.

Can's Windows Server Blog

Active Directory Sistem Hesaplarını Yönetmek

Managing Computer Accounts

Sistem hesaplarını yönetmek için öncelikle OU ları oluşturmamız gerekir. Ancak OU’ları neye göre oluşturacağız. Normalde Computer accounts (Sistem hesapları) default olarak Computers adı verilen default OU’ya giderler. DC’ler default olarak Domain Controller adı verilen OU’ya giderler.

Genel olarak client sistemler lokasyona göre alt gruplara böünürken server sistemler genellikle görevlerine göre alt gruplara bölünür.

AD içinde sistem hesabı oluşturma yollarından biride o sistemi domain e eklemektir.

AD DS de hesap oluşturmak için

  • Account Operators grubundan
  • Domain admin grubundan
  • Enterprise admin grubundan
  • veya yetkilendirilmiş bir hesabın kullanıcı adı ve şifresi gereklidir. Yetkilendirilmiş kullanıcılar 10 sisteme kadar sistem ekleyebilirler.

AD’de Sistem hesapları yaratılabilir, silinebilir veya taşınabilir.

Ayrıca “Offline Domain Join” kavramı vardır. Bu sistem yöneticisinin domaine alınacak sisteme fiziksel erişiminin olmadığı zamanlarda kullanılabilir.

Bu processte öncelikle ADde djoin.exe çalıştırılır.

PS C:\Users\Administrator> djoin.exe /Provision /Domain c1.local /Machine fs1 /savefile c:\fs1.local-join.txt

Provisioning the computer...
Successfully provisioned [fs1] in the domain [c1.local].
Provisioning data was saved successfully to [c:\fs1.local-join.txt].

Computer provisioning completed successfully.
The operation completed successfully.

Daha sonra oluşturduğumuz c:\fs1.local-join.txt dosyasını clienta gönderip import işlemini yapacağız.

djoin /requestODJ /LoadFile c:\fs1.local-join.txt /WindowsPath %systemroot%

bundan sonra client i reboot ederiz ve client domaine katılır.

Active Directory Grup Yönetimi

Öncelikle grup oluşturmadan bahsedeceğiz. Grup oluşturmadan en önemli nokta grubun nerede oluşturulacağıdır.

Resimde IT’ye sağ tıkladık “new–> group” seçtik ve bu pencere geldi. Şimdi Gruba bir isim vereceğiz ancak aynı zamanda grubun scope unu seçeceğiz. Burada eğer :

Global Group : Bunun içine başka kullanıcıları koyacağımız anlamına gelir.
Domain Local : bu grubu bazı kaynaklara erişim için izin vermek üzere kullanacağız anlamına gelir.
Universal grup : İçine Forest’tan kullanıcı ve grupları ekleyeceğimiz anlamına gelir.

Grup tipinde de

Security Group : içine ACL (Access List)
koyabileceğimiz veya yetkiler atayabileceğimiz anlamına gelir.
Distribution group: genellikle email için kullanılır ve yetki yoktur.

Grubun yerini ve tipini belirledik ve örnekte “IT Users” isminide verdikten sonra ok e basıp oluşturuyoruz. Daha sonra gruba sağ tıklayıp, yerini değiştirebiliriz (Move) veya içine başka grup ekleyebiliriz (nesting) veya diğer işlemleride yapabiliriz.

Grup işlemlerini Powershell ile de yapabiliriz.

Get-ADGroupMember : bir Grubun üyelerini görmek için.
Get-ADGroupMember -Identitiy administrators : Administrator grubunda kimler var görmek için.
Get-ADGroupMember -Identitiy “Enterprise Admins” -recursive : böylece hiyerarşik olarak Enterprise adminlerini görürüz.


Bir grubu restricted yapmakta mümkündür böylece içine kimse isteğimiz dışında atanamaz veya çıkarılamaz. Bunu Group Policy Management Editor ile yaparız. Genellikle en önemli hesaplar bu grupta bulunur.

Restricted Group ayarı :
Computer Configuration –> Policies–> Windows Settings –>Security Settings–>Restricted Groups

Az önce oluşturduğumuz “max muster” kullanıcısı eğer bu grupta değilse onu administrator olarak atayamayız. Atarsak geri çıkarılır. Veya içindeyse çıkarsakta geri alınır.Ama önce DC yi yeni kurduğumuzda korumak istediğimiz grupları buraya eklemeliyiz. Restricted grouplar sadece domain levelde mümkündür.

