دسته: شبکه و زیرساخت

هنگامی که مجموعه ای از tree ها در یک ساختار درختی کنار همدیگر قرار میگیرند، تشکیل یک forest یا جنگل را میدهند.
اولین دامین که در فارست ساخته می شود، forest root domain نام دارد و نام آن به عنوان نام فارست محسوب خواهد شد.
یک فارست حاوی کلیه اجزای اکتیو دایرکتوری می باشد.
به صورت پیشفرض اطلاعات تنها در محدوده forest تبادل می شوند.
فارست به عنوان یک محدوده امنیتی برای کلیه اطلاعات محسوب خواهد شد.

forest are made up of one or more trees

 انجمن گفتگو

در صورتی که دامین های موجود در یک ساختار درختی در کنار هم قرار گیرند اصطلاحا یک tree یا درخت را تشکیل خواهند داد.
در صورتی که دامین دوم به دامین اول وصل شود، این دامین به عنوان child domain نام گذاری خواهد شد.
دامینی که child domain به آن متصل شده است، اصطلاحا parent یا دامین والِد نام دارد.
دامین child خود میتواند یک دامین فرزند داشته باشد که به ان متصل است.
برای تشکیل نام کامل یک دامین، نام child domain با نام دامین والد ترکیب می شود و یک dns name یا نام کامل را تشکیل می دهد.

domain tree

Domain Trees

domain هسته اصلی و مرکزی این ساختار منطقی در اکتیو دایرکتوری محسوب می شود.

domain سه وظیفه اصلی را بر عهده دارد:

1. به عنوان یک محدوده جهت مدیریت منابع محسوب می شود.
2. به مدیریت منابع و امنیت اعمال شده بر آنها کمک می کند.
3. به عنوان یک واحد جهت انجام عملیات replication مورد استفاده قرار می گیرد.

حال با هم نگاهی کوتاه به این سه وظیفه می اندازیم:
همانطور که گفته شد، دامین مجموعه ای از آبجکت های تعریف شده میباشد که از یک دیتابیس و پالیسی مشترک استفاده میکند.
همچنین یک دامین میتواند با دامین های دیگر رابطه Trust برقرار کند.
با توجه به این نکات معمولا مدیر سیستم آبجکت هایی را که از یک پالیسی و security مشترک استفاده میکنند را درون یک دامین قرار میدهد.
میتوانید از دامین جهت اعمال security و پالیسی های مورد نظرتان بر روی منابع به اشتراک گذاشته در آن استفاده نمایید.
security و policy های در نظر گرفته شده در سطح یک دامین یه تمامی آبجکت های موجود در آن اعمال خواهد شد.

آبجکت های موجود در هر دامین، درون بخش domain partition مربوط به اکتیودایرکتوری ذخیره میشود.
کامپیوترهایی که به عنوان domain controller در نظر گرفته شده اند یک کپی از domain partition را نزد خود نگاه میدارند.
در صورتی که تغییری در هر یک از DC ها رخ دهد، تغییرات بر روی سایر DCها، کپی و یا اصطلاحا replicate خواهد شد.

domain network

یکی دیگر از قسمت های لاجیکال در اکتیودایرکتوری organizational units یا OU می باشد.
با استفاده از ou می توان object ها را درون گروه های خاص تقسیم بندی نمود که این کار عمل مدیریت را بسیار آسانتر می کند.
برای مثال میتوان user object ها را بر اساس نوع شغل، مکان جغرافیایی و یا یک کلاس خاص تقسیم بندی نمود.
به این ترتیب شما به راحتی میتوانید آنها را پیدا و مدیریت نمایید.
یکی دیگر از مزایای استفاده از ou این است که می توانید برای هر بخش یک مدیر مشخص نمائید.
برای مثال در یک شرکت سه بخش فروش، مدیریت و تحقیق وجود دارد که هر کدام از آنها درون یک OU قرار گرفته اند.
همانطور که گفته شد میتوانید برای هر یک از این OUها یک مدیر تعریف کنید، که تنها اجازه دسترسی و مدیریت به آبجکت های درون همان ou را دارا خواهد بود.

یکی دیگر از روش های مدیریت ساده تر ouها به این صورت است که میتوانید چند ou که به دلایلی خاص با هم خصوصیات مشترک دارند را درون organizational units کلی و بزرگ قرار دهید.
برای مثال فرض کنید شرکت شما دارای 6 واحد مالی با ou های مخصوص به خود میباشد.
جهت اجرای مدیریت ساده تر میتوانید این 6 ou را در یک ouی بزرگ به نام فاینانس یا مالی قرار دهید.
حال در صورت اعمال یک security یا یک قانون به این ou، این قوانین به کلیه بخش های درون آن اعمال خواهد شد.

به طور کلی organizational units جهت سازماندهی آبجکت های موجود درون یک دامین استفاده می شود.

ou in active directory

objects اساسی ترین جزء ساختار منطقی اکتیودایرکتوری می باشد.
و ارائه کننده یوزرها و منابع موجود در شبکه همچون کامپیوترها و پرینترها می باشد.

به عبارت دیگر هر منبع و یا کاربر درون شبکه یک objects محسوب می شود.

کلاس های object الگو برای آبجکت های موجود در شبکه هستند.
هر شی یا آبجکت توسط مجموعه ای از صفات و مقادیر مشخص می شود.
این صفات مقادیری که میتوان به یک آبجکت اختصاص داد را مشخص میکند.
یک یوزر می تواند دارای صفاتی همچون نام، نام خانوادگی، شهرت، محل کار و میزان اعتبار حساب باشد.
تنها این مقادیر برای هر کاربر قابل تعریف خواهد بود.
برای ساختن یک user object حتما میبایست یک الگو یا template در object class وجود داشته باشد.
در اکتیودایرکتوری به مجموعه object class و attributeهای موجود درآن اصطلاحا اکتیودایرکتوری اسکیما گفته می شود.

هر آبجکت توسط مقادیر خاصی که به attributeها یا صفات آن اختصاص می یابد مشخص میشود.
از آنجایی که اکتیودایرکتوری اطلاعات مربوط به آبجکت ها را به همراه صفات آنها ذخیره میکند، کاربران و برنامه های کاربردی میتوانند به سادگی آبجکت های موجود را بر اساس صفات خاص مورد نظرشان جستجو و پیدا کنند.
برای مثال یک کاربر برای اینکه پرینتر نزدیک به خود را پیدا کند میتواند دنبال پرینتری بگردد که که مقدار مکان آن با مکان شخص یکی باشد.

object in active directory

در این قسمت با ساختار منطقی یا لاجیکال active directory و اجزاء مختلف آن آشنا خواهید شد.
اکتیو دایرکتوری اطلاعات مربوط به این ساختار منطقی را در خود ذخیره می کند.

ساختار منطقی یا لاجیکال active directory شامل موارد زیر می باشد:

objects
organizational units
domains
domain trees
و forests
می باشد که در قسمت های بعدی به طور خلاصه تعریف و نحوه عملکرد هر یک از این اجزا منطقی را شرح خواهیم داد.

the logical structure of active directory

As a directory service, an Active Directory instance consists of a database and corresponding executable code responsible for servicing requests and maintaining the database.
The executable part, known as Directory System Agent, is a collection of Windows services and processes that run on Windows 2000 and later.
Objects in Active Directory databases can be accessed via LDAP, ADSI (a component object model interface), messaging API and Security Accounts Manager services. (Source: wikipedia)

در این درس میخواهیم درباره انواع ساختار در active directory صحبت کنیم.
یک سازمان و یا شرکت می بایست هر دو ساختار فیزیکی و منطقی را در طراحی شبکه برای رسیدن به اهداف خود در نظر بگیرد.
برای مثال:
در صورتی که شرکت شما تنها یک domain نیاز داشته باشد، ولی شعبه هایی در قسمت های مختلف که فاصله زیادی از هم دارند،
داشته باشد، شما باید سایت های مختلفی را تشکیل دهید تا DC ها در زمانی که ترافیک بر روی شبکه سبکتر است بتوانند با هم replicate داشته باشند.

در مثال دیگر:
در صورتی که کارمندان شرکت شما درون یک ساختمان قرار داشته باشندولی از لحاظ امنیتی لازم باشد که پالیسی های متفاوتی بر روی آنها اعمال شود، شما میتوانید چندین دامین با توجه به نیازتان درون یک سایت ایجاد کنید.

active directory logical and physical structure

انواع ساختار در active directory (فیزیکی و منطقی)

در این درس میخواهیم در مورد تفاوت workgroup و domain صحبت کنیم.
مراحل لاگین کردن به سیستم و تائید صحت پسورد و یوزرنیم در workgroup و domain متفاوت است.
یک کاربر در دو حالت می تواند به صورت local به سیستم لاگین کند.
حالت اول به کامپیوتری که عضو workgroup باشد. complidor
حالت دوم به کامپیوتری که عضو domain باشد ولی domainController نباشد.
زیرا در domain controller امکان لاگین کردن به صورت لوکال وجود ندارد.
جهت ورود به سیستم یا اصطلاحا لاگین نمودن یک کاربر باید دارای پسورد و نام کاربری خاص باشد.
مراحل تائید صحت پسورد یک کاربر در domain و workgroup متفاوت است.

در فیلم زیر به این مراحل و تفاوت بین آنها نگاهی می اندازیم:

تفاوت workgroup و domain در شبکه های کامپیوتری

Difference between Workgroup and Domain