Active Directory
Windows Domain və Active Directory
Domen (Domain) nədir?
Təsəvvür edin ki, böyük bir şirkət var. Bu şirkətdə çoxlu kompüterlər, serverlər və işçilər işləyir. Əgər hər kompüter ayrıca idarə olunsa, bu çox vaxt aparar və xaosa səbəb olar. Burada Windows Domain köməyə gəlir.
Domain – bütün kompüterləri, serverləri və istifadəçiləri bir mərkəzdən idarə etməyə imkan verən şəbəkə sistemidir.
Active Directory (AD) nədir?
Active Directory – domenin “beyni”dir. Burada bütün işçilərin (istifadəçilərin), kompüterlərin və serverlərin siyahısı saxlanılır. Kim hansı icazəyə malikdir, hansı qovluğa və ya printerə giriş edə bilər – hamısı AD-də yazılıb.
Məsələn:
Bir tələbə universitetdə öz login və parolu ilə hər hansı kompüterə daxil ola bilir. Çünki həmin parol bütün kompüterlərdə ayrıca yaradılmayıb, AD-də saxlanılır.
Universitet, həm də tələbələrin kompüterlərdə idarəçi hüququnu məhdudlaşdırır. Bu da AD vasitəsilə tətbiq olunan siyasətlərdir.
Domain Controller (DC) nədir?
Domain Controller – Active Directory-ni işlədən serverdir. Onu şirkətin girişində duran qapıçı kimi düşünün:
Sən login və parolu yazanda, DC yoxlayır: “Bu adamın adı siyahıda var? İcazəsi varmı?”
Əgər icazən varsa, daxil olursan. Yoxdursa, sistem səni buraxmır.
Domenin üstünlükləri
Mərkəzləşdirilmiş idarəetmə – İstifadəçiləri və kompüterləri bir mərkəzdən idarə etmək.
Təhlükəsizlik siyasətləri – Qaydaları (parol siyasəti, proqram qadağaları və s.) bütün şəbəkəyə eyni anda tətbiq etmək.
Real Həyat Nümunəsi
Universitet şəbəkəsini düşünün:
Hər tələbəyə bir login və parol verilir.
O parol ilə kampusdakı bütün kompüterlərə daxil ola bilirsən.
Amma sənə idarəçi hüququ verilməyib, məsələn, Control Panel-i açmaq olmur. Çünki bu siyasət Active Directory-dən tətbiq olunub.
Belə yadda saxla:
Domain → Şirkətin ümumi şəbəkəsi
Active Directory (AD) → İstifadəçilər və qaydaların saxlandığı “beyin”
Domain Controller (DC) → Girişdə hamını yoxlayan “qapıçı”
1. Domain: TryHackMe.com
Şəkilin üstündə göstərilən Domain — bütün şəbəkəni birləşdirən “çərçivə”dir.
Yəni burada bütün istifadəçilər, serverlər və kompüterlər TryHackMe.com adlı domenin tərkibindədir.
2. Domain Controller
Ortada yerləşən server Domain Controller (DC)-dir.
Bu, domenin “qapıçısı” və “beyni”dir.
İstifadəçi hər hansı kompüterdə login edəndə, DC həmin login məlumatını Active Directory-də yoxlayır.
DC həm də bütün qaydaları və siyasətləri (məsələn, parol uzunluğu, proqram icazələri) tətbiq edir.
3. File Server
Soldakı File Server — şirkətdəki faylları mərkəzləşdirilmiş şəkildə saxlamaq üçündür.
İstifadəçilər domen hesabları ilə bu serverə bağlanıb ortaq fayllara erişə bilərlər.
Məsələn, “Satış” şöbəsinin sənədləri yalnız həmin şöbənin işçilərinə açıq ola bilər.
4. Database Server
Sağdakı Database Server — məlumat bazalarının saxlandığı serverdir.
Məsələn, şirkətin müştəri məlumatları və ya satış bazası burada yerləşir.
Yalnız icazəsi olan istifadəçilər AD vasitəsilə bu serverə bağlana bilirlər.
5. Workstation və Desktop
Workstation (notbuk) və Desktop (masaüstü PC) — işçilərin gündəlik istifadə etdiyi kompüterlərdir.
Hər ikisi domenə bağlandığı üçün istifadəçilər öz domen hesabları ilə istənilən kompüterə daxil ola bilərlər.
Məsələn, Elvin həm notbukda, həm də ofisdəki masaüstü PC-də eyni login ilə işləyə bilər.
