• خانه
  • بلاگ
  • اکتیو دایرکتوری چیست و چه مزایا و کاربرد‌هایی دارد؟

اکتیو دایرکتوری چیست و چه مزایا و کاربرد‌هایی دارد؟

اکتیو دایرکتوری چیست

اکتیو دایرکتوری چیست و چه مزایا و کاربرد‌هایی دارد؟

اکتیو دایرکتوری (active directory) یکی از خدمات شرکت Microsoft است که تا به امروز برای مدیریت شبکه‌های دامنه ویندوز، توسعه‌یافته است. این سرویس در اکثر سیستم عامل‌های ویندوز سرور، به‌عنوان سرویس و فرایندی برای متمرکز کردن مدیریت دامنه‌ها گنجانده شده و در حال حاضر به‌عنوان چتری بر پایه دایرکتوری، تبدیل به سیستم تشخیص هویت نیز شده است.

سرویس‌دهنده‌ای که نقش اکتیو دایرکتوری دامین سرویس‌ها (Active Directory Domain Service) را ایفا می‌کند با نام کنترل‌گر دامنه (domain controller) شناخته می‌شود. عمده وظیفه این کنترل‌گر احراز هویت و اجازه دسترسی به کاربران، اجرای سیاست و قوانین امنیتی همه رایانه‌ها، و نصب و بروز رسانی نرم‌افزارها است. در ادامه به بررسی دقیق‌تر AD و نحوه نصب و اجرای آن پرداخته‌ایم.

تاریخچه اکتیو دایرکتوری و معرفی سرویس‌های مختلف آن

مانند بسیاری از فناوری‌های اطلاعاتی، اکتیو دایرکتوری نشئت گرفته از (RFCs) است.پیش‌نویسی‌ها یا همان RFC ها مشخصات یک تکنولوژی را توضیح داده اند که اگر به تایید IETF برسند، به‌عنوان استانداردی برای آن تکنولوژی به رسمیت شناخته خواهند شد.

به زبان ساده‌تر قبل از تولد یک تکنولوژی و فناوری اطلاعاتی، سازمانی تحت عنوان یاد شده باید RFC آن را تایید کند و به رسمیت بشناسد که در این پیش‌نویس مشخصات تکنولوژی و فناوری به‌صورت خاصی توضیح داده می‌شود. در سال 1999 مایکروسافت پیش نمایشی از اکتیو دایرکتوری را در ویندوز 2000 منتشر کرد و در نسخه 2003 عملکرد آن را گسترش داد. نسخه‌های بهتر و پیشرفته‌تر AD در ویندوز سرور 2008 اضافه شد. درادامه سرویس های اکتیو دایرکتوری را بیان می کنیم.

Domain Services

اکتیو دایرکتوری تشکیل شده از تعدادی سرویس‌های راهنما است که شناخته‌شده‌ترین آن Active Directory Domain Services یا به اختصار AD DS (مختصرتر AD) است. AD سنگ بنا و شالوده هر شبکه دامنه ویندوز بوده که عهده‌دار حفظ و نگهداری اطلاعات اعضای دامنه‌ها، از جمله کاربران و دستگاه‌ها، تایید اعتبار‌ها و تشخیص درستی دسترسی‌ها است. سروری که AD را اجرا می‌کند کنترل‌گر دامنه (domain controller) نام دارد.

اکتیو دایرکتوری‌های دیگر به‌غیراز LDS، مانند بیشتر فناوری‌های سرور مایکروسافت بر پایه دامین سرویس اجرا می‌شود. برای مثال: Exchange Server، Remote Desktop Services، BitLocker و… . البته نباید سیستم خودمدیریتی AD DS  را با سیستم مدیریت Azure AD DS اشتباه گرفت.

LDAP

Lightweight Directory Services

 این سرویس اکتیو دایرکتوری (AD LDS) قبلا با نام Active Directory Application Mode  شناخته می‌شد و بر پایه پروتکل LDAP اجرا می‌شود. این سرویس تقریبا نسخه کوچک‌تر AD DS است. برای آشنایی بهتر با مفهوم و کارکرد این سرویس در نظر بگیرید نرم‌افزاری باید نصب شود که نیاز به دسترسی آبجکت‌ها و اطلاعات شبکه دارد.

راه‌حل استفاده از سرویس LDS است. درحقیقت این سرویس تمامی نیاز‌های نرم‌افزار‌ها به اکتیو دایرکتوری را برطرف می‌کند. برخلاف AD DS تعداد زیادی از سرویس‌های دایرکتوری LDS می‌توانند بر روی یک سرور اجرا شوند.

Certificate Services

AD CS (نام اختصاری این سرویس) یک زیرساخت برای کلید عمومی در محل ایجاد می‌کند. برای درک ساختار این سرویس فردی را در نظر بگیرید که می‌خواهد سند مهمی را ارسال کند. این سند ابتدا هش شده و سپس با یک کلید خصوصی که فقط فرستنده در دست دارد رمزنگاری می‌شود. حال این سند در اینترنت منتشر شده و به دست گیرنده رسیده است.

هر آن چیزی که لازم است درباره زیر ساخت شبکه بدانید را کلیک کنید.

 گیرنده یک‌بار با الگوریتم هش (Hash)، دوباره سند را هش می‌کند و بار دیگر با استفاده از کلید عمومی (که همه آن را در اختیار دارند) بار دیگر سند را هش می‌کند. دو مقدار هش به‌دست‌آمده را مقایسه می‌شوند و اگر مقدارها برابر باشد سند سالم است. ساختار AD CS نیز دقیقا به این صورت است که در سرویس‌هایی مانند ایمیل، خرید اینترنتی و انجمن‌های اینترنتی استفاده می‌شود.

 Federation Services

یک سرویس ثبت‌نام واحد با نام اختصاری AD FS است. برای درک بهتر این سرویس شرکتی را در نظر بگیرید که قصد همکاری با سازمان‌ها و شرکت‌های دیگر را دارد. برای همکاری هرچه بهتر نیاز است تا کارکنان شرکت‌ها به برخی منابع و فایل‌های طرفین دسترسی داشته باشند. ازاین‌رو برای مدیریت دسترسی افراد سازمان‌ها و ارگان مختلف به برخی فایل‌ها، منابع، اطلاعات و… از AD FS  استفاده می‌شود.

Rights Management Services

آخرین سرویس از سرویس‌های active directory است. این سرویس با نام اختصاری RMS تا قبل از ویندوز سرور 2008 شناخته می‌شد که امروزه AD RMS نام دارد. اصلی‌ترین وظیفه این سرویس محافظت از تمامی فایل‌های موجود در شبکه است.

 به تعبیری دیگر با استفاده از این سرویس می‌توان سیاست‌هایی بر روی استفاده هر نوع فایلی مانند ویدئو، تصویر، متن و… اعمال کرد تا از کپی، پرینت و تکثیر میان افراد غیرمجاز جلوگیری شود. AD RMS با دو سرویس دیگر برای افزایش امنیت هر نوع فایل باینری به‌صورت یکپارچه همکاری می‌کند.

اکتیودایرکتوری

کاربرد‌های اکتیو دایرکتوری

برای درک بهتر کاربرد‌های سرویس اکتیو دایرکتوری با یک مثال همراه باشید. مجموعه را در نظر بگیرید که تعداد زیادی از افراد در آن مشغول به کار هستند و بر اساس سلسله‌مراتب و سیاست‌های خاص آن شرکت، نیاز است تا به افراد دسترسی‌های خاصی داده شود. در این زمان سرویس اول یعنی AD DS کاربرد دارد. در حقیقت با این سرویس می‌توان به‌سادگی دسترسی‌های افراد به فایل‌ها، اطلاعات، اسناد و… را مدیریت کرد.

حال مجموعه نیاز دارد تا برنامه‌ای مانند برنامه‌های اتوماسیون، بر روی شبکه اجرا کند (درواقع این نوع نرم‌افزار نیاز به دسترسی اطلاعات موجود در شبکه دارد). راه‌حل‌های متنوعی برای حل این مشکل می‌توان پیشنهاد داد اما هرکدام ممکن است اسناد و در کل امنیت شرکت را به خطر بیندازد. در این مواقع می‌توان از سرویس AD LDS برای اجرای تعداد زیادی نرم‌افزار که نیاز به دسترسی به اطلاعات اکتیو دایرکتوری را دارند، استفاده کرد.

حال بعد از گذشت زمان، این شرکت بزرگ‌تر شده و نیاز دارد تا با شرکت‌ها و مجموعه‌های دیگر تعامل داشته باشد. تنها کافی است با اجرای سرویس AD FS رابطه خود را به‌راحتی گسترش دهد. یعنی اگر نیاز باشد تا افراد از مجموعه‌های مختلف به اطلاعات و اسناد یکدیگر دسترسی داشته باشند، این سرویس کار آن‌ها را راحت‌تر خواهد کرد.

برای اطمینان از عملکرد درست AD FS نیاز است تا اطلاعاتی مشترکا استفاده می‌شوند، تحت سیاست‌های دو مجموعه باشد. برای مثال یک سند اجازه‌ تکثر و کپی ندارد و یا برخی اشخاص خاص می‌توانند به این فایل‌ها دسترسی پیدا کرده و آن‌ها را کپی کنند. در این صورت از سرویس AD RMS استفاده می‌شود.

تمامی این پروسه نیازمند حفظ امنیت اسناد تبادل شده است. یعنی اگر دو یا چند مجموعه با یکدیگر در رابطه هستند و یا به دلیل برخی مشکلات (مانند همین بیماری کرونا) برخی کارمندان از خانه کار‌های خود را مدیریت می‌کنند، اسنادی که جابه‌جا می‌شوند باید تایید شود که دست‌کاری نشده‌اند. این امر بر عهده سرویس AD CS است.

برای مطالعه بیشتر مقاله امنیت شبکه چیست را پیشنهاد می کنیم.

مزایای استفاده از اکتیو دایرکتوری

سرویس اکتیو دایرکتوری مایکروسافت امکانات و دسترسی‌های فراوانی را به کاربران خود ارائه می‌دهد که بدون این مزایا نمی‌توان مدیریت افراد و کارمندان را باتوجه‌به سیاست‌های مجموعه انجام داد. برای مثال اگر فردی بخواهد رمز دسترسی خود را تغییر دهد باید تمامی اطلاعات کاربران دیگر آپدیت و بروز شود که خود زمان، هزینه و تخصص زیادی را می‌طلبد. علاوه‌برآن استفاده از سرویس‌های Active Directory مزایای دیگر نیز دارد که به شرح زیر است:

  • با این سرویس امنیت اسناد و اطلاعات مجموعه شما تضمین می‌شود که در نتیجه کیفیت کار کارکنان نیز بالاتر می‌رود.
  • دسترسی‌های افراد بر اساس خط و مشی و سیاست‌های شرکت‌ها و سازمان‌ها به‌سادگی مدیریت می‌شود. در صورت نیاز به بروز رسانی اطلاعات مربوط به دسترسی، با چند عمل ساده و در چند ثانیه و بدون نیاز به تخصص و صرف هزینه و زمان می‌توان این کار را با AD DS انجام داد.
  • شرکت‌های در ارتباط با یکدیگر می‌توانند اسناد و فایل‌های خود را زیر نظر سیاست‌های تعیین شده به اشتراک بگذارند. حتی با سرویس AD FS امکان دورکاری (مانند امروز به دلیل شیوع ویروس کرونا) وجود دارد.
  • مدیریت فایل‌ها و در کنار ارسال و دریافت اسناد با امنیت بالا از دیگر مزیت‌های سرویس اکتیو دایرکتوری است که با AD CS فراهم می‌شود.
  • فایل‌هایی که قوانین مربوط به کپی‌رایت دارند یا نیاز است به یک فایل محدودیت‌هایی مانند دانلود، تکثیر، اشتراک‌گذاری و… را اعمال کنید، Rights Management Services بهترین گزینه است.

نحوه نصب اکتیو دایرکتوری روی کامپیوتر

اگر قصد دارید تا سرویس‌های اکتیو دایرکتوری را بر روی کامپیوتر شخصی خود (PC) نصب و راه‌اندازی کنید ابتدا بر حسب ورژن ویندوز سیستم خود یکی از فایل‌های زیر را دانلود کنید:

  • Remote Server Administrator Tools For Windows 10
  • Remote Server Administrator Tools For Windows 8-x86
  • Remote Server Administrator Tools For Windows 8-x64
  • Remote Server Administrator Tools For Windows 8.1-x86
  • Remote Server Administrator Tools For Windows 8.1-x64

بعد از اتمام دانلود، نرم‌افزار را به‌صورت کامل نصب کنید. سپس نیاز است تا مسیر زیر را مرحله ‌به‌ مرحله دنبال کنید تا نصب AD و ابزار‌های آن صورت گیرد.

  1. بر روی گزینه start و control panel کلیک کنید.
  2. وارد قسمت Programs و Programs and Features شوید.
  3. در این قسمت نیاز است تا روی قسمت Turn Windows features on or off در سمت چپ و بالای صفحه‌ باز شده کلیک کنید.
  4. کمی پایین‌تر روی دکمه Remote Server Administration Tools کلیک کنید تا زیر مجموعه‌های آن نمایش داده شود.
  5. دوباره روی دکمه Role Administration Tools برای نمایش زیر مجموعه‌های آن کلیک کنید.
  6. در این قسمت دکمه AD DS and AD LDS Tools یافته و برای نمایش جزئیات روی آن کلیک کنید.
  7. مطمئن شوید که تیک گزینه AD DS Tools فعال باشد.
  8. بعد از انجام این مراحل باید گزینه Administrative Tools برای شما در قسمت start فعال شده باشد. با واردشدن به این قسمت تمامی ابزار‌های AD برای شما ظاهر خواهد شد.
  9. اگر نتوانستید Administrative Tools را پیدا کنید کافی است تا آن را در قسمت start جستجو کنید.

نحوه نصب و راه‌اندازی اکتیو دایرکتوری بر روی سرور (2022)

توضیحات نصب در تیتر قبلی مربوط به نصب AD و ابزار‌های آن بر روی کامپیوتر شخصی بود. اما در اصل سرویس اکتیو دایرکتوری به‌منظور نصب و را‌ه‌اندازی بر روی شبکه و ویندوز سرور طراحی و توسعه داده شده است. ازاین‌رو برای شرکت‌ها و مجموعه‌های بزرگ که کارمندان و کارکنان خود را در قالب یک سرور مدیریت می‌کنند و تحت‌نظر دارند، نیاز است تا AD و سرویس‌های زیرمجموعه بر روی سرور و سیستم‌عامل ویندوز سرور نصب شود.

نصب و راه‌اندازی AD روی ویندوز سرور ساده است و پیچیدگی خاصی ندارد. به همین منظور با تماشای ویدئو زیر و دنبال‌کردن صحیح تمامی مراحل اکتیو دایرکتوری بر روی سرور و شبکه شما نصب خواهد شد.

نرم افزار مدیریت اکتیو دایرکتوری

نرم افزارهای زیادی برای مدیریت اکتیو دایرکتوری وجود دارند. این نرم افزارها در واقع ابزارها و خدماتی را ارائه می کنند که با استفاده از آن ها، مدیریت گزینه های مختلف اکتیو دایرکتوری راحت تر خواهد شد.

در ادامه به 5 تا از نرم افزارهای رایگان برای مدیریت اکتیو دایرکتوری اشاره کرده ایم:

  • SolarWinds
  • ManageEngine
  • Spiceworks
  • PRTG 
  • CJWDEV 

سوالات رایج در مورد اکتیو دایرکتوری

در ادامه ی این بخش می خواهیم به بخشی از مهم ترین سوالاتی که در مورد اکتیو دایرکتوری وجود دارد پاسخ بدهیم. با ما همراه باشید.

برای کدام یک از نسخه های سرور، اکتیو دایرکتوری در دسترس است؟

در ابتدا اکتیو دایرکتوری برای ویندوزهای 2000 منتشر شد. نسخه‌های بعدی آن عملکردهای گسترده و مدیریت بهبود یافته تری داشتند.

فرق میان اکتیو دایرکتوری و LDAP چیست؟

اکتیو دایرکتوری (AD) یک نوع سرویس دایرکتوری است که توسط ماکروسافت منتشر شد. اما LDAP نوعی پروتکل استاندارد برای دسترسی به سرویس های دایرکتوری از جمله اکتیودایرکتوری ماکروسافت است.

اکتیو دایرکتوری FOREST چیست؟

از لحاظ منطقی، اکتیو دایرکتوری به دامنه ها، Trees( درخت ها) و Forests( جنگل ها)  تقسیم شده است. کاربران و کامپیوترها در دسته بندی دامنه ها قرار می گیرند. اشیاء(آبجکت ها) در یک دیتابیس ذخیره می شوند( که قادر به تکثیر و تکرار هستند).

