آموزش کار با اکتیو دایرکتوری
مقالات تخصصی IT و هاستینگ 05 دی 1402 ساعت 14:41

اکتیو دایرکتوری چیست و ساختار آن چگونه است؟

سازمان‌های سراسر جهان با هر اندازه ای، از اکتیو دایرکتوری برای کمک به مدیریت مجوزها و کنترل دسترسی منابع حیاتی شبکه استفاده می‌کنند اما اکتیو دایرکتوری دقیقاً چیست و چگونه می‌تواند به کسب و کار شما کمک کند؟

اکتیو دایرکتوری چیست؟

در اکتیو دایرکتوری اطلاعات به صورت اشیاء ذخیره می‌شوند

تصویر(1)

Active Directory (به اختصار AD) یک سرویس دایرکتوری است که روی Microsoft Windows Server اجرا می‌شود. وظیفه اصلی اکتیو دایرکتوری این است که به مدیران اجازه دهد مجوزها را مدیریت و دسترسی به منابع شبکه را کنترل نمایند. در اکتیو دایرکتوری، اطلاعات به صورت اشیاء (objects) ذخیره می‌گردند که شامل کاربران، گروه‌ها، برنامه‌ها و دستگاه‌ها هستند و این اشیاء براساس نام و ویژگی‌های خود دسته‌بندی می‌شوند.

Active Directory Domain Services چیست؟

Active Directory Domain Services یک جز اصلی در اکتیو دایرکتوری است

تصویر(2)

Active Directory Domain Services (به اختصار AD DS) یک جز اصلی از Active Directory است و مکانیزمی برای احراز هویت و تعیین سطح دسترسی کاربران به منابع شبکه‌ را فراهم می‌کند. همچنین AD DS دارای قابلیت‌های اضافی مانند Single Sign-On (SSO)، گواهی های امنیتی، LDAP و مدیریت مجوز دسترسی نیز می باشد.

ساختار سلسله مراتبی Active Directory Domain Services

AD DS اطلاعات را در یک ساختار سلسله مراتبی که شامل Domains (دامنه‌ها)، trees (درختان) و forests (جنگل‌ها) است سازماندهی می‌کند.

  • Domains: دامنه نشان دهنده گروهی از اشیاء مانند کاربران، گروه‌ها و دستگاه‌ها است که از پایگاه داده AD یکسانی بهره می برند. دامنه را می‌توانید مثل شاخه یک درخت در نظر بگیرید. اکتیو دایرکتوری domain، ساختاری مشابه با دامنه‌ها و زیردامنه‌های استاندارد مانند example.com و sales.example.com دارد.
  • Trees: درخت (Tree) متشکل از یک یا چند دامنه می باشد که در یک ساختار سلسله مراتبی منطقی گروه‌بندی شده اند. با توجه به اینکه دامنه‌های موجود در یک tree با هم مرتبط هستند، به یکدیگر "اعتماد" نیز دارند.
  • Forest: جنگل بالاترین سطح سازماندهی در AD است و شامل گروهی از درختان می باشد. درختان در یک جنگل نیز می‌توانند به یکدیگر اعتماد کنند و همچنین اسکیمای دایرکتوری، کاتالوگ‌ها، اطلاعات برنامه و تنظیمات دامنه را به اشتراک بگذارند.
  • واحدهای سازمانی (Organizational Units): یک OU برای سازماندهی کاربران، گروه‌ها، کامپیوترها و سایر واحدهای سازمانی استفاده می‌شود.
  • Containers: کانتینر مشابه OU است اما برخلاف آن، امکان اتصال Group Policy Object (به اختصار GPO) به یک کانتینر عمومی Active Directory وجود ندارد.

سایر سرویس‌های اکتیو دایرکتوری

علاوه بر Active Directory Domain Services، چندین سرویس مهم دیگر وجود دارد که AD ارائه می‌دهد. برخی از این سرویس‌ها به شرح ذیل می باشند:

Lightweight Directory Services: سرویس Lightweight Directory Access Protocol (به اختصار LDAP) یک پروتکل سبک است که زیرمجموعه ای از ویژگی‌های AD DS را فراهم نموده و موجب می شود در محیط های مختلف قابل اجرا باشد. LDAP را می توان به عنوان یک سرویس دایرکتوری مستقل بدون نیاز به نصب اکتیو دایرکتوری و و پیکربندی کامل آن اجرا کرد.

LDAP را می توان به عنوان یک سرویس دایرکتوری مستقل بدون نیاز به نصب اکتیو دایرکتوری، اجرا کرد.

تصویر(3)

Certificate Services: شما می‌توانید گواهینامه‌های رمزگذاری را ایجاد، مدیریت و اشتراک گذاری کنید که به کاربران امکان می‌دهد اطلاعات را به صورت امن در اینترنت تبادل کنند.

Active Directory Federation Services: سرویس ADFS یک راه حل Single Sign-On (SSO) برای اکتیو دایرکتوری است که به کارمندان اجازه می‌دهد با استفاده از یک مجموعه اعتبار (مانند نام کاربری و رمز عبور) به چندین برنامه مختلف دسترسی پیدا کنند که موجب ساده شدن تجربه کاری می شود.

Rights Management Services: سرویس AD RMS مجموعه‌ای از ابزارهایی است که در مدیریت فناوری‌ های امنیتی کمک می‌کنند تا سازمان‌ها بتوانند داده‌های خود را ایمن نگه دارند. این فناوری‌ها شامل رمزگذاری، گواهینامه‌ها و احراز هویت است و طیف وسیعی از برنامه‌ها و انواع محتوا مانند ایمیل‌ها و اسناد Word را پوشش می‌دهند.

سروری که AD DS را میزبانی می‌کند به عنوان کنترل کننده دامنه (Domain Controller) شناخته می‌شود. یک Domain Controller می‌تواند برای احراز هویت با سایر محصولات Microsoft مانند Exchange Server، SharePoint Server، SQL Server، File Server و.. نیز استفاده گردد.

شروع کار با Windows Active Directory

ارائه راهنمای جامع و مرحله به مرحله برای راه‌اندازی اکتیو دایرکتوری روی Windows Server خارج از بحث این مقاله می باشد. در عوض خلاصه‌ای از مراحل مورد نیاز جهت نصب AD  ارائه می شود. بر فرض اینکه سیستم عامل Windows Server از قبل نصب شده است، مراحل به شکل زیر خواهد بود:

  • تنظیمات DNS خود را طوری تغییر دهید که آدرس IP سرور شما به عنوان DNS server اصلی باشد.
  • Server Manager را باز کنید. جهت دسترسی به آن می توانید PowerShell را با سطح دسترسی administrator اجرا نموده و دستور ServerManager.exe را وارد نمایید.
  • در پنجره Server Manager، گزینه Add roles and features را انتخاب نموده و برای شروع فرایند نصب روی دکمه Next کلیک کنید.
  • در پنجره Select Server Roles، گزینه Active Directory Domain Services را علامت بزنید. یک پنجره pop-up ظاهر می‌شود. روی Add Features کلیک کنید و سپس در ادامه دکمه Next را بزنید.
  • با کلیک روی دکمه Next، به صفحه نهایی خواهید رسید. بهتر است تنظیمات پیش‌فرض را به همان شکل باقی بگذارید مگر اینکه بدانید چه تنظیمات خاصی را می خواهید لحاظ کنید.
  • با رسیدن به پایان مراحل، روی دکمه Install کلیک کنید و منتظر تکمیل فرایند نصب شوید.

پس از نصب Active Directory Domain Services، باید آن را پیکربندی نمایید که شامل تغییر گذرواژه‌های پیش‌فرض، راه‌اندازی واحدهای سازمانی (OUs)، دامنه‌ها (domains)، درختان (trees) و جنگل‌ها (forests) می‌شود. همانطور که ذکر شد، توضیحات دقیق در مورد راه‌اندازی و پیکربندی اکتیو دایرکتوری خارج از بحث این مقاله می باشد. برای دستورالعمل‌های بروز و کامل در این خصوص، می توانید به مستندات رسمی آن مراجعه نمایید.

اکتیو دایرکتوری Azure چیست؟

 اکتیو دایرکتوری Azure

تصویر(4)

با توجه به اینکه تعداد سازمان‌هایی که عملیات تجاری خود را به فضای ابری منتقل می‌کنند روز به روز بیشتر می‌شود، مایکروسافت Azure Active Directory (Azure AD) را معرفی کرده است. Azure Active Directory یک نسخه مبتنی بر ابر از اکتیو دایرکتوری ویندوز محسوب شده و می‌تواند با نسخه های موجود از Active Directory در سرور های لوکال نیز همگام‌ گردد. گفته می‌شود که Azure AD به عنوان backbone (ستون فقرات) برای Office 365 و سایر محصولات Azure عمل می کند. با این وجود، می‌تواند با سرویس‌ها و پلتفرم‌های ابری دیگر نیز هماهنگ و یکپارچه گردد. برخی از تفاوت‌های اکتیو دایرکتوری ویندوز و Azure عبارتند از:

  • ارتباط: Azure AD از REST API استفاده می‌کند اما در Windows AD همانطور که ذکر شد از LDAP استفاده می‌ شود.
  • احراز هویت: Windows AD از Kerberos و NTLM برای احراز هویت استفاده می‌کند، در حالی که Azure AD از پروتکل‌های احراز هویت داخلی و مبتنی بر وب استفاده می نماید.
  • ساختار: برخلاف Windows AD که بر اساس واحدهای سازمانی (OUs)، درختان (trees)، جنگل‌ها (forests) و دامنه‌ها (domains) سازمان‌دهی می‌شود، Azure AD از یک ساختار flat (بدون سلسله مراتب) برای کاربران و گروه‌ها استفاده می‌کند.
  • مدیریت دستگاه: برخلاف Windows AD، Azure AD می‌تواند از طریق دستگاه‌های تلفن همراه مدیریت شود. Azure AD برای تعیین اینکه کدام دستگاه‌ و سرورها قادر به اتصال به شبکه هستند، به  Group Policy Objects (به اختصار GPO) وابستگی ندارد.

نتیجه گیری

اگر شما در حال خواندن این مقاله جهت آشنایی با اکتیو دایرکتوری هستید، احتمالاً قبلا از آن استفاده نکرده اید. در این صورت، بهتر است به جای Windows AD با Azure AD شروع کنید. زمانی استفاده از Windows AD مناسب است که نیاز به ذخیره سازی حجم زیادی از داده‌های ارزشمند دارید و همچنین از یک تیم متخصص IT جهت مدیریت برنامه امنیت سایبری برخوردار باشید.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *