Active Directory چیست و چگونه عمل می‌کند؟

Active Directory (AD) یک سرویس دایرکتوری اختصاصی از مایکروسافت است که بر روی سیستم‌عامل ویندوز اجرا می‌شود. این سرویس به مدیران این امکان را می‌دهد که مجوزها و دسترسی‌ها به منابع شبکه را به راحتی مدیریت کنند. در این مقاله به بررسی اصول و عملکرد Active Directory پرداخته و نحوه ذخیره سازی و مدیریت اطلاعات در آن را مورد بررسی قرار می‌دهیم.

Active Directory اطلاعات را به عنوان اشیاء (objects) ذخیره می‌کند. این اشیاء می‌توانند انواع مختلفی داشته باشند، از جمله کاربران، گروه‌ها، برنامه‌ها، و دستگاه‌ها مانند چاپگرها.

دسته‌بندی اشیاء

Active Directory اشیاء دایرکتوری را بر اساس نام و ویژگی‌های آن‌ها دسته‌بندی می‌کند. به عنوان مثال، نام یک کاربر ممکن است شامل رشته نام باشد همراه با اطلاعات مرتبط با کاربر مانند کلمات عبور و کلیدهای Secure Shell.

سرویس اصلی Active Directory (AD DS)

سرویس اصلی در اکتیو دایرکتوری، سرویس دامنه‌ای (AD DS) است. این سرویس اطلاعات دایرکتوری را ذخیره می‌کند و با تعامل کاربر با دامنه در ارتباط است. AD DS دسترسی را هنگام ورود کاربر به یک دستگاه یا تلاش برای اتصال به سرور از طریق شبکه تأیید می‌کند. این سرویس همچنین کنترل می‌کند کدام کاربران دسترسی به هر منبع دارند و سیاست‌های گروهی را مدیریت می‌کند.

سازماندهی Active Directory

Active Directory به سازماندهی مناسبی از اشیاء و دسترسی‌ها به آن‌ها اجازه می‌دهد. به عنوان مثال، مدیران می‌توانند گروه‌های کاربری را تعریف کنند و به هر گروه دسترسی‌های مشخصی را اختصاص دهند.

تأثیر Active Directory در سیستم‌های مایکروسافت

محصولات دیگر مایکروسافت و سیستم‌عامل‌های ویندوز، مانند سرور تبادل (Exchange Server) و سرور SharePoint (SharePoint Server)، بر AD DS تکیه می‌کنند تا دسترسی به منابع را فراهم کنند. سروری که AD DS را میزبانی می‌کند، به عنوان کنترل کننده دامنه (Domain Controller) شناخته می‌شود.

سرویس‌های فرعی Active Directory

چندین سرویس مختلف در تشکیل دایرکتوری Active Directory دخیل هستند. این سرویس‌ها شامل سرویس دایرکتوری سبک (Lightweight Directory Services یا AD LDS)، پروتکل دسترسی به دایرکتوری سبک (Lightweight Directory Access Protocol یا LDAP)، سرویس‌های گواهی‌نامه (Certificate Services یا AD CS)، سرویس‌های اتحادیه‌ای (Federation Services یا AD FS) و سرویس‌های مدیریت حقوق (Rights Management Services یا AD RMS) می‌شوند. هر یک از این سرویس‌ها دسترسی به منابع را کنترل می‌کنند و قابلیت‌های مدیریت دایرکتوری را گسترش می‌دهند.

سرویس دایرکتوری سبک (Lightweight Directory Services)

سرویس دایرکتوری سبک (Lightweight Directory Services) دارای همان کدپایه (codebase) سرویس دامنه‌ای (AD DS) است و قابلیت‌های مشابهی را ارائه می‌دهد. با این حال، AD LDS می‌تواند در چندین نمونه روی یک سرور اجرا شود و اطلاعات دایرکتوری را در یک محل ذخیره داده با استفاده از پروتکل دسترسی به دایرکتوری سبک (Lightweight Directory Access Protocol) نگهداری کند.

پروتکل دسترسی به دایرکتوری سبک (LDAP)

پروتکل دسترسی به دایرکتوری سبک (LDAP) یک پروتکل برنامه‌ای است که برای دسترسی و نگهداری خدمات دایرکتوری از طریق شبکه استفاده می‌شود. LDAP اشیاءی مانند نام کاربری و کلمات عبور را در خدمات دایرکتوری مانند Active Directory ذخیره می‌کند و این اطلاعات اشیاء را در سراسر شبکه به اشتراک می‌گذارد.

سرویس‌های گواهی‌نامه (Certificate Services)

سرویس‌های گواهی‌نامه (Certificate Services) گواهی‌نامه‌ها را تولید، مدیریت و به اشتراک می‌گذارند. یک گواهی‌نامه از رمزنگاری استفاده می‌کند تا یک کاربر را قادر به تبادل اطلاعات از طریق اینترنت با امنیت از کلید عمومی کند.

سرویس‌های مدیریت حقوق (Rights Management Services)

سرویس‌های مدیریت حقوق (Rights Management Services)، حقوق اطلاعات و مدیریت آن‌ها را کنترل می‌کنند. سرویس AD RMS محتوا را، مانند ایمیل یا اسناد Microsoft Word، بر روی یک سرور رمزنگاری می‌کند تا دسترسی به آن محدود شود.

ویژگی‌های اصلی در سرویس‌های دامنه Active Directory

در دنیای فناوری اطلاعات، سرویس‌های دامنه Active Directory از اهمیت بسیاری برخوردارند. این سرویس‌ها، به تأمین هماهنگی و مدیریت عناصر شبکه در یک سازمان کمک می‌کنند. در این مقاله، ما به بررسی ویژگی‌های اصلی این سرویس‌ها می‌پردازیم.

1. دامنه‌ها (Domains)

• دامنه‌ها کوچک‌ترین لایه‌های اصلی ساختار Active Directory هستند.
• در این دامنه‌ها، اشیاء مختلف مانند کاربران و دستگاه‌ها قرار دارند.
• هر دامنه از یک پایگاه داده مشترک برای مدیریت عناصر استفاده می‌کند.

2. درخت‌ها (Trees)

• یک درخت شامل یک یا چند دامنه است که با فضای نام متوالی یکپارچه برای جمع‌آوری مجموعه‌ای از دامنه‌ها را در یک سلسله‌مراتبی منطقی گروه‌بندی می‌کند.
• ساختار درختی از فضای نام متوالی استفاده می‌کند تا دامنه‌ها را در یک سلسله‌مراتبی منطقی جمع‌آوری کند.

3. جنگل‌ها (Forests)

• یک جنگل یک گروه از چندین درخت است.
• جنگل‌ها شامل کاتالوگ‌های مشترک، طرح‌های دایرکتوری، اطلاعات برنامه و پیکربندی دامنه‌ها هستند.
• جنگل‌ها مرزهای امنیتی را فراهم می‌کنند و دامنه‌ها – که از یک پایگاه داده مشترک استفاده می‌کنند – می‌توانند برای تنظیمات مانند تأیید هویت و رمزنگاری مدیریت شوند.

4. واحدهای سازمانی (OUs)

• واحدهای سازمانی کاربران، گروه‌ها و دستگاه‌ها را سازماندهی می‌کنند.
• هر دامنه می‌تواند شامل واحدهای سازمانی خود باشد.
• اما واحدهای سازمانی قادر به داشتن فضای نام جداگانه نیستند.

5. مخازن (Containers)

• مخازن به واحدهای سازمانی (OUs) شبیه هستند.
• اما اشیاء سیاست گروهی (Group Policy Objects یا GPOs) نمی‌توانند به اشیاء مخازن اعمال یا مرتبط شوند.

اصطلاحات مرتبط با اعتماد (Trusting Terminology)

1. اعتماد یک‌طرفه (One-Way Trust)

وقتی یک دامنه به کاربران در دامنه دیگر دسترسی مجوز می‌دهد ولی دامنه دوم اجازه دسترسی به کاربران در دامنه اول را نمی‌دهد.

2. اعتماد دو‌طرفه (Two-Way Trust)

وقتی دو دامنه وجود دارند و هر دامنه به کاربران دامنه دیگر دسترسی مجوز می‌دهد.

3. دامنه معتبر (Trusted Domain)

یک دامنه انفرادی که به کاربران دامنه دیگر دسترسی مجوز می‌دهد و به آن دامنه که معتبر می‌شود، دامنه معتمد گفته می‌شود.

4. اعتماد گذرا (Transitive Trust)

اعتمادی که می‌تواند به فراتر از دو دامنه گسترش یابد و دسترسی به دامنه‌های معتبر دیگر در یک جنگل را ممکن کند.

5. اعتماد ناگذرا (Intransitive Trust)

یک اعتماد یک‌طرفه که تنها به دو دامنه محدود می‌شود.

6. اعتماد صریح (Explicit Trust)

یک اعتماد یک‌طرفه و ناگذرا که توسط یک مدیر شبکه ایجاد می‌شود.

7. اعتماد متقاطع (Cross-Link Trust)

نوعی از اعتماد صریح که بین دامنه‌ها در همان درخت یا بین درخت‌های مختلف اتفاق می‌افتد.

8. اعتماد جنگلی (Forest Trust)

اعتمادی که برای دامنه‌ها در کل جنگل اعمال می‌شود و می‌تواند یک‌طرفه، دو‌طرفه یا گذرا باشد.

9. اتصال مختصر (Shortcut)

اتصال دو دامنه که به درخت‌های جداگانه تعلق دارند را به هم متصل می‌کند.

10. حوزه (Realm)

یک اعتماد که ممکن است گذرا، ناگذرا، یک‌طرفه یا دو‌طرفه باشد.

11. اعتماد خارجی (External Trust)

اتصال دامنه‌ها در دو جنگل جداگانه یا دامنه‌هایی که در دامنه‌های Active Directory نیستند را برقرار می‌کند.

تاریخچه و توسعه اکتیو دایرکتوری مایکروسافت

اکتیو دایرکتوری مایکروسافت، به عنوان یکی از ابزارهای اصلی در مدیریت هویت و دسترسی در سیستم‌های ویندوز، تاریخچه و توسعه متنوعی را تجربه کرده است. در این مقاله، به تحلیل تاریخچه و توسعه اکتیو دایرکتوری مایکروسافت خواهیم پرداخت. از اولین ارائه تا به تغییرات اخیر، این مقاله به شما تصویری کامل از تکامل این فناوری می‌دهد.

تاریخچه اولین نسخه

مایکروسافت اولین بار اکتیو دایرکتوری را در سال 1999 به صورت پیش‌نمایشی معرفی کرد. این مرحله نخست به نمایانگر اهمیت بزرگی بود که مایکروسافت برای اکتیو دایرکتوری قائل بود.

ویندوز 2000 سرور

یک سال بعد، در سال 2000، مایکروسافت اکتیو دایرکتوری را به همراه ویندوز 2000 سرور عرضه کرد. این ارتقاء بزرگ به اکتیو دایرکتوری توانست بسیاری از ویژگی‌های جدید را به این سیستم اضافه کند و نقش آن را در مدیریت هویت و دسترسی تقویت کند.

ویندوز سرور 2003

ویندوز سرور 2003 با وارد کردن به‌روزرسانی‌های مهمی برای اکتیو دایرکتوری ظاهر شد. این به‌روزرسانی شامل امکان افزودن جنگل‌ها و امکان ویرایش و تغییر موقعیت دامنه‌ها در جنگل‌ها بود. این تغییرات به دامنه‌ها امکان می‌داد تا به بهترین شکل از ویژگی‌های جدیدتر اکتیو دایرکتوری که در ویندوز سرور 2003 معرفی شده بود، بهره‌برند.

ویندوز سرور 2008

در ویندوز سرور 2008، مایکروسافت Active Directory Federation Services (AD FS) را معرفی کرد. همچنین، مایکروسافت نام فهرست مدیریت دامنه را به عنوان “Active Directory Domain Services” (AD DS) تغییر داد و اکتیو دایرکتوری را به یک اصطلاح چتر برای خدمات مبتنی بر دایرکتوری تبدیل کرد. این تغییرات نشان‌دهنده توسعه‌ی مفهومی اکتیو دایرکتوری بود.

ویندوز سرور 2016

ویندوز سرور 2016 به منظور بهبود امنیت اکتیو دایرکتوری و انتقال محیط‌های اکتیو دایرکتوری به محیط‌های ابری یا ترکیبی ابری به‌روزرسانی شد. یکی از به‌روزرسانی‌های امنیتی این نسخه اضافه شدن Private Access Management (PAM) به اکتیو دایرکتوری بود.

مدیریت دسترسی خصوصی (PAM)

سیستم مدیریت دسترسی خصوصی (PAM) ویژگی مهمی است که به مدیران اجازه می‌دهد دسترسی به یک شیء را نظارت کنند. این نظارت شامل نوع دسترسی مجوز داده شده و اقداماتی که کاربر انجام داده است، می‌شود. PAM جنگل‌های دفاعی (Bastion AD Forests) را اضافه کرده تا یک محیط امن و منزوی اضافی برای مدیریت دسترسی فراهم کند. این تغییرات امنیتی مهمی به اکتیو دایرکتوری افزود.

