[CENTER][B][FONT=Tahoma][SIZE=2][COLOR=#800000]آشنايي با زيرساخت هاي Active Directory در Windows Server 2003[/COLOR][/SIZE][/FONT][/B][/CENTER]
يک [B]دايرکتوري (Directory)[/B] مجموعه ذخيره *شده از اطلاعات درباره*ي اشيايي است که به نوعي با يکديگر مرتبطند. يک سرويس دايرکتوري ([B]Directory Service[/B]) تمامي*اطلاعاتي را که براي استفاده و مديريت اين اشيا لازم است، در يک محل متمرکز ذخيره نموده و بدين ترتيب نحوه*ي يافتن و [B]مديريت[/B] اين [B]منابع[/B] را تسهيل مي*بخشد. يک [B]Directory Service[/B] زمينه*اي را فراهم مي*آورد تا دسترسي به [B]منابع[/B] در سطح [B]شبکه[/B] به بهترين نحو ممکن سازمان يابد . کاربران و مديران ممکن است که نام دقيق يک شئ مورد نياز را ندانند، اما با دانستن يک يا چند ويژگي از يک شئ و با استفاده از Directory Service مي*توانند ليستي از اشيا با ويژگي مورد نظر خود را جستجو کنند.
در اين بخش به معرفي سرويس [B]Active Directory[/B] در [B]Windows Server 2003[/B] پرداخته و به صورت مقدماتي با خصوصيات، اشيا موجود و اجزاي آن (فيزيکي و منطقي) آشنا مي*شويم.
[B]کلمات کليدي:[/B] [B]Active Directory[/B]، [B]Domain[/B] يا [B]دامنه[/B]، [B]Tree[/B] يا [B]درخت[/B]، [B]Forest[/B] يا [B]جنگل[/B]، [B]Organizational Units[/B] يا [B]واحدهاي سازماني[/B]، [B]Domain Controller[/B]، و [B]سايت[/B].
[B]آشنايي با سرويس دايرکتوري موجود در ويندوز سرور 2003 (Active Directory)[/B]
[B]Active Directory[/B] يک سرويس [B]دايرکتوري[/B] بوده که در [B]Windows Server 2003[/B] قرار داده شده است. [B]Active Directory[/B] شامل يک دايرکتوري بوده که اطلاعات مربوط به شبکه را ذخيره مي*کند، علاوه بر آن داراي تمامي سرويس*هايي است که اطلاعات را قابل استفاده کرده و در دسترس قرار مي*دهد.
[B]Active Directory[/B] ويژگي*هاي زير را ارائه مي*کند:
. ذخيره*ي متمرکز داده (Centralized data store)
. مقياس پذيري (Scalability)
. قابليت توسعه (Extensibility)
. قابليت مديريت (Manageability)
. استفاده و تمرکز بر سيستم نام*گذاري دامنه (Integration with Domain Name System)
. مديريت تنظيمات سرويس گيرنده (Client configuration management)
. مديريت بر مبناي سياست (Policy-based administration)
. تکرار اطلاعات (Replication of information)
. شناسايي ايمن و انعطاف پذير (Flexible, secure authentication and authorization)
. برنامه*ها و زيرساختارهاي مبتني بر دايرکتوري
Directory-enable applications and infrastructures))
. تطبيق با ساير سرويس*هاي دايرکتوري
(Interoperability with other directory services)
. ترافيک رمزگذاري شده و امضا شده (Signed and encrypted [B]LDAP[/B] traffic)
[B]اشياي موجود در Active Directory[/B]
هر داده*اي که در [B]Active Directory[/B] ذخيره مي*شود، به صورت اشيايي ([B]Objects[/B]) متفاوت سازمان مي*يابد. يک شئ مجموعه مجزايي از صفات است که [B]منابع شبکه[/B] را مشخص مي*کند. صفات ([B]Attributes[/B])، خصوصيات اشياي موجود در يک دايرکتوري را شامل مي*شود. به عنوان نمونه صفات يک [B]User account[/B] (حساب کاربر) مي*تواند شامل نام، نام خانوادگي و نام Log on براي آن کاربر باشد. در حالي که صفات يک [B]computer account[/B] ممکن است که شامل نام و مشخصات آن شئ باشد.
بعضي از اشيا ، که از آن*ها به نام [B]Container[/B] ياد مي*شود ، خود دربردارنده اشيايي ديگرند. به عنوان مثال يک [B]domain[/B]، خود يک [B]container[/B] است که مي*تواند شامل اشيايي مانند حساب کاربران و کامپيوترها باشد. در شکل 1 پوشه*ي کاربران، يکcontainer بوده که داراي اشياي مربوط به حساب کاربران است.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/Active%20Directory%20Objects.jpeg[/IMG]
[B]شکل 1 : اشيا و صفات در Active Directory[/B][/CENTER]
[B]اجزاي Active Directory [/B]
براي ايجاد يک ساختار دايرکتوري، اجزاي زيادي مورد نياز است. اين اجزا به دو دسته*ي منطقي و فيزيکي تقسيم مي*شوند.
اجزاي منطقي عبارتند از :
•دامنه*ها ([B]Domains[/B])
•واحدهاي سازماني ([B]Organizational Units[/B])
•درخت*ها ([B]Trees[/B])
•جنگل*ها ([B]Forests[/B])
اجزاي فيزيکي که ساختار فيزيکي[B] Active Directory[/B] را شکل مي*دهند عبارتند از :
•سايت*ها ([B]Physical Subnets[/B])
•[B]Domain Controller[/B]*ها ([B]DC[/B])
[B]ساختار منطقي [/B]
در [B]Active Directory[/B]، مي*توان منابع را به صورت يک ساختار منطقي سازمان داد (ساختاري که منعکس کننده*ي مدل*هاي سازماني باشد). گروه*بندي منطقي منابع اين امکان را فراهم مي*آورد تا يک منبع با استفاده از نامش به سادگي پيدا شود و اين امر ما را از يادآوري محل فيزيکي منبع بي*نياز مي*سازد. در شکل 2 رابطه*ي [B]domainها[/B]، [B]OU*ها[/B]، [B]tree[/B]ها و [B]forest*ها[/B] ديده مي*شود.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/Active%20directory%20logical%20structure.jpeg[/IMG]
[B]شکل2 : [/B][B]رابطه ميان اجزاي منطقي Active Directory[/B][/CENTER]
[B]1. [/B][B]دامنه Domain[/B]
هسته*ي اصلي ساختار منطقي در [B]Active[/B] [B]Directory[/B]، [B]domain[/B] يا دامنه بوده که قادر به ذخيره*ي ميليون*ها شئ است. تمامي*domainها در دو ويژگي زير مشترکند.
•تمام اشياي شبکه در يک [B]Domain[/B] قرار دارند و هر [B]Domain[/B] اطلاعات مربوط به همان [B]Domain[/B] را داراست.
•[B]Domain[/B] يک محدوده*ي امنيتي است. دسترسي به اشياي Domain*ها از طريق ليست*هاي کنترل دسترسي يا [B]ACL[/B] ([B]Access Control List[/B]) ميسر مي*شود. [B]ACL* ها[/B] شامل مجوزهايي هستند که مرتبط با اشياي مورد نظر است. اين مجوزها بيان مي*دارند که کدام يک از کاربران مي*توانند به*يک شي دسترسي داشته باشند و اين دسترسي از چه نوع و در چه سطحي است. در خانواده*ي [B]Windows Server 2003[/B]، اشيا شامل فايل*ها، پوشه*ها، اشتراکات، چاپگرها و ساير اشياي [B]Active Directory[/B] است. اين نکته مي*بايست در نظر گرفته شود که هيچ يک از تنظيمات و سياست*هاي امنيتي مانند اختيارات مديريتي، سياست*هاي امنيتي و ACL*ها نمي*توانند از يک Domain به Domain ديگر تغيير يابند. اين امر بدان معنا است که*يک مدير در سطح يک Domain تنها داراي اختياراتي است که وي را محدود به وضع سياست*ها در همان Domain مي*کند.
سطح عملياتي دامنه ([B]Domain Functional Level[/B]) که تحت عنوان حالت دامنه ([B]Domain Mode[/B]) در Windows 2003 شناخته مي*شود، ويژگي*هاي خاصي را در پهنه دامنه ([B]Domain-Wide[/B])و در محيط شبکه فراهم مي*آورد.
چهار سطح عملياتي دامنه وجود دارد:
•[B]Windows 2000 mixed[/B]
•[B]Windows 2000 native[/B]
•[B]Windows 2003 interim[/B]
•[B]Windows Server 2003[/B]
سطح عملياتي “Windows 2000 mixed” به*يک [B]DC[/B] با سيستم عامل Windows Server 2003 اجازه مي*دهد تا با ساير DCها در همان Domain که داراي سيستم عامل*هاي [B]Windows NT4[/B] ، Windows 2000 و Windows server 2003 هستند ارتباط داشته باشند.
سطح عملياتي “Windows 2000 native”، تنها امکان ارتباط DC*هاي Windows 2003 با Windows 2000 را فراهم مي*آورد.
سطح عملياتي “Windows 2003 interim” ارتباط DC*هاي Windows Server 2003 با DC*هاي [B]NT4[/B] را ممکن مي*سازد.
سطح عملياتي “Windows Server 2003” تنها DC*هاي 2003 را با يکديگر مرتبط مي*سازد.
تنها در زماني مي*توان سطح عملياتي يک Domain را بالا برد که تمامي*[B]Domain Controller[/B]*ها در آن Domain نسخه*هاي مناسبي از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملياتي Domain “Windows Server 2003” باشد، در اين صورت مي*بايست که تمامي*DCها در اين Domain داراي سيستم عامل windows server 2003 باشند.
[B]2[/B][B]. Organization Units)OUs) واحدهاي سازماني[/B]
[B]OU[/B] خود يک container بوده که اشياي يک دامنه (Domain) را در گروه*هاي مديريتي سازمان دهي مي*کند. يک OU براي اعمال و اجراي وظايف مديريتي (مانند مديريت منابع و کاربران) به کار رفته و مي*تواند شامل اشيايي مانند حساب*هاي کاربران، گروه*ها، کامپيوترها، چاپگرها، برنامه*ها، فايل*هاي به اشتراک گذاشته شده و حتي ساير OU*ها از همان domain باشد. ساختار سلسله مراتبي يک OU در يک domain مستقل از ساختار سلسله مراتبي OU در domain*هاي ديگر است. مي*توان با اضافه کردن يک OU در داخل OU ديگر ([B]nesting[/B])، مديريتي سلسله مراتبي را سازمان داد. در شکل 3، domain با نام microsoft.com منعکس کننده*ي سازماني بوده که داراي سه OU است : US،Orders و Disp.
Orders و Disp در واحد سازماني (OU) US آشيانه*اي شده*اند.به صورت پيش*فرض تمامي*اشياي فرزند (OUهاي Disp وOrder) مجوزهاي خود را از والدين به ارث مي*برند (US OU). ايجاد مجوز در سطوح بالاتر و استفاده از امکانات وراثت، وظايف مديريتي را کاهش مي*دهد.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/Active%20Directory%20OU.jpeg[/IMG]
[B]شکل 3 : استفاده از OU براي به عهده گرفتن وظايف مديريتي[/B][/CENTER]
[B]3. درخت*ها Trees[/B]
يک [B]درخت[/B]([B]Tree[/B])، سازمان دهي يا گروه*بندي منطقي يک يا چند دامنه بوده که از طريق ايجاد يا اضافه کردن چند دامنه*ي فرزند ([B]Child Domain[/B]) به دامنه*ي پدر ([B]Parent Domain[/B]) فعلي به وجود مي*آيد. دامنه*ها در يک درخت، داراي يک فضاي اسمي*([B]Contiguous Namespace[/B]) يا ساختار نامي* سلسله مراتبي مشترک هستند. بر اساس استانداردهاي DNS، نام يک دامنه*ي فرزند، ترکيبي از نام خود دامنه*ي فرزند به همراه نام دامنه*ي پدر است. در شکل 4 Domain با نام microsoft.com به عنوان دامنه*ي والد، و Domain*هاي us.microsoft.com و uk.microsoft.com دامنه*هاي فرزند آن هستند. علاوه بر آن خود دامنه*ي uk.microsoft.com داراي يک دامنه*ي فرزند با نام sls.uk.microsoft.com است (به روند دنباله*وار نام دامنه*ها دقت کنيد).
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/Active%20Directory%20domain%20tree.jpeg[/IMG]
[B]شکل 4 : A Domain Tree[/B][/CENTER]
[B]4[/B][B]. جنگل*ها Forests[/B]
يک [B]جنگل[/B] ([B]Forest[/B]) دسته*بندي يا سازماندهي سلسله مراتبي از يک يا چند [B]درخت[/B] ([B]Domain Tree[/B]) کاملاً مستقل و مجزا از هم است. يک جنگل داراي ويژگي*هايي است:
[LIST][*]<LI style="TEXT-ALIGN: justify">درخت*ها در يک جنگل با توجه به دامنه*هايشان، داراي ساختار نامي*متفاوت هستند.[*]دامنه*ها در يک جنگل به صورتي کاملاً مستقل از هم عمل مي*کنند، ولي يک جنگل امکان ارتباط در تمامي*سازمان را برقرار مي*سازد.[/LIST]در شکل 5 دو درخت microsoft.com و msn.com از يک جنگل ديده مي*شوند. مي*توان مشاهده کرد که فضاي نامي*در هر درخت دنباله*وار است.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/Active%20Directory%20forest%20tree.jpeg[/IMG]
[B]شکل5: A forest of Trees[/B][/CENTER]
سطح عملياتي جنگل ([B]Forest Functional Level[/B])، ويژگي*هاي خاصي را در سطح جنگل و در محيط شبکه فراهم مي*آورد([B]Forest-wide Active[/B] [B]Directory Features[/B]) .
سه سطح دسترسي جنگل وجود دارد:
•Windows 2000 ( پيش فرض )
•Windows 2003 interim
•Windows Server 2003
سطح عملياتي “Windows 2000” به يک DC با سيستم عامل Windows Server 2003 اجازه مي*دهد تا با ساير DCها در شبکه که داراي سيستم عامل*هاي Windows NT4 ،Windows 2000 وWindows Server 2003 هستند ارتباط داشته باشد.
سطح عملياتي “Windows 2003 interim” ارتباط DC*هاي Windows Server 2003 با DC*هاي ويندوز NT4 و ويندوز سرور 2003 را ممکن مي*سازد.
سطح عملياتي “Windows Server 2003” تنها DCهاي 2003 را با يکديگر مرتبط مي*سازد.
تنها در زماني مي*توان سطح عملياتي يک Forest را بالا برد که تمامي*Domain Controller*ها در آن جنگل نسخه*هاي مناسبي از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملياتي “Windows Domain Server 2003” باشد، در اين صورت مي*بايست که تمامي*DCها در اين جنگل داراي سيستم عامل windows server 2003 باشند.
[B]ساختار فيزيکي[/B]
[B]1[/B][B].سايت*ها (Sites) [/B]
يک سايت اجتماع يک يا چند زير شبکه [B](IP (Subnet[/B] است که به وسيله*ي يک اتصال فيزيکي مطمئن و سريع به هم مرتبط شده*اند تا بتوان تا آنجا که ممکن است در جهت بهبود ترافيک شبکه اقدام کرد. سايت*ها تنها شامل اشياي کامپيوتري و ارتباطي هستند که به منظور تنظيم چگونگي تکرار در سايت ([B]Replication[/B]) به کار گرفته شده*اند. همان گونه که در شکل 6 نشان داده شده است، يک دامنه مجزا مي*تواند شامل يک يا بيش از يک سايت (از لحاظ جغرافيايي) باشد، و يک سايت مجزا مي*تواند شامل حساب*هاي کاربران و کامپيوترهايي باشد که متعلق به چندين دامنه هستند.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/active%20directory%20site%20domain.jpeg[/IMG]
[SIZE=3][/SIZE] [/CENTER]
[CENTER][B]شکل 6 : رابطه بين سايت و دامنه [/B][/CENTER]
[B]2.(Domain Controller )DC[/B]
يک [B]Domain Controller[/B] کامپيوتري است که داراي [B]سيستم عامل[/B] [B]Windows Server[/B] باشد و يک نسخه از [B]دايرکتوري دامنه[/B] ([B]Local Domain [/B]Database) يا replica را در خود ذخيره کند. هر دامنه مي*تواند بيش از يک Domain Controller داشته باشد. يک Domain Controller تنها مي*تواند به*يک دامنه سرويس دهد. يک DC وظيفه*ي شناسايي کاربراني را که تلاش براي log on به دامنه دارند، را بر عهده دارد. علاوه بر آن سياست*هاي امنيتي براي يک دامنه را نيز تنظيم و حفظ مي*کند.
