آموزش اکتیو دایرکتوری

آنچه در این صفحه می خوانید:

معرفی اکتیو دایرکتوری (Active Directory)

Active Directory یک سرویس دایرکتوری است که توسط مایکروسافت برای شبکه های دامنه ویندوز ایجاد شده است. این برنامه در اکثر سیستم عامل های ویندوز سرور به عنوان مجموعه ای از فرآیندها و خدمات گنجانده شده است. در ابتدا، Active Directory فقط مسئولیت مدیریت متمرکز دامنه را بر عهده داشت. با این حال، با شروع ویندوز سرور 2008، Active Directory به عنوان یک چتر برای طیف گسترده ای از خدمات مرتبط با هویت دایرکتوری تبدیل شد.

سروری که سرویس دامنه Active Directory را اجرا می کند کنترلر دامنه نامیده می شود. این برنامه به کاربران و رایانه های موجود در یک شبکه از نوع دامنه ویندوز، تعیین خط مشی های امنیتی برای همه رایانه ها و نصب یا به روز رسانی نرم افزار تأیید می کند. به عنوان مثال، وقتی کاربر وارد رایانه ای می شود که بخشی از دامنه ویندوز است، اکتیو دایرکتوری رمز عبور ارائه شده را بررسی می کند و تعیین می کند که کاربر مدیر سیستم است یا کاربر عادی. همچنین، این امکان را به مدیریت و ذخیره اطلاعات می دهد، مکانیزم های تأیید اعتبار و مجوز را فراهم می کند و فریمورکی را برای استقرار سایر خدمات مرتبط ایجاد می کند.

Active Directory یک فناوری مایکروسافت است که برای مدیریت رایانه ها و سایر دستگاه ها در یک شبکه استفاده می شود. این یک ویژگی اصلی Windows Server است، یک سیستم عامل که هم سرورهای محلی و هم اینترنت را اجرا می کند. Active Directory به مدیران شبکه اجازه می دهد دامنه ها، کاربران و اشیاء را در یک شبکه ایجاد و مدیریت کنند. به عنوان مثال، یک سرپرست می تواند گروهی از کاربران ایجاد کرده و به آنها دسترسی ویژه ای به دایرکتوری های خاصی در سرور بدهد. با رشد شبکه، اکتیو دایرکتوری راهی را برای سازماندهی تعداد زیادی کاربر در گروه ها و زیر گروه های منطقی فراهم می کند، ضمن اینکه کنترل دسترسی را در هر سطح فراهم می کند.

ساختار Active Directory شامل سه طبقه اصلی است: 1) domains 2) trees 3) forests. چندین اشیاء (کاربر یا دستگاه) که همه از همان بانک اطلاعاتی استفاده می کنند ممکن است در یک دامنه واحد طبقه بندی شوند. دامنه های چندگانه را می توان در یک گروه واحد به نام درختی ترکیب کرد. چندین درخت ممکن است در مجموعه ای به نام جنگل قرار بگیرند. به هریک از این سطوح می توان حق دسترسی ویژه و امتیازات ارتباطی اختصاص داد.

Active Directory چندین سرویس مختلف ارائه می دهد، که تحت پوشش "Active Directory Domain Services" یا AD DS قرار دارند. این خدمات شامل موارد زیر است:

  • Domain Services: داده های متمرکز را ذخیره می کند و ارتباط بین کاربران و دامنه ها را مدیریت می کند. شامل احراز هویت ورود به سیستم و قابلیت جستجو است
  • Certificate Services: ایجاد، توزیع و مدیریت گواهینامه های امن
  • Lightweight Directory Services: با استفاده از پروتکل باز (LDAP) برنامه های فعال شده با فهرست را پشتیبانی می کند.
  • Directory Federation Services: برای تأیید اعتبار کاربر در چندین برنامه وب در یک نشست، تنها ورود به سیستم (SSO) را فراهم می کند.
  • Rights Management: با جلوگیری از استفاده غیر مجاز و توزیع محتوای دیجیتال، از اطلاعات دارای کپی رایت محافظت می کند.

AD DS با ویندوز سرور (از جمله ویندوز سرور 10) گنجانده شده است و برای مدیریت سیستم های مشتری طراحی شده است. در حالی که سیستم های دارای نسخه معمولی ویندوز ویژگی های اداری AD DS را ندارند، از Active Directory پشتیبانی می کنند. این بدان معنی است که هر رایانه ویندوز می تواند به یک کارگروه ویندوز متصل شود، مشروط بر اینکه کاربر دارای اعتبار ورود به سیستم صحیح باشد.


تاریخچه اکتیو دایرکتوری (Active Directory)

Active Directory مانند بسیاری از تلاش های فناوری اطلاعات، از دموکراتیک سازی طراحی با استفاده از درخواست برای نظرات یا RFC ها منشأ گرفته است. کارگروه مهندسی اینترنت (IETF)، که بر فرایند RFC نظارت دارد، تعداد زیادی RFC را که توسط شرکت کنندگان گسترده آغاز شده است، پذیرفته است. Active Directory چندین دهه از فناوری های ارتباطی را در مفهوم عمومی Active Directory در اختیار دارد و سپس بر روی آنها پیشرفت هایی ایجاد می کند. برای مثال، LDAP زیر Active Directory است. همچنین، دایرکتوری های X.500 و واحد سازمانی قبل از مفهوم Active Directory استفاده کرده اند که از این روش ها استفاده می کند. مفهوم LDAP حتی قبل از تأسیس مایکروسافت در آوریل 1975، با RFC در اوایل سال 1971 شروع به ظهور کرد.

مایکروسافت پیش نمایش Active Directory را در سال 1999، اولین بار آن را با نسخه Windows Server 2000 منتشر كرد، و آن را تجدید نظر كرد تا قابلیت های خود را بهبود ببخشد و مدیریت Windows Windows 2003 را گسترش دهد. در ویندوز سرور 2008 سرویس اضافی به Active Directory مانند خدمات فدراسیون Active Directory اضافه شد. بخشی از دایرکتوری مسئول مدیریت دامنه ها، که قبلاً بخش اصلی سیستم عامل بود، به Active Directory Domain Services تغییر نام داد و مانند سایرین به یک نقش سرور تبدیل شد. "Active Directory" عنوان چتر طیف گسترده ای از خدمات مبتنی بر دایرکتوری شد. به گفته برایون هینز، همه چیز مربوط به هویت در زیر پرچم اکتیو دایرکتوریر آورده شده است.

سرویس های اکتیو دایرکتوری (Active Directory)

سرویس های Active Directory شامل چندین سرویس است. معروف ترین خدمات دامنه Active Directory است که معمولاً به اختصار AD DS یا به اختصار AD گفته می شود.

Domain Services

Active Directory Domain Services سنگ بنای هر شبکه دامنه ویندوز است. این اطلاعات در مورد اعضای دامنه، از جمله دستگاه ها و کاربران ذخیره می کند، اعتبار آنها را تأیید می کند و حقوق دسترسی آنها را تعریف می کند. سرور این سرویس را کنترلر دامنه می نامند. وقتی کاربر وارد یک دستگاه می شود، به یک دستگاه دیگر از طریق شبکه دسترسی پیدا می کند یا با یک خط مترو به سبک مترو در یک دستگاه اجرا می شود، با یک کنترلر دامنه تماس گرفته می شود.

سایر خدمات Active Directory (به استثنای LDS) و همچنین بسیاری از فناوری های سرور مایکروسافت به خدمات دامنه تکیه می کنند یا از آنها استفاده می کنند. مثال ها شامل خط مشی گروه، رمزگذاری فایل سیستم، BitLocker، خدمات نام دامنه، خدمات دسکتاپ از راه دور، Exchange Server و SharePoint Server است.

 Lightweight Directory Services

Active Directory Lightweight Directory Services، که قبلاً با عنوان Active Directory Application Mode شناخته می شد، یک اجرای سبک وزن AD DS است. AD LDS به عنوان سرویس در ویندوز سرور اجرا می شود. AD LDS پایه کد را با AD DS به اشتراک می گذارد و عملکرد مشابهی از جمله یک API یکسان را ارائه می دهد، اما به ایجاد دامنه یا کنترل کننده دامنه احتیاج ندارد. این یک فروشگاه داده برای ذخیره اطلاعات دایرکتوری و یک سرویس دایرکتوری با یک رابط سرویس دایرکتوری LDAP فراهم می کند. اما برخلاف AD DS، چندین نمونه LDS AD می توانند روی همان سرور اجرا شوند.

Certificate Services

سرویس صدور گواهینامه اکتیو دایرکتوری (AD CS) زیرساخت اصلی کلید عمومی را در محل ایجاد می کند. این می تواند گواهینامه های کلید عمومی را برای مصارف داخلی یک سازمان ایجاد، اعتبار و ابطال کند. این گواهینامه ها می توانند برای رمزگذاری پرونده ها (در هنگام استفاده از سیستم رمزگذاری فایل)، ایمیل (با استاندارد S / MIME) و ترافیک شبکه استفاده شوند (در صورت استفاده توسط شبکه های خصوصی مجازی، پروتکل امنیت لایه انتقال یا پروتکل IPSec).

Federation Services

Federation Services اکتیو دایرکتوری (AD FS) یک سرویس ورود به سیستم واحد است. با وجود زیرساخت های AD FS، کاربران ممکن است از چندین سرویس مبتنی بر وب (به عنوان مثال فروم اینترنت، وبلاگ، خرید آنلاین، پست الکترونیکی) یا منابع شبکه با استفاده از تنها یک مجموعه ای از اعتبارات ذخیره شده در یک مکان مرکزی، استفاده کنند، برخلاف اینکه مجوز دریافت کنند. مجموعه ای از اعتبارنامه های اختصاصی برای هر سرویس. هدف AD FS یک برنامه افزودنی از AD DS است: دومی با استفاده از یک مجموعه از اعتبارنامه ها، کاربران را قادر می سازد تا با استفاده از دستگاه هایی که جزئی از همان شبکه هستند، تأیید اعتبار کنند و از آنها استفاده کنند. اولی آنها را قادر می سازد از همان اعتبارنامه در یک شبکه متفاوت استفاده کنند.

Rights Management Services

Rights Management Services اکتیو دایرکتوری (AD RMS، معروف به خدمات مدیریت حقوق یا RMS قبل از ویندوز سرور 2008) یک نرم افزار سرور برای مدیریت حقوق اطلاعات است که با ویندوز سرور ارسال می شود. این برنامه از رمزگذاری و نوعی از قابلیت عملکرد انتخابی برای محدود کردن دسترسی به اسنادی مانند نامه های الکترونیکی شرکتی، اسناد مایکروسافت ورد و صفحات وب استفاده می کند و عملیاتی که کاربران مجاز می توانند روی آنها انجام دهند.

کاربرد اکتیو دایرکتوری (Active Directory)

اکتیو دایرکتوری به شما کمک می کند تا کاربران، رایانه و سایر موارد را سازماندهی کنید. سرپرست IT شما از AD استفاده می کند تا سلسله مراتب کامل شرکت شما را که کامپیوترها در کدام شبکه قرار دارند، به تصویر نمایه شما یا به کدام یک از کاربران دسترسی به اتاق ذخیره سازی سازمان دهد.

به طور کلی، شبکه ای که از Active Directory استفاده می کند، بیش از یک رایانه سرور Windows مجاز دارد. تهیه نسخه پشتیبان و بازیابی Active Directory برای شبکه ای که دارای یک کنترل کننده دامنه واحد است امکان پذیر است، اما مایکروسافت بیش از یک کنترل کننده دامنه را توصیه می کند تا محافظت خودکار در صورت عدم موفقیت از دایرکتوری را انجام دهد. کنترل کننده های دامنه نیز فقط برای کارهای دایرکتوری ایده آل هستند و نباید هیچ نرم افزار یا نقش دیگری را اجرا کنند.

برخی از محصولات مایکروسافت مانند SQL Server و Exchange می توانند در عملکرد یک کنترل کننده دامنه اختلال ایجاد کنند و این امر مستلزم جداسازی این محصولات در سرورهای اضافی ویندوز است. ترکیب آنها می تواند پیکربندی یا عیب یابی کنترلر دامنه یا نرم افزار نصب شده دیگر را مشکل تر کند. بنابراین یک کسب و کار که قصد پیاده سازی Active Directory را دارد، به خرید تعدادی از مجوزهای سرور ویندوز، ارائه حداقل دو کنترل کننده دامنه جداگانه و اختیاری ، کنترل کننده دامنه اضافی برای عملکرد یا افزونگی، یک سرور پرونده جداگانه، یک سرور جداگانه، یک سرور جداگانه و غیره برای پشتیبانی از نقش های مختلف سرور.

هزینه های سخت افزاری فیزیکی برای بسیاری از سرورهای مجزا می تواند با استفاده از مجازی سازی کاهش یابد، اگرچه برای محافظت مناسب از عدم موفقیت، مایکروسافت توصیه می کند چندین کنترلر دامنه مجازی را بر روی همان سخت افزار فیزیکی اجرا نکنید.

نظرتون درباره این نوشته چیه؟ عالیه بد نیست خوب نبود