اکتیودایرکتوری یکی از خدماتی است که شرکت‌های ارائه دهنده‌ی خدمات شبکه در سبد محصولات خود دارند. این سرویس یکی از مهم‌ترین و پایه‌ای‌ترین چیزهایی است که باید در زیرساخت شبکه‌ی خود داشته باشید. اگر می‌خواهید با سرویس اکتیودایرکتوری بیشتر آشنا شوید، پست زیر را تا انتها بخوانید تا هیچ شکی در تصمیمتان باقی نماند. هر چند ابتدای متن کمی فنی است، اما حوصله به خرج دهید و مطالب را با دقت بخوانید. سعی کرده‌ام مفاهیم را تا جایی که امکان دارد ساده توضیح دهم.

اکتیودایرکتوری چیست؟

«سرویس‌های دامنه‌ی اکتیودایرکتوری»، سرورِ دایرکتوری مایکروسافت است. مکانیزم‌های احراز هویت و تعیین سطوح دسترسی در شبکه توسط این سرویس انجام می‌شود؛ اکتیودایرکتوری از طرفی یک فریمورک و چهارچوب برای سرویس‌های مرتبط دیگر است ( مثل سرویس‌های گواهی اکتیودایرکتوری، سرویس‌های فدراسیون اکتیودایرکتوری و …). اکتیودایرکتوری یک پایگاه داده‌ی سازگار با LDAP است که شامل اشیاء می‌باشد. پراستفاده ترین این اشیاء عبارتند از کاربران، کامپیوترها و گروه‌ها. این اشیاء بر مبنای نیاز کسب‌و‌کار به واحدهای سازمانی ( OU ) مختلف سازماندهی می‌شوند. سپس گروپ پالیسی‌ها به این OU ها لینک می‌ شوند تا تنظیمات کاربران و کامپیوترهای مختلف درون سازمان متمرکز شود. گروپ پالیسی ها مجموعه‌ای از تنظیمات هستند که درون یک شیئ یا فایل قرار می‌گیرند.
وقتی از «اکتیودایرکتوری» نام می‌بریم، در‌واقع منظور «سرویس‌های دامنه‌ی اکتیودایرکتوری» است. توجه به این نکته ضروری است که اکتیودایرکتوری، نقش‌ها و محصولات دیگری نیز دارد؛ مانند سرویس‌های گواهی اکتیودایرکتوری، سرویس‌های فدراسیون اکتیودایرکتوری، سرویس‌های دایرکتوری سبک، سرویس‌های مدیریت حقوق اکتیودایرکتوری و … . ما در این پست روی سرویس‌های دامنه‌‌ی اکتیودایرکتوری متمرکز می‌شویم.

دامنه چیست؟ فارست چیست؟

فارست یا جنگل یک مرزبندی امنیتی است. اشیای داخل فارست‌های جدا از هم نمی‌توانند با هم تعامل داشته باشند، مگر این‌که مدیران و ادمین‌های هر فارست جدا، بین آن‌ها یک رابطه‌ی اعتماد یا تراست ایجاد کنند. مثلاً اکانت administrator یک سازمان با دامنه‌ی domain1.com که بالاترین دسترسی را در این فارست دارد، هیچ نوعی از دسترسی را در فارست دیگر با دامنه‌ی domain2.comا ندارد؛ حتا اگر هر دوی این فارست‌ها در یک شبکه‌ی محلی یا LAN باشند؛ مگر اینکه بین آن‌ها تراست ایجاد شود.
اگر شما واحدهای سازمانی ناپیوسته‌ای داشته باشید که مرزهای امنیتی جدایی داشته باشند، باید از چند فارست استفاده کنید.
اما دامنه یک مرزبندی مدیریتی است. دامنه‌ها بخشی از فارست هستند. اولین دامنه در یک فارست، دامنه‌ی ریشه‌ی فارست نامیده می‌شود. در بسیاری از شرکت‌های کوچک و متوسط( حتا برخی شرکت‌های بزرگ)، فقط یک دامنه در یک فارست وجود دارد. دامنه‌ی ریشه‌ی فارست یک namespace یا فضای نام پیشفرض برای فارست تعریف می‌کند. مثلاً اگر اولین دامنه در یک فارست جدید domain1.com باشد، همین، دامنه‌ی ریشه‌ی فارست است. حال اگر سازمان شما شعبه‌ای دیگر مثلاً در شهر تبریز داشته باشد، برای آن یک زیردامنه (مثلاً به نام tbrz) تعریف خواهیم کرد که به آن دامنه‌ی child می‌گوییم. fqdn این شعبه tbrz.domain1.com خواهد بود. می‌بینید که نام دامنه‌ی child شما به دامنه‌ی ریشه‌ی فارست اضافه شده است.
در بیشتر موارد بهتر است سعی کنید فقط یک دامنه‌ی اکتیودایرکتوری داشته باشید. این کار مدیریت شبکه را ساده‌تر می‌کند؛ علاوه بر آن، نسخه‌های مدرن اکتیودایرکتوری کنترل آن‌ها را بر اساس OU ها بسیار ساده کرده‌اند که نیاز به دامنه‌ی child را کم‌تر می‌کند.
فارست و دامنه اکتیودایرکتوری

