Windows Server 2008 R2 Active Directory

Murat İbrahim Kantar 08 Ağustos 2012 1

Merhaba arkadaşlar,

 

Bu makalemizde Windows Server 2008 R2 üzerine kurulu olan Active Directory’ den bahsedeceğiz. Active directory, kullanıcı ve grupları kolaylıkla yönetmemizi sağlar. Bu yazımızda Kullanıcı ve grupları inceleyeceğiz.

Active Directory üzerinde kullanıcı oluşturma

 Kullanıcı hesabı oluşturulacak Organizational Unit in üzerine gelerek sağ click yaparak  user seçeneğine tıklanır.

 

Gelen ekranda isim, soyisim, user name gibi alanlar doldurulur ve Next butonu ile devam edilir.

 

Gelen ekranda kullanıcı için bir parola belirlenir,

 

Bu alanda oluşturduğumuz kullanıcı hesabının şifresini veririz ve güvenlik politikasına göre şu seçeneklerden yararlanabiliriz;

 

Kullanıcı şifresi ile domain’e ilk giriş yaptığında şifre değiştirme ekranı gelecek ve parolayı değiştirmesini sağlayacak.

 

Kullanıcı parolasını değiştiremez.

 

Kullanıcının parolası sabitlenir ve default olarak ayarlanmış olan 42 günde bir parola resetleme uyarısı ile karşılaşmaz.

 

Hesap Disabled olarak açılır ve kullanıcı Domain’e bu şekilde giriş yapamaz.

 

Ve kullanıcımızı oluşturuldu, bilgi ekranında bize Murat Kantar isimli ve kullanıcı adı murat.kantar olan accountun ilk logon olduğunda şifresinin değiştirilmesi gerektiğinden bahsetmektedir.

 

Active Directory Users and Computer içerisinde ISTANBUL Organization Unit’in altında Murat Kantar isimli kullanıcımız oluşturulmuştur.

 

Active Directory üzerinde usert oluştururken Tel no, Posta Kodu, Şehir, Adres gibi alanları doldurursak A.D. üzerinden arama yaparken bizim açımızdan kolaylık olur. Örneğin Şehir kısmını istanbul aradığımızda ,bilgisinde istanbul yazan tüm kullanıcıları görmüş oluruz.

Öncelikle Domainimizin (FCB.DOMAIN) üzerine sağ click yapıyoruz ve Find butonuna basıyoruz.

 

Gelen arama sekmesinde “ Field  : City “  ve “ Value: ISTANBUL “ yazarak arama yaptırdığımızda Şehir/city kısmında ISTANBUL yazan tüm kullanıcıları bize gösterir.

 

Find Now butonuna basarız ve City/Şehir kısmında ISTANBUL yazan kullanıcılar listelenir.

 

Kullanıcının hangi organization unit de olduğunu nasıl bakarız ?

 Örneğin ;Murat Kullanıcısının hangi Organizational Unit (Bölge,Alan) da olduğuna bakacağız.

Domain üzerindeyken (FCB.DOMAIN) View sekmesinden > Advanced Features seçeneğine  tıklanır. 

 

FCB.DOMAIN üzerinde sağ click yaparak Find’e tıklanır > arama yapmak istediğimiz kullanıcı yazılır (Murat) >Find Now butonuna basılır.

Arama sonucunda Murat Kantar üzerine Sağ Click yapılarak Properties seçeneğine tıklanır > Object sekmesinde > Canonical name of Object alanında kullanıcının hangi Organization Unit’in altında olduğunu yazar.

FCB.DOMAIN/ISTANBUL/Murat.Kantar

 

Logon Hours

Longon Hours üzerinden  Domain Kullanıcı hesabının haftanın hangi günleri ve hangi saat aralığında logon olacağını ayarlarız.

 

Log On To

Log On To kısmından  kullanıcı hesabının hangi bilgisayarlarda oturum açabileceğini seçeceğimiz alandır. Örnekte KRM010 bilgisayarından başka hiçbir bilgisayarda oturum açamayacağı anlamına gelmektedir.

 

Account Expires

 

Kullanıcı hesabı oluşturulurken belirtilen süre bittiğinde kullanıcı hesabı ile giriş yapamaz, Kullanıcı hesabı devre dışı kalır.

 LDAP Path ( Lighweith Directory Access Protocol )

Active Directory erişim protokolü , Bir yazılımın Active Directory üzerinden veri çekmesi ve veri ekleyebilmesi için LDAP kullanması gerekir.

 LDAP Path  Active Directory üzerinde Organizational unit in içerisinde oluşturulmuş kullanıcının uzantısıdır. Ör;  “cn=murat.kantar,ou=ISTANBUL,dc=FCB,DC=DOMAIN”

 Active Directory de komut ile Organizational Unit ve Kullanıcı oluşturma ?

 

Komut ile OU oluşturma,

 Organizational Unit oluşturma ;  mevcutta bulunan ISTANBUL OU altına USKUDAR oluşturalım.

Komut : Cmd + dsadd ou “ou=USKUDAR,ou=ISTANBUL,dc=FCB,dc=DOMAIN” + enter

 

Komut ile Organizational Unit oluşturma ; Mevcutta bulunan ISTANBUL OU altına USKUDAR oluşturalım.

 Komut : Cmd + dsadd ou “ou=USKUDAR,ou=ISTANBUL,dc=FCB,dc=DOMAIN” + enter

 

Active Directory üzerinde komut ile Users oluşturma

 

Mevcutta bulunan ISTANBUL Organizational Unit in altında ki USKUDAR Organizational Unit in altına Hugo isimli bir kullanıcı oluşturalım;
Komut : Cmd  > dsadd user ou=Hugo,cn=ISTANBUL,cn=USKUDAR,dc=FCB,dc=DOMAIN –disabled no –pwd Aa123456 –upn Hugo@FCB.DOMAIN  + Enter

 Oluşturulan Hugo hesabını komut ile disabled yapma.

Cmd + dsmod user “cn=hugo,ou=USKUDAR,ou=ISTANBUL,dc=fcb,dc=domain” -disabled yes

 Active Directory Birden Fazla Kullanıcı Ekleme

Multiple User

Komut : Cmd >  csvde  -f user.txt veya user.csv( txt veya csv varsa Excel de açar )  ldifde –f user.txt veya user.csv

Öncelikle Active Directory üzerinde standart bir kullanıcı oluşturulur.

 

Run + Cmd + cd.. + Cd..  ile c:\ altına inilir.

Ldifde –f Useraccount.txt komutu ile A.Directory üzerinde ki tüm kullanıcılar txt veya csv olarak kaydedilir.

C: \ useraccount.txt dosyası açılır ve son eklediğimiz user formülünde gereksiz alanlar silinerek yeni bir user ismi yazılır. Formülün düzenlenmiş son hali aşağıdaki gibidir.

dn: CN=Bilgiİslem,OU=GenelMudurluk,DC=Marmara,DC=Local

objectClass: user

cn: Bilgiİslem

givenName: Bilgiİslem

distinguishedName: CN=Bilgiİslem,OU=GenelMudurluk,DC=Marmara,DC=Local

displayName: Bilgiİslem

name: Bilgiİslem

userAccountControl: 512 (  Hesap enabled olarak açılır ) (514 hesap disable açılır )

sAMAccountName: Bilgiİslem

userPrincipalName: Bilgiİslem@Marmara.Local

objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Marmara,DC=Local

 

Formülün son halini hazırladıktan sonra tümü seçilerek Kes yapılarak hafızaya alınır.

Daha sonra Ctrl + V yapılarak yapıştırılır ve Edit + Replace yapılır.

 

Mevcutta ki user account ismi ve ne şekilde değiştirilmesini istediğimiz account ismi yazılır ve bu sistem sürekli devam eder. Ctrl + v / Replace + new account.

 

Mevcutta ki user account ismi ve ne şekilde değiştirilmesini istediğimiz account ismi yazılır ve bu sistem sürekli devam eder. Ctrl + v / Replace + 

 

Oluşturmak istediğimiz kullanıcıları düzenledikten sonra txt farklı bir isimde C:\ altına kaydedilir. İsmi        “ 2.txt “

Active Directory Module for Windows PowerShell açılır .

 

cd..      cd.. ile C:\ dizinine inilir.

