Active Directory Domain Services (AD DS) tasarımı, FSMO rolleri, Forest/Domain yapıları ve kimlik yönetimi güvenliği (Tier Model).
31 yazı bulundu
Merhaba, bu yazımızda Windows Server 2025 üzerinde Active Directory Domain Services (AD DS) kurulum sürecini adım adım ele alacağız. Active Directory, Windows ortamlarında kullanıcılar, bilgisayarlar ve diğer kaynakların yönetimi için hayati bir rol oynamaktadır.
Windows Server 2025 ile birlikte Active Directory Domain Services (AD DS) ve Lightweight Directory Services (AD LDS) artık 32 K sayfa boyutlu ESE (Extensible Storage Engine) veritabanı kullanma yeteneğine sahiptir. Varsayılan olarak yeni kurulan orman ve etki alanları, geriye dönük uyumluluk için “8 K page simülasyon modu” ile başlar; ancak gerçek 32 K sayfa boyutuna geçiş, orman düzeyinde tek seferlik bir işlemdir ve tüm etki alanı denetleyicilerinin (DC) 32 K uyumlu veritabanına sahip olmasını gerektirir.
Active Directory Domain Services (AD DS) ve Lightweight Directory Services (AD LDS), verilerini Extensible Storage Engine (ESE) üzerinde saklar. Windows 2000’den bu yana ESE veritabanı 8 KB sayfa boyutunu kullanıyordu; bu mimari, Forest ve etki alanı içindeki nesne ölçeklenebilirliğini sınırlayabiliyordu.
Microsoft, Exchange ve SharePoint gibi birçok uygulamasında kullanıcıların Active Directory (AD) ya da Azure Active Directory (AAD) (Entra ID) üzerinde yer alan profil fotoğraflarını kullanmasına olanak tanımaktadır. Bu fotoğraflar genellikle thumbnailPhoto attribute’u içerisinde saklanır.
Microsoft Store, Windows cihazlarında uygulamaları ve oyunları yüklemek için kullanılan bir platformdur. Ancak bazı kurumsal veya bireysel durumlarda Microsoft Store’un devre dışı bırakılması gerekebilir. Bu, özellikle çocukların veya çalışanların yetkisiz uygulamaları yüklemesini engellemek veya sistem kaynaklarını optimize etmek için yapılan bir işlemdir.
Golden Certificate, Active Directory Certificte Services (AD CS) ihlalinin üzerine inşa edilen bir kalıcılık tekniğidir.
Active Directory (AD) yönetimi, organizasyonlardaki IT uzmanları için vazgeçilmez bir görev olabilir. Kullanıcı yönetimi, güvenlik politikalarının uygulanması ve sistem entegrasyonu gibi birçok süreç, AD’nin etkin kullanımını gerektirir.
Grup Yönetilen Hizmet Hesapları (GMSA - Group Managed Service Accounts), Microsoft Active Directory‘nin (AD) bir özelliği olan Yönetilen Hizmet Hesapları’nın (MSA) gelişmiş bir versiyonudur.
Güvenlik, dijital çağın en önemli unsurlarından biridir. Özellikle, ağ güvenliği ve kullanıcı kimlik doğrulama süreçleri, kuruluşların siber tehditlere karşı savunmasında kritik rol oynamaktadır. Bu bağlamda, “Allow Anonymous SID/Name Translation Policy” (Anonim SID/Ad Çevirisi Politikası İzin Verme), Windows sunucu ortamlarında önemli bir güvenlik ayarıdır.
Microsoft, Windows işletim sistemi için düzenli olarak güvenlik güncellemeleri ve iyileştirmeleri yayınlamaktadır. KB5020276 güncellemesi, netjoin işlemi sırasında yapılan bazı güvenlik geliştirmelerini içermektedir.
Group Policy Loopback, Windows Server‘ın merkezi olarak politika yönetim özelliklerine bir katkıdır. Bu özellik, belirli bilgisayarlarda oturum açan kullanıcılar için uygulanan politikaları belirleme yeteneği sunar. Loopback işlemi, kullanıcı bazlı politikaların yerini alabilir veya bunları değiştirebilir, böylece sistem yöneticileri, bir bilgisayarda oturum açan her kullanıcı için sabit, bilgisayar tabanlı politikalar oluşturabilir.
SMB protokolü, Microsoft tabanlı bir ağda dosya ve yazıcı paylaşımı sağlamak için kullanılmaktadır. Aktarım halindeki SMB trafiğini değiştirebilecek ortadaki adam (MITM) saldırılarının algılanmasına yardımcı olmak için, SMB imzalamayı grup ilkesi aracılığıyla yapılandırabilmekteyiz.
LLMNR ve NetBIOS protokolleri çoğu kuruluşta eski Windows OS için kullanılmaktadır, bu iki eski protokolde MITM saldırılarına karşı hassas çalışmaktadır. (LLMNR ve NetBIOS IPv4 ve IPv6 için ad çözümlemesi için kullanılmaktadır.)
Domain üyesi olan bir bilgisayarda kullanıcılar oturum açtıklarında aşağıdaki hata ile karşılaşabilirler.
Bir ihtiyaç doğrultusunda hazırlamış olduğum bu script ile PowerShell kullanarak Active Directory (AD) kullanıcılarını toplu bir şekilde belirlediğimiz gruplara üye yapabilmekteyiz.
