آشنایی با ساختار اکتیو دایرکتوری

سرويس اکتیو دايرکتوري تقريبا مشابه يک ديتابيس است. در يک دايرکتوري اشيائي که به نوعي مرتبط اند، ذخيره مي شوند و از طريق صفاتشان قابل دسترسي اند. در سرويس هاي مختلف و در سيستم عامل هاي مختلف، از يک سرويس دايرکتوري استفاده مي شود. در سرويس دايرکتوري اطلاعات به صورت سلسه مراتبي نگه داري مي شود همچنين سرويس دايرکتوري تمامي اطلاعات لازم را نگه داري مي کند. با توجه به ارتباط ميان اشياء، دسترسي از طريق صفات و نگه داري تمامي اطلاعات لازم، مديريت اطلاعات مرکزي و آسان تر مي شود.

در شبکه هاي گوناگون همانند اينترنت، اشياء مختلفي با استفاده از سرويس دايرکتوري نگه داري مي شوند. سرويس هايي همانند فايل سرور ها و فکس سرور ها از دايرکتوري بهره مي برند. اما عمکرد يک سرويس دايرکتوري در سرويس هاي مختلف، متفاوت است. با توجه به اهميت اين سرويس، بايد مکانيسم هاي امنيتي و مديريتي ديگر براي يکپارچگي و حفظ حريم خصوصي اتخاذ شود که در نتيجه بايد از پروتکل ها و سرويس هاي جانبي ديگر نيز استفاده شود.

Active Directory Domain Service – AD DS :

سرويس دامين اکتيو دايرکتوري ، موجود در ويندوز نسخ سرور، شامل يک سرويس دايرکتوري است که اطلاعاتي همچون منابع و… را ذخيره مي کند. اشياء مختلفي در اکتيو دايرکتوري ذخيره مي شود که به صورت اشيائي متفاوت سازمان مي يابد. هر شيئ مجموعه مجزايي از صفات است که اشيائي از شبکه را مشخص مي کند. به عنوان مثال يک User Account مي تواند شامل ويژگي هايي همچون نام، نام خانوادگي و نام Logon باشد. در حالي که يک Computer Account شامل ويژگي هاي همچون نام و مشخصات مي تواند باشد. بنابراين ضمن تفاوت اشياء ويژگي ها متفاوت است و مشخص کننده اشياء مختلفي از شبکه هستند. با بيان دقيق تر مي توان گفت : هر داده اي که در Active Directory ذخيره مي شود، به صورت اشيائي متمايز و داراي صفاتي جداگانه ذخيره مي شود. برخي اشياء خود مي توانند شامل اشيائي ديگر باشند که با آنها Container گفته مي شود به عنوان مثال يک دامين، يک Container است که خود شامل اشيائي ديگر همانند کامپيوتر ها يا کاربران مي تواند باشد.

Active Directory Schema :

Active Directory schema معين کننده اشيائي است که مي تواند در اکتيو دايرکتوري ذخيره شوند. Schema ليستي از انواع اشياء و انواع داده هاي مربوط به آن اشياء است، که مي تواند در اکتيو دايرکتوري ذخيره شود. هر Schema به وسيله دو شيئ معين مي شود:

  1. schema class objects که schema classes نيز گفته مي شود: مشخص کننده اشيائي است که امکان ساخت آن در اکتيو دايرکتوري وجود دارد.
  2. schema attribute objects که schema attributes نيز گفته مي شود. مشخص کننده ي ويژگي کلاس هايي است که عضو شده اند.

اين دو شيئ با هم ديگر، metadata گفته مي شوند.

يک schema class در واقع يک قالبي براي ساختن اشياء جديد در اکتيو دايرکتوري است. هر schema class جمعي از schema attributes  است که در زمان ساخت يک شيئ جديد، مقادير ويژگي ها تغيير پيدا مي کند به عنوان مثال يک کلاس User شامل ويژگي ها مختلفي است همانند Home Folder . بديهي است که هر schema attribute نيز صرفا معين کننده ي يک ويژگي از ويژگي هاي شيئ است. چندين ويژگي و کلاس مختلف به صورت پيش فرض Schema وجود دارد. امکان افزودن کلاس و ويژگي جديدي که وجود ندارد، نيز وجود دارد. با توجه به آنکه يک Schema نمي تواند حذف شود، (فقط مي تواند غير فعال شود) بايد در توسعه دادن Schema بسيار دقت شود.

اجزاي Active Directory :

اجزاي مختلفي در اکتيو دايرکتوري نفش دارند. اين اجزاء فيزيکي يا منطقي هستند به اين سبب، اکتيو دايرکتوري داراي ساختار فيزيکي و منطقي است.

ساختار منطقي:

اشياء را به صورت يک ساختار منطقي سازمان دهي مي شوند. ساختار منطقي از روي ساختار واقعي منعکس مي شود. اين سماندهي منطقي اشياء، سبب مي شود تا بدون توجه به محل فيزيکي اشياء به مديريت بپردازيم. همچنين با دانستن ويژگي يا نام اشياء مي توانيم در ساختار منطقي به آن ها دست پيدا کنيم و يا آن را جستجو کنيم. اجزاء مختلفي در ساختار منطقي نفش ايفا مي کنند که عبارتند از:

  1. دامين (Domain – دامنه):

هسته و رکن اصلي ساختار منطقي دامين است. همانطور که گفته شده بود دامين خود يک Container است و مي تواند شامل اشياء ديگر باشد. اشيائي که در يک دامين قرار مي گيرند براي يک شبکه حياتي هستند. اين اشياء مي تواند شامل پرينترها، کامپيوتر ها، آدرس ايميل ها، کاربران و ديگر منابع باشد. اکتيو دايرکتوري مي تواند شامل يک دامين يا بيشتر باشد. همچنين يک دامين مي تواند داراي يک يا چند مکان فيزيکي باشد. هر دامين داراي دو مشخصه بارز است:

  1. تمام اشياء شبکه در يک دامين قرار دارند و هر دامين تنها اطلاعات مربوط به خود را دارا است.
  2. يک دامين، يک محدوده امنيتي است. دسترسي به اشياء دامين ها از طريق ACL ( ليست کنترل دسترسي – Access Control List) امکان پذير مي شود. در واقع تنها اشيائي قابليت دسترسي دارند که در ACL موجود و داراي يک ACE باشند. اين ليست مشخص مي کند که کدام کاربر و در چه سطحي به دسترسي دارد.ACL کوتاه شده ي Access Control List است.
  3. واحد هاي سازمان ( OU – Organization Unites ):

OU هم يک Container است که اشياء موجود در دامين به گروه هاي کوچکتري تقسيم مي کند. مي توان OU ها را جداگانه مديريت کرد و براي آن ها قوانين و ضوابط جدا از قوانين دامين وضع کرد. OU ها هم مي توانند شامل اشيائي ديگر همانند کاربر، کامپيوتر، چاپگر و يا يک Ou ديگر باشند. از آنجايي که يک OU قسمت کوچکي از شبکه است مي توان مديريت يک OU را به عهده فرد ديگري گذاشت و بر آن نظارت کرد. يک بخش از يک سازمان را معمولا در يک OU قرار مي دهيم تا راحت تر مديريت کنيم. هر چند استفاده از OU ها چندان الزام آور نيست، اما عدم استفاده از OU ها در شبکه هاي متوسط و بزرگتر از آن سبب بروز مشکلات فرواني خواهد شد.

3.درخت ها (Tree) :

يک درخت، گروهي از دامين ها است که از طريق ايجاد يک فرزند به وجود مي آيد. دامنه هاي در يک درخت داراي يک فضاي نامي پيوسته هستند به اين معنا که اسم والدين به فرزندان اضافه مي شود. از آنجايي که اسامي در اکتيو دايرکتوري دامين سرويس وابسته به DNS است، بديهي است از نام يک دامين فرزند ترکيبي از نام خود و نام تمام والدين خود است. به مثال تصويري زير توجه کنيد:

  1. جنگل ها (Forest) :

يک جنگل، گروهي از درخت هاي جداگانه است. در يک جنگل درخت ها با توجه به دامنه هايشان داراي ساختار نامي متفاوت اند و تمام درخت ها در يک جنگل مستقل عمل مي کنند. تمامي دامين ها در يک جنگل از يک Schema عمومي استفاده مي کنند.

ساختار فيزيکي:

1.سايت (Site) :

 

يک سايت مجموعه يک يا چند Subnet است که به وسيله لينک مطمئن ارتباطش ايجاد شده. براي کاهش ترافيک و… در يک شبکه اقدام به ايجاد چند سايت مختلف مي کنيم. در واقع سايت ها از لحاظ فيزيکي متفاوت اند. به عنوان مثال سايت تهران، سايت کاليفرنيا و سايت توکيو مي تواند سايت هاي فيزيکي يک دامين باشد. همچنين در وسعت کمتر، سايت ساختمان شمالي و ساختمان جنوبي يا سايت طبقه اول و سايت طبقه دوم مثال هايي از سايت هاي مختلف در يک دامين است. در بين سايت راهکارهاي خاص ارتباطي مي توان در نظر گرفت که در آينده صحبت مي شود. يک سايت مي تواند شامل قسمتي از يک دامنه، يک دامنه يا چند دامنه باشد.

معمولا يک سايت به يک LAN پايان مي پذيرد و از طريق يک MAN يا WAN به سايت ديگري متصل مي شود هر چند الزاما چنين نيست. زماني که سايت ها قسمتي از فضاي نامي نباشد، در استفاده از منابع گروه بندي اجزاء را گروه بندي دامين، فرزند-دامين و… مشاهده خواهيد کرد و در مشاهده منابع وجود سايت ها را ممکن است احساس نکنيد. در آينده در خصوص سايت ها با تفصيل صحبت خواهد شد.

2.دامين کنترلر (Domain Controller – DC):

دامين کنترلر يک کامپيوتري است که ويندوز نسخه سرور روي آن نصب شده است و Active Directory Domain Service روي آن در حال اجرا است. هر دامين کنترلر فقط مي تواند يک دامين را سرويس دهد ولي هر دامين مي تواند شامل تعدادي دامين کنترلر باشد. وظيفه ي شناسايي کاربران بر عهده Domain Controller ها است و به صورت مرکزي انجام مي شود که در اين خصوص در آينده بيشتر صحبت مي شود.

هر دامين کنترلر يک کپي کامل از اطلاعات موجود در اکتيو دايرکتوري را نگه داري مي کند. همچنين تغييرات خود را با ساير دامين کنترلرها Replicate مي کند.

آسانت لرن مرجع تخصصی آموزش شبکه و آی تی

اینجانب روح الله افتخاری کارشناس شبکه های مایکروسافت و سیسکو دارای 4سال سابقه فعالیت پژوهشی و عملیاتی در حوزه شبکه و مدرس دوره های شبکه و مدیر و موسس وبسایت آسانت لرن هستم . قصد دارم تا در وبسایت آسانت لرن فرصت برابر آموزشی را برای همگان فراهم نمایم .

پاسخ دهید