آشنایی با کنسول Active Directory Domain Services در ویندوز سرور 2019

برای مطالعه قسمت قبل آموزش رایگان ویندوز سرور 2019 اینجا کلیک کنید.

سرویس‌های زیرساخت اصلی

یک سرور برای ارائه داده‌ها طراحی می‌شود. نوع داده‌هایی که سرور ارائه می‌کند و هدفی که برای آن تعریف شده به نقش‌هایی که روی سرور نصب شده‌اند بستگی دارد. شما باید تنها نقش‌هایی روی ویندوز سرور 2019 نصب کنید که قرار است کاری انجام دهند. ما با نحوه نصب نقش‌ها روی سرور آشنا شدیم، اما در مورد کاری که هر یک از نقش‌ها انجام می‌دهند صحبتی نکردیم. اکنون زمان آن فرارسیده است تا نگاه دقیق‌تری به نقش‌های اصلی و زیربنایی ویندوز سرور داشته باشیم. یک متخصص شبکه و به ویژه یک کارشناس شبکه باید درباره هر یک از مفاهیم زیر اطلاعات جامعی داشته باشد. اگر تسلط شما روی مفاهیم زیر کافی نباشد، در درازمدت با مشکلات مختلفی روبرو خواهید شد.

کنترل‌کننده دامنه چیست؟

چگونه می‌توانیم از AD DS برای سازمان‌دهی شبکه خود استفاده کنیم.

Group Policy چه قدرتی در اختیار ما قرار می‌دهد؟

سامانه نام دامنه (DNS) چه کاری انجام می‌دهد؟

DHCP چه تفاوتی با آدرس‌دهی ایستا دارد

پشتیبان‌گیری و بازگرداندن چیست؟

میان‌برهای MMC و MSC چه کاربردهایی دارند؟

کنترل‌کننده دامنه چیست؟

یک کنترل کننده دامنه (Domain Controller) که اغلب به‌نام DC نامیده می‌شود، یک قطه مرکزی تماس (ارتباط) است و در حقیقت نوعی هاب مرکزی است. به عبارت دیگر، کنترل‌کننده دامنه را می‌توانیم به عنوان یک مخزن ذخیره‌کننده توصیف کنیم که همه اطلاعات شناسایی و فرآیندهای احراز هویتی که در شبکه انجام می‌شود درون آن قرار دارد. نام‌های کاربری، گذرواژه‌ها، حساب‌های کامپیوتری، سرورها، گروه‌ها و مجموعه‌ای از سرورها، خط‌مشی‌های امنیتی، سرویس‌های تکثیر فایل و موجودیت‌های مختلف درون این مکان ذخیره شده و توسط کنترل‌کننده دامنه مدیریت می‌شوند. در حقیقت اگر قصد دارید یک شبکه مبتنی بر محصولات مایکروسافت را پیاده‌سازی و استفاده کنید، ضروری است که یک کنترل‌کننده دامنه در اختیار داشته باشید. کنترل‌کننده‌ دامنه راهکاری است که کامپیوترها و دستگاه‌های ما درون زیرساخت سرور شرکت‌های‌مان را با یکدیگر مرتبط می‌کند، پس وجود آن ضروری است.

Active Directory Domain Services

شاید با خواندن پاراگراف قبل متوجه شده‌اید که کنترل‌کننده دامنه چه ابزار حیاتی و مهمی است و تصمیم گرفته‌اید همین الان آن‌را روی سرور خود نصب کنید، اما باید بدانید که هیچ نقشی که کنترل کننده دامنه نامیده می‌شود وجود ندارد! نقشی که تمام این قابلیت‌ها را در ویندوز سرور در اختیار ما قرار می‌دهد سرویس‌های دامنه اکتیودایرکتوری  (AD DS) سرنام Domain Services Active Directory یا AD DS است. شما باید این نقش را روی یک سرور نصب کنید. با نصب این نقش، سرور خود را به یک کنترل‌کننده دامنه تبدیل می‌کنید. در واقع، هدف از اجرای DC ایجاد یک دایرکتوری یا پایگاه داده از اشیاء در شبکه است. این پایگاه داده به‌نام اکتیو دایرکتوری (Active Directory) شناخته می‌شود و در حقیقت یک زیرساخت داخلی است که بر مبنای آن شما یک ساختار سلسله مراتبی برای ذخیره اشیایی همچون نام‌های کاربری، گذرواژه‌ها و حساب‌های کامپیوتری ایجاد می‌کنید.