[B]2—[/B] [B]مقدمه (ادامه)[/B]
در ادامه*ي مطالب بيان شده، در اين بخش با مفاهيم پايه در Active Directory آشنا مي*شويم.
کلمات کليدي: تکرار يا [B]Replication[/B]،[B]Replica[/B] ، [B]Partition[/B]، Global Catalog، سياست*هاي گروهي يا [B]Group[/B] [B]Policies[/B]، و ارتباطات مطمئن يا [B]Trust[/B] [B]Relationships[/B]
[B]درک مفاهيم Active Directory[/B]
در خانواده*ي ويندوز سرور 2003، با مفاهيم جديدي در ارتباط با Active Directory روبرو مي*شويم. اين مفاهيم شامل موارد زير است :
•[B]تکرار[/B] ([B]Replication[/B])
•[B]ارتباطات[/B] [B]مطمئن[/B] ([B]Trust[/B] [B]Relationships[/B])
•[B]سياست*هاي[/B] [B]گروهي[/B] ([B]Group[/B] [B]Policies[/B])
[B]انعكاس ياReplication[/B]
کاربران و سرويس*ها مي*بايست در هر زماني و از هر کامپيوتري در domain، به اطلاعات دايرکتوري دسترسي داشته باشند. انعكاس (Replication) اين امر را تضمين مي*نمايد که هر تغييري در يک domain controller در ساير DCها از همان domain نيز منعکس مي*شود. اطلاعات دايرکتوري در domain controller*هاي داخل و بين سايت*ها تکرار مي*شود.
[B]چه اطلاعاتي تکرار مي*شود ؟[/B]
آنچه که در دايرکتوري ذخيره مي*شود (در فايل Ntds.dit) به صورت منطقي به چهار دسته تقسيم مي*شود. به هر يک از اين دسته*هاي اطلاعاتي، لفظ directory partition اطلاق مي*گردد. يک پارتيشن دايرکتوري را با عنوان متن نامي* (naming context) نيز مي*شناسند. دايرکتوري داراي پارتيشن*هاي زير است:
[LIST=1][*]<LI dir=rtl>[B]Schema Partition[/B][B] :[/B] اين پارتيشن اشيايي را مشخص مي*سازد که مي*توانند در دايرکتوري ساخته شوند. علاوه بر آن، اين پارتيشن ويژگي*ها و صفات اين اشيا را نيز مشخص مي*سازد. اين اطلاعات و داده*ها در کل يک forest مشترک بوده و در تمامي*DC*هاي موجود در يک forest تکرار مي*شود.
<LI dir=rtl>[B]Configuration Partition [/B][B]:[/B] اين پارتيشن ساختار منطقي چيدمان Active Directory را بيان مي*دارد و شامل داده*هايي درباره*ي ساختار domain و يا توپولوژي تکرار است. اين داده*ها نيز در تمامي*domain*هاي موجود در يک forest مشترک بوده و در تمامي*DC*هاي موجود در آن جنگل تکرار مي*شوند.
<LI dir=rtl> [B]Domain Partition [/B][B]:[/B] اين پارتيشن تمامي*اشياي موجود در يک domain را تعريف مي*کند. اين داده*ها و اطلاعات مخصوص به*يک domain بوده و منحصر به فرد در همان domain است و بنابراين در ديگر domain*هاي موجود در يک forest تکرار نخواهد شد.[*][B]Application Directory Partition[/B][B] :[/B] اين پارتيشن شامل اطلاعات پوياي کاربردي است. ذخيره*ي اين اطلاعات در اين پارتيشن موجب کنترل حوزه*ي تکرار و محل نسخه*هاي تکرار (replica) مي*گردد و اين امر کوچکترين تأثير نامطلوبي در کارائي شبکه را به دنبال نخواهد داشت. اين پارتيشن مي*تواند هر نوع شي را دارا باشد (به غير از اشياي امنيتي که شامل کاربران گروه*ها و کامپيوترها مي*باشد.) بدين ترتيب داده مي*تواند به صورتي مشخص به DC*هايي هدايت شود که براي کارهاي مديريتي در نظر گرفته شده*اند و اين امر ترافيک غير ضروري تکرار (Replication) را کاهش مي*دهد.[/LIST]يک [B]Domain Controller[/B] موارد زير را ذخيره کرده و تکرار مي*نمايد :
•داده*ي موجود در [B]schema partition[/B] در سطح [B]forest[/B]
•داده*ي موجود در [B]configuration partition[/B] به تمامي*domain*ها در سطح يک forest
•داده*ي موجود در domain partition (تمامي*اشياي دايرکتوري و مشخصات آن*ها) براي همان domain. اين داده*ها در تمامي*domain controller*هاي اضافي موجود در آن domain تکرار خواهد شد. به منظور يافتن بهينه*ي اطلاعات ، بخشي از نسخه*ي تکرار (replica) که شامل صفاتي از تمام اشيايي است که به صورتي دائمي*در domain مورد استفاده قرار مي*گيرند، در کاتالوگ سراسري (Global Catalog) نيز تکرار مي*گردد. کاتالوگ سراسري محلي مرکزي براي نگهداري اطلاعات در مورد اشيا در يک درخت يا جنگل است.
