Active Directoryچیست و چه کاری در شبکه های Domain انجام می دهد ؟
اکتیو دایرکتوری یک سرویس دایرکتوری است که محصولات ویندوز سرور را در بر می گیرد.
لازم به توضیح است که محصولات ویندوز سرور چیست؟ محصولات ویندوز سرور یعنی همان فایل های شیر شده درون شبکه یا یوزر های ساخته شده توی شبکه یا پرینترهای موجود در شبکه و یا از همه مهمتر دسترسی های موجود در شبکه را اکتیو دایرکتوری به صورت متمرکز درون خودش نگه داری می کند و به صورت تمیز و مرتب در اختیار مدیر شبکه قرار میدهد. اکتیو دایرکتوری منابع را به صورت سلسله مراتبی در یک دامین سازماندهی میکند که این منابع یک سری گروه از سرور ها و منابع تحت شبکه می باشند که یک دامنه واحد دارند. هردامنه برای خود شامل یک یا چندین کنترلر می باشد که یکی از آنها درحال اجرا کردن ویندوز سرور میباشد. مدیران شبکه میتوانند تغییراتی در کنترلهای دامنه ایجاد کنند و توسط دایرکتوری همه ی کنترلر های دامنه را آپدیت کنند.
اکتیو دایرکتوری با متمرکز بخشیدن از یک نقطه مدیریت همه ی فعالیت ها را درون شبکه کنترل میکند چون اکتیودایرکتوری یک نقطه ورود واحد برای تمامی منابع شبکه است و مدیر شبکه میتواند تغییرات مربوط درون شبکه را انجام دهد و وارد کامپیوتری بشود و آنرا مدیریت کند. اکتیودایرکتوری از سرویس دی ان اس استفاده میکند و میتواند اطلاعات را با هر برنامه کاربردی و یا دایرکتوری مبادله کند، همچنین میتواند که اطلاعات را با دیگر سرویس های دایرکتوری مثل NOVELL و پروتکل LDAP را پشتیبانی میکنند و به اشتراک میگذارند.
LDAP:یک استاندارد اینترنتی است که برای دسترسی به سرویس های دایرکتوری توسعه داده شده است و به جهت ساده سازی متناوب دسترسی به دایرکتوری یا همان پروتکل DAP میباشد. همچنین برای تبادل اطلاعات بین دایرکتوری ها از این پروتوکل استفاده میکند.
HTTP:نیز یک پروتکل استاندارد جهت نمایش صفحات وب میباشد لذا شما میتوانید هر شی داخل مرورگر را به نمایش بگذارید و از فواید اکتیودایرکتوری است که شما میتوانید صفحات وب را با کد HTML به جهت نمایش برای کاربران درآورید. اکتیو دایرکتوری نام های UNC را پشتیبانی می کند نام هایی که در شبکه مبتنی بر ویندوز به درایورهای به اشتراک گذاشته شده و پرینترها و فایل ها مراجعه میکنند.
ساختار اکتیو دایرکتوری
اکتیو دایرکتوری یک روش طراحی ساختار دایرکتوری را برای سازمان شما فراهم میکند. لذا قبل از نصب اکتیو دایرکتوری شما بایستی عملیات و ساختار سازمانی مورد نیاز خود را مد نظر قرار دهید.برخی شرکتها یا سازمانها یک ساختار متمرکز دارند .نوعا اینگونه سازمانها و شرکتها حوزه های اطلاعاتی قوی و محکمی دارند ، که آنها را در یک ساختار شبکه ای با جزئیات کمتری تعریف و پیاده سازی می کنند . امّا برخی دیگر از سازمانها و شرکتها بخصوص سازمانها و شرکتهای خیلی بزرگ پراکنده و غیر متمرکزند ، اینگونه سازمانها و شرکتها دارای شعبات چند گانه ای هستند،که هر کدام از آنها خیلی مهم و کانونی اند. اینگونه سازمانها به یک راهبرد غیرمتمرکز نیازمندند تا شبکه ها و اعضای خودشان را مدیریت کنند. ACTIVE DIRECTORY انعطاف پذیری که دارد شما میتوانید بهترین ساختار شبکه را برای سازمان خود ایجاد کرده و آن را براحتی کنترل کنید.شما در اکتیو دایرکتوری یوزرهای موجود در شبکه را تعریف کرده و قوانینی روی آنها اعمال میکنید و شبکه خود را مدیریت میکنید. سروری که DOMAIN مورد نظر شمارا مدیریت میکند DOMAIN CONTROLLER نام دارد یعنی این سرور حاوی تمامی اطلاعات مدیریتی میباشد.
عملیات AUTHENTICATION و AUTHORIZATION که عملیات تایید هویت کاربر بعد از زدن رمز عبور و یوزرنیم انجام میشود توسط همین اکتیودایرکتوری صورت میگیرد به این معنا که هنگامیکه سیستم عامل کاربران بالا می آید آنها یوزر نیم و پسورد تعیین شده را وارد کرده و این اطلاعات به سمت سرور اکتیو دایرکتوری مربوط به دامین رفته و در صورت صحیح بودن اطلاعات کاربری اجازه ورود کاربر به سیستم عامل خود را خواهد.در اکتیودایرکتوری تمامی دسترسی هایی که به کاربران داده شده است توسط این سرویس اعمال میگردد و هنگام ورود کاربران اعمال میشود به عنوان مثال مدیر شبکه اجازه اجرای برنامه را به شما نداده .این قانون هنگام ورود شما به سیستم بعد از وارد کردن رمز عبور و تایید آن بر روی سیستم شما اعمال میشود.
اکتیودایرکتوری دارای دو جز مهم در شبکه میباشد:
DNS , DHCP این سرویس به تنظیمات شبکه ما سرعت ، دقت و نظم می بخشد و بستری را ایجاد می کند تا شبکه کامپیوتری خود را مدیریت کنیم و تمامی OBJECTها که شامل حساب کاربران و پرینترها و فایل های به اشتراک گذاشته شده همگی در این سرویس قرار دارند و میتوانیم آنهارا براحتی کنترل کنیم.
شبکه ی استاندارد مبتنی برACTIVE DIRECTORY شامل موارد زیر است:
- سرور قدرتمند و استاندارد به همراه سیستم عامل ویندوز سرور
- ایستگاه های کاری مناسب جهت کار در شبکه با داشتن ویندوزهای مبتنی بر NT
- شبکه کامپیوتری استاندارد مبتنی بر اصول کابل کشی ساخت یافته
- پروتکل TCP//IP و همچنین File Sharing در کلیه کامپیوترهای شبکه باید فعال باشند
- سیستم فایل سرور و در صورت امکان سیستم فایل های ایستگاه های کاری از نوع NTFS باشد
- در یک شبکه استاندارد آدرس IP سرور معمولا ثابت و دستی انتخاب می شود و ایستگاه های کاری آدرس خود را بطور اتوماتیک از DHCP شبکه دریافت می کنند.
- DNS زیر ساخت اصلی Active Directoryمی باشد. این سرویس بطور مستقل و یا در طول نصب Active Directoryقابل نصب می باشد.
مشخصات یک ACTIVE DIRECTORY خوب
________________________________________
Centralization اطلاعات را متمرکز می کند ،یعنی برای دسترسی به یک سری اطلاعات نیاز به جست و جوی در مکان های مختلف نباشد.
Scalability وقتی امکانات شبکه زیاد میشود یا به عبارت دیگر AD بزرگ میشود باید بتواند با آن گسترش کنار بیاید و سرعت آن کاهش پیدا نکند همچنین مانند سابق پرسش ها را سریعا جواب دهد، مثلا یک چاپگر خاص کجا قرار دارد.
Standardizationبر اساس استانداردهای موجود دنیا تدوین شده باشد.
Extensible پذیرای افزایش قابلیتها باشد.هر برنامه ای که به سیستم عامل اضافه میشود ،ممکن است بخواهد خودش به AD یک سری موضوعات و قابلیت ها اضافه و از آنها استفاده نماید در نتیجه AD باید پذیرای افزایش قابلیت ها باشد.
Separations Of Physical Network باید ساختار فیزیکی شبکه را از ساختار منطقی آن جدا کند و این هدف اصلی طراحی شبکه است ،چون لازم نیست کاربر بداند امکانات فیزیکی شبکه در کجا قرار دارد تا از آنها استفاده نماید.
Security امنیت در ذخیره اطلاعات و همچنین دسترسی به اطلاعات باید در AD وجود داشته باشد.
Active Directory
Active Directory (AD) is a Microsoft product that consists of several services that run on Windows Server to manage permissions and access to networked resources. Active Directory stores data as objects. An object is a single element, such as a user, group, application or device, such as a printer.
Active Directory (AD) is a Microsoft product that consists of several services that run on Windows Server to manage permissions and access to networked resources.
Active Directory stores data as objects. An object is a single element, such as a user, group, application or device, such as a printer. Objects are normally defined as either resources — such as printers or computers — or security principals — such as users or groups.
Active Directory categorizes objects by name and attributes. For example, the name of a user might include the name string, along with information associated with the user, such as passwords and Secure Shell (SSH) keys.
The main service in Active Directory is Domain Services (AD DS), which stores directory information and handles the interaction of the user with the domain. AD DS verifies access when a user signs into a device or attempts to connect to a server over a network. AD DS controls which users have access to each resource. For example, an administrator typically has a different level of access to data than an end user.
Other Microsoft products, such as Exchange Server and SharePoint Server, rely on AD DS to provide resource access. The server that hosts AD DS is the domain controller.
Active Directory services
Several other services comprise Active Directory. They are Lightweight Directory Services, Certificate Services, Federation Services and Rights Management Services. Each service expands the product’s directory management capabilities.
Lightweight Directory Services (AD LDS) has the same codebase as AD DS, sharing similar functionalities, such as the API. AD LDS, however, can run in multiple instances on one server and holds directory data in a data store using Lightweight Directory Access Protocol (LDAP).
LDAP is an application protocol used to access and maintain directory services over a network. LDAP stores objects — such as usernames and passwords — in directory services — such as Active Directory — and shares that object data across the network.
Certificate Services (AD CS) generates, manages and shares certificates. A certificate uses encryption to enable a user to exchange information over the internet securely with a public key.
Active Directory Federation Services (AD FS) authenticates user access to multiple applications — even on different networks — using single sign-on (SSO). As the name indicates, SSO only requires the user to sign on once rather than use multiple dedicated authentication keys for each service.
Rights Management (AD RMS) controls information rights and management. AD RMS encrypts content, such as email or Word documents, on a server to limit access.
Major features in Active Directory Domain Services
Active Directory Domain Services uses a tiered layout consisting of domains, trees and forests to coordinate networked elements.
A domain is a group of objects, such as users or devices, that share the same AD database. Domains have a domain name system (DNS) structure.
A tree is one or more domains grouped together. The tree structure uses a contiguous namespace to gather the collection of domains in a logical hierarchy. Trees can be viewed as trust relationships where a secure connection, or trust, is shared between two domains. Multiple domains can be trusted where one domain can trust a second, and the second domain can trust a third. Because of the hierarchical nature of this setup, the first domain can implicitly trust the third domain without needing explicit trust.
A forest is a group of multiple trees. A forest consists of shared catalogs, directory schemas, application information and domain configurations. The schema defines an object’s class and attributes in a forest. In addition, global catalog servers provide a listing of all the objects in a forest.
Organizational Units (OUs) organize users, groups and devices. Each domain can contain its own OU. However, OUs cannot have separate namespaces, as each user or object in a domain must be unique. For example, a user account with the same username cannot be created.
History and development of Active Directory
Microsoft offered a preview of Active Directory in 1999 and released it a year later with Windows 2000 Server. Microsoft continued to develop new features with each successive Windows Server release.
Windows Server 2003 included a notable update to add forests and the ability to edit and change the position of domains within forests. Domains on Windows Server 2000 could not support newer AD updates running in Server 2003.
Windows Server 2008 introduced AD FS. Additionally, Microsoft rebranded the directory for domain management as AD DS, and AD became an umbrella term for the directory-based services it supported.
Windows Server 2016 updated AD DS to improve AD security and migrate AD environments to cloud or hybrid cloud environments. Security updates included the addition of privileged access management (PAM).
PAM monitored access to an object, the type of access granted and what actions the user took. PAM added bastion AD forests to provide an additional secure and isolated forest environment. Windows Server 2016 ended support for devices on Windows Server 2003.
In December 2016, Microsoft released Azure AD Connect to join an on-premises Active Directory system with Azure Active Directory (Azure AD) to enable SSO for Microsoft’s cloud services, such as Office 365. Azure AD Connect works with systems running Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 and Windows Server 2016.
Active Directory versus Workgroup
Workgroup is another Microsoft program that connects Windows machines over a peer-to-peer network. Workgroup allows these machines to share files, internet access, printers and other resources over the network. Peer-to-peer networking removes the need for a server for authentication.
Main competitors to Active Directory
Other directory services on the market that provide similar functionality to AD include Red Hat Directory Server, Apache Directory and OpenLDAP.
Red Hat Directory Server manages user access to multiple systems in Unix environments. Similar to AD, Red Hat Directory Server includes user ID and certificate-based authentication to restrict access to data in the directory.
Apache Directory is an open source project that runs on Java and operates on any LDAP server, including systems on Windows, macOS and Linux. Apache Directory includes a schema browser and an LDAP editor/browser. Apache Directory supports Eclipse plug-ins.
OpenLDAP is a Windows-based open source LDAP directory. OpenLDAP enables users to browse, search and edit objects in an LDAP server. OpenLDAP also features copying, moving and deleting of trees in the directory, as well as enabling schema browsing, password management, LDAP SSL support, and more.