Active Directory nədir?
Active Directory Windows Server ağlarındaki bir kataloq xidmətidir. Dizin xidməti, şəbəkədəki qaynaqların məlumatını tutan və bu məlumatı istifadəçilərə və tətbiqlərə təqdim edən şəbəkə xidmətidir. Dizin xidməti şəbəkə qaynaqlarına çatmaq, bu qaynaqları adlandırmaq və etibarlı bir şəkildə idarə etmək üçün lazım olan mühiti təmin etmək məqsədi ilə yaradılmışdır.
Active Directory mühitdəki şəbəkə infrastrukturuna böyük ölçüdə funksionallıq qazandırmaqdadır.Xüsusilə qaynaqların idarəsinin və rəhbərliyinin merkezileştirilmesi Active Directory təşkilatının ən əhəmiyyətli xüsusiyyətidir. Active Directory, fiziki topologiya üzərinə söykənən bir sistemin istifadəçiyə daha mətbuat sadələşdirilmiş şəkildə görünməsini və qaynaqlara giriş əsnasında istifadəçinin çatdığı qaynağın (məsələn printer) şəbəkənin harasında olduğunu və ya qaynağın ağa nə şəkildə bağlanmış olduğunu bilmədən bağlanmasını təmin edər.
Active Directory çox böyük işlətmələrdəki sıx məlumatları alt kümelere bölərək saxlaya və beləcə məlumatların böyüməsi və ya kiçilməsi vəziyyətində, yəni şirkətin böyüməsi və ya kiçilməsi vəziyyətində sistemöe elastiklik qazandırar.
Active Directory heyəti bir Windows Server 2003 şəbəkə səviyyəsində sistem konfigürasyonlarını, istifadəçi profillərinə və ərizə məlumatlarını Active Directory bazasında saxlayar. Active Directory sistem idarəçilərinin, domain üzrə bütün kompüterlərdə desktop xüsusiyyətlərini, şəbəkə xidmətlərini və tətbiqləri mərkəzi bir nöqtədən yönetebilmelerini təmin edər.
Active Directory ayrıca, istifadəçilərin sistemə bir dəfə daxil olmasını, yəni logon olmasını və sonra şəbəkədəki bir çox qaynağa tək bir logonla etibarlı bir şəkildə çata bilməsi mövzusunda da sistem rəhbərlərinə mərkəzi giriş nəzarət edir.
Active Directory Objeleri
Active Directory, bazasında şəbəkə obyektləri haqqındakı məlumatları saxlayar. Bu Active Directory obyektləri başda istifadəçilər, qruplar, kompüterlər, printerlər olmaq üzrə şəbəkə qaynaqlarını təmsil edir. Bundan əlavə, Active Directory səviyyəsindəki bütün serverlər, domain və Site’lar da Active Directory obyektləri arasında iştirak etməkdədir. Active Directory bütün obyektləri paylanmış bir verilənlər bazası üzərində saxladığı üçün sistem yönticisi bu obyektlərin rəhbərliyi asanlıqla tək bir nöqtədən icra edə bilər.
Yeni bir obyekt yaradıldığı zaman bu obyektin xüsusiyyətləri (attribute) obyekt haqqında onu təyin edən məlumatlar daxildir. İstifadəçilər bu obyektə daxil istədiyi zaman obyektə təyin olunmuş bu xüsusiyyətlərdən faydalana. Məsələn, bir istifadəçi domain içərisində bir printerə ulaşıyorken yazıcının yer (qat, bina, müəssisə) görə axtarış edə bilər.
Active Directory’nin Məntiqi Quruluşu
Active Directory’nin məntiqi quruluşu, elastikliyinin yanında Active Directory içərisində istifadəçi və idarəçi daxilində iyerarxik bir quruluş yaradılmasına imkan verir.
Söz mövzusu məntiqi komponentlər
A. Domain
B. Organizational unit
C. Tree and forest
D. Global catalog
Active Directory’nin quraşdırılması, konfiqurasiya, rəhbərliyi və problemlərinin həlli üçün, məntiqi quruluşunun əhatə və funksiyalarının başa düşülməsi vacibdir.
Domain Active Directory ən təməl məntiqi komponent domain’in. Domain, eyni kataloqu bazanı paylaşan kompüterlər bütünüdür və sistem idarəçisi tərəfindən yaradılmışdır. Hər bir Domain unikal bir ada malikdir və sistem idarəçisi tərəfindən müəyyənləşdirilmiş olan istifadəçi və qrup hesablarına daxil olmaq imkanı verir.
Ayrıca domain’in təhlükəsizlik sərhədi (Security Boundary) olaraq da bilinər. Təhlükəsizlik sərhədi sayəsində, əgər sistem idarəçisi ayrıca bir icazə belirlememişse, bir istifadəçinin hüquqlar yalnız o Domain içərisində etibarlı olacaq. Hər bir Domain öz təhlükəsizlik quruluşuna malikdir.
Domain ayrıca replikasyon vahidi olaraq adlandırılar. Bir Domain içərisində, Active Directory bazası surətlərini saxlayan Domain Controller’lar bu koyaları Domain içərisində edilən dəyişiklikləri bir-birlərinə kopyalarak replikasyon edərlər.
Organizational Units
Organizational Unit bir Domain içərisindəki obyektləri təşkil etmək məqsədi ilə yaradılmış objelerdir. Bir Organizational Unit öz içərisində istifadəçilər, qruplar, kompüterlər və ya başqa OU’lar olmaq üzrə başqa obyektlər yerləşdirmək olar.
OU’ları, təşkilatın ehtiyacını ən yaxşı şəkildə qarşılayacaq məntiqi bir iyerarxiya oluştu ruyorken obyektləri qruplaşdırmaq məqsədiylə istifadə edə bilərsiniz.
Məsələn, obyektləri grupluyorken idarəetmə tələbləri ön planda saxlaya bilərsiniz. Məsələn, təşkilatda bir idarəçi istifadəçilərdə bir digər istifadəçi da kompüterlərdən məsul olacaqsa, biri istifadəçilər üçün biri də kompüterlər üçün iki ədəd OU yaradılır və istifadəçilər birində kompüterlər da digər toplanır. Son olaraq da ikisini də əlaqədar istifadəçi idarəçi olaraq təyin oluna bilər.
OU vahidlərinin istifadə edilə bir başqa nümunə isə təşkilatın departmansal vahidlərə ayrılmasında etibarlı ola bilər. Məsələn bir “Mühasibat” bir də “Marketinq” şöbələri üçün OU yaradılır və bu departmanlarda çalışan istifadəçilər əlaqədar Oulara yerləşdirildikdən sonra departament şefləri bu vahidlərə idarəçi olaraq təyin oluna bilər.
Trees və ForestsYaradılan ilk Windows Server 2003 Domain, Active Directory quruluşundakı Kök Domain (Root Domain) ifadə edər. Bundan sonra yaradılacaq olan yeni əlavə domain’in serialın məntiqi Tree və ya Forest quruluşunu meydana gətirəcək.
TreeBir-birinə ardıcıl bir ad aralığını paylaşan Windows Server 2003 Domain’lerinin iyerarxik olaraq təşkil şeklidir.Önceden yaradılmış bir Tree quruluşunda yeni bir Domain əlavə etdiyiniz zaman, yeni əlavə olunan Domain sondan əlavə olunduğu Domain’inin Child Domain vəziyyətində olur və əlavə olunduğu Domain də əlavə Domain üçün Parent domain olur. Yeni yaradılan Child domain’in adı Parent domain’in gələn adla birləşdirilir və yeni yaranan domain’in DNS adı ortaya çıxar.
Məsələn bakicubuk.com bir Root domain’in. Bu domain əlavə olunacaq yeni bir Domain baki.com Domain’inin Child Domain olacaq, buna nümunə olaraq it.baki.com Domain’ini göstərə bilərik. Bu nümunədə it.baki.com, baki.com Domain’inin Child Domain olacaq. baki.com Domain isə Parent Domain mövqesindədir.
forests
Forest, birdən çox Tree’nin birləşmiş halıdır. Forest içərisindəki Tree’ler ardıcıl ad aralığına sahib deyildirlər. Yara dılan ilk Domain bir Tree’yi ifadə edəcək və ilk Tree’nin oluşturulmasıyla Forest’da meydana gəlmiş olacaq. Sonradan bu Forest’a əlavə olunacaq olan Tree’ler, digər Tree’lerle eyni ad aralığını paylaşmayacak olasalar da eyni Schema və Global Catalog’a sahib olacaq. Forest yaradılarkən qurulmuş olan ilk Tree Forest-Root olaraq bilinir və digər Tree’ler bu Forest Root altında toplanırlar.
Global CatalogGlobal Catalog, Active Directory’deki bütün obyektlərin xüsusiyyətlərinin bir alt hinini daşıyan məlumat anbarıdır. Bu barındırılan xüsusiyyətlər, ismarıcları, sorğulamalar əsnasında ən sıx istifadə edilən xüsusiyyətlərdir (məsələn istifadəçi ön adı, son adı və logon adı). Global Catalog istifadəçilərə bu xidmətləri təklif edir:
• Lazım olan məlumatın harada olduğundan müstəqil olaraq Active Directory obyektləri haqqında məlumatlar təqdim edir.
• Bir ağa logon ölüyorken Universal Group Membership məlumatını istifadə.
Global Catalog Serveri Domain’deki bir Domain Controller’dır və domain’in yaradılan ilk Domain Controller avtomatik olaraq Global Catalog səviyyəsinə yüksəldilər. Sonradan əlavə Global Catalog Serverlər əlavə oluna bilər.
Active Directory Schema
Active Directory Schema: İstifadəçi, qrup, kompüter və printerlər kimi bütün objelere aid məlumatları daxildir. Windows 2000 və sonrasında bütün Network quruluşunuz (forest) içərisində, yalnız bir Schema tapılar və bütün obyekt məlumatları Schema üzərinə yazılır.
Schema quruluşunda, obyekt sinifi və xüsusiyyəti təyin oluna bilər.
Obyekt sinifi: Kompüter, istifadəçi və ya yazıçı ola bilər. Xüsusiyyət: Schema içində bir
dəfə tanımlandıktan sonra, axtarış (search) əməliyyatlarında istifadə edilə bilər.
Məsələn: İstifadəçilərin çalışdıqları hissələr, doğum yeri kimi.
Schema məlumatları: Active Directory verilənlər bazası (database) içərisində saxlanılır.
Başqa ilə
• İstifadəçi tətbiqləri üçün dinamik bir quruluş təqdim edir. İstifadəçilərin obyekt araşdırma əməliyyatları, Sc hema üzərindən reallaşar.
• Yeni yaradılan və ya dəyişdirilən obyekt dinamik olaraq Schema içərisində
yenilənir.
• Obyektin sinif və xüsusiyyətlərinin qorunmasında, discretionary access control
lists (DACLs) istifadə edilir. DACLs ilə Schema məlumatları üzərində yalnız
səlahiyyətli istifadəçilərin (authorized users) dəyişiklik edə bilməsi
təmin edilər.
Lightweight Directory Access Protocol (LDAP)
LDAP: Active Directory quruluşu içərisində sorğulama (query) və yeniləmə (update) üçün istifadə, təməl bir directory xidmət protokoludur. LDAP ilə Active Directory obyektləri bir sıra domain kompenenti, Ous (Organizational Units) və CN (Common Name) istifadə edilərək, Active Directory içərisində yenidən təyin olunar. LDAP adlandırma metoddan; Active Directory obyektlərindən erişimde istifadə və iki tərif daxildir;
* Distinguished Names
* Relative Distinguished Names
Distinguished names: Bütün Active Directory obyektləri, Network mühitində
özlərinə çatılmasını təmin edən bütöv path ehtiva edən, distinguished name’e
malikdir.
Məsələn;
CN = Gokhan varol, OU = Marketinq, DC = MCSE, DC = com
Burada istifadə CN = Common Name OU = Organizational Unit DC = Domain Controller mənasındadır.
CN: Qrup və istifadəçi adları tanımlamalarında istifadə
OU: Organization Units tanımlamalarında istifadə edilər.
DC: Domain iyerarxiyasına təyin edər. Bütün DNS axışı tək tək yazılır. Məsələn: Domain adı gokhanvarol.net isə, DC = gokhanvarol, DC_net şəklində göstərilir.
