• اکتیو دایرکتوری چیست

    تاریخچه و معرفی اکتیو دایرکتوریبه زبان فارسی Active Directory

     

    مقدمه

    اکتیودایرکتوری چیست

                یک سرویس دایرکتوری است که مایکروسافت برای شبکه های دامنه ویندوز طراحی کرده است . این در اکثر سیستم عامل های ویندوز سرور به عنوان مجموعه ای از فرآیندها و خدمات گنجانده شده است. در ابتدا، اکتیو دایرکتوری  تنها مسئول مدیریت دامنه مرکزی بود. با این حال، با شروع از ویندوز سرور 2008 ، اکتیو دایرکتوری  یک عنوان کلیدی برای طیف گسترده ای از سرویس های وابسته به هویت مبتنی بر دایرکتوری بود.

    فصل اول : تاریخچه

                یک سرور که سرویس دامنه اکتیو دایرکتوری  را فعال می کند (AD DS) یک کنترل کننده دامنه می باشد. این تأیید هویت و مجوز تمامی کاربران و رایانه ها در یک نوع دامنه ویندوز را تعیین می کند و سیاست های امنیتی را برای تمام رایانه ها و نصب یا به روز رسانی نرم افزار اعمال می کند. برای مثال، هنگامی که یک کاربر در سیستم کامپیوتری (که بخشی از یک دامنه ویندوز است) وارد می شود، اکتیو دایرکتوری  رمز عبور ارائه شده را بررسی و تعیین می کند که آیا کاربر یک سیستم یا یک کاربر معمولی است. همچنین اجازه می دهد تا مدیریت و نگهداری اطلاعات، مکانیزم های تأیید هویت و مجوز را تأمین نماید و چارچوبی برای راه اندازی سایر سرویس های مرتبط اعم از ( خدمات گواهی، خدمات فدراسیون اکتیو دایرکتوری [1] ، خدمات دایرکتوری کم حجم و خدمات مدیریت حقوق) را ایجاد می کند. اکتیو دایرکتوری  با استفاده از نسخه های کم حجم دسترسی دایرکتوری (LDAP) نسخه های 2 و 3، نسخه مایکروسافت Kerberos  و DNS  ایجاد می کند.

    تاریخچه پیدایش

                اکتیو دایرکتوری ، مانند بسیاری از تلاشهای فناوری اطلاعات، از دموکراتیزه کردن طراحی با استفاده از درخواست برای نظرات و RFC  ها بیرون آمد. نیروی کار مهندسی اینترنت (IETF)، که بر روند فرایند RFC نظارت دارد، RFC  های متعددی را که توسط شرکت کنندگان گسترده آغاز شده است، پذیرفته است. دایرکتوری فعال شامل دهه های فناوری ارتباطات به مفهوم کلیدی دایرکتوری اکتیو دایرکتوری  می شود و پس از آن آنها را بهبود می بخشد. به عنوان مثال، LDAP  تحت عنوان اکتیو دایرکتوری  است. همچنین دایرکتوری X.500  و واحد سازمانی قبل از مفهوم اکتیو دایرکتوری که از این روش ها استفاده می کند پیش آمد. مفهوم LDAP حتی قبل از تاسیس مایکروسافت در آوریل 1975، با RFC در اوایل سال 1971 آغاز شد.

                مایکروسافت اکتیو دایرکتوری را در سال 1999 پیشبینی کرد، اولین بار با نسخه ویندوز 2000 منتشر شد و آن را برای گسترش قابلیت و بهبود مدیریت در ویندوز سرور 2003 اصلاح کرد . پیشرفت های اضافی با نسخه های بعدی ویندوز سرور به وجود آمد . در ویندوز سرور 2008 ، خدمات اضافی به اکتیو دایرکتوری  اضافه شد، مانند خدمات فدراسیون اکتیو دایرکتوری  .بخشی از دایرکتوری که مسئول مدیریت دامنه ها است، که قبلا یک قسمت اصلی سیستم عامل بود، نام دامنه خدمات دایرکتوری اکتیو دایرکتوری  (ADDS) نامگذاری شد و به نقش سرور مانند دیگران تبدیل شد و به عنوان چتر طیف وسیعی از خدمات مبتنی بر دایرکتوری شد و می توان همه سرویس های مربوط به هویتدر دسته  اکتیو دایرکتوری حساب کرد.

    فصل دوم : خدمات

    خدمات دایرکتوری فعال

                خدمات دایرکتوری فعال شامل سرویس های چندگانه می باشد. شناخته شده ترین سرویس دامنه اکتیو دایرکتوری  است که معمولا به صورت AD DS یا به سادگی AD نامیده می شود.

    خدمات دامنه

                خدمات دامنه فعال (AD DS) سنگ بنای هر دامنه ویندوز است . این سرویس اطلاعات مربوط به اعضای دامنه، از جمله دستگاه ها و کاربران را ذخیره می کند، اعتبار آنها را بررسی می کند و حقوق دسترسی آنها را تعریف می کند . سروری که این سرویس را اجرا می کند کنترل کننده دامنه است . یک کنترل کننده دامنه هنگامیکه یک کاربر وارد سیستم می شود، به یک دستگاه دیگر در سراسر شبکه دسترسی پیدا می کند، یا یک برنامه مترو [2] کم حجم تجاری را که به وسیله دستگاه انتقال می یابد، اجرا می کند.

    سایر سرویسهای فعال دایرکتوری (به استثنای LDS ، همانطور که در زیر شرح داده شده است) و همچنین بیشتر تکنولوژی های سرور مایکروسافت با استفاده از سرویس های دامنه متکی هستند. به عنوان مثال Group Policy ، Encrypting File System ، BitLocker ، Domain Name Services ، Remote Desktop ، Exchange Server ، SharePoint Server   می توان نام برد.

    دایرکتوری کم حجمLightWeight

                دایرکتوری Lightweight ( AD LDS )، که قبلا به عنوان Application Mode اکتیو دایرکتوری شناخته شده است، پیاده سازی کم حجم AD DS است. AD LDS، به عنوان یک سرویس در ویندوز سرور اجرا می شود و پایگاه کد را با AD DS به اشتراک می گذارد و قابلیت های مشابهی را شامل می شود، از جمله یک API مشابه، اما دامنه را ایجاد یا کنترل نمی کند. با این حال، بر خلاف  AD DS، چندین نمونه AD LDS  می توانند بر روی یک سرور اجرا شوند.

    گواهی خدمات

                خدمات گواهی[3] فعال دایرکتوری (AD CS) یک زیرساخت کلید عمومی محلی را ایجاد می کند . این می تواند گواهینامه های کلیدی عمومی را برای استفاده های داخلی یک سازمان ایجاد، تأیید و لغو کند. این گواهینامه ها می توانند برای رمزگذاری فایل ها (هنگام استفاده با سیستم فایل رمزگذاری )، ایمیل ها ( در هر استاندارد S/MIME و ترافیک شبکه ) هنگام استفاده از شبکه های خصوصی مجازی ، پروتکل لایه حمل و نقل یا پروتکل IPSec استفاده شود.

    AD CS در نسخه ویندوز 2008 هم وجود داشت اما با نام خدمات گواهی.

    AD CS نیاز به یک زیرساخت AD DS دارد.

    خدمات فدراسیون

                خدمات فدراسیون اکتیو دایرکتوری  (AD FS) یک سرویس یکپارچه شناسایی است . با استفاده از زیرساخت  AD FS، کاربران ممکن است از چندین سرویس مبتنی بر وب (به عنوان مثال انجمن اینترنتی ، وبلاگ ، خرید آنلاین ، پست الکترونیکی وب ) یا منابع شبکه از یک مجموعه اعتبارهای ذخیره شده در یک مکان مرکزی استفاده کنند، در حالی که نیاز به اعطای مجوز یک مجموعه اختصاصی اعتبار برای هر سرویس است .AD FS  از طرف AD DS توسعه یافته است و کاربر را قادر می سازد با استفاده از یک مجموعه اعتبارنامه ها و استفاده از دستگاه هایی که بخشی از همان شبکه هستند شناسایی شود

    همانطور که از نام آن پیداست، AD FS  بر پایه مفهوم هویت فدرال کار می کندو نیازمند ساختار AD DS می باشد

    مدیریت خدمات حقوق

                خدمات مدیریت حقوق[4] اکتیو دایرکتوری  AD RMS نام دارد و به عنوانRMS  قبل از ویندوز سرور 2008 به عنوان یک نرم افزار سرور برای مدیریت حقوق اطلاعات حمل شده با ویندوز سرور فعال بوده است. از رمزگذاری و فرم انکار انتخابی انتخابی برای محدود کردن دسترسی به اسناد مانند ایمیل های شرکت، اسناد Microsoft Word و صفحات وب استفاده می کند و عملیات مجاز کاربران می توانند بر روی آنها انجام شود.

    فصل سوم : ساختار

    ساختار منطقی

    AD DS به عنوان یک سرویس دایرکتوری، نمونه اکتیو دایرکتوری از پایگاه داده و کد مربوطه اجرایی برای سرویس دهی درخواست ها و حفظ پایگاه داده تشکیل شده است. قسمت اجرایی، که به عنوان نماینده سیستم دایرکتوری شناخته می شود، مجموعه ای از خدمات و پروسه های ویندوز است که در ویندوز 2000  به بعد اجرا می شود. اشیاء در پایگاه داده های اکتیو دایرکتوری  را می توان از طریقLDAP ،ADSI[5]  (رابط مدل اجزای اشیاء) ، پیام رسانی API (که MAPI نام دارد) و خدمات مدیریت حساب های امنیتی[6] دسترسی پیدا کرد.

    اشیاء

                ساختار اکتیو دایرکتوری  اطلاعات مربوط به اشیا هستند . اشیاء به دو دسته گسترده تقسیم می شوند: منابع (به عنوان مثال، چاپگرها) و مدیران امنیتی (حساب ها و گروه های کاربر یا رایانه). مدیران امنیتی شناسه های امنیتی منحصر به فرد[7]  SID را اعطا می کنند.

                هر شی در نهاد واحد، یعنی یک کاربر، یک رایانه، یک چاپگر، یا یک گروه که ویژگی های آن را نشان می دهد. اشیاء خاص می توانند اشیاء دیگری باشند. یک شی به طور منحصربفرد توسط نام آن شناسایی شده و مجموعه ای از صفات را دارد، ویژگی ها و اطلاعاتی که شی نشان می دهد که تعریف شده توسط یک طرح است، انواع اشیا را می توانند در اکتیو دایرکتوری  ذخیره کند.

                یک شیء اجازه می دهد که مدیران، طرح را گسترش دهند و یا در صورت لزوم تغییر دهند. با این حال، به دلیل اینکه هر شیء یکپارچه به تعریف اشیاء اکتیو دایرکتوری می پردازد، غیرفعال کردن یا تغییر این اشیاء می تواند بطور اساسی باعث تغییر یا خراب شدن استقرار در ساختار را داشته باشد. تغییرات طرح به طور خودکار در سراسر سیستم پخش می شود. پس از ایجاد، یک شی فقط می تواند غیرفعال شود (حذف نشده است). تغییر طرح معمولا نیاز به برنامه ریزی دارد.

    جنگل ها، درختان و حوزه ها

                چارچوب اکتیو دایرکتوری  که اشیا را نگه می دارد می تواند در سطوح مختلف مشاهده شود. جنگل، درخت و دامنه تقسیم منطقی در یک شبکه فعال دایرکتوری است. درون یک فضای استقرار یافته ، اشیا به دو دسته تقسیم می شوند. اشیاء برای یک دامنه تنها در یک پایگاه داده ذخیره می شوند (که می تواند تکرار شود). دامنه ها با ساختار نام DNS خود، شناسایی می شوند. یک دامنه به عنوان یک گروه منطقی از اشیاء شبکه (کامپیوترها، کاربران، دستگاهها) تعریف شده است که یک پایگاه داده فعال دایرکتوری را به اشتراک میگذارند. یک درخت یک مجموعه از یک یا چند دامنه و درخت در دامنه نامحدود است و در سلسله مراتب پیوستگی پیوند دارد.

                در بالای ساختار جنگل است. یک جنگل مجموعه ای از درختی است که یک فروشگاه جهانی مشترک، طرح دایرکتوری، ساختار منطقی و پیکربندی دایرکتوری را به اشتراک می گذارد. جنگل نشان دهنده مرز امنیتی است که در آن کاربران، کامپیوترها، گروه ها و اشیاء دیگر قابل دسترسی هستند.

    واحد های سازمان

                اشیائی که در یک دامنه نگهداری می شوند می توانند به واحد های سازمان (OUs) [8]گروه بندی شوند. OU ها می توانند سلسله مراتب را به یک دامنه ارائه دهند، مدیریت آن را ساده کرده و می تواند ساختار سازمان را در شرایط مدیریتی یا جغرافیایی شبیه سازد. OUs  می توانند سایر OUs دامنه ها را در این حوزه ظاهر کنند. مایکروسافت استفاده از OU ها را به جای دامنه ها برای ساختار و ساده سازی پیاده سازی سیاست ها و مدیریت توصیه می کند. OU سطح توصیه شده برای اعمال سیاست های گروهی است که اشیاء اکتیو دایرکتوری  به طور رسمی Objects Policy Option (GPOs) نامیده می شوند، هرچند سیاست ها نیز می توانند به دامنه ها یا سایت ها اعمال شوند اماOU سطحی است که در آن قدرت های اداری به طور متداول اعطا می شود، اما می توان تغییری بر روی اشیاء یا ویژگی های فردی انجام داد.

                واحد های سازمانی هر یک از فضا ها نام جداگانه ای ندارند. به عنوان یک نتیجه، برای سازگاری با پیاده سازی  Legacy NetBios، حساب های کاربری با یک حساب sAMAccountName مشابه در یک دامنه مجاز به استفاده نیستند، حتی اگر حساب ها در OU های جداگانه باشند. این به این دلیل است که sAMAccountName، یک ویژگی شیء کاربر، باید در دامنه منحصر به فرد باشد. با این حال، دو کاربر در OU های مختلف می توانند یک نام معمول مشترک (CN) داشته باشند، نامی که تحت آن در همان پوشه ذخیره می شود مانند "fred.staff-ou.domain" و "fred.student-ou.domain" جایی که "staff-ou" و "student-ou"  یک OU هستند.

                به طور کلی دلیل این کمبود کمک به نام های تکراری از طریق قرار دادن دایرکتوری سلسله مراتبی، این است که مایکروسافت در درجه اول به اصول NetBIOS متصل می شود ، که یک روش صحیح مدیریت شیء شبکه است که برای نرم افزار مایکروسافت تمام می شود. ویندوز NT 3.1 و MS-DOS LAN Manager . اجازه دادن به تکثیر نام شی در دایرکتوری و یا حذف کامل استفاده از نام  NetBIOS، از سازگاری برگشتی با نرم افزار و تجهیزات قدیمی جلوگیری می کند. با این حال، لغو نام های شیء تکراری به این شیوه نقض RFC های LDAP است.

                همانطور که تعداد کاربران در یک دامنه افزایش می یابد، توافق نامه هایی مانند "اول ابتدا، وسط اولیه، نام خانوادگی" ( نظم غربی ) یا معکوس (نظم شرقی) برای نام خانوادگی مشترک مانند لی (李) ، اسمیت یا گارسیا شکست می خورد. راه حل شامل اضافه کردن یک رقم به پایان نام کاربری است. جایگزین ها عبارتند از ایجاد یک سیستم شناسایی جداگانه ای از شناسه های کارمند / دانشجو منحصر به فرد برای استفاده به عنوان نام حساب در عوض نام کاربر واقعی و اجازه دادن به کاربران برای تعیین توالی مورد نظر خود در یک سیاست استفاده قابل قبول.

                از آنجا که نام های کاربری یکپارچه نمیتواند در یک دامنه وجود داشته باشد، تولید نام حساب چالش بزرگی برای سازمانهای بزرگ است که نمی توانند به راحتی به حوزه های جداگانه تقسیم شوند، مانند دانش آموزانی که در نظام مدرسه عمومی یا دانشگاهی هستند که باید بتوانند از هر رایانه در سراسر شبکه استفاده کنند.

    گروه های سایه 

                در اکتیو دایرکتوری ، واحد های سازمانی (OUs) را نمی توان به عنوان صاحبان یا امدادرسان ها اختصاص داد. فقط گروه ها قابل انتخاب هستند، و اعضای OU ها نمی توانند به طور جمعی حقوق اشیاء دایرکتوری را اعطا کنند.

                در اکتیو دایرکتوری  مایکروسافت، OU ها اجازه دسترسی را نمی دهند و اشیاء موجود در OU ها به طور خودکار دسترسی ها را براساس OU حاوی آنها اعطا نمی کنند. این یک محدودیت طراحی خاص برای اکتیو دایرکتوری  است. سایر دایرکتوری های رقیب مانند Novell NDS  قادرند امتیازات دسترسی را از طریق قرار دادن شی در OU اختصاص دهند.

                اکتیو دایرکتوری  نیاز به یک گام جداگانه برای یک مدیر اختصاص دهد تا یک شی در OU به عنوان یک عضو از یک گروه نیز در آن بر اساس مکان OU به تنهایی برای تعیین مجوزهای دسترسی غیر قابل اعتماد باشد، زیرا ممکن است شیء به گروه اشیاء برای این OU اختصاص داده نشود.

                یک راه حل معمول برای یک مدیر اکتیو دایرکتوری  این است که یک اسکریپت PowerShell یا ویژوال بیسیک برای ایجاد یک گروه کاربری برای هر OU در دایرکتوری خود بنویسید. اسکریپتها به طور مرتب اجرا میشوند تا گروه را به روزرسانی کنید تا عضویت در حساب کاربری مطابقت داشته باشد، اما در هر زمانی که دایرکتوریها تغییر میکند، گروههای امنیتی فورا به روزرسانی میشوند. چنین گروه هایی به عنوان گروه های سایه شناخته می شوند. پس از ایجاد، این گروه های سایه می توانند به جای OU در ابزارهای اداری انتخاب شوند.

                مایکروسافت به گروه های سایه در مستندات مرجع سرور 2008 مراجعه می کند، اما توضیح نمی دهد که چگونه آنها را ایجاد کنند. هیچ روشی برای ساختن درکنسول برای مدیریت گروه های سایه وجود ندارد.

                تقسیم یک زیرساخت اطلاعاتی سازمان به یک سلسله مراتب از یک یا چند حوزه و بالاترین سطح OU ها، یک تصمیم کلیدی است. مدل های رایج توسط واحد کسب و کار، موقعیت جغرافیایی، سرویس IT، یا نوع شیء و هیبریدی اینها هستند. OU ها باید در درجه اول برای تشکیل جلسات اداری تسهیل شود و دوم اینکه برای تسهیل برنامه های سیاستی گروهی آماده شوند. اگرچه OU ها مرز اداری را تشکیل می دهند، تنها مرز امنیتی واقعی، خود جنگل است و مدیر هر دامنه ای در جنگل باید در تمام دامنه های جنگل مورد اعتماد قرار گیرد.

    پارتیشن

                پایگاه داده اکتیو دایرکتوری  در پارتیشن ها سازماندهی شده است، هر کدام دارای انواع خاصی از شی ها هستند و تحت یک الگوی تکرار خاص قرار می گیرند. مایکروسافت اغلب به این پارتیشن ها به عنوان "زمینه های نامگذاری" اشاره می کند. پارتیشن Schema حاوی تعریف کلاس ها و ویژگی های درون جنگل است. پارتیشن Configuration حاوی اطلاعات مربوط به ساختار فیزیکی و پیکربندی جنگل (مانند توپولوژی سایت) است. هر دو قابلیت تکرار در پارتیشنDomain  را دارند. پارتیشن Domain تمام اشیا های ایجاد شده در آن دامنه را نگه می دارد و فقط در دامنه ی آن تکرار می شود.

    ساختار فیزیکی

                سایت ها گروه بندی های فیزیکی (به جای منطق) توسط یک یا چند زیر شبکه زیر تعریف می شوند. AD همچنین اتصالات را تعریف می کند اما با سرعت پایین (مثلWAN ، VPN (برای پیوندها با سرعت بالا ) به عنوان مثالLan  را مشخص می کند. تعاریف سایت، مستقل از ساختار دامنه و OU هستند و در سراسر جنگل مشترک هستند. سایت ها برای کنترل ترافیک شبکه تولید شده توسط تکرار استفاده می شوند و همچنین برای ارجاع مشتری به نزدیکترین کنترل کننده های دامنه (DCs) استفاده می شود. مایکروسافت اکسچنج سرور 2007 از توپولوژی سایت برای مسیر یابی ایمیل استفاده می کند. سیاست ها همچنین می توانند در سطح سایت تعریف شوند.

                از لحاظ فیزیکی، اطلاعات اکتیو دایرکتوری  در یک یا چند کنترل کننده دامنه نظیر، جایگزین مدل NT PDC / BDC برگزار می شود. هر DC یک کپی از اکتیو دایرکتوری  دارد. سرورها به اکتیو دایرکتوری  پیوسته اند که کنترل کننده های دامنه نیستند Member Servers  نامیده می شوند. زیر مجموعه ای از اشیاء در پارتیشن دامنه تکرار به کنترل های دامنه به عنوان کاتالوگ جهانی پیکربندی شده اند. سرورهای جهانی (GC) ، فهرست جهانی از تمام اشیاء در جنگل را فراهم می کند. سرورهای کاتالوگ جهانی همه اشیاء خود را از همه ی دامنه ها تکرار می کنند و از این رو لیستی از اشیا در جنگل ارائه می دهند. با این حال، برای به حداقل رساندن ترافیک تکرار و نگهداشتن پایگاه داده GC کوچک، تنها ویژگی های انتخاب شده از هر شی تکرار شده است. این ویژگی مجموعه جزئی (PAS) نامیده می شود. PAS می تواند با تغییر شیوه و ویژگی ها برای تکرار به GC اصلاح شود. نسخه های پیشین ویندوز با استفاده از NetBIOS برای برقراری ارتباط با اکتیو دایرکتوری  به طور کامل با DNS ادغام شده و نیاز به TCP / IP -DNS دارد. سرورهای DNS باید کاملا کاربردی باشند، باید سوابق منابع SRV را پشتیبانی کنند ، همچنین به عنوان سوابق خدمات شناخته می شوند.

    تکرار

                اکتیو دایرکتوری  تغییرات را با استفاده از تکرار چندین همگام سازی[9] انجام می دهد. تکرار به طور پیش فرض 'pull' به جای 'push'  است، به این معنی که نسخه ها تغییرات را در سرور ایجاد می کنند که در آن تغییر انجام شده است. بررسی پیوندی دانش (KCC) یک توپولوژی تکثیر لینک های سایت را با استفاده از سایت های تعریف شده برای مدیریت ترافیک ایجاد می کند. تکرار درون ثانویه، به عنوان یک نتیجه از اعلان تغییر مکرر و خودکار است، که باعث می شود همزمان برای شروع یک چرخه تکرار طول بکشد. فواصل تکرار درون محدوده معمولا مکرر هستند و پیش فرض تغییر اطلاع رسانی را ندارند، هرچند این قابل تنظیم است و می تواند با تکرار intrasite مشابه باشد.

    هر لینک می تواند هزینه داشته باشد. به عنوان مثال، DS3 ، T1 ، ISDN  و غیره، تغییرات مربوط به توپولوژی لینک را بر عهده دارد. تکرار ممکن است از طریق چند لینک سایت در پل ارتباطی یک سایت پروتکل یکپارچه اتفاق بیافتد، که اگر هزینه کم باشد، هرچند KCC به طور خودکار پیوند سایت به سایت را کمتر از اتصالات پیوندی هزینه می کند.

                تکرار اکتیو دایرکتوری  با استفاده از روش های نظارت از راه دور (RPC) بیش از IP (RPC / IP). بین صفحات SMTP می تواند برای تکرار مورد استفاده قرار گیرد، اما فقط برای تغییر در Schema، Configuration  یا مجموعه ویژگی های جزئی (کاتالوگ جهانی) GCs  و SMTP نمی تواند برای تکرار پارتیشن دامنه پیش فرض استفاده شود.

    فصل چهارم : پیاده سازی

                به طور کلی، یک شبکه با استفاده از اکتیو دایرکتوری  دارای بیش از یک سرور مجاز ویندوز سرور است. پشتیبان گیری و بازگردانی اکتیو دایرکتوری  برای یک شبکه با یک کنترل کننده دامنه ممکن است، اما مایکروسافت توصیه می کند بیش از یک کنترل کننده دامنه برای ارائه حفاظت خودکار سوء استفاده از پوشه راه اندازی کنید. همچنین کنترل کننده های دامنه ایده آل تنها برای عملیات دایرکتوری تنها هستند و نباید هیچ نرم افزاری یا نقش دیگری را اجرا کنند.

                بعضی از محصولات مایکروسافت مانند SQL Server و Exchange می توانند با استفاده از یک کنترل کننده دامنه دخالت کنند، و به این ترتیب جداسازی این محصولات در سرورهای اضافی ویندوز انجام می شود. ترکیب آنها می تواند پیکربندی یا عیب یابی کنترل کننده دامنه یا سایر نرم افزارهای نصب شده را دشوارتر کند. بنابراین، کسب و کار در نظر دارد برای پیاده سازی اکتیو دایرکتوری  به خرید تعدادی مجوز سرور ویندوز، برای ارائه حداقل دو کنترل کننده دامنه جداگانه و به صورت اختیاری، کنترل کننده های دامنه اضافی برای عملکرد یا افزونگی، یک سرور فایل ، جداگانه سرور تبادل، جداگانه SQL سرور و غیره برای پشتیبانی از نقش های مختلف سرور تغییر وضعیت دهد.

                هزینه های سخت افزاری فیزیکی برای سرورهای جداگانه ای را می توان از طریق استفاده از مجازی سازی کاهش داد، اگر چه برای حفاظت از خرابی مناسب، مایکروسافت توصیه می کند که چندین کنترل مجاز دامنه را روی همان سخت افزار فیزیکی اجرا نکنند.

    فصل پنجم : پایگاه داده

                پایگاه دایرکتوری در ویندوز 2000 سرور از موتور ذخیره سازی قابل ارتقاء مبتنی بر JET Blue (ESE98) استفاده می کند و در هر پایگاه داده کنترل کننده دامنه محدود به 16 ترابایت و 2 میلیارد اشیاء (اما تنها 1 میلیارد مدرک امنیت) است. مایکروسافت پایگاه داده های NTDS  با بیش از 2 میلیارد اشیا را ایجاد کرده است. (مدیر امنیت حساب NT4 می تواند بیش از 40،000 اشیا را پشتیبانی کند). نام NTDS.DIT  دارای دو جدول اصلی است: جدول داده ها و جدول پیوند . ویندوز سرور 2003 یک جدول اصلی سوم را برای امنیت یکپارچه امنیتی اضافه کرد.برنامه ها ممکن است به ویژگی های اکتیو دایرکتوری از طریق رابط های COM ارائه شده توسط Interface Services اکتیو دایرکتوری  دسترسی پیدا کنند.

    فصل ششم : پیکربندی

    عملیات سرور تک

    عملیات انعطاف پذیر تک FSMO fizz-mo نیز به عنوان نقش اصلی کار شناخته می شود. اگر چه کنترل های دامنه به طور همزمان در چندین مکان به روز رسانی می شوند، عملیات خاص تنها در یک سرور پشتیبانی می شود. این عملیات با استفاده از نقش های ذکر شده در زیر انجام می شود.

    نام نقش

    Schema Master

    Domain Naming Master

    PDC Emulator

    RID Master

    Infrastructure Master

    محدوده

    1 per forest

    1 per forest

    1 per domain

    1 per domain

    1 per domain/partition

     

    اعتماد سازی

                برای اجازه دادن به کاربران در یک دامنه برای دسترسی به منابع در یک دیگر، اکتیو دایرکتوری  از اعتماد[10] استفاده می کند

                اعتماد ها در داخل جنگل به طور خودکار زمانی ایجاد می شوند که دامنه ها ایجاد می شوند. جنگل مرزهای پیش فرض اعتماد را تعیین می کند و اعتماد پیوسته، به طور خودکار برای تمام حوزه های درون یک جنگل است.

    اصطلاحات اعتماد سازی در پیکربندی

    اعتماد یک طرفه

                یک دامنه اجازه دسترسی به کاربران در دامنه دیگری است، اما دامنه دیگری اجازه دسترسی به کاربران در دامنه اول را نمی دهد.

    اعتماد دو طرفه

                دو دامنه اجازه دسترسی به کاربران در هر دو دامنه را می دهد.

    دامنه قابل اعتماد

                دامنه ای که مورد اعتماد است کاربرانی که دسترسی به دامنه اعتماد دارند.

    اعتماد گذرا

                اعتماد که می تواند فراتر از دو دامنه را به سایر دامنه های مورد اعتماد در جنگل گسترش دهد.

    اعتماد بین المللی

                یک راه اعتماد است که فراتر از دو دامنه گسترش نمی یابد.

    اعتماد صریح

                اعتماد که یک مدیر ایجاد می کند. این یکپارچه نیست و تنها راه است.

    اعتماد متقابل لینک

                یک اعتماد صریح بین دامنه ها در درخت های مختلف یا در همان درخت زمانی که رابطه بین نوادگان / نیا (فرزند / پدر و مادر) بین دو دامنه وجود دارد.

    میانبر

                با دو دامنه درخت های مختلف، پیوندی، یک یا دو طرفه می پیوندد.

    اعتماد جنگل

                به کل جنگل اعمال می شود. ترجیحی، یک یا دو طرفه

    قلمرو

                می تواند به ترتیب یا غیرقابل انتقال (غیرانسانی)، یک یا دو طرفه باشد.

    خارجی

                اتصال به سایر جنگلها یا دامنههای غیر AD. غیر قابل انتقال، یک یا دو طرفه [46]

    اعتماد PAM

                یک اعتبار یک طرفه توسط مدیر مایکروسافت هویت از یک جنگل تولید (احتمالا در سطح پایین) تا سطح عملکرد ویندوز سرور 2016 (جنگل باستانی) که باعث عضویت در گروه محدود می شود، استفاده می شود. [47] [48]

    اعتماد جنگل ها

                ویندوز سرور 2003 اعتماد ریشه جنگل را معرفی کرد. این اعتماد را می توان برای اتصال در ویندوز سرور 2003، جنگل ها در صورتی که در سطح عملکرد 2003 فعال باشند، به کار برد. تأیید اعتبار در این نوع اعتمادKerberos  می باشد.

                تراست های جنگل برای تمامی حوزه های جنگل های قابل اعتماد می باشد. با این حال، تراست های جنگلی بین جنگل ها گذرا نیستند

    مثال : فرض کنید که اعتماد به جنگل های دو طرفه در جنگل A و جنگل B وجود دارد و اعتماد دیگر جنگل دو طرفه بین دامنه های ریشه جنگل در جنگل B و جنگل C وجود دارد. چنین پیکربندی کاربر را قادر می سازد در جنگل B دسترسی به منابع در هر حوزه در هر جنگل یا جنگل C و کاربران در جنگل A یا C می توانند منابع را در هر حوزه در جنگل B به منابع دسترسی داشته باشند. با این حال، کاربران اجازه دسترسی به جنگل در منابع جنگل C یا برعکس برای اجازه دادن به کاربران در منابع جنگل  C، یک اعتماد دو طرفه در میان جنگلها باید وجود داشته باشد.

    ابزار مدیریت Microsoft اکتیو دایرکتوری  عبارتند از

    • کاربران اکتیو دایرکتوری  و رایانه
    • دامنه های اکتیو دایرکتوری  و Trusts
    • سایت های خدمات اکتیو دایرکتوری ،
    • ویرایش ADSI
    • کاربران و گروه های محلی
    • اسناد اکتیو دایرکتوری  Snap-ins برای کنسول مدیریت مایکروسافت (MMC)،

                این ابزار مدیریت ممکن است عملکرد کافی برای گردش کار کارآمد در محیط های بزرگ ارائه ندهد. برخی از راه حل های شخص ثالث قابلیت های مدیریت را گسترش می دهند. آنها ویژگی های ضروری برای فرآیندهای مدیریت راحت تر مانند اتوماسیون، گزارش ها، ادغام با سرویس های دیگر و غیره را فراهم می کنند.

    ادغام یونیکس

                سطوح مختلف قابلیت همکاری با اکتیو دایرکتوری  را می توان در اکثر سیستم عامل های Unix مانند (لینوکس ، Mac OS X یا جاوا و برنامه های مبتنی بر یونیکس) از طریق سازگاری با استاندارد LDAP  را به دست آورد، اما این سیستم ها معمولا ویژگی های بسیاری را تفسیر نمی کنند مانند اجزای ویندوز ،خط مشی گروه Policy و پشتیبانی از اعتماد های یک طرفه Trusts

    طرفهای ثالث یکپارچه ای که اکتیو دایرکتوری را برای سیستم عاملهای یونیکس ارائه می دهند، از جمله:

    • سرویس Identity PowerBroker
    • ADmitMac
    • سامبا - می تواند بعنوان کنترل کننده دامنه عمل کند [50] [51]

                افزونه های اسکریپت با ویندوز سرور 2003 R2 شامل ویژگیهایی هستند که به اندازه کافی نزدیک به RFC 2307 قرار دارند که به طور کلی قابل استفاده هستند. اجرای مرجع RFC 2307 ، nss_ldap و pam_ldap که توسط PADL.com ارائه شده است، به طور مستقیم از این ویژگی ها پشتیبانی می کند. طرح پیش فرض برای عضویت در گروه مطابق با RFC 2307bis (پیشنهاد شده) است. ویندوز سرور 2003 R2 حاوی ضربه محکم و ناگهانی کنسول مدیریت مایکروسافت است که ویژگی ها را ایجاد و ویرایش می کند.

                یک گزینه جایگزین این است که از یک سرویس دایرکتوری دیگری استفاده کنید زیرا مشتریان غیر ویندوز در این مورد تایید می کنند، در حالی که مشتریان ویندوز به تایید AD اعتماد دارند. مشتریان غیر ویندوز شامل 389 دایرکتوری سرور (قبلا سرور دایرکتوری فدورا، FDS)، راه حل Identity ViewDS - ViewDS v7.2 XML دایرکتوری فعال شده و Sun Microsystems Sun Java System Directory Server .  دو طرفه هر دو قادر به هماهنگ سازی دو طرفه با AD هستند و بنابراین یک ادغام "انحراف" را فراهم می کنند.

                یکی دیگر از گزینه این است که از OpenLDAP با پوشش شفاف خود استفاده کنید که می تواند در هر سرور LDAP از راه دور با ویژگی های اضافی ذخیره شده در پایگاه داده محلی گسترش یابد. مشتریان به پایگاه داده محلی اشاره کرده و مقادیری از ویژگی های Remote و Local را مشاهده می کنند، در حالی که پایگاه داده از راه دور به طور کامل دست نخورده باقی می ماند.

                مدیریت (جستجو، اصلاح و نظارت) اکتیو دایرکتوری  را می توان از طریق بسیاری از زبان های اسکریپتی، از جمله PowerShell ، VBScript ، JScript / JavaScript ، Perl ، Python و Ruby بدست آورد . ابزارهای مدیریت آزاد و غیر آزاد میتوانند به ساده کردن و احتمالا خودکار کردن وظایف مدیریت AD کمک کنند.

                از اکتبر 2017 آمازون AWS ادغام با Microsoft اکتیو دایرکتوری  را ارائه می دهد

    منبع و ماخذ

     

     

     

    نتیجه گیری

                اکتیو دایرکتوری از سرویس‌های شرکت مایکروسافت برای مدیریت منابع شبکه است که به وسیله کنترل کننده دامنه (دامین کنترلر) مدیریت می‌شود و در اساس یک کنترل‌کننده متمرکز شبکه است که برای سرویس‌دهنده‌های بر مبنای ویندوز سرور تهیه گردیده‌است. بدون اکتیو دایرکتوری مدیریت منابع نیازمند مدیریت تک‌به‌تک آن‌ها به صورت منفرد است، در حالی که توسط اکتیو دایرکتوری مدیریت منابع شبکه به صورت مجتمع صورت می‌گیرد. این فناوری طوری طراحی شده‌است که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانی‌های کوچک را به عهده دارد. اطلاعات اکتیو دایرکتوری سلسله مراتبی، برگردان و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیره‌سازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ یا عملکرد واحد پردازش مرکزی ندارد.

     بعنوان مثال برای به اشتراک‌گذاری چند فولدر روی شبکه در حالتی که اکتیو دایرکتوری موجود نمی‌باشد نیازمند تعیین دسترسی هر کاربر در هر فولدر به صورت مجزا می‌باشیم و با بروز تغییرات در کاربران و فولدرها بایستی این تغییرات به صورت مجزا اعمال گردد در حالی که در حالت اکتیو دایرکتوری با اعمال قوانین گروهی (group policy) می‌توان این اعمال را به صورت متمرکز انجام داد.

     همینطور سروری که سرویس اکتیودایرکتوری را ارائه می‌کند، دامین کنترولر (DC) نام دارد. این سیستم وظیفه احراز هویت و تعیین سطح دسترسی برای تمامی کاربران و کامپیوترهای متصل به دامین را بر عهده دارد. به عنوان مثال وقتی یک کاربر به یک کامپیوتر متصل به دامین لاگین می‌کند، اکتیو دایرکتوری صحت گذرواژه را بررسی می‌کند و مشخص می‌کند آن کاربر چه سطح دسترسی را دارا می‌باشد. اکتیو دایرکتوری از پروتکل‌های LDAP نسخه ۲ و ۳، کربرس و DNS استفاده می‌کند.

    در تکمیل توضیحات فوق یک اکتیو دایرکتوری مناسب دارای مشخصات زیر می باشد

    • اطلاعات را متمرکز می‌کند، یعنی برای دسترسی به یک سری اطلاعات نیاز به جست و جوی در مکان‌های مختلف نباشد.
    • وقتی امکانات شبکه زیاد می‌شود یا به عبارت دیگر AD بزرگ می‌شود باید بتواند با آن گسترش کنار بیاید و سرعت آن کاهش پیدا نکند همچنین مانند سابق پرسش‌ها را سریعاً جواب دهد، مثلاً یک چاپگر خاص کجا قرار دارد.
    • بر اساس استانداردهای موجود دنیا تدوین شده باشد.
    • پذیرای افزایش قابلیتها باشد. هر برنامه‌ای که به سیستم عامل اضافه می‌شود، ممکن است بخواهد خودش به AD یک سری موضوعات و قابلیت‌ها اضافه و از آن‌ها استفاده نماید در نتیجه AD باید پذیرای افزایش قابلیت‌ها باشد.
    • باید ساختار فیزیکی شبکه را از ساختار منطقی آن جدا کند و این هدف اصلی طراحی شبکه است، چون لازم نیست کاربر بداند امکانات فیزیکی شبکه در کجا قرار دارد تا از آن‌ها استفاده نماید.
    • امنیت در ذخیره اطلاعات و همچنین دسترسی به اطلاعات باید در AD وجود داشته باشد.
    • می‌توان با اعمال سیاست‌های مختلف تحت شبکه، شبکه را در جهت هدف خاصی پیش برد و محدودیت‌های دسترسی کاربران در جهت امنیت شبکه ایجاد کرد.
     

    [1] Active Directory Federation Services

    [2] Metro Style Application

    [3] Certificate Service

    [4] Rights Management Services

    [5] A Component Object Model Interface

    [6] Security Accounts Manager

    [7] Security Identifiers

    [8] Organizational Units

    [9] Multi-Matser Replication

    [10] Trusting

    نظرات ارسال شده ارسال نظر جدید برای ارسال نظر، وارد شوید
    نویسنده پیام
    متن پیام
دوستان وبینوکس
  • نمونه محصول  انتشارات هنر آبی
  • نمونه محصول  بهساخت
  • نمونه محصول  نگین سبز خاور میانه
  • نمونه محصول  انتشارات ایران فردا
  • نمونه محصول  وینسام
  • نمونه محصول  دیوان محاسبات کشور
  • خبرنامه وبینوکس، اخبار، مقالات، محصولات جدید