شبکه ها دارای خدمات متعدد و کارآمدی هستند که استفاده از آن ها می تواند منجر به افزایش بهره وری در مکان های مورد استفاده مانند سازمان ها و شرکت ها شود. هدف این مقاله آشنایی با اکتیو دایرکتوری و بررسی مزایا و ویژگی های آن است. ساختار دایرکتوری فعال و خدمات دایرکتوری فعال را بررسی می کنیم و تفاوت بین دایرکتوری فعال و کنترل کننده دامنه را توضیح می دهیم.
اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری سرویسی است متشکل از چندین سرویس دیگر، یعنی چندین سرویس تحت عنوان سرویس اکتیو دایرکتوری کار می کنند: مانند کاربران تعریف شده در شبکه، دسترسی اعطا شده به این کاربران، فایل ها و چاپگرهای به اشتراک گذاشته شده در شبکه . و اکتیو دایرکتوری این خدمات را به صورت متمرکز ارائه می کند که در نتیجه سازماندهی و مدیریت آسان و دقیق این سرویس ها انجام می شود.
و Active Directory سرویس دایرکتوری مایکروسافت است که روی ویندوز سرور اجرا می شود و به مدیران اجازه می دهد مجوزها و دسترسی به منابع شبکه را مدیریت کنند. وظیفه اکتیو دایرکتوری مدیریت و سازماندهی تعداد زیادی از کاربران در قالب زیر گروه ها و گروه های منطقی است. همچنین دسترسی به هر سطح را کنترل می کند.
مدیران می توانند دایرکتوری داده ها را از طریق شبکه با یک ورود ساده مدیریت و سازماندهی کنند، کاربران مجاز در شبکه از هر کجا به منابع شبکه دسترسی خواهند داشت. حتی مدیریت شبکه های پیچیده به راحتی با AD انجام می شود و امکان توسعه اکتیو دایرکتوری در کنار رشد سازمانی وجود دارد.
دامنه ها شامل کنترلرهایی هستند که یکی از آنها ویندوز سرور را اجرا می کند. هر زمان که مدیر شبکه تغییری در این کنترلرها ایجاد کند، همه کنترلرها توسط Active Directory به روز می شوند. مدیر شبکه می تواند هر منبع شبکه را با Active Directory مدیریت کند و حتی وارد کامپیوتر کاربر شود.
ساختار دایرکتوری فعال
اکتیو دایرکتوری با ارائه یک ساختار سلسله مراتبی، سازماندهی آسان دامنه ها و منابع را فراهم می کند. به این ترتیب کاربران به راحتی می توانند منابع شبکه مانند فایل ها و چاپگرها را پیدا کنند.
خدمات دایرکتوری مانند ADDS یا Active Directory Domain Services راهی برای ذخیره اطلاعات دایرکتوری و نحوه دسترسی مدیران و کاربران شبکه به این اطلاعات فراهم می کند. به عنوان مثال، ADDS اطلاعات حساب کاربری مانند نام و رمز عبور، شماره تلفن و غیره را ذخیره می کند و به سایر کاربران مجاز در همان شبکه امکان دسترسی به این اطلاعات را می دهد. این اطلاعات ذخیره شده دایرکتوری نامیده می شود.
داده ها به عنوان اشیا ذخیره می شوند. شی همان کاربر، گروه، برنامه و دستگاه (مانند چاپگر) است.
دو نوع شی وجود دارد: یا منابعی مانند چاپگرها و رایانه ها یا قوانین امنیتی مانند کاربران و گروه ها.
ساختار دایرکتوری فعال شامل سه سطح است که هر یک می توانند اتصالات و دسترسی های خاصی داشته باشند:
دامنه ها: اشیایی مانند کاربران و دستگاه هایی که همگی از یک پایگاه داده استفاده می کنند در یک دامنه گروه بندی می شوند. دامنه گروهی از اشیاء مانند کاربر و دستگاه است که در پایگاه داده اکتیو دایرکتوری قرار دارند. و دامنه ها دارای ساختار DNS – Domain Name System هستند.
