جدول محتوا
اکتیو دایرکتوری / Active Directory (AD) یک سرویس دایرکتوری مایکروسافت است که به عنوان یک وسیله مرکزی برای مدیریت منابع شبکه و امنیت در محیطهای ویندوز استفاده میشود. این سرویس به مدیران شبکه اجازه میدهد تا اطلاعات مربوط به کاربران، گروهها، دستگاهها، و دیگر منابع را به صورت مرتب و متمرکز ذخیره و مدیریت کنند. در ادامه بیشتر به توضیح این سروی می پردازیم؛ با ما همراه باشید.
اکتیو دایرکتوری (Active Directory) چیست؟
اکتیو دایرکتوری (Active Directory ) یک سرویس جامع مایکروسافت است که از پروتکل LDAP (Lightweight Directory Access Protocol) برای دسترسی به اطلاعات دایرکتوری استفاده میکند و با بهرهگیری از پروتکلهای دیگر، امکانات گستردهای مانند احراز هویت و دسترسی به منابع را ارائه میدهد. این سرویس توانمندی فراوانی به مدیران شبکه میدهد؛ از جمله مدیریت امنیت و دسترسی به منابع شبکه، اجرای خدمات Single Sign-On (SSO) و ایجاد سیاستهای امنیتی گسترده. اکتیو دایرکتوری نه تنها به ایجاد و مدیریت کاربران و گروهها محدود نمیشود بلکه سرویسهای دیگر نیز از جمله فایلها، پرینترها و دستگاههای به اشتراک گذاشته شده در شبکه را به صورت مرتب و متمرکز ارائه میدهد. این سرویس با توجه به معماری متمرکز خود، به مدیران این امکان را میدهد تا به راحتی دسترسی به منابع شبکه را اداره کرده، سرویسهای SSO را پیاده سازی کرده و سیاستهای امنیتی را به صورت جامع اجرا کنند. اکتیو دایرکتوری با این ویژگیها به ادمینها ابزاری قدرتمند برای مدیریت و بهینهسازی شبکههای ویندوز ارائه میدهد و با افزایش انعطافپذیری و توسعهپذیری میتواند با رشد سازمانی همگام شود.
ساختار اکتیو دایرکتوری (Active Directory) چیست؟
اکتیو دایرکتوری با ارائه یک ساختار سلسله مراتبی، سازماندهی آسان Domain ها و منابع را فراهم میکند و این امکان به کاربران میدهد تا به راحتی منابع شبکه نظیر فایل ها و چاپگرها را پیدا کنند. سرویسهای دایرکتوری مانند ADDS یا Active Directory Domain Services نحوه ذخیره اطلاعات دایرکتوری و چگونگی دسترسی ادمین و کاربران شبکه به این اطلاعات را فراهم میکند. ADDS به عنوان مثال، اطلاعات اکانت کاربران را مانند نام، پسورد، شماره تلفن و غیره ذخیره میکند و به دیگر کاربران مجاز در همان شبکه، اجازه دسترسی به این اطلاعات را میدهد. این اطلاعات ذخیره شده، به عنوان دایرکتوری شناخته میشود.
دادهها به صورت آبجکت ذخیره میشوند که همان کاربران، گروهها، برنامهها و دستگاهها (مثل پرینتر) هستند. آبجکت دو نوع دارد: یا منابع مانند پرینتر و کامپیوتر، یا قوانین امنیتی مانند کاربران و گروهها.
ساختار اکتیو دایرکتوری شامل سه سطح است که هر یک از این سطوح میتوانند ارتباطات و دسترسیهای خاص داشته باشند:
- دامنهها: آبجکتهایی مانند کاربران و دستگاهها که همگی از یک دیتابیس استفاده میکنند، در یک دامنه گروهبندی میشوند. دامنهها دارای ساختار DNS (Domain Name System) هستند
- درختها: یک یا چند دامنه میتوانند در یک گروه قرار گیرند که درخت نامیده میشود. درخت ارتباط امن بین دو دامنه را فراهم میکند و ساختار درخت سلسله مراتبی است.
- جنگلها: چندین درخت در مجموعهای به نام جنگل گروهبندی میشوند. جنگل شامل پیکربندی دامنه، اطلاعات برنامهها، طرح دایرکتوری و لیست تمام آبجکتها است.
برای مدیریت اکتیو دایرکتوری، میتوان از نرمافزارهای مدیریت اکتیو دایرکتوری استفاده کرد، ولی با کنترل دسترسی و احراز هویت هنگام لاگین شدن، امنیت اکتیو دایرکتوری تامین میشود.
Forest در اکتیو دایرکتوری چیست؟
از نظر منطقی اکتیو دایرکتوری به دامنهها، درختها ((Trees و جنگلها ( (Forestsتقسیم بندی می شود. کاربران و کامپیوترها در دامنهها دستهبندی میشوند و اشیاء (آبجکتها) در یک دیتابیس ذخیره میشوند که قابلیت تکثیر و تکرار دارد.
دامنهها توسط ساختار نام DNS خود مشخص میشوند. هر درخت یا Tree نیز مجموعهای از یک یا چند دامنه است. همچنین جنگل یا Forest نیز مجموعهای از چندین درخت است که یک کاتالوگ جهانی مشترک، الگوی دایرکتوری، ساختار منطقی و پیکربندی دایرکتوری را به اشتراک میگذارند. در واقع Forestها مرزهای امنیتی را مشخص میکنند و تعیین میکنند که کدام یک از کاربران، کامپیوترها، گروهها و اشیاء دیگر در دسترس قرار دارند. این ساختار Forest به عنوان یک واحد امنیتی کلان عمل میکند و اهمیت زیادی در تنظیم امنیت و دسترسی به منابع دارد.
سرویس های اکتیو دایرکتوری
هر یک از این سرویسها قابلیتهای مدیریت دایرکتوری را بهبود میبخشند که در ادامه به توضیح سرویسهای اکتیو دایرکتوری میپردازیم.
سرویسهای دامنه (Domain Services)
اکتیو دایرکتوری از تعدادی سرویس راهنما تشکیل شده است که شناختهشدهترین آن Active Directory Domain Services یا به اختصار AD DS) ) یا DS)) است. DS ستون بنا و شالوده هر شبکه دامنه ویندوز را تشکیل داده و مسئول حفظ و نگهداری اطلاعات اعضای دامنهها، از جمله کاربران و دستگاهها، تایید اعتبارها و تشخیص درستی دسترسیها است. سروری که DS را اجرا میکند، به عنوان کنترلگر دامنه شناخته میشود. این سرویس بر پایه دامنههای سرویسهای دیگر مایکروسافت نظیر Exchange Server، Remote Desktop Services، BitLocker و غیره نیز اجرا میشود. توجه داشته باشید که سیستم مدیریت ذاتی AD DS با سیستم مدیریت Azure AD DS اشتباه گرفته نشود.
سرویس اکتیو دایرکتوری LDS
سرویس اکتیو دایرکتوری LDS سابقاً با نام Active Directory Application Mode شناخته میشد و بر پایه پروتکل LDAP اجرا میشود. این سرویس نسخه کوچکتری از AD DS است و به عنوان راهحلی برای نرمافزارهایی که به دسترسی به آبجکتها و اطلاعات شبکه نیاز دارند، خدمت میکند. مقدار زیادی از سرویسهای دایرکتوری LDS میتوانند بر روی یک سرور اجرا شوند.
سرویس اکتیو دایرکتوری Certificate Services
سرویس AD CS یا Certificate Services یک زیرساخت برای کلید عمومی در محل ایجاد میکند. این سرویس جهت محافظت از فایلهای موجود در شبکه استفاده میشود؛ به عنوان مثال در ایمیل، خرید اینترنتی و انجمنهای اینترنتی.
سرویس Federation Services
این سرویس یک سرویس ثبتنام واحد با نام AD FS است که به شرکتها امکان همکاری با سازمانها و شرکتهای دیگر را میدهد. این سرویس جهت مدیریت دسترسی افراد سازمانها به فایلها، منابع و اطلاعات از AD FS بهرهمند میشود.
سرویس Rights Management Services
آخرین سرویس از سرویسهای اکتیو دایرکتوری، سرویس RMS یا Rights Management Services است که تا قبل از ویندوز سرور 2008 با نام Active Directory Rights Management Services (AD RMS) شناخته میشد. این سرویس جهت حفاظت از تمامی فایلهای موجود در شبکه و اعمال سیاستهای محدودیتی بر روی آنها به منظور جلوگیری از کپی، پرینت و تکثیر توسط افراد غیرمجاز استفاده میشود. AD RMS با سرویسهای دیگر بهصورت یکپارچه همکاری میکند تا امنیت هر نوع فایل باینری را بهبود بخشد.
سرویس ADDS چیست؟
سرویس ADDS مخفف ” ”Active Directory Domain Services است. این سرویس یکی از اجزای اصلی سیستم عامل ویندوز سرور است که برای مدیریت و کنترل دسترسی به منابع شبکه در یک محیط شبکه ویندوزی استفاده میشود. Active Directory نقش اصلی را در ایجاد یک ساختار سلسله مراتبی از اشیاء مانند کاربران، گروهها، کامپیوترها، و سایر دستگاههای متصل به شبکه ایفا میکند. با استفاده از Active Directory، مدیران میتوانند سیاستهای امنیتی، دسترسی به منابع، و سایر تنظیمات را در یک شبکه ویندوزی مدیریت کنند.
نصب اکتیو دایرکتوری
نصب Active Directory (AD) در محیط Windows Server به منظور ایجاد یک دایرکتوری مرکزی و مدیریت اعضا، کاربران، گروهها و منابع شبکه، یک فرآیند مرحله به مرحله است. در ادامه نحوه نصب Active Directory را در ویندوز سرور 2016 توضیح میدهیم. لطفاً توجه داشته باشید که اطلاعاتی که اینجا ارائه میشود براساس وضعیت و نسخههای جاری ممکن است تغییر کند.
1. نصب ویندوز سرور
ابتدا ویندوز سرور را بر روی سرور خود نصب کنید. در صورتی که سیستم عاملی غیر از ویندوز سرور بر روی سرور نصب است، بهتر است آن را به ویندوز سرور تغییر دهید یا ویندوز سرور جدیدی نصب کنید.
2. آمادهسازی محیط
قبل از نصب Active Directory اطمینان حاصل کنید که سیستم بهروز و تنظیمات شبکه صحیح باشند. به عنوان مثال تنظیمات IP، DNS و سایر مشخصات شبکه را چک کنید.
3. نصب Role:
وارد Server Manager شده و بر روی”Add roles and features” کلیک کنید. سپس مراحل نصب نرمافزارهای پیشنیاز و Roleها را دنبال کنید. در اینجا نقش “Active Directory Domain Services” را انتخاب کرده و مراحل را ادامه دهید.
4.نصب و تشکیل دامنه (Domain):
پس از نصب نقش Active Directory Domain Services، به راحتی میتوانید یک دامنه جدید ایجاد کنید. از “Promote this server to a domain controller” گزینه استفاده کنید و مراحل مربوط به نصب و تشکیل دامنه را دنبال کنید. در اینجا شما باید نام دامنه و اطلاعات احراز هویت را تنظیم کنید.
5.پیکربندی Active Directory:
بعد از نصب، سرور به عنوان یک دامنه کنترلر اصلی فعال میشود. از اینجا میتوانید ابزارها و مدیریتگران Active Directory را برای افزودن کاربران، گروهها و دسترسیها به منابع شبکه استفاده کنید.
توجه داشته باشید که اطلاعات و مراحل ممکن است در نسخههای مختلف ویندوز سرور متغیر باشد.
مزایای اکتیو دایرکتوری
استفاده از اکتیو دایرکتوری به عنوان راهی برای مدیریت دامنهها در یک شبکه مزیتی واضح است. در حال حاضر Active Directory Domain Services (AD DS) یکی از سرویسهای محبوب و پرکاربرد در فضای اکتیو دایرکتوری باقی مانده است. مزایای اکتیو دایرکتوری عبارت است از:
نگهداری متمرکز اطلاعات کاربران و موجودیتهای شبکه
- دامنه: اطلاعات کاربران مثل نام، رمز، شماره تلفن و آدرس به صورت متمرکز نگهداری میشوند که این امر امکان پشتیبانگیری و دسترسی مدیریت متمرکز را فراهم میکند.
