در سازمانها وقتی تعداد زیادی کاربر، سیستمهای کامپیوتری، چاپگرها و خدمات مختلف در یک محیط گرد هم میآیند، به سیستمی نیاز دارند که بتواند همه این اجزا را به شکلی هماهنگ و منظم اداره کند و از بی نظمی جلوگیری کند. در اینجا سرویس اکتیو دایرکتوری وارد عمل میشود. این ابزار مثل یک پایگاه مرکزی عمل میکند و اطلاعات مربوط به کاربران، دستگاهها و خدمات را در خودش نگه میدارد. همچنین وظایفی مثل شناسایی کاربران و رعایت قوانین امنیتی را بر عهده دارد.
اکتیو دایرکتوری چیست؟ | Active Directory چیست؟
اکتیو دایرکتوری مجموعه ایی از سرویسها در سیستم عامل ویندوز سرور است که سازمان دهی منابع و کاربران را آسان تر میکند. این ساختار متمرکز یک دیتابیس یا فهرست راهنما محسوب میشود که اطلاعات مربوط به همه اشیای شبکه اعم از کاربران، کامپیوترها، چاپگرها و سرویسها را نگهداری میکند.
هدف اصلی اکتیو دایرکتوری این است که دسترسی کاربران به منابع شبکه را به صورت منظم مدیریت کند، هویت کاربران را بررسی کرده و قوانین امنیتی را در کل شبکه اعمال کند. این سیستم به مدیر شبکه اجازه میدهد تغییرات لازم را از یک نقطه مرکزی انجام دهد و دسترسی کاربران به فایلها یا دستگاهها را کنترل کند. به بیان ساده Active Directory مثل یک دفترچه راهنما عمل میکند که تمام اطلاعات مربوط به اجزای شبکه را دسته بندی کرده و قوانین هر بخش را مشخص میکند.
مستر اچ پی در زمینه ی فروش انواع سرورهای hp و قطعات مرتبط با آنها فعالیت دارد. محصولات این فروشگاه با بهترین کیفیت ، گارانتی معتبر و قیمت مناسب به مشتریان تقدیم میشود. برای اطلاعات بیشتر می توانید با شماره 02191008413 تماس بگیرید.
ساختار active directory
ساختار این سیستم به صورت سلسله مراتبی طراحی شده است، به طوری که شبکه به بخشهای مختلفی تقسیم میشود. این بخشها شامل دامینها، درختها و جنگلها هستند که هر کدام وظایف خاصی دارند. این طراحی باعث میشود حتی شبکههای بسیار بزرگ و پیچیده نیز به راحتی مدیریت شوند. در ادامه، نگاهی مفصل به این بخشها خواهیم انداخت:
دامین (Domain)
وقتی در یک سازمان نیاز باشد تعداد زیادی کاربر و دستگاه به صورت هماهنگ مدیریت شوند، دامین تعریف میشود. دامین مثل یک محدوده امنیتی است که اطلاعات کاربران، گروهها و دستگاهها در یک پایگاه داده ذخیره میشود. این پایگاه داده در دامین کنترلرها (Domain Controller) نگهداری میشود. هر دامین یک شناسه مبتنی بر DNS دارد.
درخت (Tree)
اگر یک سازمان بزرگ چند دامین مرتبط داشته باشد که از یک فضای DNS استفاده کنند، این دامینها در کنار هم یک درخت را تشکیل میدهند. در این ساختار دامین اصلی (Root Domain) میتواند دامینهای فرعی را در خود جای دهد. این مدل درختی باعث میشود که ساختارهای والد و فرزندی به راحتی و بدون تکرار نام گذاری شوند. برای مثال اگر دامین Child.MyOrg.com ایجاد شود، به صورت خودکار به دامین اصلی یعنی MyOrg.com متصل خواهد بود. این ارتباط باعث میشود کاربران بتوانند در صورت نیاز، بین دامینهای مرتبط دسترسی داشته باشند.