Ayrıca istersek gruplarda delegate yetkisi verebiliriz. Böylece her hangi bir kullanıcı o grubun üzerinde belirli işlemleri yapmaya yetkili olur. Bunu yapmak için grup ismine sağ tıklayıp “delegate control” seçip sonra wizard ı takip ediyoruz.

Bazı gruplar default olarak kurulmuştur.

Ayrıca protected grouplar mevcuttur. Protected gruplar OU da ki değişimlerden etkilenmezler. Bu grupların amacı policylerin kendilerine enforce edilmesini önlemektir.


Active Directory Groups

Kullanıcıları gruplar halinde yönetmek daha kolaydır. Kullanıcı grupları oluşturmak için ya “Domain admin”, “Account Operator”, “Enterprise Admin” veya “Hesap oluşturmak için izin verilmiş birisi” olması gerekmektedir.

Grup oluşturmadan önce grup tipine karar vermemiz gerekmektedir.

  • Distribution Grup : genellikle email uygulamalarınca kullanılmaktadır. SID yoktur ve security enabled değildir ve bu nedenle izinler buna tahsis edilemez.
  • Security Grup : SID tahsis edilmiştir ve bu nedenle izinler verilebilir. Ayrıca istenirse emailler içinde kullanılabilir.

Gruplar istenirse diğer tipe çevrilebilir yani istersek security grubunu distribution grubuna veya distribution grubunu security grubuna çevirebiliriz.

Grubu oluştururken karar vermemiz gereken bir diğer kavram grubun scope’u dur.

  • Domain Local : Domain Controller a local bir gruptur.
  • Global : Domain içinde kullanıcıları organize etmemizi sağlar
  • Universal : Tüm forest içinde kullanıcılarımızı organize etmemizi sağlar.

Global grup Universal gruba çevrilebilir. Universal grup ise hem domain local a hemde Global gruba çevrilebilir. Lokal sistemde oluşturulan local grup çevirelemez.

Grup yönetimi ve nesting uygulanması (burada İngilizce IGDLA Implementing Group Management and Nesting)

I= Identities, users or computers.
G= Global group ve üye rollerini baz alan üyler ve bu üye rolleride Domain Local grup üyeleridir.
DL = Domain Local Gruplar; bunlar yönetimi sağlar.
A = Assignment yani tahsis etme yetkilendirme.

İlk yapılması gereken hesapları belirlemek ve oluşturmak. Sonra bu hesapları gruplara ekleyeceğiz. Global grup genellikle bir domain için kullanıcı ve bilgisayarların toplanma grubudur. Bunlar daha sonra Domain-Local gruplara bölünür. Domain-Local grupları kaynaklara erişim için izin verilmesini sağlar.

Örneğin ACL_Sales_Read grubu isminden belli olduğu gibi Sales grubu kaynaklarını okuma iznidir.

IGDLA bir işlem sıralaması önerisidir. Sıralama istediğimiz şekilde olabilir. Örneğin her bir yetkiyi kullanıcılara tek tek atayabiliriz ancak kullanıcı sistemden ayrılıp yerine yenisi geldiğinde yeni gelenide tek tek ayarlamak gerekir ki bu o kadar da iyi değildir. Gruplar oluşturulduğunda yetki için yeni kullanıcıyı istediğimiz gruplara ekleriz ve yetkiler otomatik olarak tahsis edilir.

Group Policy – 1

Kullanıcıların sınırlandırılması ve daha pek çok şeyi yapabildiğimiz group policy (GP) ye Server Manager –> Tools –> Group Policy Management dan ulaşabiliyoruz.

Burada (https://win.buyukburc.de/2019/04/26/user-accounts/ ) oluşturduğumuz ilk kullanıcımıza domain içinde bazı haklar vereceğiz. Bunun için GP Management üzerinde Forest –> Domains –> C1.local –> IT ye sağ tıklayıp “Create new Group Policy object and link it here” seçeneğini seçiyoruz.

Herhangi bir isim vermeden ok tıklayıp geçiyoruz. Böylece Sol taraftaki ağaç yapısında IT nin altında beliriyor. Sonra o beliren yen, objeye sağ tıklayıp edit seçiyoruz ve karşımıza “Group Policy Management Editor” geliyor.

Bu ekranda Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment tıkladığımızda yan tarafta IT OU içinde bir kullanıcıya verilebilecek neredeyse tüm hakları görürüz.

Örneğin kullanıcımız “Max Muster” in domain a bir workstation eklemesini istemiyorsak “Add workstations to domain” policysini aktif ederiz.

GP konusuna daha sonra daha detaylı gireceğiz.

User Accounts

Sistemi kullanacak bireylerin bir hesaba (Account) ihtiyaçları vardır. Bunların AD de oluşturulması gerekmektedir. Çeşitli toollar mevcuttur. Powershell, CMD dsad.exe, AD administrative center gibi.

AD users and computers. Server Manager->Tools->Active Directory Users and Computers.

Başlattığımız zaman istediğimiz Domain i açıp (örnekte tek domain var) resimde kırmızı ile işaretli OU’larımızı (organizational Unit) görebiliriz.

Kullanıcıları OU’Lara onları nerede yönetmek istiyorsak ona göre oluşturuyoruz. Yani satışta çalışan birini “sales”e pazarlamada çalışan birini “marketing”de.

Yeni kullanıcıyı örneğimizde IT departmanında oluşturacağız. Bu durumda IT’ye sağ tıklıyoruz ve New de user seçiyoruz.

Kişinin adını soyadını giriyoruz. Burada önemli olan “User Logon Name” eşssiz yani unique olmalıdır. Sisteme girişi bu kullanıcı adı ile yapacaktır. Şirketimizde iki kişi aynı ad soyad ile olabilir. Bu durumda “Max Muster” için logon name ilki MMuster@c1.local diğeri ise MMuster2@c1.local olarak tahsis edilmelidir. Bu durum sistem tarafında otomatik olmaz bizim Sistem yöneticileri olarak standart geliştirmemiz gerekir. Büyük küçük harfe duyarlı değildir. “@c1.local” yanı domain adının olduğu yer aşağıya doğru açılabilir burada UPN (Universal Principal Name) i seçebiliriz.

UPN active Directory Domains and Trusts ile oluşturulur. Örneğimizde kurumumuz birden çok lokasyonda ise ve Max Muster örneğin Ankara’da ise o zaman UPN’i @Ank_it_c1.local gibi olacaktır. Ancak her login oluşta bunu yazması zordur. Bu nedenle bu ismi “truncate” kısaltırız ve emaili ile aynı yaparız.

UPN oluşturmak için “AD Domains and Trusts” a gideriz. Orada C1.local’a değil hemen üstünde bulunan AD Domains and Trusts yazısına sağ tıklarız ve Propertiesden yeni UPN’leri oluşturabiliriz.

User oluşturmaya devam ederken Windows2000 öncesi sistemler için kullanıcı adı biraz farklı eski sistemlere geriye yönelik verilen destek nedeniyle mevcut umarım kullanmak zorunda kalmazsınız 🙂

Next

gelen ekranda parola (password) verme ve parola ile iligili ayarlar var. Zaten yeterince açık.

Next diyince kısa bir özet ve sonra finish ile kullanıcıyı oluştururuz. Artık kullanıcımız IT OU sunun altında bizi beklemektedir. Ona sağ tıklayıp pek çok özelliğini değiştirebiliriz.

Logon olma saatleri veya kilitlenmiş hesabın yeniden açılmasını buradan yapabiliyoruz.

Ayrıca bir kullanıcıyı kopyalayabiliriz. Örneğin Satış departmanında çalışacak kişilerden ilkini oluşturduk daha sonra bu kişinin hesabını bir şablon olarak kullanarak aynı ayarlarla diğerlerini oluşturabiliriz. Kopyalama işlemi aslında bir şablon oluşturmadır. Bundan sonra satış departmanında ki her birey için o hesabın bir kopyası oluşturulur ve yaratılır.

Kullanıcı silme işlemide buradan yapılır ancak önerilen önce kullanıcının “disable” edilmesi ve bir süre böyle bırakılması. Daha sonra kullanıcı geri gelirse enable edip devam etmesi sağlanabilir.

Kullanıcıyı oluşturduğumuza göre artık ona bazı haklar verebiliriz. Bunuda “group policy” (GP) ile yaparız. GP ile yapılan kullanıcıların sınırlandırılmasıdır.

FSMO Flexible Singe Master Operations

İngilizce FSMO okunurken (fezmo) diye okunuyor ilginç geldi 🙂

Neyse DC arka planda çok işler yapar. Bunlar domainin düzgün çalışmasını sağlar.

Forest ın ilk DC si otomatik olarak Forest Root tur. İlk olduğu için bazı görevleride otomatik olarak almak zorundadır.

1- Domain Naming Master
2- Schema Master

Powershellde bu bilgileri edinmek istersek.


Böylece hangi DC hangi rollerde görebiliriz.

Forest Root DC 3 temel FSMO görevini icra eder.

1- RID master : BU rol ile yeni objectler oluşturabiliriz. Objectler AD de oluşturulurken RID master gerekli identifier ve numaraları sağlar ve diğer DC’leri update eder. Böylece bir DC yeni bir object oluşturmak istediğinde ve ona yeni bir SID tahsis etmek istediğinde, RID master tan aldığı bloğu kullanarak SID i oluşturur. Böylece her bir Object için unique ID oluşmasını sağlar.

2- Infrastructure Master : Çok domainli ortamlarda eğer bir useri alıp başka bir domaine taşımak istersek; Insfrastructure Master bu değişikliklerin takibini yapıyor.

3- PDC Emulator : Domain içinde zaman senkronizasyonunundan sorumlu. Böylece tüm DC’ler aynı zamanda olur. Ayrıca eğer bir Group Policyde (GP) değişiklik yapmak istersek bu değişimde PDCde olur. Ayrıca şifre değikliği olduğu zaman bu değişiklik PDC’ye gider ve acil mesaj olarak tüm diğer DC’lere ulaştırılır.

Yukarıda bahsettiğimiz bu görevler Forest Roottan başka DC’lerede paylaştırılabilir. Kimin hangi rolde olduğunu powershellden de görebiliriz.

Peki forest root DC ye bakım update patching vs yapılacağı zaman sistemi down etmek gerektiğinde ne yapmamız gerekir?

İşte bu rolleri taşıyabiliriz. Bu taşıma işlemi bir kaç yolla yapılabilir.
Powershell, Snap-in veya ntdsutil.exe

Transfer esnasında en son güncel veri kullanılır. Böylece kayıp oluşmaz.

Ancak peki ya bu FSMO görevlerini taşıyan DC çökerse, crash olursa veya …

Bu durumda yapılan işleme “Seizing Roles” denir. Bu durumda eksik veya zamanı geçmiş veri kullanılır.

BU işlem için Powershell veya ntdsutil.exe kullanılır ancak snap-in kullanılamaz

Transfer etmek için gerekli toollar server manager üzerinde tools menüsü altında. Örneğin Schema Master’ı transfer etmek istersek Server Manager–> Tools –> Active Directory Schema, veya Domain Naming Master’ı transfer etmek istersek Server Manager –> Tools–> Active Directory Domanins and Trusts, eğer RootMaster, Infrastructure Master veya PDC Emulator’ü transfer etmek istersek Server Manager–>Tools–>Active Directory Users And Computers’ı kullanırız.

Ancak Seizing için ntdsutil.exe yi veya Powershell i kullanmamız gerekiyor.

Powershell komutu :

Move-ADDirectoryServerOperationMasterRole

Sistem üzerinde hangi FSMO rollerinin hangi DC’lerde oldğunu bilmek önemli. Powershell in bu komutu detaylandırılmadı.

SRV Records

DC kurulumunda otomatik olarak oluşturulurlar. DC kurulup yeniden başlatıldığında “Net Logon servisi” başlar ve SRV kayıtları oluşturulur. SRV kayıtları bir çeşit DNS kaydı gibidir. Ağa bağlanan clientlar hangi servera logon olacaklarını bu kayıtlardan öğrenir. 

SRV kayıtlarını en iyi DNS manager üzerinden görebiliriz. Bunun için Server Manager –>tools –>DNS i seçiyoruz.

Şimdi burada “_” altçizgi ile başlayanlar örneklerdir. Bunlardan “_tcp” yi seçtiğimizde tcp protokolü için olan kayıtları görüyoruz. Burada “_gc” Global Catalog Serverini tanımlıyor. Bu hem Dc ye hemde bağlanan clientlara gerekli.

“_kerberos” Kerberos serverinın nerede olduğunu gösteriyor. Kerberos login olmak için kullandığımız protokol.

“_kpassword” ayrıca bir DC dir.

“_ldap” yine DC üzerinde koşuyor.

“_udp” de de benzeri kayıtları görebiliriz.

SRV kayıtları hem diğer DC ler için hemde clientlar için gereklidir.

Şifre değiştirirken bile kullanılır. Eğer kayıtlarda bir sıkıntı varsa DC üzerinden “net logon service” restart edilir.

Active Directory Global Catalog Server

GCS server her bir forestte en az bir adet bulunması gerekir.

