Skip to main content

Active Directory

Salam dostlar,

Bu məqalədə sizə Active Directory (AD) haqqında danışacam. Beləliklə, Active Directory nədir? Active Directory, domain mühitində olan kompüter və istifadəçilərin mərkəzdən idarə olunmasını təmin edir, quruluşuna görə "Fiziki" və "Məntiqi" olmaqla iki yerə bölünür.

Fiziki quruluş:

  • Data Store (Məlumat Bazası) - burada şəbəkə üzrə qovluq və fayllar, ümumi olaraq paylaşımlar yer alır;
  • Domain Controller - burada ümumi olaraq istifadəçilər, kompüterlər, qruplar, "organizational unit"-lər, kompüterin domain-ə daxil edilməsi, istifadəçinin domain-də olan kompüterə əlavə edilməsi, kompüterin domain-dən çıxarılması və s. yer alır;
  • Global Catalog - burada istifadəçi "logon" prosesləri, "forest"-də geniş axtarış tipli proseslər, qruplar (əsasən "universal" qruplar) ilə bağlı keş məlumatlar, "Exchange" ünvan kitabçasının (address book) axtarış prosedurları, eləcə də istifadəçilərlə bağlı məlumatlar "Global Cataloq Server" olaraq yer alır. Ümumiyyətlə, ilk domain qurularkən Global Catalog yüklü halda olmalıdır. "Additional Domain Controller / ADDC", eləcə də "RODC / Read Only Domain Controller" (yəni filiallarda) qurularkən Global Catalog-un qurulması həyata keçirilə də bilər, keçirilməyə də bilər. Lakin, Global Catalog-un hər bir filial-da (domain controller-də) qurulması məqsədə uyğundur. Çünki filialda domain-də olan istifadəçi istifadəçi adı və parolunu yazaraq Domen Controller-ə müraciət etdikdə, həmin filialda Global Catalog yüklü halda olarsa, artıq həmin filial istifadəçisinin Domain Controller ilə əlaqə qurulması təmin edilir və artıq (əsas domain controller-in) mərkəzi ofisin Global Catalog-una müraciət etməsinə ehtiyac yaranmır. Çünki mərkəz (əsas domain controller) ilə əlaqə (bağlantı) kəsildikdə də belə, istifadəçi artıq həmin filialın Global Catalog-u vasitəsi ilə (mərkəz) Domain Controller ilə əlaqəni qurmuş olur;
  • RODC- oxuna və "replicate" oluna bilən bir Domain Controller-dir, lakin backup (nüsxə) və ya secondary tipli Domain Controller əsasən ADDC-dən təşkil olunur. Çünki RODC yalnız oxuna bilən DC-dir, əsasən filiallarda tətbiq olunur və mərkəzin (əsas Domain Controller-in) istifadəçi məlumatları, parollarını öz üzərində saxlamır. Yalnız aidiyyatı və özünə aid olduğu filialda yer alan məlumatları öz üzərində saxlayır.

 Məntiqi quruluş:

Bu quruluşa, əsasən "Schema Master", domain-lər, domen tree-lər, forest-lər, site-lar, organizational unit-lər və s. daxildir.

Schema Master - əsasən istifdəçilə bağlı olan "logon name", "samaccount name", "departament", "address", "phone" və s. attributlar olan məlumatları öz üzərində saxlayır;

Domain - bildiyiniz kimi qurduğumuz domain-lərdir, domain tree-lər isə forest-də qurulan əsas "parent" domain-lər anlamına gəlir. Parent domain-lərə tabe edilən domain-lər isə "subdomain", yəni "child" domain adlanır;

Forest - meşə anlamını ifadə edir, domain-lərin yer aldığı yerə "forest" deyilir. İlk yaradılan domain-lər "forest root" domain, sonradan qurulan domain-lər isə "tree root" domain adlanır;

Site - mərkəz və filialların olduğu fərqli domain-lər arasında ip subnet üzərindən olan əlaqə site to site, yəni domain to domain adlanır;

Organization Unit - Ümumiyyətlə domain mühitində organizational unit-lərin xüsusi rolu vardır ki, bu zaman şirkətlər, şirkət daxili departament-lər və s. məhz bu organizational unit-lər vasitəsilə bir-birindən fərqləndirilir, yəni ayrılır. OU-larda əsasən group policy ayarlarından istifadə olunur ki, hər OU-ya fərqli-fərqli group policy qaydaları və siyasətləri tətbiq etmək mümkün olur.