جنگل (Forest)
در سطحی بالاتر از درختها، ساختاری بزرگ تر به نام جنگل قرار دارد. جنگل شامل چندین درخت است که هرکدام DNS های جداگانهای دارند اما به هم مرتبط هستند. این ساختار بزرگ، محیطی یکپارچه برای مدیریت و ارتباط امن بین تمام درختها ایجاد میکند. در جنگل اجزای مشترکی مانند کاتالوگ جهانی (Global Catalog)، الگوی دایرکتوری (Schema) و تنظیمات پیکربندی وجود دارد. این هماهنگی باعث میشود تمام بخشهای زیرمجموعه جنگل به صورت منظم و هماهنگ عمل کنند. جنگل به عنوان گسترده ترین سطح در اکتیو دایرکتوری، مرزهای امنیتی را مشخص کرده و تمام دامینها و درختها را در یک چارچوب مشترک قرار میدهد.
سرویس های Active Directory :
اکتیو دایرکتوری تعداد زیادی سرویس در دل خود دارد که هرکدام در عین یکپارچگی با یکدیگر، کارکرد تخصصی خود را ارائه میدهند. این سرویسها عبارتند از:
1) Domain Services(سرویسهای دامنه)
AD DS یا همان Active Directory Domain Services، بخش اصلی و مرکزی اکتیو دایرکتوری است. این سرویس اطلاعات مربوط به کاربران و دستگاهها را ذخیره میکند و به آنها اجازه میدهد هویت خود را در شبکه مشخص کنند. به زبان ساده، هر کسی که بخواهد از منابع شبکه مثل فایلها یا برنامهها استفاده کند، باید از طریق این سرویس هویت و مجوزهایش بررسی شود. اگر اطلاعات او درست باشد و اجازه دسترسی داشته باشد، وارد میشود.
علاوه بر این، برخی سرویسهای مایکروسافت، مثل Exchange Server یا Remote Desktop Services، برای کار کردن به این سرویس وابسته هستند. سرورهایی که AD DS را اجرا میکنند، کنترلگر دامین نام دارند و وجود آنها برای ایجاد یک شبکه دامنهای در ویندوز ضروری است. بدون این سرویس، مدیریت کاربران و منابع در شبکههای بزرگ ممکن نخواهد بود.
2) سرویس اکتیو دایرکتوری LDS
LDS که مخفف Lightweight Directory Services است، نسخه ای ساده تر و سبک تر از AD DS محسوب میشود. این سرویس قبلا با نام Active Directory Application Mode شناخته میشد و بر اساس پروتکل LDAP طراحی شده است. اگر یک نرم افزار بخواهد بدون نیاز به استفاده از ساختار کامل اکتیو دایرکتوری، به اطلاعاتی مثل دادههای کاربران یا گروهها دسترسی پیدا کند، میتواند از این سرویس استفاده کند. LDS این قابلیت را دارد که چندین بار روی یک سیستم اجرا شود و هر بار یک پایگاه داده کوچک ایجاد کند که نرمافزارهای دیگر بتوانند به آن مراجعه کنند. این سرویس برای برنامههایی که نیاز به دسترسی به اطلاعات دایرکتوری دارند، اما نمیخواهند از زیرساخت کامل دامنه ای استفاده کنند، گزینه ای ساده و کاربردی است.
3) سرویس اکتیو دایرکتوری Certificate Services
Active Directory Certificate Services یا همان AD CS، سیستمی است که به سازمانها اجازه میدهد گواهیهای دیجیتال را ایجاد و مدیریت کنند. این گواهیها برای رمزنگاری و تایید هویت در سرویسهایی مثل ایمیلهای امن، وبسایتهای خرید اینترنتی و تالارهای گفتگوی رمزنگاری شده استفاده میشوند. AD CS به سازمانها کمک میکند تا یک سیستم داخلی برای صدور و مدیریت این گواهیها داشته باشند، تا اطلاعات و پیامهای ردوبدل شده در شبکه از دسترسی غیرمجاز در امان بمانند. روش کار به این صورت است که فرستنده، سند را با کلید خصوصی خود رمزگذاری میکند و گیرنده آن را با کلید عمومی فرستنده باز میکند. این فرایند نشان میدهد که سند در طول مسیر تغییر نکرده و معتبر است.
4) Federation Services
در مجموعه اکتیو دایرکتوری، بخشی وجود دارد به نام AD FS یا Active Directory Federation Services. این بخش، برای سناریوهایی ساخته شده که چندین سازمان یا چند مجموعه مختلف بخواهند به بعضی منابع یکدیگر دید داشته باشند. مثلا شرکتی که میخواهد با یک مجموعه دیگر وارد همکاری شود و امکان دسترسی کارکنان هر دو به فایلهای خاصی از سوی طرفین وجود داشته باشد. این فرایند نیازمند ارائه دسترسی محدود به کاربران خارجی است. سرویس اصلی این شرایط را پشتیبانی میکند و به شکل مشابه ورود یکپارچه یا Single Sign-On کار میکند. AD FS با احراز هویت کاربران خارجی از طریق هویتهای تایید شده، مسیرهایی کنترل شده را به آنها میدهد.
5) Rights Management Services
آخرین سرویس DAC در این فهرست، معروف به RMS یا AD RMS است. اگر بخواهید از دادههایتان در برابر کپی غیرمجاز یا توزیع ناخواسته محافظت کنید، AD RMS راهکار خوبی خواهد بود. این سرویس میتواند سطحی از کنترل و سیاست گذاری را روی فایلها مثل متن، ویدیو، صوت و … اعمال کند تا از چاپ بدون اجازه، اسکرین شات گرفتن، کپی کردن یا ویرایش نابجا ممانعت شود. تمامی این محدودیتها از راه رمزگذاری و تعیین حقوق دسترسی دینامیک صورت میگیرد. این سرویس در شبکههای بزرگ به شدت مورد استفاده قرار گرفته است، مخصوصا وقتی دیتاها محرمانه باشند و نیاز باشد اشتراک گذاری فایل فقط بین گروه محدودی انجام شود.
کاربردهای اکتیو دایرکتوری
کاربردهای مهم این سیستم عبارت اند از:
– مدیریت کاربران: یک مدیر میتواند برای کارمندان حسابهای جداگانه بسازد، پسوردها را کنترل کند یا سطح دسترسی در بخشهای مختلف شبکه را تعیین نماید. همچنین موقعیت شغلی یا واحد سازمانی هر فرد را به شکلی شفاف در ساختار مشخص کند.
– پل ارتباطی بین خدمات داخلی: گاهی نیاز است نرم افزارهایی مثل اتوماسیون اداری یا نرم افزارهای دیگر به دادههای شبکه دسترسی داشته باشند. به این ترتیب، سرویسهای LDS و دامین سرویس کمک میکنند دسترسی به فهرست آبجکتهای شبکه بدون آسیب رسیدن به امنیت کل دامنه انجام شود.
– تعامل با دیگر شرکتها: در سناریوهایی که دو ساختار نیاز دارند پروژهای مشترک برگزار کنند و فایلهایی را بین هم رد و بدل نمایند، سرویسهای فدراسیون کارآمد میشوند. مثلا برای پروژه مشترک بین سازمان الف و ب، میتوان اجازه اتصال محدود به کاربران سازمان دوم داد.
– حفظ اسناد محرمانه: با تکیه بر AD RMS، اسناد و فایلهای حساسی که منبع درآمد یا دانشی مهم هستند در لایهای دیگر محافظت میشوند. در این حالت، حتی اگر فردی فایل را بردارد، بدون سطح دسترسی تعیین شده قادر به بازگشایی یا ویرایش نخواهد بود.
– تقسیم وظایف امنیتی: وقتی چند سازمان متفاوت وارد مذاکره میشوند، اگر زیرساخت اکتیو دایرکتوری به شکل مشترک طراحی شود، میتوان تقسیمبندی کرد که چه کسی به کدام بخشی از شبکه دید داشته باشد، چه کسی سرپرست چه بخشهایی از کاربران باشد و چگونه به اطلاعات یا سرویسهایی مثل پرینتر مشترک وصل شود.
نصب اکتیو دایرکتوری چگونه است؟
برای نصب اکتیو دایرکتوری، بهترین روش استفاده از ویندوز سرور است. این فرایند معمولا روی نسخههای 2016، 2019 یا نسخههای جدیدتر انجام میشود. ابتدا باید سیستم عامل ویندوز سرور روی سرور نصب و بروزرسانی شود. سپس کارت شبکه تنظیم شده و محدوده IP به درستی تعریف گردد. همچنین، نام سرور باید مشخص شود و یک آدرس DNS برای نامگذاری در شبکه تعیین گردد، زیرا دامین کنترلر برای عملکرد خود به DNS نیاز دارد.
در مرحله بعد، از طریق Server Manager، رول Active Directory Domain Services را اضافه میکنید. در این بخش ممکن است نیاز باشد ابزارهای مدیریت از راه دور نیز فعال شوند. پس از نصب رول، گزینه ای به نام “Promote this server to a domain controller” در Server Manager ظاهر میشود. با کلیک روی این گزینه، فرایند نصب اکتیو دایرکتوری ادامه پیدا میکند.
در این مرحله باید مشخص کنید که آیا قصد دارید یک دامین جدید بسازید یا این سرور را به یک دامین موجود متصل کنید. برای ایجاد یک دامین جدید، ابتدا باید نام آن را تعیین کنید و تنظیمات امنیتی مانند رمز عبور بازیابی را اعمال نمایید. پس از تکمیل این مراحل، سرور ریبوت شده و به عنوان کنترلر دامین آماده استفاده خواهد بود.
پس از راه اندازی، میتوانید از طریق بخش Tools در Server Manager به Active Directory Users and Computers دسترسی پیدا کنید. در این قسمت میتوانید کاربران، گروهها و ساختارهای مختلف را مدیریت کنید. همچنین، برای استفاده بهتر از خدمات active directory ، میتوانید سایر دستگاههای شبکه را به دامنه متصل کنید. هرچند ممکن است جزئیات این فرایند بسته به نسخه ویندوز سرور کمی متفاوت باشد، اما مراحل اصلی شامل نصب رول، پیکربندی دامین و راه اندازی کنترلر یکسان است.
مزایای active directory
اکتیو دایرکتوری ویژگیهای زیادی دارد. در این بخش چند مورد از مهم ترین مزایای آن توضیح داده شده است:
– تمام کاربران، گروهها و دستگاهها از یک نقطه واحد مدیریت میشوند. این روش باعث میشود تنظیمات و دسترسیها به صورت یکپارچه و بدون سردرگمی انجام شوند.
– هر کاربر تنها یک حساب کاربری در دامین دارد. پس از تایید این حساب، میتواند به بخشهای مختلفی که اجازه دسترسی دارد، وارد شود. این روش فرایند ورود و کنترل دسترسی را سریع تر و کارامدتر میکند.
– اکتیو دایرکتوری سیاستهایی را روی کاربران و دستگاهها اعمال میکند تا از اطلاعات حساس محافظت شود. همچنین، ابزارهایی دارد که از اشتراک گذاری غیرمجاز فایلها جلوگیری میکند.
– از طریق Group Policy میتوان تنظیمات و قوانین مختلفی را روی تعداد زیادی از کامپیوترها یا کاربران در مدت زمان کوتاهی اعمال کرد. این قابلیت به مدیران IT اجازه میدهد تنظیمات امنیتی، رمزهای عبور یا حتی ظاهر دسکتاپ را به صورت مرکزی تغییر دهند.
– اگر شرکت کوچک باشد، تنها یک دامین کنترلر کافی است. اما در سازمانهای بزرگ تر، میتوان ساختارهای پیچیده تری مانند جنگلها و پارتیشنها را تعریف کرد تا نیازهای مختلف برآورده شوند.
– وقتی تعداد کارمندان افزایش پیدا میکند یا بخشی از سازمان جدا میشود، میتوان به سادگی حسابهای جدید ایجاد کرد یا حسابهای قبلی را غیرفعال نمود.
– پرینترهای شبکه، پوشههای اشتراکی، سرورهای اطلاعات و سرویسهای ایمیل به سادگی میان افرادی که اجازه دارند، توزیع میشوند. کاربران بدون نیاز به ورودهای متعدد میتوانند به همه این موارد دسترسی داشته باشند.
– این سیستم امکان کنترل دسترسی در چندین بخش مختلف را فراهم میکند. همچنین میتوان ساختارهای جدید را به راحتی در این بستر ایجاد کرد و سازمان را گسترش داد.
اکتیو دایرکتوری از چه پروتکل هایی استفاده می کند؟
سه پروتکل اصلی که در این زمینه اهمیت زیادی دارند که شامل LDAP، Kerberos و DNS هستند:
1. پروتکل مبتنی بر شبکه LDAP
LDAP یک روش برای ارتباط میان سرویسهای شبکه و دیتابیس دایرکتوری است. به زبان ساده، این پروتکل به کلاینتها اجازه میدهد از طریق بستههای TCP/IP درخواستهایی را به دامین کنترلر ارسال کنند و اطلاعاتی مانند جزئیات کاربران یا گروهها را دریافت کنند. بهعنوان مثال وقتی کلاینتی به دنبال یک کاربر خاص است، درخواست خود را به کنترلر دامنه ارسال میکند و فهرست مرتبط را دریافت میکند. در صورتی که LDAP وجود نداشته باشد، ارتباط سرویسهای خارجی به سادگی انجام نمیشود. این پروتکل شامل دستوراتی برای جستجو، افزودن، حذف و بروزرسانی اشیا در دیتابیس دایرکتوری است. همچنین، اکتیو دایرکتوری میتواند از نسخه رمزگذاری نشده LDAP یا نسخهای که از TLS/SSL استفاده میکند، پشتیبانی کند که این موضوع به تنظیمات امنیتی شبکه بستگی دارد.
2. پروتکل احراز هویت Kerberos
Kerberos یکی از روشهای رایج برای شناسایی هویت کاربران در اکتیو دایرکتوری است. این روش از یک سیستم رمزگذاری استفاده میکند که به کاربران و سرویسها اجازه میدهد همدیگر را شناسایی کنند. وقتی کاربری بخواهد به یک سرویس دسترسی پیدا کند،Kerberos وارد عمل میشود و از یک مرکز مدیریت کلید به نام KDC استفاده میکند. این مرکز یک بلیت رمزگذاری شده به کاربر میدهد که نشان میدهد هویت او معتبر است. این بلیت به سرور مقصد ارسال میشود تا دسترسی کاربر تایید شود.
Kerberos از روشهای رمزنگاری خاصی استفاده میکند که باعث میشود نیازی به ارسال مکرر رمز عبور نباشد. این کار امنیت را بسیار بیشتر میکند و باعث میشود ارتباطات در اکتیو دایرکتوری به شکل امن تری انجام شوند. این روش یکی از بهترین راهها برای مدیریت دسترسیها در شبکههای بزرگ است.
3. پروتکل DNS یا سیستم نام دامنه
DNS در اکتیو دایرکتوری وظیفه دارد نامهای قابل فهم برای انسان را به آدرسهای IP تبدیل کند. این فرایند مشابه کاری است که سرورهای DNS در اینترنت انجام میدهند یعنی آدرسهای وب سایت را به IP مرتبط میکنند. در اکتیو دایرکتوری، زمانی که یک کامپیوتر کلاینت بخواهد به کنترلر دامنه متصل شود، ابتدا از DNS میپرسد که نام کنترلر به کدام IP اشاره دارد. سپس ارتباط برقرار میشود و عملیاتهایی مانند احراز هویت یا درخواستهای دیگر انجام میگیرد. بدون وجود DNS، ساختار سلسله مراتبی نام گذاری یا استفاده از دامینهای والد و فرزند در اکتیو دایرکتوری قابل اجرا نیست. بنابراین، DNS یکی از اجزای مهم در عملکرد Active Directory محسوب میشود.
اگر به دنبال خرید سرور اچ پی یا دریافت مشاوره تخصصی در این زمینه هستید، مستر اچ پی بهترین انتخاب برای شماست. افراد متخصص ما با ارائه اطلاعات دقیق درباره انواع سرورهای hp، قطعات جانبی آنها شما را در انتخاب بهترین ترین گزینه برای نیازهای سازمانی یا شخصی تان راهنمایی میکنند. برای ارتباط با کارشناسان ما می توانید با شماره 02191008413 تماس حاصل فرمایید.
جمع بندی
اکتیو دایرکتوری یکی از سرویسهای مهم ویندوز سرور است که برای مدیریت شبکههای سازمانی طراحی شده است. این قابلیت بر پایه یک ساختار سلسله مراتبی شامل دامینها، درختها و جنگلها ساخته شده و ابزارهای مختلفی را برای مدیریت کاربران، منابع و امنیت شبکه در اختیار مدیران قرار میدهد. از جمله ویژگیهای مهم آن میتوان به مدیریت دسترسی کاربران، سازمان دهی نرمافزارها و اطلاعات و جستجوی سریع منابع شبکه اشاره کرد. پروتکلهایی مانند LDAP، Kerberos و DNS در این سیستم به کار گرفته میشوند تا یک ساختار متمرکز و انعطافپذیر ایجاد شود. این ویژگیها باعث میشوند که سازمانها بتوانند شبکههای خود را بهصورت منظم تر کنترل کرده و از اطلاعات حساس خود بهتر محافظت کنند.
سوالات متداول
1) آیا برای راه اندازی اکتیو دایرکتوری حتما ویندوز سرور لازم است؟
اکتیو دایرکتوری بخشی است که روی ویندوز سرور فعال میشود و بدون نصب این سیستم عامل نمیتوان چنین زیرساختی ایجاد کرد. البته گزینههای دیگری مانند سرویسهای متن باز وجود دارند، اما اگر هدف ایجاد یک شبکه مبتنی بر دامنههای ویندوزی باشد، استفاده از ویندوز سرور ضروری است.
2) اگر کنترلر دامنه از دسترس خارج شود چه اتفاقی میافتد؟
در صورتی که تنها یک کنترلر دامنه داشته باشید و آن از دسترس خارج شود، امکان شناسایی کاربران جدید یا انجام احراز هویت تا زمان بازگشت آن وجود ندارد. اما اگر چندین کنترلر دامنه در شبکه تعریف شده باشد و دادهها به درستی میان آنها همگام سازی شوند، از کار افتادن یکی از آنها باعث اختلال در کل سرویس نخواهد شد. این موضوع باعث میشود شبکه همچنان به فعالیت خود ادامه دهد.
3) چطور امنیت دادهها در اکتیو دایرکتوری حفظ میشود؟
اول اینکه، مکانیسمهای رمزنگاری در پروتکل Kerberos جلوی مشاهده رمز عبور در طول مسیر را میگیرد. دوم، Group Policy کنترل گسترده روی پسوردها و تنظیمات امنیتی دارد. سوم، میتوان با AD RMS از فایلهای شبکه مانع توزیع و تکثیر غیرمجاز شد.