Ana içeriğe geç

Windows Server 2012 Active Directory Kurulumu, Yapılandırılması Ve Kullanıcı Yetkileri

Dizin servisi(Directory Service) nedir?

Acıkdığınızda ya da canınız yemek çektiğinde, telefon defterini açıp 'yemek' yapan ünlü restoranların numaralarını bularak sipariş verirsiniz. İşte burada yemek ürününün üretildiği ve satıldığını restoranların adresini size veren telefon defteri, bir dizin servisi örneğidir. Dizin servisi, domain içerisindeki fiziksel ve mantıksal nesnelerle ilgili bilgileri tutan, bu bilgileri organize eden, bu bilgilerin merkezi yönetimini sağlayan ve bu bilgilere ulaşmak istediğinizde size ulaşmak istediğiniz nesneye ait ulaşım bilgilerini veren servistir. Microsoft'un dizin servisine de "Active Directory Domain Service" adı verilmektedir.

Dizin servisi avantajları nelerdir?

Merkezi Yönetim Eşit Haklara Sahip Domain Controller Sunucular Genişletebilme ve Büyütebilme Internet İsim Yapısı Desteği Dinamik DNS Desteği LDAP Protokol Desteği Delegasyonlu Yönetim

Active Directory Yapısı

Active Directory yapısını kurmaya başlamadan önce, sisteminizin ihtiyaçları ve imkanlarını göz önüne alarak çok detaylı ve uygulanabilir bir planlama yapmanız gerekir. Bu planlama da active directory yapısını iki ayrı alanda değerlendirmek gerekir. Bunlar:

  • Mantıksal Yapı(Logical Structure)
  • Mantıksal Yapı Bileşenleri:
    • Forest, Domain Tree, Domain, Organizational Unit, Trust Relationship
  • Fiziksel Yapı(Physical Structure)
    • Fiziksel Yapı Bileşenleri:
      • Site, Domain Controller

Active Directory Rol Servis Kurulumu

Bu başlık altında Windows Server 2012 R2 üzerine active directory domain servisleri rol kurulumunu adım adım izleyeceğiz.

Active Directory domain servisinin kurulumuna başlamadan önce aşağıdaki ön gereksinimleri karşılamanız gerekmektedir:

  • Active Directory domain servisinin kurulacağı bilgisayarın işletim sistemi Windows Server 2012 R2 Standart ya da Windows Server 2012 R2 Datacenter Edition sürümlerinden bir tanesi olması gerekir.
  • Disk üzerinde active directory veritabanı için 200 MB boş alan ve günlük dosyaları için de 50 MB'lık boş alan olması gerekir.
  • Bilgisayar üzerinde NTFS dosya sistemine sahip bir disk bölümü olmalıdır. Çünkü NTFS, SYSVOL dizini için zorunlu olan bir gereksinim ve active directory veritabanı için de güvenlik açısından önerilen dosya sistemidir.
  • Protokol olarak TCP/IP'nin yüklü olması gerekmektedir. TCP/IP protokolü, Windows Server 2012 R2 işletim sistemi üzerine varsayılan olarak yüklü gelmektedir.
  • Active Directory domain servisinin kurulumunu gerçekleştirecek olan kullanıcının administrator kullanıcı hesabının yetkilerine sahip olması gerekir. Kurulumu yapacak kullanıcı, yerel Administrators grubunun üyesi olmalıdır.
  • Active Directory domain servisinin kurulacağı bilgisayarın üzerinde hali hazırda Active Directory domain servis rolü olmamalıdır. Eğer daha önceden yarım kalan bir kurulum varsa tamamen kaldırılmadılar.

Windows Server 2012 R2 ile Active Directory Forest ve Domain yapısının kurulumu aslında iki aşamalı bir süreçtir. Birinci aşamada Active Directory Domain Service rolünü ve ilgili feature'larını kuracağız. Sonraki aşamada da active directory domain servis rolüne ait yapılandırmayı gerçekleştirerek nihai kurulumu tamamlayacağız.

  • Active Directory kurulumu için TCP/IP protokolünün ön gereksinlerden olduğunu bahsetmiştik. Bir diğer önemli gereksinim de sunucunun IP ayarlarının statik olarak yapılandırılmasıdır. Dolayısıyla yine Control Panel içerisinden Networdk and Sharing Center ikonun tıklanınca gelen ekranda sol menüden Change adapter setting bağlantısına tıklayarak aşağıda görülen Network Connection penceresine ulaşıyoruz. Bu pencerede sunucu üzerinde kurulu olan ağ kartlarına ait bağlantılar listelenecektir. Ethernet bağlantısı üzerine sağ tuşa basınca gelen Properties'e tıklıyoruz. Karşımıza Ethernet Properties ekranı gelecektir. Bu ekranda Internet Protocok Version 4(TCP/Ipv4) seçili iken Properties butonuna basıyoruz. Karşımıza yine aşağıdaki şekilde görüldüğü gibi Internet Protocol Version 4 Properties gelecektir. Preffered DNS Server olarak da yine kendi ip adresini vererek kensini aynı zamanda DNS sunucu olarak da yapılandırıyor olacağız. Ve yaptığımız ayarları tüm pencereleri OK ile onaylayarak tamamlıyoruz. /img/ss1

  • Ardından Server Manager konsolunda Dashboard ekranında 2 numarılı seçenek olan Add roles and features bağlantısına tıklayarak sihirbazı çalıştırabilirsiniz. Karşımıza gelen Add roles and Feature Wizard penceresinde Before you begin aşamasında sihirbaz ile bilgiler verilir. Bu aşamayı Next ile geçiyoruz. Karşımıza aşağıdaki şekilde görülen Select installation type ekranı gelecektir. Bu ekranda yeni bir rol ya da feature eklemek için Role-based or featurebased installation seçeneği seçip Next ile sonraki aşamaya geçiyoruz. /img/ss2

  • Daha sonra Select server roles ekranına geleceğiz ve bu aşamada kurulum yapacağımız Active Directory Domain Services kutucuğunu işaretleyerek, rol ekleme sürecini başlatıyoruz. Bu rol kutucuğunu tıklar tıklamaz bu role ilişkin ilgili feature'ların yüklenecği, aşğıdaki şekilde de görülen Add features that require for ACtive Directory Domain Services penceresi gelecktir. /img/ss3

  • Sonradan Next butonuna basıyoruz. Sonradan Features ekranında ilave bir feature eklemek istersek seçerek kurulmasını sağlayabiliriz. Next tıkladıktan sonra ekrana Active Directory Domain Services ekranı gelecektir ve bize Directory Domain Services hakkında bilgiler verecektir. Biz Next ile bu aşamayı da geçiyoruz. Rol kurulumuna başlamadan son olarak karşımıza aşağıdaki şekilde de görülen Confirm installation selections ekranı gelecektir. Bu ekranda, rol kurulumu sonrasında eğer gerekirse sunucunun otomatik olarak yeniden başlatılması için Restart the destination server automatically if required kutucuğunu işaretliyoruz. Karşımıza gelen uyarı penceresinde de eğer gerek duyulursa, bu kutucuğu işaretlememiz sonrasında sunucunun otomatik olarak yeniden başlatılacğı ve bu süreçte de herhangi bir uyarı verme ya da onay alma olmayacağı konusunda ikaz ediyor. Yes ile biz bu pencereyi de onaylıyoruz. /img/ss4

  • Bütün bu adımlardan sonra Active Directory Domain Services (AD DS) rolünün kurulumu için, yukarıdaki şekilde görülen Install butonuna tıklıyoruz. Ve AD DS rol kurulum süreci başlıyor. Installation Progre/img/ss ekranında kurulum aşamalarını takip ediyoruz.

  • Rol kurulumu devam ederken isterseniz, bu ekranda beklemeden Close ile bu ekranı kapatıp daha sonra Server Manager konsolunda bayrak simgesine tıklayınca açılan Tasks Details kısayolunu kullanabilirsiniz.
  • Yükleme işlemi tamamlandıktan sonra bizden ilave olarak bu sunucuyu domain controller olarak yapılandırmak için gerekli active directory yapılandırma adımlarını gerçekleştirecegğimiz ekranlara geçmemek için, gerekli olan Promote this server to a domain controller bağlantısını getiriyor. Bağlantıya tıkladıktan sonra karşımıza Active Directory Domain Services Configuration Wizard penceresi gelecektir. İlk olarak Deployment Configuraiton aşamasında kurulum tipini seçiyoruz. Yeni bir forest içerisinde yeni bir domain controller kuracaksak, 'Add a new forest' seçeeğini, mevcut bir forest içerisine yeni bir domain kuracaksak 'Add a new domain to an existing forest' seçeneğini, mevcut bir domain içerisinde additional domain controller kuracaksak da 'Add a domain controller to an existing domain' seçeneğini seçiyoruz. Biz yeni bir forest içerisinde yeni bir domain kurulumu yapacağımız için, Add a new forest seçeneğini seçiyoruz. Bu se.eneği seçtikten sonra da, Root domain name kutucuğuna forest içerisinde kurulacak ilk domain'e vereceğimiz DNS domain adına belirliyoruz. Ben denemeserver.local olarak domain adımı metin kutusuna girdikten sonra, next ile sonraki aşamaya geçiyoruz. /img/ss5

  • Karşımıza Domain Controller Option ekranı gelecektir. Bu ekranda Forest ve Domain Functional Level seviyelerini belirtmemiz gerekiyor. Biz yeni bir forest içerisinde yeni bir domain olarak Windows Server 20120 R2 sunucumuzu kurduğumuzu için, ben doğrudan Windows Server 2012 R2 forest ve domain seviyelerini seçtim. /img/ss6

  • Yine Domain Controller Options ekranında domain controller sunucumuzu aynı zamanda DNS Server olarak da yapılandırmak için Domain Name System Server kutucuğunu da işaretliyoruz. Bildiğiniz gibi active directory domain yapıları tamamen DNS isimlendirme sistemi üzerine inşa edildiği için sitemin çalışması için de DNS servisine ihtiyaç duyar. Active directory forest domain'lerinde en iyi yapılandırma uygulaması olarak önerimiz domain controller sunucusunun aynı zamanda DNS Server olarak da yapılandırılmasıdır. Yine bu ekranda bu domain controller forest içerisinde kurulacak ilk domain controller olacağı için de, otomatik olarak Global Catalog rolüne de sahip olacaktır. Read-Only domain controller seçeneği bu aşamada pasif geliyor. Zira öncelikle yazılabilir bir domain controller'ın kurulması gerekecektir. Sonrasında ihtiyaca göre şube ya da uzak lokasyonlara RODC kurabilirsiniz. Yine bu ekranda hemen alt kısıma Directory Service Restore Mode parolamızı giriyoruz. DSRM, domain controller sunucularda active directory veritabanına geri yüklemek istediğinizde, sımıcıöızı F8 ile İleri Açılı Seçeneklerinden açtığımızda Directory Service Restore Mode seçeneğiyle açtıktan sorna sunucuya oturum açarken kullandığımız şifredir.

  • Aşamaları tamamladıktan sonra Next ile bir sonraki aşamaya geçiyoruz.
  • Karşımıza çıkan DNS Option ekranında mevcutta DNS altyapınız varsa, isteğe bağlı olarak yeni kurulan DNS sunucya mevcuttaki DNS zone üzerinde delegasyon ataması yapılabilir. Henüz bizde yetkili bir DNS Zone bulunmadığı için bu ekranı Next ile doğrudan geçiyoruz.
  • Karşımıza gelen Additional Options ekranında Domain Netbios adını göreceksiniz. Özellikle netbios-tabanlı uygulamalar DNS domain ismi yerine netbioos adını kullanırlar. Bu aşamada biz de domainimize ait netbios adını belirliyoruz. Netbios adı DNS domain adından uzantılar atılmış olarak gelen ve maksimum 15 karakter olarak girebileceğimiz bir isimdir. İsteğinize göre otomatik olarak gelen isimde değişiklik de yapabilirsiniz. Biz aynen bırakara Next ile sonraki aşamaya devam ediyoruz. /img/ss7

  • Karşımıza gelen Paths ekranında active directory veritabanı, log ve SYSVOL bilgilerini kaydedileceği konumu belirtmemiz istenecektir. Burada gösterdiğimiz klasör yolunun bulunduğu diskin dosya sisteminin NTFS olması çok önemlidir. İlgili yol tanımlarını girdikten sonra Next ile bu aşamayı da geçiyoruz. /img/ss8

  • Son kısımda karımıza Review Options ekranı geliyor. Bu ekranda bu aşamaya kadar yaptığımız ayarları ve yapılandırmaları gözden geçirmemizi sağlayan özet bilgileri yer alıyor. /img/ss9

  • İsterseniz bu aşamaya kadar ki active directory domain servis yapılandırmalarını bir script dosyasına çıkartmak isterseniz, View Script butonunu kullanabilirsiniz. Seçenekleri gözden geçirdikten sonra tekrar Next butonuna basıyoruz. İşte bu aşamada Windows Server 2012 R2 Active Directory Prerequisities Check aşaması başlıyor. /img/ss10

  • Bu aşamada yaptığımız seçimlere göre mevcut sunucunun ve ortamın active directory kurulumu için gerekli ön gereksinimleri karşılayıp karşılamadığı ile ilgili bir takım kontroller gerçekleştiriliyor. Böylece active directory kurulumu için eksik bir adım ya da bileşen kaldı ise ya da uyumsuz bir durum varsa, bunları da raporlayarak kuruluma geçmeden bizi uyarıyor. Ön gereksinim gelecektir. Bu işlemler sonrasında Install butonuna basarak kurulum sürecini başlatıyoruz. Kurulum sürecinde öncelikle yüklenecek bileşenler ve servisler kontrol edilip, sonrasında da kuruluma geçilecek. Kurulum tamamlandıktan sonra, sistem otomatik olarak yeniden başlatılıyor ve domain ortamına oturum ama ekranı karşımıza gelecek. DENEMESERVER.LOCAL domainine ;Administrator hesabı ile otorum açma sürecini başlatıyoruz. /img/ss11

  • Açılan domain controller sunucumuzda Active Directory Domain Service rol ve yapılandırma sonrasında bir takım değişiklikler meydana geliyor. Şimdi de bunları sırayla gözden geçirelim.

Active Directory Kullanıcı Yönetimi

  • Server Manager konsolunda Tools menüsünde Active Directory yönetim araçlarına ait kısayolların geldiğini görüyorsunuz. Bu kısayolların aynısı Start menü içerisinden ya da Control Panel içerisinden ulaşabileceğimiz Administrative Tools altına da gelmektedir. Tools menüsünden Active Directory Users and Computers konsolunu açınca gelen ekranda domain yapısına ait nesneleri göreceksiniz. /img/ss12

  • Yine Domain Controllers OU'su içerisinde WIN-GBE9N7LKO8R isimli sunucumuzun Default-First-Site-Name isimli Active Directory site içerisinde domain controller ve global catalog olarak yapılandırıldığını göreceksiniz. /img/ss13

Active Directory Administrative Center

  • Active Directory Administrative Center konsolu Windows Server 2008 R2 ile tanıştığımız bir konsoldu. İlk versiyonda özellik olarak çok kısıtlı olsa da, sonraki versiyonlarda daha da geliştirilerek active directory yönetiminde birincil araç halini almıştır. Windows Server 2012 R2 ile beraber active directory yönetimindeki bütün yeni özellikler bu konsolda geliştirilmiştir. /img/ss14

  • Active Directory domain'inde kullanıcı, grup, bilgisayar hesapları ve organizational unit yönetimi, domain modlarının konfigürasyonu, active directory üzerinden domain'lerin yönetilmesi gibi bir çok görevi Active Directory Administrative Center içerisinden de gerçekleştirebilirsiniz. Bu özellikler Active Directory Users and Computers konsolu içerisinden de yapılabilen özelliklerdir.

  • ADAC ile yapabildiklerimiz:
    • Yeni kullanıcı hesabı açmak ya da varolan hesaplar üzerinde düzenlemele yapmak.
    • Yeni grup hesabı açmak ya da varolan hesaplar üzerinde düzenlemeler yapmak.
    • Yeni bilgisayar hesabı açmak ya da varolan hesaplar üzerinde düzenlemeler yapmak.
    • Yeni OU açmak ya da varolan OU'lar üzerinde düzenlemeler yapmak.
    • Diğer domain'lere ya da domain controller'lara bağlanarak onların yönetimini yapmak.
    • Sorgu-oluşturma aracını kullanarak active directory içerisinde arama yapmak.
    • Grafiksel arayüzden active directory recycle-bin etkinleştirilmesini ve kullanımı,
    • Grafiksel arayüzden fine grained pa/img/ssword policies kullanımı,
    • Forest ve Domain modların yönetimi,
    • Dynamic Acce/img/ss Control yönetimi,
    • Gerçekleştirilen yönetimsel faaliyetlere ilişkin powershell komut geçmişini görüntüleme,
    • Kimlik doğrulama politikaları oluşturmak.
  • Aşağıdaki şekilde görüldüğü gibi Manage menüsü içerisindeki Management List Options ayarları ile, Administrative Center konsolunda listellenecek maksimum nesne sayısı ile ilgili değer değiştirilebilir. Varsayılan listelenen nesne sayısı 20000'dir. /img/ss15

  • ADAC ile kendi domain'iniz, bulunduğunuz forest içerisindeki domain'lerde ve aynı zamanda güven ilişkisine sahip olduğunuz farklı forest yapıları içerisindeki domain'lerde yönetim gerçekleştirebilirsiniz.

