Microsoft Ortamında Çalışma Grubu ve Etki Alanı Kavramları

0
4891
views
Microsoft ortamında bilgisayarlar yönetilme şekline göre 2 temel şekilde sınıflandırılabilir: Çalışma Grupları (Workgroups) ve Etki Alanı (Domain). Bu yazıda çalışma grupları ve etki alanı kavramları incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

1) Çalışma Grupları (Workgroup)

Çalışma Grupları (Workgroups), yalnızca bağımsız bilgisayarların bir araya gelmesiyle oluşan yapıdır. Her bilgisayarın kendine ait yerel kullanıcıları ve kullanıcı grupları vardır. Tüm bilgisayarlar tarafından güvenilen bir etki alanı denetleyicisi (Domain Controller) bulunmaz ve merkezi bir yönetim yoktur. Kullanıcı hakları ve izinler yalnızca yerel kullanıcı ve gruplara atanabilir. Her bilgisayarın kendine ait kullanıcı ve grupların saklandığı veritabanı (SAM) olduğu için yerel gruplar başka bir bilgisayardan kullanıcı bulundurmazlar ve kaynaklarını bu kullanıcılara paylaştıramazlar. Farklı iki makinada aynı isimde kullanıcı veya grup oluşturulabilir fakat aynı isimli kullanıcıların veya grupların SID değerleri farklı olacaktır. Yani isimlerinin aynı olması, bilgisayar tarafından da bu iki kullanıcının aynı kullanıcı olduğu anlamına gelmeyecektir.

workgroup-and-domain-concepts-in-microsoft-environment-01
Şekil – 1: Çalışma Grubu (Workgroup)

 

Çalışma grupları ile çalışılan ortamlarda kullanıcılar genellikle sahibi oldukları bilgisayarlarda yerel yönetici hakkına sahiptir ve dolayısıyla bilgisayarında istediği değişiklikleri gerçekleştirebilir.

Çalışma grubunun yöneticiliğini üstelenen bir sistem yöneticisinin her bir bilgisayarda ayrı bir yönetici hesabı bulundurması gerekmektedir. Eğer yerel yönetici hesaplarının isimleri ve şifreleri her bir bilgisayarda farklı olarak yapılandırılırsa bu tüm sistemin güvenliği için tavsiye edilen bir uygulamadır. Sistemlerden biri ele geçirilse bile bu tüm sistemin ele geçirilmesi anlamına gelmeyecektir. Fakat bunun aynı zamanda sistem yöneticisinin işlerini oldukça zorlaştıracağı da aşikardır.

Aynı ortamda bulunan bilgisayar birden fazla çalışma grupları oluşturulup her biri farklı çalışma gruplarında kümelenebileceği gibi, ortamdaki tüm bilgisayarlar tek bir çalışma grubunda da bulundurulabilir.

Bir çalışma grubunda bulunacak bilgisayar sayısı genellikle ellinin üzerine çıkmamaktadır. Ellinin üzerine çıkan bilgisayarların yönetimi oldukça zorlaşmaktadır ve ortamın kaotik bir yapıya bürüneceği söylenebilir.

Çalışma grupları, kavraması ve yönetmesi nispeten basit bir yapıdır. Her bilgisayarın kendisini koruduğu ve her bilgisayar da farklı kullanıcılar ve parolalar kullanılacağı için çalışma grubundaki sistemlere saldırılması daha zor olduğu söylenebilir. Ele geçirilen bir bilgisayar ortamdaki tüm bilgisayarları tehlikeye sokmayacaktır. Maliyet açısından değerlendirilecek olursa ilk kurulum maliyetlerinin düşük olacağı söylenebilir. Çalışma gruplarında genellikle her kullanıcı kendi makinasının yöneticisidir ve kullanıcılar kendi bilgisayarlarında istedikleri işlemleri rahatça gerçekleştirebilir fakat bu bazen sistem yöneticilerinin istemediği bir hak olabilmektedir.

Ancak, çalışma grupları kullanıcılar genellikle başına buyruktur ve girdikleri sitelere, yükledikleri programlara ve tıkladıkları bağlantılara çok dikkat etmezler. Her kullanıcının kendi bilgisayarlarında istediklerini yapabilmesi sonucu da ortamda çok farklı türde yazılımların yüklü olduğu, çok farklı şekilde yapılandırmaların bulunduğu sistemler bir arada bulunacaktır. Yani, internet ortamının küçük ölçeklisi gibi düşünülebilir. Bu da belli bir süre sonra anarşi ortamına dönmektedir. Sistemlerin yönetilmesi ve yapılandırılması imkansız hale gelmektedir. Ayrıca çalışma gruplarında fazla sayıda sistemi yönetmek ve yapılandırmak oldukça zorlaşmaktadır. Merkezi bir yönetim ve güvenilen yapı olmadığı için herhangi bir denetleme veya politika kontrolü olmayacağı rahatlıkla söylenebilir. “Tek bir kullanıcının sisteme bir kez oturum açtıktan sonra ağdaki diğer kaynakları kullanıcı adı ve parola doğrulaması yapmadan kullanması” olarak özetlenebilen Single Sign-On (SSO) özelliği çalışma gruplarında yoktur. Dolayısıyla ağdaki herhangi bir kaynağa erişilmek, kaynağı paylaşılmak istendiğinde, paylaşılan kaynağın bulunduğu bilgisayarda ilgili kullanıcı hesabı oluşturulup, kullanıcıya izin atamasında bulunulması gerekmektedir. Bu da sistem yönetimini oldukça zorlaştırır.

 

2) Etki Alanı (Domain)

Çalışma grubu bilgisayarlarının herkes tarafından güvenilen ortak bir veritabanı bulunmaması, merkezi olarak yönetilebilirliğinin bulunmaması veya çok zor olması, ölçeklendirilmesinin zor olması, Single-Sign On (SSO) gerçekleştirilmesinin zor olması gibi nedenlerden dolayı kurumsal ortamların ihtiyaçlarını karşılamakta yetersiz kalmaktadır. Bu nedenlerden dolayı, tüm bilgisayarların SID değerlerini tutan ortak bir veritabanının olduğu, merkezi olarak yönetilebilen, ölçeklendirmenin kolay olduğu ve Single-Sign On desteği sunan ortama ihtiyaç vardır. Bu ihtiyaçlara ve daha fazlasına etki alanı teknolojisi ile cevap verilmektedir.

Şekil - 2: Etki Alanı (Domain)
Şekil – 2: Etki Alanı (Domain)

 

Etki alanı, bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve prosedürlerle bir merkezden yönetilen ağ yapısıdır. Etki alanlarının, çalışma grubu yapısına kıyasla en öne çıkan özelliği güvenliktir. Bir çalışma grubuna katılmak isteyen herhangi birinin yapması gereken tek şey bilgisayar ayarlarından Workgroup kutucuğuna o grubun ismini yazmaktır. Bir etki alanına katılabilmek (üye olabilmek) için ise yetkili bir yöneticinin onayına ihtiyaç vardır. İsteyen herkes bir etki alanına katılamaz.

Şekil - 3: Etki Alanına Ekleme
Şekil – 3: Etki Alanına Ekleme

 

Microsoft terminolojisinde etki alanı, güvenlik sınırı (security boundary) olarak tanımlanmaktadır. Yani; aynı güvenlik ayarlarının geçerli olduğu bilgisayar kümesi bir etki alanı oluşturur. Bu ayarların farklılaştığı yerde etki alanı yoktur veya bir başka etki alanı vardır. Microsoft etki alanı yapısı, çalışma grubu yapısının neden olduğu dağınık ve kuralsız ortamın ortadan kalkması ve yerel bilgisayar ağlarının, yani intranet ağlarının, güvenli ve verimli bir şekilde işlemesi amacıyla geliştirilmiştir.

Etki alanları yetkili yöneticileri tarafından idare edilirler. Bu kişiler etki alanna bilgisayar ekleme/çıkarma, kural koyma/uygulama, kullanıcı yaratma/silme vb. gibi etki alanının işlemesi için gerekli görevleri yerine getirirler. Her etki alanında kontrol işlevini yerine getiren özel bilgisayar(lar) bulunmaktadır. Bunlara Etki Alanı Denetleyicisi (Domain Controller – DC) adı verilir. Etki alanı denetleyicisi; etki alanını oluşturan bilgisayarlar, kullanıcı hesapları, yazıcılar gibi tüm nesnelerin (domain objects) bilgilerinin tutulduğu ortak veritabanıdır. Bu nedenle merkezi olarak çok sayıda bilgisayarı yönetmek oldukça kolaydır. Bir etki alanı kolay ölçeklenebilir yapıdadır. Aynı anda 100 veya 1000 bilgisayarı yönetmek, yönetimsel açıdan çok fazla çaba sarf ettirmez.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.