Başqa bir nümunə verək;
“Sınaq” adlı istifadəçi, “rəhbərlik” adlı Organizal Units içində olsun və bağlı olduğu Domain adı “gokhanvarol.net” olsun.
Bunun Distingushed Name proqramı aşağıdakı şəkildə olacaq: CN = sınaq, OU = rəhbərlik, DC = gokhanvarol, DC = dəqiq Relative Distinguished Name: LDAP distinguished name içərisində yer alır və obyektə aid bənzərsiz (unique) təyin əhatə edir. Yəni, bu Active Directory içində ifadə edilən Domain içində təkdir.Active Directory’nin Fiziki Quruluşu
Active Directory içində məntiqi quruluş, fiziki quruluşdan müstəqil və fərqli bir quruluşa malikdir. Məntiqi quruluş ilə Network qaynaqlarını təşkil edərkən, fiziki quruluş ilə Network trafikini idarə və konfiqurasiya edə bilərsiniz.
Active Directory’nin fiziki quruluşunu; DC (Domain Controller) və Siteler meydana gətirər. Active Directory’nin fiziki quruluşu, replikasyonun yer və zamanı ilə networklara iştirakını (logon) müəyyən edir. Network trafiki ilə logon əməliyyatlarının optimallaşdırılması və bu əməliyyatlarda ola biləcək səhvlərin aradan qaldırılması, fiziki quruluşun başa düşülməsinə bağlıdır.Domain Controllers
Domain Controller, üzərində Active Directory bazanın bir kopiyasını (replica) saxlayan bilgisayardır.Domain’de gerşekleştirilen hər hansı bir dəyişiklik bir Domain Controller üzərində həyata keçirilir və daha sonra domain’deki bütün Domain Controller’lar bu dəyişiklikləri replikasyon yolu ilə bir-birlərinə kopyalarlar. Domain Controller’lar kataloqu məlumatını saxlayarlar və istifadəçilərin logon əməliyyatlarını, identifikasiyası əməliyyatlarını və dizin axtarış əməliyyatlarını icra edərlər.
Bir domain-bir və ya daha çox Domain Controller ola bilər. Kiçik diametrdə bir təşkilata (LAN) bir Domain və iki Domain Controller yetecekken fərqli fiziki lokasyonlara yayılmış böyük bir müəssisə üçün (WAN), hər bir bölgə başına bir və ya iki Domain Controller daha uyğun olacaq. Bir domain birdən çox Domain Controller yerləşdirmənin məqsədi həm səhv dözümlülüyü təmin etmək həm də Domain Controller’lar arasında yük dağılımı etməkdir.
SitesBir Site, bir-birlərinə yüksək bant genişliyinə sahib xarici hatlarlar bağlanmış bir və ya birdən çox IP (Internet Protocol) alt şəbəkələrini ifadə etməkdədir. Site’ları doğru bir şəkildə yapılandırarak istifadəçilərin logon əməliyyatlarında ibarət şəbəkə trafikini və replikasyon əməliyyatları əsnasında ibarət olan sıxlığı azaltmaq üçün Active Di rectory’nin alt ağlar arasındakı fiziki əlaqələri ən effektiv şəkildə istifadə təmin edə bilərik.
Saytın oluşturmaktaki başlıca səbəblər bunlardır:
• Replikasyon trafikinin optimize edilməsi
• İstifadəçilərin logon olması əsnasında ən sürətli və ən etibarlı əlaqəni istifadə edərək doğru Domain Controller’ı tapa
Active Directory və DNSActive Directory və DNS inteqrasiyası Windows Server 2003 Sisteminin ən əhəmiyyətli xüsusiyyətlərindən biridir. Active Directory və DNS, obyektlərin həm Active Directory obyektləri həm də DNS domainleri və qaynaq qeydləri (Resource Records) olaraq sunulabilecek şəkildə bənzər bir hiyerarşik adlandırma quruluşuna sahibdirlər. Bu inteqrasiyanın nəticəsi olaraq Windows Server 2003 şəbəkəsindəki kompüterlər, Active Directory’ye xas bəzi xidmətləri işlədən kompüterlərin yeri öyrənmək üçün DNS Serverlər istifadə edirlər. Məsələn, bir client Active Directory’ye logon olmaq və ya hər hansı bir qaynağı (printer və ya paylaşılmış bir qovluq) kataloqu içərisində tapmaq üçün bilməsi lazım olan Domain Controller ‘IP ünvanını DNS Server üzərində SRV qeydlərindən öyrənməkdədir. Active Directory’nin problemsiz bir şəkildə çalışması üçün DNS serverlərin SRV qeydlərini əskiksiz bir şəkildə saxlaması lazımdır. SRV qeydlərinin məqsədi, client’lara logon əsnasında və ya hər hansı bir qaynağa ulaşıyorken Domain Controller’ların yerlərini ifadə etməkdir və bu qeydlər DNS serverlərdə tutulur. SRV qeydlərinin olmadığı bir mühitdə, client’lar domain’in logon ola bilməyəcəklər.
