Buyuknet

Bilgisayar Dünyası => Windows İşletim Sistemleri => Konuyu başlatan: tarantula901 - 18.08.2012 - 00:16

Başlık: Active directorye giriş ve kurulumu
Gönderen: tarantula901 - 18.08.2012 - 00:16
ACTIVE DIRECTORY'e GİRİŞ ve KURULUM

GENEL BAKIŞ:

ACTIVE DIRECTORY NEDİR?

Active Directory, Windows 2000 ve sonrasının bulunduğu, Network ortamlarında kullanılan bir directory servisidir. Bu servis Network içerisinde bulunan kaynakların isim, tanım, lokasyon, erişim, yönetim ve güvenlik bilgilerini depolamanın yanısıra bu bilgileri, kullanıcılar ile uygulamaların hizmetine sunar.
Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Network'e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.
Diğer önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory yapısında yer alan sistem konfigürasyonu, kullanıcı profilleri ve uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu; server bilgisayarda depolanır. Active Directory yapısında yer alan, Group Policy uygulamaları ile Network ortamındaki servis ve uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel kolaylık sağlanmıştır.
Active Directory yapısında, Network objeleri hakkında bilgiler depolanır.
Active Directory objeleri: Kullanıcın (user), grup (group), bilgisayar (computer) ve yazıcı (printer) lardır. Ayrıca Network ortamında yer alan bütün Server bilgisayarları(server), Domainleri ve siteleri de obje olarak değerlendirir. Tek bir yönetici(administrator) ile sözkonusu kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için Netsvork kaynakları, bir veri tabanı içerisinde obje olarak sunulmaktadır.
Bir obje oluşturulduğunda objeye ait özellikler veya nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile kullanıcıların, objeleri Network ortamında kolaylıkla bulması sağlanır.
 
ACTIVE DIRECTORY SCHEMA


Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Network yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde bir
kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.
Dolayısı ile
•   Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
•   Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde
güncellenir.
•   Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs  ile  Schema bilgileri  üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized  users)  değişiklik yapabilmesi
sağlanır.

LIGHTVVEIGHT DİRECTORY ACCESS PROTOCOL (LDAP)

LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;
*   Distinguished Names
*   Relative Distinguished Names
Distinguished   names:   Tüm   Active   Directory   objeleri,  Network  ortamında
kendilerine  ulaşılmasını  sağlayan  komple  path   içeren,  distinguished  name'e
sahiptir.

Örneğin;
CN=Yunus Dilsiz , OU=Pazarlama , DC=mcse, DC=com
 
Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.
CN: Grup ve kullanıcı adları tanımlamalarında kullanılır
OU: Organization Units tanımlamalarında kullanılır.   
DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı yns.com ise, DC=yns, DC=com şeklinde belirtilir.
Başka bir örnek verelim;   
"AYLA" isimli kullanıcı, "Kadikoy" isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı "yns.mcse.com" olsun.
Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com
Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;   
CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com  Yazılımında yns.mcse.com  içinde tek olan yani; Relative Distingished Name; Ayla 'dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
ACTİVE DIRECTORY'nin MANTIKSAL YAPISI:
Active Directory'nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.   
Söz konusu mantıksal komponentler
A.   Domain   
B.   Organizational unit   
C.   Tree and forest
D.   Global catalog   
Active Directory'nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
 
DOMAIN (ETKİ ALANI)

Domain: Yönetici (administrator) tarafından tanımlanmış ve ortak bir Database (veri tabanı)  içerisinde paylaşıma  sunulmuş bilgisayarları  kapsar. Network ortamında eşsiz (unique) isime sahip olmalıdır. Domain yöneticisinin kullanıcı ve , grup hesaplarını denetlemesini, merkezileştirmektedir.
Eğer birden fazla Domain var ise her Domain için, bir yönetici vardır ve kendi Domain'lerini yönetirler. Windows 2003 Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir. Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain Administrator, diğer Domain'ler üzerinde de güvenlik ayarlaması yapabilir.
Domain'ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers (DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır.



ORGANIZATIONAL UNIT (OUs)

Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
•   Network yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator  üzerinde,  bütün
bilgisayarların denetiminin de diğer bir Administrator'un üzerinde olması
             talep   edilebilir.   Bu   sorunun  çözümünü   sağlamaya  yönelik,   kullanıcı
hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz.   Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
•   Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.
OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya     gruba     devredebilirsiniz.     Delege     olarak     adlandırılan     kullanıcı,
 
Administrator'un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control) veya sınırlandırılmış kontrol yetkilerine sahip olabilecektir.
Domain'in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.
Örneğin: Sizin İstanbul'da bir Network'ünüz var ve tek bir Domain olarak yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da bir şube açıyorsunuz ve 2 Network'ü birbirine bağlıyorsunuz. Ancak Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i "forest root
domain" olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen Domain "child domain" olacaktır. Söz konusu child domain'in ismi, parent domain'in DNS ismini içerecektir.
Örneğin;
parent domain   child domain
mcse.com.tr -   —         yns.mcse.com.tr
mcse.com.tr —   —         deniz.mcse.com.tr
Yukarıdaki örnek ile iki Child Domain'imiz var.
Her Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven ilişkisi"
(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.
 
Transitive Trusts: "yns.mcse.com.tr" ile "mcse.com.tr" arasında doğrudan güven ilişkisi kuruludur, "deniz.mcse.com.tr" ile "mcse.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.mcse.com.tr ile deniz.mcse.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.
Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST :
Forest, bir veya daha fazla Tree'den oluşur. Forest içindeki Tree'ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree'ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.
Forest içinde her tree, kendi eşsiz isim alanına (unique name space) sahiptir. Örneğin: Mcse Ltd şirketi, Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain'i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.
GLOBAL CATALOG
Global Catalog:  Active Directory  içerisindeki tüm objelere ait niteliklerin
tutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla
kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır.
Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri
kapsar.
Kullanıcılar açısından iki önemli işlevi vardır:
•   Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory
bilgilerine ulaşım.
•   Network ortamına katılırken; universal group üyeliğinin kullanılabilmesi.
 
