اکتیو دایرکتوری چیست؟ بررسی جامع Active Directory

اکتیو دایرکتوری چیست؟

Active Directory یکی از مهم ترین سرویس های مایکروسافت برای مدیریت متمرکز کاربران، کامپیوترها و منابع در شبکه های سازمانی است. این سرویس که روی Windows Server اجرا میشود، به مدیران شبکه اجازه میدهد هویت کاربران را مدیریت کرده، سطح دسترسی آنها را کنترل کنند و امنیت کل شبکه را به شکل متمرکز تنظیم نمایند.

در یک شبکه سازمانی ممکن است صدها یا هزاران کاربر، کامپیوتر، سرور و منابع مختلف مانند پرینترها، فایل سرورها و برنامه های سازمانی وجود داشته باشد. اکتیو دایرکتوری این منابع را در قالب یک Directory Service ذخیره و سازماندهی میکند تا مدیریت آنها ساده تر و امن تر انجام شود.

هسته اصلی اکتیو دایرکتوری بر پایه مفاهیمی مانند Domain، Domain Controller، LDAP، Kerberos و Group Policy شکل گرفته است. این اجزا با هم کار میکنند تا فرآیندهای مهمی مانند احراز هویت (Authentication)، کنترل دسترسی (Authorization) و مدیریت کاربران در شبکه به صورت خودکار و متمرکز انجام شود.

تعریف ساده Active Directory

Active Directory یک دایرکتوری سرویس (Directory Service) است که اطلاعات مربوط به کاربران، کامپیوترها و سایر منابع شبکه را ذخیره و مدیریت میکند.

به زبان ساده، اکتیو دایرکتوری مانند یک دفترچه راهنمای هوشمند برای شبکه عمل میکند. در این دفترچه اطلاعاتی مانند موارد زیر ذخیره میشود:

• کاربران شبکه
• کامپیوترها و سرورها
• گروه های کاربری
• پرینترها و منابع اشتراکی
• سیاست های امنیتی

این اطلاعات در پایگاه داده ای به نام NTDS.dit روی سروری به نام Domain Controller (DC) ذخیره میشود.

وقتی یک کاربر وارد شبکه میشود، اکتیو دایرکتوری با استفاده از پروتکل Kerberos هویت او را بررسی کرده و سپس تعیین میکند که کاربر به چه منابعی دسترسی داشته باشد. همچنین برای جستجو و مدیریت اطلاعات از پروتکل LDAP استفاده میشود.

Active Directory چه کاری انجام میدهد؟

اکتیو دایرکتوری مجموعه‌ای از قابلیت های مهم مدیریتی و امنیتی را در اختیار سازمان ها قرار میدهد. مهم ترین وظایف آن شامل موارد زیر است:

1. احراز هویت کاربران (Authentication)

وقتی کاربری در شبکه لاگین میکند، اکتیو دایرکتوری با استفاده از Kerberos هویت او را بررسی میکند و مطمئن میشود که نام کاربری و رمز عبور معتبر هستند.

2. کنترل دسترسی (Authorization)

بعد از احراز هویت، اکتیو دایرکتوری مشخص میکند کاربر به چه منابعی دسترسی داشته باشد؛ مثلاً دسترسی به فایل سرور، پرینتر یا نرم افزارهای سازمانی.

3. مدیریت متمرکز کاربران و کامپیوترها

مدیر شبکه میتواند از طریق Active Directory Users and Computers کاربران، گروه ها و کامپیوترهای شبکه را مدیریت کند.

4. اجرای سیاست های امنیتی با Group Policy

با استفاده از Group Policy Object (GPO) میتوان قوانین امنیتی را برای کل شبکه اعمال کرد؛ مانند:

• تعیین پیچیدگی رمز عبور
• محدود کردن نصب نرم افزار
• تنظیمات فایروال
• کنترل دسترسی کاربران

5. فراهم کردن Single Sign-On (SSO)

کاربران با یک بار ورود به سیستم میتوانند به چندین سرویس و برنامه در شبکه دسترسی پیدا کنند.

6. مدیریت ساختار شبکه

اکتیو دایرکتوری ساختار شبکه را با مفاهیمی مانند Domain، Organizational Unit (OU)، Tree و Forest سازماندهی میکند.

چرا به اکتیو دایرکتوری نیاز داریم؟

در شبکه های کوچک ممکن است مدیریت کاربران به صورت دستی انجام شود، اما در سازمان های بزرگ این روش تقریباً غیرممکن است. اکتیو دایرکتوری برای حل این مشکل طراحی شده است.

دلایل اصلی استفاده از Active Directory عبارت اند از:

مدیریت متمرکز شبکه

به جای مدیریت جداگانه هر کامپیوتر، مدیر شبکه میتواند همه کاربران، سیستم ها و منابع را از یک نقطه کنترل کند.

افزایش امنیت شبکه

اکتیو دایرکتوری امکان اجرای سیاست های امنیتی، کنترل دسترسی و نظارت بر فعالیت کاربران را فراهم میکند.

کاهش پیچیدگی مدیریت سیستم ها

با استفاده از Domain Controller و Group Policy بسیاری از تنظیمات شبکه به صورت خودکار اعمال میشوند.

مقیاس پذیری برای سازمان های بزرگ

اکتیو دایرکتوری میتواند هزاران کاربر و دستگاه را در قالب ساختارهایی مانند Forest و Domain مدیریت کند.

یکپارچگی با سرویس های مایکروسافت

بسیاری از سرویس های سازمانی مانند Exchange Server، SharePoint، Microsoft 365 و Azure AD با اکتیو دایرکتوری یکپارچه هستند.

به همین دلیل، اکتیو دایرکتوری به عنوان یکی از مهم ترین زیرساخت های مدیریت هویت (Identity Management) در شبکه های مبتنی بر ویندوز شناخته میشود.

اکتیو دایرکتوری چگونه کار میکند؟

برای درک نحوه کار Active Directory باید سه مفهوم اصلی را بشناسیم:

Directory Service، Domain و Domain Controller.

اکتیو دایرکتوری در اصل یک سیستم متمرکز برای ذخیره اطلاعات هویتی و مدیریتی در شبکه است که با استفاده از پروتکل هایی مانند LDAP، Kerberos و DNS کار میکند. این سیستم به گونه‌ای طراحی شده که بتواند هزاران کاربر، کامپیوتر و منبع شبکه را به صورت ساختارمند مدیریت کند.

در ادامه هر کدام از اجزای کلیدی این سازوکار را بررسی میکنیم.

مفهوم Directory Service

Directory Service (سرویس دایرکتوری) سیستمی است که اطلاعات مربوط به اشیای شبکه (Objects) را ذخیره، سازماندهی و قابل جستجو میکند.

در اکتیو دایرکتوری، هر مورد در شبکه یک Object محسوب میشود، مانند:

• User (کاربر)
• Computer (کامپیوتر)
• Group (گروه)
• Printer (پرینتر)
• Shared Folder (پوشه اشتراکی)

این اشیا در یک پایگاه داده مرکزی به نام:

ذخیره میشوند.

نحوه دسترسی به اطلاعات

برای جستجو و مدیریت این اطلاعات از پروتکل LDAP (Lightweight Directory Access Protocol) استفاده میشود.

LDAP اجازه میدهد سیستم ها بتوانند اشیای موجود در دایرکتوری را پیدا کرده و ویژگی های آنها را بخوانند یا تغییر دهند.

ساختار سلسله مراتبی

Directory Service در AD به صورت Hierarchical Structure طراحی شده است، یعنی:

• Forest
  • Tree
• Domain
• OU
• Users / Computers

این ساختار باعث میشود مدیریت منابع در سازمان های بزرگ ساده و قابل مقیاس باشد.

نقش Domain در AD

Domain هسته منطقی اکتیو دایرکتوری است.

دامین مجموعه‌ای از کاربران، کامپیوترها و منابع است که:

• یک پایگاه داده مشترک دارند
• سیاست های امنیتی مشترک دارند
• تحت مدیریت واحد هستند

به عنوان مثال:

یک دامنه است که تمام کاربران سازمان در آن تعریف میشوند.

ویژگی های مهم Domain

1. مرز امنیتی (Security Boundary)

هر دامنه یک مرز امنیتی مستقل دارد.

1. مدیریت متمرکز حساب ها

کاربران فقط یک بار در دامنه تعریف میشوند و میتوانند به منابع مختلف دسترسی داشته باشند.

1. Trust Relationship

دامنه ها میتوانند با یکدیگر رابطه اعتماد برقرار کنند.

1. Domain Join

وقتی یک کامپیوتر به دامنه متصل میشود، عضوی از ساختار AD شده و تحت سیاست های آن قرار میگیرد.

ارتباط Domain با DNS

اکتیو دایرکتوری به شدت به DNS Server وابسته است.

DNS کمک میکند کلاینت ها بتوانند Domain Controller را در شبکه پیدا کنند.

نقش Domain Controller (DC)

Domain Controller (DC) مهم ترین سرور در اکتیو دایرکتوری است.

DC سروری است که:

• پایگاه داده Active Directory را نگهداری میکند
• احراز هویت کاربران را انجام میدهد
• پالیسی ها را اعمال میکند
• تغییرات را بین سایر DCها Replicate میکند

فرآیند ورود کاربر (Login Process)

وقتی یک کاربر نام کاربری و رمز عبور خود را وارد میکند:

1. درخواست به DC ارسال میشود
2. DC با استفاده از Kerberos Authentication اعتبار کاربر را بررسی میکند
3. در صورت معتبر بودن، یک Kerberos Ticket صادر میشود
4. کاربر میتواند به منابعی که مجاز است دسترسی داشته باشد

ویژگی های مهم Domain Controller

Multi-Master Replication

اگر چند DC در شبکه وجود داشته باشد، همه آنها میتوانند تغییرات را ثبت کنند و اطلاعات بین آنها همگام سازی میشود.

Global Catalog (GC)

برخی DCها نقش Global Catalog را دارند که اطلاعات خلاصه‌ای از کل Forest را نگهداری میکنند.

High Availability

وجود چند DC باعث افزایش دسترس پذیری و جلوگیری از قطع سرویس میشود.

فرآیند احراز هویت (Authentication) با Kerberos

یکی از مهم ترین ویژگی های اکتیو دایرکتوری، نحوه احراز هویت کاربران است که از طریق پروتکل Kerberos انجام میشود. Kerberos یک پروتکل احراز هویت سریع، ایمن و مبتنی بر Ticket است که امنیت شبکه های سازمانی را به طور چشمگیری افزایش میدهد.

Kerberos چگونه کار میکند؟

وقتی یک کاربر وارد سیستم (Logon) میشود، مراحل زیر طی میشود:

ارسال درخواست به Domain Controller

پس از وارد کردن نام کاربری و رمز عبور، کلاینت درخواست احراز هویت را به سرویس KDC (Kerberos Key Distribution Center) ارسال میکند. KDC بخشی از Domain Controller است.

دریافت Ticket Granting Ticket (TGT)

اگر رمز عبور صحیح باشد، KDC یک TGT صادر میکند. این Ticket مانند یک “کارت هویت دیجیتال” است و به کاربر اجازه میدهد بدون نیاز به وارد کردن دوباره رمز عبور به سرویس های مختلف دسترسی داشته باشد.

درخواست دسترسی به سرویس ها

زمانی که کاربر میخواهد به یک منبع، مثل فایل سرور، دسترسی پیدا کند، TGT را ارائه میدهد.

دریافت Service Ticket

در جواب، KDC یک Ticket مخصوص همان سرویس صادر میکند.

دسترسی به سرویس

سرویس مورد نظر Ticket را بررسی کرده و در صورت معتبر بودن، اجازه دسترسی میدهد.

مزایای استفاده از Kerberos

• ایمنی بالا (رمزگذاری قوی و جلوگیری از ارسال مستقیم رمز عبور)
• سرعت بالا در احراز هویت
• پشتیبانی از Single Sign-On (SSO)
• امنیت در برابر حملات Replay و Man-in-the-Middle

به همین دلیل Kerberos ستون اصلی امنیت در شبکه های مبتنی بر اکتیو دایرکتوری است.

نقش LDAP در اکتیو دایرکتوری

LDAP مخفف Lightweight Directory Access Protocol است و ستون فقرات عملیات جستجو و مدیریت در Active Directory محسوب میشود.

در حالی که Kerberos برای احراز هویت استفاده میشود، LDAP بیشتر برای جستجو، خواندن و تغییر اطلاعات در Directory کاربرد دارد.

LDAP چه کارهایی انجام میدهد؟

• جستجوی کاربران، گروه ها و کامپیوترها
• خواندن خصوصیات یک Object (مثل ایمیل، گروه ها، OU)
• ایجاد، حذف و ویرایش اشیای AD
• برقراری ارتباط برنامه ها و سرویس ها با Active Directory

به عبارت دیگر:

Kerberos = احراز هویت

LDAP = دسترسی و مدیریت اطلاعات

پورت های مهم LDAP

• LDAP معمولی: پورت 389
• Secure LDAP یا LDAPS: پورت 636 (رمزگذاری شده با TLS)

بسیاری از نرم افزارهای سازمانی برای اتصال به دایرکتوری از LDAP استفاده میکنند؛ از جمله:

• Mail Server ها
• نرم افزارهای مدیریت منابع انسانی
• سامانه های ITSM
• نرم افزارهای امنیتی و ضد بدافزار

ارتباط Active Directory با DNS

DNS یکی از حیاتی ترین مؤلفه های اکتیو دایرکتوری است. در واقع بدون DNS، AD تقریباً قابل استفاده نیست.

Active Directory برای یافتن سرویس ها، Domain Controller ها و مدیریت Domain به DNS وابسته است.

نقش DNS در AD چیست؟

پیدا کردن Domain Controller هنگام Logon، کلاینت باید DC را پیدا کند. این کار از طریق رکوردهای خاص DNS مثل:

انجام میشود.

کارکرد صحیح Kerberos و LDAP

Kerberos و LDAP برای برقراری ارتباط نیاز به نام گذاری صحیح (FQDN) دارند که DNS آن را فراهم میکند.

نام گذاری Domain

دامنه ها بر اساس استاندارد DNS نام گذاری میشوند:

Replication بین Domain Controller ها

DC ها برای برقراری ارتباط و همگام سازی داده ها از DNS استفاده میکنند.

نقش SRV Records

اکتیو دایرکتوری از رکوردهای خاصی به نام Service Records استفاده میکند که نوع سرویس و محل ارائه آن را مشخص میکند.

چرا DNS برای AD ضروری است؟

• اگر DNS دچار مشکل باشد، کاربران نمیتوانند Logon کنند.
• GPO اعمال نمیشود.
• کامپیوترها نمیتوانند DC را پیدا کنند.
• Replication دچار خطا میشود.

به همین دلیل است که معمولاً در زمان نصب Active Directory، سرویس DNS نیز به صورت خودکار نصب و پیکربندی میشود.

ساختار اکتیو دایرکتوری (Active Directory Structure)

اکتیو دایرکتوری برای مدیریت شبکه های بزرگ از یک ساختار سلسله مراتبی (Hierarchical Structure) استفاده میکند. این ساختار کمک میکند منابع شبکه مانند کاربران، کامپیوترها، گروه ها و سرویس ها به شکل منظم سازماندهی شوند و مدیریت آنها ساده تر شود.

ساختار Active Directory از چند لایه تشکیل شده است که مهم ترین آنها عبارت‌اند از:

• Forest
• Tree
• Domain
• Organizational Unit (OU)

در این ساختار، Forest بزرگ ترین واحد منطقی محسوب میشود و درون آن میتوان چندین Tree و Domain مختلف ایجاد کرد. این مدل باعث میشود اکتیو دایرکتوری بتواند در سازمان های بزرگ با هزاران کاربر و دستگاه به خوبی مقیاس پذیر باشد.

در ادامه اجزای اصلی این ساختار را بررسی میکنیم.

Forest چیست؟

Forest بزرگ ترین ساختار منطقی در Active Directory است و بالاترین سطح سازماندهی در این سیستم محسوب میشود.

Forest در واقع مجموعه‌ای از Domain ها و Tree های مختلف است که یک Schema مشترک، Global Catalog مشترک و Trust Relationship داخلی دارند.

به بیان ساده، Forest مانند یک جنگل بزرگ از دامین ها است که همگی تحت یک زیرساخت مشترک کار میکنند.

ویژگی های مهم Forest

1. اشتراک Schema

Schema مجموعه‌ای از قوانین و تعاریف است که مشخص میکند چه نوع Object هایی در اکتیو دایرکتوری وجود دارند و چه ویژگی هایی دارند.

2. Global Catalog (GC)

در هر Forest یک یا چند سرور وجود دارد که نقش Global Catalog را ایفا میکنند. این سرورها اطلاعات خلاصه‌ای از همه Object های موجود در Forest را نگهداری میکنند و جستجو در کل شبکه را سریع تر میکنند.

3. Trust Relationship خودکار

دامین های داخل یک Forest به صورت پیش فرض با یکدیگر Trust دوطرفه و خودکار دارند.

4. مرز مدیریت و ساختار

Forest بالاترین مرز ساختاری در AD است و معمولاً نشان دهنده کل زیرساخت هویتی یک سازمان است.

برای مثال یک سازمان بزرگ ممکن است یک Forest داشته باشد که شامل چندین Domain برای بخش های مختلف سازمان است.

Tree چیست؟

Tree مجموعه‌ای از Domain ها است که یک فضای نام (Namespace) مشترک دارند.

در یک Tree، دامین ها به صورت سلسله مراتبی به هم متصل هستند و همگی از یک نام دامنه اصلی مشتق میشوند.

برای مثال:

در این مثال:

• company.com دامنه اصلی است
• دامنه های دیگر زیرمجموعه آن هستند

این ساختار یک Domain Tree را تشکیل میدهد.

ویژگی های مهم Tree

1. Namespace مشترک

تمام دامنه های داخل یک Tree از یک ساختار نام گذاری مشترک استفاده میکنند.

2. Trust خودکار بین دامنه ها

دامنه های داخل یک Tree به صورت خودکار با یکدیگر Trust Relationship دارند.

3. سازماندهی ساختاری شبکه

Tree کمک میکند سازمان های بزرگ بتوانند بخش های مختلف خود را در قالب دامنه های جداگانه مدیریت کنند.

در واقع Tree یک سطح میانی بین Forest و Domain در ساختار اکتیو دایرکتوری است.

Domain چیست؟

Domain مهم ترین و اصلی ترین واحد مدیریتی در Active Directory است.

دامین مجموعه‌ای از کاربران، کامپیوترها، سرورها و منابع شبکه است که:

• یک پایگاه داده مشترک دارند
• تحت یک سیاست امنیتی مشترک قرار دارند
• توسط یک یا چند Domain Controller مدیریت میشوند

هر Domain دارای یک پایگاه داده اکتیو دایرکتوری است که اطلاعات اشیای شبکه را در خود نگهداری میکند.

اجزای مهم Domain

Domain Controller (DC)

سروری که پایگاه داده Active Directory را نگهداری کرده و عملیات احراز هویت کاربران را انجام میدهد.

Group Policy (GPO)

مجموعه‌ای از سیاست ها که برای مدیریت تنظیمات امنیتی و سیستمی در کل دامنه اعمال میشود.

Users و Groups

کاربران و گروه های کاربری که سطح دسترسی آنها به منابع شبکه مشخص میشود.

Computers

کامپیوترهایی که عضو دامنه هستند و تحت مدیریت اکتیو دایرکتوری قرار دارند.

مزایای استفاده از Domain

• مدیریت متمرکز کاربران و دستگاه ها
• اجرای سیاست های امنیتی در کل شبکه
• امکان احراز هویت متمرکز
• پشتیبانی از Single Sign-On (SSO)

به همین دلیل Domain به عنوان واحد اصلی مدیریت هویت و امنیت در Active Directory شناخته میشود.

OU یا Organizational Unit چیست؟

Organizational Unit (OU) یکی از مهم ترین اجزای ساختار Active Directory است که برای سازماندهی و مدیریت منطقی اشیای شبکه استفاده میشود. در واقع OU یک کانتینر درون Domain است که میتواند شامل کاربران (Users)، گروه ها (Groups)، کامپیوترها (Computers) و حتی OU های دیگر باشد.

مدیران شبکه از OU ها برای دسته بندی منابع بر اساس ساختار سازمانی استفاده میکنند. برای مثال میتوان برای هر بخش سازمان یک OU جداگانه ایجاد کرد، مانند:

• OU=IT
• OU=HR
• OU=Sales

این کار باعث میشود مدیریت کاربران و منابع بسیار ساده تر شود.

یکی از مهم ترین کاربردهای OU اعمال Group Policy (GPO) است. مدیران میتوانند سیاست های امنیتی یا تنظیمات خاص را فقط روی یک OU مشخص اعمال کنند. برای مثال ممکن است در OU مربوط به بخش مالی محدودیت های امنیتی بیشتری اعمال شود.

علاوه بر این، OU امکان Delegation of Control را فراهم میکند. یعنی مدیر اصلی شبکه میتواند مدیریت یک OU خاص را به یک مدیر دیگر واگذار کند بدون اینکه به کل Domain دسترسی بدهد.

به طور خلاصه، OU ابزاری برای سازماندهی، مدیریت و اعمال سیاست ها در سطح بخش های مختلف یک Domain است.

Schema چیست؟

Schema در Active Directory مجموعه‌ای از قوانین و تعاریف است که ساختار داده ها در AD را مشخص میکند.

به بیان ساده، Schema تعیین میکند:

• چه نوع Object هایی میتوانند در اکتیو دایرکتوری وجود داشته باشند
• هر Object چه ویژگی هایی (Attributes) دارد
• اطلاعات چگونه در پایگاه داده ذخیره شوند

برای مثال، یک Object از نوع User در Schema دارای ویژگی هایی مانند موارد زیر است:

• Name
• Email Address
• Phone Number
• Department
• Password

به همین ترتیب Object های دیگری مانند Computer، Group و Printer نیز در Schema تعریف شده‌اند.

Schema در سطح Forest تعریف میشود، یعنی تمام Domain های موجود در یک Forest از یک Schema مشترک استفاده میکنند. به همین دلیل تغییر در Schema یک عملیات حساس محسوب میشود و باید با دقت انجام شود.

گاهی اوقات نرم افزارهای سازمانی مانند Microsoft Exchange یا برخی سیستم های مدیریت هویت برای کارکرد صحیح نیاز دارند که Attribute های جدیدی به Schema اضافه شود.

بنابراین Schema نقش مهمی در ساختار داده ها و تعریف Object های موجود در اکتیو دایرکتوری دارد.

Global Catalog چیست؟

Global Catalog (GC) یکی از سرویس های مهم در Active Directory است که امکان جستجوی سریع در کل Forest را فراهم میکند.

در یک شبکه بزرگ ممکن است چندین Domain وجود داشته باشد. اگر کاربری بخواهد یک Object خاص (مثل یک کاربر یا گروه) را پیدا کند، جستجو در تک تک Domain ها زمان بر خواهد بود. Global Catalog این مشکل را حل میکند.

Global Catalog سروری است که:

• اطلاعات کامل Object های Domain خودش را نگهداری میکند
• یک نسخه خلاصه (Partial Attribute Set) از Object های سایر Domain های Forest را نیز ذخیره میکند

به این ترتیب میتوان اطلاعات کاربران و منابع را در کل Forest جستجو کرد.

وظایف اصلی Global Catalog

جستجو در کل Forest

کاربران و برنامه ها میتوانند به سرعت Object های مورد نظر را پیدا کنند.

کمک به فرآیند Logon

در برخی سناریوها، مخصوصاً زمانی که کاربران عضو Universal Group هستند، Global Catalog در فرآیند احراز هویت نقش مهمی دارد.

بهبود کارایی شبکه

وجود GC باعث کاهش ترافیک جستجو بین Domain ها میشود.

معمولاً در شبکه های بزرگ چند Domain Controller به عنوان Global Catalog تنظیم میشوند تا دسترسی سریع تر و افزونگی (Redundancy) فراهم شود.

Site و Subnet در Active Directory

در اکتیو دایرکتوری، مفاهیم Site و Subnet برای مدیریت ارتباطات شبکه و بهینه سازی ترافیک بین Domain Controller ها استفاده میشوند.

این مفاهیم بیشتر به ساختار فیزیکی شبکه مربوط هستند، در حالی که Domain و OU بیشتر ساختار منطقی را تعریف میکنند.

Site چیست؟

Site در Active Directory نشان دهنده یک موقعیت فیزیکی در شبکه است که معمولاً شامل یک یا چند Subnet با اتصال سریع به یکدیگر است.

برای مثال یک سازمان ممکن است چند Site داشته باشد:

• Site تهران
• Site اصفهان
• Site شیراز

هر Site معمولاً شامل یک یا چند Domain Controller است.

هدف اصلی Site این است که:

• کاربران به نزدیک ترین Domain Controller متصل شوند
• ترافیک احراز هویت بهینه شود
• Replication بین سرورها به شکل کنترل شده انجام شود

Subnet چیست؟

Subnet محدوده‌ای از آدرس های IP در شبکه است که به یک Site در Active Directory متصل میشود.

برای مثال:

وقتی یک کامپیوتر عضو Domain میشود، اکتیو دایرکتوری با توجه به Subnet آن تشخیص میدهد که این سیستم به کدام Site تعلق دارد و باید به کدام Domain Controller متصل شود.

ارتباط Site و Replication

Site ها نقش مهمی در Replication بین Domain Controller ها دارند. در داخل یک Site، Replication سریع و مکرر انجام میشود، اما بین Site های مختلف این فرآیند زمان بندی شده و کنترل شده است تا مصرف پهنای باند کاهش یابد.

به همین دلیل طراحی صحیح Site و Subnet در شبکه های سازمانی باعث بهبود عملکرد Active Directory و کاهش ترافیک شبکه میشود.

انواع سرویس های اکتیو دایرکتوری

زمانی که از «اکتیو دایرکتوری» صحبت میکنیم، بیشتر افراد فقط Active Directory Domain Services (AD DS) را در ذهن دارند؛ اما در واقع اکتیو دایرکتوری مجموعه‌ای از سرویس ها و نقش ها (Roles) در ویندوز سرور است که هرکدام برای سناریوهای خاصی طراحی شده‌اند.

مهم ترین سرویس های اکتیو دایرکتوری عبارت‌اند از:

• AD DS – هسته اصلی اکتیو دایرکتوری و مدیریت دامین، کاربران و کامپیوترها
• AD LDS – نسخه سبک تر و انعطاف پذیرتر برای اپلیکیشن ها
• AD FS – سرویس فدراسیون برای Single Sign-On بین سیستم ها و دامنه های مختلف
• AD CS – سرویس صدور و مدیریت گواهی های دیجیتال (PKI)
• AD RMS – سرویس محافظت از اطلاعات و مدیریت حقوق دسترسی به محتوا

در ادامه هرکدام را جداگانه بررسی می‌کنیم.

AD DS (Active Directory Domain Services)

AD DS مهم ترین و اصلی ترین سرویس اکتیو دایرکتوری است؛ همان چیزی که معمولاً وقتی می گوییم «Domain Controller» یا «اکتیو دایرکتوری» مدنظر قرار میگیرد.

این سرویس وظیفه فراهم کردن یک Directory Service کامل برای شبکه را بر عهده دارد و ویژگی های زیر را فراهم میکند:

وظایف اصلی AD DS

1. مدیریت متمرکز هویت (Identity Management)
   • ذخیره اطلاعات کاربران، گروه ها، کامپیوترها و سایر Object ها
   • فراهم کردن امکان احراز هویت (Authentication) و مجوزدهی (Authorization)
2. ایجاد و مدیریت Domain، Tree و Forest
   • تعریف ساختار منطقی شبکه
   • مدیریت مرزهای امنیتی و مدیریتی
3. پشتیبانی از Group Policy
   • اعمال تنظیمات امنیتی، محدودیت ها و سیاست ها روی کاربران و کامپیوترها
   • مدیریت متمرکز تنظیمات سیستم عامل، نرم افزارها و امنیت
4. Single Sign-On (SSO) در شبکه داخلی
   • کاربر یک بار Logon می کند و به منابع مختلف در دامین دسترسی میگیرد
5. Replication بین Domain Controller ها
   • همگام سازی پایگاه داده اکتیو دایرکتوری بین سرورها
   • فراهم کردن افزونگی (Redundancy) و Fault Tolerance

به زبان ساده، اگر بخواهید یک Domain ویندوزی با امکان Join کردن کلاینت ها، مدیریت کاربران، گروه ها و GPO داشته باشید، باید از AD DS استفاده کنید.

AD LDS (Active Directory Lightweight Directory Services)

AD LDS (که قبلاً به نام ADAM شناخته میشد) نسخه‌ای سبک تر و انعطاف پذیرتر از سرویس دایرکتوری مایکروسافت است که:

• نیاز به Domain و Join کردن سیستم ها ندارد
• برای استفاده توسط اپلیکیشن ها و برنامه ها طراحی شده است
• میتواند چندین Instance روی یک سرور داشته باشد

تفاوت های اصلی AD LDS با AD DS

عدم وابستگی به Domain

AD LDS بدون ایجاد Domain و بدون نیاز به Domain Controller کلاسیک قابل نصب است.

در نتیجه برای سناریوهایی مناسب است که نمیخواهید زیرساخت Domain را درگیر کنید.

مناسب برای اپلیکیشن ها

بسیاری از نرم افزارها نیاز به یک Directory دارند تا کاربران، گروه ها یا تنظیمات خود را در آن ذخیره کنند.

AD LDS این امکان را بدون درگیر کردن AD DS اصلی سازمان فراهم میکند.

چندین Instance روی یک سرور

میتوان چندین Directory مستقل روی یک سرور ایجاد کرد؛ هرکدام برای یک اپلیکیشن یا سناریوی جداگانه.

استفاده از LDAP

مانند AD DS، این سرویس هم از پروتکل LDAP برای دسترسی به داده ها استفاده میکند، اما ساختار و Schema آن الزاماً همان ساختار AD DS نیست و قابل سفارشی سازی تر است.

سناریوهای رایج استفاده از AD LDS

• نرم افزارهای سازمانی که به یک Directory اختصاصی نیاز دارند
• سناریوهای Multi-tenant که لازم است دیتای کاربران از هم جدا باشد
• سناریوهایی که استفاده از AD DS اصلی خطرناک یا نامناسب است

AD FS (Active Directory Federation Services)

AD FS سرویس فدراسیون (Federation) و Single Sign-On برای محیط هایی است که:

• چندین سیستم، دامنه یا سازمان مختلف درگیر هستند
• کاربر باید با همان نام کاربری/رمز عبور داخلی، به سرویس های خارجی یا Cloud دسترسی داشته باشد

به زبان ساده، AD FS به شما اجازه میدهد هویت کاربران دامین را به سیستم ها و سرویس های دیگر “اعتماد دهی (Federate)” کنید.

کاربردهای AD FS

Single Sign-On بین سازمانی (Cross-Organization SSO)

مثال: کارمندان سازمان بتوانند با همان اکانت Domain خود، وارد یک پرتال خارجی یا نرم افزار SaaS شوند.

یکپارچگی با سرویس های Cloud

• • اتصال به سرویس هایی مانند Microsoft 365 (در سناریوهای قدیمی تر)
  • استفاده از پروتکل های SAML, OAuth, OpenID Connect برای احراز هویت

ایجاد Trust بین دو Forest یا دو سازمان

به جای ساختن حساب های تکراری، هویت از طریق Token و Claim منتقل میشود.

نحوه کار AD FS (در سطح مفهومی)

• کاربر به یک سرویس (مثلاً وب اپلیکیشن) مراجعه میکند
• سرویس، کاربر را به AD FS هدایت میکند
• AD FS هویت کاربر را بر اساس AD DS تأیید میکند
• سپس یک Security Token شامل اطلاعات کاربر (Claims) صادر و به سرویس مقصد ارسال میشود
• سرویس مقصد بر اساس این Token به کاربر دسترسی میدهد

نتیجه: کاربر بدون ساختن حساب جدید، با همان Credential های Domain خود به سرویس های دیگر نیز دسترسی دارد.

AD CS (Active Directory Certificate Services)

AD CS سرویس صدور و مدیریت گواهی های دیجیتال (Digital Certificates) در ویندوز سرور است و ستون اصلی PKI (Public Key Infrastructure) در سازمان ها به شمارمی آید.

این سرویس نقش Certification Authority (CA) را ایفا میکند و وظایف زیر را بر عهده دارد:

وظایف AD CS

1. صدور گواهی دیجیتال برای کاربران، کامپیوترها و سرویس ها
   • گواهی برای سرورهای وب (HTTPS / SSL)
   • گواهی برای VPN، Wi-Fi، RDP
   • گواهی برای کاربران جهت Encrypt کردن یا Sign کردن داده ها (EFS, S/MIME)
2. مدیریت چرخه عمر گواهی ها
   • صدور (Issue)
   • تمدید (Renew)
   • ابطال (Revoke) و انتشار CRL (Certificate Revocation List)
3. یکپارچگی با Active Directory
   • صدور خودکار گواهی ها برای سیستم های عضو Domain از طریق Group Policy
   • ذخیره بخشی از اطلاعات PKI در اکتیو دایرکتوری

چرا AD CS مهم است؟

• برای ایمن سازی ارتباطات نقش حیاتی دارد
• پایه بسیاری از سرویس های امنیتی مثل:
  • HTTPS داخلی
  • IPsec
  • 802.1X برای Wi-Fi
  • Smart Card Logon

بدون زیرساخت PKI، بسیاری از سناریوهای امنیتی مدرن در شبکه های سازمانی قابل پیاده سازی نیستند.

AD RMS (Active Directory Rights Management Services)

AD RMS سرویس مدیریت حقوق اطلاعات (Information Rights Management) در مایکروسافت است که هدف آن محافظت از داده ها، حتی بعد از خارج شدن از شبکه سازمان، می باشد.

بر خلاف NTFS Permission یا Share Permission که فقط روی فایل ذخیره شده در سرور اعمال میشوند، AD RMS سطح دسترسی را به خود محتوا متصل میکند.

AD RMS چه کار میکند؟

• کنترل میکند چه کسی میتواند:
  • فایل را باز کند
  • آن را Print کند
  • آن را Forward یا Copy کند
  • Screenshot بگیرد (در برخی سناریوها)
• میتوان سیاست هایی مانند موارد زیر تعریف کرد:
  • این ایمیل فقط توسط مدیران قابل خواندن است
  • این فایل Word را نمیتوان Print یا Copy/Paste کرد
  • سند بعد از ۷ روز منقضی شود و دیگر باز نشود

نحوه استفاده

در عمل، RMS بیشتر همراه با محصولات مایکروسافت مثل:

• Microsoft Office (Word, Excel, Outlook)
• SharePoint
• Exchange

استفاده میشود.

کاربر هنگام ایجاد یک سند یا ایمیل، از طریق گزینه هایی مانند “Do Not Forward” یا “Encrypt and Rights Management” تعیین میکند که چه کسی و چگونه بتواند به محتوا دسترسی داشته باشد.

تفاوت با Permission های کلاسیک

• NTFS و Share Permission → دسترسی به فایل در سطح File System و سرور
• AD RMS → محافظت از محتوا، حتی اگر فایل کپی شود و از شبکه خارج گردد

به همین دلیل RMS برای سازمان هایی که با اطلاعات محرمانه، اسناد مالی و داده های حساس کار میکنند بسیار ارزشمند است.

قابلیت ها و کاربردهای اکتیو دایرکتوری

اکتیو دایرکتوری مجموعه‌ای از قابلیت های قدرتمند را در اختیار مدیران شبکه قرار میدهد تا بتوانند کاربران، کامپیوترها، منابع و تنظیمات امنیتی را به صورت یکپارچه و متمرکز مدیریت کنند.

در شبکه های سازمانی، AD نقش ستون اصلی Identity Management، امنیت، سازماندهی و کنترل دسترسی را ایفا میکند.

در ادامه مهم ترین قابلیت ها و کاربردهای Active Directory را بررسی میکنیم.

مدیریت کاربران و گروه ها

یکی از اصلی ترین وظایف Active Directory، مدیریت هویت کاربران (Identity Management) است.

اکتیو دایرکتوری امکان ایجاد، حذف و مدیریت کاربران و گروه ها را به شکل بسیار ساده و متمرکز فراهم میکند.

مهم ترین قابلیت ها در بخش مدیریت کاربران

• ایجاد حساب کاربری (User Account) با ویژگی های مختلف مانند نام، ایمیل، شماره داخلی، نقش سازمانی و…
• غیرفعال سازی یا حذف دسترسی کاربران در صورت خروج از سازمان
• مدیریت رمز عبور: تنظیم قوانین امنیتی، تغییر یا ریست پسورد
• قرار دادن کاربران در OU های مرتبط برای اعمال سیاست های متفاوت
• مدیریت ویژگی های کاربران از طریق Attribute های تعریف شده در Schema

نقش گروه ها در ساده سازی مدیریت

گروه ها (Groups) برای مدیریت دسترسی ها و منابع نقش کلیدی دارند. دو نوع گروه اصلی وجود دارد:

• Security Groups → برای دسترسی دادن به منابع (فایل سرورها، پرینترها، اپلیکیشن ها)
• Distribution Groups → برای کاربردهای ارتباطی (مثلاً گروه های ایمیلی)

استفاده از گروه ها باعث میشود به جای دادن دسترسی به تک تک کاربران، سطح دسترسی را فقط یک بار برای گروه تنظیم کنیم.

مدیریت کامپیوترها و منابع

در اکتیو دایرکتوری، نه تنها کاربران بلکه کامپیوترها و منابع شبکه نیز مدیریت میشوند.

هر کامپیوتر پس از Join شدن به Domain به عنوان یک Object در AD ثبت میشود.

قابلیت های مدیریت کامپیوترها

• مدیریت حساب دستگاه ها (Computer Account)
• اعمال Group Policy برای کنترل تنظیمات سیستم عامل
• کنترل نرم افزارهای نصب شده (Software Restriction Policies)
• مدیریت تنظیمات امنیتی ویندوز مانند Firewall، Windows Update، Password Policies
• اعمال تنظیمات متحدالشکل برای همه سیستم ها یا فقط گروه های خاص

مدیریت منابع شبکه

اکتیو دایرکتوری امکان اتصال و مدیریت منابع زیر را فراهم میکند:

• پرینترها
• فایل سرورها و Shared Folder ها
• Storage ها و NAS
• اپلیکیشن ها و سرویس های سازمانی

برای مثال، میتوان یک پرینتر را در AD منتشر کرد تا کاربران به سادگی آن را پیدا کرده و استفاده کنند.

Authorization و کنترل دسترسی

در اکتیو دایرکتوری، بعد از احراز هویت کاربران توسط Kerberos یا NTLM، نوبت به مرحله Authorization (مجوزدهی) می رسد.

Authorization تعیین میکند:

• کاربر به چه منابعی دسترسی دارد
• چه سطح دسترسی دارد (Read, Modify, Full Control و…)
• چه عملیاتی مجاز به انجام آن است

ابزارهای کنترل دسترسی در AD

Security Groups

مهم ترین ابزار مدیریت دسترسی ها در AD.

ACL (Access Control List)

لیستی از مجوزهای سطح فایل، فولدر، پرینتر، شیء و… که مشخص میکند چه کسی چه کاری میتواند انجام دهد.

NTFS Permission و Share Permission

برای مدیریت سطح دسترسی فایل سرورها.

Group Policy (GPO)

کنترل تنظیمات امنیتی، نرم افزاری و سیستمی.

مزیت کلیدی کنترل دسترسی در AD

• پیاده سازی مدل Least Privilege یعنی هر کاربر فقط به منابعی دسترسی دارد که برای کارش لازم است.
• امنیت شبکه افزایش پیدا میکند
• مدیریت دسترسی ها ساده تر، سریع تر و قابل Audit میشود

Single Sign-On (SSO)

یکی از بزرگ ترین مزیت های اکتیو دایرکتوری، امکان Single Sign-On یا ورود یک باره به همه منابع شبکه است.

در SSO کاربر:

• فقط یک بار در سیستم Logon میکند
• بدون وارد کردن دوباره رمز عبور به منابع مختلف دسترسی دارد:
  • فایل سرورها
  • پرینترها
  • سیستم های داخلی
  • اپلیکیشن های سازمانی

SSO در AD توسط Kerberos فراهم میشود که با Ticket Granting Ticket (TGT) کاربران را بدون نیاز به پسورد به سرویس های دیگر معرفی میکند.

مزایای SSO

• افزایش امنیت (چون رمز عبور کمتر ارسال میشود)
• ساده سازی تجربه کاربری
• کاهش تعداد تماس های HelpDesk برای مشکل رمز عبور
• مدیریت متمرکز هویت ها در محیط های بزرگ

SSO یکی از ویژگی های اصلی است که اکتیو دایرکتوری را از سرویس های معمولی مدیریت کاربران متمایز میکند.

مدیریت متمرکز شبکه

Active Directory به مدیران شبکه اجازه میدهد همه چیز را از یک نقطه کنترل و مدیریت کنند.

این ویژگی برای شبکه های متوسط و بزرگ یک ضرورت محسوب میشود.

مهم ترین قابلیت های مدیریت متمرکز

1. مدیریت متمرکز کاربران و هویت ها

تعریف سیاست های امنیتی، مدیریت پسورد، کنترل دسترسی ها و ایجاد کاربران از یک کنسول مرکزی.

2. مدیریت متمرکز سیستم ها و تنظیمات

از طریق Group Policy میتوان:

• تنظیمات امنیتی سیستم عامل
• تنظیمات نرم افزارها
• تنظیمات شبکه
• اسکریپت های Startup/Shutdown
• نصب یا حذف نرم افزارها

را به صورت متمرکز اعمال کرد.

3. هماهنگی و یکپارچگی سرورها

با استفاده از Replication، تمام Domain Controller ها همیشه دیتای یکسان دارند.

4. مدیریت ساختار سازمانی

با OU ها میتوان شبکه را مطابق ساختار شرکت (واحدها، گروه ها، شهرها) سازماندهی کرد.

5. امنیت بالا از طریق استاندارد سازی

وقتی همه چیز متمرکز است، کنترل امنیت بسیار ساده تر و قابل Audit میشود.

Group Policy در اکتیو دایرکتوری

Group Policy یکی از قدرتمندترین قابلیت های اکتیو دایرکتوری است که به مدیران شبکه اجازه میدهد تنظیمات سیستم عامل، نرم افزارها، امنیت و رفتار کاربران را به صورت متمرکز مدیریت کنند.

از کنترل سطح دسترسی کاربران گرفته تا تنظیمات امنیتی، نصب نرم افزارها، محدودیت های ویندوز و حتی پیکربندی شبکه همه از طریق GPO قابل اعمال است.

Group Policy در شبکه های سازمانی نقش کلیدی در امنیت، استاندارد سازی، مدیریت آسان و کاهش خطا دارد و یکی از ستون های اصلی مدیریت زیرساخت ویندوز محسوب میشود.

Group Policy Object (GPO)

GPO یا Group Policy Object بسته‌ای از تنظیمات است که روی کاربران یا کامپیوترهای موجود در Domain اعمال میشود.

هر GPO شامل صدها نوع تنظیمات قابل مدیریت است و از طریق AD به صورت خودکار روی کلاینت ها اجرا میگردد.

GPO چگونه اعمال میشود؟

یک GPO زمانی اجرا میشود که به یکی از محل های زیر لینک شود:

• Site
• Domain
• Organizational Unit (OU)

هرچه GPO به سطح پایین تری لینک شود، اعمال آن هم هدفمند تر خواهد بود.

ساختار داخلی GPO

GPO از دو بخش تشکیل شده است:

1. Group Policy Container (GPC)
   • یک Object در اکتیو دایرکتوری
   • شامل اطلاعات متادیتا مثل نسخه، لینک ها، وضعیت
2. Group Policy Template (GPT)
   • یک فولدر در مسیر SYSVOL
   • شامل فایل های واقعی پالیسی: ADMX، اسکریپت ها، تنظیمات امنیتی و…

این دو بخش توسط Replication بین Domain Controller های مختلف همگام سازی میشوند.

انواع پالیسی ها (User Policies / Computer Policies)

تنظیمات در GPO به دو دسته اصلی تقسیم میشوند:

1. Computer Configuration

این تنظیمات قبل از ورود کاربر (Logon) و هنگام روشن شدن سیستم اعمال میشود.

کاربردهای رایج:

• تنظیمات امنیتی سیستم
• Firewall Policies
• نصب نرم افزارها
• تنظیمات سرویس ها
• محدودیت های سخت افزاری
• مدیریت Windows Update
• پیکربندی شبکه

2. User Configuration

این تنظیمات پس از Login کاربر اجرا میشود و رفتار محیط کاربری را کنترل میکند.

کاربردهای رایج:

• محدود کردن Control Panel یا Task Manager
• تنظیمات مربوط به مرورگرها
• اسکریپت های Login/Logout
• اعمال سیاست های Desktop
• تنظیمات نرم افزارهای کاربرمحور
• تغییر مسیر پوشه ها (Folder Redirection)

هر GPO میتواند شامل هر دو بخش باشد، اما بر اساس نوع Object هدف (User یا Computer) فقط بخش مربوطه روی کلاینت اعمال میشود.

Administrative Templates (ADMX/ADML)

Administrative Templates یکی از مهم ترین بخش های Group Policy هستند و شامل هزاران تنظیم آماده برای مدیریت ویندوز و نرم افزارها می باشند.

این Template ها در قالب فایل های:

• ADMX (تعریف تنظیمات)
• ADML (ترجمه و توضیحات)

در مسیر SYSVOL یا PolicyDefinitions ذخیره میشوند.

کاربردهای Administrative Templates

• مدیریت قابلیت های Windows Explorer
• کنترل ویژگی های Windows Update
• پیکربندی Microsoft Office، Edge و مرورگرها
• محدود کردن امکانات ویندوز مثل USB، Bluetooth، Store
• تنظیمات امنیتی مانند Defender، SmartScreen، AppLocker

مزیت ADMX نسبت به ADM

• حجم کمتر
• مدیریت آسان تر توسط Central Store
• سازگاری بین نسخه های مختلف ویندوز
• عدم تکرار و مصرف کم تر منابع SYSVOL

Password Policy و Account Lockout

یکی از حیاتی ترین بخش های امنیت شبکه، قوانین مربوط به رمز عبور و قفل کردن حساب ها است.

این تنظیمات از طریق GPO و در بخش Account Policies مدیریت میشود.

1. Password Policy

این بخش قوانین زیر را کنترل میکند:

• حداقل طول رمز عبور
• پیچیدگی رمز عبور (Password Complexity)
• حداکثر مدت اعتبار رمز
• حداقل تعداد روز قبل از امکان تغییر رمز
• تاریخچه رمز عبور (Password History)

با این قوانین میتوان کاربران را مجبور به انتخاب رمزهای قوی و امن کرد.

2. Account Lockout Policy

این بخش برای جلوگیری از Brute Force Design شده:

• تعداد دفعات ورود اشتباه مجاز
• مدت زمان Lock شدن حساب
• زمان Reset شدن شمارنده ورودهای اشتباه

مثلاً میتوان تعیین کرد که:

• پس از ۵ بار وارد کردن اشتباه رمز → اکانت ۳۰ دقیقه قفل شود

Fine-Grained Password Policy (FGPP)

اگر نیاز باشد برای بخش های مختلف سازمان رمزهای متفاوتی تعریف شود (مثلاً مدیران امنیتی رمز سخت گیرانه تری داشته باشند)، باید از FGPP در اکتیو دایرکتوری استفاده کرد.

اجرای GPO در لاگین و استارت‌آپ

زمان و ترتیب اجرای GPO یکی از مفاهیم مهم برای مدیران شبکه است.

مراحل اجرای GPO

1. هنگام Startup سیستم
   • Computer Configuration
   • اسکریپت های Startup
2. هنگام Logon کاربر
   • User Configuration
   • اسکریپت های Logon

ترتیب اولویت اعمال GPO

الگوریتم معروف LSDOU مشخص میکند GPO ها بر اساس کدام ترتیب اعمال میشوند:

1. Local Policies
2. Site Policies
3. Domain Policies
4. OU Policies

پالیسی هایی که در لایه های پایین ترهستند (نزدیک تر به User/Computer)، در تضادها، اولویت بیشتری دارند.

نکته مهم: Background Refresh

حتی پس از ورود کاربر، GPO ها هر ۹۰ دقیقه (به صورت تصادفی بین ۹۰ تا ۱۲۰ دقیقه) دوباره اجرا یا Refresh میشوند.

ابزارهای مهم برای عیب یابی اجرای GPO

• gpupdate /force → برای آپدیت فوری پالیسی
• gpresult /r یا gpresult /h report.html → برای گزارش کامل GPO های اعمال شده
• GPMC → کنسول مدیریت GPO، لینک، ارث بری و اولویت ها

پورت ها و پروتکل های مورد نیاز اکتیو دایرکتوری (AD)

اکتیو دایرکتوری برای عملکرد صحیح به مجموعه‌ای از پورت ها و پروتکل های شبکه نیاز دارد. این پورت ها وظیفه احراز هویت، ارتباط بین Domain Controller ها، Replication، جستجو، ارائه سرویس های نام گذاری و مدیریت منابع را بر عهده دارند.

درک این پورت ها برای مدیران شبکه بسیار مهم است زیرا:

• ارتباط سرورها و کلاینت ها به آنها وابسته است
• مسدود شدن هر پورت باعث اختلال در Login کاربران، Replication یا DNS میشود
• در تنظیم فایروال، امنیت و Hardening باید دقیقاً این پورت ها باز باشند

در ادامه تمام پورت های حیاتی مرتبط با Kerberos، LDAP، DNS، SMB، RPC و Global Catalog را بررسی میکنیم.

پورت های Kerberos، LDAP، DNS و SMB

اکتیو دایرکتوری برای احراز هویت، جستجوی اطلاعات و ارائه سرویس های شبکه از پروتکل های Kerberos، LDAP، DNS و SMB استفاده میکند. در این بخش نقش هر یک و پورت های مورد نیاز آنها را بررسی میکنیم.

Kerberos – پروتکل احراز هویت

Kerberos پروتکل اصلی برای احراز هویت (Authentication) و اصلی ترین پایه‌ی Single Sign-On (SSO) در AD است.

پورت های مورد نیاز:

• TCP/UDP 88 → Kerberos Authentication
• TCP/UDP 464 → تغییر رمز عبور (Kerberos Password Change)

اگر پورت 88 بسته شود، کاربران نمیتوانند Login کنند و سیستم مجبور میشود به NTLM برگردد.

LDAP – پروتکل جستجو و دسترسی به دیتابیس AD

LDAP پروتکل اصلی برای جستجو در Directory Service و خواندن اطلاعات کاربران، گروه ها، OU ها و سایر Object های AD است.

پورت های استاندارد LDAP:

• TCP/UDP 389 → LDAP معمولی
• TCP 636 → LDAPS (نسخه رمزگذاری شده)

پورت 389 برای ارتباطات عمومی و جستجوی اطلاعات AD ضروری است.

پورت 636 برای محیط های امن تر جهت جلوگیری از حملات MITM استفاده میشود.

DNS – سرویس نام گذاری و ستون اصلی AD

Active Directory بدون DNS عملاً کار نمیکند.

Kerberos، Replication، Login و نام گذاری Domain همگی کاملاً وابسته به DNS هستند.

پورت های DNS:

• TCP/UDP 53

DNS نه تنها نام سیستم ها را Resolution میکند، بلکه رکوردهای خاص سرویس های AD مانند:

• SRV
• A
• CNAME
• PTR
• Kerberos SRV records

را ذخیره و مدیریت میکند.

SMB – اشتراک فایل، Replication و SYSVOL

پروتکل SMB برای دسترسی به فایل ها و فولدرها روی سرورها استفاده میشود.

در اکتیو دایرکتوری، SMB برای نگهداری و Replication پوشه حیاتی SYSVOL نقش بسیار مهمی دارد.

پورت SMB:

• TCP 445

SYSVOL شامل:

• GPOها
• اسکریپت های Logon
• تنظیمات امنیتی

است و بدون آن Group Policy اجرا نخواهد شد.

نقش RPC و Dynamic Ports

بخش بزرگی از سرویس های AD و ارتباط بین Domain Controller ها از طریق RPC (Remote Procedure Call) انجام میشود. RPC یک پروتکل مهم برای مدیریت از راه دور، Replication و ارتباط داخلی سرویس های AD است.

پورت های اصلی RPC

• TCP 135 → RPC Endpoint Mapper
• پس از برقراری اتصال، یک پورت پویا (Dynamic Port) انتخاب میشود

RPC ابتدا از پورت 135 استفاده میکند تا سرویس مورد نظر را پیدا کند، سپس یک پورت Dynamic بین بازه های زیر انتخاب میشود:

پورت های پویا (Dynamic Ports)

در ویندوزهای جدید (Windows Server 2008 به بعد):

• بازه: 49152 – 65535

در ویندوزهای قدیمی تر:

• 1024 – 65535

RPC برای موارد زیر ضروری است:

• Replication بین Domain Controller ها
• اجرای دستورات مدیریتی از راه دور
• ارتباط سرویس هایی مثل Netlogon
• ارتباط ابزارهایی مثل:
  • Active Directory Users and Computers
  • Group Policy Management Console
  • dsa.msc / gpmc.msc / sites and services

اگر پورت های پویا بسته شوند، حتی اگر پورت 135 باز باشد، Replication و دستورات مدیریتی شکست میخورند.

پورت های Global Catalog (GC)

Global Catalog یکی از سرویس های حیاتی اکتیو دایرکتوری است که امکان جستجوی سریع در کل Forest را فراهم میکند.

GC نسخه‌ای خلاصه شده از اطلاعات اشیاء کل Forest را نگه میدارد و برای Login کاربران نیز ضروری است.

پورت های مورد نیاز Global Catalog

• TCP 3268 → GC بدون رمزگذاری
• TCP 3269 → GC با SSL (رمزگذاری شده)

پورت 3268 برای جستجوی سریع در Directory کل Forest استفاده میشود

و پورت 3269 نسخه امن آن است.

GC در چه مواردی ضروری است؟

• هنگام Login کاربر در Forest های چند دامینی
• جستجوی سریع اشیاء در کل ساختار AD
• اجرای برنامه هایی مانند Exchange، Lync و سرویس های جستجو
• شناسایی عضویت های گروهی (Universal Groups)

اگر پورت های GC بسته باشند:

• کاربران ممکن است نتوانند وارد سیستم شوند
• جستجو در اکتیو دایرکتوری کند یا ناموفق میشود
• برخی سرویس ها مانند Exchange از کار می افتند

امنیت اکتیو دایرکتوری

اکتیو دایرکتوری قلب زیرساخت هویت در شبکه های مبتنی بر ویندوز است و تقریباً تمام دسترسی ها، احراز هویت ها و سیاست های امنیتی از طریق آن مدیریت میشوند. به همین دلیل اگر Active Directory به خطر بیفتد، کل شبکه سازمانی در معرض نفوذ قرار میگیرد. بسیاری از حملات پیشرفته مانند Privilege Escalation، Credential Theft و Domain Takeover مستقیماً AD را هدف قرار میدهند.

برای محافظت از این زیرساخت حیاتی، مدیران شبکه باید مجموعه‌ای از روش های امنیتی شامل Hardening، کنترل سطح دسترسی، رمزگذاری ارتباطات، نظارت مداوم و سیاست های امنیتی پیشرفته را پیاده سازی کنند. در ادامه مهم ترین روش های امنیتی در اکتیو دایرکتوری را بررسی می‌کنیم.

Hardening اکتیو دایرکتوری

Hardening به مجموعه اقداماتی گفته میشود که با هدف کاهش سطح حمله (Attack Surface) و افزایش امنیت سرویس ها و سرورها انجام میشود. در اکتیو دایرکتوری، Hardening معمولاً روی Domain Controller ها، حساب های مدیریتی و تنظیمات امنیتی تمرکز دارد.

مهم ترین اقدامات Hardening در AD شامل موارد زیر است:

• استفاده از رمزهای عبور قوی و سیاست های Password Policy سخت گیرانه
• غیرفعال کردن پروتکل های قدیمی و ناامن مانند NTLMv1
• محدود کردن دسترسی Remote Desktop به Domain Controller
• فعال سازی LDAP Signing و Channel Binding
• استفاده از Windows Defender و Endpoint Protection روی DC ها
• اعمال Security Baseline های مایکروسافت
• محدود کردن دسترسی به Admin Shares
• جداسازی Domain Controller ها در شبکه های امن

همچنین توصیه میشود Domain Controller ها فقط برای وظایف مرتبط با AD استفاده شوند و هیچ نرم افزار غیرضروری روی آنها نصب نشود.

Least Privilege و Tier Model

یکی از مهم ترین اصول امنیتی در شبکه های سازمانی، اصل Least Privilege یا حداقل سطح دسترسی است. طبق این اصل، هر کاربر یا سرویس فقط باید حداقل دسترسی مورد نیاز برای انجام وظیفه خود را داشته باشد.

در اکتیو دایرکتوری، عدم رعایت این اصل میتواند باعث شود یک مهاجم با نفوذ به یک حساب کاربری ساده، به تدریج به سطح Domain Admin دست پیدا کند.

برای جلوگیری از این مشکل، مایکروسافت مدل امنیتی Tier Model را پیشنهاد میکند.

Tier Model چیست؟

Tier Model ساختار مدیریتی شبکه را به چند سطح تقسیم میکند تا دسترسی ها و مدیریت سیستم ها از یکدیگر جدا شوند.

سطوح رایج Tier Model عبارت‌اند از:

Tier 0

مهم ترین سطح زیرساختی شبکه که شامل موارد زیر است:

• Domain Controllers
• Active Directory
• Azure AD Connect
• PKI و Certificate Services
• حساب های Domain Admin

اگر مهاجم به Tier 0 دسترسی پیدا کند، عملاً کل Domain را در اختیار خواهد گرفت.

Tier 1

این سطح مربوط به سرورهای سازمانی است، مانند:

• Application Servers
• Database Servers
• File Servers
• Exchange Servers

مدیران Tier 1 نباید به Domain Controller ها دسترسی داشته باشند.

Tier 2

این سطح مربوط به سیستم های کاربری است:

• Workstations
• لپ تاپ ها
• دستگاه های کاربران

مدیران سیستم های کاربری نباید به سرورها یا Domain Controller ها دسترسی مستقیم داشته باشند.

با استفاده از این مدل، اگر یک سیستم کاربری آلوده شود، مهاجم نمیتواند به راحتی به لایه های حیاتی شبکه نفوذ کند.

Secure LDAP (LDAPS)

LDAP پروتکل اصلی برای دسترسی به اطلاعات اکتیو دایرکتوری است. اما در حالت عادی، LDAP روی پورت 389 اجرا میشود و اطلاعات به صورت رمزگذاری نشده منتقل میشوند.

این موضوع میتواند باعث حملاتی مانند:

• Man-in-the-Middle
• Credential Sniffing
• Session Hijacking

شود.

برای جلوگیری از این مشکلات، باید از LDAPS (LDAP over SSL/TLS) استفاده کرد.

LDAPS چگونه کار میکند؟

در LDAPS ارتباط بین کلاینت و Domain Controller با استفاده از SSL/TLS رمزگذاری میشود.

پورت LDAPS:

• TCP 636

برای فعال سازی LDAPS باید:

• یک Certificate معتبر روی Domain Controller نصب شود
• سرویس LDAP از TLS استفاده کند
• کلاینت ها به Certificate Authority اعتماد داشته باشند

استفاده از LDAPS باعث میشود اطلاعات حساس مانند:

• Username
• Password
• Query های LDAP

به صورت رمزگذاری شده منتقل شوند.

Protected Users و AdminSDHolder

در اکتیو دایرکتوری برخی حساب ها از اهمیت بسیار بالایی برخوردارند، مانند:

• Domain Admin
• Enterprise Admin
• Schema Admin

اگر این حساب ها به خطر بیفتند، مهاجم میتواند کل شبکه را کنترل کند. برای محافظت از این حساب ها، مکانیزم هایی مانند Protected Users و AdminSDHolder در AD وجود دارد.

گروه Protected Users

گروه Protected Users برای افزایش امنیت حساب های حساس طراحی شده است.

وقتی یک حساب به این گروه اضافه میشود:

• استفاده از NTLM Authentication غیرفعال میشود
• Credential Caching روی سیستم ها انجام نمیشود
• Kerberos فقط با الگوریتم های قوی استفاده میشود
• Ticket های Kerberos زمان کوتاه تری دارند

این ویژگی ها احتمال سرقت Credential ها را کاهش میدهد.

AdminSDHolder

AdminSDHolder مکانیزمی برای محافظت از حساب های مدیریتی در AD است.

این سیستم هر ۶۰ دقیقه یک بار بررسی میکند که دسترسی های حساب های حساس تغییر نکرده باشد. اگر تغییر غیرمجاز ایجاد شده باشد، AdminSDHolder مجدداً ACL های امنیتی استاندارد را اعمال میکند.

حساب هایی که تحت کنترل AdminSDHolder هستند شامل:

• Domain Admins
• Enterprise Admins
• Schema Admins
• Administrators

این مکانیزم از تغییر غیرمجاز سطح دسترسی جلوگیری میکند.

نظارت و Auditing در اکتیو دایرکتوری

یکی از مهم ترین بخش های امنیت AD، نظارت و ثبت رویدادها (Auditing) است. بدون نظارت مناسب، بسیاری از حملات میتوانند مدت ها بدون شناسایی در شبکه باقی بمانند.

اکتیو دایرکتوری از طریق Event Logs و Advanced Auditing Policies امکان ثبت فعالیت های مهم را فراهم میکند.

مهم ترین رویدادهایی که باید مانیتور شوند:

• ورود و خروج کاربران (Logon Events)
• تغییرات در Group Policy
• ایجاد یا حذف کاربران
• تغییرعضویت در گروه های حساس
• تغییر در ACL ها
• تغییرات Schema

این اطلاعات در Security Event Log در Domain Controller ذخیره میشوند.

ابزارهای مانیتورینگ AD

برای تحلیل و نظارت بهتر میتوان از ابزارهای زیر استفاده کرد:

• Windows Event Viewer
• SIEM Systems مانند Splunk و QRadar
• Microsoft Sentinel
• Azure Defender for Identity
• Sysmon

این ابزارها میتوانند فعالیت های مشکوک مانند:

• Pass-the-Hash
• Kerberoasting
• Privilege Escalation
• Account Enumeration

را شناسایی کنند.

اکتیو دایرکتوری فقط ابزاری برای مدیریت کاربران و منابع شبکه نیست، بلکه نقش بسیار مهمی در امنیت زیرساخت سازمان نیز دارد. زمانی که تنظیماتی مانند Group Policy، سیاست های رمز عبور، سطح بندی دسترسی‌ها، کنترل حساب های دارای دسترسی بالا و ثبت رویدادها به درستی پیاده سازی شوند، ریسک نفوذ و سوءاستفاده در شبکه به شکل محسوسی کاهش پیدا میکند. به همین دلیل، بسیاری از سازمان‌ها در کنار راه اندازی و مدیریت این سرویس، به موضوع هاردنینگ اکتیو دایرکتوری نیز توجه ویژه‌ای دارند تا ساختار احراز هویت، مجوزدهی و مدیریت دسترسی را بر اساس اصول امنیتی تقویت کنند.

حملات رایج به اکتیو دایرکتوری

اکتیو دایرکتوری (Active Directory) قلب احراز هویت و مدیریت دسترسی در محیط های ویندوزی است. به همین دلیل، مهاجمان بعد از نفوذ اولیه (مثلاً از طریق فیشینگ یا اکسپلویت یک سرویس)، معمولاً تلاش میکنند کنترل AD را به دست بگیرند. در ادامه، مهم ترین حملات رایج به اکتیو دایرکتوری را مرور میکنیم.

Kerberoasting

Kerberoasting یکی از حملات رایج علیه سرویس اکانت ها (Service Accounts) در محیط های دامینی مبتنی بر Kerberos است.

ایده کلی حمله:

1. کاربر عادی در دامنه میتواند برای سرویس ها (Service Principal Names – SPN) بلیط سرویس Kerberos بگیرد.
2. این بلیط ها روی کلاینت با کلید مبتنی بر پسورد اکانت سرویس رمز میشوند.
3. مهاجم بلیط های سرویس (TGS) را از حافظه سیستم استخراج کرده و آفلاین روی آنها حمله‌ی brute-force/dictionary انجام میدهد تا پسورد سرویس اکانت را به دست آورد.

چرا خطرناک است؟

• بسیاری از سرویس اکانت ها پسوردهای ضعیف یا قدیمی دارند.
• اگر سرویس اکانت سطح دسترسی بالا داشته باشد (مثلاً عضو Domain Admins باشد)، کر‌بروستینگ میتواند به دسترسی دامنه منجر شود.
• حمله آفلاین است؛ یعنی بعد از دریافت تیکت، مهاجم لازم نیست با DC ارتباطی داشته باشد و احتمال شناسایی کاهش می یابد.

نشانه ها و راهکارهای دفاعی (در سطح کلی):

• محدود کردن تعداد سرویس اکانت ها و دادن حداقل سطح دسترسی.
• استفاده از پسوردهای قوی و چرخش دوره‌ای رمز عبور سرویس ها.
• مانیتور کردن درخواست های Kerberos غیرعادی برای SPN های حساس.
• استفاده از Managed Service Accounts (gMSA) به جای سرویس اکانت های دستی.

Pass-the-Hash / Pass-the-Ticket

Pass-the-Hash (PtH)

در حمله Pass-the-Hash مهاجم به جای دانستن پسورد، هش پسورد (NTLM hash) را سرقت و مستقیماً از همان هش برای احراز هویت استفاده میکند.

مراحل رایج:

1. مهاجم روی یک سیستم ویندوزی (کلاینت یا سرور) دسترسی ادمین محلی میگیرد.
2. هش های ذخیره شده در حافظه (LSASS) یا SAM را استخراج میکند.
3. از ابزارهای ویژه برای استفاده از این هش ها در ارتباط با سرویس های شبکه (مثلاً SMB، RDP) بدون نیاز به دانستن پسورد اصلی استفاده میکند.

مشکل اصلی:

• اگر هش یک اکانت با سطح دسترسی بالا استخراج شود، امکان حرکت جانبی (Lateral Movement) و ارتقای دسترسی فراهم میشود.

Pass-the-Ticket (PtT)

در Pass-the-Ticket مهاجم به جای هش، تیکت های Kerberos (TGT/TGS) را سرقت و دوباره استفاده میکند.

ویژگی ها:

• مهاجم با دسترسی به حافظه LSASS یا کش کر‌بروس، بلیط های Kerberos را استخراج میکند.
• با تزریق این تیکت ها در نشست خود، میتواند خود را جای صاحب تیکت به DC معرفی کند.
• حتی بدون دانستن پسورد یا هش، تا زمان معتبر بودن تیکت میتواند به منابع دسترسی بگیرد.

راهکارهای کلی دفاعی برای PtH و PtT:

• محدود کردن اکانت های ادمین محلی و عدم استفاده از پسوردهای تکراری روی چند سیستم.
• استفاده از LAPS برای مدیریت خودکار پسورد Local Administrator.
• جدا کردن حساب های ادمین از حساب های کاربری روزمره (Privileged Access Workstations).
• مانیتور کردن دسترسی به LSASS و استفاده از Credential Guard/Protected Users در ویندوزهای جدیدتر.

Golden Ticket / Silver Ticket

این دو مورد از قدرتمندترین حملات علیه زیرساخت Kerberos در اکتیو دایرکتوری هستند.

Golden Ticket

Golden Ticket یعنی مهاجم بلیط TGT جعلی صادر میکند که توسط DC معتبر تلقی میشود.

شرط اصلی حمله:

• مهاجم باید به کلید رمزنگاری حساب krbtgt در دامنه دست پیدا کند (معمولاً از طریق تسخیر Domain Controller یا دامنه).

بعد از آن چه میشود؟

• مهاجم میتواند تیکت TGT جعلی برای هر کاربری حتی کاربران غیرواقعی بسازد.
• میتواند سطح دسترسی دلخواه (مثلاً Domain Admin) را در تیکت قرار دهد.
• و معمولاً زمان انقضای طولانی قرار میدهد تا دسترسی دائمی یا طولانی مدت داشته باشد.

این یعنی: کنترل کامل دامنه؛ حتی اگر پسورد همه حساب ها عوض شود، تا زمانی که کلید krbtgt به روزرسانی نشود، مهاجم میتواند تیکت بسازد.

Silver Ticket

Silver Ticket شبیه Golden Ticket است اما به جای TGT، بلیط سرویس (TGS) جعل میشود.

ویژگی ها:

• مهاجم باید کلید سرویس هدف (مثلاً پسورد سرویس اکانت مرتبط با یک SPN) را بداند.
• سپس میتواند تیکت های سرویس جعلی برای آن سرویس خاص بسازد (مثلاً برای CIFS روی یک سرور فایل).

مزایا برای مهاجم:

• تراکنش احراز هویت فقط با سرویس هدف انجام میشود، نه با KDC/DC؛ بنابراین تشخیص و لاگ ها سخت تر است.
• اگر سرویس حساس باشد (مثلاً SQL، SharePoint، CIFS روی فایل سرور حساس)، میتواند به داده های بسیار محرمانه دسترسی پیدا کند.

دفاع در برابر Golden/Silver Ticket (در سطح کلی):

• حفاظت شدید از Domain Controller ها و حساب های دارای دسترسی به آنها.
• چرخش دوره‌ای و امن کلید krbtgt (با برنامه ریزی دقیق و مطابق best practice).
• کاهش تعداد سرویس اکانت های با دسترسی بالا و استفاده از پسوردهای قوی.
• مانیتورینگ لاگ های Kerberos برای تشخیص تیکت های غیرعادی (مثلاً مدت اعتبار غیرمعمول، SID های ناشناس، و…).

حملات DCSync و DCShadow

این دو حمله مستقیماً پروتکل های مربوط به کپی و همگام سازی دیتابیس اکتیو دایرکتوری را هدف میگیرند.

حمله DCSync

در حمله DCSync مهاجم خود را به عنوان یک Domain Controller جا میزند و از DC های واقعی درخواست همگام سازی دیتابیس میکند.

نتیجه:

• میتواند هش پسورد همه کاربران، از جمله حساب های با دسترسی بالا مثل krbtgt و Domain Admin را دریافت کند.

پیش نیاز:

• نیاز به دسترسی حسابی دارد که مجوزهای ویژه‌ای مثل Replicating Directory Changes, Replicating Directory Changes All و Replicating Directory Changes In Filtered Set در دامنه داشته باشد(معمولاً اعضای Domain Admins، Enterprise Admins، یا خود DC ها).

کاربرد برای مهاجم:

• بعد از گرفتن این هش ها، میتواند حملات دیگری مانند Pass-the-Hash، Golden Ticket و… را اجرا کند.
• اساساً کنترل کامل بر هویت ها در دامنه به دست می آورد.

حمله DCShadow

DCShadow پا را یک قدم جلوتر میگذارد: مهاجم یک DC مخفی (Fake DC) معرفی میکند و تغییرات دلخواه را در اکتیو دایرکتوری اعمال میکند.

ویژگی ها:

• مهاجم تنظیمات AD را طوری دستکاری میکند که سیستم، ماشین مهاجم را به عنوان DC بشناسد.
• سپس میتواند آبجکت ها، صفات (Attributes) و ACL های AD را به طور مخفیانه تغییر دهد.
• این تغییرات از طریق پروتکل های replication عادی انجام می شود؛ بنابراین در بسیاری از ابزارهای مانیتورینگ کمتر به چشم می آیند.

مثال هایی از کارهایی که مهاجم میتواند بکند:

• اضافه کردن خودش به گروه های با دسترسی بالا بدون ثبت لاگ های معمول.
• تغییر SIDHistory یا دیگر Attribute های حساس.
• ایجاد Backdoor های پایدار در ساختار AD.

دفاع در برابر DCSync/DCShadow:

• محدود کردن حساب هایی که مجوز replication دارند.
• مانیتور کردن رویدادهای مرتبط با replication و تغییرات در تنظیمات DC ها.
• استفاده از ابزارهای امنیتی AD برای تشخیص تغییرات غیرمعمول در Permission ها و ساختار دامنه.
• تفکیک وظایف (Separation of Duties) برای ادمین های مختلف.

ابزارهای حمله مثل Mimikatz و BloodHound

بسیاری از حملات ذکر شده در عمل با کمک ابزارهای تخصصی اجرا میشوند. دو نمونه بسیار معروف:

Mimikatz

Mimikatz یک ابزار قدرتمند برای استخراج و دستکاری اطلاعات احراز هویت در ویندوز است.

کاربردهای اصلی:

• استخراج پسوردهای متنی، هش ها، تیکت های Kerberos و… از حافظه (LSASS).
• اجرای حملات Pass-the-Hash، Pass-the-Ticket، Golden Ticket، Silver Ticket، DCSync و غیره.
• دستکاری و ایجاد تیکت های Kerberos جعلی.

دلایل محبوبیت:

• رایگان و در دسترس است.
• قابلیت های بسیار گسترده برای تست نفوذ و البته سوءاستفاده مهاجمان دارد.
• نسخه های مختلف و ماژول های متعدد برای دور زدن آنتی ویروس ها ارائه شده‌اند.

راهکارهای کلی دفاع در برابر سوءاستفاده از Mimikatz:

• به حداقل رساندن دسترسی ادمین محلی روی سیستم ها.
• فعال سازی Credential Guard و دیگر قابلیت های حفاظت از حافظه در ویندوز.
• مانیتور کردن اجرای ابزارهای مشکوک و دسترسی به LSASS.
• استفاده از EDR برای تشخیص رفتارهای خاص مرتبط با استخراج کرنشیال ها.

BloodHound

BloodHound ابزاری برای تحلیل گرافی روابط اعتماد و دسترسی در اکتیو دایرکتوری است.

کاربرد اصلی:

• جمع آوری اطلاعات از AD (گروه ها، کاربران، کامپیوترها، نشست ها، ACLها، Trust ها و…).
• نمایش این اطلاعات به صورت گراف تا مسیرهای ممکن برای ارتقای دسترسی (Attack Paths) را پیدا کند.

چرا خطرناک و در عین حال مفید است؟

• برای مدافعان: کمک میکند مسیرهای خطرناک در ساختار AD را شناسایی و اصلاح کنند (مثلاً کاربر عادی که با چند پرش میتواند به Domain Admin برسد).
• برای مهاجمان: دید بسیار عمیقی از این که «کدام مسیر سریع تر به Domain Admin می رسد» فراهم میکند.

دفاع در برابر سوءاستفاده از BloodHound:

• کاهش پیچیدگی و مسیرهای غیرضروری دسترسی در AD (پاک سازی Attack Path ها).
• محدود کردن مجوزهای Account هایی که میتوانند اطلاعات گسترده از AD بخوانند.
• مانیتور کردن اجرای ابزارهای جمع آوری اطلاعات (enumeration) در شبکه.
• پیاده سازی اصول Least Privilege و نقش بندی صحیح (Role-based Access Control).

بکاپ، ریکاوری و بازیابی Active Directory

اکتیو دایرکتوری یکی از حیاتی ترین اجزای زیرساخت شبکه در محیط های ویندوزی است و خرابی یا از دست رفتن داده های آن میتواند کل فرآیند احراز هویت و مدیریت دسترسی در سازمان را مختل کند. به همین دلیل، داشتن استراتژی مناسب برای پشتیبان گیری (Backup)، بازیابی (Recovery) و مدیریت بحران در AD اهمیت بسیار بالایی دارد. در ادامه مهم ترین مفاهیم و روش های مرتبط با بکاپ و بازیابی اکتیو دایرکتوری بررسی میشود.

System State Backup چیست؟

System State Backup نوعی بکاپ در ویندوز سرور است که مجموعه‌ای از اجزای حیاتی سیستم را ذخیره میکند. در Domain Controller ها این بکاپ شامل اطلاعات بسیار مهمی است که برای بازیابی اکتیو دایرکتوری ضروری هستند.

محتوای System State در یک Domain Controller معمولاً شامل موارد زیر است:

• پایگاه داده اکتیو دایرکتوری (NTDS.dit)
• رجیستری سیستم
• فایل های بوت
• سرویس SYSVOL
• دیتابیس Certificate Services (در صورت نصب)
• متادیتای سرویس های سیستمی

این نوع بکاپ معمولاً با ابزارهایی مانند Windows Server Backup یا راهکارهای بکاپ سازمانی گرفته میشود.

اهمیت System State Backup در این است که در صورت خرابی Domain Controller یا آسیب دیدگی دیتابیس AD، میتوان با استفاده از آن ساختار دامین، کاربران، گروه ها و تنظیمات امنیتی را بازیابی کرد. در محیط های سازمانی توصیه میشود این بکاپ ها به صورت دوره‌ای و منظم گرفته شوند و نسخه‌ای از آنها در محل امن یا سیستم ذخیره سازی جداگانه نگهداری شود.

Authoritative و Non-Authoritative Restore

در فرآیند بازیابی اکتیو دایرکتوری، دو روش اصلی برای بازگردانی اطلاعات وجود دارد: Non-Authoritative Restore و Authoritative Restore.

Non-Authoritative Restore

در این روش، Domain Controller از بکاپ بازیابی میشود اما پس از آنلاین شدن، اطلاعات خود را با سایر Domain Controller های موجود در دامنه همگام سازی (Replication) میکند.

ویژگی های این روش:

• داده های قدیمی در DC بازیابی شده با نسخه های جدیدتر از سایر DC ها جایگزین میشوند.
• مناسب برای زمانی است که یک DC خراب شده اما سایر DC ها سالم هستند.
• ساده ترین و رایج ترین روش بازیابی در محیط های دارای چند Domain Controller است.

به عبارت دیگر، در این حالت DC بازیابی شده فقط به عنوان یک عضو عادی در فرآیند replication عمل میکند و داده های به روز را از دیگر DC ها دریافت میکند.

Authoritative Restore

در Authoritative Restore داده هایی که از بکاپ بازگردانی میشوند به عنوان نسخه معتبر (Authoritative) در نظر گرفته میشوند و به سایر Domain Controller ها تکثیر میشوند.

این روش زمانی استفاده میشود که:

• یک آبجکت مهم مانند کاربر، گروه یا OU به اشتباه حذف شده باشد
• نیاز باشد نسخه‌ای از داده های قدیمی به کل دامنه بازگردانده شود

در این سناریو، پس از بازیابی System State، با ابزار ntdsutil مشخص میشود که کدام آبجکت ها Authoritative هستند. سپس هنگام replication، این داده ها به سایر DC ها منتقل میشوند و جایگزین نسخه های فعلی میگردند.

به دلیل تأثیر گسترده این روش، استفاده از Authoritative Restore باید با دقت و برنامه ریزی انجام شود.

بازیابی با Active Directory Recycle Bin

Active Directory Recycle Bin قابلیتی است که از نسخه های جدید Windows Server معرفی شد و امکان بازیابی ساده تر آبجکت های حذف شده در AD را فراهم میکند.

