Kullanıcı Yetkilerini Düzenleyin: Windows Server Active Directory (AD) Kurulumu ve Yönetimi
Bir şirket düşünün: 50 çalışanı var, her birinin bilgisayarında farklı bir şifre tanımlı (veya hiç şifre yok). Yeni bir personel işe başladığında, IT sorumlusu o kişinin bilgisayarına gidip tek tek yazıcıları tanıtıyor, gerekli programları kuruyor ve ortak klasörlere erişim veriyor. Biri işten ayrıldığında ise, o kişinin bilgisayarına erişip hesabını kapatmak gerekiyor; eğer unutulursa, eski çalışan şirketin verilerine erişmeye devam edebiliyor. Dosya sunucusunda “Muhasebe” klasörüne herkes girebiliyor çünkü yetkiler düzenlenmemiş. İşte bu senaryo, IT dünyasında “Workgroup” (Çalışma Grubu) kaosu olarak adlandırılır. Bu kaosun ilacı, modern işletmelerin dijital omurgası olan aktif dizin yönetimi sistemidir.
Kurumsal bir yapıda, “Kim?”, “Nereye?”, “Ne Zaman?” ve “Hangi Yetkiyle?” erişebilir sorularının cevabını tek bir merkezden vermek zorundasınız. Microsoft’un Windows Server işletim sistemiyle sunduğu Active Directory (AD), bu soruların cevabını barındıran devasa bir veritabanı ve yönetim servisidir.
Everest Teknoloji olarak, Tuzla ve Gebze’deki sanayi kuruluşlarından İstanbul’daki hukuk bürolarına kadar birçok müşterimizde gözlemlediğimiz temel sorun, Active Directory’nin ya hiç kurulmamış olması ya da “Kur ve Unut” mantığıyla, bakımsız ve güvenliksiz bırakılmasıdır. Oysa aktif dizin yönetimi, yaşayan bir organizmadır. Şirketinizin hiyerarşisi değiştikçe, güvenlik tehditleri arttıkça AD yapınızın da buna adapte olması gerekir.
Bu kapsamlı teknik rehberde, Active Directory’nin ne olduğunu, neden bir Excel tablosu gibi değil de bir “Anayasa” gibi yönetilmesi gerektiğini, Group Policy (GPO) nesnelerinin gücünü ve profesyonel aktif dizin yönetimi süreçlerinin inceliklerini en derin detaylarına kadar inceleyeceğiz. Şirketinizdeki “Dijital Otoriteyi” kurmaya hazırsanız başlayalım.
Active Directory (AD) Nedir? Basit Bir Telefon Rehberi mi?
Active Directory (AD), en basit tabiriyle ağınızdaki tüm nesnelerin (Kullanıcılar, Bilgisayarlar, Yazıcılar, Sunucular) kaydının tutulduğu hiyerarşik bir veritabanıdır. Ancak onu sadece bir telefon rehberi olarak görmek, yeteneklerine hakaret olur. AD, aynı zamanda ağınızın “Trafik Polisi” ve “Gümrük Memuru”dur.
Bir kullanıcı bilgisayarını açıp şifresini girdiğinde, arka planda aktif dizin yönetimi servisleri devreye girer:
Kimlik Doğrulama (Authentication): “Sen gerçekten Ahmet misin?” (Kullanıcı adı ve şifre kontrolü).
Yetkilendirme (Authorization): “Ahmet olduğunu kanıtladın, peki bu dosyayı açmaya yetkin var mı?”
Eğer şirketinizde merkezi bir aktif dizin yönetimi yoksa, her bilgisayar kendi başına bir cumhuriyettir. AD kurulduğunda ise, tüm bilgisayarlar “Domain” (Etki Alanı) denilen tek bir bayrağın altında toplanır ve merkezin kurallarına uyar.
Neden Aktif Dizin Yönetimi Şarttır?
KOBİ’ler genellikle “Biz küçük bir aileyiz, AD’ye gerek var mı?” diye sorar. Cevap kesinlikle evettir. 10 bilgisayarı geçen her yapıda aktif dizin yönetimi bir zorunluluktur.
Merkezi Yönetim: 100 bilgisayara tek tek gidip “USB portlarını kapatmak” günler sürer. AD ile tek bir kural (Policy) yazarak 5 dakikada tüm şirkette USB’leri kapatabilirsiniz.