من نام دامنه‌ام را هر چیزی می‌توانم بگذارم، درست است؟

نه دقیقاً. هرچند ابزار ارتقای ویندوز سرور به اکتیودایرکتوری خیلی هم باهوش نیست. می‌تواند اجازه دهد تا تصمیم‌های نادرست هم بگیرید. پس اگر به تصمیمتان شک دارید به این قسمت توجه کنید.
اول از همه، از دامنه‌های سطح بالا (TLD) مثل local , .lan , .corp و مانند این‌ها استفاده نکنید. این TLD ها رزرو نشده‌اند و دامنه‌ها پیوسته در حال فروش هستند. مثلا ممکن است دامنه‌ی mycompany.local که شما انتخاب کرده‌اید، روزی به فروش برسد و از آنِ فرد دیگری شود. اگر هم مالک دامنه‌ی mycompany.com هستید (مثلا وبسایتتان روی آن قرار گرفته)، تصمیم هوشمندانه این است که برای نام اکتیودایرکتوری داخلی خود چیزی مثل internal.mycompany.com یا ad.mycompany.com را انتخاب کنید. همچنین اگر وبسایتتان روی دامنه‌‌ی mycompany.com قرار گرفته از آن برای اکتیودایرکتوری داخلی خود استفاده نکنید؛ چون به مشکلاتDNS ی برخورد خواهید کرد.

نگرانی‌های در دسترس بودن دامین کنترلر

سروری که اکتیودایرکتوری روی آن نصب می‌شود و مسئول احراز هویت و تعیین سطوح دسترسی کاربران و کامپیوترهای شرکت است، کنترل‌کننده‌ی دامنه یا دامین کنترلر نام دارد. به علت حساسیت وظیفه و شغلی که دارد نیاز است تا همیشه در دسترس باشد. بنابراین برای کوچک‌ترین شرکت‌ها هم توصیه می‌شود که حداقل دو سرور اکتیودایرکتوری داشته باشند. بهتر است این سرورها روی سرورهای مجازی باشند و خود این سرورهای مجازی نیز در سرورهای فیزیکی جداگانه‌ای باشند تا در صورت بروز مشکل نرم‌افزاری و سخت‌افزاری در دسترس باشند.
به صورت پیشفرض دامین کنترلرهای یک دامنه، اطلاعات خود را هر 15 ثانیه یک بار با هم همسان می‌کنند. این باعث می‌شود که همه چیز نسبتاً به روز باشد.

خب، خیلی پیچیده شد. اصلاً چرا من باید از اکتیودایرکتوری استفاده کنم؟

چون وقتی شما بدانید که دقیقاً چه می‌کنید، زندگی خیلی بهتر خواهد شد. اکتیودایرکتوری مدیریت کاربران و کامپیوترها و همچنین استفاده و دسترسی به منابع را متمرکز می‌کند. فرض کنید در شرکت 50 کاربر دارید. اگر قرار باشد هر کاربر بتواند به همه سیستم‌ها لاگین کند، باید روی تمام کامپیوترها 50 کاربر تعریف کنید. با اکتیودایرکتوری شما می‌توانید یک نام کاربری ایجاد کنید و کاربر با همین نام کاربری می‌تواند روی همه‌ی کامپیوترهای دامنه لاگین کند. اگر بخواهید امنیت بیشتری روی سیستم‌ها داشته باشید، باید این کار را 50 بار تکرار کنید. یک جورهایی کابوستان می‌شود، درست است؟ همچنین تصور کنید که فایلی را می‌خواهید با نصف افراد به اشتراک بگذارید. اگر از اکتیودایرکتوری استفاده نکنید، یا باید روی سرور برای هر کدام یک یوزرنیم و پسورد بسازید، و یا اینکه یک یوزر مشترک بسازید و پسورد آن را به همه کاربران بدهید. در هر دوی این روش‌ها هیچ گونه نظارت و مدیریتی نمی‌توان انجام داد.
همچنین با اکتیودایرکتوری می‌توانید از گروپ پالیسی استفاده کنید. گروپ پالیسی مجموعه‌ای از اشیاء است که می‌تواند به OU ها لینک شود و مجموعه تنظیمات مشترکی را بین کامپیوترها و کاربران این OU اعمال کرد. مثلاً اگر بخواهید دکمه‌ی shutdown روی کامپیوتر 500 کاربر وجود نداشته باشد، با یک تنظیم می‌توانید این کار را انجام دهید. به جای اینکه ساعت‌ها وقت روی پیکربندی و تنظیمات کارابران و کامپیوترها انجام دهید، یک گروپ پالیسی می‌سازید، آن را به OU ی مورد نظر لینک می‌کنید، تنظیمش می‌کنید و تمام.

باشه فهمیدم؛ شما برای ما چه دارید؟

تجربه‌ی سال‌ها سر و کار داشتن با اکتیودایرکتوری، مدیریت کاربران شبکه، پیکربندی متمرکز کامپیوترها و دیگر سرورها، تعریف دسترسی‌های مختلف به فایل‌ها و فولدرهای به اشتراک گذاشته شده، بهترین روش‌ها را در راه‌اندازی و پشتیبانی اکتیودایرکتوری در اختیار ما قرار داده است. سازماندهی OU ها، ایجاد گروپ پالیسی‌های مختلف و منعطف، دسترس پذیری بالای اکتیودایرکتوری و بسیاری از ویژگی‌های عملکردی آن از تخصص‌های شرکت اورین است. ما شما را در راه‌اندازی اکتیودایرکتوری و پشتیبانی یک شبکه‌ی متمرکز یاری خواهیم کرد. برای اطلاعات بیشتر و دریافت مشاوره با ما تماس بگیرید.