"Enter"a basıp içeriğe geçin

Active Directory Yönetimi – Bölüm 1

Last updated on 30 Aralık 2019

Active Directory; Microsoft tarafından Windows Server ve client ailesi sistemleri için tasarlanmış olup istemci, kullanıcı, yazıcı vb. bilgileri tutan dizin servisidir.  AD bir kimlik deposu değildir. AD ile uyumlu uygulamalar, AD’yi veri depolamak için de kullanılabilir. Bunun en güzel örneklerinden birisi sunucu yapılandırma bilgilerini AD’ye depolayan Exchange Serverdır. Aynı zamanda diğer Microsoft ürünleri de AD’yi kullanılırlar. Örneğin; System Center ailesi ürünlerinden SCCM gibi diğer uygulamalarda AD’ye bağımlıdır.

Active Directory, bir kurumun kalbi olarak nitelendirilebilir. Ağımız içerisinde ve dışarısında bulunan tehditlerin ilk hedefi etki alanı sunucumuzdur. AD denetleyicisinin denetimini ele geçiren bir saldırgan, kurumdaki tüm etki alanı denetimini ele alır. AD denetleyicisini kontrolüne alan kişi, AD alanındaki tüm kimlik doğrulama ve yetkilendirme süreçlerini de kontrolü altına almış demektir.

Güvenlik konusunda dikkat edilmesi gereken ilk yapılardan bir tanesidir. Oluşabilecek bütün ataklara karşı önlem alınması gerekmektedir. Birçok önlem alınarak bu gibi tehditlerin önüne geçilebilir. Bunlardan en çok tavsiye edileni rollerin dağıtılması, Server Core versiyonunun kullanılması (network, firewall gibi diğer katmanları düşünmeden) başı çekmektedir. Çünkü GUI ara yüzü ile kurulan bir sistem saldırıya daha çok açıktır. Server Core sürümün etki alanı denetleyicisi amacıyla kurulması bir çok yerde yazan/tavsiye edilen bir yapıdır. Neredeyse bütün portların kapalı olarak geldiği için sistemin güvenliği daha güçlü olarak sunulmaktadır.

Active Directory, doğrudan uzak masaüstü kullanarak oturum açmak yerine Powershell’i kullanarak AD yönetimi görevlerini uzaktan gerçekleştirmeliyiz. Tavsiye edilen 🙂 Biz uygulayacağımız konu anlatımlarında, örneklerde hem GUI hem de Powershell üzerinden işlemlerin nasıl gerçekleştirileceğini anlatmaya devam edeceğiz. Eğer Powershell kullanarak tüm yönetim işlemlerini uzaktan gerçekleştiriyorsak,  GUI ara yüzlü sistem yerine Server Core sürümünü kullanmamız çok fazla sorun olmayacaktır.

Uzak masaüstü üzerinden erişim sağlayarak işlemleri gerçekleştirmek, AD denetleyicisine kötü amaçlı yazılımların erişmesine neden olacaktır. Uzak masaüstü kullanarak sunucuda oturum açmış olan bir domain admin, DC üzerinden web tarayıcısını kullanarak internetten indireceği uygulama tüm sistemimizin sonuna getirebilecektir. Kendi kullanmış olduğu istemci üzerinden de uzak masaüstü yaptığı DC’ye malware vb. işlemlerine geçmesine neden olacaktır. Bu gibi durumların sektörde bir çok hikayesi vardır.

Konsollar üzerine genel bir kural, bir işlemi birden fazla kez yerine getiriyorsak kesinlikle konsol kullanmalıyız. Powershell kullanarak yapılacak işlemde acemiysek, karışıklık yaşama olasılığımız daha düşüktür. Bunun nedeni, konsol ile yapılan her işlem yanlış ise bizi yönlendirerektir, işlem boyunca bizlere yardımcı olacaktır. Aynı işlemi birden çok kez yapmamız gerekiyorsa ve buda artık tekrar tekrar yaparak aşina olduğumuz bir konu olduysa Powershell aracını kullanarak bunu otomatikleştirebiliriz.  Örneğin; günde 50’den fazla kullanıcı oluşturuyoruz bunu her seferinde GUI ara yüzünden yapmak yerine, yazacağımız basit bir script ile bir kerede gerçekleştirebiliriz.

AD yönetim görevlerini gerçekleştirmek için kullanabileceğimiz birkaç araç vardır. Bunlar;

  • Active Directory Administrative Center
  • Active Directory Users and Computers
  • Active Directory Sites and Services
  • Active Directory Domains and Tursts

Active Directory Administrative Center

Active Directory Adminsitrative Center (ADAC); kullanıcıları, bilgisayarları ve servis hesaplarını yönetmemizi, Recycle Bin gibi AD ile görevlerini yerine getirmemizi ve dinamik erişim denetimi gibi işlevlerimizi gerçekleştirmemizi sağlar. Microsoft, Active Directory ile ilgili işlemlerimiz için ADAC yönetim panelini kullanmamızı önerir.

