اکتیو دایرکتوری چیست؟(بررسی جامع اکتیو دایرکتوری)

سرویس اکتیو دایرکتوری چیست؟

Active Directory (AD) یک سرویس دایرکتوری است که توسط مایکروسافت برای مدیریت منابع شبکه مانند کاربران، کامپیوترها و سرویس‌ها در یک محیط سازمانی طراحی شده است. این سرویس به مدیران سیستم اجازه می‌دهد تا دسترسی‌ها و منابع مختلف شبکه را کنترل و مدیریت کنند.

اجزای اصلی Active Directory:

1. Domain:
   • دامین‌ها واحدهای منطقی در Active Directory هستند که منابع مختلف شبکه را در خود جای می‌دهند. هر دامین دارای یک نام خاص است و می‌تواند شامل چندین کامپیوتر، کاربر و منابع دیگر باشد.
2. Domain Controller:
   • سرورهایی که مسئول نگهداری و مدیریت داده‌های Active Directory در یک دامین هستند. آن‌ها اطلاعات مربوط به کاربران، گروه‌ها، و دسترسی‌ها را ذخیره می‌کنند و درخواست‌های احراز هویت را پردازش می‌کنند.
3. Organizational Units (OU):
   • ساختارهای درختی در Active Directory که برای دسته‌بندی و سازماندهی اشیاء مانند کاربران، گروه‌ها و دستگاه‌ها استفاده می‌شوند. این واحدها به مدیران سیستم کمک می‌کنند تا به راحتی منابع را مدیریت کنند.
4. Group Policies (GPO):
   • تنظیمات و سیاست‌های مدیریتی که به طور مرکزی بر روی کاربران و کامپیوترهای داخل دامین اعمال می‌شوند. این سیاست‌ها می‌توانند تنظیمات امنیتی، نرم‌افزارها، دسترسی‌ها و سایر ویژگی‌ها را کنترل کنند.
5. LDAP (Lightweight Directory Access Protocol):
   • پروتکلی است که برای دسترسی به اطلاعات موجود در دایرکتوری‌ها استفاده می‌شود. Active Directory از LDAP برای جستجو و بازیابی داده‌های دایرکتوری استفاده می‌کند.

کارکردهای اصلی Active Directory:

1. مدیریت هویت‌ها و احراز هویت:
   • اصلی‌ترین وظیفه Active Directory مدیریت کاربران و احراز هویت آن‌ها است. به طور مثال، کاربران برای دسترسی به منابع شبکه باید اطلاعات خود را وارد کنند و AD اعتبارسنجی می‌کند.
2. کنترل دسترسی:
   • Active Directory از طریق سیاست‌های گروهی و تعیین دسترسی‌ها، منابع شبکه را مدیریت می‌کند. این قابلیت به مدیران امکان می‌دهد تا تصمیم بگیرند که کدام کاربران به چه منابعی دسترسی داشته باشند.
3. مدیریت منابع شبکه:
   • از طریق AD می‌توان منابع شبکه مانند پرینترها، سرورها و فایل‌ها را مدیریت کرد و به طور متمرکز به آن‌ها دسترسی داشت.
4. قابلیت مقیاس‌پذیری:
   • Active Directory قابلیت مقیاس‌پذیری بالایی دارد و می‌تواند در سازمان‌های کوچک تا بزرگ با هزاران کاربر و سیستم به خوبی عمل کند.

وظیفه اکتیو دایرکتوری چیست؟

Active Directory (AD) یک سرویس دایرکتوری است که توسط مایکروسافت توسعه یافته و برای مدیریت منابع مختلف شبکه مانند کاربران، گروه‌ها، کامپیوترها، سرورها و سایر منابع در یک شبکه سازمانی استفاده می‌شود. اکتیو دایرکتوری به‌ویژه در سازمان‌های بزرگ و پیچیده بسیار مفید است زیرا امکانات پیشرفته‌ای برای مدیریت دسترسی‌ها، امنیت و پیکربندی منابع فراهم می‌کند.

وظایف اصلی Active Directory

1. مدیریت هویت و احراز هویت کاربران:

1. • یکی از اصلی‌ترین وظایف اکتیو دایرکتوری، مدیریت هویت‌های کاربران است. به‌طور خاص، این سرویس مسئولیت احراز هویت و شناسایی کاربران را بر عهده دارد. به این صورت که هنگام تلاش کاربر برای ورود به سیستم، اکتیو دایرکتوری اطلاعات احراز هویت را بررسی کرده و در صورت تایید اعتبار، دسترسی به منابع شبکه فراهم می‌شود.

2. مدیریت و کنترل دسترسی به منابع شبکه:

1. • اکتیو دایرکتوری به مدیران سیستم این امکان را می‌دهد که دسترسی کاربران به منابع مختلف شبکه (مانند فایل‌ها، پرینترها، سرورها) را مدیریت کنند. از طریق تعیین سیاست‌ها و دسترسی‌ها می‌توان کنترل دقیقی بر منابع داشت و از سوءاستفاده‌های احتمالی جلوگیری کرد.

3. ایجاد و مدیریت گروه‌ها:

1. • در اکتیو دایرکتوری، کاربران می‌توانند در گروه‌های مختلف قرار گیرند و دسترسی‌های مشابهی دریافت کنند. به‌عنوان مثال، گروه‌های مدیریتی، گروه‌های کارکنان و گروه‌های کاربران می‌توانند دسترسی‌های متفاوتی داشته باشند. این ویژگی باعث ساده‌تر شدن فرآیندهای مدیریتی و امنیتی می‌شود.

4. مدیریت منابع شبکه از طریق Organizational Units (OU):

1. • Active Directory به مدیران این امکان را می‌دهد که منابع مختلف شبکه مانند کاربران، گروه‌ها و کامپیوترها را در واحدهای سازمانی (OU) تقسیم‌بندی کنند. این ساختار به تسهیل مدیریت منابع کمک می‌کند و قابلیت‌های نظارتی و گزارش‌گیری را تسهیل می‌کند.

5. اجرای سیاست‌های گروهی (Group Policy):

1. • با استفاده از Group Policy Objects (GPO)، اکتیو دایرکتوری امکان اجرای سیاست‌های مدیریتی را در سراسر سازمان فراهم می‌کند. این سیاست‌ها می‌توانند شامل تنظیمات امنیتی، نصب نرم‌افزار، پیکربندی دستگاه‌ها و سایر تنظیمات مدیریتی باشند. با GPO می‌توان کنترل دقیقی بر نحوه استفاده از سیستم‌ها و منابع در شبکه اعمال کرد.

6. کشف و مدیریت منابع شبکه (LDAP):

1. • اکتیو دایرکتوری از پروتکل LDAP (Lightweight Directory Access Protocol) برای دسترسی به داده‌ها و منابع استفاده می‌کند. LDAP به مدیران شبکه این امکان را می‌دهد که به راحتی داده‌های ذخیره شده در دایرکتوری را جستجو و بازیابی کنند و بر اساس آن‌ها تنظیمات مختلفی اعمال کنند.

7. پشتیبانی از چندین دامنه و اعتماد بین دامنه‌ها:

1. • اکتیو دایرکتوری می‌تواند چندین دامنه را در خود مدیریت کند. این ویژگی به سازمان‌ها این امکان را می‌دهد که از چندین دامین در یک ساختار سازمانی استفاده کنند و روابط اعتماد (trust relationships) بین دامنه‌های مختلف برقرار کنند. این کار اجازه می‌دهد که کاربران در دامنه‌های مختلف به منابع مشترک دسترسی داشته باشند.

8. مدیریت خودکار اطلاعات کاربران و گروه‌ها:

1. • اکتیو دایرکتوری امکان خودکارسازی فرآیندهای مختلفی مانند اضافه کردن و حذف کردن کاربران و گروه‌ها را فراهم می‌کند. این ویژگی به ویژه در سازمان‌های بزرگ که تعداد زیادی کاربر و گروه وجود دارد بسیار مفید است.

9. پشتیبانی از فرآیندهای کپی و همگام‌سازی:

1. • در صورتی که چندین Domain Controller در شبکه وجود داشته باشد، اکتیو دایرکتوری قابلیت همگام‌سازی اطلاعات بین این سرورها را به‌طور خودکار فراهم می‌کند. این کار باعث می‌شود که همیشه نسخه به‌روز و یکسانی از داده‌ها در دسترس باشد و در صورت بروز مشکلات، سرویس‌دهی ادامه یابد.

مزایای اکتیو دایرکتوری

• افزایش امنیت: با اعمال سیاست‌های دسترسی محدود و نظارت بر رفتار کاربران، امنیت شبکه به‌طور چشمگیری افزایش می‌یابد.
• مدیریت مرکزی: تمامی منابع و تنظیمات شبکه از یک نقطه مرکزی کنترل می‌شوند که باعث سهولت در مدیریت و کاهش پیچیدگی‌ها می‌شود.
• مقیاس‌پذیری بالا: اکتیو دایرکتوری می‌تواند به راحتی در سازمان‌های کوچک تا بزرگ با تعداد کاربران و دستگاه‌های متعدد گسترش یابد.
• انعطاف‌پذیری در تخصیص منابع: از طریق GPOها و OUها می‌توان به‌طور دقیق‌تری منابع را تخصیص داده و مدیریت کرد.

قابلیت‌های اکتیو دایرکتوری (Active Directory)

۱. احراز هویت و کنترل دسترسی

یکی از مهم‌ترین وظایف اکتیو دایرکتوری، احراز هویت کاربران و کنترل سطح دسترسی آن‌ها به منابع شبکه است. این قابلیت شامل:

• احراز هویت امن از طریق پروتکل‌هایی مانند Kerberos و LDAP
• کنترل دسترسی مبتنی بر نقش (RBAC) برای تعیین دسترسی کاربران به منابع خاص
• یکپارچگی با سیستم‌های احراز هویت چندعاملی (MFA) جهت افزایش امنیت ورود کاربران

۲. مدیریت کاربران و گروه‌ها

اکتیو دایرکتوری امکان ایجاد، ویرایش و مدیریت کاربران و گروه‌ها را به صورت متمرکز فراهم می‌کند. از جمله قابلیت‌های این بخش می‌توان به موارد زیر اشاره کرد:

• ایجاد و سازمان‌دهی کاربران، گروه‌ها و واحدهای سازمانی (OU)
• استفاده از Group Policy Objects (GPOs) برای اعمال تنظیمات امنیتی و مدیریتی بر روی کاربران و کامپیوترها
• Delegation of Control برای تفویض وظایف مدیریتی به کاربران مشخص

۳. ساختار سلسله مراتبی و دامنه‌ها

اکتیو دایرکتوری از یک ساختار سلسله‌مراتبی استفاده می‌کند که شامل موارد زیر است:

• دامنه (Domain): گروهی از کاربران و منابع که در یک ساختار مشترک سازمان‌دهی شده‌اند
• جنگل (Forest): مجموعه‌ای از دامنه‌ها که در یک شبکه به یکدیگر متصل هستند
• واحد سازمانی (OU): بخش‌هایی از دامنه که برای سازمان‌دهی بهتر کاربران و منابع استفاده می‌شود
• سایت (Site): بهینه‌سازی ترافیک شبکه و احراز هویت در شبکه‌های توزیع‌شده

۴. سرویس‌های مرتبط با اکتیو دایرکتوری

اکتیو دایرکتوری شامل چندین سرویس وابسته است که هرکدام وظایف خاصی را انجام می‌دهند:

• Active Directory Domain Services (AD DS): مدیریت مرکزی کاربران و منابع شبکه
• Active Directory Certificate Services (AD CS): ایجاد و مدیریت گواهینامه‌های دیجیتال برای امنیت ارتباطات
• Active Directory Federation Services (AD FS): فراهم‌سازی امکان احراز هویت یکپارچه (SSO) در محیط‌های ترکیبی و ابری
• Active Directory Lightweight Directory Services (AD LDS): ارائه قابلیت‌های دایرکتوری سبک برای برنامه‌های خاص
• Active Directory Rights Management Services (AD RMS): مدیریت حقوق اطلاعات و کنترل دسترسی به اسناد حساس

۵. قابلیت‌های امنیتی و بازیابی اطلاعات

امنیت در اکتیو دایرکتوری یکی از مهم‌ترین جنبه‌ها است و شامل ویژگی‌های زیر می‌شود:

• BitLocker & Encryption Key Management برای مدیریت رمزگذاری دیسک‌ها
• Recycle Bin for AD برای بازیابی اشیای حذف‌شده از دایرکتوری
• Backup & Restore برای تهیه نسخه پشتیبان از داده‌های AD و بازیابی آن‌ها در مواقع اضطراری

۶. یکپارچگی با فضای ابری (Azure AD)

اکتیو دایرکتوری به راحتی با Azure Active Directory (Azure AD) یکپارچه می‌شود تا تجربه احراز هویت در محیط‌های ابری و ترکیبی را بهبود بخشد. برخی از ویژگی‌های این یکپارچگی عبارتند از:

• همگام‌سازی کاربران و گروه‌ها بین AD محلی و Azure AD
• Single Sign-On (SSO) برای ورود کاربران به برنامه‌های ابری مانند Microsoft 365
• Hybrid Identity برای استفاده ترکیبی از هویت‌های محلی و ابری

گروه‌های اکتیو دایرکتوری (Active Directory Groups)

اکتیو دایرکتوری (Active Directory) امکان مدیریت کاربران و منابع شبکه را به‌صورت ساختاریافته فراهم می‌کند. یکی از مهم‌ترین ابزارهای مدیریت دسترسی در این سیستم، گروه‌های اکتیو دایرکتوری هستند که به سازمان‌ها اجازه می‌دهند تا کاربران را دسته‌بندی کرده و سطح دسترسی مناسبی به منابع شبکه اختصاص دهند. در این مقاله به بررسی انواع گروه‌ها در اکتیو دایرکتوری و کاربردهای آن‌ها می‌پردازیم.

۱. انواع گروه‌های اکتیو دایرکتوری

در اکتیو دایرکتوری، گروه‌ها بر اساس نوع و محدوده عملکرد طبقه‌بندی می‌شوند:

الف) انواع گروه‌ها بر اساس هدف

1. Security Groups
   • برای مدیریت مجوزها و دسترسی کاربران به منابع شبکه استفاده می‌شوند.
   • اعضای این گروه‌ها می‌توانند مجوزهای خاصی برای فایل‌ها، فولدرها و سایر منابع دریافت کنند.
2. Distribution Groups
   • برای توزیع ایمیل‌ها در Microsoft Exchange Server و سایر برنامه‌های مشابه استفاده می‌شوند.
   • این گروه‌ها برای تعیین مجوزهای دسترسی کاربردی ندارند.

ب) انواع گروه‌ها بر اساس محدوده عملکرد

1. Local Groups
   • فقط در کامپیوترهای خاص یا سرورهای مشخص قابل استفاده هستند.
2. Domain Local Groups
   • می‌توانند شامل کاربران، گروه‌های جهانی و گروه‌های دامنه دیگر باشند.
   • اغلب برای کنترل دسترسی منابع در همان دامنه استفاده می‌شوند.
3. Global Groups
   • می‌توانند در تمام دامنه‌های اکتیو دایرکتوری استفاده شوند.
   • برای دسته‌بندی کاربران بر اساس ویژگی‌های مشترک کاربرد دارند.
4. Universal Groups
   • در تمامی دامنه‌های موجود در یک (Forest)قابل استفاده هستند.
   • برای مدیریت گسترده دسترسی‌ها در سازمان‌های بزرگ مفید هستند.

۲. کاربردهای گروه‌های اکتیو دایرکتوری

• مدیریت متمرکز دسترسی به منابع شبکه با استفاده از Security Groups
• ارسال ایمیل گروهی با استفاده از Distribution Groups
• تسهیل مدیریت کاربران در دامنه‌های مختلف با استفاده از Universal Groups
• استفاده در Group Policy Objects (GPOs) برای اعمال تنظیمات خاص بر روی کاربران و کامپیوترها

۳. نحوه ایجاد و مدیریت گروه‌ها

برای ایجاد و مدیریت گروه‌ها در اکتیو دایرکتوری می‌توان از ابزارهای مختلفی مانند Active Directory Users and Computers (ADUC)، PowerShell و Command Prompt استفاده کرد.

رول‌های اکتیو دایرکتوری (Active Directory Roles)

اکتیو دایرکتوری (Active Directory) یک سرویس مرکزی برای مدیریت کاربران، دستگاه‌ها و منابع شبکه است. در این سیستم، رول‌های (Roles) مختلفی برای مدیریت و کنترل عملیات شبکه وجود دارد که هرکدام وظایف مشخصی را انجام می‌دهند. در این مقاله به بررسی رول‌های اکتیو دایرکتوری و کاربردهای آن‌ها می‌پردازیم.

۱. انواع رول‌های اکتیو دایرکتوری

رول‌های اکتیو دایرکتوری به طور کلی به پنج نقش اصلی تقسیم می‌شوند که به آن‌ها FSMO (Flexible Single Master Operations) نیز گفته می‌شود:

Schema Master

• مسئول مدیریت و تغییرات در Schema اکتیو دایرکتوری است.
• در هر Forest فقط یک Schema Master وجود دارد.
• تغییرات این رول بر کل ساختار اکتیو دایرکتوری تأثیر می‌گذارد.

Domain Naming Master

• مسئول مدیریت ایجاد و حذف دامنه‌ها در جنگل (Forest) است.
• در هر Forest فقط یک Domain Naming Master وجود دارد.
• هنگام افزودن یا حذف دامنه‌ها، این نقش ضروری است.

RID Master

• مسئول تخصیص RID (Relative ID) برای کاربران و گروه‌ها در دامنه است.
• در هر Domain فقط یک RID Master وجود دارد.
• بدون این رول، نمی‌توان کاربران یا گروه‌های جدیدی ایجاد کرد.

PDC Emulator

• مسئول همگام‌سازی پسوردها و پردازش تغییرات حساب‌های کاربری است.
• به عنوان سرور اصلی برای پردازش درخواست‌های احراز هویت عمل می‌کند.
• در محیط‌های Mixed Mode (شامل ویندوز سرورهای قدیمی) بسیار حیاتی است.

Infrastructure Master

• وظیفه همگام‌سازی اطلاعات بین دامنه‌های مختلف را دارد.
• تغییرات را در بین گروه‌ها و اعضای آن‌ها در کل اکتیو دایرکتوری اعمال می‌کند.
• این رول نباید روی Global Catalog Server باشد، مگر در صورتی که فقط یک دامنه در جنگل وجود داشته باشد.

پارتیشن‌های اکتیو دایرکتوری (Active Directory Partitions)

اکتیو دایرکتوری (Active Directory) یک سرویس مرکزی برای مدیریت کاربران، دستگاه‌ها و منابع شبکه است. برای سازمان‌دهی بهتر و مدیریت بهینه اطلاعات، اکتیو دایرکتوری داده‌های خود را در بخش‌هایی به نام پارتیشن‌ها (Partitions) ذخیره می‌کند. هر پارتیشن دارای یک نقش خاص در ساختار دایرکتوری است. در این مقاله به معرفی انواع پارتیشن‌های اکتیو دایرکتوری و وظایف آن‌ها می‌پردازیم.

انواع پارتیشن‌های اکتیو دایرکتوری

پارتیشن‌های اکتیو دایرکتوری به چهار دسته اصلی تقسیم می‌شوند:

Schema

• شامل تعاریف تمامی اشیاء و ویژگی‌های آن‌ها در اکتیو دایرکتوری است.
• فقط یک نسخه از این پارتیشن در کل Forest وجود دارد.
• تغییرات در این پارتیشن، کل اکتیو دایرکتوری را تحت تأثیر قرار می‌دهد.
• در سرور Schema Master FSMO ذخیره و مدیریت می‌شود.

 Configuration

شامل اطلاعات مربوط به ساختار کلی جنگل (Forest)، دامنه‌ها و سایت‌ها است.

• این پارتیشن بین تمام کنترل‌کننده‌های دامنه (DCs) در یک جنگل به اشتراک گذاشته می‌شود.
• اطلاعاتی مانند سایت‌ها، لینک‌های تکرار (Replication Links) و تنظیمات سرویس‌ها را نگهداری می‌کند.

Domain

• شامل تمامی کاربران، گروه‌ها، کامپیوترها و سایر اشیاء موجود در دامنه است.
• هر دامنه دارای یک پارتیشن Domain خاص خود است.
• فقط بین کنترل‌کننده‌های دامنه (DCs) در همان دامنه تکرار می‌شود.

Application 

• این پارتیشن برای ذخیره اطلاعات مربوط به برنامه‌ها و سرویس‌هایی که از اکتیو دایرکتوری استفاده می‌کنند، به کار می‌رود.
• داده‌های این پارتیشن می‌توانند فقط به دامنه‌های خاصی تکرار شوند و به کل جنگل نیازی ندارند.
• برخی از سرویس‌هایی که از این پارتیشن استفاده می‌کنند عبارتند از DNS (Domain Name System) و سرویس‌های دایرکتوری دیگر.

اهمیت پارتیشن‌های اکتیو دایرکتوری

• افزایش کارایی و عملکرد: پارتیشن‌بندی به توزیع داده‌ها کمک کرده و بار پردازشی را بین سرورهای مختلف تقسیم می‌کند.
• بهینه‌سازی فرآیند تکرار (Replication): اطلاعات هر پارتیشن فقط در کنترل‌کننده‌های مرتبط تکرار می‌شود، که باعث کاهش پهنای باند مصرفی می‌شود.
• سازمان‌دهی بهتر داده‌ها: با تقسیم‌بندی اطلاعات به بخش‌های مشخص، مدیریت اکتیو دایرکتوری ساده‌تر و مؤثرتر خواهد بود.

تفاوت اکتیو دایرکتوری و دامین کنترلر

در شبکه‌های سازمانی مبتنی بر مایکروسافت، اکتیو دایرکتوری (Active Directory) و دامین کنترلر (Domain Controller) دو مفهوم کلیدی هستند. بسیاری از افراد این دو را به‌عنوان یک مفهوم یکسان در نظر می‌گیرند، اما در حقیقت تفاوت‌های اساسی بین آن‌ها وجود دارد. در ادامه ، به بررسی دقیق تفاوت‌های این دو مفهوم پرداخته و نقش هر یک در مدیریت شبکه را توضیح می‌دهیم.

۱. اکتیو دایرکتوری (Active Directory) چیست؟

اکتیو دایرکتوری (AD) یک سرویس دایرکتوری توسعه‌یافته توسط مایکروسافت است که برای مدیریت و احراز هویت کاربران، دستگاه‌ها و منابع شبکه مورد استفاده قرار می‌گیرد. اکتیو دایرکتوری به سازمان‌ها امکان می‌دهد که سیاست‌های امنیتی را اجرا کرده و کنترل کاملی روی دسترسی‌های کاربران داشته باشند.

ویژگی‌های کلیدی اکتیو دایرکتوری:

• مدیریت کاربران، گروه‌ها و دستگاه‌های شبکه
• امکان اعمال Group Policy Objects (GPOs) برای مدیریت سیاست‌های امنیتی
• تسهیل فرآیند احراز هویت و مجوزدهی
• ارائه ساختار سلسله‌مراتبی شامل دامنه‌ها، درخت‌ها و جنگل‌ها
• پشتیبانی از LDAP (Lightweight Directory Access Protocol) برای ارتباط با سایر سرویس‌ها

۲. دامین کنترلر (Domain Controller) چیست؟

دامین کنترلر (DC) یک سرور فیزیکی یا مجازی است که اکتیو دایرکتوری روی آن اجرا شده و مسئول احراز هویت کاربران و مدیریت منابع شبکه است. دامین کنترلر درخواست‌های مربوط به ورود کاربران، اعتبارسنجی و مجوزدهی به منابع را پردازش می‌کند.

ویژگی‌های کلیدی دامین کنترلر:

• اجرای سرویس‌های احراز هویت مانند Kerberos و NTLM
• ذخیره و مدیریت پایگاه داده اکتیو دایرکتوری
• پاسخگویی به درخواست‌های کاربران برای دسترسی به منابع شبکه
• هماهنگی و تکرار (Replication) اطلاعات بین دامین کنترلرهای دیگر در یک شبکه

ارتباط بین اکتیو دایرکتوری و دامین کنترلر

• اکتیو دایرکتوری بدون دامین کنترلر قابل اجرا نیست، زیرا برای اجرا و مدیریت داده‌های خود نیاز به یک سرور دارد.
• دامین کنترلر بدون اکتیو دایرکتوری کارایی خاصی ندارد، زیرا نقش اصلی آن اجرای اکتیو دایرکتوری است.
• در یک شبکه سازمانی، معمولاً چندین دامین کنترلر وجود دارد که با یکدیگر هماهنگ شده و از طریق فرآیند تکرار داده‌ها را همگام‌سازی می‌کنند.