Windows Server

Active Directory Makaleleri Active Directory Yapısı – Bölüm 2

Sirketinizin network ihtiyaçlarini karsilayacak sekilde yapilandirilmis bir Windows 2003 Active Directory yapisi size büyük kolayliklar saglamaktadir. Fakat sistemi kurmaya baslamadan önce sisteminizin ihtiyaçlari ve imkanlarini göz önüne alarak çok detayli ve uygulanabilir bir planlama yapmaniz gerekir.

 

image001

 

Bu planlamada active directory yapisini iki ayri alanda degerlendirmeniz gerekir.Bunlar:

 

  • Mantiksal Yapi(Logical Structure)
  • Fiziksel Yapi(Physical Structure)

 

Mantiksal Komponentler :

 

Active Directory içerisindeki kaynaklarin organize edilmesi ve gruplandirilmasini içeren yapi mantiksal yapidir. Mantiksal olarak bir objenin lokasyonu organize edildikten sonra fiziksel olarak konumu degisse de kaynaga ulasimda sorun yasanmayacaktir. Active Directory içerisindeki mantiksal komponentleri dört gruba ayiriyoruz:

 

  • Domain
  • Tree
  • Organizational Unit
  • Forest

 

Simdi de bu mantiksal komponentlerin ne ise yaradiklarini inceleyelim.

 

 

DOMAIN

 

image002

 

Bir Windows networkünde merkezi yönetimi saglamak amaciyla kurulan çekirdek yönetim birimine domain adi verilir. Domain, ayni isim altinda toplanmis objelerin olusturdugu yapilara verilen isimdir.Ayni domain içerisinde bulunan bütün objeler ortak bir veritabani içerisinde depolanirlar. Windows 2003 networkleri üzerinde domain yapisinin olusturulabilmesi için Active Directory dizin servisinin, Windows Server 2003 ailesinden bir isletim sistemine sahip bilgisayar üzerinde kurulmasi ve yapilandirilmasi gerekir. Active Directory dizin servisinin kurulumunu gerçeklestirmek için bazi gereksinimlerin yerine getirilmesi gerekir.Bu gereksinimlerle ilgili genis bilgiyi bu bölüm içerisinde ilerleyen basliklarda bulabilirsiniz.

 

 

ORGANIZATIONAL UNITLER

 

image003

Organizational unit, domain içerisindeki objeleri organize etmeyi saglayan birimlerdir.  Organizational Unit’ler, kullanici hesaplari(user accounts), grup hesaplari(group accounts), bilgisayar hesaplari (computer accounts),  yazicilar (printers),  paylastirilmis klasörler(shared folders) gibi nesneleri içerirler. Her domain içerisinde olusturulan OU hiyerarsisi birbirinden bagimsizdir.

 

Nesneler organizational unit’ler içerisinde konumlandirilarak daginiklik önlenmis ve yönetim kolaylastirilmis olur. Sirketiniz içerisinde, sahip olmus oldugunuz departmanlar bazinda OU’lar olusturup, departmanlar içerisindeki nesneler için de ayri ayri alt OU’lar olusturabilirsiniz. Mesela; muhasebe departmani için bir OU olusturup, bu OU altinda da muhasebe departmani içerisindeki bilgisayarlar için ayri bir alt OU, kullanicilar için ayri bir alt OU olusturarak düzenli bir yapi olusturabilirsiniz.Bu islemi sirket içerisindeki diger departmanlar için tekrarladiginizda düzenli ve yönetimi kolay bir yapi olusturmus olacaksiniz.

 

Organizational Unit’in sagladigi bir diger avantaj ise delegasyondur(delegation). Bir departman içerisindeki nesneler için  yukarida anlatmis oldugumuz metot kullanilarak  bir OU yapisi olusturularak ve buradaki OU’lar için sistemdeki bir kullanicinizi delege olarak görevlendirebilirsiniz. Kullanicinizin delege atanmasi esnasinda   hangi görevlere sahip olacagi belirlenmektedir. Bu sayede administrator yükünün azalmasi ve bazi noktalarda yönetimin kolaylasmasi saglanmis olacaktir.

 

Organizational Unit Hiyerarsik Modelleri

 

Active Directory domain yapinizda organizational unit yapinizi planlarken ve olustururken belli kriterlere göre bunu belirleyebilirsiniz. Simdi bunlari sirayla bir gözden geçirelim.

Fonksiyona Göre OU Yapisi Çikarma: Sirketi cografi ve departman farki gözetmeksizin is fonksiyonlarina göre ayirmayi kapsamaktadir.Eger IT fonksiyonlariniz cografi veya sirket bazli degilse bu modeli kullanabilirsiniz.

 

 

image004

 

Active Directory yapisini fonksiyonel olarak organize ederken fonksiyone göre tasarimin asagidaki karakteristiklerinin gözönüne alinmasi gerekir.

 

·         Fonksiyon tabanli hiyerarsi sirketsel ve departmansal olarak  yeniden düzenlemelerden etkilenmez.

·         Bu yapilanmada  gruplandirmayi kullanicilar, yazicilar, serverlar ve network kaynaklarina göre tabakalandirabilirsiniz.

·         Fonksiyonel gruplandirma replikasyonu da etkilemektedir.

 

Fonksiyon tabanli departmanlar orta ve büyük ölçekli sirketlerde  kullanilacak uygun bir yapi degildir ve çok genis kategorilere ayrilamaz.Fonksiyon tabanli yapilanma sadece küçük çapli sirketler için kullanilir.

 

Sirket Yapisina Göre OU Yapisi Çikarma:Bu tip hiyerarside sirket içerisindeki departman veya bölümlere göre bir gruplandirma vardir.

 

image005  

Eger Active Directory yapiniz sirket yapisini yansitacak sekilde organize edilmis ise, yönetimsel otoritenin delege edilmesi zorlasabilir.Çünkü Active Directory içerisindeki printer, dosya paylasimi gibi nesneler, delegasyon mantigina ve sistemine göre gruplandirilamayabilir.Çünkü, administrator yapiyi organizasyon sistemine göre kurar, kullanicilara göre degil.

 

 

image006  

 

Cografi Konuma Göre OU Yapisi Çikarma: Eger sirket merkezden yönetiliyorsa ve network yönetimi cografi olarak dagilmis ise, konum tabanli yönetimin kullanilmasi önerilir.Örnegin, ITSTACK.com domain’i için istanbul, mecidiyekoy, besiktas gibi alt OU’lar olusturarak bu yapi olusturulabilir.

 

Cografi Konuma göre yapilan hiyerarsinin karakteristik özellikleri:

 

·         Yeni yapilanmalardan etkilenmez.Departman ve bölümler sik sik degisse de, sirketlerde lokasyon çok nadir degistigi için yeniden yapilanmalardan etkilenme çok nadir olur.

 

·         Büyüme ve genislemelere açik bir yapidir.Eger bir sirket baska bir sirket ile birlesirse veya satin alirsa, mevcut sisteme yeni birimleri entegre etmek çok daha kolaydir.

 

·         Networkü güçlü olan konumlara avantaj saglar.Bir sirketin fiziksel network topolojisi konum tabanli hiyerarsiye çok benzemektedir.Eger konum tabanli bir domain yapisi olusturursaniz, yüksek bant genisligine sahip yerlerin avantajini görebilirsiniz.Bu durumda düsük bant genisligine sahip alanlar içerisinde data güncellemelerini sinirlandirabilirsiniz.

 

·         Uzlasmaci bir güvenligi içerir.Eger lokasyonda çok sayida bölüm veya departman varsa, domain üzerinde veya organizational unit üzerinde yönetim yetkisine sahip bir kullanici veya grup, alt child domainler veya organizational unitler üzerinde de yetkiye sahip olmus olacaktir.

 

 

Hybrid(Melez) Yapiya Göre OU Yapisi Çikarma: Öncelikli olarak konuma göre, daha sonra da sirket yapisina göre veya diger yapilanma tiplerinin birlesimine göre yapilanirsa buna hybrid(melez) hiyerarsi adi verilir.Melez hiyerarside sirketin ihtiyaçlarina cevap verecek sekilde çesitli alanlarin güçleri birlestirilir.Bu tip hiyerarsinin sahip oldugu karakteristikler:

 

·         Cografi olarak, departman bazli veya bölünmüs alanlara göre ek büyümelere uygundur.

 

·         Departman veya bölüme göre ayri yönetim sinirlari olusturur.

 

·         Ayni konumda olup farkli birimlerde veya departmanlarda olan yönetici kullanicilar arasinda bir yardimlasama yapisi kurarak, yönetimsel islemleri kolaylastirmaktadir.

 

 

TREES AND FORESTS (AGAÇLAR VE ORMANLAR)

 

image007

 

Tree, ayni isim altinda toplanmis bir veya daha fazla sayida Windows 2003 domaininin  hiyerarsik olarak olusturdugu yapiya  verilen isimdir. Diger bir deyisle, ayni isim altinda toplanan domainler topluluguna “tree” adi verilebilir. Tree, mevcut bir parent domain’e child domainlerin eklenmesi ile genisletilebilir. Tree içerisindeki domainler hiyerarsik bir isim yapisini paylasmaktadirlar. Tree içerisinde bulunan child domainler, isim yapilarinda parent domaininin ismini kendi domain isimlerinin sonuna ekleyerek kullanirlar. Ayni tree içerisindeki domainler, ortak bir isimlendirme yapisina (domain namespace) sahiptirler.

 

Forest, bir veya daha fazla sayidaki domain agacinin(domain tree) olusturdugu yapiya verilen isimdir. Forest içerisinde ilk kurulan domain’e “forest root domain’ adi verilir. Forest root domainin DC bilgisayarinda otomatik olarak active directory sema ve global katalog olusur. Ayni forest içerisinde bulunan bütün domainler ortak bir  sema ve  ortak bir global catalog kullanmaktadirlar. 

GLOBAL CATALOG 

 

image008

 

Active Directory içerisinde bulunan bütün objelerin ve kaynaklarin adres bilgisini ve haklarini (permissions) tutan ve bir kaynaga veya objeye erismek istediginiz zaman, eger gerekli izniniz varsa size o kaynagin veya objenin adresini veren domain controller bilgisayarina global katalog server adi verilir.  Kisacasi siz bir kaynaga ya da objeye ulasmak istediginizde size o kaynagin ya da objenin adresini global katalog server vermektedir. Global Catalog Server forest yapisinin kütügünü tutan, sanki bir  “muhtar” gibi çalisan ve networkün haritasini tutan bilgisayardir. Forest’da Global Catalog server rolü sadece forest root DC’ye yani forest içerisinde ilk kurulan Domain Controller  bilgisayarina aittir.Ihtiyaciniza gore Global Catalog rolü forest yapisindaki diger DC bilgisayarlarina da atanabilir.

 

Güven Iliskileri(Trust Relationships)

 

image009

 

Farkli iki domain arasinda bilgi ve kaynak paylasimi amaciyla kurulan iliskiye güven iliskisi(trust relationship) adi verilir.Windows 2003 networkünde iki domain ayni forest içerisinde ise otomatik olarak bu iki domain arasinda karsilikli yani çift yönlü (two way) ve geçisli (transitive) güven iliskisi olusur.Örnegin bir parent domain ile onun altindaki child domain arasindaki güven iliskisi gibi.

 

Geçisli yani transitive güven iliskisi active directory domain yapisina has bir özelliktir. Geçisli güven iliskisi asagidaki sekilde açik olarak görülmektedir.Domain A  Domain B’ye güveniyor,  Domain B de Domain C’ye güveniyor.Böyle bir yapida Domain A ayni zamanda Domain C’ye de güvenmis oluyor. Windows NT 4.0  güven iliskisinde geçislilik özelligi yoktu, yani  NT 4.0 domainleri arasindaki güven iliskisi non-transitive’dir.NT 4.0 domainlerinde Domain A ve Domain C arasina ayrica güven iliskisi kurulmasi gerekirdi. 

 

image010

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.