+- تالار گفتگوی کیش تک/ kishtech forum (http://forum.kishtech.ir)
+-- انجمن: پردیس فناوری کیش (http://forum.kishtech.ir/forumdisplay.php?fid=1)
+--- انجمن: فناوری اطلاعات و ارتباطات (http://forum.kishtech.ir/forumdisplay.php?fid=6)
+--- موضوع: اکتیو دایرکتوری و مزایای استفاده از آن (/showthread.php?tid=50491)
اکتیو دایرکتوری و مزایای استفاده از آن - Sadegh7 - 25-03-2021
اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری (Active Directory)، سرویسی است مشتمل بر چند سرویس دیگر یعنی چندین سرویس تحت لوای سرویس اکتیو دایرکتوری کار میکنند: مثل یوزرهای تعریف شده در شبکه، دسترسی هایی که به این یوزرها داده میشود، فایل ها و پرینترهای به اشتراک گذاشته شده در شبکه. اکتیو دایرکتوری این سرویس ها را به صورت متمرکز ارایه میدهد که نتیجه آن ساماندهی و مدیریت آسان و دقیق این سرویس ها است. برای آشنایی با رول پرینت سرور در اکتیو دایرکتوری و نحوه نصب و راه اندازی آن در ویندوز سرور ۲۰۱۹ مقاله “پرینت سرور چیست؟” را مطالعه نمایید.
اکتیو دایرکتوری، سرویس دایرکتوری مایکروسافت است که روی ویندوز سرور اجرا میشود و به ادمین ها امکان مدیریت مجوزها و دسترسی به منابع شبکه را میدهد. وظیفه اکتیو دایرکتوری، مدیریت و سازماندهی تعداد زیاد کاربران در قالب زیرگروه ها و گروه های منطقی است. همچنین کنترل دسترسی به هر سطح را هم به عهده دارد.
ادمین ها با یک لاگین ساده میتوانند از طریق شبکه، دیتا دایرکتوری را مدیریت و سازماندهی کنند، کاربران مجاز در شبکه از هر جایی به منابع شبکه دسترسی خواهند داشت. حتی مدیریت شبکه های پیچیده هم به راحتی با AD انجام میشود و امکان توسعه اکتیو دایرکتوری به همراه رشد سازمانی ممکن است.
دامین ها شامل کنترلرهایی است که یکی از آنها ویندوز سرور را اجرا میکند. هرگاه ادمین شبکه در این کنترلرها تغییری ایجاد کند توسط اکتیودایرکتوری همه کنترلرها آپدیت میشوند. ادمین شبکه میتواند مدیریت تک تک منابع شبکه را با اکتیو دایرکتوری انجام دهد و حتی وارد کامپیوتر کاربر شود.
ساختار active directory
اکتیو دایرکتوری با ارائه یک ساختار سلسله مراتبى، سازماندهى آسان Domain ها و منابع را فراهم مىکند. بدین ترتیب کاربران به راحتی میتوانند منابع شبکه نظیر فایل ها و چاپگرها را پیدا کنند.
سرویس های دایرکتوری مثل ADDS یا Active Directory Domain Services شیوه ذخیره اطلاعات دایرکتوری و چگونگی دسترسی ادمین و کاربران شبکه به این اطلاعات را فراهم میکند. مثلا ADDS اطلاعات اکانت کاربران مانند نام و پسورد و شماره تلفن و غیره را ذخیره میکند و به دیگر کاربران مجاز در همان شبکه، اجازه دسترسی به این اطلاعات را میدهد. به این اطلاعات ذخیره شده، دایرکتوری گفته میشود.
دیتا به صورت آبجکت ذخیره میشود. آبجکت همان کاربر، گروه، برنامه و دستگاه (مثل پرینتر) است. آبجکت دو نوع است: یا منابع است مثل پرینتر و کامپیوتر یا قوانین امنیتی است مثل کاربران و گروه ها.
ساختار active directory شامل سه سطح است که هر یک از این سطوح میتوانند ارتباطات و دسترسی های خاص داشته باشند:
[list=1][*]دامین ها: آبجکت هایی مانند کاربران و دستگاه ها که همگی از یک دیتابیس استفاده میکنند، در یک دامین گروه بندی میشوند. دامین گروهی از آبجکت هاست مانند کاربر و دستگاه که در یک دیتابیس اکتیو دایرکتوری قرار دارند. دامین ها دارای ساختار DNS – Domain Name System هستند.
[*]درخت ها: یک یا چند دامین میتوانند در یک گروه قرار گیرند که درخت – Tree نامیده میشود. در درخت ارتباط امن بین دو دامین وجود دارد. ساختار درخت سلسله مراتبی است یعنی اگر دامین ۱ با دامین ۲ دارای ارتباط امن باشد، و دامین ۲ با دامین ۳ ارتباط امن داشته باشد، دامین ۱ هم با دامین ۳ ارتباط امن دارد.
[*]جنگل ها: چندین درخت در مجموعه ای به نام جنگل گروه بندی میشوند. جنگل شامل پیکربندی دامین، اطلاعات برنامه ها، طرح دایرکتوری و لیست تمام آبجکت ها است. طرح دایرکتوری یعنی کلاس و ویژگی هایی که آبجکت در جنگل دارد.
[/list]واحدهای OU یا Organizational Units، کاربران و گروه ها و دستگاه ها را سازماندهی میکنند: مثلا هر آبجکت یا کاربر در دامین باید یکتا باشد و امکان تعریف مجدد یوزرنیمی که موجود است وجود ندارد. برای مدیریت اکتیودایرکتوری میتوان از نرم افزارهای مدیریت اکتیو دایرکتوری استفاده کرد. ولی توجه کنید که با کنترل دسترسی و احراز هویت هنگام لاگین شدن، امنیت اکتیو دایرکتوری تامین میشود.
[font=IRANSans, sans-serif]بررسی دامین سرویس – Domain Service
[/font]
سرویس اصلی در اکتیو دایرکتوری، سرویس دامین است: AD DS. این سرویس، اطلاعات دایرکتوری را ذخیره میکند و تعاملات کاربران را در دامین کنترل میکند. وقتی کاربری به دستگاهی وصل میشود یا سعی میکند به سرور روی شبکه وصل شود، AD DS دسترسی را بررسی میکند. AD DS کنترل میکند کدام کاربر به کدام منابع دسترسی دارد مثلا ادمین نسبت به کاربر معمولی، سطح دسترسی متفاوتی به دیتا دارد.
محصولات دیگر مایکروسافت مانند Exchange Server و SharePoint Server بر بستر AD DS هستند تا دسترسی به منابع را فراهم کنند. سروری که سرویس دامین اکتیو دایرکتوری روی آن هاست است، دامین کنترلر نامیده میشود.
تفاوت اکتیو دایرکتوری و دامین کنترلر
اکتیو دایرکتوری سرویس دایرکتوری در شبکه است، دامین کنترلر این سرویس را روی شبکه ارایه میدهد. پس تفاوت بین اکتیو دایرکتوری و دامین کنترلر این است که یکی سرویس است و دیگری آن سرویس را ارایه میدهد.
بیایید یک مثال بزنیم تا موضوع روشن تر شود. تاکسی تلفنی یک سرویس است که اگر تاکسی و ماشینی در میان نباشد این سرویس قابل اجرا نیست. پس ماشین سرویسی است که روی تاکسی تلفنی ارایه میشود.
اکتیو دایرکتوری مثل دفترچه تلفنی است که تمام جزییات مربوط به افراد را دارد مثل شماره تلفن و آدرس. اکتیو دایرکتوری تمام جزییات مربوط به کاربران و کامپیوترها و دستگاه های متصل به شبکه را دارد.
[font=IRANSans, sans-serif]Domain Controller جایی است که اکتیو دایرکتوری اجرا میشود. DC مفهوم فیزیکی است و اکتیو دایرکتوری مفهوم منطقی دارد.مایکروسافت اولین بار در سال ۲۰۰۰، اکتیو دایرکتوری را همراه با ویندوز سرور ۲۰۰۰ عرضه کرد. بعدها هم نسخه های جدید آن را همراه با ویندوز سرورهای جدیدتر ارایه داد. در ویندوز سرور ۲۰۰۳ آپدیت ها و جنگل اضافه شد و قابلیت ادیت و تغییر جای دامین ها در جنگل به وجود آمد. در ویندوز سرور ۲۰۰۸ قابلیت AD FS اضافه شد. AD DS در ویندوز سرور ۲۰۱۶ آپدیت شد و امنیت اکتیو دایرکتوری و مهاجرت محیط AD به فضای ابری ممکن شد.
[/font]
آپدیت های امنیتی در ویندوز سرور ۲۰۱۶ شامل افزودن مدیریت دسترسی ممتاز – Privileged Access Mamangemnt یا PAM است. PAM دسترسی به آبجکت و نوع دسترسی اعطا شده و کاری که کاربر انجام میدهد را مانیتور میکند.
[font=IRANSans, sans-serif]سرویس های دایرکتوری Red Hat Directory Server و Apache Directory و OpenLDAP از رقبای اکتیو دایرکتوری هستند.مزایای اکتیو دایرکتوری
[/font]
۱- نگه داری اطلاعات کاربران و موجودیت های شبکه بطور متمرکز:
دامنه: کلیه اطلاعات کاربران مثل اسم، رمز، شماره تلفن، آدرس و غیره بطور متمرکز نگه داری میشوند و به همین دلیل قابلیت پشتیبانگیری و دسترسی سریع و مدیریت متمرکز را دارند.
گروهی: اطلاعات بطور پراکنده بر روی هر سیستم وجود دارد که علاوه بر امنیت بسیار ضعیف، قابلیت بکاپ گیری تا حد زیادی مشکل و شاید غیر قابل انجام میشود و قابلیت مدیریت متمرکز را ندارد.
۲- مقیاس پذیری (Scalability):
دامنه: به دلیل متمرکز بودن اطلاعات و مدیریت میتواند تعداد بسیار زیادی آبجکت مختلف را در خود جا دهد و مدیریت کند.
گروهی: به دلیل پراکندگی اطلاعات توصیه میشود تعداد کاربران این نوع شبکه از ۱۰ عدد بیشتر نشود چون قابل مدیریت نیست.
۳- توسعه پذیری (Extensibility):
دامنه: میتوان آبجکت جدیدی را تعریف کرد (به جز آنهایی که بصورت پیش فرض تعریف شدند) و از آنها تحت شبکه استفاده کرد.
گروهی: فقط از اشیای تعریف شده میتوان استفاده کرد.
۴- قابلیت مدیریت (Managebility):
دامنه: به دلیل تمرکز اطلاعات و مدیریت، میتوان به راحتی شبکه را در جهت هدف خاصی پیش برد. مثلاً در جهت ارتقای امنیت میتوان شبکه را هر هفته به قابلیت امنیتی جدیدی تجهیز کرد.
گروهی: به دلیل عدم تمرکز اطلاعات، مدیریت در حد حفظ وضعیت انجام میشود. مدیریت در جهت رسیدن به اهداف خاص وجود ندارد.
۵- یکپارچگی باDNS
دامنه: به دلیل هماهنگی با سیستم DNS به راحتی میتوان در شبکه به سرویس های مختلف دسترسی پیدا کرد. بر اساس ترتیب اسمی به حالت شاخهای میتوان از بالا دستی ها، آدرس پایین دستی ها را گرفت.
گروهی: قابلیت دسترسی به دیگر آبجکت های شبکه بسیار ضعیف است مگر اینکه کاربر مقصد خود را با نام یا آدرس IP بشناسد چون سیستم شاخه ای وجود ندارد و هیچ سرویسی آدرس دیگر آبجکت های شبکه را نمیداند.
۶- قابلیت مدیریت فعالیت کاربرها و کامپیوترها بطور متمرکز:
دامنه: میتوان سطح فعالیت و دسترسی موجودیت های شبکه را در کل شبکه به صورت متمرکز تعریف کرد.
گروهی: حداکثر میتوان دسترسی کاربر را در کامپیوتر خودش تعریف کرد. تحت شبکه این امکان وجود ندارد.
۷- سیاست پذیری (Policy Based System):
دامنه: میتوان با اعمال سیاستهای مختلف تحت شبکه، شبکه را در جهت هدف خاصی پیش برد.
[font=IRANSans, sans-serif]گروهی: اعمال سیاست فقط در حد یک کامپیوتر تعریف میشود و نه تحت شبکه.www.kishtech.ir
[/font]