu üzerinde grup oluşturmak için yine aynı şekilde Active Directory Kullanıcıları ve Bilgisayarları
kısmında iken boş alana sağ tıklayıp Yeni>Grup yolları izlenir.
Karşımıza aşağıdaki pencere gelecektir. Bu pencerede Grup adı, Grup kapsamı ve Grup türü girildikten sonra
Tamam butonuna basılır.
Aşağıdaki resimde görüldüğü gibi Bilgiİşlem adında grup oluşmuştur.
Sıra geldi gruba üye eklemeye. Bunun için grup adına sağ tıklayıp Özellikler menüsü çalıştırılır.
Bilgiİşlem adındaki gruba ait özellik penceresi aşağıdaki gibi gelecektir. Buradan Üyeler sekmesine geçilir.
Üyeler sekmesinde iken Ekle butonuna tıklanır.
Ekle butonuna tıklayınca aşağıdaki pencere karşımıza gelecektir. Buradan da Gelişmiş butonuna tıklanır.
Buradaki pencereden de Şimdi Bul butonuna tıklanır.
Görüldüğü gibi kullanıcılar listelendi. Burada hangi kullanıcıları gruba dahil etmek istiyorsa, seçip Tamam
butonuna basarız.
Görüldüğü gibi seçilen üyeler gruba dâhil oldu. Artık Bilgiİşlem grubunda Kamil OZCAN ve Gokhan TURAN
adında iki üye var. Burada daha sonra üye ekleyip kaldıracaksak Ekle ve Kaldır butonlarını kullanırız.
Author
Document
Category
Uncategorized
Views
0
File Size
1 612 KB
Tags
1/--pages
Report inappropriate content