اکتیودایرکتوری یکی از خدماتی است که شرکتهای ارائه دهندهی خدمات شبکه در سبد محصولات خود دارند. این سرویس یکی از مهمترین و پایهایترین چیزهایی است که باید در زیرساخت شبکهی خود داشته باشید. اگر میخواهید با سرویس اکتیودایرکتوری بیشتر آشنا شوید، پست زیر را تا انتها بخوانید تا هیچ شکی در تصمیمتان باقی نماند. هر چند ابتدای متن کمی فنی است، اما حوصله به خرج دهید و مطالب را با دقت بخوانید. سعی کردهام مفاهیم را تا جایی که امکان دارد ساده توضیح دهم.
اکتیودایرکتوری چیست؟
«سرویسهای دامنهی اکتیودایرکتوری»، سرورِ دایرکتوری مایکروسافت است. مکانیزمهای احراز هویت و تعیین سطوح دسترسی در شبکه توسط این سرویس انجام میشود؛ اکتیودایرکتوری از طرفی یک فریمورک و چهارچوب برای سرویسهای مرتبط دیگر است ( مثل سرویسهای گواهی اکتیودایرکتوری، سرویسهای فدراسیون اکتیودایرکتوری و …). اکتیودایرکتوری یک پایگاه دادهی سازگار با LDAP است که شامل اشیاء میباشد. پراستفاده ترین این اشیاء عبارتند از کاربران، کامپیوترها و گروهها. این اشیاء بر مبنای نیاز کسبوکار به واحدهای سازمانی ( OU ) مختلف سازماندهی میشوند. سپس گروپ پالیسیها به این OU ها لینک می شوند تا تنظیمات کاربران و کامپیوترهای مختلف درون سازمان متمرکز شود. گروپ پالیسی ها مجموعهای از تنظیمات هستند که درون یک شیئ یا فایل قرار میگیرند.
وقتی از «اکتیودایرکتوری» نام میبریم، درواقع منظور «سرویسهای دامنهی اکتیودایرکتوری» است. توجه به این نکته ضروری است که اکتیودایرکتوری، نقشها و محصولات دیگری نیز دارد؛ مانند سرویسهای گواهی اکتیودایرکتوری، سرویسهای فدراسیون اکتیودایرکتوری، سرویسهای دایرکتوری سبک، سرویسهای مدیریت حقوق اکتیودایرکتوری و … . ما در این پست روی سرویسهای دامنهی اکتیودایرکتوری متمرکز میشویم.
دامنه چیست؟ فارست چیست؟
فارست یا جنگل یک مرزبندی امنیتی است. اشیای داخل فارستهای جدا از هم نمیتوانند با هم تعامل داشته باشند، مگر اینکه مدیران و ادمینهای هر فارست جدا، بین آنها یک رابطهی اعتماد یا تراست ایجاد کنند. مثلاً اکانت administrator یک سازمان با دامنهی domain1.com که بالاترین دسترسی را در این فارست دارد، هیچ نوعی از دسترسی را در فارست دیگر با دامنهی domain2.comا ندارد؛ حتا اگر هر دوی این فارستها در یک شبکهی محلی یا LAN باشند؛ مگر اینکه بین آنها تراست ایجاد شود.
اگر شما واحدهای سازمانی ناپیوستهای داشته باشید که مرزهای امنیتی جدایی داشته باشند، باید از چند فارست استفاده کنید.
اما دامنه یک مرزبندی مدیریتی است. دامنهها بخشی از فارست هستند. اولین دامنه در یک فارست، دامنهی ریشهی فارست نامیده میشود. در بسیاری از شرکتهای کوچک و متوسط( حتا برخی شرکتهای بزرگ)، فقط یک دامنه در یک فارست وجود دارد. دامنهی ریشهی فارست یک namespace یا فضای نام پیشفرض برای فارست تعریف میکند. مثلاً اگر اولین دامنه در یک فارست جدید domain1.com باشد، همین، دامنهی ریشهی فارست است. حال اگر سازمان شما شعبهای دیگر مثلاً در شهر تبریز داشته باشد، برای آن یک زیردامنه (مثلاً به نام tbrz) تعریف خواهیم کرد که به آن دامنهی child میگوییم. fqdn این شعبه tbrz.domain1.com خواهد بود. میبینید که نام دامنهی child شما به دامنهی ریشهی فارست اضافه شده است.
در بیشتر موارد بهتر است سعی کنید فقط یک دامنهی اکتیودایرکتوری داشته باشید. این کار مدیریت شبکه را سادهتر میکند؛ علاوه بر آن، نسخههای مدرن اکتیودایرکتوری کنترل آنها را بر اساس OU ها بسیار ساده کردهاند که نیاز به دامنهی child را کمتر میکند.
من نام دامنهام را هر چیزی میتوانم بگذارم، درست است؟
نه دقیقاً. هرچند ابزار ارتقای ویندوز سرور به اکتیودایرکتوری خیلی هم باهوش نیست. میتواند اجازه دهد تا تصمیمهای نادرست هم بگیرید. پس اگر به تصمیمتان شک دارید به این قسمت توجه کنید.
اول از همه، از دامنههای سطح بالا (TLD) مثل local , .lan , .corp و مانند اینها استفاده نکنید. این TLD ها رزرو نشدهاند و دامنهها پیوسته در حال فروش هستند. مثلا ممکن است دامنهی mycompany.local که شما انتخاب کردهاید، روزی به فروش برسد و از آنِ فرد دیگری شود. اگر هم مالک دامنهی mycompany.com هستید (مثلا وبسایتتان روی آن قرار گرفته)، تصمیم هوشمندانه این است که برای نام اکتیودایرکتوری داخلی خود چیزی مثل internal.mycompany.com یا ad.mycompany.com را انتخاب کنید. همچنین اگر وبسایتتان روی دامنهی mycompany.com قرار گرفته از آن برای اکتیودایرکتوری داخلی خود استفاده نکنید؛ چون به مشکلاتDNS ی برخورد خواهید کرد.
نگرانیهای در دسترس بودن دامین کنترلر
سروری که اکتیودایرکتوری روی آن نصب میشود و مسئول احراز هویت و تعیین سطوح دسترسی کاربران و کامپیوترهای شرکت است، کنترلکنندهی دامنه یا دامین کنترلر نام دارد. به علت حساسیت وظیفه و شغلی که دارد نیاز است تا همیشه در دسترس باشد. بنابراین برای کوچکترین شرکتها هم توصیه میشود که حداقل دو سرور اکتیودایرکتوری داشته باشند. بهتر است این سرورها روی سرورهای مجازی باشند و خود این سرورهای مجازی نیز در سرورهای فیزیکی جداگانهای باشند تا در صورت بروز مشکل نرمافزاری و سختافزاری در دسترس باشند.
به صورت پیشفرض دامین کنترلرهای یک دامنه، اطلاعات خود را هر ۱۵ ثانیه یک بار با هم همسان میکنند. این باعث میشود که همه چیز نسبتاً به روز باشد.
خب، خیلی پیچیده شد. اصلاً چرا من باید از اکتیودایرکتوری استفاده کنم؟
چون وقتی شما بدانید که دقیقاً چه میکنید، زندگی خیلی بهتر خواهد شد. اکتیودایرکتوری مدیریت کاربران و کامپیوترها و همچنین استفاده و دسترسی به منابع را متمرکز میکند. فرض کنید در شرکت ۵۰ کاربر دارید. اگر قرار باشد هر کاربر بتواند به همه سیستمها لاگین کند، باید روی تمام کامپیوترها ۵۰ کاربر تعریف کنید. با اکتیودایرکتوری شما میتوانید یک نام کاربری ایجاد کنید و کاربر با همین نام کاربری میتواند روی همهی کامپیوترهای دامنه لاگین کند. اگر بخواهید امنیت بیشتری روی سیستمها داشته باشید، باید این کار را ۵۰ بار تکرار کنید. یک جورهایی کابوستان میشود، درست است؟ همچنین تصور کنید که فایلی را میخواهید با نصف افراد به اشتراک بگذارید. اگر از اکتیودایرکتوری استفاده نکنید، یا باید روی سرور برای هر کدام یک یوزرنیم و پسورد بسازید، و یا اینکه یک یوزر مشترک بسازید و پسورد آن را به همه کاربران بدهید. در هر دوی این روشها هیچ گونه نظارت و مدیریتی نمیتوان انجام داد.
همچنین با اکتیودایرکتوری میتوانید از گروپ پالیسی استفاده کنید. گروپ پالیسی مجموعهای از اشیاء است که میتواند به OU ها لینک شود و مجموعه تنظیمات مشترکی را بین کامپیوترها و کاربران این OU اعمال کرد. مثلاً اگر بخواهید دکمهی shutdown روی کامپیوتر ۵۰۰ کاربر وجود نداشته باشد، با یک تنظیم میتوانید این کار را انجام دهید. به جای اینکه ساعتها وقت روی پیکربندی و تنظیمات کارابران و کامپیوترها انجام دهید، یک گروپ پالیسی میسازید، آن را به OU ی مورد نظر لینک میکنید، تنظیمش میکنید و تمام.
باشه فهمیدم؛ شما برای ما چه دارید؟
تجربهی سالها سر و کار داشتن با اکتیودایرکتوری، مدیریت کاربران شبکه، پیکربندی متمرکز کامپیوترها و دیگر سرورها، تعریف دسترسیهای مختلف به فایلها و فولدرهای به اشتراک گذاشته شده، بهترین روشها را در راهاندازی و پشتیبانی اکتیودایرکتوری در اختیار ما قرار داده است. سازماندهی OU ها، ایجاد گروپ پالیسیهای مختلف و منعطف، دسترس پذیری بالای اکتیودایرکتوری و بسیاری از ویژگیهای عملکردی آن از تخصصهای شرکت اورین است. ما شما را در راهاندازی اکتیودایرکتوری و پشتیبانی یک شبکهی متمرکز یاری خواهیم کرد. برای اطلاعات بیشتر و دریافت مشاوره با ما تماس بگیرید.
- برچسب ها:
- دایرکتوریسرویس