Windows Server Active Directory Configuration

[بانو . ./]

اپ میشود.......

[بانو . ./]

اپ میشود.......

[بانو . ./]

اپ میشود.......

[بانو . ./]

اکتیو دایرکتوری(Active Directory) چیست؟




اغلب کامپیوترهایی که ویندوز XPحرفه ای را اجرا می کنند در شبکه های مبتنی بر ویندوز2000به عنوان کلاینت (Client)خواهندبود.یکی از سرویسهای مفید ویندوز سرور 2000سرویس (Active Directory)اکتیو دایرکتوری است.یادگیری اهداف این سرویس و نقش آن در شبکه های مبتنی بر ویندور 2000بسیار مهم است .علاوه برآن بایستی ویژگیهای مهم وکلیدی ان رایاد بگیرید.این سرویس جهت مدیریت آسان منابع و تدارک انعطاف پذیری طراحی شده است.
Active Directory یک سرویس دایرکتوریست که محصولات ویندوز سرور را در بر می گیرد.یک سرویس دایرکتوری در واقع یک سرویس شبکه است که تمام منابع شبکه را شناشایی کرده و دسترسی به آن را برای کاربران و برنامه های کابردی فراهم می کند. اکتیو دایرکتوری شامل یک دایرکتوری و یا یک منبع ذخیره داده است.که دارای یک ساختار پایگاه داده است.که اطلاعات مربوط به منابع شبکه را در بر می گیرد.برخی منابعی که اطلاعات مربوط به آنها در دایرکتوری ذخیره می شوندعبارتند از داده های کاربر،چاپگرها،سرورها،پایگ اههای داده ،گروهها،کامپیوترها،و سیاستهای امنیتی و...که به صورت اشیاءبرای Active Directory قابل شناسایی هستند.


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] منابع را به صورت سلسله مراتبی در یک دامنه Domainسازماندهی می کند.که این منابع یک سری گروههای منطقی از سرورها و منابع شبکه تحت یک نام دامنه واحد می باشند.در ویندوز 2000دامنه Domainیک واحد اساسی و مبنایی از کثرت و امنیت منابع می باشد.هر دامنه ای دارای یک یا چند کنترلر دامنه می باشد.یک کنترلر دامنه کامپیوتری است که در حال اجرای سیستم عامل ویندوز سرور2000است.و یک نسخه ی کاملی از دایرکتوری کل دامنه را در خود نگه می دارد.برای راحتی مدیریت کنترلرهای دامنه همه ی آهنا به لحاظ سح هم نظیرpeerمی باشند.


مدیران شبکه می توانند تغییراتی را در کنترلرهای دامنه ایجادکنند.و دایرکتوری همه ی کنترلرهای دامنه را آپدیتupdateکنند. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] با تمرکز بخشیدن از یک نقطه مدیریت تمام اشیاءداخل شبکه را تسهیل نموده است.چون اکتیو دایرکتوری یک نقطه ی ورود واحد را برای تمام منابع شبکه تدارک دیده است هر مدیر شبکه می تواند به داخل یک کامپیوتر دخول کندو مدیریت اشیاءروی شبکه را انجام دهد.درActive Directoryدایرکتوری ،اطلاعات مربوط به اشیاءرا در بخشهای مربوط به خودش ذخیره می کندوبه منابع ذخیره سازی اجازه ذخیره اطلاعات تعداد زیادی از اشیاءرا می دهد.در نتیجه دایرکتوری مربوط به اکتیو دایرکتوری برای سازمانهایی که در حال توسعه و بزرگ شدن هستندمی تواند گسترش یابد و به آنها اجازه ی نصب تعداد کمی از اشیاء در یک مقیاس کوچک تا اجازه ی نصب میلیونها شیءدر یک مقیاس بزرگتر را می دهد.
Active Directory مفهوم اینترنتی فضای نام را در سرویسهای دایرکتوری ویندوز2000تمرکز می بخشد.این ویژگی این امکان را به اشیاء می دهد که به صورت واحد و یکپارچه چندین فضای نام که موجودند را مدیریت کنیدهر چند که داخل شبکه های مربوط به یک شرکت محیطهای سخت افزاری و نرم افزاری متفاوتی وجود داشته با شد. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] از سرویس DNSنیز استفاده می کند و می تواند اطلاعات را با هر برنامه کاربردی و یا دایرکتوری مبادله کند.


اکتیو دایرکتوری هم چنین اطلاعات را با دیگر سرویسهای دایرکتوری مثل سرویسهای دایرکتوری ناول Novellکه نسخه ی 2ویا 3پروتکل LDAPرا پشتیبانی می کنند به اشتراک می گذارد.چون اکتیو دایرکتوری از DNSو سرویسهای محلی استفاده میکند نامهای دامنه ویندوز2000نیز نامهای DNSهستند.ویندوز2000از DNSپویایا همان DDNSاستفاده میکند.که کلاینتها را قادر می سازد آدرسها را به طور پویا برای ثبت در دایرکتوری توسط سروری که در حال اجرای سرویسDNSاست قراردهند.و نیز آنها را قادر می سازد که جدول DNSرا به طور پویا آپدیت Updateکنند.DDNSضرورت استفاده از دیگر سرویسهای نام اینترنتی را بر طرف می کند.مانند سرویس Winsدر محیطهای مشابه و همجوار.برای عملکرد صحیح اکتیو دایرکتوری نرم افزارهای مربوط به کلاینتها بایستی سرویس DNSرا نصب و پیکربندی کنید.


اکتیو دایرکتوری اکثر استانداردهای اینترنتی را با پشتیبانی از پروتکلهای HTTPوLDAP در بر می گیرد.LDAPیک استاندارد اینترنتی است که برای دسترسی به سرویسهای دایرکتوری توسعه داده شده است جهت ساده سازی متناوب دسترسی به دایرکتوری یا همان پروتکل DAP.برای کسب اطلاعات بیشتر به درباره LDAP می توانید به دنبال عبارت RFC1777در اینترنت بگردید. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] همچنین جهت تبادل اطلاعات بین دایرکتوری ها و برنامه های کاربردی از پروتکل LDAPاستفاده می کند.Active Directoryهر دو نسخه ی 2و3پروتکل LDAPرا پشتیبانی می کند.


HTTPنیز یک پروتکل استاندارد برای نمایش صفحات وب می باشد.شما می توانید هر شیء موجود در اکتیو دایرکتوری را در صفحات با کدHTMLداخل مرورگر به نمایش بگذارید.لذا کاربران از فواید مشاهده ی اشیاءدرمرورگر وب جهت دیدن اشیاءداخل اکتیو دایرکتوری بهره می برند.
اکتیو دایرکتوری همچنین از چندین قالب بندی نام استاندارد نیز پشتیبانی می کند.لذا کاربران و برنامه های کاربردی با استعانت به آشنایی با فرمتهای نام گوناگون می توانند به اکتیو دایرکتوری دسترسی پیدا کنند.در زیر برخی فرمتهای نام استاندارد را که اکتیو دایرکتوری پشتیبانی میکند را آورده ایم .


RFC822:نامهایی با فرمتهای SOMEONE@DOMAINهستند که برای اغلب کاربران آشنا یند.
HTTP URL [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] آشنای اینترنتی هستند [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
UNC:اکتیو دایرکتوری نامهای UNCرا پشتیبانی میکندنامهایی که در شبکه ها ی مبتنی بر ویندوز 2000به درایورهای به اشتراک گذاشته شده ،چاپگرها و فایلها مراجعه می کنند.
مثل://Microsoft.com\xl\buget.pdf
LDAP URL [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] سروری را تعیین میکند که در سرویس اکتیو دایرکتوری مقیم است و نامهای اشیاءاکتیو دایرکتوری راطبق RFC1779 توزیع می کند.جهت کسب اطلاعات بیشتر به RFC1779مراجعه کنید.




ساختار اکتیو دایرکتوریActive Directory

اکتیو دایرکتوری یک روش طراحی ساختار دایرکتوری را برای سازمان شما فراهم میکند.لذا قبل از نصب اکتیو دایرکتوری شما بایستی عملیات و ساختار سازمانی مورد نیاز خود را مد نظر قرار دهید.برخی شرکتها یا سازمانها یک ساختار متمرکز دارندنوعا اینگونه سازمانها و شرکتها حوزه های اطلاعاتی قوی و محکمی دارندکه آنها را در یک ساختار شبکه ای با جزئیات کمتری تعریف و پیاده سازی می کنندامّا برخی دیگر از سازمانها و شرکتها بخصوص سازمانها و شرکتهای خیلی بزرگ پراکنده و غیر متمرکزنداینگونه سازمانها و شرکتها دارای شعبات چند گانه ای هستندکه هر کدام از آنها خیلی مهم و کانونی اند.اینگونه سازمانها به یک راهبرد غیرمتمرکز نیازمندند تا شبکه ها و اعضای خودشان را مدیریت کنند
با انعطاف پذیری که Active Directory دارد شما می توانید بهترین و مناسب ترین ساختار شبکه ی سازمان خود را ایجاد و مدیریت کنید.اکتیو دایرکتوری بطور کامل ساختار منطقی و سلسله مراتبی دامنه را از ساختار فیزیکی آن جدا می کند.



ساختار منطقیLogical Structure

در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] شما منابع را در یک ساختار منطقی سازماندهی میکنیداین ویژگی شماراقادرمی سازد که منابع را توسط نامشان پیدا کنید نه محل فیزیکی آنها چون اکتیودایرکتوری ساختار فیزیکی رااز دیدکاربران پنهان می سازد.




اشیاءs


هر شیءبطور مجزا و واضح توسط یک سری از خواص نام گذاری شده است که یک منبع شبکه را ارائه میکند.خواص اشیاءخصیصه یا شاخصهایی از اشیاءدر دایرکتوری هستند.به عنوان مثال خواص حساب کاربری نام او و حوزه ی او و آدرس ایمیل اوهستند.در اکتیودایرکتوری شما می توانید اشیاءرا در کلاسهایی سازماندهی کنید.که گروههایی منطقی از اشیاءهستند.به عنوان مثال هر کلاس شیءممکن است شامل حساب کاربر،گروهها،کامپیوترها،د امنه ها،و یا واحدهای سازمانی باشند.1

برخی اشیاء به عنوان در برگیرنده شناخته می شوندکه شامل اشیاءدیگرهستند.مثل دامنه که یک شیءدر برگیرنده است.



واحدهای سازمانیOrganizational Units


واحد سازمانی یک دربرگیرنده containerاشیاءاست.که برای سازماندهی اشیاء در دامنه داخل گروههای مدیریتی منطقی استفاده می شود.هر واحد سازمانی میتوانداشیایی مثل حسابهای کاربران،گروهها،چاپگرها،کا مپیوترها،برنامه های کاربردی،فایلهای اشتراکی ودیگر واحدهای سازمانی را دربرگیرد.

ساختار سلسله مراتبی هرواحدسازمانی داخل یک دامنه مستقل از ساختار سلسله مراتبی دردیگر دامنه هاست.هردامنه می تواند ساختار سلسله مراتبی مربوط به خودش را پیاده سازی کند.لذا یک ساختار سلسله مراتبی درختی با عمق کم کارایی بهتری نسبت به ساختاری با عمق زیاد دارد.بنابراین نبایستی ساختاری با عمق بیش از آنچه نیاز دارید ایجاد کنید



دامنه Domain


دامنه یک واحدمرکزی و هسته ای از ساختارمنطقی درActive Directoryاست.گروه بندی اشیاءدر یک یا چند دامنه این اجازه را به شبکه شما می دهد که ساختار شبکه شما را نمایان سازد.دامنه ها مشخصه های زیر را به اشتراک می گذارند.
الف-همه ی اشیاءموجود در یک دامنه و هر اطلاعات ذخیره شده در دامنه فقط مربوط به اشیایی هستند که آن دامنه آنها را در بر می گیرد.بطور تئوری هر دایرکتوری می تواند بیش از 10میلیون شیءرا در بر گیردامٌا مقدار 1میلیون شیء رد هر دامنه مقدار عملی و کاربردی آن است.
ب- هر دامنه یک کرانه ی امنیتی-رخصتی permissionاست.لیست کنترل دسترسی(ACL)دسترسی به اشیاءداخل دامنه را کنترل می کند.ACLها شامل رخصتهای مرتبط با اشیاء هستندکه کنترل می کنند کدام کاربران و چه نوع از دسترسی را می توانند بدست اورند.در ویندوز 2000 اشیاءشامل فایلها،پوشه ها،چاپگرها،منابع مورد اشتراک و سیاستهای امنیتی هستند.ACL ها نمی توانند از یک دامنه به دامنه ی دیگر عمل کنند.و منحصراً عامل در دامنه ی خود هستند.مدیران یک دامنه حق گماردن انواع سیاستها داخل آن دامنه را دارند.