Global katalog bilgilerini sorgulama ve proseslerinin bir kopyasını üzerinde bulunduran DC(Domain Controller), "global catalog server" olarak adlandırılır.
Active Directory içerisinde ilk yapılandırılan DC, otomatikman "global catalog server" olur. Kimlik denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile Directory içerisinde, birden fazla global catalog server yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı takdirde, Forest içerisindeki tüm Domain'lere tek tek gidip, bu sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı olan objeleri listede görebilir.

ACTİVE DIRECTORY'nin FİZİKSEL YAPISI
Active Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize ederken, fiziksel yapı ile Network trafiğini kontrol ve konfıgüre edebilirsiniz.
Active Directory'nin fiziksel yapısını; DC(Domain Controller) ve Siteler oluşturur. Active Directory'nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network'e katılımını(logon) belirler. Network trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.

DOMAİN CONTROLLER (DC)
Domain Controller(DC), replikasyon işlemine dahil olan Active Directory bilgilerinin depolandığı, üzerinde Windows Server 2003-2000 işletim sistemi çalışan bilgisayardır. Directory bilgilerinde değişiklik yapılmasına ve bu değişikliklerin aynı Domain içerisindeki diğer DC'ler ile replikasyonuna olanak sağlar. Directory verilerini depolar, kullanıcıların logon işlemlerini yönetir, kimlik denetimi ile directory arama(search) işlemlerini gerçekleştirir. Tek bir yerel Network ortamına( LAN; local area network) sahip küçük bir işletmede; tek bir Domain yapısı içerisinde, güvenlik amacıyla(fault tolerance) iki DC yapılandırılabilir(DC & Additional DC). Birçok farklı coğrafık lokasyona yayılmış organizasyonlar ise, her bir lokasyon içerisinde iki DC yapılandırabilir (DC & Additional DC) .
 
Active Directory'de Replikasyon İşlemi: Forest ve Domain içindeki DC'ler, Active Directory veri tabanında herhangi bir değişiklik olduğunda, otomatik olarak birbirleri ile replika olur, söz konusu veriyi güncellerler. Tüm directory yapısı içerisindeki DC ve istemci(Client) bilgisayarların, güncel veriye ulaşması sağlanır. Replikasyon yer ve zamanı ile Network'e katılımı(logon), Active Directory'nin fiziksel yapısı belirler. Active Directory, Multi-Master replikasyon modelini kullanır. Her Windows 2003-2000 Domain'i bir veya daha fazla DC içerebilir. Her DC, kendi Domain yapısına ait Active Directory veri tabanının değişiklik yapılabilen, güncellenebilen bir kopyasını depolar. Üzerinde değişiklik yapılan bilgilerin, diğer DC'ler ile replikasyonu derhal yapılabileceği gibi, kısa zaman aralıklarında periyodik olarak da yapılabilir.

SİTE
Site:   IP(internet protocol) topluluğu olarak tanımlanabilir. Bir veya daha fazla
yüksek   hızlı   link   ile   birbirine   bağlanmış   İP   Subnet'lerini   içerebilir.   Site
yapılandırılmasında, Active Directory için erişim ve replikasyon topolojisinin
konfıgürasyonunu yapabilirsiniz. Böylelikle, Windows 2003-2000 işletim sistemi;
replikasyon ve logon trafiği için zamanlandırılmış görevleri ve en etkin linkleri
kullanabilir.
İki öncelikli nedenden dolayı site kurulabilir :
•   Replikasyon trafiğini optimize etmek.
•   Kullanıcıların, DC bilgisayarına güvenilir ve yüksek hızlı bağlantıyı
kullanarak, logon olmasını sağlamak.
Network sisteminizin fiziksel yapısının planlanması Site, organizasyonunuzun mantıksal yapısının planlanması ise Domain vasıtası ile olur.
Active Directory içerisinde mantıksal ve fiziksel yapı birbirinden bağımsızdır:
•   Network  fiziksel   yapısı   ile   Domain  yapısı   arasında  bağ  veya   ilişki
kurmanıza gerek yoktur.
•   Active Directory, tek bir site içerisinde çoklu Domain veya tek bir Domain
içerisinde çoklu site yapılandırılmasını destekler.
•   Site ve Domain isim alanları arasında bağ veya ilişki kurmanıza gerek
yoktur.
 
WINDOWS 2003 YÖNETİM METHODLARI :
Windows işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde kullanılacak method ve yöntemleri Administrator'a sunar. Administrator'un Network ortamındaki yönetimsel işlevi :
Merkezi yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Network kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak kullanıcılara sunumu sağlanır.
Kullanıcıların yönetimi: Active Directory içerisinde organizasyon birimlerine uygulanılabilen Group Policy ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya aktarılır.
Yönetimsel kontroller için delege atanması: Active Directory, Administrator'ın organizasyon içerisindeki bir kullanıcıya veya gruba kısmen veya tamamen yetki vermesine olanak tanır.
Active Directory; Administrator'ın Network kaynaklarını merkezi olarak yönetmesine olanak sağlar.
Kaynakların merkezi yönetiminin avantajı: Tek bir administrator tarafından, Network kaynaklarının merkezi denetim ve yönetimi. Active Directory, tüm objelere ait bilgiler ile nitelikleri içerir. Bu nitelikler, kaynakların tanımını içeren verilerdir. Active Directory, objelerin bilgilerini yerleştirmede kolaylık sağlar. Bu bilgileri kullanarak, yapılan arama işlemlerinde obje, Active Directory dizininde her nerede olursa olsun, kolaylıkla bulunabilir. Organizasyon birimleri içerisinde grup objeleri oluşturabilirsiniz. OU bünyesinde Group Policy uygulanabileceği gibi, delege atanmasına da imkan tanır. Delege, Administrator tarafından kendisine verilen yetki oranında, işlem yapabilir.
Group Policy ayarları: Site, Domain veya OU yapılarına uygulanabilir. Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.
 
KURULUM:
HAZIRLIK :
Active Directorv için gerekli kurulum gereksinimleri aşağıda listelenmiştir ;
•   Windows   2000   Server   ailesinden   (Server,   Advanced   Server   veya
Datacenter Server) işletim sistemi  ile çalışan bir bilgisayar ve tabi iki
Windows Server 2003
•   Active Directory veri tabanı için minimum 200 MB, ayrıca veri tabanı
transaction log dosyaları için minimum 50 MB olmak üzere, Harddisk'de
minimum 250 MB boş alan gereklidir. Alan ihtiyacı, Domain yapınızdaki
obje sayısı ve tipine bağlıdır. Eğer söz konusu DC, aynı zamanda Global
Catalog sunucusu olacak ise, alan ihtiyacı hali ile artacaktır.
•   Sysvol    klasörünün    gereksinimi    olarak    NTFS    dosya    sistemi    ile
biçimlendirilmiş partition veya volume gereklidir.
•   DNS'in kullanımı için TCP/IP'nin kurulumu ve konfigürasyonu gereklidir.
•   Mevcut bir Windows 2000- 2003 Domain'i içerisinde yeni bir Domain
oluşturabilmek için Administrator yetkisi gereklidir.
•   Active Directory kurulum sihirbazı, kurulum sırasında opsiyon olarak DNS yüklenmesini önerir. Windows 2000- 2003 DNS Servisi; SRV kayıtları ile DNS dinamik güncelleme özelliğini destekler.


İLK DOMAIN ile ACTIVE DIRECTORY KURULUMU:

Sabırsızlandığınızı biliyorum. Bu kadar lafgüzarlıktan sonra artık icrata geçelim.
1) Windows Server 2003 CD'si sürücüye takılarak, otomatik açılan tüm ekranlar kapatılır.

2) Start/Run kısmına dcpromo yazılır ve OK butonuna basılır. Dcpromo komutu, çift amaçlı kullanılır. Bunlardan birisi; şimdi yapacağımız gibi sistemimize Active Directory kurmak, yani işletim sistemimizi DC yapmak, diğer amacı da kaldırmaktır. İlk önce bir kuralım, en sonunda kaldırırız.
 
3) Dakika bir gol bir! Evet, bu uyarı mesajı der ki "Eğer sisteminizde Certificate Services varsa, Active Directory kuramazsınız veya kadıramazsınız" Bir önceki bölümden kalan certificate servisinizi demek ki kaldırmayı unutmuşsunuz. O zaman hemen Control Panel'e giderek nasıl kurdu isek? O şekilde kaldıralım. Eğer daha önce kaldırmış iseniz; o zaman bu adımı direkt atlayabilirsiniz.
Evet, kaldırma işlemi başarı ile tamamlandığına göre tekrar "dcpromo" yazarak, kaldığımız yerden devam edelim.
4) İlk gelen kurulum sihirbaz ekranını Next butonu ile geçiyoruz.

Şimdi kurulum başlayacak ancak, tüm kurulum ekranlarındaki seçenekleri açıklamak istiyorum. Bunun için bir şema çizeceğim ve bunun üzerinde hareket edeceğiz.

5) İlk ekranda Domain controller for a new domain seçeneğini işaretliyoruz ve Next butonuna basıyoruz. İster Parent ister Child olsun farketmez, yukarıdaki yapımızda tüm Domain'leri kurmak için kullanacağımız seçenektir. Diğer
seçenek; Additional domain controller for an existing domain var olan bir Domain'e, yedek bir Domain oluşturmak için kullanılır. Bu özelik de çok önemlidir. Yeni bir Domain oluşturduktan sonra, mutlaka yedek Domain'i yani, Additional Domain Controller'i oluşturunuz. Ana Domain'in başına birşey gelirse sistem devamlılığını onunla sağlayacağız. Bunun nasıl yapılacağını son konularımızda inceleyeceğiz.


6) Bu ekranda Domain in a ne\v forest seçeneğini işaretleyerek Next butonuna basıyoruz. Çünkü biz şeklimizdeki sabitaksu.com Domain'ini oluşturuyoruz. Bu Domain hiçbir yere bağlı olmayan, ormanınız içindeki ilk Domain. Eğer bu Domain'i daha önce oluştursaydık ve
ankara.sabitaksu.com veya istanbul.sabitaksu.com Domain'lerinden birisini oluşturmak isteseydik o zaman, Child domain in an existing domain tree seçeneğini işaretleyecektik. Çünkü bu, sabitaksu.com ağacının dallan olacaktır.
Yine şeklimizde bulunan yiikselinan.com ayrı bir tree, yani ayrı bir ismi var ve sabitaksu.com ismi ile hiçbir bağı yok. İşte sabit.com'u oluşturarak bu ormana katmak isteseydik, o zaman da Domain tree in an existing forest seçeneğini işaretleyecektik. Böylelikle bu forest içindeki tüm kaynaklara, izinler dahilinde ulaşabilecekti.
 