- گروهی: اطلاعات پراکنده و امنیت ضعیفتری دارد و قابلیت بکاپگیری مشکلاتی را به دنبال دارد.
مقیاسپذیری
- دامنه: به دلیل متمرکز بودن اطلاعات، مقیاسپذیری بالا و توانایی مدیریت تعداد بسیاری از آبجکتها را فراهم میکند.
- گروهی: به دلیل پراکندگی اطلاعات، توصیه میشود تعداد کاربران محدود باشد.
توسعهپذیری
- دامنه:میتوان آبجکتهای جدید را تعریف کرد و از آنها در سراسر شبکه استفاده کرد.
- گروهی:تنها از اشیای تعریف شده استفاده میکند.
قابلیت مدیریت
- دامنه:مدیریت متمرکز و امکان ارتقاء امنیت به صورت مستمر.
- گروهی:مدیریت در حد حفظ وضعیت.
یکپارچگی با DNS
- دامنه:هماهنگی با DNS و دسترسی آسان به سرویسها.
- گروهی:قابلیت دسترسی ضعیف به سرویسها.
قابلیت اتصال با دیگر Active Directory
- دامنه:قابلیت اتصال با اکتیودایرکتوریهای مبتنی بر استانداردهای جهانی.
- گروهی:عدم امکان اتصال با دیگر اکتیودایرکتوریها.
امنیت یکپارچه و گسترده
- دامنه:امنیت بسیار بالا با اطلاعات رمز شده.
- گروهی:امنیت در حد اولیه و منحصر به هر کامپیوتر.
انعطافپذیری در امنیت و تعیین هویت
- دامنه:قابلیت شناسایی هر آبجکتی با مدلها و روشهای مختلف.
- گروهی:قابلیت شناسایی تنها در حد کامپیوترهای محلی.
سیاست پذیری
- دامنه: امکان اعمال سیاستهای مختلف در سطح شبکه.
- گروهی: اعمال سیاست در حد کامپیوتر.
نشانهگذاری دیجیتالی اطلاعات تبادلی
- دامنه: اطلاعات با رمز شده بین سرورها منتقل میشوند.
- گروهی: اطلاعات بین سرورها جابجا نمیشوند.
انواع گروه در اکتیو دایرکتوری
بعد از راهاندازی شبکه و نصب سرویس اکتیو دایرکتوری، چندین گروه جدید با دسترسی و کاربردهای مختلف ایجاد میشود که پرکاربردترین این گروهها عبارتند از:
- گروه مدیران طرح (Schema Admins)
- گروه صاحبان ایجاد سیاست گروه (Group Policy Creator Owners)
- گروه مدیران دامنه (Domain Admins)
- گروه مدیران (Administrators)
- گروه مدیران شرکت (Enterprise Admins)
کلام آخر
در دههی 1999 پس از عرضه ویندوز 2000، سرویس اکتیو دایرکتوری و زیرساختهای آن به عنوان یک عامل اساسی در دنیای مدیریت شبکه و سرورها وارد شد. وقتی نیاز به تعامل شرکتها با یکدیگر در چارچوب یک پروتکل امن و مبتنی بر سیاستهای مشترک بود یا در مواردی که سازمانها بر اساس سلسلهمراتب خاص خود، دسترسی کارکنان را مدیریت و محدود میکردند، یا حتی زمانی که نیاز به حفاظت از حقوق مادی و معنوی فایلها وجود داشت، حضور سرویسهای دایرکتوری فعال بسیار ضروری بود. در این مقاله سعی شد تا به طرح کلی و کاربرد انواع سرویسهای اکتیو دایرکتوری پرداخته شود و نحوه نصب و راهاندازی آن روی کامپیوترهای شخصی یا سرورها آموزش داده شود. در نهایت، باید بگوییم که اکتیو دایرکتوری ابزاری قدرتمند است که نظارت بهتر و گستردهتری را بر شبکه ارائه میدهد.درصورتی قصد خرید سرور اچ پی را دارید برای اینکه روی آن سرویس های اکتیو دایرکتوری را نصب کنید میتوانید با متخصصان سریرسرور تماس بگیرید.