درختTree


یک درخت یک گروه و یا یک ساختارمرتب سلسله مراتبی از یک یا چند دامنه ی ویندوز 2000است که فضای نام همجوار را به اشتراک می گذارد

درختها دارای مشخصه های زیرند:

الف-از استاندارد DNS پیروی می کنند.نام دامنه ای از یک دامنه ی فرزند منسوب و مربوط به نامی است که آن نام محلق و پیوندخورده با نام دامنه ی والد خودش است.
ب- همه ی دامنه ها داخل یک درخت یک شمای عمومی را به اشتراک می گذارند.که یک روش تعریف از همه ی انواع اشیاییاست که می توانید در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ذخیره کنید.
ج- همه ی دامنه ها ی داخل یک درخت یک کاتالوگ سراسری عمومی را به اشتراک می گذارند که یک مخزن و انبار متمرکز از اطلاعاتی دربار? اشیاءداخل درخت می باشد.



جنگلForest


یک جنگل یک گروه و یا یک ساختار مرتب از یک یا چند درخت دامنه است که فضای نام آنها از یکدیگر جدا می باشد

جنگلها دارای مشخصه های زیرمی باشند:
الف-همه ی درختهای داخل یک جنگل یک شمایSchema عمومی را به اشتراک می گذارند.
ب-درختهای داخل یک جنگل ساختار نام متفاوتی دارند.
ج-همه ی دامنه های داخل یک جنگل یک کاتالوگ سراسری عمومی را به اشتراک میگذارند.
د-دامنه های داخل یک جنگل به طور مستقل عمل میکنند.امٌا جنگل قادر به برقراری ارتباط بین تمام سازماندهی ها می باشد.

Microsoft.comوmsn.comاز یک جنگلند که فضای نام آنها فقط داخل هر درخت همجوار است.


ساختار فیزیکیPhysical Structure

اجزاء فیزیکی Active Directory مثل کنترلرهای دامنه و سامانه ها ساختار فیزیکی یک سازمان را بازتاب می نمایند.




کنترلرهای دامنه Domain Controllers


یک کنترلردامنه یک کامپیوتریست که در حال اجرای سیستم عامل ویندوز2000میباشد.

که یک نسخه (عین المثل)از دایرکتوری دامنه را در خود ذخیره کرده است.چون دامنه امکان داشتن یک و یا چند کنترلردامنه را داراست هر کنترلردامنه میتواند نسخه ی کاملی از بخشهای دامنه از یک دایرکتوری را در خود داشته باشد.
عملکردهای کنترلرهای دامنه شامل موارد زیرند:
الف- هر کنترلر دامنه یک کپی کامل از تمام اطلاعات Active Directory موجود در یک دامنه را در خود ذخیره می کندو تغییرات اطلاعات را مدیریت میکندو این تغییرات را به دیگر کنترلرهای موجود دردامنه منعکس می کند.
ب- کنترلرهای دامنه بطور خودکار همه ی اشیاء موجود در دامنه را به یکدیگر منعکس می کنند.وقتی کاربریک فعٌالیت یا عمل را انجام می دهدکه باعث آپدیت Active Directory گرددکاربرموجب تغییری در یک دامنه گردیده است که آن کنترلر دامنه این تغییر را به تمام کنترلرهای موجود در آن دامنه منعکس می کند.کاربران مجاز به تغییرمثل مدیران می توانند انعکاس تغییرات را بین کنترلرهای دامنه مدیریت کنند.با تعیین اینکه انعکاس چگونه و چه مقدار داده در یک زمان سیستم عامل ویندوز2000انجام گیرد.
ج- کنترلرهای دامنه عمل اپدیت برخی موارد معین ومهم را فوراً در بین کنترلرهای دامنه منعکس میکنند.مانند غیر فعال کردن یک حساب کاربر.
د- Active Directory عمل انعکاس تغییرات را به صورت چندگانه انجام می دهد.بدین معنا که تمام کنترلرهای موجود در یک دامنه به لحاظ سطح نظیر یکدیگرند(Peer)ودراین حالت هر کنترلردامنه یک کپی از پایگاه داده دایسرکتوری را در خود نگه می دارد.که می تواند روی آن بنویسد.کنترلرهای دامنه می توانند برای زمان کوتاهی اطلاعات متفاوتی را در خود نگه دارندتا زمانی که همگام سازی بین کنترلرهای دامنه جهت انعکاس تغییرات در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] صورت گیرد.
ح- کنترلرهای دامنه قادر به کشف تصادم هستند این تصادم وقتی می تواند رخ دهد که تغییر داده شده در یک کنترلرقبل از انعکاس این تغییر در دیگر کنترلرهای دامنه صورت گیردتصادم ها با مقایسه ی شماره ی نسخه ی تغییرات کشف می شوندActive Directoryتصادم را با انعکاس تغییرات بوجود آمده توسط بالاترین شماره ی نسخه ی این تغییرات حل می نماید.
چ- داشتن بیش از یک کنترلر دامنه در دامنه تحمل خرابی را بالا میبرد.اگر یک کنترلر موجود دردامنه خراب شود.دیگر کنترلرهای دامنه دامنه می توانند تمام عملکردهای لازم را تدارک ببینندمثل ثبت و ضبط تغییرات در Active Directory.
خ- کنترلرهای دامنه همه ی تعاملات کاربر را مدیریت میکننند.مثل افزودن اشیاءبه اکتیو دایرکتوری و اعتبار سنجی و تصدیق هویٌت کاربران را.بطور کلی بایستی یک کنترلردامنه برای هر دامنه موجود در سامانه جهت اهداف تعیین و تصدیق هویٌت وجود داشته باشد.لذا ملزومات تعیین و تصدیق هویٌت،تعدادو محل کنترلرهای دامنه را در سازمان مطبوعتان تعیین میکند.




Sitesسامانه ها


یک سامانه یک ترکیبی از زیر شبکه های متصل بهم بهمراه ادرسهای IPآنها در کنارقابلیٌت اعتماد بالا و پیوندهای سریع جهت محلی سازی بیشتر ترافیک شبکه تا حد امکان می باشد.نوعاً یک سامانه مسیریابهای مرزی یکسانی برروی یکLAN دارا می باشد.وقتی زیر شبکه ها را در زیر شبکه تا گروه بندی میکنید.شما بایستی زیر شبکه هایی را که سریع و ارزان و دارای ارتباطات قابل اعتماد هستند را با یکدیگر ترکیب کنید.با اکتیو دایرکتوری سامانه ها بخشی از فضای نام نیستند.وقتی شما فضای نام را مرور می کنیدکامپیوترها و کاربران گروه بندی شده را داخل دامنه و یا واحدهای سازمانیOUمی بینیدنه در داخل سامانه ها،سامانه ها فقط اشیاء کامپیوتر و ارتباط بین اشیاءرا در بر می گیرندکه برای پیکربندی انعکاسreplication بین سامانه ها مورد استفاده قرار می گیرند. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] همچنین دارای ویژگی replication است.انعکاسreplicationاین اطمینان را فراهم میکند که تغییرات داخل یک کنترلر دامنه در دیگر کنترلرهای همان دامنه نیز منعکس می شود.داخل یک سامانه اکتیو دایرکتوری بطور خودکار یک توپولوژی حلقه ای را به وجود می آورد.برای انعکاس بین کنترلرهای موجود در یک دامنه این توپولوژی،مسیر آپدیت دایرکتوری و جریان آن از یک کنترلر دامنه به دیگر کنترلرهای دامنه را تا زمانی که همه ی کنترلرهای دامنه این آپدیت دایرکتوری را دریافت کنندتعریف میکند.

ساختار حلقه این تضمین را می کند که حداقل دو مسیر انعکاس replication از یک کنترلردامنه به دیگر کنترلرها وجود دارد.بنابراین چنانچه یک کنترلردامنه خاموش شود دیگرکنترلرهای دامنه انعکاس را ادامه خواهند داد.اکتیو دایرکتوری بطور دوره ای توپولوژی انعکاس داخل یک سامانه را آنالیز کرده تا کارآمدی آن را تضمین کنداگر یک کنتلر دامنه را از سامانه یا شبکه حذف یا به ان اضافه کنید اکتیو دایرکتوری توپولوژی را مجدداً پیکربندی خواهد کرد.تا تغییرات جدید را منعکس نماید.



Schema


شما اشیایی که می توانند در اکتیودایرکتوری ذخیره شوند را تعریف میکند.شما لیستی از تعاریفی است که انواع اشیاءو انواع اطلاعات مربوط بهاین اشیاء راکه در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ذخیره میگردنندرا شامل می شود.شما دو نوع از تعاریف اشیاء را در بر می گیرد.1-کلاس اشیاء2-خواص اشیاءکلاس اشیاء و خواص اشیاء در لیستهای مجزایی در شما تعریف می شوند.کلاس شما و خواص اشیاء همچنین به شمای اشیاء ارجاع داده می شوند.شمای کلاس اشیاء امکان ایجاد اشیایی در اکتیودایرکتوری را تشریح میکند.هر کلاس مجموعه ای از خواص اشیاء است.برای هر کلاس شیء شما تعریف میکند که چه خواصی و چه نمونه ای از کلاس باید وجود داشته باشدو چه خواص اضافه ای آن کلاس می تواند داشته باشدو نیز یک کلاس والد(پدر)از کلاس شیء جاری چه کلاس شی ای میتواند داشته باشد.هر شیءدر اکتیودایرکتوری نمونه ای از کلاس آن شیء است.خواص اشیاء ،خواصی را که با هر کدام از آن اشیاء مرتبط هستند را تعریف می کند.خواص فقط یک بار تعریف می شوند و می توان از آن در کلاسهای زیادی استفاده کرد.چون تعاریف شما در خود اشیاء در Active Directory ذخیره هستندمی توان آنها را به راحتی و به طور یکسانی مانند اشیاء موجود در اکتیو دایرکتوری مدیریت کرد.هنگام نصب اکتیودایرکتوری روی اولین کنترلردامنه موجود در شبکه یک شمای پیش فرض روی آن ایجاد می شود.که یک مجموعه ی پایه ای از خواص کلاس شما را در بر می گیرد.شمای پیش فرض تعاریفی از اشیاء و تنظیماتی از آنها را که اکتیودایرکتوری بصورت داخلی برای انجام عملیاتی مورد استفاده قرار می دهد را شامل می شود.شمای اکتیو دایرکتوری قابلیت گسترش و توسعه را دارد بدین معنا که می توانید یک دایرکتوری جدید از انواع اشیاء و خواص آنها را تعریف کنید و نیز خواص جدیدی برای اشیاء موجود در Active Directory منظور کنید.و نیز می توانید به کمک ابزار مدیریت شما (schema manager snap-in)ویا روابط سرویس اکتیودایرکتوری موسوم به ADSIشما را گسترش دهید.فقط توسعه دهندگان مجرب و یا مدیران شبکه بایستی به طور پویا با تعریف کلاسهای جدید و خواصی برای کلاسهای موجود شما را گسترش دهند.شما در داخل خود اکتیو دایرکتوری پیاده سازی و تعریف شده است.(داخل یک کاتالوگ سراسری)و می تواند بطور پویا آپدیت شود.درنتیجه هر برنامه ی کاربردی می تواند شما را با تعریف کلاس وخواص جدیدی گسترش داده و بطور سریع و فوری مورد استفاده قرار دهد.