درختان: یک یا چند دامنه را می توان در گروهی به نام درخت قرار داد. یک ارتباط امن بین دو دامنه در درخت وجود دارد. ساختار درخت سلسله مراتبی است، یعنی اگر دامنه ۱ با دامنه ۲ و دامنه ۲ با دامنه ۳ ارتباط ایمن داشته باشد، دامنه ۱ نیز با دامنه ۳ ارتباط ایمن دارد.
جنگل ها: چندین درخت در مجموعه ای به نام جنگل دسته بندی می شوند. جنگل شامل پیکربندی دامنه، اطلاعات برنامه، طرح دایرکتوری و لیست تمام اشیا است. طرح دایرکتوری به معنای کلاس و خصوصیاتی است که شی در جنگل دارد.
OU یا واحدهای سازمانی کاربران، گروهها و دستگاهها را سازماندهی میکنند: برای مثال، هر شی یا کاربر در دامنه باید منحصربهفرد باشد و امکان تعریف مجدد نام کاربری موجود وجود ندارد. برای مدیریت اکتیو دایرکتوری می توان از نرم افزار مدیریت اکتیو دایرکتوری استفاده کرد. اما توجه داشته باشید که امنیت Active Directory با کنترل دسترسی و احراز هویت هنگام ورود به سیستم تامین می شود.
قبلاً گفتیم که چندین سرویس تحت عنوان Active Directory Domain Service – ADDS کار می کنند.
هر یک از این سرویس ها قابلیت های مدیریت دایرکتوری را افزایش می دهد و شامل موارد زیر است:
Domain Services یا AD DS: وظیفه ذخیره سازی متمرکز داده ها و مدیریت ارتباط بین کاربران و دامنه ها را بر عهده دارد. همچنین در هنگام ورود به سیستم و جستجو، احراز هویت را انجام می دهد.
Certificate Services یا AD CS: گواهینامه های ایمن را ایجاد، مدیریت و به اشتراک می گذارد. این گواهی از رمزگذاری برای انتقال ایمن اطلاعات از طریق اینترنت استفاده می کند.
Lightweight Directory Services یا AD LDS: از دایرکتوری ها پشتیبانی می کند و برنامه ها را قادر می سازد از پروتکل LDAP استفاده کنند. LDAP پروتکلی است که برای دسترسی و نگهداری خدمات دایرکتوری در شبکه استفاده می شود. LDAP اشیایی مانند نام کاربری و رمز عبور را در خدمات دایرکتوری (مانند اکتیو دایرکتوری) ذخیره می کند و آنها را در شبکه به اشتراک می گذارد.
خدمات فدراسیون دایرکتوری یا AD FS: وظیفه آن تأیید دسترسی کاربر به برنامه های کاربردی در چندین شبکه است. برای این کار از Single Sign On – SSO استفاده می کند. SSO تک جلسه ای را برای احراز هویت کاربر در چندین برنامه ارائه می دهد. چه مفهومی داره؟ یعنی SSO فقط از کاربر می خواهد که یک بار وارد شود و برای هر سرویس احراز هویت انجام ندهد.
مدیریت حقوق یا AD RMS: قانون کپی رایت را برای جلوگیری از استفاده و توزیع غیرمجاز محتوای دیجیتال اجرا می کند. یعنی حقوق اطلاعات را کنترل و مدیریت می کند. چگونه؟ با رمزگذاری محتوا در سرور با دسترسی محدود، مانند اسناد Word یا ایمیل.
بررسی سرویس دامنه – سرویس دامنه
سرویس اصلی در Active Directory سرویس دامنه است: AD DS. این سرویس اطلاعات دایرکتوری را ذخیره می کند و تعاملات کاربر در دامنه را کنترل می کند. AD DS هنگامی که کاربر به دستگاهی متصل می شود یا سعی می کند به یک سرور در شبکه متصل شود، دسترسی را بررسی می کند. AD DS کنترل می کند که کدام کاربر به کدام منابع دسترسی دارد، برای مثال، سطح دسترسی یک مدیر به داده ها متفاوت از یک کاربر عادی است.
سایر محصولات مایکروسافت مانند Exchange Server و SharePoint Server برای دسترسی به منابع به AD DS متکی هستند. سروری که سرویس دامنه اکتیو دایرکتوری روی آن میزبانی می شود، کنترل کننده دامنه نامیده می شود.
تفاوت بین Active Directory و Domain Controller
Active Directory یک سرویس دایرکتوری در شبکه است، دامین کنترلر این سرویس را در شبکه ارائه می دهد. بنابراین تفاوت بین Active Directory و Domain Controller در این است که یکی یک سرویس است و دیگری آن سرویس را ارائه می دهد.
بیایید مثالی بزنیم تا واضح تر شود. تاکسی تلفنی سرویسی است که در صورت نبود تاکسی یا ماشین قابل اجرا نیست. بنابراین، ماشین خدماتی است که توسط تاکسی تلفنی ارائه می شود.
اکتیو دایرکتوری مانند یک دفترچه تلفن است که تمام جزئیات مربوط به افراد مانند شماره تلفن و آدرس را در خود دارد. اکتیو دایرکتوری تمام جزئیات مربوط به کاربران و رایانه ها و دستگاه های متصل به شبکه را دارد.
Domain Controller جایی است که Active Directory اجرا می شود. DC یک مفهوم فیزیکی و دایرکتوری فعال یک مفهوم منطقی است.
تاریخچه و نسخه های اکتیو دایرکتوری
مایکروسافت برای اولین بار اکتیو دایرکتوری را در سال ۲۰۰۰ با ویندوز سرور ۲۰۰۰ معرفی کرد. بعداً نسخه های جدید را همراه با سرورهای ویندوز جدیدتر ارائه کرد. در ویندوز سرور ۲۰۰۳ آپدیت ها و forest اضافه شد و امکان ویرایش و تغییر دامنه ها در جنگل ایجاد شد. قابلیت AD FS در ویندوز سرور ۲۰۰۸ اضافه شد. AD DS در ویندوز سرور ۲۰۱۶ به روز شد و امنیت Active Directory و مهاجرت محیط AD به فضای ابری امکان پذیر شد.
به روز رسانی های امنیتی در Windows Server 2016 شامل اضافه شدن Privileged Access Management یا PAM است. PAM دسترسی به اشیا، نوع دسترسی اعطا شده و کارهایی که کاربر انجام می دهد را نظارت می کند.
خدمات دایرکتوری Red Hat Directory Server، Apache Directory و OpenLDAP رقبای Active Directory هستند.
مزایای اکتیو دایرکتوری
۱- نگهداری اطلاعات کاربران و نهادهای شبکه به صورت متمرکز:
دامنه: تمامی اطلاعات کاربر مانند نام، رمز عبور، شماره تلفن، آدرس و … به صورت مرکزی نگهداری می شوند و به همین دلیل قابلیت پشتیبان گیری و دسترسی سریع و مدیریت مرکزی را دارند.
گروه: اطلاعات روی هر سیستمی پراکنده است که علاوه بر امنیت بسیار ضعیف، پشتیبان گیری را بسیار سخت و شاید غیرممکن می کند و مدیریت متمرکزی ندارد.
۲- مقیاس پذیری:
دامنه: به دلیل اطلاعات و مدیریت متمرکز، می تواند تعداد زیادی از اشیاء مختلف را در خود جای داده و مدیریت کند.
گروه: با توجه به پراکندگی اطلاعات، توصیه می شود تعداد کاربران این نوع شبکه از ۱۰ نفر بیشتر نشود زیرا قابل مدیریت نیست.
۳- توسعه پذیری:
Domain: می توانید اشیاء جدیدی (به جز مواردی که به طور پیش فرض تعریف شده اند) تعریف کرده و از آنها در شبکه استفاده کنید.
گروه: فقط اشیاء تعریف شده را می توان استفاده کرد.
۴- مدیریت پذیری:
دامنه: به دلیل متمرکز بودن اطلاعات و مدیریت، حرکت شبکه به سمت یک هدف خاص آسان است. به عنوان مثال، به منظور بهبود امنیت، می توان شبکه را هر هفته به یک ویژگی امنیتی جدید مجهز کرد.
گروه: به دلیل عدم تمرکز اطلاعات، مدیریت در حد حفظ وضعیت موجود انجام می شود. مدیریت برای رسیدن به اهداف مشخص وجود ندارد.
