Windows Server

Windows Server 2012 R2 Active Directory Domain Servis Yönetimsel Araçları

Active Directory domain servis yapısının mimarisi, kurulumu ve operasyonel işlemleri ile ilgili detaylı bilgileri önceki makalelerimizde detaylı olarak paylaşmıştık. Bu makalemizde de Active Directory domain servis rolü kurulduktan ve yapılandırıldıktan sonra oluşturulan yönetimsel araçları ve bunların fonksiyonlarını detaylı olarak ele alacağız.

 

Yaygın olarak kullanılan Active Directory Domain Servis araçlarını şöyle sıralayabiliriz:

 

  • Active Directory Users and Computers
  • Active Directory Domains and Trusts
  • Active Directory Site and Services
  • Active Directory Administrative Center
  • Group Policy Management Console
  • Active Directory Module for Windows PowerShell
  • AdsiEdit
  • Ntdsutil.exe

 

Şimdi bu yönetim araçlarını ve kullanımlarını detaylarıyla inceleyelim:

 

 

Active Directory Users and Computers

 

Active Directory domaininde kullanıcı, grup ve bilgisayar hesaplarının yönetimi, domain modlarının konfigürasyonu, active directory üzerinden domainin yönetilmesi gibi bir çok görevi Active Directory Users and Computers içerisinden gerçekleştirebilirsiniz.

 

Active Directory Users and Computers yönetim konsolunu açmak için Administrative Tools altından ya da Server Manager konsolu içerisindeki Tools menüsünden Active Directory Users and Computers kısayoluna tıklanır ya da komut satırından dsa.msc konsol dosyası ismi yazılarak da aynı konsola ulaşılabilir.

 

DSA.MSC : Mevcut domaindeki Active Directory Users and Computers konsolunu açar.

DSA.MSC /SERVER:Serveradı  : Mevcut domaindeki Active Directory Users and Computers konsolunu ismi belirtilen DC bilgisayarına bağlanarak açar.

DSA.MSC /DOMAIN:DomainAdı : Belirtilen domainin Active Directory Users and Computers konsoluna bağlanır.

 

 

Active Directory Users and Computers kısayolu tıklandığında aşağıdaki pencere karşımıza gelir.

 

 

 

clip_image002

 

Konsol içerisinde domain adımız olan cozumpark.local nesnesini göreceksiniz. Bunu açtığımızda bunun altındaki alt objelere karşımıza gelir. Şimdi kısaca bu alt objelere bir göz atalım:

 

Built-In: Built-in bir kap yani container’dır. Ve içerisinde active directory içerisinde default olarak gelen yönetim amaçlı Domain Lokal grupları göreceksiniz. Örneğin, Administrators, Print Operators, Server Operators, Account Operators, Users gibi.

 

 

clip_image004

 

Buradaki grupların görevleri hakkında ileriki makalelerimizde Kullanıcı ve Grup yönetim konularında geniş bilgi alabilirsiniz. Burada gelen Domain Lokal grupları silemezsiniz, fakat kendiniz buraya yeni gruplar ekleyebilirsiniz.

 

Computers:Computers bir kap yani container’dır.Ve içerisine active directory domainine katılan istemci (client) ve sunucu (server) bilgisayarların bilgisayar hesapları(computer account) otomatik olarak gelir.

 

clip_image006

 

Buraya gelen bilgisayar isimleri üzerinde sağ tuşa bastığınızda gelen Manage kısayolu kullanılarak o bilgisayarın Computer Management konsoluna geçilerek yönetim yapılabilir.

 

Domain Controllers: Domain Controllers bir organizational unit’dir. Ve içerisinde active directory domainine domain controller(DC), additional domain controller (ADC), read-only domain controller (RODC) olarak katılan bilgisayarların bilgisayar hesapları(computer account) otomatik olarak gelir.

 

clip_image008

 

 

Foreign Security Principals: Domaininizin güven ilişkisi (trust relationship) kurduğu domain içerisindeki herhangi bir kullanıcıya kendi domainindeki bir kaynak için hak verdiğinizde ya da kendi domaininizdeki bir gruba üye yaptığınızda o kullanıcın SID(security identifier) numarası burada da görüntülenir.

 

Users : Users bir kap yani container’dır. İçerisinde active directory kurulduktan sonra otomatik olarak gelen Administrator, Guest gibi kullanıcı hesapları ve Domain Admins, Domain Users vb. gibi global gruplar gelir.

