اکتیو دایرکتوری چیست؟ 0 تا 100 Active Directory به زبان ساده
در مطلب قبلی در مورد «تفاوت شبکههای ورک گروپ و دومین» صحبت کردیم و یاد گرفتیم که در شبکههای دومین یک پایگاه دادهای به نام اکتیو دایرکتوری وجود دارد که وظیفه مدیریت شبکه را به عهده دارد و کسی بدون اجازه آن آب هم نمیخورد. 🙂 در این مطلب میخواهیم تشریح کنیم که اکتیو دایرکتوری چیست؟ در شبکههای کامپیوتری به یوزرها، گروهها، کامپیوترها و … Object یا شی میگویند و اکتیو دایرکتوری یک پایگاه داده مرکزی است که شامل تمامی Objectهاست و توسط Domain Controller مدیریت میشود.
تاریخچه اکتیو دایرکتوری (Active Directory)
اکتیو دایرکتوری (Active Directory) یک سرویس دایرکتوری (سیستم مدیریت متمرکز) توسعه داده شده توسط شرکت مایکروسافت است که اولین بار در سال 1999 با عرضه ویندوز 2000 معرفی شد. با ارائه اکتیو دایرکتوری، مایکروسافت هدف خود را برای ایجاد یک سرویس دایرکتوری مرکزی و قدرتمند در محیطهای شبکه ویندوزی محقق کرد. قبل از اکتیو دایرکتوری، مایکروسافت از سرویس دایرکتوری ویندوز NT استفاده میکرد که در نسخههای قدیمیتر سیستمعامل ویندوز وجود داشت. با ظهور اکتیو دایرکتوری، مایکروسافت توانست سیستم دایرکتوری خود را به شکل قدرتمندتری توسعه دهد و ویژگیهای پیشرفتهتری را در اختیار کاربران خود قرار دهد.
در سال 1996مایکروسافت تصمیم گرفت که روی توسعه یک سرویس دایرکتوری مرکزی برای محیطهای شبکه ویندوزی تمرکز کند و در سال 1999 با عرضه سیستمعامل ویندوز 2000، اکتیو دایرکتوری به عنوان یکی از قابلیتهای کلیدی آن معرفی شد. این نسخه اولیه از اکتیو دایرکتوری دارای ویژگیهای اولیه مانند احراز هویت مرکزی، مدیریت حسابها و دسترسیها، توزیع نرمافزارها و تنظیمات بود.
نسخههای مختلف اکتیو دایرکتوری
در سال 2003 با عرضه ویندوز سرور 2003، اکتیو دایرکتوری نسخه 2 (Active Directory 2) معرفی شد. این نسخه شامل بهبودهای امنیتی، عملکردی و قابلیتهای جدیدی نسبت به نسخه قبلی و اولیه خود بود که با ویندوز 2000 معرفی شده بود. در سال 2008 با عرضه ویندوز سرور 2008، اکتیو دایرکتوری نسخه 2 (Active Directory 2) بهبود یافت و با ویژگیهای جدیدی همراه شد.
درسال 2012 با عرضه ویندوز سرور 2012، اکتیو دایرکتوری نسخه 3 (Active Directory 3) معرفی شد. این نسخه شامل بهبودهای عملکردی، امنیتی و قابلیتهای جدیدی بود که با تکنولوژیهای جدید مطابقت بیشتری داشته باشد. در سال 2016 با عرضه ویندوز سرور 2016، اکتیو دایرکتوری نسخه 4 (Active Directory 4) هم عرضه شد. این نسخه شامل بهبودهای امنیتی، قابلیتهای جدید و انعطافپذیری بیشتری نسبت به نسخه قبلی بود، ویندوز سرور 2016 یکسری مشکلات و باگهایی داشت که با آپدیت برطرف شد.
در سال 2019 با عرضه ویندوز سرور 2019، اکتیو دایرکتوری نسخه 5 (Active Directory 5) معرفی شد. این نسخه شامل بهبودهای امنیتی و قابلیتهای جدیدی بود که برای امنیت و بهرهوری بیشتر در سازمانها طراحی شده بود و همچنان استفاده میشود. از آن زمان تا به امروز، اکتیو دایرکتوری یکی از اصلیترین ابزارهای مدیریت و امنیت شبکه در سیستمهای عملیاتی ویندوز است و به طور گسترده در سازمانها و شبکههای بزرگ استفاده میشود.
اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری (Active Directory) یک سرویس دایرکتوری از مایکروسافت است که بر روی سیستمعامل ویندوز عمل میکند. این سرویس در محیطهای شبکه ویندوزی استفاده میشود و به مدیران شبکه امکان مدیریت شعبات تحت عنوان دومینهای مختلف را میدهد. اکتیو دایرکتوری یکی از اصلیترین اجزای زیرساخت امنیتی در سیستمهای عملیاتی ویندوز است. برخی از ویژگیها و قابلیتهای کلیدی اکتیو دایرکتوری را بررسی میکنیم:
- تهیه نقشه شبکه: اکتیو دایرکتوری امکان تهیه نقشه کامل شبکه را با استفاده از ساختار سلسله مراتبی دومینها و واحدهای سازمانی (OU) فراهم میکند.
- مدیریت حسابهای کاربری: با استفاده از اکتیو دایرکتوری، مدیران میتوانند حسابهای کاربری را مدیریت کنند. این شامل ایجاد، حذف و ویرایش حسابها، مدیریت رمزعبورها، تعیین سطوح دسترسی و تنظیمات امنیتی است.
- توزیع خودکار نرمافزارها و تنظیمات: اکتیو دایرکتوری قابلیت توزیع خودکار نرمافزارها، تنظیمات و سیاستها (پالیسیها) در شبکه فراهم میکند.
- احراز هویت و کنترل سطوح دسترسی: اکتیو دایرکتوری به عنوان یک سامانه احراز هویت مرکزی در شبکه، امکان احراز هویت کاربران و کنترل دسترسی آنها به منابع شبکه را فراهم میکند. این شامل سطوح دسترسی، گروهها، دسترسی به پوشهها و فایلها، محدودیتها و سیاستهای امنیتی است.
- امنیت و رمزگذاری: اکتیو دایرکتوری قابلیت اعمال سیاستهای امنیتی و رمزگذاری بر روی حسابها و منابع را دارد. همچنین، امکان استفاده از SSL (Secure Socket Layer) و پروتکل Kerberos برای امنیت ارتباطات را فراهم میکند.
- جستجو و سازماندهی: اکتیو دایرکتوری قابلیت جستجوی سریع در دایرکتوری را فراهم میکند. کاربران میتوانند با استفاده از فیلترها و پارامترهای مختلف، به سرعت اطلاعات مورد نیاز را پیدا کنند. همچنین، سازماندهی دادهها و منابع شبکه نیز با استفاده از ساختار دومینها و واحدهای سازمانی امکان پذیر است.
- ادغام با سرویسهای دیگر: اکتیو دایرکتوری قابلیت ادغام با سرویسها و پروتکلهای دیگر را دارد، از جمله LDAP برای اشتراک اطلاعات با سرویسهای دیگر و Kerberos برای احراز هویت این قابلیت را داراست.
به زبان دیگر، اکتیو دایرکتوری یک پایگاه داده مرکزی است که تمامی Objectها را نگه میدارد و توسط Domain Controller مدیریت میشود. دومین یک ساختار نامگذاری است که کامپیوترها از آن تبعیت میکنند و این ساختار توسط سرویس DNS راهاندازی میشود.
Active Directory به دو دسته کلی تقسیم میشود. زیرساختارهای فیزیکی اکتیو دایرکتوری و زیرساختارهای منطقی اکتیو دایرکتوری. به تمامی تجهیزات که قابل لمس و دیدن هستند زیرساختارهای اکتیو دایرکتوری میگویند مانند سرورها و کابلها و لینکهای ارتباطی. زیر ساختارهای منطقی شامل یکسری مفاهیم مانند Tree، Forest و دومین است.
اکتیو دایرکتوری یک سرویس مایکروسافتی است که بر روی ویندوز سرور نصب و راهاندازی میشود و توسط Active Directory میتوان تمامی دسترسیهای شبکه، یوزرها و کامپیوترها را مدیریت کرد و سیاستهای شبکه را توسط این مدیر شبکه روی تمامی یوزرها و کامپیوترها اعمال کرد. به سروری که اکتیو دایرکتوری روی آن نصب شده است دومین کنترلر میگویند و با ایجاد اولین دومین کنترلر، اولین دومین، اولین Tree و اولین Forest هم به صورت پیشفرض ایجاد میشود.
زیرساختارهای منطقی اکتیو دایرکتوری
اکتیو دایرکتوری از دومین استفاده میکند و دومین یک مفهومی است که در سرویس DNS وجود دارد. زمانی که کامپیوترها از یک ساختار نامگذاری سلسله مراتبی استفاده میکنند در واقع از دومین استفاده میکنند. بهعنوان مثال bamadoon.com یک دومین است و www.bamadoon.com هم یک زیرمجموعه از دومین است و همچنین Network.bamadoon.com هم یک زیر مجموعه از دومین است و در تمامی اسامیها یک ساختار رعایت شده است و تمامی اسامی به bamadoon.com ختم شده است. در واقع دومین ما bamadoon.com است. نماد دومین مثلت است.
پروتکل LDAP چیست؟
پروتکل LDAP (Lightweight Directory Access Protocol) یک پروتکل شبکه است که برای دسترسی و مدیریت سرویسهای دایرکتوری مانند Active Directory استفاده میشود. LDAP در واقع یک پروتکل استاندارد برای ارتباط با سرویسهای دایرکتوری است که از پروتکل TCP/IP برای انتقال اطلاعات استفاده میکند.
LDAP امکان مدیریت، جستجو و احراز هویت اطلاعات موجود در دایرکتوری را فراهم میکند در واقع اساس کار اکتیو دایرکتوری به این پروتکل وابسته است. دایرکتوری به عنوان یک پایگاه داده سازمانی استفاده میشود که اطلاعات مربوط به کاربران، گروهها، منابع و سایر مؤلفههای سازمانی را در خود ذخیره میکند. با استفاده از LDAP، میتوانید به این دادهها دسترسی پیدا کنید و عملیاتی مانند جستجو، اضافه کردن، حذف و بروزرسانی اطلاعات را انجام دهید.
LDAP به عنوان یک پروتکل متن باز (Open Source) و استاندارد، بر روی پورت 389 (برای LDAP غیرامن) یا پورت 636 (برای LDAP امن با استفاده از SSL/TLS) عمل میکند. ارتباط با سرور LDAP به صورت کلاینت/سرور بوده و کلاینتها (مانند برنامهها و ابزارهای مدیریت) میتوانند از طریق پروتکل LDAP به سرور دسترسی پیدا کنند.
با استفاده از دستورات و پیامهای LDAP، کلاینتها میتوانند به سرور اطلاعاتی را ارسال کنند و درخواستهایی مانند جستجوی دادهها بر اساس شرایط خاص، اضافه کردن یا حذف اطلاعات، تغییر پارامترها و سایر عملیات مربوطه را صادر کنند. پروتکل LDAP به عنوان یک استاندارد صنعتی، در سیستمها و سرویسهای مختلف مورد استفاده قرار میگیرد و از جمله استفادههای معروف آن میتوان به مدیریت و دسترسی به اکتیو دایرکتوری، سرویسهای احراز هویت سامانههای ایمیل، اطلاعات مشتریان و سیستمهای شبکه اشاره کرد. کلا LDAP اگر نباشد سرویس اکتیو دایرکتوری قابلیت استفاده خودش را از دست میدهد.
وظیفه پروتکل Kerberos در سرویس Active Directory چیست؟
پروتکل Kerberos یک پروتکل احراز هویت شبکه است که برای امنیت در ارتباطات شبکه استفاده میشود. این پروتکل به منظور احراز هویت کاربران و ارائه سرویسهای امنیتی مانند تأیید هویت، اعتبارسنجی و اجازه دسترسی به منابع شبکه طراحی شده است. نام Kerberos از نام یک موجود اساطیری یونانی با همین نام الهام گرفته شده است که به عنوان نگهبان و ناظر بر ورود و خروج دروازهها و منابعی که ارزشمند بودند، شناخته میشد.
در یک سناریوی احراز هویت با استفاده از پروتکل Kerberos، سه عامل اصلی درگیر هستند که به ترتیب توضیح خواهیم داد.
- موجودیت اصلی (Principal): کاربر یا سرویسی که قصد دسترسی به منابع شبکه را دارد.
- سرور اصلی (Key Distribution Center – KDC): این سرور مسئول مدیریت کلیدهای احراز هویت و تأیید هویت است. اطلاعات هویتی (مانند نام کاربری و رمز عبور) کاربران در سرور KDC ذخیره میشود.
- سرویسهای محدود شده: منابع شبکه (مانند سرویسهای فایل، ایمیل و …) که تنها به افراد واجد شرایط دسترسی میدهند.
وظیفه Kerberos در این فرآیند احراز هویت به شکل زیر است:
احراز هویت اولیه (Authentication) کاربر با وارد کردن نام کاربری و رمز عبور خود به سرور KDC متصل میشود. سرور KDC سپس اطلاعات هویتی کاربر را بررسی کرده و تیکت احراز هویت (TGT) را برای کاربر ارسال میکند. سپس تأیید هویت (Ticket Validation) کاربر با استفاده از TGT خود، درخواست دسترسی به سرویس خاصی را ارسال میکند. سرور KDC با بررسی اعتبار TGT و صحت درخواست، تیکت خدمات درخواستی (Service Ticket) را برای کاربر ارسال میکند.
در نهایت کاربر با استفاده از تیکت درخواستی، به سرویس مورد نظر دسترسی پیدا میکند. سرویس نیز با بررسی اعتبار تیکت ، دسترسی کاربر را تأیید یا رد میکند و بدین ترتیب کاربر سرویس درخواستی را دریافت میکند.
پروتکل Kerberos امنیت بالایی را در فرآیند احراز هویت و مدیریت دسترسی به منابع شبکه فراهم میکند و در سیستمهای امنیتی گستردهای مانند Active Directory و شبکههای بزرگ استفاده میشود.
حرف آخر
Active Directory یک سرویس ویندوزی است که وظیفه مدیریت منابع شبکه را بر عهده دارد و یک مدیریت مرکزی برای احراز هویت یا Authentication و همچنین تعیین سطح دسترسی یا Authorization را برای مدیران شبکه فراهم میکند و اصلیترین بخش اکتیو دایرکتوری دومین است. البته در ساختار اکتیو دایرکتوری حتما باید کامپیوترها جوین (Join) دومین شوند. اکتیو دایرکتوری از سال 2000 و همراه با ویندوز سرور 2000 معرفی شد و این سرویس به مرور زمان همراه با نسخههای جدید ویندوز سرورها آپدیت شده و ویژگیهای جدیدی به آن اضافه شده و امنیت آن هم به شدت ارتقا پیدا کرده است. امیدوارم «آموزش اکتیو دایرکتوری چیست؟» را به خوبی متوجه شده باشید.
منبع: بامادون | کپی و نشر اطلاعات با ذکر منبع و نام نویسنده بلامانع است.
این مقاله براتون مفید بود؟
به اندازه یک فنجان قهوه از ما را حمایت کنید و پشیبان ما شوید تا با انرژی بیشتر آموزشها را تولید کنیم.
