1. پیشنیازهای نصب Active Directory در ویندوز سرور
قبل از نصب Active Directory (AD)، باید چند پیشنیاز را بررسی و اطمینان حاصل کنید که زیرساخت لازم برای نصب فراهم است.
🔹 ۱. نسخه ویندوز سرور مناسب
برای نصب و پیکربندی Active Directory، به ویندوز سرور 2016، 2019 یا 2022 نیاز دارید. ویندوز سرور 2012 و نسخههای قدیمیتر هم امکان نصب AD را دارند، اما توصیه میشود که از نسخههای جدیدتر استفاده کنید تا از تمامی ویژگیهای امنیتی و عملکردی بهرهمند شوید.
🔹 ۲. پیکربندی مناسب DNS
قبل از نصب Active Directory، باید DNS را به درستی پیکربندی کنید. زیرا Active Directory برای کارکرد صحیح خود به DNS نیاز دارد. این سرویس برای مسیریابی و شناسایی Domain Controllers ضروری است.
🔹 ۳. تخصیص آدرس IP ثابت به سرور
آدرس IP سرور باید ثابت باشد (Static IP) تا Domain Controller بتواند بهدرستی از سرویس DNS استفاده کند. در صورت استفاده از DHCP، IP سرور ممکن است تغییر کند که میتواند مشکلاتی برای AD ایجاد کند.
🔹 ۴. منابع سختافزاری موردنیاز
ویندوز سرور برای نصب Active Directory به حداقل منابع زیر نیاز دارد:
- RAM: حداقل ۴ گیگابایت
- CPU: حداقل 1.4 GHz
- فضای دیسک: حداقل 40 گیگابایت فضای آزاد در دیسک
2. مراحل نصب Active Directory و Domain Controller
پس از تأمین پیشنیازهای نصب، میتوانید نصب Active Directory را شروع کنید. در این بخش، مراحل نصب Domain Controller و Active Directory Domain Services (AD DS) توضیح داده میشود.
🔹 ۱. افزودن نقش Active Directory Domain Services (AD DS)
- وارد Server Manager شوید.
- در منوی سمت چپ، بر روی Manage کلیک کرده و Add Roles and Features را انتخاب کنید.
- در صفحه بعدی، گزینه Role-based or feature-based installation را انتخاب کرده و Next را بزنید.
- در قسمت Select a server, سرور مورد نظر خود را انتخاب کنید و Next را بزنید.
- از لیست نقشها، گزینه Active Directory Domain Services را انتخاب کرده و Next را بزنید.
- Install را بزنید تا نقش AD DS نصب شود.
🔹 ۲. نصب و پیکربندی Domain Controller
پس از نصب Active Directory Domain Services، باید Domain Controller را پیکربندی کنید.
- در Server Manager، هشدار موجود در قسمت Notifications را مشاهده خواهید کرد. بر روی آن کلیک کنید و گزینه Promote this server to a domain controller را انتخاب کنید.
- در صفحه بازشده، Add a new forest را انتخاب کرده و Domain Name مورد نظر خود را وارد کنید (مثلاً company.local).
- برای تنظیم Domain Controller، یک Password برای Directory Services Restore Mode (DSRM) انتخاب کنید. این رمز عبور برای بازیابی و تعمیرات سیستم AD استفاده میشود.
- بر روی Next کلیک کرده و در صفحه بعدی Install را بزنید تا مراحل نصب آغاز شود.
- سرور راهاندازی مجدد میشود و پس از آن، Domain Controller به شبکه اضافه میشود.
3. پیکربندی اولیه Active Directory پس از نصب
پس از نصب Domain Controller و Active Directory, لازم است تا پیکربندیهای اولیه برای آمادهسازی شبکه انجام شود.
🔹 ۱. بررسی و تنظیم DNS
- DNS Server بهطور خودکار نصب و پیکربندی میشود، اما باید اطمینان حاصل کنید که DNS Zone و Forwarders به درستی تنظیم شدهاند.
- در DNS Manager، بررسی کنید که Zoneهای اصلی (Primary Zones) و Reverse Lookup Zones ایجاد شده باشند.
🔹 ۲. ایجاد Organizational Units (OU)
- OUها برای سازماندهی کاربران و منابع به گروههای منطقی استفاده میشوند.
- برای ایجاد یک OU جدید در Active Directory Users and Computers, بر روی Domain راستکلیک کرده و گزینه New → Organizational Unit را انتخاب کنید.
- پس از ایجاد OU، میتوانید کاربران، گروهها، کامپیوترها و دیگر منابع را به آن اختصاص دهید.
🔹 ۳. اضافه کردن کاربران و گروهها
برای اضافه کردن کاربران و گروهها، مراحل زیر را دنبال کنید:
- در Active Directory Users and Computers, بر روی OU مورد نظر راستکلیک کرده و گزینه New → User را انتخاب کنید.
- مشخصات کاربر را وارد کرده و رمز عبور را تنظیم کنید.
- برای ایجاد گروه، گزینه New → Group را انتخاب کرده و گروهها را به کاربران اختصاص دهید.
4. ایجاد کاربران و گروهها در Active Directory
🔹 ۱. تعریف و مدیریت گروهها
در Active Directory، گروهها برای مدیریت دسترسی به منابع و سرویسها استفاده میشوند. دو نوع اصلی گروه وجود دارد:
- گروههای ایمن (Security Groups): برای کنترل دسترسی به منابع و فایلها استفاده میشود.
- گروههای توزیع (Distribution Groups): برای ارسال ایمیل به گروهی از کاربران استفاده میشود.
📌 برای ایجاد یک گروه، مراحل زیر را دنبال کنید:
- در Active Directory Users and Computers, بر روی OU راستکلیک کرده و New → Group را انتخاب کنید.
- نوع گروه (Security یا Distribution) را انتخاب کنید و آن را Global یا Domain Local تنظیم کنید.
- نام گروه را وارد کرده و Create را بزنید.
🔹 ۲. افزودن اعضا به گروهها
پس از ایجاد گروه، میتوانید اعضای گروه را به آن اضافه کنید.
- در Active Directory Users and Computers, گروه مورد نظر را انتخاب کرده و راستکلیک کنید.
- Properties → Members → Add را انتخاب کرده و کاربران یا گروههای دیگر را به آن اضافه کنید.
5. تنظیمات پیشرفته Active Directory (Group Policy، DNS و …)
پس از نصب و راهاندازی اولیه Active Directory, میتوان تنظیمات پیشرفتهای را برای بهینهسازی عملکرد و امنیت شبکه اعمال کرد. در این بخش، مهمترین تنظیمات پیشرفته AD را بررسی میکنیم.
🔹 ۱. مدیریت Group Policy برای کنترل تنظیمات شبکه
✔ Group Policy Object (GPO) یک ابزار قدرتمند در Active Directory است که به مدیر سرور و شبکه اجازه میدهد سیاستهای امنیتی و پیکربندیها را در سطح کل شبکه اعمال کنند.
✅ برخی از قابلیتهای GPO:
✔ اعمال سیاستهای رمز عبور (Password Policy) برای افزایش امنیت کاربران
✔ محدود کردن دسترسی به تنظیمات سیستم برای کاربران عادی
✔ غیرفعال کردن استفاده از USB و درایوهای خارجی برای جلوگیری از نشت اطلاعات
✔ پیکربندی تنظیمات امنیتی فایروال و Windows Defender در شبکه
📌 مثال:
🔹 در یک سازمان دولتی، مدیر شبکه میتواند از طریق Group Policy، تنظیمات مربوط به رمزهای عبور کاربران را طوری تغییر دهد که کاربران مجبور به استفاده از رمزهای قوی و تغییر دورهای آنها باشند.
✅ نحوه ایجاد و مدیریت Group Policy در Active Directory
📌 مراحل ایجاد یک GPO:
- باز کردن Group Policy Management
- در سرور Domain Controller, به Server Manager بروید.
- روی Tools کلیک کنید و Group Policy Management را انتخاب کنید.
- ایجاد یک Group Policy Object جدید
- در پنل سمت چپ، روی Domain راستکلیک کرده و گزینه Create a GPO in this domain, and Link it here… را انتخاب کنید.
- نام GPO را مشخص کنید (مثلاً Password Policy).
- ویرایش GPO و اعمال تنظیمات موردنظر
- روی GPO جدید راستکلیک کرده و Edit را انتخاب کنید.
- در Group Policy Management Editor, مسیر زیر را دنبال کنید:
Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy- حداقل طول رمز عبور، پیچیدگی و انقضای آن را تنظیم کنید.
- GPO را ذخیره کرده و اجرا کنید.
🔹 ۲. تنظیمات پیشرفته DNS در Active Directory
✔ DNS نقش مهمی در عملکرد Active Directory دارد, زیرا کاربران و دستگاههای متصل به دامنه برای یافتن منابع شبکه از DNS Server استفاده میکنند.
✅ مهمترین تنظیمات DNS برای Active Directory:
✔ ایجاد Forward Lookup Zone برای نگاشت نام دامنه به آدرس IP
✔ پیکربندی Reverse Lookup Zone برای نگاشت آدرسهای IP به نام دامنه
✔ فعالسازی DNS Scavenging برای حذف رکوردهای قدیمی و منقضیشده
✔ افزودن Forwarders برای ارسال درخواستهای DNS خارجی به سرورهای معتبر
📌 مثال:
🔹 اگر یک سازمان دارای چندین شعبه باشد، DNS Forwarding میتواند درخواستهای DNS را به سرورهای شعب دیگر ارسال کند تا تأخیر کاهش یابد.
🔹 ۳. استفاده از Organizational Units (OU) برای سازماندهی بهتر کاربران و دستگاهها
✔ OU (Organizational Unit) یک ساختار در Active Directory است که به مدیران اجازه میدهد کاربران، کامپیوترها و گروهها را بهصورت منطقی سازماندهی کنند.
✅ مزایای استفاده از OU:
✔ ایجاد ساختار سلسلهمراتبی برای کاربران و دستگاهها
✔ اعمال سیاستهای GPO به گروههای خاص کاربران یا کامپیوترها
✔ مدیریت آسانتر مجوزهای دسترسی به منابع شبکه
📌 مثال:
🔹 در یک شرکت چندملیتی، مدیر شبکه میتواند برای هر شعبه یک OU جداگانه ایجاد کند و سیاستهای مختلفی را برای هر بخش اعمال کند.
✅ مراحل ایجاد یک OU:
- باز کردن Active Directory Users and Computers
- روی دامنه اصلی کلیک راست کرده و گزینه New → Organizational Unit را انتخاب کنید.
- نام OU را مشخص کنید (مثلاً “Finance Department”) و روی OK کلیک کنید.
🔹 ۴. تنظیم Replication برای همگامسازی اطلاعات بین Domain Controllerها
✔ Replication به Active Directory اجازه میدهد که اطلاعات بین چندین Domain Controller بهروزرسانی و همگامسازی شود.
✔ این فرآیند تضمین میکند که تغییرات انجامشده روی یک DC، در سایر DCها نیز اعمال شود.
✅ انواع Replication در Active Directory:
✔ Intrasite Replication: همگامسازی دادهها بین DCهای یک سایت واحد
✔ Intersite Replication: همگامسازی بین DCهای سایتهای مختلف
📌 مثال:
🔹 در یک شرکت بینالمللی که دارای شعبههای مختلف در شهرهای مختلف است، Intersite Replication تضمین میکند که تمامی کاربران از اطلاعات بهروز استفاده کنند.
✅ بررسی وضعیت Replication در Active Directory:
- برای بررسی وضعیت Replication بین DCها، دستور زیر را در PowerShell اجرا کنید:
repadmin /replsummaryبرای بررسی وضعیت Replication یک DC خاص، از این دستور استفاده کنید:
repadmin /showrepl6. عیبیابی مشکلات رایج Active Directory
💡 حتی در بهترین پیادهسازیهای Active Directory، ممکن است مشکلاتی ایجاد شود. در این بخش، مشکلات رایج و راهکارهای آنها را بررسی میکنیم.