7) Active Directory
DNS'siz olmaz. Eğer bir DNS'imiz yoksa, sonradan kurarım diye burayı pas geçemezsiniz ve No, just install and configure DNS on this computer seçeneği işaretli iken Next butonuna basıyoruz. Eğer DNS varsa, Yes, I will configure the DNS client seçeneği seçilir.

Gelen ekrana Domain'in tam adını yazıyoruz ki bizim Domain'imiz mcse.com olacağı için onu yazdık ve Next butonuna basıyoruz.


9) Windows'ın eski versiyonları için, NetBIOS adı gerekmekte. Burada kendi atadığı, Domain adından gelen ismi kabul edebilir veya değiştirebiliriz. Biz hiçbir değişiklik yapmadan, Next butonuna basıyoruz.


10) Gelen ekran Active Directory veri tabanını ve Active Directory ile ilgili log dosyalarının nerede tutulacağını sorgulayan yapıdır. Burada verimli olması ve performansı yükseltmek amacı ile eğer varsa, bu iki yolu ayrı fiziksel Disk'te tutmanızı öneririm. Next butonu ile bu ekranı geçiyoruz. Eğer aşağıdaki mesaj ile karşılaşırsanız, yeterli Disk alanınız yok demektir. O zaman ya başka bir sürücü seçiniz veya temizlik yapınız.


Özel Mesaj (Offline)
   
   
ACTIVE DIRECTORY'e GİRİŞ ve KURULUM (Resimli Anlatım Türkçe)
« : Ocak 31, 2007, 06:36:54 ÖS »
   Bu mesajı alıntı ile cevaplaAlıntı
ACTIVE DIRECTORY'e GİRİŞ ve KURULUM


GENEL BAKIŞ:

ACTIVE DIRECTORY NEDİR?

Active Directory, Windows 2000 ve sonrasının bulunduğu, Network ortamlarında kullanılan bir directory servisidir. Bu servis Network içerisinde bulunan kaynakların isim, tanım, lokasyon, erişim, yönetim ve güvenlik bilgilerini depolamanın yanısıra bu bilgileri, kullanıcılar ile uygulamaların hizmetine sunar.
Active Directory; Network kaynaklarının merkezi organizasyonunu, yönetimini ve kontrolünü sağlar. Network ortamındaki fiziksel topoloji ile protokoller arası iletişimi sağlayarak kullanıcıların, aradıkları kaynaklara nerede ve nasıl Network'e dahil olduğunu bilmeksizin, ulaşmalarına olanak verir.
Diğer önemli bir avantajı da, merkezi yönetim sağlamasıdır. Active Directory yapısında yer alan sistem konfigürasyonu, kullanıcı profilleri ve uygulama bilgileri Windows Server 2003 işletim sistemi üzerine kurulu; server bilgisayarda depolanır. Active Directory yapısında yer alan, Group Policy uygulamaları ile Network ortamındaki servis ve uygulamaların merkezi bir yerden yönetimi sağlanır. Network ortamındaki kaynaklara erişim, kontrollerin merkezileştirilmesi ile yönetimsel kolaylık sağlanmıştır.
Active Directory yapısında, Network objeleri hakkında bilgiler depolanır.
Active Directory objeleri: Kullanıcın (user), grup (group), bilgisayar (computer) ve yazıcı (printer) lardır. Ayrıca Network ortamında yer alan bütün Server bilgisayarları(server), Domainleri ve siteleri de obje olarak değerlendirir. Tek bir yönetici(administrator) ile sözkonusu kaynakların; merkezi yönetimini ve denetimini sağlayabilmek için Netsvork kaynakları, bir veri tabanı içerisinde obje olarak sunulmaktadır.
Bir obje oluşturulduğunda objeye ait özellikler veya nitelikler de objenin tanımı olarak depolanır. Tanım bilgileri ile kullanıcıların, objeleri Network ortamında kolaylıkla bulması sağlanır.
 
ACTIVE DIRECTORY SCHEMA


Active Directory Schema: Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere ait bilgileri içerir. Windows 2000 ve sonrasında tüm Network yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri Schema üzerine yazılır.
Schema yapısında, obje sınıfı ve niteliği tanımlanabilir.
Obje sınıfı: Bilgisayar, kullanıcı veya yazıcı olabilir. Nitelik: Schema içinde bir
kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir.
Örneğin: Kullanıcıların çalıştıkları bölümler, doğum yeri gibi.
Schema bilgileri: Active Directory veri tabanı(database) içerisinde depolanır.
Dolayısı ile
•   Kullanıcı uygulamaları için dinamik bir yapı sunar. Kullanıcıların obje araştırma işlemleri, Schema üzerinden gerçekleşir.
•   Yeni oluşturulan veya değiştirilen obje dinamik olarak Schema içerisinde
güncellenir.
•   Obje sınıf ve niteliklerinin korunmasında, discretionary access control
lists(DACLs) kullanılır. DACLs  ile  Schema bilgileri  üzerinde sadece
yetkilendirilmiş kullanıcıların(authorized  users)  değişiklik yapabilmesi
sağlanır.

LIGHTVVEIGHT DİRECTORY ACCESS PROTOCOL (LDAP)

LDAP: Active Directory yapısı içerisinde sorgulama(query) ve güncelleme (update) için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory objeleri bir dizi domain kompenenti, OUs(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory içerisinde yeniden tanımlanır. LDAP isimlendirme yöntemi; Active Directory objelerine erişimde kullanılır ve iki tanım içerir;
*   Distinguished Names
*   Relative Distinguished Names
Distinguished   names:   Tüm   Active   Directory   objeleri,  Network  ortamında
kendilerine  ulaşılmasını  sağlayan  komple  path   içeren,  distinguished  name'e
sahiptir.

Örneğin;
CN=Yunus Dilsiz , OU=Pazarlama , DC=mcse, DC=com
 
Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.
CN: Grup ve kullanıcı adları tanımlamalarında kullanılır
OU: Organization Units tanımlamalarında kullanılır.   
DC: Domain hiyerarşisini belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı yns.com ise, DC=yns, DC=com şeklinde belirtilir.
Başka bir örnek verelim;   
"AYLA" isimli kullanıcı, "Kadikoy" isimli Organizal Units içinde bulunsun ve bağlı bulunduğu Domain adı "yns.mcse.com" olsun.
Bunun Distingushed Name yazılımı aşağıdaki şekilde olacaktır: CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com
Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.
Örneğin;   
CN=Ayla, OU=Kadikoy, DC=yns, DC=mcse, DC=com  Yazılımında yns.mcse.com  içinde tek olan yani; Relative Distingished Name; Ayla 'dir. En son yazılan değer, her zaman tek değerdir. Ondan dolayı mükerrer olamaz.
ACTİVE DIRECTORY'nin MANTIKSAL YAPISI:
Active Directory'nin mantıksal yapısı, esnekliğinin yanısıra Active Directory içerisinde kullanıcı ve yönetici kapsamında hiyerarşik bir yapı kurulmasına olanak verir.   
Söz konusu mantıksal komponentler
A.   Domain   
B.   Organizational unit   
C.   Tree and forest
D.   Global catalog   
Active Directory'nin kurulumu, konfıgürasyonu, yönetimi ve sorunlarının çözümü için, mantıksal yapısının kapsam ve fonksiyonlarının anlaşılması gereklidir.
 
DOMAIN (ETKİ ALANI)

Domain: Yönetici (administrator) tarafından tanımlanmış ve ortak bir Database (veri tabanı)  içerisinde paylaşıma  sunulmuş bilgisayarları  kapsar. Network ortamında eşsiz (unique) isime sahip olmalıdır. Domain yöneticisinin kullanıcı ve , grup hesaplarını denetlemesini, merkezileştirmektedir.
Eğer birden fazla Domain var ise her Domain için, bir yönetici vardır ve kendi Domain'lerini yönetirler. Windows 2003 Network yapısında Domain, güvenlik çemberi olarak değerlendirilebilir. Her domain kendi güvenlik ayarlarını, Domain Administrator vasıtası ile sağlayabilir. Ayrıca kendisine yetki verildiği takdirde bir Domain Administrator, diğer Domain'ler üzerinde de güvenlik ayarlaması yapabilir.
Domain'ler ayrıca Replikasyon birimi olarak işlem yaparlar. Bu işlev, Domain içerisinde yer alan ve Domain Controllers (DC) olarak adlandırılan bilgisayar tarafından yapılır. Active Directory bilgilerindeki değişikliklerin, tüm Domain yapısına iletilmesi DC bilgisayarlar arası Replikasyon ile sağlanır.



ORGANIZATIONAL UNIT (OUs)

Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
•   Network yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator  üzerinde,  bütün
bilgisayarların denetiminin de diğer bir Administrator'un üzerinde olması
             talep   edilebilir.   Bu   sorunun  çözümünü   sağlamaya  yönelik,   kullanıcı
hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz.   Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
•   Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.
OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya     gruba     devredebilirsiniz.     Delege     olarak     adlandırılan     kullanıcı,
 
Administrator'un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control) veya sınırlandırılmış kontrol yetkilerine sahip olabilecektir.
Domain'in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.
Örneğin: Sizin İstanbul'da bir Network'ünüz var ve tek bir Domain olarak yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da bir şube açıyorsunuz ve 2 Network'ü birbirine bağlıyorsunuz. Ancak Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i "forest root
domain" olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen Domain "child domain" olacaktır. Söz konusu child domain'in ismi, parent domain'in DNS ismini içerecektir.
Örneğin;
parent domain   child domain
mcse.com.tr -   —         yns.mcse.com.tr
mcse.com.tr —   —         deniz.mcse.com.tr
Yukarıdaki örnek ile iki Child Domain'imiz var.
Her Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven ilişkisi"
(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.
 
Transitive Trusts: "yns.mcse.com.tr" ile "mcse.com.tr" arasında doğrudan güven ilişkisi kuruludur, "deniz.mcse.com.tr" ile "mcse.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.mcse.com.tr ile deniz.mcse.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.
Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.
FOREST :
Forest, bir veya daha fazla Tree'den oluşur. Forest içindeki Tree'ler, aynı isim alanını kullanamazlar. Fakat forest içindeki tree'ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.
Forest içinde her tree, kendi eşsiz isim alanına (unique name space) sahiptir. Örneğin: Mcse Ltd şirketi, Kumsal Yatırım adında ayrı bir organizasyonu, yeni bir Active Directory Domain ismi ile kurmak isteyebilir. Söz konusu iki organizasyon aynı isim alanını paylaşmamalarına rağmen, yeni Domain'i mevcut bir Forest altında yeni bir tree olarak yapılandırabiliriz. Sonuç olarak her iki organizasyon, birbirleri ile kaynaklarını veya yönetimsel fonksiyonlarını paylaşabilirler.
GLOBAL CATALOG
Global Catalog:  Active Directory  içerisindeki tüm objelere ait niteliklerin
tutulduğu yerdir. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla
kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır.
Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri
kapsar.
Kullanıcılar açısından iki önemli işlevi vardır:
•   Verinin lokasyonunu bilmeksizin, tüm forest içerisinde, Active Directory
bilgilerine ulaşım.
•   Network ortamına katılırken; universal group üyeliğinin kullanılabilmesi.
 