Güvenlik: Şifre politikalarını (Örn: En az 8 karakter, 3 ayda bir değişim) zorunlu kılabilirsiniz.
Tek Noktadan Erişim (SSO): Kullanıcı, bilgisayarını açtığı şifreyle hem maillerine hem dosya sunucusuna hem de ERP sistemine girebilir.
KVKK Uyumluluğu: Kimin hangi saatte sisteme girdiği, hangi yetkilere sahip olduğu loglanır. Aktif dizin yönetimi, yasal uyumluluğun temel taşıdır.
Temel Bileşenler: Ormanlar, Ağaçlar ve Etki Alanları
Aktif dizin yönetimi jargonunu anlamak, yapıyı doğru kurmak için önemlidir. Microsoft, AD yapısını anlatırken doğadan (Orman, Ağaç) metaforlar kullanır.
Domain (Etki Alanı): Güvenlik sınırıdır. Örneğin
everestteknoloji.combir domaindir. Tüm kullanıcılar ve bilgisayarlar bu çatı altındadır.Domain Controller (DC): AD veritabanını barındıran ve yöneten sunucudur (Kral). DC çökerse, kimse sisteme giremez. Bu yüzden aktif dizin yönetimi stratejisinde en az 2 adet DC (Yedekli yapı) olması önerilir.
Organizational Unit (OU): Şirketinizin departmanlarını (Muhasebe, İK, Satış) dijital ortamda grupladığınız klasörlerdir. Politikalar (GPO) bu birimlere uygulanır.
Forest (Orman): Birden fazla domainin birleştiği en üst yapıdır. Örneğin bir holdingin farklı şirketleri (gida.com, https://www.google.com/search?q=insaat.com) aynı orman içinde birbirine güvenebilir.
Kurulum Öncesi Hazırlık: Temel Sağlam Atılmalı
Başarılı bir aktif dizin yönetimi, doğru bir kurulumla başlar. “Next-Next-Finish” diyerek kurulan bir AD, ileride başınızı ağrıtır.
Everest Teknoloji olarak kurulum öncesi şunlara dikkat ederiz:
Doğru İsimlendirme: Domain adı
.localmı olacak.commu? Bu karar kritiktir. Genellikle iç ağdacorp.sirketadi.comgibi alt domainler tercih edilir.Statik IP: Domain Controller sunucusu asla IP değiştirmemelidir.
DNS (Domain Name System): AD, DNS olmadan yaşayamaz. DNS, bilgisayarların DC’yi bulmasını sağlar. DNS yapılandırması aktif dizin yönetiminin kalbidir. Yanlış DNS, yavaş açılan oturumlar ve hatalar demektir.
Group Policy (GPO) ile Yönetim Gücü
Aktif dizin yönetimi dendiğinde akla gelen en güçlü araç “Group Policy Object” (GPO) yani Grup Politikalarıdır. GPO, şirket kurallarının bilgisayarlara dijital olarak dikte edilmesidir.
GPO ile neler yapabilirsiniz?
Masaüstü Arka Planı: Tüm çalışanların masaüstüne şirket logosunu sabitleyebilirsiniz.
Yazılım Yükleme: 100 bilgisayara tek tek Office veya Antivirüs kurmak yerine, GPO ile otomatik kurulum talimatı verebilirsiniz. Bilgisayar açılırken program kendiliğinden kurulur.
Kısıtlamalar: Denetim masasına erişimi engelleyebilir, saat ayarını değiştirmeyi yasaklayabilir, USB bellek kullanımını kapatabilirsiniz.
Güvenlik Ayarları: Ekranın 5 dakika hareketsiz kaldığında otomatik kilitlenmesini zorunlu kılabilirsiniz.
Etkili bir aktif dizin yönetimi, doğru kurgulanmış GPO yapısı demektir. Gereksiz veya çakışan GPO’lar, bilgisayarların açılış süresini (Logon Time) uzatır. Everest Teknoloji, GPO optimizasyonu konusunda uzmandır.