کاتالوگ سراسری Global Catalog

اکتیودایرکتوری به مدیران و کاربران برای یافتن اشیایی مثل کاربران و چاپگرهاو... این اجازه را می دهد.بنابراین پیداکردن اشیاء خارج از دامنه احتیاج به مکانیزمی داردکه به دامنه ها این اجازه را می دهدکه به صورت یک واحد کامل عمل کنند.یک سرویس کاتالوگ اطلاعات منتخب درباره ی هر شیء داخل همه ی دامنه ها در یک دایرکتوری را دربر می گیرد.که برای جستجوی سراسری مفید است .سرویس کاتالوگ توسط سرویسهای Active Directory تدارک دیده شده است که یک کاتالوگ سراسری نامیده می شود.کاتالوگ سراسری یک مخزن مرکزی از اطلاعات درباره ی اشیاء داخل یک درخت یا جنگل می باشد.


کاتالوگ سراسری Global Catalogبطور خودکار در اولین کنترلردامنه در اولین دامنه ی موجود در جنگل ایجاد شده است.و کنترلردامنه ی شامل کاتالوگ سراسری ، به عنوان سرور کاتالوگ سراسری شناخته می شود.با استفاده از سرویسهای انعکاس چندگانه اصلی موجود در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] اطلاعات کاتالوگ سراسری بین سرورهای کاتالوگ سراسری در دیگر دامنه ها منعکس می گردد.بطور پیش فرض خواص اشیاءدر کاتالوگ سراسری ذخیره شده اند که به طور متناوب به منظور عملیات جستجو مورد استفاده قرار می گیرند.مانند نام کاربر و نام ورود
انهاو... که اینها جهت انعکاس کامل اشیاء ضروری می باشند.می توان کاتالوک سراسری را مورد استفاده قرارداده و اشیاء را در هر جایی از شبکه قرار دادبدون اینکه نیاز به انعکاس همه ی اطلاعات دامنه بین کنترلرهای دامنه داشته باشید.شما به کمک ابزار مدیریت سرورها
server management snap-in می توانید کنترلرهای دامنه را اضافه و به عنوان سرورهای کاتالوگ سراسری مورد استفاده قرار دهید. با ملاحظه به اینکه کدام کنترلر دامنه برای سرورهای کاتالوگ سراسری منظور شوند و با توجٌه به این نکته که ساخار شبکه چگونه ترافیک queryها و انعکاس را اداره کند شما قادر به تصمیم گیری در این باره هستید.بنابراین اغلب سرورهای کاتالوگ سراسری بزرگتر از ترافیک موجود در شبکه هستندبنابراین قابلیت دسترسی به سرورهای اضافی،پاسخ سریعتر را به سوءالات بی مورد کاربران فراهم می کند.هر سامانه ی اصلی بایستی شامل یک سرور کاتالوگ سراسری باشد.





فضای نامName Space


اکتیو دایرکتوری به مانند همه ی سرویسهای دایرکتوری یک فضای نام اصلی می باشد.تحلیل نام در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] فرآیند ترجمه ی نام یک شیء یا اطلاعاتی است که آن نام ارائه می دهد.فضای نام در اکتیو دایرکتوری بر مبنای نامگذاری DNSمی باشدکه اجازه ی عملیات داخلی بر پایه ی تکنولوزی اینترنت را می دهد

فضای نام عمومی امکان مدیریت ویکسان سازی محیطهای سخت افزاری و نرم افزاری چندگانه را می دهد.دو نوع فضای نام وجود دارد
فضای نام پیوستار و همجوار :در این فضای نام یک فرزند همیشه در ساختار سلسله مراتبی اشیاءشامل یک نام والد از دامنه ی خود می باشد.درخت نمونهای از این فضای نام می باشد.
فضای نام منفصل ومنقطع:در این فضای نام نامهای یک شیءوالد و فرزندان از یک شیءوالد دیگر بطور مستقیم با یکدیگر مرتبط نیستند.جنگل نمونه ای ازاین فضای نام می باشد.
هر شیئ در اکتیودایرکتوری با یک نام شناسایی می شود.Active Directoryنامگذاری گوناگونی را مورد استفاده قرار می دهد.
1- نامگذاری واضح Distinguished Name
2- نامگذاری واضح وابسته Distinguished Name Relative
3- شناسه ی منحصربفرد سراسریGlobal Unique Identifier
4- نام اصلی کاربر User Principal Name




نامگذاری واضح DN))Distinguished Name


هر شیءدر اکتیو دایرکتوری دارای یک نام می باشد که هر شیء را به طور منحصربفردی شناسایی می کندو اطلاعات کافی جهت بازیابی اشیاء توسط کلاینتها از اکتیودایرکتوری رادر بر می گیرد.DNشامل نامی از دامنه است که شیء را شامل می شود.DNها در اکتیو دایرکتوری بایستی یکتا ومنحصربفرد باشند.چون اکتیودایرکتوری اجازه ی کثرت DNها را نمی دهد.به عنوان مثال در DNزیر first name وlast nameشیء کاربر را در دامنه ی Microsoft.comشناسایی میکند.که نامهای first nameوlast name نامهای واقعی حساب کاربر را ارائه می کنند.

/DC=COM/DC=MICROSOFT/OU=DEV/CN=USER/CN=firstname lastname



نامگذاری واضح وابستهRelative Distinguished Name(RDN)


اکتیودایرکتوری همچنین پرسش و پاسخ را طبق خواص پشتیبانی می کندلذا می توانید هر شیء را در ان بیابید.حتی اگرDN ان ناشناخته و یا تغییر یافته باشد.RDNهر شیء بخشی از نامی است که خواصی ارز خود آن شیء می باشد.در مثال قبل RDNشیء کاربر first nameوlast name آن می باشدو RDN شیء والد آن USERمی با شد.شما می توانید RDNهارا برای اشیاء [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] تکرار کنیداما نمی توانید دو شیء با RDNیکسان در یک واحد سازمانی OU داشته باشید.به عنوان مثال اگر حساب کاربری Jone Doeنامگذاری شده باشد نمی توانید حساب کاربر دیگری با همین نام در یک واحد سازمانی OUداشته باشید.بنابراین اشیاء با RDNهای تکراری می توانند در OUهای جداگانه ای وجود داشته باشندزیرا آنها DNهای متفاوتی دارند



شناسه ی منحصربفرد سراسری Global Unique Identifier

GUIDیک عدد 128 بیتی است که به صورت یکتا و منحصربفرد رزرو شده است GUIDها براشیاءوقتی که ایجاد می شوند گمارده می شوند GUIDهرگز تغییر نمی کندحتی اگر نام شیء را تغییر دهیدیا آن را حذف کنید.برنامه های کاربردی GUIDاشیاء را ذخیره کرده و جهت بازیابی اشیاء صرفنظر از نام DNجاری آنها مورد استفاده قرار می دهند.



نام اصلی کاربر User Principal Name


حسابهای کاربری نامهای کاربر پسندی دارند UPN یک نام کوتاهتر برای حساب کاربر و برای نام DNS از یک درخت است که شیء حساب کاربر در آنجا مقیم است مانند [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این مقاله بدون نقص نیست لذا از شما خواننده گرامی تقاضا دارم نواقص را منعکس کرده تا در اسرع وقت در این مقاله تصحیح نمایم

[بانو . ./]

.


نصب اکتیو دایرکتوری در WINDOWS SERVER 2008 R2


قصد داریم تا چگونگی نصب یک اکتیو دایرکتوری برای یک دامین جدید در یک جنگل جدید بپردازیم.برای این منظور، قدم های زیر را دنبال کنید. این مطلب با ساده ترین بیان ممکن نوشته شده است و تلاش شده است به همراه تصویر متعدد، توضیحات کافی ارائه شود. اینجا برای نصب هدف نسخه Full Installation است. نصب در نسخه Core Installation ، در آینده مورد بحث قرار خواهد گرفت.

فاز اول

۱) ابتدا Server Manager را باز کنید. در منوی شروع “Start” آن را به راحتی می توانید ببینید، ضمن آنکه به صورت پیش فرض هر زمان که Loginکنید بار می شود.
۲)قسمت Roles را از ساختار درختی سمت چپ انتخاب کنید و سپس در سمت راست Add Rolesرا بزنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱:اضافه کردن Role.

3) سپس Add Role Wizardباز خواهد شد. در این مرحله ویزارد از شما تقاضا می کند تا:
الف) آخرین به روز رسانی ها را دریافت کنید.
ب)از کلمه عبور قدرتمند استفاده کنید
ج)تنظیمات شبکه ای را کامل انجام دهید. همانند اختصاص IP به صورت ثابت “Static“

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۲:نکات پیش از شروع Wizard.

4)موارد فوق را رعایت کنید و سپس Next را بزنید. در قسمت بعد، لیستی از نقش هایی (Role) که ویندوز سرور ۲۰۰۸ می تواند در شبکه داشته باشد را به شما نمایش می دهد. در این قسمت Active Directory Domain Services را انتخاب کنید. (به اختصار AD DSگفته می شود.)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر۳:انتخاب Role.

5)با زدن Nextویزارد نصب اکتیودایرکتوری در موارد زیر هشدار می دهد:

الف) برای redundancyحداقل دو دامین کنترلر در شبکه ایجاد کنید. به منظور عدم قطع سرویس دهی به کلاینت ها متداول است که از حداقل دو دامین کنترلر استفاده شود که در این خصوص در آینده صحبت می کنیم.
ب)AD DS نیاز به سرویس DNSدر شبکه دارد. چنانچه قبلا نصب نشده، آن را نصب کنید. در این خصوص در مطلب پیش نیاز ها ذکر کردم که چنانچه اولین دامین در اولین جنگل را ایجاد می کنید اجازه دهید خودکار انجام شود. شما در این مرحله به راحتی این پیغام را در نظر نگیرید. ( موقتا )
ج) پس از پایان این ویزارد باید DCPromo.exeرا اجرا کنید. در غیر این صورت اکتیودایرکتوری نصب نخواهد شد. در ویندوز سرور ۲۰۰۳ این عمل اتوماتیک صورت می گرفت.
د)نصب اکتیودایرکتوری سبب نصب DFS Namespaces ، DFS Replication و File Replication servicesنیز می شود. که خوب این دیگه از این بهتر نمی شود.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۴:نکات پیش از نصب.

۶)برای ادامه Next را بزنید و سپس با زدن Installعملیات نصب را تایید کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۵:تایید نصب.

۷)با مشاهده Installation Succeededمطابق تصویر شش ، فاز اول عملیات نصب تمام شده.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۶:پایان فاز اول.

فاز دوم

۸) می توانید روی لینک که در تصویر هفت مشاهده می کنید کلیک کنید تا DCPromo.exe باز شود و یا در RUN وارد کنید. و یا هر روش دیگری که می پسندید. در اینجا با باز کردن Start Menu و Search به صورت سریعی DCPromoرا باز کردم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۷:نمای Server Manager پس ازفاز یک.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۸:اجرای DCPromo.exe.

9)در اینجا من Advanced Mode Installationرا انتخاب می کنم. توصیه می کنم شما هم این عمل را انجام دهید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۹:شروع DCPromo.

