Merhaba arkadaşlar,
Bu makalemizde Windows Server 2008 R2 üzerine kurulu olan Active Directory’ den bahsedeceğiz. Active directory, kullanıcı ve grupları kolaylıkla yönetmemizi sağlar. Bu yazımızda Kullanıcı ve grupları inceleyeceğiz.
Active Directory üzerinde kullanıcı oluşturma
Kullanıcı hesabı oluşturulacak Organizational Unit in üzerine gelerek sağ click yaparak user seçeneğine tıklanır.
Gelen ekranda isim, soyisim, user name gibi alanlar doldurulur ve Next butonu ile devam edilir.
Gelen ekranda kullanıcı için bir parola belirlenir,
Bu alanda oluşturduğumuz kullanıcı hesabının şifresini veririz ve güvenlik politikasına göre şu seçeneklerden yararlanabiliriz;
Kullanıcı şifresi ile domain’e ilk giriş yaptığında şifre değiştirme ekranı gelecek ve parolayı değiştirmesini sağlayacak.
Kullanıcı parolasını değiştiremez.
Kullanıcının parolası sabitlenir ve default olarak ayarlanmış olan 42 günde bir parola resetleme uyarısı ile karşılaşmaz.
Hesap Disabled olarak açılır ve kullanıcı Domain’e bu şekilde giriş yapamaz.
Ve kullanıcımızı oluşturuldu, bilgi ekranında bize Murat Kantar isimli ve kullanıcı adı murat.kantar olan accountun ilk logon olduğunda şifresinin değiştirilmesi gerektiğinden bahsetmektedir.
Active Directory Users and Computer içerisinde ISTANBUL Organization Unit’in altında Murat Kantar isimli kullanıcımız oluşturulmuştur.
Active Directory üzerinde usert oluştururken Tel no, Posta Kodu, Şehir, Adres gibi alanları doldurursak A.D. üzerinden arama yaparken bizim açımızdan kolaylık olur. Örneğin Şehir kısmını istanbul aradığımızda ,bilgisinde istanbul yazan tüm kullanıcıları görmüş oluruz.
Öncelikle Domainimizin (FCB.DOMAIN) üzerine sağ click yapıyoruz ve Find butonuna basıyoruz.
Gelen arama sekmesinde “ Field : City “ ve “ Value: ISTANBUL “ yazarak arama yaptırdığımızda Şehir/city kısmında ISTANBUL yazan tüm kullanıcıları bize gösterir.
Find Now butonuna basarız ve City/Şehir kısmında ISTANBUL yazan kullanıcılar listelenir.
Kullanıcının hangi organization unit de olduğunu nasıl bakarız ?
Örneğin ;Murat Kullanıcısının hangi Organizational Unit (Bölge,Alan) da olduğuna bakacağız.
Domain üzerindeyken (FCB.DOMAIN) View sekmesinden > Advanced Features seçeneğine tıklanır.
FCB.DOMAIN üzerinde sağ click yaparak Find’e tıklanır > arama yapmak istediğimiz kullanıcı yazılır (Murat) >Find Now butonuna basılır.
Arama sonucunda Murat Kantar üzerine Sağ Click yapılarak Properties seçeneğine tıklanır > Object sekmesinde > Canonical name of Object alanında kullanıcının hangi Organization Unit’in altında olduğunu yazar.
FCB.DOMAIN/ISTANBUL/Murat.Kantar
Logon Hours
Longon Hours üzerinden Domain Kullanıcı hesabının haftanın hangi günleri ve hangi saat aralığında logon olacağını ayarlarız.
Log On To
Log On To kısmından kullanıcı hesabının hangi bilgisayarlarda oturum açabileceğini seçeceğimiz alandır. Örnekte KRM010 bilgisayarından başka hiçbir bilgisayarda oturum açamayacağı anlamına gelmektedir.
Account Expires
Kullanıcı hesabı oluşturulurken belirtilen süre bittiğinde kullanıcı hesabı ile giriş yapamaz, Kullanıcı hesabı devre dışı kalır.
