در این مقاله به ۱۰ نکته مهم در مورد راه اندازی اکتیو دایرکتوری یا همان Active Directory ، یکی از بهترین و پر کاربردترین ابزارهای کنترل دامین در دنیا اشاره میکنیم. اما پیش از آن توضیحی کوتاه در مورد تعریف این ابزار فوق العاده خواهیم داد تا دوستانی که احیاناً با آن و کاربردهایش آشنایی ندارند، متوجه عملکرد و وظیفه اصلی این ابزار گردند.
Active Directory از فناوریهای شرکت مایکروسافت برای مدیریت منابع شبکه است که بوسیله دامین کنترولر مدیریت میشود و در اساس یک بانک اطلاعاتی مجتمع توزیعپذیر است که برای سرویسدهندههای بر مبنای ویندوز سرور تهیه گردیدهاست. بدون اکتیو دایرکتوری مدیریت منابع نیازمند مدیریت تکبهتک آنها بصورت منفرد است، در حالی که توسط اکتیو دایرکتوری مدیریت منابع شبکه بصورت مجتمع صورت میگیرد.
این فناوری طوری طراحی شده است که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانیهای کوچک را به عهده دارد. اطلاعات اکتیو دایرکتوری سلسله مراتبی، برگردان و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیرهسازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ و یا عملکرد واحد پردازش مرکزی ندارد.
بعنوان مثال برای به اشتراک گذاری چند فلدر روی شبکه در حالتی که Active Directory موجود نمیباشد نیازمند تعیین دسترسی هر کاربر در هر فلدر بصورت مجزا میباشیم و با بروز تغییرات در کاربران و فلدرها بایستی این تغییرات بصورت مجزا اعمال گردد در حالی که در حالت اکتیو دایرکتوری با اعمال قوانین گروهی (group policy) میتوان این اعمال را بصورت مجتمع انجام داد.
مثال دوم: با بکار گیری اکتیو دایرکتوری وقتی کاربر تصمیم به تعویض گذرواژه خود میگیرد تمامی سیستمهای کاربری که با Active Directory مجتمع شدهاند بصورت خودکار با گذرواژه جدید شما هماهنگ میگردند و نیازی به تغییر تک تک آنها نمیباشد.
حال که با کاربردهای این محصول حیاتی آشنا شدیم، نکاتی بسیار مهم در استفاده از آن را ذکر میکنیم.
۱ – تعیین Trust متناسب با نیاز
پیش از این که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust باید خصوصیات زیر را داشته باشد:
Type: مشخص کننده نوع دامین هایی که در ارتباط با trust هستند.
Transitivity: تعیین می کند که آیا یک Trust می تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص کننده مسیر دسترسی و Trust (اکانت ها و منابع Trust)
۲ – با کنسول Active Directory Domains AND Trusts Console آشنا شوید
روابط بین Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می شود. این کنسول به شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:
– ارتقای سطح عملیاتی دامین
– ارتقای سطح عملیاتی Forest
– افزودن Suffixهای UPN
– مدیریت Domain Trust
– مدیریت Forest Trust
۳ – آشنایی با ابزار خط فرمان
همانند دیگر اجزای خانواده ویندوز سرور، ابزار خط فرمان می تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به کار آید. برای مشاهده مطالبی درباره امنیت سرور لینوکس کلیک کنید.
برخی از این ابزارها عبارتند از:
– NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده می شود.
– NETDIAG: خروجی این ابزار وضعیت پایه ای را در روابط بین Trustها به دست می دهد.
– NLTEST: برای آزمایش ارتباطات Trust می توان از آن استفاده کرد.
شما همچنین می توانید از ویندوز اکسپلورر برای مشاهده عضویت ها در منابع مشترک آن گونه که در دامین های Trust و/ یا Forest تعریف شده، استفاده کنید. کاربران AD همچنین می توانند جزئیات عضویت آبجکت های Active Directory که اعضایی از دامین های Trust و/ یا Forest دارند، مشاهده کنند.
۴ – ایجاد یک محیط آزمایشی در Active Directory
بسته به محیط و نیازمندی های شما، یک اشتباه ساده در ایجاد Trust دامین ها می تواند به بازتاب هایی در سطح کل سازمان منجر شود. با وجود این، فراهم ساختن یک محیط آزمایش مشابه برای Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین هایی برای سناریوهای مشابه کار آسان تری بوده که برای استحکام زیرساخت ها و آزمایش کارکردهای اساسی می توان از آنان استفاده کرد.
علاوه بر این، قبل از استفاده از گروه های زنده، اکانت ها و آبجکت های دیگر، به آزمایش الگوی آبجکت ها دایرکتوری روی روابط دامین زنده توجه کنید تا مطمئن شوید که میزان دلخواه عاملیت به دست آمده، نه بیشتر.
۵ – مجوزهای اکتیو دایرکتوری را بازبینی کنید
وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی شده دوباره بازبینی شود. به عنوان مثال، چنان چه دامین A باید فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.
هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.
۶ – طرح Trustها را تهیه کنید
نقشه ای ساده با استفاده از پیکان ها و جعبه هایی که نمایان گر دامین های دارای Trust، ارتباط آنان با یکدیگر و این که این Trustها یک طرفه هستند یا دو طرفه تهیه کنید. با استفاده از تصویر (های) ساده مشخص کنید، کدام دامین به کدام دامین دیگر Trust دارد و Transitivity آن ها را نمایش دهید.
این جدول ساده موجب درک بهتر وظایف محوله شده و به شما اجازه خواهد داد تا دامین های نیازمند به جهت دسترسی (Access Direction) و همچنین جهت صحیح را مشخص ساخته و نمایش دهید. برخی از دامین ها فقط نقش یک دروازه ساده را برای دسترسی به دیگر دامین ها ایفا می کنند.
۷ – ارتباطات بین Trustها را مستند کنید
امروزه، سازمان ها دائم در حال پیوستن و جدا شدن از یکدیگر هستند. به همین دلیل، این نکته اهمیت دارد که نقشه واضحی از ارتباط بین دامین ها و Trustهای بینابین تهیه شده تا همواره از وجود اطلاعات لازم بدون نیاز به مراجعه به کدهای مربوطه اطمینان حاصل شود.
به عنوان مثال، اگر شما روی دامین B قرار داشته باشید و دفتر مرکزی شما روی دامین A نمایندگی شما را ابطال و Trust را قطع کند، یک سند کوچک و مختصر که قبلاً روی دامین A ذخیره شده کمک بسیار بزرگی برای شما خواهد بود.
نوع Trust، جهت، ملزومات تجاری مورد نیاز برای آن Trust، مدت اعتبار پیش بینی شده برای Trust، مجوز، اطلاعات پایه ای دامین و فارست (شامل نام، DNS، آدرس IP، مکان فیزیکی، نام کامپیوترها و…) و اطلاعات تماس فرد یا افراد مسئول دامین ها از اطلاعاتی هستند که ذخیره سازی آنان در یک محل مطمئن بسیاری از کارها را آسان تر خواهد کرد.
۸ – از پیچیده کردن ارتباط Trustها در Active Directory پرهیز کنید
برای صرفه جویی در وقت و زمان، از جلو بردن عضویت ها در بیش از یک لایه هنگام کار و استفاده از Trust در دامین ها و فارست های چندگانه پرهیز کنید. با این که تودر تو کردن عضویت ها می تواند به یکپارچگی و کاهش آبجکت های قابل مدیریت در AD کمک کند، اما این کار موجب افزایش میزان تصمیم گیری در مدیریت اعضا خواهد شد و در Active Directory چندان توصیه نمیشود.
۹ – چگونگی مدیریت Active Directory در نسخه های مختلف ویندوز
وقتی AD را روی ویندوز ۲۰۰۰ و ویندوز سرور ۲۰۰۳ اجرا می کنید، امکانات کامل برای دامین ها و فارست های عضو فراهم خواهد بود. چنان چه هرگونه سیستم عضو یا دامین NT در سازمان حضور داشته باشند، امکانات ورودی Trust آن ها به دلیل ناتوانی در شناسایی آبجکت های AD محدود خواهد شد. راه حل عمومی این سناریو ایجاد «دامین های جزیره ای» برای آن دسته از افرادی است که معمولاً به ساختارهای عمومی سازمان متصل نمی شوند.
۱۰ – Trust های منقضی و Overlap شده را پاک کنید
تغییرات ایجاد شده در روابط مابین سازمان های تجاری ممکن است موجب برجای گذاشتن تعدادی از Trustهای بدون استفاده در دامین شما شود. هرگونه تراستی را که به عنوان فعال مورد استفاده قرار نمی گیرد، از روی دامین بردارید. همچنین از تنظیم صحیح تراست موجود و مطابقت آن ها با دسترسی مورد نیاز و الگوی استفاده اطمینان حاصل کنید. بازرسی و رسیدگی به جدول تراست می تواند مکمل خوبی برای سیاست های استحکام یافته امنیتی شما به حساب آید.
