Active Directory nasıl çalışır
Active Directory, kurumu etki alanlarına böler ve bunlara etki alanı denetleyicileri hizmet verir; bu sunucular kullanıcıların, bilgisayarların, grupların ve ilkelerin çoğaltılmış bir veritabanını tutar. Etki alanları, aralarında güven ilişkileri bulunan ağaçlar ve ormanlar halinde gruplanabilir; kayıtlar da şirket yapısını yansıtan organizasyon birimlerine yerleştirilir.
AD bir telefon rehberinden fazlasıdır. Kullanıcıları ve makineleri Kerberos protokolüyle (eski sistemler için NTLM ile) doğrular, öznitelik ve üyelik sorgularını LDAP üzerinden yanıtlar ve yapılandırmayı Grup İlkesi ile uygular; yöneticiler böylece binlerce Windows makinesine güvenlik ayarlarını tek noktadan dağıtır. Kullanıcı etki alanına katılmış bir bilgisayarda oturum açtığında kimlik bilgilerini doğrulayan ve dosya paylaşımlarına, yazıcılara ve iç uygulamalara tekrar sorulmadan erişim sağlayan Kerberos biletlerini üreten AD'dir.
Active Directory neden önemli
Yerleşik kurumların çoğu için AD kimlik omurgasıdır: onlarca yıllık uygulamalar, dosya sunucuları ve altyapı onun varlığını varsayar. Bu merkezî konum, onu ağdaki en değerli hedef de yapar. Fidye yazılımı grupları düzenli olarak etki alanı yöneticisi ayrıcalıklarının peşine düşer; çünkü AD'yi kontrol etmek, etki alanına katılmış tüm sistemleri aynı anda kontrol etmek demektir. Kerberoasting, pass-the-hash ve Golden Ticket sahteciliği gibi saldırı teknikleri özellikle AD'nin çalışma mekanizmalarını istismar eder.
AD'nin diğer sorunu kapsamıdır. Şirket içi Windows ağları için tasarlanmıştır; SaaS uygulamaları, mobil cihazlar veya etki alanı dışındaki yükleniciler için değil. SAML, OIDC ve SCIM gibi modern protokoller AD'de yerleşik değildir; bu yüzden bugün neredeyse her kurum AD'yi tümden değiştirmek yerine bir bulut kimlik katmanıyla eşleştirir.
Uygulamada Active Directory
Bugünün baskın mimarisi hibrittir: AD, etki alanına katılmış makineler ve eski uygulamalar için yetkili kaynak olmayı sürdürür; bir kimlik platformu ise kullanıcılarını ve gruplarını eşitleyerek SSO, MFA ve otomatik hesap yönetimiyle buluta taşır. Böylece çalışanlar ister dosya paylaşımı ister SaaS aracı açsın tek kimlikle çalışır; güvenlik ekipleri de AD'nin tek başına koruyamadığı sistemlerin önüne modern kimlik doğrulama koyar.
Operasyonel öncelikler; etki alanı denetleyicilerini korumak, ayrıcalıklı AD gruplarını küçük ve izlenir tutmak, mümkün olan yerlerde NTLMv1 gibi eski protokolleri kapatmak ve bayat bilgisayar ile kullanıcı nesnelerini temizlemektir. Monosign, Active Directory'den kullanıcı ve grupları eşitler ve Kerberos tabanlı tümleşik Windows kimlik doğrulamasını destekler; böylece mevcut AD yatırımı doğrudan modern SSO ve MFA'ya bağlanır.