آموزش: مفاهیم پایه‌ای اکتیو دایرکتوری را بیاموزید : کاربر اکتیو دایرکتوری (ایجاد، مدیریت، حذف، جستجو)

اکتیو دایرکتوری (Active Directory یا AD) سنگ‌بنای هر محیط محلی (on-premises) یا ترکیبی (hybrid) مبتنی بر مایکروسافت است. این سرویس اطلاعات مربوط به کاربران، رایانه‌ها و سایر اشیاء را ذخیره می‌کند و خدمات حیاتی مانند احراز هویت (Authentication) و مجوزدهی (Authorization) را ارائه می‌دهد تا کارکنان بتوانند بهره‌ور باشند و فرآیندهای کسب‌وکار به‌درستی اجرا شوند. در ادامه، مفاهیم پایه‌ای اکتیو دایرکتوری را بررسی می‌کنیم.

اکتیو دایرکتوری چیست؟

Active Directory یک سرویس دایرکتوری برای محیط‌های شبکه‌ای ویندوز است. این دایرکتوری نقش پایگاه داده مرکزی را برای اطلاعاتی همچون کاربران، رایانه‌ها، گروه‌ها و سایر اشیاء ایفا می‌کند. دو خدمت اصلی که AD ارائه می‌دهد عبارت‌اند از:

احراز هویت (Authentication): فرآیند تأیید اینکه یک کاربر یا نرم‌افزار واقعاً همان چیزی است که ادعا می‌کند؛ مثلاً با بررسی نام کاربری و رمز عبور.
مجوزدهی (Authorization): مشخص می‌کند آیا آن هویت تأییدشده اجازه دسترسی به منبع یا سرویس خاصی را دارد یا نه.

ساختار اکتیو دایرکتوری چگونه است؟

ساختار AD به‌صورت سلسله‌مراتبی است و شامل عناصر جنگل (Forest)، درخت (Tree) و دامنه (Domain) می‌شود. جنگل‌ها و دامنه‌ها عناصر اصلی هستند و درخت‌ها ساختار منطقی دامنه‌ها و زیردامنه‌ها هستند.

جنگل (Forest)

جنگل مجموعه‌ای از یک یا چند دامنه است. سازمان‌های بزرگ ممکن است چند جنگل داشته باشند؛ مثلاً شرکت‌های دارای چند شعبه، ارائه‌دهندگان خدمات، یا شرکت‌هایی در حال ادغام.

Trust بین جنگل‌ها

برای تعامل بین اشیاء در جنگل‌های مختلف، باید بین آن‌ها Trust (اعتماد) برقرار شود. این Trust می‌تواند یک‌طرفه یا دوطرفه، و گذرا (Transitive) یا غیر گذرا (Non-transitive) باشد.

دامنه (Domain)

دامنه مجموعه‌ای از اشیاء Active Directory است (مانند کاربران، رایانه‌ها، گروه‌ها و واحدهای سازمانی) که در یک پایگاه داده مشترک ذخیره شده‌اند.

واحد سازمانی (Organizational Unit - OU)

برای مدیریت بهتر، یک دامنه می‌تواند به چند OU تقسیم شود که معمولاً بر اساس ساختار سازمانی تعریف می‌شوند.

اجزای منطقی و فیزیکی اکتیو دایرکتوری

اجزای منطقی:

جنگل‌ها
درخت‌ها
دامنه‌ها
OUها

اجزای فیزیکی:

کنترل‌کننده دامنه (Domain Controller): سرورهایی که خدمات اصلی اکتیو دایرکتوری را فراهم می‌کنند.
سایت (Site): گروهی از آدرس‌های IP مرتبط که برای کنترل ترافیک بین DCها و دسترسی محلی کاربران به منابع استفاده می‌شود.

مفاهیم دیگر مهم در AD

کاربر (User): حساب کاربری افراد یا سرویس‌ها.
گروه‌ها (Groups): برای مدیریت دسترسی و منابع به‌صورت گروهی.
کامپیوترها (Computers): دستگاه‌های شبکه‌ای که در دامنه عضو شده‌اند.
پوشه‌های مشترک (Shared folders): برای دسترسی گروهی کاربران به فایل‌ها.
سرور گلوبال کاتالوگ (Global Catalog): نسخه‌ای از همه اشیاء دامنه خودش و بخشی از اشیاء دامنه‌های دیگر.

مدیریت کاربران و گروه‌ها با Active Directory

Active Directory (AD) یک سرویس دایرکتوری است که به شما امکان می‌دهد کاربران و گروه‌ها را در یک شبکه ویندوزی مدیریت کنید. این سرویس باعث تمرکز در احراز هویت، مجوزدهی و مدیریت منابع شبکه می‌شود. در این مقاله با نحوه ایجاد، تغییر، حذف کاربران و گروه‌ها و همچنین تخصیص مجوزها و نقش‌ها آشنا خواهید شد.

