اکتیو دایرکتوری در ویندوز سرور، روند سازماندهی حساب‌ها، اطلاعات کاربران، منابع و کنترل دسترسی را آسان می‌سازد. ساختار آن دامنه‌ها، درخت‌ها و جنگل‌ها را در بر می‌گیرد که مدیریت کاربرها و گروه‌ها را ساده می‌کند. این بستر، امنیت و یکپارچگی داده‌ها را ارتقا داده و باعث مدیریت متمرکز پسوردها، سطوح دسترسی و سیاست‌های امنیتی می‌شود. در کل، از پراکندگی اطلاعات مجموعه‌ها جلوگیری نموده و امنیت داده‌ها را بالاتر می‌برند.

اکتیو دایرکتوری یعنی چه؟ | Active Directory چیست؟

اکتیو دایرکتوری یک سیستم سازمان‌دهی دیجیتالی است که توسط شرکت مایکروسافت معرفی شده و روی ویندوز سرور فعال می‌شود. وظیفه اصلی این سامانه مدیریت حساب‌های کاربری دستگاه‌ها و موارد مرتبط در یک شبکه است. هر کاربر پس از وارد کردن اطلاعات هویتی خود، به اکتیو دایرکتوری متصل می‌شود و هویت او بررسی می‌گردد. سپس طبق قوانین شبکه، سطح دسترسی‌اش معین می‌شود.

در این سیستم، داده‌ها در قالب اشیا که به آنها آبجکت می گویند ذخیره می‌گردد. اگر آبجکت مربوط به یک کاربر باشد، می‌توان مواردی چون نام، نام خانوادگی، شماره داخلی و همین‌طور مشخصات امنیتی برای آن شخص ثبت کرد. در نهایت، این داده‌ها در یک پایگاه مرکزی قرار می‌گیرد تا متخصصان IT قادر باشند مجموعه را بهتر مدیریت کنند.

پیاده سازی اکتیو دایرکتوری در شبکه‌های سازمانی، نظم و کنترل را ساده‌تر می‌کند. به‌جای اینکه تنظیمات امنیتی یا سطح دسترسی برای تک‌تک سیستم‌ها به‌صورت جداگانه تعیین شود، مدیر می‌تواند از یک پنل در ویندوز سرور، حساب‌های کاربران را بسازد، اطلاعات آن‌ها را نگهداری کند یا سطح دسترسی و موارد امنیتی را برای افراد گوناگون ثبت نماید. به این ترتیب سرعت کارها افزایش می‌یابد و از دوباره‌کاری جلوگیری می‌شود.

یکی دیگر از فرایندهای اصلی آن، برقراری امنیت است. چون تمامی بررسی‌های مربوط به شناسه کاربری و رمزعبور، در همین سامانه رخ می‌دهد، اگر این قسمت سرور دچار ضعف شود، امنیت کل سازمان به خطر می‌افتد. به همین دلیل، توصیه می‌شود که این بخش دقیق کنترل شود و تغییرات لازم روی آن با احتیاط صورت بگیرد.

شرکت ماهان شبکه ایرانیان در زمینه فروش سرور HP استوک و دست دوم فعالیت می‌کند. این شرکت با ارائه قیمت های رقابتی، تضمین کیفیت، پشتیبانی کامل و ارسال سریع، خدماتی مناسب برای مشتریان سرورهای استوک ارائه می دهد. برای خرید سرور استوک و انواع مدل ها می توانید با شماره ۰۲۱۹۱۰۰۸۴۱۳  تماس حاصل فرمایید.

ساختار اکتیو دایرکتوری (Active Directory) چگونه است؟

ساختار اکتیو دایرکتوری، بر سه لایه اصلی استوار است که هر لایه ترتیب و قواعد خاصی دارد. این لایه‌ها از کوچک به بزرگ شامل دامنه، درخت و جنگل می‌شوند:

۱) دامنه (Domain) : دامنه مثل یک فضای متمرکز عمل می‌کند و کاربران، کامپیوترها و گروه‌ها در آن قرار داده می‌شوند. همه چیزهایی که در دامنه هستند، از یک پایگاه داده مشترک استفاده می‌کنند و یک نام دامنه یکتا برای شناسایی آن وجود دارد.

۲) درخت (Tree) : گاهی ممکن است سازمان خواهان گسترش چند دامنه باشد که همگی در یک ساختار منطقی قرار گیرند. در این حالت، این دامنه‌ها کنار هم در قالب یک مجموعه که درخت نام دارد، جای می‌گیرند. درخت‌ها اتصال امنیتی بین دامنه‌ها را برقرار می‌کنند و به‌صورت سلسله‌مراتبی ادامه می‌یابند. به‌صورتی که اگر دامنه نخست ارتباط امن با دامنه دوم داشته باشد و همچنین دامنه دوم با دامنه سوم پیوند داشته باشد، دامنه نخست نیز می‌تواند به دامنه سوم دسترسی امن پیدا کند.

