اکتیو دایرکتوری مایکروسافت (Microsoft Active Directory) یا به اختصار AD، یک سرویس دایرکتوری و ادغام سیستمی مایکروسافت است که برای مدیریت منابع شبکه و اطلاعات کاربری در محیطهای ویندوز استفاده قرار میشود. این تکنولوژی یکی از مهمترین عناصر زیرساخت IT در محیطهای تجاری و سازمانی است و نقش اساسی در ایجاد امنیت، دسترسی به منابع شبکه و مدیریت کاربران و دستگاهها دارد. با آموزشگاه مهندسی کندو همراه باشید.
مهمترین ویژگیها و کاربردهای اکتیو دایرکتوری
مهمترین ویژگیها و کاربردهای اکتیو دایرکتوری مایکروسافت عبارتاند از:
- اکتیو دایرکتوری به ادمینها امکان میدهد تا کاربران، گروهها و واحدهای سازمانی را مدیریت کنند. این امکان شامل ایجاد، ویرایش، حذف و مدیریت مجوزها برای دسترسی به منابع مختلف میشود.
- AD از پروتکلها و استانداردهای امنیتی مانند LDAP، Kerberos و SSL/TLS برای حفاظت از دادهها و اطلاعات کاربری استفاده میکند. همچنین امکان مدیریت سیاستهای امنیتی در سطح سیستمها و کاربران را فراهم میکند.
- AD به ادمینها امکان میدهد تا وظایف مدیریتی، از جمله ایجاد اکانتهای کاربری، اختصاص منابع شبکه و تغییر رمز عبور کاربران را به صورت اتوماتیک اجرا کنند.
- اکتیو دایرکتوری امکان ادغام تکنولوژیهای مختلف را فراهم میکند. به عنوان مثال، میتوان دستگاههایی با سیستمعامل ویندوز و غیر ویندوزی را در یک محیط ادغام کرد.
- AD امکان سینک کردن اطلاعات کاربری میان انواع سرویسها و منابع مختلف را فراهم میکند. به این شکل تغییرات در یک سرویس مانند افزودن یک کاربر به AD به صورت خودکار در تمام سرویسها اعمال میشود.
- اکتیو دایرکتوری امکان پیادهسازی احراز هویت چندعاملی برای افزایش امنیت دسترسی به منابع را فراهم میکند.
- با استفاده از AD و تکنولوژیهای مشابه، کاربران میتوانند با یکبار ورود به سیستم و بدون نیاز به ورود مجدد، به تمامی منابع و برنامههای مختلف دسترسی پیدا کنند.
در نهایت باید گفت که اکتیو دایرکتوری مایکروسافت به عنوان یکی از اصولیترین و حیاتیترین تکنولوژیها در محیطهای شبکه و تجاری شناخته میشود و برای مدیریت منابع و امنیت دادهها و دسترسی به آنها از اهمیت بسیاری برخوردار است.
بیشتر بخوانید: نحوه نصب و راه اندازی اولیه اکتیو دایرکتوری مایکروسافت
تعریف اشیا در اکتیو دایرکتوری
در اکتیو دایرکتوری مایکروسافت، سه شی اصلی و کلیدی وجود دارد که شامل کاربران، سرویسها و منابع می شود. این سه شی اصلی به عنوان اجزا اصلی اکتیو دایرکتوری برای مدیریت هویت و دسترسی به منابع در سازمانها مورد استفاده قرار میگیرند. توسط تعریف و مدیریت این اشیاء، سازمانها قادرند سیاستها و دسترسیهای مورد نیاز خود را تعیین و اجرا کنند و مدیریت هویت و امنیت شبکه را به صورت مؤثری انجام دهند.
کاربر (User)
اینشی برای نمایانگر کاربران در سیستم استفاده میشود. هر کاربر دارای اطلاعات شخصی مانند نام، نام خانوادگی، نام کاربری، رمز عبور، شماره تلفن و سایر ویژگیها است. کاربران به وسیله نام کاربری و رمز عبور به سیستم وارد میشوند و از اطلاعات و منابع مختلفی در سازمان استفاده میکنند.
سرویس (Service)
اینشی برای نمایانگر خدمات و برنامههای مختلفی استفاده میشود که در شبکه فعالاند. این خدمات ممکن است برای دسترسی به منابع مختلف یا انجام وظایف خاصی نیاز به اطلاعات احراز هویت داشته باشند. به عنوان مثال، یک سرویس میتواند یک دیتابیس متصل به شبکه باشد و نیاز به اطلاعات احراز هویت برای دسترسی به دادهها داشته باشد.
منبع (Resource)
اینشی برای نمایانگر منابع مختلفی در سازمان استفاده میشود که توسط کاربران و سرویسها قابل دسترسی هستند. منابع میتوانند پوشهها، پرینترها، فایلها، دستگاهها و هر چیز دیگری باشند که نیاز به مدیریت دسترسی و احراز هویت دارند.
آشنایی با ساختار اکتیو دایرکتوری مایکروسافت
ساختار اکتیو دایرکتوری بر اساس مفهومها و اشیاء دایرکتوری سازماندهی شده است. در ادامه، به آشنایی با ساختار اکتیو دایرکتوری و اجزای آن میپردازیم:
دامین (Domain)
دامین به عنوان واحد اصلی سازماندهی در اکتیو دایرکتوری عمل میکند. هر دامین میتواند شامل یک یا چند کامپیوتر سرور باشد و تمامی اشیاء دایرکتوری در آن دامین تعریف و مدیریت شوند. دامینها میتوانند با یکدیگر در یک Forest مرتبط شوند.
دامین کنترلر اصلی (Domain Controller – DC)
هر دامین نیاز به یک یا چند دامین کنترلر اصلی دارد. دامین کنترلر اصلی نقش اصلی در مدیریت دادهها و اعمال سیاستها در دامین دارد. اطلاعات کاربری و دادههای دایرکتوری در دامین کنترلر اصلی ذخیره میشوند.
Tree (درخت)
چندین دامین میتوانند در یک ساختار سلسله مراتبی به یکدیگر شوند و صفات والد خود را به ارث ببرند. این ساختار به عنوان “درخت یا Tree در اکتیودایرکتوری” شناخته میشود و همگی درختها به یک دامین ریشه متصل میشوند.
Forest (جنگل)
یک Forest شامل یک یا چند درخت دامین است. Forest به عنوان یک مجموعه از تمامی دامینها و درختها در آن تشکیل میشود. هر Forest دارای یک دامین ریشه است که به عنوان دامین اصلی اجازه ورود به ساختار را میدهد.
Global Catalog (کاتالوگ جهانی)
در یک Forest، یک یا چند سرور Global Catalog وجود دارد که شامل اطلاعات کلیه اشیاء دایرکتوری در Forest میباشد. این کاتالوگ به جستجوها و دسترسی به اطلاعات در سراسر Forest کمک میکند.
Schema (طرح)
Schema یک تعریف از تمامی اشیاء دایرکتوری و ویژگیهای کاربری در یک Forest است. این تعریف مشترک برای تمامی دامینها و درختهای Forest میباشد.
گروهها (Groups)
گروهها به عنوان مجموعهای از کاربران و دیگر اشیاء دایرکتوری برای تسهیل مدیریت دسترسی و مجوزها استفاده میشوند. گروهها میتوانند به عنوان مخزنهایی برای دسترسی به منابع و اجزای دیگر سازمان عمل کنند.
Forest در اکتیو دایرکتوری مایکروسافت
تا اینجا تلاش داشتیم که اکتیو دایرکتوری را تعریف کنیم تا بتوانیم یکی از اجزای ساختاری آن به نام Forest را بهتر و بیشتر معرفی نماییم. در اکتیو دایرکتوری مایکروسافت (آموزش مایکروسافت)، مفهوم “Forest” به یک محیط دایرکتوری توزیع شده اشاره دارد. Forest در واقع مجموعهای از یک یا چند دامین (Domain) میباشد که به صورت لجستیک و امنیتی با یکدیگر مرتبطاند و با هم تعامل دارند. همچنین Forest دارای یک ساختار سلسلهمراتبی از اشیاء دایرکتوری میباشد که تمامی دامینها در آن به صورت سلسلهمراتبی مرتبط شدهاند. در یک Forest، میتوان دامینهای مختلفی را ایجاد کرد که هر یک از آنها میتوانند محیطهای جداگانه اداری و سازمانی داشته باشند و از دیگر دامینهای Forest مستقل باشند.
در اکتیو دایرکتوری مایکروسافت، مفهوم “Forest” در واقع یک سازمان اصلی برای سازماندهی و مدیریت اشیاء دایرکتوری است؛ به عبارت دیگر، یک Forest شامل تمامی دامینها، درختها، کاربران، گروهها، سرویسها و منابع موجود در یک سازمان میشود.
