اکتیو دایرکتوری (Active Directory) : از سرویس‌های شرکت مایکروسافت برای مدیریت منابع شبکه است که به وسیلهٔ کنترل کنندهٔ دامنه (دامین کنترلر) مدیریت می‌شود و در اساس یک کنترل‌کننده متمرکز شبکه است که برای سرویس‌دهنده‌های بر مبنای ویندوز سرور تهیه گردیده‌است. بدون اکتیو دایرکتوری مدیریت منابع نیازمند مدیریت تک‌به‌تک آن‌ها به صورت منفرد است، در حالی که توسط اکتیو دایرکتوری مدیریت منابع شبکه به صورت مجتمع صورت می‌گیرد. این فناوری طوری طراحی شده‌است که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانی‌های کوچک را به عهده دارد. اطلاعات اکتیو دایرکتوری سلسله مراتبی، برگردان و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیره‌سازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ یا عملکرد واحد پردازش مرکزی ندارد.

بعنوان مثال برای به اشتراک‌گذاری چند فولدر روی شبکه در حالتی که اکتیو دایرکتوری موجود نمی‌باشد نیازمند تعیین دسترسی هر کاربر در هر فولدر به صورت مجزا می‌باشیم و با بروز تغییرات در کاربران و فولدرها بایستی این تغییرات به صورت مجزا اعمال گردد در حالی که در حالت اکتیو دایرکتوری با اعمال قوانین گروهی (group policy) می‌توان این اعمال را به صورت متمرکز انجام داد.

مثال دوم با بکارگیری اکتیو دایرکتوری وقتی کاربر تصمیم به تعویض گذرواژه خود می‌گیرد تمامی سیستم‌های کاربری که با اکتیو دایرکتوری مجتمع شده‌اند به صورت خودکار با گذرواژه جدید شما هماهنگ می‌گردند و نیازی به تغییر تک تک آن‌ها نمی‌باشد.

سروری که سرویس اکتیودایرکتوری را ارائه می‌کند، دامین کنترولر (DC) نام دارد. این سیستم وظیفه احراز هویت و تعیین سطح دسترسی برای تمامی کاربران و کامپیوترهای متصل به دامین را بر عهده دارد. به عنوان مثال وقتی یک کاربر به یک کامپیوتر متصل به دامین لاگین می‌کند، اکتیو دایرکتوری صحت گذرواژه را بررسی می‌کند و مشخص می‌کند آن کاربر چه سطح دسترسی را دارا می‌باشد.
اکتیو دایرکتوری از پروتکل‌های LDAP نسخه ۲ و ۳، Kerberos و DNS استفاده می‌کند.

کاربری انفرادی یا اشتراک منابع
بسیاری از کاربران بر این باورند که محیط تک کاربره آن‌ها بسیار ساده‌تر بوده و هیچ توقعی از امنیت و مدیریت و اشتراک مساعی ندارند. در حالی که امروزه تأثیر ساختارهای گروهی و محیط‌های خلاقانه در توسعه سازمان‌ها و گروه‌های علمی مانند دانشگاه‌ها انکارناپذیر است. اکتیو دایرکتوری برای یک سازمان، محیطی توسعه پذیر، مدیریت پذیر و ایمن فراهم می‌کند تا در انجام مأموریت‌های سازمانی کارامد و مؤثرتر باشد.

مشخصات یک اکتیو دایرکتوری مناسب
1. Centralization: اطلاعات را متمرکز می‌کند، یعنی برای دسترسی به یک سری اطلاعات نیاز به جست و جوی در مکان‌های مختلف نباشد.
2. Scalability: وقتی امکانات شبکه زیاد می‌شود یا به عبارت دیگر AD بزرگ می‌شود باید بتواند با آن گسترش کنار بیاید و سرعت آن کاهش پیدا نکند همچنین مانند سابق پرسش‌ها را سریعاً جواب دهد، مثلاً یک چاپگر خاص کجا قرار دارد.
3. Standardization: بر اساس استانداردهای موجود دنیا تدوین شده باشد.
4. Extensible: پذیرای افزایش قابلیتها باشد. هر برنامه‌ای که به سیستم عامل اضافه می‌شود، ممکن است بخواهد خودش به AD یک سری موضوعات و قابلیت‌ها اضافه و از آن‌ها استفاده نماید در نتیجه AD باید پذیرای افزایش قابلیت‌ها باشد.
5.Seperation Of Physical Network: باید ساختار فیزیکی شبکه را از ساختار منطقی آن جدا کند و این هدف اصلی طراحی شبکه است، چون لازم نیست کاربر بداند امکانات فیزیکی شبکه در کجا قرار دارد تا از آن‌ها استفاده نماید.
6.Security: امنیت در ذخیره اطلاعات و همچنین دسترسی به اطلاعات باید در AD وجود داشته باشد.
7.Policy Based System: می‌توان با اعمال سیاست‌های مختلف تحت شبکه، شبکه را در جهت هدف خاصی پیش برد و محدودیت‌های دسترسی کاربران در جهت امنیت شبکه ایجاد کرد.

Active Directory Certificate Services and Public Key Infrastructure
Public Key infrastructure یا به اختصار PKI به یکی از مهم ترین و اساسی ترین زیر ساخت شبکه های مدرن تبدیل شده است. امروزه در اکثر شبکه ها از public key certificate ها برای امن کردن شبکه های بیسیم، امن کردن سرویس های تجاری در وب سایت و یا برای مجتمع شدن PKI با (Secure Sockets Layer (SSL برای VPN ها مورد استفاده قرار می‌گیرند.

مایکروسافت برای تولید و مدیریت PKI ها یک سرویس به نام (Active Directory Certificate Services (AD CS که با نام Certificate Services نیز شناخته می‌شود را در ویندوز سرور قرار داده است. بنابراین با استفاده از این سرویس شرکت ها و سازمان ها می‌توانند زیر ساخت خود را پیکربندی و مدیریت کنند.
به دلیل اینکهPKI certificate ها طراحی شده‌اند تا هویت شما به دیگران را ثابت کنند، میبایست شما چندین عملیات اجرایی را انجام دهید تا مطمئن شوید هر کس که از طرف شما یک Certificate دریافت می‌کند همان کسی هست که واقعا وجود دارد. زمانی که شما برای هر شخص یک certificate تهیه می‌کنید، هویت آن شخص توسط شما گارانتی و تایید می‌شود.
از سرویس Active Directory Certificate می‌توان هم در شبکه های داخلی و هم در شبکه های خارجی نیز استفاده کرد. به طور مثال زمانی که وارد یک سایت با پروتکل HTTPS می‌شوید که ان سایت شامل SSL certificate معتبر است، نشان دهنده این است که شما در همان سایتی قرار دارید که میبیاست باشید. شما می‌توانید با بررسی این certificate نام سرور، نام سازمان و ... را مشاهده کنید. certificate ها با مرورگر شما کار می‌کنند زیرا مرورگر هایی همانند Internet Explorer یا Firefox شامل یک لیست از CA های تجاری مورد تایید است که این (Certificate Authority(CA ها در کل جهان شناخته شده و مورد اطمینان هستند. زمانی که شما certificate های خودتان را issue می‌کنید به دلیل اینکه این certificate ها از CA های معتبر دریافت نشده‌اند، میباست سازمان خود را به صورت دستی در تمام کامپیوتر هایی که با Certificate شما کار می‌کنند به عنوان یکCA Trusted پیکربندی کنید. اما زمانی که سازمان شما برای تمامی کامپیوتر ها یک Certificate تهیه کرده باشد و سازمان شما نیز از یک CA تجاری Trusted تهیه و یا خریداری شده باشد. تمامی کامپیوتر های دارای Certificate سازمان به صورت اتوماتیک شما را به عنوان یک Trusted CA می‌شناسند.

Microsoft System Center

مجموعه‌ نرم‌افزار Microsoft System Center راه حل و راهکار جامع مدیریتی شرکت مایکروسافت جهت مدیریت و هدایت یک‌پارچه‌ی سرتاسر مراکز داده از کلاینت‌ها و سرورها تا انواع تجهیزات شبکه و محیط‌های فیزیکی و مجازی همچنین نظارت و محافظت از داده‌ها می‌باشد. با بهره‌مندی از این مجموعه، مدیران شبکه و فناوری اطلاعات، امکان مدیریت و حفاظت از کل نظام رایانه‌ای تحت نظر خود را به‌شکل کاملا یک‌پارچه خواهند داشت و با استفاده از این بسته‌ی نرم‌افزاری در وقت و هزینه‌ی نگه‌داری سیستم، صرفه‌جویی شده و باعث افزایش بهره‌وری و بازدهی کار خواهد شد.

نرم‌افزارهای موجود در مجموعه‌ی Microsoft System Center:
• Microsoft System Center Configuration Manager یا به‌اختصارSCCM :مدیریت پیکربندی نرم‌افزاری و سخت‌افزاری؛ شامل نصب سیستم عامل، توزیع نرم‌افزار و بسته‌های امنیتی و کنترل از راه دور با پشتیبانی کامل از سیستم‌عامل‌های کلاینت، سرور و موبایل
• Microsoft System Center Data Protection Manager یا به ‌اختصارSCDPM : حفاظت جامع و پشتیبان‌گیری یک‌پارچه و جامع جهت بازیابی در زمان وقوع مشکل از داده‌ها و سیستم‌های ویندوزی مانند SharePoint، SQL Server، Exchange، فایل سرورها و همچنین ویندوزهای دسک‌تاپ و لپ‌تاپ
• Microsoft System Center Operations Manager یا به ‌اختصارSCOM: یک زیرساخت واحد جهت پایش یا مانیتورینگ یک‌پارچه و قابل انعطاف عملیات سیستم در جهت کنترل منابع سخت‌افزاری و نرم‌افزاری در مراکز داده، ایجاد مانیتورینگ در سیستم‌های ابری خصوصی و عمومی و پاسخ‌گویی هوشمند به فرایندهای سیستمی
• Microsoft System Center Orchestrator یا به ‌اختصار SCO : یک مرکز اتوماسیون گردش کار مراکز داده جهت مدیریت و نظارت بر روندهای کاری و خودکارسازی آن‌ها
• Microsoft System Center Service Manager یا به ‌اختصار SCSM: مدیریت واحد و یک‌پارچه‌ی خدمات و پاسخ‌گویی جهت رفع مشکل، کنترل تغییرات و مدیریت چرخه‌ی عمر دارایی
• Microsoft System Center Virtual Machine Manager یا به ‌اختصار SCVMM: مدیریت پیشرفته‌ی مجازی‌سازی و توسعه، مدیریت و بهینه‌سازی زیرساخت‌ها و مراکز داده‌ی مجازی و همچنین فیزیکی با بهره‌مندی بهینه از منابع

آشنایی با Active Directory Right Management Service
امروزه در اکثر شبکه ها بحث امنیت اطلاعات مطرح است. این اطلاعات ممکن است که برای یک سازمان بسیار حیاتی و مهم باشند و در کنار ان، این اطلاعات و سند ها ممکن است نیاز باشد تا برای برخی از کارمندان قابل مشاهده باشد اما نه قابل دستکاری و انتشار. با استفاده از AD RMS می‌توانید بر روی سند های مهم و یا ایمیل های خود دسترسی های پیشرفته‌ای تعریف کنید. به طور مثال فرض کنید که شما یک سند مهم در برنامه Word ایجاد می‌کنید و قصد دارید تا کارمندان بتوانند این سند ها ببینند اما شاید نخواهید که کارمندان این سند را از شرکت بیرون برده و یا ان را کپی کنند. در اینجا است که AD RMS به کمک شما می‌آید.
AD RMS به طور کلی وظیفه حفاظت از اطلاعات حساس و حیاتی را دارد. این امنیت اطلاعات با استفاده AD RMS و دیگر اجزای این سرویس همانند Certificates، Licensing و موارد دیگر موثر خواهد بود. با استفاده از این سرویس می‌توانید از تمام اتفاقات نیز Log برداری کرده و ان ها به صورت دائم در Sql Server نگهداری کنید. البته در محیط های ازمایشی می‌توانید از دیتابیس خود ویندوز یعنی Windows Internal Database نیز استفاده کنید. همچنین AD RMS با دیگر role های ویندوز همانند AD DS و AD CS نیز مجتمع می‌شود تا سرویسی بهتر با امنیت بیشتر در اختیار شما قرار دهد.

زمانی که برای اولین بار AD RMS را نصب می‌کنید، به صورت پیش فرض یک AD RMS root cluster ایجاد خواهید کرد. یک AD RMS root cluster طراحی شده است تا به درخواست های Certificate و Licensing پاسخ دهد. در AD DS forest فقط یک AD RMS root cluster می‌تواند وجود داشته باشد. زمانی که شما چندین AD RMS بر روی سرور های مختلف نصب می‌کنید، این سرور ها به صورت اتوماتیک با یک دیگر Load Balancing می‌شوند.

به طور کلی زمانی که شما اطلاعات را از طریق AD RMS محافظت می‌کنید، به عبارتی به سرور AD RMS جهت صادر کردن Certificate های مربوط به دسترسی فایل ها متکی می‌شوید. این Certificate ها شامل اطلاعاتی همانند ورودی ها قابل اطمینان، گروه ها، کاربران، کامپیوتر ها، برنامه ها و سرویس ها است که می‌توانند محتوی ها right-enabled را ایجاد و انتشار کنند. بعد از اینکه که انتشار دهنده محتوای مورد اعتماد شناخته شد، می‌تواند برای فایل ها و سند های ایجاد کرده خود حق(rights) و شرط های مختلفی ایجاد کند. در هر زمان که یک کاربر بر روی سند سیاست ها حفاظت از اطلاعات را اتخاذ میکند، AD RMS یک publishing license برای سند صادر می‌کند. با مجمتع یا یکی شدن این license با سند، AD RMS این license را به صورت دائمی به سند متصل (attach) می‌کند تا هر بار نیازی به دسترسی به AD RMS جهت اتخاذ سیاست های امنیتی نباشد. زمانی که با استفاده از AD RMS از یک فایل محافظت می‌کنید، این فایل با استفاده از کلید های رمزنگاری خاص که بسیار شبیه کلید های ساخته شده در AD CS هستند، رمزنگاری یا encrypt میشوند. زمانی که بخواهید فایل ها و سند های محافظت شده را مشاهده کنید، کاربر میباست از طریق یک برنامه و یا مرورگر پشتیبانی کننده از AD RMS یا به اصطلاح AD RMS-enabled به سرور AD RMS دسترسی پیدا کند تا بتواند فایل و یا سند مورد نظر رمز گشایی و مشاهده کند. اگر برنامه‌ای که می‌خواهد با استفاده از ان سند و یا فایل محافظت شده را باز کنید فاقد قابلیت AD RMS باشد، کاربر نمی‌تواند ان سند را مشاهده و یا رمزگشایی کند.
در تصویر زیر می‌توانید به صورت کلی مراحل AD RMS publishing را مشاهده کنید.

DirectAccess
اگر شما هم می خواهید در شرکت کارایی را بالا ببرید و در عین حال در زمان و پول شرکت صرفه جویی کنید، حتما این مقاله را مطالعه کنید. این روزها دغدغه بسیاری از کسب و کارها افزایش کارایی و داشتن نیروی کاری ای است که بتوانند در همه جا و حتی در حال حرکت به اطلاعات دسترسی داشته باشد و منابع ارزشمند شرکت را ذخیره کند. کارمندان داخلی و کاربران خارجی نیاز دارند که به اطلاعات به روز و لحظه ای دسترسی داشته باشند، حتی اگر در حال حرکت و سفر باشند.
اگر شبکه شما Windows Server 2008 R2 و یا Windows Server 2012 باشد و کاربرانتان از ویندوز 7 یا 8 استفاده می کنند، می توانند از قابلیت های DirectAccess برای سرویس دادن به کارمندان خارج از محیط شرکت استفاده کنید.

چرا از DirectAccess استفاده کنیم؟
DirectAccess مزایای بسیاری نسبت به VPNها دارد و جایگزین خوبی برای VPN است. با DirectAccess ارتباط کامپیوتر کاربر با اینترانت شرکت به اندازه استفاده از اینترنت ساده و یکپارچه است، همچنین به مراتب امن تر از VPN است.علاوه بر این کاربرانتان دیگر نگران مشکلات فراوان متصل شدن به VPN و برقراری ارتباط مجدد در صورت قطعی نیستند. این را هم در نظر داشته باشید که استفاده از VPN میتواند سرعت ارتباطات اینترنت را کاهش دهد.
شما به عنوان مدیر شبکه برای راه اندازی DirectAccess باید چند کار نسبتا مشکل را انجام دهید مثلا در سمت کاربر یک کانکشن یکپارچه ایجاد کنید. اما ارزش این زحمت ها را دارد، چون علاوه بر افزایش کارایی کاربران، امنیت شبکه را هم به مراتب افزایش می دهد.