Aktif Dizin Mantıksal Mimarisi

0
857
views
Aktif Dizin fiziksel yapısı ile ağ trafiği kontrolü ve ayarlaması gerçekleştirilir iken, mantıksal yapısı ile Aktif Dizin kaynaklarının organizasyonu ve gruplandırılması organize edilir. Mantıksal bir yapıya oturtulan bir nesnenin fiziksel yerinin değişmesi kaynaklara erişimde sorun oluşturmayacaktır. Aktif Dizinin mantıksal yapısı Yapısal Birim (Organizational Unit – OU), Etki alanı (Domain), Ağaç (Tree) ve Orman (Forest) olmak üzere 4 temel bileşenden oluşur. Bu yazıda Aktif Dizin’in mantıksal yapısını oluşturan 4 bileşen incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Aktif Dizin mantıksal mimarileri Şekil – 1’deki gibi özetlenebilir. Şekilde 5 etki alanı, 3 ağaç, 2 orman bulunmaktadır.

Şekil 1 - Aktif Dizin Mantıksal Yapısı
Şekil 1 – Aktif Dizin Mantıksal Yapısı

 

1) Yapısal Birim (Organizational Unit)

Etki alanındaki nesneleri organize etmek için oluşturulan nesnelerdir. OU içerisinde kullanıcı ve bilgisayar hesapları, gruplar, yazıcılar, paylaşılmış klasörler veya başka bir OU bulunabilir.

OU yapısının sağladığı en önemli avantaj, yetki devri (delegasyon) işlemleridir. Organizasyona özel olarak oluşturulan OU yapısı ile istenilen bir kullanıcı bu OU üzerinde bazı yetkilere sahip olabilir. OU yapısı sayesinde, belirlenen kullanıcı, ilgili OU altındaki kullanıcıların bilgilerini değiştirebilir, şifrelerini sıfırlayabilir. Böylece sistem yöneticisinin harcayacağı güç azalır. Yetki devri ile ilgili ayrıntıya ileride değinilecektir.

OU modeli oluşturulması sırasında dikkate alınması gerekilen kıstaslar şu şekildedir:

  • Yetki devri: Yetki devrinin kolayca yapılacağı bir şekilde tasarım gerçekleştirilmelidir.
  • Grup ilkeleri: Aynı grup ilkelerinin uygulanacağı nesneler, aynı OU içerisinde bulunmalıdır.
  • İş yapısı: Benzer iş tanımlarına sahip nesneler, benzer OU içerisine konulmalıdır.
  • Coğrafi yerleşke: Aynı coğrafi bölgede bulunan nesneler aynı OU içerisinde bulunmalıdır.
  • Risk: Kritik nesneler için ayrı OU tanımı yapılmalıdır.

Bunun yanında yapısal birimlerin (OU) yanlışlıkla silinmelerini önlemek için “Protect container from accidental deletion” seçeneği aktifleştirilmelidir. Bu seçenek kritik olarak görülen tüm nesneler üzerinde aktifleştirilmelidir.

Organizasyon içerisinde oluşturulacak OU hiyerarşisi için farklı kıstaslara göre farklı modeller kullanılabilir.

  • Organizasyon Yapısına Göre: Organizasyondaki nesneler departman veya bölümlerine göre ayrılabilir. Bu hiyerarşik yapıda; organizasyondaki kullanıcıların birbirine olan üstünlüğü, OU üzerindeki yönetimsel üstünlükle aynı olmayabilir. Departman müdürüne ait nesneler, altındaki bir personelin yönetiminde olabilir.
  • Coğrafik Konumuna Göre: Organizasyondaki nesneler bulunduğu coğrafi bölgeye göre ayrılabilir. Organizasyondaki departmanların fiziksel olarak değişmesi çok sık gerçekleşmediği için, organizasyondaki mantıksal/yönetimsel departman değişikliklerinden etkilenmez. Fiziksel ağ altyapısı güçlü olan organizasyonlar için, yüksek bant genişliğine sahip olan yerleşkelerde iletişimin daha sağlıklı olabileceği bir yapıdır.
  • Hibrid (Melez) Yapıya Göre: Genelde aynı bölümde/departmanda bulunan nesneler aynı coğrafi bölgede bulunmaktadır. Bunun yanında aynı coğrafi bölgede birbiri ile benzer veya etkileşimde olan bölümler bulunmaktadır.

Bir OU tasarımında bazı noktalara dikkat etmek gerekmektedir. Bu noktalar şu şekildedir:

  • OU adı çok uzun olmamalıdır. Örneğin, “İnsan Kaynakları Birimi Yapısal Birim” yerine “İnsan Kaynakları” tercih edilmelidir.
  • OU isimleri çok kısa olmamalıdır. Örneğin, “Gazi Antep” yerine “GA” gibi kısaltmaların kullanılmaması tavsiye edilmektedir.
  • İsimlendirmede tutarlı olunması tavsiye edilmektedir. Bir OU altındaki bilgisayarların bulunduğu OU “Desktops” iken, başka bir OU altında bilgisayarların bulunduğu OU “Workstations” olarak adlandırılmaması tavsiye edilmektedir.
  • Genelden özele gidecek şekilde bir hiyerarşik yapı oluşturulması tavsiye edilmektedir. Örneğin, OU=Türkiye altında OU=İstanbul olmalıdır. OU=Türkiye ve OU=İstanbul aynı seviyede olmaması tavsiye edilmektedir.
  • Gereksiz yere derin bir OU yapısı oluşturulmaması tavsiye edilmektedir. Oluşturulması durumunda yetki devri işlemleri karışabilmektedir. En fazla 4. seviyeye kadar derinliğe sahip olan bir OU yapısı kullanılması tavsiye edilmektedir.
  • Rezerve edilmiş isimlerin kullanılmasından kaçınılması tavsiye edilmektedir. Örneğin, bir OU “Users” veya “Computers” diye adlandırılmaması tavsiye edilmektedir. Bu isimler Built-in olarak gelen konteynırlara verilmiştir.

 

2) Etki Alanı (Domain)

Aynı isim altında toplanan nesnelerin oluşturduğu yapıdır. Aksi belirtilmemişse bir etki alanındaki nesne hakkı ve güvenlik ayarları sadece belirtilen etki alanında geçerlidir. Yani her bir etki alanı kendi güvenlik sınırına sahiptir. Bu sebeple, etki alanı yöneticisi sadece kendi etki alanında geçerlidir veya bir etki alanındaki güvenlik politikaları sadece o etki alanını etkiler.

Bir organizasyon içerisinde kurulu olabilecek etki alanı çeşitleri şunlardır:

  • Orman Kök Etki Alanı
  • Çocuk (Alt) Etki Alanı
  • Ağaç Kök Etki Alanı

Etki alanı oluşturmak için kurulan ilk Aktif Dizin’in kurulduğu etki alanı, orman kök etki alanı (forest root domain) olarak adlandırılır ve bir ormanda bir tane kök etki alanı bulunur. Bu etki alanında orijinal şema ve konfigürasyon bölümleri bulunur, gerekli durumlarda bu bölümlerdeki veriler diğer etki alanları ile kopyalanır (replike edilir). Bu sebeple bu etki alanı, başka bir etki alanına veya ormana eklenemez (join edilemez). Kök etki alanı altında oluşturulan her etki alanına çocuk etki alanı (child domain) adı verilir. Bunun yanında kök etki alanı ile aynı orman içerisinde yer alan her ikincil kök etki alanına ağaç kök etki alanı (tree root domain) adı verilir.

Örneğin, “sirket” etki alanı orman kök etki alanı iken, “istanbul.sirket” ve “ankara.sirket” çocuk etki alanları, “test” ve ayrıca “sirket” ise ağaç kök etki alanlarıdır.

 

3) Ağaç (Tree)

Aynı isim altında toplanmış bir veya daha fazla etki alanının oluşturduğu hiyerarşik ağaç yapısıdır. Örneğin, “egitim.com.tr” etki alanının altındaki “windows.egitim.com.tr” ve “microsoft.egitim.com.tr” bir ağaç yapısı oluşturmaktadır. Kök etki alanındaki şema, konfigürasyon bölümleri ve Genel Katalog içeriği alt etki alanlarına kopyalanır ve replike edilir.

 

4) Orman (Forest)

Bir veya daha fazla ağaç (tree) yapısının oluşturduğu yapıdır. Orman içerisinde kurulan ilk etki alanına “Forest Root Domain” adı verilir ve bu etki alanı denetleyicisi üzerinde otomatik olarak Aktif Dizin şeması ve Genel Katalog oluşturulur. Aynı orman içerisindeki bütün etki alanları ortak bir şema ve Genel Katalog kullanırlar.

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.