  • Breadcrumb Bar, ADAC pencerisinin en üst kısmındaki uzun gezinti ççubuğudur. Bu gezinti çubuğunu kullanarak yine aynen Windows Explorer'da olduğu gibi konumlar arası geçişler yapabilirsiniz.
  • Bu adres çubuğuna aşağıdaki formatlarda konum bilgilerini yazarak ilgili yerlere erişimleri gerçekleştirebilmeniz mümkündür.
  • Gidilmek istenen konunuma ait yol tanımı, Örneğin; **Active Directory Domain Services\denemeserver(local)\Users
  • ADAC konsolundan diğer domain'lere bağlanmak için aşağıdaki şekilde de görülen üst kısımdaki Manage menüsünden Add Navigation Nodes butonuna basılır. /img/ss16

  • Add Navigation Nodes ekranında yukarıdaki şekilde de görülen Connect to other domains linkine tıklanır.

  • Connect to metin kutusu içeriside bağlanılacak dns domain adı (deneme.denemeserver.local gibi) yazılarak bağlantı gerçekleşir.
  • Sisteme oturum açılan kullanıcının yetkisi olmaması durumunda, ADAC konsolunu da başka kullanıcı hesabı ile açmak için de Runas komutunu PowerShell ile aşağıdaki formatta başlatabilirsiniz: runas /user:<domain\user> dsac

Kullanıcı Hesapları

Şirket içerisindeki kullanıcıların; bir bilgisayardan oturum açabilmeleri ve ağ ortamında bulunan kaynaklarar erişim gerçekleştirebilmesi için kullanıcı hesaplarına ihtiyaç duyulmaktadır. Kullanıcı hesabı, ilgili kullanıcıya ait bilgileri üzerinde barındıran nesnedir. Kullanıcı hesabı nesnesinde kullanıcıya ait isim, şifre, kullanıcının grup üyelikleri gibi bilgiler tutulmaktadır. Ağ ortamında çalışan ve ağ ortamında bulunan gerek yerel bilgisayarlara gerekse de doamin ortamına oturum açabilmesi için, kullanıcı hesabına sahip olunması gerekir.

Yerel Kullanıcı Hesabı Oluşturma
  • Computer Management konsolu kullanılarakt yerel kullanıcı hesapları oluşturulabilmektedir. Aşağıdaki adımları izleyerek yerel kullanıcı hesabı oluşturabilirsiniz
  • Control Panel\Administrative Tools\Computer Management yolunu izleyerek, ya da Start butonu üzerinde sağ tuşa tıklayınca gelen menüden, Computer Management tıklanarak ya da compmgmt.msc komutu ile Computer Management yönetim konsolu açılır.
  • Computer Management açıldıktan sonra, sol bölmede Local Users and Groups seçeneği altındaki Users üzerinde sağ tıklanır.
  • Açılan menüden New User seçeneği seçilir.
  • New User pencersinde aşağıdaki bilgiler tanımlanır:

/img/ss17

Domain Kullanıcı Hesabı Oluşturma
  • Domain ortamında açılan bir kullanıcı aynı anda birden fazla OU altında bulunamaz.
  • Aşağıdaki adımları takip ederek bir domain kullanıcı hesabı oluşturabilirsiniz;
  • Administrative Tools menüsü içerisinden Active Directory Users and Computers konsolu açılır.
  • Açılan pencere kullanıcı nerede oluşturulmak isteniyorsa (mesela istanbul isimli OU içerisinde) sağ tuşa basılır ve New seçilerek açılan menüden User seçeneği tıklanır.

/img/ss18

  • New Object-User penceresi içerisinde gerekli olan bilgiler tanımlanır;

/img/ss19

  • Gelen pencerede kullanıcının şifresi belirlenir.

/img/ss20

  • Son aşamada yapılan işlemleri onaylamak için Finish butonuna basılır.

  • Ardından oluşturduğumuz kullanıcıyı herhangi bir gruba eklemek istiyorsak kullanıcının üstüne gelerek sağ tıklayalım ve Add to a group seçeneğine basalım.

/img/ss21

  • Eğer kullanıcılara özel olarak yetki vermek istiyorsak aşağıdaki adımları izlememiz gerekmektedir: /img/ss22

  • Ardından ekrandaki Add tuşuna basarak Admin yazıyoruz ve Check Names diyoruz, otomatik olarak Administrator seçeneği seçilecektir.

/img/ss23

  • OK butonuna tıklıyoruz ve yetkilendirmeyi tamamlamış oluyoruz.

/img/ss24