Ayrıca her site içinde bir tane bulunması gerekir. iyi yanı ise ekstra disk alanı yada CPU ihtiyacı yoktur.

GCS multi network ortamlarda ağda arama yapmak için kullanılır.

GCS port 3268 i kullanır.

Bazı uygulamalar GCS e bağımlı çalışırlar. Örneğim Microsoft Exchange, NSMQ, DCOM.

GCS farklı farklı yerlerden ayarlanabilir. Birisi DC kurulumunda diğeri “AD Sites and Services Snap-in” inden.

Snap-in i Server Manager tools tan başlatıp. Sol taraftan

Sites–> Default-First-Site-Name –> Servers –> C1-DC1

Burada Forest içinde Server ımızı bulduk ve şimdi onu bir DC yapacağız. Sağ panelden “NTDS Settings”e sağ tıklayıp özelliklere giriyoruz.

Görüldüğü üzere C1-DC1 zaten Catalog Server olarak seçilmiş. Pek çok özellik otomatik olarak zaten kurulmuş olarak gelecektir. 

Bunlardan önemli bir tanesi SRV kayıtlarıdır. DC kurulumunda otomatik olarak oluşturulurlar. DC kurulup yeniden başlatıldığında “Net Logon servisi” başlar ve SRV kayıtları oluşturulur. SRV kayıtları bir çeşit DNS kaydı gibidir. Ağa bağlanan clientlar hangi servera logon olacaklarını bu kayıtlardan öğrenir. 

Active Directory RODC

RODC yani Read Only DC. Uzak bir lokasyonda yani bizim için kontrolü nispeten zor bir ortamda, sadece bzim kontrol edebileceğimiz bir DC içindir. Daha güvenlidir. Özellikle IT personeli olmayan uzak ofislerde kimin login olup olamayacağını belirlediğimiz bir sistemdir. Normal bir DC de olan tüm objectler mevcuttur.

RODC oluşturmak için kurulumda gerekli seçeneği aktif etmek gerekir.

Ana DC RODC de kimin şifrelerinin Cache leneceğini belirleyebiliriz. Tek yönlü replikasyon yapılır.

RODC için (henüz nerede bilmiyorum) bir properties de “Password Replication Policy” bölümü mevcut orada hangi kullanıcı ve groupların passwordlerinin cache yapılacağına karar veriyoruz. (deny allow şeklinde.

Password Replication Policy Domain çapında olduğunda iki group otomatik olarak gelir.

  • Allowed RODC Password Replication Group
  • Default olarak grupta kimse yoktur.
  • Buraya eklenenler RODC’ler tarafından cachelenir.
  • Denied RODC password Replication Group
  • Buraya şifrelerinin hiç cachelenmasini istemediğimiz kullanıcıları ekleriz.
  • Default olarak : Domain adminleri, Enterprise Adminleri ve Group Policy sahipleri mevcuttur.

Böylece tüm RODC’leri bir defada ayarlamış oluruz.

Diğer bir yöntemde “Password Replication Policy (Individual RODCS)

Önerilen Best Practice ise öncelikle Global bir Deny list oluşturmak daha sonrada her bir RODC için izin verilen User ve groupları authentication için local olarak belirlemektir.

RODClerde bazı kısıtlamalar mevcuttur.

  • Master DC olamazlar
  • Bridgehead Server olamazlar ????????
  • Her domainde bir site için bir RODC olabilir.
  • WAN connection mevcut değilse RODC’ler trustlar arası authentication yapamazlar. Eğer Deny listtle olan biri authenticate yapmak isterse WAN üzerinden kontrol etmesi gerekecektir ancak WAN olmayınca bu mümkün olamayacaktır.
]]>

Active Directory- IFM

Özellikle yavaş ve güvensiz ağ ortamlarında başka bir yere AD kurmak istiyorsak. IFM denilen uygulama yöntemini kullanabiliriz. Böylede SYSVOL veya DB yi aktarma daha güvenli olur.

IFM = Install For Media

NTDS ile CLI kullanarak AD yi backup alıp bu backup mail veya CD/USB ile uzak yere gönderip. Server manageri kullanrak AD yi kuracaklar.

Böylece büyük AD backup ı veya SYSVOL klasörü ile uğraşmaytacaklar.

Server manager ile kurulum esnasında “Additional Options” bölümünde “install from Media” seçilerek alınan backup seçilip sonra hangi AD replike edilecek seçilerek devam edilecek.

]]>