LogoفارسیFA

درک روابط اعتماد در Active Directory و نقش آن در Windows Server 2025

روابط اعتماد در Active Directory پایه‌ای برای مدیریت امنیت و ارتباط بین کامپیوترها، دامنه‌ها و کنترلرهای دامنه هستند. این روابط امکان احراز هویت متمرکز، اشتراک منابع و همکاری بین دامنه‌ها را فراهم می‌کنند. علاوه بر این، سطح‌های عملکردی (Functional Levels) دامنه و جنگل ویژگی‌ها و سازگاری محیط AD را تعیین می‌کنند. مفاهیم دیگری مانند Namespace، Site، Replication و Schema نیز ساختار و کارایی AD را شکل می‌دهند. در نهایت، روش‌های نوین احراز هویت مانند Microsoft Passport امنیت و تجربه کاربری را بهبود می‌بخشند.

Trust RelationshipsFunctional LevelsNamespaceReplicationSchemaMicrosoft Passport

~2 min read • Updated Dec 16, 2025

1. روابط اعتماد در Active Directory


وقتی یک کامپیوتر به دامنه اضافه می‌شود، احراز هویت از SAM محلی به Kerberos در DC منتقل می‌شود. این تغییر امنیت را افزایش داده و مدیریت متمرکز را ممکن می‌سازد. در سطح جنگل، همه دامنه‌ها به‌طور پیش‌فرض یکدیگر را اعتماد می‌کنند و این امر همکاری و اشتراک منابع را ساده‌تر می‌کند.


2. سطح‌های عملکردی (Functional Levels)


  • Forest Functional Level (FFL): تعیین نسخه‌های مجاز ویندوز سرور در کل جنگل و فعال‌سازی ویژگی‌های پیشرفته.
  • Domain Functional Level (DFL): تعیین نسخه‌های پشتیبانی‌شده در دامنه و فعال‌سازی قابلیت‌های خاص دامنه.

در Windows Server 2025 حداقل FFL و DFL برابر با Windows Server 2016 است و می‌توان آن‌ها را به 2025 ارتقا داد.


3. مفهوم Namespace


Namespace ساختار نام‌گذاری دامنه‌ها و جنگل‌ها را مشخص می‌کند. یک Namespace پیوسته (Contiguous) باعث می‌شود همه دامنه‌ها در یک جنگل از الگوی نام‌گذاری مشترک استفاده کنند و مدیریت ساده‌تر شود.


4. مفهوم Site در AD


Site نمایانگر مکان فیزیکی یا منطقی در شبکه است. طراحی صحیح سایت‌ها باعث کاهش ترافیک غیرضروری، بهینه‌سازی تکرار داده‌ها و تسریع فرآیند احراز هویت می‌شود.


5. تکرار (Replication)


تکرار داده‌ها بین DCها تضمین می‌کند که اطلاعات در کل شبکه به‌روز و هماهنگ باقی بماند. KCC مسیرهای تکرار را بهینه می‌کند. تکرار درون‌سایتی سریع‌تر و مکرر است، در حالی که تکرار بین‌سایتی کمتر و با مدیریت پهنای باند انجام می‌شود.


6. Schema در AD


Schema نقشه‌ای است که ساختار اشیاء و ویژگی‌های آن‌ها را تعریف می‌کند. این شامل:


  • Objects: مانند کاربران، کامپیوترها و گروه‌ها.
  • Classes: دسته‌بندی اشیاء و تعیین ویژگی‌های آن‌ها.
  • Attributes: خصوصیات هر شیء مانند نام، رمز عبور یا شماره تلفن.

7. Microsoft Passport


Microsoft Passport بخشی از Windows Hello for Business است و احراز هویت بدون رمز عبور را با استفاده از استاندارد FIDO فراهم می‌کند. این روش ترکیبی از دستگاه‌های مورد اعتماد و داده‌های بیومتریک یا PIN است که امنیت و تجربه کاربری را بهبود می‌بخشد.


نتیجه‌گیری


شناخت روابط اعتماد، سطح‌های عملکردی، Namespace، Site، Replication و Schema برای مدیریت Active Directory در Windows Server 2025 حیاتی است. همچنین استفاده از روش‌های نوین احراز هویت مانند Microsoft Passport امنیت و کارایی شبکه را ارتقا می‌دهد.


Written & researched by Dr. Shahin Siami

Next Article