Kullanıcı ve Yetki Yönetimi: En Az Yetki Prensibi
Bir şirketteki en büyük güvenlik açığı, kullanıcılara gereğinden fazla yetki verilmesidir. Eğer bir muhasebe personeli, bilgisayarında “Local Admin” (Yönetici) yetkisine sahipse, istediği programı kurabilir. Bu da virüs bulaşma riskini artırır.
Profesyonel aktif dizin yönetimi, “Least Privilege” (En Az Yetki) prensibini uygular.
Kullanıcılar bilgisayarlarına program kuramaz.
Sadece kendi departman klasörlerine erişebilirler.
Şifrelerini belirli standartlarda (Büyük harf, küçük harf, rakam) oluşturmak zorundadırlar.
FSMO Rolleri: Görev Dağılımı
Active Directory ortamında, her Domain Controller eşittir (Multi-Master Replication) denilse de, bazı işleri sadece tek bir sunucu yapabilir. Bu özel görevlere FSMO (Flexible Single Master Operations) rolleri denir.
Schema Master
Domain Naming Master
RID Master
PDC Emulator
Infrastructure Master
Bu rollerin hangi sunucuda olduğu, aktif dizin yönetimi ve felaket kurtarma senaryoları için hayati önem taşır. Örneğin PDC Emulator rolüne sahip sunucu çökerse, şifre değişiklikleri anında algılanmaz ve saat senkronizasyonu bozulur. Everest Teknoloji, bu rolleri yedekli yapıda dağıtarak riskleri minimize eder.
Azure Active Directory (Microsoft Entra ID) ve Hibrit Yapı
Günümüzde bulut bilişim kaçınılmazdır. Şirketler Office 365 kullanıyor, verilerini buluta taşıyor. Peki, ofisteki (On-Premise) AD ile buluttaki (Azure AD) kullanıcılar nasıl konuşacak? Kullanıcılar bilgisayarı açarken ayrı, maillerine bakarken ayrı şifre mi kullanacak? Hayır.
Modern aktif dizin yönetimi, hibrit yapıyı gerektirir. “Azure AD Connect” aracı ile yerel sunucunuzdaki kullanıcılar buluta senkronize edilir.
Password Hash Sync: Kullanıcı ofis şifresiyle Office 365’e girebilir.
SSO: Ofis ağındayken şifre bile sormadan bulut uygulamalarına erişir.
Everest Teknoloji, yerel sistemlerinizi buluta entegre ederek kesintisiz bir kimlik yönetimi sağlar.
Güvenlik Sıkılaştırma (Hardening) ve LAPS
Varsayılan ayarlarla kurulan bir AD, güvenlik açıklarına sahiptir. Aktif dizin yönetimi sürecinde güvenlik sıkılaştırması (Hardening) yapılmalıdır.
LAPS (Local Administrator Password Solution): Her bilgisayarın yerel yönetici şifresinin aynı olması büyük bir risktir (Hacker birini kırarsa hepsine girer). LAPS, her bilgisayara farklı ve rastgele bir yönetici şifresi atar ve bunu AD üzerinde saklar.
Protected Users Grubu: Yüksek yetkili hesapların (Domain Admin) güvenliğini artıran özel bir gruptur.
Tier Model (Katmanlı Yapı): Domain Admin hesabıyla son kullanıcı bilgisayarında oturum açılmamalıdır. Bu, şifre özetinin (Hash) çalınmasına neden olabilir. Yöneticiler için ayrı, son kullanıcılar için ayrı güvenlik katmanları oluşturulmalıdır.
Aktif Dizin Sağlık Kontrolü ve Bakım
AD kuruldu, her şey çalışıyor. Peki, arka planda işler yolunda mı? Veritabanı şişiyor mu? Replikasyon (Sunucular arası eşitleme) hatasız çalışıyor mu? Düzenli bakım yapılmayan aktif dizin yönetimi, zamanla yavaşlar ve çöker.
Yapılması gereken rutin kontroller:
DCDIAG: Sunucuların sağlığını kontrol eden komut seti.
Replikasyon Kontrolü: İki DC arasındaki veri akışının sağlıklı olup olmadığı.
Tombstone Lifetime: Silinen nesnelerin veritabanında ne kadar tutulacağı.
Yedekleme (System State Backup): AD’nin yedeği, standart dosya yedeğinden farklıdır. “System State” yedeği alınmalıdır. Bir felaket anında (Tüm DC’lerin çökmesi), bu yedekten “Authoritative Restore” yapılarak sistem ayağa kaldırılır.