Microsoft’un Local Administrator Password Solution (LAPS) çözümü, domain içindeki Windows istemcilerinin lokal yönetici şifrelerinin merkezi olarak yönetilmesine olanak tanır. LAPS, her bir istemci için benzersiz ve rastgele şifreler üretir ve bu şifreleri belirli aralıklarla otomatik olarak yeniler.
Kuruluşlar, Microsoft’un Dizin hizmeti olan Active Directory‘yi geniş çapta kullanmaktadır. Microsoft, Windows Server 2012 R2 ile birlikte kimlik hırsızlığına karşı üstün koruma sağlayan “Protected Users” adlı bir güvenlik grubu tanıttı.
Kurumsal sistemlerde saat senkronizasyonu ve doğruluğu, W32Time servisi aracılığıyla Kerberos kimlik doğrulamasının stabil şekilde çalışmasını sağlamakta ve ağ güvenliğimiz için kritik öneme sahiptir. Bu servis, bir hiyerarşi içinde çalışarak, domaine bağlı tüm istemcilerin saat bilgisini, PDC Rolüne sahip Domain Controller‘dan almasını sağlar.
Daha önceki makalelerimizde PowerShell ile UPN Değiştirme ve IDFix kullanımı üzerine detaylı bilgiler vermiştik. Şimdi ise Exchange Server‘da yinelenen SMTP adreslerinin nasıl tespit edileceğini ve çözüm yollarını inceleyeceğiz.
Active Directory‘de FSMO rollerinin taşınması sonrasında, rollerin yeni barındırıldığı sunucuda beklenmedik sorunlarla karşılaşılabilir.
Active Directory Geri Dönüşüm Kutusu, yanlışlıkla silinen kullanıcıları, objeleri ve nesneleri belirli bir süre boyunca saklayarak, bunların tamamen silinmeden önce kurtarılmasına olanak tanır. Bu özellik etkinleştirildikten sonra, DC’yi yeniden başlatmanıza gerek kalmaz.
Active Directory Snapshot Windows Server 2008 ile birlikte hayatımıza girmişti. AD yapımızda silinen veya değişiklik yapılan objelerimizi eski haline getirmek için pratik bir çözümdür.
11 Ekim 2022 tarihinde yayımlanan KB5020276 Microsoft güncellemesi CVE-2022-38042 için yama içermektedir, ilgili yama ek koruma ile birlikte gelmektedir.
Microsoft 365’e geçiş sürecinde, şirket içi (on-premises) Active Directory yapınızla Azure Active Directory (Entra ID) arasında kullanıcı senkronizasyonu yapmanız gerekecektir.
On-Premises Exchange Server sisteminizi Office 365‘e taşımak ve Azure Active Directory (Entra ID Connect) üzerinden kullanıcılarınızı eşitlemek istiyorsanız, Azure Active Directory (Entra ID Connect) kurulumundan önce yapmanız gereken bazı önemli yapılandırmalar bulunmaktadır.
Merhaba, bu yazımızda Windows Server 2022 üzerinde Active Directory Domain Services (AD DS) kurulum sürecini adım adım ele alacağız. Active Directory, Windows ortamlarında kullanıcılar, bilgisayarlar ve diğer kaynakların yönetimi için hayati bir rol oynamaktadır.
Bu makalemizde, Active Directory domain yapınızı güvenli tutmanın önemli yollarından biri olan Güvenlik Politikaları (Group Policy) üzerinde odaklanacağız. Özellikle, çıkarılabilir disk sürücülerinin devre dışı bırakılması, komut istemi (CMD) engellemesi ve kullanılmayan kullanıcı hesaplarının temizlenmesi gibi kritik güvenlik önlemlerini detaylıca ele alacağız.
Bilgisayar sistemlerinde güvenlik, kullanıcı kimliklerinin ve kaynaklara erişimin doğru şekilde yönetilmesine bağlıdır. Özellikle Windows işletim sistemlerinde, her kullanıcı, grup, cihaz ya da sistem bileşeninin benzersiz şekilde tanımlanabilmesi, güvenli ve izlenebilir bir altyapının temelini oluşturur. Bu amaçla kullanılan yapı taşlarından biri de SID (Security Identifier) yani Güvenlik Tanımlayıcısıdır.
Domain Controller’lar, bir network üzerindeki kullanıcı kimlik doğrulama işlemlerini ve güvenlik politikalarının uygulanmasını merkezi olarak yöneten temel bileşenlerdir. Ancak yalnızca bir Domain Controller’a sahip olmak, sistemde yaşanabilecek bir arıza durumunda tüm ağı işlevsiz hâle getirebilir ve ciddi kesintilere yol açabilir.
Gelişen sistemler ile birlikte, ortamlarımız da kullandığımız sistemler de değişmeye başladı. Bu değişimler ve gelişimler bizim ortamlarımızı daha güvenilir bir şekilde yönetmemizi gerektirmektedir. Bu yönetimi sağlamanın en performanslı ve en güvenilir yollarından bir tanesi ise Microsoft’un Windows Server Core işletim sistemleri olabilir.
Merhaba! Bu makalede, Active Directory Domain yapısı içindeki Domain Controller makinelerimizde FSMO rollerinin nasıl taşınacağını ve Metadata Cleanup işleminin nasıl yapılacağını ele alacağız.
