Active Directory
Active Directory (AD), Microsoft tarafından Windows etki alanı ağları için geliştirilen ve ağ içindeki kullanıcıların, bilgisayarların ve diğer kaynakların merkezi yönetimini sağlayan bir dizin hizmetidir.
Microsoft Active Directory (AD), Microsoft tarafından Windows etki alanı ağları için geliştirilmiş bir dizin hizmetidir. Çoğu kurumsal BT altyapısının temel bir bileşenidir ve ağ kaynaklarının merkezi yönetimini ve organizasyonunu sağlar. AD, kullanıcılar, bilgisayarlar, gruplar, yazıcılar ve uygulamalar gibi nesneler hakkındaki bilgileri depolar ve bu bilgileri kullanıcılara ve yöneticilere sunar. AD'nin temel işlevi, bir ağ nesneleri mantıksal grubunu oluşturan etki alanı (domain) kavramı etrafında döner. Bir etki alanı içinde AD, güvenlik politikalarını uygular, kullanıcı kimlik doğrulamasını ve yetkilendirmesini yönetir ve kaynaklara erişimi kontrol eder. Ölçeklenebilirlik ve büyük, dağıtılmış organizasyonların yönetimi için ağaçlar (trees) ve ormanlar (forests) halinde tipik olarak organize edilmiş hiyerarşik bir yapı kullanır. AD tarafından kullanılan temel protokoller arasında dizin bilgilerini sorgulamak ve değiştirmek için LDAP (Lightweight Directory Access Protocol), kimlik doğrulama için Kerberos ve etki alanı denetleyicilerini ve diğer ağ kaynaklarını bulmak için DNS (Domain Name System) bulunur. AD Domain Services (AD DS), dizin veritabanını, kimlik doğrulama ve yetkilendirme hizmetlerini sağlayan ana roldür. Diğer ilgili hizmetler arasında genel anahtar altyapısı için Active Directory Certificate Services (AD CS), farklı kuruluşlar arasında tek oturum açma (single sign-on) için Active Directory Federation Services (AD FS) ve veri koruması için Active Directory Rights Management Services (AD RMS) bulunur. Temel ödünleşim, kurulum ve bakımın karmaşıklığı, özel uzmanlık gerektirmesi ve doğru yapılandırılıp yönetilmediğinde pass-the-hash saldırıları veya Kerberoasting gibi güvenlik açıklarından kaynaklanan potansiyel güvenlik riskleridir.
graph LR
Center["Active Directory"]:::main
Pre_dns["dns"]:::pre --> Center
click Pre_dns "/terms/dns"
Pre_authentication["authentication"]:::pre --> Center
click Pre_authentication "/terms/authentication"
Pre_authorization["authorization"]:::pre --> Center
click Pre_authorization "/terms/authorization"
Rel_ldap["ldap"]:::related -.-> Center
click Rel_ldap "/terms/ldap"
Rel_kerberos["kerberos"]:::related -.-> Center
click Rel_kerberos "/terms/kerberos"
Rel_group_policy["group-policy"]:::related -.-> Center
click Rel_group_policy "/terms/group-policy"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 5 yaşındaki gibi açıkla
Active Directory, büyük bir şirketin herkesin yaka kartlarını, masalarının nerede olduğunu ve hangi odalara girebileceklerini takip eden, doğru kişilerin doğru yerlere ulaşmasını sağlayan ana ofisi gibidir.
🤓 Expert Deep Dive
Active Directory Domain Services (AD DS), kullanıcılar, bilgisayarlar, gruplar ve politikalar gibi bir ağ içindeki nesneler hakkında bilgi depolayan dağıtılmış, hiyerarşik bir veritabanı uygular. Kimlik doğrulama için Kerberos protokolüne (RFC 4120) ve dizin bilgilerini sorgulamak ve değiştirmek için LDAP (Lightweight Directory Access Protocol, RFC 4511) protokolüne dayanır. AD DS, kaynakları yönetmek için mantıksal bir yapı oluşturan etki alanları, ağaçlar ve ormanlar halinde organize edilmiştir. Her etki alanının kendi güvenlik sınırı vardır ve dizin verilerini çoğaltan bir veya daha fazla Etki Alanı Denetleyicisi (DC) içerir. Çoğaltma, genellikle Çoklu Anahtar Çoğaltma (Multimaster Replication) modeli kullanılarak tek yönlü veya çift yönlü olabilir. Temel mimari bileşenler arasında NTDS.DIT dosyası (bir JET Blue veritabanı), Grup İlkesi Nesneleri (GPO'lar) ve oturum açma betikleri için SYSVOL paylaşımı ve etki alanı sınırları boyunca daha hızlı arama için ormandaki tüm nesnelerin kısmi bir kopyasını sağlayan Genel Dizin (Global Catalog - GC) bulunur. Kimlik doğrulama, bir DC'deki Kimlik Doğrulama Hizmetinden (AS) bir Bilet Verme Bileti (TGT) almayı içerir, bu daha sonra belirli kaynaklar için bir Hizmet Bileti (ST) istemek üzere kullanılır. Yetkilendirme, kullanıcılara ve gruplara ait Güvenlik Tanımlayıcılarına (SID'ler) başvuran, nesnelere uygulanan Erişim Kontrol Listeleri (ACL'ler) aracılığıyla yönetilir.
ldap
# Bir kullanıcıyı bulmak için örnek LDAP sorgusu
(objectClass=user)(sAMAccountName=johndoe)