اکتیو دایرکتوری (Active Directory) یکی از اصطلاحات بسیار مهم و حیاتی در دنیای فناوری اطلاعات است که در محیطهای سازمانی و شبکههای کامپیوتری به وفور مورد استفاده قرار میگیرد. این فناوری که اصطلاحاً به اختصار AD هم شناخته میشود، نقش بسیار بزرگی در مدیریت و کنترل منابع شبکه و اطلاعات سازمانی دارد.
در این مقدمه، به شما توضیح میدهیم که اکتیو دایرکتوری چیست و چگونه عمل میکند. از ساختار سلسله مراتبی تا خدمات اصلی و نحوه اجرای عملیات مختلف، با ما همراه باشید تا به عمق این فناوری جذاب و حیاتی پی ببریم.
اکتیو دایرکتوری (Active Directory) یک دیتابیس و مجموعهای از خدمات است که کاربران را با منابع شبکه، که برای انجام کارهای خود نیاز دارند، ارتباط میدهد.
این دیتابیس یا دایرکتوری اطلاعات حیاتی در مورد محیط شما، از جمله اطلاعاتی مانند کاربران و کامپیوترهای موجود و سطوح دسترسی آنها را شامل میشود. به عنوان مثال، این دیتابیس ممکن است شامل 100 حساب کاربری با جزئیاتی مانند عنوان شغلی، شماره تلفن و رمز عبور هر فرد باشد. همچنین سطوح دسترسی آنها را نیز ثبت میکند.
این خدمات بسیاری از فعالیتهایی را که در محیط IT شما انجام میشود، کنترل میکنند. به خصوص، آنها مطمئن میشوند که افراد همگی واقعی هستند (ربات نیستند)، و اطلاعاتشان مطابع با اطلاعاتی است که قبلا در سیستم ثبت کردهاند. Active Directory معمولاً با بررسی شناسه کاربری و رمز عبوری که وارد میکنید، به شما اجازه میدهد تنها به اطلاعات دسترسی پیدا کنید که مجاز به استفاده از آنها هستید.
اکتیو دایرکتوری به وسیلهی خدمات اصلی به نام “Active Directory Domain Services (AD DS)” که بخشی از سیستم عامل Windows Server است، کار میکند. سرورهایی که AD DS را اجرا میکنند، به نام “کنترلکنندههای دامنه” (Domain Controllers) یا به اختصار “DCs” شناخته میشوند. سازمانها معمولاً چندین DC دارند و هر کدام یک کپی از دایرکتوری کل دامنه را دارند.
تغییراتی که در دایرکتوری یکی از کنترلکنندههای دامنه اعمال میشوند، مانند بهروزرسانی رمز عبور یا حذف یک حساب کاربری، به سایر DC ها تکرار میشوند تا همه بهروز باقی بمانند. یک سرور Catalog Global یک DC است که یک کپی کامل از تمام اشیاء موجود در دایرکتوری دامنه خود و یک کپی جزئی از تمام اشیاء دیگر دامنهها در دامنهی فارست یا جنگل (forest) دارد.
forest یا جنگل بزرگتربن شیء کانتینر در اکتیو دایرکتوری است. کانتینر جنگل محدوده امنیتی بنیادین را برای اکتیو دایرکتوری مشخص میکند، به این معنی که یک کاربر میتواند با یک بار وارد شدن به سیستم یا یک بار وارد کردن کلمه عبور، به تمامی منابع در یک اکتیو دایرکتوری دسترسی پیدا کند.
به همین طریق، این امکان را فراهم میکند تا کاربران و برنامهها اشیاء را در هر دامنهای از جنگل خود پیدا کنند. دسکتاپها، لپتاپها و سایر دستگاههایی که سیستم عامل Windows (به جای Windows Server) اجرا میکنند، ممکن است جزء یک محیط اکتیو دایرکتوری باشند، اما خود AD DS را اجرا نمیکنند. AD DS بر اساس چندین پروتکل و استاندارد معتبر از جمله LDAP (پروتکل دسترسی به دایرکتوری سبک)، Kerberos و DNS (سامانه نام دامنه) استوار است.
Active Directory بر اساس معماری و ساختار سلسله مراتبی (Hierarchical Structure) ساخته شده است. در این ساختار، اطلاعات سازمانی و شبکه در یک درخت (Tree) و دامنهها (Domains) و زیر دامنهها (Subdomains) قرار دارند. این ساختار سلسله مراتبی به ترتیب زیر تشکیل میشود:
جنگل به عنوان سطح بالاترین در ساختار اکتیو دایرکتوری قرار دارد و ممکن است شامل یک یا چند درخت باشد. هر درخت به عنوان یک ساختار سلسله مراتبی مستقل عمل میکند که میتواند یک یا چند دامنه شامل کند. اگر چندین درخت وجود داشته باشد، آنها معمولاً با استفاده از روابط اعتماد (Trust Relationships) با یکدیگر ارتباط دارند.
هر درخت در ساختار Active Directory شامل یک یا چند دامنه است. درختها در ساختار سلسله مراتبی به عنوان واحدهایی مستقل شناخته میشوند که دارای مجموعهای از شیها و اشیاء (Objects) هستند. هر درخت دارای یک ریشه (Root) است که یکی از دامنهها به عنوان دامنه اصلی (Root Domain) شناخته میشود.
دامنه یک واحد مستقل درون یک درخت است و اشیاء و موجودیتهای مختلفی مانند کاربران، گروهها، کامپیوترها و موارد دیگر را شامل میشود. Domain به صورت یک فضای امن و مدیریتی برای مدیریت و کنترل اشیاء و مجوزها درون سازمان عمل میکند.
یک دامنه میتواند شامل زیردامنههایی باشد که به صورت سلسله مراتبی تحت آن قرار میگیرند. این زیردامنهها به سازمانهای مختلف یا بخشهای مختلف در یک سازمان کمک میکنند تا اطلاعات و منابع خود را مدیریت کنند.
به طور کلی، اکتیو دایرکتوری با ایجاد این ساختار سلسله مراتبی و انتساب اشیاء به آنها، امکان مدیریت و کنترل دسترسی کاربران به منابع شبکه را فراهم میکند. همچنین از پروتکلهایی مانند LDAP، Kerberos و DNS برای اجرای عملیاتهای مختلف اعمال شده در این ساختار استفاده میکند.
مهم است که بدانید Active Directory فقط برای محیطهای Microsoft در محیطهای فیزیکی میباشد. محیطهای Microsoft در محیط ابر از “Azure Active Directory” استفاده میکنند که همان اهداف اکتیو دایرکتوری در محیط فیزیکی را داراست. AD و Azure AD جدا از هم هستند، اما در صورتی که سازمان شما هم محیطهای فیزیکی و هم محیطهای ابری (نصب هجی) داشته باشد، میتوانند در تعدادی از امور با یکدیگر همکاری کنند.
دیتابیس اکتیو دایرکتوری شامل اطلاعات مربوط به اشیاء موجود در دامنه میباشد. اشیاء AD معمولی شامل کاربران، کامپیوترها، برنامهها، پرینترها و پوشههای مشترک میشوند. برخی از اشیاء میتوانند دیگر اشیاء را در خود جای دهند (که به همین دلیل اکتیو دایرکتوری به عنوان “سلسله مراتبی” توصیف میشود). به طور خاص، سازمانها معمولاً اشیاء Active Directory را با تشکیل واحدهای سازمانی (Organizational Units یا OUs) به منظور سادهتر کردن مدیریت و با تشکیل گروهها به منظور بهبود امنیت سازمان دستهبندی میکنند. این OUs و گروهها نیز خود به عنوان اشیاء در دایرکتوری محسوب هستند.
هر شیء دارای ویژگیها (Attributes) مخصوص خود میباشد. بعضی از ویژگیها آشکار و برخی دیگر در پشت صحنه قرار دارند. به عنوان مثال، یک شیء کاربر معمولاً ویژگیهایی مانند نام شخص، رمز عبور، بخش و آدرس ایمیل دارد، اما ویژگیهایی وجود دارند که بسیاری از افراد آنها را معمولاً نمیبینند. مانند:
دیتابیسها به صورت ساختارمند هستند، به این معنا که یک طراحی وجود دارد که نوع دیتایی که در آنها ذخیره میشوند و چگونگی سازماندهی این اطلاعات را تعیین میکند. این طراحی به نام “اسکیما” (Schema) شناخته میشود. AD نیز از اسکیمای خود برخوردار است که شامل تعریفهای رسمی برای هر کلاس شیء میشوند. اکتیو دایرکتوری با یک اسکیمای پیشفرض ارائه میشود، اما مدیران میتوانند آن را برای تناسب با نیازهای تجاری تغییر دهند. مهمترین نکته این است که بهتر است از ابتدا اسکیما را با دقت برنامهریزی کنید؛ به علت نقش مرکزی که اکتیو دایرکتوری در احراز هویت و اختیارات ایفا میکند، تغییر اسکیما دیتابیس اکتیو دایرکتوری در آینده ممکن است به شدت تداخلآفرین باشد و کسب و کار شما را به طرز قابل توجهی مختل کند.
مزایای اکتیو دایرکتوری عبارتاند از:
به طور کلی، اکتیو دایرکتوری با ایجاد محیط مدیریتی مرکزی و افزایش امنیت به مدیران و کاربران کمک میکند تا فرآیند مدیریت و استفاده از منابع شبکه را بهبود بخشند و به سازمانها امکان اداره بهتری از اطلاعات و امنیت اطلاعات را فراهم کند.
اکتیو دایرکتوری (Active Directory) نه تنها یکی از اصولیترین عناصر در مدیریت شبکههای سازمانی است بلکه یک ابزار بسیار قدرتمند برای بهبود امنیت، مدیریت مرکزی، و سادگی استفاده از منابع شبکه نیز میباشد. این فناوری، با ایجاد ساختار سلسله مراتبی و تعریف دقیق اشیاء و ویژگیهای آنها در دیتابیس مرکزی خود، به سازمانها امکان مدیریت بهتر و افزایش امنیت دسترسی به منابع شبکه را میدهد. همچنین، از طریق ویژگیهایی مانند Single Sign-On و Group Policy، تجربه کاربران را بهبود میبخشد و کارایی سازمان را افزایش میدهد.
از این رو، اکتیو دایرکتوری به عنوان یکی از پیشنهادات اساسی برای مدیریت و کنترل سازمانها در دنیای دیجیتال و فناوری اطلاعات بسیار ارزشمند و ضروری است. با بهرهگیری از این فناوری، سازمانها میتوانند بهبود عملکرد و امنیت خود را تضمین کرده و به سرعت و با کارایی بیشتر به اهداف خود دست یابند.