ADAC, ilk olarak Windows 2000 ile yayınlanmıştır. Windows 2000’den bu zamana önemli ölçüde güncellemeler ve iyileştirmeler alarak en iyi işlevselliğe sahip konsol olarak anılmaktadır.

Aşağıdakileri yönetmek için Active Directory Administrative Center’i kullanabiliriz:

  • Users, computer and Service Accounts (Kullanıcı, bilgisayar ve servis hesapları)
  • Domain and Forest functional level (Etki alanı işlev düzeyleri)
  • Fine grained password policies (Dinamik parola politikaları)
  • Active Directory Recycle Bin GUI (AD geri dönüşüm kutusu)
  • Authentication Policies (Kimlik doğrulama politikaları)
  • Dynamic Access Control (Dinamik Erişim Protokolü)

ADAC, Powershell üzerine kuruludur. Yani uygulama tamamen PowerShell komutlarını oluşturmak ve devreye almak için grafik bir arayüz sağlar. Grafik arayüzde yapılandırdığımız bir görev gerçekleştirmek için hangi komutun kullanıldığını görmek için aşağıdaki Powershell History ekranı üzerinden görebiliriz. Buradan yapılan işlemlerde yaptığımız işlemin otomatikleştirmek için de bir adım atmamızı sağlar çünkü yapılan işlemi basitleştirir; kodu doğrudan Powershell geçmişinden kopyalayarak Powershell ISE gibi araçları kullanarak da gerçekleştirmemizi sağlar.

ADAC’ın en kullanışlı özelliklerinden biri de arama özelliğidir. Bu özelliği, belirli bir süre oturum açmamış kullanıcılar, parola politikamıza uygun olmayan parolalarla yapılandırılmış kullanıcılar, hesabı kilitlenmiş kullanıcılar gibi daha fazla dikkat gerektiren hesapları bulmak için kullanılabiliriz. ADAC’ın genel arama kriterleri temel alarak arama yapılabilir:

  • Devre dışı bırakılmış/devrede olan kullanıcılar
  • Parola süresi dolmuş olan kullanıcılar
  • Parolasının son kullanma tarihi olan/olmayan kullanıcılar
  • Hesabı kilitlenmiş kullanıcılar
  • Şu kadar gün oturum açmamış kullanıcılar
  • Belirtilen tarihler arasında belirtilen alanda güncelleme yapan kullanıcılar
  • Şurada belirtilen OU altında bulunan kullanıcılar
  • Diğerlerinden farklı parola politikası uygulanan kullanıcılar, güvenlik grupları
  • Adı, Açıklaması, Şehir, Departmanı, ilk Adı, Mesleği, Soyadı, samaccountname attribute gibi vb.

Active Directory Users and Computers

Active Directory Users and Computers aşağıdakileri içeren görevleri gerçekleştirmenize izin verir:

  • Yetkilendirme sihirbazı,
  • Farklı domainlerin kontrolü
  • Konsol üzerinden hangi DC üzerinden erişmek istediğimizi seçme
  • AD içerisinde belirtilen nesneleri bulma
  • AD işlev düzeyini yükseltme
  • RID Master, PDC Emulator ve Infrastructure Master FSMO rollerini yerini değiştirme
  • Aşağıda belirtilen alanları oluşturmamıza ve güncellememize;
    • Bilgisayar Hesapları
    • Kullanıcı Hesapları
    • Contacts (iletişim)
    • Grup
    • InetOrgPerson
    • msDS-ShadowPrincipalContainers
    • msImaging-PSPs
    • MSMQ Queue Alias
    • Organization Unit
    • Yazıcılar

Görünüm ayarlarından, Advanced Features özelliği işlevi, AD ortamının daha ayrıntılı görmemizi sağlar. Active Directory Users and Computers konsolunda, görünüm menüsünden bunu etkinleştirin. Bu görünümün etkilentirilmesi, standart görünümde görünmeyen, konteynırları görmemizi sağlar. Belirtilen özelliği açtıktan sonra AD Users and Computers’ı kullanarak aradığımız her şeyi bulabiliriz.

Yetkilendirme sihirbazı yalnızca AD Users and Computer’da kullanılabilir. Bu sihirbaz, DC ve OU üzerinde denetim yetkisi vermemize yarar. Örneğin belirli bir gurubun, belirtilen OU’da ki kullanıcıların parolalarını sıfırlama yetkisi tanımlanıp/geri alma işlemini gerçekleştirebiliriz. Bu özellikle bilgi teknolojileri bölümündeki personellerimize bir gruba ayrıcalıklar vererek devretmemize yardımcı olacaktır.

AD yönetim makele serimizin bir sonraki bölümünde görüşmek üzere,

Tek Yorum

  1. Ahmet
    Ahmet 4 Şubat 2020

    Emekleriniz için teşekkür ederim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.