trees, forests, trusts

 

Domain, Tree ve Forest Yapıları – Gelişen Ağ Altyapıları

Şimdiye kadar tek bir domain'in nasıl yönetildiğini, Domain Controller’ın (DC) ne işe yaradığını ve bilgisayar, sunucu ve kullanıcıların bu domain'e nasıl katıldığını inceledik.

🔸 Tekil Domain (Single Domain)

Başlangıçta, tek bir domain şirket ağı için yeterlidir. Ancak şirket büyüdükçe, ağın karmaşıklığı da artar. Zamanla, farklı güvenlik ihtiyaçları, bölgesel yönetim gereksinimleri ve uyumluluk kuralları gibi etkenler nedeniyle birden fazla domain’e ihtiyaç duyulabilir.

🌳 Tree (Ağaç) Yapısı

Örneğin, şirketinizin başka bir ülkeye genişlediğini düşünelim. Yeni ülkenin farklı kanun ve düzenlemeleri olabilir. Bu nedenle, Group Policy Object’larınızı (GPO) bu ülkenin koşullarına göre özelleştirmeniz gerekir. Ayrıca, her iki ülkede de ayrı IT ekipleriniz olur ve her ekip sadece kendi ülkesindeki kaynakları yönetmelidir.

Bunu tek bir domain altında karmaşık Organizational Unit (OU) yapıları ve yetki devri (delegation) ile çözmek mümkündür. Ancak bu yapı çok büyüdükçe yönetimi zorlaşır ve hata yapma olasılığı artar.

İşte bu noktada Active Directory, birden fazla domain’in bir arada yönetilebilmesini sağlar. Aynı namespace'i (örneğin thm.local) paylaşan birden fazla domain, bir Tree (ağaç) yapısı altında birleştirilebilir.

Örnek:
Ana domain thm.local, iki alt domain’e ayrılır:

  • uk.thm.local (Birleşik Krallık şubesi)

  • us.thm.local (ABD şubesi)

Her alt domain'in kendi AD veritabanı, kullanıcıları ve bilgisayarları olur.

Bu yapı ne sağlar?

  • Yetki ayrımı: UK’deki bir domain yöneticisi sadece uk.thm.local domain’ini yönetebilir. ABD domain’ine müdahale edemez.

  • Yalıtılmış politika yönetimi: Her domain’e özel GPO’lar tanımlanabilir.

  • Yerel kontrol: Her bölgenin Domain Controller’ı sadece kendi kullanıcılarını ve sistemlerini yönetir.




👥 Enterprise Admins Grubu

Tree ve forest yapılarında yeni bir güvenlik grubu devreye girer:

  • Domain Admins: Yalnızca kendi domain’inde yönetici yetkisine sahiptir.

  • Enterprise Admins: Tüm domain’lerde yönetici yetkisi olan üst düzey kullanıcı grubudur.

Bu, merkezi bir yönetim noktası sağlar; örneğin, tüm yapıda geniş kapsamlı değişiklik yapacak biri bu grupta olmalıdır.

🌲 Forest (Orman) Yapısı

Bazı durumlarda farklı domain ağları tamamen farklı namespace’ler kullanır. Örneğin, şirketiniz başka bir firmayı (MHT Inc.) satın alır. Bu durumda:

  • thm.local → sizin ağınız

  • mht.corp → satın alınan şirketin ağı

Bu iki farklı tree yapısı (farklı namespace’lere sahip domain grupları) bir araya gelerek forest (orman) oluşturur.

Forest, birden fazla ağ ağacının (tree) oluşturduğu mantıksal bir yapıdır. Her tree kendi başına bağımsızdır ama forest altında merkezi olarak tanımlanabilir ve birbirleriyle ilişkilendirilebilir.

🤝 Trust Relationship (Güven İlişkisi)

Birden fazla domain’i tree ve forest yapısında birleştirmek, sistemleri bölümlere ayırarak yönetimi kolaylaştırır. Ancak, zaman zaman farklı domain’lerdeki kullanıcıların birbirlerinin kaynaklarına erişmesi gerekebilir.

İşte bu noktada devreye trust relationship (güven ilişkisi) girer.

Türleri:

  1. One-Way Trust (Tek Yönlü Güven)

    • Domain ADomain B'ye güveniyorsa, Domain B'deki kullanıcılar, Domain A’daki kaynaklara erişebilir.

    • Güven yönü ile erişim yönü ters çalışır.

  2. Two-Way Trust (Çift Yönlü Güven)

    • Her iki domain birbirine güveniyorsa, karşılıklı olarak kullanıcı yetkilendirmesi yapılabilir.

Not:

  • Trust oluşturmak, otomatik olarak erişim izni vermez.

  • Sadece kullanıcıları domain’ler arasında yetkilendirme şansı verir. Hangi kullanıcıya ne erişim verileceğine sistem yöneticisi karar verir.

📌 Özetle:

  • Tek bir domain yeterli olsa da, büyüyen şirketlerde Tree ve Forest yapıları ihtiyaç haline gelir.

  • Tree = aynı namespace altında bölünmüş domain’ler

  • Forest = farklı namespace’lere sahip birden fazla tree

  • Trust ilişkileri domain’ler arası iletişimi ve kaynak paylaşımını mümkün kılar ama erişimi yöneticiler belirler.

Labels: |