۳) جنگل (Forest) : وقتی چند درخت در کنار هم قرار می‌گیرند، جنگل پدید می‌آید. جنگل در سطحی گسترده‌تر نگهداری می‌شود و شامل تنظیمات کلی شبکه و ساختار جامع دایرکتوری‌ها است. در جنگل، داده‌های پیکربندی درخت‌ها، جزئیات دامین‌ها، اطلاعات کلی برنامه‌ها و موارد دیگر به‌صورت فراگیر ثبت می‌شود.

اگر شما چندین سرور داشته باشید که همه به یک دامنه متعلق‌اند، اطلاعات اکتیو دایرکتوری در آن‌ها کپی می‌شود تا هرگاه یکی از سرورها خاموش شد، کاربران با سرور دیگر به شبکه وارد شوند. در مجموع، ساختار این سیستم شامل سطوح مختلفی است که از دامنه کوچک تا جنگل بزرگ گسترده می‌شود. این ساختار به شرکت‌ها و سازمان‌ها اجازه می‌دهد اشیای فراوان را سامان بدهند و فهرست‌های به‌هم‌پیوسته‌ای بسازند. چنین رویکردی، گسترش‌پذیری بالایی دارد و در طول زمان اگر سازمان بزرگ‌تر شد، می‌توان دامنه‌ها یا درخت‌های تازه‌ای ساخت و به جنگل موجود افزود.

معرفی اشیا در اکتیو دایرکتوری – (Active Directory)

در اکتیو دایرکتوری، هرگونه داده یا موجودیتی که نیاز به ثبت و کنترل دارد، یک آبجکت به حساب می‌آید. آبجکت‌ها انواع گوناگونی دارند و هریک ویژگی‌های ویژه‌ای نیز در خود دارند. در این بخش، چند نمونه از آبجکت‌های متداول را بررسی می‌کنیم:

۱- حساب‌های کاربری و گروه‌ها:  حساب کاربری، شامل اطلاعات فردی و امنیتی یک شخص حقیقی در شبکه است. مثلا نام، شناسه ورود و گذرواژه در این شیء ذخیره می‌شود. چنانچه صد کارمند مختلف داشته باشید، هرکدام یک حساب کاربری خواهند داشت. سپس می‌توان گروه ساخت و کارمندان را در آن گروه قرار داد. این کار، اجازه می‌دهد دسترسی‌ها را به گروه‌ها اختصاص دهید و دیگر مجبور نباشید سطح دسترسی را تکی تنظیم کنید.

۲– کامپیوتر و چاپگرها:  در Active Directory، برای کامپیوتر یا چاپگر نیز آبجکت ساخته می‌شود تا این دستگاه‌ها هم هویت روشنی در شبکه داشته باشند. این کار باعث می‌شود مدیر بداند چه دستگاهی وصل است و چه سیاست امنیتی باید روی آن اعمال شود.

۳- پوشه‌های اشتراکی:  هنگام نیاز به اشتراک‌گذاری پوشه‌ها در سازمان، این سیستم دارای رکوردی برای آن پوشه خواهد بود. در نتیجه، کاربران می‌توانند پوشه را به شکل ساده‌تری پیدا کنند و وضعیت مجوزهای دسترسی نیز تحت کنترل قرار بگیرد.

هر آبجکت مجموعه‌ای از ویژگی‌ها دارد که در زبان اکتیو دایرکتوری به آن Attribute می‌گویند. مثلا برای آبجکت “کاربری”، نام، عنوان شغلی و تلفن ذخیره می‌شود. برای آبجکت “پرینتر”، امکان دارد محل استقرار و مدل دستگاه و… درج گردد. هرچه سازمان گسترده‌تر شود، مشخصه‌های بیشتری هم برای آبجکت‌ها تعریف می‌گردد.

