Open in app

Sign in

Write

Sign in

SUNUCULAR

SUNUCU YÖNETİMİ

Sergen can
6 min readJun 11, 2023

NetBios ve WINS

NetBios: Bilgisayarların yerelde kendi isimleri ile haberleşmesini sağlayan bir yerel DNS table diyebiliriz. Örneğin bu sayede RDP kullanırken NetBios ismini yazarak erişim sağlayabiliriz.

WINS: Yerel DNS’tir ve NetBiosu içinde çalıştırır çözümleme işlemlerini yapar ve NetBiosa kayıt eder.

RDP-RPC

Remote desktop protokol: Uzak masaüstü bağlantı yapmamızı sağlayan servistir bağlanırken ip veya NetBios adını ister.

ROLE VE FEATURES

Roller bir sunucunun ne iş yapacağını belirler. Featurelar ise hangi özelliklere sahip olacağını. Bir server yapılandırırken kurucağımız özellikler ve roller ile bu server’ın ne hizmeti sunacağını belirleriz.

DOMAIN CONTRELLER(DC)

Active Directory’nin global adıdır. Active directory sadece windows’un DC’ye koyduğu bir isimdir. Yani DC’ye windows’da AD denir.

ACTIVE DIRECTORY

Active Directory basitçe, Domain’e dahil olan cihazların tek bir çatı altından yönetilmesini sağlayan hizmettir.

1- Server işletim sistemini kurduk

2- Rollerini ve Featurelarını belirledik ve yapılandırdık. (Domain contreller üzerinden gideceğiz)

FOREST

Domainlerden oluşan alandır. Bir yada birden fazla domain’den oluşur.

DOMAIN

Domain Türkçe karşılığı etki alanıdır. Bize kullanıcılar ve bilgisayarları dahil etmemizi sağlayan alanın adıdır. Forest’ı dünya gibi düşünürsek içerisinde bulunan ülkeler domaindir. ülkelerde yaşayanlar ise kullanıcılardır.

SUFFIX

Bir domain için verilen yer belirten isimdir.

ÖRNEK: sirket.local gibi bir domainimiz var ise bunun aslında ilk kısmı yani sirket domain, local suffixtir.

DOMAIN JOIN

Domaine bir bilgisayarı eklemek için sırasıyla;

1-Bilgisayara sağ tıklayın ve özellikleri seçin

2-Gelişmiş sistem ayarları

3-Bilgisayar adı

4-Değiştir

5-Üyelik kısmını etki alanına alın ve dahil olmak istediğiniz domaini yazın.

NOT: WORKGROUP Domaine dahil olmada kendi yerel policy ve kullanıcıları ile kendi halinde takılan bilgisayarlardır yani ülkesiz vatandaş diyebiliriz.

6-Dahil olduktan sonra bilgisayarınızın adı artık şu şekilde görünür. Bilgisayar_adı.sirket.local.

NOT:Artık sizde bir ülkenin vatandaşısınız yani bu bilgisayar artık bir domainin üyesi. ve domainde bulunan kullanıcılar bu bilgisayarda oturum açabilir.

BAZI HATALAR: Domain join işlemi sırasında host dosyasına server’ı tanıtabilir veya DNS kısmına server’ın ip’sini verebilirsiniz çünkü AC kurulurken yanında DNS serverda kurulur.

Eğer yapmazsanız hata alırsınız çünkü bilgisayar domain’i bulamaz.

DOMAIN KULLANICILAR VE GRUPLAR

Domain kullanıcıları ve grupları ikiye ayrılır

1-AD KULLANICILARI VE GRUPLARI: AD yani active directory, o bilgisayarın kullanıcıları ve gruplarıdır ve Builtten klasörü altında bulunur. Aynı yereldeki gibi o bilgisayarı ilgilendirir.

