Active Directory

Active Directory Nesneleri

Active Directory Objects

Active Directory Nesneleri

Active Directory nesneleri tarif edilirken, bir insan ya da eşyanın tarif edildiği gibi, farklı sıfatlar kullanılması gerekir. Kişilik, etnik duruş, fiziksel görünüm ya da diğer karakteristikler bu sıfatlara örnek olabilir. Bu örneklerin birçoğu benzersiz özellikler değildir. Örneğin, Ankara’da bulunan otuzlu yaşlarda ve 183cm boyunda bir erkekten bahsediliyorsa, bu çok doğru bir tarif olamaz. Çünkü bu tarife uyan birçok kişi tespit edilebilir. Ancak tespit edilenler kesinlikle erkektir. Eğer nokta atışı şekilde bir insanı tarif edilmek isteniliyorsa, onun kimlik numarası, telefon numarası vb. bilgilerine ihtiyaç olacaktır. Eğer bir eşya vb. varlık tarif edilecekse, bu varlığın, plakası, barkod numarası ya da seri numarası gibi benzersiz bir bilgiye ihtiyaç duyulacaktır.

Bir kuruluş içinde çalışanlar ve kaynaklar gibi birçok fiziksel varlık bulunabilir. Bunları yönetmek için Active Directory Domain Services’e tanımlamak gerekecektir. Active Directory bu varlıkları birer nesne olarak tanıyacaktır.

Active Directory Container ve Leaf Objects

Active Directory içinde Container ve Leaf nesne tipi olmak üzere iki tip nesne vardır. Container nesneler diğer nesneleri içinde tutabilir. Active Directory Domain’in kendisi bir container nesnesidir. Organizational Unit yine container nesnelere örnektir. Leaf nesneler ise diğer nesneleri içinde tutamaz. Servis hesapları leaf nesneler için örnektir.

Bir kişiyi veya bir eşyayı tanımlamak için sıfatlar kullanıldığı gibi, Active Directory nesneleri de tanımlamak için onların özellikleri kullanılır. Örneğin, yeni bir hesap oluşturulurken aşağıdaki sihirbazlar gözükecektir. Aşağıdaki görülen ekran görüntüsünde ad, soyad, tam ad ve kullanıcı adı gibi özellikler tanımlanır.

Create Active Directory User
Create Active Directory User

Aynı şekilde bir bilgisayar hesabı oluşturulurken, onu tanımlamak için sistem bir bilgisayar adı özelliğine ihtiyaç duyacaktır:

Create Active Directory Computer
Create Active Directory Computer
Class ve Attribute

Şekillerde görüleceği üzere, nesne türüne bağlı olarak ilişkili özellikler de değişir. Ayrıca, Active Directory’de bir kullanıcı nesnesi veya yüzlerce kullanıcı nesnesi oluşturulmasının bir önemi yoktur ve oluşacak nesneleri tanımlamak için aynı özelliklerin kullanılması gerekir. Bunun nedeni, nesnelerin her birinin bir nesne sınıfına(class) bağlı olmasıdır. Active Directory şeması içinde, her nesne özelliği(attribute) bir nesne sınıfına(class) bağlıdır.

Örneğin bir online hizmet için ilk kez kayıt olunduğunda, doldurulması için online bir form verilecektir. Verilen bilgiler ileride kullanmak üzere veri tabanına kaydedilecektir. Hizmete kayıt yaptırmak gerekirse, yalnızca sorulan soruların cevapları vermek yeterlidir. Cevaplanan sorular değiştirilemez, çünkü veri tabanı bunu anlayamaz. Veri tabanı, formdan yakalanacak verileri depolamak için sütunlar, satırlar ve veri türleri ile tasarlanmış bir tablo içerir. Benzer şekilde, nesnenin sınıf özellikleri şemada tanımlıdır. Active Directory farklı türde nesne sınıflarına(object class) sahiptir. Kullanıcılar, gruplar, bilgisayarlar, yazıcılar ve etki alanı denetleyicileri (domain controllers), nesne sınıflarının(object class) örnekleridir.

Zorunlu Alanlar

Bu niteliklerin bazıları nesne sınıfları için zorunludur. Örneğin, kullanıcı hesabı oluştururken devam etmek için Kullanıcı adının girilmesi gerekir. Ancak Soyadı bilgisi sağlanmazsa bile, kullanıcı hesabı oluşturma işlemine devam edilebilir. Nitelik değerleri de şema tarafından tanımlanan kabul edilebilir bir veri formatı ile sağlanmalıdır. Bazen, operasyonel gereksinimler nedeniyle kimlik numarası gibi kuruluşlara özel nitelikler gerekebilir. Active Directory şemasını değiştirerek, nesne sınıflarına ek nitelikler eklemek mümkündür.

Globally Unique Identifiers (GUID) ve Security Identifiers (SID)

Bir şehirde veya kuruluşta, aynı ada sahip birden fazla kişi olabilir. Ancak pasaport numarası veya kimlik numarası onlara özel olacaktır. Bu nedenle bir kişiyi ya da eşyayı tanımlarken, onları benzersiz özelliklerini göz önünde bulundurarak ilgili şeylerle birlikte gruplamak doğru olacaktır. Active Directory veri tabanında 2 milyardan fazla nesne tutulabilir. Ancak bu kadar sayıda nesne nasıl benzersiz bir şekilde kimliklendirilebilir? Active Directory’de her nesne oluşturulduğunda, ona bir veya iki benzersiz kimlik otomatik olarak verilir. Bir kullanıcı ya da grup oluşturulduğunda otomatik olarak Globally Unique Identifiers (GUID) ve Security Identifiers(SID) atanır. GUID değeri, her bir nesnedeki objectGUID alanına kaydedilir ve SID değeri, her nesnedeki objectSid alanına kaydedilir.

GUID ve SID Değerlerine Erişim

Bir domain controller üzerinde aşağıdaki komut çalıştırılarak objectGUID ve objectSid alanlarının değerleri görülebilir:

Get-ADUser username

username yerine değerleri görüntülenmek istenilen kullanıcı adı yazılmalıdır.

Get-ADUser
Get-ADUser

ObjectGUID, 128 bitlik bir değerdir ve Active Directory’deki her nesneye uygulanır. Bu değer yalnızca belirli bir Active Directory Domain için değildir ve global olarak da geçerlidir. Bir nesneye bir GUID atandığında, nesne dizinden silinene kadar orada olur. Nesneleri değiştirmek veya taşımak, GUID’in değerini değiştirmez. ObjectGUID değeri global catalog sunucularında tutulur ve yayınlanır. Domain’deki bir uygulamanın bir kullanıcı nesnesini araması gerekiyorsa, en iyi yöntem kesinlikle doğru bir sonuç vereceği için ObjectGUID kullanarak sorgulamak olacaktır.

Security Identifiers(SID) Özelliği

Bir nesnenin SID değeri, domain içinde benzersizdir. Kullanıcı nesnesi başka bir domain’e geçirilirse, kullanıcıyla ilişkili SID değerleri değişecektir. Bir domain tarafından atanan bir SID değeri, başka bir domain tarafından kabul edilmeyecektir. Bir kullanıcı nesnesi başka bir etki alanına geçirilir geçmez yeni bir SID değeri üretilecektir. Ardından, eski SID değeri sIDHistory özniteliğine kaydedilir. Bu özellik birden fazla değer içerebilir. Sistem, kullanıcı kimlik doğrulaması için bir Kerberos bileti yarattığında, yeni bir SID değeri ve sIDHistory özelliğinde listelenen tüm diğer SID değerlerini dikkate alacaktır. sIDHistory, özellikle Active Directory yeniden yapılandırmasında önemlidir. Domain içindeki kaynaklar, access control list (ACL) bağlı olarak bir kullanıcı hesabına erişim izni olup olmayacağına karar verir. Bu ACL, SID değerlerini kullanır. Bu nedenle, bir nesne sIDHistory olmadan farklı bir alana taşınırsa, ACL değiştirilinceye kadar kaynaklara erişimini kaybedecektir. Ancak, sistem bir erişim belirteci verirken SIDHistory’yi göz önüne alırsa ve eski SID değeri yeni etki alanına taşınırsa, kullanıcının yine de atandıkları kaynaklara erişmesine izin verilir.

Distinguished Names (Ayırt Edici İsimler)

Distinguished names Active Directory’deki bir nesneyi benzersiz şekilde tanımlamak için de kullanılabilir. Bu fiziksel adreslerin çalışma biçimine çok benzer. Adresler, insanları benzersiz şekilde tanımlamak için hiyerarşik bir yol kullanır. Ülkeden başlayarak il, sonra şehir, cadde ve ev numarasına gider. Aynı şekilde, dizindeki nesnenin tam yolunu kullanmak, bir nesneyi benzersiz şekilde tanımlamak için yardımcı olacaktır.

Distinguished names oluşturmak için kullanılan üç tür Active Directory isimlendirme özelliği vardır:

  • organizationName (O) yada organizationalUnitName (OU): Organizasyon, root level alanını temsil eder. OU, nesnenin bulunduğu yerdir.
  • domainComponent (DC): Bu, domain ve DNS için adlandırma niteliğidir. Domain için DNS adı “aktifdizin.com” ise, etki alanı bileşenleri “DC=aktifdizin,DC=com” olacaktır.
  • commonName (CN): Dizindeki nesneler ve konteynerler anlamına gelir.

Bir önceki ekran görüntüsünde, bir domain kullanıcısı için sorgu yapıldığında, aşağıdaki şekilde sonuç alınmıştır.

User Distinguishing Name:
"CN=Ahmet Elibol,OU=Users,OU=Ankara,OU=Turkey,DC=aktifdizin,DC=com"

Buradaki “DC=aktifdizin,DC=com” domain adını, “OU=Users,OU=Ankara,OU=Turkey” organizational units bilgisini, “CN=Ahmet Elibol” ise nesnenin adını verir.

Relative distinguished name (RDN), parent container içinde benzersiz bir değerdir. Yukarıdaki örnekte, nesnenin RDN değeri “CN=Ahmet Elibol” eklindedir. Active Directory, dizindeki birden fazla nesne için aynı RDN’ye sahip olmanıza izin verir, ancak hepsinin ayrı container içinde olması gerekir. Aynı container nesne için aynı RDN’ye sahip olmasına izin verilmez.

Bir nesnenin SID değerinin farklı bir domain controller’a geçirilmedikçe değiştirilmeyecektir. Yine nesnedeki değerleri değiştirmek SID değerini değiştirmeyecektir. Ancak, bir nesne için hiyerarşik yol değiştirilirse, distinguished name (DN) değişecektir. Örneğin, bir kullanıcı nesnesini bir OU’dan diğerine taşırsanız, kullanıcı nesnesinin DN değeri değişecektir.


Vakit ayırdığınız için teşekkür ederiz. Lütfen yorum yapmaktan çekinmeyiniz.

Active Directory Nesneleri

Active Directory nesneleri için detaylı bilgi bu makalede verilmeye çalışıldı. Ayrıca Active Directory ilgili detaylı bilgiye “Active Directory Nedir?” isimli makalede ulaşılabilir.

Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu