مدیریت دامین های چندتایی

 

trust1 ممکن است محیط Enterprise دارای چند دامین باشد، در این صورت فرآیند های مدیریتی پیچیده تر از حالت تک دامینی (Single Domain) است. ممکن است لازم باشد تا اشیائی میان دامین ها انتقال پیدا کند و یا ساختار دامین ها باز سازی شوند. شاید لازم باشد که تشخیص هویت و دسترسی به منابع در بین دامین ها یا درخت ها انجام شود. با توجه به دورنمایی که در مدیریت سایت ها در اکتیو دایرکتوری به دست می آورید و مدیریت دامین های چند تایی می توانید ساختار کامل اکتیو دایرکتوری را مدیریت کنید و آماده به طراحی محیط اکتیو دایرکتوری شبکه های Enterprise شوید.

در گذشته توصیه می شد یک Domain Forest Root انحصاری در طراحی در نظر گرفته شود. Domain Forest Root به اولین دامین در جنگل (Forest) گفته می شود و Domain Forest Root انحصاری دامینی است که انحصارا جهت مدیریت زیرساخت های جنگل به کار می رود. این دامین شامل گروه های حساس کاربری همچون Enterprise Admins و Schema Admins را دارا می باشد و Operation Master های Forest-Wide در همین دامین پیش بینی شده اند. در تئوری پیش بینی شده بود که استفاده از Dedicated Domain Forest Root می تواند امنیت را بهبود ببخشد. در زیر Domain Forest Root انحصاری، بر اساس توصیه های اخیر یک دامین فرزند به صورت Global قرار می گیر و سایر اشیاء درون آن جای می گیرند. اکنون دیگر استفاده از Domain Forest Root انحصاری در تمام شبکه های Enterprise توصیه نمی شود و استفاده از یک دامین تکی در جنگل متداول ترین نحوه طراحی توصیه شده است. البته لازم به ذکر است هیچ متد طراحی واحدی وجود ندارد که برای هر سازمانی مناسب باشد پس لازم است تا با در نظر گرفتن شرایط طراحی مناسب به دست آید. طراحی مناسب امروز در بسیاری از سازمان ها مطابق تصویر فوق است.

با گذشت زمان، اکتیو دایرکتوری کامل تر شده و بهبود پیدا کرد است. توصیه های گذشته در امروز دیگر کاربردی ندارند. امروزه اکیدا توصیه می شود که از یک Single Domain در طراحی استفاده شود و افزودن دامین های دیگر آخرین گزینه انتخابی در طراحی ها قرار گیرد. نکات زیر می تواند در درک دلایل این تغییر کافی به نظر برسد.

۱٫ در یک جنگل با دامین های چندتایی ریسک و هزینه افزایش پیدا می کند. استفاده از یک دامین تکی هزینه های سخت افزاری و پشتیبانی کاربران را کاهش می دهد.

۲٫ هنوز هیچ ابزار مناسبی برای هرس کردن و قلمه زدن درخت ها وجود ندارد! به عبارت بهتر، نمی توان به طور قابل قبولی یک دامین را از یک درخت جدا و در یک درخت دیگر قرار داد. چنانچه این امر امکان پذیر بود، استفاده از Domain Forest Root انحصاری بیشتر می توانست مفید باشد.

۳٫ در تنظیمات امنیتی می توان کمترین برتری ها را در نظر گرفت که اگر از ساختار Domain Forest Root انحصاری امن تر نباشد، ضعیف تر نیست.

بنابراین بهترین نحوه در زمان طراحی، ابتدا در نظر گرفتن یک Single Domain است که در صورت نیاز گسترش پیدا می کند. بزرگ ترین اشتباه در طراحی دامین های چندگانه اثر گرفتن از بخش ها و ساختار سازمان است. گاهی این اشتباه در طراحی ها بسیار به چشم می خورد که در ازای هر بخش از سازمان یک دامین فرزند طراحی شده است. طراحی ساختار درختی اکتیو دایرکتوری نباید الهام گرفته شده از بخش ها، دپارتمان ها و دفاتر یک سازمان باشد. ساختار چندتایی دامین ها باید به طور مستقیم از ویژگی های خود دامین ها مشتق شده باشد. با این حال، در برخی از سناریو ها استفاده از دامین های چندگانه الزام دارد.

۱٫ یک Domain Partition که بین تمامی DC ها replicate می شود. اشیاء موجود در یک دامین  همانندUsers ، Groups ، Policies و Computers بین تمام دامین کنترلر ها در دامین Replicate می شود. اگر با توجه به توپولوژی شبکه لازم است تا اطلاعات مورد Replicate تقسیم شوند، باید از دامین های چندتایی استفاده شود. البته فراموش نشود که فرآیند Replication در AC DS بسیار اثر بخش است و می تواند اطلاعات دامین های بسیار بزرگ را با استفاده از پهنای باند پایین Replicate کند. در شرایطی که از لحاظ قانونی یا از نظر مشتری لازم است تا اطلاعات معینی برخی محل های نگه داری DC وجود نداشته یک روش موثر استفاده از دامین های چندتایی است. همچنین می توان با جلوگیری از ذخیره سازی آن اطلاعات مشخص در Domain Partition راه حلی ارائه داد. در هر صورت در این شرایط لازم است تا اطمینان حاصل شود که Global Catalog اطلاعات را Replicate نمی کند.

۲٫ یک سیاست Kerberos. سیاست پیش فرض Kerberos برای اکثر شبکه ها کافی و موثر است اما برای داشتن یک سیاست متمایز لازم است از چند دامین در ساختار اکتیو دایرکتوری استفاده شود.

۳٫ یک فضای نامی DNS. هر دامین تنها دارای یک نام DNS منحصر به فرد است. اگر چند فضای نامی متفاوت لازم است باید از چند دامین استفاده شود. با این وجود توجه به افزایش هزینه ها و ریسک ها پیش از انجام این عمل لازم است.

۴٫ در دامین هایی با Functional Level پیش از Windows Server 2008 یک دامین تنها می تواند یک Password Policy و یک Account Lockout Policy منحصر به فرد داشته باشد. بنابراین در شرایط Functional Level گفته شده چنانچه سیاست مجزایی لازم است باید از چند دامین استفاده شود.

همانطور که گفته شد، استفاده از دامین های چندتایی هزینه های سخت افزاری، مدیریتی و نگه داری را به شدت افزایش می دهد. هر دامین به حداقل دو دامین کنترلر نیاز دارد که هر کدام از آن ها به امنیت فیزیکی، تهیه نسخ پشتیبان و… نیازمند است. حتی ممکن است با توجه به گستره جغرافیایی سازمان، به دامین کنترلر های بیشتری نیاز باشد. دامین های چندتایی فرآیند مدیریتی را نیز به طور چشمگیر افزایش می دهند. به عنوان مثال؛ انتقال یک شیئ بین دو دامین بسیار دشوار تر از بین دو OU است. غیر از هزینه ها، ریسک های امنیتی نیز بیشتر می شوند. یک تصور ناقص آن است که دامین یک مرز امنیتی است، در صورتی که یک Forest (جنگل) یک مرز امنیتی است. به عبارت دیگر در یک Forest، مدیران شبکه می توانند سبب زیان در تمام Forest شوند. در واقع خسارات بسیاری ممکن است از سوی یک اشتباه مدیریتی اتقاق افتد. ضمن آنکه یک مدیر بیشتر، به معنای افزایش خطای انسانی و افزایش امکان خیانت به اطلاعات شرکت توسط یک مدیر با هدف بد است. ساده ترین مسئله، می تواند سبب جلوگیری از سرویس دادن (Denial Of Service) شود و یا integrity تمام جنگل را زیر سوال ببرد.

به عنوان مثال مدیر شبکه در یکی از دامین ها یک گروه Universal می تواند بسازد که با GC همواره لازم است Replicate شود و با ساختن یک گروه و اضافه کردن اعضای بسیار زیادی در آن و ادامه این فرآیند می تواند سبب جلوگیری از سرویس دادن در شبکه شود. یا در یک مثال دیگر، هر مدیر شبکه در یکی از دامین ها می تواند یک نسخه پشیتیبان تاریخ گذشته مثلا مربوط به سال گذشته سازمان را Restore کند و تمام جنگل را دچار اختلال کند. در آینده در خصوص نحوه طراحی محیط اکتیو دایرکتوری بیشتر بحث می شود.

درخت های چند تایی

توجه داشته باشید که یک درخت یک فضای نامی پیوسته است. اگر به فضای نامی دیگری نیاز است باید درخت دیگری در جنگل در نظر گرفته شود. مطابق تصویر زیر:

trust2

جنگل های چند تایی

یک جنگل یک نمونه مستقل از محیط اکتیو دایرکتوری است. تمام دامین و دامین کنترلرها در یک جنگل Replicate های Schema و تنظیمات را دارا هستند و کاربرانی که در دامین ها هستند به نام Authenticated user شناسایی می شوند که هویت معینی در هر دامین دارند. مدیران مختلف شبکه هر یک وظایف معین و مناسبی برای خود دارند. چنانچه هر کدام از موارد فوق الزام آور نیست، توصیه می شود که از جنگل های چندگانه استفاده کنید. امروزه با استفاده از Active Directory Federation Services و Cross Forest Trust استفاده از شیوه جنگل های چند تایی در حال متداول شدن و بهترین راه کار است.

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …