domain controller چیست؟ | مزایا + معایب + کارکرد
احراز هویت یکی از عملکردهای ضروری یک شبکه کامپیوتری است. با وجود انواع حملات و تهاجمهای بزرگ و کوچکی که روزانه شبکهها را هدف قرار میدهند، اطمینان از اینکه فقط کاربران مجاز به سیستم دسترسی دارند، بسیار حیاتی است. بهعنوان یک ارائهدهنده خدمات مدیریتشده (MSP)، احراز هویت یک عنصر کلیدی برای تضمین امنیت دادههای مشتریان است و انتظار میرود با نقش مهم دامین کنترلر در حفظ این امنیت به طور کامل آشنا باشید. دامین کنترلر domain controller چیست و چه مزیتهایی دارد؟ همراه ما باشید تا با این مفهوم آشنا شویم.
دامین کنترلر domain controller چیست؟
دامنه مجموعهای از حسابها، سیستمها، برنامهها، پروتکلها، سیستمهای پایگاه داده و هر سرویس دیگری است که همگی بر اساس مجموعهای از قوانین مشترک کنترل و به عنوان مدل دامنه شناخته میشوند. اکثر دامنهها یک دفتر فیزیکی دارند که برای کاربران داخل دامنه یک محیط امن و قابل اعتماد ایجاد میکند. از طرفی همین محیط برای کاربران بیرون دامنه غیرقابل اعتماد است.
دامین کنترلر را میتوان حافظه دیجیتال و دروازه احراز هویت کاربران در دامنههای مختلف در نظر گرفت. سروری که مدیریت درخواستهای امنیت شبکه و احراز هویت کاربران را بهعهده دارد و تأیید میکند کاربر اجازه دسترسی به منابع دامنه را دارد یا خیر.
یک مفهوم مهم در بحث دامین کنترلر، اکتیو دایرکتوری مایکروسافت است که به صورت سلسله مراتبی اطلاعات کاربر، دادههای حیاتی تجاری و دستگاههای IT فعال در شبکه را سازماندهی و از آنها محافظت میکند.

اکتیو دایرکتوری (Active Directory) چیست؟
قبل از آنکه وارد بحث اصلی شویم و ببینیم domain controller چیست، بیایید نگاهی به تعریف اکتیو دایرکتوری یا AD بیندازیم.
اکتیو دایرکتوری پایگاه دادهای است که اطلاعات مربوط به کاربران و دستگاههای شبکه را در خود نگه میدارد. چیزی شبیه یک دفترچه گزارش که حاوی اطلاعات حیاتی شبکه از جمله حسابهای کاربری، گروهها، مخاطبین و دادههای رایانهها است.
دامین کنترلر سروری است که اکتیو دایرکتوری را اجرا میکند. در واقع اکتیو دایرکتوری عملیات دامین کنترلر را تسهیل میکند تا بتواند فرایندهای احراز هویت، اعتبارسنجی و دسترسی به منابع درون شبکه را اجرا کند.
هر اکتیو دایرکتوری سه بخش دارد: دامنه، درختها و جنگلها.
- دامنه به گروهی از کاربران، رایانهها و سایر اشیاء مرتبط اطلاق میشود و بخشی از شبکه است که در آن میتوان همه اشیاء را با هم مدیریت کرد.
- درخت جایی است که دامنههای متعدد با هم ترکیب میشوند.
- جنگل مجموعهای از درختها (یا گروههایی از دامنهها) است که یک منطقه امنیتی محدود تشکیل میدهند.
برای آشنایی بیشتر مقاله اکتیو دایرکتوری چیست را مطالعه کنید.

