Kurumsal Ortamların Sinir Sistemi: Active Directory

Active Directory (AD), Microsoft tarafından Windows 2000 Server ile hayatımıza girmiş ve o günden bu yana kurumsal ağ altyapılarının en önemli parçası haline gelmiş kritik bir dizin hizmetidir. Kurum içi kimlik yönetiminin temelini oluşturan AD, ağdaki bütün kaynaklar, kullanıcı ve bilgisayar hesapları hakkında bilgileri tutar, bu kaynaklara erişimi ve kullanımı sağlar. Active Directory’nin tüm yapısı LDAP (Lightweight Directory Access Protocol) üzerine inşa edilmiştir.

1. Active Directory’nin Kurumsal Faaliyetlere Vazgeçilmez Katkıları

Active Directory, ağ kaynaklarının merkezi olarak yetkilendirilmiş kullanıcıların erişimine olanak tanıyarak bir kurumun operasyonel güvenliğini ve verimliliğini sağlar:

• Merkezi Kimlik Doğrulama ve SSO (Single Sign-On): Kullanıcıların girişlerini merkezi olarak doğrular. Kerberos gibi protokolleri kullanarak, tek bir kullanıcı adı ve şifre ile birden fazla ağ kaynağına (dosya, yazıcı, uygulama) erişim imkanı tanır.
• Kaynak Yönetiminin Merkezi Kontrolü: Sunucular, paylaşılmış dosya ve klasörler, yazıcılar ve diğer tüm network kaynaklarının erişimi merkezi olarak kontrol edilir.
• Merkezi ve Dağıtık Yönetim: Sistem yöneticileri dağınık yapıda bulunan bilgisayarları, sunucuları ve uygulamaları var olan AD yapısı dahilinde merkezi bir yerden yönetebilir. Ayrıca yetkilerini delegasyon yöntemiyle başka kişilere aktarabilirler.
• Güvenli ve Hiyerarşik Depolama: Active Directory bütün nesneleri güvenli ve hiyerarşik olarak mantıksal yapısı içerisinde saklar.

Active Directory Yapısal Bileşenleri

Active Directory, Mantıksal Yapı ve Fiziksel Yapı olmak üzere iki ana kısımda incelenir.

Mantıksal Yapı (Logical Structure)

AD nesneleri hiyerarşik olarak mantıksal yapısı içerisinde güvenli bir şekilde saklanır.

BileşenTanım ve ÖzellikNesneler (Objects)Kullanıcı hesabı, bilgisayar hesabı veya bir yazıcı tanımlaması gibi yapının en basit bileşenleridir.Organizational Unit (OU)Yönetimsel amaçlara göre nesneleri kategorize etmek ve yönetimi kolaylaştırmak için kullanılan yapısal birimdir. Delegasyon ve GPO uygulamaları bu seviyede uygulanır.Domain (Etki Alanı)Active Directory’nin temel fonksiyonlarını getirebildiği, yönetimsel olarak bütün nesnelerin yer aldığı yapıdır. Nesneler için yönetim sınırını ve paylaştırılmış kaynaklar için güvenlik tanımlamalarını belirler.Domain Trees (Etki Alanı Ağaçları)En az iki veya daha fazla etki alanının birleşmesinden oluşan yapıdır. Çocuk (Child) etki alanı, Ana (Parent) etki alanının adının devamı şeklinde adlandırılır (Örn: bursa.balkanbilisim.com). Aynı Tree içindeki domainler arasında otomatik, çift yönlü ve geçişli güven ilişkisi (Transitive Trust) kurulur.Forest (Orman)Active Directory’nin tüm yapısını içeren, bir veya birden fazla etki alanı ağacını barındıran en üst seviye mantıksal yapıdır.

Fiziksel Yapı (Physical Structure)

Fiziksel yapı, replikasyonu düzenler ve network bant genişliğinin verimli kullanılmasını sağlar.

• Domain Controllers (Etki Alanı Denetleyicileri): Active Directory servisinin kurulu olduğu ve depolama/replikasyon yapılarını düzenleyen sunuculardır. Bir Etki Alanı Denetleyicisi sadece bir Domain’e hizmet verebilir ve süreklilik için birden fazla DC kurulmalıdır.
• Active Directory Sites: Birbirine iyi bağlantılarla (yüksek hızlı LAN) bağlanmış bilgisayar kümelerinden oluşur. Amacı, farklı lokasyonlardaki DC’lerin arasındaki bant genişliğini en verimli şekilde kullanmasını sağlamaktır.

Active Directory Veritabanı Bölümleri (Partitions)

Her DC, dizin verilerini tutarlı bir şekilde saklamak ve eşitlemek için farklı bölümler kullanır:

BölümİçerikReplikasyon KapsamıSchema PartitionForest genelindeki (Forest-Wide) bütün nesnelerin sınıfları ve nitelikleri ile ilgili listeleri barındırır.Forest içindeki tüm Etki Alanı Denetleyicileri.Configuration PartitionForest topolojisi, replikasyon, site yapısı ve servis tanımları gibi yapılandırma verilerini içerir.Forest içindeki tüm Etki Alanı Denetleyicileri.Domain PartitionKullanıcılar, gruplar ve bilgisayarlar gibi Domain’e ait bütün nesnelerin bir kopyasını üzerinde saklar.Sadece aynı Domain içinde bulunan diğer DC’ler.Application PartitionDNS Zone verileri gibi güvenlikle ilgili olmayan ve bazı uygulamalar tarafından kullanılan nesneleri içerir.Özel Etki Alanı Denetleyicileri ile.

Microsoft Active Directory (AD), modern kurumsal BT altyapılarının omurgasını oluşturan, karmaşık ve hayati bir dizin hizmetidir. AD’nin varlığı, sadece bir kolaylık değil, günümüzün siber güvenlik ve regülasyon gereksinimleri açısından mutlak bir zorunluluktur. AD, ağdaki tüm kaynaklar, kullanıcı ve bilgisayar hesapları hakkında bilgileri tutar, bu kaynaklara erişimi ve kullanımı merkezi bir düzende sağlar.

FSMO Rolleri ve Replikasyon

Active Directory’nin güvenilirliği ve sürekliliği, veritabanının tüm Domain Controller’lar (DC) arasında tutarlı olmasını sağlayan iki kritik mekanizmaya dayanır: FSMO Rolleri ve Replikasyon Protokolleri.

FSMO Rolleri (Flexible Single Master Operations): Kritik Tekil Görevler

Active Directory, değişikliklerin bütün DC’ler arasında eşitlenmesi sistemi olan Multimaster Replication ile çalışır. Ancak çakışmaları önlemek için bazı kritik işlemlerin sadece tek bir sunucuda yapılması gerekir. Bu görevler, dizin tutarlılığını garanti eden 5 adet FSMO rolü ile tanımlanır:

FSMO Rollerinin Görevleri

Schema Master: Forest başına 1 adet Active Directory şemasındaki (nesne ve öznitelik tanımları) güncellemeleri kontrol eder.

Domain Naming Master: Forest başına 1 adet Forest içerisine yeni domain ekleme veya var olanı kaldırma kontrolünü yapan tek yetkili roldür.

PDC Emulator: Her domainde 1 adet Şifre senkronizasyonunda master olarak çalışır, GPO değişikliklerinin ana kaynağıdır ve saat senkronizasyonunu (Domain’deki tüm makineler saat bilgisini PDC’den alır) sağlar.

RID Master (Relative Identifier): Her domainde 1 adet Yeni nesneler için benzersiz RID numarası dağıtarak SID (Güvenlik Tanımlayıcısı) üretimine katkı sağlar.

Infrastructure Master: Her domainde 1 adet Domainler arası grup üyeliği değişikliklerini takip ederek tutarsızlıkları önler. Nesnelerin bir etki alanından diğerine taşınmasını izler.

Replikasyon Protokolleri

Replikasyon, DC’ler arasında dizin verilerinin eşitlenmesini sağlayarak iş sürekliliğini ve kesintisiz hizmeti garanti eder.

Site İçi Replikasyon (Intra-site Replication)

Aynı site içindeki (yüksek hızlı LAN) Domain Controller’lar arasında gerçekleşir.

Çalışma Mekanizması: RPC over IP protokolü ile replike olurlar. Hız: Çok hızlı ve sık aralıklarla çalışır. Change Notification: Değişikliğin olduğu DC, diğer DC’lere değişiklik bilgisi olduğuna dair bir paket yollar ve replikasyonu tetikler. Bu işlem 15 saniyede bir tekrarlanır. KCC (Knowledge Consistency Checker): Tüm DC’lerde çalışır. Her 15 dakikada bir çalışarak DC’ler arasındaki en iyi bağlantıyı otomatik olarak hesaplar ve replikasyon bağlantı objelerini oluşturur. Urgent Replication: Güvenlikle ilgili Attribute’larda (Hesap Kilitleme Politikası, Şifre Politikası vb.) değişiklik olduğunda replikasyon süresi beklenmeden anında tetiklenir.

Siteler Arası Replikasyon (Inter-site Replication)

Farklı site’lerdeki (genellikle WAN üzerinden bağlı) DC’ler arasında olur.

Sıklık ve Optimizasyon: Daha az sıklıkta yapılır. Varsayılan olarak 180 dakikada bir gerçekleşir. Bant Genişliği Yönetimi: Veriler sıkıştırılır (WAN optimizasyonu) ve bant genişliği dikkate alınarak yapılır. Site Link ve Cost: Fiziksel bağlantıyı temsil eden Site Link nesneleri üzerinden yönetilir. Cost (Maliyet) değeri sayesinde replikasyon, toplam maliyet değeri en düşük yoldan gerçekleşir. ISTG (Intersite Topology Generator): Siteler arasında Bridgehead sunucular için gerekli bağlantı yollarını otomatik olarak oluşturan servistir.

Active Directory üzerindeki DNS’in önemi ve çalışma prensipleri:

Active Directory ve DNS

Active Directory, kimlik doğrulama, replikasyon ve istemci-sunucu iletişiminde standart TCP/IP protokollerine güvenir ve bu iletişim için isim çözümlemesini (Name Resolution) DNS ile yapar.

• Servis Konumlandırması (Service Location): Bir istemci (client) ağa katıldığında veya bir hizmete erişmek istediğinde, öncelikle bir Domain Controller’ı (DC) bulmalıdır. DC’ler, ağdaki yerlerini DNS SRV (Service Location) kayıtları (Örn: _ldap._tcp.dc._msdcs.domain.com) kullanarak yayınlar. İstemci, bu kayıtları sorgulayarak DC’nin IP adresini öğrenir. DNS bu süreçte temel bir “harita” görevi görür.
• Replikasyon: Domain Controller’lar arasındaki veri senkronizasyonu (replikasyon) yolları, DNS bilgileri ve Site yapısı kullanılarak belirlenir. DNS’teki bir sorun, DC’lerin birbirini bulamamasına ve dizin verisinin tutarsız kalmasına neden olur.

Active Directory Entegre DNS (ADIDNS) Nedir?

