🔧 Active Directory Domain Services (AD DS) Nedir?
AD DS, Windows Domain yapısının temelidir. Ağda bulunan tüm nesnelerin (kullanıcılar, bilgisayarlar, yazıcılar, paylaşımlar vs.) bilgisini tutan bir katalog gibi çalışır.
👤 Kullanıcılar (Users)
Active Directory'deki en yaygın nesne türlerinden biridir.
-
Güvenlik İlkesi (Security Principal): Kullanıcılar, domain'e giriş yapabilen, kimlik doğrulaması yapılabilen ve dosya/yazıcı gibi kaynaklara erişim hakkı atanabilen varlıklardır.
Kullanıcılar 2 tür varlığı temsil edebilir:
-
Gerçek Kişiler: Çalışanlar, personel vb.
-
Servis Kullanıcıları: MSSQL, IIS gibi hizmetlerin çalışması için kullanılan hesaplar. Bu hesaplar sadece kendi hizmeti için gerekli izinlere sahiptir.
🖥️ Bilgisayarlar (Machines)
Her domain'e katılan bilgisayar için AD'de otomatik olarak bir bilgisayar nesnesi (machine object) oluşturulur.
-
Bilgisayarlar da birer güvenlik ilkesi sayılır.
-
Her bilgisayarın bir hesabı vardır.
-
Bu hesaplar, bilgisayarın kendisi tarafından kullanılır. Genellikle insanlar doğrudan bu hesapla giriş yapmaz.
-
Şifreleri otomatik olarak değiştirilir ve genelde 120 karakterlik rastgele parolalardır.
-
Hesap isimleri genelde şöyle olur:
BILGISAYARADI$(örnek:DC01$).
👥 Güvenlik Grupları (Security Groups)
Windows'ta, kullanıcıları gruplara koyarak kaynaklara erişimi daha kolay yönetebilirsin.
-
Örneğin bir dosya klasörüne “Satış” grubuna erişim verirsen, bu gruba yeni biri eklenince erişim otomatik sağlanır.
-
Gruplar da birer güvenlik ilkesi sayılır.
-
Hem kullanıcıları, hem de bilgisayarları içerebilirler. Hatta başka gruplar bile grup içine eklenebilir.
Domain’de varsayılan gelen bazı önemli gruplar:
| Grup Adı | Açıklama |
|---|---|
| Domain Admins | Tüm domain üzerinde tam yetkilidir. Her bilgisayarı yönetebilir. |
| Server Operators | Domain Controller'ları yönetebilir ama grup üyeliklerini değiştiremez. |
| Backup Operators | Tüm dosyalara erişebilir, yedekleme amaçlıdır. |
| Account Operators | Yeni kullanıcı oluşturabilir ya da var olanları düzenleyebilir. |
| Domain Users | Domain'e kayıtlı tüm kullanıcıları içerir. |
| Domain Computers | Domain'e kayıtlı tüm bilgisayarları içerir. |
| Domain Controllers | Tüm DC'leri (domain controller) içerir. |
🧭 Active Directory Users and Computers (ADUC)
Kullanıcıları, grupları ve bilgisayarları yönetmek için kullanılır. DC (Domain Controller) üzerinden başlatılır.
-
Menüden:
Başlat > Active Directory Users and Computers -
Bu araçla: kullanıcı oluşturma, silme, şifre sıfırlama, grup atamaları yapılabilir.
🗂️ Organizational Units (OUs) - Organizasyon Birimleri
-
OUs, AD içindeki mantıksal bölmelerdir.
-
Genellikle şirket organizasyonuna göre yapılandırılır (Satış, IT, Yönetim gibi).
-
Policy (GPO) uygulamak için kullanılır.
-
Bir kullanıcı sadece 1 OU’ya ait olabilir.
-
Örnek:
THMadlı OU altındaIT,Sales,Marketing,Managementolabilir. -
Eğlencelik olarak
Studentsadında bir OU bile oluşturabilirsin.
Varsayılan Gelen Kapsayıcılar:
| Kapsayıcı | Açıklama |
|---|---|
| Builtin | Tüm Windows sistemlerinde bulunan temel gruplar. |
| Computers | Domain'e katılan makineler buraya düşer. |
| Domain Controllers | DC’ler burada yer alır. |
| Users | Varsayılan kullanıcı ve gruplar. |
| Managed Service Accounts | Hizmetlerin kullandığı servis hesapları. |
📌 Security Groups vs OUs - Fark Nedir?
| Özellik | Security Groups | OUs |
|---|---|---|
| Amaç | Kaynaklara erişim izni vermek | Politikaları uygulamak |
| Üyelik | Bir kullanıcı birden fazla gruba üye olabilir | Bir kullanıcı sadece bir OU’da olabilir |
| Kapsam | Dosya, klasör, yazıcı gibi kaynaklara erişim kontrolü | GPO (Group Policy) ile yapılandırma ve kısıtlama |
| Yapı | Düz mantık (liste gibi) | Hiyerarşik mantık (organizasyon gibi) |