Global katalog bilgilerini sorgulama ve proseslerinin bir kopyasını üzerinde bulunduran DC(Domain Controller), "global catalog server" olarak adlandırılır.
Active Directory içerisinde ilk yapılandırılan DC, otomatikman "global catalog server" olur. Kimlik denetimi ve sorgulama trafiğini rahatlatmak ve düzenlemek amacı ile Directory içerisinde, birden fazla global catalog server yapılandırabiliriz. Global katalog sunucusu ile tüm Forest içindeki yazıcıları sorgulayabilirsiniz. Global katalog sunucusu olmadığı takdirde, Forest içerisindeki tüm Domain'lere tek tek gidip, bu sorgulamayı her birisinde ayrı ayrı yapmanız gerekir. Tüm bunların yanısıra, içerisinde depolanmış obje ve niteliklere erişim izinlerini de kapsar. Dolayısı ile erişim izniniz olmayan bir objeyi, sorgulama sonucu aldığınız listede göremezsiniz. Kullanıcı, ancak erişim hakkı olan objeleri listede görebilir.

ACTİVE DIRECTORY'nin FİZİKSEL YAPISI
Active Directory içinde mantıksal yapı, fiziksel yapıdan bağımsız ve farklı bir yapıya sahiptir. Mantıksal yapı ile Network kaynaklarını organize ederken, fiziksel yapı ile Network trafiğini kontrol ve konfıgüre edebilirsiniz.
Active Directory'nin fiziksel yapısını; DC(Domain Controller) ve Siteler oluşturur. Active Directory'nin fiziksel yapısı, replikasyonun yer ve zamanı ile Network'e katılımını(logon) belirler. Network trafiği ile logon işlemlerinin optimizasyonu ve bu işlemlerde olabilecek hataların giderilmesi, fiziksel yapının anlaşılmasına bağlıdır.

DOMAİN CONTROLLER (DC)
Domain Controller(DC), replikasyon işlemine dahil olan Active Directory bilgilerinin depolandığı, üzerinde Windows Server 2003-2000 işletim sistemi çalışan bilgisayardır. Directory bilgilerinde değişiklik yapılmasına ve bu değişikliklerin aynı Domain içerisindeki diğer DC'ler ile replikasyonuna olanak sağlar. Directory verilerini depolar, kullanıcıların logon işlemlerini yönetir, kimlik denetimi ile directory arama(search) işlemlerini gerçekleştirir. Tek bir yerel Network ortamına( LAN; local area network) sahip küçük bir işletmede; tek bir Domain yapısı içerisinde, güvenlik amacıyla(fault tolerance) iki DC yapılandırılabilir(DC & Additional DC). Birçok farklı coğrafık lokasyona yayılmış organizasyonlar ise, her bir lokasyon içerisinde iki DC yapılandırabilir (DC & Additional DC) .
 
Active Directory'de Replikasyon İşlemi: Forest ve Domain içindeki DC'ler, Active Directory veri tabanında herhangi bir değişiklik olduğunda, otomatik olarak birbirleri ile replika olur, söz konusu veriyi güncellerler. Tüm directory yapısı içerisindeki DC ve istemci(Client) bilgisayarların, güncel veriye ulaşması sağlanır. Replikasyon yer ve zamanı ile Network'e katılımı(logon), Active Directory'nin fiziksel yapısı belirler. Active Directory, Multi-Master replikasyon modelini kullanır. Her Windows 2003-2000 Domain'i bir veya daha fazla DC içerebilir. Her DC, kendi Domain yapısına ait Active Directory veri tabanının değişiklik yapılabilen, güncellenebilen bir kopyasını depolar. Üzerinde değişiklik yapılan bilgilerin, diğer DC'ler ile replikasyonu derhal yapılabileceği gibi, kısa zaman aralıklarında periyodik olarak da yapılabilir.

SİTE
Site:   IP(internet protocol) topluluğu olarak tanımlanabilir. Bir veya daha fazla
yüksek   hızlı   link   ile   birbirine   bağlanmış   İP   Subnet'lerini   içerebilir.   Site
yapılandırılmasında, Active Directory için erişim ve replikasyon topolojisinin
konfıgürasyonunu yapabilirsiniz. Böylelikle, Windows 2003-2000 işletim sistemi;
replikasyon ve logon trafiği için zamanlandırılmış görevleri ve en etkin linkleri
kullanabilir.
İki öncelikli nedenden dolayı site kurulabilir :
•   Replikasyon trafiğini optimize etmek.
•   Kullanıcıların, DC bilgisayarına güvenilir ve yüksek hızlı bağlantıyı
kullanarak, logon olmasını sağlamak.
Network sisteminizin fiziksel yapısının planlanması Site, organizasyonunuzun mantıksal yapısının planlanması ise Domain vasıtası ile olur.
Active Directory içerisinde mantıksal ve fiziksel yapı birbirinden bağımsızdır:
•   Network  fiziksel   yapısı   ile   Domain  yapısı   arasında  bağ  veya   ilişki
kurmanıza gerek yoktur.
•   Active Directory, tek bir site içerisinde çoklu Domain veya tek bir Domain
içerisinde çoklu site yapılandırılmasını destekler.
•   Site ve Domain isim alanları arasında bağ veya ilişki kurmanıza gerek
yoktur.
 
