اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری را چیزی شبیه برنامه مخاطبین تلفن همراه خود در نظر بگیرید. مخاطبین آبجکتها و اطلاعات تماس آنها مقادیر این اکتیو دایرکتوری است. البته آبجکتهای این برنامه صرفا به افراد و کاربران محدود نمیشود و میتواند شامل اشیاه گروهی مثل رایانه، چاپگر و غیره باشد. همراه ما باشید تا مفصل درباره این مفهوم صحبت کنیم.
Active Directory (به اختصار AD) یک سرویس دایرکتوری است که روی Microsoft Windows Server اجرا میشود. وظیفه اصلی اکتیو دایرکتوری این است که به مدیران اجازه دهد مجوزها را مدیریت و دسترسی به منابع شبکه را کنترل نمایند. در اکتیو دایرکتوری، اطلاعات به صورت اشیاء (objects) ذخیره میگردند که شامل کاربران، گروهها، برنامهها و دستگاهها هستند و این اشیاء براساس نام و ویژگیهای خود دستهبندی میشوند.
چه کسی از اکتیو دایرکتوری استفاده می کند؟
به طور کلی، وقتی یک سازمان از اکتیو دایرکتوری استفاده میکند، هر کارمند هر روز بدون اینکه بداند از مزیتهای اکتیو دایرکتوری بهره میبرد. این سرویس موقع ورود به دستگاهها و برای دسترسی به برنامهها، چاپگرها و اشتراک فایلها مورد استفاده قرار میگیرد. اما کاربران اصلی اکتیو دایرکتوری ادمینهایی هستند که آن را اداره، مدیریت و پیکربندی میکنند. شامل کل تیم فناوری اطلاعات و اعضای تیمهای امنیتی، توسعهدهندگان سیستم عامل یا مهندسین سازمان.
کمتر سازمانی در کل جهان وجود دارد که از راه حلهایی مثل اکتیو دایرکتوری یا سایر خدمات احراز هویت دیجیتال استفاده نکنند. از آنجا که فعالسازی و کنترل دسترسی به منابع IT از مهمترین جنبههای عملیاتی و ایمنسازی سازمان است، خدمات دایرکتوری از نیازهای اولیه سازمانها محسوب میشوند.
Active Directory Domain Services چیست؟
Active Directory Domain Services (به اختصار AD DS) یک جز اصلی از Active Directory است و مکانیزمی برای احراز هویت و تعیین سطح دسترسی کاربران به منابع شبکه را فراهم میکند. همچنین AD DS دارای قابلیتهای اضافی مانند Single Sign-On (SSO)، گواهی های امنیتی، LDAP و مدیریت مجوز دسترسی نیز می باشد.
ساختار اکتیو دایرکتوری
ساختار active directory شامل سه سطح است که هر یک از این سطوح میتوانند ارتباطات و دسترسی های خاص داشته باشند:
- دامین ها: آبجکت هایی مانند کاربران و دستگاه ها که همگی از یک دیتابیس استفاده میکنند، در یک دامین گروه بندی میشوند. دامین گروهی از آبجکت هاست مانند کاربر و دستگاه که در یک دیتابیس اکتیو دایرکتوری قرار دارند. دامین ها دارای ساختار DNS – Domain Name System هستند.
- درخت ها: یک یا چند دامین میتوانند در یک گروه قرار گیرند که درخت – Tree نامیده میشود. در درخت ارتباط امن بین دو دامین وجود دارد. ساختار درخت سلسله مراتبی است یعنی اگر دامین 1 با دامین 2 دارای ارتباط امن باشد، و دامین 2 با دامین 3 ارتباط امن داشته باشد، دامین 1 هم با دامین 3 ارتباط امن دارد.
- جنگل ها: چندین درخت در مجموعه ای به نام جنگل گروه بندی میشوند. جنگل شامل پیکربندی دامین، اطلاعات برنامه ها، طرح دایرکتوری و لیست تمام آبجکت ها است. طرح دایرکتوری یعنی کلاس و ویژگی هایی که آبجکت در جنگل دارد.
واحدهای OU یا Organizational Units، کاربران و گروه ها و دستگاه ها را سازماندهی میکنند: مثلا هر آبجکت یا کاربر در دامین باید یکتا باشد و امکان تعریف مجدد یوزرنیمی که موجود است وجود ندارد. برای مدیریت اکتیودایرکتوری میتوان از نرم افزارهای مدیریت اکتیو دایرکتوری استفاده کرد. ولی توجه کنید که با کنترل دسترسی و احراز هویت هنگام لاگین شدن، امنیت اکتیو دایرکتوری تامین میشود.
شروع کار با Windows Active Directory
خلاصهای از مراحل مورد نیاز جهت نصب AD ارائه می شود. بر فرض اینکه سیستم عامل Windows Server از قبل نصب شده است، مراحل به شکل زیر خواهد بود:
- تنظیمات DNS خود را طوری تغییر دهید که آدرس IP سرور شما به عنوان DNS server اصلی باشد.
- Server Manager را باز کنید. جهت دسترسی به آن می توانید PowerShell را با سطح دسترسی administrator اجرا نموده و دستور ServerManager.exe را وارد نمایید.
- در پنجره Server Manager، گزینه Add roles and features را انتخاب نموده و برای شروع فرایند نصب روی دکمه Next کلیک کنید.
- در پنجره Select Server Roles، گزینه Active Directory Domain Services را علامت بزنید. یک پنجره pop-up ظاهر میشود. روی Add Features کلیک کنید و سپس در ادامه دکمه Next را بزنید.
- با کلیک روی دکمه Next، به صفحه نهایی خواهید رسید. بهتر است تنظیمات پیشفرض را به همان شکل باقی بگذارید مگر اینکه بدانید چه تنظیمات خاصی را می خواهید لحاظ کنید.
- با رسیدن به پایان مراحل، روی دکمه Install کلیک کنید و منتظر تکمیل فرایند نصب شوید.
پس از نصب Active Directory Domain Services، باید آن را پیکربندی نمایید که شامل تغییر گذرواژههای پیشفرض، راهاندازی واحدهای سازمانی (OUs)، دامنهها (domains)، درختان (trees) و جنگلها (forests) میشود.
۵ سرویس active directory
سرویس اکتیو دایرکتوری LDS
این سرویس اکتیو دایرکتوری (Lightweight Directory Services) قبلا با نام Active Directory Application Mode شناخته میشد و بر پایه پروتکل LDAP اجرا میشود. این سرویس تقریبا نسخه کوچکتر AD DS است. برای آشنایی بهتر با مفهوم و کارکرد این سرویس در نظر بگیرید نرمافزاری باید نصب شود که نیاز به دسترسی آبجکتها و اطلاعات شبکه دارد.
راهحل استفاده از سرویس LDS است. درحقیقت این سرویس تمامی نیازهای نرمافزارها به اکتیو دایرکتوری را برطرف میکند. برخلاف AD DS تعداد زیادی از سرویسهای دایرکتوری LDS میتوانند بر روی یک سرور اجرا شوند.
Domain Services
اکتیو دایرکتوری تشکیل شده از تعدادی سرویسهای راهنما است که شناختهشدهترین آن Active Directory Domain Services یا به اختصار AD DS (مختصرتر DS) است. DS سنگ بنا و شالوده هر شبکه دامنه ویندوز بوده که عهدهدار حفظ و نگهداری اطلاعات اعضای دامنهها، از جمله کاربران و دستگاهها، تایید اعتبارها و تشخیص درستی دسترسیها است. سروری که DS را اجرا میکند کنترلگر دامنه (domain controller) نام دارد.
اکتیو دایرکتوریهای دیگر بهغیراز LDS، مانند بیشتر فناوریهای سرور مایکروسافت بر پایه دامین سرویس اجرا میشود. برای مثال: Exchange Server، Remote Desktop Services، BitLocker و… . البته نباید سیستم خودمدیریتی AD DS را با سیستم مدیریت Azure AD DS اشتباه گرفت.
سرویس اکتیو دایرکتوری Certificate Services
AD CS (نام اختصاری این سرویس) یک زیرساخت برای کلید عمومی در محل ایجاد میکند. برای درک ساختار این سرویس فردی را در نظر بگیرید که میخواهد سند مهمی را ارسال کند. این سند ابتدا هش شده و سپس با یک کلید خصوصی که فقط فرستنده در دست دارد رمزنگاری میشود. حال این سند در اینترنت منتشر شده و به دست گیرنده رسیده است.
Federation Services
یک سرویس ثبتنام واحد با نام اختصاری AD FS است. برای درک بهتر این سرویس شرکتی را در نظر بگیرید که قصد همکاری با سازمانها و شرکتهای دیگر را دارد. برای همکاری هرچه بهتر نیاز است تا کارکنان شرکتها به برخی منابع و فایلهای طرفین دسترسی داشته باشند. ازاینرو برای مدیریت دسترسی افراد سازمانها و ارگان مختلف به برخی فایلها، منابع، اطلاعات و… از AD FS استفاده میشود.
Rights Management Services
آخرین سرویس از سرویسهای active directory است. این سرویس با نام اختصاری RMS تا قبل از ویندوز سرور 2008 شناخته میشد که امروزه AD RMS نام دارد. اصلیترین وظیفه این سرویس محافظت از تمامی فایلهای موجود در شبکه است.
به تعبیری دیگر با استفاده از این سرویس میتوان سیاستهایی بر روی استفاده هر نوع فایلی مانند ویدئو، تصویر، متن و… اعمال کرد تا از کپی، پرینت و تکثیر میان افراد غیرمجاز جلوگیری شود. AD RMS با دو سرویس دیگر برای افزایش امنیت هر نوع فایل باینری بهصورت یکپارچه همکاری میکند.
مزایای استفاده از اکتیو دایرکتوری
- با این سرویس امنیت اسناد و اطلاعات مجموعه شما تضمین میشود که در نتیجه کیفیت کار کارکنان نیز بالاتر میرود.
- دسترسیهای افراد بر اساس خط و مشی و سیاستهای شرکتها و سازمانها بهسادگی مدیریت میشود. در صورت نیاز به بروز رسانی اطلاعات مربوط به دسترسی، با چند عمل ساده و در چند ثانیه و بدون نیاز به تخصص و صرف هزینه و زمان میتوان این کار را با AD DS انجام داد.
- شرکتهای در ارتباط با یکدیگر میتوانند اسناد و فایلهای خود را زیر نظر سیاستهای تعیین شده به اشتراک بگذارند. حتی با سرویس AD FS امکان دورکاری (مانند امروز به دلیل شیوع ویروس کرونا) وجود دارد.
- مدیریت فایلها و در کنار ارسال و دریافت اسناد با امنیت بالا از دیگر مزیتهای سرویس اکتیو دایرکتوری است که با AD CS فراهم میشود.
- فایلهایی که قوانین مربوط به کپیرایت دارند یا نیاز است به یک فایل محدودیتهایی مانند دانلود، تکثیر، اشتراکگذاری و… را اعمال کنید، Rights Management Services بهترین گزینه است.
جمعبندی
هر برنامه و نرمافزاری برای خلق و متولد شدن باید جای خالی آن در جامعه احساس شود. در سال ۱۹۹۹ بعد از ویندوز ۲۰۰۰ سرویس اکتیو دایرکتوری و زیر مجموعههای آن (که شامل ۵ زیرمجموعه است و در ابتدای مقاله همه این ۵ مورد بررسی شده) وارد دنیای مدیریت شبکه و کاربران سرورها شد.
زمانی که نیاز بود شرکتها در قالب یک پرتکل امن و مبتنی بر سیاستهای یکدیگر با هم تعامل داشته باشند و اطلاعات و اسناد خود را در اختیار هم قرار دهند؛ یا بر اساس سلسلهمراتب خاص سازمانها، دسترسیهای کارکنان نیاز بود تا مدیریت و محدود شود؛ و یا در مواردی باید حقوق مادی و معنوی فایلهای یک مجموعه حراست شود، جای خالی سرویسهای AD بهشدت احساس میشد.
در این مقاله سعی کردیم تا به مفهوم کلی و کاربرد انواع سرویسهای اکتیو دایرکتوری بپردازیم و نحوه نصب و راهاندازی آن بر روی کامپیوتر شخصی یا سرور را آموزش دهیم. در نهایت باید بگوییم که داشتن دانش کافی نسبت به اکتیو دایرکتوری می تواند شما را نسبت به دانش شبکه ها آگاه تر بسازد. اکتیو دایرکتوری به شما کمک می کند که نظارت بهتر و بیشتری بر روی شبکه داشته باشید. امید است این مقاله به اندازی کافی برای شما عزیزان مفید بوده باشد.
جهت کسب اطلاعات بیشتر با پشتیبانی نوژن پردازش در ارتباط باشید.