Active Directory Entegre DNS, DNS kayıtlarının standart DNS sunucularında olduğu gibi dosya sisteminde (%SystemRoot%System32DNS klasöründe) değil, doğrudan Active Directory veritabanı (NTDS.DIT) içinde saklanması anlamına gelir.

Temel Avantajları:

• Gelişmiş Replikasyon Güvenilirliği: Standart DNS’te Zone kayıtları sadece DNS sunucuları arasında replike edilirken, ADIDNS’te kayıtlar doğrudan AD veritabanının bir parçası olduğu için AD’nin kendi replikasyon mekanizmasını (Multimaster Replication) kullanır. Bu, DNS verisinin daha hızlı, daha güvenilir ve daha sık (15 saniye Change Notification ile) eşitlenmesini sağlar.
• Çoklu Master (Multimaster): ADIDNS sayesinde bir DNS Zone’u üzerindeki değişiklikler (Örn: yeni bir kayıt eklenmesi) o Zone’u barındıran tüm DC’lerde yapılabilir. Standart DNS’te ise tek bir Primary sunucu olmak zorundadır.
• Güvenlik: DNS kayıtları, Active Directory’nin yerleşik güvenlik modellerinden ve izinlerinden (Permission) yararlanır. Bu sayede sadece yetkili kullanıcıların veya bilgisayarların kendi DNS kayıtlarını dinamik olarak kaydetmesi sağlanır (Secure Dynamic Updates).
• Basitleştirilmiş Yönetim: ADIDNS kullanıldığında DNS yönetimi, DC’lerin yönetimi ile birleşir. Yeni bir DC kurulduğunda, DNS Zone bilgisi otomatik olarak bu DC’ye replike edilir.

DNS Bölümleri (Partitions) ve Entegrasyon

ADIDNS kullanıldığında, DNS Zone verileri Active Directory veritabanı içindeki Uygulama Bölümlerinde (Application Partitions) saklanır. En yaygın kullanılan iki bölüm şunlardır:

• Domain: DNS verileri, yalnızca o domain’in tüm DC’leri arasında replike edilir. Bu, genellikle küçük veya tek domainli Forest’lar için yeterlidir.
• Forest: DNS verileri, Forest içindeki tüm DC’ler (Hangi domainde olduklarına bakılmaksızın) arasında replike edilir. Bu, karmaşık ve çok domainli Forest’larda DNS verisine global erişim sağlamak için idealdir.

Active Directory İşlev Düzeyleri (Function Levels)

İşlev düzeyleri, bir Active Directory ortamındaki tüm Alan Denetleyicilerinin (Domain Controller – DC) ve Orman’ın (Forest) desteklediği en düşük Windows Server sürümüne göre belirlenir. Bu, Microsoft’un eski sunucu sürümlerine özgü kısıtlamaları kaldırarak yeni ve geliştirilmiş özellikleri kullanıma açmasını sağlar.

Forest Function Level (Orman İşlev Düzeyi)

Orman İşlev Düzeyi, bir AD Ormanındaki (Forest) tüm Alan Denetleyicileri (DC) ve tüm Alanlar (Domain) için geçerli olan en yüksek ortak işlevsellik seviyesidir. Bu düzey, tüm orman genelinde kullanılabilecek özellikleri tanımlar.

Neyi Belirler?

Forest Çapında Özellikler: Bu düzey, tüm ormanı etkileyen özellikleri etkinleştirir. Örneğin, Forest Root Domain (Orman Kök Alanı) için DC’lerin destekleyeceği minimum işletim sistemi sürümünü belirler. Domain İşlev Düzeyi Sınırı: Bir ormandaki hiçbir Alan İşlev Düzeyi (Domain Function Level), Orman İşlev Düzeyinden daha yüksek olamaz.

Yükseltme Önemi

Orman İşlev Düzeyi yükseltildikten sonra geri alınamaz (Geriye Dönük İşlem Yapılamaz). Bu nedenle yükseltme yapmadan önce, ormandaki tüm Alan Denetleyicilerinin (DC’lerin) yeni düzeyi destekleyen bir Windows Server sürümüyle çalıştığından emin olmak gerekir.

Domain Function Level (Alan İşlev Düzeyi)

Alan İşlev Düzeyi, belirli bir Alan (Domain) içindeki tüm Alan Denetleyicileri için geçerli olan en yüksek işlevsellik seviyesidir. Bu düzey, o alan içindeki kimlik doğrulama, yetkilendirme ve güvenlik protokollerini etkiler.

Neyi Belirler?

Domain Çapında Özellikler: Alan düzeyinde kullanılacak özellikleri etkinleştirir. Örneğin, parola politikaları, Kerberos protokolündeki iyileştirmeler veya güvenlik tanımlayıcılarındaki (Security Identifiers – SID) geçmiş özelliklerinin kullanımını etkiler. DC Sınırı: Bir alan içindeki tüm DC’lerin, bu düzeyi destekleyen bir Windows Server sürümünü çalıştırması gerekir.

Kural ve Kısıtlamalar

Forest Kısıtlaması: Domain Function Level, asla ait olduğu Forest Function Level’dan daha yüksek olamaz. Geri Alınabilirlik: Domain Function Level, Forest Function Level’a göre daha esnektir. Bazı durumlarda (özellikle düşük seviyelerden yüksek seviyelere geçişte) yükseltme yapıldıktan sonra dahi belirli bir süre geri alınabilir, ancak bu, kullanılan Server sürümüne ve geçişin yönüne bağlıdır.

