بررسی اجزاء اکتیو دایرکتوری

شما می توانید انواع اجزای اکتیو دایرکتوری را برای تعریف ساختار دایرکتوری استفاده کنید. این اجزا در لایه های فیزیکی (physical) و منطقی (logical) سازمان وجود دارند.اجزای لایه فیزیکی، چگونگی ساختار اطلاعات دایرکتوری و ذخیره آن را کنترل میکنند. این در حالیست که اجزای لایه منطقی، چگونه یوزرها و ادمین ها اطلاعات را ببینند کنترل کرده و همچنین دسترسی به اطلاعات را کنترل میکنند. توجه داشته باشید که لایه های فیزیکی و منطقی کاملا جدا از یکدیگر هستند.

اجزای فیزیکی اکتیو دایرکتوری (physical)

اجزای فیزیکی اکتیو دایرکتوری sites ها و subnets ها هستند. یک site ترکیبی از یک یا چند IP subnets است که با لینکهای بسیار مطمئن متصل شده اند. یک subnet یک گروه از آدرس های IP شبکه است. شما از sites و subnets برای ساختار دایرکتوری استفاده میکنید تا ساختار فیزیکی سازمان خود را منعکس کنید.شما از sites برای map کردن ساختار فیزیکی شبکه خود استفاده میکنید. همانطور که در شکل ۸-۱ نشان داده شده، یک site معمولا دارای همان مرزهایی است که شبکه های داخلی LANs شما دارند. از آنجایی که map کردن site ها جدا و مستقل از اجزای منطقی logical در دایرکتوری هستند، لازم نیست که ارتباطی بین ساختارهای فیزیکی شبکه و ساختارهای منطقی در دایرکتوری باشد .

در حالیکه sites ها میتوانند همراه با چندین رنج آدرس IP باشند، هر subnet دارای یک رنج آدرس IP مشخص میباشد. نام subnet از طریق network / bitsmask  نشان داده میشود، مانند 24/10.1.11.0 که 10.1.11.0 مربوط به network address و 255.255.255.0 مربوط به network mask میباشد که با هم ترکیب شده اند و به نام 24/10.1.11.0 ایجاد شده است.  شکل ۹-۱ های subnets های مربوط به چندین شبکه را نشان میدهد. بطور مثال شبکه St. Paul دارای subnets های 24/10.1.11.0 و 24/10.1.12.0 میباشد .

شکل ۸-۱ map کردن subnet ها به ساختار شبکه  

شکل ۹-۱ شبکه های محلی LANs داخل یک WAN و subnet های مربوطه

در حالت مطلوب، وقتی چندین گروه subnets ها در sites ها هستند، شما باید اطمینان حاصل کنید که تمام subnets ها به خوبی متصل شده باشند . منظور از به خوبی متصل شدن این است که subnets ها توسط اتصالات سریع و قابل اطمینان وصل شده باشند. منظور از سریع بطور کلی ارتباطهایی است که حداقل ۵۱۲ کیلوبیت در ثانیه kbps میباشند و منظور از قابل اطمینان این است که ارتباط شبکه همیشه فعال باشد و پهنای باند bandwidth موجود برای ارتباطات دایرکتوری بیشتر از بار ترافیک شبکه باشد .

در عکس ۱۰-۱ شبکه های Detroit و St. Louis با استفاده از ارتباط ۵۱۲ کیلوبیت بر ثانیه kbps به شبکه Chicago وصل شده اند که بنابر این به خوبی متصل شده اند. به همین دلیل هر ۳ شبکه میتوانند جزء ای از یک site باشند. شبکه St. Paul با ارتباط ۲۵۶ کیلوبیت بر ثانیه kbps به شبکه Chicago و با ارتباط ۱۲۸ کیلوبیت بر ثانیه kbps به شبکه St. Louis متصل شده است. به همین دلیل شبکه St. Paul به خوبی متصل نشده است و نباید جزء همان site ای که شبکه های دیگر در آن هستند باشد .

شکل ۱۰-۱ شبکه های داخلی LANs در یک WAN و سرعتهای اتصالات مربوطه

وقتی شما اکتیو دایرکتوری را جستجو میکنید، شما اجزای منطقی logical را به جای اجزای فیزیکی physical مشاهده میکنید. علت آن این است که sites ها و subnets ها قسمتی از فضای نام namespace نرمال اکتیو دایرکتوری نیستند. sites ها فقط computer objects و connection objects را در خود جای میدهند. این objects ها برای تنظیم عملیات replication بین sites ها هستند. کامپیوترها به sites ها بر اساس محلشان location در یک subnetیا یک مجموعه از subnets ها اختصاص داده میشوند .

به عنوان یک ادمین، شما باید sites ها و subnets ها را مناسب با سازمان خود ایجاد کنید . شما باید برای بهینه سازی authentication و replication دومین کنترولرها را درون sites ها قرار دهید .