 

clip_image010

 

Siz de bu kap içerisinde kendinize özel yeni kullanıcı ya da grup hesapları oluşturabilirsiniz.Kullanıcı hesapları ve grup hesaplarının yönetimi ile ilgili görevleri ileriki konulardan Kullanıcı ve Grup yönetim makalesinde bulabilirsiniz. Kendi kullanıcılarımızı Users kabı içerisinde oluşturmaktan ziyade, belli bir hiyerarşiye göre tasarlanan ve oluşturulan organizational unit (OU) nesneleri altında oluşturmanız tavsiye edilir. Böylece oluşacak dağınıklık ve karmaşa ortadan kaldırılıp, sınıflandırma ve tasnif sağlanmış olacaktır.

 

 

Active Directory Domains and Trusts

 

clip_image012

Active Directory forest yapısı içerisindeki domainlerin görüntülendiği, domainler arası güven ilişkilerin kurulduğu/kaldırıldığı, forest ve domain modları ile ilgili yönetimsel ayarların yapıldığı konsoldur.Domain modları ve forest modları ayrı bir makale içerisinde anlatılacaktır.

 

Burada şu an tek bir forest içerisinde 3 tane domainimiz olduğu için bunların tamamını görmektesiniz. Dolayısıyla aynı forest içerisindeki farklı domain tree’leri ve child domainleri bu konsoldan görebilirsiniz. Ayrıca eger yeterli izne sahipseniz herhangi bir domain üzerinde sag tuşa basınca gelen Manage kısayolu ile Active Directory Users and Computers yönetim konsoluna girerek domain içerisindeki kullanıcı ve grup yönetimini yapabilirsiniz.

 

Active Directory Domains and Trusts yönetim konsolunu açmak için Administrative Tools altından ya da Server Manager konsolu içerisindeki Tools menüsünden Active Directory Domains and Trusts kısayoluna tıklanır ya da komut satırından domain.msc konsol dosyası ismi yazılarak da aynı konsola ulaşılabilir.

 

 

Active Directory Sites and Services

 

clip_image014

 

Active Directory forest yapısı içerisindeki sitelerin oluşturulması ve yönetilmesi, siteler arası replikasyon ayarlarının yapılandırılması, global katalog konfigürasyonu gibi fiziksel yapıya ait birçok yönetimin yapıldığı konsoldur.Siteler üzerinde yönetim yapma hakkı normal şartlarda sadece active directory domaini içerisindeki Enterprise Admins grubunun hakkıdır.

 

                Burada Sites kabı içerisinde active directory forest yapısında oluşturulmuş siteleri göreceksiniz. Active Directory kurulduktan sonra default olarak gelen sitenin adı Default-First-Site-Name’dir. Bunun içerisinde sitede bulunan domain controller bilgisayarlarının listesi gelir. Herhangi bir domain controller bilgisayarının altındaki NTDS Settings kısayoluna tıkladığınızda da sağ ekranda bu DC’nin replikasyon bağlantısı kurduğu diğer DC’leri göreceksiniz. Ayrıca NTDS Settings properties‘ine girerek DC bilgisayarlarını Global Catalog Server olarak  yapılandırabilirsiniz.

 

Active Directory Sites and Services konsolunda alt bölümde bulunan Subnets kabında lokasyonlardaki network subnetlerini oluşturma ve bu subnetleri sitelere eşleştirme ayarları yapılandırılır. Buradaki Inter Site Transports kabından da siteler arası site link yapılandırma, site linklerin yönetim ayarları gibi görevleri yerine getirebilirsiniz.

 

Active Directory Site and Services yönetim konsolunu açmak için Administrative Tools altından ya da Server Manager konsolu içerisindeki Tools menüsünden Active Directory Sites and Services kısayoluna tıklanır ya da komut satırından dssite.msc konsol dosyası ismi yazılarak da aynı konsola ulaşılabilir.

 

 

Active Directory Administrative Center

 

 

Active Directory administrative center konsolu Windows Server 2008 R2 ile tanıştığımız bir konsoldu. İlk versiyonda özellik olarak çok kısıtlı olsa da, sonraki versiyonlarda daha da geliştirilerek active directory yönetiminde birincil araç olmuştur. Windows Server 2012 ve Windows Server 2012 R2 ile beraber active directory yönetimindeki bütün yeni özellikle bu konsolda geliştirilmiştir.

clip_image016

 

Active Directory domaininde kullanıcı, grup, bilgisayar hesaplarının ve organizational unit yönetimi, domain modlarının konfigürasyonu, active directory üzerinden domainlerin yönetilmesi gibi bir çok görevi Active Directory Administrative Center içerisinden gerçekleştirebilirsiniz. Bu özellikler Active Directory Users and Computers konsolu içerisinden de yapılabilen özellikler.

 

Active Directory Administrative Center konsolunu Active Directory Users and Computers konsolundan ayıran yönetimsel yeteneklere gelirsek; grafiksel olarak active directory recycle bin özelliğinin aktifleştirilmesi, silinen öğelerin geri getirilmesi, fine grained password policy nesnelerinin oluşturulması, kullanıcı ve global-security gruplara bağlanması ve yönetimi gibi faaliyetler gözle görülen yeteneklerdir. Bu bahsettiğimiz ayırıcı yeteneklerin tamamı Windows Server 2012 ile gelmişti. Windows Server 2012 ve Windows Server 2012 R2 ile Active Directory Administrative Center konsolunu Active Directory Users and Computers konsolundan ayıran bir diğer yönetimsel yetenek yeni nesil dosya sunucuları erişim politikalarının merkezi olarak uygulanması için kullanılan Dynamic Access Control (DAC) özellikleri. DAC ile ilgili claim oluşturma ve yönetmek, resource property’lerle çalışma, central access rule’lar yazılması ve bunların central access policy’lere bağlanması gibi bütün bu faaliyetleri de yine grafiksel olarak sadece Active Directory Administrative Center konsolundan yapabiliyoruz. Dynamic Access Control konusunu ayrı bir makale serisinde detaylı uygulamalarıyla ve kullanım senaryolarıyla ele alıyor olacağız.

clip_image018

 

 

Active Directory Administrative Center yönetim konsolunu açmak için Administrative Tools altından ya da Server Manager konsolu içerisindeki Tools menüsünden Active Directory Administrative Center kısayoluna tıklanır ya da komut satırından dsac.exe dosyası ismi yazılarak da aynı konsola ulaşılabilir.

 

Active Directory Administrative Center konsolundan active directory NTDS veritabanına bağlanmak ve yönetim yapmak için servisler konsolunda Active Directory Domain Service ile beraber Active Directory Web Service isimli servisin de çalışması gerekir.

clip_image020

 

Active Directory Web Service sayesinde web servis arabirimi üzerinden active directory veritabanına bağlanıp yönetim gerçekleştirilir. Web servis arabiriminde çalışan yönetim konsolumuz da Active Directory Administrative Center konsoludur. Tamamen form-tabanlı bir mimaride geliştirilen Active Directory Administrative Center konsolu yeni nesil active directory yönetim konsolu olarak çok daha yeni özelliklerin geleceği ve active directory yönetiminde öncelikli yönetim konsoludur.

 

Group Policy Management

 

Active Directory forest yapısı içerisindeki domainlerde goup policy yönetiminin gerçekleştiği konsoldur. Group Policy nesnelerinin oluşturulması, domain ya da domain içerisindeki organizational unit’lere bağlanması, group policy’lerin raporlanması, simulasyonu, group policy sonuçlarının çıktısının oluşturulması, group policy nesnelerinin yedeklenmesi, kopyalanması, import işlemleri, yedeklerden geri dönülmesi gibi çok sayıda faaliyeti group policy management console içerisinden gerçekleştiriyoruz.

 

clip_image022

 

Kendi active directory forest yapımızın dışındaki forest yapılarına da bağlanarak onların da yetkilerimiz dahilinde group policy yönetimini yine bu konsoldan yapabiliyoruz.

clip_image024

 

Group Policy Management Console kullanımı ile ilgili olarak Windows Server 2012 üzerindeki uygulamaları daha önceki makalelerimizde portal üzerinden paylaşmıştık. Yine Windows Server 2012 R2 ile Group Policy Management Console uygulamaları için ilerleyen makalelerimizde detayları sizlerle paylaşıyor olacağız.

 

Group Policy Management yönetim konsolunu açmak için Administrative Tools altından ya da Server Manager konsolu içerisindeki Tools menüsünden Group Policy Management kısayoluna tıklanır ya da komut satırından gpmc.msc dosyası ismi yazılarak da aynı konsola ulaşılabilir.

 

Active Directory Module for Windows PowerShell

 

Bildiğiniz üzere Windows PowerShell Microsoft’un yeni nesil otomasyon mimarisinin çatısını (framework) oluşturuyor. Bir başka ifade ile komut satırı kabuğu üzerinde .NET Framework üzerine inşa edilmiş yeni nesil script programlama platformu. Eski Visual Basic script’lerin ve toplu işlem dosyalarının (batch file) yerini aldı. Windows Server 2012 ve Windows 8 ile de üçüncü kuşağını PowerShell 3.0 olarak yaşamaya başlayan platform, Windows Server 2012 R2 ve Windows 8.1 ile dördüncü kuşağa PowerShell 4.0 olarak giriyor. Windows PowerShell ile COM ve VMI nesnelerine tam erişim sağlanarak gerek lokal bilgisayarların ve cihazların, gerekse de uzak bilgisayar ve cihazların otomasyonu ve yönetimi gerçekleştirilebiliyor.

 

Windows PowerShell içerisinde yönetimi yapmak için komut satırında cmdlet (command-lets) olarak adlandırdığımız farklı görevler için özelleştirilmiş .NET sınıflarını (class) kullanıyoruz. Bu cmdlet’leri biraraya getirerek script dosyaları oluşturarak otomasyon görevleri yazabilirsiniz. PowerShell 3.0 ile başlayan süreçte Windows Server 2012 ve Windows Server 2012 R2 üzerinde bütün roller için powershell modülleri ve bu modüller içerisinde de cmdlet’ler yazılmış durumda. Ve her geçen gün ve versiyonda da bu kütüphane daha da zenginleştiriliyor. PowerShell ile ilgili önümüzdeki dönemde çok farklı ve farkındalık oluşturan uygulama makalelerini sizlerle paylaşıyor olacağız.

 

Active Directory Domain Service rolü kurulan Windows Server 2008 R2 ve sonrasında çalışan işletim sistemleri üzerinde active directory uygulaması için de ilgili modüller ve bu modüller içerisinde de komutlar geliyor.

 

Aşağıdaki şekilde de görüldüğü gibi get-module komutu ile powershell modül listesine baktığımızda ADDSDeployment, ActiveDirectory ve Group Policy modülleri otomatik olarak gelmektedir.

 

 

clip_image026

 

Get-command ile active directory modülü içerisindeki komutlara baktığımızda toplamda 150’ye yakın cmd-let geldiğini göreceksiniz.

clip_image028

Bir kullanıcı hesabını oluşturmaktan tutun, kullanıcı özelliklerini değiştirmek, grup üyeliklerini yönetmek, active directory’de group policy oluşturmak/yönetmek, active directory içerisinde site ve subnet yönetimine kadar çok sayıda yönetimsel görev için artık ayrı ayrı cmdlet’ler geliyor. Active Directory for Windows PowerShell konusunu uzun bir seri ile sizlerle çok değerli uygulamalar içeren makalelerde paylaşıyor olacağız.

 

ADSIEDIT

 

Active Directory® Service Interfaces Editor (ADSI Edit), active directory içerisindeki nesnelerin ve bu nesnelere ait niteliklerin yönetiminin yapıldığı bir LDAP editörüdür.

 

ADSIEDIT yönetim konsolunu açmak için Administrative Tools altından ya da Server Manager konsolu içerisindeki Tools menüsünden ADSIEDIT kısayoluna tıklanır ya da komut satırından adsiedit.msc dosyası ismi yazılarak da aynı konsola ulaşılabilir.

 

clip_image030

 

Bu konsol sayesinde özellikle yukarıda bahsettiğimiz standart active directory yönetim konsolları ile ulaşamadığınız nesnelere ve bu nesnelere ait niteliklere (attribute) ulaşıp okuma, değişiklik yapma, silme vb. operasyonları gerçekleştirmeniz mümkündür.

 

NTDSUTIL.EXE

 

Komut satırından kullanılan active directory sorun giderme ve yönetim aracıdır. Komuta satırına geçerek NTDSUTIL.EXE diyerek çalıştırılır.

 

clip_image032

Komut satırından active directory snapshot yönetimi, FSMO rollerinin transfer edilmesi, IFM yedeklerin oluşturulması, DSRM şifresinin resetlenmesi, DSRM modda açılınca authoritative restore yöntemi ile active directory veritabanının geri yüklenmesi, domain veritabanındaki eski kalıntıların temizlenmesi (metadata cleanup) bu aracın işlevlerinden bazılarıdır. Bundan önceki makalelerde NTDSUTIL.EXE aracının kullanımı ve yetenekleri konusunda çok sayıda uygulama yapmıştık. Portalımızdan bu makalelere erişerek daha detaylı bilgi alabilirsiniz.

 

Sonuç olarak,

 

Bu makalemizde de Windows Server 2012 R2 İle Active Directory Yönetim Araçlarını inceledik. Bir başka makalemizde görüşmek üzere sağlıcakla kalın.

Mesut ALADAĞ
Microsoft MVP, MCT

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu