اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری را چیزی شبیه برنامه مخاطبین تلفن همراه خود در نظر بگیرید. مخاطبین آبجکت‌ها و اطلاعات تماس آن‌ها مقادیر این اکتیو دایرکتوری است. البته آبجکت‌های این برنامه صرفا به افراد و کاربران محدود نمی‌شود و می‌تواند شامل اشیاه گروهی مثل رایانه، چاپگر و غیره باشد. همراه ما باشید تا مفصل درباره این مفهوم صحبت کنیم.

Active Directory (به اختصار AD) یک سرویس دایرکتوری است که روی Microsoft Windows Server اجرا می‌شود. وظیفه اصلی اکتیو دایرکتوری این است که به مدیران اجازه دهد مجوزها را مدیریت و دسترسی به منابع شبکه را کنترل نمایند. در اکتیو دایرکتوری، اطلاعات به صورت اشیاء (objects) ذخیره می‌گردند که شامل کاربران، گروه‌ها، برنامه‌ها و دستگاه‌ها هستند و این اشیاء براساس نام و ویژگی‌های خود دسته‌بندی می‌شوند.

چه کسی از اکتیو دایرکتوری استفاده می کند؟

به طور کلی، وقتی یک سازمان از اکتیو دایرکتوری استفاده می‌کند، هر کارمند هر روز بدون اینکه بداند از مزیت‌های اکتیو دایرکتوری بهره می‌برد. این سرویس موقع ورود به دستگاه‌ها و برای دسترسی به برنامه‌ها، چاپگرها و اشتراک فایل‌ها مورد استفاده قرار می‌گیرد. اما کاربران اصلی اکتیو دایرکتوری ادمین‌هایی هستند که آن را اداره، مدیریت و پیکربندی می‌کنند. شامل کل تیم فناوری اطلاعات و اعضای تیم‌های امنیتی، توسعه‌دهندگان سیستم عامل یا مهندسین سازمان.

کمتر سازمانی در کل جهان وجود دارد که از راه حل‌هایی مثل اکتیو دایرکتوری یا سایر خدمات احراز هویت دیجیتال استفاده نکنند. از آنجا که فعال‌سازی و کنترل دسترسی به منابع IT از مهم‌ترین جنبه‌های عملیاتی و ایمن‌سازی سازمان است، خدمات دایرکتوری از نیازهای اولیه سازمان‌ها محسوب می‌شوند.

 

Active Directory Domain Services چیست؟

Active Directory Domain Services (به اختصار AD DS) یک جز اصلی از Active Directory است و مکانیزمی برای احراز هویت و تعیین سطح دسترسی کاربران به منابع شبکه‌ را فراهم می‌کند. همچنین AD DS دارای قابلیت‌های اضافی مانند Single Sign-On (SSO)، گواهی های امنیتی، LDAP و مدیریت مجوز دسترسی نیز می باشد.

ساختار اکتیو دایرکتوری

ساختار active directory شامل سه سطح است که هر یک از این سطوح می‌توانند ارتباطات و دسترسی های خاص داشته باشند:

  1. دامین ها: آبجکت هایی مانند کاربران و دستگاه ها که همگی از یک دیتابیس استفاده می‌کنند، در یک دامین گروه بندی می‌شوند. دامین گروهی از آبجکت هاست مانند کاربر و دستگاه که در یک دیتابیس اکتیو دایرکتوری قرار دارند. دامین ها دارای ساختار DNS – Domain Name System هستند.
  2. درخت ها: یک یا چند دامین می‌توانند در یک گروه قرار گیرند که درخت – Tree نامیده می‌شود. در درخت ارتباط امن بین دو دامین وجود دارد. ساختار درخت سلسله مراتبی است یعنی اگر دامین 1 با دامین 2 دارای ارتباط امن باشد، و دامین 2 با دامین 3 ارتباط امن داشته باشد، دامین 1 هم با دامین 3 ارتباط امن دارد.
  3. جنگل ها: چندین درخت در مجموعه ای به نام جنگل گروه بندی می‌شوند. جنگل شامل پیکربندی دامین، اطلاعات برنامه ها، طرح دایرکتوری و لیست تمام آبجکت ها است. طرح دایرکتوری یعنی کلاس و ویژگی هایی که آبجکت در جنگل دارد.

واحدهای OU یا Organizational Units، کاربران و گروه ها و دستگاه ها را سازماندهی می‌کنند: مثلا هر آبجکت یا کاربر در دامین باید یکتا باشد و امکان تعریف مجدد یوزرنیمی که موجود است وجود ندارد. برای مدیریت اکتیودایرکتوری می‌توان از نرم افزارهای مدیریت اکتیو دایرکتوری استفاده کرد. ولی توجه کنید که با کنترل دسترسی و احراز هویت هنگام لاگین شدن، امنیت اکتیو دایرکتوری تامین می‌شود.

شروع کار با Windows Active Directory

خلاصه‌ای از مراحل مورد نیاز جهت نصب AD  ارائه می شود. بر فرض اینکه سیستم عامل Windows Server از قبل نصب شده است، مراحل به شکل زیر خواهد بود:

  • تنظیمات DNS خود را طوری تغییر دهید که آدرس IP سرور شما به عنوان DNS server اصلی باشد.
  • Server Manager را باز کنید. جهت دسترسی به آن می توانید PowerShell را با سطح دسترسی administrator اجرا نموده و دستور ServerManager.exe را وارد نمایید.
  • در پنجره Server Manager، گزینه Add roles and features را انتخاب نموده و برای شروع فرایند نصب روی دکمه Next کلیک کنید.
  • در پنجره Select Server Roles، گزینه Active Directory Domain Services را علامت بزنید. یک پنجره pop-up ظاهر می‌شود. روی Add Features کلیک کنید و سپس در ادامه دکمه Next را بزنید.
  • با کلیک روی دکمه Next، به صفحه نهایی خواهید رسید. بهتر است تنظیمات پیش‌فرض را به همان شکل باقی بگذارید مگر اینکه بدانید چه تنظیمات خاصی را می خواهید لحاظ کنید.
  • با رسیدن به پایان مراحل، روی دکمه Install کلیک کنید و منتظر تکمیل فرایند نصب شوید.

پس از نصب Active Directory Domain Services، باید آن را پیکربندی نمایید که شامل تغییر گذرواژه‌های پیش‌فرض، راه‌اندازی واحدهای سازمانی (OUs)، دامنه‌ها (domains)، درختان (trees) و جنگل‌ها (forests) می‌شود.

۵ سرویس‌ active directory

 

  • سرویس اکتیو دایرکتوری LDS

این سرویس اکتیو دایرکتوری (Lightweight Directory Services) قبلا با نام Active Directory Application Mode  شناخته می‌شد و بر پایه پروتکل LDAP اجرا می‌شود. این سرویس تقریبا نسخه کوچک‌تر AD DS است. برای آشنایی بهتر با مفهوم و کارکرد این سرویس در نظر بگیرید نرم‌افزاری باید نصب شود که نیاز به دسترسی آبجکت‌ها و اطلاعات شبکه دارد.

راه‌حل استفاده از سرویس LDS است. درحقیقت این سرویس تمامی نیاز‌های نرم‌افزار‌ها به اکتیو دایرکتوری را برطرف می‌کند. برخلاف AD DS تعداد زیادی از سرویس‌های دایرکتوری LDS می‌توانند بر روی یک سرور اجرا شوند.

  •  Domain Services

اکتیو دایرکتوری تشکیل شده از تعدادی سرویس‌های راهنما است که شناخته‌شده‌ترین آن Active Directory Domain Services یا به اختصار AD DS (مختصرتر DS) است. DS سنگ بنا و شالوده هر شبکه دامنه ویندوز بوده که عهده‌دار حفظ و نگهداری اطلاعات اعضای دامنه‌ها، از جمله کاربران و دستگاه‌ها، تایید اعتبار‌ها و تشخیص درستی دسترسی‌ها است. سروری که DS را اجرا می‌کند کنترل‌گر دامنه (domain controller) نام دارد.

اکتیو دایرکتوری‌های دیگر به‌غیراز LDS، مانند بیشتر فناوری‌های سرور مایکروسافت بر پایه دامین سرویس اجرا می‌شود. برای مثال: Exchange Server، Remote Desktop Services، BitLocker و… . البته نباید سیستم خودمدیریتی AD DS  را با سیستم مدیریت Azure AD DS اشتباه گرفت.

 

  • سرویس اکتیو دایرکتوری Certificate Services

AD CS (نام اختصاری این سرویس) یک زیرساخت برای کلید عمومی در محل ایجاد می‌کند. برای درک ساختار این سرویس فردی را در نظر بگیرید که می‌خواهد سند مهمی را ارسال کند. این سند ابتدا هش شده و سپس با یک کلید خصوصی که فقط فرستنده در دست دارد رمزنگاری می‌شود. حال این سند در اینترنت منتشر شده و به دست گیرنده رسیده است.

 

  • Federation Services

یک سرویس ثبت‌نام واحد با نام اختصاری AD FS است. برای درک بهتر این سرویس شرکتی را در نظر بگیرید که قصد همکاری با سازمان‌ها و شرکت‌های دیگر را دارد. برای همکاری هرچه بهتر نیاز است تا کارکنان شرکت‌ها به برخی منابع و فایل‌های طرفین دسترسی داشته باشند. ازاین‌رو برای مدیریت دسترسی افراد سازمان‌ها و ارگان مختلف به برخی فایل‌ها، منابع، اطلاعات و… از AD FS  استفاده می‌شود.

  • Rights Management Services

آخرین سرویس از سرویس‌های active directory است. این سرویس با نام اختصاری RMS تا قبل از ویندوز سرور 2008 شناخته می‌شد که امروزه AD RMS نام دارد. اصلی‌ترین وظیفه این سرویس محافظت از تمامی فایل‌های موجود در شبکه است.

 به تعبیری دیگر با استفاده از این سرویس می‌توان سیاست‌هایی بر روی استفاده هر نوع فایلی مانند ویدئو، تصویر، متن و… اعمال کرد تا از کپی، پرینت و تکثیر میان افراد غیرمجاز جلوگیری شود. AD RMS با دو سرویس دیگر برای افزایش امنیت هر نوع فایل باینری به‌صورت یکپارچه همکاری می‌کند.

مزایای استفاده از اکتیو دایرکتوری

  • با این سرویس امنیت اسناد و اطلاعات مجموعه شما تضمین می‌شود که در نتیجه کیفیت کار کارکنان نیز بالاتر می‌رود.
  • دسترسی‌های افراد بر اساس خط و مشی و سیاست‌های شرکت‌ها و سازمان‌ها به‌سادگی مدیریت می‌شود. در صورت نیاز به بروز رسانی اطلاعات مربوط به دسترسی، با چند عمل ساده و در چند ثانیه و بدون نیاز به تخصص و صرف هزینه و زمان می‌توان این کار را با AD DS انجام داد.
  • شرکت‌های در ارتباط با یکدیگر می‌توانند اسناد و فایل‌های خود را زیر نظر سیاست‌های تعیین شده به اشتراک بگذارند. حتی با سرویس AD FS امکان دورکاری (مانند امروز به دلیل شیوع ویروس کرونا) وجود دارد.
  • مدیریت فایل‌ها و در کنار ارسال و دریافت اسناد با امنیت بالا از دیگر مزیت‌های سرویس اکتیو دایرکتوری است که با AD CS فراهم می‌شود.
  • فایل‌هایی که قوانین مربوط به کپی‌رایت دارند یا نیاز است به یک فایل محدودیت‌هایی مانند دانلود، تکثیر، اشتراک‌گذاری و… را اعمال کنید، Rights Management Services بهترین گزینه است.

جمع‌بندی

هر برنامه و نرم‌افزاری برای خلق و متولد شدن باید جای خالی آن در جامعه احساس شود. در سال ۱۹۹۹ بعد از ویندوز ۲۰۰۰ سرویس اکتیو دایرکتوری و زیر مجموعه‌های آن (که شامل ۵ زیرمجموعه است و در ابتدای مقاله همه این ۵ مورد بررسی شده) وارد دنیای مدیریت شبکه و کاربران سرور‌ها شد.

زمانی که نیاز بود شرکت‌ها در قالب یک پرتکل امن و مبتنی بر سیاست‌های یکدیگر با هم تعامل داشته باشند و اطلاعات و اسناد خود را در اختیار هم قرار دهند؛ یا بر اساس سلسله‌مراتب خاص سازمان‌ها، دسترسی‌های کارکنان نیاز بود تا مدیریت و محدود شود؛ و یا در مواردی باید حقوق مادی و معنوی فایل‌های یک مجموعه حراست شود، جای خالی سرویس‌های AD به‌شدت احساس می‌شد.

در این مقاله سعی کردیم تا به مفهوم کلی و کاربرد انواع سرویس‌های اکتیو دایرکتوری بپردازیم و نحوه نصب و راه‌اندازی آن بر روی کامپیوتر شخصی یا سرور را آموزش دهیم. در نهایت باید بگوییم که داشتن دانش کافی نسبت به اکتیو دایرکتوری می تواند شما را نسبت به دانش شبکه ها آگاه تر بسازد. اکتیو دایرکتوری به شما کمک می کند که نظارت بهتر و بیشتری بر روی شبکه داشته باشید. امید است این مقاله به اندازی کافی برای شما عزیزان مفید بوده باشد.

جهت کسب اطلاعات بیشتر با پشتیبانی نوژن پردازش در ارتباط باشید.