اجزای منطقی اکتیو دایرکتوری logical

اجزای منطقی در اکتیو دایرکتوری domains ، domain trees ، domain forests و organizational units – Ous هستند. این اجزا در سازماندهی منابع در یک ساختار منطقی به شما کمک میکنند. این ساختار منطقی چیزی است که به کاربران ارائه شده است .  

Domains

دومین ها domains گروه بندی منطقی از objects هایی هستند که در دیتابیس دایرکتوری  به اشتراک گذاشته شده اند. در دایرکتوری، دومین ها مانند ظرف برای objects  میباشند. در داخل یک دومین، شما میتوانید اکانت accounts برای یوزرها users ، گروه ها groups و کامپیوترها computers و همچنین برای منابع مشترک مانند پرینترها printers و فولدرها folders ایجاد کنید .

در شکل ۱۱-۱ یک domain به شکل یک مثلث بزرگ نشان داده شده است و objects هایی که در آن موجود هستند نشان داده شده است. دومین میتواند میلیونها objects را در خود ذخیره کند و به عنوان parent object برای همه objects ها میباشد. با این حال به خاطر داشته باشید، یک domain اطلاعات objects هایی که در خودش است را ذخیره میکند و دسترسی به این objects ها با مجوزهای امنیتی security permissions کنترل میشود. مجوزهای امنیتی به objects اختصاص داده میشود تا مشخص شود کدام یوزر user اجازه دسترسی به objects را دارد و نوع دسترسی این یوزر چگونه است.

شکل ۱۱-۱ یک دومین اکتیو دایرکتوری

دایرکتوری میتواند شامل یک یا چندین domain باشد. هر اسم یا نام domain باید منحصر به فرد باشد. اگر domain بخشی از یک شبکه خصوصی میباشد، نام domain جدید که میخواهید اختصاص دهید، نباید سبب ناسازگاری با سایر domain ها در شبکه خصوصی شود. اگر domain بخشی از اینترنت عمومی است، نام اختصاص داده شده به domain جدید نباید سبب ناسازگاری با domain های موجود در سراسر اینترنت شود . به همین دلیل شما نام domain عمومی خود را قبل از استفاده باید ثبت کنید. شما میتوانید اطلاعات مورد نظر را در سایت atInterNIC پیدا کنید .

از آنجا که یک domain میتواند گسترده تر از یک محل فیزیکی باشد (در چندین محل باشد)، یک domain میتواند گسترده تر از یک یا چندین site باشد. یک site تنها نیز میتواند منابع چندین domain را در خود داشته باشد. هر domain دارای سیاستهای امنیتی و تنظیمات خاص خود میباشد

Domain functions محدود هستند و توسط domain functional levels کنترل میشوند. چند domain functional levels موجود هستند که از جمله موارد زیر هستند :

Windows 2000 Native که از ویندوز سرور ۲۰۰۰ به بعد را ساپورت میکند.

Windows Server 2003 که از ویندوز سرور ۲۰۰۳ به بعد را ساپورت میکند.

Windows Server 2008 که از ویندوز سرور ۲۰۰۸ به بعد را ساپورت میکند.

(توجه: ویندوز سرور 2008 R2 نیز است)

شما زمانی که اولین دومین کنترولر را در یک domain جدید اینستال میکنید، domain functional level تنظیم میکنید. شما میتوانید domain functional level را بالا ببرید، اما نمیتوانید آن را پایین بیاورید (فقط میتوان در ویندوز سرور 2008 R2 این کار را انجام داد که آن هم محدودیت خود را دارد). در فصل دوم در مورد domain functional levels صحبت خواهیم کرد .

Domain TREES در اکتیو دایرکتوری

اگر چه domain ها بلوکهای مهمی در ساختن ساختار اکتیو دایرکتوری هستند، اما آنها فقط بلوک های ساختار دایرکتوری نیستند. دیگر بلوک های مهم ساختار domain trees میباشند. domain trees گروه بندی منطقی از domain ها هستند .

توجه : در داخل دایرکتوری، ساختار tree بیان کننده یک سلسله مراتب از objects ها است، نشان دهنده روابط parent-child بین objects ها است. domain ای که در قسمت بالا top یک tree است، به نام root domain میباشد. root domain اولین domain است که در یک دایرکتوری جدید ساخته میشود و آن parent برای سایر domain ها در domain trees میباشد. سایر domain ها که شما ایجاد میکنید به نام child domain شناخته میشوند .

به عنوان ادمین، شما domain trees را ایجاد میکنید تا منعکس کننده ساختار سازمان شما باشد. domain ها در داخل یک tree ، اشتراک گذاشتن یک فضای نام پیوسته یا متصل است. نام domain برای یک child domain به این صورت است که نام parent domain به نام child domain اضافه میشود. در شکل ۱۲-۱ cpandl.com برای tech.cpandl.com و sales.cpandl.com به عنوان parent میباشد. tech.cpandl.com دارای دو subdomain به نامهای eng.tech.cpandl.com و dev.tech.cpandl.com  میباشد. این امر سبب میشود که tech.cpandl.com برای eng.tech.cpandl.com و dev.tech.cpandl.com به عنوان parent باشد .

شکل ۱۲-۱ یک domain trees

FORESTS در اکتیو دایرکتوری

domain forest ها گروه های منطقی از domain tree ها هستند. domain tree ها در یک domain forest به صورت جدا و مستقل هستند. به این ترتیب، domain trees ها که عضوی از یک domain forest میباشند، فضای نام بیوسته را به اشتراک نمیگذارند . در واقع، وقتی شما یک domain جدید به اکتیو دایرکتوری اضافه میکنید که قسمتی از یک فضای نام جداگانه میباشد (نام جداگانه دارد)، این domain به عنوان یک tree جدید به forest اضافه میشود. بطور مثال، اگر اکتیو دایرکتوری یک tree تک داشته باشد، همانطور که در شکل ۱۲-۱ دید، و شما domain جدیدی به نام adatum.com به دایرکتوری اضافه کردید، این domain به عنوان یک قسمتی از یک tree جدید به forest اضافه میشود، همانطور که در شکل ۱۳-۱ میبینید. حال این domain به عنوان root domain برای tree جدید شناخته میشود .

شکل ۱۳-۱ یک domain forest با دو domain tree

به عنوان ادمین، شما domain forests ها را ایجاد میکنید تا ساختار سازمان خود را منعکس کنید. domain ها در یک forest بطور مستقل عمل میکنند اما آنها یک Schema مشترک را به اشتراک میگذارند. forest سبب فعال شدن ارتباط در سراسر domains های عضو میشود. مانند domain trees ها، domain forests ها نیز root domain دارند. اولین domain که در یک forest جدید ایجاد میشود به عنوان root domain میباشد. اولین domain که در هر tree در forest ساخته میشود، به عنوان root domain فقط برای آن tree میباشد. در شکل ۱۴-۱ cpandl.com و adatum.com دو root domain برای tree های مربوط به خودشان میباشند، اما به دلیل آنکه cpandl.com اولین domain بوده است که به عنوان root domain ساخته شده، پس به عنوان forest root domain میباشد .

شکل ۱۴-۱ گسترش محیط domain

توجه: domains ها در یک forest از طریق two-way transitive trusts مطلق به هم متصل شده اند. Trust یک لینک بین دو domain است که در آن یک domain که به نام trusting domain شناخته میشود، اجازه احراز هویت ورود logon authentication به domain دیگر که به نام trusted domain شناخته میشود، میدهد. Trust سبب اتصال domains های parent و child در یک domain tree مشابه میشود و همچنین همین عمل در مورد root در domain tree . پروتکل استانداردی که برای Trust استفاده میشود کربروس ورژن ۵ Kerberos version 5 است . اطلاعات بیشتر در فصل هشتم گفته میشود .

Forest functions ها محدود هستند و توسط forest functional level کنترل میشوند. چند forest functional level موجود هستند، از جمله :

Windows 2000 دومین کنترولرهای ویندوز NT 4.0 و نسخه های بعدی را ساپورت میکند. به هر حال شما نمیتوانید دومین کنترولر ویندوز NT 4.0 را با ویندوز سرور ۲۰۰۸ استفاده کنید و همچنین نمیتوانید دومین کنترولر ویندوز سرور ۲۰۰۸ را با سرورهای ویندوز NT 4.0 استفاده کنید.

Windows Server 2003 دومین کنترولرهای ویندوز سرور ۲۰۰۳ به بعد را ساپورت میکند. وقتی همه domain ها در forest با این مد کار کنند، شما شاهد بهبود عملیات replication مربوط به گلوبال کاتالوگ global catalog و و بازدهی عملیات replication برای دیتای اکتیو دایرکتوری خواهید بود. دلیل آن است که از Link Value Replication استفاده میشود و شما خواهید دید که intersite replication بهبود مییابد. شما میتوانید class objects و attributes مربوط به schema را غیر فعال کنید، از کلاسهای کمکی پویا dynamic auxiliary classes استفاده کنید، domain را تغییر نام دهید و یا one-way ، two-way و transitive forest trusts ایجاد کنید .

Windows Server 2008 دومین کنترولرهای ویندوز سرور ۲۰۰۸ به بعد را ساپورت میکند. وقتی همه domain ها در forest با این مد کار کنند، شما شاهد بهبودی عملیات replication مربوط به intersite و intrasite خارج از سازمان خواهید بود. دومین کنترولرها میتوانند بجای File Replication Service – FRS از Distributed File System – DFS برای replication استفاده کنند که سبب بهبودی میشود. علاوه بر این اصول امنیتی security principals ایجاد نمیشوند، تا زمانی که PDC emulator بر روی ویندوز سرور ۲۰۰۸ در forest root در حال کار نباشد. این تقریبا مانند نیاز مربوط ویندوز سرور ۲۰۰۳ است .