Yaygın Yapılan Hatalar
Everest Teknoloji olarak devraldığımız projelerde sıkça gördüğümüz aktif dizin yönetimi hataları şunlardır:
Tek DC ile Çalışmak: O sunucu yanarsa, şirketin tüm dijital kimliği silinir. Mutlaka “Additional Domain Controller” (ADC) olmalıdır.
Herkesin Domain Admin Olması: “Uğraşmayalım, yetki verelim” mantığıyla herkese en üst düzey yetki vermek, siber intihardır.
Çöp Nesneler: Yıllar önce işten ayrılmış personelin veya hurdaya çıkmış bilgisayarların hesaplarının hala aktif olması. Bu hesaplar hackerlar için arka kapıdır.
Zayıf Şifre Politikası: “123456” gibi şifrelere izin verilmesi.
Everest Teknoloji: Profesyonel Yönetim Ortağınız
Active Directory, bir şirketin IT altyapısının kalbidir. Kalp teklerse, vücut (şirket) işleyemez. Everest Teknoloji olarak, Tuzla, Gebze ve İstanbul genelinde sunduğumuz aktif dizin yönetimi hizmetlerimizle altyapınızı güvenceye alıyoruz.
Hizmetlerimiz:
Sıfırdan Kurulum: İşletmenizin yapısına uygun Forest/Domain tasarımı ve kurulumu.
Migrasyon (Taşıma): Eski sunucunuzdan (Örn: Server 2012) yeni sunucuya (Server 2022) kullanıcıları ve şifreleri kayıpsız taşıma.
Health Check (Sağlık Taraması): Mevcut AD yapınızın incelenmesi, hataların giderilmesi ve güvenliğin sıkılaştırılması.
GPO Danışmanlığı: İş süreçlerinize uygun kısıtlama ve yönetim politikalarının yazılması.
Denetim ve İzlenebilirlik (Audit)
KVKK ve 5651 sayılı kanunlar gereği, sistemdeki hareketleri izlemek zorundasınız. “Ahmet’in yetkilerini kim değiştirdi?”, “Muhasebe grubuna kim eklendi?”, “Bu kullanıcı saat kaçta oturum açtı?” Etkili bir aktif dizin yönetimi, bu soruların cevabını verecek “Audit Policy” (Denetim Politikası) ayarlarını içerir. AD logları, merkezi bir log sunucusuna aktarılmalı ve saklanmalıdır.
Maliyet ve Verimlilik Analizi
Active Directory kurmak bir maliyet gibi görünse de, aslında büyük bir tasarruf aracıdır.
Zaman Tasarrufu: Helpdesk (Destek) ekibinin iş yükü %50 azalır. Sorunlar uzaktan ve toplu çözülür.
Lisans Yönetimi: Kimin hangi yazılımı kullandığı envanterden görülür, gereksiz lisans alımı önlenir.
İş Sürekliliği: Kullanıcının bilgisayarı bozulsa bile, başka bir bilgisayardan kendi hesabıyla oturum açıp işine devam edebilir.
Düzeni Yönetin, Kaosu Değil
İşletmeniz büyüdükçe, çalışan sayınız ve cihaz sayınız artacak. Eğer merkezi bir aktif dizin yönetimi sisteminiz yoksa, bu büyüme bir süre sonra yönetilemez bir kaosa dönüşecektir. Güvenlik açıkları artacak, verimlilik düşecek ve IT departmanınız sürekli yangın söndürmeye çalışacaktır.
Active Directory, işletmenize dijital disiplini ve kurumsallığı getirir. Yetkilerin net olduğu, güvenliğin merkezden yönetildiği ve her şeyin kayıt altında olduğu bir yapı, sizi geleceğe taşır.
Everest Teknoloji‘nin uzman mühendis kadrosuyla tanışın. Mevcut yapınızı analiz edelim, eksiklerinizi belirleyelim ve aktif dizin yönetimi süreçlerinizi profesyonel standartlara taşıyalım. Unutmayın, gücü kontrolsüz kullanmak güç değildir; Active Directory size bu kontrolü sağlar. Bizimle iletişime geçebilirsiniz.