آموزش مفاهیم اکتیو دایرکتوری و تعریف آن

با نام و یاد خدا . با دوره آموزشی نصب و راه اندازی اکتیو دایرکتوری در خدمت شما هستیم .
در این جلسه می خواهیم به آموزش مفاهیم اکتیو دایرکتوری بپردازیم. تا از جلسه بعد که قصد نصب و راه اندازی آن را داریم، گیج و منگ نباشیم و همه گزینه ها قابل درک باشد. پس این جلسه را کامل مطالعه کنید و بر مفاهیم مسلط باشید.

تشریح مفاهیم اکتیو دایرکتوری

شبکه های مبتنی بر مایکروسافت به دو دسته تقسیم می شوند:Workgroup و Domain

  • Workgroup

 شبکه workgroup ساده ترین نوع شبکه هست که هدف اصلی آن اشتراک گذاری منابع می باشد. یعنی کامپیوترها را در یک گروه کاری قرار می دهد تا بتوانند از منابع یکدیگر استفاده کنند . در این نوع شبکه مدیریت متمرکز و مستقلی وجود ندارد و کاربر هر کامپیوتری مشخص می کند چه اطلاعاتی روی کامپیوترش به اشتراک بگذارد.

پس تنها قابلیت شبکه Workgroup  این است که کامیپوترها در یک گروه کاری می توانند همدیگر را ببینید و از منابع هم استفاده کنند البته به شرطی که نام کاربری و رمز عبور یکدیگر را داشته باشند.پس امنیت این شبکه پایین است. به توصیه شرکت مایکروسافت استفاده از شبکه Workgroup ای برای مدیریت سازمان هایی که تعداد کامپیوترها 10 الی 15 باشد مناسب است.

قطعا به عنوان یک شبکه کار باید با این شبکه و معایب آن آشنایی داشته باشید تا دلیل استفاده از ساختار Domain برایتان روشن شود.

  • Domain

غیر از این نوع شبکه، ساختار دیگری به نام Domain وجود دارد که ضعف شبکه workgroup ای را می پوشاند. شبکه domain ای به صورت متمرکز می باشد یعنی یک کامپیوتر به عنوان server در نظر گرفته می شود و کامپیوترهای دیگر که کلاینت نامیده می شوند به سرور متصل می شوند.در این حالت سرور است که مدیریت تمامی منابع موجود در شبکه را برعهده دارد. تمام اطلاعات کاربران و محدودیت های اعمال شده بر آن ها و کامیپوترها در کامپیوتر server ذخیره می شود. این اطلاعات دقیقا کجا ذخیره می شود؟ در دیتابیس Active Directory. در نتیجه، امنیت ساختار Domain نسبت به شبکه های Workgroup ای به شدت بالا می باشد.

هر کدام از ساختارهای بالا در موقعیت خود مناسب هستند مثلا در یک کافی نت شبکه Domain  مناسب نیست ولی در یک سازمان که اتوماسیون اداری دارد شبکه Domain انتخاب مناسبی است.پس به عنوان یک مدیر شبکه باید ابتدا نیاز شبکه خود را بفهمیم سپس ساختار بچینیم.

دیتابیس یا پایگاه داده چیست؟

یک مجموعه ای از اطلاعات که با یک ساختار منظم کنارهم نگهداری شده است.

اشیا (object) چیست؟

 هر آنچه در شبکه وجود دارد مثل کاربران ، کامپیوترها، سرورها، گروه ها ، printerها ، چاپگرها،OUها ، sharefolder ها و … می توانند به عنوان اشیا در داخل شبکه تعریف شوند.پس به طور کلی به سه دسته تقسیم می شود: منابع ،کاربران ، سرویس ها.

اسکیما (Schema)چیست؟

هر شی در شبکه شامل مجموعه ای از صفات می باشد . مثلا صفات یک حساب کاربری شامل نام و نام خانوادگی و …می باشد یا صفات یک کامپیوتر شامل نام کامپیوتر ، توضیحات و …می باشد. به طور کلی صفات اشیا به وسیله اسکیما تعریف می شود.

Domain چیست؟

مجموعه ای از کامیپوترها، که از یک ساختار نامگذاری ، سیاسیت های مدریتی و محل مشترک برای ذخیره اطلاعات امنیتی استفاده می کنند.(Domain مهمترین قسمت اکتیودایرکتوری است که به آن می رسیم.)

Domain Controller چیست؟

 سروری که وظیفه مدیریت اشیا در Domain را برعهده دارد.

Site چیست؟

 مجموعه ای از کامپیوترها که با لینک های پرسرعت به هم مرتبط شده اند.

NTDS چیست؟

 تمام آبجکت ها در اکتیودایرکتوری در فایلی به نام ntds.dit ذخیره می شود. فایل ntds.dit روی سروری است اکتیو دایرکتوری روی آن نصب می شود.

(Group Policy(GP چیست؟

مجموعه ای از Policy ها می باشد که برای اعمال تنظیمات به کامپیوتر ها و کاربران Domain استفاده می شود.(گزینه خیلی خوب و کاربردی می باشد با این حال در صورتی که استفاده غیر اصولی شود خطرناک خواهد بود)

OU یا Organization Unit چیست؟

ما می توانیم آبجکت ها را در ظرف هایی جداگانه به نام OU ها (بر اساس موقعیت،وظایف سازمان و …) تقسیم بندی کنیم .اینکار منجر به مدیریت بهتر و اعمال راحت تر سیاست ها می شود.
چرا از OU استفاده کنیم ؟ چرا آبجکت ها را تقسیم بندی کنیم؟ چون سازمان ها قسمت های مختلفی دارند مثل انبار داری ، مدیریت ، حسابداری و…. و حتما می دانید که سیاست هایی که باید اعمال شود برای همه این قسمت ها یکسان نیست. مثلا برای قسمت مالی می خواهیم فلش ها بسته شود ولی برای مدیر خیر.

بعضی موارد بالا مثل OU ، Grop policy ، Domain Controller و … در ادامه دوره به صورت مفصل آشنا خواهید شد.بعد از آشنایی مفاهیم اکتیو دایرکتوری به تعریف اکتیو دایرکتوری می پردازیم .

اکتیو دایرکتوری چیست؟

مشابه یک دیتابیس مرکزی است که تمامی اطلاعات مربوط به آبجکت ها در آن نگهداری می شود و توسط Domain Controller کنترل می شود.( دیگه راحتر از این نمیتونستم بگم)

نکته: پس  Domain Controller سیستمی که روی آن سرویس اکتیودایرکتوری نصب می باشد.

نکته: در ویندوز سرورهای قدیمی مثل 2003 ، اکتیودایرکتوری به نام AD معرفی شده بود. کم کم که ویندوز سرور رشد کرد نام آن به (Active Directory Domain Service(ADDS تغییر کرد و به عنوان یک سرویس ارائه شد. این تغییر کاملا درست بود چون اکتیودایرکتوری یک سرویسی است که شامل چندین سرویس است و وقتی روی یک سیستم نصب می شود سیستم تبدیل به Domain Controller می شود.

کاربرد اکتیودایرکتوری چیست؟

در واقع با اکتیو دایرکتوری مشخص می کنیم که کدام یوزر با کدام کامپیوتر تحت کدام Domain به چه کاری بپردازد. یعنی میزان دسترسی آن به شبکه چقدر باشد و تا چه میزان در آن اختیارات دارد. پس هدف اصلی آن به صورت کلی دو چیز است:

  • فراهم کردن سرویسی جهت احراز هویت و تعیین سطح دسترسی به صورت متمرکز
  • اعمال سیاست ها ، نصب و آپدیت نرم افزارها به صورت متمرکز

نکته: DNS قلب اکتیودایرکتوری است. اکتیو دایرکتوری با استفاده از DNS اطلاعات مناسب را به دیگر کامپیوترها منتشر می کند پس درست کار کردن آن بستگی به درستی DNS دارد.(DNS رو آشنایی دارید حتما .کارش تبدیل نام به آی پی و برعکس)

آشنایی با ساختار اکتیو دایرکتوری

ساختار اکتیو دایرکتوری به دو قسم تقسیم می شود :

  • Physical Structure: تمام قسمت های قابل لمس  مثل server ، link ( یا کابل )، site
  • Logical Structure: تمام قسمت هایی که قابل لمس نیستند. مثل Domain، Tree، Forest

در ادامه به توضیح تک تک موارد logical می پردازیم:

Domain

قبلا درباره Domain توضیح دادیم . نماد Domain مثلث می باشد. هر کجا در تصاویر مثلث دیدیم یک Domain در نظر می گیریم. نام domain زیر را dazhyar.local در نظر گرفتیم چرا local.؟ چون می خواهیم در شبکه داخلی استفاده کنیم.

مفاهیم اکتیو دایرکتوری | مفهوم Domain

نکته: می توانیم داخل هر domain  هر تعداد که می خواهیم Domain colntroller داشته باشیم . (Domain colntroller چیکار می کرد ؟ وظیفه مدیریت آبجکت ها در دامنه را برعهده داشت.)

Tree

به ساختار سلسله مراتبی زیر که شامل چندین Domain با فضای نام یکسان می باشد tree می گوییم.