İşlev Düzeylerinin Pratik Etkisi (Örnekler)

İşlev DüzeyiGerekli En Düşük DC İşletim SistemiAlan (DFL) ve Orman (FFL) İçin Kritik Özellikler ve KurallarGenel KuralTüm DC’ler, hedeflenen düzeye eşit veya daha yeni bir Windows Server sürümü çalıştırmalıdır.İşlev Düzeyleri şunları belirler: Domain veya Forest’ta kullanılabilen AD DS yeteneklerini ve Domain Controller’larda çalıştırabileceğiniz Windows Server işletim sistemlerini.Windows Server 2012 R2Windows Server 2012 R2Korumalı Kullanıcılar Grubu (Protected Users Group) desteği başlar. Bu düzeyde, korumalı kullanıcılar için NTLM kimlik doğrulaması ve Kerberos DES/RC4 şifreleme süitleri kullanımı devre dışı bırakılır.Windows Server 2016Windows Server 2016WS 2019 ve WS 2022’nin en güncel işlev düzeyi (Bu sürümler için yeni bir FFL/DFL gelmemiştir). WS 2025 DC’lerinin mevcut bir ortama tanıtılması için minimum gereksinimdir.Windows Server 2025Windows Server 2025EN GÜNCEL ÖZELLİKLER: Database 32k pages optional feature: AD veritabanı ölçeklenebilirliğini artırır. Privileged Access Management (PAM): Microsoft Identity Manager (MIM) kullanılarak ayrıcalıklı erişim yönetimi. Authentication Policies (Kimlik Doğrulama Politikaları): Hesapların hangi ana bilgisayarlardan oturum açabileceğini kontrol etmek için orman tabanlı politikalar. TGT (Ticket Granting Ticket) Yenileme: Başlangıçtaki dört saatlik sürenin ötesinde kullanıcı biletlerinin yenilenmesine izin verir.

Client Side Extensions – CSE

Client Side Extensions (CSE), Active Directory ortamında bir istemci (client) bilgisayarın, kendisine uygulanan Grup Politikası Nesnesinin (GPO) ayarlarını işleyebilmesi için ihtiyaç duyduğu yazılım modülleridir. CSE’ler, GPO’nun içerdiği spesifik ayarları (örneğin kayıt defteri ayarı, yazıcı ekleme, yazılım yükleme) istemci üzerinde uygulayan motorlardır.

CSE’lerin Görevi ve Çalışma Mekanizması

1. GPO’nun Alınması: İstemci, bir ağa bağlandığında ve kimlik doğrulamasını yaptığında, uygulanan GPO’ları Active Directory’den ve Sysvol paylaşımdan (GPO’nun dosyaları burada saklanır) indirir.
2. İşleme Motoru (WinLogon): İstemcideki WinLogon hizmeti, Grup İlkesi Motorunu (Group Policy Engine) çalıştırır.
3. CSE Devreye Girişi: GPO, Kayıt Defteri ayarı, Güvenlik ayarı, Uygulama yükleme gibi farklı bölümler içerir. Grup İlkesi Motoru, bu GPO’nun her bir bölümünü işlemek için ilgili CSE’yi çağırır.
4. Uygulama: Her CSE, kendi alanındaki ayarları (örneğin Kayıt Defteri CSE’si, Kayıt Defteri ayarlarını) yerel bilgisayarın Kayıt Defteri, Dosya Sistemi ve Olay Günlüğü gibi bileşenlerine uygular.

Active Directory Trust

Trust (Güven) Nedir?

Active Directory ortamında Trust (Güven), bir domain’deki kullanıcıların, başka bir domain’deki kaynaklara (dosya sunucuları, uygulamalar, yazıcılar vb.) erişim sağlamasına olanak tanıyan bir kimlik doğrulama mekanizmasıdır.

Basitçe ifade etmek gerekirse:

• Güvenilen Alan (Trusted Domain): Kullanıcının kimliğini onaylayan (kimlik doğrulamasını yapan) alandır.
• Güvenen Alan (Trusting Domain): Kaynağı barındıran ve diğer alandaki kullanıcıların kimliğini kabul eden (güvenen) alandır.

Bu ilişki kurulduğunda, Güvenilen Alan’daki kullanıcılar, kimlik bilgilerini tekrar girmelerine gerek kalmadan Güvenen Alan’daki kaynaklara erişebilirler (Tek Oturum Açma – SSO).

Trust İlişkisinin Temel Özellikleri

Active Directory’deki güven ilişkileri iki temel özellikle tanımlanır:

1. Yön (Directionality)

Güven ilişkisinin tek mi, yoksa çift yönlü mü olduğunu belirler.

• Tek Yönlü (One-Way): Sadece bir alan diğerine güvenir. Örneğin, Domain A, Domain B’ye güvenirse:
  
  • Domain B’deki kullanıcılar, Domain A’daki kaynaklara erişebilir.
  • Domain A’daki kullanıcılar, Domain B’deki kaynaklara erişemez.
• Çift Yönlü (Two-Way): Her iki alan da birbirine güvenir. Her iki alandaki kullanıcılar da, diğer alandaki kaynaklara erişebilir.

2. Geçişlilik (Transitivity)

Güvenin, ilişki kurulan domain’lerin ötesine yayılıp yayılmayacağını tanımlar.

• Geçişli (Transitive): Güven ilişkisi, hiyerarşideki diğer alanlara da otomatik olarak uzanır.
  
  • Örneğin: A, B’ye ve B de C’ye güvenirse, A otomatik olarak C’ye de güvenir.
• Geçişsiz (Non-Transitive): Güven ilişkisi sadece doğrudan bağlantı kurulan iki alan arasında geçerlidir.

Active Directory Güven Tipleri (Trust Types)

Active Directory’de temel olarak kullanılan ve kurumsal mimariyi şekillendiren dört ana güven tipi vardır:

Parent-Child Trust

• Tanım: Aynı Active Directory Ağacı (Tree) içindeki bir alt alan (Child Domain) ile üst alanı (Parent Domain) arasında otomatik olarak kurulan güvendir.
• Özellikleri: Her zaman Çift Yönlü ve Geçişli’dir.
• Oluşumu: Bir alt alan oluşturulduğunda bu güven otomatik olarak kurulur.

Tree-Root Trust

• Tanım: Aynı Active Directory Ormanı (Forest) içinde bulunan, ancak farklı bir domain ağacına (farklı bir kök domaine) ait olan alanlar arasında kurulan güvendir.
• Özellikleri: Her zaman Çift Yönlü ve Geçişli’dir.
• Oluşumu: Aynı Forest içinde yeni bir Tree oluşturulduğunda (yani yeni bir Forest kök domaini kurulduğunda) otomatik olarak kurulur. Bu, tüm Forest üyelerinin birbirine güvenmesini sağlar.

External Trust

• Tanım: Birbirine bağlı olmayan iki farklı domain (farklı Forest’lar içinde veya aynı Forest’ın dışında) arasında kimlik doğrulama amaçlı kurulan güvendir.
• Özellikleri: Varsayılan olarak Tek Yönlü ve Geçişsiz’dir. İstenirse çift yönlü olarak ayarlanabilir.
• Kullanım Amacı: Genellikle, kaynaklara geçici erişim sağlamak veya küçük bir şirket birleşmesi sonrası iki domain’i bağlamak için kullanılır.

Forest Trust

• Tanım: Tamamen farklı iki Active Directory Ormanı arasındaki tüm domain’lerin birbirine güvenmesini sağlayan en güçlü güven tipidir.
• Özellikleri: Varsayılan olarak Çift Yönlü ve Geçişli’dir.
• Kullanım Amacı: Büyük şirket birleşmeleri veya ortaklıklarında, iki tamamen bağımsız AD altyapısının tek bir mantıksal birim gibi çalışmasını sağlamak için kullanılır. En çok tercih edilen güven tipidir, çünkü tüm alt domain’ler için ayrı ayrı güven oluşturma zorunluluğunu ortadan kaldırır.

Selective Authentication

Özellikle Harici Güven (External Trust) veya Orman Güveni (Forest Trust) kurulduğunda, BT yöneticileri genellikle Sınırlamalı Kimlik Doğrulama (Selective Authentication) özelliğini kullanır.

• Bu özellik, güven ilişkisi kurulmasına rağmen, kaynaklara erişimin yalnızca belirli bir alandan gelen izin verilmiş kullanıcılara (explicitly allowed users) tanınmasını sağlar. Bu, güvenliğin sıkı tutulması gereken karmaşık veya birleşmiş kurumsal ortamlar için hayati öneme sahiptir.

Örnek CSE’ler ve İşlevleri

Grup Politikası ayarlarının her türü, ilgili bir CSE tarafından işlenir. En yaygın CSE türleri şunlardır:

• Security Settings CSE: Parola politikaları, kullanıcı hakları atamaları ve yerel güvenlik politikaları gibi güvenlik ayarlarını uygular.
• Registry CSE: GPO’daki Kayıt Defteri (Registry) ayarlarını işler ve istemcinin Kayıt Defteri’ne yazar.
• Scripts CSE: Başlangıç/kapatma (Startup/Shutdown) veya Oturum Açma/Kapatma (Logon/Logoff) komut dosyalarını (script) çalıştırır.
• Software Installation CSE (AppMgmt): Merkezi yazılım dağıtım ayarlarını işler ve yazılımları yükler veya kaldırır.
• Folder Redirection CSE: Kullanıcıların profil klasörlerini (Belgelerim, Masaüstü) ağdaki merkezi bir konuma yönlendirir.
• Group Policy Preferences (GPP) CSE: GPO’nun klasik ayarları dışındaki (Yazıcılar, Sürücüler, Yerel kullanıcılar/gruplar vb.) tercih ayarlarını uygulayan uzantılardır.

CSE’ler, istemci üzerinde başarılı bir GPO uygulamasının ayrılmaz bir parçasıdır ve Grup Politikası’nın istemci üzerindeki etkisini doğrudan yönetir. İstemcideki sorun giderme (troubleshooting) işlemlerinde, genellikle CSE’lerin çalışıp çalışmadığı veya hata verip vermediği kontrol edilir. Detaylı loglar için ise genellikle %windir%debugusermode konumundaki log dosyaları incelenir.

Active Directory Kimlik Doğrulama Protokolleri

1. LM (LAN Manager) Protokolü

LM protokolü, Microsoft’un Windows’un eski sürümlerinde (özellikle Windows 95/98 ve Windows NT’nin ilk sürümleri) kullandığı en eski ve en zayıf kimlik doğrulama yöntemidir.

ÖzellikAçıklamaKullanım AlanıÇok eski Windows sürümleri.Güvenlik DurumuÇok zayıf ve güvensiz.Parola SaklamaParolaları küçük harfe dönüştürür ve 7 karakterlik iki parçaya ayırarak hash’ler.KriptografiZayıf DES algoritması kullanır.ZafiyetlerKırılması inanılmaz derecede kolaydır (dakikalar sürer). Modern BT ortamlarında ASLA kullanılmamalıdır; genellikle güvenlik amacıyla devre dışı bırakılır.

NTLM (NT LAN Manager) Protokolü

NTLM, LM’nin yerini almak üzere geliştirilen ve Windows NT ile standartlaşan ilk protokoldür. Daha güvenli olmasına rağmen, günümüz standartlarına göre hala ciddi güvenlik açıklarına sahiptir.

ÖzellikAçıklamaKullanım AlanıWindows NT, Windows 2000’in başlangıcı.Güvenlik DurumuZayıf. LM’den daha iyi, ancak modern tehditlere karşı yetersiz.Çalışma ŞekliChallenge/Response (Sınama/Yanıt) Mekanizması: İstemci, sunucunun gönderdiği rastgele bir “sınama” (challenge) değerini, kullanıcının parola hash’ini kullanarak şifreler ve “yanıt” (response) olarak sunucuya gönderir. Sunucu, bu yanıtı doğrular.ZafiyetlerParola hash’leri kolayca çalınabilir ve “Pass-the-Hash” (Hash’i Geçir) saldırılarına karşı savunmasızdır. Tek Oturum Açma (SSO) özelliğini tam olarak desteklemez; her sunucu için kimlik doğrulaması gerekebilir.

NTLMv2 (NTLM Version 2) Protokolü

NTLMv2, NTLM’deki ciddi güvenlik sorunlarını gidermek için tasarlanmış geliştirilmiş bir sürümdür. Günümüzde hala bazı eski sistemler veya uygulama uyumluluğu nedeniyle kullanılır, ancak Kerberos’un olmadığı durumlarda yedek protokol olarak görev yapar.

ÖzellikAçıklamaKullanım AlanıKerberos’un kullanılamadığı durumlarda (örneğin, Alanlar Arası erişim veya web tabanlı kimlik doğrulama) veya eski uygulamalar için yedek.Güvenlik DurumuOrta seviye. NTLM’den çok daha güvenlidir.GelişmelerDaha güçlü şifreleme algoritmaları (HMAC-MD5) ve kimlik doğrulama sürecine zaman damgası (timestamp) ve istemcinin adı gibi ek veriler eklenmesi.KorumaPass-the-Hash saldırılarını zorlaştırır, ancak tamamen engellemez.

Kerberos Protokolü

Kerberos, Active Directory’nin birincil ve varsayılan kimlik doğrulama protokolüdür. Modern ağlarda en güvenli ve önerilen protokoldür. Merkezi bir “Güvenilir Üçüncü Taraf” (Key Distribution Center – KDC) prensibiyle çalışır.

ÖzellikAçıklamaKullanım AlanıTüm modern Active Directory ve Windows tabanlı ağlar.Güvenlik DurumuEn yüksek seviye.Çalışma Şekli3 Aşamalı Süreç: Kullanıcı, KDC ve Hizmet. Kullanıcı parolası şifreli bir “bilet” (ticket) sistemine dönüştürülür.1. AS (Authentication Service): Kullanıcıya bir TGT (Ticket Granting Ticket) verir.2. TGS (Ticket Granting Service): TGT’yi kullanarak kullanıcının erişmek istediği hizmet için bir Hizmet Bileti (Service Ticket) verir.3. Hizmet: Kullanıcı Hizmet Bileti ile kaynağa erişir.AvantajlarTek Oturum Açma (SSO): Tek bir oturum açma ile tüm kaynaklara erişim. Karşılıklı Kimlik Doğrulama: Hem kullanıcının hem de hizmetin kimliğini doğrular. Parola Hash’leri Ağda Aktarılmaz.DezavantajlarSaatin senkronize olması gerekir (varsayılan olarak 5 dakikadan fazla fark olamaz) ve sürekli KDC erişimi gerektirir.

Özet Karşılaştırma Tablosu

ProtokolGüvenlik SeviyesiKriptografiPass-the-Hash KorumasıAğ GerekimiLMÇok ZayıfDES (Kırılabilir)YokTek başına çalışır.NTLMZayıfMD4/MD5DüşükTek başına çalışır.NTLMv2OrtaHMAC-MD5Orta (Zorlaştırılmış)Tek başına çalışır, Kerberos’a yedek.KerberosEn YüksekAES, 3DES (Güçlü)Çok YüksekActive Directory KDC (Alan Denetleyicisi) gereklidir.

Kurumsal Altyapılarda Active Directory ve Kritik Rolü

Günümüz iş dünyasında kurumsal verimlilik, uyumluluk ve güvenlik; büyük ölçüde BT altyapısının ne kadar iyi yönetildiğine bağlıdır. Bu altyapının merkezinde, milyonlarca işletme için birincil kimlik ve erişim yönetim aracı olan Microsoft Active Directory (AD) yer alır. AD, sadece bir dizin hizmeti olmanın ötesinde, modern, güvenli ve verimli bir kurumsal ortamın olmazsa olmazıdır.

Active Directory Nedir ve Neden Hayati Önem Taşır?

Active Directory, Microsoft’un Windows Server işletim sistemleri için geliştirdiği, tüm ağ kaynaklarını (kullanıcılar, bilgisayarlar, sunucular, uygulamalar, yazıcılar vb.) merkezi bir veritabanında saklayan bir dizin hizmetidir.

AD’nin kritik önemi, basit bir tanımda değil, sunduğu merkeziyetçilikte yatar. Büyük bir şirketin yüzlerce hatta binlerce çalışanı ve cihazı olduğunu düşünün. Active Directory olmasaydı, her bir kaynağa (dosya sunucusu, e-posta sistemi, muhasebe yazılımı) ayrı ayrı kimlik doğrulama süreçleri uygulamak gerekirdi. AD, bu karmaşayı ortadan kaldırarak şunları sağlar:

1. Tek Oturum Açma (SSO): Kullanıcılar, tek bir kullanıcı adı ve parola ile yetkileri dahilindeki tüm kurumsal kaynaklara erişebilirler.
2. Merkezi Yönetim: BT yöneticileri, tüm kullanıcı hesaplarını, güvenlik gruplarını ve cihaz politikalarını tek bir konsoldan yönetebilir.

