24 Ağustos 2008

SBS 2000 DOMAIN YAPISINI WINDOWS SERVER 2003 DOMAIN YAPISINA YÜKSELTMEK

Asagidaki adimlari gerceklestirerek SBS 2000 active directory yapisini Windows Server 2003 active directory yapisina yukseltebilirsiniz :

Windows Server 2003 yeni server sistemine kurun ve mevcut SBS 2000 domainine member server olarak katin. (Tabii DNS vb. adres ayarlarini oncelikle yapin).

SBS 2000 DC uzerinde Windows Server 2003 CD si icerisinde I386 dizininden adprep.exe /forestprep ve adprep.exe /domainprep komutlarini calistirin. Bu islem mevcut SBS 2000 Active Directory Schema yapisini Windows 2003 Active Directory Schema yapisina yukseltecektir. Adprep kullanimi hakkinda http://support.microsoft.com/?id=278875 makalesinden de genis bilgi elde edebilirsiniz.

Schema yukseltilmesi basariyla tamamlandiktan sonra, dcpromo ile bu yeni Windows 2003 Server’i Additional DC olarak active directory kurulumunu gerceklestirerek mevcut SBS 2000 domaine ADC olarak katin.

Active Directory kurulumu yeni server uzerine basariyla gerceklestirildikte n sonra, Control Panel -->Add-Remove Programs -->Add-Remove Components -->Networking Services -->DNS Servisini kurun. Administrative Tools -->DNS konsolunda otomatik olarak mevcut DNS uzerindeki Active Directory Integrated Zone bilgileri olusacaktir. Eger olusmazsa ve ayrica farkli isimde Standart Primary DNS Zone bilgileri mevcutsa, Forward Lookup Zone ve varsa Reverse Lookup Zone yapilarinizi olusturun ve mevcut DC’deki tum DNS kayitlarinin dogru bir sekilde yeni ADC uzerinde de olustugunu kontrol edin.
Yine yeni ADC uzerinde Administrative Tools -->Active Directory Site and Services -->Sites -->Default-First- Site-Name altinda yeni ADC altinda NTDS Settings Properties’ine girin ve Global Catalog kutusunu doldurup, yeni ADC bilgisayarini ayni zamanda Global Catalog Server olarak yapilandirin. Event loglarda 1119 veya 1869 olaylari takip edilerek bu yeni ADC’nin GC oldugunu izleyin.
Sira geldi mevcut SBS 2000 DC uzerindeki Forest Operation Master Roller (Domain Naming Master ve Schema Master) ile, Domain Operation Master Rollerin (PDC Emulator, RID Master, Infrastructure Master) yeni ADC uzerine aktarilmasina. Forest bazinda rollerden Domain Naming Master rolunun aktarilmasi icin Administrative Tools -->Active Directory Domains and Trusts girin. Active Directory Domains and Trusts uzerinde sag tus -->Connect Domain Controller ile yeni ADC’ye baglanin. Hemen akabinda en ustteki Active Directory Domains and Trusts yazisi uzerinde sag tus Operations Master tiklayin.
Karsiniza gelecek Change Operation Master penceresinde ustte su an bu rolun sahibi olan mevcut DC adini, altta da baglandiginiz ADC adini goreceksiniz. Domain Naming Master rolunu yeni ADC ye aktarmak icin Change butonuna basmaniz yeterlidir. Size herhangi bir hata meydana gelmezse, islemin basariyla tamamlandigini soyleyen mesaji verecektir. Sira geldi Schema Master rolunu aktarmaya. Bunun icin de Start -->Run gelin ve asagidaki komutu calistirin.

Regsvr32.exe %systemroot% \system32\ schmmgmt. dll

Bu komut ile Active Directory Schema Snap-in nesnesini register ettik. Yine Start -->Run gelin ve MMC ile MMC konsolu acin. FileàAdd-Remove Snap-in -->Add -->Active Directory Schema Snap-in eklentisini konsola ekleyin ve konsol ana penceresine gelin. Active Directory Schema uzerinde sag tus àChange Domain Controller ile yeni ADC adini girerek ona baglanin. Hemen akabinde yine Active Directory Schema uzerinde sag tus Operations Master tiklayin. Ve Change ile Schema Master rolunu de yeni ADC’ye aktarin.

Sira geldi domain bazinda rolleri aktarmaya. Bunun icin de Active Directory Users and Computers acin. Domain uzerinde sag tus Connect to Domain Controller ile yeni ADC’ye baglanin. Daha sonra yine domain uzerinde sag tus Operation Master tiklayarak PDC, RID ve Infrastructure tabindan butun bu rolleri yeni ADC’ye aktarin. Rollerin aktarimini komut satirindan NTDSUtil araciyla gerceklestirmeniz de mumkun. Bu konuda http://support.microsoft.com/?id=255504 makalesinden de faydalanabilirsiniz.

8. Artik eski DC uzerinde butun rolleri ve gerekli servisleri yenisine aktarmis olduk. Yeni Windows 2003 server DC rolune sahip oldu, eski SBS 2000 server da ADC rolune gecti.
Bu islemin mevcut sistemde oturmasi icin belli bir sure bekleyin.
Client bilgisayarlar uzerinde Preferred DNS Server olarak eski DC’nin adresi tanimli ise bunu yeni DC’ye gore degistirin. Ve clientlarin yeni DC uzerinden basarili bir bicimde sisteme giris yapabildiklerinden, DNS uzerinden basariyla isim cozumlemesi yaptiklarindan, GPO’larin basariyle uygulandigindan emin olmak icin gerekli testlerinizi hem lokal hem de dis baglantilar icin (eger varsa) yapin.
Eger ADC rolune gecen SBS 2000 uzerinde kullanici datalari, vb. onemli bilgiler varsa bunlari da yeni DC ya da farkli bir server uzerine kopyalayin. Burada da serverlar arasi klasor ya da dosyalari kopyalarken izinleri de beraberinde kopyalamak isterseniz XCOPY aracini kullanabilirsiniz. http://support. microsoft. com/kb/323007 adresinde detayli bilgileri bulabilirsiniz. Ayrica ROBOCOPY aracini da kullanabilirsiniz. http://support. microsoft. com/kb/323275/ adresinde Robocopy kullanimi hakkinda bilgi alabilirsiniz.Robocopy’nin GUI versiyonunu http://www.gotdotne t.com/Workspaces /Workspace. aspx?id=108f89b9 -be0b-4ec4- 9736-3a43d39f014 6 ,
https://www. microsoft. com/technet/ technetmag/ issues/2006/ 11/UtilitySpotli ght/default. aspx,
http://www.microsof t.com/technet/ technetmag/ issues/2006/ 11/UtilitySpotli ght/default. aspx
adreslerinden de incelemenizi de tavsiye ederim.
Eger SBS 2000 uzerinde Exchange uygulamasini da kullaniyorsaniz, yeni bir mail server kurulumunu yapip, SBS 2000 uzerindeki mailbox ve public folder bilgileri yeni server’a transfer etmeniz gerekir. Exchange bilgileri SBS 2000’den Windows Server 2003 uzerinde calisan Exchange Server 2003’e transfer edildikten sonra http://support.microsoft.com/default.aspx?scid=kb;en-us;822931 adresindeki makaledeki adimlar takip edilerek SBS 2000 uzerindeki Exchange Server sistemden kaldirilir.

12. Artik SBS 2000 uzerinde dcpromo.exe ile active directory kurulumunu calistirip, active directory uygulamasini eski server uzerinde kaldirabilirsiniz. Eger eski server uzerinden dcpromo ile active directory uygulamasini kaldirmadan sistemden cikartirsaniz, eski server a ait kalintilari elle temizlemeniz gerekir. Bununla ilgili olarak da http://support. microsoft. com/kb/216498 makalesini inceleyebilirsiniz. Fakat size onerim eski server uzerinden dcpromo ile active directory uygulamasini kaldirmaniz. Ayrica domain ortaminda domainin saglamligi, guvenilirligi ve sistemin devamliligi acisinda DC yaninda en az bir ADC bulundurmaniz, Dolayisiyla mevcut DC cokerse ya da herhangi bir nedenden dolayi devre disi kalirsa sistemdeki ADC uzerinden kullanicilar calismaya devam edecektir. Bundan dolayi Windows 2003 DC yanina bir de Windows 2003 ADC eklemenizi onemle oneriyorum.

19 Ağustos 2008

Windows 2008 Server'da Ağ Bağlantı İkonları

Soru :

2008 server'da 2. ethernet kartının simgesini Task bar'da görüntülemeyi başaran varmıdır? Varsa nasıl yapıyoruz?

Cevap:


Windows 2008 gorev cubugunda saatin yaninda gelen ag baglanti simgesi otomatik olarak gelir. Ve uzerine tiklarsaniz ustte acilan pencerede bagli olan tum ethernetlere ait bilgileri gorebilirsiniz. Eski Windows Server ve Professional versiyonlarinda oldugu gibi gorev cubugunda ayri ayri her ethernet karti icin bir ag baglanti ikonu gelmez. Butun hepsi tek bir ikon uzerinde gruplanmis ve toplanmistir. Windows Vista’da da oldugu gibi.

Bu baglanti ikonuna tiklayinca acilan usteki ekranda baglantinin uzerine tiklayarak da Network and Sharing Center icerisinden onun butun ozelliklerine gitmeniz mumkun.

Bu gelen baglanti ikonu uzerinde sag tusa basarak Turn on activity animation ile paket aktivitesini izleyebilirsiniz.

Windows 2008 ve Windows Vista’da bu stilde geliyor.

Eger saatin yaninda bu Network ikonunu gormek istemiyorsaniz Taskbar Properties’de Notification Area tabindan Network kutucugunu bosaltmaniz mumkundur.

15 Ağustos 2008

WINDOWS 2008 ACTİVE DİRECTORY FINE-GRAINED PASSWORD POLICIES

Bu makalemizde Windows Server 2008 Active Directory Servislerinde gelen fine-grained password policies konusu ile ilgili detayları sizlerle paylaşıyor olacağım.
Server 2008 öncesi işletim sistemlerinde active domain yapısı için yalnızca tek bir password policy uygulanabiliyordu, ve onu da domain seviyesinden uygulayabiliyorduk. Ve bu uygulanan policy’de domain içerisindeki tüm kullanıcılara etki ediyordu. Password policy ayarları içerisinde kullanıcıların kullanacakları şifrenin minimum karakter sayısı, yenilenme süresi, kompleks olma özelliği gibi kuralları içermektedir. Çoğu sektördeki sistem yöneticiler password policy ayarlarının OU seviyesinden de uygulanarak sadece o OU içerisindeki kullanıcıları etkilediğini düşünürler ki, bu düşünce tamamen yanlıştır. Domain altındaki OU’lar üzerinden uygulanan password policy ayarları sadece o OU içerisinde bulunan bilgisayarların yerel kullanıcı hesaplarını(local user account) etkilemektedir.
Windows Server 2008 ile gelen fine grained password policies (FGPP) yeteneği sayesinde password policy uygulanmasındaki eski sınırlama kaldırılmıştır. FGPP yeteneği nin kullanılabilmesi için domain içerisindeki tüm domain controller bilgisayarları Windows 2008 versiyonunda olmalı ve domain fonksiyonel seviyesi DFL3’e (Server 2008) yükseltilmelidir. DFL3 seviyesi domain içerisindeki kullanıcılar için farklı password policy uygulamalarının OU seviyesinde yapılabilmesine hala imkan vermemektedir. Fakat DFL3 seviyesi ile doğrudan kullanıcıya ya da gruba farklı password policy ayarlamalarının yapılabilmesine imkan vermektedir. FGPP yeteneği sadece password policy kuralları değil aynı zamanda hesap kilitlenme (account lockout) ayarlamaları yapmaya da imkan vermektedir. Böylece hassas hesaplar için daha az sayıda yanlış giriş denemesi ayarlanarak, hesapları daha hızlı kilitlenebilmektedir. Yönetim açısında policylerin kullanıcı seviyesi yerine grup seviyesinde uygulanmasını tavsiye ediyoruz.
Eğer kullanıcı birden fazla gruba üyeyse ve her gruptan farklı policy geliyorsa, Windows 2008 içerisinde kullanıcı için hangi policy’nin geçerli olacağına karar verebilme yeteneğine sahiptir. Eğer gerek kullanıcı için, gerekse de kullanıcının üye olduğu gruplar için herhangi bir password policy uygulanmamışsa, bu durumda kullanıcı için domain seviyesinden uygulanan password policy geçerli olacaktır. Bu özellikler sayesinde şirketler esnek bir yapıda password policy tanımlaması yapabilirler. Çoğu şirket Windows 2008 öncesi sistemlerdeki tek seviyeden tek bir password policy sınırlamasıyla yaşamaya alışmış olmasına rağmen, bazı şirketler de farklı password policy uygulamaları için ayrı domain yapıları kurarak ya da yüksek fiyatlı üçüncü parti yazılımlar satın alarak çözüme gitmişlerdi. Server 2008 ile artık bütün bunların yerini FGPP yeteneği aldı. Dolayısıyla sırf farklı password policy uygulamasından dolayı farklı domain kuran organizasyonlar mevcut yapılarını konsolide ederek tek bir domain içerisinde toplayarak hem yönetimsel yüklerini hem de donanımsal maliyet yüklerini azaltmış olacaklardır. Hemen hemen çoğu şirket yönetimsel yetkilere sahip ya da uygulamaların servis hesapları için kullanılan kullanıcı hesapları için daha güçlü güvenlik policyleri uygulamak isterler.

