Aktif Dizin Etki Alanı ve Orman Fonksiyonellik Seviyeleri

0
277
views
Microsoft Aktif Dizin ortamında etki alanlarının ve ormanların birbiri ile uyumlu olarak çalışmaları ve geçmişe yönelik desteğin sürdürülebilir olması önemlidir. Bu yazıda Microsoft Aktif Dizin ortamında etki alanlarının ve orman fonksiyonellik seviyeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Aktif dizin yapısı Windows Server 2000 ile kullanılmaya başlanmıştır. O günden bugüne kadar sunuculara ait birçok işletim sistemi sürümü çıkarılmıştır ve tüm bu sunuculardaki etki alanı denetleyicileri birbirleri ile uyumlu olarak çalışmaya devam edebilmektedir. Bunun sebebi Microsoft tarafından yeni işletim sistemlerinin eski sürümlerle uyumlu olarak çalışmasını sağlayan fonksiyonellik seviyeleridir. Bu seviyeler etki alanı veya orman kapsamındaki etki alanı denetleyicilerin sürümleri ile ilgili iken, ortamdaki istemcilerin sürümleri ile ilgili değildir.

Fonksiyonellik seviyeleri desteklenen işletim sistemi sürümü ile ters orantılı iken işlevsellikle doğru orantılıdır. Yani daha işlevsel olan seviye, eski sürüm işletim sistemlerini desteklemez. Bu sebeple ihtiyaca göre fonksiyonellik seviyeleri belirlenmelidir. Ayrıca fonksiyonellik seviyesi yükseltildikten sonra düşürülemediği (genellikle) de göz önünde bulundurulmalıdır.

 

1) Etki Alanı Fonksiyonellik Seviyesi (Domain Functional Level – DFL)

Bir etki alanındaki denetleyiciler (DC) birbirleri ile uyumlu olarak 6 farklı fonksiyonellik seviyesinde çalışabilirler:

  • Windows 2000 native
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Etki alanı fonksiyonellik seviyesi (DFL) yükseldikçe desteklenen işletim sistemi sürümü azalır. Örneğin, Windows Server 2008 r2 etki alanı fonksiyonellik seviyesi, Windows Server 2008 r2 ve Windows Server 2012 sürümü etki alanındaki denetleyiciler desteklenirken; Windows Server 2003 etki alanı fonksiyonellik seviyesi ise bu işletim sistemlerine ek olarak Windows Server 2008 ve Windows Server 2003 sürümünde çalışan etki alanındaki denetleyiciler de desteklenir. İstisnai durum olarak Windows 2000 Native etki alanı fonksiyonellik seviyesinde, Windows Server 2012 işletim sistemi üzerinde çalışan etki alanı denetleyicisi kurulamaz.

Etki alanı fonksiyonellik seviyesi yükseldikçe ortamdaki sistemlerin ek özelliklerden faydalanılması sağlanacaktır. Örneğin, Windows Server 2003 etki alanı fonksiyonellik seviyesinde Fine-Grained Parola Politikaları uygulanamaz veya en son etkileşimli oturum açma işlemleri takip edilemezken, Windows Server 2008 etki alanı fonksiyonellik seviyesinde ise bu işlemler gerçekleştirilebilmektedir. Kullanıcıların en son etkileşimli oturum açma işlemlerinin takibi grup ilkesi üzerinde gerçekleştirilebilir:

Computer Configuration > Administrative Templates > Windows Components > Windows Logon Options > Display information about previous logons during user logon: “Enabled” seçilir.

Etki alanına kurulan yeni sürüm sunucuların, denetleyicilerin tam olarak işlev gösterilmesi isteniyorsa, etki alanı fonksiyonellik seviyesi arttırılmalı eğer ortamda etki alanı denetleyicisi veya eski sürüm işletim sistemine sahip sunucular varsa bu sunucular kaldırılmalıdır.

 

2) Orman Fonksiyonellik Seviyesi (Forest Functional Level – FFL)

Bir ormandaki etki alanlarının (ve dolaylı olarak etki alanı denetleyicilerin) birbirleri ile uyumlu olarak 6 farklı fonksiyonellik seviyesinde çalışabilirler:

  • Windows 2000
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Etki alanı fonksiyonellik seviyesi kapsamındaki sürüm desteği ve işlevselliği orman fonksiyonellik seviyesi için de geçerlidir. Yani, Windows Server 2012 orman fonksiyonellik seviyesinde sadece Windows Server 2012 işletim sistemine kurulu olan etki alanı denetleyicisi desteklenir, daha eski sürümlerdeki işletim sistemi seviyeleri desteklenmez. Diğer taraftan Windows Server 2008 r2 orman fonksiyonellik seviyesinde AD Recycle Bin özelliği ile silinen nesneler geri döndürülebilirken, Windows Server 2008 orman fonksiyonellik seviyesinde böyle bir işlevsellik sağlamaz.

Bir diğer husus ise, etki alanı fonksiyonellik seviyelerinde her yeni seviyede ek özellikler geliyor iken, orman fonksiyonellik seviyeleri için böyle bir zorunluluk yoktur.

 

Kaynak:

https://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(v=ws.10).aspx

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.