به شکل زیر توجه کنید هر domain می تواند چندین subdomain (یا زیردامنه) داشته باشد .که فرزند یا chaild نامیده می شود و همچنین هر فرزند هم می تواند والد domain دیگری باشد. چون در اکتیودایرکتوری ساختار نامگذاری به صورت سلسله‌ مراتبی می باشد، نام فرزند، الحاقی از نام خودش و نام والدش است. مثلا یک سازمانی سه تا شعبه دارد یکی در تهران، یکی در اصفهان و شعبه اصلی در یزد. پس سه تا Domain تعریف می کنیم به شکل زیر:

مفاهیم اکتیو دایرکتوری | Tree یا درخت

نکته:  به اولین domain ای که ایجاد می شود (شعبه یزد) Root Domain می گویند .

نام دامنه اصلی یا root را dazhyar.local انتخاب کردیم و نام subdomain ها  به تبعیت از والد خود Tehran.dazhyar.local، Esfahan.dazhyar.local انتخاب می شوند. این دامنه ها از طریق link های اینترنتی با هم در ارتباط هستند. همانطور که در تصویر مشخص کردیم به هر محیط فیزیکی که domain وجود دارد و از طریق لینک های ارتباطی با هم در ارتباط هستند،یک site می گوییم.

Forest

مجموعه‌ای از یک یا چند tree یا درخت،  Forest نامیده می شود . داخل جنگل می توانیم چندین درخت با فضای نام های مختلف در کنار هم داشته باشیم. بین domain های مختلف می توانیم ارتباط امن یا اصطلاحا trust ایجاد می کنیم.

مفاهیم اکتیو دایرکتوری | جنگل یا forest

این trust باعث می شود که کاربری که داخل دامین dazhyar.local هست بتواند از آبجکت های اشتراکی دامین dpi.local استفاده کند و برعکس.

نکته: در ساختار tree ، به صورت پیش فرض parent و chaild ها به هم اعتماد دارند و نیازی نیست که ارتباط trust دستی ایجاد کنیم و می توانند از منابع هم استفاده کنند.

یک نکته خیلی مهم که در نصب و راه اندازی اکتیو دایرکتوری هم به عینه خواهیم دید این است که با ایجاد اولین دامین کنترلر domain controller  اولین Domain ، اولین Tree و اولین Forest ایجاد می شود (چرا آخه؟ اینجوری تصور کنید که با کاشتن یک بذر درخت سرو هم، این احتمال وجود دارد که یک جنگل سرو ایجاد شود)

سرویس های اکتیو دایرکتوری

اکتیو دایرکتوری دارای سرویس های زیر است که اصلی ترین آن ADDS می باشد:

Active Directory Domain Service: برای ذخیره سازی آبجکت ها استفاده می شود و از وظایف اصلی آن Authentication می باشد.

Active Directory Lightweight Directory Service: نسخه سبک ADDS می باشد که برنامه نویسان جهت ذخیره سازی داده های خود از آن استفاده می نمایند.

در واقع داده هایی که از تعامل برنامه نویس ها با اکتیودایرکتوری ایجاد می شد در فایل NTDS.dit ذخیره می شد و این فایل مدام بزرگتر می شد . از طرفی اگر می خواستند برنامه های خود را حذف کنند خود اکتیودایرکتوری دچار آسیب می شد . از این رو مایکروسافت برای برنامه نویسان یک نسخه سبک ADDS ایجاد کرد تا به نسخه اصلی اکتیودایرکتوری آسیبی وارد نشود.

Active Directory Certificate Service: جهت اختصاص certificate به کاربران و دستگاه های موجود در شبکه استفاده می شود. (مثلا ایجاد https روی سایت)

Active Directory Right Management Service: با استفاده از NTFS Permission تنها می توان سطح دسترسی به یک فایل را مشخص کرد اما نمی توان مشخص کرد بعد از باز شدن فایل کاربر مجاز به انجام چه کارهایی باشد. برای پیاده سازی این موارد از AD RMS استفاده می شود.

Active Directory Federation Service : امکان دسترسی به شبکه های دیگر در خارج سازمان را فراهم می کند کاربر بعد از احراز هویت در دامنه خود، بتواند  به شبکه های خارج از سازمان دسترسی داشته باشد بدون احراز هویت مجدد شبیه Single sign on. (مثلا وقتی که به اکانت gmail  خود لاگین می شویم می توانیم به تمام امکانات گوگل دسترسی داشته باشیم.به این میگن Single sign on).

خب برای این جلسه آشنایی با همین مقدار از مفاهیم اکتیو دایرکتوری کافی است . ترجیحا بقیه مفاهیم را در حین راه اندازی اکتیو دایرکتوری آموزش خواهیم داد هر چند مفاهیمی که این جلسه هم گفته شد در حین نصب و راه اندازی مجدد تکرار می شود و به عینه درک می شود.

امیدوارم از این آموزش استفاده کافی رو برده باشید . در جلسه بعد به نصب اکتیو دایرکتوری در ویندوز سرور 2016  می پردازیم . با ما همراه باشید.

به این مقاله چند تا ستاره میدی؟
[تعداد رای: 60 امتیاز: 4.5]