FGPP uygulanması active directory system kabı içerisindeki Password Settings Container içerisinde Password Settings Objects (PSOs) nesneleri kullanılarak gerçekleştirilmektedir. PSOs yönetimi için şu anda Microsoft tarafından çıkarılan bir grafiksel araç mevcut değil. PSOs uygulaması şu an itibariyle ADSIEDIT aracı kullanılarak gerçekleştirilmektedir. PSOs uygulaması için çok kullanışlı bir grafiksel araç olmamasına rağmen, her domain controller üzerinde otomatik olarak yüklendiği için şu an ADSIEDIT aracı ile yetinmek durumundayız. Tabii internet üzerinde PSOs yönetimi için üçüncü parti ücretsiz yazılımları da indirip kullanabilirsiniz. Zaman içerisinde Microsoft da PSOs için bir grafiksel arayüz ya da Powershell komut satırı ile daha kullanışlı bir araç sağlayacaktır.


ADSIEDIT Kullanılarak PSOs Oluşturulması

ADSIEDIT kullanılarak beş adımda PSOs oluşturulmasını gerçekleştirebilirsiniz:
Öncelikle domain içerisindeki tüm domain controller bilgisayarlarının Windows 2008 işletim sisteminde çalıştığından ve domain fonksiyonel seviyesinin Server 2008 modunda olduğundan emin olun. Domain fonksiyonel seviyesinin kontrolünü Active Directory Users and Computers içerisinden yapabilirsiniz.


ADSIEDIT .msc komutu ile ADSIEDIT aracını başlatın ve domain veritabanınıza (dc=domain adınız) bağlanın. Daha sonra CN=Password Settings Container, CN=System,DC=domainadınız konumuna gelin.
Password Settings Container nesnesi üzerinde sağ tuşa basıp New àObject tıklayın.
Create Object sihirbazını kullanarak yeni bir msDs-PasswordSettings nesnesi oluşturun. Nesneyi oluştururken aşağıdaki tabloda listelenmiş değerleri kullanın.

ADSIEdit konsolu içerisinde oluşturduğumuz PSO nesnesinin özelliklerinden msDS-PSOAppliesTo özniteliğinin değerinden PSO’nin uygulanacağı kullanıcı ya da grubu göstererek gerçekleştirebilirsiniz. Örneğin ben Admins isimli bir grup oluşturmuştum, onu kullanacağım.
Bu adımlar sonrasında Admins grubu üyesi olan bir kullanıcının şifresi değiştirilmek istendiğinde oluşturulan PSO nesnesinde yukarıdaki tabloda uygulanan gereksinimleri karşılaması gerektiğini kontrol edin.

PSOs ve ADSIEDIT hakkında aşağıdaki makalelerden de detaylı bilgi alabilirsiniz:
ADSIedit Overview
technet2.microsoft.com/WindowsServer/en/library/ebca3324-5427-471a-bc19-9aa1decd3d401033.mspx?mfr=true
PSOMgr
joeware.net/freetools/tools/psomgr/

View a Resultant PSO for a User or a Global Security Group (desget command with effective pso option)technet2.microsoft.com/windowsserver2008/en/library/21a35cbb-398d-4ab4-a6f8-39b76fb0323b1033.mspx?mfr=true

06 Ağustos 2008

WINDOWS 2008 ACTİVE DİRECTORY FONKSİYONEL SEVİYELERİ

Bu makalemizde Windows Server 2008 Active Directory Servisleri fonksiyonel seviyeleri ile ilgili bilgileri sizlerle paylaşıyor olacağım.

Bir önceki makalemizde Windows 2008 Active Directory yapısında gelen en önemli yeniliklerden birinin RODC (Read-Only Domain Controller) olduğundan bahsetmiştim. RODC yeniliğinin kullanılabilmesi için forest fonksiyonel seviyesinin en az seviye 2 (FFL 2) yani Windows 2003 seviyesinde olması gerekir. Fonksiyonel seviye kavramını Windows 2003 ile tanımıştık. Fonksiyonel seviyeler active directory içerisinde çalışan domain controller sunucularının üzerinde çalışan işletim sistemi versiyonlarını, active directory içerisindeki özellikleri etkileyen bir yapıya sahiptir. Örneğin Windows 2000 active directory forest yapısında çalışan bir sistemi (Windows 2000 Fonksiyonel Seviye 0 olarak bilinir.) Windows 2003’e terfi edeceğinizi düşünelim. Windows 2000 forest içerisindeki tüm domain controller bilgisayarlarını Windows Server 2003’e yükselttikten sonra fonksiyonel seviyeyi 0’dan (DFL) 1 seviyesine (DFL2 yani Windows 2003) yükseltebilirsiniz. DFL2 ile domain adının değiştirilebilmesi, son logon zaman-puluna yazabilme gibi yetenekleri kullanabilmeyi sağlamaktadır. Forest içerisindeki tüm domainleri DFL2 seviyesine yükselttikten sonra, forest fonksiyonel seviyesini de FFL seviyesinden FFL2 (Windows 2003) seviyesine yükseltebilirsiniz. FFL2 seviyesi ile de geçişli forest güven ilişkisi, domain adının değiştirilebilmesi, bağlantılı değer senkronizasyonu (LVR- Linked Value Replication) gibi alt seviyelerde kullanılamayan yeni özelliklerin kullanılabilmesi sağlanmıştır. LVR özelliği ile örneğin bir grubun içerisindeki üyeliklere ait sadece değişen bilgilerin replikasyona tabi tutulup, performansın artırılması da sağlanmış oluyor. Windows 2003 active directory yapısı ile gelen bütün yenilikleri tam anlamıyla kullanabilmek için hem domain fonksiyonel seviyesinin DFL2’ye hem de forest fonksiyonel seviyesinin FFL2’ye yükseltilmesi gerekir.




Windows 2008 active diretory içerisindeki çoğu yeni özellik için gerek DFL gerekse de FFL için spesifik bir gereksinim yok, fakat en azından DFL2 ve FFL2 seviyesinde çalışılmasını öneriyoruz. Microsoft Windows 2003 domainlerinde RODC kurulumuna destek vermektedir. Yani Windows 2003’de çalışan domain yapınızdaki domain controller bilgisayarlarınızı Windows 2008’e yükseltmeden Windows Server 2003’de çalışmayı devam ettirirken aynı domain içerisine Windows 2008’de çalışan RODC kurulumu yapabilirsiniz. Tabii öncelikle Windows 2003 domain controller ile Windows 2008 RODC arasında sağlıklı bir iletişimin olması için Windows Server 2003 üzerinde bazı hot-fix yamaların geçilmesi gerekir.
DFL3 seviyesine (Server 2008) çıktığınızda Windows 2008 ile gelen dört önemli özelliği de kullanabileceksiniz. Bu özelliklerin iki tanesi active directory tasarımınızı da etkileyici rol oynamaktadır: Aynı domain içerisinde farklı kullanıcı ve gruplar için farklı password policy’lerin uygulanabilmesi, SYSVOL için DFS Replikasyonunun kullanılabilmesi. FFL3 seviyesine (Server 2008) geçildikten sonra da ilave herhangi bir yeni özellik aktif hale gelmez. FFL3 seviyesine geçiş için forest içerisindeki tüm domainlerdeki tüm domain controller bilgisayarlarının Windows 2008’e yükseltilmesi gerekir. FFL3 seviyesine geçişten sonra mevcut yapıya Windows 2000 Server ya da Windows Server 2003’de çalışan bir domain controller bilgisayar eklenmesi yapılamaz.
RODC hakkında aşağıdaki makalelerden de detaylı bilgi alabilirsiniz:
AD DS: Read-Only Domain Controllers
technet2.microsoft.com/windowsserver2008/en/library/ce82863f-9303-444f-9bb3-ecaf649bd3dd1033.mspx?mfr=true

Domain Controllers Running Windows Server 2003 Perform Automatic Site Coverage for Sites with RODCs
technet2.microsoft.com/windowsserver2008/en/library/c0ec828b-7da2-4627-91a8-2a5312a3ceaa1033.mspx?mfr=true

RODC Features
technet2.microsoft.com/windowsserver2008/en/library/0e8e874f-3ef4-43e6-b496-302a47101e611033.mspx?mfr=true

RODC Frequently Asked Questions
technet2.microsoft.com/windowsserver2008/en/library/e41e0d2f-9527-4eaf-b933-84f7d3b2c94a1033.mspx?mfr=true

02 Ağustos 2008

WINDOWS SERVER 2008 İLE ACTİVE DİRECTORY SERVİSLERİNDE GELEN ÖNEMLİ YENİLİKLER

Bildiğiniz üzere Şubat ayı sonu itibariyle Microsoft tüm dünyada ve ülkemizde Windows Server işletim sistemi ailesinin son versiyonu olan Windows Server 2008 işletim sistemini tüm dünyaya tanıttı ve resmi olarak da ürünün çıkışı gerçekleşmiş oldu.

Bu makalemizde Windows Server 2008 ile Active Directory Servisleri tarafında gelen en önemli yenilikleri ve Windows Server 2008’e Terfi için Active Directory Servisleri açısından önemli nedenlerinizi sizlerle paylaşıyor olacağım.

Windows Server 2008 ile Active Directory servisleri tarafında çok sayıda yeni özellik gelmektedir. Bunlar arasında en göze çarpan değişiklik Read Only Domain Controller (RODC) – Yalnızca Okunabilir Etki Alanı Denetleyicisi olmaktadır. İsminden de tahmin edebileceğiniz gibi bu yeni rol bize yalnızca okunabilir modda çalışan, active directory veritabanına yazma yeteneği kısıtlanmış, etki alanı denetleyicilerini sunmaktadır. RODC olarak kurulan sunucular için replikasyon da tek yönlü gerçekleşmektedir. RODC sunucuları sadece kendine gelen bilgiyi alan bir yapıda replikasyon faaliyetini yerine getirmektedir. Esasında RODC bizleri Windows NT 4.0 zamanlarını hatırlatıyor. Windows NT 4.0 domain yapısında hatırlarsanız PDC ve BDC olmak üzere iki farklı etki alanı denetleyicisi (domain controller) rolü kullanıyorduk. Bir domaini ilk kuran ve yöneten ana etki alanı denetleyicisine PDC, onun yanına yedek ve yardımcı olarak sonradan ilave edilen etki alanı denetleyicilerine de BDC adını veriyorduk. PDC her domainde bir tane olabilirken BDC birden fazla da kurulabiliyordu. Ve BDC’de yapılan bir domain veritabanına ait değişiklik PDC’ye güncellenmeden devreye girmiyordu. İşte Windows Server 2008 ile gelen RODC rolünü de kısmi olarak BDC’ye benzetebiliriz. RODC’un en önemli farkı sadece bizim belirlediğimiz kullanıcıların kullanıcı bilgilerini ve şifre bilgilerini cache’inde depolayabilme özelliğidir. Eğer RODC rolünün kurulduğu konumda 15 kullanıcı varsa, bütün active directory veritabanının RODC’a replikasyon yapılması yerine sadece o lokasyondaki 15 kullanıcıya ait bilgilerin RODC üzerinde cache yapılması çok daha performanslı ve güvenli olacaktır.








Windows Server 2003 ile tanıştığımız cache-global catalog server rolünün fonksiyonelliğine benzerlik göstermektedir. Bu özellikle RODC’un çalınması durumunda oluşabilecek güvenlik riski de minimuma düşürülmüş olacaktır. RODC herhangi bir nedenle kapatıldığında cache içerisindeki bilgiler silineceği ve kullanılamaz hale geleceği için kullanıcı veritabanının da güvenliği sağlanmış olacaktır. Windows 2008 ile gelen RODC rolü sayesinde güvenliği yetersiz olan şube ofis noktaları ile DMZ gibi güvenliğin daha düşük seviyede olduğu noktalar için kurulan etki alanı denetleyici rolleri daha da güvenli hale getirilmiştir. İlerleyen makalelerde RODC rolüne çok daha detaylı olarak inceleyeceğiz.

Windows Server 2008 ile active directory servislerinde gelen bir diğer yenilik de active directory fonksiyonel seviyelerinden olan hem domain fonksiyonel seviyesi (domain functional level –DFL) hem de forest fonksiyonel seviyesinde (forest functional level – FFL) dir. Windows 2008 ile gelen RODC , fine-grained password policy (FGPP), SYSVOL için DFS (Distributed File System – Dağıtık Dosya Sistemi) replikasyon desteği, DNS Replikasyonundaki yenilikler gibi özelliklerin kullanılabilmesi için çalıştığınız domain yapısının ve forest yapısının fonksiyonel seviyeleri son derece önem arzetmektedir.
Windows 2008 Windows 2000 ve Windows Server 2003 active directory yapılarında kullandığımız aynı forest, domain, organizational unit, grup ve kullanıcı modelini kullanmaktadır. Active Directory yönetim araçları olan Active Directory Users and Computers, Active Directory Domain and Trusts, Active Directory Site and Services yine aynı fonksiyonları yerine getiren konsollar olarak kullanılmaktadırlar.
Windows 2008 ile Active Directory tarafında gelen en önemli yenilik teknik isimlendirmelerde karşımıza çıkıyor. Şimdiye kadar Active Directory olarak kullandığımız teknik ifadenin yerini Windows 2008 ile beraber Active Directory Domain Services (AD DS) almıştır. Bu isimsel değişiklik yine arka planda Windows 2000 ve Windows Server 2003’den alışık olduğumuz mimari ve araçları kullanmaktadır.

Windows 2008 ile beraber gelen active directory tarafındaki yeniliklerden biri de active directory servislerinin standart servisler gibi normal modda çalışırken durdurulup, başlatılabilmesidir. Bu yenilik sayesinde artık domain controller bilgisayarlarını bakım operasyonları için Directory Service Restore Mode açılışı yapmanıza gerek kalmayacaktır.
Windows 2008 ile gelen bir diğer isim değişikliği de ADAM bileşeninde karşımıza çıkmaktadır. Eski Active Directory in Application Mode (ADAM) ifadesinin yerini Active Directory Lightweight Directory Services (AD LDS) almıştır. ADAM, Windows Server 2003’e eklenti olarak sonradan Microsoft’un web sitesinden indirilip kurulabilen bir uygulamaydı.





Ve kullanım amacı şirketinizde dışardan çalışan sözleşmeli elemanlara, danışmanlara, bayilerinize kendi active directory veritabanınız yerine ADAM veritabanında hesaplar açıp, bu hesaplara da ağ kaynakları, sharepoint kütüphaneleri ve web servisleri üzerinde yetkinin tanımlanmasını sağlayan bileşen olarak kullanmaktı.
AD LDS, fonksiyonellik olarak ADAM ile aynıdır ve organizasyon dışındaki kullanıcılara kaynakların kullanımını açmayı sağlayan bileşendir. İlerleyen makalelerimizde AD LDS konusunda daha detaylı uygulamalarla sizlerle bilgiler sunacağım.







Windows 2008 içerisinde active directory servislerinden en önemli bir diğer servis de Active Directory Federation Services (AD FS)’dir. AD FS, Windows Server 2003 R2 ile tanıştığımız ve amacı çoklu active directory forest yapılarının birbirine bağlanarak bir federasyon yapısının kurulmasını sağlayan servistir. Windows 2008 ile gelen Active Directory Federation Services sayesinde de farklı Active Directory Domain Service sistemleri arasında federasyon oluşumunun yapılması sağlanacaktır. Böylece farklı active directory domain servislerinin birbirleri arasında active directory bilgilerini paylaşmaları sağlanmış olacaktır. Özellikle ticari alanda faaliyet gösteren tedarikçi ve dağıtıcı firmaların bayi ağları için karşılıklı dizin servisleri bilgilerini paylaşarak bilgi paylaşımı, özgürce haberleşme ve kolaylıkla yardımlaşmalarını sağlayan servislerdir.
Windows Server 2008 ile active directory yapısındaki bir diğer yenilik de group policy yönetiminde karşımıza çıkmaktadır. Windows 2008 ile 800’ün üzerinde yeni GPO nesnesi özellikle Windows 2008 ve Windows Vista sistemlerde kullanım için karşımıza çıkmaktadır. Group Policy’nin temel fonksiyonelliği aynen korunmasının yanında Group Policy Editor (GPEDIT) ve Group Policy Management Console (GPMC) konsolları da işlevselliği daha da geliştirilerek korunmaktadır. GPMC, ayrı bir konsol olarak çalıştırılabileceği gibi, Server Manager içerisinden Features altından da açılabilir.
Windows 2008'de bilgisayarlara uygulanan group policy ayarları administrator yetkisine sahip kullanıcılar için farklı, administrator yetkisine sahip olmayanlar için de farklı uygulanabiliyor.
NOT: Windows 2008’de group policy yönetimi konsolunu Windows 2008’de ya da Windows Vista sisteminde çalışan bir sistem üzerinden çalıştırmalısınız. Windows Server 2003 ya da Windows XP işletim sisteminde çalışan bir bilgisayardan Windows 2008 group policy ayarlarının tamamını konfigüre etme desteği yoktur. Çünkü Windows 2008 ile group policy ayarları için ADMX ve ADML uzantılı yeni bir şablon dosya formatı gelmiştir ve bu formata sadece Windows 2008 ve Windows Vista sistemlerden ulaşabilirsiniz.

Windows 2008 ile gelen fine-grained password policy özelliği ile artık active directory domaininde kullanıcı ve grup bazında da password policy yapılandırılabiliyor. Windows 2000 ve Windows Server 2003 active directory yapısında hatırlarsanız, domain ortamında çalışan kullanıcılar için password policy ayarları sadece domain seviyesinde uygulanabiliyor ve bu ayarlar da domaindeki tüm kullanıcılara etki ediyordu. Belli bir kullanıcı grubu için domain ortamında farklı bir password policy uygulamak üçüncü parti yazılımlar kullanmadan mümkün olmuyordu. Windows 2008 ile artık kullanıcı ve grup seviyesinde farklı password policy’ler uygulayabiliyoruz.