Azure AD Connect

در دسامبر 2016، مایکروسافت Azure AD Connect را منتشر کرد. این ابزار به سیستم اکتیو دایرکتوری داخلی با Azure Active Directory (Azure AD) متصل می‌شود تا Single Sign-On (SSO) را برای سرویس‌های ابری مایکروسافت، از جمله Office 365، فعال کند. این تغییرات اهمیت بسیاری در ادغام اکتیو دایرکتوری با خدمات ابری نشان می‌دهند.

ویندوز سرور 2012، ویندوز سرور 2016 و ویندوز سرور 2019

در نسخه‌های جدید ویندوز سرور مانند ویندوز سرور 2012، ویندوز سرور 2016 و ویندوز سرور 2019 نیز به بهبود و افزایش کارایی اکتیو دایرکتوری پرداخته شده است. این نسخه‌ها به مدیران ابزارهای قدرتمندتری برای مدیریت هویت و دسترسی ارائه داده‌اند.

دامنه‌ها و گروه‌های کاری

در مفهوم مدیریت شبکه ویندوز، دامنه‌ها و گروه‌های کاری (Workgroup) دو مفهوم مهم هستند. دامنه‌ها به عنوان واحدهای سازماندهی شده در اکتیو دایرکتوری عمل می‌کنند، در حالی که گروه‌های کاری ماشین‌های ویندوزی را به یکدیگر وصل می‌کنند.

تفاوت دامنه‌ها و گروه‌های کاری

1. اختصارات بزرگتر: دامنه‌ها، برخلاف گروه‌های کاری، می‌توانند میزبان کامپیوترهایی از شبکه‌های محلی مختلف باشند.
2. تعداد بیشتر کامپیوترها: دامنه‌ها می‌توانند شامل هزاران رایانه باشند، برخلاف گروه‌های کاری که معمولاً دارای حد بالایی نزدیک به 20 هستند.
3. وجود سرور: در دامنه‌ها، حداقل هر سرور یک رایانه است که برای کنترل مجوزها و ویژگی‌های امنیتی برای هر رایانه در دامنه استفاده می‌شود. در گروه‌های کاری، سرور وجود ندارد و کامپیوترها همتا هستند.
4. نیاز به شناسه‌های امنیتی: کاربران دامنه معمولاً برخلاف گروه‌های کاری، به شناسه‌های امنیتی مانند لاگین و رمز عبور نیاز دارند.

رقبای اصلی اکتیو دایرکتوری

علاوه بر اکتیو دایرکتوری مایکروسافت، در بازار سرویس‌های دایرکتوری دیگری نیز وجود دارند که قابلیت‌های مشابهی ارائه می‌دهند. رقبای اصلی اکتیو دایرکتوری شامل سرور دایرکتوری Red Hat، دایرکتوری Apache و OpenLDAP هستند.

سرور دایرکتوری Red Hat

سرور دایرکتوری Red Hat به مدیران امکان مدیریت دسترسی کاربر به سیستم‌های مختلف در محیط‌های Unix را می‌دهد. این سرور از شناسایی کاربر با استفاده از شناسه کاربری و احراز هویت مبتنی بر گواهی‌نامه برای محدود کردن دسترسی به داده‌ها استفاده می‌کند.

دایرکتوری Apache

دایرکتوری Apache یک پروژه متن‌باز است که بر روی پلتفرم جاوا اجرا می‌شود و بر روی هر سرور LDAP عمل می‌کند. این دایرکتوری افزونه‌های اکلیپس (Eclipse) را نیز پشتیبانی می‌کند و می‌تواند بر روی سیستم‌های Windows، macOS و Linux اجرا شود.

OpenLDAP

OpenLDAP یک دایرکتوری LDAP متن‌باز برای ویندوز است. این دایرکتوری به کاربران امکان می‌دهد تا در یک سرور LDAP اشیاء را مرور، جستجو و ویرایش کنند. ویژگی‌های OpenLDAP شامل کپی، انتقال و حذف درخت‌ها در دایرکتوری، همچنین پشتیبانی از مرور طرح، مدیریت رمزعبور و پشتیبانی از LDAP SSL (لایه‌ امنیتی Sockets) است.

یکی از خدمات شرکت تکران ارائه راهکارهای سازمانی در سطحی بین‌المللی است.