domain controller چیست؟ | مزایا + معایب + کارکرد

احراز هویت یکی از عملکردهای ضروری یک شبکه کامپیوتری است. با وجود انواع حملات و تهاجم‌های بزرگ و کوچکی که روزانه شبکه‌ها را هدف قرار می‌دهند، اطمینان از اینکه فقط کاربران مجاز به سیستم دسترسی دارند، بسیار حیاتی است. به‌عنوان یک ارائه‌دهنده خدمات مدیریت‌شده (MSP)، احراز هویت یک عنصر کلیدی برای تضمین امنیت داده‌های مشتریان است و انتظار می‌رود با نقش مهم دامین کنترلر در حفظ این امنیت به طور کامل آشنا باشید. دامین کنترلر domain controller چیست و چه مزیت‌هایی دارد؟ همراه ما باشید تا با این مفهوم آشنا شویم.

دامین کنترلر domain controller چیست؟

دامنه مجموعه‌ای از حساب‌ها، سیستم‌ها، برنامه‌ها، پروتکل‌ها، سیستم‌های پایگاه داده و هر سرویس دیگری است که همگی بر اساس مجموعه‌ای از قوانین مشترک کنترل و به عنوان مدل دامنه شناخته می‌شوند. اکثر دامنه‌ها یک دفتر فیزیکی دارند که برای کاربران داخل دامنه یک محیط امن و قابل اعتماد ایجاد می‌کند. از طرفی همین محیط برای کاربران بیرون دامنه غیرقابل اعتماد است.

دامین کنترلر را می‌توان حافظه دیجیتال و دروازه احراز هویت کاربران در دامنه‌های مختلف در نظر گرفت. سروری که مدیریت درخواست‌های امنیت شبکه و احراز هویت کاربران را به‌عهده دارد و تأیید می‌کند کاربر اجازه دسترسی به منابع دامنه را دارد یا خیر.

یک مفهوم مهم در بحث دامین کنترلر، اکتیو دایرکتوری مایکروسافت است که به صورت سلسله مراتبی اطلاعات کاربر، داده‌های حیاتی تجاری و دستگاه‌های IT فعال در شبکه را سازماندهی و از آن‌ها محافظت می‌کند.

اکتیو دایرکتوری (Active Directory) چیست؟

قبل از آنکه وارد بحث اصلی شویم و ببینیم domain controller چیست، بیایید نگاهی به تعریف اکتیو دایرکتوری یا AD بیندازیم.

اکتیو دایرکتوری پایگاه داده‌ای است که اطلاعات مربوط به کاربران و دستگاه‌های شبکه را در خود نگه می‌دارد. چیزی شبیه یک دفترچه گزارش که حاوی اطلاعات حیاتی شبکه از جمله حساب‌های کاربری، گروه‌ها، مخاطبین و داده‌های رایانه‌ها است.

دامین کنترلر سروری است که اکتیو دایرکتوری را اجرا می‌کند. در واقع اکتیو دایرکتوری  عملیات دامین کنترلر را تسهیل می‌کند تا بتواند فرایندهای احراز هویت، اعتبارسنجی و دسترسی به منابع درون شبکه را اجرا کند.

هر اکتیو دایرکتوری سه بخش دارد: دامنه، درخت‌ها و جنگل‌ها.

• دامنه به گروهی از کاربران، رایانه‌ها و سایر اشیاء مرتبط اطلاق می‌شود و بخشی از شبکه است که در آن می‌توان همه اشیاء را با هم مدیریت کرد.
• درخت جایی است که دامنه‌های متعدد با هم ترکیب می‌شوند.
• جنگل مجموعه‌ای از درخت‌ها (یا گروه‌هایی از دامنه‌ها) است که یک منطقه امنیتی محدود تشکیل می‌دهند.

برای آشنایی بیشتر مقاله اکتیو دایرکتوری چیست را مطالعه کنید.

کنترل کننده دامنه چگونه کار می کند؟

هر شرکت و سازمان در حالت ایده‌آل چندین دامین کنترلر دارد که هر یک از آنها یک کپی از اکتیو دایرکتوری را در خود نگه می‌داردند. تمام اعتبارنامه‌های ورود کاربران شبکه در بخش اکتیو دایرکتوری دامین کنترلرها ذخیره و نگهداری می‌شود. می‌توان گفت CD از AD به‌عنوان پایگاه داده و مرجعی برای ذخیره اطلاعات ورود کاربران استفاده می‌کند.

بنابراین، زمانی که کاربران وارد دامنه خود می‌شوند، DC با بررسی نام کاربری و رمز عبور آنها، اعتبارشان را تایید یا رد می‌کند. سپس به کاربر اجازه دسترسی می‌دهد یا درخواست او را رد می‌کند. بنابراین می‌توان گفت مهم‌ترین عملکرد دامین کنترلر، حفظ امنیت شبکه و هویت کاربر کمک است. همزمان سیاست‌های امنیتی را در دامنه‌های Active Directory اعمال می‌کند.

مزیت‌های domain controller چیست؟

برای درک بهتر کارکرد دامین کنترلر، آن را درست مثل یک دروازه‌بان در نظر بگیرید که با استفاده از اکتیو دایرکتوری، احراز هویت کاربر، اعتبارسنجی، احراز حقوق و پروتکل‌های امنیتی را در دامنه مدیریت می‌کند. اگر مشتاقید بدانید مزیت‌های مزیت‌های domain controller چیست، این بخش را تا انتها مطالعه کنید.

۱. احراز هویت و اعتبارسنجی

زمانی که کاربران تلاش می‌کنند وارد سیستم شوند، دامین کنترلر مسئولیت احراز هویت و دسترسی کاربران را به عهده می‌گیرد. هویت کاربر معمولا با اطلاعات حساب او مثل نام کاربری و رمز عبور منحصربه‌فرد تأیید یا رد می‌شود؛ بر این اساس، ورود کاربر به سیستم با موفقیت انجام شده یا از ورود او به سیستم جلوگیری خواهد شد.

۲. تنظیم مجوزها و دسترسی کاربران

به کمک دامین کنترلر، سازماندهی سلسله مراتبی کاربران آسان‌تر از قبل می‌شود. مدیر شبکه می‌تواند بلافاصله پس از خروج یک کارمند از سازمان، حساب‌های کاربری او را غیرفعال کند یا دسترسی USB را بر اساس مجوزهای کاربر و حقوق دسترسی او محدود کند. در واقع دامین کنترلر بر اساس همین حقوق دسترسی، ابتدا تعیین می‌کند کاربر اجازه دسترسی به منابع را دارد یا نه سپس حقوق کاربر و آنچه که باید بتواند در شبکه ببیند یا به آن دسترسی داشته باشد را تعریف می‌کند.

۳. اشتراک‌گذاری منابع

دامین کنترلر منابع را به‌گونه‌ای در سراسر شبکه به اشتراک می‌گذارد که تمام دستگاه‌ها به یک مرکز متصل باشند. می‌توان برای ورود به سیستم معیارها و امتیازات خاصی تنظیم کرد و فقط به رایانه‌ها یا دستگاه‌های مجاز اجازه ورود داد. با این کار هزینه خرید تجهیزات شبکه مثل چاپگرها، رایانه‌ها و موارد دیگر کاهش می‌یابد.

۴. مدیریت متمرکز شبکه

مدیران شبکه به‌خوبی می‌دانند که مدیریت و پیکربندی دستگاه‌ها به صورت جداگانه چقدر زمان‌بر است. یکی از مزیت‌های دامین کنترلر این است که تا حد زیادی زمان و هزینه تنظیم پارامترهای ورود به سیستم و امنیت دستگاه‌ها را کم می‌کند. علاوه بر این به محض افزودن چاپگر جدید به دامنه، نصب خودکار آن را به عهده می‌گیرد. به این ترتیب مدیر شبکه می‌تواند تمام دستگاه‌های چاپ را به صورت مرکزی مدیریت کند.

مهم‌ترین معایب domain controller چیست؟

برخی از نقص‌های مهم دامین کنترلر عبارت‌اند از:

• دامین کنترلرها ساختارهای پیچیده‌ای دارند که درک آن می‌تواند برای کاربران دشوار باشد.
• راه اندازی یک کنترلر دامنه در شبکه نیازمند برنامه‌ریزی درست و اصولی است.
• نگهداری دامین کنترلر به نظارت و مدیریت منظم نیاز دارد تا اطمینان حاصل شود که سیاست‌های امنیتی و امتیازات اداری کاملا به‌روز هستند.
• دامین کنترلر به کرات مورد هدف حملات سایبری قرار می‌گیرد و ممکن است به راحتی هک شود.

مقاله حملات DOS و DDoS چیست را پیشنهاد می کنیم.

چه زمانی به دامین کنترلر نیاز داریم؟

به عنوان یک ارائه‌دهنده خدمات مدیریت‌شده، یکی از نقش‌های کلیدی شما اجرا و مدیریت شبکه‌ای از کاربران است. با توجه به مزیت‌هایی که در بخش‌های قبل اشاره کردیم، به‌نظرتان چه زمانی نیاز به دامین کنترلر بیشتر از همیشه احساس می‌شود؟

• زمانی که حجم کار اداری زیاد است و نیاز دارید آن را به نحوی کمتر کنید.
• زمانی که می‌خواهید به تنظیمات شبکه و حقوق دسترسی کاربران تسلط کامل داشته باشید.
• زمانی که نیاز دارید داده‌های کاربران شبکه در امنیت کامل باشد.
• زمانی که به یک پایگاه داده متمرکز حاوی اطلاعات اعتبار کاربران شبکه نیاز داشته باشید.
• زمانی که امکانات همکاری بیشتری در دامنه بخواهید.

انواع دامین کنترلرها کدام‌اند؟

اکنون که شناخت خوبی از مفهوم دامین کنترلرها به دست آوردیم، بیایید ببینیم انواع domain controller چیست و چه نام دارند.

دامین کنترلرها به دو دسته خواندنی (Read) و خواندنی-نوشتنی (Read-Write) تقسیم می‌شوند:

• فقط خواندنی: کنترلر دامنه فقط خواندنی (DC) شامل یک کپی از پایگاه داده  DSاکتیو دایرکتوری است که فقط قابلیت خواندن دارد.
• خواندنی-نوشتنی: این کنترلر، دامنه پایگاه داده DS اکتیو دایرکتوری را با قابلیت خواندن و نوشتن ارائه می‌کند.

انواع دامین کنترلر عبارت‌اند از:

۱. کنترل کننده دامنه یا دامین کنترلر (DC)

کنترل کننده دامنه (DC) همان چیزی است که تا اینجا در این مقاله معرفی کردیم. همان‌طور که گفتیم، این دستگاه می‌تواند به درخواست‌های احراز هویت ایمن رایانه‌های متصل به دامنه شبکه پاسخ دهد.

۲. سرور کاتالوگ جهانی (Global Catalog Server)

یک دامین کنترلر در سرویس اکتیو دایرکتوری که اطلاعات کامل دامنه را در خود نگه می‌دارد و به یک سرور کاتالوگ جهانی احتیاج دارد تا آیتم‌های مختلف را در تمام دامنه‌های درون جنگل (شبکه سرور) جستجو کند.

۳. Operations Master

زمانی که در یک دامنه اکتیو دایرکتوری به یک دامین کنترلر یک یا چند مسئولیت خاص اختصاص داده می‌شود، به آن Master Operations گفته می‌شود که با پیاده‌سازی یک مکانیسم قفل‌گذاری، تضمین می‌کند هرگونه به‌روزرسانی و تغییر در سراسر شبکه اعمال می‌شود.

تفاوت Domain joining و domain controller چیست؟

بسیاری این دو عبارت را با هم اشتباه می‌گیرند، با فرض اینکه هر دو به مفهوم مشابهی اشاره می‌کنند. در حالی که تفاوت‌هایی بین آن‌ها وجود دارد:

• Domain Joining یک ویژگی است که به کمک آن کارمندان می‌توانند با استفاده از اطلاعات معتبر لاگین از یک موقعیت مکانی دور (به‌صورت ریموت) وارد دامنه کاری شرکت شوند.
• Domain Controller تعیین می‌کند کاربران واجد شرایط پیوستن به دامنه اکتیو دایرکتوری هستند یا خیر. در واقع اعتبار آنان را از محل اکتیو دایرکتوری تأیید می‌کند.

معنی دامین‌ کنترلر اصلی (Primary Domain Controller) چیست؟

به شرکت‌هایی که از اکتیو دایرکتوری استفاده می‌کنند، توصیه می‌شود از حداقل دو دامین کنترلر استفاده کنند تا اگر تحت شرایطی یکی از آن‌ها از کار افتاد، اختلالی در روند کار شرکت به‌وجود نیاید. بهتر است دامین کنترلرها در موقعیت‌های مکانی مختلف قرار گیرند.

پیشتر یکی از این دو دامین کنترلر به عنوان دامنه اصلی (شماره یک) و دومی به‌عنوان دامین کنترلر پشتیبان (شماره دو) در نظر گرفته می‌شد. با گذشت زمان شرکت مایرکوسافت این ایده را تغییر داد و مفهوم دامین کنترلر اصلی و پشتیبان از سال ۲۰۰۸ به بعد دیگر وجود ندارد. 

امروز با همه دامین کنترلرهای شرکت یک‌طور رفتار می‌شود و هرکسی می‌تواند برای هر کاری از هر یک از آن‌ها استفاده کند.

برای مطالعه بیشتر مقاله بهترین نرم افزارهای امنیت شبکه را کلیک کنید.

