Windows Server15 Mayıs 20269 dakika okuma

Windows Server Active Directory: Kurulum, Tasarım ve En İyi Uygulamalar

Active Directory Domain Services (AD DS) kurumsal kimlik yönetiminin temel taşıdır. DC tasarımı, OU yapısı, Group Policy, replikasyon ve güvenlik sertleştirme konularında kapsamlı rehber.

Active DirectoryAD DSGroup PolicyDomain ControllerLDAPKerberos

Active Directory Nedir?

Active Directory Domain Services (AD DS), Microsoft'un kimlik ve erişim yönetimi için geliştirdiği dizin servisidir. Kullanıcı hesapları, bilgisayarlar, gruplar ve politikaları merkezi olarak yönetir. 1999'dan bu yana kurumsal Windows ortamlarının temel bileşeni olarak yer alan AD DS, günümüzde on binlerce kullanıcı ölçeğinde çalışan küresel kuruluşlarda aktif olarak kullanılmaktadır.

Temel Kavramlar

  • Domain: Ortak bir güvenlik politikası paylaşan nesneler topluluğu (örn. lidernetwork.local).
  • Domain Controller (DC): AD veritabanını barındıran ve kimlik doğrulama hizmetlerini sunan sunucu. Yüksek erişilebilirlik için en az iki DC zorunludur.
  • Forest: Bir veya birden fazla domain'in güven ilişkisiyle bağlandığı en üst seviye yapı. Tüm domain'ler ortak bir Schema ve Global Catalog paylaşır.
  • Organizational Unit (OU): Nesneleri (kullanıcı, bilgisayar, grup) mantıksal olarak gruplamak ve Group Policy uygulamak için kullanılan kapsayıcılar.
  • Group Policy Object (GPO): Kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yöneten politika nesneleri.

DC Tasarım İlkeleri

Kurumsal bir ortamda DC tasarımı yapılırken dikkat edilmesi gerekenler:

  • Her site için en az 2 DC: Tek DC arızalanırsa tüm kimlik doğrulama durur; ikinci DC bu riski ortadan kaldırır.
  • FSMO Rolleri: PDC Emulator, RID Master, Infrastructure Master, Schema Master ve Domain Naming Master rollerinin hangi DC'de olduğunu belgeleyin. PDC Emulator, en güçlü ve en iyi bağlantılı DC'de olmalıdır.
  • Global Catalog (GC): Çok domain'li forest yapılarında her sitede en az bir GC sunucu bulundurulmalıdır.
  • Read-Only Domain Controller (RODC): Fiziksel güvenliğin yetersiz olduğu şube ofisler için RODC, AD veritabanının salt okunur kopyasını barındırır; kimlik bilgileri RODC'de saklanmaz.

OU Yapısı Tasarımı

İyi tasarlanmış bir OU yapısı GPO yönetimini ve yetkilendirmeyi kolaylaştırır. Yaygın yaklaşımlar:

  • Coğrafi yapı: Ankara → Kullanıcılar / Bilgisayarlar / Gruplar. Büyük coğrafi dağılımlı kuruluşlar için uygundur.
  • Fonksiyonel yapı: IT / Muhasebe / İK → kendi OU'ları. Departman bazlı GPO uygulaması kolaylaşır.
  • Hibrit yapı: İlk seviye lokasyon, ikinci seviye departman. En yaygın tercih edilen yöntemdir.

Altın kural: Varsayılan "Users" ve "Computers" container'larına nesne koymayın; GPO uygulanamaz. Tüm nesneler özel OU'larda bulunmalıdır.

Group Policy En İyi Uygulamalar

  • Her GPO tek bir amaca hizmet etmelidir (örn. "Parola Politikası" ayrı, "Masaüstü Arka Planı" ayrı GPO).
  • GPO adları açıklayıcı olmalıdır: SEC-PasswordPolicy-AllUsers, SW-ChromeInstall-ITDept.
  • Default Domain Policy'yi mümkün olduğunca az düzenleyin; ayrı GPO'lar oluşturun.
  • GPO bağlantılarını OU düzeyinde yapın; domain düzeyinde bağlantıyı sınırlı tutun.
  • Loopback Processing: Kullanıcı ayarlarını bilgisayar bazında uygulamak için (kiosk, terminal server) kullanılır.

AD Replikasyonu ve Site Yapılandırması

Çok lokasyonlu kurumlarda AD replikasyonu doğru yapılandırılmalıdır:

  • Site Link: Lokasyonlar arası bağlantıyı temsil eder; maliyet ve replikasyon aralığı tanımlanır.
  • KCC (Knowledge Consistency Checker): DC'ler arasındaki replikasyon topolojisini otomatik olarak oluşturur.
  • Yavaş WAN bağlantılarında replikasyon sıkıştırması etkinleştirilmelidir.
  • Replikasyon Sorun Giderme: repadmin /showrepl ve dcdiag komutları ile replikasyon sağlığı izlenir.

AD Güvenlik Sertleştirme

  • Ayrıcalıklı Erişim İş İstasyonları (PAW): Domain Admin hesapları yalnızca izole PAW'lardan kullanılmalıdır.
  • Tier Model: Tier 0 (DC/AD), Tier 1 (Sunucular), Tier 2 (İş İstasyonları) arasında kesin hesap ayrımı yapılmalıdır.
  • Protected Users Grubu: Bu gruba eklenen hesaplar NTLM, DES ve RC4 kullananlar için kimlik doğrulaması reddeder; yalnızca Kerberos AES kabul edilir.
  • LAPS (Local Administrator Password Solution): Her bilgisayardaki yerel admin şifresini otomatik, benzersiz ve döngüsel olarak yönetir.
  • AD Audit Logging: Hesap değişiklikleri, grup üyeliği değişiklikleri ve oturum açma olayları denetim günlüğüne kaydedilmelidir.

Sonuç

Active Directory, kurumsal IT'nin bel kemiğidir. Doğru tasarlanmış bir AD altyapısı yönetim yükünü azaltır, güvenliği güçlendirir ve ölçeklenebilirlik sağlar. Lider Network olarak AD tasarımı, GPO yapılandırması ve güvenlik sertleştirme projelerinde deneyimli mühendis kadrosuyla hizmet veriyoruz.

İlgili Makaleler

Windows Server

Windows Server 2025 Nedir? Yeni Özellikler ve Kurumsal Yenilikler

Oku Windows Server

Windows Server 2022 vs 2025: Hangisini Seçmeli?

Oku Windows Server

Windows Server Hyper-V ile Sanallaştırma: Kurulum, Yönetim ve Best Practice

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi