قبل از معرفی اکتیو دایرکتوری اگر در نظر داشتید یک فایل بهاشتراک گذاشته شده در شبکه را به دست آورید باید نام یا آدرس آیپی سرور، مسیر فایل مورد نظر و نام آنرا میدانستید. اگر چه این راهکار برای شبکههای کوچک جوابگو است، اما با رشد شبکه قابل تعمیم نیست. یک سرویس دایرکتوری با نقشهبرداری از تمام اسامی منابع شبکه از قبیل فایلهای بهاشتراک گذاشته شده، چاپگرها، سرورها و غیره و معادلسازی آنها با آدرس مخصوص هر کدام از آنها به رفع این مشکل کمک میکند. امروزه یک سرویس یکپارچه مثل اکتیو دایرکتوری برای شبکههای سازمانی بزرگ نقش حیاتی دارد. اکتیو دایرکتوری تقريبا از تمام فرآیندها و اپلیکیشنهای ضروری مانند تهیه منابع، برنامهریزی ظرفیت، امنیت، خدمات شبکه، مدیریت منابع و موارد دیگر پشتیبانی میکند. قابلیتها و خدماتی که اکتیو دایرکتوری ارائه میکند به اندازهای زیاد هستند که به راحتی میتوان یک کتاب برای آن نوشت، بر همین اساس ضروری است به عنوان یک کارشناس شبکه با اصطلاحات مهم و کاربردی اکتیو دایرکتوری آشنا باشید.
مبانی Active Directory
سرویس دایرکتوری
یک سرویس دایرکتوری یک محل ذخیره و نگهداری اطلاعات است که بر اساس یک ساختار سلسله مراتبی ساخته شده است. این سرویس امکان ذخیره، جستوجو و مدیریت آسان و سریع منابع درون شبکه را فراهم میکند. هر منبع شبکه به عنوان یک شی در نظر گرفته میشود. لازم است به این نکته توجه داشته باشید که یک سرویس دایرکتوری بیشتر از یک پایگاه داده معمولی است و همانگونه که در نام آن مشخص شده یک سرویس است. پایگاه داده یک منبع ذخیرهسازی و نگهداری فیزیکی است که از طریق یک سیستم کامپیوتری قابل دسترس است، در حالی که سرویس دایرکتوری از پایگاه داده برای درخواست و دریافت اطلاعات شیها استفاده میکند.
Active Directory
اکتیو دایرکتوری (AD) سرنام Active Directory یک سرویس دایرکتوری مخصوص شبکههای دامنه ویندوز است که به همراه هر ویندوز سروری که ضوابط Active Directory Domain Services در آن نصب شده باشد ارائه میشود. Active Directory در وهله نخست برای ذخیره، دادن مجوزها و مدیریت اطلاعات در مورد کاربران و منابع آنها استفاده میشود و میتواند اطلاعات را به عنوان شی ذخیره کند. یک شی منبعی در یک شبکه از قبیل حسابهای کاربری، کلمات عبور، کامپیوترها، برنامهها، چاپگرها، فایل و پوشه اشتراکی، گروههای امنیتی و مجوزهای آنها است. کنترلکننده دامنه ویندوز (DC) سرنام Windows Domain Controller که همان سروری است که ضوابط Active Directory Domain Services در آن نصب شده از سختافزار و نرمافزاری تشکیل شده که مجموعهای از سرویسهای AD را فراهم میکند. وظیفه اصلی یک کنترلکننده دامنه این است که صلاحیت و مجوز تمام کاربران و منابع آنها در یک شبکه دامنه ویندوز را تایید کند (شکل 1). بهترین مثال در مورد AD زمانی است که یک کاربر به یک کامپیوتری که بخشی از یک دامنه ویندوز است ورود پیدا میکند. AD اطلاعات هویتی را در پایگاه داده بررسی میکند، اگر نام کاربری و کلمه عبور معتبر باشد کاربر میتواند به کامپیوتر وارد شود.
شکل 1
ساختار Active Directory
اکتیو دایرکتوری تمام منابع شبکه شما را در یک ساختار منطقی سازماندهی میکند. این مدل منطقی مستقل از ساختار فیزیکی شبکه است. به عبارت دیگر، AD به توپولوژی شبکه یا تعداد کنترلکنندههای دامنه اهمیتی نمیدهد و فقط منابع را به صورت منطقی سازماندهی میکند. بنابراین AD به جای یافتن یک منبع بر اساس مکان فیزیکی آن به کاربران امکان میدهد آنرا بر اساس نامش پیدا کنند. اکتیو دایرکتوری به شما امکان میدهد عناصر شبکه مانند کاربران یا کامپیوترها را بر اساس یک ساختار منطقی سلسله مراتبی سازماندهی کنید. در بالای این سلسله مراتب جنگل (Forest) قرار دارد و پس از آن درختان (Trees) قرار دارند که یک یا چند دامنه را در خود جای دادهاند. درون یک دامنه هم واحدهای سازمانی (OU) قرار دارد (شکل 2).
شکل 2
شیهای Active Directory
ساختار اکتیو دایرکتوری توسط گروهبندی اطلاعات شکل میگیرد که به آنها شی (Object) گفته میشود. هر شی نمایانگر یک موجودیت شبکه منحصر به فرد مانند کاربر یا کامپیوتر است که توسط مجموعهای از خصوصیات توصیف میشود. به عنوان مثال، یک شی کاربر میتواند با خصوصیاتی مثل نام، شناسه، آدرس، تلفن و موارد دیگر مشخص شود. اشیا به دو دسته منابع و اولویت امنیتی تقسیمبندی میشوند. اشیا درون دسته منابع میتواند شامل چاپگرها، کامپیوترها یا سایر دستگاههای بهاشتراک گذاشته شده باشد. اشیا درون دسته اولویت امنیتی نیز شامل کاربران، کلمات عبور، گروهها یا هر گونه شی هستند که به احراز هویت نیاز دارد. AD به هر یک از این اولويتهای امنیتی یک شناسه امنیتی (SID) منحصر به فرد اختصاص میدهد. از شناسه امنیتی برای اجازه یا رد دسترسی شی به منابع موجود در یک دامنه استفاده میشود (شکل 3). شیهایی که بهطور پیشفرض توسط اکتیو دایرکتوری پشتیبانی میشوند شامل این موارد هستند:
- Users: اشیایی هستند که به افرادی که نیاز به دسترسی به منابع دامنه دارند اختصاص داده شده است. یک حساب کاربری یک نام کاربری و یک کلمه عبور دارد از جمله این اشیا هستند.
- Computers: نشاندهنده یک ایستگاه کاری یا سرور در دامنه است.
- Contacts: شامل اطلاعاتی در مورد مخاطبان ثالث است. این شی SID ندارد، بنابراین به دامنه تعلق ندارد.
- Groups: مجموعهای از حسابهای کاربری، کامپیوترها یا مخاطبین را نشان میدهد و در دو نوع گروه امنیتی و توزیع وجود دارد. گروهها مدیریت اشیا را سادهتر میکنند.
- Shared folder: به یک سرور اشتراکی اشاره دارد و برای بهاشتراک گذاشتن فایلها در کل شبکه استفاده میشود.
- Printer: این شی مربوط به یک چاپگر به اشتراک گذاشته شده در دامنه است.
- Organizational Unit (OU): این نوع شی گروهی است که میتواند شامل اشیا دیگر مثل کاربران، کامپیوترها یا گروههای درون یک دامنه یکسان باشد. یک واحد سازمانی برای ذخیره اشیا مشابه و سهولت در مدیریت آنها استفاده میشود.
شکل 3
دامنهها
دامنهها (Domains) واحد اصلی ساختاری اکتیو دایرکتوری هستند. آنها مجموعهای از اشیا هستند که با استفاده از اطلاعات شناسه شی توسط یک پایگاه داده شکل گرفتهاند. یک دامنه AD میتواند چند زیر دامنه داشته باشد که به آنها دامنههای فرزند گفته میشود. یک دامنه از مدل ارتباط کلاینت-سرور استفاده میکند. این مدل امنیت را فراهم میکند، زیرا میتوانید مجوزها را از دامنه (سرور) به کاربران یا گروههای مختلف (کلاینتها) اختصاص دهید. یک کنترل کننده دامنه از سرویسهای امنیتی استفاده میکند که تایید اعتبار و مجوز را برای منابع مشخص فراهم میکند (شکل 4).
شکل 4
وقتی برای اولین بار یک اکتیو دایرکتوری را پیکربندی میکنید باید یک نام دامنه ریشه ایجاد کنید. یک مثال از نام دامنه اکتیو دایرکتوری میتواند ad-internal.company.com باشد که در آن ad-internal نامی است که برای دامنه AD داخلی استفاده میکنید و company.com به منابع خارجی اشاره دارد.
سطوح عملکردی
سطوح عملکردی اکتیو دایرکتوری کنترلهایی هستند که تعیین میکنند کدام یک از سرویسهای دامنه اکتیو دایرکتوری میتواند در دامنه استفاده شود. علاوه بر این، سطح فوق میتواند نسخه سیستمعامل ویندوز سرور که در کنترلکنندههای دامنه اجرا میشود را مشخص کند. بهطور مثال، یک راهکار ایدهال در زمان پیادهسازی ضوابط Active Directory Domain Services این است که سطوح عملکردی دامنه را روی حداکثر مقدار تنظیم کنید تا امکان برخورداری از آخرین و بهترین قابلیتهای موجود در اکتیو دایرکتوری فراهم شود (شکل 5).
شکل 5
امنیت Active Directory
Kerberos
Kerberos یک پروتکل احراز هویت است و با استفاده از الگوریتمهای رمزنگار، امنیت اپلیکیشنهای ارتباطی کلاینت/سرور را تضمین میکند. اکتیو دایرکتوری از Kerberos برای ایجاد مکانیسمهای تایید اعتبار بین سرور و سرویسگیرنده استفاده میکند. به این ترتیب تایید صلاحیت کاربران سنجیده میشود و دسترسی به یک دامنه صادر خواهد شد. سه عنصر اصلی در سیستم Kerberos عبارتند از:
- مرکز توزیع کلید (KDC): سرویس KDC هسته مرکزی سرور Kerberos است که به تمام تیکتها رسیدگی میکند. این سرویس روی همه کنترلکنندههای دامنه اکتیو دایرکتوری اجرا میشود. وقتی کلاینت اکتیو دایرکتوری با KDC احراز هویت میشود پروتکل مذکور یک TGT صادر میکند.
- تیکت اعطای مجوز (TGT): یک فایل احراز هویت است که شامل آیپی کاربر، یک دوره اعتبار و یک کلید جلسه TGT است. TGT در طی مراحل احراز هویت Kerberos رمزگذاری میشود.
- سرویس اعطای مجوز (TGS): این سرویس TGTها و سایر تیکتهای دیگر را برای سیستمها فراهم میکند (شکل 6).
شکل 6
نامهای اصلی سرویس
نام اصلی سرویس (SPN) سرنام Service Primary Name یک شناسه واحد است که در فرآیند احراز هویت Kerberos استفاده میشود. SPN یک نمونه سرویس کنترلکننده شبکه را به یک حساب ورود به سیستم متصل میکند. هنگامی که از حساب سرویس یا حساب کاربری استفاده نمیشود، میتوان از SPN برای تایید اعتبار سرویسها به یک اپلیکیشن کلاینت استفاده کرد.
کنسولهای مدیریتی اکتیو دایرکتوری
میتوان از کنسولهای مدیریت اکتیو دایرکتوری برای نگهداری و استفاده روزانه از اکتیو دایرکتوری استفاده کرد. برخی از این کنسولها مختص مایکروسافت هستند و برخی دیگر راهکارهای ثالثی هستند که قابلیتهای مختلف مدیریتی مانند خودکارسازی، گزارشدهی، ادغام با سرویسهای دیگر و موارد دیگر را ارائه میدهند.
MMC Snap-inها
مایکروسافت طیف گستردهای از برنامهها و ابزارهای مدیریتی را در سیستمعاملهای دسکتاپ و سرور در قالب ابزاری بهنام کنسول مدیریت مایکروسافت (MMC) قرار داده است. از MMC برای ایجاد و باز کردن کنسولهایی استفاده میشود که میتوانند به مدیریت تمام مولفههای حیاتی و کاربردی درون یک شبکه مبتنی بر ویندوز کمک کنند. MMC وظیفه میزبانی از snap-inها را برعهده دارد که ابزارهای مدیریتی هستند که از داخل یک رابط واحد قابل استفاده هستند. تقريبا تمام ابزارهای مدیریت مایکروسافت را میتوان به عنوان MMC snap-inها پیادهسازی کرد.
کاربران و کامپیوترهای Active Directory (ADUC)
ADUC معروفترین MMC snap-in برای مدیریت اکتیو دایرکتوری است و برای مدیریت دامنهای از اشیا استفاده میشود. کنسول ADUC (dsa.msc) بهطور پیشفرض در زمان نصب AD DS نصب میشود (شکل 7).
شکل 7
مرکز مدیریت Active Directory (ADAC)
کنسول ADAC همراه با ویندوز سرور 2012 معرفی شد. از این کنسول میتوان برای استقرار و مدیریت حسابهای کاربری، کامپیوترها، گروهها و موارد دیگر استفاده کرد. ADAC نسبت به ADUC از قابلیتهای مدیریتی پیشرفتهتری مانند Active Directory Recycle Bin،Fine-Grained Password Policy وWindows PowerShell History Viewer برخوردار است (شکل 8).
شکل 8
نرم افزارهای ثالث برای مانیتورینگ و عیبیابی عملکرد اکتیو دایرکتوری
نرمافزارهای ثالث این امکان را میدهند تا امکانات و عملکرد اکتیو دایرکتوری را گسترش دهید. با ابزارهايی مثل SolarWinds Server & Application Monitor نه تنها قادر خواهید بود تا عملکرد اکتیو دایرکتوری را زیر نظر داشته و مشکلات آنرا پیدا کنید، بلکه میتوانید تمامی برنامهها، سرورها و سیستمعاملهای درون زیرساخت فناوری اطلاعات خود را زیر نظر داشته باشید. شکل 9 نشان میدهد که چگونه ابزار تحلیلی شرکت سولاروینس (SAM) میتواند یک نظارت فراگیر را با هدف شناسایی و عیبیابی عملکرد اکتیو دایرکتوری ارائه کند. SAM به شما کمک میکند تا وضعیت هر کنترلر دامنه را تحت نظر داشته و مشکلات بین سایتها و کنترلرهای دامنه را شناسایی کنید. از قابلیتهای مهم SAM میتوان به موارد زیر اشاره کرد:
- نمایش جزئیات سایت
- مشاهده ورود به سیستمعامل ویندوز و رویدادها
- پیگیری وضعیت کنترلرهای دامنه
- بررسی ضوابط FSMO
شکل 9
علاوه بر این، SAM قابلیتها کاربردی دیگری نیز در ارتباط با اکتیو دایرکتوری دارد. برخی از این قابلیتها شامل داشبورد کاربرپسند، سیستم گزارشگیری و اعلام هشدار و اسکریپتهایی برای خودکارسازی وظایف است. SolarWinds یک نرمافزار رایگان کم حجم بهنام Free Admin Bundle for AD نیز ارائه کرده که کمک میکند کاربران و کامپیوترهای غیرفعال را شناسایی و حذف و کاربران جدید را به اکتیو دایرکتوری اضافه کنید.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