اکتیو دایرکتوری چیست و چه مزایایی دارد؟

شبکه‌ها سرویس‌های متعدد و کارآمدی دارند که استفاده از آن‌ها می‌تواند به افزایش بهره‌وری در محل‌های مورد استفاده مانند سازمان‌ها و شرکت‌ها منجر شود. هدف از این مقاله، آشنایی با active directory و بررسی مزایا و ویژگی های آن است. ساختار active directory و سرویس های اکتیو دایرکتوری را بررسی می‌کنیم و تفاوت اکتیو دایرکتوری و دامین کنترلر را توضیح می‌دهیم.

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری (Active Directory)، سرویسی است مشتمل بر چند سرویس دیگر یعنی چندین سرویس تحت لوای سرویس اکتیو دایرکتوری کار می‌کنند: مثل یوزرهای تعریف شده در شبکه، دسترسی هایی که به این یوزرها داده می‌شود، فایل ها و پرینترهای به اشتراک گذاشته شده در شبکه. اکتیو دایرکتوری این سرویس ها را به صورت متمرکز ارایه می‌دهد که نتیجه آن ساماندهی و مدیریت آسان و دقیق این سرویس ها است.

اکتیو دایرکتوری، سرویس دایرکتوری مایکروسافت است که روی ویندوز سرور اجرا می‌شود و به ادمین ها امکان مدیریت مجوزها و دسترسی به منابع شبکه را می‌دهد. وظیفه اکتیو دایرکتوری، مدیریت و سازماندهی تعداد زیاد کاربران در قالب زیرگروه ها و گروه های منطقی است. همچنین کنترل دسترسی به هر سطح را هم به عهده دارد.

ادمین ها با یک لاگین ساده می‌توانند از طریق شبکه، دیتا دایرکتوری را مدیریت و سازماندهی کنند، کاربران مجاز در شبکه از هر جایی به منابع شبکه دسترسی خواهند داشت. حتی مدیریت شبکه های پیچیده هم به راحتی با AD انجام می‌شود و امکان توسعه اکتیو دایرکتوری به همراه رشد سازمانی ممکن است.

دامین ها شامل کنترلرهایی است که یکی از آنها ویندوز سرور را اجرا می‌کند. هرگاه ادمین شبکه در این کنترلرها تغییری ایجاد کند توسط اکتیودایرکتوری همه کنترلرها آپدیت می‌شوند. ادمین شبکه می‌تواند مدیریت تک تک منابع شبکه را با اکتیو دایرکتوری انجام دهد و حتی وارد کامپیوتر کاربر شود.

ساختار active directory

اکتیو دایرکتوری با ارائه یک ساختار سلسله مراتبى، سازماندهى آسان Domain ها و منابع را فراهم مى‌کند. بدین ترتیب کاربران به راحتی می‌توانند منابع شبکه نظیر فایل ها و چاپگرها را پیدا کنند.

سرویس های دایرکتوری مثل ADDS یا Active Directory Domain Services شیوه ذخیره اطلاعات دایرکتوری و چگونگی دسترسی ادمین و کاربران شبکه به این اطلاعات را فراهم می‌کند. مثلا ADDS اطلاعات اکانت کاربران مانند نام و پسورد و شماره تلفن و غیره را ذخیره می‌کند و به دیگر کاربران مجاز در همان شبکه، اجازه دسترسی به این اطلاعات را می‌دهد. به این اطلاعات ذخیره شده، دایرکتوری گفته می‌شود.

دیتا به صورت آبجکت ذخیره می‌شود. آبجکت همان کاربر، گروه، برنامه و دستگاه (مثل پرینتر) است. آبجکت دو نوع است: یا منابع است مثل پرینتر و کامپیوتر یا قوانین امنیتی است مثل کاربران و گروه ها.

