اکتیو دایرکتوری (Active Directory)

سازمان های سراسر جهان با هر اندازه ای که دارند از اکتیو دایرکتوری (Active Directory) برای کمک به مدیریت مجوزها و کنترل دسترسی به منابع حیاتی شبکه استفاده می کنند.رAD یک پایگاه داده و مجموعه ای از خدمات است که کاربران را با منابع شبکه ای که برای انجام کارشان نیاز دارند متصل می کند. پایگاه داده (یا دایرکتوری) حاوی اطلاعات مهمی در مورد محیط شماست، از جمله اینکه چه کاربران و رایانه هایی وجود دارند و چه کسانی مجاز به انجام چه کاری هستند. به عنوان مثال، پایگاه داده ممکن است 100 حساب کاربری را با جزئیاتی مانند عنوان شغلی، شماره تلفن و رمز عبور هر فرد فهرست کند. همچنین مجوزهای آنها را ثبت می کند.

سرویس ها بیشتر فعالیت هایی که در محیط IT شما انجام می شود را کنترل می کنند. به طور خاص، آنها معمولاً با بررسی شناسه کاربری و رمز عبوری که وارد می‌کنند، مطمئن می‌شوند که هر فرد همان چیزی است که ادعا می‌کند (تأیید هویت)، و به آنها اجازه می‌دهد فقط به داده‌هایی که مجاز به استفاده از آنها هستند دسترسی داشته باشند (مجوز).

اکتیو دایرکتوری (Active Directory) چیست؟

Active Directory (AD) یک سرویس دایرکتوری است که روی سرور مایکروسافت ویندوز اجرا می شود. عملکرد اصلی Active Directory این است که مدیران را قادر می سازد مجوزها را مدیریت کرده و دسترسی به منابع شبکه را کنترل کنند. در اکتیو دایرکتوری داده ها به صورت اشیاء ذخیره می شوند که شامل کاربران، گروه ها، برنامه ها و دستگاه ها می شود و این اشیاء بر اساس نام و ویژگی هایشان دسته بندی می شوند.

اکتیو دایرکتوری چیست

مزایای اکتیو دایرکتوری

Active Directory زندگی مدیران و کاربران نهایی را ساده می کند و در عین حال امنیت سازمان ها را افزایش می دهد. مدیران از مدیریت متمرکز کاربر و حقوق و همچنین کنترل متمرکز بر پیکربندی رایانه و کاربر از طریق ویژگی AD Group Policy برخوردارند . کاربران می‌توانند یک بار احراز هویت کنند و سپس به منابع موجود در دامنه‌ای که برای آن مجاز شده اند دسترسی داشته باشند. بعلاوه، فایل‌ها در یک مخزن مرکزی ذخیره می‌شوند، جایی که می‌توان آن‌ها را با سایر کاربران به اشتراک گذاشت تا همکاری آسان‌تر شود، و به‌طور مناسب توسط تیم‌های فناوری اطلاعات پشتیبان‌گیری شود تا از تداوم کسب‌وکار اطمینان حاصل شود.

اکتیو دایرکتوری محصول مایکروسافتی

اکتیو دایرکتوری یک محصول مایکروسافتی است که شامل چندین سرویس می باشد که بر روی نسخه های مختلف سرور قابل اجرا است و برای مدیریت دسترسی کاربران و دسترسی به منابع شبکه به کار می رود.

اکتیو دایرکتوری داده ها را مانند یک شی در نظر می گیرد که میتوان مواردی مانند کاربران ، گروه ها ، سخت افزار ها و نرم افزارها را مثال زد.

به عنوان نمونه ، برخوردی که اکتیو دایرکتوری با یک کاربر یا مجموعه ای از کاربران به عنوان یک شی دارد میتواند به مدیریت متمرکز کاربر منتهی شود و بر روی آنها انواع سطوح دسترسی به منابع شبکه تعیین گردد، خواه بر روی یک سیستم و یا بر روی یک فایل خاص!

اکتیو دایرکتوری یک شی را بوسیله نام و ویژگی ها دسته بندی می کند، که میتواند شامل یک اسم و اطلاعات وابسته به آن اسم باشد.