۱. ایجاد کاربران و گروه‌ها

برای ایجاد یک کاربر یا گروه در Active Directory، از ابزار Active Directory Users and Computers (ADUC) استفاده می‌شود که می‌توان آن را از منوی Start یا پوشه Administrative Tools باز کرد. همچنین، می‌توان از Active Directory Administrative Center (ADAC) یا دستورات PowerShell برای گزینه‌های پیشرفته‌تر بهره برد.

برای ایجاد کاربر:

روی واحد سازمانی (OU) مورد نظر راست‌کلیک کرده و گزینه New > User را انتخاب کنید.
اطلاعات موردنیاز مانند نام، نام ورود (logon name)، و رمز عبور را وارد کرده و به مرحله بعد بروید.
در صفحات بعد می‌توانید تنظیمات دیگری مانند تاریخ انقضای حساب، مسیر پروفایل و عضویت در گروه را انجام دهید.

برای ایجاد گروه:

در OU مورد نظر راست‌کلیک کرده و گزینه New > Group را بزنید.
یک نام و توضیح وارد کرده و نوع گروه (Type) و محدوده گروه (Scope) را مشخص کنید:
- Scope تعیین می‌کند گروه در چه سطحی از دامنه یا جنگل (Forest) قابل مشاهده و عضوگیری باشد.
- Type تعیین می‌کند که گروه برای اهداف امنیتی استفاده شود یا برای توزیع ایمیل.

۲. ویرایش کاربران و گروه‌ها

برای تغییر اطلاعات یک کاربر یا گروه:

می‌توانید شیء مربوطه را در ADUC یا ADAC دوبار کلیک کرده و اطلاعات را ویرایش کنید.
همچنین، می‌توانید از دستورات PowerShell مانند Set-ADUser و Set-ADGroup برای تغییر ویژگی‌ها استفاده کنید. برای نمونه:
- تغییر نام، ایمیل، شماره تلفن، رمز عبور یا عضویت در گروه‌ها
- تغییر نام، توضیح، نوع یا اعضای گروه
همچنین می‌توان از دستور Move-ADObject برای انتقال کاربر یا گروه به OU دیگر استفاده کرد.

۳. حذف کاربران و گروه‌ها

برای حذف کاربر یا گروه:

از گزینه Delete در ADUC یا ADAC یا دستورات Remove-ADUser و Remove-ADGroup در PowerShell استفاده کنید.
حذف باعث پاک شدن شیء از دایرکتوری می‌شود، اما مجوزها و نقش‌های تخصیص‌یافته به آن را حذف نمی‌کند.
برای حذف مجوزها، از دستورات Revoke-ADPermission یا Remove-ADPrincipalGroupMembership استفاده کنید.
برای غیرفعال‌سازی حساب بدون حذف، از Disable-ADAccount استفاده کنید.

۴. تخصیص مجوزها و نقش‌ها

برای تعیین سطح دسترسی کاربران و گروه‌ها:

از تب Security در تنظیمات شیء موردنظر (مانند فایل‌ها، پوشه‌ها، پرینترها یا اشیاء AD) استفاده کنید.
از پنجره Advanced Security Settings برای افزودن، ویرایش یا حذف ACE (Access Control Entries) بهره ببرید.
با استفاده از Delegation of Control Wizard می‌توانید وظایف مدیریتی را به کاربران یا گروه‌ها واگذار کنید.
همچنین می‌توانید با دستورات Add-ADGroupMember یا Add-ADPrincipalGroupMembership اعضا را به گروه‌های دارای مجوزهای پیش‌تعریف‌شده اضافه کنید.

۵. مدیریت با PowerShell

PowerShell زبان اسکریپت‌نویسی قدرتمندی است که امکان مدیریت خودکار و پیشرفته کاربران و گروه‌های AD را فراهم می‌کند.

از Active Directory module در PowerShell استفاده کنید تا به دستورات مورد نیاز دسترسی داشته باشید.
عملیات‌هایی مانند ایجاد، تغییر، حذف، غیرفعال‌سازی، انتقال و جستجوی کاربران و گروه‌ها را انجام دهید.
از Get-ADUser و Get-ADGroup برای دریافت مشخصات کاربران و گروه‌ها استفاده کنید.
پارامترهایی مانند Filter, SearchBase, و SearchScope برای دقیق‌سازی جستجوها مفید هستند.
نتایج را با Export-Csv یا Out-File ذخیره و گزارش‌گیری کنید.

۶. بهترین شیوه‌ها (Best Practices)

برای مدیریت ایمن و مؤثر کاربران و گروه‌ها در AD:

ساختار OU و الگوی نام‌گذاری را با دقت طراحی کنید.
از Group Policy برای تنظیم یکپارچه مواردی مثل سیاست‌های رمز عبور، امنیت و نصب نرم‌افزار استفاده کنید.
گروه‌های امنیتی برای تخصیص مجوزها و نقش‌ها ایده‌آل هستند.
گروه‌های توزیعی (Distribution Groups) برای ارتباط ایمیلی استفاده می‌شوند.
اصل «کمترین سطح دسترسی ممکن» (Least Privilege) را رعایت کنید.
بررسی و نظارت منظم با ابزارهایی مانند Event Viewer، Group Policy Management Console یا PowerShell ضروری است.

۷. نکات تکمیلی

در این بخش می‌توانید تجربیات، داستان‌ها یا نکاتی را که در بخش‌های بالا نگنجیده‌اند به اشتراک بگذارید.
برای مثال:

«در یک شرکت، ما با مهاجرت به AD ابتدا دچار چالش در مدیریت کاربران شدیم. با ایجاد قالب کاربر و ساختار گروه‌های استاندارد، اتوماسیون عضویت گروه‌ها را پیاده‌سازی کردیم و هماهنگی با منابع انسانی را بهبود دادیم. این اقدام باعث کاهش بار پشتیبانی و افزایش امنیت شد.»

اکتیو دایرکتوری (Active Directory) یکی از اصلی‌ترین اجزای زیرساخت شبکه در محیط‌های ویندوزی است که برای مدیریت متمرکز کاربران، گروه‌ها، رایانه‌ها و منابع دیگر به کار می‌رود. یکی از پایه‌ای‌ترین مفاهیم در اکتیو دایرکتوری، کاربر (User) است؛ یعنی حسابی که به یک فرد یا سرویس اجازه می‌دهد به منابع شبکه مانند فایل‌ها، پرینترها یا اپلیکیشن‌ها دسترسی پیدا کند. کاربران در ساختاری به نام Organizational Unit (OU) سازمان‌دهی می‌شوند و می‌توان برای هر کاربر ویژگی‌هایی مانند رمز عبور، زمان انقضای حساب، مسیر پروفایل یا مجوزهای دسترسی تعریف کرد.

برای ایجاد کاربر در Active Directory، ابزارهایی مانند Active Directory Users and Computers (ADUC) یا PowerShell مورد استفاده قرار می‌گیرند. پس از ایجاد، مدیر شبکه می‌تواند کاربر را به گروه‌ها اضافه کند، دسترسی‌های خاصی برای او تعیین نماید، یا در صورت لزوم، حساب را غیرفعال یا حذف کند. همچنین امکان جستجو و بازیابی اطلاعات کاربران از طریق فیلترها و دستورات PowerShell مانند Get-ADUser وجود دارد که در محیط‌های بزرگ و سازمانی بسیار کاربردی است. آموزش این مفاهیم، پایه‌ای برای ورود به مدیریت حرفه‌ای شبکه‌های ویندوزی به شمار می‌رود.

4.3/5 - (7 نظر)

دیگر مطالب

Windows 11 در برابر Windows 12: چه چیزهایی جدید است، چه چیزهایی بهبود یافته و چرا باید ارتقا دهید؟

دنیای سیستم‌عامل‌ها به‌طور مداوم در حال تحول است و مایکروسافت طی دهه‌ها در خط مقدم این پیشرفت قرار داشته است.

مطالعه مقاله

۶ توصیه برای همکاری کارآمد روی اسناد Word و ۵ اشتباه رایجی که باید هنگام همکاری آنلاین از آن‌ها پرهیز کرد

مایکروسافت ورد یکی از برنامه‌های اصلی مجموعه Microsoft Office است. این مجموعه نرم‌افزاری شامل ابزارهای متعددی برای انجام کارهای اداری،

مطالعه مقاله

مایکروسافت لایسنس(شرکت رایان نت) به عنوان اولین تأمین کننده رسمی لایسنس‌های اصلی محصولات مایکروسافت و تنها همکار تجاری رسمی مایکروسافت در ایران (Microsoft Partner)، با سابقه فعالیت بیش از یک دهه در واردات عمده محصولات اورجینال مایکروسافت و همکاری با بیش از 200 هولدینگ و سازمان دولتی، خصوصی و بین‌المللی شاخص و مطرح در ایران و همچنین ارائه خدمات به بیش از پنج هزار مشتری حقیقی و حقوقی، با وجود تحریم های آمریکا، به واسطه شخصیت حقوقی مستقل خود در انگلستان Talee Limited، به عنوان Partner & Solution Provider رسمی مایکروسافت مشغول به فعالیت است. با توجه به حجم موجودی شرکت، تمامی محصولات به صورت فوری تحویل داده می‌شوند و دارای پشتیبانی، گارانتی و همچنین پشتیبانی فنی مایکروسافت هستند. علاوه بر این، لازم به ذکر است که هیچ یک از محصولات ارائه شده از نوع OEM ،Academic یا Charity نیستند و تمامی محصولات با لایسنس Retail و یا Volume License معتبر و قابل استعلام از مایکروسافت ارائه می‌شوند. مایکروسافت لایسنس به عنوان یک تأمین کننده رسمی، با فعالیت طولانی در ارائه محصولات اصلی مایکروسافت و تجربه ارائه خدمات به بسیاری از سازمان‌های خصوصی و دولتی برجسته کشور، افتخار دارد که تمام محصولات نرم‌افزاری مایکروسافت را بدون واسطه و با شرایط تحویل آنی و با تضمین بهترین قیمت (بر اساس نوع لایسنس و شرایط استفاده) به صورت مستقیم عرضه نماید.