نماد سایت شرکت آرسس

اکتیودایرکتوری چیست و چرا یک شرکت به اکتیودایرکتوری نیاز دارد؟

اکتیودایرکتوری چیست - چرا به اکتیودایرکتوری نیاز داریم - Active Directory - AD

اکتیودایرکتوری چیست - چرا به اکتیودایرکتوری نیاز داریم - Active Directory - AD

اکتیودایرکتوری یکی از خدماتی است که شرکت‌های ارائه دهنده‌ی خدمات شبکه در سبد محصولات خود دارند. این سرویس یکی از مهم‌ترین و پایه‌ای‌ترین چیزهایی است که باید در زیرساخت شبکه‌ی خود داشته باشید. اگر می‌خواهید با سرویس اکتیودایرکتوری بیشتر آشنا شوید، پست زیر را تا انتها بخوانید ، اینبار از آرسس پارت توضیحاتی ارائه می کنیم تا هیچ شکی در تصمیمتان باقی نماند. هر چند ابتدای متن کمی فنی است، اما حوصله به خرج دهید و مطالب را با دقت بخوانید. سعی کرده‌ایم مفاهیم را تا جایی که امکان دارد ساده توضیح دهیم.

اکتیودایرکتوری (Active Directory) چیست؟

سرویس‌های دامنه‌ی اکتیودایرکتوری (Active Directory Domain Services) ، سرورِ دایرکتوری مایکروسافت است. مکانیزم‌های احراز هویت و تعیین سطوح دسترسی در شبکه توسط این سرویس انجام می‌شود؛ اکتیودایرکتوری از طرفی یک فریمورک و چهارچوب برای سرویس‌های مرتبط دیگر است ( مثل سرویس‌های گواهی اکتیودایرکتوری، سرویس‌های فدراسیون اکتیودایرکتوری و …). اکتیودایرکتوری یک پایگاه داده‌ی سازگار با LDAP است که شامل اشیاء می‌باشد. پراستفاده ترین این اشیاء عبارتند از کاربران، کامپیوترها و گروه‌ها. این اشیاء بر مبنای نیاز کسب‌و‌کار به واحدهای سازمانی OU مختلف سازماندهی می‌شوند. سپس گروپ پالیسی‌ها به این OU ها لینک می‌ شوند تا تنظیمات کاربران و کامپیوترهای مختلف درون سازمان متمرکز شود. گروپ پالیسی ها مجموعه‌ای از تنظیمات هستند که درون یک شیئ یا فایل قرار می‌گیرند.
وقتی از ” اکتیودایرکتوری ” نام می‌بریم، در‌واقع منظور ” سرویس‌های دامنه‌ی اکتیودایرکتوری ” است. توجه به این نکته ضروری است که اکتیودایرکتوری، نقش‌ها و محصولات دیگری نیز دارد؛ مانند سرویس‌های گواهی اکتیودایرکتوری، سرویس‌های فدراسیون اکتیودایرکتوری، سرویس‌های دایرکتوری سبک، سرویس‌های مدیریت حقوق اکتیودایرکتوری و … . ما در این پست روی سرویس‌های دامنه‌‌ی اکتیودایرکتوری متمرکز می‌شویم.

دامنه (Domain) چیست؟ جنگل (Forest) چیست؟

جنگل یا فارست یک مرزبندی امنیتی است. اشیای داخل فارست‌های جدا از هم نمی‌توانند با هم تعامل داشته باشند، مگر این‌که مدیران و ادمین‌های هر فارست جدا، بین آن‌ها یک رابطه‌ی اعتماد (Trust) ایجاد کنند. مثلاً اکانت administrator یک سازمان با دامنه‌ی domain1.com که بالاترین دسترسی را در این فارست دارد، هیچ نوعی از دسترسی را در فارست دیگر با دامنه‌ی domain2.comا ندارد؛ حتا اگر هر دوی این فارست‌ها در یک شبکه‌ی محلی یا LAN باشند؛ مگر اینکه بین آن‌ها اعتماد ایجاد شود.
اگر شما واحدهای سازمانی ناپیوسته‌ای داشته باشید که مرزهای امنیتی جدایی داشته باشند، باید از چند فارست استفاده کنید.
اما دامنه یک مرزبندی مدیریتی است. دامنه‌ها بخشی از فارست هستند. اولین دامنه در یک فارست، دامنه‌ی ریشه‌ی فارست نامیده می‌شود. در بسیاری از شرکت‌های کوچک و متوسط (حتا برخی شرکت‌های بزرگ)، فقط یک دامنه در یک فارست وجود دارد. دامنه‌ی ریشه‌ی فارست یک namespace یا فضای نام پیشفرض برای فارست تعریف می‌کند. مثلاً اگر اولین دامنه در یک فارست جدید domain1.com باشد، همین، دامنه‌ی ریشه‌ی فارست است. حال اگر سازمان شما شعبه‌ای دیگر مثلاً در شهر کرج داشته باشد، برای آن یک زیردامنه (مثلاً به نام krj) تعریف خواهیم کرد که به آن دامنه‌ی Child می‌گوییم. fqdn این شعبه krj.domain1.com خواهد بود. می‌بینید که نام دامنه‌ی Child شما به دامنه‌ی ریشه‌ی فارست اضافه شده است.
در بیشتر موارد بهتر است سعی کنید فقط یک دامنه‌ی اکتیودایرکتوری داشته باشید. این کار مدیریت شبکه را ساده‌تر می‌کند؛ علاوه بر آن، نسخه‌های مدرن اکتیودایرکتوری کنترل آن‌ها را بر اساس OU ها بسیار ساده کرده‌اند که نیاز به دامنه‌ی Child را کم‌تر می‌کند.