يک global catalog اطلاعات زير را ذخيره و تکرار مي*نمايد :
•داده*هاي موجود در schema partition براي يک forest
•داده*هاي موجود در configuration partition براي تمامي*domain*ها در يک forest
•بخشي از replica که شامل صفاتي از تمام اشياي دايرکتوري است که معمولا در يک forest مورد استفاده قرار مي*گيرند ( اين اطلاعات تنها بين [B]Global Catalog[/B]*ها تکرار مي*شود).
•تمامي*replica که شامل کل صفات تمام اشياي دايرکتوري در domainهايي است که کاتالوگ سراسري در آن قرار دارد.
[B]اطلاعات چگونه منعكس مي*شود؟[/B]
Active Directory اطلاعات را به دو صورت منعكس مي*کند : [B]intrasite[/B] (در داخل يک سايت) و [B]intersite[/B] (بين سايت*ها) .
[B]انعكاس در داخل سايت (Intrasite Replication)[/B]
در داخل يک سايت، سرويسي از ويندوز سرور 2003 تحت عنوان Knowledge Consistency checker که به اختصار آن را KCC مي*ناميم، به صورت خودکار يک توپولوژي براي تکرار در ميان domain controllerها در همان دامنه و با استفاده از يک ساختار حلقه ايجاد مي*کند. KCC يک پروسه*ي خودکار است که در تمامي*DC*ها اجرا مي*شود. توپولوژي اعمال شده مسيري براي به روز رساني*هاي دايرکتوري فراهم مي*آورد تا از يک DC به DC ديگر جريان يابد و اين انتقال تا زماني ادامه مي*يابد که DC*هاي موجود در يک سايت به روزرساني*هاي دايرکتوري را دريافت نمايند . KCC تصميم مي*گيرد که کدام يک از سرورها براي انجام عمل انعكاس با يکديگر مناسب*تر هستند و ساير DC*ها را به عنوان شرکاي انعكاس آن*ها در نظر مي*گيرد. اين تصميم*گيري بر اساس مواردي چون نحوه*ي اتصال، سابقه*ي انعكاس موفق و بر مبناي تطابق با نسخه*هاي انعكاس جزئي و يا کامل است. هر DC مي*تواند بيش از يک شريک براي انعكاس داشته باشد. بعد از آن KCC اشياي ارتباطي را مي*سازد که ارتباط ميان شرکاي انعكاس را نمايش خواهد داد.
ساختار حلقه تضمين مي*کند که حداقل دو مسير انعكاس از يک DC به DC ديگر وجود دارد. به همين دليل اگر يکي از DC*ها از کار بيفتد، عمل انعكاس (Replication) به ساير DC*ها ادامه خواهد يافت. شکل 7 توپولوژي انعكاس در داخل سايت را نشان مي*دهد.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/active%20directory%20intrasite%20replication%20topology.jpeg[/IMG]
[B]شکل 7 : Intrasite replication topology[/B][/CENTER]
[B]KCC[/B] [B]توپولوژي[/B] [B]انعكاس[/B] در داخل سايت را هر پانزده دقيقه*يکبار بررسي کرده و از کارکرد آن اطمينان حاصل مي*کند. با اضافه*يا خارج کردن يک DC از شبکه، [B]KCC[/B] توپولوژي انعكاس را مجددا پيکربندي مي*کند تا اين تغييرات در آن منعکس شود.
هنگامي*که بيش از هفت Domain controller به*يک سايت اضافه مي*شوند، KCC اشياي ارتباط اضافي را در ساختار حلقه دخيل مي*کند تا اين اطمينان حاصل شود که اگر تغييري در هر يک از DC*ها ايجاد شود، هيچ يک از DC*ها بيش از سه [B]Hop[/B] ([B]گام[/B]) از DC ديگر فاصله نداشته باشند. اين ارتباطات بهينه به صورت تصادفي ايجاد مي*شوند و الزامي*براي ساخت آنها در هر DC نيست. شکل 8 اين مورد را نشان مي*دهد.
[B]انعكاس بين سايت*ها (Intersite Replication) [/B]
به منظور اطمينان از برقراري انعكاس ميان سايت*ها، مي*بايست که سايت*ها به صورت دستي و از طريق ايجاد اتصالات سايتي ([B]Site Link[/B]) به هم مرتبط شوند. اتصالات سايتي ارتباطات شبکه را نشان داده و وقوع انعكاس را ممکن مي*سازند. يک KCC مجزا در يک سايت تمامي*ارتباطات ميان سايت*ها را برقرار مي*سازد. اين امر در شکل 9 نشان داده شده است.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/active%20directory%20intersite%20replication%20topology.jpeg[/IMG]
[B]شکل 9: Intersite Replication Topology[/B][/CENTER]
[B]رابطه اعتماد Trust Relationship[/B]
يک Trust، اتصالي ميان دو دامنه است که در آن دامنه*ي اعتماد کننده ([B]trusting domain[/B])، اطلاعات مربوط به دسترسي و شناسايي را از دامنه*ي مورد اعتماد (trusted domain) کسب مي*کند.دو دامنه وجود دارند که موجب برقراري يک رابطه*ي مطمئن و يا يک trust مي*شوند: دامنه*ي اعتماد کننده (trusting) و دامنه*ي مورد اعتماد ([B]trusted[/B]). دامنه*ي اعتماد کننده دامنه*اي است که منابع را در اختيار داشته و به ساير دامنه*ها براي استفاده از اين منابع اعتماد دارد. دامنه*ي مورد اعتماد در حقيقت استفاده کننده از منابع است. اين مسئله در شکل زير بهتر نمود مي*يابد.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/active%20director%20trusted%20domain.jpeg[/IMG]
[B]شکل 10: دامنه*ي اطمينان کننده و دامنه*ي مورد اعتماد قرار گرفته با يک اعتماد يک طرفه[/B][/CENTER]
trust*ها ويژگي*هاي زير را دارا هستند:
•چگونگي ايجاد (Method of creation): trust*ها مي*توانند به صورت صريح (explicitly) يا تلويحي (implicitly) ساخته شوند. هيچ trustي نمي*تواند به هر دو صورت ساخته شود.
•ترانهادگي (Transitivity): يک trust ترانهاده يعني آنکه اگر Domain A به Domain B و Domain B به Domain C اعتماد يا trust دارد، آنگاه Domain A نيز به Domain C اعتماد مي*كند. يک trust غير ترانهاده يعني آن که اگر Domain A به Domain B و Domain B به Domain C اعتماد يا trust دارد، بين Domain A و Domain C هيچ ارتباط مطمئن يا Trust برقرار نيست.
•جهت (direction): trustها مي*توانند يک طرفه(one-way) يا دو طرفه(two-way) باشند. در يک اعتماد يک طرفهDomain A به Domain B trust دارد. در يک trust دو طرفه اگر Domain A به Domain B اعتماد داشته باشد، آنگاه Domain B نيز به Domain A اعتماد دارد.
•ويندوز سرور 2003 از انواع trust*هايي که در زير آمده است پشتيباني مي*کند.
•Tree-root trust
•Parent-child trust
•Shortcut trust
•External trust
•Forest Trust
•Realm Trust
Parent-Child trust با ايجاد يک درخت و به صورت اتوماتيک ميان تمامي*دامنه*هاي موجود در آن درخت به وجود مي*آيد. با اضافه شدن يک دامنه*ي جديد به*يک درخت، پروسه*ي ايجاد اتوماتيک Trust صورت مي*پذيرد. اين نوع trust دو طرفه و ترانهاده است.
