نصب و راهاندازی اکتیودیرکتوری
اکتیودیرکتوری یک پایگاه داده مرکزی است که در آن اشیاء مختلفی ازجمله حسابهای کاربری، حسابهای کامپیوتری، گروهها،OUها و ... ذخیره میشوند. درواقع سرویس و قابلیتی بر روی سیستمهای ویندوزی شرکت مایکروسافت است که امکان مدیریت اجزای شبکه را به مدیران شبکه و همچنین کاربران آن میدهد. شما در اکتیودیرکتوری کاربران موجود در شبکه را تعریف کرده و قوانین متمرکزی از طریقGPO بر روی آنها اعمال کرده و شبکه خود را مدیریت میکنید. در شبکهای مبتنی بر دامین هنگامیکه سیستمعامل کاربران بالا میآید آنها یوزر نیم و پسورد تعیینشده را وارد کرده و این اطلاعات به سمت سرور اکتیودیرکتوری مربوط به دامین رفته و در صورت صحیح بودن اطلاعات کاربری اجازه ورود کاربر به سیستم عامل خود را خواهد داد. قوانینی هم که مدیر شبکه بر روی سیستم عامل کاربران شبکه وضع کرده هنگام ورود کاربران اعمال میشود بهعنوان مثال مدیر شبکه اجازه اجرای برنامه را به شما نداده یا تنظیمات عکس پشت زمینه دسک تاپ را برای سیستمها تعیین کرده است. این قانون هنگام ورود شما به سیستم بعد از واردکردن رمز عبور و تائید آن بر روی سیستم شما اعمال میشود. سروری که دامین موردنظر شمارا مدیریت میکند Domain Controller نامیده میشود، یعنی این سرور حاوی تمامی اطلاعات مدیریتی است و دامین شمارا کنترل خواهد کرد. سرویس اکتیودیرکتوری از سرویسهای بسیار مهم، حساس و ریشهای شبکهها میباشد. این سرویس بهعنوان سرویس مادر، برای سایر سرویسهای شبکه خدمات ارائه میدهد و نصب آن بسیار مهم و حساس بوده و نیاز به فردی باتجربه و دارای دانش کافی برای راهاندازی هوشمندانه آن میباشد؛ زیرا این سرویس پایه و اساس یک شبکه است و در صورت وجود مشکل، سایر سرویسها نیز درستکار نخواهند کرد و ترمیم یا بازسازی آن بسیار زمانبر و پرهزینه خواهد بود. ساختOUها و تعریف گروهبندیهای متناسب با ساختار شبکه و اضافه کردن کاربران در گروههای مناسب از نکات بسیار حساسی میباشد که انجام صحیح آن، در نحوه اعمال سیاستهای شبکه و دسترسی به منابع شبکه مهم میباشد بهگونهای که اگر درست تعریف شود با گسترش شبکه شما مدیریت آن آسانتر خواهد بود و نیاز به تغییرات گسترده نخواهید داشت. تعریف و اعمال قوانین مربوط به دسترسیها، کنترل استفاده کاربران و سایر محدودیتها از طریق Group Policy Management اعمال میشود. بدین طریق حتی کوچکترین فعالیت کارکنان خود را میتوانید کنترل و مدیریت کنید. هرچند سرویس اکتیودیرکتوری تأثیر فوقالعاده و امکانات فراوانی را در شبکه ارائه میکند اما بهصرف نصب و راهاندازی آن نمیتوان گفت که ساختار شبکه صحیح میباشد. استفاده صحیح از پالیسیها جزو موارد بسیار مهم در طراحی یک شبکه اصولی میباشد.
اکتیو دیرکتوری چیست؟
Active Directory یک سرویس دیرکتوریست که محصولات ویندوز سرور را دربرمی گیرد. یک سرویس دیرکتوری درواقع یک سرویس شبکه است که تمام منابع شبکه را شناسایی کرده و دسترسی به آن را برای کاربران و برنامههای کاربردی فراهم میکند. اکتیودیرکتوری شامل یک دیرکتوری و یا یک منبع ذخیره داده است. که دارای یک ساختار پایگاه داده است که اطلاعات مربوط به منابع شبکه را دربرمی گیرد. برخی منابعی که اطلاعات مربوط به آنها در دیرکتوری ذخیره میشوند عبارتاند از دادههای کاربر، چاپگرها، سرورها، پایگاههای داده، گروهها، کامپیوترها، سیاستهای امنیتی و…که بهصورت اشیاء برای Active Directory قابلشناسایی هستند. اکتیودیرکتوری منابع را بهصورت سلسله مراتبی در یک Domain سازماندهی میکند که این منابع یک سری گروههای منطقی از سرورها و منابع شبکه تحت یک نام دامنه واحد میباشند. هر دامنهای دارای یک یا چند کنترلر دامنه میباشد. یک کنترلر دامنه کامپیوتری است که یک نسخهی کاملی از دیرکتوری کل دامنه را در خود نگه میدارد. چون اکتیودیرکتوری یک نقطهی ورود واحد را برای تمام منابع شبکه تدارک دیده است هر مدیر شبکه میتواند به داخلیک کامپیوتر دخول کند و مدیریت اشیاء روی شبکه را انجام دهد.شما بهعنوان یک مدیر شبکه یکی از مسئولیتهای اصلیتان ساخت و پیکربندی کاربران، گروهها، اکانت های کامپیوتر، واحدهای سازماندهی (OU ها) وGroup Policyها میباشد.
مشکل پخش همگانی و کندی شبکه
زمانی که شما در شبکه خود تعداد بالاتر از 8 کامپیوتر را دارید درصورتیکه از سرویس اکتیودیرکتوری استفاده نکنید، هر کامپیوتر برای ارتباط با کامپیوتر دیگر بستهای باحالت پخش همگانی ارسال میکند، یعنی در کل شبکه بستهای را پخش کرده که همه کامپیوترها آن را پردازش کرده و در آن این هدف دنبال میشود که آدرس فلان کامپیوتر با فلان نام چیست؟ لطفاً به من پاسخ دهد. این کار در شبکههای کوچکتر از 8 کامپیوتر چندان تأثیرگذار نیست ولی در شبکههای بزرگتر از 8 کامپیوتر ترافیک شدیدی را در شبکه ایجاد میکند که این باعث کندی دستگاهها و شبکه خواهد شد. درصورتیکه سرویس اکتیودیرکتوری نصب گردد، هر کامپیوتر بهجای پخش همگانی پیام به همه کامپیوترهای شبکه برای پیدا کردن کامپیوتر مقصد، آدرس کامپیوتر مقصد را از سرور اکتیودیرکتوری خواهد پرسید و بلافاصله سرویس اکتیودیرکتوری با استفاده از سرویسهای نصبشده بر روی خود به آن پاسخ خواهد داد و این پخش همگانی از بین خواهد رفت.
خدمات اکتیودیرکتوری
به جرات میتوان گفت اکتیودیرکتوری مایکروسافت حیاتیترین و پرکاربردترین سرویس در میانخدمات شبکه میباشد. گذشته از نرمافزارها و سرویسهای فوقالعاده خوبی که بدوناکتیودیرکتوری امکان راهاندازی آنها نمیباشد، حتی در شبکههای کوچک، عدم وجود سرویس اکتیودیرکتوری ضعف شبکه بهحساب میآید.
اکتیودیرکتوری محل نگهداری کلیه موضوعات داخل شبکه مانند کاربران، کامپیوترها، سرورها، دسترسیها، کنترلکننده ارتباطات و بهطورکلی مدیر یک شبکه میباشد. راهاندازی صحیح و استفاده درست از این سرویس کمک شایانی به بهبود یک شبکه میکند.
سرویس DNS مایکروسافت مرکز پاسخگویی و تبدیل اسم به آدرس میباشد. داشتن یک DNS Server در شبکه یک نعمت است. این سرویس بسیار کوچک میباشد اما نبود آن و یا وجود مشکل در آن باعث نابودی کل شبکه خواهد شد.
·سرویس DHCP جهت IP دهی اتوماتیک متمرکز به کاربران بکار میرود. در مواقع لزوم استفادههای زیادی از این سرویس میتوان برد.
·ایجاد سرور پشتیبان برای استفاده در مواقعی که سرور اصلی ممکن است دچار مشکل شود نیز بسیار مهم میباشد.
داشتن محلی در شبکه برای نگهداری فایلهای کاری کاربران بسیار مهم میباشد و این موضوع خدمات شبکه مثل پشتیبانی شبکه را برای ما آسان میکند. فایل سرور مایکروسافت امکانات بسیار جالبی برای این موضوع فراهم نموده است. امکان تعیین سطوح دسترسی مختلف برای گروههای کاری و کاربران، مشخص کردن ظرفیت مجاز برای هر فرد یا گروه، امکان گزارشگیری از اقدامات صورت گرفته در فایل سرور مانند ایجاد، ویرایش، حذف از امکانات مهم فایل سرور به شمار میآید. وقتی تمامی فایلهای کاری یک مجموعه در محلی مشخص قرار بگیرد امکان تهیه فایل پشتیبان وجود دارد که در صورت بروز مشکل میتوان از آن استفاده نمود. درواقع نگهداری پرونده های مهم روی کامپیوتر کاربران یک اشتباه رایج میباشد. چراکه بسیاری از فایلهای کاری در کل مجموعه نیاز میباشد و باید در دسترس همه یا چند کاربر قرار بگیرد. مدیر واحد و مدیر مجموعه میبایست دسترسی کامل به این فایلها داشته باشند. در صورت خرابی کامپیوتر امکان از دست دادن آن فایلها نیز وجود دارد.
قوانینی هم که مدیر شبکه بر روی سیستم عامل کاربران شبکه وضع کرده هنگام ورود کاربران اعمال میشود بهعنوانمثال برای برخی از یوزر ها قوانینی درجشده که مثلاً یک یوزر در این ساعت و این روز نمیتواند وارد سیستم شود و یا برای این سیستمها تمام USB ها و هارد های اکسترنال غیرفعال باشد و بسیاری کنترلهای مدیریتی شبکه که قابلیت اعمال و اجرای آن را توسط اکتیودیرکتوری دارید.
ساختار اکتیو دیرکتوری Active Directory
برخی از سازمانها و شرکتها بخصوص سازمانها و شرکتهای خیلی بزرگ، پراکنده و غیرمتمرکزند. اینگونه سازمانها و شرکتها دارای شعبات چندگانهای هستند که هرکدام از آنها بسیار مهم هستند. اینگونه سازمانها به یک راهبرد غیرمتمرکز نیازمندند تا شبکهها و اعضای خودشان را مدیریت کنند با انعطافپذیری که Active Directory دارد شما میتوانید بهترین و مناسبترین ساختار شبکهی سازمان خود را ایجاد و مدیریت کنید. اکتیودیرکتوری بهطور کامل ساختار منطقی و سلسله مراتبی دامنه را از ساختار فیزیکی آن جدا میکند.
ساختار منطقیLogical Structure
در اکتیودیرکتوری شما منابع را در یک ساختار منطقی سازماندهی میکنید. این ویژگی شمارا قادر میسازد که منابع را توسط نامشان پیدا کنید نه محل فیزیکی آنها، چون اکتیودیرکتوری ساختار فیزیکی را از دید کاربران پنهان میسازد.
مشخصات یک اکتیودیرکتوری خوب
۱-مرکزی سازی: اطلاعات را متمرکز میکند، یعنی برای دسترسی به یک سری اطلاعات نیاز به جستوجوی در مکانهای مختلف نباشد.
۲-مقیاسپذیری: وقتی امکانات شبکه زیاد میشود یا بهعبارتدیگر AD بزرگ میشود باید بتواند با آن گسترش کنار بیاید و سرعت آن کاهش پیدا نکند همچنین مانند سابق پرسشها را سریعاً جواب دهد، مثلاً یک چاپگر خاص کجا قرار دارد.
۳-استانداردسازی: بر اساس استانداردهای موجود دنیا تدوینشده باشد.
۴-توسعهپذیر: پذیرای افزایش قابلیتها باشد. هر برنامهای که به سیستم عامل اضافه میشود، ممکن است بخواهد خودش به AD یک سری موضوعات و قابلیتها اضافه و از آنها استفاده نماید درنتیجه AD باید پذیرای افزایش قابلیتها باشد.
۵-جداسازی فیزیکی شبکه: باید ساختار فیزیکی شبکه را از ساختار منطقی آن جدا کند و این هدف اصلی طراحی شبکه است، چون لازم نیست کاربر بداند امکانات فیزیکی شبکه در کجا قرار دارد تا از آنها استفاده نماید.
۷-امنیت: امنیت در ذخیره اطلاعات و همچنین دسترسی به اطلاعات باید در AD وجود داشته باشد