Sadə Nümunə ilə
Bu şəkli bir şirkət ofisi kimi düşün:
Domain → Şirkətin bütün binalarını və işçilərini əhatə edən böyük “şirkət damı”
Domain Controller → Qapıçı + idarəetmə ofisi
File Server → Ortada paylaşılmış sənəd dolabı
Database Server → Şirkətin arxiv və müştəri məlumatları saxlanan xüsusi otaq
Workstation/Desktop → İşçilərin istifadə etdiyi masa və kompüterlər
Active Directory və Domain Controller İş Prosesi
İş axını addım-addım
İstifadəçi – hər hansı fayla, qovluğa və ya serverə erişmək istəyir.
Server – bu tələbi qəbul edir, amma icazəni özü yoxlamır.
Domain Controller (DC) – sorğunu götürüb Active Directory-yə baxır.
Active Directory (AD) – istifadəçi və icazə siyahısına nəzər salır: “bu istifadəçinin icazəsi var / yoxdur”.
Cavab geri qayıdır – serverə məlumat verilir: icazə verildi və ya bloklandı.
Active Directory obyektləri
İstənilən "Windows Domain"nin əsasını Active Directory Domain Service (AD DS) təşkil edir. Bu xidmət şəbəkənizdə mövcud olan bütün "obyektlərin" məlumatlarını saxlayan kataloq kimi çıxış edir. AD tərəfindən dəstəklənən bir çox obyektlər arasında bizim istifadəçilər, qruplar, maşınlar, printerlər, paylaşımlar və bir çox başqaları var. Onlardan bəzilərinə nəzər salaq:
Users - İstifadəçilər
Active Directory-də ən çox rast gəlinən obyektlərdən biri istifadəçilərdir. İstifadəçi – şəbəkəyə daxil ola bilən və resurslara (məsələn, fayl, printer) icazəsi verilən şəxslərdir.
Növləri:
İnsanlar (People): Şirkət işçiləri kimi, şəbəkəyə erişib işləyən şəxslər.
Xidmətlər (Services): Məsələn, IIS və ya MSSQL kimi proqramların işləməsi üçün xüsusi istifadəçi hesabları yaradılır. Onların yalnız öz xidmətlərini işlətmək üçün icazələri olur.
Kompüterlər - Machines
Domenə qoşulan hər kompüter üçün ayrıca obyekt yaradılır. Bu da bir “istifadəçi” kimidir, sadəcə kompüter hesabıdır.
Bu hesablara da müəyyən hüquqlar verilir, amma məhdud səviyyədə.
Kompüterin adı əsasında avtomatik hesab yaranır. Məsələn: DC01 adlı kompüterin hesabı DC01$ şəklində olur.
Qeyd: Kompüter hesablarının parolları avtomatik dəyişdirilir və çox uzun (təxminən 120 simvolluq) olur.
Təhlükəsizlik Qrupları (Security Groups)
Windows ilə tanışsınızsa, yəqin bilirsiniz ki, istifadəçilərə fayllara və resurslara erişim hüquqlarını təyin etmək üçün hər istifadəçiyə fərdi olaraq təyin etmək əvəzinə istifadəçi qruplarına təyin edə bilərsiniz. Bu daha yaxşı idarəetmə imkanı verir, çünki istifadəçiləri mövcud qruplara əlavə edə bilirsiniz və istifadəçilər avtomatik olaraq qrupun imtiyazlarını təhvil alırlar. Təhlükəsizlik qrupları da, təhlükəsizlik üzrə məsul və cavabdehdirlər, buna görə də şəbəkədəki resurslar üzərində imtiyazlara sahib ola bilər.
Qruplarda həm istifadəçilər, həm də maşınlar üzv ola bilər. Lazım gələrsə, qruplara digər qruplar da daxil ola bilər. Qrupların üstünlükləri:
İstifadəçiləri və kompüterləri bir qrupa toplamağa imkan verir.
Qruplara icazə verildikdə, o qrupdakı bütün istifadəçilər və kompüterlər həmin icazəni avtomatik alır. Məsələn: Satış şöbəsindəki bütün işçiləri Sales Group-a əlavə edirsən, onlar avtomatik satış qovluğuna erişim icazəsi alır.
İstifadəçilərə xüsusi imtiyazlar vermək üçün istifadə edilə bilən bir domendə bir neçə qrup ilkin olaraq yaradılır. Nümunə olaraq, domendəki ən vacib qruplardan bəziləri bunlardır:
Domain Admins: Domenin tam idarəçiləri. Bu qrupun istifadəçiləri bütün domen üzərində inzibati (administrative) imtiyazlara malikdirlər. İlkin olaraq, domendə DC daxil olmaqla, istənilən kompüteri idarə edə bilərlər.
