En basit ve kısa tanımı ile Azure Active Directory, Microsoft 'un bulut tabanlı servisleri için kimlik ve erişim yönetim hizmetidir. Windows Server Active Directory, Windows 2000 Server işletim sisteminden beri kurum, kuruluş, işletmeler ve kendi veri merkezlerimizde kaynaklara erişim, kullanıcı yönetimi ve kimlik yetkilendirmek için kullandığımız AD DS (Active Directory Domain Service) rol hizmetidir. Windows Server

Active Directory, LDAP ve Kerberos protokollerini kullanarak çalışmaktadır.Azure Active Directory, Microsoft Azure bulutunda hizmet veren Iaas, PaaS ve Saas yapılarındaki tüm servis ve hizmetlerin kullanıcı, kimlik yönetimi ve yetkilendirmesi için kullanılan uygulamasıdır. Windows Server Active Directory servisinden farklı olarak çalışma yapısı Office 365,  Azure SQL, Intune, Azure’un daha birçok benzer servisi için web tabanlı hizmetlerde aktif görev üstlenmek üzere hazırlanmıştır. SAML, WS*, OAuth 2.0 ve Graph API gibi gelişmiş protokolleri kullanır.

Azure AD için Windows Server Active Directory yapısının web servisi olarak yorumlamak son derece hatalı bir yaklaşım olacaktır. Azure AD bulut alt yapısı sayesinde milyonlarca abone altındaki milyonlarca kullanıcının yönetimini çok hızlı yapabilecek alt yapıya sahiptir. Azure üzerinde web uygulamalarınızın veya iş gereksinimlerinize göre kaynaklarınızı ve erişimleri denetlemek için Azure AD kullanabilirsiniz. SSO ekleyerek mevcut kimlik yönetim bilgilerini kullanabilirsiniz. Uygulama deneyimlerinizi arttırmak için kullanabileceğiniz APIler de sağlar.

Azure AD  ile Windows Server Active Directory arasındaki farklardan ve Azure AD nin temel avantajlarından bahsetmişken Azure Active Directory Domain Service’ne değinmeden geçemeyeceğim. Azure ilk başladığı dönemlerde Active Directory Domain Service için IaaS olarak oluşturulan Windows Server işletim sistemi üzerine AD DS rolü yüklenerek sağlanıyordu. Azure AD Domain Sevice yayınlanması ile vm üzerine kurulum yapılmasına gerek kalmadan direk servis olarak alınabilir duruma gelmiştir. Bu hizmet sayesinde Windows Server Active Directory ile uyumlu olan bu servis NTLM, kerberos, LDAP servislerini sunan bir bulut hizmeti haline gelmiştir.

Azure AD ile On-Primeses yapınızda bulunan Windows Server Active Directory ’nizi eşzamanlı hale getirebilir ve merkezi bir yönetim kurgusu oluşturabilirsiniz. Azure AD Connect ile çok basit bir şekilde yapabileceğiniz bu işlem ile Azure AD ve lokasyonunuz da bulunan AD DS hizmetinizi eş zamanlı hale getirip kullanabilirsiniz.

Azure AD'nin coğrafi olarak dağıtılmış mimarisi, kapsamlı monitör servisleri, load balancer ve kurtarma özellikleri ile en iyi performansı sunar.

Azure AD, Çoklu oturum açma ile uygulamalarınıza her yerden erişim sağlamanız için tasarlanmıştır. Azure AD Koşullu erişim yada çok faktörlü kimlik doğrulaması ile güvenliğinizi maksimum seviyeye taşımanızı sağlar.

Azure AD denemek için https://azure.microsoft.com/tr-tr/services/active-directory/ linkini ziyaret edip ücretsiz kullanmaya başlayabilirsiniz.

Active Directory, bir dizin servisidir. Çok sık olarak anlatılan eskiden özelikle kullanılan sarı sayfalar örneğidir. Sarı sayfalarda aradığınız bir şirketin yada restorandın adres ve telefon bilgilerini veren sarı sayfalar bir dizin servisidir. Dijital ortamdaki dizin servisi de benzer bir yapıya sahiptir.

Microsoft tarafından geliştirilen Windows Server ve Windows Client işletim sistemlerinizi, bu işletim sistemlerin çalıştığı bilgisayarları, bilgisayarlarda oturum açan kullanıcıları ve ağ yazıcılarının bilgilerini tutan kısacası fiziksel ve mantıksal nesnelerin bilgilerini tutan, bu verilerin yönetimini sağlayan servise Active Directory Domain Sevice denir.

Dizin servisi ulaşmak istediğiniz nesneye ait ihtiyacınız olan detaylı bilgiyi içeren servistir. Kendine ait LDAP uyumlu veri tabanı yapısı sayesinde sunucular, bilgisayarlar, yazıcılar ve bu cihazların kullanıcılarına ait tüm bilgilerini oluşturulan yapı içerisine kaydeder. Oluşturulan yapı sayesinde yönetimsel kısıtlamalar uygulanabilir veya kullanıcılara yetkilendirme seviyeleri belirleyerek erişim izinleri belirlenebilir.

Active Directory ilk olarak Windows Server 2000 ile kullanıma sunulmuştur. Active Directory ilerleyen teknoloji ve gereksinimler doğrultusunda geliştirilmiş Windows Server 2019 işletim sisteminde en güncel halini almıştır.

Merkezi yönetim kolaylığı sayesinde kaynak ve kullanıcılar lokasyon fark etmeksizin tek bir noktadan yönetilebilir.

Active Directory Domain Services yüklü sunucular Domain Controller olarak adlandırılmaktadır. Aynı domain içerisinde bulunan  her domain controller senkronize haklara ve senkronize veri tabanına sahiptir. Scalability özelliği sayesinde AD DS yapısı ihtiyaç durumdan da genişletebilir ve büyütülebilir.

Windows Server işletim sistemi üzerinde varsayılan bir kurulum gerçekleştirdiğinizde AD DS servisini aşağıdaki yönetim araçları, dizin ve dosya isimleri ile oluşturmaktadır.

Active Directory mantıksal yapısı aşağıdaki gibidir.

Forest: Mantıksal yapının en üstteki katmanıdır. Yapısında birden fazla domain, domain tree bulundurabilir.

Domain: Active Directory yapısının temeli “Domain”den (etki alanından) oluşmaktadır. Windows işletim sistemleri yüklü ağınızda merkezi yönetimi sağlayan birim Domaindir.

Domain Tree: Aynı yapı altında toplanan domainlere domain tree adı verilir. Domain tree, parent domain yada child domainler ile genişletilebilir.

Organizational unit (OU): Domain içerisindeki nesneleri yönetmek ve organize etmek için oluşturulmuş birime Organizational unit denir. Yapınızın biçiminde göre şekillendirilebilen OU departman, coğrafi olarak yada sizin için en uygun yapı mimari edilerek oluşturulabilir.

Global Catalog: AD DS yapılarında bulunan tüm nesne ve kaynakların bilgilerini tutan nesne ve kaynağa ulaşmak istediğinizde Domain controller sunucusuna global catalog sunucusu adı da verilir. Global catalog veri tabanı aynı forest yapısında bulunan tüm domain controller sunucularında senkron durumdadır.

Trust Relationships: İki farklı domain yapısı arasında bilgi ve kaynak paylaşımı için kurgulanan yapıya Trust Relationship adı verilir.

Active Directory fiziksel yapısı aşağıdaki gibidir.

Site: Aynı yapı içerisinde Domain controller rolüne sahip sunucuların arasındaki senkronizasyon trafiğini ve süresini kontrol altına almak için tasarlanan yapılara site adı verilir.

Domain Controller: Domain yapısı kurulan içinde bulunan nesnelerin ve kaynakların veri tabanını oluşturan sunuculara Domain Controller (DC) adı verilir.

Active Directory Flexible Single Master of Operation (FSMO) Rolleri

Schema master: AD DS içerisinde oluşturulan objelerin tanımlanan özeliklerini belirleyen temel yapıdır.             

Domain naming master:  Etki alanı adlarını yapısında tutan kılavuzdur.

PDC: Yapıda birden fazla domain controller var ise aradaki sync görevini üstlenir. Oturumların kontrol mekanizmasıdır.

RID pool manager: Network içerisinde bulunan objelerin uniq id almasını sağlar.       

Infrastructure master: Global Catalog ile sync sağlar. 

Lightweight Directory Access Protocol ( LDAP :( AD içinde Sorgulama ve güncelleme için kullanılan, temel bir directory servis protokolüdür. LDAP ile Active Directory nesneleri OU(Organizational Units) ve CN(Common Name) kullanılarak, Active Directory yapısında tanımlama sağlanır. LDAP, Active Directory nesnlerine erişimde iki tanım kullanılır.

-Distinguished Names

-Relative Distinguished Names

Distinguished names: Tüm Active Directory objeleri, Network ortamında kendilerine ulaşılmasını sağlayan komple path içeren, distinguished name’e sahiptir.

Örneğin;

CN=Emre Ozan, OU=Yazar, DC=mshowto, DC=com

Burada kullanılan CN=Common Name OU=Organizational Unit DC=Domain Controller anlamındadır.

CN: Grup ve kullanıcı adları tanımlamalarında kullanılır

OU: Organization Units tanımlamalarında kullanılır.

DC: Domain yapısını belirler. Tüm DNS akışı tek tek yazılır. Örneğin: Domain adı emreozanmemis.com ise, DC=emreozanmemis, DC=com şeklinde belirtilir.

Relative Distinguished Name: LDAP distinguished name içerisinde yer alır ve objeye ait eşsiz(unique) tanımlamayı kapsar. Yani, bu Active Directory içinde belirtilen Domain içinde tektir.

Windows Server 2019 üzerinde standart bir AD DS kurulumu sırasında yönetim toolları ile birlikte kurulum gerçekleştiğinde aşağıdaki araçlar yüklenmektedir.

- > Active Directory Domain Services

- > Group Policy Management

- > Remote Server Administration Tools

-- > AD DS and AD LDS Tools

--- > Active Directory modüle for Windows PowerShell

--- > AD DS Tools

----  > Active Directory Administrative Center

---- > AD DS Snap-Ins and Command-Line Tools

Yükleme sonrası promote işlemi sırasında belirleyebileceğiniz AD DS pathslerinin varsayılan lokasyonları aşağıdaki şekildedir.

Database folder:              C:\Windows\NTDS

Log files folder:                 C:\Windows\NTDS

SYSVOL:                               C:\Windows\SYSVOL

AD DS için oluşturulan Veri tabanın dosya ismi ise ntds.dit (New Technology Directory Service-Directory Information Tree)’ şeklindedir. C:\Windows\NTDS dizinde yer almaktadır.