Windows Server Active Directory Configuration

[Azad/]

.




QUOTA:


اگر user معمولی داشته باشیم حداکثر با آن user می توانیم 10 تا pc را join به domain کنیم در اینجا quota برابر با 10 است ولی برای administrator بی نهایت می باشد
.
• به صورت اتوماتیک به ازای کامپیوتر pc1 یک computer account در ntds.dit ساخته می شود.
• علاوه بر computer account یک رکورد داخل dns ایجاد می گردد



.
نکته:

هرگاه قبل از مرحله ی authentication با خطایی برخورد کردیم باید dns را چک کنیم یا یک اسم dns را Ping کنیم. برای مثالserver.wikipg.com اگر در این مرحله به ما reply داد در این صورت dns به درستی کار می کند. از مرحله ی authentication به بعد اگر با مشکل مواجه شدیم یعنی dc مشکل دارد. وباید آن را درنظر بگیریم. ویا ممکن است که رکورد را نمی تواند ثبت کند یا رکورد مشکل دارد و یا رکورد تکراری است. و یا اینکه user که در نظر گرفته اید pass آن مشکل دارد . اگر که پیغام welcome را نمایش داد یعنی مشکلی ندارد و باید کامپیوتر restart شود

.
هنگامی که سیستم restart می شود 2 عملیات به صورت اتوماتیک انجام می شود.

درواقع در پروسه ی restart شدن دو عملیات انجام می شود.

برای کامپیوتر یک computer account داخل dc ساخته می شود.

• در قسمت active directory user and computer یک قسمت داریم به نام computers که کامپیوتری که ساخته می شود در این قسمت اضافه می شود.
• به ازای این Pc که join به domain شده است یک dns ساخته میشود

.

[Azad/]

.



Offline Domain Join

Offline Domain Join ابزاری است که برای Windows Server 2008 R2 و Windows 7 یا نسخ جدید تر ویندوز در دسترس است. با استفاده از این فرآیند برای Join شدن به Domain نیازی به برقراری ارتیاط با Domain Controller وجود ندارد. این ویژگی برای سایت هایی که دارای ارتباط شبکه با شبکه سازمانی نیستند در نظر گرفته شده است (همانند سایت های موقت)

به عنوان مثال ممکن است تعدادی ماشین مجازی (Virtual Machines) در یک Data Center ایجاد کرده باشید. با استفاده از Offline Domain Join این امکان پدید می آید که بدون هیچ Restart اضافی در اولین استارت آن ها عضو دامین شوند. مهمترین مزیت Offline Domain Join آن است که وضعیت عضویت در شبکه Active Directory بدون هیچ ترافیک شبکه ای تغییر می کند. چهار قدم اصلی برای انجام Offline Domain Join لازم است:




مرحله یک

روی یکی از کامپیوتر های دامین که Windows Server 2008 R2 یا Windows 7 دارد با یک اکانت که مجوز عضو کردن کامپیوتر ها را به دامین دارد Login کنید.




مرحله دو

از دستور DJoin در خط فرمان برای Provision (پیش بینی) کردن یک کامپیوتر برای Offline Join استفاده می کنیم. این دستور که در ادامه توضیح داده خواهد شد، در Active Directory اطلاعاتی که برای Join شدن لازم است را ایجاد می کند و دارای یک اطلاعات خروجی است که به آن در اصطلاح blob to a Text file گفته می شود. برای آنکه تصور کنید Blob to a text file با فایل -------encoded blob که کد شده است، چگونه است، تصویر زیر را ببینید.



به صورت عمومی قالب دستور DJoin برای Provision به صورت زیر است:

djoin.exe /provision /domain DomainDNSName /machine ComputerName /savefile Filename

- پارامتر Provision یک اکانت کامپیوتر جدید در Active Directory ایجاد می کند. اگر اکانت موچود باشد، با استفاده از سوییچ /reuse یک اکانت موجود برای provision آماده می شود.

- DOmainDNSName اسم دامین است به عنوان مثال Contoso.com

- ComputerName نام کامپیوتر است برای پارامتر Provision یا Reuse

- FileName مسیر یا نام فایل در مسیر جاری است که فایل Blob to Text File در آن ساخته می شود.

برای مثال:

djoin.exe /provision /domain contoso.com /machine COMPUTER007 /savefile COMPUTER007_Join.txt



همچنین پارامتر های زیر در دسترس اند:

- پارامتر machineOU/ مشخص کننده ی OU ای است که در برگیرنده Computer Account است. باید به صورت DN وارد شود. (distinguished name)

- پارامتر dcname/ مشخص کننده دامین کنترلری است که کامپیوتر اکانت در آن ساخته شود.

- پارامتر downlevel/ مشخص کننده ی آن است که دامین کنترلر یک نسخه قدیمی تر از Windows Server 2008 R2 را اجرا می کند.





مرحله سه

در کامپیوتر آفلاینی که قصد عضو شدن دارد لازم است دستور DJoin را به همراه ورودی اطلاعات Blob to a Text File ایجاد شده در مرحله بعدی وارد کنیم. انتقال این فایل می تواند با استفاده از روش های آفلاین و یا روش هایی همانند ایمیل یا ذخیره سازی های ابری صورت گیرد. فراموش نکنید در هر روش انتقالی، امنیت فایل را در نظر بگیرید. البته اطلاعات این فایل رمزنگاری شده است، اما شامل اطلاعات حساسی همانند Computer Password و SID است.

در یک کامپیوتر که دارای سیستم عامل Windows 7 یا Window Server 2008 R2 است می توانید با استفاده از دستور DJoin آن را به عضویت دامین در بیاورید. برای این منظور، قالب عمومی دستور عبارت است از:

djoin.exe /requestODJ /loadfile Filename /windowspath %SystemRoot% /localos

- پارامتر requestODJ معین کننده است که قصد درخواست Offline Domain Join را از احرای DJoin داریمو

- پارامتر Filename مشخص کننده فایل مسیر و نام Blob to a text file است.

- پارامتر windowspath مشخص کننده مسیری است که ویندوز روی آن نصب شده است. متغییر %SystemRoot% این مسیر را به صورت پیش فرض تعیین می کند. همچنین متغییر %windir% نیز می تواند استفاده شود.

- پارامتر localos مشخص کننده آن است که عمل عضو شدن برای کامپیوتر local است و نه یک Offline Image

به عنوان مثال:

djoin.exe /requestODJ /loadfile COMPUTER007_Join.txt /windowspath %SystemRoot% /localos

اگر قصد داشته باشید که عملیات Offline Domain Join را برای کامپیوتری که هنوز Start نشده است، به عنوان مثال یک Virtual Machine جدید، لازم است که ابتدا هارد دیسک مجازی آن را زوی یک کامپیوتر دیگر Mount (یا Attach) کنید و سپس آن هارد دیسک به عنوان یک Volume دیگر روی ماشین جاری اضافه خواهد شد. اکنون با اجرای دستور زیر می توانید عملیات را انجام دهید:

djoin.exe /requestODJ /loadfile Filename /windowspath PathToWindowsFolder

توجه داشته باشید در این شرایط مقدار پارامتر WindowPath باید مسیر شاخه Windows برای هارد دیسک Attach شده باشد و از متغییر های پیشین نباید استفاده شود. همچنین سوییچ localos به دلیل اینکه OS در حال اجرا هدف نیست استفاده نشده است.



مرحله چهار

زمانی که کامپیوتر را Restart یا Start می کنید، کامپیوتر به عنوان یک عضو دامین مبدل خواهد شد.
عضو شدن در دامین از طریق RODC

در Windows Server 2008 R2 امکان عضو شدن کامپیوتر ها از طریق RODC ها برای سایت هایی که دارای DC به صورت خواندنی – نوشتنی نیستند ایجاد شده است. اما برای این منظور لازم است:

۱) اکانت کامپیوتر و برخی ویژگی های لازم برای آن به صورت از قبل ساخته شده ایجاد شوند.