دامنه ها توسط ساختار نام DNS خود مشخص می شوند.

درخت یا همان tree نیز مجموعه ای یک یا چند دامنه است.

جنگل یا همان forest نیز مجموعه ای از چند درخت است که یک کاتالوگ جهانی مشترک، الگوی دایرکتوری، ساختار منطقی و پیکربندی دایرکتوری را به اشتراک می گذارند.

در واقع Forest ها مشخص کننده ی مرزهای امنیتی هستند که معلوم می سازند کدام یک از کاربران، کامپیوترها، گروه ها و اشیاء دیگر در دسترس می باشند.

چگونه Domain Controller  خود را تشخیص دهیم؟

مراحل زیر را دنبال کنید:

از منوی استارت ویندوز، گزینه command را اجرا کنید.

در کادری که برایتان باز می شود، cmd را تایپ کنید.

Nslookup را تایپ کنید و سپس دکمه ENTER را فشار دهید.

Set type=all را تایپ کنید و دوباره دکمه ENTER را فشار دهید.

این را جمله را تایپ کنید:

_ldap._tcp.dc._msdcs.Domain_Name

جایی که بخش Domain Name، نام دامنه ی شما باشد. سپس کلید ENTER را فشار دهید.

جمع‌بندی

هر برنامه و نرم‌افزاری برای خلق و متولد شدن باید جای خالی آن در جامعه احساس شود. در سال 1999 بعد از ویندوز 2000 سرویس اکتیو دایرکتوری و زیر مجموعه‌های آن (که شامل 5 زیرمجموعه است و در ابتدای مقاله همه این 5 مورد بررسی شده) وارد دنیای مدیریت شبکه و کاربران سرور‌ها شد.

زمانی که نیاز بود شرکت‌ها در قالب یک پرتکل امن و مبتنی بر سیاست‌های یکدیگر با هم تعامل داشته باشند و اطلاعات و اسناد خود را در اختیار هم قرار دهند؛ یا بر اساس سلسله‌مراتب خاص سازمان‌ها، دسترسی‌های کارکنان نیاز بود تا مدیریت و محدود شود؛ و یا در مواردی باید حقوق مادی و معنوی فایل‌های یک مجموعه حراست شود، جای خالی سرویس‌های AD به‌شدت احساس می‌شد.

در این مقاله سعی کردیم تا به مفهوم کلی و کاربرد انواع سرویس‌های اکتیو دایرکتوری بپردازیم و نحوه نصب و راه‌اندازی آن بر روی کامپیوتر شخصی یا سرور را آموزش دهیم. در نهایت باید بگوییم که داشتن دانش کافی نسبت به اکتیو دایرکتوری می تواند شما را نسبت به دانش شبکه ها آگاه تر بسازد. اکتیو دایرکتوری به شما کمک می کند که نظارت بهتر و بیشتری بر روی شبکه داشته باشید. امید است این مقاله به اندازی کافی برای شما عزیزان مفید بوده باشد.

اصطلاحات استفاده شده در مقاله

  • AD : مخفف active directory
  • RFC : پیش‌نویس تایید شده توسط سازمان IETF که اطلاعات یک نرم‌افزار یا تکنولوژی در آن توضیح داده می‌شود.
  • IETF : مخفف Internet Engineering Task Force که سازمانی برای تنظیم استاندار‌های انواع سرویس‌ها است.
  • Hash : تابعی است که ورودی (اعداد و حروف) را به خروجی رمزنگاری شده با طولی ثابت تبدیل می‌کند.
  • public key : کلید عمومی. این کلید برای بازکردن اسناد رمزنگاری شده و تبدیل آن به سند اصلی استفاده می‌شود و در اختیار تمامی کاربران خود قرار دارد.
  • private key : کلید خصوصی. این کلید برای بازکردن اسناد رمزنگاری شده و تبدیل آن به سند اصلی استفاده می‌شود و برای هر شخص منحصربه‌فرد است.
  • Windows server : ویندوز سرور نسخه‌ای دیگر از سیستم عمل قدرتمند ویندوز است که برای اجرا روی سرور‌ها طراحی شده است.
  • Copyright : حق تکثیر. قانونی بر اساس پیمان برن برای حمایت از دارایی‌های ادبی، هنری، چاپ شده یا نشده و… است.