اکتیودایرکتوری یکی از خدماتی است که شرکتهای ارائه دهندهی خدمات شبکه در سبد محصولات خود دارند. این سرویس یکی از مهمترین و پایهایترین چیزهایی است که باید در زیرساخت شبکهی خود داشته باشید. اگر میخواهید با سرویس اکتیودایرکتوری بیشتر آشنا شوید، پست زیر را تا انتها بخوانید ، اینبار از آرسس پارت توضیحاتی ارائه می کنیم تا هیچ شکی در تصمیمتان باقی نماند. هر چند ابتدای متن کمی فنی است، اما حوصله به خرج دهید و مطالب را با دقت بخوانید. سعی کردهایم مفاهیم را تا جایی که امکان دارد ساده توضیح دهیم.
اکتیودایرکتوری (Active Directory) چیست؟
سرویسهای دامنهی اکتیودایرکتوری (Active Directory Domain Services) ، سرورِ دایرکتوری مایکروسافت است. مکانیزمهای احراز هویت و تعیین سطوح دسترسی در شبکه توسط این سرویس انجام میشود؛ اکتیودایرکتوری از طرفی یک فریمورک و چهارچوب برای سرویسهای مرتبط دیگر است ( مثل سرویسهای گواهی اکتیودایرکتوری، سرویسهای فدراسیون اکتیودایرکتوری و …). اکتیودایرکتوری یک پایگاه دادهی سازگار با LDAP است که شامل اشیاء میباشد. پراستفاده ترین این اشیاء عبارتند از کاربران، کامپیوترها و گروهها. این اشیاء بر مبنای نیاز کسبوکار به واحدهای سازمانی OU مختلف سازماندهی میشوند. سپس گروپ پالیسیها به این OU ها لینک می شوند تا تنظیمات کاربران و کامپیوترهای مختلف درون سازمان متمرکز شود. گروپ پالیسی ها مجموعهای از تنظیمات هستند که درون یک شیئ یا فایل قرار میگیرند.
وقتی از ” اکتیودایرکتوری ” نام میبریم، درواقع منظور ” سرویسهای دامنهی اکتیودایرکتوری ” است. توجه به این نکته ضروری است که اکتیودایرکتوری، نقشها و محصولات دیگری نیز دارد؛ مانند سرویسهای گواهی اکتیودایرکتوری، سرویسهای فدراسیون اکتیودایرکتوری، سرویسهای دایرکتوری سبک، سرویسهای مدیریت حقوق اکتیودایرکتوری و … . ما در این پست روی سرویسهای دامنهی اکتیودایرکتوری متمرکز میشویم.
دامنه (Domain) چیست؟ جنگل (Forest) چیست؟
جنگل یا فارست یک مرزبندی امنیتی است. اشیای داخل فارستهای جدا از هم نمیتوانند با هم تعامل داشته باشند، مگر اینکه مدیران و ادمینهای هر فارست جدا، بین آنها یک رابطهی اعتماد (Trust) ایجاد کنند. مثلاً اکانت administrator یک سازمان با دامنهی domain1.com که بالاترین دسترسی را در این فارست دارد، هیچ نوعی از دسترسی را در فارست دیگر با دامنهی domain2.comا ندارد؛ حتا اگر هر دوی این فارستها در یک شبکهی محلی یا LAN باشند؛ مگر اینکه بین آنها اعتماد ایجاد شود.
اگر شما واحدهای سازمانی ناپیوستهای داشته باشید که مرزهای امنیتی جدایی داشته باشند، باید از چند فارست استفاده کنید.
اما دامنه یک مرزبندی مدیریتی است. دامنهها بخشی از فارست هستند. اولین دامنه در یک فارست، دامنهی ریشهی فارست نامیده میشود. در بسیاری از شرکتهای کوچک و متوسط (حتا برخی شرکتهای بزرگ)، فقط یک دامنه در یک فارست وجود دارد. دامنهی ریشهی فارست یک namespace یا فضای نام پیشفرض برای فارست تعریف میکند. مثلاً اگر اولین دامنه در یک فارست جدید domain1.com باشد، همین، دامنهی ریشهی فارست است. حال اگر سازمان شما شعبهای دیگر مثلاً در شهر کرج داشته باشد، برای آن یک زیردامنه (مثلاً به نام krj) تعریف خواهیم کرد که به آن دامنهی Child میگوییم. fqdn این شعبه krj.domain1.com خواهد بود. میبینید که نام دامنهی Child شما به دامنهی ریشهی فارست اضافه شده است.
در بیشتر موارد بهتر است سعی کنید فقط یک دامنهی اکتیودایرکتوری داشته باشید. این کار مدیریت شبکه را سادهتر میکند؛ علاوه بر آن، نسخههای مدرن اکتیودایرکتوری کنترل آنها را بر اساس OU ها بسیار ساده کردهاند که نیاز به دامنهی Child را کمتر میکند.
