اکتیو دایرکتوری ( active directory ) چیست؟ و چگونه کار میکند؟

اکتیو دایرکتوری (Active Directory) یکی از اصطلاحات بسیار مهم و حیاتی در دنیای فناوری اطلاعات است که در محیط‌های سازمانی و شبکه‌های کامپیوتری به وفور مورد استفاده قرار می‌گیرد. این فناوری که اصطلاحاً به اختصار AD هم شناخته می‌شود، نقش بسیار بزرگی در مدیریت و کنترل منابع شبکه و اطلاعات سازمانی دارد.

در این مقدمه، به شما توضیح می‌دهیم که اکتیو دایرکتوری چیست و چگونه عمل می‌کند. از ساختار سلسله مراتبی تا خدمات اصلی و نحوه اجرای عملیات مختلف، با ما همراه باشید تا به عمق این فناوری جذاب و حیاتی پی ببریم.

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری (Active Directory) یک دیتابیس و مجموعه‌ای از خدمات است که کاربران را با منابع شبکه، که برای انجام کارهای خود نیاز دارند، ارتباط می‌دهد.

این دیتابیس یا دایرکتوری اطلاعات حیاتی در مورد محیط شما، از جمله اطلاعاتی مانند کاربران و کامپیوترهای موجود و سطوح دسترسی آن‌ها را شامل می‌شود. به عنوان مثال، این دیتابیس ممکن است شامل 100 حساب کاربری با جزئیاتی مانند عنوان شغلی، شماره تلفن و رمز عبور هر فرد باشد. همچنین سطوح دسترسی آن‌ها را نیز ثبت می‌کند.

این خدمات بسیاری از فعالیت‌هایی را که در محیط IT شما انجام می‌شود، کنترل می‌کنند. به خصوص، آن‌ها مطمئن می‌شوند که افراد همگی واقعی هستند (ربات نیستند)، و اطلاعاتشان مطابع با اطلاعاتی است که قبلا در سیستم ثبت کرده‌اند. Active Directory معمولاً با بررسی شناسه کاربری و رمز عبوری که وارد می‌کنید، به شما اجازه می‌دهد تنها به اطلاعات دسترسی پیدا کنید که مجاز به استفاده از آن‌ها هستید.

اکتیو دایرکتوری یا AD چگونه کار می‌کند؟

اکتیو دایرکتوری به وسیله‌ی خدمات اصلی به نام “Active Directory Domain Services (AD DS)” که بخشی از سیستم عامل Windows Server است، کار می‌کند. سرورهایی که AD DS را اجرا می‌کنند، به نام “کنترل‌کننده‌های دامنه” (Domain Controllers) یا به اختصار “DCs” شناخته می‌شوند. سازمان‌ها معمولاً چندین DC دارند و هر کدام یک کپی از دایرکتوری کل دامنه را دارند.

تغییراتی که در دایرکتوری یکی از کنترل‌کننده‌های دامنه اعمال می‌شوند، مانند به‌روزرسانی رمز عبور یا حذف یک حساب کاربری، به سایر DC ها تکرار می‌شوند تا همه به‌روز باقی بمانند. یک سرور Catalog Global یک DC است که یک کپی کامل از تمام اشیاء موجود در دایرکتوری دامنه خود و یک کپی جزئی از تمام اشیاء دیگر دامنه‌ها در دامنه‌ی فارست یا جنگل (forest) دارد.

forest یا جنگل بزرگ‌تربن شیء کانتینر در اکتیو دایرکتوری است. کانتینر جنگل محدوده امنیتی بنیادین را برای اکتیو دایرکتوری مشخص می‌کند، به این معنی که یک کاربر می‌تواند با یک بار وارد شدن به سیستم یا یک بار وارد کردن کلمه عبور، به تمامی منابع در یک اکتیو دایرکتوری دسترسی پیدا کند.

به همین طریق، این امکان را فراهم می‌کند تا کاربران و برنامه‌ها اشیاء را در هر دامنه‌ای از جنگل خود پیدا کنند. دسکتاپ‌ها، لپ‌تاپ‌ها و سایر دستگاه‌هایی که سیستم عامل Windows (به جای Windows Server) اجرا می‌کنند، ممکن است جزء یک محیط اکتیو دایرکتوری باشند، اما خود AD DS را اجرا نمی‌کنند. AD DS بر اساس چندین پروتکل و استاندارد معتبر از جمله LDAP (پروتکل دسترسی به دایرکتوری سبک)، Kerberos و DNS (سامانه نام دامنه) استوار است.

Active Directory چگونه ساخته شده است؟

Active Directory بر اساس معماری و ساختار سلسله مراتبی (Hierarchical Structure) ساخته شده است. در این ساختار، اطلاعات سازمانی و شبکه در یک درخت (Tree) و دامنه‌ها (Domains) و زیر دامنه‌ها (Subdomains) قرار دارند. این ساختار سلسله مراتبی به ترتیب زیر تشکیل می‌شود:

1. جنگل (Forest):

جنگل به عنوان سطح بالاترین در ساختار اکتیو دایرکتوری قرار دارد و ممکن است شامل یک یا چند درخت باشد. هر درخت به عنوان یک ساختار سلسله مراتبی مستقل عمل می‌کند که می‌تواند یک یا چند دامنه شامل کند. اگر چندین درخت وجود داشته باشد، آن‌ها معمولاً با استفاده از روابط اعتماد (Trust Relationships) با یکدیگر ارتباط دارند.

2. درخت (Tree):

هر درخت در ساختار Active Directory شامل یک یا چند دامنه است. درخت‌ها در ساختار سلسله مراتبی به عنوان واحدهایی مستقل شناخته می‌شوند که دارای مجموعه‌ای از شی‌ها و اشیاء (Objects) هستند. هر درخت دارای یک ریشه (Root) است که یکی از دامنه‌ها به عنوان دامنه اصلی (Root Domain) شناخته می‌شود.

3. دامنه (Domain):

دامنه یک واحد مستقل درون یک درخت است و اشیاء و موجودیت‌های مختلفی مانند کاربران، گروه‌ها، کامپیوترها و موارد دیگر را شامل می‌شود. Domain به صورت یک فضای امن و مدیریتی برای مدیریت و کنترل اشیاء و مجوزها درون سازمان عمل می‌کند.

4. زیردامنه (Subdomain):

یک دامنه می‌تواند شامل زیردامنه‌هایی باشد که به صورت سلسله مراتبی تحت آن قرار می‌گیرند. این زیردامنه‌ها به سازمان‌های مختلف یا بخش‌های مختلف در یک سازمان کمک می‌کنند تا اطلاعات و منابع خود را مدیریت کنند.

به طور کلی، اکتیو دایرکتوری با ایجاد این ساختار سلسله مراتبی و انتساب اشیاء به آن‌ها، امکان مدیریت و کنترل دسترسی کاربران به منابع شبکه را فراهم می‌کند. همچنین از پروتکل‌هایی مانند LDAP، Kerberos و DNS برای اجرای عملیات‌های مختلف اعمال شده در این ساختار استفاده می‌کند.

مهم است که بدانید Active Directory فقط برای محیط‌های Microsoft در محیط‌های فیزیکی می‌باشد. محیط‌های Microsoft در محیط ابر از “Azure Active Directory” استفاده می‌کنند که همان اهداف اکتیو دایرکتوری در محیط فیزیکی را داراست. AD و Azure AD جدا از هم هستند، اما در صورتی که سازمان شما هم محیط‌های فیزیکی و هم محیط‌های ابری (نصب هجی) داشته باشد، می‌توانند در تعدادی از امور با یکدیگر همکاری کنند.

چه چیزی در دیتابیس AD وجود دارد؟

دیتابیس اکتیو دایرکتوری شامل اطلاعات مربوط به اشیاء موجود در دامنه می‌باشد. اشیاء AD معمولی شامل کاربران، کامپیوترها، برنامه‌ها، پرینترها و پوشه‌های مشترک می‌شوند. برخی از اشیاء می‌توانند دیگر اشیاء را در خود جای دهند (که به همین دلیل اکتیو دایرکتوری به عنوان “سلسله مراتبی” توصیف می‌شود). به طور خاص، سازمان‌ها معمولاً اشیاء Active Directory را با تشکیل واحدهای سازمانی (Organizational Units یا OUs) به منظور ساده‌تر کردن مدیریت و با تشکیل گروه‌ها به منظور بهبود امنیت سازمان دسته‌بندی می‌کنند. این OUs و گروه‌ها نیز خود به عنوان اشیاء در دایرکتوری محسوب هستند.

هر شیء دارای ویژگی‌ها (Attributes) مخصوص خود می‌باشد. بعضی از ویژگی‌ها آشکار و برخی دیگر در پشت صحنه قرار دارند. به عنوان مثال، یک شیء کاربر معمولاً ویژگی‌هایی مانند نام شخص، رمز عبور، بخش و آدرس ایمیل دارد، اما ویژگی‌هایی وجود دارند که بسیاری از افراد آن‌ها را معمولاً نمی‌بینند. مانند:

• شناسه یکتای جهانی (GUID)
• شناسه امنیتی (SID)
• زمان آخرین ورود به سیستم و عضویت در گروه‌ها

دیتابیس‌ها به صورت ساختارمند هستند، به این معنا که یک طراحی وجود دارد که نوع دیتایی که در آن‌ها ذخیره می‌شوند و چگونگی سازماندهی این اطلاعات را تعیین می‌کند. این طراحی به نام “اسکیما” (Schema) شناخته می‌شود. AD نیز از اسکیمای خود برخوردار است که شامل تعریف‌های رسمی برای هر کلاس شیء می‌شوند. اکتیو دایرکتوری با یک اسکیمای پیشفرض ارائه می‌شود، اما مدیران می‌توانند آن را برای تناسب با نیازهای تجاری تغییر دهند. مهم‌ترین نکته این است که بهتر است از ابتدا اسکیما را با دقت برنامه‌ریزی کنید؛ به علت نقش مرکزی که اکتیو دایرکتوری در احراز هویت و اختیارات ایفا می‌کند، تغییر اسکیما دیتابیس اکتیو دایرکتوری در آینده ممکن است به شدت تداخل‌آفرین باشد و کسب و کار شما را به طرز قابل توجهی مختل کند.

مزایای Active Directory چیست؟

مزایای اکتیو دایرکتوری عبارت‌اند از:

• مدیریت مرکزی کاربران و مجوزها: یکی از بزرگترین مزایای AD امکان مدیریت مرکزی کاربران و مجوزها است. این به مدیران اجازه می‌دهد تا تمام کاربران و گروه‌های مختلف را در یک مکان مدیریت کنند. این امر به افزایش امنیت و کاهش اشکالات مرتبط با مدیریت حقوق دسترسی کمک می‌کند.

• مدیریت مرکزی تنظیمات کاربران و کامپیوترها: با استفاده از ویژگی Group Policy در اکتیو دایرکتوری، مدیران می‌توانند تنظیمات کاربران و کامپیوترها را به صورت مرکزی تنظیم و کنترل کنند. این امکان به مدیران اجازه می‌دهد تا تنظیمات امنیتی، سیاست‌های گروه‌ها، نصب نرم‌افزارها و دیگر تنظیمات را به راحتی مدیریت کنند.

• ورود یک بار (Single Sign-On): اکتیو دایرکتوری امکان ورود یک بار (Single Sign-On) را فراهم می‌کند. این به کاربران اجازه می‌دهد که یک بار وارد سیستم شده و سپس به طور بی‌وقفه به تمام منابعی که برای دسترسی به آن‌ها مجوز دارند، دسترسی پیدا کنند. این ویژگی به افزایش کارایی و راحتی کاربران کمک می‌کند.

• مشارکت و همکاری آسان: فایل‌ها در یک مخزن مرکزی در اکتیو دایرکتوری ذخیره می‌شوند. این به کاربران اجازه می‌دهد تا فایل‌ها را با دیگر کاربران به سادگی به اشتراک بگذارند و در فرآیند همکاری بهبود بخشند.

• پشتیبان‌گیری و ادامه کاری کسب‌وکار: فایل‌ها و اطلاعات مهم در اکتیو دایرکتوری در مخزن مرکزی ذخیره می‌شوند و توسط تیم‌های IT به صورت منظم پشتیبان‌گیری می‌شوند. این اقدام امنیت اطلاعات و ادامه‌ی کاری کسب‌وکار را تضمین می‌کند.

به طور کلی، اکتیو دایرکتوری با ایجاد محیط مدیریتی مرکزی و افزایش امنیت به مدیران و کاربران کمک می‌کند تا فرآیند مدیریت و استفاده از منابع شبکه را بهبود بخشند و به سازمان‌ها امکان اداره بهتری از اطلاعات و امنیت اطلاعات را فراهم کند.

سخن پایانی

اکتیو دایرکتوری (Active Directory) نه تنها یکی از اصولی‌ترین عناصر در مدیریت شبکه‌های سازمانی است بلکه یک ابزار بسیار قدرتمند برای بهبود امنیت، مدیریت مرکزی، و سادگی استفاده از منابع شبکه نیز می‌باشد. این فناوری، با ایجاد ساختار سلسله مراتبی و تعریف دقیق اشیاء و ویژگی‌های آن‌ها در دیتابیس مرکزی خود، به سازمان‌ها امکان مدیریت بهتر و افزایش امنیت دسترسی به منابع شبکه را می‌دهد. همچنین، از طریق ویژگی‌هایی مانند Single Sign-On و Group Policy، تجربه کاربران را بهبود می‌بخشد و کارایی سازمان را افزایش می‌دهد.

از این رو، اکتیو دایرکتوری به عنوان یکی از پیشنهادات اساسی برای مدیریت و کنترل سازمان‌ها در دنیای دیجیتال و فناوری اطلاعات بسیار ارزشمند و ضروری است. با بهره‌گیری از این فناوری، سازمان‌ها می‌توانند بهبود عملکرد و امنیت خود را تضمین کرده و به سرعت و با کارایی بیشتر به اهداف خود دست یابند.