Active Directory, Windows 2000 Server için tasarlandı: Windows Server 2003-2008 ve son olarak da Server 2012  ile birlikte Active Directory’de daha da geliştirildi. Yeni araçlar ve teknolojiler eklendi.

Active Directory ne sağlar?

Active Directory'nin network yönetiminde kullanılan bir yönetim sistemi olduğunu ve network üzerindeki kaynakları (resources) yönettiğinden söz ettik. Örneğin şirket networkü içinde; bir dosyaya erişecek (izinleri olan) kullanıcıların tanımlanması gibi. İzinlerin yanı sıra Active Directory'de önemli şey kimlik denetimi (authentication) işlemidir. Kimlik denetimi sistem giriş ve yapılan işlemleri kullanıcı bazında kısıtlanmasında diğer bir deyişle yalnızca yetkili kullanıcıların network’ü kullanmasını sağlar. 

Active Directory’ni sağladıklarını şu şekilde sıralayalım: 

• Network'ün domain olarak adlandırılan birimler (alanlar) halinde düzenlenmesini sağlar. 
• Kullanıcı ve grupların listesini merkezi olarak tutar. 
• Kimlik denetimi (authentication) sağlar: Kullanıcı ve grupların ancak gerekli izinlere sahip olması durumunda kaynaklara erişmesini sağlar. 
• Domain içindeki nesnelere, birçok özelliklerinden aranarak bulunmasını sağlar. 
• Domainin OU adı verilen alt parçalara bölünmesini sağlar. Daha küçük bu birimler, yönetimin delege edilmesini sağlar. 

Belli yönetim işlemlerinin yetkilendirilmesi sağlanır.

 

Active Directory Özellikleri

Active Directory belli özelliklere sahiptir: 

Merkezi Veri Depolama: Active Directory’de sistemde yer alan tüm veriler tek bir veritabanında saklanır. (NTDS.DIT). Merkezi bir veritabanı sayesinde kullanıcılar istedikleri nesneye kolayca erişebilirler.

Ölçeklenebilirlik: Active Directory, farklı network gereksinimlerini karşılamak üzere ölçeklenebilme (scalability) yeteneğine sahiptir. Domain, OU ve tree yapıları sayesinde küçük, orta ve büyük ölçekli kurumsal network’lere uygulanabilir.

Genişletilebilirlik: Active Directory veritabanının yapısı genişletilebilme özelliğine sahiptir. Belli bir şemaya sahip olan veritabanına ek özellikler eklenebilir. 

Hiyerarşik: Domain yapısı hiyerarşiktir. Bu aynı zamanda hiyerarşik bir adlandırma sistemini de destekler. DNS domain’leri gibi Internet modeliyle domain’lerin adlandırılmasını sağlar. Fc-holding.com, izmir.fc-holding.com gibi.

Yönetilebilirlik: Active Directory domain’leri sistem yöneticisi tarafından birçok araçla yönetilebilir. Bu işlemler bir yerden ve bir logon ile (single sign on) yapılabilir. 

Domain Name System (DNS) ile entegrasyon: Active Directory, standart bir bir Internet (TCP/IP) servisi olan DNS ile entegre çalışır. Her ikisi de aynı hiyerarşik adlandırma yapısını kullanır. Özellikle adlandırma (adların çözülmesi) ve içerdiği server kayıtları aracılığıyla serverların bulunması işlemlerinde DNS önemli bir servistir. 

Politika-tabanlı yönetim: Kullanıcı ve bilgisayarların bir site, domain ya da OU içerisindeki işlemlerini kısıtlayan merkezi politikalar düzenlenebilir. Böylece kullanıcıların yalnızca izin verilen işlemleri ve bilgisayar ayarların yapması sağlanır. 

Bilginin kopyalanması (replication): Active Directory bilgilerinin sürekliliğini, hataya dayanıklılığını ve yük dengelemesini sağlamak için gelişmiş bir replikasyon teknolojisine sahiptir. Bu sayede domain controller bilgisayarlar arasında domain nesneleri (veriler) kopyalanır.

Active Directory sistemi belli teknolojilere dayanır: 

Esnek ve güvenli kimlik doğrulama (yetkilendirme): Active Directory birçok kimlik doğrulama protokolünü kullanır. Kerberos v5, SSL v3 ve TLS v3 sertifikaları bunlardan bazılarıdır.

Güvenlik entegrasyonu: Active Directory, Windows Server 2003 güvenliği ile entegre çalışır. Dizinde yer alan her bir nesne için erişim kontrol edilebilir.

Diğer dizin servisleriyle birlikte çalışabilme: Active Directory LDAP v3 ve NSPI üzerine kuruludur. Bu protokolleri kullanan diğer dizin servisleriyle birlikte çalışabilir.

İmzalanmış ve şifrelenmiş LDAP trafiği: Varsayım olarak tüm LDAP trafiği sayısal olarak imzalı (signed) ve şifrelidir (encrypted).

Tek bir noktadan erişim: “Single Sing On”. Tek bir logon ile bütün network’e erişim. Administrator’ün bir yerden yapacağı logon işlemi ile bütün network’ü yönetmesi anlamına gelir. 

Delegasyon: OU’lar sayesinde yönetim işlemlerinin bazıları (password değiştirmek, kullanıcı oluşturmak günlük işlemler) yerel birimlerdeki (OU) yetkili bir kullanıcıya devredilebilir. 

Active Directory Destekli Teknolojiler

Active Directory’nin amacı standart bir sistem yönetimi (network yönetimi) sağlamaktır. Bu amaçla, Active Directory tasarımında belli standartlar söz konusudur. 

Active Directory’nin desteklediği teknolojiler şunlardır: 

DHCP

DHCP (Dynamic Host Configuration Protocol) servisi IP adreslerinin merkezi olarak dağıtılmasını sağlar. DHCP servisi, DNS ile (Dinamik DNS) birlikte Active Directory sistemine destek olur. 

DNS

DNS (Domain Name System) servisi ise domain adlarının temelini oluşturur. Ayrıca domain controller, üye bilgisayarlar ve client bilgisayarların kayıtları DNS üzerinde tutulur. 

LDAP

LDAP (Lightweight Directory Access Protocol), endüstri standardı olmuş bir directory erişim protokolüdür. Active Directory bilgilerine erişim sağlar. 

Kerberos v5

Kerberos v5, domain içinde kimlik doğrulama (authentication) için kullanılan standart bir protokoldür. Kerberos v5 protokolü kullanıcıyı ve network servislerini tanımlar. 

Kerberos v5 kimlik doğrulama sistemi network servislerine erişim için ticket bilgisini kullanır. Bu bilgiler şifrelenmiş verilerdir. Kerberos v5 servisinin önemli bir kısmını Key Distribution Center (KDC) oluşturur. KDC, her Domain Controller üzerinde Active Directory servisinin bir parçası olarak çalışarak parolaları ve diğer hesap bilgilerini saklar. 

Kaynak:http://www.ceyhuncamli.com/active-directory-nedir/