سرویس های Active Directory

اکتیو دایرکتوری تنها محدود به یک ابزار برای مدیریت نیست؛ سرویس‌های مختلفی در چارچوب آن گنجانده شده‌اند که هریک کارکرد جداگانه‌ای دارند. در این بخش به چند سرویس پرکاربرد اشاره خواهیم کرد:

۱)  AD DS: این سرویس که آن را “اکتیو دایرکتوری دامین سرویس” می گویند، ستون اصلی مجموعه است. هرگاه می‌گوییم اکتیو دایرکتوری، در حقیقت درباره AD DS صحبت می‌کنیم. این سرویس اطلاعات مرتبط با دامنه، حساب‌های افراد و دستگاه‌ها را نگه می‌دارد و موقع ورود کاربر، داده‌های او را تایید می‌کند. اگر فردی اجازه دسترسی به پوشه‌ای نداشته باشد یا بخواهد منابع خاصی را ببیند، AD DS هماهنگی را انجام می‌دهد و بررسی می‌کند که سطح دسترسی فرد چیست. سروری که این سرویس را اجرا می‌کند، کنترل گر دامنه خواهد بود.

۲) AD LDS: نسخه‌ای کم حجم‌تر از دامین سرویس است. چنانچه نرم‌افزارهای کوچک‌تر بخواهند اطلاعاتی از آبجکت‌ها دریافت کنند و مکانیسم کامل سرویس دامین شما بزرگ باشد، از این نسخه کم‌حجم استفاده می‌گردد.

۳) سرویس گواهی‌نامه‌ها: کارکرد این سرویس بر پایه تولید و نگه‌داری گواهی‌های امنیتی است. اگر مدیر شبکه بخواهد ارتباطی امن میان کاربران سازمان یا حتی فعالیتی شبیه ارسال اسناد رمزگذاری‌شده شکل بگیرد، از این سرویس بهره می‌برد.

۴) AD FS: سرویس فدراسیون برای هماهنگی میان سازمان‌های متنوع کاربرد دارد. مثلا دو شرکت بزرگ که می‌خواهند بخشی از داده‌ها را به‌صورت کنترل‌شده تبادل کنند. سرویس فدراسیون همان طراحی ورود واحد را میان چند دامنه جدا برقرار می‌سازد تا هر کدام از کاربران یا شرکت‌ها در شبکه سرمایه انسانی دیگری شناخته شوند.

۵) سرویس مدیریت حقوق (RMS):  این سرویس مانع از نسخه‌برداری و کپی غیرمجاز فایل‌ها می‌شود.  روی داده‌ها محدودیت می‌گذارد و اجازه نمی‌دهد افرادی که نباید، فایل‌ها را چاپ یا منتقل کنند. موضوعی که برای سازمان‌هایی اهمیت دارد که نمی‌خواهند اطلاعاتشان بدون کنترل جابه‌جا شود.

منظور از Forest در اکتیو دایرکتوری

وقتی درباره Forest یا جنگل صحبت می‌کنیم، منظور مجموعه‌ای از چند درخت است که دربرگیرنده‌ی همه دامنه‌های آن درخت‌ها محسوب می‌شود. شاید در نگاه اول پیچیده به نظر برسد، اما برای درک آسان موضوع می‌توان جنگل را بزرگ‌ترین مرز امنیتی در این سیستم دانست. در واقع هر جنگل، شامل اطلاعات پیکربندی، طرح دایرکتوری (اسکیما) و فهرستی جامع از آبجکت‌های مختلف است.در اکتیو دایرکتوری اگر چند دامنه وجود داشته باشد که در درخت‌های گوناگون باشند، می‌توان آن‌ها را زیر چتر یک جنگل واحد قرار داد.

مهم است بدانیم که جنگل، هویت کلی شبکه را حفظ می‌کند. هر جنگل دارای یک ساختار امنیتی است که به دامنه‌ها و درخت‌ها اجازه می‌دهد در کنار هم کار کنند و به نوعی تعامل داشته باشند.  در جنگل می‌توان مجموعه‌ای از درخت‌ها را دید که هر درخت خود از دامنه یا دامنه‌های مختلف تشکیل شده است. بنابراین اگر سازمانی بزرگ دارای چندین واحد با سیاست‌های گوناگون باشد، می‌توان این واحدها را در چند درخت جداگانه مدیریت کرد و سپس همه را با یک جنگل کلی پوشش داد.

سرویس ADDS چیست؟

بخش ADDS را می‌توان قلب تپنده اکتیو دایرکتوری خواند،زیرا تمام آبجکت‌ها و اطلاعات حیاتی شبکه در همین جا ذخیره می‌شوند.  برای شفاف‌ترشدن موضوع، فرض کنید سازمانی ده‌ها یا صدها کاربر دارد. هریک از این کاربرها احتیاج دارد که به فایل‌ها و برنامه‌های خاصی دسترسی داشته باشد. در عین حال، نباید اجازه دسترسی به بخش‌های محرمانه را پیدا کند. سرویس ADDS با ثبت اطلاعات کاربران و همچنین هماهنگی با دیگر سرویس‌های شبکه، تشخیص می‌دهد که هر کس به چه بخش‌هایی می‌تواند وارد شود.

هر کامپیوتری که سرویس ADDS را اجرا کند، یک کنترلر دامنه نامیده می‌شود. این سرورها وظیفه دارند تمام درخواست‌های احراز هویت را بررسی کنند. اگر کنترلی روی داده‌های کاربران نباشد، مدیریت و حفاظت اطلاعات بسیار دشوار خواهد شد. اما وقتی دامنه‌ای بر پایه ADDS شکل می‌گیرد همه داده‌ها و سیاست‌های امنیتی در یک نقطه متمرکز ثبت می‌شوند.

دامین سرویس (Domain Service) چیست؟

زمانی که حرف از دامین سرویس می‌شود، در عمل داریم از زیرساختی صحبت می‌کنیم که ورودی تک‌به‌تک کاربران را مورد شناسایی قرار می‌دهد، سیاست گذاری می‌کند و هر آنچه برای احراز هویت نیاز است در اختیار دارد. برای مثال هر موقع که کاربری قصد ورود به یک کامپیوتر یا سرور داشته باشد، درخواست او به کنترلر دامنه منتقل می‌گردد. کنترلر دامنه همان سروری است کهADDS  را اجرا می‌کند. این سرور هویت فرد را بررسی می‌کند و تشخیص می‌دهد که او به کدام منابع مجوز دارد. این فرآیند در حقیقت بخشی از عملکرد Domain Service به شمار می‌آید، چون کنترل‌ر دامنه وظیفه دارد صحت نام کاربری و رمز عبور را بررسی کرده و در صورت درست بودن، دسترسی کاربر را به بخش‌های مورد نظر باز کند.

روش نصب اکتیو دایرکتوری (Active Directory)

– برای نصب، ابتدا باید یک ویندوز سرور مانند Windows Server 2016 یا ۲۰۱۹ داشته باشیم. پس از راه‌اندازی سرور و انجام تنظیمات ابتدایی، می‌توان از طریق Server Manager روند نصب را آغاز کرد.

– در Server Manager، گزینه‌ای به نام Add roles and features وجود دارد. آن را انتخاب می‌کنیم تا فهرست نقش‌ها (Roles) و قابلیت‌ها (Features) نمایان شود. سپس Active Directory Domain Services را انتخاب می کنیم. در این مرحله، ویندوز سرور برخی مولفه‌های پیش‌نیاز را می‌شناسد و اجازه می‌دهد با زدن دکمه نصب، فرایند طی شود. وقتی نصبRole  به پایان رسید، پیغام Promote the server to a domain controller  را مشاهده خواهیم کرد. با استفاده از این گزینه، می‌توانیم سرور را به یک کنترلر دامنه تبدیل کنیم.

– در طول عملیات راه‌اندازی، باید تصمیم بگیریم که یک دامنه جدید راه‌اندازی شود یا دامنه موجود تکمیل گردد. اگر اولین بار است که اکتیو دایرکتوری را نصب می‌کنیم، ایجاد دامنه جدید کلید ماجراست. نام دامنه را تعیین می‌کنیم؛ سپس سطوح عملکرد جنگل و دامنه را مشخص می‌کنیم که معمولا برای سرورهای جدید، روی آخرین نسخه تنظیم می‌شود.

– گام‌های بعدی شامل ایجاد رمز عبور برای بازیابی در صورت خرابی سرویس و بررسی تنظیمات DNS است. هنگامی که همه‌چیز ثبت و تأیید شد، فرایند نصب ادامه پیدا می‌کند و سرور یک‌بار راه‌اندازی مجدد خواهد شد. پس از روشن شدن دوباره، برای ورود به محیط سرور باید از حساب Administrator دامنهٔ جدیدی که ساختیم استفاده کنیم. حالا سرور تبدیل به کنترلر دامنه شده است؛ یعنی سرویس ADDS بر روی آن فعال است.

مزایا و فواید اکتیودایرکتوری

– شبکه‌های ویندوزی فواید چشمگیری دارد. نخستین دستاورد آن، نگهداری متمرکز اطلاعات کاربران و سایر آبجکت‌های شبکه است. این سبک تمرکز، کار مدیر شبکـه را ساده می‌سازد، چرا که تمام داده‌های هویتی و امنیتی در یک پایگاه مشخص ثبت می‌شوند و پشتیبان‌گیری از همین نقطه اصلی انجام می‌گیرد.

