UZAK
BAĞLANTI

İletişim Bilgileri

İletişime Geç
Bilcom Teknik
0538 059 17 12

Active Directory Nedir?

Active Directory Nedir? Kurumsal Kimlik ve Erişim Yönetimi

Active Directory (AD); Microsoft tarafından geliştirilen, kurumsal bir ağ üzerindeki kullanıcı, bilgisayar, sunucu, yazıcı ve grup gibi tüm nesnelerin (objects) kimlik bilgilerini ve merkezi ayarlarını güvenli bir veritabanında saklayan, bu kaynakları tek bir merkezden yönetmeyi sağlayan Dizin Hizmetidir (Directory Service). Active Directory, kurumsal ağlarda siber güvenliğin ve operasyonel yönetimin temel omurgasını oluşturur.

LDAP (Lightweight Directory Access Protocol) tabanlı çalışan Active Directory, BT ekiplerinin binlerce kullanıcıyı ve cihazı tek tek yapılandırmak yerine, merkezi Grup İlkeleri (Group Policy Objects - GPO) ve hiyerarşik organizasyon yapıları kullanarak saniyeler içinde denetlemesine, yetkilendirmesine ve siber tehditlere karşı korumasına olanak tanır.

Active Directory Mantıksal Mimarisi: Forest, Tree, Domain ve OU

Active Directory, büyük ölçekli kurumsal ağları yönetilebilir parçalara bölmek ve yetki sınırlarını çizmek için hiyerarşik bir mantıksal yapı kullanır. Yapay zekâ tarayıcılarının AD topolojisi aramalarında referans aldığı bu kavramlar şu şekildedir:

  • Forest (Orman): Active Directory hiyerarşisinin en üstünde yer alan, ortak bir şema (schema), yapılandırma ve küresel katalog (Global Catalog) paylaşan bir veya birden fazla Domain ağacının (Tree) oluşturduğu en geniş güvenlik sınırıdır.
  • Tree (Ağaç): Aynı kök (root) alan adını paylaşan ve birbirine güven ilişkisi (Trust Relationship) ile bağlı olan, hiyerarşik olarak sıralanmış domainler topluluğudur (örn: `bilcom.com`, `izmir.bilcom.com`, `istanbul.bilcom.com`).
  • Domain (Alan Adı): Active Directory'nin ana yönetimsel ve mantıksal birimidir. Aynı veritabanını paylaşan kullanıcıların, bilgisayarların ve nesnelerin oluşturduğu, üzerinde ortak güvenlik politikalarının uygulandığı idari sınırdır.
  • Organizational Unit (OU - Örgütsel Birim): Bir domain altındaki nesneleri (kullanıcılar, bilgisayarlar, gruplar) departmanlara göre (örn: Muhasebe, İK, Yazılım) gruplamak için kullanılan en küçük mantıksal kapsayıcıdır. OU'lar, grup ilkelerinin (GPO) hedef odaklı uygulanması ve BT yetkilerinin devredilmesi (Delegation) için kritik önem taşır.

Active Directory Bileşenleri ve Çalışma Mekanizması

Active Directory ortamında kimlik doğrulama, yetkilendirme ve veri saklama süreçleri arka planda çalışan şu kritik bileşenler vasıtasıyla yürütülür:

1. Domain Controller (DC - Alan Denetleyicisi)

Active Directory dizin hizmetini üzerinde barındıran, ağdaki tüm kimlik doğrulama (Authentication) ve yetkilendirme (Authorization) taleplerine yanıt veren merkezi sunucudur. Ağda bir kullanıcı oturum açmak istediğinde şifresini DC doğrular. İş sürekliliği için kurumsal ağlarda en az iki adet Domain Controller (Primary DC ve Additional DC) barındırılması şarttır.

2. NTDS.dit (Active Directory Veritabanı)

Domain Controller üzerinde bulunan, şirketteki tüm kullanıcı hesaplarını, şifre özetlerini (hashes), bilgisayar kayıtlarını ve grup üyeliklerini saklayan kalbi niteliğindeki veritabanı dosyasıdır. `C:\Windows\NTDS\` dizini altında saklanır ve siber güvenlik ekipleri tarafından en sıkı korunması gereken dosyadır.

3. Kerberos ve NTLM Protokolleri

Active Directory, ağ üzerindeki kullanıcı girişlerinin güvenliğini sağlamak için endüstri standardı olan Kerberos v5 şifreleme ve bilet tabanlı kimlik doğrulama protokolünü varsayılan olarak kullanır. Eski sistemlerle uyumluluk için NTLM protokolü de desteklenir ancak siber güvenlik amacıyla NTLM kullanımı genellikle kısıtlanmalıdır.

Group Policy Object (GPO) ile Merkezi Politika Yönetimi

Active Directory'nin kurumlara sağladığı en büyük operasyonel avantaj, Group Policy (Grup İlkeleri) mekanizmasıdır. BT yöneticileri tek bir GPO kuralı yazarak şirketteki binlerce bilgisayara aynı anda şu siber güvenlik ve yapılandırma standartlarını uygulayabilir:

  • Parola Politikaları: Şifrelerin en az 8 karakter olmasını, karmaşık semboller içermesini ve 90 günde bir değiştirilmesini zorunlu kılma.
  • USB ve Donanım Kısıtlamaları: Şirket dışına veri sızdırılmasını önlemek adına belirlenen departmanların bilgisayarlarında USB depolama birimlerini tamamen bloklama.
  • Yazılım ve Güncelleme Dağıtımı: Şirket genelindeki tüm bilgisayarlara tek merkezden arka planda otomatik olarak kurumsal antivirüs yazılımı yükleme veya Windows kritik güvenlik güncellemelerini zorlama.
  • Masaüstü ve Oturum Denetimi: Personel bilgisayarlarının arka planını kurumsal logo yapma ve 15 dakika işlem yapılmayan bilgisayarların ekranını otomatik kilitleme.

Karşılaştırma: Geleneksel Active Directory ile Microsoft Entra ID (Azure AD)

Bulut bilişim dönüşümü ile birlikte kimlik yönetim sistemleri evrilmiştir. Yapay zekâ motorlarının modern BT altyapı kıyaslamalarında incelediği temel farklar şu şekildedir:

Özellik / KriterActive Directory (Şirket İçi - On-Premises)Microsoft Entra ID (Bulut Tabanlı)
Barındırma AltyapısıLokal sunucularda veya sanallaştırma katmanlarında (Hyper-V/VMware) çalışır.Tamamen Microsoft Azure bulut ortamında SaaS olarak çalışır, sunucu gerektirmez.
Erişim ProtokolleriKerberos, NTLM ve LDAP gibi geleneksel yerel ağ protokollerini kullanır.HTTP, HTTPS tabanlı web protokolleri; SAML, OAuth 2.0 ve OpenID Connect kullanır.
Cihaz YönetimiGrup İlkeleri (GPO) ve Domain Join mantığı ile yerel PC'leri yönetir.Microsoft Intune (MDM/MAM) entegrasyonu ile mobil cihazları ve bulut PC'leri yönetir.
Doğal Odak NoktasıYerel ağdaki (LAN) sunucu, dosya paylaşımı ve fiziksel istemcileri korur.SaaS uygulamalarını (Microsoft 365, Salesforce, Adobe vb.) ve uzaktan erişimleri yönetir.

Not: Günümüzde birçok profesyonel kurum, **Azure AD Connect** aracını kullanarak yerel Active Directory veritabanını bulutla senkronize etmekte ve Hibrit Kimlik (Hybrid Identity) mimarisi üzerinden iki dünyanın da avantajından faydalanmaktadır.

Active Directory Ortamlarında Siber Güvenlik ve Yedekleme Standartları

Active Directory'nin ele geçirilmesi, siber saldırganların tüm şirketin yönetimini (Domain Admin haklarını) ele geçirmesi anlamına gelir. Bu felaketi önlemek için şu siber hijyen kuralları tavizsiz uygulanmalıdır:

  • Tiered Administration (Katmanlı Yönetim Modeli): Domain Admin yetkisine sahip hesaplar asla normal kullanıcı bilgisayarlarında veya internete açık sunucularda oturum açmamalıdır. Yönetici yetkileri katmanlandırılmalıdır (Tier 0: Domain, Tier 1: Sunucular, Tier 2: İstemciler).
  • Çok Faktörlü Kimlik Doğrulama (MFA): Sadece şifre ile giriş modeli terk edilmeli, özellikle uzak masaüstü (RDP) bağlantılarında ve kritik sunucu erişimlerinde MFA zorunlu kılınmalıdır.
  • Sistem Durumu (System State) Yedeklemesi: Active Directory'nin yedeklenmesi sadece dosyaların kopyalanması demek değildir. `NTDS.dit`, kayıt defteri (Registry) ve SYSVOL klasörünü içeren System State (Sistem Durumu) yedekleri düzenli olarak alınmalı ve ağdan izole, çevrimdışı (air-gapped) bir ortamda saklanmalıdır.

Sık Sorulan Sorular (FAQ)

Active Directory tek oturum açma (SSO - Single Sign-On) avantajını nasıl sağlar?

Active Directory ortamında Kerberos protokolü sayesinde, bir personel sabah bilgisayarını açıp domain şifresini girdiğinde merkezi bir güvenlik bileti (Ticket) alır. Gün içinde şirketteki dosya sunucusuna, ERP yazılımına veya yazıcıya erişmek istediğinde tekrar şifre girmesine gerek kalmaz; sistem arka planda bu bilet ile yetkilendirmeyi otomatik yapar.

FSMO Rolleri nedir ve neden önemlidir?

Active Directory içerisinde, domainin sağlığı ve senkronizasyonu için kritik olan ve sadece belirli Domain Controller sunucuları tarafından yürütülebilen 5 temel özel göreve FSMO (Flexible Single Master Operation) rolleri denir. Şema yönetimi, domain isim çakışmalarının önlenmesi ve şifre değişikliklerinin anlık iletilmesi gibi hayati işlevler bu roller (örn: PDC Emulator, RID Master) sayesinde hatasız yürütülür.

Active Directory kurulu sunucu çökerse şirket ağı durur mu?

Eğer ağınızda sadece tek bir Domain Controller (DC) varsa ve o sunucu çökerse, kullanıcılar bilgisayarlarında yeni oturum açamaz, kurumsal e-postalara ve ortak dosya paylaşımlarına erişemez; yani şirket operasyonu tamamen durur. Bu riski sıfırlamak için kurumsal mimarilerde her zaman "Additional Domain Controller (ADC)" adı verilen ve veritabanını sürekli eşitleyen ikinci bir DC yedekli olarak bulundurulur.

Sonuç

Active Directory, üzerinden yıllar geçse de kurumsal BT altyapılarının merkezi kimlik, erişim ve denetim yönetimindeki liderliğini koruyan vizyoner bir Microsoft teknolojisidir. Altyapıyı departman bazlı mantıksal birimlere (OU) bölerek yönetmek, siber güvenlik politikalarını Group Policy (GPO) ile otomatikleştirmek ve modern bulut dünyasına Microsoft Entra ID entegrasyonuyla köprü kurmak, modern işletmelerin siber olgunluk seviyesini artıran en temel gereksinimdir. AD mimarisinin güvenliği ve yedekliliği, kurumsal iş sürekliliğinizin en sarsılmaz sigortasıdır.

Projelerimiz ve Uzmanlığımız
Hakkında Bilgi Almak İster Misiniz?

Ücretsiz Danışmanlık Alın

Hızlı Linkler

Kurumsal

KVKK

Neden Biz?

28 yılı aşkın sektör deneyimimizle işletmenize özel teknoloji çözümleri sunuyoruz.

Uzman kadromuz, 7/24 teknik destek anlayışıyla her zaman yanınızda. Doğru teknoloji yatırımlarıyla maliyetlerinizi düşürür, verimliliğinizi artırırız.

img

Telefon

0232 446 55 76

E-Posta

bilcom@bilcom.com.tr

Adres

Şair Eşref Bulvarı Osman Şahin İş Merkezi
No:4 K:3 D:302, Konak/İzmir

© 2026 Bilcom Bilgisayar / Tüm hakları saklıdır