WINDOWS 2003 YÖNETİM METHODLARI :
Windows işletim sistemi ve Active Directory yapısı, organizasyon içerisindeki tüm bilgisayarların masaüstü yönetimininin merkezileştirmesinde kullanılacak method ve yöntemleri Administrator'a sunar. Administrator'un Network ortamındaki yönetimsel işlevi :
Merkezi yönetim: Çok sayıdaki kullanıcı, bilgisayar, yazıcı ve Network kaynaklarının; merkezi bir lokasyondan yönetimi. Yönetimsel gereksinimlere bağlı olarak, Network kaynaklarının merkezi olarak kullanıcılara sunumu sağlanır.
Kullanıcıların yönetimi: Active Directory içerisinde organizasyon birimlerine uygulanılabilen Group Policy ayarları ile etkin bir kullanıcı denetimi sağlanır. Öncelikle kullanıcı veya bilgisayar için; Group Policy ayarlan yapılır, daha sonra söz konusu ayarlar, Windows işletim sistemi üzerinden uygulamaya aktarılır.
Yönetimsel kontroller için delege atanması: Active Directory, Administrator'ın organizasyon içerisindeki bir kullanıcıya veya gruba kısmen veya tamamen yetki vermesine olanak tanır.
Active Directory; Administrator'ın Network kaynaklarını merkezi olarak yönetmesine olanak sağlar.
Kaynakların merkezi yönetiminin avantajı: Tek bir administrator tarafından, Network kaynaklarının merkezi denetim ve yönetimi. Active Directory, tüm objelere ait bilgiler ile nitelikleri içerir. Bu nitelikler, kaynakların tanımını içeren verilerdir. Active Directory, objelerin bilgilerini yerleştirmede kolaylık sağlar. Bu bilgileri kullanarak, yapılan arama işlemlerinde obje, Active Directory dizininde her nerede olursa olsun, kolaylıkla bulunabilir. Organizasyon birimleri içerisinde grup objeleri oluşturabilirsiniz. OU bünyesinde Group Policy uygulanabileceği gibi, delege atanmasına da imkan tanır. Delege, Administrator tarafından kendisine verilen yetki oranında, işlem yapabilir.
Group Policy ayarları: Site, Domain veya OU yapılarına uygulanabilir. Uygulama sonrasında Active Directory, söz konusu ayarların ilgili kullanıcı ve bilgisayarlar üzerinde etkin hale gelmesini sağlar.
 
KURULUM:
HAZIRLIK :
Active Directorv için gerekli kurulum gereksinimleri aşağıda listelenmiştir ;
•   Windows   2000   Server   ailesinden   (Server,   Advanced   Server   veya
Datacenter Server) işletim sistemi  ile çalışan bir bilgisayar ve tabi iki
Windows Server 2003
•   Active Directory veri tabanı için minimum 200 MB, ayrıca veri tabanı
transaction log dosyaları için minimum 50 MB olmak üzere, Harddisk'de
minimum 250 MB boş alan gereklidir. Alan ihtiyacı, Domain yapınızdaki
obje sayısı ve tipine bağlıdır. Eğer söz konusu DC, aynı zamanda Global
Catalog sunucusu olacak ise, alan ihtiyacı hali ile artacaktır.
•   Sysvol    klasörünün    gereksinimi    olarak    NTFS    dosya    sistemi    ile
biçimlendirilmiş partition veya volume gereklidir.
•   DNS'in kullanımı için TCP/IP'nin kurulumu ve konfigürasyonu gereklidir.
•   Mevcut bir Windows 2000- 2003 Domain'i içerisinde yeni bir Domain
oluşturabilmek için Administrator yetkisi gereklidir.
•   Active Directory kurulum sihirbazı, kurulum sırasında opsiyon olarak DNS yüklenmesini önerir. Windows 2000- 2003 DNS Servisi; SRV kayıtları ile DNS dinamik güncelleme özelliğini destekler.


İLK DOMAIN ile ACTIVE DIRECTORY KURULUMU:

Sabırsızlandığınızı biliyorum. Bu kadar lafgüzarlıktan sonra artık icrata geçelim.
1) Windows Server 2003 CD'si sürücüye takılarak, otomatik açılan tüm ekranlar kapatılır.


2) Start/Run kısmına dcpromo yazılır ve OK butonuna basılır. Dcpromo komutu, çift amaçlı kullanılır. Bunlardan birisi; şimdi yapacağımız gibi sistemimize Active Directory kurmak, yani işletim sistemimizi DC yapmak, diğer amacı da kaldırmaktır. İlk önce bir kuralım, en sonunda kaldırırız.
 
3) Dakika bir gol bir! Evet, bu uyarı mesajı der ki "Eğer sisteminizde Certificate Services varsa, Active Directory kuramazsınız veya kadıramazsınız" Bir önceki bölümden kalan certificate servisinizi demek ki kaldırmayı unutmuşsunuz. O zaman hemen Control Panel'e giderek nasıl kurdu isek? O şekilde kaldıralım. Eğer daha önce kaldırmış iseniz; o zaman bu adımı direkt atlayabilirsiniz.
Evet, kaldırma işlemi başarı ile tamamlandığına göre tekrar "dcpromo" yazarak, kaldığımız yerden devam edelim.
4) İlk gelen kurulum sihirbaz ekranını Next butonu ile geçiyoruz.


Şimdi kurulum başlayacak ancak, tüm kurulum ekranlarındaki seçenekleri açıklamak istiyorum. Bunun için bir şema çizeceğim ve bunun üzerinde hareket edeceğiz.


5) İlk ekranda Domain controller for a new domain seçeneğini işaretliyoruz ve Next butonuna basıyoruz. İster Parent ister Child olsun farketmez, yukarıdaki yapımızda tüm Domain'leri kurmak için kullanacağımız seçenektir. Diğer
seçenek; Additional domain controller for an existing domain var olan bir Domain'e, yedek bir Domain oluşturmak için kullanılır. Bu özelik de çok önemlidir. Yeni bir Domain oluşturduktan sonra, mutlaka yedek Domain'i yani, Additional Domain Controller'i oluşturunuz. Ana Domain'in başına birşey gelirse sistem devamlılığını onunla sağlayacağız. Bunun nasıl yapılacağını son konularımızda inceleyeceğiz.



