Active Directory Kurulumu ve Yapılandırması: Kurumsal Ağ Yönetimi

5 Şubat 2026 12 dk Active Directory

Active Directory (AD), Microsoft tarafından geliştirilen ve kurumsal ağ ortamlarının yönetimi için temel altyapıyı oluşturan dizin hizmetidir. Kullanıcı hesapları, bilgisayarlar, yazıcılar ve diğer ağ kaynaklarının merkezi olarak yönetilmesini sağlayan Active Directory, her ölçekteki işletme için vazgeçilmez bir çözümdür. Bu rehberde, Active Directory Domain Services (AD DS) kurulumunu sıfırdan ele alarak, OU yapısı, Group Policy yönetimi ve güvenlik en iyi uygulamalarını detaylıca inceleyeceğiz.

Active Directory Domain Services (AD DS) Nedir?

Active Directory Domain Services, Windows Server işletim sistemi üzerinde çalışan ve LDAP (Lightweight Directory Access Protocol) tabanlı bir dizin hizmetidir. AD DS, ağdaki tüm nesneleri (kullanıcılar, bilgisayarlar, gruplar, paylaşımlar) hiyerarşik bir yapıda organize eder ve merkezi kimlik doğrulama ile yetkilendirme hizmetleri sunar.

Active Directory'nin Temel Bileşenleri

  • Forest (Orman): Active Directory'nin en üst düzey mantıksal yapısıdır. Bir veya birden fazla domain içerir ve ortak bir şema, yapılandırma ve global katalog paylaşır.
  • Domain (Etki Alanı): Yönetimsel bir sınır oluşturur. Kullanıcılar, bilgisayarlar ve politikalar domain düzeyinde yönetilir.
  • Organizational Unit (OU): Domain içindeki nesneleri mantıksal olarak gruplamak ve Group Policy uygulamak için kullanılan kapsayıcılardır.
  • Domain Controller (DC): AD DS veritabanını barındıran ve kimlik doğrulama isteklerini işleyen sunucudur.
  • Global Catalog (GC): Forest genelinde arama yapılabilmesini sağlayan, tüm nesnelerin kısmi kopyasını tutan özel bir Domain Controller rolüdür.

Active Directory'nin Sağladığı Faydalar

Kurumsal ortamlarda Active Directory kullanmanın başlıca avantajları şunlardır:

  • Merkezi yönetim: Tüm kullanıcı hesapları, güvenlik politikaları ve kaynaklar tek noktadan yönetilir
  • Tek oturum açma (SSO): Kullanıcılar tek bir kimlik bilgisiyle tüm ağ kaynaklarına erişir
  • Güvenlik politikaları: Group Policy ile tüm bilgisayarlara standart güvenlik ayarları uygulanır
  • Ölçeklenebilirlik: Küçük ofislerden binlerce kullanıcılı yapılara kadar ölçeklenebilir
  • Yedeklilik: Birden fazla Domain Controller ile yüksek erişilebilirlik sağlanır

DNS Gereksinimleri ve Yapılandırması

Active Directory, DNS (Domain Name System) hizmetine kritik düzeyde bağımlıdır. AD DS, kaynak konumlandırma, Domain Controller bulma ve replikasyon gibi temel işlevler için DNS'i kullanır. Bu nedenle, AD DS kurulumundan önce DNS altyapısının doğru yapılandırılması zorunludur.

DNS Planlama Önerileri

  • AD entegreli DNS (Active Directory-Integrated DNS) kullanarak DNS verilerinin AD replikasyonu üzerinden güvenli şekilde çoğaltılmasını sağlayın
  • Forward ve reverse lookup zone yapılandırmalarını tamamlayın
  • DNS forwarder olarak güvenilir bir dış DNS sunucusu tanımlayın
  • Dynamic DNS güncellemelerini yalnızca güvenli güncellemelere izin verecek şekilde yapılandırın
  • İç ağ DNS adınızı dikkatli planlayın; örneğin ad.sirketadi.com.tr formatını kullanın

Domain Controller Kurulumu

Domain Controller kurulumuna başlamadan önce, Windows Server 2025 kurulumu ve temel yapılandırma adımlarının tamamlanmış olması gerekmektedir. Sunucu adı belirlenmiş, statik IP adresi atanmış ve güncellemeler yüklenmiş olmalıdır.