Tree-Root Trust نيز به صورت اتوماتيک و با اضافه شدن يک درخت به ساختار جنگل (a new root tree) برقرار مي*شود شکل زير اين Trust*ها را نشان مي*دهد. اين نوع trust نيز دو طرفه و داراي خاصيت ترانهادگي است.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/active%20directory%20domain%20structure.jpeg[/IMG]
[B]شکل 11: ساختار دامنه به همراه دو نوع Trust : parent-child و tree-root[/B][/CENTER]
[B]سياست*هاي گروهي (Group Policies)[/B]
سياست*هاي گروهي مجموعه*اي از تنظيمات براي کاربران و کامپيوتر*هاست که مي*تواند به کامپيوترها سايت*ها، دامنه*هاو OU*ها اعمال گردد تا بدين ترتيب عملکرد کاربران بهتر مشخص گردد. GPO*ها مجموعه*اي از سياست*هاي گروهي تنظيم شده است. براي معلوم کردن تنظيمات desktop براي گروهي از کاربران مشخص، اشياي سياست گروهي ([B]Group Policy Objects or GPOs[/B]) ساخته مي*شوند. هر کامپيوتر با سيستم عامل ويندوز داراي يک GPO داخلي بوده (Local GPO) و علاوه بر آن مي*تواند با يک سري از سياست*هاي غير محلي (مبتني بر [B]Active Directory[/B]) مرتبط گردد. GPO*هاي غير محلي بر GPO داخلي اولويت مي*يابند. GPO*هاي غير محلي يا به کاربران (بدون در نظر گرفتن کامپيوتري که به آن Log on مي*کنند) و يا به کامپيوترها (بدون در نظر گرفتن کاربري که به آن log on مي*کنند) اعمال مي*گردد و مربوط به اشياي خاص Active Directory (دامنه*ها، سايت*ها و OU*ها) است. اين نوع از سياست*ها به صورت سلسله مراتبي و از گروه با کمترين محدوديت (Site) به گروه با بيشترين محدوديت (OU) اعمال مي*شود. در حقيقت چگونگي و ترتيب اعمال به صورتي که در زير آمده ، است:
[B]1.Local GPO[/B]: هر سيستم عامل ويندوز تنها داراي يک سياست گروهي است که به صورت محلي ذخيره شده است.
[B]2.GPOs linked to sites: [/B]هر GPO که به*يک سايت مرتبط باشد در مرحله*ي بعد اعمال مي*شود. اين اعمال براي تمامي*سياست*هاي مرتبط با يک سايت همزمان صورت مي*گيرد و مدير يک شبکه تعيين کننده*ي ترتيب اعمال است.
[B]3.GPOs Linked to Domains: [/B]اولويت اعمال اين دسته از سياست*ها نسبت به دو مورد اول بيشتر است. اما اولويت اعمال چندين سياست مربوط به*يک دامنه را مدير شبکه تعيين مي*کند.
[B]4.GPOs linked to OUs:[/B] GPO*هايي که در بالاي ساختار سلسله مراتبي يک OU قرار دارند زودتر اعمال مي*شوند. پس از آن GPO*هاي مربوط به OU*هاي فرزند اعمال شده و در نهايت GPO*هاي مربوط به OU شامل کاربران و کامپيوتر*ها اعمال مي*شود. در هر سطح از OU مي*توان بيش از چند GPO را اعمال نمود (حتي مي*توان هيچ GPO را اعمال نکرد).
شکل زير چگونگي اعمال سياست گروهي براي دو OU ي نمونه*ي Server و marketing را نشان مي*دهد.
[CENTER][IMG]http://www.tadbirpoya.ir/article/pic/active%20director%20Group%20Policies.jpeg[/IMG][/CENTER]
[B]مراجع :[/B]
[LEFT]•Planning , Implementing and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure : Jill Spealman, Kurt Hudson and Melissa Craft[/LEFT]
[LEFT]•Active Directory for Microsoft Windows Server 2003 : Mike Mulcare , Stan Reimar[/LEFT]
[LEFT]•Microsoft Encyclopedia of Networking, Second Edition : Mitch Tulloch , Ingrid Tulloch[/LEFT]
[SIZE=3]منبع: شركت همكاران سيستم[/SIZE]