Server Operators: Domain Controller-ləri idarə edə bilənlər. Bunlar heç bir inzibati qrup üzvlüyünü dəyişə bilməzlər.
Backup Operators: Faylları nüsxələyənlər. Bu qrupdakı istifadəçilər istənilən fayla erişə bilər (hətta faylın icazələrini yox sayaraq).
Account Operators: Yeni istifadəçi hesabları yarada bilənlər. Bu qrupdakı istifadəçilər, domendə yeni hesab yarada və ya mövcud hesaba dəyişiklik edə bilər.
Domain Users: Domen daxilindəki bütün istifadəçilər bura daxildir.
Domain Computers: Domen daxilindəki bütün kompüterlər bura daxildir.
Domain Controllers: Domen daxilindəki bütün DC-lər bura daxildir.
Active Directory Users and Computers (ADUC)
Domen daxilində istifadəçiləri, kompüterləri və qrupları idarə etmək üçün istifadə olunan əsas alətdir. Start menyusundan “Active Directory Users and Computers” açılır. Burada bütün obyektlər iyerarxik quruluşda (şöbələr, qruplar, istifadəçilər) göstərilir.
Burada OU (Organizational Units) istifadəçiləri və kompüterləri qruplaşdırmaq üçün konteynerdir. Məsələn: IT, Satış, Marketinq kimi şöbələr üçün ayrıca OU yaradıla bilər. Hər OU-ya müxtəlif siyasətlər tətbiq oluna bilər (məsələn, IT-də administrator icazəsi, Satışda məhdud icazə). Bir istifadəçi yalnız bir OU-nun üzvü ola bilər.
Yuxarıdakı görüntüyə baxsaq, görərik ki, 5 alt (child) OU-ya sahib THM adlı OU mövcuddur. OU-ların biznes strukturunu təqlid etməsi çox xarakterikdir, çünki bu, bütün departamentlərə tətbiq olunan əsas siyasətləri səmərəli şəkildə tətbiq etməyə imkan verir. Bu əksər hallarda, gözlənilən model olsa da, OU-ları özünüz təyin edə bilərsiniz.
Default konteynerlər (Windows özü yaradır):
Builtin: Windows-un standart qrupları.
Computers: Domenə bağlanmış bütün kompüterlər burada olur.
Domain Controllers: Bütün DC-lər buradadır.
Users: Domenə aid standart istifadəçi və qruplar.
Managed Service Accounts: Xidmətlər üçün istifadə olunan xüsusi hesablar.
Hər hansısa bir alt OU-nu açdıqda, daxilindəki user-ləri görə, lazım gəlsə user yaratma, silmə, dəyişdirmə kimi sadə tapşırıqları icra edə, hətta parolları belə sıfırlaya bilərsiniz.
Security Group ilə OU fərqi
OU (Organizational Unit): İstifadəçilərə və kompüterlərə siyasətlərin tətbiq olunması üçün əlverişlidir. Bu siyasətlər, təşkilatda roluna əsasən istifadəçi dəstlərinə xas xüsusi konfiqurasiyalar ehtiva edir. Yəni, şirkətdəki insanların roluna görə (məsələn, IT işçisi, satış mütəxəssisi, menecer) onlara fərqli qaydaları təyin etməyə imkan verir. Yadda saxlayın ki, bir istifadəçi yalnız bir OU-da ola bilər, amma bir neçə qrupa daxil ola bilər, çünki bir istifadəçiyə iki müxtəlif siyasət dəstini tətbiq etməyə çalışmağın mənası yoxdur.
Nəticədə:
OU – işçiləri və kompüterləri qruplaşdırmaq üçündür.
Hər qrupun (OU-nun) öz qaydaları ola bilər. Məsələn, IT şöbəsinin istifadəçiləri proqram quraşdıra bilər, amma Satış şöbəsinin istifadəçilərinə bu icazə verilmir.
Bu qaydalar Group Policy vasitəsilə tətbiq olunur və OU sayəsində müəyyən bir şöbəyə aid olan bütün istifadəçilərə eyni anda şamil edilir.
💡 Sadə Analogi ilə:
OU – şöbədir (IT, Satış, Marketinq). Burada işçilərə uyğun qaydalar tətbiq olunur.
Qrup – icazə siyahısıdır (kim printerdən istifadə edə bilər, kim qovluğa girə bilər).
Last updated