قبل از معرفی این قابلیت، وقتی یک آبجکت حذف میشد:

• بسیاری از Attribute های آن از بین می رفت
• بازیابی کامل آن دشوار بود
• معمولاً نیاز به Authoritative Restore وجود داشت

با فعال بودن AD Recycle Bin:

• آبجکت های حذف شده ابتدا به حالت Deleted Object منتقل میشوند
• تمام Attribute های مهم حفظ میشوند
• میتوان آنها را بدون نیاز به Restore کامل دیتابیس بازیابی کرد

مزایای این قابلیت:

• بازیابی سریع کاربران، گروه ها و OU ها
• عدم نیاز به ریبوت Domain Controller
• حفظ کامل ویژگی های آبجکت

مدیریت و بازیابی آبجکت ها از طریق ابزارهایی مانند Active Directory Administrative Center یا PowerShell انجام میشود.

تعمیر و رفع آسیب دیدگی Domain Controller

گاهی Domain Controller ممکن است به دلایل مختلفی دچار مشکل شود، از جمله:

• خرابی دیتابیس اکتیو دایرکتوری
• مشکلات replication
• آسیب دیدگی فایل های سیستم
• خاموش شدن ناگهانی یا خرابی سخت افزار

برای رفع این مشکلات چند روش متداول وجود دارد.

در موارد خفیف، میتوان با راه اندازی مجدد سرویس ها، بررسی لاگ ها و اجرای ابزارهای عیب یابی مشکل را برطرف کرد. اما در موارد جدی تر ممکن است نیاز به اقدامات زیر باشد:

• بازیابی System State از بکاپ
• بازسازی دیتابیس AD
• Demote کردن DC و اضافه کردن مجدد آن به دامنه
• استفاده از ابزارهایی مانند ntdsutil برای تعمیر دیتابیس

در برخی سناریوها نیز اگر Domain Controller کاملاً از دسترس خارج شود، ساده ترین راه این است که سرور را مجدداً نصب کرده و آن را دوباره به عنوان DC در دامنه معرفی کرد.

مانیتورینگ سلامت AD (dcdiag و repadmin)

برای جلوگیری از مشکلات جدی در اکتیو دایرکتوری، مانیتورینگ سلامت Domain Controller ها بسیار مهم است. دو ابزار مهم و داخلی ویندوز برای این کار dcdiag و repadmin هستند.

dcdiag

ابزار dcdiag برای بررسی وضعیت سلامت Domain Controller استفاده میشود. این ابزار مجموعه‌ای از تست ها را اجرا میکند تا مشکلات احتمالی در سرویس های مختلف AD را شناسایی کند.

برخی از مواردی که dcdiag بررسی میکند:

• سلامت سرویس های AD
• وضعیت DNS
• تنظیمات replication
• دسترسی های شبکه
• وضعیت SYSVOL

ادمین ها میتوانند با اجرای این ابزار، گزارش دقیقی از مشکلات احتمالی در Domain Controller دریافت کنند.

repadmin

ابزار repadmin برای مدیریت و بررسی وضعیت Replication بین Domain Controller ها استفاده میشود.

با استفاده از این ابزار میتوان:

• وضعیت replication بین DC ها را مشاهده کرد
• خطاهای replication را شناسایی کرد
• فرآیند replication را به صورت دستی اجرا کرد
• تاخیرها و مشکلات همگام سازی را بررسی کرد

Replication سالم برای عملکرد صحیح اکتیو دایرکتوری حیاتی است، زیرا تمام تغییرات مربوط به کاربران، گروه ها و سیاست های امنیتی باید بین DC ها هماهنگ باشند.

به همین دلیل، استفاده منظم از ابزارهایی مانند dcdiag و repadmin به مدیران شبکه کمک میکند مشکلات احتمالی را قبل از تبدیل شدن به بحران شناسایی و برطرف کنند.

موارد استفاده اکتیو دایرکتوری در شبکه ها

اکتیو دایرکتوری (Active Directory) یکی از مهم ترین سرویس های زیرساختی در شبکه های مبتنی بر ویندوز است که برای مدیریت هویت کاربران، کنترل دسترسی و مدیریت متمرکز منابع شبکه استفاده میشود. این سرویس به سازمان ها کمک میکند کاربران، سیستم ها، سرورها و سیاست های امنیتی را به صورت متمرکز مدیریت کنند. کاربردهای اکتیو دایرکتوری بسته به اندازه و نوع سازمان میتواند متفاوت باشد.

در بسیاری از سازمان ها، پیاده سازی و نگهداری صحیح Active Directory نقش مهمی در افزایش امنیت، مدیریت متمرکز کاربران و کنترل دسترسی به منابع شبکه دارد. به همین دلیل، استفاده از خدمات اکتیو شبکه می‌تواند به کسب وکارها کمک کند تا ساختار دامین، Group Policy، سطح دسترسی کاربران و سیاست های امنیتی را به صورت اصولی و متناسب با نیاز مجموعه خود طراحی و مدیریت کنند.

سازمان های کوچک و متوسط

در سازمان های کوچک و متوسط (SMB)، اکتیو دایرکتوری معمولاً برای مدیریت ساده تر کاربران و سیستم ها استفاده میشود. در چنین محیط هایی ممکن است ده‌ها تا چند صد کاربر و دستگاه وجود داشته باشد و مدیریت دستی آنها بدون یک سیستم متمرکز دشوار است.

یکی از مهم ترین کاربردهای AD در این سازمان ها مدیریت حساب های کاربری است. ادمین شبکه میتواند کاربران را در یک مکان مرکزی ایجاد و مدیریت کند و هر کاربر با همان حساب کاربری به سیستم های مختلف شبکه دسترسی داشته باشد.

کاربرد دیگر مدیریت دسترسی به منابع شبکه است. برای مثال:

• دسترسی به فایل سرورها
• استفاده از پرینترهای شبکه
• دسترسی به نرم افزارهای داخلی سازمان

همچنین با استفاده از Group Policy میتوان تنظیمات امنیتی و سیستمی را روی همه کامپیوترهای شبکه اعمال کرد، مانند:

• تنظیم سیاست های رمز عبور
• محدود کردن دسترسی کاربران به برخی تنظیمات سیستم
• نصب خودکار نرم افزارها

در نتیجه، اکتیو دایرکتوری در سازمان های کوچک و متوسط باعث کاهش پیچیدگی مدیریت IT، افزایش امنیت و صرفه جویی در زمان مدیریت شبکه میشود.

سازمان های بزرگ و Enterprise

در سازمان های بزرگ که ممکن است هزاران کاربر، صدها سرور و چندین شعبه جغرافیایی داشته باشند، نقش اکتیو دایرکتوری بسیار حیاتی تر است. در چنین محیط هایی AD به‌عنوان هسته مدیریت هویت و دسترسی (Identity and Access Management) عمل میکند.

یکی از مهم ترین قابلیت ها در این سطح ساختاردهی سلسله مراتبی است. سازمان ها میتوانند دامنه ها، Forest ها و Organizational Unit ها (OU) را طوری طراحی کنند که ساختار سازمانی آنها را منعکس کند. این ساختار امکان مدیریت بهتر کاربران، گروه ها و سیاست ها را فراهم میکند.

در محیط های Enterprise، اکتیو دایرکتوری معمولاً برای موارد زیر استفاده میشود:

• پیاده سازی Single Sign-On (SSO) برای دسترسی به سرویس های مختلف
• مدیریت متمرکز هزاران کاربر و دستگاه
• کنترل دسترسی مبتنی بر نقش (Role-Based Access Control)
• یکپارچه سازی با سرویس های دیگر مانند Exchange Server، SharePoint و SQL Server

همچنین در سازمان های بزرگ، چندین Domain Controller در نقاط مختلف شبکه مستقر میشوند تا:

• افزونگی (Redundancy) ایجاد شود
• در صورت خرابی یک سرور، احراز هویت متوقف نشود
• کاربران در شعب مختلف با سرعت بیشتری احراز هویت شوند

به همین دلیل، اکتیو دایرکتوری در محیط های Enterprise به یکی از مهم ترین اجزای زیرساخت IT تبدیل میشود.

کاربرد در دیتاسنتر و محیط های امن

در دیتاسنترها و محیط های با حساسیت امنیتی بالا، اکتیو دایرکتوری نقش کلیدی در مدیریت دسترسی و امنیت سیستم ها دارد.

در این محیط ها معمولاً تعداد زیادی سرور، ماشین مجازی و سرویس های حیاتی وجود دارد که باید به صورت دقیق کنترل شوند. اکتیو دایرکتوری کمک میکند دسترسی کاربران و ادمین ها به این منابع به صورت کنترل شده و مبتنی بر سیاست های امنیتی انجام شود.

برای مثال در دیتاسنترها از AD برای موارد زیر استفاده میشود:

• مدیریت دسترسی ادمین ها به سرورها
• کنترل دسترسی به ماشین های مجازی
• مدیریت حساب های سرویس (Service Accounts)
• پیاده سازی سیاست های امنیتی سخت گیرانه

همچنین در محیط های امن، از قابلیت هایی مانند موارد زیر استفاده میشود:

• Privileged Access Management برای کنترل حساب های با دسترسی بالا
• Audit و لاگ گیری برای ردیابی فعالیت کاربران
• جداسازی دامنه ها برای محیط های حساس

در بسیاری از دیتاسنترها، اکتیو دایرکتوری با سیستم های امنیتی دیگر مانند SIEM، سیستم های مانیتورینگ و راهکارهای مدیریت هویت نیز یکپارچه میشود تا کنترل و نظارت دقیق تری بر دسترسی ها و فعالیت ها وجود داشته باشد.

جمع بندی

اکتیو دایرکتوری (Active Directory) یکی از مهم ترین سرویس های زیرساختی مایکروسافت برای مدیریت هویت (Identity Management)، احراز هویت (Authentication) و کنترل دسترسی (Authorization) در شبکه های سازمانی است. این سرویس با ایجاد یک ساختار متمرکز، امکان مدیریت کاربران، کامپیوترها، سرورها و منابع شبکه را در قالب Domain، Forest و Organizational Unit فراهم می کند.

در اکتیو دایرکتوری، اجزایی مانند Domain Controller، LDAP، Kerberos، DNS و Global Catalog با یکدیگر همکاری میکنند تا فرآیندهای احراز هویت، مدیریت دسترسی و جستجوی منابع شبکه به صورت سریع و ایمن انجام شود. همچنین قابلیت هایی مانند Group Policy، مدیریت کاربران و گروه ها، Single Sign-On و کنترل متمرکز تنظیمات امنیتی باعث میشود مدیران شبکه بتوانند زیرساخت IT سازمان را به شکل کارآمدتری مدیریت کنند.

علاوه بر این، اکتیو دایرکتوری در محیط های مختلفی از سازمان های کوچک و متوسط تا شبکه های بزرگ Enterprise و دیتاسنترها کاربرد دارد و به عنوان هسته اصلی مدیریت هویت در بسیاری از زیرساخت های سازمانی شناخته میشود. با توجه به رشد سرویس های ابری، امروزه این سرویس اغلب در کنار Microsoft Entra ID (Azure AD) و معماری Hybrid Identity استفاده میشود تا یکپارچگی بین منابع داخلی و سرویس های Cloud برقرار شود.

در نهایت میتوان گفت اکتیو دایرکتوری همچنان یکی از پایه های اصلی مدیریت امنیت و دسترسی در شبکه های سازمانی است. شناخت ساختار، سرویس ها، قابلیت ها و روش های محافظت از آن، برای مدیران شبکه و متخصصان امنیت اهمیت زیادی دارد، زیرا امنیت کل زیرساخت سازمان تا حد زیادی به امنیت و پیکربندی صحیح این سرویس وابسته است.