ساختار active directory شامل سه سطح است که هر یک از این سطوح می‌توانند ارتباطات و دسترسی های خاص داشته باشند:

1. دامین ها: آبجکت هایی مانند کاربران و دستگاه ها که همگی از یک دیتابیس استفاده می‌کنند، در یک دامین گروه بندی می‌شوند. دامین گروهی از آبجکت هاست مانند کاربر و دستگاه که در یک دیتابیس اکتیو دایرکتوری قرار دارند. دامین ها دارای ساختار DNS – Domain Name System هستند.
2. درخت ها: یک یا چند دامین می‌توانند در یک گروه قرار گیرند که درخت – Tree نامیده می‌شود. در درخت ارتباط امن بین دو دامین وجود دارد. ساختار درخت سلسله مراتبی است یعنی اگر دامین 1 با دامین 2 دارای ارتباط امن باشد، و دامین 2 با دامین 3 ارتباط امن داشته باشد، دامین 1 هم با دامین 3 ارتباط امن دارد.
3. جنگل ها: چندین درخت در مجموعه ای به نام جنگل گروه بندی می‌شوند. جنگل شامل پیکربندی دامین، اطلاعات برنامه ها، طرح دایرکتوری و لیست تمام آبجکت ها است. طرح دایرکتوری یعنی کلاس و ویژگی هایی که آبجکت در جنگل دارد.

واحدهای OU یا Organizational Units، کاربران و گروه ها و دستگاه ها را سازماندهی می‌کنند: مثلا هر آبجکت یا کاربر در دامین باید یکتا باشد و امکان تعریف مجدد یوزرنیمی که موجود است وجود ندارد. برای مدیریت اکتیودایرکتوری می‌توان از نرم افزارهای مدیریت اکتیو دایرکتوری استفاده کرد. ولی توجه کنید که با کنترل دسترسی و احراز هویت هنگام لاگین شدن، امنیت اکتیو دایرکتوری تامین می‌شود.

سرویس های اکتیو دایرکتوری

قبلتر گفتیم که چندین سرویس تحت لوای سرویس دامین اکتیو دایرکتوری – ADDS کار می‌کنند. هر یک از این سرویس ها قابلیت های مدیریت دایرکتوری را ارتقا می‌دهند و عبارتند از:

Domain Services یا AD DS: ذخیره متمرکز دیتا و مدیریت ارتباطات بین کاربران و دامین ها را بر عهده دارد. همچنین احراز هویت هنگام لاگین و سرچ را انجام می‌دهد.

Certificate Services یا AD CS: گواهینامه های امن را ایجاد و مدیریت می‌کند و به اشتراک می‌گذارد. گواهینامه از رمزگذاری استفاده می‌کند تا اطلاعات را روی اینترنت به صورت امن جابجا کند.

 یا AD LDS: پشتیبانی از دایرکتوری ها و فراهم کردن امکان استفاده برنامه ها از پروتکل LDAP را بر عهده دارد. LDAP پروتکلی است که برای دسترسی و نگهداری سرویس های دایرکتوری روی شبکه استفاده می‌شود. LDAP آبجکت هایی مانند نام کاربری و پسورد را در سرویس های دایرکتوری (مثل اکتیو دایرکتوری) ذخیره می‌کنند و آن را روی شبکه به اشتراک می‌گذارد.

Directory Federation Services یا AD FS: وظیفه آن بررسی دسترسی کاربر به برنامه ها است حتی روی چند شبکه. برای این کار از Single Sign On – SSO استفاده می‌کند. برای احراز هویت کاربر در چندین برنامه، SSO را در یک نشست فراهم می‌کند. یعنی چه؟ یعنی SSO فقط لازم دارد که کاربر یکبار لاگین کند نه اینکه برای هر سرویس، احراز هویت مختص آن انجام شود.

Rights Management یا AD RMS: قانون کپی رایت را برای جلوگیری از استفاده غیرمجاز و توزیع محتوای دیجیتالی اجرا می‌کند. یعنی حقوق اطلاعات را کنترل و مدیریت می‌کند. چگونه؟ با رمزگذاری محتوا روی سرور با دسترسی محدود مانند اسناد ورد یا ایمیل.

بررسی دامین سرویس – Domain Service

سرویس اصلی در اکتیو دایرکتوری، سرویس دامین است: AD DS. این سرویس، اطلاعات دایرکتوری را ذخیره می‌کند و تعاملات کاربران را در دامین کنترل می‌کند. وقتی کاربری به دستگاهی وصل می‌شود یا سعی می‌کند به سرور روی شبکه وصل شود، AD DS دسترسی را بررسی می‌کند. AD DS کنترل می‌کند کدام کاربر به کدام منابع دسترسی دارد مثلا ادمین نسبت به کاربر معمولی، سطح دسترسی متفاوتی به دیتا دارد.

محصولات دیگر مایکروسافت مانند Exchange Server و SharePoint Server بر بستر AD DS هستند تا دسترسی به منابع را فراهم کنند. سروری که سرویس دامین اکتیو دایرکتوری روی آن هاست است، دامین کنترلر نامیده می‌شود.

مزایای اکتیو دایرکتوری

1- نگه داری اطلاعات کاربران و موجودیت های شبکه بطور متمرکز:

دامنه: کلیه اطلاعات کاربران مثل اسم، رمز، شماره تلفن، آدرس و غیره بطور متمرکز نگه داری می‌شوند و به همین دلیل قابلیت پشتیبانگیری و دسترسی سریع و مدیریت متمرکز را دارند.

گروهی: اطلاعات بطور پراکنده بر روی هر سیستم وجود دارد که علاوه بر امنیت بسیار ضعیف، قابلیت بکاپ گیری تا حد زیادی مشکل و شاید غیر قابل انجام می‌شود و قابلیت مدیریت متمرکز را ندارد.

2- مقیاس پذیری (Scalability):

دامنه: به دلیل متمرکز بودن اطلاعات و مدیریت می‌تواند تعداد بسیار زیادی آبجکت مختلف را در خود جا دهد و مدیریت کند.

گروهی: به دلیل پراکندگی اطلاعات توصیه می‌شود تعداد کاربران این نوع شبکه از 10 عدد بیشتر نشود چون قابل مدیریت نیست.

3- توسعه پذیری (Extensibility):

دامنه: می‌توان آبجکت جدیدی را تعریف کرد (به جز آنهایی که بصورت پیش فرض تعریف شدند) و از آنها تحت شبکه استفاده کرد.

گروهی: فقط از اشیای تعریف شده می‌توان استفاده کرد.

4- قابلیت مدیریت (Managebility):

دامنه: به دلیل تمرکز اطلاعات و مدیریت، می‌توان به راحتی شبکه را در جهت هدف خاصی پیش برد. مثلاً در جهت ارتقای امنیت می‌توان شبکه را هر هفته به قابلیت امنیتی جدیدی تجهیز کرد.

گروهی: به دلیل عدم تمرکز اطلاعات، مدیریت در حد حفظ وضعیت انجام می‌شود. مدیریت در جهت رسیدن به اهداف خاص وجود ندارد.

– یکپارچگی باDNS

دامنه: به دلیل هماهنگی با سیستم DNS به راحتی می‌توان در شبکه به سرویس های مختلف دسترسی پیدا کرد. بر اساس ترتیب اسمی به حالت شاخه‌ای می‌توان از بالا دستی ها، آدرس پایین دستی ها را گرفت.

گروهی: قابلیت دسترسی به دیگر آبجکت های شبکه بسیار ضعیف است مگر اینکه کاربر مقصد خود را با نام یا آدرس IP بشناسد چون سیستم شاخه ای وجود ندارد و هیچ سرویسی آدرس دیگر آبجکت های شبکه را نمی‌داند.

6- قابلیت مدیریت فعالیت کاربرها و کامپیوترها بطور متمرکز:

دامنه: می‌توان سطح فعالیت و دسترسی موجودیت های شبکه را در کل شبکه به صورت متمرکز تعریف کرد.

گروهی: حداکثر می‌توان دسترسی کاربر را در کامپیوتر خودش تعریف کرد. تحت شبکه این امکان وجود ندارد.

7- سیاست پذیری (Policy Based System):

دامنه: می‌توان با اعمال سیاست‌های مختلف تحت شبکه، شبکه را در جهت هدف خاصی پیش برد.

گروهی: اعمال سیاست فقط در حد یک کامپیوتر تعریف می‌شود و نه تحت شبکه.

– قابلیت تبادل اطلاعات بین سرورها در سطح شبکه های بزرگ:

دامنه: اطلاعات بین سرورهای مختلف رد و بدل می شود لذا کلیه سرورها با آخرین تغییرات شبکه آشنا هستند و سرویس به روز ارائه می شود. مثلاً کاربر تازه وارد به محض ورود، توسط کلیه سرورها قابل شناسایی است لذا می‌تواند به محض ورود از کلیه سرویس ها استفاده کند.

گروهی: هیچ اطلاعاتی جابجا نمی‌شود زیرا اصولاً سروری وجود ندارد. به همین دلیل کاربر تازه وارد مجبور است برای درخواست هر سرویس از طرف مدیر شبکه به آن سرویس معرفی شود.

9- انعطاف پذیری در امنیت و تعیین هویت موجودیت های شبکه:

دامنه: قابلیت شناسایی هر آبجکتی در هر جایی از شبکه را دارد و می‌تواند با مدل ها و روش های مختلف احراز هویت کند (Security Protocols).

گروهی: هر کامپیوتر فقط قابلیت شناسایی موجودیتی را دارد که در همان کامپیوتر تعریف شده باشد.

10- امنیت یکپارچه و گسترده:

دامنه: با ورود به دامنه، برخی مسائل امنیتی بطور پیش فرض اعمال می‌شوند و در ادامه مدیر می‌تواند امنیت شبکه را تا حد غیر قابل تصوری بالا ببرد.

گروهی: به دلیل نبود مدیریت و اطلاعات بطور متمرکز قابلیت امنیتی در حد ابتدایی و ضعیف و منحصر به هر کامپیوتر تعریف می‌شود (امنیت در حد کاربر خانگی).

11- (امنیت-راحتی):

دامنه: چنانچه از سرویس یا نرم افزاری استفاده کنید که قابلیت ادغام با Active Directory Partition را داشته باشد، می‌توانید بسیار امن و سریع، اطلاعات آن نرم افزار را همراه با اطلاعات Active Directory بین سرورها جابجا کنید.

12- قابلیت اتصال و برقراری ارتباط با دیگر Active Directory:

دامنه: به دلیل اینکه Win 2003 Active Directory بر اساس LDAP ver3 و NSPI که استاندارد جهانی هستند نوشته شده، می تواند با اکتیودایرکتوری هایی که بر این اساس نوشته شده اند ارتباط برقرار کند. حتی اگر این اکتیودایرکتوری ها توسط شرکتی غیر از خود مایکروسافت نوشته شده باشد.

13-نشانه گذاری دیجیتالی اطلاعات تبادلی:

دامنه: اطلاعات بصورت رمز شده بین سرورها جابجا می شود لذا دارای امنیت بسیار مطلوبی است.

گروهی:اطلاعات بین سرورها جابجا نمی‌شود.

مزایای دامنه یا دامین

• نیاز به یک مدیر شبکه برای پیاده سازی این بستر است.
• می توان تمامی قابلیت های شبکه ایی و سرویس ها را در حد بالا و پیشرفته ایی در بستر فوق اجرا کرد.
• امکان به وجود آمدن مدیریت متمرکز (Centralized) برای تمامی منابع شبکه و کاربران.
• امکان تدوین سیاست های دسترسی به منابع و سرویس های شبکه برای تمامی کاربران در دامنه.
• به وجود آوردن سطح بالایی از امنیت اطلاعات و ارتباطات برای تمامی کاربران و کامپیوترهای داخل دامنه.
• مشخص کردن نحوه دسترسی به اینترنت، چگونگی استفاده و نظارت بر آن.

مراحل دسترسی به فایل‌های share شده در Active Directory از طریق FTP و با استفاده از پسورد و رمزعبور یکسان کاربری و سیاست‌های تعریف شده در Active Directory چیست؟

برای دسترسی به فایل‌های share شده در Active Directory از طریق FTP و با استفاده از پسورد و رمزعبور یکسان کاربری و سیاست‌های تعریف شده در Active Directory، می‌توانید مراحل زیر را دنبال کنید:

نصب و پیکربندی سرویس FTP: ابتدا باید سرویس FTP را بر روی سرور خود نصب کنید. برای این کار می‌توانید از نرم‌افزارهای مختلفی مانند FileZilla Server، Microsoft IIS FTP Server و … استفاده کنید. پس از نصب، سرویس FTP را پیکربندی کنید و تنظیمات مربوط به محل ذخیره فایل‌ها و امنیت را تنظیم کنید.

اتصال سرویس FTP به Active Directory: برخی از سرویس‌های FTP به شما اجازه می‌دهند تا از اکتیو دایرکتوری برای تأیید هویت کاربران استفاده کنید. برای این کار، باید تنظیمات مربوط به اتصال به Active Directory را در سرویس FTP پیکربندی کنید. این تنظیمات شامل مشخص کردن دامنه، نام کاربری و رمزعبور برای ارتباط با AD است.

تعیین مجوزها و دسترسی‌ها: در اکتیو دایرکتوری، برای کاربران مختلف سطوح دسترسی مختلفی می‌توان تعریف کرد. برای دسترسی به فایل‌های share شده، باید سطح دسترسی مناسب برای کاربران در Active Directory تعریف شود. با استفاده از قابلیت‌های اکتیو دایرکتوری، می‌توانید مجوزها را بر اساس نیازهای خود تنظیم کنید.

اتصال و احراز هویت در FTP: حالا که سرویس FTP پیکربندی شده و ارتباط با Active Directory برقرار است، می‌توانید با استفاده از نرم‌افزار FTP Client، مثل FileZilla، به سرویس FTP متصل شوید. در هنگام ورود، از پسورد و رمزعبوری که در Active Directory تعریف شده استفاده کنید.

دقت کنید مراحل فوق فقط یک راهنمای کلی است و بسته به نرم‌افزار FTP و تنظیمات خاص شما، جزئیات بیشتری ممکن است وجود داشته باشد. همچنین، برای تنظیمات دقیق‌تر و پیکربندی سرویس FTP و اتصال آن به Active Directory، به مستندات مربوطه مراجه کنید.

کنترل ترافیک مصرفی کاربران اکتیو دایرکتوری  در  فایروال فورتی گیت با پروتکل LDAP

کنترل ترافیک مصرفی کاربران اکتیو دایرکتوری در فورتی گیت با LDAP یک سناریوی رایج و قدرتمند است. این کار به شما امکان می‌شود سیاست‌های امنیتی و محدودیت‌های پهنای باند را بر اساس هویت کاربران (و نه فقط آدرس IP) اعمال کنید.

در اینجا یک راهنمای گام به گام برای پیاده‌سازی این سناریو آورده شده است:

مراحل کلی پیاده‌سازی:

1. پیکربندی اتصال LDAP به اکتیو دایرکتوری در فورتی گیت.
2. تعریف User Groups در فورتی گیت برای گروه‌های اکتیو دایرکتوری که می‌خواهید کنترل کنید.
3. ایجاد Traffic Shaping Policy (سیاست شکل‌دهی ترافیک) برای اعمال محدودیت بر پهنای باند.
4. ایجاد Firewall Policy (سیاست فایروال) و اعمال User/Groups و Traffic Shaping روی آن.

—

گام به گام با جزئیات:

مرحله ۱: پیکربندی LDAP Server در فورتی گیت

1. به کنسول فورتی گیت وارد شوید.
2. به مسیر User & Authentication > LDAP Servers بروید.
3. روی Create New کلیک کنید.
4. اطلاعات سرور LDAP (اکتیو دایرکتوری) خود را وارد کنید:
· Name: یک نام توصیفی (مثلاً AD-Server).
· Server IP/Name: آدرس IP یا FQDN سرور دامنه شما.
· Port: معمولاً پورت ۳۸۹ (یا ۶۳۶ برای LDAPS).
· Common Name Identifier: معمولاً sAMAccountName.
· Distinguished Name: DN کاربری که مجوز خواندن اطلاعات دایرکتوری را دارد (مثلاً: CN=ldap_query, CN=Users, DC=mycompany, DC=local). حتماً از یک کاربر با کمترین دسترسی لازم استفاده کنید.
· Password: رمز عبور کاربر بالا.
· Server Type: برای اکتیو دایرکتوری، Active Directory را انتخاب کنید.
· (اختیاری) روی Test Connectivity کلیک کنید تا از صحت اتصال اطمینان حاصل کنید.

مرحله ۲: تعریف User Groups در فورتی گیت

1. به مسیر User & Authentication > User Groups بروید.
2. روی Create New کلیک کنید.
3. نوع Group را به صورت Firewall انتخاب کنید.
4. یک Name برای گروه انتخاب کنید (مثلاً AD-Users).
5. در بخش Members، از تب Remote Groups، روی Add کلیک کنید.
6. سرور LDAPی که در مرحله قبل ساختید را انتخاب کنید.
7. روی Browse کلیک کرده و گروه(های) مورد نظر از اکتیو دایرکتوری را انتخاب کنید (مثلاً Domain Users).
8. تنظیمات را ذخیره کنید.

مرحله ۳: ایجاد Traffic Shaping Policy (محدودیت پهنای باند)

1. به مسیر Policy & Objects > Traffic Shaping بروید.
2. روی Create New کلیک کنید.
3. یک Name برای پروفایل شکل‌دهی ترافیک وارد کنید (مثلاً Bandwidth-Limit-5Mbps).
4. محدودیت‌های مورد نظر خود را تعریف کنید:
· Type: Shared (برای اشتراک گذاری بین همه کاربران گروه) یا Per-IP (برای اعمال سقف جداگانه برای هر کاربر).
· Maximum Bandwidth: حداکثر پهنای باند مجاز (مثلاً ۵۱۲۰ Kbps یا ۵ Mbps).
· Guaranteed Bandwidth: حداقل پهنای باند تضمین شده (در صورت نیاز).
· Priority: اولویت ترافیک (مثلاً Low برای دانلود و High برای سرویس‌های مهم).
5. تنظیمات را ذخیره کنید.

مرحله ۴: ایجاد Firewall Policy و اعمال کنترل‌ها

این مرحله اصلی است که همه چیز را به هم متصل می‌کند.

1. به مسیر Policy & Objects > Firewall Policy بروید.
2. روی Create New کلیک کنید تا یک rule جدید بسازید.
3. قسمت‌های کلیدی rule را پر کنید:
· Incoming Interface: اینترفیسی که ترافیک از آن وارد می‌شود (مثلاً internal).
· Outgoing Interface: اینترفیسی که ترافیک از آن خارج می‌شود (مثلاً wan1).
· Source: آدرس مبدا (می‌توانید all بگذارید یا محدوده IP شبکه داخلی را مشخص کنید).
· Destination: آدرس مقصد (مثلاً all یا google-DNS برای تست).
· Schedule: همیشه (always) یا زمان‌بندی خاص.
· Service: سرویس مورد نظر (مثلاً ALL، HTTP, HTTPS و…).
4. بخش بسیار مهم:
· Action: باید ACCEPT باشد.
· Enable NAT: در صورت نیاز روشن کنید (معمولاً بله).
5. اعمال احراز هویت کاربر (User/Groups):
· در تب Identity، گزینه Select را در مقابل “Users” بزنید.
· گروهی که در مرحله ۲ ساختید (مثلاً AD-Users) را انتخاب کنید.
· User Authentication: می‌توانید یکی از گزینه‌های زیر را انتخاب کنید:
· Captive Portal: کاربران برای دسترسی باید لاگین کنند (برای دسترسی به اینترنت ایده‌آل است).
· Pass-through (Transparent): کاربران به صورت شفاف و بدون نیاز به لاگین دستی، بر اساس Credentialهای ویندوزشان شناسایی می‌شوند. (رایج‌تر و کاربرپسندتر).
6. اعمال محدودیت پهنای باند (Traffic Shaping):
· به تب Traffic Shaping بروید.
· گزینه Traffic Shaping را فعال (Enable) کنید.
· پروفایل شکل‌دهی ترافیکی که در مرحله ۳ ساختید (مثلاً Bandwidth-Limit-5Mbps) را انتخاب کنید.
· می‌توانید برای ترافیک Forward (خروجی) و Reverse (ورودی) محدودیت جداگانه تعریف کنید.
7. rule را ذخیره کنید و آن را در بالای لیست Policyها قرار دهید (با Drag & Drop)، مگر اینکه ruleهای خاص‌تری داشته باشید.

—

تست و عیب‌یابی:

1. لاگ فایروال: به Log & Report > Forward Traffic بروید و اطمینان حاصل کنید که ترافیک کاربران با rule جدید شما match می‌شود و ستون “User” پر شده است.
2. User Monitor: به User & Authentication > User Monitor بروید. باید کاربران متصل شده و احراز هویت شده را در آنجا ببینید.
3. تست سرعت: از یک کاربر بخواهید تست سرعت (مانند speedtest.net) انجام دهد تا از اعمال محدودیت پهنای باند اطمینان حاصل کنید.

نکات تکمیلی و پیشرفته:

· Single Sign-On (SSO): برای تجربه کاربری بهتر، می‌توانید از FortiAuthenticator یا DC Agent فورتی نت استفاده کنید تا احراز هویت به طور کاملاً شفاف و بدون هیچگونه درخواست لاگین از کاربر انجام شود.
· ساختار Policy پیشرفته: می‌توانید ruleهای مختلفی برای گروه‌های مختلف کاربران