10)Next را بزنید. در مرحله بعد تذکراتی در خصوص سازگاری با سیستم عامل های قبلی داده می شود که کم و بیش در مطلب پیش نیاز و حوزه عملکرد در موردش بحث شد. برای اطلاعات بیشتر به وب سایت مایکروسافت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مراجعه کنید. اما به صورت کلی بدانید از ویندوز NT در دامین کنترلر های ویندوز سرور ۲۰۰۸ به دلیل پشتیبانی نکردن از الگوریتم های رمزنگاری قدیمی مورد استفاده ویندوز NTپشتیبانی نمی شود. پس چنانچه از این نسخه از ویندوز در شبکه خود هنوز استفاده می کنید، از ادامه مراحل خودداری کنید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۰: تذکرات سازگاری با ویندوز

NT

11) مشخص کردن ساختار جنگل و ساختار درختی: در این قدم لازم است جایگاه سرور در ساختار منطقی مشخص گردد. گزینه های در دسترس عبارت اند از:

- ساخت یک دامین جدید در یک جنگل جدید. Create a new Domain in a new forest: در اینجا چون هیچ Forest از پیش وجود ندارد این گزینه را انتخاب می کنیم.
در یک جنگل موجود Existing Forest:
- افزودن یک دامین کنترلر به یک دامین Add a Domain Controller to an existing domain: یک Additional Domain Controller ایجاد می کند. برای اطمینان از Availability سرویس معمولا در یک دامین از بیش از یک دامین کنترلر استفاده می گردد تا اگر یک سرور با مشکلی رو به رو شد، سرور دوم پاسخ گوی کلاینت ها باشد.

• - ساخت یک دامین جدید در یک جنگل موجود Create new domain in an existing forest: این گزینه یک دامین فرزند (Child Domain) جدید در یک جنگل ایجاد می کند.

- ایجاد یک Tree Root: با این گزینه یک درخت جدید در جنگل ایجاد می شود که Tree Root دامینی است که در اینجا ایجاد می شود. Create a new domain tree instead of a new child domain
با توجه به گزینه ای که در اینجا انتخاب می شود، مراحل بعدی می تواند متمایز از آنچه در اینجا ذکر می شود باشد. در اینجا صرفا قصد داریم یک دامین جدید در یک Forest جدید ایجاد کنیم. نکته قابل توجه آن است که برای ایجاد هر کدام موارد فوق باید دسترسی های لازم را در اختیار داشته باشید. به عنوان مثال چنانچه گزینه ی create a new domain in an existing forest را انتخاب کنید یا به عبارتی یک Child Domain ایجاد کنید، لازم است یک Credential مناسب که یک اکانت عضو گروه Enterprise Administrators است فرآهم آورید. به عنوان مثال دیگری، برای ایجاد یک Read-Only Domain Controller داشتن مجوز دسترسی Domain Administrator کفایت می کند. همچنین لازم است نام DNS جایی که قصد راه اندازی مورد جدید را در آن داریم وارد کنیم. این نام باید یک نام معتبر روی یک Forestموجود باشد.


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر a11: انتخاب جایگاه سرور در ساختار منطقی (درخت و جنگل)
تصویر b11: انتخاب جایگاه سرور در ساختار منطقی (درخت و جنگل)
* مربوط به ایجاد یک Child Domain جدید

۱۲)در مرحله بعدی باید نام Forest Root Domain را وارد کنید. به مواردی که پیش تر تذکر داده شد توجه کنید. در اینجا از نام ADExample.comاستفاده می کنم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۲: انتخاب نام
Forest RooT

13) در این مرحله با زدن Next ویزارد چک می کند تا این نام قبلا در شبکه موجود نباشد. پس از چند ثانیه، چنانچه موجود نباشد، نام NetBIOSاز شما پرسیده خواهد شد که به صورت پیش فرض بخش اول نامی است که در بالا انتخاب کرده اید. توصیه می شود این نام را تغییر ندهید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۳: انتخاب نام NetBios

14)با زدن Next در مرحله بعد باید Forest Functional Level و Domain Functional Level را انتخاب کنید که در آینده توضیح داده شده است. همانطور که ذکر شده اینجا Windows Server 2008 R2 را با فرض عدم وجود DCهای با نسخه ی پایین تر ویندوز انتخاب می شود.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۴: انتخاب حوزه عملکرد

۱۵)در مرحله بعدی باید تنظیمات اضافی را اعمال نمود. به صورت پیش فرض DNS Server انتخاب شده است. چنانچه اولین دامین کنترلر نباشد شما می توانید تنظیمات Global Catalog(GC) و Read-only Domain Controller را اعمال کنید. اما از آنجایی که در اینجا در حال نصب اولین دامین کنترلر هستیم، این موارد غیر قابل تغییر اند. در خصوص Read-Only Domain Controller و GCدر آینده توضیح داده خواهد شد.
۱۶)در صورت انتخاب DNS Server در این مرحله پیام هشداری دریافت می کنید مبنی بر اینکه امکان ساخت Delegation برای DNS Zone وجود ندارد زیرا Parent Zone قابل دسترسی نیست یا از Windows DNS Server استفاده نمی کند. از آنجایی که در حال نصب اولین دامین در جنگل جدید هسیتم، با زدن Yesپیغام را تایید می کنیم.


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۵: مرحله DC Option و پیام مشکل در ساخت
Delegation

17)سپس با توجه به آنچه در “پیش نیاز” صحبت شد، جای فلدر های ذخیره سازی اطلاعات را معین می کنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۶: محل فایل های
Data Store

18) در این مرحله باید کلمه عبوری برای Directory Services Restore Mode انتخاب کنید. توصیه می شود این کلمه عبور با کلمه عبور خودتان متمایز باشد و یادآوری آن ساده باشد هر چند امنیت آن اهمیت بسیاری دارد. البته راهی برای تعویض این کلمه عبور وجود است که در آینده آن را ذکر خواهیم کرد. در وضعیت Directory Services Restore Modeسرویس اکتیو دایرکتوری به صورت آفلاین می شود و در برخی عملیات کاربرد بسیاری دارد که در آینده مورد بحث قرار می گیرد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۷:
Restore Mode Password

19)در مرحله بعدخلاصه ای از تنظیمات مشخص شده را می توانید مشاهده کنید. آن ها را بازبینی کنید تا مشکلی موجود نباشد. نکته جدید دیگری همانطوری که تصویر هجده مشاهده می کنید وجود دارد دکمه Export settings است. همانطوری که درنصب به روش Unattended توضیح داده شد ، با این گزینه می توانید یک answer fileبرای نصب اکتیو دایرکتوری های دیگری با همین تنظیمات استفاده کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۸: تایید نصب

۲۰)با زدن Next انجام نصب را تایید می کنید. این مراحل قدری طول می کشد و پس از پایان نیاز است تا کامپیوتر ریستارت “Restart” شود. یکی از کمک های مایکروسافت به شما مدیر شبکه گزینه Reboot on completionاست. به راحتی این گزینه را چک بزنید و به دقایقی را تا شروع مجدد فعالیت سرور و شروع داستان های پس از نصب اکتیو دایرکتوری یک چای یا قهوه میل کنید. در ضمن توجه داشته باشید که چنانچه این سرور شما سرویس های دیگری را به شبکه ارائه می دهد، باید در زمان بندی معین و اعلام قبلی به کاربران سرور را ریستارت کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۹: انجام نصب و گزینه Reboot on Completion

توصیه می شود در پایان تنظیمات و تغییرات اعمال شده را بررسی کنید. به عنوان مثال تنظیمات DNS و… را بازبینی کنید.





منبع :/social.technet.microsofT






.

[بانو . ./]

اختیارات و مجوزهای یک یوزر . ./

اختیارات و توانمندی های یک یوزر و در واقع قدرت آن به چه عواملی بستگی دارد. پاسخ مشخص است :به مجوزها و اختیاراتی که دارد و گروه هایی که عضو آنها می باشد. حال گروه های پیش فرض و اصلی ویندوز را بررسی می کنیم.

Administrators
مشخص است منظور کاربرانی با دسترسی کامل روی سیستم هستند. یوزر administrator به صورت پیش فرض و ذاتی عضو این گروه است.

Users
هر یوزر جدید به طور پیش فرض در این گروه قرار می گیرد. اعضای این گروه اختیارات بسیار کمی دارند مثلا ساعت را نمی توانند تنظیم کنند. درایور نمی توانند نصب کنند. به تنظیمات کارت شبکه دسترسی ندارند ولی قادر به انجام برخی موارد مانند ساختن کانکشن اینترنت و یا بکاپ گیری از فایل های خودشان هستند.

Network Configuration Operators
همان اعضای گروه یوزر هستند که البته می توانند تنظیمات شبکه (TCP/IP) را انجام دهند.

Backup Operators
همان گروه یوزر هستند که قادرند از تمام فایل های سیستم نسخه پشتیبان یا بکاپ تهیه کنند.

Power Users
گروهی نسبتا قدرتمند هستند که اختیاراتی مانند Share کردن، نصب برنامه های کوچک، تغییر ساعت، ساخت یوزر (البته با حداکثر اختیاراتی که خودش دارد) را دارا هستند.

Remote Desktop Users
برای وصل شدن به سیستم از طریق یک سیستم دیگر یا اصطلاحا به صورت Remote، یوزر مربوطه باید عضو این گروه باشد. اعضای گروه Administrators به صورت ذاتی این قابلیت را دارند.

Everyone
گروهی که تمام یوزرهای کامپیوتر را دربر می گیرد.
یادمان باشد حتی اعضای گروه Administrators هم عضو این گروه هستند بنابراین اگر مثلا دسترسی به یک فایل را برای Everyone غیر مجاز کنیم، حتی Administrator ها هم دیگر به آن دسترسی نخواهند داشت.

Authenticated Users
منظور یوزرهایی هستند که به سیستم وارد شده یا اصطلاحا Login کرده اند. منظور تمام یوزرهایی است که از طرق مختلف مثلا پای خود سیستم، به صورت Remote، از طریق دسترسی به Share های روی سیستم و ... به آن وارد شده اند. وقتی یوزرها Log off کنند به صورت خودکار از این گروه خارج می شوند. یوزر Guest عضو این گروه نیست.

Anonymous Logon
کسانی عضو این گروه می شوند که بدون وارد کردن یوزر و پسورد و در واقع بدون Authentication وارد سیستم شوند. مثل زمانی که Simple File Sharing تیک دارد و Guest هم Enable است. یا مثل زمانی که یک FTP site روی سیستم ساخته ایم و تیک anonymous آن را زده ایم یعنی برای استفاده از آن نیازی به یوزر و پسورد نباشد. (در این مورد بعدا توضیحات لازم ارایه خواهند شد)

دستورات خط فرمان
از این به بعد در بسیاری از درس ها دستورات خط فرمانی مرتبط با مباحث ارایه خواهند شد. به عنوان یک مدیر شبکه، لازم است این دستورات را بدانید و در مواقع لازم از آنها استفاده کنید. برخی فکر می کنند یادگیری این دستورات و استفاده از آنها فقط برای به رخ کشیدن معلومات یا به قول خودمان کلاس گذاشتن به درد می خورد. این تصور کاملا اشتباه است. برخی اوقات یک دستور شما را از ده ها کلیک ماوس و زدن و برداشتن تیک های مختلف خلاص می کند. ضمنا می توان از این دستورات در فایل های دسته ای یا Batch Files استفاده کرد. بسیاری از اوقات هم به دلایل مختلف شما به بسیاری امکانات گرافیکی ویندوز دسترسی ندارید. با این مقدمه و ذکر این مطلب که تمامی مباحث خصوصا دستورات خط فرمانی را باید حتما تمرین کنید و فقط به مطالعه مباحث اکتفا نکنید، به سراغ دستورات خط فرمان مرتبط با یوزرها می رویم :

1- ساختن یک یوزر محلی (local) روی یک سیستم

Net User "نام یوزر" "پسورد" /add

2- حذف یک یوزر
Net User "نام یوزر" /delete
3- Disable و Enable کردن یک یوزر
Net User "نام یوزر" /activeYes / No)

4- مشاهده لیست یوزرهای سیستم
Net User

5- ساخت یک گروه
Net localgroup "نام گروه" /add
6- اضافه کردن یک یوزر به یک گروه
Net localgroup "نام گروه" "نام یوزر" /add

7- حذف عضویت یک یوزر از یک گروه
Net localgroup "نام گروه" "نام یوزر" /delete

8- اطلاعات کلی در مورد یک یوزر (آخرین ورود به سیستم، فعال یا غیر فعال یودن، زمان انقضا و ...) و گروه هایی که عضو آن است
Net User "نام یوزر"

9- اطلاعات کلی در مورد یک گروه و یوزرهای عضو آن
Net localgroup "نام گروه"




منبع : انجمن تخصصی شبکه



.