AD ilə bağlı vacib bəzi qısa qeydlər:

  • Ümumiyyətlə, əlavə olaraq qeyd edim ki, Active Directory ilə bağlı olan bütün məlumat bazası, eləcə də DNS və s. hər bir məlumatlar "ntds.dit" faylında, Group Policy ilə bağlı olan məlumatlar isə "sysvol" qovluğunda yer alır;
  • İstifadəçi domain-ə qoşularkən ilk öncə "netlogon" service-i işə düşür ki, bu zaman client kompüter öz ip və DNS ünvanına əsaslanaraq bəzi məlumatları toplayıb, DC-nin yerini Active Directory üzərindən müəyyən etməyə çalışır;
  • Domain Controller (Server) ilə client kompüter arasında olan əlaqə şəbəkə üzərində olan "kerberos" protokolu vasitəsilə həyata keçir ki, bu zaman kerberos ticketing prosesini icra edir və server-ə müraciət edən client kompüterin sorğusunu DC-yə çatdırır. Əlavə olaraq qeyd edim ki, kerberos default olaraq 88 portunu istifadə edir;
  • Active Directory "LDAP" protokolundan da istifadə edir ki, ldap protokolu istifadəçi, qrupların və s. idarə olunmasında istifadə olunur. Ldap protokolu default olaraq 389 portunu istifadə etsə də, lakin SSL və TLS üzərindən 636 portunu da istifadə edir;
  • IFM - "install from media" anlamını ifadə edir. Belə ki əgər filial ilə mərkəz (ofis) arasında bağlantı (əlaqə) itərsə, onda Active Directory-nin "script" faylı (icrası şəbəkə üzərindən mümkün olmayan və yalnız fiziki şəkildə mümkün olmaqla) bağlantı itən filialda ADDC və ya RODC qurulması təmin edilir.

AD Master Rollar

Active Directory üzərində 5 əsas master rol vardır ki, bunlara "FSMO" rollar da deyilir və "single / multi master" (forest və domain) tipli olmaqla iki hissəyə bölünür:

Forest tiplilərə "Domain Name Master" və "Schema Master", Domain tiplilərə isə "RID Master""Infrastructure Master" və "PDC Emulator" daxildir.

Domain Name Master - domain ilə bağlı olan bütün prosedurları-domain controller qurulması, kompüterin domain-ə daxil edilməsi, domain-dən çıxarılması və s. bütün domain ilə bağlı prosedurları özündə birləşdirir, eləcə də DNM eyni forest-də olan eyni domain adına məxsus ikinci bir domain-nin olmamasını təhlil edir;

Schema Master - əsasən istifdəçilə bağlı olan "logon name", "samaccount name", "departament", address, "phone", "country", "city" və s. attributiv olan məlumatları öz üzərində saxlayır;

RID Master - domain-də olan SID-li kompüterlərin eyni SID-ə məxsus olmasını əngəlləyir. AD-də hər bir obyektin ayrıca SID-i olduğu üçün, SID-in son bir neçə rəqəmi nisbi hissə adlanır ki, həmin nisbi hissəyə RID (Relative Identifier) deyilir. Yəni bir (obyekt) client kompüter domain-ə qoşularkən, RID həmin SID-dən başqa eyni SID-in (domain-də) olub-olmamasını yoxlayır;

Infrastructure Master - domain-lər arasında qlobal olaraq unikal identifikatorları (GUID), SID və fərqli adları (DN) təyin edir. IM, eləcə də bir forest altında olan domain-lər arasındakı əlaqəni də təmin edir, edilən dəyişikliklər barəsində digər domain-ləri xəbərdar edir. Əlavə olaraq qedy edim ki, qurulan hər bir domain-nin öz "infrastructure master" rolu olur;

PDC Emulator - bu rol əsasən saat sinxronizayalarını, eləcə də istifadəçi parollarının dəyişdirilməsi, səhv parol bildirişləri və hesabın bloka düşməsi kimi bəzi prosesləri həyata keçirir.

Son olaraq qeyd edim ki, ümumiyyətlə qurulan hər bir domain-də (DC-də) funksionallığın problemsiz, daha effektli olması və sistem konfliktlərinin olmaması üçün, adlarını sadaladığımız 5 (FSMO) rolun olması çox vacib və zəruridir.

Dostlar,

Fikrimcə, əvvəlki məqalələrimdə, eləcə də AD haqqındakı məqaləmdə sizə kifayət qədər məlumat təqdim edə bildim və güman edirəm ki, bu bilgilər işinizə yarayacaqdır.

Təşəkkür edirəm və uğurlar!

Hörmətlə,
Müəllif
Araz Əhmədov

Comments

Post a Comment

Popular posts from this blog

Fayl Bərpa Alqoritmləri

  Salam dostlar, Bu yazımda sizə fayl bərpa proqramlarının (Recuva, Wondershare, EaseUS Data Recovery və s.) faylları bərpa etməsi haqqında bəhs etmək istərdim ki, məhz bu proqramlar silinmiş məlumatların (şəkil, video, sənəd və s.) geri qaytarılması üçün xüsusi alqoritmlərdən istifadə edir. Bu prosesin texniki tərəflərini izah etmək üçün əvvəlcə bir neçə əsas anlayışı bilmək lazımdır: Silinmiş faylların vəziyyəti Əksər fayl sistemlərində (məsələn, NTFS, FAT32, exFAT) fayl silindikdə, həmin fayl fiziki olaraq diskin üzərindən silinmir ki, bu zaman: Fayl sistemində faylın olduğu yer boş olaraq işarələnir və həmin sahə üzərində yeni məlumat yazıla bilməsi üçün icazə verilir; Faylın "metadata"-ları (fayl adı, ölçüsü, yaradılma tarixi və s.) xüsusi strukturlarda saxlanılır (məsələn, NTFS-də MFT / Master File Table). Bu səbəbdən, fayl silindikdən dərhal sonra onu bərpa etmək mümkündür, çünki həmin məlumat fiziki olaraq diskin üzərində qalır. Ancaq yeni məlumat həmin yerə yazıldıqd...
Post a Comment
Read more

How To Install WordPress On Rocky Linux 9

WordPress is widely recognized as the preferred platform for building websites and blogs due to its ease of use and wide range of customization features. Suppose you’re considering installing WordPress on Rocky Linux, an open-source operating system known for its reliability. In that case, you’ll find the process to be quite straightforward when coupled with the LAMP stack – Linux, Apache, MySQL, and PHP. In the following article, we will guide you through each step of setting up WordPress on Rocky Linux using LAMP, allowing you to get your website or blog up and running smoothly in no time. So, let’s dive into the process! Install WordPress On Rocky Linux 9 Step 1: Update Your System in Rocky Linux Step 2: Installation process of LAMP Step 3: Install WordPress in Rocky Linux 9 Step 4: Configuration of Database Step 5: Configuration of WordPress Step 6: Configuration of Firewall settings Step 7: Log in to WordPress Step 1: Update Your System in Rocky Linux Before installing any new sof...
Post a Comment
Read more

Fayl şifrələmə vasitələri (Linux)

Salam dostlar, Bu məqaləmdə "linux"-da istifadə olunan bəzi fayl şifrələmə vasitələri (file encryption tools) haqqında bəhs edəcəm. Beləliklə, fayl şifrələməsi nədir və "linux"-da hansı fayl şifrələmə vasitələri mövcuddur? Fayl şifrələməsi mübadilə edilən məlumatların oxunmaz vəziyyətə çevrilməsi prosesidir ki, faylların şifrələnməsi təhlükəsizlik baxımından çox vacibdir. Beləliklə, "linux"-da faylların şifrələməsini həyata keçirən bəzi vasitələr (tools) mövcuddur: "GnuPG (GPG)" "GnuPG" şifrələmə və rəqəmsal imza məqsədləri üçün geniş istifadə olunan pulsuz və açıq mənbəli proqramdır ki, faylları və e-poçtları şifrələmək, eləcə də deşifrə etmək üçün "OpenPGP" standartından istifadə edir. Bu şifrələmə platformasınds əvvəlcə "public key" və "private key" yaradılmalıdır ki, bu zaman "public key" şifrələmə (encrypt), "private key" isə şifrənin açılması (decrypt) üçü...
Post a Comment
Read more