Active Directory (AD), Microsoft Windows Server işletim sistemlerinde sunulan merkezi bir kimlik doğrulama ve dizin hizmetidir. Büyük ve orta ölçekli kuruluşların ağ kaynaklarını, kullanıcılarını, bilgisayarlarını ve diğer cihazlarını merkezi bir şekilde yönetmelerini sağlar. AD, ağdaki her şeyi bir nesne olarak ele alır ve bu nesneleri hiyerarşik bir yapıda düzenler. Bu sayede, BT yöneticileri ağ ortamını etkin ve güvenli bir şekilde denetleyebilirler. Active Directory, kimlik ve erişim yönetimi için vazgeçilmez bir temel oluşturarak, kurumsal ağların karmaşıklığını basitleştirir ve operasyonel verimliliği artırır.
Active Directory'nin Temel Bileşenleri ve Kavramları
AD'nin temel bileşenleri ve kavramları, bir yöneticinin sistemi anlaması ve verimli bir şekilde kullanması için kritik öneme sahiptir:
Kullanıcı ve Grup Yönetimi
Kullanıcı ve grup yönetimi, Active Directory yönetiminin temel taşlarından biridir ve BT yöneticilerinin günlük görevlerinin büyük bir bölümünü oluşturur. Kullanıcı hesapları oluşturmak, parolalarını sıfırlamak, hesap özelliklerini (örneğin, oturum açma saatleri, oturum açma bilgisayarları, kilitlenme eşikleri) yapılandırmak ve hesapları devre dışı bırakmak veya silmek rutin görevlerdir. Her kullanıcı hesabı, benzersiz bir güvenlik tanımlayıcısı (SID) ile ilişkilendirilir. Gruplar ise, kaynaklara (paylaşımlar, yazıcılar, uygulamalar) erişimi yönetmek için kullanılır. Güvenlik grupları ve dağıtım grupları olmak üzere iki ana grup türü vardır. Güvenlik grupları, izin atamaları için kullanılırken, dağıtım grupları genellikle e-posta dağıtım listeleri için kullanılır. Grupları kullanarak izinleri yönetmek, bireysel kullanıcılara izin atamaktan çok daha verimli ve hatasızdır.
Grup Politikası Nesneleri (GPO'lar)
GPO'lar, Active Directory ortamında kullanıcı ve bilgisayar ayarlarını merkezi olarak yapılandırmak için kullanılan güçlü araçlardır. Güvenlik politikaları, yazılım dağıtımı, masaüstü ayarları, ağ bağlantıları, sürücü eşlemeleri, başlangıç/kapatma komut dosyaları ve daha birçok ayar GPO'lar aracılığıyla uygulanabilir. GPO'lar, kuruluş birimlerine (OU), etki alanlarına veya sitelere bağlanabilir ve miras yoluyla alt öğelere etki edebilir. Bu, büyük ve karmaşık ağlarda tutarlı bir yapılandırma sağlamanın anahtarıdır. Örneğin, tüm kullanıcıların parola karmaşıklığı gereksinimlerini belirleyebilir, belirli yazılımların otomatik olarak yüklenmesini sağlayabilir veya USB bellek kullanımını kısıtlayabilirsiniz. GPO yönetimi, ayrıntılı planlama ve test gerektiren kritik bir alandır, zira yanlış yapılandırılmış bir GPO geniş çaplı sorunlara yol açabilir.
