اکتیو دایرکتوری چیست؟ کاربرد Active Directory به زبان ساده

اکتیو دایرکتوری (Active Directory) یا به اختصار AD یک سرویس کاربردی شرکت مایکروسافت است که امکان مدیریت منابع شبکه را در اختیار مدیر شبکه قرار می دهد، در این مقاله قصد داریم سرویس اکتیو دایرکتوری رابه شما عزیزان معرفی کنیم، همراه داتیس نتورک باشید.

سرویس اکتیو دایرکتوری به زبان ساده

اکتیو دایرکتوری یک سرویس دایرکتوری است که مایکروسافت آن را برای شبکه های Domain توسعه داده است و در اغلب ویندوز سرور ها امکان نصب و راه اندازی آن وجود دارد.

سروری که اکتیو دایرکتوری روی آن نصب باشد Domain Controller یا اصطلاحا DC نامیده می شود.

اکتیو دایرکتوری، اطلاعات مربوط به اشیاء شبکه را ذخیره و با ارائه یک ساختار سلسله مراتبى، زمینه سازماندهى Domain ها و منابع را بسادگى فراهم مى کند . بدین ترتیب کاربران بسادگى قادر به مکان یابى منابع شبکه نظیر فایل ها و چاپگرها خواهند بود .

اکتیو دایرکتوری سرویس‌ مدیریت منابع شبکه است که بوسیله Domain Controller مدیریت می‌شود و در اساس یک کنترل‌ کننده متمرکز شبکه است که برای سرویس‌ دهنده‌های بر مبنای ویندوز سرور تهیه گردیده‌است.

اهمیت Active Directory در شبکه

بدون اکتیو دایرکتوری مدیریت منابع نیازمند مدیریت تک‌ به‌تک آن‌ها به صورت منفرد است، در حالی که توسط اکتیو دایرکتوری مدیریت منابع شبکه به صورت مجتمع صورت می‌گیرد.

این فناوری طوری طراحی شده‌است که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانی‌ های کوچک را به عهده دارد.

اطلاعات اکتیو دایرکتوری سلسله مراتبی، برگردان و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیره‌سازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ یا عملکرد واحد پردازش مرکزی ندارد.

• مثال اول: برای به اشتراک‌ گذاری چند فولدر روی شبکه در حالتی که اکتیو دایرکتوری موجود نباشد نیازمند تعیین دسترسی هر کاربر در هر فولدر به صورت مجزا می باشیم و با بروز تغییرات در کاربران و فولدرها بایستی این تغییرات به صورت مجزا اعمال گردد در حالی که در حالت اکتیو دایرکتوری با اعمال قوانین گروهی (group policy) می‌توان این اعمال را به صورت متمرکز انجام داد.
• مثال دوم: با بکارگیری اکتیو دایرکتوری وقتی کاربر تصمیم به تعویض رمز عبور خود می‌گیرد تمامی سیستم‌های کاربری که با اکتیو دایرکتوری مجتمع شده‌اند به صورت خودکار با گذرواژه جدید شما هماهنگ می‌گردند و نیازی به تغییر تک تک آن‌ها نمی‌باشد.

کاربرد اصلی اکتیو دایرکتوری

اکتیودایرکتوری (AD) یک سرویس برای مدیریت منابع شبکه است که توسط شرکت مایکروسافت و به منظور کار در محیط‌های ویندوزی تهیه شده است.

هدف اصلی آن فراهم کردن سرویسی متمرکز برای احراز هویت (Authentication) و تعیین مجوزها (Authorization) برای کامپیوترهای ویندوزی می‌باشد.

اکتیودایرکتوری همچنین امکان تعیین سیاست‌ها، نصب نرم‌افزارها و اعمال به‌روز رسانی‌های مهم را برای مدیران شبکه (Administrator) فراهم می‌کند.

کارکرد اساسی دیگر اکتیودایرکتوری، ذخیره‌سازی اطلاعات و تنظیمات شبکه به صورت متمرکز است.

یک پایگاه‌داده‌ی اکتیودایرکتوری می‌تواند شامل چند صد شئ تا چند میلیون شئ باشد.

هر چند امروزه، بسیاری از سازمان‌ها از ابزارهای مدیریت اکتیو دایرکتوری مانند برنا استفاده می‌کنند، با این وجود دانش و تخصص کامل در مورد اکتیو دایرکتوری برای ادمین‌های شبکه ضروری است.

اشیاء در اکتیو دایرکتوری

داده‌هایی که در اکتیودایرکتوری ذخیره می‌شوند، مانند اطلاعات کاربران، تماس‌ها، پرینترها، سرورها، پایگاه‌های داده، گروه‌ها، کامپیوترها، پوشه‌ها و سیاست‌های امنیتی، همه تحت عنوان اشیا‌ئی در اکتیودایرکتوری ذخیره می‌شوند.

به طور کلی، اشیاء در اکتیودایرکتوری به سه دسته اصلی تقسیم می‌شوند:

• منابع (مانند پرینترها)
• سرویس‌ها (مانند ایمیل)
• کاربران (که شامل کاربران، اطلاعات تماس و گروه‌ها می‌شود)

علاوه‌ بر ذخیره‌سازی این اشیاء، اکتیودایرکتوری امکاناتی را برای سازماندهی کردن و تعیین دسترسی به این اشیاء فراهم می‌کند.

هر شئ که در اکتیو دایرکتوری ذخیره می‌شود نمایان‌گر یک هویت (مانند کاربر، کامپیوتر، پرینتر، گروه و …) است که شامل مجموعه‌ای از صفات (Attribute) می‌باشد.

هر شئ در اکتیودایرکتوری با استفاده از نام و مجموعه صفاتش به طور یکتا قابل شناسایی است. ویژگی‌ها و صفاتی که یک شئ می‌تواند داشته باشد به وسیله‌ی اسکیما (Schema) تعریف می‌شود که مشخص‌کننده‌ی نوع شئ ذخیره‌شونده در اکتیودایرکتوری نیز می‌باشد.

اسکیما در حقیقت تمام اشیائی که می‌توانند در اکتیودایرکتوری ساخته شوند را به همراه صفات هر یک از این اشیاء تعریف می‌کند.

صفات اشیاء در اکتیودایرکتوری در حقیقت همان ویژگی‌های آنها می‌باشند.

برای مثال:

صفات مربوط به یک حساب کاربری شامل نام، نام خانوادگی، نام کاربر (که با آن لاگین انجام می‌شود) می‌باشد، در حالی که صفات یک کامپیوتر می‌تواند شامل مواردی متفاوت مانند نام کامپیوتر و توضیحات آن باشد.

در اکتیو دایرکتوری صفات در پنجره‌ی ویژگی‌های (Properties) قابل دسترس است، اما ساختار چیدمان آن کار با آن را سخت کرده است. اغلب، سازمان‌ها بر اساس نیازشان، برخی صفات را اجباری و برخی را اختیاری می‌دانند.

اما در خود اکتیو دایرکتوری نمی‌توان به سادگی پنجره‌ی صفات را به گونه‌ای که نیاز سازمان‌ها را برآورده کتد تغییر داد. از این رو اغلب سازمان‌‎ها از نرم‌افزارهایی مانند برنا برای ایجاد فرم‌های ساخت و تغییر کاربران استفاده می‌کنند.

آشنایی با ساختار اکتیودایرکتوری

حال که اشیاء را در اکتیو دایرکتوری شناختید، نوبت به آن می‌رسد که با چگونگی سازمان‌دهی این اشیاء در اکتیو دایرکتوری آشنا شوید.

هر چند می‌توان تمام اشیاء را همتا و هم‌سطح یگدیگر دانست، این امر چندان هم بهینه نیست، زیرا که امکان گروه‌بندی اشیاء بر اساس ویژگی‌های مشترک را به ما ‌نمی‌دهد-برای مثال دسته‌بندی اشیاء بر اساس کسی که آنها را مدیریت می‌کند.

در حقیقت، دلیل اصلی پیدایش ساختار کنونی اکتیودایرکتوری روشی است که با آن سازمان‌های IT تمایل به مدیریت اکتیودایرکتوری (مدل مدیریتی) دارند.

در شکل زیر شمای کلی ساختار اکتیودایرکتوری نمایش داده شده است.

استفاده از domain ،tree و forest

در این بخش به سه جزء اساسی ساختار اکتیودایرکتوری یعنی domain ،tree و forest می‌پردازیم.

دامین

اصلی‌ترین جزء هر اکتیودایرکتوری domain می‌باشد.

هر نمونه از اکتیودایرکتوری که نصب می‌شود حداقل شامل یک شئ domain می‌باشد. شما می‌توانید domain را همانند مرز مدیریتی تصور کنید که بر اساس آن هر domain مجموعه مدیران خود را دارد.

دامین‌ها یا همان domainها در مجموعه سرورهایی قرار می‌گیرند که به آنها Domain Controller (DC) می‌گویند.

Tree

اکتیودایرکتوری از tree به منظور دسته‌بندی گروه‌ها به صورت سلسله‌مراتبی استفاده می‌نماید که در آن دامین‌ها به صورت فرزند یا اولاد نگهداری می‌شوند.

در اکتیودایرکتوری ساختار نامگذاری به صورت سلسله‌مراتبی پیاده‌سازی شده است، به این معنی که نام فرزند، الحاقی از نام آن و نام والد آن است (که به آن FQDN یا Fully Qualified Domain Name می‌گویند).

برای مثال اگر نام فرزند Tehran و نام والد آن danapardaz.net باشد، نام FQDN فرزند برابر با Tehran.danapardaz.net خواهد بود.

Forest

یک forest مجموعه‌ای از یک یا چند tree یا درخت اکتیودایرکتوری است، که به صورت همتا در نظر گرفته شده و دارای رابطه‌ی trust از نوع دوطرفه‌ی متعدی (Transitive) است (مفاهیم مربوط به trust در ادامه توضیح داده خواهند شد).

تمام دامین‌های موجود در یک forest اسکیمای مشترک و یکسانی دارند که موجب ایجاد یک فضای نامگذاری پیوسته و سازگار می‌شود.

اولین دامین در هر forest دامین ریشه (Root domain) نامیده می‌شود.

اکتیودایرکتوری همچنین یک پایگاه‌داده‌ی یکسان و مخصوص را بین تمام دامین‌ها به اشتراک می‌گذارد که هدف آن فراهم کردن امکان جستجوی سریع و بهینه‌ی تمام اشیاء است. به این پایگاه‌داده Global Catalog می‌گویند.

واحد‌های سازمانی (Organization Unit) در مقابل container

آخرین بخش از اجزاء ساختار اکتیودایرکتوری که ما در این بخش به آنها می‌پردازیم واحدهای سازمانی و container نام دارند.

Container

به زبان ساده، container اشیائی هستند که خود در برگیرنده‌ی اشیائی دیگر هستند. هر دامین شامل مجموعه‌ای پیش‌فرض از containerها می‌باشد که در زیر به برخی از آنها اشاره شده است:

• Built-in: شامل تعدادی گروه پیش‎فرض می‌باشد که در هر دامین وجود دارد.
• Computer: شامل تمام کامپیوترهایی می‌باشد که عضو دامین هستند.
• Domain controllers: شامل سرور‌های DC که در این دامین هستند.
• Foreign security principles: نشان‌دهنده‎‌ی روابط trust با این دامین است.
• Users: شامل حساب‌های کاربری تمام کاربران این دامین است.

واحد سازمانی (OU)

واحد سازمانی که به اختصار به آن OU نیز می‌گویند مشابه با container است با این تفاوت که OUها توسط مدیر شبکه و بسته به نیاز سازمان ساخته می‌شوند. به عبارت دیگر، OUها خود containerهایی هستند که بسته به نیاز و ساختار منطقی گروه‌بندی در یک سازمان ساخته می‌شوند.

به عنوان یک مدیر شبکه، شما ممکن است که ساختاری از OUها را ایجاد کنید که نمایانگر ساختار سازمانی شرکت شما باشد. برای مثال شما می‌توانید یک OU برای هر دپارتمان (مانند مالی، پشتیبانی، فروش و …) ایجاد کنید.

اشیاء OU خود می‌توانند شامل OUهای دیگر نیز باشند که به آن به اصطلاح OUهای تودرتو (Nesting OUs) گویند. در طراحی اکتیودایرکتوری، توصیه شده است که در صورت امکان کمترین تعداد دامین ساخته شود و هر جا نیاز به ساختار سلسله‌مراتبی برای اعمال سیاست‌ها و مدیریت بود از OUهای تودرتو استفاده شود.

OU یکی از رایج‌ترین اشیاء برای تعیین سیاست‌های گروهی (Group Policy)می‌باشد (هر چند حتی در سطح دامین یا forest هم می‌توان سیاست گروهی اعمال نمود). سیاست‌ها گروهی، مجموعه‌ای از سیاست‌ها و قوانین مشخص هستند که می‌توان توسط اکتیودایرکتوری به اشیاء (خصوصاً کامپیوترها، کاربران و OUها) اعمال کرد.

برای مثال با استفاده از سیاست‌های گروهی، می‌توان کاربرانی را که در یک OU‌ مشخص قرار دارند موظف کرد تا رمز عبورشان را هر 30 روز عوض کنند.

دلیل اهمیت OUها در این است که می‌توان بر اساس ساختار سازمانی مدیریت را به مدیران جزءتر تفویض کرد به این ترتیب که حوزه مدیریت آنها به OU مربوط به خودشان محدود می‌شود.

تعریف Trust

Trustها آخرین جزء اصلی اکتیودایرکتوری هستند که در این مقاله به آن می‌پردازیم. Trustها در حقیقت روابط بین دامین‌ها را مشخص می‌کنند.

Trustهای متعدی

به رابطه‌ای تعددی گویند که آن رابطه به خارج از دو طرف رابطه قابل گسترش باشد. به عبارت دیگر اگر بین دامین‌های A و B و همچنین دامین‌های B و C رابطه‌ی trust وجود داشته باشد، در صورت متعدی بودن این دو رابطه، رابطه‌ی trust بین A و C نیز به طور خودکار وجود خواهد داشت.

هر بار که یک دامین جدید در forest ایجاد می‌شود، یک رابطه‌ی دوطرفه‌ و متعدی بین دامین جدید و والد آن ایجاد می‌شود. در نتیجه‌ی این رابطه‌ی متعدی، در صورت ایجاد یک دامین جدید، این دامین رابطه‌ای با تمام دامین‌هایی که در سلسله‌مرتب forest در سطح بالاتری از آن قرار دارند خواهد داشت.

درخواست‌های احراز هویت نیز از این روابط تاثیر می‌پذیرند. بدین ترتیب، کاربرانی که در دامین‌های دیگری قرار دارند ولی بین دو دامین رابطه‌ی trust وجود دارد می‌توانند در آن دامین نیز احراز هویت شوند.

دو نوع رابطه‌ی trust در اکتیو دایرکتوری وجود دارد:

• Shortcut trust: این نوع رابطه‌ بین دامین‌های موجود در یک forest شکل می‌گیرد و برای بیان رابطه‌ به صورت سر راست و مختصر در ساختارهای پیچیده به کار می‌رود.
• Forest trust: این رابطه بین دو forest مجزا تشکیل می‌شود و می‌تواند یک‌طرفه یا دوطرفه باشد. به کمک این رابطه کاربران دو forest می‌توانند به forest دیگر متصل شوند و با حساب کاربری خود در forest دیگر احراز هویت شوند.Trustهای نامتعدی
  یک رابطه‌ی غیرمعتدی، برخلاف رابطه‌ی متعدی، قابل گسترش به روابط دیگر نیست. این رابطه هم می‌تواند یک‌طرفه باشد و هم می‌تواند دوطرفه باشد. توجه داشته باشید که به طور پیش‌فرض روابط غیرمتعدی یک طرفه هستند، اما می‌توان با ساخت دو رابطه‌ی یک‌طرفه، یک رابطه‌ی دوطرفه ساخت.

همان‌طور که در این مقاله دیدید، ساختار اکتیودایرکتوری بسیار پیچیده است و مدیریت بی نقص آن نیازمند دانشی بسیار بالا و تجربه‌ی کافی است. هر چند داشتن دانش بالا برای راه‌ اندازی و مدیریت اکتیو دایرکتوری ضرور است، بسیاری از کارهای ساده و در عین حال وقت گیر (مانند ساخت حساب کاربری یا تغییر رمز عبور) نیاز به دانش فنی ندارند.

گروه‌ در اکتیو دایرکتوری چیست؟

در اکتیودایرکتوری، یک گروه شامل مجموعه‌ای از حساب‌های کاربری، کامپیوترها و حتی دیگر گروه‌ها است که می‌توان به آن به صورت یک مجموعه‌ی واحد نگاه کرد تا برخی امور مدیریتی آسان‌تر شود.

اشیائی که متعلق به یک گروه هستند را اعضای گروه (Group Member) می‌گویند. به کمک گروه‌ها، مدیر شبکه می‌تواند مجوزهای دسترسی (Permission) را به یک گروه اعمال کند، به جای آنکه مجوزها را برای تک‌تک افراد تعریف کند که بسیار غیرکارامد خواهد بود.

گروه‌ها می‌توانند هم به صورت محلی بر روی یک کامپیوتر خاص تعریف شوند (که در این صورت فقط آن کامپیوتر گروه را مشاهده خواهد کرد) و یا در دامین تعریف شوند. گروه‌های اکتیودایرکتوری خود اشیائی هستند که درون یک container یا OU تعریف شده‌اند. اکتیودایرکتوری، علاوه بر آنکه مجموعه‌ای از گروه‌های پیش‌فرض را پس از نصب مهیا می‌سازد، امکان ساخت گروه‌های جدید بر اساس نیاز مدیران را نیز فراهم می‌کند.

شما می‌توانید یک گروه را عضو گروهی دیگر کنید، که به آن گروه تودرتو (Nested Group) می‌گویند. این امر، امکان تخصیص مجوز دسترسی به مجموعه‌ای از گروه‌ها را توسط یک گروه فراهم می‌کند.

برای مثال فرض کنید که می‌خواهید به گروه‌های HR و مالی که شامل کاربران دپارتمان‌های مربوطه می‌باشند مجوز دسترسی به پوشه‌ Shared files را فراهم کنید.

شما می‌توانید یک گروه دیگر به نام SharedFilesGroup ایجاد کنید و سپس این دو گروه (یا هر گروهی که نیاز به دسترسی به این پوشه دارد) را عضو آن کنید. در انتها، تنها کافیست که به این گروه مجوز دسترسی به این پوشه را دهید و در نتیجه‌ی آن تمام اعضای آن مجوز لازم را دریافت خواهند کرد.

تفاوت گروه‌ با OU

هر چند که گروه و OU شامل مجموعه‌ای از اشیاء (مانند حساب‌های کاربری، کامپیوترهای و …) هستند، کارکرد و استفاده‌ی آنها کامل با هم متفاوت است و در عمل نمی‌توان از یکی به جای دیگری استفاده کرد. برای روشن شدن این موضوع باید تفاوت کاربرد آنها را به روشنی درک کنید.

هدف اصلی از گروه‌ها در ساختار اکتیودایرکتوری آسان‌سازی فرایند تخصیص مجوز دسترسی است. این در حالی است که مفهوم OU برای کاربردی کاملاً متفاوت پدیدار شده است.

قبل از بیان کابرد OU ابتدا بهتر است تفاوت‌های اصلی آن را با گروه‌ها بدانید. OU سه تفاوت عمده با گروه دارد که به قرار زیر است:

• OUها دارای SID نیستند (SID یک شماره یکتا است که برای کنترل و مدیریت اشیاء در اکتیودایرکتوری توسط خود اکتیودایرکتوری به صورت خودکار به اشیاء تخصیص داده می‌شود).
• OUها را نمی‌توان در لیست‌های کنترل دسترسی (Access Control List) که برای تخصیص مجوزها استفاده می‌شوند قرار داد.
• OUها را نمی‌توان درون گروه‌ها قرار داد و یا آنها را عضو گروه‌ها کرد.

با وجود این محدودیت‌ها، اساساً کاربرد OU چیست؟ کاربرد اصلی OU در سازمان‌دهی و مدیریت اشیاء اکتیودایرکتوری است. برای مثال، برخی از کاربردهای OUها به شرح زیرند:

• تفویض اختیار امور مدیریتی به اشیاء موجود در یک OU.
• اعمال تنظیمات سیاست‌ها گروهی (GPO) به یک OU (توجه داشته باشید که امکان اعمال یک GPO به یک گروه، یا یک کامپیوتر و حساب‌کاربری وجود ندارد و حتما باید به یک OU اعمال شود).

بنابراین، گروه‌ها و OUها با وجود آنکه مفاهیم به ظاهر مشابهی هستند و هر دو شامل مجموعه‌ای از دیگر اشیاء هستند، در کاربرد با یکدیگر کاملاً متفاوت هستند و محدودیت‌های هر یک ناشی از کاربرد و خواستگاه آنها می‌باشد.

انواع گروه‌ها در اکتیودایرکتوری

در اکتیودایرکتوری، گروه‌ها بر اساس کاربرد به دو دسته تقسیم می‌شوند: گروه‌های distribution و گروه‌های security. از گروه‌های distribution برای ساخت لیست توزیع ایمیل و از گروه‌های security برای تخصیص مجوز‌های و اشتراک منابع استفاده می‌شود.

گروه‌های distribution
این گروه‌ها برای دسته‌بندی کاربران و فراهم کردن لیستی از کاربران است تا بتوان به سادگی به تمام اعضای آنها ایمیل زد (به کمک Microsoft Exchange Server). این گروه‌ها تنها برای ارسال ایمیل کاربرد دارند و امکان تعیین مجوز دسترسی برای آنها وجود ندارد. توجه داشته باشید که گاهاً از عبارت لیست distribution به جای گروه distribution استفاده می‌شود، خصوصاً در بین مدیران  سرور Exchange.

گروه‌های security
همان‌طور که به آن اشاره شد، از گروه‌های security برای تخصیص مجوز دسترسی استفاده می‌شود. به طور عمده از گروه‌‌ها برای دو کاربرد زیر استفاده می‌شود:

1. تعیین سطح دسترسی کاربران: سطح دسترسی کاربران در گروه‌های security مشخص می‌کند که کاربران موجود در آن گروه در آن دامین یا forest امکان انجام چه کارهایی را دارند. این سطوح دسترسی به طور پیش‌فرض برای گروه‌های از پیش ساخته‌شده‌ی اکتیودایرکتوری مشخص شده است تا به مدیران شبکه امکان مشخص کردن وظیفه و سطح دسترسی هر کاربر به سادگی داده شود.

برای مثال، کاربری که عضو گروه از پیش ساخته‌شده‌ی Backup Operator است امکان پشتیبان‌گیری و بازگرداندن فایل‌ها و پوشه‌های موجود در هر DC را دارد. بنابراین، تنها با عضو کردن یک کاربر به یک گروه می‌توان سطح دسترسی بالایی را برای آن مشخص کرد. از این رو تعیین سطح دسترسی کاربران باید با دقت و توجه به نکات امنیتی صورت گیرد.

2. تعیین مجوز دسترسی به منابع: مجوز‌های دسترسی را می‌توان به گروه‌های security تخصیص داد تا امکان دسترسی به منابع اشتراکی را داشته باشند. این مجوز دسترسی با سطح دسترسی متفاوت است زیرا سطح دسترسی در سطح کل دامین اعمال می‌شود، حال آنکه مجوز دسترسی تنها به یک شئ خاص مانند پوشه یا فایل اعمال می‌شود. مجوزهای دسترسی می‌تواند نوع دسترسی را نیز مشخص کند. برای مثال مجوز Read-only تنها امکان مشاهده‌ی فایل‌ها را به کاربر می‌دهد، حال آنکه مجوز Full control تمام مجوز‌ها از جمله خواندن و تغییر و پاک کردن فایل‌ها را به کاربر می‌دهد.

توجه داشته باشید که از دیدگاه مدیریتی، گروه‌های security سربار عملیات را بسیار کاهش می‌دهند. برای مثال، به کمک گروه‌ها می‌توان به جای آنکه تمام کاربران واحد HR را در لیست مجوز‌های تمام پوشه‌های مورد نظر اضافه کرد، تنها گروه مربوط به کاربران HR را در این لیست افزود. از گروه‌های security می‌توان به عنوان گروه‌های distribution به منظور ارسال ایمیل نیز استفاده نمود، اما بالعکس آن ممکن نیست.

با وجود مزایای اکتیو دایرکتوری در خصوص گروه‌ها و دیگر موارد، امکان گزارش‌گیری در اکتیو دایرکتوری نه تنها در مورد گروه‌ها، بلکه در مورد موارد دیگری مانند کاربران و کامپیوترها نیز بسیار ناکارآمد است. اغلب بدون داشتن دانش اسکریپت نویسی تهیه‌ گزارش غیر ممکن خواهد بود. برای مثال بدست آوردن لیست کاربرانی که عضو هیچ گروهی نیستند با ابزارهای پیش‌فرض AD غیرممکن است. از این رو در سازمان‌های بزرگ اغلب از ابزارهای مدیریت AD، مانند برنا، که گزارش نیز تهیه می‌کنند استفاده می‌شود.

تقسیم‌بندی بر اساس حوزه (Scope) کارکرد
مستقل از آنکه یک گروه distribution باشد یا security، هر گروه از نظر حوزه‌ی دسترسی به کاربران و تعیین دسترسی می‌تواند شامل یکی از حوزه‌های زیر باشد:

Universal Group: این نوع گروه می‌تواند شامل کاربران، گروه‌ها و کامپیوترهای موجود در کل forest باشد. همچنین این گروه می‌تواند برای تعیین مجوز دسترسی به منابع موجود در هر قسمت از forest استفاده شود. هر چند دسترس‌پذیری این گروه در تمام forest کار مدیریتی را آسان می‌کند، اما از آنجا که تغییراتی که مرتبط با این گروه‌ها می‌باشد باید در کل شبکه اعلام شوند، استفاده بی مورد از این گروه‌ها باعث افزایش ترافیک شبکه می‌شود.
Global Group: این گروه تنها می‌تواند در دامین خود و دامین‌هایی که با آن رابطه‌ی trust دارند مورد استفاده قرار گیرد. این گروه تنها می‌‎تواند شامل کاربران، کامپیوترها و گروه‌های موجود در دامین خود باشد و نمی‌تواند گروه Universal را به عنوان عضو بپذیرد.
Domain Local Group: این گروه، بر خلاف گروه global، می‌تواند شامل گروه universal، global و دیگر گروه‌های domain local باشد. این گروه همچنین می‌تواند شامل کاربران و کامپیوترهای هر دامین در forest باشد. با این وجود، این گروه تنها می‌تواند حق دسترسی به منابعی را بدهد که در همان دامین وجود دارد.
امنیت اکتیودایرکتوری
سرویس اکتیودایرکتوری وظایف بسیار قابل توجهی را در فراهم کردن اصول امنیتی در شبکه به عهده دارد. از میان این وظایف، احراز هویت و تعیین مجوزها را می‌توان نام برد که اکتیودایرکتوری بسیار موثر و کارامد آنها را مدیریت می‌کند. در این بخش، دیگر مسائل امنیتی مانند access token و لیست کنترل دسترسی (ACL) را نیز به اختصار بیان خواهیم کرد. توجه داشته باشید که بیان لیست کاملی از موارد امنیتی در خصوص اکتیو دایرکتوری خود کتابی حجیم خواهد شد. برای آشنایی با موارد پر اهمیت در خصوص امنیت اکتیو دایرکتوری می‌توانید به مقاله ارتقاء امنیت Active Directory مراجعه کنید.

احراز هویت
اکتیودایرکتوری وظیفه بررسی صحت اطلاعات ورودی برای login که شامل نام کاربری و رمز عبور می‌شود را به عهده دارد. یکی از قابلیت‌های مهم اکتیودایرکتوری Single Sign On یا SSO می‌باشد که به واسطه‌ی آن کاربر نیاز نیست به هنگام اتصال به هر منبع شبکه‌ای یا نرم‌افزاری اطلاعات کاربری خود را مجدداً وارد نماید (در صورتی که یک بار با موفقیت به سیستم وارد شده باشد).

