Active Directory - ...
 
Bildirimler
Hepsini Temizle

Active Directory - İlk Kez Uygulayacağım - Aklıma Takılanlar  

  RSS
oğuzhan aydin
(@oguzhanaydin)
Üye

Herkese merhaba arkadaşlar.

Son 1-2 haftamı bu sitedeki ve forumdaki yüzlerce yazıyı-postu
okuyarak geçirdim. Sonra üye oldum. İlk olarak emek veren, bilgi paylaşan
herkese sonsuz teşekkürler. Son 1-2 haftadır bilmediğim o kadar çok şey
öğrendim ki sayenizde ne kadar teşekkür etsem emeklerinizi karşılamaz.

Sorunuma gelirsek. Açılmak üzere olan bir firmada maksimum
60-70 bilgisayar ile çalışacağız. Domain üzerinde çalışalım ve gerekli
kısıtlamaları yapalım istedim ilk kez. Buradan okuduğum onca yazı sonrasında
neler yapacağıma dair fikir oluştu uygulayarak test ederek yavaş yavaş bu
yapıyı kuracağım ama kafamı karıştıran birkaç husus var. Bunları danışmak
değerli fikir ve yönlendirmelerinizden faydalanmak isterim yardım edecek
olanlara şimdiden sonsuz teşekkürler.

1.      
Windows server 2008 r2 standart  kullanacağım. Domain Controller olarak
kullanacağımız cihazımız bir server değil. Konfigürasyonu sağlam bir PC olacak
(yeni nesil işlemcilerden güçlü bir tanesi ve minimum 8gb ram ile ve güçlü bir
psu ile çalışmasını planlıyorum zaten binada güç kaynakları vb gibi donanımlar
da sağlam) Öncelikle bunun bir sakıncası var mıdır, muhakkak bir server kullanmam
mı gerekir, yoksa belirttiğim ölçekte bir bilgisayar bu işin altından kalkar
mı?

2.      
Farklı GPO’lar belirleyebileceğim 3 ayrı
tanımlama yapmak istiyorum. (Sekreterler, yöneticiler ve bilgi işlem gibi) 3 OU
mu oluşturmam gerekecek bunun için. (okuduğum onca şeye rağmen kafam karıştı
sanırım) Biri kısaca Active directory kurulumundan sonra izlemem gereken yolu
ana maddeleriyle anlatabilir mi bunun için? (Menülerin ne neredenin tarifine lüzum
yok kendim bulurum, araştırırım, kimseye zahmet vermek değil amacım)

3.      
Sistem üzerinde 2 server daha var. Bunlar normal
server cihazlar onlarda da server 2008 r2 standart çalışıyor ve sql sunucuları.
Bunlar için yapmam gereken özel bir ayar, policy vb. olmalı mı?

4.      
Bilgi vermek açısından clientların tümü xp pro
üzerinde çalışacak.

5.      
Ağ üzerinde zyxel’in firewall cihazı zywall usg
200 olacak ve bir de yine Zyxel’in nas sürücüsü. Bunlar için de DC tarafında
yapmam gereken bir işlem olur mu?

Söylediğim gibi kimseye iş yıkmak zahmet vermek amacında
değilim, sadece başlamadan yaşadığım tedirginliği ne kadar okursam okuyayım atamıyorum. Sorduklarımın çoğu farklı konularda geçiyor, onu da biliyorum, ama toparlamak amacıyla birarada tekrar danışayım istiyorum. Bir şeyi kaçıracakmışım her şey mahvolacakmış gibi geliyor. Karşılıklı
iletişimle biraz daha kolay ilerleyebilirim gibi geldi.

Yardımcı olmak isteyecek herkese şimdiden sonsuz teşekkürler
ve herkese işlerinde kolaylıklar dilerim.

Alıntı
Gönderildi : 17/10/2011 19:44
CozumPark
(@cozumpark)
Onursal Üye Yönetici

merhabalar

1) Aslında sunucu kullanmanız daha iyi olacaktır. Bir PC ile Sunucunun çalışma değerleri hiçbir zaman aynı olamaz, her ne kadar güçlü olursa olsun.

2) OU yapılandırmanızı şirketin yapısına göre tanımlayabilirsiniz. Satış, Muhasebe, Yönetim, IT, Stajer vs... devamında da GPO'larınızı oluşturup OU'lara uygularsınız. Yada Security Filtering yaparak güvenlik gruplarına da GPO uygulaması yapabilirsiniz.

3) Domaine dahil olduklarında zaten gerekeli GPO'lar onlara da aktarılacaktır.

4) firewall ve nas cihazı için dc tarafında yapılacak pek fazla birşey yok gibi. Ancak NAS cihazınız AD entegre çalışabiliyorsa dosya izinlemelerinizi vs yapabilirsiniz.

İşe girişmeden önce üzerinizdeki tedirginliği atın derim, rahat olun. Aksi taktirde bu şekilde tedirgin başlarsanız HATA yapma olasılığınız daha da artmış olacaktır. O yüzden rahat olun relax relax...

Ayrıca herşey dört dörtlük olacak diye bir kural yok. Zamanlar sistem kullanıcılar tarafında kullanıldıkça ve size sorunlar geldikçe sistem üzerinde aaa bu neden böyleymiş bunu da kapatayım açayım vs en ideal şekline zamanla kavuşacaktır.

CevapAlıntı
Gönderildi : 17/10/2011 20:52
oğuzhan aydin
(@oguzhanaydin)
Üye

Çok teşekkür ederim Mümin Bey. Zaten halen ön hazırlık diyebiliriz içinde bulunduğum duruma. Başladığımda o tedirginlik bir miktar azalacaktır sanıyorum. Maalesef yeni bir server için bütçe alamıyorum. O nedenle normal PC ile olacak bu işlem muhtemelen. Normal PC üzerinde AD çalıştırmak çok çok sakıncalı ise, kesinlikle kalkışmayın serverınız olmadan diyorsanız o konuda da uyarı bekliyorum. Yoksa yukarıda anlattığım koşullarla girişeceğim işe. İlgilendiğiniz için tekrar teşekkür ederim. İyi çalışmalar.

CevapAlıntı
Gönderildi : 17/10/2011 21:16
ismailayaz
(@ismailayaz)
Üye

domain controller için yeni bir server a kurulum yapıp daha sonrada bahsettiğiniz pc ye adc kurulumu yaparsanız daha sağlıklı olacaktır. böylece domain controller makinanızda ilerde bir sorun yaşansa dahi sistem adc makinanız üzerinden çalışmaya devam edecektir. sizede dc yi tekrar ayağa kaldırmak için daha sakin bir kafaya ve daha geniş bir zamana sahip olacaksınız.

iyi çalışmalar.

CevapAlıntı
Gönderildi : 17/10/2011 22:52
Serkan Ateş
(@SerkanAtes)
Üye

[quote user="oğuzhan aydin"]Çok teşekkür ederim Mümin Bey. Zaten halen ön hazırlık diyebiliriz içinde bulunduğum duruma. Başladığımda o tedirginlik bir miktar azalacaktır sanıyorum. Maalesef yeni bir server için bütçe alamıyorum. O nedenle normal PC ile olacak bu işlem muhtemelen. Normal PC üzerinde AD çalıştırmak çok çok sakıncalı ise, kesinlikle kalkışmayın serverınız olmadan diyorsanız o konuda da uyarı bekliyorum. Yoksa yukarıda anlattığım koşullarla girişeceğim işe. İlgilendiğiniz için tekrar teşekkür ederim. İyi çalışmalar.[/quote]

Sunucu sistemleri tüm donanımları itibarı ile (Anakart, PSU, Soğutma, CPU) 7/24 çalışma esasına göre yapılandırılmış cihazlardır. Şahsım adına yüksek kapasiteli bir normal PC satın almaktansa giriş seviyesi bir sunucu almayı tercih ederim. Sunucudan DC rolü dışında bir beklenti var mı bilmiyorum ama (DC nin tekil çalışması, başka roller ile birleştirilmemesi tavsiye edilir) Raid 1 destekli çift PSU lu giriş seviyesi bir sunucuda ihtiyaçları karşılayacaktır. CPU tarafı mesai başlangıcında bir pick yapıp gün boyu çok da sıkıntıya girmeyecektir zaten. 8 Gb. ram gerekliliği tartışılabilir ? Bu ölçek için 4 Gb. ramde yetebilir (sadece yazdıklarınızı dikkate alıyorum). Bütçe kısmına birşey diyemem ancak çift PSU destekli bir sunucuyu başlangıçta tek PSU lu alıp ikinci PSU yu sonradan ilave edebilirsiniz. Rack mount sunucu yerine Tower tercih edebilirsiniz. Sunucu fiyatlarını bir araştırın derim, kampanya kapsamında OEM Pc den çok daha yüksek fiyatlar ödemek durumunda kalmayabilirsiniz de.