DNS Entegrasyonu
Active Directory, DNS'e sıkı sıkıya bağlıdır ve onsuz işlev göremez. Etki alanı denetleyicileri (DC'ler) ve diğer AD hizmetleri, DNS kayıtları aracılığıyla bulunur. Bir etki alanı denetleyicisi, kendisine atanmış hizmet kayıtlarını (SRV kayıtları) dinamik olarak DNS'e kaydeder. Bu, istemcilerin bir DC'yi veya diğer AD hizmetlerini (örneğin, Kerberos, LDAP) kolayca bulmasını sağlar. Bu nedenle, DNS'in doğru yapılandırılması (özellikle dinamik güncelleştirmelerin etkinleştirilmesi ve DNS bölgelerinin AD entegre olması) ve sağlıklı çalışması, AD ortamının istikrarı için hayati önem taşır. Yanlış yapılandırılmış DNS, oturum açma sorunları, yavaş ağ performansı, çoğaltma sorunları ve diğer birçok AD ile ilgili probleme yol açabilir. DNS sunucularının DC'ler üzerinde çalıştırılması genellikle en iyi uygulamadır.
Güven İlişkileri (Trust Relationships)
Güven ilişkileri, farklı etki alanları veya ormanlar arasındaki kimlik doğrulama akışını sağlar. Bir etki alanındaki kullanıcıların başka bir etki alanındaki kaynaklara erişmesine olanak tanır. Güven ilişkileri tek yönlü veya çift yönlü, geçişli (transitive) veya geçişli olmayan olabilir. Örneğin, bir alt etki alanı varsayılan olarak üst etki alanına iki yönlü, geçişli bir güven ilişkisine sahiptir, bu da her iki yönde de kimlik doğrulama taleplerinin geçmesine izin verir. Farklı şirketler birleştiğinde veya ayrı ormanlar arasında kaynak paylaşımı gerektiğinde güven ilişkileri kurulur. Güven ilişkileri, karmaşık kurumsal yapılarda esnek ve güvenli erişim sağlamak için kullanılır, ancak doğru yapılandırılmazsa güvenlik riskleri oluşturabilirler.
Active Directory Güvenliği İçin En İyi Uygulamalar
Active Directory güvenliği, tüm ağ güvenliği stratejisinin temelidir, çünkü AD genellikle bir saldırganın ana hedefidir. İşte bazı önemli en iyi uygulamalar:
Yedekleme ve Kurtarma
Active Directory veritabanı (NTDS.dit), tüm kritik yapılandırma ve kimlik bilgilerini içerir. Bu veritabanının düzenli olarak yedeklenmesi ve bir felaket durumunda (örneğin, donanım arızası, veri bozulması, yanlışlıkla silme) geri yüklenebilmesi hayati önem taşır. Sistem durumu yedeklemeleri (System State Backup), etki alanı denetleyicisini ve AD veritabanını kurtarmak için kullanılabilir. Yetkili geri yükleme (Authoritative Restore) ve yetkisiz geri yükleme (Non-Authoritative Restore) olmak üzere iki ana kurtarma türü vardır. Yetkili geri yükleme, silinen bir nesneyi geri getirmek veya bir GPO'yu önceki bir duruma döndürmek için kullanılırken, yetkisiz geri yükleme genellikle tam bir etki alanı denetleyicisi arızasından sonra ilk DC'yi kurtarmak için kullanılır. Kurtarma planlarının düzenli olarak test edilmesi, acil bir durumda başarılı bir kurtarma için kritik öneme sahiptir.
İzleme (Monitoring)
Active Directory ortamının sağlıklı çalışıp çalışmadığını izlemek, potansiyel sorunları proaktif olarak tespit etmek için önemlidir. Olay günlüklerini (Güvenlik, Dizin Hizmeti, DNS Sunucusu), performans sayaçlarını ve çoğaltma sağlığını izlemek temel izleme faaliyetleridir. PowerShell cmdlet'leri veya üçüncü taraf izleme araçları bu süreçte yardımcı olabilir. Özellikle SYSVOL çoğaltma durumu, FSMO rolleri ve DNS kaydı tutarlılığı dikkatle izlenmelidir. Performans sayaçları, DC'lerin CPU, bellek, disk ve ağ kullanımını göstererek darboğazları tespit etmede yardımcı olur. Sürekli izleme, olası güvenlik ihlallerini veya performans düşüşlerini erkenden belirlemeye olanak tanır.
PowerShell ile Active Directory Yönetimi
PowerShell, Active Directory yönetimini otomatikleştirmek ve basitleştirmek için güçlü ve vazgeçilmez bir araçtır. `ActiveDirectory` modülü, kullanıcılar, gruplar, bilgisayarlar, OUs ve GPO'lar dahil olmak üzere AD nesnelerini yönetmek için yüzlerce cmdlet sağlar. Tekrarlayan görevleri otomatikleştirmek, toplu değişiklikler yapmak, raporlar oluşturmak ve karmaşık sorgular çalıştırmak için PowerShell betikleri yazılabilir. Bu, BT yöneticilerinin zamanını önemli ölçüde tasarruf etmelerini ve hata oranını azaltmalarını sağlar.
PowerShell, hem günlük yönetim görevleri hem de karmaşık otomasyon senaryoları için vazgeçilmez bir araçtır ve her AD yöneticisinin derinlemesine öğrenmesi gereken bir beceridir.
Yaygın Sorunlar ve Sorun Giderme
Active Directory ortamında karşılaşılabilecek yaygın sorunlar arasında oturum açma hataları, yavaş ağ performansı, çoğaltma sorunları, DNS çözümleme hataları, GPO uygulama sorunları ve FSMO rolü erişilebilirlik sorunları bulunur. Bu sorunların çoğu, aşağıdaki adımlarla sistematik bir şekilde giderilebilir:
Sonuç
Active Directory, modern kurumsal BT altyapılarının temel taşıdır. Kullanıcı ve bilgisayar yönetiminden güvenlik politikalarına, kaynak erişiminden otomasyona kadar birçok kritik işlevi yerine getirir. AD'nin etkin ve güvenli bir şekilde yönetilmesi, bir kuruluşun operasyonel verimliliği ve siber güvenlik duruşu için hayati öneme sahiptir. Düzenli bakım, kapsamlı izleme, titiz yedekleme ve kurtarma planlarının uygulanması, sağlam bir AD ortamının sürdürülmesinde kilit rol oynar. BT profesyonelleri için Active Directory'ye hakim olmak, günümüzün ağ ortamlarında vazgeçilmez bir beceridir ve sürekli öğrenme ve adaptasyon gerektiren dinamik bir alandır. Gelecekte hibrit bulut ortamlarıyla birlikte Active Directory'nin rolü daha da evrilecek ve yöneticilerin hem şirket içi hem de bulut tabanlı kimlik çözümlerini (örneğin, Azure Active Directory) bir arada yönetme yeteneği kazanmaları gerekecektir. Azure AD Connect gibi araçlar bu entegrasyonu kolaylaştırmaktadır. AD yönetiminde otomasyonun önemi giderek artmaktadır; PowerShell scriptleri ve otomasyon platformları, yöneticilerin tekrarlayan görevleri ortadan kaldırarak daha stratejik işlere odaklanmalarını sağlamaktadır. Ayrıca, siber güvenlik tehditlerinin artmasıyla birlikte AD güvenliği, her zamankinden daha fazla dikkat gerektirmektedir. Ayrıcalıklı erişim yönetimi, parola politikaları, sıkı kimlik doğrulama ve sürekli izleme, AD altyapısını kötü niyetli saldırılardan korumanın temel taşlarıdır. Active Directory'nin doğru yönetimi, bir kuruluşun dijital varlıklarının güvenliğini ve erişilebilirliğini doğrudan etkiler.
Active Directory'nin Temel Bileşenleri ve Kavramları
AD'nin temel bileşenleri ve kavramları, bir yöneticinin sistemi anlaması ve verimli bir şekilde kullanması için kritik öneme sahiptir:
- Domain (Etki Alanı): Ortak bir veritabanını paylaşan ve aynı güvenlik politikalarına tabi olan bir grup bilgisayar ve kullanıcıdır. Bir etki alanı, birincil yönetim birimi olarak işlev görür ve tüm kullanıcı hesapları, bilgisayar hesapları, gruplar ve diğer nesneler bu etki alanı içinde barındırılır. Her etki alanının benzersiz bir DNS adı (örneğin, example.com) bulunur.
- Forest (Orman): Bir veya daha fazla güven ilişkisi içinde olan etki alanlarının koleksiyonudur. Bir orman içindeki tüm etki alanları ortak bir şemayı, genel kataloğu ve yapılandırma bölümünü paylaşır. Orman, bir Active Directory yapısının en üst düzey hiyerarşik birimidir ve kuruluşun tüm AD kaynaklarını kapsar.
- Tree (Ağaç): Ortak bir ad alanı paylaşan bir veya daha fazla etki alanının hiyerarşik bir koleksiyonudur. Örneğin, ana etki alanı example.com ise, alt etki alanları (örneğin, ankara.example.com) bu ağacın dallarını oluşturur.
- Organizational Unit (OU - Kuruluş Birimi): Etki alanı içindeki nesneleri (kullanıcılar, gruplar, bilgisayarlar vb.) düzenlemek için kullanılan bir kapsayıcıdır. OU'lar, yönetim yetkisini devretmek ve Grup Politikası Nesnelerini (GPO'lar) belirli nesne gruplarına uygulamak için idealdir. Örneğin, bir departman için ayrı bir OU oluşturulabilir.
- Schema (Şema): AD veritabanında depolanabilecek nesne türlerini (örneğin, kullanıcı, bilgisayar, grup) ve bu nesnelerin sahip olabileceği öznitelikleri (örneğin, ad, soyad, e-posta adresi) tanımlayan kurallar bütünüdür. Şema, orman düzeyinde benzersizdir ve tüm etki alanları tarafından paylaşılır. Şema değişiklikleri genellikle dikkatli bir planlama gerektirir.
- Global Catalog (Genel Katalog): Ormandaki tüm nesnelerin bir kısmını içeren ve sık kullanılan öznitelikler için hızlı arama sağlayan bir sunucu rolüdür. Kullanıcıların orman içindeki herhangi bir etki alanındaki nesneleri bulmasını sağlar ve oturum açma süreçlerinde kritik bir rol oynar.
- Domain Name System (DNS): Active Directory'nin çalışması için kritik öneme sahiptir. AD, etki alanı denetleyicilerini (DC'ler) ve diğer hizmetleri bulmak için DNS'i kullanır. DC'ler, kendi hizmet kayıtlarını (SRV kayıtları) DNS'e kaydeder, bu da istemcilerin DC'leri kolayca bulmasını sağlar. DNS'in doğru yapılandırılması ve sağlıklı çalışması, AD ortamının istikrarı için hayati önem taşır.
Kullanıcı ve Grup Yönetimi
Kullanıcı ve grup yönetimi, Active Directory yönetiminin temel taşlarından biridir ve BT yöneticilerinin günlük görevlerinin büyük bir bölümünü oluşturur. Kullanıcı hesapları oluşturmak, parolalarını sıfırlamak, hesap özelliklerini (örneğin, oturum açma saatleri, oturum açma bilgisayarları, kilitlenme eşikleri) yapılandırmak ve hesapları devre dışı bırakmak veya silmek rutin görevlerdir. Her kullanıcı hesabı, benzersiz bir güvenlik tanımlayıcısı (SID) ile ilişkilendirilir. Gruplar ise, kaynaklara (paylaşımlar, yazıcılar, uygulamalar) erişimi yönetmek için kullanılır. Güvenlik grupları ve dağıtım grupları olmak üzere iki ana grup türü vardır. Güvenlik grupları, izin atamaları için kullanılırken, dağıtım grupları genellikle e-posta dağıtım listeleri için kullanılır. Grupları kullanarak izinleri yönetmek, bireysel kullanıcılara izin atamaktan çok daha verimli ve hatasızdır.
Kod:
# Yeni bir kullanıcı oluşturma örneği (PowerShell)
New-ADUser -Name "Ayşe Yılmaz" -GivenName "Ayşe" -Surname "Yılmaz" -DisplayName "Ayşe Yılmaz" `
-SamAccountName "ayilmaz" -UserPrincipalName "ayilmaz@example.com" `
-Enabled $true -AccountPassword (Read-Host -AsSecureString "Kullanıcı için bir parola girin: ")
# Mevcut bir kullanıcının parolasını sıfırlama
Set-ADAccountPassword -Identity "ayilmaz" -NewPassword (Read-Host -AsSecureString "Yeni parola: ") -PassThru | Set-ADUser -Enabled $true
# Bir grubu oluşturma ve kullanıcı ekleme
New-ADGroup -Name "IT Destek" -GroupCategory Security -GroupScope Global -Path "OU=Gruplar,DC=example,DC=com"
Add-ADGroupMember -Identity "IT Destek" -Members "ayilmaz"Grup Politikası Nesneleri (GPO'lar)
GPO'lar, Active Directory ortamında kullanıcı ve bilgisayar ayarlarını merkezi olarak yapılandırmak için kullanılan güçlü araçlardır. Güvenlik politikaları, yazılım dağıtımı, masaüstü ayarları, ağ bağlantıları, sürücü eşlemeleri, başlangıç/kapatma komut dosyaları ve daha birçok ayar GPO'lar aracılığıyla uygulanabilir. GPO'lar, kuruluş birimlerine (OU), etki alanlarına veya sitelere bağlanabilir ve miras yoluyla alt öğelere etki edebilir. Bu, büyük ve karmaşık ağlarda tutarlı bir yapılandırma sağlamanın anahtarıdır. Örneğin, tüm kullanıcıların parola karmaşıklığı gereksinimlerini belirleyebilir, belirli yazılımların otomatik olarak yüklenmesini sağlayabilir veya USB bellek kullanımını kısıtlayabilirsiniz. GPO yönetimi, ayrıntılı planlama ve test gerektiren kritik bir alandır, zira yanlış yapılandırılmış bir GPO geniş çaplı sorunlara yol açabilir.
DNS Entegrasyonu
Active Directory, DNS'e sıkı sıkıya bağlıdır ve onsuz işlev göremez. Etki alanı denetleyicileri (DC'ler) ve diğer AD hizmetleri, DNS kayıtları aracılığıyla bulunur. Bir etki alanı denetleyicisi, kendisine atanmış hizmet kayıtlarını (SRV kayıtları) dinamik olarak DNS'e kaydeder. Bu, istemcilerin bir DC'yi veya diğer AD hizmetlerini (örneğin, Kerberos, LDAP) kolayca bulmasını sağlar. Bu nedenle, DNS'in doğru yapılandırılması (özellikle dinamik güncelleştirmelerin etkinleştirilmesi ve DNS bölgelerinin AD entegre olması) ve sağlıklı çalışması, AD ortamının istikrarı için hayati önem taşır. Yanlış yapılandırılmış DNS, oturum açma sorunları, yavaş ağ performansı, çoğaltma sorunları ve diğer birçok AD ile ilgili probleme yol açabilir. DNS sunucularının DC'ler üzerinde çalıştırılması genellikle en iyi uygulamadır.
Güven İlişkileri (Trust Relationships)
Güven ilişkileri, farklı etki alanları veya ormanlar arasındaki kimlik doğrulama akışını sağlar. Bir etki alanındaki kullanıcıların başka bir etki alanındaki kaynaklara erişmesine olanak tanır. Güven ilişkileri tek yönlü veya çift yönlü, geçişli (transitive) veya geçişli olmayan olabilir. Örneğin, bir alt etki alanı varsayılan olarak üst etki alanına iki yönlü, geçişli bir güven ilişkisine sahiptir, bu da her iki yönde de kimlik doğrulama taleplerinin geçmesine izin verir. Farklı şirketler birleştiğinde veya ayrı ormanlar arasında kaynak paylaşımı gerektiğinde güven ilişkileri kurulur. Güven ilişkileri, karmaşık kurumsal yapılarda esnek ve güvenli erişim sağlamak için kullanılır, ancak doğru yapılandırılmazsa güvenlik riskleri oluşturabilirler.
Active Directory Güvenliği İçin En İyi Uygulamalar
Active Directory güvenliği, tüm ağ güvenliği stratejisinin temelidir, çünkü AD genellikle bir saldırganın ana hedefidir. İşte bazı önemli en iyi uygulamalar:
- Ayrıcalıklı Hesap Yönetimi (PAM - Privileged Access Management): Yönetici hesaplarını sıkı bir şekilde denetleyin ve mümkün olduğunca az ayrıcalıkla çalışın. Ayrıcalıklı hesapları günlük kullanımdan ayırın ve yalnızca gerekli görevler için kullanın. Just-in-Time (JIT) erişim modellerini değerlendirin.
- Parola Politikaları: Güçlü parola politikaları uygulayın (karmaşıklık, uzunluk, yaşlanma, geçmiş). Parola güvenliğini artırmak için parola filtresi DLL'leri veya üçüncü taraf araçlar kullanılabilir.
- Hesap Kilitleme Politikaları: Brute-force saldırılarını önlemek için hesap kilitleme eşiklerini ve sürelerini ayarlayın. Ancak, DoS saldırılarına karşı dikkatli olunmalıdır.
- GPO Güvenliği: GPO'ları dikkatli bir şekilde yapılandırın ve sadece gerekli izinlere sahip kişilerin GPO'ları düzenlemesine izin verin. GPO'ların uygulama önceliği ve filtrelemesi kritik öneme sahiptir.
- Sıkı Kimlik Doğrulama: Çok faktörlü kimlik doğrulamayı (MFA) mümkün olan her yerde, özellikle ayrıcalıklı hesaplar ve dışarıdan erişim için uygulayın.
- Olay Günlüğü İzleme: Güvenlik olay günlüklerini (özellikle 4624, 4625, 4720, 4732, 4740 gibi kritik olay ID'leri) düzenli olarak izleyin ve anormal aktiviteleri (örneğin, başarısız oturum açma girişimleri, hesap kilitlemeleri, yetkisiz değişiklikler) tespit edin. SIEM çözümleri bu konuda yardımcı olabilir.
- Etki Alanı Denetleyicilerinin Fiziksel ve Ağ Güvenliği: DC'lere fiziksel erişimi kısıtlayın. Ağda DC'ler için özel bir VLAN kullanın ve güvenlik duvarı kuralları ile yalnızca gerekli protokol trafiğine izin verin.
- Yedekleme ve Kurtarma: Düzenli olarak sistem durumu yedeklemeleri yapın ve kurtarma planlarını test edin. AD veritabanının (NTDS.dit) bozulması veya kaybı felaketle sonuçlanabilir.
- Güvenlik Güncelleştirmeleri: Tüm etki alanı denetleyicileri ve üye sunucularda işletim sistemi ve AD ile ilgili tüm güvenlik güncellemelerini düzenli olarak uygulayın.
Yedekleme ve Kurtarma
Active Directory veritabanı (NTDS.dit), tüm kritik yapılandırma ve kimlik bilgilerini içerir. Bu veritabanının düzenli olarak yedeklenmesi ve bir felaket durumunda (örneğin, donanım arızası, veri bozulması, yanlışlıkla silme) geri yüklenebilmesi hayati önem taşır. Sistem durumu yedeklemeleri (System State Backup), etki alanı denetleyicisini ve AD veritabanını kurtarmak için kullanılabilir. Yetkili geri yükleme (Authoritative Restore) ve yetkisiz geri yükleme (Non-Authoritative Restore) olmak üzere iki ana kurtarma türü vardır. Yetkili geri yükleme, silinen bir nesneyi geri getirmek veya bir GPO'yu önceki bir duruma döndürmek için kullanılırken, yetkisiz geri yükleme genellikle tam bir etki alanı denetleyicisi arızasından sonra ilk DC'yi kurtarmak için kullanılır. Kurtarma planlarının düzenli olarak test edilmesi, acil bir durumda başarılı bir kurtarma için kritik öneme sahiptir.