| مشکل | علت احتمالی | راهحل |
|---|---|---|
| کاربران نمیتوانند وارد دامنه شوند | مشکل در ارتباط با DNS یا عدم احراز هویت | بررسی تنظیمات DNS و تست دستورات nslookup |
| Group Policy روی برخی کاربران اعمال نمیشود | مشکل در لینک شدن GPO یا تأخیر در Replication | اجرای gpupdate /force و بررسی وضعیت gpresult /r |
| Replication بین Domain Controllerها انجام نمیشود | تأخیر در تنظیمات Replication | اجرای repadmin /replsummary و بررسی لاگها |
| مشکل در پیدا کردن منابع شبکه (مانند فایلسرور) | DNS بهدرستی پیکربندی نشده است | اجرای ipconfig /flushdns و nslookup برای بررسی DNS |
7. ویژگیهای پیشرفته Active Directory برای مدیریت حرفهای شبکه
علاوه بر تنظیمات پایه و پیشرفتهای که تا اینجا بررسی کردیم، Active Directory دارای ویژگیهای پیشرفتهتری است که به مدیران شبکه کمک میکند تا بهرهوری و امنیت شبکه را به حداکثر برسانند. در این بخش، برخی از مهمترین این قابلیتها را بررسی میکنیم.
🔹 ۱. Delegation of Control (واگذاری کنترل دسترسی به مدیران سطح پایین)
✔ مدیران شبکه میتوانند دسترسیهای خاصی را به کاربران یا گروههای خاص اختصاص دهند، بدون اینکه به آنها کنترل کامل روی AD داده شود.
✔ این ویژگی باعث افزایش امنیت و کاهش احتمال اشتباهات مدیریتی میشود.
✅ موارد استفاده از Delegation of Control:
✔ واگذاری مدیریت رمز عبور به تیم Help Desk
✔ اجازه ایجاد کاربران جدید به مدیران یک OU خاص
✔ تنظیم دسترسی به مدیریت کامپیوترهای خاص در شبکه
📌 مثال:
🔹 در یک سازمان دولتی، مدیر شبکه میتواند به واحد IT دسترسی تغییر رمز عبور کاربران را بدهد، اما اجازه حذف کاربران را به آنها ندهد.
✅ مراحل اجرای Delegation of Control در Active Directory:
- باز کردن Active Directory Users and Computers
- انتخاب OU یا گروه موردنظر و کلیک راست روی آن
- انتخاب “Delegate Control” و دنبال کردن مراحل و انتخاب دسترسیهای مناسب
🔹 ۲. Active Directory Federation Services (ADFS) برای مدیریت هویت در سطح سازمانی
✔ ADFS یک سیستم احراز هویت Single Sign-On (SSO) است که امکان دسترسی به منابع خارجی و داخلی را بدون نیاز به ورود مجدد فراهم میکند.
✔ ADFS امکان احراز هویت برای سرویسهای غیرمایکروسافتی مانند Google Workspace، Salesforce و سایر پلتفرمهای ابری را فراهم میکند.
📌 مثال:
🔹 در یک شرکت بینالمللی که از Microsoft 365، Google Drive و Salesforce استفاده میکند، ADFS به کاربران امکان ورود با یک نام کاربری و رمز عبور واحد را میدهد.
✅ مراحل راهاندازی ADFS:
- نصب نقش Active Directory Federation Services در ویندوز سرور
- ایجاد یک Relying Party Trust برای سرویسهای خارجی
- تنظیم SSO برای کاربران داخلی و خارجی
🔹 ۳. Active Directory Certificate Services (AD CS) برای افزایش امنیت ارتباطات
✔ AD CS یک سرویس مدیریت گواهینامه (Certificate Authority – CA) است که امکان صدور و مدیریت گواهینامههای دیجیتال را فراهم میکند.
✔ با استفاده از AD CS، میتوان ارتباطات رمزگذاریشده بین کاربران و سرورها را تضمین کرد.
📌 مثال:
🔹 در یک بانک، تمامی ارتباطات بین سرورها و کاربران با استفاده از گواهینامههای صادرشده توسط AD CS رمزگذاری میشوند.
✅ مزایای AD CS:
✔ رمزگذاری دادههای حساس برای جلوگیری از حملات سایبری
✔ تأمین امنیت ایمیلها و فایلهای به اشتراکگذاشتهشده در شبکه
✔ ایجاد گواهینامههای داخلی برای احراز هویت دستگاهها و کاربران
🔹 ۴. Active Directory Lightweight Directory Tools (AD LDS) برای مدیریت بهتر دادهها
✔ AD LDS یک نسخه سبکتر از Active Directory است که برای اپلیکیشنهایی که نیاز به یک سرویس دایرکتوری دارند اما نمیخواهند به Domain Controller متصل شوند، استفاده میشود.
✔ این سرویس در محیطهایی که چندین دایرکتوری برای اپلیکیشنهای مختلف نیاز است، مفید است.
📌 مثال:
🔹 در یک شرکت نرمافزاری که چندین برنامه داخلی دارد، AD LDS میتواند بهعنوان یک دایرکتوری مستقل برای هر برنامه عمل کند، بدون اینکه روی Domain Controller تأثیر بگذارد.
✅ مزایای AD LDS:
✔ کاهش بار پردازشی روی Domain Controller اصلی
✔ افزایش انعطافپذیری در مدیریت دادهها
✔ پشتیبانی از چندین دایرکتوری مستقل
🔹 ۵. Active Directory Rights Management Services (AD RMS) برای محافظت از دادهها
✔ AD RMS یک سرویس امنیتی در Active Directory است که به سازمانها امکان میدهد اسناد و ایمیلها را از طریق سیاستهای امنیتی کنترل کنند.
✔ با استفاده از AD RMS، میتوان دسترسی به اسناد را محدود کرد و حتی از کپی شدن یا ارسال مجدد آنها جلوگیری کرد.
📌 مثال:
🔹 در یک شرکت حقوقی، فقط وکلای مشخصشده میتوانند اسناد محرمانه را مشاهده کنند، درحالیکه سایر کارکنان قادر به کپی یا چاپ این اسناد نخواهند بود.
✅ مزایای AD RMS:
✔ جلوگیری از به اشتراکگذاری غیرمجاز فایلها
✔ اعمال سیاستهای امنیتی بر روی اسناد محرمانه
✔ حفاظت از دادههای حساس حتی پس از ارسال از طریق ایمیل
8. بررسی عملکرد Active Directory با ابزارهای مانیتورینگ
برای مدیریت بهتر و کاهش مشکلات احتمالی در Active Directory، استفاده از ابزارهای مانیتورینگ ضروری است.
✅ ابزارهای کاربردی برای مانیتورینگ Active Directory:
✔ Event Viewer: بررسی لاگهای مربوط به ورود کاربران و تغییرات در AD
✔ Microsoft System Center Operations Manager (SCOM): پایش سلامت Active Directory و شناسایی مشکلات
✔ Netwrix Auditor: ارائه گزارشهای امنیتی و تحلیل رفتار کاربران
📌 مثال:
🔹 اگر کاربری تلاش کند چندین بار رمز عبور اشتباه وارد کند، Event Viewer میتواند این فعالیت را شناسایی کند و یک هشدار امنیتی ارسال کند.
✅ مهمترین پارامترهایی که باید مانیتور شوند:
✔ تغییرات غیرمجاز در تنظیمات Active Directory
✔ تلاشهای ناموفق برای ورود به سیستم
✔ همگامسازی ناموفق بین Domain Controllerها
9. نتیجهگیری: چرا Active Directory بهترین انتخاب برای مدیریت کاربران در شبکههای سازمانی است؟
✔ Active Directory یک ابزار جامع و قدرتمند برای مدیریت هویت، امنیت و منابع شبکه در محیطهای سازمانی است.
✔ این سرویس امکان مدیریت متمرکز کاربران، کنترل سطح دسترسی و افزایش امنیت را فراهم میکند.
✔ با ویژگیهای پیشرفته مانند Group Policy، ADFS، AD CS و AD RMS، سازمانها میتوانند مدیریت بهتری بر روی امنیت و عملکرد شبکه خود داشته باشند.
📌 جمعبندی مهمترین قابلیتهای Active Directory:
✅ مدیریت متمرکز کاربران، گروهها و دستگاهها
✅ کنترل دسترسی به منابع با Group Policy و ACLs
✅ یکپارچگی با سرویسهای ابری مانند Azure AD
✅ استفاده از AD Federation Services برای احراز هویت یکپارچه
✅ افزایش امنیت با گواهینامههای دیجیتال و رمزگذاری دادهها
