Skip to content

Active Directory – Cyber Security

WINDOWS PLATFORMU İÇİN
Main navigation
  • Azure
  • Security
  • Identity
  • Sangfor
aykut tuylu December 17, 2021 Identity

Active Directory ve Yetkili Hesaplar Nedir?

Microsoft tarafından Windows Server ve Client işletim sistemlerini merkezi olarak yönetebilmek amacıyla tasarlanmış olan ve içerisinde bilgisayar, kullanıcı, grup gibi objeleri barındıran bir dizin hizmetidir. Dizin hizmeti ağ kaynaklarına ulaşmak, bu kaynakları isimlendirmek ve güvenli bir şekilde yönetmek için gereken ortamı sağlamak amacıyla oluşturulur. Active Directory sistem yöneticilerinin, domain kapsamındaki tüm bilgisayar ve sunucuları yönetmek için kullandığı bir yapıdır. Active Directory ayrıca, son kullanıcıların sisteme dâhil olmasını, ağ üzerindeki birçok kaynağa güvenli bir şekilde erişebilmesini de sağlamaktadır.

Domain Controller (DC)

  • Active Directory servisinin kurulu olduğu ve yapılandırıldığı sunuculara Domain Controller adı verilmektedir.
  • Active Directory Domain Services rolünü kendi üzerinde barındırdıkları için yapıda yer alan tüm kullanıcı ve bilgisayarların authentication işlemleri Domain Controller’lar tarafından gerçekleştirilmektedir.
  • Active Directory Domain Services rolü, client işletim sistemleri üzerine kurulamaz. DC olarak yapılandırılacak makinalar mutlaka bir Windows Server İşletim sistemi olmak zorundadır.
  • Bir AD yapısında en az bir tane, ihtiyaca göre onlarca DC olabilir.

Active Directory Mantıksal Yapısı

Domain

Domain, Active Directory’nin en temel bileşenidir. Domain, aynı dizin veritabanını paylaşan bilgisayarlar bütünüdür. Domain’ler ayrıca replikasyon birimi olarak adlandırılır. Bir Domain içerisinde, Active Directory veritabanı kopyalarını bulunduran Domain Controller’lar bu kopyaları Domain içerisinde yapılan değişiklikleri birbirlerine kopyalarak replikasyon yaparlar.

Forest

Forest, bir veya daha fazla Tree’den oluşur. Forest içindeki Tree’ler, aynı isim alanını kullanamazlar. Fakat forest içindeki Tree’ler ortak bir Schema ve Global Catalog yapısını paylaşırlar. Forest içerisindeki tüm Tree Root Domain yapıları, Forest Root Domain ile geçişli güven ilişkisine sahiptir.

Tree

Aynı isim altında toplanan domainler topluluğuna denir. Tree, mevcut bir parent domain’e child domain’lerin eklenmesi ile genişletilebilir. Tree altında bulunan domainler hiyerarşik bir isim yapısı ile oluşturulur. Tree içersinde bulunan Child domainler isim yapılarındaki parent domainin ismini, kendi isimlerinin sonuna eklerler.

Global Catalog

Global Catalog, Active Directory Forest’ ı içinde yer alan her objeyi bulunduran bir veritabanıdır ve Global Catalog Server‘ larda tutulur. Kullanıcının ilk ismi, son ismi gibi sorgulamalarda sıklıkla kullanılan nitelik bilgileri, default olarak Global Catalog içerisinde depolanır. Active Directory içerisindeki herhangi bir objenin tanımlanması için, gerekli bilgileri kapsar.

Active Directory Schema

Kullanıcı, bilgisayar ve grup gibi bütün objelere ait bilgileri içerir. Forest içerisinde, sadece bir Schema bulunur ve bütün obje bilgileri bu Schema üzerine yazılır. Schema bilgileri, Active Directory veritabanı içerisinde depolanır.

Organizational Unit

Organizational Unit bir Domain içerisindeki kullanıcıları, grupları veya bilgisayarları organize etmek amacıyla oluşturulmuş objelerdir. Organizasyonun ihtiyacını karşılamak ve yönetimi kolaylaştırmak noktasında objeleri gruplamak amacıyla kullanılabilinir. Bu yapı ile nesneler gerekliliklere göre sınıflandırılabilir ve bu sınıflar üzerinde istenilen grup ilkesi (group policy) uygulanabilir.

Group Policy

Group Policy’ler Active Directory yapısındaki kullanıcı, bilgisayarlar ve gruplar üzerinde ayarlar yapabilmemizi sağlar. Group Policy’ler ihtiyaçlar doğrultusunda, güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar ve uygulama dağıtımı gibi işlemleri yapmaları için kullanılan bir merkezi yönetim aracıdır. Ayrıca söz konusu ayarları, tüm Network ortamınıza uygulamak yerine, belirli bir gruba ve bilgisayara da uygulama imkânı verir. Group Policy Active Directory ile gelen bir özelliktir.

DNS (Domain Name System)

Domainlerle ilgili bilgileri barındıran sunucuların dağıtılmış bir veri tabanıdır. DNS’in başlıca görevi, isimleri IP adreslerine eşlemek ve bunlarla ilgili gelen istekleri yanıtlamaktır.

Active Directory Veri Tabanı Dosyaları

Active Directory’e ait veri tabanı dosyaları C:\Windows\NTDS altında tutulur. Burada bizim için önemli olan ntds.dit dosyasıdır. Bu dosyanın içerisinde yer alan diğer tüm dosyalar ntds.dit dosyasına yardımcı olur. Bu dosya içerisinde kullanıcı ve şifre bilgileri gibi bilgiler tutulmaktadır. Ancak bu dosyanın yedeğini tutmak, Active Directory’nin yedeğini tutmak anlamına gelmemektedir. Active Directory’nin düzenli olarak yedeğinin alınması ve saklanması gerekmektedir.

Sysvol dosyası DC’lerin kendileri arasında yapacağı replikasyon işlemlerini sysvol paylaşımı üzerinden gerçekleştirir. Ayrıca client PC’ler üzerinden oturum açılırken, hangi group policy ayarlarını alması gerektiğini, sysvol klasör paylaşımı üzerinden gerçekleştirilir.

Tutulan group policy’ler sysvol atında aykut.local/policies altında yer almaktadır. Yeni kurulan yapılarda 2 adet group policy bulunmaktadır. Bunlar ise “Default Domain Policy” ve “Default Domain Controller Policy” dir. Yapımıza yeni group policy’ler eklendikçe bu alanda oluştuğunu görebiliriz. Bütün bu group policy’ler bu alanda uniq bir şekilde tutulmaktadır. Client PC’ler bu group policy’leri Domain Controller üzerindeki bu paylaşım üzerinden almaktadır.

Domain controller üzerinde netlogon şeklinde boş bir paylaşım vardır. Burada Active Directory yapısında script kullanarak işlemler yapmak istediğimiz zaman kullanacağımız bir paylaşımdır. Bir script çalıştırmak istediğimizde o dosyayı bu paylaşım alanına atarak yapacağımız tanımlamalardan sonra kullanılmasını sağlayabiliriz.

AD Üzerinde Yönetici Ayrıcalıkları Sağlayan Yetkili Gruplar

Active Directory üzerinde bulunan ve kurulumdan gelen yetkili grupların önemli izinleri ve kullanıcı hakları vardır. Yüksek hakları nedeniyle bilinmesi ve korunması gereken gruplardır. Aşağıdaki listede bu grupların yetenekleri özetlemektedir:

Enterprise Admins : (in the Users container of the forest root domain). Bir Active Directory yapısındaki en yetkili gruptur. Bu grubun üyeleri forest içerisindeki bütün domainlerde tüm yetkilere sahiptirler.

Schema Admins : (Users container of the forest root domain). Bu grup Active Directory’nin arka planına, şemasına müdahale edebilen gruptur.  Active Directory şeması üzerinde tam denetime sahiptir. Active Directory şeması üzerinde işlem yapılması gerektiği durumlarda sadece bu grubunun üyesi olan kullanıcı yetkileriyle işlem yapılabilmektedir.

Not 1: Yetkilendirme yaparken bir kullanıcının tüm yapıya müdahale etmesini istiyorsak, Enterprise Admins ve Schema Admins gruplarına üye yapmamız gerekmektedir. Bir Active Directory yapısında bu yetkilere sahip olabilen sadece birkaç tane kullanıcı olmalıdır, bütün Bilgi Teknolojileri bölümünde çalışan kişiler bu gruplara üye yapılmamalıdır.

Administrators : (Built-in container of each domain). Active Directory’i kurduğumuz kullanıcıdır ve varsayılan olarak en yetkili hesaptır. Bu grubun üyeleri, domain üzerinde tam denetime sahiptir. Forest kök domain alanındaki Administrators grubu, foresttaki en güçlü hizmet yönetim grubudur.

Domain Admins : (Users container of each domain). Bu grup, domain yapısında Administrators grubuna eklenir. Bu nedenle, Administrators grubunun tüm yeteneklerine sahip olur. Aynı zamanda, varsayılan olarak her domain üyesi bilgisayar ve sunucunun yerel yöneticileri (Administrators) grubuna eklenir, böylece Domain Admins tüm domain bilgisayarlarında yetkili kullanıcı olarak eklenmiş olur.

Not 2: Bir yapıda en çok kullanılan gruplardan birisidir. Active Directory’e müdahale etmesini istediğiniz Bilgi Teknolojileri çalışanların eklendiği bir gruptur. Domain Admins grubundaki kişiler sadece kendi domainlerinde yetkili durumdadırlar. Eğer bağlı diğer domainler varsa ise diğerleri üzerinde herhangi bir işlem yapamazlar. Aynı forest üzerindeki diğer domainlere müdahale etmesini istiyorsanız, Enterprise Admins grubuna eklenmesi gerekmektedir.

Server Operators : (Built-in container of each domain). Bu grubun üyeleri, domain üzerindeki makinalarda bakım görevleri gerçekleştirebilir. Yerel olarak oturum açma, hizmetleri başlatma ve durdurma, diskleri biçimlendirme, paylaşım oluşturma veya silme gibi yetkilere sahiptir. Varsayılan olarak bu grubun üyesi bulunmamaktadır.

Account Operators : (Built-in container of each domain). Bu grubun üyeleri, domaindeki herhangi bir OU’da bulunan kullanıcılar, gruplar ve bilgisayarlar için hesap oluşturabilir, değiştirebilir ve silebilir. Account Operators grup üyeleri, Administrators veya Domain Admins gruplarının üyesi olan hesapları ve grupları değiştiremezler. Varsayılan olarak, bu grubun üyesi bulunmamaktadır.

Not 3: Domain admin bir çok yapıda, en çok kullanılan gruplardan bir tanesi olmasına rağmen, kişiye sağladığı yüksek yetkiden dolayı, güvenliği de düşünerek tüm Bilgi Teknolojileri çalışanlarına bu yetki verilmemelidir. Örnek olarak; kişi Active Directory üzerinde kişilerin şifrelerini değiştirecekse, yeni kullanıcı oluşturacaksa, kişiyi silecekse, grup oluşturacaklarsa, bilgisayar oluşturacaklarsa, herhangi bir kullanıcıyı yetkisiz bir gruba üye yapacaklarsa, bu işleri yapmak için Domain Admins grubuna eklemek yerine Account Operators grubuna eklemek daha doğru olacaktır. Account Operators grubuna ekli kullanıcılar Domain Admins grubuna Enterprise Admins gibi yüksek yetkili gruplara kişi ekleme, çıkarma gibi işlemleri yapamayacaktır.

Backup Operators : (Built-in container of each domain). Bu grubun üyeleri, domainde yedekleme ve geri yükleme işlemlerini gerçekleştirebilir. Varsayılan olarak, bu grubun üyesi bulunmamaktadır.

Print Operators : (Built-in container of each domain). Bu grubun üyeleri, domainde yazdırma ve yazıcı makinalarını yönetme yetkilerine sahiptir. Varsayılan olarak, bu grubun üyesi bulunmamaktadır.

Cert Publishers : (Users container of each domain). Bu grubun üyeleri, dizine sertifikalar yayınlayabilir. Varsayılan olarak, bu grubun üyesi bulunmamaktadır.

Share this:

  • Click to share on LinkedIn (Opens in new window) LinkedIn
  • Click to email a link to a friend (Opens in new window) Email
  • More
  • Click to share on X (Opens in new window) X
  • Click to share on Facebook (Opens in new window) Facebook
  • Click to share on Reddit (Opens in new window) Reddit
Like Loading...
Posted in Identity and tagged activedirectory, AD Domain Admin, AD Enterprise Admins, AD Privileges Account, AD Schema Admins, dns, domain, domaincontroller, forest, globalcatalog, schema, tree. Bookmark the permalink.

iThere are no comments

Add yours

Leave a comment Cancel reply

VOLSYS IT Services & Consultancy 

Web: www.volsys.com.tr

Address: İncek Vista, İncek Bulvarı No:  406 – 55 Gölbaşı – Ankara -Türkiye

Mobile: +90 536 588 60 34   +90 532 157 60 34

  • Azure (28)
  • Identity (101)
  • Sangfor (5)
  • Security (104)
  • Uncategorized (5)
  • Yazar (2)

Arşiv

  • November 2025
  • July 2025
  • April 2025
  • March 2025
  • February 2025
  • January 2025
  • December 2024
  • November 2024
  • May 2024
  • December 2023
  • July 2023
  • April 2023
  • March 2023
  • January 2023
  • December 2022
  • November 2022
  • August 2022
  • July 2022
  • June 2022
  • February 2022
  • January 2022
  • December 2021
  • November 2021
  • October 2021
  • September 2021
  • August 2021
  • July 2021
  • June 2021
  • May 2021
  • April 2021
  • March 2021
  • February 2021
  • January 2021
  • December 2020
  • November 2020
  • October 2020
  • September 2020
  • August 2020
  • July 2020
  • June 2020
  • May 2020
  • April 2020
  • March 2020
  • February 2020
  • January 2020
  • December 2019
  • November 2019
  • October 2019
  • September 2019
Create a website or blog at WordPress.com
  • Home
  • Blog Feed
Secondary navigation
  • Search

Post navigation

NTLM v1 Audit Kontrol
Computer Accounts Passwords Expire

Begin typing your search above and press return to search. Press Esc to cancel.

  • Comment
  • Reblog
  • Subscribe Subscribed
    • Active Directory - Cyber Security
      • Join 59 other subscribers
    • Already have a WordPress.com account? Log in now.
    • Active Directory - Cyber Security
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
 

Loading Comments...
 

    %d