بنابراین، اشیاء مختلفی که در یک Forest وجود دارند، در واقع در محیط اصلی اکتیو دایرکتوری که توسط Forest نشان داده میشود، تعریف شدهاند. این اشیاء شامل کاربران، گروهها، سرویسها، کامپیوترها، سرورها، منابع و سایر اشیاء دایرکتوری میشوند که در سازمان و در کل Forest تعریف و مدیریت میشوند.
در یک Forest، اطلاعات مشترکی نظیر Schema و Global Catalog نیز وجود دارند که توسط تمام دامینها و درختها در آن Forest به اشتراک گذاشته میشوند. این اطلاعات مشترک از جمله تعریفها و ویژگیهای مشترک اشیاء دایرکتوری را شامل میشوند.
بنابراین، اگر اشیاء مختلفی را در یک Forest مد نظر دارید، آنها در محیط اصلی Forest تعریف و مدیریت میشوند و Forest به عنوان یک واحد اصلی مدیریتی برای آنها عمل میکند.
کاربرد اکتیو دایرکتوری در سازمانها چیست؟
تاکنون درباره ساختار Forest در اکتیو دایرکتوری مایکروسافت صحبت کردیم و متوجه شدیم که در ساختار سلسهمراتبی اکتیو دایرکتوری، Forest شامل چندین درخت است که اجازه ورود به یک ساختار را میدهد. حال باید ببینیم چطور از اکتیو دایرکتوری در سازمان خود استفاده نماییم؟ به عنوان یک مثال عملی، فرض کنید شما یک مدیر سیستم در یک سازمان هستید و از اکتیو دایرکتوری برای مدیریت کاربران و منابع شبکه استفاده میکنید. میتوانید:
1. مدیریت دسترسی کاربران به پوشهها و منابع
شما میتوانید گروهها را در اکتیو دایرکتوری ایجاد کنید و کاربران را به این گروهها اضافه کنید. سپس، با تعیین مجوزها و دسترسیهای لازم به هر گروه، میتوانید کاربران به منابع خاص در شبکه دسترسی داشته باشند (آموزش شبکه). مثلاً، یک گروه میتواند به فایلها و پوشههای مشخصی دسترسی داشته باشد.
2. ایجاد یک سیاست رمز عبور
با استفاده از اکتیو دایرکتوری، میتوانید یک سیاست رمز عبور قوی برای تمامی کاربران تعیین کنید. به عنوان مثال، ممکن است تصمیم بگیرید که رمزهای عبور باید حداقل 8 کاراکتر، شامل حروف بزرگ، حروف کوچک، اعداد و نمادها باشند. اکتیو دایرکتوری این سیاست را برای تمام کاربران اعمال کرده و از آنها خواسته تا رمز عبورهای خود را بر اساس این سیاست تغییر دهند.
3. مدیریت دستگاهها
شما میتوانید دستگاههای مختلفی که در سازمان استفاده میشوند (مثلاً کامپیوترها، لپتاپها، تلفنهای همراه) را در اکتیو دایرکتوری ثبت کنید. با اضافه کردن این دستگاهها به اکتیو دایرکتوری، میتوانید سیاستها و تنظیمات امنیتی را برای آنها تعیین کنید و به صورت مرکزی آپدیتها و تغییرات را اعمال کنید.
4. احراز هویت دو عاملی
با استفاده از اکتیو دایرکتوری، میتوانید احراز هویت دو عاملی (2FA) را برای تمام کاربران فعال کنید. هنگامی که کاربران وارد سیستم میشوند، باید علاوه بر وارد کردن نام کاربری و رمز عبور، یک متغیر دوم مانند کد ارسالی به تلفن همراه خود نیز وارد کنند تا اثربخشی امنیتی افزایش یابد.
این مثالها تنها چند نمونه از کاربردهای اکتیو دایرکتوری هستند و کارایی عملیشان بستگی به نیازها و سازمانهای مختلف دارد. اکتیو دایرکتوری به سازمانها امکان میدهد تا سیستمها و منابع خود را بهبود ببخشند و مدیریت کاربران و امنیت را تسهیل کنند.
چگونه اکتیو دایرکتوری را فعال کنیم؟
برای فعال کردن اکتیو دایرکتوری در یک محیط ویندوز Server، شما نیاز به نصب و پیکربندی “Active Directory Domain Services” دارید. در زیر، مراحل کلی نصب و فعالسازی اکتیو دایرکتوری را برای ویندوز Server 2019 توضیح خواهیم داد. توجه داشته باشید که این مراحل در ویندوز Server 2016 و ورژنهای متفاوتی که از اکتیو دایرکتوری استفاده میکنند، ممکن است متفاوت باشند. در ابتدا بدانید که برای اجرای این مراحل، به عنوان حداقل، نیاز به یک ویندوز Server با نسخه Standard یا Datacenter دارید.
نصب Active Directory Domain Services (AD DS)
- برای نصب AD DS، به Server Manager وارد شوید.
- در پنجره “Dashboard”، بر روی “Add roles and features” کلیک کنید.
- در ویزارد “Add Roles and Features”، بر روی “Role-based or feature-based installation” کلیک کنید و برای ادامه Next را انتخاب کنید.
- در صفحه “Select installation type”، گزینه “Role-based or feature-based installation” را انتخاب کرده و Next را بزنید.
- در صفحه “Select destination server”، سرور مورد نظر را انتخاب کنید و Next را بزنید.
- در صفحه “Select server roles”، نقش “Active Directory Domain Services” را انتخاب کرده و اگر پنجره پیام ظاهر شد، بر روی “Add Features” کلیک کنید و Next را بزنید.
- در صفحه “Select features”، بر روی Next کلیک کنید.
- در صفحه “Active Directory Domain Services”، مطمئن شوید که همه اجزا انتخاب شده باشند و بر روی Next کلیک کنید.
- در صفحه “Confirm installation selections”، مطالب را بررسی کرده و Next را بزنید.
- در صفحه “Install”، نصب را آغاز کنید و منتظر بمانید تا نصب کامل شود.
- پس از پایان نصب، روی “Promote this server to a domain controller” کلیک کنید تا ویزارد تنظیم دامین آغاز شود.
فعالسازی دامین
- در ویزارد “Active Directory Domain Services Configuration Wizard”، انتخاب “Add a new forest” را انتخاب کرده و مشخصات دامین خود را وارد کنید (نام دامین کامل را وارد کنید).
- برای ادامه، رمز عبور مدیریتی (Directory Services Restore Mode Administrator) را تعیین کرده و Next را بزنید.
- از تنظیمات پیشفرض برای مسیر دادهها (Data Paths) و مسیر لاگها (Log Paths) استفاده کنید و Next را بزنید.
- برای پیکربندی DNS، از گزینه “Install and configure the DNS server on this computer” استفاده کنید و رمز عبور DNS را تنظیم کنید. سپس Next را بزنید.
- اگر واقع در یک شبکه با IP ثابت هستید، به صفحه “Additional Options” بروید و تنظیمات مربوط به آن را انجام دهید.
- در صفحه “Paths”، مسیرهای دادهها و لاگها را بررسی کرده و Next را بزنید.
- در صفحه “Review Options”، تمام تنظیمات را بررسی کرده و در صورت صحیح بودن، Next را بزنید.
- ویزارد به شما یک خلاصه از تنظیمات نشان میدهد. بررسی کنید و در صورت صحیح بودن، روی “Install” کلیک کنید.
- پس از اتمام نصب، سرور خود دوباره راهاندازی خواهد شد و اکتیو دایرکتوری فعال خواهد شد.
با این مراحل، شما میتوانید اکتیو دایرکتوری را بر روی ویندوز Server فعال کرده و برای مدیریت کاربران و منابع شبکه خود آماده شوید. به عنوان مدیر دامین، شما میتوانید کاربران جدید ایجاد کنید، گروهها را مدیریت کنید و سیاستهای امنیتی را تنظیم کنید.
بیشتر بخوانید: توضیح کامل OU در اکتیو دایرکتوری مایکروسافت
کلام آخر
ما در این مطلب گفتیم که Forest به عنوان یکی از مفاهیم اصلی اکتیو دایرکتوری مایکروسافت شناخته میشود. یک Forest مجموعهای از یک یا چند درخت دامین میباشد که در کنار یکدیگر واقع شدهاند. در واقع، یک Forest میتواند شامل یک یا چند درخت دامین باشد. Forest یک مفهوم انتزاعی در ساختار اکتیو دایرکتوری است و شما به عنوان یک کاربر یا مدیر شبکه به صورت مشخص با آن سرو کار ندارید. کافی است که اکتیو دایرکتوری را نصب کرده و بعد از تعیین گروهها، اشیا و… از مزایای آن در سازمان خود استفاده نمایید.