2-DOMAIN KULLANICILARI VE GRUPLARI: Domain yani o domain’de bulunan kullanıcı ve gruplardır. Domain’de bulunan bilgisayarlarda oturum açabilir ve yetkileri dahilinde işlem yapabilirler. Users klasörü altında bulunur.

NOT: Bu işletim sistemi artık bir active directory hizmeti verdiği için kendi kullanıcılarının yanında tüm domainde bulunan kullanıcıları da yönetmek zorundadır. Bir Domain’in en yetkilisi yani cumhurbaşkanı Domain Admin’dir. Forest’ın yani tüm dünyanın en yetkilisi ise Enterprise Admin’dir. Kendimiz domain admin olarak yeni kullanıcılar ve gruplar oluşturabilir ve başka gruplara dahil edebiliriz.

- Bir kullanıcı oluşturduğumuzda buna isi soyisim ve bir oturum adı veririz. Oturum adı ile giriş yapmak için eğer yerel kullanıcı ise direk giriş yapar fakat domain kullanıcısı ise DOMAIN_ADI\Oturum_adı veya Oturum_adı@domain_adı olarak giriş yapabilir. Yerelde’de bu şekilde giriş yapılabilir, örneğin .\Oturum_adı, bu kullanıcının yerel kullanıcı olduğunu belirtir. Kullanıcıların yetkinliklerine daha detaylı olarak microsoft learn active directory groups üzerinden ulaşabiliriz.

- Grup oluştururken çıkan scope kavramı, eğer Global seçiliyse bu ve güven ilişkisi kurulmuş diğer domainlerde kullanılabilir anlamına gelirken, Universal kavramı forest içinde ki tüm domainlerde kullanılabilir anlamına gelir. Group type kavramı ise bu grubun bir güvenlik için mi yoksa sadece mail gibi yan işler için mi oluşturulduğunu belirtir.

ORGANİZASYON BİRLİKLERİ(OU)

Domain’de bulunan kullanıcıların departmanına veya başka bir özelliğe göre gruplandırılmasını sağlayan klasörlerdir.

GROUP POLICIES

gpedit.msc ile group policylerimizi açabiliriz.

- Domain adamızın altında Default domain policyler bizi karşılar. Burada hiyerarşik bir yapı vardır. Policyler bulunduğu dizinin altında ne varsa onlara etki ederler.

- Domain contrellers’ın altında ise Domain contrellers policy’ler bulunur.

- GPO’nun içerisinde ise tüm oluşturulmuş policyleri görebiliriz.

Kendimiz bir Policy yazmak için etki etmesini istediğimiz hiyerarşi içerisinde sağ tıklayıp yeni policy oluşturabiliriz. Daha sonra Policylerin içeriğini düzenlemek için istediğimiz policy’e sağ tıklayıp edit diyebiliriz. Bu işlemden sonrası aynı bir local policy ekranı bizi karşılar ve değişiklikleri yapabiliriz. Eğer policyler’de spesifik filtrelemer yapmak istersek, Security Filtering pencerisini kullanabiliriz.

SORU:

IT klasörünün altında bulunan HOST isimli bilgisayar ve MOST isimli bilgisayar bu kurallar’dan etkilensin.

ÇÖZÜM:

IT grubunun altına yeni bir policy yazalım ve ismi de yeni olsun, daha sonra yeni isimli policy’e sağ tıklayıp edit derim ve bilgisayarların etkilenmesini istediğim için Policynin içerisinde bilgisayar bölümünde istediğim kuralları koyup daha sonra çıkış yaparım ve Security Filtering kısmından istediğim bilgisayarları eklerim. Bu bölüm tüm policyler için farklıdır. Default olarak burada Domain policyler için Autenticated Users bulunur yani domain’de bulunan oturum açmış tüm kullanıcılara uygula anlamına gelir. Bende bu kısma istediğim bilgisayarları ekleyerek filtreleme yapabilirim.