هنگامی که یک دامنه می‌سازید، درون این دامنه می‌توانید این حساب‌های کاربری و دستگاه‌ها را ذخیره کرده و در ادامه قادر به ساخت حساب‌های کاربری و گذرواژه‌ها برای کارکنان هستید که باید احراز هویت شوند. شما در ادامه می‌توانید سایر سرورها و کامپیوترها را به این دامنه متصل کنید تا آن‌ها بتوانند از مزایایی همچون احراز هویت کاربران استفاده کنند. متصل کردن کامپیوترها به یک دامنه به شما اجازه می‌دهد به کامپیوترهای درون سازمان خود دسترسی داشته و با استفاده از گذرواژه و نام کاربری خود به آن‌ها وارد شده و حتا به کامپیوترهایی وارد شوید که هیچ‌گاه به آن‌ها وارد نشده‌اید. حتا فراتر از موردی که به آن اشاره کردیم، یک دامنه به برنامه‌های کاربردی مبتنی بر directory-capable اجازه می‌دهد زمانی که به اطلاعات نیاز دارند به شکل مستقیم از طریق اکتیودایرکتوری فرآیند احراز هویت را انجام دهند. به‌طور مثال، زمانی که من به عنوان یک کاربر دامنه در محیط کار با استفاده از نام کاربری و گذرواژه به کامپیوتر خودم وارد می‌شوم، سیستم‌عامل ویندوزی که روی کامپیوترم در حال اجرا است، به سرور کنترل‌کننده متصل شده و تأیید می‌کند که گذرواژه‌ای که وارد کرده‌ام صحیح است.

هنگامی که این مکانیزم تاکید کرد من همان کسی هستم که ادعا می‌کنم، برای کامپیوتر من یک مجوز تأیید اعتبار ارسال می‌شود تا بتوانم به سامانه وارد شوم. زمانی که به محیط دسکتاپ رفته و یک برنامه شبیه به آتلوک را باز می‌کنم، برنامه قادر است به میل‌سرور من که Exchange Server نام دارد متصل شده و فرآیند احراز هویت را انجام ‌دهد تا مطمئن شود صندوق نامه‌های من به شخص دیگری نشان داده نشود. آیا این حرف به این معنا است که من باید دوباره نام کاربری و گذرواژه خود را برای آتلوک یا هر برنامه‌ای که روی کامپیوتر باز می‌کنم، وارد کنم؟ در حالت کلی این‌گونه نیست و من مجبور نیستم مجددا اطلاعات هویتی خود را بارها و بارها وارد کنم، زیرا نام کاربری، نام کامپیوتر و... همگی بخشی از دامنه هستند. یک چنین مکانیزمی روی بیشتر شبکه‌ها قابل استفاده است و شناسه احراز هویت می‌تواند میان برنامه‌های مختلف به‌اشتراک قرار گیرد. بدون شک، یک تجربه ناخوشایند است که کاربران خود را مجبور کنیم در تمام طول روز برای باز کردن برنامه‌هایی که قرار است روی یک شبکه اجرا شوند، گذرواژه‌ای خود را بارها و بارها تایپ کنند.

اولین کنترل‌کننده دامنه‌ای که شما در شبکه خود تنظیم می‌کنید به‌طور کامل در وضعیت نوشتنی قرار داشته و قادر است داده‌ها را از کاربران و کامپیوترهای متصل به دامنه که در شبکه شما فعال هستند دریافت کند. در واقع، اکثر کنترل‌کننده‌های دامنه در شبکه شما به احتمال زیاد در وضعیت کاملا عملیاتی قرار خواهند داشت. با این حال، بد نیست اشاره کوتاهی به دامنه‌های کنترل‌کننده‌ای داشته باشیم که در وضعیت فقط خواندنی نصب شده و پیکربندی می‌شوند. دامنه‌هایی که در اصطلاح به آن‌ها (RODC) سرنام Read-Only Domain Controller  گفته می‌شود. همان‌گونه که از نام این کنترل‌کننده‌های دامنه‌ها مشخص است، کنترل‌کننده‌های فوق فقط می‌توانند اطلاعات دایرکتوری را بخوانند. در واقع، یک کاربر دامنه ممکن است سعی کند تا گذرواژه‌ای را تغییر داده یا یک حساب کاربری جدیدی را ایجاد کند که چنین کاری روی این کنترل‌کننده‌ها غیر ممکن است. در عوض، RODCها اطلاعات دایرکتوری خود را از دیگر کنترل‌کننده‌های دامنه سنتی دریافت می‌کنند و سپس داده‌ها را برای تأیید درخواست‌های احراز هویت از کاربران و رایانه‌ها استفاده می‌کنند. آیا یک کنترل‌کننده دامنه با دسترسی محدود مفید است؟ بسیاری از شرکت‌ها یک چنین کنترل‌کننده‌هایی را روی دفاتر شعب کوچک خود یا مکان‌هایی که امنیت کمتری دارند نصب می‌کنند تا کامپیوترهای محلی در آن دفاتر کوچک دسترسی سریع و آسان به اطلاعات داشته و فرآیند تأیید اعتبار را بدون نگرانی از جانب یک کاربر با دسترسی غیر مجاز به سرور فیزیکی و دستکاری کل دامنه، اطلاعات را تهدید کند، انجام دهند. اکتیو دایرکتوری خودش یک موضوع کاملا مفصل است که به تنهایی یک کتاب را شامل می‌شود. اما اکنون که درک اولیه‌ای از وجود کنترل‌کننده دامنه و لزوم وجود آن در محیط ویندوز سرور به دست آوردیم، اجازه دهید به سراغ به‌کارگیری یکسری ابزارهایی برویم که پیش‌تر و در زمان نصب نقش AD DS روی کنترل‌کننده دامنه خود نصب کرده‌ایم.

به‌کارگیری AD DS برای سازمان‌دهی شبکه

در این‌جا شما یک ابزار واحد که برای مدیریت تمامی جنبه‌های اکتیور دایرکتوری در دسترس باشد در اختیار ندارید. از آن‌جایی که این فناوری گسترده است، پیکربندی دایرکتوری در میان تعدادی از کنسول‌های مدیریتی قرار دارد. اجازه دهید به هر کدام از این کنسول‌ها و برخی از وظایف رایج آن‌ها نگاهی داشته باشیم. هر یک از این کنسول‌های مدیریتی را می‌توان از درون هر یک از سرورهای کنترل‌کننده دامنه اجرا کرد. ساده‌ترین راه برای اجرای این کنسول‌ها، به‌کارگیری منوی Tools است که در گوشه سمت راست بالای ابزار Server Manager قرار دارد.

نکته: در حال حاضر اگر روی گزینه فوق کلیک کنید، ویندوز به شما می‌گوید برای آن‌که بتوانید از کنسول فوق استفاده کنید، باید با یک حساب کاربری که مجوز مدیریتی دارد به دامنه متصل شوید.

Active Directory Users and Computers

اجازه دهید کار را با ابزاری آغاز کنیم که به ترتیب حروف الفبا در انتهای ابزارهای Active Directory قرار دارد، اما ابزار مهمی است و مدیران سرورها روزانه از آن استفاده می‌کنند. کنسولAD Users and Computers  به منظور ایجاد و مدیریت تمامی حساب‌های کاربری و حساب‌های کامپیوتری استفاده می‌شود. اگر کنسول فوق را باز کنید، نام دامنه خود را که در ستون سمت چپ این کنسول فهرست شده، مشاهده می‌کنید. اگر نام دامنه خود را گسترش دهید، تعدادی پوشه فهرست شده را مشاهده خواهید کرد. اگر پوشه فوق را روی کنترل‌کننده دامنه موجود در شبکه‌ای که در حال بزرگ شدن است باز کنید، چند صفحه متوالی از پوشه‌ها را مشاهده خواهید کرد. اما روی یک محیط جدید تنها تعداد انگشت‌شماری پوشه وجود دارد. مهم‌ترین بخش‌ این کنسول Computers and Users است که حساب‌های کاربری و حساب‌های کامپیوترهای جدیدی که به تازگی به دامنه اضافه شده‌اند درون آن قرار می‌گیرند.

در حالی که این پنجره کمی شبیه به فایل اکسپلورر به نظر می‌رسد که شامل درختی از پوشه‌ها است، اما در حقیقت موجودیت‌های فوق واقعا پوشه نیستند. این آیکن‌هایی که شبیه به پوشه‌ آن‌ها را مشاهده می‌کنید به نام واحد‌های سازمانی (OU) سرنام Organizational Units شناخته می‌شوند. این پوشه‌ها مخازنی هستند که اشیا را نگه‌داری می‌کنند، اما همه آن‌ها واحد‌های سازمانی رسمی نیستند. همان‌گونه که قبلا اشاره کردیم، Users and Computers مخازن واقعی برای نگه‌داری اطلاعات هستند، اما به عنوان واحدهای سازمانی شناخته نمی‌شوند. با این حال، هر پوشه جدیدی که برای خودتان در AD ایجاد می‌کنید به این بخش اضافه می‌شود. اگر در تصویر زیر دقت کنید پوشه‌هایی با آیکن‌های مختلف را مشاهده می‌کنید. پوشه‌هایی که دارای یک طرح گرافیکی خارجی زردرنگ هستند و بالاتر از پوشه‌های دیگر قرار می‌گیرند OU‌های واقعی هستند. واحدهای سازمانی  مخازن ساختاری هستند که ما درون اکتیودایرکتوری از آن‌ها استفاده می‌کنیم تا اشیاء را سازمان‌دهی کرده و آن‌ها را در مکان‌های درستی نگه کنیم. درست شبیه به پوشه‌های روی یک فایل‌سرور، شما می‌توانید سلسله مراتب واحد سازمانی خود را در این مکان ایجاد کنید تا مرتب‌سازی و ویرایش تمام اشیا و دستگاه‌های شبکه متصل به دامنه در اکتیودایرکتوری به سادگی انجام شود. در تصویر زیر مشاهده می‌کنید که به جای آن‌که یک پوشه ساده Users and Computers را ایجاد کنیم از چند واحد سازمانی جدید که شامل زیرشاخه‌هایی هستند استفاده کرده‌ایم تا زمانی که محیط و شبکه رشد پیدا کرد، به شکل ساختاریافته‌ای بتوانیم همه اشیا را مدیریت کنیم.

در شماره آینده آموزش رایگان ویندوز سرور 2019 سایر کنسول‌ها را بررسی خواهیم کرد.

برای مطالعه تمام بخش‌های آموزش ویندوز سرور 2019 روی لینک زیر کلیک کنید:

آموزش رایگان ویندوز سرور 2019