تفاوت اکتیو دایرکتوری و دامین کنترلر
به طور کلی، اکتیودایرکتوری وظیفه تایید هویت کاربران را بر عهده دارد؛ در حالی که دامین کنترلر میزان دسترسی کاربران را مدیریت میکند. برای مثال، وقتی میخواهید وارد شبکه سازمانی خود شوید، ابتدا اکتیو دایرکتوری با دریافت نام کاربری و رمز عبور، هویت شما را تایید میکند و سپس دامین کنترلر با توجه به تنظیمات قبلی، میزان دسترسی شما به منابع و ایجاد تغییرات یا همان Authorization را تایید میکند. مهمترین تفاوتهای این دو را میتوانید در جدول زیر مشاهده کنید:
ویژگی | اکتیو دایرکتوری | دامین کنترلر |
---|---|---|
تعریف | به تیمهای فناوری اطلاعات اجازه میدهد تا هویت و دسترسی ایمن به منابع در شبکه را مدیریت کنند. | به درخواستهای احراز هویت کاربر پاسخ داده و به میزبان اجازه میدهد تا به منابع مختلف شبکه دسترسی داشته باشد. |
وظیفه اصلی | تایید هویت کاربران (مثلا با بررسی نام کاربری و رمز عبور) | اعطا و مدیریت مجوزهای دسترسی (مثلا اینکه کدام کاربر از چه منابعی میتواند استفاده کند) |
عملکرد | هدف اصلی آن ذخیره سیستماتیک اطلاعات مربوط به همه منابع و کاربران است. | تایید میزان دسترسی کاربر به منابع است. |
ذخیره اطلاعات | اطلاعات مربوط به حسابهای کاربری، مانند نام، رمز عبور و دادههای مدیریتی | اطلاعات مربوط به تاسیس و مدیریت اکتیو دایرکتوری |
SID | ایجاد و مدیریت SID برای کاربران | تایید و بررسی SID برای دسترسی |
برای مطالعه بیشتر مقاله پروتکل LDAP چیست و چه اهمیتی دارد؟ را از دست ندهید.
کنترل کننده دامنه چگونه کار می کند؟
هر شرکت و سازمان در حالت ایدهآل چندین دامین کنترلر دارد که هر یک از آنها یک کپی از اکتیو دایرکتوری را در خود نگه میداردند. تمام اعتبارنامههای ورود کاربران شبکه در بخش اکتیو دایرکتوری دامین کنترلرها ذخیره و نگهداری میشود. میتوان گفت CD از AD بهعنوان پایگاه داده و مرجعی برای ذخیره اطلاعات ورود کاربران استفاده میکند.
بنابراین، زمانی که کاربران وارد دامنه خود میشوند، DC با بررسی نام کاربری و رمز عبور آنها، اعتبارشان را تایید یا رد میکند. سپس به کاربر اجازه دسترسی میدهد یا درخواست او را رد میکند. بنابراین میتوان گفت مهمترین عملکرد دامین کنترلر، حفظ امنیت شبکه و هویت کاربر کمک است. همزمان سیاستهای امنیتی را در دامنههای Active Directory اعمال میکند.
مزیتهای domain controller چیست؟
برای درک بهتر کارکرد دامین کنترلر، آن را درست مثل یک دروازه بان در نظر بگیرید که با استفاده از اکتیو دایرکتوری، احراز هویت کاربر، اعتبارسنجی، احراز حقوق و پروتکلهای امنیتی را در دامنه مدیریت میکند. اگر مشتاقید بدانید مزیتهای مزیتهای domain controller چیست، این بخش را تا انتها مطالعه کنید.
۱. احراز هویت و اعتبارسنجی
زمانی که کاربران تلاش میکنند وارد سیستم شوند، دامین کنترلر مسئولیت احراز هویت و دسترسی کاربران را به عهده میگیرد. هویت کاربر معمولا با اطلاعات حساب او مثل نام کاربری و رمز عبور منحصربهفرد تأیید یا رد میشود؛ بر این اساس، ورود کاربر به سیستم با موفقیت انجام شده یا از ورود او به سیستم جلوگیری خواهد شد.
۲. تنظیم مجوزها و دسترسی کاربران
به کمک دامین کنترلر، سازماندهی سلسله مراتبی کاربران آسانتر از قبل میشود. مدیر شبکه میتواند بلافاصله پس از خروج یک کارمند از سازمان، حسابهای کاربری او را غیرفعال کند یا دسترسی USB را بر اساس مجوزهای کاربر و حقوق دسترسی او محدود کند. در واقع دامین کنترلر بر اساس همین حقوق دسترسی، ابتدا تعیین میکند کاربر اجازه دسترسی به منابع را دارد یا نه سپس حقوق کاربر و آنچه که باید بتواند در شبکه ببیند یا به آن دسترسی داشته باشد را تعریف میکند.
۳. اشتراکگذاری منابع
دامین کنترلر منابع را بهگونهای در سراسر شبکه به اشتراک میگذارد که تمام دستگاهها به یک مرکز متصل باشند. میتوان برای ورود به سیستم معیارها و امتیازات خاصی تنظیم کرد و فقط به رایانهها یا دستگاههای مجاز اجازه ورود داد. با این کار هزینه خرید تجهیزات شبکه مثل چاپگرها، رایانهها و موارد دیگر کاهش مییابد.
۴. مدیریت متمرکز شبکه
مدیران شبکه بهخوبی میدانند که مدیریت و پیکربندی دستگاهها به صورت جداگانه چقدر زمانبر است. یکی از مزیتهای دامین کنترلر این است که تا حد زیادی زمان و هزینه تنظیم پارامترهای ورود به سیستم و امنیت دستگاهها را کم میکند. علاوه بر این به محض افزودن چاپگر جدید به دامنه، نصب خودکار آن را به عهده میگیرد. به این ترتیب مدیر شبکه میتواند تمام دستگاههای چاپ را به صورت مرکزی مدیریت کند.
مهمترین معایب domain controller چیست؟

برخی از نقصهای مهم دامین کنترلر عبارتاند از:
- دامین کنترلرها ساختارهای پیچیدهای دارند که درک آن میتواند برای کاربران دشوار باشد.
- راه اندازی یک کنترلر دامنه در شبکه نیازمند برنامهریزی درست و اصولی است.
- نگهداری دامین کنترلر به نظارت و مدیریت منظم نیاز دارد تا اطمینان حاصل شود که سیاستهای امنیتی و امتیازات اداری کاملا بهروز هستند.
- دامین کنترلر به کرات مورد هدف حملات سایبری قرار میگیرد و ممکن است به راحتی هک شود.
مقاله حملات DOS و DDoS چیست را پیشنهاد می کنیم.
چه زمانی به دامین کنترلر نیاز داریم؟
به عنوان یک ارائهدهنده خدمات مدیریت شده، یکی از نقشهای کلیدی شما اجرا و مدیریت شبکهای از کاربران است. با توجه به مزیتهایی که در بخشهای قبل اشاره کردیم، بهنظرتان چه زمانی نیاز به دامین کنترلر بیشتر از همیشه احساس میشود؟
- زمانی که حجم کار اداری زیاد است و نیاز دارید آن را به نحوی کمتر کنید.
- زمانی که میخواهید به تنظیمات شبکه و حقوق دسترسی کاربران تسلط کامل داشته باشید.
- زمانی که نیاز دارید دادههای کاربران شبکه در امنیت کامل باشد.
- زمانی که به یک پایگاه داده متمرکز حاوی اطلاعات اعتبار کاربران شبکه نیاز داشته باشید.
- زمانی که امکانات همکاری بیشتری در دامنه بخواهید.
اهمیت نصب دامین کنترلر چیست؟
نصب دامین کنترلر میتواند به شکل قابل توجهی امنیت، مدیریت و دسترسی کاربران به منابع شبکه را تامین کند. DC به مدیران شبکه اجازه میدهد که تمام منابع و کاربران را تحت یک مدیریت مرکزی درآورند که این فرآیند باعث افزایش امنیت شبکه شده و از دسترسیهای غیرمجاز جلوگیری میکند.
دامین کنترلر به شما امکان خواهد داد که دسترسیهای هر فرد یا گروه را به طور اختصاصی تعیین کنید که باعث میشود دسترسیها بر اساس نیازهای واقعی کاربران اعطا شود و از عمومی شدن منابع و اسناد خصوصی یا محرمانه پیشگیری گردد. همچنین به مدیران اجازه میدهد تا ابزارها و تجهیزاتی مانند چاپگرها و برنامهها را به راحتی با تیم خود به اشتراک بگذارند و به شکل بهینهتری از منابع استفاده کنند. اهمیت دیگر استفاده از DC این است که امکان پشتیبانگیری از اطلاعات و تنظیمات شبکه را سادهتر میکند و بازیابی این اطلاعات در صورت بروز مشکل آسانتر خواهد بود.
انواع دامین کنترلرها کداماند؟

اکنون که شناخت خوبی از مفهوم دامین کنترلرها به دست آوردیم، بیایید ببینیم انواع domain controller چیست و چه نام دارند.
دامین کنترلرها به دو دسته خواندنی (Read) و خواندنی-نوشتنی (Read-Write) تقسیم میشوند:
- فقط خواندنی: کنترلر دامنه فقط خواندنی (DC) شامل یک کپی از پایگاه داده DSاکتیو دایرکتوری است که فقط قابلیت خواندن دارد.
- خواندنی-نوشتنی: این کنترلر، دامنه پایگاه داده DS اکتیو دایرکتوری را با قابلیت خواندن و نوشتن ارائه میکند.
انواع دامین کنترلر عبارتاند از:
۱. کنترل کننده دامنه یا دامین کنترلر (DC)
کنترل کننده دامنه (DC) همان چیزی است که تا اینجا در این مقاله معرفی کردیم. همانطور که گفتیم، این دستگاه میتواند به درخواستهای احراز هویت ایمن رایانههای متصل به دامنه شبکه پاسخ دهد.
۲. سرور کاتالوگ جهانی (Global Catalog Server)
یک دامین کنترلر در سرویس اکتیو دایرکتوری که اطلاعات کامل دامنه را در خود نگه میدارد و به یک سرور کاتالوگ جهانی احتیاج دارد تا آیتمهای مختلف را در تمام دامنههای درون جنگل (شبکه سرور) جستجو کند.
۳. Operations Master
زمانی که در یک دامنه اکتیو دایرکتوری به یک دامین کنترلر یک یا چند مسئولیت خاص اختصاص داده میشود، به آن Master Operations گفته میشود که با پیادهسازی یک مکانیسم قفلگذاری، تضمین میکند هرگونه بهروزرسانی و تغییر در سراسر شبکه اعمال میشود.
تفاوت Domain joining و domain controller چیست؟
بسیاری این دو عبارت را با هم اشتباه میگیرند، با فرض اینکه هر دو به مفهوم مشابهی اشاره میکنند. در حالی که تفاوتهایی بین آنها وجود دارد:
- Domain Joining یک ویژگی است که به کمک آن کارمندان میتوانند با استفاده از اطلاعات معتبر لاگین از یک موقعیت مکانی دور (بهصورت ریموت) وارد دامنه کاری شرکت شوند.
- Domain Controller تعیین میکند کاربران واجد شرایط پیوستن به دامنه اکتیو دایرکتوری هستند یا خیر. در واقع اعتبار آنان را از محل اکتیو دایرکتوری تأیید میکند.
معنی دامین کنترلر اصلی (Primary Domain Controller) چیست؟
به شرکتهایی که از اکتیو دایرکتوری استفاده میکنند، توصیه میشود از حداقل دو دامین کنترلر استفاده کنند تا اگر تحت شرایطی یکی از آنها از کار افتاد، اختلالی در روند کار شرکت بهوجود نیاید. بهتر است دامین کنترلرها در موقعیتهای مکانی مختلف قرار گیرند.
پیشتر یکی از این دو دامین کنترلر به عنوان دامنه اصلی (شماره یک) و دومی بهعنوان دامین کنترلر پشتیبان (شماره دو) در نظر گرفته میشد. با گذشت زمان شرکت مایرکوسافت این ایده را تغییر داد و مفهوم دامین کنترلر اصلی و پشتیبان از سال ۲۰۰۸ به بعد دیگر وجود ندارد.
امروز با همه دامین کنترلرهای شرکت یکطور رفتار میشود و هرکسی میتواند برای هر کاری از هر یک از آنها استفاده کند.
برای مطالعه بیشتر مقاله بهترین نرم افزارهای امنیت شبکه را کلیک کنید.

نحوه تنظیم یک کنترلر دامنه
برای تنظیمات دامین کنترلر دو روش وجود دارد. PowerShell و Server Manager. در این بخش اصول راهاندازی Server Manager را بررسی میکنیم.
- در Server Manager، روی گزینه «Manage» و بعد «Add Roles and Features» کلیک کنید تا Wizard Add Gons آغاز به کار کند.
- در صفحه «Before you begin» روی Next کلیک کنید.
- در صفحه «Select Installation Type» یکی از دو گزینه «Role-based installation» یا «feature-based installation» را انتخاب کرده و بعد روی گزینه Next کلیک کنید.
- در صفحه Select Sever Server، روی گزینه «Select a server from the server pool» و نام سروری که میخواهید AD DS را نصب کنید، کلیک کرده و Next را بزنید. برای انتخاب سرورهای راه دور ابتدا باید یک استخر سرور بسازی و بعد سرورهای راه دور را به آن اضافه کنید.