6) Bu ekranda Domain in a ne\v forest seçeneğini işaretleyerek Next butonuna basıyoruz. Çünkü biz şeklimizdeki sabitaksu.com Domain'ini oluşturuyoruz. Bu Domain hiçbir yere bağlı olmayan, ormanınız içindeki ilk Domain. Eğer bu Domain'i daha önce oluştursaydık ve
ankara.sabitaksu.com veya istanbul.sabitaksu.com Domain'lerinden birisini oluşturmak isteseydik o zaman, Child domain in an existing domain tree seçeneğini işaretleyecektik. Çünkü bu, sabitaksu.com ağacının dallan olacaktır.
Yine şeklimizde bulunan yiikselinan.com ayrı bir tree, yani ayrı bir ismi var ve sabitaksu.com ismi ile hiçbir bağı yok. İşte sabit.com'u oluşturarak bu ormana katmak isteseydik, o zaman da Domain tree in an existing forest seçeneğini işaretleyecektik. Böylelikle bu forest içindeki tüm kaynaklara, izinler dahilinde ulaşabilecekti.
 
7) Active Directory
DNS'siz olmaz. Eğer bir DNS'imiz yoksa, sonradan kurarım diye burayı pas geçemezsiniz ve No, just install and configure DNS on this computer seçeneği işaretli iken Next butonuna basıyoruz. Eğer DNS varsa, Yes, I will configure the DNS client seçeneği seçilir.


Karizmatik Gelen ekrana Domain'in tam adını yazıyoruz ki bizim Domain'imiz mcse.com olacağı için onu yazdık ve Next butonuna basıyoruz.


9) Windows'ın eski versiyonları için, NetBIOS adı gerekmekte. Burada kendi atadığı, Domain adından gelen ismi kabul edebilir veya değiştirebiliriz. Biz hiçbir değişiklik yapmadan, Next butonuna basıyoruz.


10) Gelen ekran Active Directory veri tabanını ve Active Directory ile ilgili log dosyalarının nerede tutulacağını sorgulayan yapıdır. Burada verimli olması ve performansı yükseltmek amacı ile eğer varsa, bu iki yolu ayrı fiziksel Disk'te tutmanızı öneririm. Next butonu ile bu ekranı geçiyoruz. Eğer aşağıdaki mesaj ile karşılaşırsanız, yeterli Disk alanınız yok demektir. O zaman ya başka bir sürücü seçiniz veya temizlik yapınız.


11) Burada Domain'e ait genel dosyaların tutulduğu SYSVOL klasör'ünün nerede tutulacağı belirtilir. Bunun içeriği; Domain içinde bulunan tüm diğer Domain Controller ile Replike olur. Ayrıca bu klasör mutlaka NTFS dosya sistemi üzerinde olmalıdır. Buradan çıkan sonuç; Active Directory kurmak için en az 1 partition, NTFS olmak zorundadır. Yoksa kurulum gerçekleşmez. Next butonu ile bir sonraki ekrana geçiyoruz.


12) İzinler ekranında bu Domain ile hangi tür Domain'lerin ilişkiye girebileceğini tespit etmemiz lazım. Eğer sistemimizde Windows 2000 öncesi Domain'ler varsa (NT Server 4.0 gibi) ve bu Domain ile ilişkiye gireceksek, o zaman Permissions compatible with pre-Windows 2000 server operating systems seçeneğini  işaretliyoruz. Öyle bir sorunumuz yoksa, tüm sistem Windows 2000 ve sonrası ise o zaman, ikinci seçeneği seçiyoruz. Eğer ikinci seçeneği seçerseniz, geri dönüş şansınız yok ancak, ilk seçeneği seçerseniz kurulum tamamlandıktan sonra, istediğiniz zaman ikinci seçeneğe dönüş yapabilirsiniz. Biz ilk seçenek ile kuruluma Mixed Mode kurulum, ikinci ile yapılan kuruluma ise Native Mode kurulum adı veriyoruz. Sonradan içeride nasıl Mixed Mode'dan Native Mode dönüştüreceğimizi görmek için, ilk seçenek seçili iken hiçbir değişiklik yapmadan, Next butonuna basıyoruz.


13) Active Directory'nin yedeğini aldıktan sonra, geri yüklenmesi veya çeşitli Active Directory sorunları için bilgisayarı Active Directory Restore Mode ile açmamız gerekir. (Bu konu son bölümlerde incelenecektir.) İşte oldukça önemli olan bu kısmın, yetkisiz kişiler tarafından açılmasını engellemek için, buraya bir
şifre giriyoruz. Aman unutmayınîyoksa açamazsınız. Ben bir şifre vermeden Next butonuna basıyorum.


14) Karşımıza gelen son ekran Özet ekranı. Burada yaptıklarımızın bir listesi var. Eğer herhangi birşeyi değiştirmek istiyorsanız, Back butonunu kullanarak geri dönüp, değiştirebilirsiniz. Eğer herşey istediğiniz gibi ise, Next butonuna basabilirsiniz.


15) Gelen ekran ile kurulum başlamıştır. Bu ekran tamamlanana kadar bekleyeceğiz....

16) İşlem bitince karşımıza gelen ekranda Finish butonuna basacağız ve aşağıdaki ekranda Active Directory'nin etkili olması için, Restart Now seçeneğine tıklayacağız.

Bilgisayar Restart olduktan sonra, DC'niz hazır.