– مزیت بعدی، مقیاس‌پذیری بالای این سیستم است. وقتی تعداد کاربران بالا می‌رود یا سازمانی گسترش می‌یابد، ساختار دامنه و جنگل می‌تواند بدون ایجاد سردرگمی توسعه یابد. همچنین امکان تعریف آبجکت‌های جدید وجود دارد.

– یکی از فواید بسیار ارزشمند اکتیو دایرکتوری، یکپارچگی آن با DNS است. DNS یا سامانه نام دامنه، دسترسی را در شبکه و اینترنت آسان تر می‌کند. بدین شکل، کاربران تنها با دانستن نام دامنه یا سرور، می‌توانند به بخش‌های مختلف دسترسی داشته باشند.

– از جنبه امنیتی، Active Directory طوری طراحی شده که انتقال داده، رمزگذاری‌شده و تحت نظارت باشد. همچنین تعیین هویت آبجکت‌ها یا کاربران به شیوه‌های گوناگون اجرا می‌شود و امکان دارد هر روز روش‌های پیچیده‌تری برای امنیت بالاتر پیاده شود.

قابلیت اتصال با دیگر Active Directory

قابلیت اتصال با دیگر دایرکتوری‌ها بر پایه استاندارد LDAP بنا شده است. پروتکل LDAP استانداردی است که تیم مایکروسافت هم آن را پذیرفته و باعث سازگاری بیشتر شده است. مثلا اگر سازمانی اکتیو دایرکتوری‌ را در نسخه ویندوز سرور ۲۰۰۳ داشته باشد و بخواهد با یک سرویس اکتیو دایرکتوری روی ویندوز سرور ۲۰۱۹ تبادل کند، پایه هر دو آن‌ها LDAP خواهد بود.

از جنبه فنی، وقتی گفته می‌شود قابلیت اتصال با اکتیو دایرکتوری دیگری وجود دارد، یعنی تبادلات LDAP و Kerberos و DNS را می‌توان بین این دو ساختار هماهنگ کرد. DNS سرور، نام را برای هر کدام مدیریت می‌کند و Kerberos برای تشخیص صحیح‌بودن هویت به کار می‌رود.

بررسی سطح امنیت اکتیو دایرکتوری

یک بخش مهم امنیت، احراز هویت است. در این مرحله، کاربر باید نام و رمز عبور خود را وارد کند و کنترلر دامنه بررسی می‌کند که اطلاعات وی درست باشد. اکتیو دایرکتوری از پروتکل Kerberos بهره می‌برد که فرایند تشخیص هویت را رمزنگاری‌شده انجام می‌دهد. اگر همه‌چیز صحیح باشد، توکنی به کاربر داده می‌شود تا در سطح شبکه بتواند سراغ سرویس‌ها و فولدرهای مورد نیاز برود.

بخش دیگر، تعیین سطح دسترسی است. این سیستم سیاست‌های امنیتی را روی گروه‌ها و کاربران اعمال می‌کند. مثلا شاید گروهی با نام «IT» مجوز کامل روی سرورها داشته باشند، در حالی که اعضای گروه «مهمان» تنها حق خواندن فایل‌ها را داشته باشند.

سپس لایه دیگری از امنیت به نام RMS وجود دارد که روی فایل‌ها و داده‌ها سیاست‌های عدم کپی و محدودیت پرینت را اعمال می‌کند. این موضوع در سازمان‌هایی که داده‌های بسیار محرمانه دارند، کاربرد بالایی دارد. وقتی RMS فعال باشد، حتی درون شبکه هم اگر کسی بخواهد فایلی را پرینت کند، باید مجوز لازم را داشته باشد.

برای خرید سرور استوک و دست دوم می توانید از طریق شماره ۰۲۱۹۱۰۰۸۴۱۳ با کارشناسان شرکت ماهان شبکه ایرانیان در تماس باشید. این شرکت در زمینه سرورهای کارکرده تجهیزات مربوط به آنها فعالیت می کند.

جمع بندی

اکتیو دایرکتوری برای هر سازمانی که قصد مدیریت منابع و کاربران را دارد، پلتفرمی ارزشمند محسوب می‌شود. بهره‌گیری از ساختار چند لایه آن، دسترسی و سازمان‌دهی را بهبود داده و امنیت را تقویت می‌کند. سرویس‌های مختلف آن امکانات پیشرفته‌ای برای احراز هویت و تنظیم دسترسی‌ها ایجاد می‌کنند. همچنین این سامانه با انعطاف‌پذیری و مقیاس‌پذیری خود، گزینه‌ ی خوبی برای سازمان‌های کوچک و بزرگ محسوب می‌شود.