۵- ادغام با DNS
دامنه: به دلیل هماهنگی با سیستم DNS، دسترسی به سرویس های مختلف در شبکه آسان است. بر اساس ترتیب اسمی در حالت شاخه می توانید آدرس پایین ترها را از بالاتر دریافت کنید.
گروه: امکان دسترسی به سایر اشیاء شبکه بسیار ضعیف است مگر اینکه کاربر مقصد خود را با نام یا آدرس IP بداند زیرا هیچ سیستم شعبه ای وجود ندارد و هیچ سرویسی آدرس سایر اشیاء شبکه را نمی داند.
۶- امکان مدیریت متمرکز فعالیت های کاربران و رایانه ها:
دامنه: سطح فعالیت و دسترسی موجودیت های شبکه را می توان به صورت متمرکز در کل شبکه تعریف کرد.
گروه: حداکثر دسترسی کاربر را می توان در رایانه خودش تعریف کرد. این کار در شبکه امکان پذیر نیست.
۷- سیاست پذیری (سیستم مبتنی بر سیاست):
دامنه: می توان با اعمال سیاست های مختلف تحت شبکه، شبکه را به سمت هدفی خاص پیش برد.
گروه: کاربرد خط مشی فقط در حد یک کامپیوتر و نه در شبکه تعریف شده است.
۸- امکان تبادل اطلاعات بین سرورها در سطح شبکه های بزرگ:
دامنه: اطلاعات بین سرورهای مختلف رد و بدل می شود، بنابراین تمامی سرورها با آخرین تغییرات شبکه آشنا هستند و سرویس به روز ارائه می شود. به عنوان مثال کاربر جدید به محض ورود توسط همه سرورها قابل شناسایی است، بنابراین به محض ورود می تواند از تمامی سرویس ها استفاده کند.
گروه: هیچ داده ای منتقل نمی شود زیرا اساساً سرور وجود ندارد. به همین دلیل کاربر جدید باید توسط مدیر شبکه به آن سرویس معرفی شود تا هر گونه سرویسی را درخواست کند.
۹- انعطاف در امنیت و شناسایی موجودیت های شبکه:
Domain: قابلیت شناسایی هر شیء در هر نقطه از شبکه را دارد و می تواند با مدل ها و روش های مختلف (Security Protocols) احراز هویت کند.
گروه: هر کامپیوتر فقط می تواند موجودی را که در همان کامپیوتر تعریف شده است شناسایی کند.
۱۰- امنیت جامع و یکپارچه:
Domain: با ورود به دامنه، برخی از مسائل امنیتی به صورت پیش فرض اعمال می شود و سپس مدیر می تواند امنیت شبکه را تا حد غیرقابل تصوری افزایش دهد.
گروه: به دلیل نبود مدیریت و اطلاعات متمرکز، قابلیت امنیتی به صورت پایه و ضعیف و منحصر به فرد برای هر کامپیوتر تعریف شده است (امنیت در سطح کاربر خانگی).
۱۱- (امنیتی-آسایش):
دامنه: اگر از سرویس یا نرم افزاری استفاده می کنید که قابلیت یکپارچه سازی با پارتیشن اکتیو دایرکتوری را دارد، می توانید اطلاعات آن نرم افزار را به همراه اطلاعات اکتیو دایرکتوری با خیال راحت و سریع بین سرورها جابه جا کنید.
۱۲- امکان اتصال و ارتباط با سایر اکتیو دایرکتوری ها:
دامنه: از آنجایی که Win 2003 Active Directory بر اساس LDAP ver3 و NSPI که استانداردهای جهانی هستند نوشته شده است، می تواند با دایرکتوری های فعال نوشته شده بر اساس آن ارتباط برقرار کند. حتی اگر این دایرکتوری های فعال توسط شرکتی غیر از خود مایکروسافت نوشته شده باشند.
۱۳- علامت گذاری دیجیتال اطلاعات مبادله:
دامنه: اطلاعات به صورت رمزگذاری شده بین سرورها منتقل می شود، بنابراین از امنیت بسیار خوبی برخوردار است.