راهنمای جامع اصطلاحات، تعاریف و مبانی Active Directory

قبل از معرفی اکتیو دایرکتوری اگر در نظر داشتید یک فایل به‌اشتراک گذاشته شده در شبکه را به دست آورید باید نام یا آدرس آی‌پی سرور، مسیر فایل مورد نظر و نام آن‌را می‌دانستید. اگر چه این راهکار برای شبکه‌های کوچک جواب‌گو است، اما با رشد شبکه قابل تعمیم نیست. یک سرویس دایرکتوری با نقشه‌برداری از تمام اسامی‌ منابع شبکه از قبیل فایل‌های به‌اشتراک گذاشته شده، چاپگرها، سرورها و غیره و معادل‌سازی آن‌ها با آدرس مخصوص هر کدام از آن‌ها به رفع این مشکل کمک می‌کند. امروزه یک سرویس یکپارچه مثل اکتیو دایرکتوری برای شبکه‌های سازمانی بزرگ نقش حیاتی دارد. اکتیو دایرکتوری تقريبا از تمام فرآیندها و اپلیکیشن‌های ضروری مانند تهیه منابع، برنامه‌ریزی ظرفیت، امنیت، خدمات شبکه، مدیریت منابع و موارد دیگر پشتیبانی می‌کند. قابلیت‌ها و خدماتی که اکتیو دایرکتوری ارائه می‌کند به اندازه‌ای زیاد هستند که به راحتی می‌توان یک کتاب برای آن نوشت، بر همین اساس ضروری است به عنوان یک کارشناس شبکه با اصطلاحات مهم و کاربردی اکتیو دایرکتوری آشنا باشید. 

مبانی Active Directory

سرویس دایرکتوری 

یک سرویس دایرکتوری یک محل ذخیره و نگهداری اطلاعات است که بر اساس یک ساختار سلسله مراتبی ساخته شده است. این سرویس امکان ذخیره، جست‌وجو و مدیریت آسان و سریع منابع درون شبکه را فراهم می‌کند. هر منبع شبکه به عنوان یک شی در نظر گرفته می‌شود. لازم است به این نکته توجه داشته باشید که یک سرویس دایرکتوری بیشتر از یک پایگاه داده معمولی است و همان‌گونه که در نام آن مشخص شده یک سرویس است. پایگاه داده یک منبع ذخیره‌سازی و نگهداری فیزیکی است که از طریق یک سیستم کامپیوتری قابل دسترس است، در حالی که سرویس دایرکتوری از پایگاه داده برای درخواست و دریافت اطلاعات شی‌ها استفاده می‌کند.

Active Directory

اکتیو دایرکتوری (AD) سرنام Active Directory یک سرویس دایرکتوری مخصوص شبکه‌های دامنه ویندوز است که به همراه هر ویندوز سروری که ضوابط Active Directory Domain Services در آن نصب شده باشد ارائه می‌شود. Active Directory در وهله نخست برای ذخیره، دادن مجوزها و مدیریت اطلاعات در مورد کاربران و منابع آن‌ها استفاده می‌شود و می‌تواند اطلاعات را به عنوان شی ذخیره کند. یک شی منبعی در یک شبکه از قبیل حساب‌های کاربری، کلمات عبور، کامپیوترها، برنامه‌ها، چاپگرها، فایل و پوشه اشتراکی، گروه‌های امنیتی و مجوزهای آن‌ها است. کنترل‌کننده دامنه ویندوز (DC) سرنام  Windows Domain Controller که همان سروری است که ضوابط Active Directory Domain Services در آن نصب شده از سخت‌افزار و نرم‌افزاری تشکیل شده که مجموعه‌ای از سرویس‌های AD را فراهم می‌کند. وظیفه اصلی یک کنترل‌کننده دامنه این است که صلاحیت و مجوز تمام کاربران و منابع آن‌ها در یک شبکه دامنه ویندوز را تایید کند (شکل 1). بهترین مثال در مورد AD زمانی است که یک کاربر به یک کامپیوتری که بخشی از یک دامنه ویندوز است ورود پیدا می‌کند. AD اطلاعات هویتی را در پایگاه داده بررسی می‌کند، اگر نام کاربری و کلمه عبور معتبر باشد کاربر می‌تواند به کامپیوتر وارد شود.

شکل 1

ساختار Active Directory

اکتیو دایرکتوری تمام منابع شبکه شما را در یک ساختار منطقی سازمان‌دهی می‌کند. این مدل منطقی مستقل از ساختار فیزیکی شبکه است. به عبارت دیگر، AD به توپولوژی شبکه یا تعداد کنترل‌کننده‌های دامنه اهمیتی نمی‌دهد و فقط منابع را به صورت منطقی سازمان‌دهی می‌کند. بنابراین AD به جای یافتن یک منبع بر اساس مکان فیزیکی آن به کاربران امکان می‌دهد آن‌را بر اساس نامش پیدا کنند. اکتیو دایرکتوری به شما امکان می‌دهد عناصر شبکه مانند کاربران یا کامپیوترها را بر اساس یک ساختار منطقی سلسله مراتبی سازماندهی کنید. در بالای این سلسله مراتب جنگل (Forest) قرار دارد و پس از آن درختان (Trees) قرار دارند که یک یا چند دامنه را در خود جای داده‌اند. درون یک دامنه هم واحدهای سازمانی (OU) قرار دارد (شکل 2).

شکل 2

شی‌های Active Directory

ساختار اکتیو دایرکتوری توسط گروه‌بندی اطلاعات شکل می‌گیرد که به آن‌ها شی (Object) گفته می‌شود. هر شی نمایان‌گر یک موجودیت شبکه منحصر به فرد مانند کاربر یا کامپیوتر است که توسط مجموعه‌ای از خصوصیات توصیف می‌شود. به عنوان مثال، یک شی کاربر می‌تواند با خصوصیاتی مثل نام، شناسه، آدرس، تلفن و موارد دیگر مشخص شود. اشیا به دو دسته منابع و اولویت امنیتی تقسیم‌بندی می‌شوند. اشیا درون دسته منابع می‌تواند شامل چاپگرها، کامپیوترها یا سایر دستگاه‌های به‌اشتراک گذاشته شده باشد. اشیا درون دسته اولویت امنیتی نیز شامل کاربران، کلمات عبور، گروه‌ها یا هر گونه شی هستند که به احراز هویت نیاز دارد. AD به هر یک از این اولويت‌های امنیتی یک شناسه امنیتی (SID) منحصر به فرد اختصاص می‌دهد. از شناسه امنیتی برای اجازه یا رد دسترسی شی به منابع موجود در یک دامنه استفاده می‌شود (شکل 3). شی‌هایی که به‌طور پیش‌فرض توسط اکتیو دایرکتوری پشتیبانی می‌شوند شامل این موارد هستند: 

•  Users: اشیایی هستند که به افرادی که نیاز به دسترسی به منابع دامنه دارند اختصاص داده شده است. یک حساب کاربری یک نام کاربری و یک کلمه عبور دارد از جمله این اشیا هستند. 
•  Computers: نشان‌دهنده یک ایستگاه کاری یا سرور در دامنه است.
•  Contacts: شامل اطلاعاتی در مورد مخاطبان ثالث است. این شی SID ندارد، بنابراین به دامنه تعلق ندارد.
•  Groups: مجموعه‌ای از حساب‌های کاربری، کامپیوترها یا مخاطبین را نشان می‌دهد و در دو نوع گروه امنیتی و توزیع وجود دارد. گروه‌ها مدیریت اشیا را ساده‌تر می‌کنند. 
•  Shared folder: به یک سرور اشتراکی اشاره دارد و برای به‌اشتراک گذاشتن فایل‌ها در کل شبکه استفاده می‌شود.
• Printer: این شی مربوط به یک چاپگر به اشتراک گذاشته شده در دامنه است.
• Organizational Unit (OU): این نوع شی گروهی است که می‌تواند شامل اشیا دیگر مثل کاربران، کامپیوترها یا گروه‌های درون یک دامنه یکسان باشد. یک واحد سازمانی برای ذخیره اشیا مشابه و سهولت در مدیریت آن‌ها استفاده می‌شود.

شکل 3

دامنه‌ها 

دامنه‌ها (Domains) واحد اصلی ساختاری اکتیو دایرکتوری هستند. آن‌ها مجموعه‌ای از اشیا هستند که با استفاده از اطلاعات شناسه شی توسط یک پایگاه داده شکل گرفته‌اند. یک دامنه AD می‌تواند چند زیر دامنه داشته باشد که به آن‌ها دامنه‌های فرزند گفته می‌شود. یک دامنه از مدل ارتباط کلاینت-سرور استفاده می‌کند. این مدل امنیت را فراهم می‌کند، زیرا می‌توانید مجوزها را از دامنه (سرور) به کاربران یا گروه‌های مختلف (کلاینت‌ها) اختصاص دهید. یک کنترل کننده دامنه از سرویس‌های امنیتی استفاده می‌کند که تایید اعتبار و مجوز را برای منابع مشخص فراهم می‌کند (شکل 4).

شکل 4

وقتی برای اولین بار یک اکتیو دایرکتوری را پیکربندی می‌کنید باید یک نام دامنه ریشه ایجاد کنید. یک مثال از نام دامنه اکتیو دایرکتوری می‌تواند ad-internal.company.com باشد که در آن ad-internal نامی‌ است که برای دامنه AD داخلی استفاده می‌کنید و company.com به منابع خارجی اشاره دارد. 

سطوح عملکردی 

سطوح عملکردی اکتیو دایرکتوری کنترل‌هایی هستند که تعیین می‌کنند کدام یک از سرویس‌های دامنه اکتیو دایرکتوری می‌تواند در دامنه استفاده شود. علاوه بر این، سطح فوق می‌تواند نسخه سیستم‌عامل ویندوز سرور که در کنترل‌کننده‌های دامنه اجرا می‌شود را مشخص کند. به‌طور مثال، یک راهکار ایده‌ال در زمان پیاده‌سازی ضوابط Active Directory Domain Services این است که سطوح عملکردی دامنه را روی حداکثر مقدار تنظیم کنید تا امکان برخورداری از آخرین و بهترین قابلیت‌های موجود در اکتیو دایرکتوری فراهم شود (شکل 5).

شکل 5

امنیت Active Directory

Kerberos

Kerberos یک پروتکل احراز هویت است و با استفاده از الگوریتم‌های رمزنگار، امنیت اپلیکیشن‌های ارتباطی کلاینت/سرور را تضمین می‌کند. اکتیو دایرکتوری از Kerberos برای ایجاد مکانیسم‌های تایید اعتبار بین سرور و سرویس‌گیرنده استفاده می‌کند. به این ترتیب تایید صلاحیت کاربران سنجیده می‌شود و دسترسی به یک دامنه صادر خواهد شد. سه عنصر اصلی در سیستم Kerberos عبارتند از:

•  مرکز توزیع کلید (KDC): سرویس KDC هسته مرکزی سرور Kerberos است که به تمام تیکت‌ها رسیدگی می‌کند. این سرویس روی همه کنترل‌کننده‌های دامنه اکتیو دایرکتوری اجرا می‌شود. وقتی کلاینت اکتیو دایرکتوری با KDC احراز هویت می‌شود پروتکل مذکور یک TGT صادر می‌کند.
• تیکت اعطای مجوز (TGT): یک فایل احراز هویت است که شامل آی‌پی کاربر، یک دوره اعتبار و یک کلید جلسه TGT است. TGT در طی مراحل احراز هویت Kerberos رمزگذاری می‌شود. 
• سرویس اعطای مجوز (TGS): این سرویس TGTها و سایر تیکت‌های دیگر را برای سیستم‌ها فراهم می‌کند (شکل 6).

شکل 6

نام‌های اصلی سرویس

نام اصلی سرویس (SPN) سرنام Service Primary Name یک شناسه واحد است که در فرآیند احراز هویت Kerberos استفاده می‌شود. SPN یک نمونه سرویس کنترل‌کننده شبکه را به یک حساب ورود به سیستم متصل می‌کند. هنگامی‌ که از حساب سرویس یا حساب کاربری استفاده نمی‌شود، می‌توان از SPN برای تایید اعتبار سرویس‌ها به یک اپلیکیشن کلاینت استفاده کرد.

کنسول‌های مدیریتی اکتیو دایرکتوری

می‌توان از کنسول‌های مدیریت اکتیو دایرکتوری برای نگه‌داری و استفاده روزانه از اکتیو دایرکتوری استفاده کرد. برخی از این کنسول‌ها مختص مایکروسافت هستند و برخی دیگر راهکارهای ثالثی هستند که قابلیت‌های مختلف مدیریتی مانند خودکارسازی، گزارش‌دهی، ادغام با سرویس‌های دیگر و موارد دیگر را ارائه می‌دهند.

MMC Snap-inها

مایکروسافت طیف گسترده‌ای از برنامه‌ها و ابزارهای مدیریتی را در سیستم‌عامل‌های دسکتاپ و سرور در قالب ابزاری به‌نام کنسول مدیریت مایکروسافت (MMC) قرار داده است. از MMC برای ایجاد و باز کردن کنسول‌هایی استفاده می‌شود که می‌توانند به مدیریت تمام مولفه‌های حیاتی و کاربردی درون یک شبکه مبتنی بر ویندوز کمک کنند. MMC وظیفه میزبانی از snap-inها را برعهده دارد که ابزارهای مدیریتی هستند که از داخل یک رابط واحد قابل استفاده هستند. تقريبا تمام ابزارهای مدیریت مایکروسافت را می‌توان به عنوان MMC snap-inها پیاده‌سازی کرد. 

کاربران و کامپیوترهای Active Directory (ADUC)

ADUC معروف‌ترین MMC snap-in برای مدیریت اکتیو دایرکتوری است و برای مدیریت دامنه‌ای از اشیا استفاده می‌شود. کنسول ADUC (dsa.msc) به‌طور پیش‌فرض در زمان نصب AD DS نصب می‌شود (شکل 7).

شکل 7

مرکز مدیریت Active Directory (ADAC)

کنسول ADAC همراه با ویندوز سرور 2012 معرفی شد. از این کنسول می‌توان برای استقرار و مدیریت حساب‌های کاربری، کامپیوترها، گروه‌ها و موارد دیگر استفاده کرد. ADAC نسبت به ADUC از قابلیت‌های مدیریتی پیشرفته‌تری مانند Active Directory Recycle Bin،Fine-Grained Password Policy  وWindows PowerShell History Viewer برخوردار است (شکل 8).

شکل 8

نرم افزارهای ثالث برای مانیتورینگ و عیب‌یابی عملکرد اکتیو دایرکتوری

نرم‌افزارهای ثالث این امکان را می‌دهند تا امکانات و عملکرد اکتیو دایرکتوری را گسترش دهید. با ابزارهايی مثل SolarWinds Server & Application Monitor  نه تنها قادر خواهید بود تا عملکرد اکتیو دایرکتوری را زیر نظر داشته و مشکلات آن‌را پیدا کنید، بلکه می‌توانید تمامی برنامه‌ها، سرورها و سیستم‌عامل‌های درون زیرساخت فناوری اطلاعات خود را زیر نظر داشته باشید. شکل 9 نشان می‌دهد که چگونه ابزار تحلیلی شرکت سولاروینس (SAM) می‌تواند یک نظارت فراگیر را با هدف شناسایی و عیب‌یابی عملکرد اکتیو دایرکتوری ارائه کند. SAM به شما کمک می‌کند تا وضعیت هر کنترلر دامنه را تحت نظر داشته و مشکلات بین سایت‌ها و کنترلرهای دامنه را شناسایی کنید. از قابلیت‌های مهم SAM می‌توان به موارد زیر اشاره کرد:

•  نمایش جزئیات سایت 
•  مشاهده ورود به سیستم‌عامل ویندوز و رویدادها 
•  پیگیری وضعیت کنترلرهای دامنه
•  بررسی ضوابط FSMO

شکل 9

علاوه بر این، SAM قابلیت‌ها کاربردی دیگری نیز در ارتباط با اکتیو دایرکتوری دارد. برخی از این قابلیت‌ها شامل داشبورد کاربرپسند، سیستم گزارش‌گیری و اعلام هشدار و اسکریپت‌هایی برای خودکارسازی وظایف است. SolarWinds یک نرم‌افزار رایگان کم حجم به‌نام Free Admin Bundle for AD نیز ارائه کرده که کمک می‌کند کاربران و کامپیوترهای غیرفعال را شناسایی و حذف و کاربران جدید را به اکتیو دایرکتوری اضافه کنید.