Ayrıca Windows Server 2003, DNS məlumatlarının Active Directory bazası ilə inteqrasiya olaraq saxlanmasına imkan verir. Bu sayədə DNS məlumatlarının replikasyonu daha effektiv və etibarlı bir hala gəlməkdədir.
Windows Server 2003, Active Directory təşkilatını qurmadan, əvvəl yaradılacaq olan domain DNS infrastrukturunu əvvəldən meydana gətirməyi tələb edir. Əgər yaradılacaq olan domain DNS infrastrukturu quraşdırma əvvəlindən hazırlanmamışsa, quraşdırılma əsnasında da DNS infrastrukturu qu rula bilər.
Windows Server 2003 İdarə YollarıWindows əməliyyat sistemi və Active Directory quruluşu, təşkilat içərisindəki bütün kompüterlərin masaüstü yönetimininin merkezileştirmesinde istifadə method və üsulları Administrator’a təqdim edir. Administrator’u Network mühitindəki idarəetmə funksiyası:
Mərkəzi rəhbərlik: Çox sayda istifadəçi, kompüter, printer və Network qaynaqlarının; mərkəzi bir lokasyonda idarə edilməsi. İstifadə tələblərə əsasən, Network qaynaqlarının mərkəzi olaraq istifadəçilərə təqdim təmin olunur.
İstifadəçilərin rəhbərliyi: Active Directory içərisində təşkilat vahidlərinə uygulanılabilen Group Policy ayarları ilə təsirli bir istifadəçi nəzarəti təmin edilər. Əvvəlcə istifadəçi və ya kompüter üçün; Group Policy ayarla edilir, daha sonra söz mövzusu ayarlar, Windows əməliyyat sistemi üzərindən həyata keçirilir.
İstifadə idarələr üçün nümayəndə təyin edilməsi: Active Directory, Administrator’ın təşkilat içərisindəki bir istifadəçiyə və ya qrupa qismən və ya tamamilə səlahiyyət verməsinə imkan yaradır.
Active Directory; Administrator’ın Network qaynaqlarını mərkəzi olaraq idarə etməsinə imkan verir.
Qaynaqların mərkəzi rəhbərliyinin üstünlüyü: Tek bir administrator tərəfindən, Network qaynaqlarının mərkəzi nəzarət və idarə edilməsi. Active Directory, bütün objelere aid məlumatlar ilə xüsusiyyətləri daxildir. Bu xüsusiyyətlər, qaynaqların tərifini ehtiva edən məlumatdır. Active Directory, obyektlərin məlumatlarını yerləşdirmədə asanlıq təmin edər. Bu məlumatları istifadə edərək, edilən axtarış əməliyyatlarında obyekt, Active Directory kataloq hər harada olursa olsun, asanlıqla tapıla bilər. Təşkilat vahidləri içərisində qrup obyektləri yarada bilərsiniz. OU bünyəsində Group Policy tətbiq oluna kimi, nümayəndə təyin da imkan tanıyar. Nümayəndə, Administrator tərəfindən özünə verilən səlahiyyət nisbətində, əməliyyat edə bilər.
Group Policy ayarları: Site, Domain və ya OU strukturlarına tətbiq. Tətbiq sonrasında Active Directory, söz mövzusu param etrlər əlaqədar istifadəçi və kompüterlər üzərində təsirli hala gəlməsini təmin edər.
