اکتیو دایرکتوری (Active Directory) چیست + کاربرد و ساختار آن

در سازمان‌ها وقتی تعداد زیادی کاربر، سیستم‌های کامپیوتری، چاپگرها و خدمات مختلف در یک محیط گرد هم می‌آیند، به سیستمی نیاز دارند که بتواند همه این اجزا را به شکلی هماهنگ و منظم اداره کند و از بی نظمی جلوگیری کند. در اینجا سرویس اکتیو دایرکتوری وارد عمل می‌شود. این ابزار مثل یک پایگاه مرکزی عمل می‌کند و اطلاعات مربوط به کاربران، دستگاه‌ها و خدمات را در خودش نگه می‌دارد. همچنین وظایفی مثل شناسایی کاربران و رعایت قوانین امنیتی را بر عهده دارد.

اکتیو دایرکتوری چیست؟ | Active Directory چیست؟

اکتیو دایرکتوری مجموعه ایی از سرویس‌ها در سیستم عامل ویندوز سرور است که سازمان دهی منابع و کاربران را آسان تر می‌کند. این ساختار متمرکز یک دیتابیس یا فهرست راهنما محسوب می‌شود که اطلاعات مربوط به همه اشیای شبکه اعم از کاربران، کامپیوترها، چاپگر‌ها و سرویس‌ها را نگهداری می‌کند.

هدف اصلی اکتیو دایرکتوری این است که دسترسی کاربران به منابع شبکه را به صورت منظم مدیریت کند، هویت کاربران را بررسی کرده و قوانین امنیتی را در کل شبکه اعمال کند. این سیستم به مدیر شبکه اجازه می‌دهد تغییرات لازم را از یک نقطه مرکزی انجام دهد و دسترسی کاربران به فایل‌ها یا دستگاه‌ها را کنترل کند. به بیان ساده Active Directory مثل یک دفترچه راهنما عمل می‌کند که تمام اطلاعات مربوط به اجزای شبکه را دسته بندی کرده و قوانین هر بخش را مشخص می‌کند.

مستر اچ پی در زمینه ی فروش انواع سرورهای hp و قطعات مرتبط با آن‌ها فعالیت دارد. محصولات این فروشگاه با بهترین کیفیت ، گارانتی معتبر و قیمت مناسب به مشتریان تقدیم می‌شود. برای اطلاعات بیشتر می توانید با شماره 02191008413 تماس بگیرید.

ساختار active directory

ساختار این سیستم به صورت سلسله مراتبی طراحی شده است، به طوری که شبکه به بخش‌های مختلفی تقسیم می‌شود. این بخش‌ها شامل دامین‌ها، درخت‌ها و جنگل‌ها هستند که هر کدام وظایف خاصی دارند. این طراحی باعث می‌شود حتی شبکه‌های بسیار بزرگ و پیچیده نیز به راحتی مدیریت شوند. در ادامه، نگاهی مفصل به این بخش‌ها خواهیم انداخت:

دامین (Domain)

وقتی در یک سازمان نیاز باشد تعداد زیادی کاربر و دستگاه به صورت هماهنگ مدیریت شوند، دامین تعریف می‌شود. دامین مثل یک محدوده امنیتی است که اطلاعات کاربران، گروه‌ها و دستگاه‌ها در یک پایگاه داده ذخیره می‌شود. این پایگاه داده در دامین کنترلرها (Domain Controller) نگهداری می‌شود. هر دامین یک شناسه مبتنی بر DNS دارد.

درخت  (Tree)

اگر یک سازمان بزرگ چند دامین مرتبط داشته باشد که از یک فضای DNS استفاده کنند، این دامین‌ها در کنار هم یک درخت را تشکیل می‌دهند. در این ساختار دامین اصلی (Root Domain) می‌تواند دامین‌های فرعی را در خود جای دهد. این مدل درختی باعث می‌شود که ساختارهای والد و فرزندی به راحتی و بدون تکرار نام گذاری شوند. برای مثال اگر دامین Child.MyOrg.com ایجاد شود، به صورت خودکار به دامین اصلی یعنی MyOrg.com متصل خواهد بود. این ارتباط باعث می‌شود کاربران بتوانند در صورت نیاز، بین دامین‌های مرتبط دسترسی داشته باشند.

جنگل  (Forest)

در سطحی بالاتر از درخت‌ها، ساختاری بزرگ تر به نام جنگل قرار دارد. جنگل شامل چندین درخت است که هرکدام DNS های جداگانه‌ای دارند اما به هم مرتبط هستند. این ساختار بزرگ، محیطی یکپارچه برای مدیریت و ارتباط امن بین تمام درخت‌ها ایجاد می‌کند. در جنگل اجزای مشترکی مانند کاتالوگ جهانی (Global Catalog)، الگوی دایرکتوری (Schema) و تنظیمات پیکربندی وجود دارد. این هماهنگی باعث می‌شود تمام بخش‌های زیرمجموعه جنگل به صورت منظم و هماهنگ عمل کنند. جنگل به عنوان گسترده ترین سطح در اکتیو دایرکتوری، مرزهای امنیتی را مشخص کرده و تمام دامین‌ها و درخت‌ها را در یک چارچوب مشترک قرار می‌دهد.

سرویس های Active Directory :

اکتیو دایرکتوری تعداد زیادی سرویس در دل خود دارد که هرکدام در عین یکپارچگی با یکدیگر، کارکرد تخصصی خود را ارائه می‌دهند. این سرویس‌ها عبارتند از:

1)  Domain Services(سرویس‌های دامنه)

AD DS یا همان Active Directory Domain Services، بخش اصلی و مرکزی اکتیو دایرکتوری است. این سرویس اطلاعات مربوط به کاربران و دستگاه‌ها را ذخیره می‌کند و به آن‌ها اجازه می‌دهد هویت خود را در شبکه مشخص کنند. به زبان ساده، هر کسی که بخواهد از منابع شبکه مثل فایل‌ها یا برنامه‌ها استفاده کند، باید از طریق این سرویس هویت و مجوزهایش بررسی شود. اگر اطلاعات او درست باشد و اجازه دسترسی داشته باشد، وارد می‌شود.

علاوه بر این، برخی سرویس‌های مایکروسافت، مثل Exchange Server یا Remote Desktop Services، برای کار کردن به این سرویس وابسته هستند. سرورهایی که AD DS را اجرا می‌کنند، کنترلگر دامین نام دارند و وجود آن‌ها برای ایجاد یک شبکه دامنه‌ای در ویندوز ضروری است. بدون این سرویس، مدیریت کاربران و منابع در شبکه‌های بزرگ ممکن نخواهد بود.

2) سرویس اکتیو دایرکتوری LDS

LDS که مخفف Lightweight Directory Services است، نسخه ای ساده تر و سبک تر از AD DS محسوب می‌شود. این سرویس قبلا با نام Active Directory Application Mode شناخته می‌شد و بر اساس پروتکل LDAP طراحی شده است. اگر یک نرم افزار بخواهد بدون نیاز به استفاده از ساختار کامل اکتیو دایرکتوری، به اطلاعاتی مثل داده‌های کاربران یا گروه‌ها دسترسی پیدا کند، می‌تواند از این سرویس استفاده کند. LDS این قابلیت را دارد که چندین بار روی یک سیستم اجرا شود و هر بار یک پایگاه داده کوچک ایجاد کند که نرم‌افزارهای دیگر بتوانند به آن مراجعه کنند. این سرویس برای برنامه‌هایی که نیاز به دسترسی به اطلاعات دایرکتوری دارند، اما نمی‌خواهند از زیرساخت کامل دامنه ای استفاده کنند، گزینه ای ساده و کاربردی است.

3) سرویس اکتیو دایرکتوری Certificate Services

Active Directory Certificate Services یا همان AD CS، سیستمی است که به سازمان‌ها اجازه می‌دهد گواهی‌های دیجیتال را ایجاد و مدیریت کنند. این گواهی‌ها برای رمزنگاری و تایید هویت در سرویس‌هایی مثل ایمیل‌های امن، وب‌سایت‌های خرید اینترنتی و تالارهای گفتگوی رمزنگاری شده استفاده می‌شوند. AD CS به سازمان‌ها کمک می‌کند تا یک سیستم داخلی برای صدور و مدیریت این گواهی‌ها داشته باشند، تا اطلاعات و پیام‌های ردوبدل شده در شبکه از دسترسی غیرمجاز در امان بمانند. روش کار به این صورت است که فرستنده، سند را با کلید خصوصی خود رمزگذاری می‌کند و گیرنده آن را با کلید عمومی فرستنده باز می‌کند. این فرایند نشان می‌دهد که سند در طول مسیر تغییر نکرده و معتبر است.

4) Federation Services

در مجموعه اکتیو دایرکتوری، بخشی وجود دارد به نام AD FS یا Active Directory Federation Services. این بخش، برای سناریوهایی ساخته شده که چندین سازمان یا چند مجموعه مختلف بخواهند به بعضی منابع یکدیگر دید داشته باشند. مثلا شرکتی که می‌خواهد با یک مجموعه دیگر وارد همکاری شود و امکان دسترسی کارکنان هر دو به فایل‌های خاصی از سوی طرفین وجود داشته باشد. این فرایند نیازمند ارائه دسترسی محدود به کاربران خارجی است. سرویس اصلی این شرایط را پشتیبانی می‌کند و به شکل مشابه ورود یکپارچه یا Single Sign-On کار می‌کند. AD FS با احراز هویت کاربران خارجی از طریق هویت‌های تایید ‌شده، مسیرهایی کنترل شده را به آن‌ها می‌دهد.

5) Rights Management Services

آخرین سرویس DAC در این فهرست، معروف به RMS یا AD RMS است. اگر بخواهید از داده‌هایتان در برابر کپی غیرمجاز یا توزیع ناخواسته محافظت کنید، AD RMS راهکار خوبی خواهد بود. این سرویس می‌تواند سطحی از کنترل و سیاست گذاری را روی فایل‌ها مثل متن، ویدیو، صوت و … اعمال کند تا از چاپ بدون اجازه، اسکرین شات گرفتن، کپی کردن یا ویرایش نابجا ممانعت شود. تمامی این محدودیت‌ها از راه رمزگذاری و تعیین حقوق دسترسی دینامیک صورت می‌گیرد. این سرویس در شبکه‌های بزرگ به شدت مورد استفاده قرار گرفته است، مخصوصا وقتی دیتاها محرمانه باشند و نیاز باشد اشتراک گذاری فایل فقط بین گروه محدودی انجام شود.

کاربردهای اکتیو دایرکتوری

کاربردهای مهم این سیستم عبارت اند از:

– مدیریت کاربران: یک مدیر می‌تواند برای کارمندان حساب‌های جداگانه بسازد، پسوردها را کنترل کند یا سطح دسترسی در بخش‌های مختلف شبکه را تعیین نماید. همچنین موقعیت شغلی یا واحد سازمانی هر فرد را به شکلی شفاف در ساختار مشخص کند.

– پل ارتباطی بین خدمات داخلی: گاهی نیاز است نرم افزارهایی مثل اتوماسیون اداری یا نرم افزارهای دیگر به داده‌های شبکه دسترسی داشته باشند. به این ترتیب، سرویس‌های LDS و دامین سرویس کمک می‌کنند دسترسی به فهرست آبجکت‌های شبکه بدون آسیب رسیدن به امنیت کل دامنه انجام شود.

– تعامل با دیگر شرکت‌ها: در سناریوهایی که دو ساختار نیاز دارند پروژه‌ای مشترک برگزار کنند و فایل‌هایی را بین هم رد و بدل نمایند، سرویس‌های فدراسیون کارآمد می‌شوند. مثلا برای پروژه مشترک بین سازمان الف و ب، می‌توان اجازه اتصال محدود به کاربران سازمان دوم داد.

– حفظ اسناد محرمانه: با تکیه بر AD RMS، اسناد و فایل‌های حساسی که منبع درآمد یا دانشی مهم هستند در لایه‌ای دیگر محافظت می‌شوند. در این حالت، حتی اگر فردی فایل را بردارد، بدون سطح دسترسی تعیین شده قادر به بازگشایی یا ویرایش نخواهد بود.

– تقسیم وظایف امنیتی: وقتی چند سازمان متفاوت وارد مذاکره می‌شوند، اگر زیرساخت اکتیو دایرکتوری به شکل مشترک طراحی شود، می‌توان تقسیم‌بندی کرد که چه کسی به کدام بخشی از شبکه دید داشته باشد، چه کسی سرپرست چه بخش‌هایی از کاربران باشد و چگونه به اطلاعات یا سرویس‌هایی مثل پرینتر مشترک وصل شود.

نصب اکتیو دایرکتوری چگونه است؟

برای نصب اکتیو دایرکتوری، بهترین روش استفاده از ویندوز سرور است. این فرایند معمولا روی نسخه‌های 2016، 2019 یا نسخه‌های جدیدتر انجام می‌شود. ابتدا باید سیستم عامل ویندوز سرور روی سرور نصب و بروزرسانی شود. سپس کارت شبکه تنظیم شده و محدوده IP به درستی تعریف گردد. همچنین، نام سرور باید مشخص شود و یک آدرس DNS  برای نام‌گذاری در شبکه تعیین گردد، زیرا دامین کنترلر برای عملکرد خود به DNS نیاز دارد.

در مرحله بعد، از طریق  Server Manager، رول Active Directory Domain Services را اضافه می‌کنید. در این بخش ممکن است نیاز باشد ابزارهای مدیریت از راه دور نیز فعال شوند. پس از نصب رول، گزینه ای به نام “Promote this server to a domain controller”  در Server Manager ظاهر می‌شود. با کلیک روی این گزینه، فرایند نصب اکتیو دایرکتوری ادامه پیدا می‌کند.

در این مرحله باید مشخص کنید که آیا قصد دارید یک دامین جدید بسازید یا این سرور را به یک دامین موجود متصل کنید. برای ایجاد یک دامین جدید، ابتدا باید نام آن را تعیین کنید و تنظیمات امنیتی مانند رمز عبور بازیابی را اعمال نمایید. پس از تکمیل این مراحل، سرور ریبوت شده و به عنوان کنترلر دامین آماده استفاده خواهد بود.

پس از راه اندازی، می‌توانید از طریق بخش Tools در Server Manager به Active Directory Users and Computers دسترسی پیدا کنید. در این قسمت می‌توانید کاربران، گروه‌ها و ساختارهای مختلف را مدیریت کنید. همچنین، برای استفاده بهتر از خدمات active directory ، می‌توانید سایر دستگاه‌های شبکه را به دامنه متصل کنید. هرچند ممکن است جزئیات این فرایند بسته به نسخه ویندوز سرور کمی متفاوت باشد، اما مراحل اصلی شامل نصب رول، پیکربندی دامین و راه اندازی کنترلر یکسان است.

مزایای active directory

اکتیو دایرکتوری ویژگی‌های زیادی دارد. در این بخش چند مورد از مهم ترین مزایای آن توضیح داده شده است:

– تمام کاربران، گروه‌ها و دستگاه‌ها از یک نقطه واحد مدیریت می‌شوند. این روش باعث می‌شود تنظیمات و دسترسی‌ها به صورت یکپارچه و بدون سردرگمی انجام شوند.

– هر کاربر تنها یک حساب کاربری در دامین دارد. پس از تایید این حساب، می‌تواند به بخش‌های مختلفی که اجازه دسترسی دارد، وارد شود. این روش فرایند ورود و کنترل دسترسی را سریع تر و کارامدتر می‌کند.

– اکتیو دایرکتوری سیاست‌هایی را روی کاربران و دستگاه‌ها اعمال می‌کند تا از اطلاعات حساس محافظت شود. همچنین، ابزارهایی دارد که از اشتراک گذاری غیرمجاز فایل‌ها جلوگیری می‌کند.

– از طریق Group Policy می‌توان تنظیمات و قوانین مختلفی را روی تعداد زیادی از کامپیوترها یا کاربران در مدت زمان کوتاهی اعمال کرد. این قابلیت به مدیران IT اجازه می‌دهد تنظیمات امنیتی، رمزهای عبور یا حتی ظاهر دسکتاپ را به صورت مرکزی تغییر دهند.

– اگر شرکت کوچک باشد، تنها یک دامین کنترلر کافی است. اما در سازمان‌های بزرگ تر، می‌توان ساختارهای پیچیده تری مانند جنگل‌ها و پارتیشن‌ها را تعریف کرد تا نیازهای مختلف برآورده شوند.

– وقتی تعداد کارمندان افزایش پیدا می‌کند یا بخشی از سازمان جدا می‌شود، می‌توان به سادگی حساب‌های جدید ایجاد کرد یا حساب‌های قبلی را غیرفعال نمود.

– پرینترهای شبکه، پوشه‌های اشتراکی، سرورهای اطلاعات و سرویس‌های ایمیل به سادگی میان افرادی که اجازه دارند، توزیع می‌شوند. کاربران بدون نیاز به ورودهای متعدد می‌توانند به همه این موارد دسترسی داشته باشند.

– این سیستم امکان کنترل دسترسی در چندین بخش مختلف را فراهم می‌کند. همچنین می‌توان ساختارهای جدید را به راحتی در این بستر ایجاد کرد و سازمان را گسترش داد.

اکتیو دایرکتوری از چه پروتکل هایی استفاده می کند؟

سه پروتکل اصلی که در این زمینه اهمیت زیادی دارند که شامل LDAP، Kerberos و DNS هستند:

1. پروتکل مبتنی بر شبکه LDAP

LDAP یک روش برای ارتباط میان سرویس‌های شبکه و دیتابیس دایرکتوری است. به زبان ساده، این پروتکل به کلاینت‌ها اجازه می‌دهد از طریق بسته‌های TCP/IP درخواست‌هایی را به دامین کنترلر ارسال کنند و اطلاعاتی مانند جزئیات کاربران یا گروه‌ها را دریافت کنند. به‌عنوان مثال وقتی کلاینتی به دنبال یک کاربر خاص است، درخواست خود را به کنترلر دامنه ارسال می‌کند و فهرست مرتبط را دریافت می‌کند. در صورتی که LDAP وجود نداشته باشد، ارتباط سرویس‌های خارجی به سادگی انجام نمی‌شود. این پروتکل شامل دستوراتی برای جستجو، افزودن، حذف و بروزرسانی اشیا در دیتابیس دایرکتوری است. همچنین، اکتیو دایرکتوری می‌تواند از نسخه رمزگذاری نشده LDAP یا نسخه‌ای که از TLS/SSL استفاده می‌کند، پشتیبانی کند که این موضوع به تنظیمات امنیتی شبکه بستگی دارد.

2. پروتکل احراز هویت Kerberos

Kerberos یکی از روش‌های رایج برای شناسایی هویت کاربران در اکتیو دایرکتوری است. این روش از یک سیستم رمزگذاری استفاده می‌کند که به کاربران و سرویس‌ها اجازه می‌دهد همدیگر را شناسایی کنند. وقتی کاربری بخواهد به یک سرویس دسترسی پیدا کند،Kerberos  وارد عمل می‌شود و از یک مرکز مدیریت کلید به نام KDC  استفاده می‌کند. این مرکز یک بلیت رمزگذاری شده به کاربر می‌دهد که نشان می‌دهد هویت او معتبر است. این بلیت به سرور مقصد ارسال می‌شود تا دسترسی کاربر تایید شود.

Kerberos از روش‌های رمزنگاری خاصی استفاده می‌کند که باعث می‌شود نیازی به ارسال مکرر رمز عبور نباشد. این کار امنیت را بسیار بیشتر می‌کند و باعث می‌شود ارتباطات در اکتیو دایرکتوری به شکل امن تری انجام شوند. این روش یکی از بهترین راه‌ها برای مدیریت دسترسی‌ها در شبکه‌های بزرگ است.

3. پروتکل DNS یا سیستم نام دامنه

DNS در اکتیو دایرکتوری وظیفه دارد نام‌های قابل فهم برای انسان را به آدرس‌های IP تبدیل کند. این فرایند مشابه کاری است که سرورهای DNS در اینترنت انجام می‌دهند یعنی آدرس‌های وب سایت را به IP مرتبط می‌کنند. در اکتیو دایرکتوری، زمانی که یک کامپیوتر کلاینت بخواهد به کنترلر دامنه متصل شود، ابتدا از DNS می‌پرسد که نام کنترلر به کدام IP اشاره دارد. سپس ارتباط برقرار می‌شود و عملیات‌هایی مانند احراز هویت یا درخواست‌های دیگر انجام می‌گیرد. بدون وجود DNS، ساختار سلسله مراتبی نام گذاری یا استفاده از دامین‌های والد و فرزند در اکتیو دایرکتوری قابل اجرا نیست. بنابراین، DNS یکی از اجزای مهم در عملکرد Active Directory محسوب می‌شود.

اگر به دنبال خرید سرور اچ پی یا دریافت مشاوره تخصصی در این زمینه هستید، مستر اچ پی بهترین انتخاب برای شماست. افراد متخصص ما با ارائه اطلاعات دقیق درباره انواع سرورهای hp، قطعات جانبی آنها شما را در انتخاب بهترین ترین گزینه برای نیازهای سازمانی یا شخصی تان راهنمایی می‌کنند. برای ارتباط با کارشناسان ما می توانید با شماره 02191008413 تماس حاصل فرمایید.

جمع بندی

اکتیو دایرکتوری یکی از سرویس‌های مهم ویندوز سرور است که برای مدیریت شبکه‌های سازمانی طراحی شده است. این قابلیت بر پایه یک ساختار سلسله مراتبی شامل دامین‌ها، درخت‌ها و جنگل‌ها ساخته شده و ابزارهای مختلفی را برای مدیریت کاربران، منابع و امنیت شبکه در اختیار مدیران قرار می‌دهد. از جمله ویژگی‌های مهم آن می‌توان به مدیریت دسترسی کاربران، سازمان دهی نرم‌افزارها و اطلاعات و جستجوی سریع منابع شبکه اشاره کرد. پروتکل‌هایی مانند LDAP، Kerberos و DNS در این سیستم به کار گرفته می‌شوند تا یک ساختار متمرکز و انعطاف‌پذیر ایجاد شود. این ویژگی‌ها باعث می‌شوند که سازمان‌ها بتوانند شبکه‌های خود را به‌صورت منظم تر کنترل کرده و از اطلاعات حساس خود بهتر محافظت کنند.

سوالات متداول

1) آیا برای راه اندازی اکتیو دایرکتوری حتما ویندوز سرور لازم است؟

اکتیو دایرکتوری بخشی است که روی ویندوز سرور فعال می‌شود و بدون نصب این سیستم عامل نمی‌توان چنین زیرساختی ایجاد کرد. البته گزینه‌های دیگری مانند سرویس‌های متن باز وجود دارند، اما اگر هدف ایجاد یک شبکه مبتنی بر دامنه‌های ویندوزی باشد، استفاده از ویندوز سرور ضروری است.

2) اگر کنتر‌لر دامنه از دسترس خارج شود چه اتفاقی می‌افتد؟

در صورتی که تنها یک کنترلر دامنه داشته باشید و آن از دسترس خارج شود، امکان شناسایی کاربران جدید یا انجام احراز هویت تا زمان بازگشت آن وجود ندارد. اما اگر چندین کنترلر دامنه در شبکه تعریف شده باشد و داده‌ها به درستی میان آن‌ها همگام سازی شوند، از کار افتادن یکی از آن‌ها باعث اختلال در کل سرویس نخواهد شد. این موضوع باعث می‌شود شبکه همچنان به فعالیت خود ادامه دهد.

3) چطور امنیت داده‌ها در اکتیو دایرکتوری حفظ می‌شود؟

اول اینکه، مکانیسم‌های رمزنگاری در پروتکل Kerberos جلوی مشاهده رمز عبور در طول مسیر را می‌گیرد. دوم، Group Policy کنترل گسترده روی پسوردها و تنظیمات امنیتی دارد. سوم، می‌توان با AD RMS از فایل‌های شبکه مانع توزیع و تکثیر غیرمجاز شد.