آشنایی با ساختار اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸

کتابچه کاملی درباره ویندوز سرور ۲۰۰۸ که با تصاویر و توضیحات کامل آماده استفاده می باشد. این مجموعه شامل ۱۱۱ صفحه است که برای سهولت در استفاده به صورت WORD و PDF برای دانلود آماده شده است . هم اکنون در ادامه به بخشی از متن توجه بفرمایید.

یک سرویس  دایرکتوری تقریبا مشابه یک دیتابیس است. در یک دایرکتوری اشیائی که به نوعی مرتبط اند، ذخیره می شوند و از طریق صفاتشان قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده می شود. در سرویس دایرکتوری اطلاعات به صورت سلسه مراتبی نگه داری می شود همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگه داری می کند. با توجه به ارتباط میان اشیاء، دسترسی از طریق صفات و نگه داری تمامی اطلاعات لازم، مدیریت اطلاعات مرکزی و آسان تر می شود.

در شبکه های گوناگون همانند اینترنت، اشیاء مختلفی با استفاده از سرویس دایرکتوری نگه داری می شوند. سرویس هایی همانند فایل سرور ها و فکس سرور ها از دایرکتوری بهره می برند. اما عمکرد یک سرویس دایرکتوری در سرویس های مختلف، متفاوت است. با توجه به اهمیت این سرویس، باید مکانیسم های امنیتی و مدیریتی دیگر برای یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکل ها و سرویس های جانبی دیگر نیز استفاده شود.

 Active Directory Domain Service – AD DS :

سرویس دامین اکتیو دایرکتوری ، موجود در ویندوز نسخ سرور، شامل یک سرویس دایرکتوری است که اطلاعاتی همچون منابع و… را ذخیره می کند. اشیاء مختلفی در اکتیو دایرکتوری ذخیره می شود که به صورت اشیائی متفاوت سازمان می یابد. هر شیئ مجموعه مجزایی از صفات است که اشیائی از شبکه را مشخص می کند. به عنوان مثال یک User Account می تواند شامل ویژگی هایی همچون نام، نام خانوادگی و نام Logon باشد. در حالی که یک Computer Account شامل ویژگی های همچون نام و مشخصات می تواند باشد. بنابراین ضمن تفاوت اشیاء ویژگی ها متفاوت است و مشخص کننده اشیاء مختلفی از شبکه هستند. با بیان دقیق تر می توان گفت : هر داده ای که در Active Directory ذخیره می شود، به صورت اشیائی متمایز و دارای صفاتی جداگانه ذخیره می شود. برخی اشیاء خود می توانند شامل اشیائی دیگر باشند که با آنها Container گفته می شود به عنوان مثال یک دامین، یک Container است که خود شامل اشیائی دیگر همانند کامپیوتر ها یا کاربران می تواند باشد.

Active Directory Schema :

Active Directory schema معین کننده اشیائی است که می تواند در اکتیو دایرکتوری ذخیره شوند. Schema لیستی از انواع اشیاء و انواع داده های مربوط به آن اشیاء است، که می تواند در اکتیو دایرکتوری ذخیره شود. هر Schema به وسیله دو شیئ معین می شود:

۱٫ schema class objects که schema classes نیز گفته می شود: مشخص کننده اشیائی است که امکان ساخت آن در اکتیو دایرکتوری وجود دارد.

۲٫ schema attribute objects که schema attributes نیز گفته می شود. مشخص کننده ی ویژگی کلاس هایی است که عضو شده اند.

این دو شیئ با هم دیگر، metadata گفته می شوند.

یک schema class در واقع یک قالبی برای ساختن اشیاء جدید در اکتیو دایرکتوری است. هر schema class جمعی از schema attributes  است که در زمان ساخت یک شیئ جدید، مقادیر ویژگی ها تغییر پیدا می کند به عنوان مثال یک کلاس User شامل ویژگی ها مختلفی است همانند Home Folder . بدیهی است که هر schema attribute نیز صرفا معین کننده ی یک ویژگی از ویژگی های شیئ است. چندین ویژگی و کلاس مختلف به صورت پیش فرض Schema وجود دارد. امکان افزودن کلاس و ویژگی جدیدی که وجود ندارد، نیز وجود دارد. با توجه به آنکه یک Schema نمی تواند حذف شود، (فقط می تواند غیر فعال شود) باید در توسعه دادن Schema بسیار دقت شود.

اجزای Active Directory :

احزای مختلفی در اکتیو دایرکتوری نفش دارند. این اجزاء فیزیکی یا منطقی هستند به این سبب، اکتیو دایرکتوری دارای ساختار فیزیکی و منطقی است.

ساختار منطقی:

اشیاء را به صورت یک ساختار منطقی سازمان دهی می شوند. ساختار منطقی از روی ساختار واقعی منعکس می شود. این سماندهی منطقی اشیاء، سبب می شود تا بدون توجه به محل فیزیکی اشیاء به مدیریت بپردازیم. همچنین با دانستن ویژگی یا نام اشیاء می توانیم در ساختار منطقی به آن ها دست پیدا کنیم و یا آن را جستجو کنیم. اجزاء مختلفی در ساختار منطقی نفش ایفا می کنند که عبارتند از:

۱٫ دامین (Domain  دامنه):

هسته و رکن اصلی ساختار منطقی دامین است. همانطور که گفته شده بود دامین خود یک Container است و می تواند شامل اشیاء دیگر باشد. اشیائی که در یک دامین قرار می گیرند برای یک شبکه حیاتی هستند. این اشیاء می تواند شامل پرینترها، کامپیوتر ها، آدرس ایمیل ها، کاربران و دیگر منابع باشد. اکتیو دایرکتوری می تواند شامل یک دامین یا بیشتر باشد. همچنین یک دامین می تواند دارای یک یا چند مکان فیزیکی باشد. هر دامین دارای دو مشخصه بارز است:

۱٫ تمام اشیاء شبکه در یک دامین قرار دارند و هر دامین تنها اطلاعات مربوط به خود را دارا است.

۲٫ یک دامین، یک محدوده امنیتی است. دسترسی به اشیاء دامین ها از طریق ACL ( لیست کنترل دسترسی – Access Control List) امکان پذیر می شود. در واقع تنها اشیائی قابلیت دسترسی دارند که در ACL موجود و دارای یک ACE باشند. این لیست مشخص می کند که کدام کاربر و در چه سطحی به دسترسی دارد.ACE کوتاه شده ی Access Control List است.

۲٫ واحد های سازمان ( OU – Organization Unites ):

OU هم یک Container است که اشیاء موجود در دامین به گروه های کوچکتری تقسیم می کند. می توان OU ها را جداگانه مدیریت کرد و برای آن ها قوانین و ضوابط جدا از قوانین دامین وضع کرد. OU ها هم می توانند شامل اشیائی دیگر همانند کاربر، کامپیوتر، چاپگر و یا یک Ou دیگر باشند. از آنجایی که یک OU قسمت کوچکی از شبکه است می توان مدیریت یک OU را به عهده فرد دیگری گذاشت و بر آن نظارت کرد. یک بخش از یک سازمان را معمولا در یک OU قرار می دهیم تا راحت تر مدیریت کنیم. هر چند استفاده از OU ها چندان الزام آور نیست، اما عدم استفاده از OU ها در شبکه های متوسط و بزرگتر از آن سبب بروز مشکلات فروانی خواهد شد.

۳٫درخت ها (Tree) :

یک درخت، گروهی از دامین ها است که از طریق ایجاد یک فرزند به وجود می آید. دامنه های در یک درخت دارای یک فضای نامی پیوسته هستند به این معنا که اسم والدین به فرزندان اضافه می شود. از آنجایی که اسامی در اکتیو دایرکتوری دامین سرویس وابسته به DNS است، بدیهی است از نام یک دامین فرزند ترکیبی از نام خود و نام تمام والدین خود است. به مثال تصویری زیر توجه کنید:

۴٫ جنگل ها (Forest) :

یک جنگل، گروهی از درخت های جداگانه است. در یک جنگل درخت ها با توجه به دامنه هایشان دارای ساختار نامی متفاوت اند و تمام درخت ها در یک جنگل مستقل عمل می کنند. تمامی دامین ها در یک جنگل از یک Schema عمومی استفاده می کنند.

ساختار فیزیکی:

۱٫سایت (Site) :

یک سایت مجموعه یک یا چند Subnet است که به وسیله لینک مطمئن ارتباطش ایجاد شده. برای کاهش ترافیک و… در یک شبکه اقدام به ایجاد چند سایت مختلف می کنیم. در واقع سایت ها از لحاظ فیزیکی متفاوت اند. به عنوان مثال سایت تهران، سایت کالیفرنیا و سایت توکیو می تواند سایت های فیزیکی یک دامین باشد. همچنین در وسعت کمتر، سایت ساختمان شمالی و ساختمان جنوبی یا سایت طبقه اول و سایت طبقه دوم مثال هایی از سایت های مختلف در یک دامین است. در بین سایت راهکارهای خاص ارتباطی می توان در نظر گرفت که در آینده صحبت می شود. یک سایت می تواند شامل قسمتی از یک دامنه، یک دامنه یا چند دامنه باشد.

معمولا یک سایت به یک LAN پایان می پذیرد و از طریق یک MAN یا WAN به سایت دیگری متصل می شود هر چند الزاما چنین نیست. زمانی که سایت ها قسمتی از فضای نامی نباشد، در استفاده از منابع گروه بندی اجزاء را گروه بندی دامین، فرزند-دامین و… مشاهده خواهید کرد و در مشاهده منابع وجود سایت ها را ممکن است احساس نکنید. در آینده در خصوص سایت ها با تفصیل صحبت خواهد شد.

۲٫دامین کنترلر (Domain Controller – DC):

دامین کنترلر یک کامپیوتری است که ویندوز نسخه سرور روی آن نصب شده است و Active Directory Domain Service روی آن در حال اجرا است. هر دامین کنترلر فقط می تواند یک دامین را سرویس دهد ولی هر دامین می تواند شامل تعدادی دامین کنترلر باشد. وظیفه ی شناسایی کاربران بر عهده Domain Controller ها است و به صورت مرکزی انجام می شود که در این خصوص در آینده بیشتر صحبت می شود.

هر دامین کنترلر یک کپی کامل از اطلاعات موجود در اکتیو دایرکتوری را نگه داری می کند. همچنین تغییرات خود را با سایر دامین کنترلرها Replicate می کند. در خصوص replication نیز در آینده صحبت می شود.

 

پیش نیاز های نصب اکتیو دایرکتوری

  از آنجایی که بر اساس آمار در کشور آمریکا مدیران شبکه با تجربه در زمینه شبکه یک یا دو بار در محیط واقعی اکتیو دایرکتوری را در تمام طول عمر خود نصب کرده اند، احتمالا برای مدیران تازه کار هیچ گاه فرصت نصب اکتیو دایرکتوری در محیط واقعی پیش نیاید. من در اینجا بسیار به این مسئله اکتیو دایرکتوری بسیار توجه می کنم، تا مدیران ایرانی هم بتوانند مرجع مناسب و به روزی در این خصوص داشته باشند.

  در این مقاله قصد دارم تا پیش نیاز های لازم برای نصب این سرویس مهم در ویندوز ۲۰۰۸ را مورد بررسی قرار بدهم، در مقالات بعدی در خصوص نصب این سرویس بسیار صحبت خواهد شد.

 همچنین توصیه می کنم مقاله نیاز های سخت افزاری نصب اکتیو دایرکتوری برای یک دامین برنامه ریزی شده

 بخوانید.

  
  ابتدا نگاهی سریع به آنچه باید آماده کنیم را ذکر می کنم:

۱) حداقل یک پارتیشن NTFS با فضای خالی مناسب

۲) یک اشتراک کاربری مدیر (نام کاربری و کلمه عبور) در ویندوز سرور ۲۰۰۸

۳) کارت شبکه متصل به شبکه (به یک سوییچ، هاب hub و یا یک کامپیوتر دیگر) و IP ثابت

۴) یک DNS Server که می تواند و در برخی موارد توصیه می شود با خود نصب DC و DCpromo نصب شود.

۵) دور اندیشی و برنامه ریزی و…

۱) حداقل یک پارتیشن NTFS با فضای خالی مناسب:convert c:/fs:ntfs

 معمولا به ۲۵۰ مگابایت (۲۵۰MB) فضای خالی روی پارتیشنی که روی آن فایل های اکتیودایرکتوری قرار می گیرند نیاز است. توجه داشته باشید که این فضا زمانی که از Object ها، Users و Group های بسیاری استفاده کنید بیشتر نیاز است. ضمن انکه در آینده خواهید دید، اکیدا توصیه می شود در صورت امکان برخی فایل ها را روی دو هارد دیسک ذخیره کنید.

۲) یک اشتراک کاربری مدیر (نام کاربری و کلمه عبور) در ویندوز سرور ۲۰۰۸ :

 به یاد داشته باشید که فقط local Administrators می توانند اولین دامین را در یک جنگل جدید ایجاد کنند و سایر سناریوها مثل Additional Domain Controller (دامین کنترلر اضافی) به Domain Admins و در سناریوی دامین جدید در درخت موجود به Enterprise Admins نیاز است.
همچنین به ورژن مناسب ویندوز توجه کنید، در اینجا ورژن های 
Standard ، Enterprise  یا Data Center کارا خواهند بود. در خصوص نصب اکتیودایرکتوری در Windows Server 2008 Core با توجه به عدم دسترسی به هیچ GUI در این حالب قدری متفاوت است و در آینده بیشتر در خصوص آن صحبت می کنیم. البته مقاله “نصب اکتیودارکتوری به صورت غیر حضوری Unattended ” می تواند قدری به شما در این مورد کمک کند.

۳) کارت شبکه متصل به شبکه (به یک سوییچ، هاب hub و یا یک کامپیوتر دیگر) و IP ثابت :

سرور ضمن داشتن حداقل یک اتصال به حداقل یک شبکه ، باید دارای IP Address به صورت Static هم باشد. برای این منظور چنانچه یک DHCP Server در شبکه دارید، ابتدا حدودیی (Scope) که DHCP Server در آن IP اختصاص می دهد را بررسی کنید و سپس با یافتن یک IP که معمولا در زمان تنطیمات DHCP Server ، برای رشد شبکه و اختصاص به سرور ها رزرو می شود، این آدرس را به صورت دستی به سرور اختصاص دهید. در ضمن چنانچه در DHCP Sever در شبکه استفاده نمی شود ( که عجیب است!!!) به صورت دستی IP ها را در یک Subnet مناسب قرار دهید. معمولا از کلاس C برای اختصاص IP در شبکه های کوچک استفاده می شود. همچنین اگر با IP آشنایی ندارید مقاله “آشنایی اولیه با IP” را بخوانید. چنانچه در زمان نصب اکتیودایرکتوری این شرایط را فراهم نیاورید با پیغام زیر مواجه خواهید شد.

۴) یک DNS Server که می تواند و در برخی موارد توصیه می شود با خود نصب DC و DCpromo

نصب شود :

 من در خصوص نصب DNS Server در زمان نصب اکتیودایرکتوری (Active Directory) در ویندوز ۲۰۰۳ سرور توصیه کرده بودم که ” به صورت دستی و پیش از نصب Active Directory این کار را انجام دهید. اما در ویندوز سرور ۲۰۰۸ به شما توصیه می کنم، چنانچه اولین دامین در یک درخت جدید را ایجاد می کنید، اجازه دهید تا این کار خودکار انجام شود.

اسامی یک قسمتی در DNS Name مشکل ساز خواهند شد:

 مایکروسافت اکیدا توصیه می کند تا از اسامی یک قسمتی مثل ( com، Net،Example،ErfanTaheri) استفاده نکنید. همچنین به شما توصیه می کنم که از پسوند local برای تاکید جدایی از وب سایت شرکتتان روی اینترنت استفاده کنید. این مسئله خود باعث جلوگیری از برخی مشکلات( هرچند مشکلات ابتدایی هستند) می شود. مثلا از ErfanTaheri.local و یا Example.local استفاده کنید. البته بسیاری واژه local را در انتهای اسم دامینشان نمی پسندند.

۵) دور اندیشی و برنامه ریزی :

 رشد شبکه، مقاومت در برابر خطا و صدها فاکتور دیگر را پیش از نصب اکتیو دایرکتوری در محیط واقعی باید در نظر بگیرید. اشتباهات شما سبب به دردسر افتادن شرکت ها و کارمندان می شود. ضمن آنکه ممکن است عواقبی برای خودتان داشته باشد ، می تواند زیان های مالی و یا معنویی به شرکت ها وارد کند. پس باید در این مرحله بسیار اندیشید و یک طرح و برنامه ریزی دقیق داشت. اکتیو داریکتوری اصلی ترین سرویس در یک شبکه هست و اکثر سرویس های دیگر متاثر از این سرویس خواهند بود.
همچنین برای نصب 
Active Directory در میحط واقعی باید دارای تجربه و دانش کافی باشید.

© استفاده از مطالب تنها با ذکر لینک یا آدرس پورت ۸۰ مجاز است.

 شاید گفتن این مطلب دیگر الزامی نباشد چرا که دیگر اغلب از فایل سیستم NTFS استفاده می شود، اما بر حسب عادت از گذشته و احتمال وجود چنین مسئله این را متذکر می شوم. فلدر SYSVOL باید در یک پارتیشن با فایل سیستم NTFS قرار گیرد. به صورت معمول در %systemdrive% که اغلب C هست قرار می گیرد. حال انکه بسیار بهتر است در یک پارتیشن دیگر قرار گیرد. چنانچه یک پارتیشن NTFS ندارید، از دستور زیر برای تبدیل یکی از پارتیشن ها به NTFS استفاده کنید.
توصیه: فایل سیستم NTFS از سایر فایل سیستم ها بسیار کارا تر است، اگر محدودیتی ندارید حتما از NTFS استفاده کنید.

ویژگی های جدید اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸

زمانی که سرویس اکتیو دایرکتوری “Active Directory” با ارائه ویندوز ۲۰۰۰ معرفی شد، یه سرعت یکی از پر کاربرد ترین سرویس ها در شبکه ها شد.  اکتیو دایرکتوری توسعه های بسیار زیادی را از ویندوز ۲۰۰۰ تا کنون پشت سر گذاشته و امروزه حتی شرکت های کوچک با توجه به هزینه های بسیار استفاده از اکتیو دایرکتوری ترجیح می دهند که از این سرویس استفاده کنند.

با انتشار اکتیو دایرکتوری ویندوز سرور ۲۰۰۳ مایکروسافت امکان یکپارچگی با سایر سرویس ها در شبکه را ایجاد کرد و در واقع به نحوی (هر چند ابتدایی) تمام سرویس ها در کنار یک دیگر کار می کردند. همچنین سرویس های Active Directory Federation Services به اختصار ADFS و Active Directory Applications Mode به اختصار ADAM و بسیاری موارد دیگر معرفی شدند که رشد بسیار چشمگیری برای اکتیو دایرکتوری “Active Directory” محسوب می شود.

اما در ویندوز سرور ۲۰۰۸ :

در ویندوز سرور ۲۰۰۸ ادامه یکپارچگی با سایر سرویس ها را می توان مشاهده کرد. ضمن آنکه Roleمتعددی که مربوط به اکتیو دایرکتوری می شود را می توان دید. در اینجا قصد داریم این Role “نقش ها” را مورد بررسی قرار دهیم.

الف) Active Directory Domain Services – AD DS :
AD DS نام جدید Active Directory Services است که مشابه قبل سرویس های ابتدایی Active Directory را شامل می شود. در این خصوص چهار مورد بهبود چشمگیر وجود دارد.

۱)Read-only domain controllers – RODC : باعث ایجاد یک امنیت قدرتمند و قابل اطمینان در یک محیط نا امن می شود. یک دامین کنترلر فقط خواندنی باید از روی یک دامین کنترلر نوشتنی replicate شود. بدیهی است که در RODC تغییرات نمی تواند اعمال شود و در واقع می توان چنین تصور کرد که user credentials در آن ها ذخیره می شوند.

۲)توسعه Auditing ” بازبینی ” : با دسته بندی وقایع “Event” در چهار دسته مختلف امکان بازبینی بسیار راحت تر شده. این دسته ها عبارت اند از : Directory Service Access ، Directory Service Changes ، Directory Service Replication و Detailed Directory Service Replication .

۳) Granular password and account lockout policies : دامین ها دیگر محدود به یک سیاست کلمه عبور و تحریم کاربر نیستند. می توان برای هر گروهی یا کاربری سیاست خاص اعمال کرد.

۴) Restartable AD DS : عملیات نگه داری را می توانید بسیار راحت تر انجام دهید. در گذشته لازم بود تا سرور را ریستارت کنید و در  Directory Services Restore Mode بوت کنید. اما اکنون به راحتی می توانید سرویس را Stop که باعث کاهش Downtime می شود.

ب) Active Directory Certificate Services – AD CS :
فکر می کنم هر چقدر از مزایایی این مورد بگویم باز هم کم گفتم. من فقط پنج مزیت چشمگیر را ذکر می کنم:

۱بهبود های Certificate Web enrollment support : استفاده از ActiveX control برای Web enrollment جایگزین کنترلر COM شده است. به عبارت دیگر XEnroll.dll جایگزین CertEnroll.dll شده است که باعص مدیریت آسان تر و امنیت فراتر می شود.

۲) Network device enrollment support

۳)Online certificate status protocol (OCSP) support  : که OCSP ابتدا وضعیت revocation تصدیق نامه را چک می کند.

۴) Enterprise PKI – PKIView :  این ابزار جدید بیشتر نام جدیدی برای PKI Health است با این تفاوت که می تواند در MMC به صورت snap-in استفاده شود. برای مانیتور کردن Certificate Authority کاربرد دارد.

۵) CAPI2 Diagnostics

ج) Active Directory Lightweight Directory Services – AD LDS :

AD LDS تغییر نام یافته ADAM است. در واقع AD LDS یک ورژن کوچک شده AD DS است که برای کاربرد Active Directory در برخی نرم افزار ها ساخته شده. بسیاری از نرم افزار های

Customer Relationship Management که به اختصار CRM گفته می شود از Active Directory برای ذخیره سازی برخی موارد همانند کاربری ها استفاده می کنند. با AD LDS می توان بدون تغییراتی در مدیریت شبکه امکان کار با این نوع نرم افزار ها را ایجاد کرد.در این خصوص در آینده بسیار صحبت خواهد شد.

د) Active Directory Federation Services – AD FS :

AD FS به شرکت ها اجازه می دهد تا از اشتراک کاربری های دیگر در دایرکتوری خود استفاده کنند. در این خصوص در آینده بسیار صحبت خواهد شد. دو بهبود در این قسمت بسیار چشمگیر است:

۱پشتیبانی از Federation trust import/export : در گذشته فرایند وارد/ خارج کردن اطلاعات باید دستی صورت می گرفت اما اکنون علاوه بر امکان دستی، می توان بین دو AD FS این فرآیند می تواند ساده تر صورت گیرد.

۲) AD FS deployment limiting  :  امکان محدود کردن ایجاد AD FS از طریق group policy .

ه) Active Directory Rights Management Services – AD RMS :

هر چند اسم این ویژگی تغییر پیدا نکرده اما واقعا با قبل غیر قابل مقایسه است. اکنون می توان با  AD RMS ، آفیس ۲۰۰۷ و اینترنت اکسپلورر ۷ را نیز مدیریت کرد.

در پایان:
از انعطاف پذیری Active Directory در ویندوز سرور ۲۰۰۸ لذت ببرید و راحت مدیریت کنید.

نصب اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸ ( تصویری )

فاز اول:

۱) ابتدا Server Manager را باز کنید. در منوی شروع “Start” آن را به راحتی می توانید ببینید، ضمن آنکه به صورت پیش فرض هر زمان که Login کنید بار می شود.

۲)قسمت Roles را از ساختار درختی سمت چپ انتخاب کنید و سپس در سمت راست Add Roles را بزنید.

مشاهده و دانلود مقاله کامل

 

 

بارگذاری بیشتر مطالب مرتبط
بارگذاری در کافه تحقیق

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

بررسی

پاورپوینت الکتروشوک (دفیبریلاتور)

پاورپوینت الکتروشوک (دفیبریلاتور) شامل ۱۷ اسلاید قابل ویرایش بهمراه توضیحات کامل درباره ال…