Temel Bileşenleri: Active Directory’nin Anatomisi

AD’nin etkili çalışması, belirli bir hiyerarşi ve mantıksal yapı üzerine kuruludur:

• Domain (Alan): Kaynakların (kullanıcılar ve cihazlar) yönetimsel olarak gruplandığı temel sınırdır. Genellikle şirketin adını yansıtır (örneğin, sirketadi.local).
• Domain Controller (Alan Denetleyicisi): AD veritabanının bir kopyasını tutan sunuculardır. Ağdaki tüm kimlik doğrulama (Kerberos) ve yetkilendirme isteklerini işlerler.
• Organizational Unit (OU): Domain içindeki kullanıcıları ve bilgisayarları departmanlar veya coğrafi konumlara göre ayırmak için kullanılan alt gruplardır. Grup İlkesi Yönetimi’nin (GPO) uygulanmasında kilit rol oynar.
• Forest (Orman): Bir şirkete ait olan ve aralarında tam güven ilişkisi bulunan tüm domain ağaçlarının koleksiyonudur. Tüm şirket genelindeki kaynakların paylaşılabildiği en üst düzey hiyerarşidir.

Active Directory’nin Kritik Fonksiyonları

Güvenlik ve Uyumluluk: Grup İlkesi Yönetimi (GPO)

Active Directory’yi sadece bir kimlik listesinden ayıran en önemli özellik GPO’lardır. GPO’lar, BT yöneticilerinin binlerce bilgisayara aynı anda güvenlik, ağ ve masaüstü ayarlarını zorunlu kılmasına olanak tanır.

• Güvenlik Standartları: Ekran kilidi sürelerinin belirlenmesi, USB bellek kullanımının kısıtlanması veya parola karmaşıklığı kurallarının uygulanması gibi kritik güvenlik politikaları, GPO’lar aracılığıyla tüm cihazlara hızlıca dağıtılır.
• Uyumluluk (Compliance): KVKK, GDPR veya SOX gibi düzenlemelere uyum için gereken erişim kısıtlamaları ve denetim kayıtları, AD ve GPO’lar sayesinde merkezi olarak sağlanır ve kanıtlanır.

Kimlik ve Erişim Yönetimi (IAM)

AD’nin birincil işlevi, doğru kişinin doğru kaynağa eriştiğinden emin olmaktır. Kerberos protokolü ile kullanıcılar ve hizmetler arasındaki iletişimin güvenliğini sağlar. En Az Ayrıcalık Prensibi (Least Privilege), AD yönetimi için temel bir ilkedir; kullanıcıların yalnızca işlerini yapmak için mutlaka ihtiyaç duydukları erişim haklarına sahip olmasını sağlar.

Operasyonel Verimlilik ve Otomasyon

Bir kullanıcının işe başlama veya işten ayrılma süreçlerinin otomasyonu, AD sayesinde dakikalara iner. Yeni bir kullanıcı hesabı oluşturmak, ilgili güvenlik gruplarına atamak ve ona gerekli uygulama erişimlerini sağlamak, merkezi AD araçları ile hızla gerçekleştirilir. Bu, BT personelinin zamanını daha stratejik görevlere ayırmasına olanak tanır.

Gelişen BT Ortamlarında Active Directory’nin Dönüşümü

Şirketler giderek daha fazla bulut tabanlı hizmetlere (Microsoft 365, SaaS uygulamaları) geçtikçe, geleneksel şirket içi AD tek başına yeterli olmaktan çıkmıştır. Bu durum, Hibrit Kimlik modelini ortaya çıkarmıştır:

• Azure Active Directory (Microsoft Entra ID): Microsoft’un bulut tabanlı kimlik hizmetidir.
• AD Connect: Şirket içi AD ile Azure AD arasında kimlikleri ve parolaları senkronize eden köprüdür.

Hibrit model, şirketlerin hem şirket içi sunucularını hem de buluttaki hizmetleri aynı kimlik bilgisiyle güvenli bir şekilde yönetmesini sağlar. Bu dönüşüm, aynı zamanda Çok Faktörlü Kimlik Doğrulama (MFA) ve Koşullu Erişim (Conditional Access) gibi modern güvenlik mekanizmalarının tüm kurumsal kaynaklara uygulanmasının anahtarıdır.

Active Directory’nin Değişmeyen Önemi

Active Directory, doğuşundan yıllar sonra bile kurumsal BT altyapısının temel direği olmaya devam etmektedir. Güvenlikten verimliliğe, uyumluluktan merkezi yönetime kadar bir şirketin kritik süreçlerinin neredeyse tamamı AD üzerine kuruludur.

BT yöneticileri için en iyi uygulama, AD ortamlarını düzenli olarak denetlemek, eski politikaları temizlemek ve yüksek ayrıcalıklı hesapları (Domain Admin) sıkı bir şekilde korumaktır. Unutulmamalıdır ki, bir kuruluşun AD’si ne kadar güvenliyse, tüm altyapısı da o kadar güvenlidir. Gelecekte daha fazla bulut entegrasyonu görecek olsak da, Active Directory’nin kimlik ve erişim yönetimindeki merkezi rolü tartışılmaz kalacaktır.

