Active Directory چیست و چگونه عمل میکند؟
Active Directory (AD) یک سرویس دایرکتوری اختصاصی از مایکروسافت است که بر روی سیستمعامل ویندوز اجرا میشود. این سرویس به مدیران این امکان را میدهد که مجوزها و دسترسیها به منابع شبکه را به راحتی مدیریت کنند. در این مقاله به بررسی اصول و عملکرد Active Directory پرداخته و نحوه ذخیره سازی و مدیریت اطلاعات در آن را مورد بررسی قرار میدهیم.
Active Directory اطلاعات را به عنوان اشیاء (objects) ذخیره میکند. این اشیاء میتوانند انواع مختلفی داشته باشند، از جمله کاربران، گروهها، برنامهها، و دستگاهها مانند چاپگرها.
دستهبندی اشیاء
Active Directory اشیاء دایرکتوری را بر اساس نام و ویژگیهای آنها دستهبندی میکند. به عنوان مثال، نام یک کاربر ممکن است شامل رشته نام باشد همراه با اطلاعات مرتبط با کاربر مانند کلمات عبور و کلیدهای Secure Shell.
سرویس اصلی Active Directory (AD DS)
سرویس اصلی در اکتیو دایرکتوری، سرویس دامنهای (AD DS) است. این سرویس اطلاعات دایرکتوری را ذخیره میکند و با تعامل کاربر با دامنه در ارتباط است. AD DS دسترسی را هنگام ورود کاربر به یک دستگاه یا تلاش برای اتصال به سرور از طریق شبکه تأیید میکند. این سرویس همچنین کنترل میکند کدام کاربران دسترسی به هر منبع دارند و سیاستهای گروهی را مدیریت میکند.
سازماندهی Active Directory
Active Directory به سازماندهی مناسبی از اشیاء و دسترسیها به آنها اجازه میدهد. به عنوان مثال، مدیران میتوانند گروههای کاربری را تعریف کنند و به هر گروه دسترسیهای مشخصی را اختصاص دهند.
تأثیر Active Directory در سیستمهای مایکروسافت
محصولات دیگر مایکروسافت و سیستمعاملهای ویندوز، مانند سرور تبادل (Exchange Server) و سرور SharePoint (SharePoint Server)، بر AD DS تکیه میکنند تا دسترسی به منابع را فراهم کنند. سروری که AD DS را میزبانی میکند، به عنوان کنترل کننده دامنه (Domain Controller) شناخته میشود.
سرویسهای فرعی Active Directory
چندین سرویس مختلف در تشکیل دایرکتوری Active Directory دخیل هستند. این سرویسها شامل سرویس دایرکتوری سبک (Lightweight Directory Services یا AD LDS)، پروتکل دسترسی به دایرکتوری سبک (Lightweight Directory Access Protocol یا LDAP)، سرویسهای گواهینامه (Certificate Services یا AD CS)، سرویسهای اتحادیهای (Federation Services یا AD FS) و سرویسهای مدیریت حقوق (Rights Management Services یا AD RMS) میشوند. هر یک از این سرویسها دسترسی به منابع را کنترل میکنند و قابلیتهای مدیریت دایرکتوری را گسترش میدهند.
سرویس دایرکتوری سبک (Lightweight Directory Services)
سرویس دایرکتوری سبک (Lightweight Directory Services) دارای همان کدپایه (codebase) سرویس دامنهای (AD DS) است و قابلیتهای مشابهی را ارائه میدهد. با این حال، AD LDS میتواند در چندین نمونه روی یک سرور اجرا شود و اطلاعات دایرکتوری را در یک محل ذخیره داده با استفاده از پروتکل دسترسی به دایرکتوری سبک (Lightweight Directory Access Protocol) نگهداری کند.
پروتکل دسترسی به دایرکتوری سبک (LDAP)
پروتکل دسترسی به دایرکتوری سبک (LDAP) یک پروتکل برنامهای است که برای دسترسی و نگهداری خدمات دایرکتوری از طریق شبکه استفاده میشود. LDAP اشیاءی مانند نام کاربری و کلمات عبور را در خدمات دایرکتوری مانند Active Directory ذخیره میکند و این اطلاعات اشیاء را در سراسر شبکه به اشتراک میگذارد.
سرویسهای گواهینامه (Certificate Services)
سرویسهای گواهینامه (Certificate Services) گواهینامهها را تولید، مدیریت و به اشتراک میگذارند. یک گواهینامه از رمزنگاری استفاده میکند تا یک کاربر را قادر به تبادل اطلاعات از طریق اینترنت با امنیت از کلید عمومی کند.
سرویسهای مدیریت حقوق (Rights Management Services)
سرویسهای مدیریت حقوق (Rights Management Services)، حقوق اطلاعات و مدیریت آنها را کنترل میکنند. سرویس AD RMS محتوا را، مانند ایمیل یا اسناد Microsoft Word، بر روی یک سرور رمزنگاری میکند تا دسترسی به آن محدود شود.
ویژگیهای اصلی در سرویسهای دامنه Active Directory
در دنیای فناوری اطلاعات، سرویسهای دامنه Active Directory از اهمیت بسیاری برخوردارند. این سرویسها، به تأمین هماهنگی و مدیریت عناصر شبکه در یک سازمان کمک میکنند. در این مقاله، ما به بررسی ویژگیهای اصلی این سرویسها میپردازیم.
1. دامنهها (Domains)
- دامنهها کوچکترین لایههای اصلی ساختار Active Directory هستند.
- در این دامنهها، اشیاء مختلف مانند کاربران و دستگاهها قرار دارند.
- هر دامنه از یک پایگاه داده مشترک برای مدیریت عناصر استفاده میکند.
2. درختها (Trees)
- یک درخت شامل یک یا چند دامنه است که با فضای نام متوالی یکپارچه برای جمعآوری مجموعهای از دامنهها را در یک سلسلهمراتبی منطقی گروهبندی میکند.
- ساختار درختی از فضای نام متوالی استفاده میکند تا دامنهها را در یک سلسلهمراتبی منطقی جمعآوری کند.
3. جنگلها (Forests)
- یک جنگل یک گروه از چندین درخت است.
- جنگلها شامل کاتالوگهای مشترک، طرحهای دایرکتوری، اطلاعات برنامه و پیکربندی دامنهها هستند.
- جنگلها مرزهای امنیتی را فراهم میکنند و دامنهها – که از یک پایگاه داده مشترک استفاده میکنند – میتوانند برای تنظیمات مانند تأیید هویت و رمزنگاری مدیریت شوند.
4. واحدهای سازمانی (OUs)
- واحدهای سازمانی کاربران، گروهها و دستگاهها را سازماندهی میکنند.
- هر دامنه میتواند شامل واحدهای سازمانی خود باشد.
- اما واحدهای سازمانی قادر به داشتن فضای نام جداگانه نیستند.
5. مخازن (Containers)
- مخازن به واحدهای سازمانی (OUs) شبیه هستند.
- اما اشیاء سیاست گروهی (Group Policy Objects یا GPOs) نمیتوانند به اشیاء مخازن اعمال یا مرتبط شوند.
اصطلاحات مرتبط با اعتماد (Trusting Terminology)
1. اعتماد یکطرفه (One-Way Trust)
وقتی یک دامنه به کاربران در دامنه دیگر دسترسی مجوز میدهد ولی دامنه دوم اجازه دسترسی به کاربران در دامنه اول را نمیدهد.
2. اعتماد دوطرفه (Two-Way Trust)
وقتی دو دامنه وجود دارند و هر دامنه به کاربران دامنه دیگر دسترسی مجوز میدهد.
3. دامنه معتبر (Trusted Domain)
یک دامنه انفرادی که به کاربران دامنه دیگر دسترسی مجوز میدهد و به آن دامنه که معتبر میشود، دامنه معتمد گفته میشود.
4. اعتماد گذرا (Transitive Trust)
اعتمادی که میتواند به فراتر از دو دامنه گسترش یابد و دسترسی به دامنههای معتبر دیگر در یک جنگل را ممکن کند.
5. اعتماد ناگذرا (Intransitive Trust)
یک اعتماد یکطرفه که تنها به دو دامنه محدود میشود.
6. اعتماد صریح (Explicit Trust)
یک اعتماد یکطرفه و ناگذرا که توسط یک مدیر شبکه ایجاد میشود.
7. اعتماد متقاطع (Cross-Link Trust)
نوعی از اعتماد صریح که بین دامنهها در همان درخت یا بین درختهای مختلف اتفاق میافتد.
8. اعتماد جنگلی (Forest Trust)
اعتمادی که برای دامنهها در کل جنگل اعمال میشود و میتواند یکطرفه، دوطرفه یا گذرا باشد.
9. اتصال مختصر (Shortcut)
اتصال دو دامنه که به درختهای جداگانه تعلق دارند را به هم متصل میکند.
10. حوزه (Realm)
یک اعتماد که ممکن است گذرا، ناگذرا، یکطرفه یا دوطرفه باشد.
11. اعتماد خارجی (External Trust)
اتصال دامنهها در دو جنگل جداگانه یا دامنههایی که در دامنههای Active Directory نیستند را برقرار میکند.
تاریخچه و توسعه اکتیو دایرکتوری مایکروسافت
اکتیو دایرکتوری مایکروسافت، به عنوان یکی از ابزارهای اصلی در مدیریت هویت و دسترسی در سیستمهای ویندوز، تاریخچه و توسعه متنوعی را تجربه کرده است. در این مقاله، به تحلیل تاریخچه و توسعه اکتیو دایرکتوری مایکروسافت خواهیم پرداخت. از اولین ارائه تا به تغییرات اخیر، این مقاله به شما تصویری کامل از تکامل این فناوری میدهد.
تاریخچه اولین نسخه
مایکروسافت اولین بار اکتیو دایرکتوری را در سال 1999 به صورت پیشنمایشی معرفی کرد. این مرحله نخست به نمایانگر اهمیت بزرگی بود که مایکروسافت برای اکتیو دایرکتوری قائل بود.
ویندوز 2000 سرور
یک سال بعد، در سال 2000، مایکروسافت اکتیو دایرکتوری را به همراه ویندوز 2000 سرور عرضه کرد. این ارتقاء بزرگ به اکتیو دایرکتوری توانست بسیاری از ویژگیهای جدید را به این سیستم اضافه کند و نقش آن را در مدیریت هویت و دسترسی تقویت کند.
ویندوز سرور 2003
ویندوز سرور 2003 با وارد کردن بهروزرسانیهای مهمی برای اکتیو دایرکتوری ظاهر شد. این بهروزرسانی شامل امکان افزودن جنگلها و امکان ویرایش و تغییر موقعیت دامنهها در جنگلها بود. این تغییرات به دامنهها امکان میداد تا به بهترین شکل از ویژگیهای جدیدتر اکتیو دایرکتوری که در ویندوز سرور 2003 معرفی شده بود، بهرهبرند.
ویندوز سرور 2008
در ویندوز سرور 2008، مایکروسافت Active Directory Federation Services (AD FS) را معرفی کرد. همچنین، مایکروسافت نام فهرست مدیریت دامنه را به عنوان “Active Directory Domain Services” (AD DS) تغییر داد و اکتیو دایرکتوری را به یک اصطلاح چتر برای خدمات مبتنی بر دایرکتوری تبدیل کرد. این تغییرات نشاندهنده توسعهی مفهومی اکتیو دایرکتوری بود.
ویندوز سرور 2016
ویندوز سرور 2016 به منظور بهبود امنیت اکتیو دایرکتوری و انتقال محیطهای اکتیو دایرکتوری به محیطهای ابری یا ترکیبی ابری بهروزرسانی شد. یکی از بهروزرسانیهای امنیتی این نسخه اضافه شدن Private Access Management (PAM) به اکتیو دایرکتوری بود.
مدیریت دسترسی خصوصی (PAM)
سیستم مدیریت دسترسی خصوصی (PAM) ویژگی مهمی است که به مدیران اجازه میدهد دسترسی به یک شیء را نظارت کنند. این نظارت شامل نوع دسترسی مجوز داده شده و اقداماتی که کاربر انجام داده است، میشود. PAM جنگلهای دفاعی (Bastion AD Forests) را اضافه کرده تا یک محیط امن و منزوی اضافی برای مدیریت دسترسی فراهم کند. این تغییرات امنیتی مهمی به اکتیو دایرکتوری افزود.
Azure AD Connect
در دسامبر 2016، مایکروسافت Azure AD Connect را منتشر کرد. این ابزار به سیستم اکتیو دایرکتوری داخلی با Azure Active Directory (Azure AD) متصل میشود تا Single Sign-On (SSO) را برای سرویسهای ابری مایکروسافت، از جمله Office 365، فعال کند. این تغییرات اهمیت بسیاری در ادغام اکتیو دایرکتوری با خدمات ابری نشان میدهند.
ویندوز سرور 2012، ویندوز سرور 2016 و ویندوز سرور 2019
در نسخههای جدید ویندوز سرور مانند ویندوز سرور 2012، ویندوز سرور 2016 و ویندوز سرور 2019 نیز به بهبود و افزایش کارایی اکتیو دایرکتوری پرداخته شده است. این نسخهها به مدیران ابزارهای قدرتمندتری برای مدیریت هویت و دسترسی ارائه دادهاند.
دامنهها و گروههای کاری
در مفهوم مدیریت شبکه ویندوز، دامنهها و گروههای کاری (Workgroup) دو مفهوم مهم هستند. دامنهها به عنوان واحدهای سازماندهی شده در اکتیو دایرکتوری عمل میکنند، در حالی که گروههای کاری ماشینهای ویندوزی را به یکدیگر وصل میکنند.
تفاوت دامنهها و گروههای کاری
- اختصارات بزرگتر: دامنهها، برخلاف گروههای کاری، میتوانند میزبان کامپیوترهایی از شبکههای محلی مختلف باشند.
- تعداد بیشتر کامپیوترها: دامنهها میتوانند شامل هزاران رایانه باشند، برخلاف گروههای کاری که معمولاً دارای حد بالایی نزدیک به 20 هستند.
- وجود سرور: در دامنهها، حداقل هر سرور یک رایانه است که برای کنترل مجوزها و ویژگیهای امنیتی برای هر رایانه در دامنه استفاده میشود. در گروههای کاری، سرور وجود ندارد و کامپیوترها همتا هستند.
- نیاز به شناسههای امنیتی: کاربران دامنه معمولاً برخلاف گروههای کاری، به شناسههای امنیتی مانند لاگین و رمز عبور نیاز دارند.
رقبای اصلی اکتیو دایرکتوری
علاوه بر اکتیو دایرکتوری مایکروسافت، در بازار سرویسهای دایرکتوری دیگری نیز وجود دارند که قابلیتهای مشابهی ارائه میدهند. رقبای اصلی اکتیو دایرکتوری شامل سرور دایرکتوری Red Hat، دایرکتوری Apache و OpenLDAP هستند.
سرور دایرکتوری Red Hat
سرور دایرکتوری Red Hat به مدیران امکان مدیریت دسترسی کاربر به سیستمهای مختلف در محیطهای Unix را میدهد. این سرور از شناسایی کاربر با استفاده از شناسه کاربری و احراز هویت مبتنی بر گواهینامه برای محدود کردن دسترسی به دادهها استفاده میکند.
دایرکتوری Apache
دایرکتوری Apache یک پروژه متنباز است که بر روی پلتفرم جاوا اجرا میشود و بر روی هر سرور LDAP عمل میکند. این دایرکتوری افزونههای اکلیپس (Eclipse) را نیز پشتیبانی میکند و میتواند بر روی سیستمهای Windows، macOS و Linux اجرا شود.
OpenLDAP
OpenLDAP یک دایرکتوری LDAP متنباز برای ویندوز است. این دایرکتوری به کاربران امکان میدهد تا در یک سرور LDAP اشیاء را مرور، جستجو و ویرایش کنند. ویژگیهای OpenLDAP شامل کپی، انتقال و حذف درختها در دایرکتوری، همچنین پشتیبانی از مرور طرح، مدیریت رمزعبور و پشتیبانی از LDAP SSL (لایه امنیتی Sockets) است.
یکی از خدمات شرکت تکران ارائه راهکارهای سازمانی در سطحی بینالمللی است.
