اکتیو دایرکتوری چیست و چه مزایا و کاربردهایی دارد؟
اکتیو دایرکتوری (active directory) یکی از خدمات شرکت Microsoft است که تا به امروز برای مدیریت شبکههای دامنه ویندوز، توسعهیافته است. این سرویس در اکثر سیستم عاملهای ویندوز سرور، بهعنوان سرویس و فرایندی برای متمرکز کردن مدیریت دامنهها گنجانده شده و در حال حاضر بهعنوان چتری بر پایه دایرکتوری، تبدیل به سیستم تشخیص هویت نیز شده است.
سرویسدهندهای که نقش اکتیو دایرکتوری دامین سرویسها (Active Directory Domain Service) را ایفا میکند با نام کنترلگر دامنه (domain controller) شناخته میشود. عمده وظیفه این کنترلگر احراز هویت و اجازه دسترسی به کاربران، اجرای سیاست و قوانین امنیتی همه رایانهها، و نصب و بروز رسانی نرمافزارها است. در ادامه به بررسی دقیقتر AD و نحوه نصب و اجرای آن پرداختهایم.
فهرست عناوین مقاله
تاریخچه اکتیو دایرکتوری و معرفی سرویسهای مختلف آن
مانند بسیاری از فناوریهای اطلاعاتی، اکتیو دایرکتوری نشئت گرفته از (RFCs) است.پیشنویسیها یا همان RFC ها مشخصات یک تکنولوژی را توضیح داده اند که اگر به تایید IETF برسند، بهعنوان استانداردی برای آن تکنولوژی به رسمیت شناخته خواهند شد.
به زبان سادهتر قبل از تولد یک تکنولوژی و فناوری اطلاعاتی، سازمانی تحت عنوان یاد شده باید RFC آن را تایید کند و به رسمیت بشناسد که در این پیشنویس مشخصات تکنولوژی و فناوری بهصورت خاصی توضیح داده میشود. در سال 1999 مایکروسافت پیش نمایشی از اکتیو دایرکتوری را در ویندوز 2000 منتشر کرد و در نسخه 2003 عملکرد آن را گسترش داد. نسخههای بهتر و پیشرفتهتر AD در ویندوز سرور 2008 اضافه شد. درادامه سرویس های اکتیو دایرکتوری را بیان می کنیم.
Domain Services
اکتیو دایرکتوری تشکیل شده از تعدادی سرویسهای راهنما است که شناختهشدهترین آن Active Directory Domain Services یا به اختصار AD DS (مختصرتر AD) است. AD سنگ بنا و شالوده هر شبکه دامنه ویندوز بوده که عهدهدار حفظ و نگهداری اطلاعات اعضای دامنهها، از جمله کاربران و دستگاهها، تایید اعتبارها و تشخیص درستی دسترسیها است. سروری که AD را اجرا میکند کنترلگر دامنه (domain controller) نام دارد.
اکتیو دایرکتوریهای دیگر بهغیراز LDS، مانند بیشتر فناوریهای سرور مایکروسافت بر پایه دامین سرویس اجرا میشود. برای مثال: Exchange Server، Remote Desktop Services، BitLocker و… . البته نباید سیستم خودمدیریتی AD DS را با سیستم مدیریت Azure AD DS اشتباه گرفت.
Lightweight Directory Services
این سرویس اکتیو دایرکتوری (AD LDS) قبلا با نام Active Directory Application Mode شناخته میشد و بر پایه پروتکل LDAP اجرا میشود. این سرویس تقریبا نسخه کوچکتر AD DS است. برای آشنایی بهتر با مفهوم و کارکرد این سرویس در نظر بگیرید نرمافزاری باید نصب شود که نیاز به دسترسی آبجکتها و اطلاعات شبکه دارد.
راهحل استفاده از سرویس LDS است. درحقیقت این سرویس تمامی نیازهای نرمافزارها به اکتیو دایرکتوری را برطرف میکند. برخلاف AD DS تعداد زیادی از سرویسهای دایرکتوری LDS میتوانند بر روی یک سرور اجرا شوند.
