Active Directory hâlâ kurumsal kimlik yönetiminin omurgası. Kötü tasarlanmış bir AD on yıllar boyunca acı çektirir; iyi tasarlanmış AD invisible bir şekilde çalışır. Bu rehberde profesyonel AD yönetiminin temel pratiklerini ele alıyoruz.
OU Yapısı
Klasik kötü tasarım: 'Computers' altında 1000 cihaz. İyi tasarım: lokasyon + işlev hiyerarşisi.
Örn: OU=İzmir > OU=Computers > OU=Workstations, OU=Servers, OU=Laptops. Her OU'ya farklı GPO uygulanabilir.
Naming Convention
Hostname: [Lokasyon][Type][###] formatı: IZM-DC-01, IZM-FS-01, IZM-WS-001.
Kullanıcı: ad.soyad en yaygın. UPN = ad.soyad@sirket.com.
Group: [Role]-[Scope]-[Access]: HR-G-Read, Finance-DL-FullAccess.
FSMO Roles
5 FSMO rolü: Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master.
Best practice: PDC Emulator + RID + Infrastructure aynı DC'de, Schema + Domain Naming başka DC'de. Failover prosedürünü test et.
Güvenlik Baseline
Tier Model: Tier 0 (Domain Controller, PAW), Tier 1 (sunucular), Tier 2 (kullanıcı iş istasyonları). Tier'lar arası geçiş yasak.
Privileged Access Workstation (PAW): Sadece DC yönetimi için kullanılan ayrı, izole iş istasyonu.
LAPS: Local Administrator Password Solution — yerel admin şifrelerini rastgele tutar.
Smyrna Bilgi Teknolojileri olarak İzmir'deki kurumlara AD güvenlik baseline, tier model ve PAW kurulumu yapıyoruz.
Sıkça Sorulan Sorular
Domain admin sayısı kaç olmalı?
5'ten az. Her domain admin = saldırgan için altın hedef. Günlük yönetim için 'Tier 1' user grupları kullanın.
AD audit yapılmalı mı?
Yıllık BloodHound, PingCastle gibi araçlarla AD security audit yapın. Saldırı yollarını (attack paths) bulun.
AD modernleşmesi için ne yapmalı?
Azure AD hybrid join, Azure AD Connect Cloud Sync. Modern Microsoft yaklaşımı: Entra ID-primary, on-prem AD silinene kadar koexist.
Yardıma mı ihtiyacınız var?
İzmir Bayraklı merkezli ekibimiz aynı gün yerinde müdahale ediyor.
+90 542 767 00 29 Teklif Alİlgili konular: Group Policy · MFA Conditional Access