اکتیو دایرکتوری چیست؟ 0 تا 100 Active Directory به زبان ساده

در مطلب قبلی در مورد «تفاوت شبکه‌های ورک گروپ و دومین» صحبت کردیم و یاد گرفتیم که در شبکه‌های دومین یک پایگاه داده‌ای به نام اکتیو دایرکتوری وجود دارد که وظیفه مدیریت شبکه را به عهده دارد و کسی بدون اجازه آن آب هم نمی‌خورد. 🙂 در این مطلب می‌خواهیم تشریح کنیم که اکتیو دایرکتوری چیست؟ در شبکه‌های کامپیوتری به یوزرها، گروه‌ها، کامپیوترها و … Object یا شی می‌گویند و اکتیو دایرکتوری یک پایگاه داده مرکزی است که شامل تمامی Objectهاست و توسط Domain Controller مدیریت می‌شود.

تاریخچه اکتیو دایرکتوری (Active Directory)

اکتیو دایرکتوری (Active Directory) یک سرویس دایرکتوری (سیستم مدیریت متمرکز) توسعه داده شده توسط شرکت مایکروسافت است که اولین بار در سال 1999 با عرضه ویندوز 2000 معرفی شد. با ارائه اکتیو دایرکتوری، مایکروسافت هدف خود را برای ایجاد یک سرویس دایرکتوری مرکزی و قدرتمند در محیط‌های شبکه ویندوزی محقق کرد. قبل از اکتیو دایرکتوری، مایکروسافت از سرویس دایرکتوری ویندوز NT استفاده می‌کرد که در نسخه‌های قدیمی‌تر سیستم‌عامل ویندوز وجود داشت. با ظهور اکتیو دایرکتوری، مایکروسافت توانست سیستم دایرکتوری خود را به شکل قدرتمندتری توسعه دهد و ویژگی‌های پیشرفته‌تری را در اختیار کاربران خود قرار دهد.

در سال 1996مایکروسافت تصمیم گرفت که روی توسعه یک سرویس دایرکتوری مرکزی برای محیط‌های شبکه ویندوزی تمرکز کند و در سال 1999 با عرضه سیستم‌عامل ویندوز 2000، اکتیو دایرکتوری به عنوان یکی از قابلیت‌های کلیدی آن معرفی شد. این نسخه اولیه از اکتیو دایرکتوری دارای ویژگی‌های اولیه مانند احراز هویت مرکزی، مدیریت حساب‌ها و دسترسی‌ها، توزیع نرم‌افزارها و تنظیمات بود.

نسخه‌های مختلف اکتیو دایرکتوری

در سال 2003 با عرضه ویندوز سرور 2003، اکتیو دایرکتوری نسخه 2 (Active Directory 2) معرفی شد. این نسخه شامل بهبودهای امنیتی، عملکردی و قابلیت‌های جدیدی نسبت به نسخه قبلی و اولیه خود بود که با ویندوز 2000 معرفی شده بود. در سال 2008 با عرضه ویندوز سرور 2008، اکتیو دایرکتوری نسخه 2 (Active Directory 2) بهبود یافت و با ویژگی‌های جدیدی همراه شد.

درسال 2012 با عرضه ویندوز سرور 2012، اکتیو دایرکتوری نسخه 3 (Active Directory 3) معرفی شد. این نسخه شامل بهبودهای عملکردی، امنیتی و قابلیت‌های جدیدی بود که با تکنولوژی‌های جدید مطابقت بیشتری داشته باشد. در سال 2016 با عرضه ویندوز سرور 2016، اکتیو دایرکتوری نسخه 4 (Active Directory 4) هم عرضه شد. این نسخه شامل بهبودهای امنیتی، قابلیت‌های جدید و انعطاف‌پذیری بیشتری نسبت به نسخه قبلی بود، ویندوز سرور 2016 یکسری مشکلات و باگ‌هایی داشت که با آپدیت برطرف شد.

در سال 2019 با عرضه ویندوز سرور 2019، اکتیو دایرکتوری نسخه 5 (Active Directory 5) معرفی شد. این نسخه شامل بهبودهای امنیتی و قابلیت‌های جدیدی بود که برای امنیت و بهره‌وری بیشتر در سازمان‌ها طراحی شده بود و هم‌چنان استفاده می‌شود. از آن زمان تا به امروز، اکتیو دایرکتوری یکی از اصلی‌ترین ابزارهای مدیریت و امنیت شبکه در سیستم‌های عملیاتی ویندوز است و به طور گسترده در سازمان‌ها و شبکه‌های بزرگ استفاده می‌شود.

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری (Active Directory) یک سرویس دایرکتوری از مایکروسافت است که بر روی سیستم‌عامل ویندوز عمل می‌کند. این سرویس در محیط‌های شبکه ویندوزی استفاده می‌شود و به مدیران شبکه امکان مدیریت شعبات تحت عنوان دومین‌های مختلف را می‌دهد. اکتیو دایرکتوری یکی از اصلی‌ترین اجزای زیرساخت امنیتی در سیستم‌های عملیاتی ویندوز است. برخی از ویژگی‌ها و قابلیت‌های کلیدی اکتیو دایرکتوری را بررسی می‌کنیم:

1. تهیه نقشه شبکه: اکتیو دایرکتوری امکان تهیه نقشه کامل شبکه را با استفاده از ساختار سلسله مراتبی دومین‌ها و واحدهای سازمانی (OU) فراهم می‌کند.
2. مدیریت حساب‌های کاربری: با استفاده از اکتیو دایرکتوری، مدیران می‌توانند حساب‌های کاربری را مدیریت کنند. این شامل ایجاد، حذف و ویرایش حساب‌ها، مدیریت رمزعبورها، تعیین سطوح دسترسی و تنظیمات امنیتی است.
3. توزیع خودکار نرم‌افزارها و تنظیمات: اکتیو دایرکتوری قابلیت توزیع خودکار نرم‌افزارها، تنظیمات و سیاست‌ها (پالیسی‌ها) در شبکه فراهم می‌کند.
4. احراز هویت و کنترل سطوح دسترسی: اکتیو دایرکتوری به عنوان یک سامانه احراز هویت مرکزی در شبکه، امکان احراز هویت کاربران و کنترل دسترسی آن‌ها به منابع شبکه را فراهم می‌کند. این شامل سطوح دسترسی، گروه‌ها، دسترسی به پوشه‌ها و فایل‌ها، محدودیت‌ها و سیاست‌های امنیتی است.
5. امنیت و رمزگذاری: اکتیو دایرکتوری قابلیت اعمال سیاست‌های امنیتی و رمزگذاری بر روی حساب‌ها و منابع را دارد. همچنین، امکان استفاده از SSL (Secure Socket Layer) و پروتکل Kerberos برای امنیت ارتباطات را فراهم می‌کند.
6. جستجو و سازماندهی: اکتیو دایرکتوری قابلیت جستجوی سریع در دایرکتوری را فراهم می‌کند. کاربران می‌توانند با استفاده از فیلترها و پارامترهای مختلف، به سرعت اطلاعات مورد نیاز را پیدا کنند. همچنین، سازماندهی داده‌ها و منابع شبکه نیز با استفاده از ساختار دومین‌ها و واحدهای سازمانی امکان پذیر است.
7. ادغام با سرویس‌های دیگر: اکتیو دایرکتوری قابلیت ادغام با سرویس‌ها و پروتکل‌های دیگر را دارد، از جمله LDAP برای اشتراک اطلاعات با سرویس‌های دیگر و Kerberos برای احراز هویت این قابلیت را داراست.

به زبان دیگر، اکتیو دایرکتوری یک پایگاه داده مرکزی است که تمامی Objectها را نگه می‌دارد و توسط Domain Controller مدیریت می‌شود. دومین یک ساختار نامگذاری است که کامپیوترها از آن تبعیت می‌کنند و این ساختار توسط سرویس DNS راه‌اندازی می‌شود.

Active Directory به دو دسته کلی تقسیم می‌شود. زیرساختار‌های فیزیکی اکتیو دایرکتوری و زیرساختارهای منطقی اکتیو دایرکتوری. به تمامی تجهیزات که قابل لمس و دیدن هستند زیرساختارهای اکتیو دایرکتوری می‌گویند مانند سرورها و کابل‌ها و لینک‌های ارتباطی. زیر ساختارهای منطقی شامل یک‌سری مفاهیم مانند Tree، Forest و دومین است.

اکتیو دایرکتوری یک سرویس مایکروسافتی است که بر روی ویندوز سرور نصب و راه‌اندازی می‌شود و توسط Active Directory می‌توان تمامی دسترسی‌های شبکه، یوزرها و کامپیوترها را مدیریت کرد و سیاست‌های شبکه را توسط این مدیر شبکه روی تمامی یوزرها و کامپیوترها اعمال کرد. به سروری که اکتیو دایرکتوری روی آن نصب شده است دومین کنترلر می‌گویند و با ایجاد اولین دومین کنترلر، اولین دومین، اولین Tree و اولین Forest هم به صورت پیش‌فرض ایجاد می‌شود.

زیرساختارهای منطقی اکتیو دایرکتوری

اکتیو دایرکتوری از دومین استفاده می‌کند و دومین یک مفهومی است که در سرویس DNS وجود دارد. زمانی که کامپیوترها از یک ساختار نام‌گذاری سلسله مراتبی استفاده می‌کنند در واقع از دومین استفاده می‌کنند. به‌عنوان مثال bamadoon.com یک دومین است و www.bamadoon.com هم یک زیرمجموعه از دومین است و هم‌چنین Network.bamadoon.com هم یک زیر مجموعه از دومین است و در تمامی اسامی‌ها یک ساختار رعایت شده است و تمامی اسامی به bamadoon.com ختم شده است. در واقع دومین ما bamadoon.com است. نماد دومین مثلت است.

پروتکل LDAP چیست؟

پروتکل LDAP (Lightweight Directory Access Protocol) یک پروتکل شبکه است که برای دسترسی و مدیریت سرویس‌های دایرکتوری مانند Active Directory استفاده می‌شود. LDAP در واقع یک پروتکل استاندارد برای ارتباط با سرویس‌های دایرکتوری است که از پروتکل TCP/IP برای انتقال اطلاعات استفاده می‌کند.

LDAP امکان مدیریت، جستجو و احراز هویت اطلاعات موجود در دایرکتوری را فراهم می‌کند در واقع اساس کار اکتیو دایرکتوری به این پروتکل وابسته است. دایرکتوری به عنوان یک پایگاه داده سازمانی استفاده می‌شود که اطلاعات مربوط به کاربران، گروه‌ها، منابع و سایر مؤلفه‌های سازمانی را در خود ذخیره می‌کند. با استفاده از LDAP، می‌توانید به این داده‌ها دسترسی پیدا کنید و عملیاتی مانند جستجو، اضافه کردن، حذف و بروزرسانی اطلاعات را انجام دهید.

LDAP به عنوان یک پروتکل متن باز (Open Source) و استاندارد، بر روی پورت 389 (برای LDAP غیرامن) یا پورت 636 (برای LDAP امن با استفاده از SSL/TLS) عمل می‌کند. ارتباط با سرور LDAP به صورت کلاینت/سرور بوده و کلاینت‌ها (مانند برنامه‌ها و ابزارهای مدیریت) می‌توانند از طریق پروتکل LDAP به سرور دسترسی پیدا کنند.

با استفاده از دستورات و پیام‌های LDAP، کلاینت‌ها می‌توانند به سرور اطلاعاتی را ارسال کنند و درخواست‌هایی مانند جستجوی داده‌ها بر اساس شرایط خاص، اضافه کردن یا حذف اطلاعات، تغییر پارامترها و سایر عملیات مربوطه را صادر کنند. پروتکل LDAP به عنوان یک استاندارد صنعتی، در سیستم‌ها و سرویس‌های مختلف مورد استفاده قرار می‌گیرد و از جمله استفاده‌های معروف آن می‌توان به مدیریت و دسترسی به اکتیو دایرکتوری، سرویس‌های احراز هویت سامانه‌های ایمیل، اطلاعات مشتریان و سیستم‌های شبکه اشاره کرد. کلا LDAP اگر نباشد سرویس اکتیو دایرکتوری قابلیت استفاده خودش را از دست می‌دهد.

وظیفه پروتکل Kerberos در سرویس Active Directory چیست؟

پروتکل Kerberos یک پروتکل احراز هویت شبکه است که برای امنیت در ارتباطات شبکه استفاده می‌شود. این پروتکل به منظور احراز هویت کاربران و ارائه سرویس‌های امنیتی مانند تأیید هویت، اعتبارسنجی و اجازه دسترسی به منابع شبکه طراحی شده است. نام Kerberos از نام یک موجود اساطیری یونانی با همین نام الهام گرفته شده است که به عنوان نگهبان و ناظر بر ورود و خروج دروازه‌ها و منابعی که ارزشمند بودند، شناخته میشد.

در یک سناریوی احراز هویت با استفاده از پروتکل Kerberos، سه عامل اصلی درگیر هستند که به ترتیب توضیح خواهیم داد.

1. موجودیت اصلی (Principal): کاربر یا سرویسی که قصد دسترسی به منابع شبکه را دارد.
2. سرور اصلی (Key Distribution Center – KDC): این سرور مسئول مدیریت کلیدهای احراز هویت و تأیید هویت است. اطلاعات هویتی (مانند نام کاربری و رمز عبور) کاربران در سرور KDC ذخیره می‌شود.
3. سرویس‌های محدود شده: منابع شبکه (مانند سرویس‌های فایل، ایمیل و …) که تنها به افراد واجد شرایط دسترسی می‌دهند.

وظیفه Kerberos در این فرآیند احراز هویت به شکل زیر است:

احراز هویت اولیه (Authentication) کاربر با وارد کردن نام کاربری و رمز عبور خود به سرور KDC متصل می‌شود. سرور KDC سپس اطلاعات هویتی کاربر را بررسی کرده و تیکت احراز هویت (TGT) را برای کاربر ارسال می‌کند. سپس تأیید هویت (Ticket Validation) کاربر با استفاده از TGT خود، درخواست دسترسی به سرویس خاصی را ارسال می‌کند. سرور KDC با بررسی اعتبار TGT و صحت درخواست، تیکت خدمات درخواستی (Service Ticket) را برای کاربر ارسال می‌کند.

در نهایت کاربر با استفاده از تیکت درخواستی، به سرویس مورد نظر دسترسی پیدا می‌کند. سرویس نیز با بررسی اعتبار تیکت ، دسترسی کاربر را تأیید یا رد می‌کند و بدین ترتیب کاربر سرویس درخواستی را دریافت می‌کند.

پروتکل Kerberos امنیت بالایی را در فرآیند احراز هویت و مدیریت دسترسی به منابع شبکه فراهم می‌کند و در سیستم‌های امنیتی گسترده‌ای مانند Active Directory و شبکه‌های بزرگ استفاده می‌شود.

حرف آخر

Active Directory یک سرویس ویندوزی است که وظیفه مدیریت منابع شبکه را بر عهده دارد و یک مدیریت مرکزی برای احراز هویت یا Authentication و هم‌چنین تعیین سطح دسترسی یا Authorization را برای مدیران شبکه فراهم می‌کند و اصلی‌ترین بخش اکتیو دایرکتوری دومین است. البته در ساختار اکتیو دایرکتوری حتما باید کامپیوترها جوین (Join) دومین شوند. اکتیو دایرکتوری از سال 2000 و همراه با ویندوز سرور 2000 معرفی شد و این سرویس به مرور زمان همراه با نسخه‌های جدید ویندوز سرورها آپدیت شده و ویژگی‌های جدیدی به آن اضافه شده و امنیت آن هم به شدت ارتقا پیدا کرده است. امیدوارم «آموزش اکتیو دایرکتوری چیست؟» را به خوبی متوجه شده باشید.

منبع: بامادون | کپی و نشر اطلاعات با ذکر منبع و نام نویسنده بلامانع است.