سرویس اکتیو دایرکتوری چیست؟

سرویس اکتیو دایرکتوری اولین بار توسط شرکت مایکروسافت، به همراه ویندوز سرور 2000 ارائه شد و هدف آن ایجاد یک مکانیزم مدیریتی متمرکز در کل شبکه است. این سرویس از پروتکل شخصی سازی شده‌ی LDAP استفاده می‌کند که برای اولین بار در سال 1993ارائه شد و مایکروسافت از این پروتکل برای دستیابی، اصلاح و کارکردن با سرویس‌های اکتیو دایرکتوری  استفاده می‌کند.

در حال حاضر اکتیو دایرکتوری در پنج گرایش زیر سرویس‌دهی می‌کند که در ادامه به توضیح هر یک پرداخته‌ایم:

1. Active Directory Certificate Services
2. Active Directory Domain Services
3. Active Directory Lightweight Directory Services
4. Active Directory Rights Management Services
5. Active Directory Federation Services

Active Directory Certificate Services (AD CS)

با نصب این سرویس بر روی ویندوز سرور، می‌توانید یک سرور Certificate Authority  یا به اختصار  CA داشته باشید که

هدف آن، افزایش امنیت با اتصال هویت یک کاربر، رایانه یا سرویس به یک کلید خصوصی می‌باشد. دو وظیفه اصلی این سرویس به شرح زیر است:

احراز هویت (Authentication)

اعطای گواهی‌نامه‌های دیجیتال  (Certificate)برای احراز هویت شدن کاربران یا رایانه‌هایی است که در شبکه با یکدیگر ارتباط گرفته و تبادل داده می‌کنند. بدین ترتیب هر دو طرف یک ارتباط، در شبکه، می‌توانند یکدیگر را به درستی  شناسایی کنند. این سرویس تضمین می‌کند که فرستنده و گیرنده‌ی اطلاعات در شبکه، افراد احراز هویت شده‌ای باشند و اطلاعات در مسیر انتقال، توسط فرد دیگری دستکاری نشده باشد.

رمزنگاری  (encryption)

یکی دیگر از وظایف سرویس CS، رمزنگاری و تایید دیجیتال پیام‌ها و اسنادی است که بین فرستنده و گیرنده در شبکه منتقل می‌شود تا داده ها به صورت محرمانه در شبکه جابه جا شوند و در صورت شنود داده ها در مسیر ارتباط توسط سایرافراد، این افراد نتوانند از این داده ها استفاده کنند. کلید های رمز نگاری، طول هر کلید و همچنین الگوریتم های رمزنگاری در سرور  CA قابل تنظیم است.

با استفاده از سرویس CS و پیکربندی گروپ پالیسی‌ها در سرور اکتیو دایرکتوری می‌توان تعیین کرد که کدام یک از کاربران و رایانه ها، مجاز به استفاده از کدام نوع گواهی‌نامه هستند. همچنین با تنظیم سرورCA  می‌توان گواهی‌نامه‌های باطل شده را جمع اوری کرده و گواهی‌نامه‌های جدید را بین سیستم های شبکه توزیع کرد. گواهی‌نامه‌های دیجیتال به دو صورت قابل دستیابی است، یا توسط خود سرور CA  ایجاد می‌شود یا می‌توان این گواهی‌نامه ها را از کمپانی‌های خاص خریداری کرد و به سرور CA   تحویل داد. درنهایت سرور CA  این گواهی‌نامه‌ها را مدیریت کرده و آنها را بین تمام سیستم‌هایی که در شبکه با یکدیگر ارتباط برقرار کرده، توزیع می‌کند.

به طور مثال فرض کنید درون سازمان خود یک سایت راه اندازی کرده‌اید و قصد دارید برای افزایش امنیت و جابه‌جایی امن صفحات وب از پروتکل HTTPs به جای پروتکل HTTP استفاده کنید. پروتکل HTTPs از پروتکل SSL استفاده می‌کند که برای استفاده از این پروتکل نیاز به داشتن گواهی‌نامه‌های دیجیتالی دارید که می‌توانید به کمک سرور CA که راه اندازی کرده‌اید، این گواهی‌نامه‌ها را ایجاد کنید. یا فرض کنید قصد دارید با پیاده سازی  IPsec تمام سیستم‌های شبکه به صورت احراز هویت شده و رمزشده با یکدیگر ارتباط برقرار کنند. برای این کار نیز، می‌توانید گواهی‌های تولید شده توسط سرورCA  را به زیر ساخت  IPsec تحویل دهید.

Active Directory Domain Services (AD DS)

یکی از مهمترین و پرکاربرد ترین سرویس‌های اکتیو دایرکتوری است که هدف آن ایجاد یک مکانیزم مدیریتی متمرکز بر روی سیستم‌های درون شبکه است که برای شبکه‌های با تعداد سیستم‌های بالا بسیار کاربردی است. با نصب سرویس اکتیو دایرکتوری دامین در ویندوز سرور، این دستگاه به یک کنترل‌کننده دامین تبدیل می‌شود که قادر است تمام کاربران، رایانه‌ها و دستگاه‌های که به این دامین متصل می‌شوند را به صورت متمرکز مدیریت و کنترل کند و همچنین امنیت را در شبکه افزایش دهد.

آموزش کامل راه اندازی سرویس اکتیو دایرکتوری به همراه پالیسی های پرکاربرد

مدیر شبکه می‌تواند از طریق سرور کنترل‌کننده دامین، تنظیمات مختلفی را بر روی کاربران و رایانه‌ها و دستگاه‌های متصل به دامین اعمال کند، همچنین می‌توان با اعمال گروپ‌پالیسی‌های مختلف بر روی گروه‌های سازمانی که شامل حساب‌‌های کاربری یا حساب‌های رایانه‌ای هستند، قوانین مختلفی را به آنها اعمال کرد. این تنظیمات و قوانین شامل موارد بسیار متنوعی هستند که در ادامه به برخی از آنها اشاره شده :

• احراز هویت کاربران و رایانه‌ها در شبکه
• تعیین ساعات و روزهایی که هرکاربر مجاز است از رایانه‌های متصل به دامین استفاده کند.
• تعیین می‌کند که هر کاربر مجاز به استفاده (log on) از کدام یک از رایانه های شبکه است.
• غیر فعال کردن کاربران برای مدت زمان دلخواه.
• تعیین میزان پیچیدگی رمز کاربران ،تعیین مدت زمان انقضائ رمز‌ها و تعیین مدت زمان قفل شدن سیستم‌ها بعد از وارد کردن رمز اشتباه برای چندین مرتبه به طور متوالی و … .
• مدیریت کنترل پنل، دسکتاپ و تنظیمات رایانه‌ها از جمله تغییر ساعت، تاریخ، عکس پس زمینه، مدیریت دیوار آتش و ….
• نصب یا قفل کردن نرم افزار‌های مورد نظر بر روی رایانه‌ها.
• ایجاد پوشه و به اشتراک‌گذاری آن در شبکه، همچین امکان دسترسی کاربران احراز هویت شده به منابع اشتراک‌گذاری شده در هر نقطه از شبکه.
• جلوگیری کاربران ازدسترسی و ایجاد تغییرات بر روی تنظیمات حیاتی رایانه ها از جمله تغییر تنظیمات شبکه، دیوایس منیجر و … .

Active Directory Lightweight Directory Services (AD LDS)

یک نسخه سبک از  AD DS است که تمام قابلیت ها و همچنین محدودیت‌های سرویس اکتیو دایرکتوری دامین را ندارد و برای کاربرد‌های خاص تری استفادهمی‌شود. مایکروسافت این سرویس را برای سازمان‌هایی که نیاز به پشتیبانی انعطاف‌پذیر برای برنامه‌های فعال دایرکتوری دارند، توسعه داده است.

Active Directory Rights Management Services (AD RMS)

هدف این سرویس، استفاده از مدیریت حقوق اطلاعات  (IRM)به منظور حفاظت از داده‌ها و اسنادی است که امنیت و حق کپی رایت آنها برای سازمان شما اهمیت دارد. این سرویس سبک جدیدی از دسترسی ها را بر روی  فایل ها و پوشه‌ها ایجاد می‌کند.

حق خواندن و نوشتن، تغییر و پاک کردن اطلاعات، دسترسی‌های محدودی هستند که در ویندوز بر روی فایل ها و پوشه‌ها اعمال می‌شود. اما با استفاده از سرویس RMS می‌توان دسترسی‌های بیشتری را بر روی اسناد اعمال کرد. به طور مثال عدم امکان پرینت کردن، کپی کردن فایل ها و اطلاعات حساس توسط افراد غیرمجاز و عدم اجرا شدن فایل‌های درون شبکه ای بر روی سیستم‌های که خارج از شبکه سازمان شما قرار دارند. محدودیت‌های دسترسی و استفاده از اسناد، بدون توجه به جایی که داده باشد اعمال می‌شوند، زیرا مجوز یک فایل در خود فایل سند ذخیره می‌شود.

Active Directory Federation Services (AD FS)

سرویس فدراسیون اکتیو دایرکتوری به کاربران امکان دسترسی به سیستم‌ها و برنامه‌های واقع در خارج از مرزهای سازمانی را می‌دهد و از یک  مجوز کنترل دسترسی برای حفظ امنیت برنامه و پیاده‌سازی هویت استفاده می‌کند.

به طور مثال فرض کنید: شبکه دامین سازمان شما قصد دارد از طریق اینترنت با شبکه دامین دیگری ارتباط برقرار کند یا کاربری در شبکه دامین می‌خواهد به وب سایتی در اینترنت متصل شود، در این حالت برای ارتباط شبکه با خارج از سازمان نیاز است تا پورت‌های زیادی بر روی دیوار آتش در شبکه باز شود، که این کار امنیت را در شبکه کاهش می‌دهد. AD FS به عنوان یک واسط(پروکسی) بین سرور اکتیو دایرکتوری و دنیای بیرون عمل می‌کند و از دو پورت وب (80) و (443) SSL برای ارتباط با دنیای بیرون از سازمان استفاده می‌کند. بنابراین کافی است این دو پورت را بر روی دیوار آتش باز کنید.

نویسنده: زهرا یزدان پناه