نحوه تنظیم یک کنترلر دامنه

برای تنظیمات دامین کنترلر دو روش وجود دارد. PowerShell و Server Manager. در این بخش اصول راه‌اندازی Server Manager را بررسی می‌کنیم.

• در Server Manager، روی گزینه «Manage» و بعد «Add Roles and Features» کلیک کنید تا Wizard Add Gons آغاز به کار کند.
• در صفحه «Before you begin» روی Next کلیک کنید.
• در صفحه «Select Installation Type» یکی  از دو گزینه «Role-based installation» یا «feature-based installation» را انتخاب کرده و بعد روی گزینه Next کلیک کنید.
• در صفحه Select Sever Server، روی گزینه «Select a server from the server pool» و نام سروری که می‌خواهید AD DS را نصب کنید، کلیک کرده و Next را بزنید. برای انتخاب سرورهای راه دور ابتدا باید یک استخر سرور بسازی و بعد سرورهای راه دور را به آن اضافه کنید.
• در صفحه «Select Server Roles»، روی «Active Directory Domain Services» کلیک کنید، سپس در کادر گفتگوی «Add Roles and Features Wizard»، روی گزینه «Add Features» کلیک کرده و Next را بزنید.
• در صفحه «Select features page» ویژگی‌های دل‌خواه که درنظر دارید نصب کنید را انتخاب کرده روی گزینه Next کلیک کنید.
• در صفحه «Active Directory Domain Services»، یک مرتبه اطلاعات را مرور کرده و سپس روی Next کلیک کنید.
• در صفحه تأیید، روی گزینه «Install» کلیک نمایید.
• در صفحه نتایج «Results»، موفقیت نصب دامین کنترلر را تایید کرده و برای شروع  کار «Active Directory Domain Services Configuration Wizard»، روی گزینه «Promote this server to a domain controller» کلیک نمایید.

در ادامه بسته به سناریو، محیط و تعداد دامین کنترلرهای قبلی جنگل، مراحل مختلفی برای نصب دامین کنترلرهای Active Directory وجود دارد.

چند نکته برای استقرار دامین کنترلر

با گذر زمان روش‌های مختلفی برای استقرار دامین کنترلرها معرفی شدند که با روش‌های قبلی تفاوت‌های چشمگیری داشتند. در واقع می‌توان گفت هم‌زمان با پیشرفت تکنولوژی، این شیوه‌ها تغییر یافته و بهتر از قبل شدند. در ادامه نکاتی برای استقرار بهتر دامین کنترلرها را با هم مرور می‌کنیم.

• گزینه نصب سرور Core را برای Windows Server اجرا کنید. با این کار سطح حملات بطرز قابل توجهی کاهش می‌یابد.
• نرم افزار‌، برنامه‌ها یا سایر خدمات را روی دامین کنترلر اجرا نکنید. همینکه با افزودن نقش AD DS، دامین کنترلر جدید را پیکربندی کنید کافی‌ست. نیازی به نصب چیز دیگری نیست.
• در صورت استفاده از سرورهای فیزیکی، تمام دامین کنترلرهای خود استاندارد کنید. به این ترتیب DCS شما همیشه به‌روز می‌ماند و اگر از DIMMS مشابه به‌عنوان درایو‌های SSD استفاده می‌کنید، می‌توانید قطعات یدکی اضافه داشته باشید، بی‌آنکه نگران سازگاری SSD با دامین کنترلر خود باشید.
• اگر می‌خواهید دامین کنترلر خود را از شبکه فیزیکی جدا کرده و از انعطاف‌پذیری و محافظت بیشتری در زیرساخت‌های Active Directory خود بهره‌مند شوید، می‌توانید مجازی‌سازی آنها را در نظر بگیرد.

کلام آخر

در این مقاله کوشیدیم با مفهوم دامین کنترلر آشنا شویم، ببینیم مهم‌تریت مزیت‌های domain controller چیست و چطور و چه زمانی می‌توان از آن استفاده کرد.

در پایان توصیه می‌کنیم برای تضمین امنیت شبکه و نمایش انطباق، مدیریت و ممیزی حقوق دسترسی از ابزارهای نظارتی استفاده کنید تا ضمن درک دسترسی‌های پرخطر و مقابله با آن‌ها، اثر تهدیدات داخلی را به حداقل برسانید، ببینید کدام کاربران به کدام بخش‌ها دسترسی دارند و با تهیه صورت‌حساب‌های سریع و دقیق، آماده ساخت گزارش‌های حسابرسی باشید.

اگر این مطلب برای شما عزیزان مفید بود یا تجربه‌ای در رابطه با دامین کنترلرها دارید، مشتاق شنیدن نظرات‌تان در بخش دیدگاه‌ها هستیم.