Banner

مبانی و معماری اکتیو دایرکتوری

اکتیو دایرکتوری چیست و چرا اهمیت دارد؟

وقتی صحبت از مدیریت شبکه‌های سازمانی می‌شود، یکی از اولین اصطلاحاتی که همیشه شنیده می‌شود اصطلاحات کلیدی اکتیو دایرکتوری است. دلیلش ساده است: اکتیو دایرکتوری همان چیزی است که به مدیر شبکه اجازه می‌دهد هویت کاربران، گروه‌ها و منابع سازمان را در یک ساختار منسجم کنترل کند. اگر شبکه را به یک شهر بزرگ تشبیه کنیم، اکتیو دایرکتوری نقشه و سیستم مدیریتی آن شهر است؛ جایی که همه چیز از خیابان‌ها و محله‌ها گرفته تا قوانین و خدمات عمومی تعریف شده‌اند. بدون این نقشه، هرج‌ومرجی به وجود می‌آید که مدیریت کاربران و منابع غیرممکن می‌شود.

تفاوت Workgroup و Domain؛ دو مسیر متفاوت برای مدیریت

قبل از اینکه به دل اصطلاحات کلیدی اکتیو دایرکتوری برویم، باید تفاوت اصلی آن با Workgroup را بشناسیم. در یک Workgroup همه کامپیوترها مستقل از هم هستند و هر دستگاه برای خودش قوانین و حساب‌های کاربری دارد. این روش برای شبکه‌های کوچک خانگی بد نیست، اما در مقیاس سازمانی عملاً ناکارآمد است. در مقابل، وقتی یک Domain ایجاد می‌کنیم، همه هویت‌ها و سیاست‌ها در یک مرکز یعنی Domain Controller مدیریت می‌شوند. به همین دلیل است که اکتیو دایرکتوری قلب تپنده مدیریت در شبکه‌های سازمانی محسوب می‌شود و اصطلاحاتی مثل Forest، Tree یا OU فقط در همین ساختار معنا پیدا می‌کنند.

ساختار منطقی در اکتیو دایرکتوری

یکی از مهم‌ترین اصطلاحات کلیدی اکتیو دایرکتوری همین ساختار منطقی آن است. این ساختار شامل Object، OU، Domain، Tree و Forest می‌شود. Object همان موجودیت‌های پایه‌ای هستند؛ مثل کاربر، گروه، کامپیوتر یا حتی پرینتر. وقتی می‌خواهیم این Objectها را دسته‌بندی کنیم، از Organizational Unit یا همان OU استفاده می‌کنیم. OU‌ها مثل کشوهایی هستند که وسایل را بر اساس نوع یا بخش سازمان مرتب می‌کنیم.

یک یا چند OU در کنار هم داخل یک Domain قرار می‌گیرند. حالا اگر چند Domain با هم مرتبط شوند، یک Tree ساخته می‌شود. مجموعه‌ای از Treeها هم می‌تواند یک Forest بسازد. اینجا Forest مثل یک مجموعه بزرگ دانشگاهی است که چندین دانشکده (Tree) را در خود جای داده و هر دانشکده شامل چندین دپارتمان (Domain) است. Schema هم به‌عنوان مغز مرکزی، مشخص می‌کند چه نوع Objectی در اکتیو دایرکتوری وجود دارد و هرکدام چه ویژگی‌هایی دارند.

ساختار فیزیکی؛ جایی که Site نقش اول را بازی می‌کند

وقتی از اصطلاحات کلیدی اکتیو دایرکتوری حرف می‌زنیم، نباید ساختار فیزیکی را فراموش کنیم. این ساختار بر پایه Site و Site Link بنا شده است. Site در واقع یک بخش فیزیکی از شبکه است که معمولاً با موقعیت جغرافیایی گره خورده است. مثلاً اگر یک سازمان در تهران، اصفهان و مشهد شعبه داشته باشد، هر کدام می‌توانند یک Site جداگانه باشند. اهمیت Site در این است که فرآیند احراز هویت و Replication بهینه شود و کاربران در مشهد مجبور نباشند برای ورود به حساب کاربری‌شان تا تهران احراز هویت شوند.

Site Linkها هم ارتباط بین این شعبه‌ها را مدیریت می‌کنند. با این ابزار می‌توان مشخص کرد چه زمانی و با چه پهنای باندی اطلاعات بین دو Site جابه‌جا شود. اینجاست که اکتیو دایرکتوری نه فقط از نظر منطقی بلکه از نظر فیزیکی هم انعطاف‌پذیر و هوشمند عمل می‌کند.

برای تهیه سرور اختصاصی ایران و سرور مجازی ایران با ما همراه باشید.

هویت، احراز هویت و امنیت در اکتیو دایرکتوری

Security Principal؛ موجودیت‌هایی که هویت دارند

یکی از مهم‌ترین اصطلاحات کلیدی اکتیو دایرکتوری، مفهوم Security Principal است. در دنیای واقعی، هر فرد برای ورود به یک ساختمان نیاز به کارت شناسایی دارد. در اکتیو دایرکتوری هم همین‌طور است؛ هر چیزی که بخواهد با منابع تعامل کند باید هویت منحصربه‌فردی داشته باشد. این هویت می‌تواند یک کاربر انسانی باشد، یک گروه، یک کامپیوتر یا حتی یک سرویس. همه این‌ها Security Principal نامیده می‌شوند و برای اینکه سیستم بتواند آن‌ها را بشناسد، نیاز به یک شناسه یکتا دارند.

SID؛ شناسنامه دیجیتال

اینجا پای SID یا Security Identifier به میان می‌آید. SID مثل شماره ملی برای هر Security Principal است. حتی اگر نام کاربری یا گروه تغییر کند، SID ثابت می‌ماند. این نکته یکی از اصطلاحات کلیدی اکتیو دایرکتوری است که خیلی وقت‌ها مدیران تازه‌کار نادیده می‌گیرند. تصور کن یک کارمند شرکت از «milad.milani» به «m.milani» تغییر نام بدهد؛ کاربر همچنان همان SID را دارد و دسترسی‌هایش از بین نمی‌رود. همین باعث می‌شود امنیت و ثبات در سطح سازمان حفظ شود.

sIDHistory؛ پلی میان گذشته و حال

وقتی سازمانی دامین‌های خود را ادغام یا مهاجرت می‌دهد، ممکن است نیاز باشد کاربران جدید همچنان به منابع قدیمی دسترسی داشته باشند. اینجا ویژگی sIDHistory وارد عمل می‌شود. sIDHistory در واقع لیستی از شناسه‌های قبلی یک کاربر را ذخیره می‌کند تا او بدون مشکل بتواند به منابع قدیمی هم دسترسی پیدا کند. البته این ویژگی اگر درست مدیریت نشود می‌تواند حفره امنیتی ایجاد کند، چون SIDهای قدیمی همیشه همراه کاربر باقی می‌مانند. بنابراین در کنار مزایا، خطرات خاص خود را هم دارد و باید با سیاست‌های امنیتی سختگیرانه استفاده شود.

sAMAccountName و UPN؛ دو راه برای ورود

برای ورود به دامنه، کاربر می‌تواند از دو شناسه استفاده کند:

  • sAMAccountName: فرم سنتی که شبیه به یک نام کاربری کوتاه است (مثلاً milad.milani).

  • UPN یا User Principal Name: شکلی مدرن‌تر و شبیه به ایمیل (مثلاً milad.milani@company.local).

شناخت این دو اصطلاح هم بخشی از همان اصطلاحات کلیدی اکتیو دایرکتوری است. به‌خصوص در سازمان‌هایی که کاربران زیادی دارند، استفاده از UPN معمولاً راحت‌تر و قابل‌مدیریت‌تر است.

Access Token و ACL؛ تصمیم‌گیرندگان نهایی

وقتی کاربر احراز هویت شد، ویندوز برایش یک Access Token می‌سازد. این Token مثل یک پاسپورت است که نشان می‌دهد فرد به کدام گروه‌ها تعلق دارد و چه سطح دسترسی‌هایی دارد. حالا هر منبعی (مثلاً یک فایل یا پرینتر) لیستی از مجوزهای خودش را دارد که به آن ACL یا Access Control List می‌گویند. این ACL از دو بخش تشکیل می‌شود:

  • DACL (Discretionary ACL): مشخص می‌کند چه کسی اجازه دسترسی دارد.

  • SACL (System ACL): ثبت می‌کند که چه دسترسی‌هایی باید لاگ شود.

ترکیب Access Token و ACL تعیین می‌کند که آیا درخواست کاربر پذیرفته می‌شود یا نه.

Kerberos؛ نگهبان قدرتمند اکتیو دایرکتوری

وقتی صحبت از اصطلاحات کلیدی اکتیو دایرکتوری می‌شود، نمی‌توان از Kerberos عبور کرد. Kerberos پروتکل پیش‌فرض احراز هویت در اکتیو دایرکتوری است و با سیستم بلیت کار می‌کند. در این مکانیزم، یک سرویس مرکزی به نام KDC یا Key Distribution Center وجود دارد. کاربر ابتدا یک بلیت عمومی به نام TGT (Ticket Granting Ticket) دریافت می‌کند. بعد، هر وقت خواست به یک سرویس خاص دسترسی پیدا کند، KDC بلیت مخصوص آن سرویس را به نام TGS صادر می‌کند. این روش باعث می‌شود رمز عبور کاربر هر بار در شبکه ارسال نشود و امنیت به شکل قابل‌توجهی افزایش پیدا کند.

SPN؛ کلید شناسایی سرویس‌ها

یکی دیگر از اصطلاحات کلیدی اکتیو دایرکتوری SPN یا Service Principal Name است. SPN در واقع برچسبی است که یک سرویس خاص را به یک حساب کاربری در اکتیو دایرکتوری متصل می‌کند. بدون SPN، سرویس‌ها نمی‌توانند در فرآیند احراز هویت Kerberos درست شناسایی شوند. مثلاً اگر SQL Server روی یک سرور خاص اجرا می‌شود، باید یک SPN برای آن ثبت شود تا کاربران بتوانند بدون مشکل و به‌صورت ایمن به آن وصل شوند.

کنترلرهای دامنه، Replication و نقش‌های FSMO

Domain Controller؛ ستون فقرات اکتیو دایرکتوری

وقتی درباره اصطلاحات کلیدی اکتیو دایرکتوری صحبت می‌کنیم، اولین چیزی که نمی‌شود از آن گذشت Domain Controller یا همان DC است. در واقع DC مغز عملیاتی دامنه محسوب می‌شود. این سرور اطلاعات مربوط به کاربران، گروه‌ها، کامپیوترها و سیاست‌های امنیتی را نگه می‌دارد و در اختیار سایر دستگاه‌های شبکه قرار می‌دهد. به زبان ساده، اگر اکتیو دایرکتوری را یک بدن در نظر بگیریم، DC قلبی است که خون اطلاعات را در همه اعضا به جریان می‌اندازد. بدون DC هیچ‌کس قادر به ورود به دامنه یا استفاده از منابع سازمانی نخواهد بود.

Replication؛ هماهنگی بین چند DC

حالا تصور کن در یک سازمان بیش از یک DC وجود داشته باشد. در این صورت، باید بین آن‌ها سازگاری و هماهنگی برقرار شود. اینجاست که یکی از مهم‌ترین اصطلاحات کلیدی اکتیو دایرکتوری یعنی Replication مطرح می‌شود. Replication فرآیندی است که طی آن تمام تغییرات (مثلاً ایجاد یک کاربر جدید یا تغییر رمز عبور) از یک DC به دیگر DCها منتقل می‌شود. این انتقال به‌گونه‌ای طراحی شده که حتی اگر چندین DC در نقاط جغرافیایی مختلف باشند، اطلاعات در نهایت به‌روز و هماهنگ باقی بمانند.

نکته جالب این است که Replication در اکتیو دایرکتوری «چندجهته» است. یعنی اگر تغییر در DC شعبه مشهد اتفاق بیفتد، همان تغییر به DC تهران و اصفهان هم منتقل خواهد شد. این هماهنگی باعث می‌شود تجربه کاربر در هر نقطه‌ای از شبکه یکسان باشد.

KCC و Connection Object؛ معماران Replication

فرآیند Replication به‌صورت خودکار مدیریت می‌شود، اما پشت‌صحنه آن مفاهیم جالبی وجود دارد. KCC یا Knowledge Consistency Checker مسئول طراحی توپولوژی Replication است. این سرویس تصمیم می‌گیرد که کدام DC با کدام DC تبادل اطلاعات داشته باشد تا شبکه هم بهینه عمل کند و هم مقاوم باشد.

برای اجرای این طراحی، از چیزی به نام Connection Object استفاده می‌شود. Connection Object مثل خط لوله‌ای است که جریان اطلاعات را بین دو DC مشخص می‌کند. ترکیب KCC و Connection Object یکی از همان اصطلاحات کلیدی اکتیو دایرکتوری است که نشان می‌دهد پشت هر هماهنگی ساده، چه مکانیزم دقیقی قرار دارد.

SYSVOL؛ مرکز توزیع سیاست‌ها

یکی دیگر از مفاهیم حیاتی در اکتیو دایرکتوری، فولدری به نام SYSVOL است. SYSVOL جایی است که Group Policy Objectها و اسکریپت‌های لاگین کاربران ذخیره می‌شوند. این فولدر روی تمام DCها کپی می‌شود و به کمک Replication هماهنگ می‌ماند. به همین دلیل اگر مدیری بخواهد یک سیاست امنیتی برای همه کاربران تعریف کند، کافی است آن را در یک DC اعمال کند؛ تغییر به‌صورت خودکار روی سایر DCها هم منعکس خواهد شد.

FSMO؛ نقش‌های خاص در میان DCها

در نگاه اول به نظر می‌رسد همه DCها برابرند، اما در واقعیت بعضی وظایف خاص را فقط یک DC باید انجام دهد. این وظایف ویژه به نام FSMO Roles شناخته می‌شوند و یکی از مهم‌ترین اصطلاحات کلیدی اکتیو دایرکتوری هستند. FSMO مخفف Flexible Single Master Operation است و شامل پنج نقش می‌شود:

  • Schema Master: مسئول مدیریت Schema و تعریف ساختار Objectها.

  • Domain Naming Master: وظیفه اضافه یا حذف دامنه‌ها از Forest را بر عهده دارد.

  • RID Master: برای اختصاص شناسه‌های منحصربه‌فرد به Objectها.

  • PDC Emulator: مسئولیت‌هایی مثل هماهنگ‌سازی زمان، مدیریت رمزهای عبور و پشتیبانی از کلاینت‌های قدیمی.

  • Infrastructure Master: وظیفه هماهنگی بین Objectهای موجود در دامنه و ارجاعات خارجی.

شناخت دقیق این پنج نقش ضروری است، چون اگر هر کدام از آن‌ها دچار مشکل شوند، عملکرد کل اکتیو دایرکتوری مختل می‌شود. مثلاً اگر RID Master در دسترس نباشد، نمی‌توان کاربران جدید ایجاد کرد.

ابزارهای مدیریتی برای ادمین‌ها

برای اینکه مدیر شبکه بتواند این اصطلاحات کلیدی اکتیو دایرکتوری را در عمل مدیریت کند، مجموعه‌ای از کنسول‌ها در اختیارش قرار دارد. پرکاربردترین آن‌ها عبارت‌اند از:

  • Active Directory Users and Computers (ADUC) برای مدیریت کاربران و گروه‌ها.

  • Active Directory Administrative Center (ADAC) با محیطی مدرن‌تر و قابلیت‌های بیشتر.

  • Active Directory Sites and Services برای مدیریت Replication و Siteها.

  • DNS Manager چون بدون DNS، اکتیو دایرکتوری عملاً کار نمی‌کند.

  • Group Policy Management Console (GPMC) برای مدیریت و اعمال سیاست‌های گروهی.

این ابزارها در کنار هم مثل جعبه‌ابزاری هستند که به ادمین اجازه می‌دهند اکتیو دایرکتوری را نه‌فقط پیکربندی کند، بلکه عیب‌یابی و نگهداری روزمره آن را هم به‌درستی انجام دهد.

Trustها، سناریوهای بین‌فارست و نکات امنیتی

Trust؛ پل ارتباطی بین دامنه‌ها

وقتی سازمان‌ها بزرگ‌تر می‌شوند و چندین دامنه یا حتی چندین Forest جداگانه دارند، نیاز به نوعی ارتباط قابل‌اعتماد بین آن‌ها وجود دارد. اینجاست که یکی از مهم‌ترین اصطلاحات کلیدی اکتیو دایرکتوری یعنی Trust وارد میدان می‌شود. Trust در حقیقت یک قرارداد اعتماد بین دو دامنه یا فارست است که به کاربران اجازه می‌دهد بدون نیاز به ایجاد حساب‌های تکراری، به منابع موجود در دامنه‌های دیگر دسترسی پیدا کنند.

مدل‌های Trust؛ One-way و Two-way

Trustها می‌توانند یک‌طرفه یا دوطرفه باشند. در حالت One-way Trust، دامنه A به دامنه B اعتماد می‌کند، اما برعکس آن برقرار نیست. یعنی کاربران دامنه B می‌توانند وارد منابع دامنه A شوند، ولی کاربران دامنه A اجازه ورود به منابع دامنه B را ندارند. در مقابل، در Two-way Trust هر دو طرف به یکدیگر اعتماد می‌کنند و کاربران می‌توانند آزادانه بین دامنه‌ها جابه‌جا شوند.

همچنین Trustها از زاویه دیگر هم دسته‌بندی می‌شوند: Incoming و Outgoing. در Incoming Trust دامنه مقصد پذیرای اعتماد است، در حالی‌که در Outgoing Trust دامنه مبدأ اعتماد را صادر می‌کند. این دسته‌بندی‌ها از جمله همان اصطلاحات کلیدی اکتیو دایرکتوری هستند که مدیر شبکه باید به‌خوبی آن‌ها را درک کند تا بتواند سیاست‌های امنیتی مناسبی پیاده‌سازی کند.

Transitive و Non-Transitive؛ اعتماد مستقیم یا محدود

Trustها می‌توانند Transitive یا Non-Transitive باشند. در Trust ترانزیتی، اعتماد به‌صورت زنجیره‌ای منتقل می‌شود. مثلاً اگر دامنه A به دامنه B اعتماد داشته باشد و دامنه B به دامنه C، در صورت ترانزیتی بودن Trust، دامنه A به‌طور غیرمستقیم به دامنه C هم اعتماد خواهد کرد. اما در حالت Non-Transitive چنین اتفاقی نمی‌افتد و اعتماد فقط بین همان دو دامنه اولیه برقرار می‌ماند. این تفاوت یکی از حیاتی‌ترین اصطلاحات کلیدی اکتیو دایرکتوری است، چون تعیین می‌کند دسترسی کاربران در ساختارهای پیچیده چگونه مدیریت شود.

انواع Trust در عمل

در اکتیو دایرکتوری چند نوع Trust تعریف شده که هر کدام کاربرد خاص خود را دارند:

  • Parent-Child Trust: وقتی یک دامنه جدید به‌عنوان زیرمجموعه یک دامنه دیگر ساخته می‌شود، به‌طور خودکار ایجاد می‌شود.

  • Tree-Root Trust: بین ریشه دو Tree در یک Forest ایجاد می‌شود.

  • Forest Trust: زمانی به‌کار می‌رود که دو Forest مستقل نیاز به همکاری داشته باشند.

  • External Trust: برای ارتباط با دامنه‌های خارج از Forest.

  • Shortcut Trust (Cross-link): برای کوتاه کردن مسیر دسترسی در ساختارهای پیچیده و بزرگ.

شناخت این Trustها بخش جدایی‌ناپذیر از اصطلاحات کلیدی اکتیو دایرکتوری است و به مدیر شبکه کمک می‌کند طراحی مناسبی برای سازمان خود پیاده کند.

Foreign Security Principals؛ مهمانان ناخوانده یا رسمی

یکی دیگر از مفاهیمی که زیرمجموعه اصطلاحات کلیدی اکتیو دایرکتوری قرار می‌گیرد، FSP یا Foreign Security Principals است. وقتی یک کاربر یا گروه از دامنه‌ای خارجی (مثلاً در یک Trust بین دو Forest) بخواهد به منابع دامنه ما دسترسی داشته باشد، سیستم به‌طور خودکار یک Object در کانتینری به نام ForeignSecurityPrincipals ایجاد می‌کند. این Object در واقع نماینده آن کاربر خارجی در دامنه ماست و به او امکان دسترسی کنترل‌شده می‌دهد.

نکات امنیتی در مدیریت Trustها

Trustها اگر درست پیکربندی نشوند، می‌توانند حفره‌های امنیتی جدی ایجاد کنند. برای مثال، اگر در فرآیند مهاجرت یا ادغام دامنه‌ها از sIDHistory به‌درستی استفاده نشود، ممکن است کاربران ناخواسته دسترسی‌های اضافه به منابع حساس پیدا کنند. به همین دلیل مایکروسافت قابلیتی به نام SID Filtering ارائه کرده که دسترسی SIDهای غیرمجاز را مسدود می‌کند.

علاوه بر این، همیشه باید اصل «حداقل سطح دسترسی» در مدیریت Trustها رعایت شود. یعنی فقط در موارد ضروری Trust برقرار شود و حتی‌المقدور Trustها به‌صورت Non-Transitive تعریف شوند تا دایره اعتماد بیش از حد گسترده نشود.

از مفاهیم تا اجرا؛ قدم بعدی چیست؟

اصطلاحات پیشرفته اکتیو دایرکتوری
اصطلاحات اکتیو دایرکتوری

⭐ تا اینجا مجموعه‌ای از اصطلاحات کلیدی اکتیو دایرکتوری را بررسی کردیم؛ از Domain و Replication گرفته تا Kerberos و Trust. اما دانستن این مفاهیم تنها یک روی ماجراست. اگر می‌خواهید در عمل بتوانید یک اکتیو دایرکتوری پایدار و امن داشته باشید، باید مراحل راه‌اندازی و پیکربندی آن را هم یاد بگیرید. برای این منظور پیشنهاد می‌کنم به مقاله‌ی راهنمای کامل و تصویری راه‌اندازی و پیکربندی اکتیو دایرکتوری در ویندوز سرور سر بزنید تا مفاهیم تئوری‌ای که در این متن مرور کردیم، در عمل هم برایتان روشن شوند.

منبع: کتاب Active Directory, 3rd Edition

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

کد تخفیف خرید سرور مجازی

pavps10