آیا می توانیم نام دامنه را هرچیزی بگذاریم ؟

نه دقیقاً. هرچند ابزار ارتقای ویندوز سرور به اکتیودایرکتوری خیلی هم باهوش نیست. می‌تواند اجازه دهد تا تصمیم‌های نادرست هم بگیرید. پس اگر به تصمیمتان شک دارید به این قسمت توجه کنید.
اول از همه، از دامنه‌های سطح بالا ( Top Level Domain / TLD ) مثل local , .lan , .corp و مانند این‌ها استفاده نکنید. این TLD ها رزرو نشده‌اند و دامنه‌ها پیوسته در حال فروش هستند. مثلا ممکن است دامنه‌ی mycompany.local که شما انتخاب کرده‌اید، روزی به فروش برسد و از آنِ فرد دیگری شود. اگر هم مالک دامنه‌ی mycompany.com هستید (مثلا وبسایتتان روی آن قرار گرفته)، تصمیم هوشمندانه این است که برای نام اکتیودایرکتوری داخلی خود چیزی مثل internal.mycompany.com یا ad.mycompany.com را انتخاب کنید. همچنین اگر وبسایتتان روی دامنه‌‌ی mycompany.com قرار گرفته از آن برای اکتیودایرکتوری داخلی خود استفاده نکنید؛ چون به مشکلاتDNS ی برخورد خواهید کرد.

نگرانی‌های در دسترس بودن دامین کنترلر (Domain Controller)

سروری که اکتیودایرکتوری روی آن نصب می‌شود و مسئول احراز هویت و تعیین سطوح دسترسی کاربران و کامپیوترهای شرکت است، کنترل‌کننده‌ی دامنه یا دامین کنترلر نام دارد. به علت حساسیت وظیفه و شغلی که دارد نیاز است تا همیشه در دسترس باشد. بنابراین برای کوچک‌ترین شرکت‌ها هم توصیه می‌شود که حداقل دو سرور اکتیودایرکتوری داشته باشند. بهتر است این سرورها روی سرورهای مجازی باشند و خود این سرورهای مجازی نیز در سرورهای فیزیکی جداگانه‌ای باشند تا در صورت بروز مشکل نرم‌افزاری و سخت‌افزاری در دسترس باشند.
به صورت پیشفرض دامین کنترلرهای یک دامنه، اطلاعات خود را هر 15 ثانیه یک بار با هم همسان می‌کنند. این باعث می‌شود که همه چیز نسبتاً به روز باشد.

پس چرا باید از اکتیودایرکتوری استفاده کنیم؟

چون وقتی شما بدانید که دقیقاً چه می‌کنید، زندگی خیلی بهتر خواهد شد. اکتیودایرکتوری مدیریت کاربران و کامپیوترها و همچنین استفاده و دسترسی به منابع را متمرکز می‌کند. فرض کنید در شرکت 100 کاربر دارید. اگر قرار باشد هر کاربر بتواند به همه سیستم‌ها لاگین کند، باید روی تمام کامپیوترها 100 کاربر تعریف کنید. با اکتیودایرکتوری شما می‌توانید یک نام کاربری ایجاد کنید و کاربر با همین نام کاربری می‌تواند روی همه‌ی کامپیوترهای دامنه لاگین کند. اگر بخواهید امنیت بیشتری روی سیستم‌ها داشته باشید، باید این کار را 50 بار تکرار کنید. یک جورهایی کابوستان می‌شود، درست است؟ همچنین تصور کنید که فایلی را می‌خواهید با نصف افراد به اشتراک بگذارید. اگر از اکتیودایرکتوری استفاده نکنید، یا باید روی سرور برای هر کدام یک یوزرنیم و پسورد بسازید، و یا اینکه یک یوزر مشترک بسازید و پسورد آن را به همه کاربران بدهید. در هر دوی این روش‌ها هیچ گونه نظارت و مدیریتی نمی‌توان انجام داد.
همچنین با اکتیودایرکتوری می‌توانید از گروپ پالیسی استفاده کنید. گروپ پالیسی مجموعه‌ای از اشیاء است که می‌تواند به OU ها لینک شود و مجموعه تنظیمات مشترکی را بین کامپیوترها و کاربران این OU یا همان (Organization Unit) اعمال کرد. مثلاً اگر بخواهید دکمه‌ی shutdown روی کامپیوتر 500 کاربر وجود نداشته باشد، با یک تنظیم می‌توانید این کار را انجام دهید. به جای اینکه ساعت‌ها وقت روی پیکربندی و تنظیمات کارابران و کامپیوترها انجام دهید، یک گروپ پالیسی (Group Policy) می‌سازید، آن را به OU ی مورد نظر لینک می‌کنید، تنظیمش می‌کنید و تمام.

همراه گروه بزرگ آرسس پارت باشید

خروج از نسخه موبایل