Windows Server 2025 Üzerinde Active Directory Kurulumu

Active Directory Domain Services (AD DS) rolünün kurulmasından önce, sunucunun doğru ağ yapılandırmasına sahip olması hayati önem taşır.

ADIM 1: Statik IP Adresi ve DNS Yapılandırması

• Açıklama: Alan Denetleyicisi (Domain Controller) olarak görev yapacak sunucunun ağ üzerinde sürekli ve güvenilir bir kimliğe sahip olması için statik bir IP adresi atanması gerekir. Bu ekranda, sunucunun IP adresi, alt ağ maskesi (Subnet mask) ve varsayılan ağ geçidi (Default gateway) manuel olarak yapılandırılır.
• Kritik Ayar: DNS sunucusu olarak 127.0.0.1 (localhost) atanır. Bu, sunucunun kendisini birincil DNS sunucusu olarak kullanacağını ve AD kurulumundan sonra kritik DNS kayıtlarını tutacağını garanti eder.

Rol ve Özellik Ekleme

• Açıklama: Sunucu Yöneticisi (Server Manager) üzerinden erişilen Rol Ekleme Sihirbazı (Add Roles and Features Wizard) başlatılır. Kuruluma devam etmeden önce, sihirbaz güçlü parola, statik IP ve güncel Windows güncellemeleri gibi ön koşulların yerine getirildiğini doğrular.
• Seçim: Active Directory Domain Services (AD DS) gibi temel bir sunucu rolünü kurmak için Rol tabanlı veya özellik tabanlı kurulum (Role-based or feature-based installation) seçeneği işaretlenir ve bir sonraki adıma geçilir.

Rol Seçimi: Ardından, kurulacak roller listesinden Active Directory Domain Services (AD DS) rolü işaretlenir. AD DS rolü, kimlik doğrulama, yetkilendirme ve tüm ağ kaynaklarının merkezi yönetimi için kritik olan AD veritabanını oluşturacak olan ana bileşendir. Rolün seçilmesi, bağımlı yönetim araçlarının (Grup İlkesi Yönetimi gibi) otomatik olarak eklenmesini tetikleyecektir.

Sunucuyu bir DC’ye dönüştürmek için sonuçlar ekranında yer alan “Promote this server to a domain controller” yazısına tıklanır.

Yeni Orman Adını ve İşlev Düzeylerini Belirleme

• Açıklama: Yeni bir fortest kurulduğu için, öncelikle kurumsal ağın ana kimliği olacak Kök Alan Adı (Root domain name) belirlenir. Bu örnekte cozumpark.com seçilmiştir. Bu alan adı, ormanın genel kimliğini oluşturur.
• İşlev Düzeyleri (Function Levels): Kurulumun yapıldığı sunucunun Windows Server 2025 olması sayesinde, Orman İşlev Düzeyi (Forest functional level) ve Alan İşlev Düzeyi (Domain functional level) en güncel seviye olan Windows Server 2025 olarak ayarlanır. Bu, AD’nin en yeni güvenlik ve performans özelliklerini (örneğin, 32K Veritabanı Sayfası ve gelişmiş Kerberos) kullanmasını sağlar.
• DC Yetenekleri: Bu Alan Denetleyicisi’nin aynı zamanda zorunlu olarak Domain Name System (DNS) sunucusu rolünü ve Genel Katalog (Global Catalog – GC) rolünü üstleneceği onaylanır. Bu, AD’nin doğru çalışması ve ağdaki sorgulara hızlı yanıt vermesi için gereklidir.

Active Directory Domain Services rolünün tanıtımı tamamlandıktan ve sunucu yeniden başlatıldıktan sonra, kurulum süreci başarıyla sona erer. Sunucu artık cozumpark.com alanının Alan Denetleyicisi (DC) olarak hizmet vermektedir.

Active Directory (AD), modern bir kurumsal altyapının merkezinde yer alan, sadece bir kimlik listesi olmaktan çok, bir organizasyonun merkezi sinir sistemi işlevini gören hayati bir hizmettir.

AD’nin kurumsal ortamlardaki önemi asla azalmayacaktır; çünkü sunduğu faydalar her zaman geçerli ve kritiktir:

1. Güvenlik: Kerberos gibi modern kimlik doğrulama protokollerini zorunlu kılarak ve NTLM gibi eski, zayıf yöntemleri devre dışı bırakarak ağın savunma hattını oluşturur. Merkezi Grup İlkesi Yönetimi (GPO) sayesinde, binlerce cihaza tutarlı güvenlik politikaları uygulamayı mümkün kılar.
2. Operasyonel Verimlilik: Kullanıcıların tüm kaynaklara tek bir kimlik bilgisiyle erişmesini sağlayan Tek Oturum Açma (SSO) özelliği ile iş süreçlerini hızlandırır ve BT yönetim maliyetlerini düşürür.
3. Ölçeklenebilirlik ve Gelecek: Forest (Orman) ve Domain Functional Level (İşlev Düzeyi) mekanizmaları sayesinde, organizasyon büyüdükçe veya yeni teknolojileri benimsedikçe (bulut bilişim dahil), altyapının mevcut teknolojileri desteklemesini ve sürekli gelişmesini sağlar.

AD, statik bir yapı değil, sürekli yönetilmesi ve güncellenmesi gereken dinamik bir güvenlik katmanıdır. Kurumsal altyapının dayanıklılığını, güvenliğini ve operasyonel verimliliğini korumak isteyen her kuruluş için, Active Directory’nin doğru yapılandırılması ve güçlü kimlik doğrulama mekanizmalarının zorunlu kılınması, tartışmasız en temel ve stratejik adımdır.