- در صفحه «Select Server Roles»، روی «Active Directory Domain Services» کلیک کنید، سپس در کادر گفتگوی «Add Roles and Features Wizard»، روی گزینه «Add Features» کلیک کرده و Next را بزنید.
- در صفحه «Select features page» ویژگیهای دلخواه که درنظر دارید نصب کنید را انتخاب کرده روی گزینه Next کلیک کنید.
- در صفحه «Active Directory Domain Services»، یک مرتبه اطلاعات را مرور کرده و سپس روی Next کلیک کنید.
- در صفحه تأیید، روی گزینه «Install» کلیک نمایید.
- در صفحه نتایج «Results»، موفقیت نصب دامین کنترلر را تایید کرده و برای شروع کار «Active Directory Domain Services Configuration Wizard»، روی گزینه «Promote this server to a domain controller» کلیک نمایید.
در ادامه بسته به سناریو، محیط و تعداد دامین کنترلرهای قبلی جنگل، مراحل مختلفی برای نصب دامین کنترلرهای Active Directory وجود دارد.
چند نکته برای استقرار دامین کنترلر
با گذر زمان روشهای مختلفی برای استقرار دامین کنترلرها معرفی شدند که با روشهای قبلی تفاوتهای چشمگیری داشتند. در واقع میتوان گفت همزمان با پیشرفت تکنولوژی، این شیوهها تغییر یافته و بهتر از قبل شدند. در ادامه نکاتی برای استقرار بهتر دامین کنترلرها را با هم مرور میکنیم.
- گزینه نصب سرور Core را برای Windows Server اجرا کنید. با این کار سطح حملات بطرز قابل توجهی کاهش مییابد.
- نرم افزار، برنامهها یا سایر خدمات را روی دامین کنترلر اجرا نکنید. همینکه با افزودن نقش AD DS، دامین کنترلر جدید را پیکربندی کنید کافیست. نیازی به نصب چیز دیگری نیست.
- در صورت استفاده از سرورهای فیزیکی، تمام دامین کنترلرهای خود استاندارد کنید. به این ترتیب DCS شما همیشه بهروز میماند و اگر از DIMMS مشابه بهعنوان درایوهای SSD استفاده میکنید، میتوانید قطعات یدکی اضافه داشته باشید، بیآنکه نگران سازگاری SSD با دامین کنترلر خود باشید.
- اگر میخواهید دامین کنترلر خود را از شبکه فیزیکی جدا کرده و از انعطافپذیری و محافظت بیشتری در زیرساختهای Active Directory خود بهرهمند شوید، میتوانید مجازیسازی آنها را در نظر بگیرد.
مطالعه مقاله سیر تا پیاز حملات SQL injection را از دست ندهید.
کلام آخر
در این مقاله کوشیدیم با مفهوم دامین کنترلر آشنا شویم، ببینیم مهمتریت مزیتهای domain controller چیست و چطور و چه زمانی میتوان از آن استفاده کرد.
در پایان توصیه میکنیم برای تضمین امنیت شبکه و نمایش انطباق، مدیریت و ممیزی حقوق دسترسی از ابزارهای نظارتی استفاده کنید تا ضمن درک دسترسیهای پرخطر و مقابله با آنها، اثر تهدیدات داخلی را به حداقل برسانید، ببینید کدام کاربران به کدام بخشها دسترسی دارند و با تهیه صورتحسابهای سریع و دقیق، آماده ساخت گزارشهای حسابرسی باشید.
اگر این مطلب برای شما عزیزان مفید بود یا تجربهای در رابطه با دامین کنترلرها دارید، مشتاق شنیدن نظراتتان در بخش دیدگاهها هستیم.
کنترلکننده دامنه وظیفه تأیید هویت کاربران و کنترل دسترسی به منابع شبکه را دارد. همچنین، میتواند سیاستهای گروه (Group Policies) را مدیریت کند.
زمانی که کاربر سعی میکند به شبکه وارد شود، کنترلکننده دامنه اطلاعات کاربر را بررسی کرده و در صورت صحت، دسترسی را فراهم میکند.
از جمله پروتکلهای مهم میتوان به LDAP (Lightweight Directory Access Protocol) و Kerberos اشاره کرد.
برای کسبوکارهای کوچک ممکن است ضروری نباشد، اما میتواند به بهبود امنیت و مدیریت شبکه کمک کند.
دیدگاهتان را بنویسید