NOT: Eğer userlar üzerinde bazı kurallar uygulamak istersem policy edit kısmında User bölümünde kurallar koymam gerekir.

GPO INHERITANCE

Hiyerarşik düzen içerisinde Domain policy altında bulunan her şeye etki eder eğer biz onun altında bir policy yazarsak, bu policyde editlediğimiz özellikler geçerli olur ama belirlemediğimiz özellikler domain policy’lerden kalıtım alır ve onlar uygulanır. Security Filtering’in üstünde bulunan Inheritance sekmesinden hangi policynin birince öncelik olarak uygulanacağını veya ikinci öncelikli olcağını ayarlayabiliriz.

Eğer kendi oluşturduğum policynin üzerine gelip, Default domain contreller policy zorla dersem eğer, birinci sıraya Default domain contreller policy oturur ve onun dediği olur. Aynı şey diğer policyler için geçerlidir tek şart Inheritance olmasıdır.

AD FSMO ROLLERI VE AD MASTERS

AD’nin çok fazla rolü vardır her biri ise başka işler yapar. Bu yükü azaltmak için bazı durumlarda eğer forest üzerinde başka bir AD var ise rollerin bazıları

ona tanımlanabilir.

AD’yi ilgilendiren roller

RID MASTER: Domain üzerinde bulunan bileşenlerin, local’de bulunan SID’ye benzer, domain’de bir GUID almasını sağlar ve bu sayede domain’de ve forest’da bulunan her obje benzersiz bir id’ye sahip olmuş olur.

PDC EMULATOR: Şifre işlemleri, saat senkronizasyonu, GPO yönetimi ve SYSVOL yani sistemin GPO kayıtlarının tutulduğu dosyayı yönetmekten sorumludur.

INFRASTRUCTURE MASTER: Objelerin taşınması ve forest içerisinde bulunan domainlerin birbiri ile haberleşmesini sağlar.

Forest’ı ilgilendiren roller

DOMAIN NAMING MASTER: Yeni oluşturulan objelere RID master’ın GUID vermesi gibi bu da yeni isim verir. Eğer objeyi silme işlemi yapılacaksa aynı şekilde bu Master ile iletişime geçilir ve bu işlemi hem Domain’de aynı zamanda Forest seviyesinde yapar.

SCHEMA MASTER: AD’nin veritabanını oluşturur yani NTDS dosyları ile ilgilenir. tüm Attribute’ları ve Class’ları yönetir bu işlemi forest seviyesinde yapar.

NOT: Bu Master ve rolleri yapılandırmak için, active directory kısmında domain name’in üzerine sağ tıklayıp Masters ‘ı seçebiliriz.

AD YÖNETİLİRKEN DİKKAT EDİLMESİ GEREKEN BAZI ADIMLAR

1-Sunucu registerının ve sunucunun backup oluşturma işlemini yapın.

2-Sunucu’da herkese admin hesabını vermeyin admin olması gerekenlerin kendi hesabını admin yapın. Böylece hata sonrası sorumlu kişiyi bulabiliriz.

3-Grupları bazı grupların üyesi yapın böylece o gruba giren herkes aynı zaman’da birden çok grubun yetkinliğini alabilir.

4-Kimseye yaptığı işten fazlası kadar yetki vermeyin.

5-Kendi policylerinizi oluşturun ve vermek istediğiniz gruba uygulayın. böylece default policylere zarar vermemiş olursunuz aynı zamanda sistemde büyük zararlarada sebep olmassınız.

7-GPO’ları backup alın.

NOT: Eğer Domain Policy’leri bozduysanız ve bir terminale erişiminiz var ise “dcgpofix /target:domain” komutunu kullanabiliriz. Domain contreller policies için ise

“ddcpfix /target:domain” yazabiliriz.

Active Directory
Servers
Domain Controller

--

--

Sergen can
Sergen can

Written by Sergen can

30 Followers
29 Following

CyberSecurity | CPTS | PJPT |

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams