شبکه ها سرویس های متعددی ارائه می دهند که استفاده از آن ها بهره وری سیستم را بالا می برد. یکی از این سرویس ها مدیریت سیستم های کامپیوتری با اکتیو دایرکتوری است. Active Directory سرویس دایرکتوری شرکت Microsoft است که بر روی ویندوز سرور اجرا می شود. وظیفه اکتیو دایرکتوری، مدیریت و سازماندهی تعداد زیادی از کاربران و اشیا در قالب گروه های منطقی است. همچنین وظیفه مدیریت و کنترل دسترسی به هر سطح نیز از وظایف این سرویس می باشد.
در این مقاله به صورت جامع به معرفی اجزای اکتیو دایرکتوری پرداخته و مزایا و ویژگی های این سرویس را بررسی می کنیم. با ما همراه باشید.
اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری که به اختصار Active Directory (AD) خوانده می شود، یکی از سرویس های اختصاصی مایکروسافت است. سرویس Active Directory در سال 2000 منتشر شد. این سرویس جزو سرورهای ویندوزی است و مدیران شبکه را قادر می سازد تا مجوزها و دسترسی سطوح مختلف، به منابع شبکه یک سازمان یا اداره را مدیریت کنند.
وظیفه اکتیودایرکتوری، مدیریت و سازماندهی تمامی کاربران به صورت زیرگروه های مختلف است. در صورتی که نیاز به ایجاد تغییراتی روی سیستم های کلاینت باشد، کافی است که از طریق اکتیو دایرکتوری، تغییرات را روی تمامی سیستم ها یا بخشی از آنها اعمال کنید.
اکتیو دایرکتوری داده ها را به صورت اشیای مجزا ذخیره می کند. هر شی می تواند یک کاربر، گروه، یا دستگاهی مانند چاپگر باشد. اشیاء دایرکتوری بر اساس نام و ویژگی ها دسته بندی می شوند؛ بنابراین یافتن اطلاعات خاص در این دسته بندی ساده تر می شود.
به طور کلی Active Directory برای مدیریت سیستم های کامپیوتری تحت شبکه یک سازمان، اداره، مدرسه و… به کار می رود.
ساختار اکتیو دایرکتوری
اکتیو دایرکتوری از یک ساختار شامل دامنه ها، درختان و جنگل ها برای هماهنگ کردن عناصر شبکه استفاده می کند. این ساختار به شرح زیر می باشد:
دامین ها
دامنه ها (Domains) کوچک ترین لایه های اصلی AD هستند. اشیای مختلف، مانند کاربران (client) و دستگاه هایی که پایگاه داده یکسانی دارند، در یک دامنه قرار خواهند گرفت.
درخت
درخت از به هم پیوستن چند دامنه به هم تشکیل می شود. این اجزا با روابط اعتماد سلسله مراتبی گروه بندی شده اند. در ساختار درخت، از یک نام برای جمع آوری مجموعه دامنه ها در یک سلسله مراتب استفاده می شود.
در ساختار درختی، سایر درختان با یکدیگر ارتباط دارند و ارتباط آنها کاملا ایمن (به صورت یک طرفه و دو طرفه) خواهد بود. به طوری که یک دامنه می تواند با دامنه دوم ارتباط ایمن داشته باشد و دامنه دوم با دامنه سوم ارتباط ایمن داشته باشد؛ به همین ترتیب می توان میان چندین دامنه ارتباط ایجاد کرد.
به دلیل ماهیت سلسله مراتبی، به طور پیش فرض دامنه اول می تواند با دامنه سوم در ارتباط باشد و نیازی به ایجاد تنظیمات خاص نیست.
جنگل
مجموعه ای از درختان متعدد است. در جنگل تمامی اطلاعات مربوط به دامین و درخت (از جمله اطلاعات دسترسی ها، اطلاعات حساب های کاربری و تنظیمات دامنه، فهرست تمامی اشیای موجود در جنگل و…) وجود دارد. این اطلاعات به صورت کاتالوگ و اسکیما مشاهده می شود. طبق گفته مایکروسافت، جنگل مرز امنیتی Active Directory است.
واحدهای سازمانی (OU)
(OU) تنظیماتی است که می تواند کاربران، گروه ها و دستگاه ها را سازماندهی کند. هر دامنه می تواند حاوی OU مختص به خود باشد. با این حال، OUها نمی توانند فضای نام مجزا داشته باشند، زیرا هر کاربر یا شی در یک دامنه، باید منحصر به فرد باشد. به عنوان مثال، یک حساب کاربری با همان نام کاربری نمی تواند ایجاد شود.
کانتینرها
کانتینرها مشابه OU هستند، اما اشیاء Group Policy را نمی توان اعمال کرد یا به اشیاء کانتینر پیوند داد.
سرویس های اکتیو دایرکتوری
اکتیو دایرکتوری دارای سرویس های مختلفی است که از جمله آن ها می توان به موارد زیر اشاره کرد:
Lightweight Directory Services
این سرویس همان پایگاه کد AD DS را شامل می شود که عملکردهای مشابهی همانند رابط برنامه کاربردی را به اشتراک می گذارد. با این حال، AD LDS می تواند در چندین نمونه روی یک سرور اجرا شود و داده های دایرکتوری را با استفاده از پروتکل Lightweight Directory Access در یک سایت نگهداری کند.
Lightweight Directory Access Protocol یا (AD LDS)
AD LDS یک پروتکل کاربردی است که برای دسترسی و نگهداری خدمات دایرکتوری تحت شبکه استفاده می شود. LDAP اطلاعاتی مانند نام کاربری و رمز عبور را در Active Directory ذخیره می کند و داده ها را در سراسر شبکه به اشتراک می گذارد.