İzleme (Monitoring)
Active Directory ortamının sağlıklı çalışıp çalışmadığını izlemek, potansiyel sorunları proaktif olarak tespit etmek için önemlidir. Olay günlüklerini (Güvenlik, Dizin Hizmeti, DNS Sunucusu), performans sayaçlarını ve çoğaltma sağlığını izlemek temel izleme faaliyetleridir. PowerShell cmdlet'leri veya üçüncü taraf izleme araçları bu süreçte yardımcı olabilir. Özellikle SYSVOL çoğaltma durumu, FSMO rolleri ve DNS kaydı tutarlılığı dikkatle izlenmelidir. Performans sayaçları, DC'lerin CPU, bellek, disk ve ağ kullanımını göstererek darboğazları tespit etmede yardımcı olur. Sürekli izleme, olası güvenlik ihlallerini veya performans düşüşlerini erkenden belirlemeye olanak tanır.
PowerShell ile Active Directory Yönetimi
PowerShell, Active Directory yönetimini otomatikleştirmek ve basitleştirmek için güçlü ve vazgeçilmez bir araçtır. `ActiveDirectory` modülü, kullanıcılar, gruplar, bilgisayarlar, OUs ve GPO'lar dahil olmak üzere AD nesnelerini yönetmek için yüzlerce cmdlet sağlar. Tekrarlayan görevleri otomatikleştirmek, toplu değişiklikler yapmak, raporlar oluşturmak ve karmaşık sorgular çalıştırmak için PowerShell betikleri yazılabilir. Bu, BT yöneticilerinin zamanını önemli ölçüde tasarruf etmelerini ve hata oranını azaltmalarını sağlar.
Kod:
# Tüm etki alanı denetleyicilerini listeleme
Get-ADDomainController -Filter * | Select-Object Name, HostName, IPv4Address, IsGlobalCatalog, OperatingSystem
# Belirli bir OU'daki tüm kullanıcıları listeleme ve çıktıya kaydetme
Get-ADUser -Filter * -SearchBase "OU=Pazarlama,OU=Kullanıcılar,DC=example,DC=com" | `
Select-Object Name, SamAccountName, Enabled, LastLogonDate | Export-Csv -Path "C:\Temp\PazarlamaKullanicilari.csv" -NoTypeInformation
# Süresi dolan kullanıcıları bulma ve raporlama
Search-ADAccount -AccountExpired -UsersOnly | Select-Object Name, SamAccountName, Enabled, AccountExpirationDate | `
Format-Table -AutoSize
# Yeni bir güvenlik grubu oluşturma ve açıklama ekleme
New-ADGroup -Name "Yöneticiler" -GroupCategory Security -GroupScope Global -DisplayName "Kurumsal Yöneticiler Grubu" -Description "Tüm sunucular üzerinde yönetici yetkisi olan kullanıcıları içerir."Yaygın Sorunlar ve Sorun Giderme
Active Directory ortamında karşılaşılabilecek yaygın sorunlar arasında oturum açma hataları, yavaş ağ performansı, çoğaltma sorunları, DNS çözümleme hataları, GPO uygulama sorunları ve FSMO rolü erişilebilirlik sorunları bulunur. Bu sorunların çoğu, aşağıdaki adımlarla sistematik bir şekilde giderilebilir:
- DNS Kontrolleri: DNS kayıtlarının doğruluğunu ve DC'lerin DNS'e doğru bir şekilde kaydedildiğini kontrol edin. `nslookup`, `ipconfig /all`, `dcdiag /test:dns` gibi araçları kullanın. DNS önbelleğini temizlemek ve DNS sunucularını kontrol etmek önemlidir.