Certificate Services
AD CS (نام اختصاری این سرویس) یک زیرساخت برای کلید عمومی در محل ایجاد میکند. برای درک ساختار این سرویس فردی را در نظر بگیرید که میخواهد سند مهمی را ارسال کند. این سند ابتدا هش شده و سپس با یک کلید خصوصی که فقط فرستنده در دست دارد رمزنگاری میشود. حال این سند در اینترنت منتشر شده و به دست گیرنده رسیده است.
هر آن چیزی که لازم است درباره زیر ساخت شبکه بدانید را کلیک کنید.
گیرنده یکبار با الگوریتم هش (Hash)، دوباره سند را هش میکند و بار دیگر با استفاده از کلید عمومی (که همه آن را در اختیار دارند) بار دیگر سند را هش میکند. دو مقدار هش بهدستآمده را مقایسه میشوند و اگر مقدارها برابر باشد سند سالم است. ساختار AD CS نیز دقیقا به این صورت است که در سرویسهایی مانند ایمیل، خرید اینترنتی و انجمنهای اینترنتی استفاده میشود.
Federation Services
یک سرویس ثبتنام واحد با نام اختصاری AD FS است. برای درک بهتر این سرویس شرکتی را در نظر بگیرید که قصد همکاری با سازمانها و شرکتهای دیگر را دارد. برای همکاری هرچه بهتر نیاز است تا کارکنان شرکتها به برخی منابع و فایلهای طرفین دسترسی داشته باشند. ازاینرو برای مدیریت دسترسی افراد سازمانها و ارگان مختلف به برخی فایلها، منابع، اطلاعات و… از AD FS استفاده میشود.
Rights Management Services
آخرین سرویس از سرویسهای active directory است. این سرویس با نام اختصاری RMS تا قبل از ویندوز سرور 2008 شناخته میشد که امروزه AD RMS نام دارد. اصلیترین وظیفه این سرویس محافظت از تمامی فایلهای موجود در شبکه است.
به تعبیری دیگر با استفاده از این سرویس میتوان سیاستهایی بر روی استفاده هر نوع فایلی مانند ویدئو، تصویر، متن و… اعمال کرد تا از کپی، پرینت و تکثیر میان افراد غیرمجاز جلوگیری شود. AD RMS با دو سرویس دیگر برای افزایش امنیت هر نوع فایل باینری بهصورت یکپارچه همکاری میکند.
کاربردهای اکتیو دایرکتوری
برای درک بهتر کاربردهای سرویس اکتیو دایرکتوری با یک مثال همراه باشید. مجموعه را در نظر بگیرید که تعداد زیادی از افراد در آن مشغول به کار هستند و بر اساس سلسلهمراتب و سیاستهای خاص آن شرکت، نیاز است تا به افراد دسترسیهای خاصی داده شود. در این زمان سرویس اول یعنی AD DS کاربرد دارد. در حقیقت با این سرویس میتوان بهسادگی دسترسیهای افراد به فایلها، اطلاعات، اسناد و… را مدیریت کرد.
حال مجموعه نیاز دارد تا برنامهای مانند برنامههای اتوماسیون، بر روی شبکه اجرا کند (درواقع این نوع نرمافزار نیاز به دسترسی اطلاعات موجود در شبکه دارد). راهحلهای متنوعی برای حل این مشکل میتوان پیشنهاد داد اما هرکدام ممکن است اسناد و در کل امنیت شرکت را به خطر بیندازد. در این مواقع میتوان از سرویس AD LDS برای اجرای تعداد زیادی نرمافزار که نیاز به دسترسی به اطلاعات اکتیو دایرکتوری را دارند، استفاده کرد.
حال بعد از گذشت زمان، این شرکت بزرگتر شده و نیاز دارد تا با شرکتها و مجموعههای دیگر تعامل داشته باشد. تنها کافی است با اجرای سرویس AD FS رابطه خود را بهراحتی گسترش دهد. یعنی اگر نیاز باشد تا افراد از مجموعههای مختلف به اطلاعات و اسناد یکدیگر دسترسی داشته باشند، این سرویس کار آنها را راحتتر خواهد کرد.
برای اطمینان از عملکرد درست AD FS نیاز است تا اطلاعاتی مشترکا استفاده میشوند، تحت سیاستهای دو مجموعه باشد. برای مثال یک سند اجازه تکثر و کپی ندارد و یا برخی اشخاص خاص میتوانند به این فایلها دسترسی پیدا کرده و آنها را کپی کنند. در این صورت از سرویس AD RMS استفاده میشود.
تمامی این پروسه نیازمند حفظ امنیت اسناد تبادل شده است. یعنی اگر دو یا چند مجموعه با یکدیگر در رابطه هستند و یا به دلیل برخی مشکلات (مانند همین بیماری کرونا) برخی کارمندان از خانه کارهای خود را مدیریت میکنند، اسنادی که جابهجا میشوند باید تایید شود که دستکاری نشدهاند. این امر بر عهده سرویس AD CS است.
برای مطالعه بیشتر مقاله امنیت شبکه چیست را پیشنهاد می کنیم.
مزایای استفاده از اکتیو دایرکتوری
سرویس اکتیو دایرکتوری مایکروسافت امکانات و دسترسیهای فراوانی را به کاربران خود ارائه میدهد که بدون این مزایا نمیتوان مدیریت افراد و کارمندان را باتوجهبه سیاستهای مجموعه انجام داد. برای مثال اگر فردی بخواهد رمز دسترسی خود را تغییر دهد باید تمامی اطلاعات کاربران دیگر آپدیت و بروز شود که خود زمان، هزینه و تخصص زیادی را میطلبد. علاوهبرآن استفاده از سرویسهای Active Directory مزایای دیگر نیز دارد که به شرح زیر است:
- با این سرویس امنیت اسناد و اطلاعات مجموعه شما تضمین میشود که در نتیجه کیفیت کار کارکنان نیز بالاتر میرود.
- دسترسیهای افراد بر اساس خط و مشی و سیاستهای شرکتها و سازمانها بهسادگی مدیریت میشود. در صورت نیاز به بروز رسانی اطلاعات مربوط به دسترسی، با چند عمل ساده و در چند ثانیه و بدون نیاز به تخصص و صرف هزینه و زمان میتوان این کار را با AD DS انجام داد.
- شرکتهای در ارتباط با یکدیگر میتوانند اسناد و فایلهای خود را زیر نظر سیاستهای تعیین شده به اشتراک بگذارند. حتی با سرویس AD FS امکان دورکاری (مانند امروز به دلیل شیوع ویروس کرونا) وجود دارد.
- مدیریت فایلها و در کنار ارسال و دریافت اسناد با امنیت بالا از دیگر مزیتهای سرویس اکتیو دایرکتوری است که با AD CS فراهم میشود.
- فایلهایی که قوانین مربوط به کپیرایت دارند یا نیاز است به یک فایل محدودیتهایی مانند دانلود، تکثیر، اشتراکگذاری و… را اعمال کنید، Rights Management Services بهترین گزینه است.
نحوه نصب اکتیو دایرکتوری روی کامپیوتر
اگر قصد دارید تا سرویسهای اکتیو دایرکتوری را بر روی کامپیوتر شخصی خود (PC) نصب و راهاندازی کنید ابتدا بر حسب ورژن ویندوز سیستم خود یکی از فایلهای زیر را دانلود کنید:
- Remote Server Administrator Tools For Windows 10
- Remote Server Administrator Tools For Windows 8-x86
- Remote Server Administrator Tools For Windows 8-x64
- Remote Server Administrator Tools For Windows 8.1-x86
- Remote Server Administrator Tools For Windows 8.1-x64
بعد از اتمام دانلود، نرمافزار را بهصورت کامل نصب کنید. سپس نیاز است تا مسیر زیر را مرحله به مرحله دنبال کنید تا نصب AD و ابزارهای آن صورت گیرد.
- بر روی گزینه start و control panel کلیک کنید.
- وارد قسمت Programs و Programs and Features شوید.
- در این قسمت نیاز است تا روی قسمت Turn Windows features on or off در سمت چپ و بالای صفحه باز شده کلیک کنید.
- کمی پایینتر روی دکمه Remote Server Administration Tools کلیک کنید تا زیر مجموعههای آن نمایش داده شود.
- دوباره روی دکمه Role Administration Tools برای نمایش زیر مجموعههای آن کلیک کنید.
- در این قسمت دکمه AD DS and AD LDS Tools یافته و برای نمایش جزئیات روی آن کلیک کنید.
- مطمئن شوید که تیک گزینه AD DS Tools فعال باشد.
- بعد از انجام این مراحل باید گزینه Administrative Tools برای شما در قسمت start فعال شده باشد. با واردشدن به این قسمت تمامی ابزارهای AD برای شما ظاهر خواهد شد.
- اگر نتوانستید Administrative Tools را پیدا کنید کافی است تا آن را در قسمت start جستجو کنید.
نحوه نصب و راهاندازی اکتیو دایرکتوری بر روی سرور (2022)
توضیحات نصب در تیتر قبلی مربوط به نصب AD و ابزارهای آن بر روی کامپیوتر شخصی بود. اما در اصل سرویس اکتیو دایرکتوری بهمنظور نصب و راهاندازی بر روی شبکه و ویندوز سرور طراحی و توسعه داده شده است. ازاینرو برای شرکتها و مجموعههای بزرگ که کارمندان و کارکنان خود را در قالب یک سرور مدیریت میکنند و تحتنظر دارند، نیاز است تا AD و سرویسهای زیرمجموعه بر روی سرور و سیستمعامل ویندوز سرور نصب شود.
نصب و راهاندازی AD روی ویندوز سرور ساده است و پیچیدگی خاصی ندارد. به همین منظور با تماشای ویدئو زیر و دنبالکردن صحیح تمامی مراحل اکتیو دایرکتوری بر روی سرور و شبکه شما نصب خواهد شد.
نرم افزار مدیریت اکتیو دایرکتوری
نرم افزارهای زیادی برای مدیریت اکتیو دایرکتوری وجود دارند. این نرم افزارها در واقع ابزارها و خدماتی را ارائه می کنند که با استفاده از آن ها، مدیریت گزینه های مختلف اکتیو دایرکتوری راحت تر خواهد شد.
در ادامه به 5 تا از نرم افزارهای رایگان برای مدیریت اکتیو دایرکتوری اشاره کرده ایم:
- SolarWinds
- ManageEngine
- Spiceworks
- PRTG
- CJWDEV
سوالات رایج در مورد اکتیو دایرکتوری
در ادامه ی این بخش می خواهیم به بخشی از مهم ترین سوالاتی که در مورد اکتیو دایرکتوری وجود دارد پاسخ بدهیم. با ما همراه باشید.
برای کدام یک از نسخه های سرور، اکتیو دایرکتوری در دسترس است؟
در ابتدا اکتیو دایرکتوری برای ویندوزهای 2000 منتشر شد. نسخههای بعدی آن عملکردهای گسترده و مدیریت بهبود یافته تری داشتند.
فرق میان اکتیو دایرکتوری و LDAP چیست؟
اکتیو دایرکتوری (AD) یک نوع سرویس دایرکتوری است که توسط ماکروسافت منتشر شد. اما LDAP نوعی پروتکل استاندارد برای دسترسی به سرویس های دایرکتوری از جمله اکتیودایرکتوری ماکروسافت است.
اکتیو دایرکتوری FOREST چیست؟
از لحاظ منطقی، اکتیو دایرکتوری به دامنه ها، Trees( درخت ها) و Forests( جنگل ها) تقسیم شده است. کاربران و کامپیوترها در دسته بندی دامنه ها قرار می گیرند. اشیاء(آبجکت ها) در یک دیتابیس ذخیره می شوند( که قادر به تکثیر و تکرار هستند).
دامنه ها توسط ساختار نام DNS خود مشخص می شوند.
درخت یا همان tree نیز مجموعه ای یک یا چند دامنه است.
جنگل یا همان forest نیز مجموعه ای از چند درخت است که یک کاتالوگ جهانی مشترک، الگوی دایرکتوری، ساختار منطقی و پیکربندی دایرکتوری را به اشتراک می گذارند.
در واقع Forest ها مشخص کننده ی مرزهای امنیتی هستند که معلوم می سازند کدام یک از کاربران، کامپیوترها، گروه ها و اشیاء دیگر در دسترس می باشند.
چگونه Domain Controller خود را تشخیص دهیم؟
مراحل زیر را دنبال کنید:
از منوی استارت ویندوز، گزینه command را اجرا کنید.
در کادری که برایتان باز می شود، cmd را تایپ کنید.
Nslookup را تایپ کنید و سپس دکمه ENTER را فشار دهید.
Set type=all را تایپ کنید و دوباره دکمه ENTER را فشار دهید.
این را جمله را تایپ کنید:
_ldap._tcp.dc._msdcs.Domain_Name
جایی که بخش Domain Name، نام دامنه ی شما باشد. سپس کلید ENTER را فشار دهید.
جمعبندی
هر برنامه و نرمافزاری برای خلق و متولد شدن باید جای خالی آن در جامعه احساس شود. در سال 1999 بعد از ویندوز 2000 سرویس اکتیو دایرکتوری و زیر مجموعههای آن (که شامل 5 زیرمجموعه است و در ابتدای مقاله همه این 5 مورد بررسی شده) وارد دنیای مدیریت شبکه و کاربران سرورها شد.
زمانی که نیاز بود شرکتها در قالب یک پرتکل امن و مبتنی بر سیاستهای یکدیگر با هم تعامل داشته باشند و اطلاعات و اسناد خود را در اختیار هم قرار دهند؛ یا بر اساس سلسلهمراتب خاص سازمانها، دسترسیهای کارکنان نیاز بود تا مدیریت و محدود شود؛ و یا در مواردی باید حقوق مادی و معنوی فایلهای یک مجموعه حراست شود، جای خالی سرویسهای AD بهشدت احساس میشد.
در این مقاله سعی کردیم تا به مفهوم کلی و کاربرد انواع سرویسهای اکتیو دایرکتوری بپردازیم و نحوه نصب و راهاندازی آن بر روی کامپیوتر شخصی یا سرور را آموزش دهیم. در نهایت باید بگوییم که داشتن دانش کافی نسبت به اکتیو دایرکتوری می تواند شما را نسبت به دانش شبکه ها آگاه تر بسازد. اکتیو دایرکتوری به شما کمک می کند که نظارت بهتر و بیشتری بر روی شبکه داشته باشید. امید است این مقاله به اندازی کافی برای شما عزیزان مفید بوده باشد.
اصطلاحات استفاده شده در مقاله
- AD : مخفف active directory
- RFC : پیشنویس تایید شده توسط سازمان IETF که اطلاعات یک نرمافزار یا تکنولوژی در آن توضیح داده میشود.
- IETF : مخفف Internet Engineering Task Force که سازمانی برای تنظیم استاندارهای انواع سرویسها است.
- Hash : تابعی است که ورودی (اعداد و حروف) را به خروجی رمزنگاری شده با طولی ثابت تبدیل میکند.
- public key : کلید عمومی. این کلید برای بازکردن اسناد رمزنگاری شده و تبدیل آن به سند اصلی استفاده میشود و در اختیار تمامی کاربران خود قرار دارد.
- private key : کلید خصوصی. این کلید برای بازکردن اسناد رمزنگاری شده و تبدیل آن به سند اصلی استفاده میشود و برای هر شخص منحصربهفرد است.
- Windows server : ویندوز سرور نسخهای دیگر از سیستم عمل قدرتمند ویندوز است که برای اجرا روی سرورها طراحی شده است.
- Copyright : حق تکثیر. قانونی بر اساس پیمان برن برای حمایت از داراییهای ادبی، هنری، چاپ شده یا نشده و… است.