Certificate Services یا (AD CS)
AD CS گواهینامه ها را تولید، مدیریت و به اشتراک می گذارد. Certificateها رمزنگاری می شوند تا کاربر را قادر سازند که اطلاعات را از طریق اینترنت به صورت امن و با استفاده از کلید عمومی مبادله کند.
Active Directory Federation Services یا (AD FS)
AD FS دسترسی کاربر به چندین برنامه را (حتی در شبکه های مختلف) با استفاده از ورود (SSO) احراز هویت می کند. همانطور که از نام آن مشخص است، SSO به جای استفاده از چندین کلید احراز هویت اختصاصی برای هر سرویس، فقط به کاربری نیاز دارد که یک بار وارد سیستم شود.
Rights Management یا (AD RMS)
AD RMS مجموعه ابزارهایی هستند که به سازمان ها کمک می کنند تا داده های خود را ایمن نگه دارند. این ابزارها شامل فناوری های رمزگذاری، گواهی نامه ها و احراز هویت هستند و طیف وسیعی از برنامه ها و انواع محتوا، مانند ایمیل ها و اسناد Word را پوشش می دهند.
دامین سرویس
سروری که AD DS را میزبانی می کند، کنترل کننده دامنه (DC) نامیده می شود. کنترل کننده دامنه می تواند برای احراز هویت با سایر محصولات MS مانند Exchange Server، SharePoint Server، SQL Server، File Server و… استفاده شود.
نسخه های اکتیو دایرکتوری
مایکروسافت پیش نمایشی از Active Directory را در سال 1999 ارائه کرد و یک سال بعد، آن را با ویندوز 2000 سرور منتشر کرد. مایکروسافت با هر انتشار متوالی ویندوز سرور، به توسعه ویژگی های جدید در آن ادامه داد.
ویندوز سرور 2003 شامل یک به روز رسانی قابل توجه برای افزودن جنگل ها و همچنین امکان ویرایش و تغییر موقعیت دامنه ها در جنگل بود. نکته مهم این است که دامنه های ویندوز سرور 2000، نمی توانستند از به روزرسانی های جدیدتر AD که در سرور 2003 اجرا می شدند پشتیبانی کنند.
چند سال بعد مایکروسافت، ویندوز سرور 2008 AD FS را معرفی کرد. این بار مایکروسافت فهرست راهنمای مدیریت دامنه را به AD DS تغییر نام داد و AD به یک پشتیبان تبدیل شد.
پس از آن مایکروسافت windows server 2012 r2 را ارائه داد و در Windows Server 2016 AD DS، برای بهبود امنیت AD و انتقال محیط های AD به محیط های ابری، ویژگی های دیگری را ارائه داد و در آن سرویس جدید PAM را ارائه کرد. PAM دسترسی به یک شی، نوع دسترسی اعطا شده و اقداماتی که کاربر انجام می دهد را کنترل می کرد.
Windows Server 2016 به پشتیبانی از دستگاه های Windows Server 2003 پایان داد و این دستگاه ها منسوخ شدند. در دسامبر 2016، مایکروسافت Azure AD Connect را منتشر نمود تا به سیستم اکتیو دایرکتوری داخلی با Azure Active Directory (Azure AD) بپیوندد. با این کار می توانست SSO را برای سرویس های ابری مایکروسافت، مانند Office 365 فعال کند.
مزایای اکتیو دایرکتوری
اکتیو دایرکتوری دارای مزایای بسیاری است که از جمله آن ها می توان به موارد زیر اشاره کرد:
مدیریت مرکزی و امنیت متمرکز
یکی از مهم ترین مزایای Active Directory مدیریت امن منابع است. اکتیو دایرکتوری یک نقطه امن را فراهم می کند که از طریق آن مدیران بتوانند منابع شبکه و اشیای امنیتی مرتبط با آنها را مدیریت کنند.
یک سازمان می تواند اکتیو دایرکتوری را بر اساس مدل سازمانی، مدل کسب و کار یا انواع عملکردهایی که اداره می شوند، مدیریت کند. به عنوان مثال، یک سازمان می تواند با تقسیم منطقی کاربران بر اساس بخش هایی که در آن کار می کنند، موقعیت جغرافیایی آنها یا ترکیبی از این ویژگی ها، اکتیو دایرکتوری را مدیریت کند.
اکتیو دایرکتوری می تواند مدیریت امنیتی همه منابع شبکه را ساده کند و قابلیت همکاری را با طیف گسترده ای از برنامه ها و دستگاه ها گسترش دهد. هنگامی که اکتیو دایرکتوری به درستی پیاده سازی و ایمن شود، به مدیر اجازه می دهد تا به طور موثر خط مشی ها و رویه های یک شرکت را برای امنیت سایبری، خدمات شبکه و منابع، در سطح دقیق پیاده سازی کند.
ورود به سیستم برای دسترسی به منابع جهانی
Active Directory یک نقطه مدیریت واحد برای منابع شبکه فراهم می کند. اکتیو دایرکتوری از ورود به سیستم (login)، برای اجازه دسترسی به منابع شبکه واقع در هر سروری، استفاده می کند.
کاربر یک بار توسط اکتیو دایرکتوری شناسایی و احراز هویت می شود. پس از تکمیل این فرآیند، کاربر یک بار برای دسترسی به منابع شبکه ای که برای آنها مجاز است، مطابق با نقش ها و امتیازات اختصاص داده شده در Active Directory، ثبت نام می کند.
دسترسی آسان به منابع در اکتیو دایرکتوری
کاربر با جستجوی ساده نام یا نوع منبع، می تواند به آن دسترسی داشته باشد. به عنوان مثال می تواند با جستجوی نام NETWORK در ویندوز سرور، به یک پوشه مشترک (share folder) دسترسی داشته باشد.