تعیین مجوزهای کاربر
احراز هویت تنها به فرایندی که شناسایی کاربران را بررسی می‌کند گفته می‌شود. حال آنکه بررسی اینکه آن کاربر به چه منابعی دسترسی دارد و سطح دسترسی آن چه میزان می‌باشد به عهده بخش تعیین مجوزها می‌باشد. در حقیقت، پس از احراز هویت، یک کاربر بالقوه امکان دسترسی به تمام منابع را دارد. اما آنجه که کاربران را محدود می‌سازد مجوزهای و سطح دسترسی‌های تعیین شده می‌باشد.

Access Token
هر بار که یک کاربر موفق به احراز هویت و ورود به سیستم می‌شود، ویندوز یک access token برای آن ایجاد می‌کند. از این token، بعدها در فرایند تعیین مجوزها استفاده می‌شود. این token شامل اطلاعات زیر می‌باشد:

SID کاربر: هر کاربر یک شماره‌ی یکتا دارد که اکتیودایرکتوری به کمک آن کاربران را می‌شناسد (نه از روی نام کاربری).
SID گروه‌ها: مانند کاربران، گروه‌ها نیز یک شماره‌ی شناسایی یکتا دارند. Token شامل لیستی از SID گروه‌هایی که کاربر عضو آن است می‌باشد.
سطح دسترسی و مجوز‌های کاربر: تمام مجوزها و سطوح دسترسی که به کاربر یا گروه‌های عضو تخصیص داده شده است نیز در token ذخیره می‌شود.
هنگامی که یک کاربر می‌خواهد به یک شئ دسترسی داشته باشد، ویندوز SIDهای موجود در access token را با لیست کنترل دسترسی آن شئ مقایسه کرده و بر اساس آن می‌تواند میزان دسترسی کاربر را متوجه شود.

لیست‌های کنترل دسترسی (ACLs)
هر شئ در اکتیودایرکتوری شامل دو لیست کنترل دسترسی مجزا می‌باشد که کاربرد متفاوتی دارند. این دو لیست کنترل دسترسی به قرار زیر می‌باشند:

Discretionary Access Control List (DACL): این لیست شامل گروه‌ها، کامپیوترها و کاربرانی است که دسترسی یا عدم دسترسی برای آنها تنظیم شده است.
System Access Control List (SACL): این لیست مشخص کننده‌ی آن است که از چه رویدادهایی و برای چه کاربران یا گروهایی در اکتیودایرکتوری log برداشته شود.
در این مقاله با گروه‌ها و امنیت در AD آشنا شدید. مدیریت گروه‌ها و OUها با بزارهای پیش‌فرض ویندوز بسیار پیچیده و ناکارآمد است. موارد مرتبط با آنها مانند تفویض اخنیار و تنظیم دسترسی‌ها نیز بسیار دشوار است خصوصاً اگر سازمانی که از آن استفاده می‌کند نسبتاً بزرگ باشد.

بررسی ویژگی های Active Directory و مقایسه شبکه Domain و Work Group:

1- نگه داری اطلاعات کاربران و موجودیت های شبکه بطور متمرکز:

Domain : کلیه اطلاعات کاربران مثل اسم، رمز، شماره تلفن، آدرس و غیره بطور متمرکز نگه داری می شوند و به همین دلیل قابلیت پشتیبانگیری و دسترسی سریع و مدیریت متمرکز را دارند.

Work Group : اطلاعات بطور پراکنده بر روی هر سیستم وجود دارد که علاوه بر امنیت بسیار ضعیف، قابلیت بکاپ گیری تا حد زیادی مشکل و شاید غیر قابل انجام می شود و قابلیت مدیریت متمرکز را ندارد.

2- توسعه پذیری (Extensibility):

Domain : می توان اشیا جدیدی را تعریف کرد (به جز آنهایی که بصورت پیش فرض تعریف شدند) و از آنها تحت شبکه استفاده کرد.

Work Group : فقط از اشیای تعریف شده می توان استفاده کرد.

3- مقیاس پذیری (Scalability):

Domain : به دلیل متمرکز بودن اطلاعات و مدیریت می تواند تعداد بسیار زیادی موجود مختلف را در خود جا دهد و مدیریت کند.

Work Group : به دلیل پراکندگی اطلاعات توصیه می شود تعداد کاربران این نوع شبکه از 10 عدد بیشتر نشود چون قابل مدیریت نیست.

4- قابلیت مدیریت (Managebility):

Domain : به دلیل تمرکز اطلاعات و مدیریت، می توان به راحتی شبکه را در جهت هدف خاصی پیش برد. مثلاً در جهت ارتقای امنیت می توان شبکه را هر هفته به قابلیت امنیتی جدیدی تجهیز کرد.

Work Group: به دلیل عدم تمرکز اطلاعات، مدیریت در حد حفظ وضعیت انجام می شود. مدیریت در جهت رسیدن به اهداف خاص وجود ندارد.

5- قابلیت مدیریت فعالیت کاربرها و کامپیوترها بطور متمرکز:

Domain : می توان سطح فعالیت و دسترسی موجودیت های شبکه را در کل شبکه بصورت متمرکز تعریف کرد.

Work Group: حداکثر می توان دسترسی کاربر را در کامپیوتر خودش تعریف کرد. تحت شبکه این امکان وجود ندارد.

6- یکپارچگی با DNS

Domain : به دلیل هماهنگی با سیستم DNS به راحتی می توان در شبکه به سرویس های مختلف دسترسی پیدا کرد. بر اساس ترتیب اسمی به حالت شاخه ای می توان از بالا دستی ها، آدرس پایین دستی ها را گرفت.

Work Group: قابلیت دسترسی به دیگر موجودیت های شبکه بسیار ضعیف است مگر اینکه کاربر مقصد خود را با نام یا آدرس IP بشناسد چون سیستم شاخه ای وجود ندارد و هیچ سرویسی آدرس دیگر اشیا شبکه را نمی داند.

7- سیاست پذیری (Policy Based System):

Domain : می توان با اعمال سیاست های مختلف تحت شبکه، شبکه را در جهت هدف خاصی پیش برد.

Work Group: اعمال سیاست فقط در حد یک کامپیوتر تعریف می شود و نه تحت شبکه.

8- قابلیت تبادل اطلاعات بین سرورها در سطح شبکه های بزرگ:

Domain : اطلاعات بین سرورهای مختلف رد و بدل می شود لذا کلیه سرورها با آخرین تغییرات شبکه آشنا هستند و سرویس به روز ارائه می شود. مثلاً کاربر تازه وارد به محض ورود، توسط کلیه سرورها قابل شناسایی است لذا می تواند به محض ورود از کلیه سرویس ها استفاده کند.

Work Group : هیچ اطلاعاتی جابجا نمی شود زیرا اصولاً سروری وجود ندارد. به همین دلیل کاربر تازه وارد مجبور است برای درخواست هر سرویس از طرف مدیر شبکه به آن سرویس معرفی شود.

9- امنیت یکپارچه و گسترده:

Domain : با ورود به دامنه، برخی مسائل امنیتی بطور پیش فرض اعمال می شوند و در ادامه مدیر می تواند امنیت شبکه را تا حد غیر قابل تصوری بالا ببرد.

Work Group : به دلیل نبود مدیریت و اطلاعات بطور متمرکز قابلیت امنیتی در حد ابتدایی و ضعیف و منحصر به هر کامپیوتر تعریف می شود (امنیت در حد کاربر خانگی!).

10- انعطاف پذیری در امنیت و تعیین هویت موجودیت های شبکه:

Domain : قابلیت شناسایی هر موجودی در هر جایی از شبکه را دارد و می تواند با مدل ها و روش های مختلف احراز هویت کند (Security Protocols).

Work Group: هر کامپیوتر فقط قابلیت شناسایی موجودیت را دارد که در همان کامپیوتر تعریف شده باشد.

11- قابلیت اتصال و برقراری ارتباط با دیگر Active Directory از جنس دیگر:

Domain : به دلیل اینکه Win 2003 Active Directory بر اساس LDAP ver3 و NSPI که استاندارد جهانی هستند نوشته شده، می تواند با اکتیودایرکتوری هایی که بر این اساس نوشته شده اند ارتباط برقرار کند. حتی اگر این اکتیودایرکتوری ها توسط شرکتی غیر از خود مایکروسافت نوشته شده باشد.

12- قابلیت تبادل اطلاعات بین سرویس های ثالث تحت سیستم تبادل اطلاعات دامنه (امنیت-راحتی):

Domain : چنانچه از سرویس یا نرم افزاری استفاده کنید که قابلیت ادغام با Active Directory Partition را داشته باشد، می توانید بسیار امن و سریع، اطلاعات آن نرم افزار را همراه با اطلاعات ActiveDirectory بین سرورها جابجا کنید.

13-نشانه گذاری دیجیتالی اطلاعات تبادلی:

Domain : اطلاعات بصورت رمز شده بین سرورها جابجا می شود لذا دارای امنیت بسیار مطلوبی است.

Work Group: اطلاعات بین سرورها جابجا نمی شود.

البته در مقایسه سیستم Domain و Workgroup می توان برخی از موارد را در نظر گرفت اما اکثرا از مشخصات اختصاصی Windows Active Directory هستند.

منبع:

1. microsoft
2. wikipedia