توجه: در زمان نگارش این کتاب، وقتی شما دومین کنترولر ویندوز سرور 2008 R2 را راه اندازی کردید، دارای یک forest functional level جدید به نامWindows Server 2008 R2 نیز میباشد. وقتی forest در این مد باشد و تمام دومین کنترولرها ویندوز سرور 2008 R2 باشند، شما دارای قابلیتهای ویژه ای مانند Deleted Object Recovery ، Managed Service Accounts و Offline Domain Join میباشد .

Organizational units – OUs

واحد های سازمانی Organizational units – OUs ظروف منطقی logical containers هستند که برای سازماندهی objects ها در داخل یک domain استفاده میشوند. به این علت که OUs ها کوچکترین حوزه ای هستند که شما میتوانید اختیارات authority را واگذار delegate کنید، شما میتوانید از OUs ها برای مدیریت ادمین ها در مورد یوزرها، گروه ها و کامپیوترها و همچنین برای سایر منابع دیگر مانند پرینترها و فولدرهای به اشتراک گذاشته شده، استفاده کنید .

وقتی OUs ها را به OUs های دیگر اضافه میکنید، شما یک سلسله مراتب در domain ایجاد میکنید. به این علت که هر domain در domain forest دارای سلسله مراتب OUs خاص خود میباشد. سلسله مراتب OUs در یک domain به صورت مستقل از سایر domain های دیگر میباشد .

در حالت مطلوب، شما با ساختن ها کارهای اجرایی را آسان میکنید. شما میتوانید از ها برای کارهای زیر استفاده کنید :

  • انعکاس منابع و اکانتهای مدیریت شده
  • انعکاس ساختار شعبات در درون سازمان
  • انعکاس مکانهای جغرافیایی و واحدهای بیزینس
  • انعکاس قدر یا بهای مراکز در درون سازمان

این شرح را بخوانید، شما ممکن است OUs ها را برای هر بخش یا واحد بیزینس در داخل سازمان ایجاد کنید. این امر به شما اجازه میدهد، به مقدار سطح مدیران، اختیارات مدیریتی برای مدیریت اکانتها و منابع در داخل همان واحد بیزینس یا بخش بدهید. اگر یکی از این مدیران در آینده احتیاج به این داشته باشد که اختیارات مدیریتی برای یک واحد بیزینس یا بخش دیگر داشته باشد، شما میتوانید به آن مدیر اختیارات را برای آن OU خاص بدهید .

بطور پیشفرض، تمام OUs های child از parent OUs مجوزها permissions را به ارث inherit می برند. به همین دلیل، زمانی که به یک مدیر مجوز لازم برای یک parent OU داده میشود، در حقیقت این مدیر میتواند تمام اکانتها و منابع موجود در child OUs ها آن parent OUs نیز مدیریت کند. بطور مثال اگر North America حالت parent OUs باشد، United States و Canada حالت child OUs آن باشند، مدیرانی که اختیارات برای North America دارند به صورت اتوماتیک صاحب همان اختیارات برای OUs های United States و Canada خواهند بود .

در شکل ۱۵-۱ domain با نام cpandl.com از دو OU به نام های sales و services برای عملیات سراسری در North America ، Europe و South America استفاده میکند . sales و services به عنوان top-level OUs ها هستند. Sales دارای سه OU دیگر تو در تو nested به نام های NA ، Europe و SA میباشد. Services دارای سه OU دیگر تو در تو nested به نام های NA ، Europe و SA میباشد. در این محیط ادمین ها میتوانند در سطوح مختلف مدیریت داشته باشند. ادمین های domain دارای مجوز برای domain و تمام OUs های آن میباشند. ادمین های Sales OU دارای مجوز برای Sales و هر سه nested OUs هستند اما برای domain یا Services OU و سه nested OUs داخل آن مجوز ندارند. داخل Sales OU ادمینهای NA ، Europe و SA فقط برای همان OUs ها مجوز دارند.

شکل ۱۵-۱ Organizational units در داخل domain

90%
Awesome
  • Criteria
Active Directoryآموزش اکتیو دایرکتوریاجزاء اکتیو دایرکتوریاجزای فیزیکی اکتیو دایرکتوریادمینهای اکتیو دایرکتوریساختار دایرکتوری
Comments (1)
Add Comment
  • mohamad ghajar

    سلام …امکانش هست نحوه اموزش پروتکل کربروس ورژن ۵ که برای Trust استفاده میشود …را توضیح دهید..