AD DS Rolünü Ekleme

Server Manager üzerinden veya PowerShell ile AD DS rolünü ekleyebilirsiniz:

  1. Server Manager açın ve "Add roles and features" seçeneğine tıklayın
  2. Kurulum türü olarak "Role-based or feature-based installation" seçin
  3. Hedef sunucuyu seçin
  4. Active Directory Domain Services rolünü işaretleyin
  5. Gerekli özelliklerin (bağımlılıkların) eklenmesini onaylayın
  6. Kurulumu başlatın ve tamamlanmasını bekleyin

PowerShell ile kurulum için şu komutu kullanabilirsiniz:

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Yeni Forest ve Domain Oluşturma

AD DS rolü eklendikten sonra sunucuyu Domain Controller olarak yükseltmeniz (promote) gerekmektedir:

  1. Server Manager'da sarı uyarı bayrağına tıklayın ve "Promote this server to a domain controller" seçin
  2. "Add a new forest" seçeneğini seçin ve root domain adını girin (örn: ad.sirketadi.com.tr)
  3. Forest ve Domain Functional Level olarak Windows Server 2025 seçin
  4. DNS Server ve Global Catalog seçeneklerinin işaretli olduğundan emin olun
  5. DSRM (Directory Services Restore Mode) parolasını belirleyin — bu parolayı güvenli bir şekilde saklayın
  6. NetBIOS domain adını onaylayın
  7. AD veritabanı, log ve SYSVOL klasör konumlarını belirleyin (varsayılan konumlar genellikle uygundur)
  8. Ön koşul kontrolünü geçtikten sonra kurulumu başlatın

Kurulum tamamlandığında sunucu otomatik olarak yeniden başlatılacak ve Domain Controller olarak hizmet vermeye başlayacaktır.

İkinci Domain Controller Ekleme

Üretim ortamlarında tek bir Domain Controller çalıştırmak ciddi bir risk oluşturur. Yedeklilik ve yük dağılımı için en az iki Domain Controller kullanmanızı kesinlikle öneriyoruz. İkinci DC'yi eklerken "Add a domain controller to an existing domain" seçeneğini kullanın ve mevcut domain bilgilerini girin.

Organizational Unit (OU) Yapısı Tasarımı

Etkin bir OU yapısı, Group Policy uygulamasının ve nesne yönetiminin temelini oluşturur. OU tasarımı, organizasyonunuzun yapısını, yönetim modelini ve güvenlik gereksinimlerini yansıtmalıdır.

Önerilen OU Hiyerarşisi

Tipik bir kurumsal ortam için şu OU yapısını öneriyoruz:

  • Sirket_Adi (Kök OU)
    • Kullanicilar — Departman bazlı alt OU'lar (Yönetim, Muhasebe, Teknik, Satış vb.)
    • Bilgisayarlar — Masaüstü, dizüstü, iş istasyonları
    • Sunucular — Üretim sunucuları, test sunucuları
    • Gruplar — Güvenlik grupları, dağıtım grupları
    • Servis_Hesaplari — Uygulama ve servis hesapları
    • Devre_Disi — Devre dışı bırakılmış nesneler

Varsayılan "Users" ve "Computers" konteynerlarına Group Policy uygulanamayacağını unutmayın. Bu nedenle tüm nesnelerinizi oluşturduğunuz OU'lara taşıyın.

Group Policy Yönetimi

Group Policy Object (GPO), Active Directory ortamında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmenin en güçlü aracıdır. Doğru tasarlanmış bir GPO stratejisi, güvenlik standartlarının uygulanmasını, yazılım dağıtımını ve masaüstü yapılandırmasını otomatikleştirir.

Temel Güvenlik GPO'ları

Her Active Directory ortamında uygulanması gereken temel GPO'lar şunlardır:

  • Parola Politikası: Minimum 12 karakter, karmaşıklık gereksinimi, 90 günde değişim, son 12 parolanın hatırlanması
  • Hesap Kilitleme: 5 başarısız denemeden sonra 30 dakika kilitleme
  • Denetim Politikası: Oturum açma/kapama, hesap yönetimi, nesne erişimi olaylarının denetlenmesi
  • Windows Güvenlik Duvarı: Tüm istemcilerde firewall'un etkin tutulması
  • Yazılım Kısıtlama: AppLocker veya SRP ile yetkisiz yazılım çalıştırılmasının engellenmesi
  • USB Kısıtlama: Taşınabilir depolama cihazlarının kontrol altına alınması

GPO Tasarım İlkeleri

  • Her GPO'ya açık ve anlaşılır bir isim verin (örn: "SEC-Parola-Politikasi", "CFG-Masaustu-Ayarlari")
  • Tek bir GPO'ya çok fazla ayar yüklemekten kaçının; işlevsel gruplama yapın
  • GPO'ları mümkün olduğunca en üst OU'ya bağlayın ve kalıtım (inheritance) mekanizmasını kullanın
  • Değişiklik yapmadan önce GPO'yu yedekleyin
  • Kritik GPO değişikliklerini önce test OU'sunda uygulayın
  • WMI filtreleri ve güvenlik filtreleme ile GPO hedeflemesini daraltın

Kullanıcı ve Grup Yönetimi

Kullanıcı Hesap Yönetimi

Active Directory'de kullanıcı hesapları oluştururken aşağıdaki en iyi uygulamaları takip edin:

  • Standart bir kullanıcı adı formatı belirleyin (örn: ad.soyad veya a.soyad)
  • Her kullanıcı için bireysel hesap oluşturun; paylaşılan hesap kullanımından kaçının
  • Yönetici yetkisi gereken personel için ayrı bir yönetici hesabı oluşturun
  • İşten ayrılan personelin hesaplarını önce devre dışı bırakın, belirli bir süre sonra silin
  • Kullanıcı profillerini ve home klasörlerini merkezi sunucularda tutun

Grup Türleri ve Stratejileri

Active Directory'de iki ana grup türü bulunmaktadır:

  • Security Groups (Güvenlik Grupları): Kaynak erişimi ve yetkilendirme için kullanılır
  • Distribution Groups (Dağıtım Grupları): E-posta dağıtım listeleri için kullanılır

Grup kapsamları ise şunlardır:

  • Domain Local: Kaynağa erişim izni vermek için kullanılır
  • Global: Domain içindeki kullanıcıları gruplamak için kullanılır
  • Universal: Forest genelinde geçerli gruplama için kullanılır

Microsoft, AGDLP (Account → Global → Domain Local → Permission) stratejisini önermektedir. Kullanıcı hesaplarını global gruplara, global grupları domain local gruplara ekleyin ve kaynak izinlerini domain local gruplara atayın.

FSMO Rolleri

Flexible Single Master Operations (FSMO) rolleri, Active Directory'de belirli işlemlerin yalnızca tek bir Domain Controller tarafından gerçekleştirilmesini sağlayan özel rollerdir. Toplam beş FSMO rolü bulunmaktadır:

Forest Genelinde Roller

  • Schema Master: AD şemasına yapılan değişiklikleri yönetir. Tüm forest'ta yalnızca bir adet bulunur.
  • Domain Naming Master: Forest'a yeni domain eklenmesini ve kaldırılmasını kontrol eder.

Domain Genelinde Roller

  • PDC Emulator: Parola değişikliklerinin öncelikli replikasyonu, zaman senkronizasyonu ve hesap kilitleme işlemlerini yönetir. En performanslı DC'ye atanmalıdır.
  • RID Master: Domain içindeki nesnelere benzersiz RID (Relative Identifier) havuzu dağıtır.
  • Infrastructure Master: Domain'ler arası nesne referanslarını günceller.

FSMO rollerini görüntülemek için PowerShell komutlarını kullanabilirsiniz:

netdom query fsmo

Planlı bir rol aktarımı için Move-ADDirectoryServerOperationMasterRole cmdlet'ini, acil durumlarda ise seize parametresini kullanabilirsiniz.

Active Directory Güvenlik Best Practices

Active Directory, kurumsal ağın kalbi olduğu için güvenliği en üst düzeyde tutulmalıdır. Aşağıdaki güvenlik uygulamalarını mutlaka değerlendirin:

Ayrıcalıklı Erişim Yönetimi

  • Domain Admins grubunu minimum düzeyde tutun; yalnızca gerekli kişileri ekleyin
  • Günlük kullanım için standart kullanıcı hesabı, yönetim işlemleri için ayrı admin hesabı kullanın
  • Protected Users grubunu ayrıcalıklı hesaplar için etkinleştirin
  • Admin hesaplarında Multi-Factor Authentication (MFA) uygulayın
  • Privileged Access Workstations (PAW) kullanarak yönetim işlemlerini güvenli iş istasyonlarından gerçekleştirin

İzleme ve Denetim

  • Tüm Domain Controller'larda gelişmiş denetim politikasını etkinleştirin
  • AD değişikliklerini izlemek için merkezi bir SIEM çözümü kullanın
  • Başarısız oturum açma girişimlerini, hesap değişikliklerini ve grup üyelik değişikliklerini izleyin
  • Düzenli olarak privileged group membership denetimi yapın
  • Stale (eski) bilgisayar ve kullanıcı hesaplarını tespit edip temizleyin

Yedekleme ve Felaket Kurtarma

  • System State yedeklemesini düzenli olarak alın
  • En az iki Domain Controller çalıştırın
  • AD geri yükleme prosedürlerini belirleyin ve düzenli olarak test edin
  • Active Directory Recycle Bin özelliğini etkinleştirin
  • DSRM parolasını güvenli bir şekilde saklayın ve düzenli olarak güncelleyin

Active Directory ve Bulut Entegrasyonu

Modern kurumsal ortamlarda Active Directory, bulut hizmetleriyle entegre çalışmaktadır. Microsoft Entra Connect (eski adıyla Azure AD Connect) kullanarak şirket içi AD'nizi Microsoft 365 ve Azure hizmetleriyle senkronize edebilirsiniz. Bu hibrit yapı, kullanıcıların tek kimlik bilgileriyle hem şirket içi hem de bulut kaynaklarına erişmesini sağlar.

Smyrna Bilgi Teknolojileri ile Active Directory Çözümleri

Smyrna Bilgi Teknolojileri olarak İzmir'de kurumsal müşterilerimize Active Directory kurulumu, yapılandırması, migrasyonu ve yönetimi konularında profesyonel destek sağlıyoruz. Mevcut AD altyapınızın güvenlik denetimini gerçekleştiriyor, iyileştirme önerileri sunuyor ve en iyi uygulamalara uygun yapılandırmalar oluşturuyoruz. Windows Server 2025 üzerinde AD kurulumu, Hyper-V sanallaştırma çözümleri ve VPN yapılandırması dahil tüm BT altyapı ihtiyaçlarınız için bizimle iletişime geçin.

İlgili Yazılar

Windows Server

Windows Server 2025 Kurulumu: Adım Adım Kapsamlı Rehber

Windows Server 2025 kurulumu, sistem gereksinimleri, güvenlik sertleştirme ve hotpatching yapılandırması rehberi.

8 Şubat 2026
Sanallaştırma

Hyper-V ile Sanallaştırma: Sunucu Kaynaklarınızı Optimize Edin

Hyper-V kurulumu, sanal makine oluşturma, kaynak yönetimi ve performans optimizasyonu hakkında kapsamlı rehber.

2 Şubat 2026
Siber Güvenlik

Ransomware Korunma Rehberi

Fidye yazılımlarına karşı korunma yöntemleri, yedekleme stratejileri ve olay müdahale planı oluşturma rehberi.

20 Aralık 2025

Profesyonel BT Desteği mi Arıyorsunuz?

İzmir'de 22+ yıl deneyim ile Active Directory kurulumu, yapılandırma ve yönetim hizmetleri sunuyoruz.

İletişime Geçin Hemen Arayın