Diğer konular ile ilgili aceleci davranmayın derim. Her şeyi bir kerede yapmak hata durumunda kaynağı bulmakta sıkıntıya yol açabilir. Ana kurulumunuzu yapıp ihtiyaçlar doğrultusunda Grup İlkelerinizi sonradan da yapılandırabilirsiniz.

SQL sunucularınız için performans ve güvenlik anahtarlarınızı düzenleyebilirsiniz. Uygulama sunucunuz ayrı ise SQL sunucuya sadece bu uygulama sunucusunun bağlanmasına izin vermek gibi. Örneğim çok genel olup yapınızda çalışmayabilir tabi, süreci yine ihtiyaçlarınız yönlendirecektir.

CevapAlıntı
Gönderildi : 19/10/2011 02:06
iozler
(@iozler)
Üye

Merhaba. İstemci bilgisayarlara default gateway olarak zywall'ı göstermeyi de unutmayın. Eğer DC üzerinde DHCP sunucu rolü de ekleyeceksiniz gerekli ayarları DHCP üzerinde belirtebilirsiniz. 

CevapAlıntı
Gönderildi : 20/10/2011 03:43
oğuzhan aydin
(@oguzhanaydin)
Üye

Herkese yeniden merhaba arkadaşlar. Aldığım tavsiyelere harifyen uymaya gayret ederek bir server aldırabildim öncelikle. sonra bu server'a server 2008r2 kurup domain controller olarak tanımladım ve active directory kurulumu yaptım. forest adım firma.local oldu. client bilgisayarlardan birine kurulumda FIRMA şeklinde tanımlanan netbios adını etki alanı olarak vererek etki alanına dahil ettim. bu arada ADAC üzerinden bir test kullanıcısı tanımladım ve bu kullanıcıyı sekreter adıyla oluşturduğum OU içerisine dahil ettim. Buraya kadar ne yaptımsa gerek bu gönderiye gelen sizlerin değerli yorumlarına gerekse de sitedeki ilgili makalelere uyarak harfiyen uygulamaya gayret ettim işlemleri. hatta zywall'a domain controller için ayrı ayarlar yapmak gerekiyormuş onları da yapıp öyle çalıştırabildim her şeyi.

 En nihayetinde client bilgisayarda sekreter OU'suna dahil olarak tanımladığım test kullanıcısının kullanıcı adı/şifresi ile oturum açabildim. Sandığımdan kolay oluyor diye seviniyordum ki policyler tanımlamaya gelince takıldım kaldım. Yardımlarınızı rica ediyorum. İlgili örnekleri inceleyerek Group Policy Management ekranından sekreter OU'su için yeni bir policy oluşturdum. adına first dedim ve bu policy'i OU'ya linkledim. basit bir kaç ilke tanımladım. kontrol paneli disable olsun, klasik görünümü zorla vb. ama ne yaptımsa bu değişiklikleri oturum açan test kullanıcısında göremedim. restart, logoff/logon, etki alanından çıkarma tekrar ekleme, server ve client tarafında gpupdate /force komutu gibi okuduklarımdan öğrendiğim tüm çözüm denemelerim de boşa çıktı. nerede hata yapıyorum bulamıyorum. yardımıcı olursanız çok sevinirim. herkese iyi çalışmalar.

CevapAlıntı
Gönderildi : 05/11/2011 04:59
Rıza ŞAHAN
(@rizasahan)
Değerli Üye Forum Yöneticisi

Ou içerisine computer öğesinimi taşısınız user öğsinimi taşıdınız.Siz computer configuration kısmından ilke uygulayıp useri ou altına taşıdıysanız sorun olur.Ou içerisine sekreter userini taşıyın gpo ayarlarınıda user configuration kısmından yapınız.

CevapAlıntı
Gönderildi : 05/11/2011 16:23
oğuzhan aydin
(@oguzhanaydin)
Üye

Active Directory Users and Computers ekranında sekreter OU'su seçili iken bu OU'nun içerisinde direkt bir test kullanıcısı oluşturdum. Group Policy Management ekranında da Group Policy Objects altında yeni bir gpo oluşturdum first adında. Daha sonra aynı ekranda sekreter OU'sunu seçerek Link an Existing GPO dedim ve "first" adlı gpo'yu buraya linkledim. Bu hatalı bir gidişat mı?

 Bir de ilave, client bilgisayarda administrator olarak oturum açtım birkaç saat evvel, sonra test kullancısıyla oturum açtım tüm policy'ler uygulanmıştı. Pek bir şey anlamadım açıkcası. Ama şu an olmuş görünüyor. Yine de işleyişi çözmeden içim rahat etmeyecek. Teşekkürler ilginiz için Rıza bey. 

CevapAlıntı
Gönderildi : 05/11/2011 18:18
Rıza ŞAHAN
(@rizasahan)
Değerli Üye Forum Yöneticisi

Merhaba,


Gpo user bazlı ve computer bazlı olarak uygulanır. Bir kullanıcıyı domaine aldığınızda computer öğesi olarak ayrıca active directory altına eklenir.Bazı policyler user bazlı bazıları ise computer bazlı uygulanır. Örnek olarak aşağıdaki computer bazlı uygulamaya bakınız sizde user bazlı olarak uygulayabilirsiniz.


http://www.cozumpark.com/blogs/videolar/archive/2010/08/21/video-windows-server-2008-gpo-software-deployment.aspx


Ayrıca size pmden bir video linki atacağım bakarsınız.

CevapAlıntı
Gönderildi : 05/11/2011 20:56
oğuzhan aydin
(@oguzhanaydin)
Üye

Rıza bey çok teşekkür ederim. Hemen izlemeye başlıyorum.

CevapAlıntı
Gönderildi : 05/11/2011 21:10
oğuzhan aydin
(@oguzhanaydin)
Üye

Herkese tekrar merhaba.

 Öncelikle şu ana kadar yardım eden arkadaşlara içtenlikle teşekkür ederim. Anlatılan şeyleri doğru yaptığım halde yaşadığım problemlerin nedenini buldum: zywall.

 

Tüm istemci bilgisayarlarda default gateway zywall'a ayarlanmış durumda yukarıda da bana önerildiği gibi. zywall 192.168.1.1'de, domain controllerım da 192.168.1.5'de. DC'de dhcp ayarı yok. dhcp sunucusu zywall ve tüm makinelere o ip dağıtıyor. makineler otomatik ip alıyor.  DC de default gateway zywall olacak şekilde. policyler üzerinde işlem yaptığımda iplerini otomatik olarak alan clientlar (kontrol de ediyorum gatewayleri 192.168.1.1) bir şekilde domain controllerdan ayarları okuyamıyor. client bilgisayarların 1. dns'lerini zywall 2.sini DC yapınca da durum aynı. Ama client bilgisayarlarda 1. dns'i domain controller (192.168.1.5) 2.yi zywall (192.168.1.1) yapınca gpupdate /force komutunu çalıştırdığım an tüm policyleri uyguluyor makine.

 Bu aşamada sorunum şu ki, makineleri bu halleri ile restart edince bu seferde ağda offline görüyorum ve kullandığım 3. parti uzaktan yardım yazılımıyla bu bilgisayarlara bağlanamıyorum.

 Client bilgisayarları hem zywall ile hem DC ile düzgün haberleştirmek için ne yapmam gerekir? Belki çok oluyorum ama, adım adım sonuna geliyor gibiyim bu işin. Yardımlarını esirgemeyen herkese bir kez daha teşekkürler. 

CevapAlıntı
Gönderildi : 10/11/2011 02:46
Paylaş: