معرفی سرویس اکتیو دایرکتوری و آشنایی با انواع آن
اردیبهشت 16, 1403 1403-02-16 12:48معرفی سرویس اکتیو دایرکتوری و آشنایی با انواع آن
سرویس اکتیو دایرکتوری چیست؟
سرویس اکتیو دایرکتوری اولین بار توسط شرکت مایکروسافت، به همراه ویندوز سرور 2000 ارائه شد و هدف آن ایجاد یک مکانیزم مدیریتی متمرکز در کل شبکه است. این سرویس از پروتکل شخصی سازی شدهی LDAP استفاده میکند که برای اولین بار در سال 1993ارائه شد و مایکروسافت از این پروتکل برای دستیابی، اصلاح و کارکردن با سرویسهای اکتیو دایرکتوری استفاده میکند.
در حال حاضر اکتیو دایرکتوری در پنج گرایش زیر سرویسدهی میکند که در ادامه به توضیح هر یک پرداختهایم:
- Active Directory Certificate Services
- Active Directory Domain Services
- Active Directory Lightweight Directory Services
- Active Directory Rights Management Services
- Active Directory Federation Services
Active Directory Certificate Services (AD CS)
با نصب این سرویس بر روی ویندوز سرور، میتوانید یک سرور Certificate Authority یا به اختصار CA داشته باشید که
هدف آن، افزایش امنیت با اتصال هویت یک کاربر، رایانه یا سرویس به یک کلید خصوصی میباشد. دو وظیفه اصلی این سرویس به شرح زیر است:
احراز هویت (Authentication)
اعطای گواهینامههای دیجیتال (Certificate)برای احراز هویت شدن کاربران یا رایانههایی است که در شبکه با یکدیگر ارتباط گرفته و تبادل داده میکنند. بدین ترتیب هر دو طرف یک ارتباط، در شبکه، میتوانند یکدیگر را به درستی شناسایی کنند. این سرویس تضمین میکند که فرستنده و گیرندهی اطلاعات در شبکه، افراد احراز هویت شدهای باشند و اطلاعات در مسیر انتقال، توسط فرد دیگری دستکاری نشده باشد.
رمزنگاری (encryption)
یکی دیگر از وظایف سرویس CS، رمزنگاری و تایید دیجیتال پیامها و اسنادی است که بین فرستنده و گیرنده در شبکه منتقل میشود تا داده ها به صورت محرمانه در شبکه جابه جا شوند و در صورت شنود داده ها در مسیر ارتباط توسط سایرافراد، این افراد نتوانند از این داده ها استفاده کنند. کلید های رمز نگاری، طول هر کلید و همچنین الگوریتم های رمزنگاری در سرور CA قابل تنظیم است.
با استفاده از سرویس CS و پیکربندی گروپ پالیسیها در سرور اکتیو دایرکتوری میتوان تعیین کرد که کدام یک از کاربران و رایانه ها، مجاز به استفاده از کدام نوع گواهینامه هستند. همچنین با تنظیم سرورCA میتوان گواهینامههای باطل شده را جمع اوری کرده و گواهینامههای جدید را بین سیستم های شبکه توزیع کرد. گواهینامههای دیجیتال به دو صورت قابل دستیابی است، یا توسط خود سرور CA ایجاد میشود یا میتوان این گواهینامه ها را از کمپانیهای خاص خریداری کرد و به سرور CA تحویل داد. درنهایت سرور CA این گواهینامهها را مدیریت کرده و آنها را بین تمام سیستمهایی که در شبکه با یکدیگر ارتباط برقرار کرده، توزیع میکند.
به طور مثال فرض کنید درون سازمان خود یک سایت راه اندازی کردهاید و قصد دارید برای افزایش امنیت و جابهجایی امن صفحات وب از پروتکل HTTPs به جای پروتکل HTTP استفاده کنید. پروتکل HTTPs از پروتکل SSL استفاده میکند که برای استفاده از این پروتکل نیاز به داشتن گواهینامههای دیجیتالی دارید که میتوانید به کمک سرور CA که راه اندازی کردهاید، این گواهینامهها را ایجاد کنید. یا فرض کنید قصد دارید با پیاده سازی IPsec تمام سیستمهای شبکه به صورت احراز هویت شده و رمزشده با یکدیگر ارتباط برقرار کنند. برای این کار نیز، میتوانید گواهیهای تولید شده توسط سرورCA را به زیر ساخت IPsec تحویل دهید.
Active Directory Domain Services (AD DS)
یکی از مهمترین و پرکاربرد ترین سرویسهای اکتیو دایرکتوری است که هدف آن ایجاد یک مکانیزم مدیریتی متمرکز بر روی سیستمهای درون شبکه است که برای شبکههای با تعداد سیستمهای بالا بسیار کاربردی است. با نصب سرویس اکتیو دایرکتوری دامین در ویندوز سرور، این دستگاه به یک کنترلکننده دامین تبدیل میشود که قادر است تمام کاربران، رایانهها و دستگاههای که به این دامین متصل میشوند را به صورت متمرکز مدیریت و کنترل کند و همچنین امنیت را در شبکه افزایش دهد.
آموزش کامل راه اندازی سرویس اکتیو دایرکتوری به همراه پالیسی های پرکاربرد
مدیر شبکه میتواند از طریق سرور کنترلکننده دامین، تنظیمات مختلفی را بر روی کاربران و رایانهها و دستگاههای متصل به دامین اعمال کند، همچنین میتوان با اعمال گروپپالیسیهای مختلف بر روی گروههای سازمانی که شامل حسابهای کاربری یا حسابهای رایانهای هستند، قوانین مختلفی را به آنها اعمال کرد. این تنظیمات و قوانین شامل موارد بسیار متنوعی هستند که در ادامه به برخی از آنها اشاره شده :
- احراز هویت کاربران و رایانهها در شبکه
- تعیین ساعات و روزهایی که هرکاربر مجاز است از رایانههای متصل به دامین استفاده کند.
- تعیین میکند که هر کاربر مجاز به استفاده (log on) از کدام یک از رایانه های شبکه است.
- غیر فعال کردن کاربران برای مدت زمان دلخواه.
- تعیین میزان پیچیدگی رمز کاربران ،تعیین مدت زمان انقضائ رمزها و تعیین مدت زمان قفل شدن سیستمها بعد از وارد کردن رمز اشتباه برای چندین مرتبه به طور متوالی و … .
- مدیریت کنترل پنل، دسکتاپ و تنظیمات رایانهها از جمله تغییر ساعت، تاریخ، عکس پس زمینه، مدیریت دیوار آتش و ….
- نصب یا قفل کردن نرم افزارهای مورد نظر بر روی رایانهها.
- ایجاد پوشه و به اشتراکگذاری آن در شبکه، همچین امکان دسترسی کاربران احراز هویت شده به منابع اشتراکگذاری شده در هر نقطه از شبکه.
- جلوگیری کاربران ازدسترسی و ایجاد تغییرات بر روی تنظیمات حیاتی رایانه ها از جمله تغییر تنظیمات شبکه، دیوایس منیجر و … .
Active Directory Lightweight Directory Services (AD LDS)
یک نسخه سبک از AD DS است که تمام قابلیت ها و همچنین محدودیتهای سرویس اکتیو دایرکتوری دامین را ندارد و برای کاربردهای خاص تری استفادهمیشود. مایکروسافت این سرویس را برای سازمانهایی که نیاز به پشتیبانی انعطافپذیر برای برنامههای فعال دایرکتوری دارند، توسعه داده است.
Active Directory Rights Management Services (AD RMS)
هدف این سرویس، استفاده از مدیریت حقوق اطلاعات (IRM)به منظور حفاظت از دادهها و اسنادی است که امنیت و حق کپی رایت آنها برای سازمان شما اهمیت دارد. این سرویس سبک جدیدی از دسترسی ها را بر روی فایل ها و پوشهها ایجاد میکند.
حق خواندن و نوشتن، تغییر و پاک کردن اطلاعات، دسترسیهای محدودی هستند که در ویندوز بر روی فایل ها و پوشهها اعمال میشود. اما با استفاده از سرویس RMS میتوان دسترسیهای بیشتری را بر روی اسناد اعمال کرد. به طور مثال عدم امکان پرینت کردن، کپی کردن فایل ها و اطلاعات حساس توسط افراد غیرمجاز و عدم اجرا شدن فایلهای درون شبکه ای بر روی سیستمهای که خارج از شبکه سازمان شما قرار دارند. محدودیتهای دسترسی و استفاده از اسناد، بدون توجه به جایی که داده باشد اعمال میشوند، زیرا مجوز یک فایل در خود فایل سند ذخیره میشود.
Active Directory Federation Services (AD FS)
سرویس فدراسیون اکتیو دایرکتوری به کاربران امکان دسترسی به سیستمها و برنامههای واقع در خارج از مرزهای سازمانی را میدهد و از یک مجوز کنترل دسترسی برای حفظ امنیت برنامه و پیادهسازی هویت استفاده میکند.
به طور مثال فرض کنید: شبکه دامین سازمان شما قصد دارد از طریق اینترنت با شبکه دامین دیگری ارتباط برقرار کند یا کاربری در شبکه دامین میخواهد به وب سایتی در اینترنت متصل شود، در این حالت برای ارتباط شبکه با خارج از سازمان نیاز است تا پورتهای زیادی بر روی دیوار آتش در شبکه باز شود، که این کار امنیت را در شبکه کاهش میدهد. AD FS به عنوان یک واسط(پروکسی) بین سرور اکتیو دایرکتوری و دنیای بیرون عمل میکند و از دو پورت وب (80) و (443) SSL برای ارتباط با دنیای بیرون از سازمان استفاده میکند. بنابراین کافی است این دو پورت را بر روی دیوار آتش باز کنید.
نویسنده: زهرا یزدان پناه