Introduction
اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری اطلاعات مربوط به اشیاء شبکه را ذخیره و با ارائه یک ساختار سلسله مراتبی، زمینه سازماندهی دامنه ها و منابع را به سادگی فراهم می نماید. آموزش اکتیو دایرکتوری بر شناخت سرویس اکتیو دایرکتوری و اجزاء مرتبط با آن، به همراه توصیفی از سرویس های یکپارچه :با اکتیودایرکتوری تمرکز دارد که شامل موارد زیر می باشد:
● شناخت اکتیو دایرکتوری و سرویس های مرتبط با آن
● توصیف نقش Active Directory Domain Services در ویندوز سرور
● عملکردها و مزایای مرتبط با اکتیو دایرکتوری
● شناسایی اجزاء محیط اکتیودایرکتوری شامل جنگل ها، سایت ها، دامنه ها، درخت های دامنه و واحدهای سازمانی
● طراحی ساختار فیزیکی و منطقی شبکه اکتیو دایرکتوری
● کار با استانداردهای نام گذاری اکتیودایرکتوری و اهمیت آن برای یک عملکرد مناسب
● شناسایی و ارزیابی دامنه اکتیو دایرکتوری و استفاده از سطوح عملکرد آن بر اساس نیازمندی های سازمان
● آشنایی با انواع مدل های ارتباطی مورد اطمینان در محیط شبکه
 
Domain Services
 Active Directory Domain Services
سرویس  AD DS، Active Directory Domain Services در ویندوز سرور شامل یک سرویس دایرکتوری است که احراز هویت متمرکز را برای شبکه های مایکروسافت فراهم می آورد. برخی مزایای این سرویس عبارتند از: ساختار سازمانی به صورت سلسله مراتبی، تشخیص هویت multimaster (توانایی دسترسی و تغییر از چندین نقطه مدیریتی) جهت ایجاد قدرت تحمل خطای بیشتر و افزایش آن، دسترسی به منابع شبکه از یک مکان واحد، قابلیت برقراری ارتباطات مطمئن با شبکه های خارجی که از نسخه های قبلی اکتیودایرکتوری، حتی از سیستم عامل unix استفاده می کنند.
ویندوز سرور از ویژگی های جدیدی جهت بهبود اکتیودایرکتوری استفاده می کند که بعضی از آن ها عبارتند از:
دامین کنترلر فقط خواندنی، سیاست های رمزنگاری جزئی، واسط گرافیکی بهبود یافته، بهبود عملیات اصلاح و پاک کردن اکتیو دایرکتوری، راه اندازی و متوقف نمودن آن به صورت یک سرویس بدون نیاز به راه اندازی کامل دامین کنترلر عملیات غیرمجاز مربوط به نصب کامل این سیستم عامل سرور را کاهش می دهد.
 
Understanding of Active Directory
شناخت فواید و عملکردهای اکتیو دایرکتوری
مایکروسافت سرویس اکتیودایرکتوری را در ویندوز سرور 2000 به منظور مخزن اصلی برای اطلاعاتی نظیر کاربران، کامپیوترها، سرویس ها و دیگر منابع روی شبکه مایکروسافت معرفی نمود. اگرچه در نسخه های بعدی اکتیودایرکتوری در ویندوز سرور 2003 و ویندوز سرور 2008 و 2012 عملکردها و ویژگی های امنیتی جدیدی معرفی شده اند، ولی در بقیه سرویس های اساسی، مشابه یکدیگر می باشند و عملیات احراز هویت (Authentication) متمرکز و اجازه دسترسی برای سازمان های کوچک و بزرگ را فراهم می نمایند.
سرویس دایرکتوری، تقریباً مشابه یک پایگاه داده است. در دایرکتوری، اشیائی که به نوعی به یکدیگر مرتبط می باشند، ذخیره می گردند و از طریق صفات آن ها قابل دسترس می باشند. در سرویس دایرکتوری، تمامی اطلاعات لازم به صورت سلسله مراتبی نگهداری می شوند. با توجه به ارتباط میان اشیاء و دسترسی از طریق صفات و نگهداری تمامی اطلاعات لازم، مدیریت اطلاعات، متمرکز و آسان تر می شود. سرویس دایرکتوری اجازه معرفی، مدیریت، دسترسی و ایمن سازی منابغ شبکه از جمله فایل ها، چاپگرها، کاربران و برنامه های کاربردی را می دهد. بدون سرویس دایرکتوری، یک سازمان به سختی می تواند سرعت تقاضاهای خود را باسرعت تبادل داده های خویش همگام سازی نماید با رشد شبکه های یکپارچه، اهمیت و پیچیدگی آن نیز رشد می نماید. به همین دلیل، شرکت های تجاری هر چه بیشتر نیازمند تسهیل و خودگارسازی امور می باشند. با توجه به اهمیت این سرویس، باید مکانیزم های امنیتی و مدیریتی دیگری به منظور یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکل ها و سرویس های جانبی دیگر نیز استفاده گردد.
مایکروسافت در ویندوز سرور از دو نقش مجزا جهت ارائه سرویس های دایرکتوری استفاده می نماید:
●Active Directory Domain Services یا AD DS، یک سرویس دایرکتوری کامل جامع را ارائه می کند که به عنوان اکتیودایرکتوری در ویندوز 2000 و ویندوز سروز 2003 شناخته می شود. اشیاء مختلفی در اکتیو دایرکتوری ذخیره می شوند و هر شیء مجموعه مجزایی از صفات است که اشیائی از شبکه را مشخص می نماید. به عنوان مثال یک حساب کاربری (User Account) می تواند شامل ویژگی هایی همچون نام، نام خانوادگی و کلمه عبور باشد.
●Active Directory Lightweight Directory Services یا AD LDS، همانطور که از اسم این سرویس مشخص است سرویسی کوچک شده از سرویس  AD DS است و مهمترین وظیفه آن پشتیبانی از نرم افزارهایی است که به سرویس دایرکتوری برای فعالیت خود نیازمند می باشند. AD LDS بدون اینکه باری اضافه بر سرویس جامع و کامل AD DS وارد نماید، یک پلت فرم قابل انعطاف و سبک را فراهم می نماید، که برای توسعه اکتیو دایرکتوری قابل استفاده است. برای مثال، توسعه دهنده برنامه های کاربردی ممکن است از AD LDS برای ایجاد یک فهرست از تصاویر کارمندان که با AD DS یکپارچه می باشد، استفاده کند، بدون اینکه نیاز به ذخیره صدها یا هزاران فایل تصویری در سراسر سازمان باشد. در واقع سرویس AD LDS می تواند تمام نیازهای یک نرم افزار یکپارچه با اکتیو دایرکتوری را برآورده کند و سرویس AD DS دست نخورده باقی بماند.
نکته
به خاطر داشته باشید که این فضاها، حداقل فضای لازم برای نصب و راه اندازی می باشد؛ در یک استقرار واقعی شما باید دامین کنترلر خود را برای نیازهای فعلی و همچنین هر گونه توسعه و گسترش در آینده با ظرفیت کافی تنظیم کنید.
ویندوز سرور که با نقش  AD DS تنظیم شده است به عنوان دامین کنترلر (Domain Controller – DC) شناخته می شود. دامین کنترلر سروری است که پایگاه داده اکتیو دایرکتوری را ذخیره کرده و احراز هویت کاربران را در طی فرآیند ورود (Logon) انجام می دهد. هر دامین کنترلر به صورت فعال در امر ذخیره سازی، اصلاح و نگهداری پایگاه داده اکتیودایرکتوری شرکت می کند و از آنجایی که یکدامنه (Domain) امکان داشتن یک یا چند دامین کنترلر را داراست، هر دامین کنترلر می تواند نسخه کاملی از بخش های دامنه از یک دایرکتوری را در خود داشته باشد. این اطلاعات در فایلی به نام ntds.dit برای هر دامین کنترلر ذخیره می شود.
اکتیو دایرکتوری یک پایگاه داده multimaster است، بدین معنی که مدیران شبک می توانند از هر دامین کنترلر فایل ntds.dit را به روز رسانی نمایند. به فرآیند نگهداری هر دامین کنترلر، در همگام سازی با تغییراتی که در هر جایی از شبکه اعمال شده است تکرار (Replication) می گویند. وقتی که یک دامین کنترلر اطلاعات مربوط به تکرار را به دیگر دامین کنترلرها منتقل می کند به آن تکرار خروجی (Outbound Replication) می گویند و بالعکس وقتی یک دامین کنترلر اطلاعات به روز شده اکتیودایرکتوری را از دامین کنترلرهای دیگر روی شبکه دریافت می کند به آن تکرار ورودی (Inbound Replication) می گویند.
یک شبکه کوچک را با سه دامین کنترلر در نظر بگیرید، DC3، DC2، DC1. یک کاربر کلمه عبور خود را تغییر می دهد و پایگاه داده ntds.dit روی DC1 به روز رسانی می شود. DC1 باید این تغییر را به DC2 و DC3 منتقل کند. دامین کنترلرها به صورت خودکار با دامین کنترلرهای دیگر در همان دامنه، اطلاعات را تکرار می کنند تا از یکسان بودن پایگاه داده اکتیو دایرکتوری مطمئن شوند.
اکتیو دایرکتوری طوری طراحی گردیده است که قابلیت کنترل سازمان ها در هر اندازه ای (از بنگاه های کوچک گرفته تا سازمان های جهانی) را داشته باشد. در حقیقت، اکتیودایرکتوری از لحاظ نظری قابلیت گسترش تا 4294967041 یا (255-232) شیء مجزا را دارا می باشد. این دیدگاه از نقطه نظر عملی بدین معنی است که حد اکثر اندازه پایگاه داده یک اکتیو دایرکتوری، فقط به قدرت پردازش سخت افزاری به کار گرفته شده در دامین کنترلرها محدود می شود. مهم ترین فواید AD DS عبارتند از:
● تمرکز منابع و مدیریت امنیت
● دسترسی به منابع سراسری فقط با یک بار وارد شدن
● تحمل خطا و رعایت افزونگی
● ساده سازی محل منابع

تمرکز منابع و مدیریت امنیت
اکتیودایرکتوری یک نقطه واحدی درا برای مدیریت منابع شبکه و موارد امنیتی مربوط به آن ها فراهم میکند. بدین ترتیب کاربران به سادگی قادر به پیدا کردن منابع شبکه نظیر فایل ها و چاپگرها خواهند بود. یک سازمان می تواند اکتیو دایرکتوری را بر اساس یک مدل سازمانی، تجاری و یا بر اساس نوعی از عملکردهای در حال اجرا در آن سازمان اداره نماید. برای مثال، یک سازمان می تواند اکتیودایرکتوری را به وسیله جداسازی کاربران به صورت منطقی بر اساس موقعیت کاری، جغرافیایی یا یک ترکیب از صفات ممیزه آنان، مدیریت نماید. اکتیودایرکتوری مدیریت امنیت تمامی منابع شبکه را آسان نموده و کار کردن با سطح وسیعی از برنامه های کاربردی و تجهیزات را به صورت عملیاتی و کاربردی میسر ساخته و همچنین مدیریت منابع شبکه را از طریق دسترسی متمرکز به ابزارهای مدیریتی و پایگاه داده اکتیودایرکتوری آسان نموده است. قابلیت همکاری با نسخه های قبلی ویندوزهای مایکروسافت از طریقسطوح عملیاتی (Functional Level) در ویندوز سرور امکان پذیر می باشد.
وقتی که اکتیودایرکتوری نصب و تنظیم می شود یک سری ابزارهای گرافیکی و خط فرمان برای مدیریت سرویس ها، منابع و امنیت شبکه را در یک سطح کاملتر شامل می شود. ابزارهای مدیریتی از هر دامین کنترلر شبکه یا یک ایستگاه کاری مدیریتی که این ابزار روی آن نصب شده است، قابل دسترسی باشند. بعد از تنظیم یک ویندوز سرور به عنوان یک دامین کنترلر، در پوشه Administrative Tools ابزارهای زیر اضافه خواهد شد:
● Active Directory Users and Computers
● Active Directory Domains and Trusts
● Active Directory Sites and Services
● ADSI Edit
تمامی این ابزارهای مدیریتی در این کتاب توضیح داده می شوند و هر زمانی که با مفاهیم جدید آشنا می شوید ابزارهایی که برای وظایف مربوطه استفاده می شود را نیز فرا خواهید گرفت.
نکته
بر خلاف ویندوز 2000 و ویندوز سرور 2003، اکتیودایرکتوری در ویندوز سرور 2008 و 2012 دیگر از دامین کنترلرهای NT پشتیبانی نمی کند.

فراهم نمودن دسترسی به منابع از یک نقطه
تمامی کاربران برای ورود به سرورهای مختلف به منظور دسترسی به منابع گوناگون و متعدد، نیازمند وارد کردن اطلاعات احراز هویت خویش برای چندین بار می باشند، و مدیران شبکه مجبورند اطلاعات کاربران را به صورت تکراری روی هر سرور در سازمان نگهداری کنند. تصور کنید که برای سازمانی با 10 سرور و به ازای هر سرور، 10 کاربر، مدیریت نام کاربری و کلمه عبور چگونه می شود؟ حال تصور که مدیریت 10 سرور و 500 کاربر به ازای هر سرور، چقدر مشکل خواهد بود! چرا که شما مجبورید 5000 حساب کاربری را به همراه تمامی موارد امنیتی ایجاد و نگهداری کنید، البته اگر مایل باشید هر سرور به صورت مجزا احراز هویت را انجام دهد و اطلاعات مربوط به آن را نگهداری نماید.
با توجه به ماهیت تکرار اکتیودایرکتوری، این امکان به کاربران داده می شود تا با یک بار وارد شدن، در هر نقطه ای از دامنه که هستند، به تمام منابع مجاز آن دسترسی داشته باشند. اکتیو دایرکتوری یک نقطه واحد را برای مدیریت منابع شبکه فراهم می کند و تنها از یک نقطه برای دادن اجازه دسترسی به منابع شبکه بر روی هر سرور در داخل دامنه استفاده می کند. یک کاربر تنها یک بار به وسیله اکتیودایرکتوری شناسایی و احراز هویت می شود، و پس از اتمام این فرآیند هر کاربر می تواند بر اساس نقش ها، اولویت ها و همچنین مجوزهای داده شده توسط اکتیودایرکتوری، از منابع شبکه استفاده نماید.

فواید تحمل خطا و رعایت افزونگی
یک سیستم را دارای قابلیت تحمل پذیری خطا گویند، هرگاه توانایی پاسخگویی مناسب به یک نرم افزار یا سخت افزار دارای مشکل را داشته باشد. برای مثال، سروری دارای قابلیت تحمل خطا است که هنگام بروز مشکل در برق رسانی و یا خرابی مکانیکی در یک هارد دیسک، آن سرور بتواند به عملکرد خود ادامه دهد. یک سیستم احراز هویت مانند اکتیودایرکتوری دارای قابلیت تحمل خطا می باشد، هرگاه در هنگام بروز خطا توانایی ادامه عملیات احراز هویت را داشته باشد (در شرایطی که یک یا چند سرور که سرویس احراز هویت (در مورد دامین کنترلرهای AD DS) را ارائه می کنند دچار نقص سخت افزاری شده یا ارتباط شبکه آن ها قطع و یا از دست رفته باشد). در این راستا اکتیودایرکتوری می تواند از یک راه حل کاملتری برای ادامه سرویس احراز هویت استفاده کند، بدن اینکه هیچ گونه عوارض جانبی متوجه کاربران ایستگاه های کاری یا دیگر خدمات شبکه ای شود.
اکتیودایرکتوری تحمل خطا را از طریق طراحی دامین کنترلرهایی با قابلیت multimaster فراهم نموده است. اسن مفهوم بر اساس این حقیقت شکل می گیرد که دامین کنترلرهای شبکه اکتیودایرکتوری یک فایل پایگاه داده به نام ntds.dit را به اشتراک می گذارند و ایجاد هر تغییر در یکی از دامین کنترلرها به تمامی آن ها منتقل می شود. این امر، یکسان بودن اطلاعات دامین کنترلرها را تضمین می نماید.
ویندوز سرور، یک دامین کنترلر فقط خواندنی (Read-only Domain Controller – RODC) را معرفی نموده که شامل یک کپی فقط خواندنی از فایل ntds.dit می باشد و امکان تغییر، اصلاح و نیز مبادله آن با دیگر دامین کنترلرهای شبکه وجود ندارد. مایکروسافت این دامین کنترلر را به دلیل افزایش امنیت سازمان های زنجیره ای برای قرارگیری در شعبه های اصلی یک سازمان یا دفاتر نمایندگی آن ها معرفی می کند. معمولا این دفاتر شرایط محدود کننده ای مانند پهنای باند کم، امنیت فیزیکی نامناسب، عدم وجود تکنسین شبکه، تعداد کم کاربر و دانش ناکافیی در زمینه IT، دارند. بنابراین نگه داشتن یک دامین کنترلر قابل نوشتن در آن ها ریسکی بزرگ است و امنیت تمام شبکه را به مخاطره می اندازد. دامین کنترلر فقط خواندنی، از اکتیو دایرکتوری در مقابل اعمال تغییرات غیرمجاز، از مکان های را دور محافظت می کند. توجه به RODC در طراحی های جدید بسیار مهم و مفید است ضمن آنکه می تواند هزینه های نگهداری و گاهی پیاده سازی را کاهش دهد. از آنجایی که تمامی اطلاعات پایگاه داده اکتیودایرکتوری روی تمامی دامین کنترلرها تکثیر شده است لذا در صورت خرابی یکی از آن ها دسترسی به منابع و احراز هویت از طریق دامین کنترلرهای دیگر امکان پذیر می باشد. داشتن یک دامین کنترلر تنها، در محیط نمی تواند قابلیت تحمل خطا را ارائه دهد. مایکروسافت تنظیم حداقل دو دامین کنترلر را در هر محیط توصیه می کند.
نکته
تکرار تغییرات بین دامین کنترلرها ممکن است از چند ثانیه تا چندین ساعت به طول بیانجامد، بدین معنی که هر دامین کنترلر دارای اطلاعات متفاوتی است تا زمانی که فرآیند تکرار به اتمام رسد.

ساده سازی موقعیت منابع
تصور کنید شما کاربر یک محیط با 10 سرور می باشید به طوری که هر سرور دارای گروه های متفاوتی از منابع است که شما برای انجام کار خود به آن ها نیاز دارید. اگر شما در چنین موقعیتی باشید،شناسایی اینکه کدام سرور دارای کدامیک از منابع مورد نیازنان می باشد کار چندان ساده ای نیست، این شرایط با داشتن کاربران بسیار، می تواند پیچیده تر شود. به عنوان مثال یک کارمند از سایت دیگری بازدید می کند که برای انجام کار خود نیازمند شناسایی موقعیت چاپگرها و یا دیگر تجهیزات در مکان جدید می باشد.
اکتیو دایرکتوری این فرآیند را به وسیله امکان انتشار منابع فایل و چاپگر روی شبکه میسر می کند. انتشار یک شیء، به کاربر اجازه دسترسی به منابع شبکه را با استفاده از جستجو در پایگاه داده اکتیودایرکتوری می دهد. این جستجو می تواند بر اساس نام منبع، توضیحات یا موقعیت آن صورت گیرد. برای مثال یک پوشه ای که به اشتراک گذاشته شده اشت با کلیک کردن بر روی دکمه جستجو از گزینه My Network Places در ویندوز XP یا ویندوز سرور 2003 و یا از گزینه Network and Sharing Center در ویندوز ویستا استفاده نموده تا پوشه مورد نظر را پیدا نماید. به طور کلی یک کاربر می تواند محدوده جستجوی خود را تنظیم نموده و نیازی نیست که نام پوشه به اشتراک گذلشته شده و کلمات کلیدی معیار جستجو باشند. فراهم نمودن اطلاعات جستجوی بیشتر، نتایج خاص بیشتری را ایجاد می کند. برای مثال، اگر شما کلمه  accounting را به عنوان کلمه کلیدی برای 100 پوشه تنظیم نموده باشید، یک جستجو برای این کلمه کلیدی 100 نتیجه را در بر دارد که یک کاربر نیاز است نتایج را مرتب کند تا پوشه دلخواه خود را از بین نتایج پیدا نماید.
 
clasification of Active Directory
طبقه بندی اجزاء اکتیودایرکتوری
اکتیو دایرکتوری دارای اجزایی است که انعطاف پذیری در طراحی، مقیاس پذیری، مدیریت و امنیت یک شبکه اکتیودایرکتوری را فراهم می کنند. برخی از این اجزاء برای کاربرد در طراحی های آینده نیز قابل تغییر و اصلاح هستند. برخی دیگر پس از تنظیمات اولیه به سختی تغییر می یابند؛ لذا سازمان ها باید قبل از شروع فرآیند نصب و پیکربندی اکتیودایرکتوری، نقشه و راهبرد شفاف و روشنی را از طراحی آن داشته باشند.
اشیاء مختلفی در اکتیو دایرکتوری ذخیره می شوند که به صورت متفاوت سازمان می یابند. هر شیء مجموعه مجزایی از صفات است که اشیائی را مشخص می کنند. به بیان دقیق تر می توان گفت، هر داده ای که در اکتیودایرکتوری ذخیره می شود به صورت اشیائی متمایز و دارای صفاتی جداگانه ذخیره می شود. هر شیء اکتیودایرکتوری می تواند به عنوان یک شیء کانتینر (Container) یا یک شیء Leaf دسته بندی شود.
یک شیء کانتینر ظرفی است که می تواند دیگر اشیاء را در خود نگهداری کند، همان گونه که خودش می تواند به عنوان یک شیء فرزند در اشیاء کانتینر دیگر اضافه شود. یک شیء Leaf در مقایسه با شیء کانتینر نمی تواند شامل اشیاء دیگر باشد و معمولا به منابعی همچون چاپگر، پوشه، کاربر یا گروه اشاره دارد. برای شروع، اشیاء کانتینر به شرح زیر می باشند:
● جنگل ها (Forests)
● درخت های دامنه (Domain trees)
● دامنه ها (Domains)
● واحدهای سازمانی (Organizational Units)