اصلی ترین سرویس اکتیو دایرکتوری سرویس دامین (AD DS) است که اطلاعات اکتیو دایرکتوری را ذخیره میکند و فعل و انفعالات کاربران را مانیتور می کند.اکتیو دایرکتوری همچنین اجازه دسترسی به کاربرانی که قصد وصل شدن به یک سرور و یا دستگاهی دیگر را دارند میدهد.

اکتیو دایرکتوری یک کنترل کننده منبع

اکتیو دایرکتوری کنترل کننده این مورد است که کدام کاربر به کدامین منبع توانایی دسترسی دارد. که حوزه این دسترسی ها از یک کاربر ادمین تا یک کاربر عادی متفاوت است.

همچنین دیگر محصولات مایکروسافتی مانند ایمیل سرور و شیر پوینت برای اجرا ، نیاز به اکتیو دایرکتوری دارند. لازم به ذکر است، سروری که AD DS است دامین کنترلر هم نامیده میشود.

اکتیو دایرکتوری چگونه کار می کند؟

سرویس اصلی Active Directory، Active Directory Domain Services (AD DS) است که بخشی از سیستم عامل ویندوز سرور است.سرورهایی که AD DS را اجرا می کنند، کنترلر دامین  (DC) نامیده می شوند. سازمان ها معمولاً چندین DC دارند و هر کدام یک کپی از دایرکتوری برای کل دامنه دارند. تغییرات ایجاد شده در دایرکتوری یک کنترل کننده دامنه – مانند به روز رسانی رمز عبور یا حذف یک حساب کاربری – در سایر DCها تکرار می شود تا همه آنها به روز بمانند. Global Catalog server یک DC است که یک کپی کامل از تمام اشیاء را در فهرست دامنه خود و یک کپی جزئی از تمام اشیاء همه دامنه های دیگر را در جنگل ذخیره می کند. این به کاربران و برنامه ها امکان می دهد اشیاء را در هر دامنه جنگل خود پیدا کنند. دسک‌تاپ‌ها، لپ‌تاپ‌ها و سایر دستگاه‌های مبتنی بر ویندوز (به‌جای ویندوز سرور) می‌توانند بخشی از یک محیط Active Directory باشند، اما AD DS را اجرا نمی‌کنند. AD DS بر چندین پروتکل و استاندارد تثبیت شده متکی است.

درک این نکته مهم است که Active Directory فقط برای محیط های داخلی مایکروسافت است. محیط‌های مایکروسافت در فضای ابری از Azure Active Directory استفاده می‌کنند، که همان اهدافی را دارد که همنام اصلی خود دارد. AD و Azure AD مجزا هستند اما اگر سازمان شما دارای محیط‌های فناوری اطلاعات داخلی و ابری باشد (استقرار ترکیبی) تا حدی می‌توانند با هم کار کنند.

Active Directory Domain Services چیست؟

Active Directory Domain Services (AD DS) جزء اصلی اکتیو دایرکتوری است و مکانیسم اصلی را برای احراز هویت کاربران و تعیین منابع شبکه ای که می توانند دسترسی داشته باشند را ارائه می دهد. AD DS همچنین ویژگی های اضافی مانند Single Sign-On (SSO)، گواهی‌های امنیتی، LDAP و مدیریت مجوز دسترسی را ارائه می‌کند.

ساختار سلسله مراتبی Active Directory Domain Services

AD DS داده ها را در یک ساختار سلسله مراتبی متشکل از دامین ها (domains)، درخت ها (trees) و جنگل ها (forests) سازماندهی می کند. درادامه توضیح بیشتری ارائه خواهیم داد:

Domains: یک دامین یا دامنه گروهی از اشیاء مانند کاربران، گروه ها و دستگاه ها را نشان می دهد که پایگاه داده AD یکسانی را به اشتراک می گذارند. شما می توانید دامنه را به عنوان شاخه ای در یک درخت در نظر بگیرید. یک دامنه ساختاری مشابه دامنه ها و زیر دامنه های استاندارد دارد. به عنوان مثال می توان به yourdomain.com  و  sales.yourdomain.comاشاره کرد.

Trees: درخت یک یا چند دامنه است که در یک سلسله مراتب منطقی با هم گروه بندی شده اند. از آنجایی که دامنه ها در یک درخت به هم مرتبط هستند، گفته می شود که به یکدیگر اعتماد دارند.

Forests: جنگل بالاترین سطح سازمان در AD است و شامل گروهی از درختان است. درختان یک جنگل همچنین می توانند به یکدیگر اعتماد کنند و همچنین طرحواره های دایرکتوری، کاتالوگ ها، اطلاعات برنامه ها و تنظیمات دامنه را به اشتراک خواهند گذاشت.

Organizational Units: واحدهای سازمانی یا OU برای سازماندهی کاربران، گروه ها، سیستم ها و سایر واحدهای سازمانی استفاده می شود.

Containers: یک کانتینر شبیه به یک OU است، با این حال برخلاف OU، امکان اتصال PO به یک کانتینر اکتیو دایرکتوری عمومی وجود ندارد.

اکتیو دایرکتوری

سایر خدمات اکتیو دایرکتوری

علاوه بر خدامات دامنه اکتیو دایرکتوری، تعداد انگشت شماری خدمات حیاتی دیگر وجود دارند که AD ارائه می کند. برخی از این خدمات در ادامه آورده شده اند:

Lightweight Directory Services : یک Lightweight Directory Access Protocol (LDAP) یا پروتکل دسترسی دایرکتوری سبک است که تنها زیرمجموعه ای از ویژگی های AD DS را ارائه می کند که باعث می شود از نظر مکان هایی که می توان آن را اجرا کرد، همه کاره تر شود. به عنوان مثال می توان آن را به عنوان یک سرویس دایرکتوری مستقل بدون نیاز به ادغام با پیاده سازی کامل اکتیو دایرکتوری اجرا کرد.

Certificate Services : می توانید گواهی های رمزگذاری را ایجاد، مدیریت و به اشتراک بگذارید که به کاربران اجازه می دهد، اطلاعات را به صورت امن از طریق اینترنت تبادل کنند.

Active Directory Federation Services : یک راه حل Single Sign-On (SSO) برای AD است که به کارمندان اجازه می دهد با یک مجموعه اعتبار به چندین برنامه دسترسی داشته باشند، بنابراین تجربه کاربر را ساده می کند.

Rights Management Services :  مجموعه ای از ابزارهایی است که به مدیریت فناوری های امنیتی کمک می کند و به سازمان ها کمک می کند تا داده های خود را ایمن نگه دارند. چنین فناوری هایی شامل رمزگذاری، گواهینامه ها و احراز هویت هستند و طیف وسیعی از برنامه ها و انواع محتوا مانند ایمیل ها و اسناد ورد را پوشش می دهند.

سروری که میزبان AD DS است domain controller (DC) یا دامین کنترلر / کنترل کننده دامنه نامیده می شود. کنترلر دامین می تواند برای احراز هویت با سایر محصولات MS مانند Exchange Server، SharePoint Server، SQL Server، File Server و غیره استفاده شود.

Lightweight Directory Services

سرویس Lightweight Directory Services ساختاری مشابه AD DS را دارد و عملکرد های مشابهی را هم از خود بروز می دهد.از قبیل API  ،AD LDS   هرچند چندین نمونه دارای قابلیت اجرا بر روی یک سرور را دارند واطلاعات اکتیو دایرکتوری را در پایگاه داده Lightweight Directory Access Protocol (LDAP)  نگهداری میکند.

LDAP  یک پروتکل لایه هفت است که می توان از آن در تمامی سرویس های دایرکتوری یا Directory Service های ویندوزی و لینوکسی استفاده کرد. در واقع اکتیودایرکتوری نیز خود بر اساس و پایه پروتکل LDAP طراحی و پیاده سازی شده است.

LDAP داده ها را ذخیره میکند مانند نام کاربری و رمز عبور درdirectory services و اطلاعات یک شی خاص را در سراسر شبکه به اشتراک میگذارد.

Certificate Services (AD CS) برای ایجاد، مدیریت و به اشتراک گزاری  certificatesبه کار می رود. Certificates با رمز گذاری داده، انتقال امن اطلاعات بر روی اینترنت را تضمین میکند.

Active Directory Federation Services

Active Directory Federation Services (AD FS) برای احراز هویت کاربران هنگام دسترسی به نرم افزار ها بر روی شبکه های مختلف به کار می رود. و برای دستیابی به این مهم از single sign-on (SSO) استفاده میکند. همانگونه که از نام SSO مشخص است، SSO نیاز دارد که کاربر فقط یکبار لاگین کند بجای احراز هویت به ازای هر سرویس!

Rights Management

Rights Management (AD RMS) این سرویس محتویات داخل فایلهای ایمیل و آفیس را میخواند و با استفاده از آن محدودیت های دسترسی را اعمال میکند.

مایکروسافت نسخه اولیه اکتیو دایرکتوری را در سال 1999 عرضه کرد و سال بعد هم نسخه ای از آن را بر روی ویندوز سرور 2000عرضه کرد.

مایکروسافت در ادامه بصورت پیوسته ویژگی های این نسخه را همگام با انتشار هر نسخه جدید از ویندوز سرور ارتقا می دهد. که این روند از ویندوزسرور 2000، 2003، 2008، 2012، 2016 و تا هم اکنون که نسخه 2019 عرضه شده، ادامه داشته است.

چرا اکتیو دایرکتوری در سازمان مورد نیاز است؟

یک سیستم در شبکه میتواند بخشی از یک اکتیو دایرکتوری یا work group باشد. اصلی ترین تفاوت بین این دو به نحوه مدیریت منابع بر میگردد.

 workgroup

در  روش workgroup تمامی سیستم ها همکار به حساب می آیند و هیچ سیستمی نمی تواند، سیستم دیگر را کنترل کند.

هر کامپیوتر مجموعه ای از user های مربوط به خود را دارد ، برای استفاده از هر سیستم موجود در work group شما باید الزما بر روی همان سیستم دارایuser باشید.

تعداد سیستم های این مجموعه معمولا بین 10 تا 20 سیستم است.

تمامی کامپیوتر ها باید در یک محیط کوچک کاری و در یکsubnet باشند.

Domailn

در دامین یک یا تعدادی شبکه وجود دارد و مدیر شبکه ازسرور برای تنظیمات امنیتی و ایجاد سطوح دسترسی به سایر کاربران استفاده میکند. در این حالت هرگونه تغییرات به آسانی انجام می شود چون نیازی نیست تغییرات بصورت جداگانه بر روی تمام سیستم ها اعمال شود.

اگر شما بر روی Domain یک user داشته باشید بسته به تنظیمات مدیر شبکه می توانید بر روی یک سیستم و یا تمام سیستم ها login کنید.

در این محیط صدها و یا هزاران کامپیوتر وجود دارد.

یک کامپیوتر میتواند متعلق به شبکه های محلی مختلفی باشد.

بخاطر افزایش امنیت و مدیریت آسان تر کلاینت ها توصیه می شود از domain استفاده شود.

Azure Active Directory چیست؟

با توجه به اینکه سازمان‌ها به طور فزاینده‌ای عملیات تجاری خود را به فضای ابری تغییر می‌دهند، مایکروسافت Azure Active Directory (Azure AD) را معرفی کرده است که نسخه مبتنی بر ابر ویندوز AD آن‌ها است که می‌تواند با پیاده‌سازی‌های AD در محل همگام شود. گفته می شود Azure AD ستون فقرات Office 365 و سایر محصولات Azure است. با این حال، می توان آن را با سایر سرویس ها و پلتفرم های ابری ادغام کرد. برخی از تفاوت های Windows AD و Azure AD به شرح زیر است.

ارتباط: Azure AD از یک REST API استفاده می کند، در حالی که Windows AD همانطور که قبلاً ذکر شد از LDAP استفاده می کند.

احراز هویت: Windows AD از Kerberos و NTLM برای احراز هویت استفاده می‌کند، در حالی که Azure AD از پروتکل‌های احراز هویت داخلی مبتنی بر وب خود استفاده می‌کند.

ساختار: برخلاف Windows AD که توسط OU، درختان، جنگل ها و دامنه ها سازماندهی شده است، Azure AD از ساختار مسطح کاربران و گروه ها استفاده می کند.

مدیریت دستگاه: برخلاف Windows AD ، Azure AD را می توان از طریق دستگاه های تلفن همراه مدیریت کرد. Azure AD برای تعیین اینکه کدام دستگاه ها و سرورها قادر به اتصال به شبکه هستند، به (GPO) متکی نیست.

جهت اطلاعات بیشتر در خصوص سرویس اکتیو دایرکتوری میتوانید به سایت مایکروسافت مراجعه کنید و یا اینکه با ما تماس بگیرید.