[بانو . ./]

.


microsoft managment console ( MMC )H


M


mmc یک کنسول مدیریتی است که از طریق آن می توانید به event viewer , فلدرهای share شده, userها و گروه های موجود در کامپیوتر دسترسی داشته و مدیریت انجام دهید.همچنی می توانید سخت افزارهای سیستم خود را مدیریت کنید و کلیه سرویسهایی که وجود دارئ را مشاهده و طبق نیاز آنها را start و یا stop کنید.



.

ادامه این پست
microsoft managment console ( MMC )H



استفاده از ابزارهای مدیریتی اکتیو دایرکتوری . ./

ابزارهای مدیریتی یا Snap-in های اکتیو دایرکتوری،می توانند امکان انجام وظایف مدیریتی را که شما به آنها نیاز دارید، در اختیار شما قرار دهند.در این تاپیک شما با بیشتر ابزارهای مدیریتی اکتیو دایرکتوری آشنا شده و مسیر دسترسی به آنها را فرا خواهید گرفت.همچنین استفاده بهینه از آنها ، تعویض هویت و روش ساختن کنسولهای مدیریتی سفارشی را خواهید آموخت.

فهمیدن کنسولهای مدیریتی مایکروسافت

ابزارهای مدیریتی ویندوز از یک چهارچوب اشتراکی به نام کنسولهای مدیریتی مایکروسافت (Microsoft Management Console- MMC) استفاده میکنند.در این پنجره سفارشی ابزارها به شما نمایش داده میشوند.در سمت چپ این پنجره ابزارها به صورت یک کنسول درختی نمایش داده میشوند (مانند پنجره مرورگر ویندوز)،در قسمت وسط جزییات نمایش داده شده و در بخش سمت راست دستورات اجرایی نمایش داده میشوند که به آنها Action گفته می شود.
جهت کنترل نمایش بخش سمت چپ و راست ، میتوانید از کلیدهای Show/Hide Console Tree و Show/Hide Action Pane استفاده کنید یا میتوانید از منوی View گزینه Customizeرا انتخاب نمایید.
ابزارهای مدیریتی یا Snap-In ها با استفاده از بخش درختی شکل کنسول به شما نشان داده می شوند و بخش جزییات میتوانند امکان انجام وظایف مدیریتی را در اختیار شما قرار دهند.شما میتوانید MMC را به صورت کمربند ابزار تصور نمایید که میتوان یک یا چند ابزار مختلف را به آن نصب نمود.Snap-In ها را نمی توان به صورت مجزا اجرا کرد بلکه این ابزارها فقط قابلیت اجرا در متن MMC را دارند.بیشتر ابزارها در فولدر ابزارهای مدیریتی (Administrative Tools) در یک Snap-In ترکیب میگردند.این ابزارها در برگیرنده ابزارهایی مانند پنجره نمایش رخدادها (Even Viewer) ، سرویسها (Services)و برنامه زمانبندی وظایف (Task Scheduler) میباشند.ابزارهای دیگری مانند مدیریت کامپیوتر Computer Management یا کنسولهای دیگری وجود دارند که خود آنها از چند Snap-In تشکیل شده اند که هر یک از این Snap-In ها نیز میتوانند به صورت یک کنسول مجزا وجود داشته باشند.به عنوان مثال Computer Management خود در بر گیرنده Event Viewer , Services ,Task Scheduler میباشد.
در زمان مدیریت ویندوز با استفاده از Snap-In ها شما دستوراتی را از طریق MMC اجرا میکنید که به آنها Action گفته میشود که میتوانید آنها را در منوی Action هر کنسول پیدا کنید ، در منوی محتوا (Context Menu) که زمان کلیک راست کردن بر روی صفحه ظاهر میشود و همچنین از بخش Action در سمت راست کنسول MMC نیز میتوان به Action ها دسترسی پیدا کرد.اکثر مدیران با تجربه شبکه ،استفاده از Context Menu را به عنوان بهینه ترین روش دسترسی به Action ها می شناسند.اگر شما منحصرا از Context Menu استفاده میکنید ، میتوانید بخش Action Pane را در سمت راست کنسول خاموش کنید تا در بخش جزییات (Details Pane) جزییات بیشتری به شما نمایش داده شود. دو نوع MMC وجود دارد : از قبل تنظیم شده و سفارشی.زمانی که شما یک نقش(Role) یا یک ویژگی (Feature) جدید را اضافه می کنید به صورت خودکار یک کنسول از پیش تنظیم شده به ویندوز اضافه میگردد تا از طریق آن بتوانید مدیریت آن نقش یا ویژگی را انجام دهید.این دسته از کنسولها در حالت کاربری (User Mode) تنظیم شده اند به صورتی که شما نمیتوانید در آنها تغییراتی ایجاد کرده یا آنها را ذخیره کنید.شما همچنین میتوانید کنسولهای سفارشی تهیه کرده که در آنها دقیقا میتوانید ابزارهایی را که نیاز دارید ، گردآوری کنید.در ادامه شما با هر دو نوع کنسول آشنا خواهید شد.
ابزارهای مدیریتی اکتیو دایرکتوری
مدیریت اکتیو دایرکتوری بیشتر از طریق کنسولهای Snap-In زیر انجام میگیرد:
Active Directory Users and Computersمنابع کاری روزانه مانند Users ,Groups ,Computers ,Printers and Shared Folders بیشتر در این کنسول قرار دارند.این کنسول بیشترین استفاده را برای مدیران اکتیو دایرکتوری دارا میباشد.
Active Directory Site and Servicesمدیریت Replication ، مدیریت توپولوژی شبکه و سرویسهای وابسته.
Active Directory Domains and Trustsتنظیم و نگهداری رابطه اعتماد (trust Relationship) و سطح عاملیت دامین و فارست.استفاده از این ابزار در فصل 13 “Domains and Trusts” توضیح داده خواهد شد.
Active Directory Schemaایجاد تغییر در تعاریف ویژگیهای اکتیو دایرکتوری و کلاسهای اشیاء.Schema نقشه پیش ساخت (blueprint) اکتیو دایرکتوری میباشد.از این کنسول بندرت استفاده شده یا در آن تغییراتی ایجاد میشود به همین دلیل این کنسول به صورت پیش فرض نصب نمیگردد.
زمانی که شما نقش AD DS را به یک سرور اضافه میکنید کنسولهای مدیریتی فوق به صورت پیش فرض نصب می شوند. 2 ابزار مدیریتی معمول پس از نصب AD DS به Server Manager اضافه میشوند:Active Directory Users and Computers و Active Directory Sites and Services . همچنین در صورتی که بخواهید مدیریت اکتیو دایرکتوری را از طریق سروری که AD DS نمیباشد،انجام دهید، باید ابزار RSAT را از لیست feature های ویندوز در Server Manager انتخاب نموده و آن را نصب نمایید.جهت مدیریت اکتیو دایرکتوری از طریق یک ویندوز کلاینتی،این ابزار را میتوانید به صورت رایگان از سایت مایکروسافت دانلود کرده و بر روی ویندوزهای کلاینتی مانند ویندوز Vista با سرویس پک 1 و ویندوز 7 نصب کنید تا از طریق ویندوزهای کلاینتی مدیریت اکتیو دایرکتوری را انجام دهید.

یافتن ابزارهای مدیریتی اکتیو دایرکتوری

شما میتوانید به 2 ابزار مدیریتی با استفاده از Server Manager دسترسی داشته باشید.با استفاده از توسعه دادن Roles در Server Manager و بعد از آن Active Directory Domain Services ،همچنین تمام این ابزارها را میتوان در فولدر ابزارهای مدیریتی (Administrative Tools ) یافت که این فولدر در کنترل پنل قرار دارد.در مدل نمایشی کلاسیک کنترل پنل شما میتوانید فولدر Administrative Tools را بیابید. در مدل نمایش Home در کنترل پنل در بخش System and Maintenance میتوان به Administrative Tools دسترسی یافت.

اضافه کردن Administrative Tools به منوی Start

به صورت پیش فرض Administrative Tools به منوی start در ویندوز Vista و ویندوز 7 اضافه نمیگردد.با اضافه کردن این ابزار به منوی Start میتوانید دسترسی سریعتری به Administrative Tools داشته باشید.
1-بر روی start کلیک راست کرده و گزینه Properties را انتخاب کنید.
2-بر روی Customize کلیک کنید.
3-اگر از منوی start به صورت پیش فرض استفاده می کنید لیست باز شده را تا انتها پایین آورده و گزینه Display on all programs menu and the start menu را انتخاب نمایید .

اجرا کردن Administrative Tools با استفاده از
Alternate Credentials

بسیاری از Administrator ها با استفاده از اکانت کاربری Administrator به سیستم Logon می کنند.این کار بسیار خطرناک میباشد به این جهت که Administrator دارای حقوق ویژه ای میباشد و دسترسی بیشتری به منابع موجود در شبکه به نسبت کاربر عادی دارد.از اینرو بد افزارهایی که تحت اکانت کاربری Administrator اجرا میشوند ، میتوانند خسارات قابل توجهی را وارد کنند .در عوض Log on کردن با یک کاربر عادی و استفاده از ویژگی Run As Administrator جهت اجرا کردن ابزارهای مدیریتی با استفاده از اکانت کاربریAdministrator امنیت بیشتری برای سیستم فراهم میکند.
1-بر روی میانبر یک برنامه اجرایی یا برنامه های کاربردی کنترل پنل یا MMC که قصد اجرای آن را دارید کلیک راست کنید و گزینه Run As Administrator را انتخاب نمایید.اگر فرمان ذکر شده در لیست موجود نیست با استفاده از نگهداشتن کلید Shift و کلیک راست به فرمان Run As Administrator دسترسی خواهید یافت.

2-نام کاربری و رمز عبور اکانت کاربری Administrator را وارد کنید.

3-بر روی OK کلیک کنید.

اگر به صورت دائم از یک ابزار تحت اکانت کاربری Administrator استفاده میکنید ، میتوانید کلید میانبر جدیدی با تنظیم پیش فرض درست کنید که همیشه تحت اکانت کاربری Administrator اجرا گردد.برای این کار یک کلید میانبر جدید بسازید و وارد صفحه Properties کلید میانبر شوید .بر روی کلید Advanced کلیک کنید و گزینه Run As Administrator را انتخاب کنید .زمانی که ابزار را با استفاده از میانبر اجرا میکنید پنجره User Account Control ظاهر میشود.

ایجاد کنسول سفارشی با ابزارهای اکتیو دایرکتوری

استفاده از ابزارهایی که به آنها نیاز دارید در یک مکان سفارشی شده مطابق با نیازهای شما کار شما را آسان تر میکند.به انجام رساندن این کار با ایجاد کردن یک کنسول سفارشی MMC امکان پذیر میشود که مانند کمربند ابزار برای شما عمل میکند که تمامی ابزارهای مورد نیاز شما را در یک مکان در خود جای می دهد.زمانی که یک کنسول سفارشی MMC ایجاد میکنید:
با اضافه کردن Snap-In های مختلف در یک MMC میتوانید وظایف کاری خود را بدون نیاز به سوییچ کردن بین کنسولها انجام دهید.در نتیجه شما تنها نیاز دارید که یک کنسول را با استفاده از Run As Administrator اجرا کنید.
کنسول را جهت استفاده های مکرر ذخیره کنید.
کنسول را جهت استفاده دیگر Administrator ها توزیع کنید.
تمامی کنسولها را به صورت یکپارچه در یک مکان به اشتراک بگذارید.
جهت ایجاد یک MMC سفارشی، یک MMC خالی را با کلیک کردن بر روی منوی Start باز کنید.در منوی استارت در داخل جعبه جستجو (search Box) تایپ کنید mmc.exe و کلید Enter را بزنید.فرمان Add / Remove Snap-In از منوی فایل اجازه اضافه کردن ، حذف کردن ، مرتب کردن و مدیریت کنسولهای Snap-In را در اختیار شما قرار میدهد.

ذخیره و توزیع کنسول سفارشی

اگر قصد توزیع یک کنسول را دارید،به شما توصیه میگردد که کنسول را درحالت User Mode ذخیره کنید.جهت تعویض سبک کنسول از منوی فایل گزینه Option را انتخاب کنید.به صورت پیش فرض کنسولها در حالت Author Mode ذخیره میشوند که اجازه اضافه کردن یا حذف Snap-In ها را میدهد همچنین اجازه دیدن تمامی بخشهای کنسول و ذخیره تغییرات را نیز در اختیار کاربر قرار میدهد در مقابل User Mode عاملیت کنسول را تغییر میدهد تا امکان تغییر در آن وجود نداشته باشد.سه مدل برای User Mode وجود دارد که در جدول 2-1 این مدلها توضیح داده شده اند.مدل User Mode به صورت Full Access معمولا برای Administrator های متخصص انتخاب میشود که وظایف کاری گوناگونی را با استفاده از کنسولها انجام میدهند.مدل User Mode در حالتهای Multiple Windows و Single Window جهت Administrator هایی مناسب میباشد که وظایف کاری محدود تری دارند.

انواع مدلهای کنسول مدیزیتی مایکروسافت :

Author

شما تصمیم دارید به سفارشی سازی کنسول ادامه دهید.

User Mode-Full Access

شما میخواهید کاربران بتوانند در بین تمام Snap-In ها جابجا شده و از آنها استفاده کنند.کاربران نمیتوانند Snap-In جدیدی را اضافه یا حذف کنند همچنین امکان ایجاد تغییرات در Snap-In ها یا کنسول را نخواهند داشت.

User Mode –Limited Access, Multiple Window

شما میخواهید کاربران بتوانند فقط امکان دسترسی به Snap-In خاصی را داشته باشند که توسط شما در Console Tree مشخص شده است و شما قصد دارید چند پنجره با تنظیم پیش فرض ایجاد کنید که هر کدام بر روی Snap-In خاصی تمرکز داشته باشند.کاربران امکان باز کردن پنجره جدید را نخواهند داشت.

User Mode-Limited Access, Single Window

شما میخواهید کاربران فقط امکان دسترسی به Snap-In مورد نظر شما را داشته باشند و از آن فقط در درون یک پنجره استفاده کنند.

کنسولها با پسوند .msc ذخیره میشوند.مکان پیش فرض ذخیره سازی کنسولها فولدر Administrative Tools میباشد اما به جای کنترل پنل در منوی Start تحت پروفایل کاربری شما در مسیر زیر ذخیره میگردد:%UserProfile%\AppData\Roaming\Microsoft\Windows\St artMenu .
این مکان مشکلاتی را برای شما ایجاد میکند زیرا دسترسی به این مکان با مجوزهای دسترسی محدود شده به اکانت کاربری شما میباشد و فقط با استفاده از اکانت کاربری شما میتوان به این مکان دسترسی داشت.بهترین تکنیک جهت استفاده از این سیستم Log On کردن به سیستم با استفاده از اکانت کاربری میباشد که مزیت خاصی (مانند Administrator ) برای آن در نظر گرفته نشده باشد و آنگاه اجرا کردن Administrative Tools با استفاده از Alternate Credentials که اجازه کافی برای انجام وظایف Administrator را دارا باشد.به این دلیل که در این پروسه دو اکانت کاربری همزمان درگیر میباشند ذخیره کردن کنسول در این حالت باعث باز شدن پنجره انتخاب مسیر در بهترین حالت و یا نمایش پیام Access-Denied در بدترین حالت میباشد.
سعی کنید کنسولهای خود را در مکانی ذخیره کنید که هم توسط اکانت کاربری عادی شما و هم توسط اکانت کاربری Administrator شما به صورت همزمان در دسترس باشد.توصیه میشود که کنسولهای خود را در یک مکان به اشتراک گذاشته شده بر روی شبکه ذخیره کنید تا زمانی که از طریق یک کامپیوتر دیگر نیز به شبکه متصل میشوید به کنسولها دسترسی داشته باشید.به صورت اختیاری میتوانید کنسولها را در فولدر ای ذخیره کنید که برای دیگر Administrator ها هم قابل دسترس باشد به این صورت یک مکان متمرکز جهت ذخیره سازی و دسترسی به کنسولهای مدیریتی سفارشی ایجاد نموده اید.شما همچنین میتوانید کنسولها را بر روی یک وسیله همراه مانند درایو های USB ذخیره کرده و یا آنها را به صورت Attachment با استفاده از Email ارسال نمایید.به یاد داشته باشید که کنسولها به اساسا مجموعه ای از دستور العمل ها میباشند که توسط mmc.exe تفسیر میشوند دستور العمل هایی که مشخص میکنند چه Snap-In اضافه شده و یا چه کامپیوتری با استفاده از این Snap-In مدیریت شود.کنسولها خود حاوی Snap-In نمیباشند از اینرو کنسول در صورت عدم نصب Snap-In نمیتواند به درستی کار خود را انجام دهد پس شما باید Snap-In های مورد نیاز را با استفاده RSAT بر روی سیستم نصب نموده تا در نهایت بتوانید از کنسولها استفاده کنید.

تمرین ایجاد و مدیریت یک کنسول سفارشی

در این تمرین شما یک کنسول سفارشی MMC را ایجاد خواهید کرد.اضافه کردن ، حذف کردن و مرتب ساختن Snap-In ها را انجام خواهید داد.در نهایت کنسول را برای توزیع در میان دیگر Administrator ها آماده خواهید نمود.

تمرین 1 ایجاد یک کنسول سفارشی

در این تمرین شما یک کنسول سفارشی MMC با استفاده از Snap-In های Active Directory Users and Computers و Active Directory Schema و Computer Management ایجاد خواهید کرد.این ابزارها برای مدیریت اکتیو دایرکتوری و دامین کنترلر مفید میباشند.
1-به Server01 با استفاده از اکانت کاربری Administrator وارد شوید.
2-بر روی Start کلیک کنید در منوی استارت در جعبه جستجو (search Box) تایپ کنید mmc.exe و کلید Enter را بزنید.
یک MMC خالی پدیدار میشود .به صورت پیش فرض پنجره کنسول در داخل MMC در حالت Maximized قرار ندارد.با Maximize کردن پنجره از مزیتهای ابعاد کامل نمایش نرم افزار استفاده کنید.
3-از منوی File گزینه Add/Remove Snap-in را انتخاب نمایید.
جعبه محاوره Add/Remove Snap-In مانند تصویر 2-3 ظاهر میشود.

اگر در لیست Snap-In مورد نظر خود را پیدا نمیکنید از نصب RSAT اطمینان حاصل نمایید.
4-در جعبه محاوره Add/Remove Snap-In از لیست Available Snap-Ins: در سمت چپ گزینه Active Directory Users and Computers را انتخاب نمایید.
5-بر روی کلید Add کلیک کنید تا این Snap-In به لیست Selected Snap-Ins در سمت راست اضافه شود.
توجه داشته باشید که Snap-In مربوط به Active Directory Schema برای اضافه کردن در لیست موجود نمیباشد.این Snap-In با نصب نقش Active Directory Domain Service یا RSAT نصب میگردد اما به دلیل عدم Register شدن در لیست نمایش داده نمیشود.
6-بر روی Ok کلیک کنید تا جعبه محاوره Add or Remove Snap-Ins بسته شود.
7-بر روی کلید Start کلیک کنید و در جعبه جستجو تایپ کنید cmd.exe.
8-در Command Prompt تایپ کنید Regsvr32.exe schmmgmt.dll .
این دستور ،عمل نصب Dynamic Link Library (DLL) را برای Active Directory Schema انجام میدهد.این عملیات تنها به یک بار اجرا شدن نیاز دارد.
9-یک پنجره اعلان نمایش میدهد که ثبت موفقیت آمیز انجام شده است.بر روی Ok کلیک کنید.
10-به کنسول سفارشی خود باز گردید ،مراحل 2 تا 6 را تکرار کنید تا Active Directory Schema را نیز اضافه کنید.
11-از منوی File گزینه Add/Remove Snap-In را انتخاب نمایید.
12-در جعبه محاوره Add Or Remove Snap-Ins در بخش Available Snap-Ins گزینه Computer Management را نتخاب نمایید.
13-بر روی کلید Add کلیک کنید تا این Snap-In به منوی Selected Snap-Ins اضافه گردد.
زمانی که Snap-In شما Remote Administration یا مدیریت از راه دور را پشتیبانی نماید ، شما با اعلان انتخاب کامپیوتر مورد نظر مانند تصویر 2-4 مواجه میشوید.

برای مدیریت کردن کامپیوتری که کنسول بر روی آن اجرا میشود گزینه Local Computer را انتخاب کنبد.این حالت فقط مدیریت کامپیوتری که کنسول را بر روی آن ایجاد نموده اید در اختیار شما قرار نمیدهد بلکه اگر شما این کنسول را ذخیره کرده و بر روی هر کامپیوتر دیگر اجرا کنید ، کنسول امکان مدیریت همان کامپیوتری که کنسول را بر روی آن اجرا میکنید در اختیار شما قرار میدهد.
برای مشخص کردن یک کامپیوتر خاص جهت مدیریت توسط Snap-In ، گزینه Another Computer را انتخاب نمایید.سپس نام کامپیوتر را وارد نموده یا بر روی Browse کلیک کنید تا کامپیوتر را انتخاب نمایید.
14-گزینه Another Computer را انتخاب نمایید و به عنوان نام کامپیوتر ،تایپ کنید Server01.
15-بر روی Finish کلیک کنید.
16-بر روی Ok کلیک کنید تا پنجره محاوره Add Or Remove Snap-In بسته شود.
17-از منوی فایل گزینه Save را انتخاب کنید و کنسول را بر روی دسکتاپ خود با نام MyConsole.msc ذخیره کنید.
18-کنسول را ببندید.

تمرین 2 اضافه کردن Snap-In به یک MMC
در این تمرین Even Viewer را به کنسولی که در تمرین 1 ایجاد کردید ،اضافه خواهید کرد.Event Viewer یک ابزار سودمند جهت نظارت کردن بر فعالیتهای دامین کنترلر میباشد.
1-MyConsole.msc را باز کنید.
اگر در تمرین 1 کنسول را بجای دسکتاپ در محل پیش فرض ذخیره نموده اید ،میتوانید از طریق Start\All Programs\Administrative Tools به کنسول خود دسترسی داشته باشید.
2-از منوی File گزینه Add/Remove Snap-In را انتخاب کنید.
3-در پنجره محاوره Add Or Remove Snap-Ins از لیست Snap-In ها گزینه Event Viewer را نتخاب نمایید.
4-بر روی کلید Add کلیک کنید تا Event Viewer به لیست Selected Snap-Ins اضافه شود.
پنجره اعلان انتخاب کامپیوتر باز میگردد.
5-گزینه Another Computer را انتخاب نموده و در بخش نام کامپیوتر، تایپ کنید Server01.
6-بر روی Ok کلیک کنید.
7-برای بسته شدن پنجره محاوره Add or Remove Snap-In بر روی Ok کلیک کنید.
8-کنسول را ذخیره کرده و ببندید.

تمرین 3 مدیریت کردن Snap-In ها در یک MMC
در این تمرین شما ترتیب Snap-in ها را عوض کرده و یک Snap-in را حذف میکنید.همچنین با Extension Snap-in نیز آشنا خواهید شد.
1-Myconsole.msc را باز کنید.
2-از منوی File گزینه Add/Remove Snap-In را انتخاب نمایید.
3-در لیست Selected Snap-ins گزینه Event Viewer را انتخاب نمایید.
4-بر روی کلید Move Up کلیک کنید.
5-گزینه Active Directory Schema را انتخاب نمایید.
6-بر روی کلید Remove کلیک کنید.
7-در لیست Selected Snap-ins گزینه Computer Management را انتخاب نمایید.
8-بر روی Edit Extensions کلیک کنید.
Extension ها در حقیقت Snap-in هایی هستند که در درون Snap-in های دیگر جای میگیرند تا وظایف افزوده ای را فراهم سازند.Snap-in مدیریت کامپیوتر خود دربرگیرنده تعدادی از Snap-in ها به صورت Extension میباشد که شما میتوانید هر کدام که میخواهید فعال یا غیر فعال کنید.
9-گزینه Enable Only Selected Extension را اتخاب کنید.
10-Event Viewer را در حالت غیر انتخاب شده قرار دهید.شما پیش از این Event Viewer را به صورت یک Snap-in مستقل به کنسول اضافه کرده اید.
11-بر روی Ok کلیک کنید تا پنجره محاوره Extensions for Computer Management بسته شود.
12-یک بار دیگر بر روی Ok کلیک کنید تا پنجره محاوره Add or Remove Snap-in بسته شود.
13-کنسول را ذخیره کرده و آن را ببندید.

تمرین 4 آماده سازی کنسول جهت توزیع میان کاربران
در این تمرین شما کنسول را در حالت User Mode ذخیره میکنید تا کاربران دیگر نتوانند عمل اضافه کردن،حذف کردن یا ایجاد تغییرات در Snap-in ها را انجام دهند.به یاد داشته باشید که کاربران MMC معمولا خودشان Administrator هستند.
1-Myconsole.msc را باز کنید.
2-از منوی File گزینه Options را انتخاب کنید.
3-در منوی کرکره ای Console Mode ،گزینه User Mode – Full Access را انتخاب کنید.
4-بر روی Ok کلیک کنید.
5-کنسول را ذخیره کرده و ببندید.
6-با دوبار کلیک کردن بر روی کنسول آن را باز کنید.
7-بر روی منوی Fileکلیک کنید.ملاحظه میکنید که دیگر دستور Add/Remove Snap-inوجود ندارد.
8-کنسول را ببندید.
9-بر روی کنسول کلیک راست کرده و Author را انتخاب کنید.
10-بر روی منوی File کلیک کنید.در Author Mode دستور Add/Remove Snap-inنمایش داده میشود.
11-کنسول را ببندید.

[بانو . ./]

.

Active Directory Users and Computers


شما بعنوان یک مدیر شبکه یکی از مسئولیت های اصلی تان ساخت و پیکربندی کاربران ، گروه ها ، اکانت های کامپیوتر ، واحدهای سازماندهی (OUها) و group poliy ها می باشد. شبیه به مبحث اکتیودایرکتوری در ورژن های قبلی ویندوز سرور، در ویندوز سرور 2008 نیز اکتیو دایرکتوری از کنسول Active Directory Users and Computers برای مدیریت اکانت های کاربران و گروه ها و کامپیوترها استفاده می کند. در این کنسول علاوه بر کارهای ذکر شده شما می توانید دیگر جنبه های اکتیودایرکتوری شامل group policy ، domain controller ، domain security policy و غیره را مدیریت نمایید.

با این کنسول که بیشترین استفاده را در وظایف مدیریتی روزانه در ساختار اکتیودایرکتوری دارا می باشد ، برای ایجاد ، مدیریت و نگهداری و همچنین حذف حسابهای کامپیوتری و کاربری در اکتیودایرکتوری استفاده می شود. باید توجه کرد که اشیاء در اکتیو دایرکتوری به شکل تودرتو در گروه هایی که واحد های سازماندهی (OU) نامیده می شوند قرار می گیرند. بسیاری از وظایفی که توسط کنسول
انجام می شود شامل موارد زیر می باشد:

• اضافه کردن کاربر جدید در اکتیو دایرکتوری
• تغییر پسوردهای کاربران
• واگذاری حقوق خاصی به فایل سرورها
• اجازه remote access به شبکه
• تنظیم login and logout script ها
• ساختن گروه های امنیتی (security groups)

بسیاری از برنامه شامل Exchange Server ، Terminal Services و System Centerتوانایی اضافه شدن به اکتیو دایرکتوری در بسیاری از مواقع را دارند. این برنامه ها به اکتیو دایرکتوری اجازه مدیریت اشیاء وابسته به خود را می دهند . برای مثال اگر برنامه Terminal Services را به شبکه تان اضافه می کنید ، شما می توانید از طریق کنسول Active Directory Users and Computers مدت زمان اتصال هر کاربر به شبکه را کنترل نمایید.

شما می توانید برای دسترسی به کنسول Active Directory Users and Computers از مسیرهای زیر استفاده کنید :
دقت کنید که فقط Domain Controller ها دارای چنین کنسولی هستند و اگر نتوانستید این کنسول را بیابید ، مطمئن شوید که بر روی دامین کنترولر login کرده اید .

1 2	Start --> Programs --> Administrative Tools Active Directory Users and Computers Start --> Control Panel --> Administrative Tools Active Directory Users and Computers

بعد از آشنایی با طریقه دسترسی به Active Directory Users and Computers ، حالا وقت آنست که container ها و OU های پیش فرض بطور مختصر مورد بررسی قرار گیرند. بعد از نصب و پیکربندی Domain controller ، به طور پیش فرض شما چندین container و OU ی توکار را در کنسول Active Directory Users and Computers مانند (تصویر 1) می بینید.ساختار اکتیودایرکتوری بر اساس forest است که هر Forest می تواند دارای چندین Domain و یا Tree باشد .کنسول Active Directory Users and Computers به شما اجازه کار کردن با ساختار Forest را نمی دهد و شما می توانید فقط ساختار Domain را با آن مدیریت کنید .

تصویر 1

Click here to view the original image of 664x442px.

اگر به (تصویر 1) نگاه کنید می بینید که itpro.local دامینی است که در شبکه من وجود دارد . تمامی اشیائی که در ساختار اکتیودایرکتوری من ساخته می شوند عضوی از دامین itpro.local هستند. اما این تنها دامینی نیست که در شبکه من وجود دارد. کنسول Active Directory Users and Computers برای اینکه در کار مدیریتی دامین ها پیچیدگی و ابهامی پیش نیاید در هر لحظه فقط یکی از دامین ها را به ما نشان می دهد . دامینی که در اولین صفحه این کنسول مشاهده می کنیم در حقیقت همان دامینی است که متعلق به Domain controller ای است که به آنlogin کرده ایم . یعنی در اینجا ما بر روی دامین کنترلری login کرده ایم که دامین itpro.local بر روی آن قرار دارد.

اما مشکل در اینجاست که دامین ها ممکن است بصورت فیزیکی و جغرافیایی از هم فاصله داشته باشند . برای مثال بسیاری از شرکت ها وجود دارند که دارای نمایندگی هایی در مناطق مختلف هستند و برای هر کدام از این مناطق نیز یک دامین دارند و شما برای اینکه بتوانید به هر کدام از این دامین ها دسترسی داشته باشید نیاز به یک ابزار دارید. شما میتوانید از طریق کنسول Active Directory Users and Computers به دامین هایی که به آنها اعتماد و دسترسی لازم را دارید نیز دسترسی پیدا کنید . تمام کاری که باید بکنید این است که بر روی دامین مورد نظر کلیک راست کرده و گزینه Connect To Domain را بزنید . صفحه ای برای شما باز خواهد شد که به شما این امکان را می دهد که بتوانید نام دامین مورد نظرتان را در آن تایپ کرده و یا اینکه دامین مورد نظرتان را از لیست انتخاب کنید . و براحتی با گزینه Browse دامین مورد نظر برای شما باز خواهد شد .

در (تصویر 1) شما تعدادی Container را مشاهده می کنید که هرکدام به نوعی از اشیاء اشاره میکنند . هر شیئی که در اکتیودایرکتوری ساخته می شود به یکObject Type مرتبط می شود که در این ساختار به آنها کلاس شیء یا Object Class هم گفته می شود . همچنین هر شیء برای خود یک سری خواص یا Attribute دارد که به آن مرتبط شده اند که این خواص بسته به نوع اشیاء متفاوت هستند. پس بعد از نصب و پیکربندی یک دامین کنترولر چندین بخش سازماندهی (Container) را درون کنسول Active Directory Users and Computers می بینید که به قرار زیر می باشند:(شبیه به Folder هستند )

Built-In : شامل همه گروه های امنیتی پیش فرضی می باشد که به هنگام نصب دامین کنترولر به صورت خودکار ساخته می شوند. این گروه ها مجوزهای استانداردی را بر روی اشیاء مختلف درون اکتیودایرکتوری می گذارند . این Container شامل گروه های Account Operators group, Administrators , Users Backup Operators, Server Operators, Replicators, Users, Remote Desktop و Print Operators می شود.

Click here to view the original image of 634x507px.

Computers : شامل ایستگاهای کاری درون دامین تان می شود. به طور پیش فرض هیچ ایستگاه کاری درون این container وجود ندارد، اما با پیوستن یک ایستگاه کاری به دامین تان شما می توانید آن کامپیوتر را درون این container مشاهده کنید.

Domain Controllers : شامل همه دامین کنترول هایی است که دامین شما را کنترول می نمایند.

Foreign Security Principals : این container همه اشیائی که بخشی از دامین تان نمی باشند را در خود نگه می دارد و مجوزهایی که باید به کار ببرند را به آنها اختصاص می دهد.

Users : شامل همه اکانت های امنیتی است که بخشی از دامین می باشند . چندین گروه در این container وجود دارند که در هنگام نصب دامین کنترولر به صورت خودکار ساخته می شوند . این container شامل اکانت پیش فرض Administrator و گروه هایی مانند Domain Admins ، Enterprise Admins، Domain Controllers ، Domain Guests ، Domain Users ، Schema Admins ، Guests و غیره می باشد.

در ضمن شما می توانید انواع مختلفی از اشیاء اکتیودایرکتوری را ساخته و مدیریت نمایید. بعضی از این اشیاء به قرار زیر می باشند :

Computer : اشیاء کامپیوتر ایستگاه های کاری که بخشی از دامین اکتیو دایرکتوری می باشند را نمایش می دهند . همه کامپیوتر های درون یک Domain در یک پایگاه داده امنیتی یکسان که شامل اطلاعات گروه ها و کاربران می باشد ، سهیم می باشند. اشیاء کامپیوتر برای مدیریت مجوز های امنیتی و محدودیت های enforcing Group Policy مفید می باشند.

Contact : این اشیاء معمولا در OU ها برای مشخص کردن تماس های مدیریتی مورد استفاده قرار می گیرند. Contact ها مسئولیت های امنیتی شبیه به کاربران را ندارند و فقط برای مشخص کردن اطلاعات درباره اشخاص درون سازمان ها مورد استفاده قرار می گیرند.

Group : اشیاء گروه، مجموعه هایی منطقی از کاربران اصلی هستند که دسترسی های امنیتی را به منابع اختصاص می دهند. هنگامی که کاربران را مدیریت می کنید ، شما باید آنها را درون گروه ها قرار دهید و سپس مجوزها را به گروه اختصاص دهید. این کار مدیریت انعطاف پذیرتری را بدون نیاز به اختصاص دادن مجوزها بصورت فردی برای کاربر فراهم می آورد.

Organizational Unit : یک شیء OU برای ایجاد یک سلسله مراتب درون دامین اکتیو دایرکتوری مورد استفاده قرار می گیرد. آن کوچکترین واحدی است که برای ساختن گروه های مدیریتی از آن استفاده می شود. و همچنین می توان از آن برای تخصیص سیاست های گروه (group policy) استفاده کرد. به طور معمول ساختار OU درون یک دامین سلسله مراتب سازماندهی یک شرکت تجاری را بازتاب می دهد.

Printer : شیء پرینتر نگاشتی برای دستگاه های پرینتر می باشد.

Shared Folder : این شیء نگاشتی برای server share ها می باشند. آنها برای سازماندهی منابع فایلی مختلفی که ممکن است بر روی file/print server ها موجود باشند مورد استفاده قرار می گیرند. اغلب از اشیاء Shared Folder برای دادن نام منطقی به مجموعه فایل های مشخصی استفاده می شود.

User : یک شیء کاربر مسئول امنیتی بنیادی بر روی اکتیودایرکتوری می باشد. اکانت های کاربر شامل اطلاعاتی در باره اشخاص از قبیل پسورد و دیگر اطلاعات مربوط به مجوز ها می باشد.

هدف از این مقاله معرفی اکتیو دایرکتوری بود و فرآیند ایجاد و اعمال تغییرات بر روی اشیاء در اکتیودایرکتوری در مقالات بعدی مورد بررسی قرار می گیرد.در پایان شما لزوما نبایستی برای اینکه بتوانید دامین را مدیریت کنید و به کنسول Active Directory Users and Computers دسترسی داشته باشید به دامین کنترلر login کنید . شما به جای اینکه از طریق دامین کنترلر و از منوی administrative Tools به این کنسول دسترسی داشته باشید، می توانید از طریق یک Member Server و استفاده از کنسول MMC یا Microsoft Management Console و اضافه کردن کنسول Active Directory Users and Computers براحتی از این ابزار در سرور های دیگر نیز استفاده کنید .

برای اینکار از طریق Run در منوی استارت دستور MMC را وارد کنید و کلید Enter را بزنید . در این لحظه سرور برای شما یک صفحه کنسول خالی باز میکند . از طریق منوی File گزینه Add Remove Snap In را انتخاب کنید و از لیست موجود کنسول Active Directory Users and Computer را انتخاب کنید و بعد Close و OK را بزنید و منتظر باشید تا کنسول بصورت کامل لود شود .






منبع : network.itpro



.

[بانو . ./]

.

ایجاد OU ها





Ou مخفف organization unit است وکوچکترین واحد مدیریت داخل شبکه domain است و کوچکترین واحدی است که ما می توانیم به آن (group policy)gp اعمال کنیم.
کلا معیار برای ساختن ou ها متفاوت می باشد. معمولا در این تقسیم بندی و ساختن ou ها بسیار موثر است.
زمانی که active directory users and computers را بازمی کنیم چارت سازمانی از نام domain شروع می شود برای مثال wikipg.comبعد از آن ou ها , container ها را داریم.

هرگاه active directory users and computers ساخته شد در آن ou ساخته می شود به نا م domain controllers

چگونه می توان ou ساخت؟
به دو روش می توان Ou ساخت

• گرافیکی
• command

هر وقت خواستیم جایی ou بسازیم فقط active directory users and computer است که می توان ou ساخت.
در این قسمت بر روی wikipg.com یک کلیک راست کرده و new ou را انتخاب میکنیم و اسم آن را برای مثال fani می گذاریم .
ساختن ou به روش گرافیکی
برای ساختن ou به روش گرافیکی بر روی نام دامنه کلیک راست کرده و new را انتخاب کرده سپس organization unit را انتخاب می کنیم.

Click here to view the original image of 521x433px.

بعد از انتخاب کردن این گزینه کادر زیر باز می شود که در آن باید نام ou را مشخص کنیم.
اگر گزینه ی protect container from accidental deletion انتخاب شده باشد در این صورت اگر بر روی ou که ساخته شده است کلیک راست کرده و سپس گزینه ی Remove را انتخاب کنیم پاک نمی شود برای اینکه پاک شود باید مراحلی که در قسمت پاک کردن ou توضیح داده شده است مطالعه کنید.

حالا اگر در صفحه ی active directory users and computers نگاه کنیم میبینیم که ou در اینجا با نام fani ایجاد شده است.

طریقه ی ساختن ou توسط command
با فرمان نیز می توانیم این کار را انجام دهیم.

Dsadd ou DN هر ou که می سازیم داخل ntds.dit ذخیره می شود این ou با فرمت Dstinguished Name ذخیره می شود
برای dn نوشتن از قوانین زیر پیروی می کنیم.
قانون DN نوشتن
از پایین به بالا سلسله مراتب می نویسیم
هر جا به ou رسیدیم آن را با OU نمایش می دهیم.
هر جا به DOMAIN رسیدیم آن را با DC نمایش می دهیم
هر جا به موردی غیر از موارد بالا رسیدیم آن را با CN نمایش می دهیم.
برای جدا کردن سلسله مراتب از یکدیگر از کاما , استفاده می کنیم.
برای مثال اگر بخواهیم ou با نام it بسازیم به این صورت عمل می کنیم:

Click here to view the original image of 661x326px.

پس از اینکه دستور را در cmd وارد کردیم باید enter را بزنیم بعد از زدن Enter پیغام می دهد که ou با موفقیت ساخته شده است.

Click here to view the original image of 660x326px.

حالا اگر در صفحه ی active directory users and computers برویم ویک بار صفحه را Refresh کنیم می بینیم که ou مورد نظر ساخته شده است.

Click here to view the original image of 581x315px.

اگر بخواهیم یک Ou را در داخل ou دیگر ایجاد کنیم در این حالت باید حتما باید PARENT ساخته شود تا CHILD ساخته شود. برای مثال اگر بخواهیم که ou بانام mali در ou it ایجاد کنیم خواهیم داشت:

Click here to view the original image of 654x323px.

همانطور که میبینید باید از پایین ترین نقطه به سمت بالا ترین نقطه حرکت می کنیم. سپس enter را می زنیم

پس لز زدن Enter پیغام می دهد که ou با موفقیت ساخته شده است. و اگر در صفحه ی active directory users and computers برویم خواهیم دید که در زیر مجموعه ی ou it برای ما ou mali ساخته شده است.

پاک کردن ou
برای پاک کردن ou که به روش گرافیکی ساخته شده است اگر بر روی ou مورد نظر کلیک راست کرده و گزینه ی delete را بزنیم.

پاک نمی شود و error می دهد.

برای پاک کردن ou که به روش گرافیکی آن را ساخته ایم به روش زیر عمل می کنیم.
ابتدا در صفحه ی active directory users and computersگزینه ی view را انتخاب کرده سپس گزینه ی advance feature را انتخاب می کنیم.

تا فعال شود سپس بر روی ou مورد نظر کلیک راست کرده و گزینه ی propertiesو تیک protect object from accident delition را برمی داریم.

و بعد با کلیک راست کردن مجدد بر روی ou و انتخاب گزینه ی delete آن را پاک می کنیم.

زمانیکه با command در این قسمت ou می سازیم دیگر گزینه ی Protect container from accident delition تیک نمی خورد و می توان با کلیک راست کردن بر روی آن و انتخاب کردن delete آن را حذف کرد.
حذف کردن ou توسط command
پاک کردن Ou از طریق command با زدن dsrm می باشد.

سپس enter را می زنیم.

قبل از delete کردن سوال می پرسد که می خواهی این ou حذف شود و y را می زنیم سپس این صفحه را یک با ر refresh می کنیم.

همانطور که در شکل بالا ملاحظه می کنید ou mali حذف شده است.








.

[بانو . ./]

.





ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers




کنسول Active Directory Users and Computers ابزار اصلی برای مدیریت کاربران و گروه ها و کامپیوترهای اکتیودایرکتوری است.شما می توانید طبق مراحل زیر یک اکانت کاربر را ایجاد نمایید:

1.ابتدا به یک اکتیو دایرکتوری دامین کنترلر log on نمایید.

2.کنسول Active Directory Users and Computers را اجرا نمایید.

3.ما می خواهیم در کانتینر Users یک اکانت کاربری جدید ایجاد نمایم.برای این کار بر روی کانتینر Users کلیک راست کرده و در منو باز شده گزینه New و سپس گزینه User را انتخاب می نماییم. (تصویر 1 را ببینید)

Click here to view the original image of 597x486px.

4.پنجره New Object–User به نمایش در می آید. در این پنجره شما باید فیلد های first name ، last name و logon name User را پر نمایید .و سپس دکمه Next را بزنید. ( تصویر 2 را ببینید) در اینجا فیلد logon name User به طور مختصر توضیح داده می شود:

User Logon Name : نام کاربری را برای اکانت جدید تعیین می کند و از آن برای فرآیند logon استفاده می کند. نامی را انتخاب کنید که با قرارداد نام گذاری شما سازگار باشد. پر کردن این فیلد لازم می باشد. نام های ورودی کاربر، طی فرآیند logon شدن حساس به حروف کوچک و بزرگ نمی باشند. ( user principal name) یا UPNاز نامی که کاربر با آن logon می کند و پسوند نام مسئول دامین ساخته می شود، که به وسیله نشانه @ به هم متصل می شوند. برای مثال نام ورودی کاربر ممکن است reza و پسوند نام مسئول itpro.local باشد. در نتیجه UPN، [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] خواهد بود.

5.دومین پنجره New Object–User به نمایش در می آید. در اینجا ما باید بخاطر اهداف امنیتی برای اکانت کاربر یک پسورد انتخاب نماییم . پس در password ، یک پسورد سخت را تایپ می نماییم . در پایین پنجره یکسری گزینه ها وجود دارد که بنا بر نیازهای مدیریتی انتخاب می شوند. (تصویر 3 را ببینید) توضیح این گزینه ها به شرح زیر می باشد:

User Must Change Password At Next Logon : اگر این گزینه انتخاب شده باشد، کاربر مجبور می شود که پسوردی را که برای اولین بار با آن log on کرده است را تغییر دهد. این کار برای بالا بردن امنیت انجام می شود و وظیفه پسوردگذاری را به کاربر انتقال می دهدیه طور پیش فرض این گزینه انتخاب شده است.

User Cannot Change Password : اگر این گزینه انتخاب شده باشد، کاربر از تغییر دادن پسورد منع می شود. این کار برای اکانت هایی مانند Guestو آن هایی که بین بیش از یک کاربر به اشتراک گذاشته شده اند مفید است. این گزینه به طور پیش فرض انتخاب شده نیست.

Password Never Expires : این گزینه تعیین می کند که پسورد هیچ وقت تغییر نکند حتی اگر یک سیاست پسورد تعیین شده باشد. برای مثال اگر یک service account داشته باشید و نخواهید سربار مدیریتی به خاطر تغییر پسوردها ایجاد شود، می توانید این گزینه را انتخاب کنید. این گزینه به طور پیش فرض انتخاب شده نیست.

Account Is Disabled : این گزینه تعیین می کند که این اکانت برای اهداف logon نمی تواند مورد استفاده قرار بگیرد.برای مثال ممکن است شما این گزینه را برای اکانت های قالب یا اکانتی که هم اکنون مورد استفاده قرار نمی گیرد انتخاب کنید.این کار اکانت های غیر فعال را از درگیری با تهدید های امنیتی باز می دارد. این گزینه به طور پیش فرض انتخاب شده نیست.

6.در پایان دکمه Next و سپس Finish را فشار دهید .

منبع : network.itpro




.