 

Komut :  ldifde –k –f 2.txt –i ( Ldifde –k –f 2.txt –i ) ( C:\ altına kaydettiğimiz user bilgilerinin ismi yazılır )

Komut da ki “- k “ var olan kullanıcıları ekleme anlamına gelir.

Komut da ki  “ – i “  import et anlamına gelir.

 

Active Directory üzerinde GenelMudurluk Organization Unit’in içerisine istediğimiz kullanıcılar oluşmuştur.

 

Oluşan tüm kullanıcıların şifresi boş’tur ve ilk girişte şifre oluşturulmasını isteyecektir.

Group Policy üzerinde domain password seçeneğinde minimum parola karakter sayısı 0 değilse eğer bu şekilde user oluşturulamaz.

 

Active Directory Groups

  1. Security Group
  2. Distribution Group

Security Group : ACL ‘ de görülen gruptur. Security tabında görüntülenebilen gruplardır.

 

 

Distribution Group : Mail atmak için kullanılan gruptur. Toplu mail gönderebilmek için oluşturulan gruptur.

 

Örn, Genel_Mudurluk ismi altında bir Distribution Group oluşturulur ve Genel Müdürlükte çalışan kullanıcılar eklenir. Mail atarken Genel Müdürlükde ki tüm kullanıcıları tek tek eklemek yerine Genel_Mudurluk Distribution Group  eklenerek mail gönderilebilir.

 

Group Nesting

 İki grubu farklı bir gruba sokmaya Group Nesting denir.

 

 

Group Scope

 

1. Global Group : Oluşturulan gruba sadece o domain de ki kullanıcılar sokulabilir.

2. Universal Group : Forest Group, Birden fazla domain grupları eklenebilir. Tüm Forestte ki kullanıcılar toplanacaksa Universal Group yapılır.

 3. Domain Local : Mixed mod da kullanılır. Mixed mod da Universal Group yoktur. Domain Controller NT ( Backup DC ) ve 2000 DC olan ortamlara Mixed Mode denir.

 

Windows NT ‘ lerde  DC ler ;

Windows 2000 ve üzeri

Windows NT

Master DC

Primart DC

Additional DC

Backup DC

 

Active Directory Versiyon Yükseltme – Domain Active Directory Versiyon Yükseltme

Domain Controller kurulurken Active Directory versiyonu seçmemizi ister. Windows 2003 Server seçilmişse ve DC kurulu olduğu Server da Windows Server 2008 R2 varsa güncellemek için;

 

Windows 2008 ServerR2 seçilir. Active Directory güncellenebilmesi için Tüm Domain Controller lerin Windows 2008 Server R2 olması gerekir. DC lerden bir tanesi Windows Server 2003 ise bu işlem gerçekleşmez.

 

 Active Directory RecycleBin – Active Directory Çöpkutusu

Active Directory de silinen user çöp tenekesine atılır ve 90 gün orada kalır. 90 gün içerisinde geri dönüş yapılabilir.

Recyclebin özelliğini aktifleştirmek için;

Active Directory Module for Windows PowerShell açılır.

 

Komut :

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=marmara,DC=local’ –Scope ForestOrConfigurationSet –Target ‘marmara.local’

( Siz ilgili yerlere kendi domain bilgilerinizi yazın. )

 

Active Directory üzerinde silinen bir kullanıcı 90 içinde geri getirilebilir.

Active Directory içinde geri getirilebilir.

Active DirectoryModule for Windows PowerShell açılır.

Start > Administrative Tools > Active Directory module for Windows Power Shell

 

Sildiğimiz bir kullanıcıyı RecycleBin özelliği ile geri getirme;

Komut :

Get-ADObject -Filter {displayName -eq “Kullanıcı görünen adı”} -IncludeDeletedObjects | Restore-ADObject

Get-ADObject -Filter {displayName -eq “VeriMerkezi”} -IncludeDeletedObjects | Restore-ADObject 

 

Evet arkadaşlar, bu makalemizde Windows Server 2008 R2 üzerinde Active Directory kullanımıyla ilgili bilgiler verdik, yararlı olması dileğiyle, başka bir makalede görüşmek üzere

One Comment »

  1. uğur Aydınoğlu 08 Ağustos 2012 at 21:11 - Reply

    çok güzel bir makale olmuş.

Yorum Bırak »