
سرویس های اکتیودایرکتوری
در جلسه پیش به «آموزش نصب اکتیو دایرکتوری» پرداختیم؛ اکتیو دایرکتوری نخستین و ابتدایی ترین چیزی است که برای یک شبکه تحت ویندوز سرور نیاز است. اکنون به معرفی سرویس های آن می پردازیم.
Active Directory Domain Services و سرویس های مرتبط آن، پیش نیاز و شکل دهندهی شبکه های Enterprise بر اساس Microsoft Windows است. ADDS و سرویس های مشابه اطلاعاتی در مورد کاربران، کامپیوترها و سرویس های شبکه را نگهداری میکنند.
این سرویس ها مکانیسمی برای (Authenticate شناسایی تشخیص هویت شدن) موارد ذکر شده را جهت دسترسی به منابع شبکه فراهم می آورند
در مهندسی نرم افزار ، Directory یک راه حل هدایت کردن نام به مقدار است. به عنوان یک مثال ساده، میتوان یک فرهنگ لغت را یک دایرکتوری در نظر گرفت که در آن معنای یک لغت (اسم) به معانی واژه (مقدار) مربوط شده است. در یک دفترچه تلفن، اسامی اشخاص (نام-گره) به شماره تلفن های آن ها (مقدار-اطلاعات) مرتبط میشود و در DNS، نام DNS به IP address ها مرتبط می شوند. به عبارت دیگر میتوان گفت یک سرویس دایرکتوری تقریبا مشابه یک دیتابیس است.
در یک دایرکتوری اشیائی که به نوعی مرتبط اند، ذخیره می شوند و از طریق صفاتشان قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده میشود. در سرویس دایرکتوری اطلاعات به صورت سلسه مراتبی نگهداری میشود همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگهداری میکند. با توجه به ارتباط میان اشیاء ، دسترسی از طریق صفات و نگهداری تمامی اطلاعات لازم، مدیریت اطلاعات مرکزی و آسان تر میشود. بدیهی است عمکرد سرویس های دایرکتوری که در سرویس های مختلف استفاده می گردد، متفاوت است.
با توجه به اهمیت این سرویس، باید مکانیسم های امنیتی و مدیریتی دیگر برای اثر بخشی، یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکلها و سرویس های دیگری نیز در کنار سرویس دایرکتوری استفاده شود.
در اینجا Directory Services عاملی برای Identity and Access یا IDA را فراهم می آورد. راهکار های IDA، راهکارهایی هستند که به سازمان ها کمک میکنند تا کاربرانشان را مدیریت کنند و حقوق دسترسی آن ها به منابع را معین کنند. مایکروسافت مجموعهای از راهکار های مختلف را جهت IDA ارائه میدهد که مشهورترین آن ها Active Directory Domain Services است. اکتیو دایرکتوری دامین سرویس در ۱۹۹۹ دیده شد و برای اولین بار همراه با ویندوز ۲۰۰۰ ارائه شد. پیش تر مایکروسافت نام NTDS را برای این سرویس انتخاب کرده بود.
یک IDA باید بتواند:
۱- ذخیره سازی اطلاعات: کاربران، گروهها، کامپیوترها، وسایل سخت افزاری تحت شبکه و سایر هویت های لازم در مفهوم جامع، هویت به هر شیئی فیزیکی یا منطقی که در شبکه نقش ایفا کند گفته میشود. بنابراین یکی از اجزای IDA باید محلی برای ذخیره سازی اطلاعات باشد که به آن Identity Store گفته میشود. Identity Storeدر اینجا همان Directory است. این دایرکتوری روی سرورهایی در شبکه نگهداری میشود که آن ها وظیفه اجرای AD DS را بر عهد دارند. به این سرورها، دامین کنترلر گفته میشود. در محیط اکتیودایرکتوری گاهی، به دامین کنترلر ها به اختصار “سرور” گفته شود و سایر رول های سروری به صورت کامل گفته شود همانند DNS سرور.
۲- تشخیص هویت: سرور به کاربر یا هر هویت دیگری اجازه نمیدهد به منابع شبکه دسترسی پیدا کند مگر آنکه آن هویت تشخیص هویت شود. اطلاعاتی که توسط کاربر یا هر هویت دیگری به سرور داده میشود با دایرکتوری مقایسه میشود و در صورت داشتن مجوز جهت دسترسی به آن Resource (منابع – همانند فایل) هویت میتواند دسترسی پیدا کند.
۳-کنترل دسترسی: پس از تشخیص هویت میزان دسترسی هویت باید باید معین گردد.
۴- روش های بازبینی: سازمان باید بتواند تغییرات و فعالیت هایی که در استفاده از IDA صورت میگیرد را بازبینی و مانیتور کند، بنابراین IDA باید مکانیسمی برایAuditing (بازبینی وقایع) داشته باشد.
از مسیر زیر اکتیو دایرکتوری را باز کنید:
Start → Administrative Tools → Active Directory Domain & User
در این صفحه (اکتیو دایرکتوری) بخش های زیر را خواهید دید که توضیح مفصل آن در جلسات بعد نوشته خواهد شد.
۱- Builtin: در این قسمت یک سری گروه است که به صورت پیش فرض در اکتیو دایرکتوری ساخته شده است.
۲- Computers: در این قسمت نام computer هایی که join دامین شده اند را نشان میدهد.
۳- Domain Controllers: در این قسمت نام DC هایی که در درخت یا جنگل ما وجود دارد نشان داده میشود.
۴- Users: در این قسمت نام یوزرهایی که شبکه تعریف شدهاند نشان داده میشود.