- Çoğaltma Kontrolleri: `repadmin /showrepl` ve `repadmin /syncall` komutları ile çoğaltma durumunu izleyin ve sorunları giderin. Çoğaltma sorunları, AD veritabanındaki tutarsızlıklara ve kullanıcıların farklı DC'lerde farklı deneyimler yaşamasına yol açabilir.
- Olay Günlükleri: Sunucu üzerindeki olay günlüklerini (Dizin Hizmeti, DNS Sunucusu, Güvenlik, Sistem) dikkatlice inceleyin. Hata ve uyarı kodları genellikle sorunun kaynağına işaret eder. Olay Görüntüleyici'deki filtreleme özellikleri, ilgili olayları bulmada yardımcı olur.
- FSMO Rolleri: FSMO (Flexible Single Master Operation) rollerinin durumunu ve erişilebilirliğini doğrulayın (`netdom query fsmo` komutu ile). Bu rollerin düzgün çalışmaması ciddi aksaklıklara (örneğin, yeni etki alanı denetleyicisi ekleyememe, parola sıfırlama sorunları) yol açabilir.
- Ağ Bağlantısı: DC'ler arasındaki ağ bağlantısının ve güvenlik duvarı kurallarının doğru yapılandırıldığından emin olun. Gerekli portların (LDAP için 389, Global Catalog için 3268, Kerberos için 88 vb.) açık olduğundan emin olun.
- Saat Senkronizasyonu: Kerberos kimlik doğrulaması için kritik olan saat senkronizasyonunu kontrol edin. Tüm DC'ler ve istemciler belirli bir saat kaynağıyla (genellikle PDC Emulator rolü) senkronize olmalıdır. `w32tm /query /status` komutunu kullanabilirsiniz.
Sonuç
Active Directory, modern kurumsal BT altyapılarının temel taşıdır. Kullanıcı ve bilgisayar yönetiminden güvenlik politikalarına, kaynak erişiminden otomasyona kadar birçok kritik işlevi yerine getirir. AD'nin etkin ve güvenli bir şekilde yönetilmesi, bir kuruluşun operasyonel verimliliği ve siber güvenlik duruşu için hayati öneme sahiptir. Düzenli bakım, kapsamlı izleme, titiz yedekleme ve kurtarma planlarının uygulanması, sağlam bir AD ortamının sürdürülmesinde kilit rol oynar. BT profesyonelleri için Active Directory'ye hakim olmak, günümüzün ağ ortamlarında vazgeçilmez bir beceridir ve sürekli öğrenme ve adaptasyon gerektiren dinamik bir alandır. Gelecekte hibrit bulut ortamlarıyla birlikte Active Directory'nin rolü daha da evrilecek ve yöneticilerin hem şirket içi hem de bulut tabanlı kimlik çözümlerini (örneğin, Azure Active Directory) bir arada yönetme yeteneği kazanmaları gerekecektir. Azure AD Connect gibi araçlar bu entegrasyonu kolaylaştırmaktadır. AD yönetiminde otomasyonun önemi giderek artmaktadır; PowerShell scriptleri ve otomasyon platformları, yöneticilerin tekrarlayan görevleri ortadan kaldırarak daha stratejik işlere odaklanmalarını sağlamaktadır. Ayrıca, siber güvenlik tehditlerinin artmasıyla birlikte AD güvenliği, her zamankinden daha fazla dikkat gerektirmektedir. Ayrıcalıklı erişim yönetimi, parola politikaları, sıkı kimlik doğrulama ve sürekli izleme, AD altyapısını kötü niyetli saldırılardan korumanın temel taşlarıdır. Active Directory'nin doğru yönetimi, bir kuruluşun dijital varlıklarının güvenliğini ve erişilebilirliğini doğrudan etkiler.