LDAP Path ( Lighweith Directory Access Protocol )
Active Directory erişim protokolü , Bir yazılımın Active Directory üzerinden veri çekmesi ve veri ekleyebilmesi için LDAP kullanması gerekir.
LDAP Path Active Directory üzerinde Organizational unit in içerisinde oluşturulmuş kullanıcının uzantısıdır. Ör; “cn=murat.kantar,ou=ISTANBUL,dc=FCB,DC=DOMAIN”
Active Directory de komut ile Organizational Unit ve Kullanıcı oluşturma ?
Komut ile OU oluşturma,
Organizational Unit oluşturma ; mevcutta bulunan ISTANBUL OU altına USKUDAR oluşturalım.
Komut : Cmd + dsadd ou “ou=USKUDAR,ou=ISTANBUL,dc=FCB,dc=DOMAIN” + enter
Komut ile Organizational Unit oluşturma ; Mevcutta bulunan ISTANBUL OU altına USKUDAR oluşturalım.
Komut : Cmd + dsadd ou “ou=USKUDAR,ou=ISTANBUL,dc=FCB,dc=DOMAIN” + enter
Active Directory üzerinde komut ile Users oluşturma
Mevcutta bulunan ISTANBUL Organizational Unit in altında ki USKUDAR Organizational Unit in altına Hugo isimli bir kullanıcı oluşturalım;
Komut : Cmd > dsadd user ou=Hugo,cn=ISTANBUL,cn=USKUDAR,dc=FCB,dc=DOMAIN –disabled no –pwd Aa123456 –upn Hugo@FCB.DOMAIN + Enter
Oluşturulan Hugo hesabını komut ile disabled yapma.
Cmd + dsmod user “cn=hugo,ou=USKUDAR,ou=ISTANBUL,dc=fcb,dc=domain” -disabled yes
Active Directory Birden Fazla Kullanıcı Ekleme
Multiple User
Komut : Cmd > csvde -f user.txt veya user.csv( txt veya csv varsa Excel de açar ) ldifde –f user.txt veya user.csv
Öncelikle Active Directory üzerinde standart bir kullanıcı oluşturulur.
Run + Cmd + cd.. + Cd.. ile c:\ altına inilir.
Ldifde –f Useraccount.txt komutu ile A.Directory üzerinde ki tüm kullanıcılar txt veya csv olarak kaydedilir.
C: \ useraccount.txt dosyası açılır ve son eklediğimiz user formülünde gereksiz alanlar silinerek yeni bir user ismi yazılır. Formülün düzenlenmiş son hali aşağıdaki gibidir.
dn: CN=Bilgiİslem,OU=GenelMudurluk,DC=Marmara,DC=Local
objectClass: user
cn: Bilgiİslem
givenName: Bilgiİslem
distinguishedName: CN=Bilgiİslem,OU=GenelMudurluk,DC=Marmara,DC=Local
displayName: Bilgiİslem
name: Bilgiİslem
userAccountControl: 512 ( Hesap enabled olarak açılır ) (514 hesap disable açılır )
sAMAccountName: Bilgiİslem
userPrincipalName: Bilgiİslem@Marmara.Local
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Marmara,DC=Local
Formülün son halini hazırladıktan sonra tümü seçilerek Kes yapılarak hafızaya alınır.
Daha sonra Ctrl + V yapılarak yapıştırılır ve Edit + Replace yapılır.
Mevcutta ki user account ismi ve ne şekilde değiştirilmesini istediğimiz account ismi yazılır ve bu sistem sürekli devam eder. Ctrl + v / Replace + new account.
Mevcutta ki user account ismi ve ne şekilde değiştirilmesini istediğimiz account ismi yazılır ve bu sistem sürekli devam eder. Ctrl + v / Replace +
Oluşturmak istediğimiz kullanıcıları düzenledikten sonra txt farklı bir isimde C:\ altına kaydedilir. İsmi “ 2.txt “
Active Directory Module for Windows PowerShell açılır .
cd.. cd.. ile C:\ dizinine inilir.
Komut : ldifde –k –f 2.txt –i ( Ldifde –k –f 2.txt –i ) ( C:\ altına kaydettiğimiz user bilgilerinin ismi yazılır )
Komut da ki “- k “ var olan kullanıcıları ekleme anlamına gelir.
Komut da ki “ – i “ import et anlamına gelir.
Active Directory üzerinde GenelMudurluk Organization Unit’in içerisine istediğimiz kullanıcılar oluşmuştur.
Oluşan tüm kullanıcıların şifresi boş’tur ve ilk girişte şifre oluşturulmasını isteyecektir.
Group Policy üzerinde domain password seçeneğinde minimum parola karakter sayısı 0 değilse eğer bu şekilde user oluşturulamaz.
Active Directory Groups
- Security Group
- Distribution Group
Security Group : ACL ‘ de görülen gruptur. Security tabında görüntülenebilen gruplardır.
Distribution Group : Mail atmak için kullanılan gruptur. Toplu mail gönderebilmek için oluşturulan gruptur.
Örn, Genel_Mudurluk ismi altında bir Distribution Group oluşturulur ve Genel Müdürlükte çalışan kullanıcılar eklenir. Mail atarken Genel Müdürlükde ki tüm kullanıcıları tek tek eklemek yerine Genel_Mudurluk Distribution Group eklenerek mail gönderilebilir.
Group Nesting
İki grubu farklı bir gruba sokmaya Group Nesting denir.
Group Scope
1. Global Group : Oluşturulan gruba sadece o domain de ki kullanıcılar sokulabilir.
2. Universal Group : Forest Group, Birden fazla domain grupları eklenebilir. Tüm Forestte ki kullanıcılar toplanacaksa Universal Group yapılır.
3. Domain Local : Mixed mod da kullanılır. Mixed mod da Universal Group yoktur. Domain Controller NT ( Backup DC ) ve 2000 DC olan ortamlara Mixed Mode denir.
Windows NT ‘ lerde DC ler ;
|
Windows 2000 ve üzeri |
Windows NT |
|
Master DC |
Primart DC |
|
Additional DC |
Backup DC |
Active Directory Versiyon Yükseltme – Domain Active Directory Versiyon Yükseltme
Domain Controller kurulurken Active Directory versiyonu seçmemizi ister. Windows 2003 Server seçilmişse ve DC kurulu olduğu Server da Windows Server 2008 R2 varsa güncellemek için;
Windows 2008 ServerR2 seçilir. Active Directory güncellenebilmesi için Tüm Domain Controller lerin Windows 2008 Server R2 olması gerekir. DC lerden bir tanesi Windows Server 2003 ise bu işlem gerçekleşmez.
Active Directory RecycleBin – Active Directory Çöpkutusu
Active Directory de silinen user çöp tenekesine atılır ve 90 gün orada kalır. 90 gün içerisinde geri dönüş yapılabilir.
Recyclebin özelliğini aktifleştirmek için;
Active Directory Module for Windows PowerShell açılır.
Komut :
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=marmara,DC=local’ –Scope ForestOrConfigurationSet –Target ‘marmara.local’
( Siz ilgili yerlere kendi domain bilgilerinizi yazın. )
Active Directory üzerinde silinen bir kullanıcı 90 içinde geri getirilebilir.
Active Directory içinde geri getirilebilir.
Active DirectoryModule for Windows PowerShell açılır.
Start > Administrative Tools > Active Directory module for Windows Power Shell
Sildiğimiz bir kullanıcıyı RecycleBin özelliği ile geri getirme;
Komut :
Get-ADObject -Filter {displayName -eq “Kullanıcı görünen adı”} -IncludeDeletedObjects | Restore-ADObject
Get-ADObject -Filter {displayName -eq “VeriMerkezi”} -IncludeDeletedObjects | Restore-ADObject
Evet arkadaşlar, bu makalemizde Windows Server 2008 R2 üzerinde Active Directory kullanımıyla ilgili bilgiler verdik, yararlı olması dileğiyle, başka bir makalede görüşmek üzere
çok güzel bir makale olmuş.