اکتیو دایرکتوری (Active Directory) چیست و چه کاربردی دارد؟
معرفی:
به طور خلاصه شبکههای مبتنی بر ویندوز که از سرور و تعدادی کلاینت تشکیل شده است را اکتیو دایرکتوری مینامند. سرویس اکتیو دایرکتوری Active Directory (AD) یک سرویس دایرکتوری است که توسط مایکروسافت برای شبکههای دامنه ویندوز Windows Domain ساخته شده است. این سرویس در اکثر سیستم عاملهای Windows Server به عنوان مجموعهای از خدمات گنجانده شده است. در ابتدا اکتیو دایرکتوری فقط برای مدیریت دامنه متمرکز استفاده میشد. با این حال اکتیو دایرکتوری سرانجام به عنوان یک پوشش کلی برای طیف وسیعی از خدمات مرتبط با احراز هویت مبتنی بر دایرکتوری تبدیل شد.
تاریخچه:
مایکروسافت اکتیو دایرکتوری را در سال 1999 رونمایی کرد، پس این سرویس عمری به قدمت هزاره سوم دارد. مایکروسافت ابتدا آن را با نسخه ویندوز 2000 Server edition منتشر کرد و آن را برای گسترش عملکرد و بهبود مدیریت در Windows Server 2003 مورد بازبینی قرار داد. سپس مایکروسافت در گام بعدی پشتیبانی از اکتیو دایرکتوری را نیز به وسیله patch به ویندوز 95 ، Windows 98 و Windows NT 4.0 اضافه کرد.
با نسخههای بعدی ویندوز سرور، پیشرفتهای بیشتری در پشتیبانی از اکتیو دایرکتوری انجام شد و در ویندوز سرور 2008 خدمات دیگری مانند Active Directory Federation Services نیز به اکتیو دایرکتوری اضافه شد.
بخشی از فهرست راهنمای مدیریت به خدمات دامنه اکتیو دایرکتوری یا همان (ADDS) تغییر نام داد و در نهایت اکتیو دایرکتوری به یک نام کلی در برگیرنده طیف وسیع تری از خدمات مبتنی بر دایرکتوری تبدیل شد.
نحوه عملکرد:
سرویس دامنه اکتیو دایرکتوری Active Directory Domain Service یا به اختصار (AD DS) طیف گسترده ای از سرویسهای مرتبط با مدیریت دایرکتوری را در بر میگیرد. این سرویسها بیشتر فعالیتهایی که در محیط IT انجام میشود را کنترل میکنند. به طور خاص، آنها با انجام احراز هویت اطمینان حاصل میکنند که هر کاربری که قصد ورود دارد، همان کسی است که ادعا می کند. معمولاً با بررسی شناسه کاربری و رمز عبوری که کاربران وارد میکنند به آنها اجازه میدهند، فقط به دادههایی که مجاز به استفاده از آنها هستند دسترسی پیدا کنند.
سروری که وظیفه سرویس دامنه اکتیو دایرکتوری را بر عهده دارد، کنترل کننده دامنه نامیده می شود. این سرور همه کاربران و رایانههای موجود در یک شبکه از نوع دامنه ویندوز را احراز هویت میکند و سیاستهای امنیتی را برای همه رایانهها تعیین و اجرا میکند.
به عنوان مثال، هنگامی که کاربر به رایانهای وارد می شود که بخشی از دامنه ویندوز است، Active Directory رمز عبور ارسال شده را بررسی میکند و تعیین میکند که کاربر مدیر سیستم و یا کاربر عادی است، همچنین صدور اجازه مدیریت و ذخیره اطلاعات، احراز هویت و مکانیزمهای مجوز را بر عهده دارد و چارچوبی را برای استقرار سایر خدمات مرتبط مانند موارد زیر ایجاد میکند:
- خدمات گواهینامه (Certificate Services)
- خدمات فدراسیون دایرکتوری فعال (Active Directory Federation Services)
- خدمات دایرکتوری سبک وزن (Lightweight Directory Services)
- خدمات مدیریت حقوق (Rights Management Services)
ساختار منطقی:
به عنوان یک سرویس دایرکتوری یک نمونه اکتیو دایرکتوری شامل یک پایگاه داده و کد اجرایی مربوط به آن است که وظیفه سرویس دهی درخواستها و نگهداری پایگاه داده را بر عهده دارد.
قسمت اجرایی معروف به Directory System Agent مجموعهای از خدمات و فرآیندهای ویندوز است که بر روی ویندوز 2000 به بعد اجرا میشود و به اشیای موجود در پایگاههای داده اکتیو دایرکتوری نیز میتوان از طریق LDAP و ADSI ، پیام رسان API و سرویسهای Security Accounts Manager دسترسی داشت.
پارتیشن بندی:
پایگاه داده اکتیو دایرکتوری در پارتیشنهایی سازماندهی شده است که هر کدام دارای انواع شیء خاصی specific object types بوده و از الگوی تکرار خاصی نیز پیروی میکنند. مایکروسافت اغلب از این پارتیشنها به عنوان زمینه نامگذاری استفاده میکند. برای مثال پارتیشن “Schema” شامل تعریف کلاسها و ویژگی های شی در Forest است، پارتیشن “Configuration” حاوی اطلاعاتی در مورد ساختار فیزیکی و پیکربندی Forest (نمونه کامل اکتیو دایرکتوری مانند توپولوژی سایت) است، هر دو در همه دامنههای Forest تکرار میشوند و پارتیشن “Domain” تمام اشیاء ایجاد شده در آن دامنه را در خود نگه میدارد و فقط در دامنه خود تکرار میشود.
کاربرد:
به طور کلی، شبکهای که از اکتیو دایرکتوری استفاده می کند دارای بیش از یک رایانه مجهز به ویندوز سرور مجاز (لایسنس قانونی) است. پشتیبانگیری و بازیابی اکتیو دایرکتوری تنها برای شبکهای با کنترل کننده دامنه واحد امکان پذیر است، اما مایکروسافت بیش از یک کنترل کننده دامنه را برای حفاظت خودکار از بازگرداندن دایرکتوری توصیه می کند. از طرف دیگر کنترل کنندههای دامنه همچنین به طور ایده آل تنها با هدف انجام عملیات دایرکتوری فعال هستند و نباید نرم افزار یا نقش دیگری را اجرا کنند.
برخی از محصولات مایکروسافت مانند SQL Server و Exchange میتوانند با عملکرد کنترل کننده دامنه تداخل داشته باشند لذا این محصولات در ویندوز سرورهای اضافه شده نیاز به جداسازی دارند. زیرا ترکیب آنها میتواند پیکربندی یا عیبیابی کنترل کننده دامنه یا سایر نرم افزارهای نصب شده را دشوارتر کند.
در ضمن هزینه سخت افزار فیزیکی برای بسیاری از سرورهای جداگانه را میتوان با استفاده از مجازی سازی کاهش داد، اگرچه برای جلوگیری از خطا و شکست مایکروسافت توصیه میکند که چندین کنترل کننده دامنه مجازی را در یک سخت افزار فیزیکی یکسان اجرا نشود.
کلام آخر:
اکتیو دایرکتوری به علت ارائه ویژگیهای مانند افزایش امنیت شبکههای مبتنی بر ویندوز سرورهای سازمانی با احراز هویت گسترده افراد و کامپیوترهای موجود در یک شبکه و اجرای سیاستهای امنیتی و سازمانی در رده بندی دسترسی به اسناد و همچنین با فراهم آوردن امکان تهیه نسخه پشتیبان از اطلاعات شبکه و بازیابی آنها، کاهش بار ازدحام روی شبکه و در نهایت ارائه مکانیزم و خدمات مدیریت متمرکز برای ویندوز سرورها و ورک استیشنهای تجاری از اهمیت حیاتی برخوردار است.
منبع :
wikipedia
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگو شرکت کنید؟نظری بدهید!