آیا می توانیم نام دامنه را هرچیزی بگذاریم ؟
نه دقیقاً. هرچند ابزار ارتقای ویندوز سرور به اکتیودایرکتوری خیلی هم باهوش نیست. میتواند اجازه دهد تا تصمیمهای نادرست هم بگیرید. پس اگر به تصمیمتان شک دارید به این قسمت توجه کنید.
اول از همه، از دامنههای سطح بالا ( Top Level Domain / TLD ) مثل local , .lan , .corp و مانند اینها استفاده نکنید. این TLD ها رزرو نشدهاند و دامنهها پیوسته در حال فروش هستند. مثلا ممکن است دامنهی mycompany.local که شما انتخاب کردهاید، روزی به فروش برسد و از آنِ فرد دیگری شود. اگر هم مالک دامنهی mycompany.com هستید (مثلا وبسایتتان روی آن قرار گرفته)، تصمیم هوشمندانه این است که برای نام اکتیودایرکتوری داخلی خود چیزی مثل internal.mycompany.com یا ad.mycompany.com را انتخاب کنید. همچنین اگر وبسایتتان روی دامنهی mycompany.com قرار گرفته از آن برای اکتیودایرکتوری داخلی خود استفاده نکنید؛ چون به مشکلاتDNS ی برخورد خواهید کرد.
نگرانیهای در دسترس بودن دامین کنترلر (Domain Controller)
سروری که اکتیودایرکتوری روی آن نصب میشود و مسئول احراز هویت و تعیین سطوح دسترسی کاربران و کامپیوترهای شرکت است، کنترلکنندهی دامنه یا دامین کنترلر نام دارد. به علت حساسیت وظیفه و شغلی که دارد نیاز است تا همیشه در دسترس باشد. بنابراین برای کوچکترین شرکتها هم توصیه میشود که حداقل دو سرور اکتیودایرکتوری داشته باشند. بهتر است این سرورها روی سرورهای مجازی باشند و خود این سرورهای مجازی نیز در سرورهای فیزیکی جداگانهای باشند تا در صورت بروز مشکل نرمافزاری و سختافزاری در دسترس باشند.
به صورت پیشفرض دامین کنترلرهای یک دامنه، اطلاعات خود را هر 15 ثانیه یک بار با هم همسان میکنند. این باعث میشود که همه چیز نسبتاً به روز باشد.
پس چرا باید از اکتیودایرکتوری استفاده کنیم؟
چون وقتی شما بدانید که دقیقاً چه میکنید، زندگی خیلی بهتر خواهد شد. اکتیودایرکتوری مدیریت کاربران و کامپیوترها و همچنین استفاده و دسترسی به منابع را متمرکز میکند. فرض کنید در شرکت 100 کاربر دارید. اگر قرار باشد هر کاربر بتواند به همه سیستمها لاگین کند، باید روی تمام کامپیوترها 100 کاربر تعریف کنید. با اکتیودایرکتوری شما میتوانید یک نام کاربری ایجاد کنید و کاربر با همین نام کاربری میتواند روی همهی کامپیوترهای دامنه لاگین کند. اگر بخواهید امنیت بیشتری روی سیستمها داشته باشید، باید این کار را 50 بار تکرار کنید. یک جورهایی کابوستان میشود، درست است؟ همچنین تصور کنید که فایلی را میخواهید با نصف افراد به اشتراک بگذارید. اگر از اکتیودایرکتوری استفاده نکنید، یا باید روی سرور برای هر کدام یک یوزرنیم و پسورد بسازید، و یا اینکه یک یوزر مشترک بسازید و پسورد آن را به همه کاربران بدهید. در هر دوی این روشها هیچ گونه نظارت و مدیریتی نمیتوان انجام داد.
همچنین با اکتیودایرکتوری میتوانید از گروپ پالیسی استفاده کنید. گروپ پالیسی مجموعهای از اشیاء است که میتواند به OU ها لینک شود و مجموعه تنظیمات مشترکی را بین کامپیوترها و کاربران این OU یا همان (Organization Unit) اعمال کرد. مثلاً اگر بخواهید دکمهی shutdown روی کامپیوتر 500 کاربر وجود نداشته باشد، با یک تنظیم میتوانید این کار را انجام دهید. به جای اینکه ساعتها وقت روی پیکربندی و تنظیمات کارابران و کامپیوترها انجام دهید، یک گروپ پالیسی (Group Policy) میسازید، آن را به OU ی مورد نظر لینک میکنید، تنظیمش میکنید و تمام.
همراه گروه بزرگ آرسس پارت باشید