۲) ویرایش سیاست PRP در صورت لزوم برای آنکه Password کامپیوتری که ساخته اید روی RODC به صورت Cache نگه داری شود.

۳) Replication انجام شود. می تواند به صورت Force انجام شود.

۴) انتقال Password مربوطه برای کامپیوتری که قصد دارد به صورت offline عضو شود.

۵) اجرای یک اسکریپت با هدف آنکه RODC عضو شدن را کامل کند.



.

[Azad/]

مروری بر سناریو عضویت آفلاین در دامنه:

عوضیت آفلاین در دامنه (Offline Domain Join) یک پروسه جدید است که برای کامپیوتر های دارای ویندوز 7 و ویندوز سرور 2008R2 قابل استفاده است، که در آن یک کامپیوتر را ، بدون ارتباط با دامین کنترلر، می توان به عضویت دامنه در آورد.


این قابلیت این امکان رو به مدیر سرور ها می ده تا در مواقعی که هیچ ارتباطی با شبکه شرکت شون نداره، کامپیوتر یا کامپیتر هایی رو به عضویت دامنه در بیاره! کاربرد این قابلیت در دیتاسنتر ها مشخص میشه.
برای مثال، اگر یک شرکت بخواد تعداد ماشین های مجازی شو در دیتا سنترش گسترش بده، این قابلیت به این شرکت این اجازه رو میده که ماشین های مجازی شون رو بلافاصله پس از نصب سیستم عامل، به عضویت دامنه دربیارن! برای کامل شدن عضویت نیز، نیاز به هیچ گونه ریست کردن اضافی کامپیوتر نیست! این پروسه به طور قابل توجهی مدت زمان مورد نیاز برای عضو کردن ماشین ها رو به دامنه، در تعداد زیاد ماشین های مجازی، کاهش میده!


زمان عضویت در یک دامنه، یک ارتباط مورد اعتماد (Trust Relationship) بین کامپیوتر که دارای سیستم ویندوز هست و یک دامین اکتیو دایرکتوری برقرار میشه! این عمل باعث ایجاد تغییراتی در سرویس دامنه اکتیو دایرکتوری یا (AD DS) و همچنین اون کامپیوتر که در حال عضویت هست، می شود. برای کامل شدن عضویت هم اون کامپیوتر باید بعدا با دامین کنترولر ارتباط برقرار کنه، در این صورت هست که پروسه عضویت کامل میشه!




پروسه عضویت آفلاین دامنه، مزیت های زیر رو داره:

1. تغییرات اکتیو دایرکتوری بدون هیچ گونه مصرف ترافیکی برای ارتباط با کامپیوتر عضو شده، انجام میشه!
2. تغییرات کامپیوتر عضو شده بدون هیچ گونه مصرف ترافیکی برای ارتباط با دامین کنترلر ، انجام میشه!
3. هر کدام از پروسه های تنظیم شدن تغییرات می توانند در زمان های مختلفی انجام شوند!

در زیر به توضیح بخشی دیگر از مزایای این عمل می پردازیم:

الف) کاهش کل هزینه مالکیت در دیتاسنتر ها (در مقاله بعدی کامل ترجمه می کنم)
ب) بهبود تجربه برای اجرا کردن عضویت دامنه بوسیله RODC یا همان Read Only Domain Controller
ج) استقرار سرمایه گذاری سریع

[Azad/]

پیش نیاز ها برای اجرای عضویت آفلاین در دامنه

برای اجرای عضویت آفلاین در دامنه، شما نیاز به کمندهایی دارید که از ابزار جدیدی به نام Djoin.exe استفاده می کنند. از این ابزار برای آماده کردن کامپیوتر اکانت ها در سرویس دامنه اکتیو دایرکتوری AD DS استفاده میشه! همچنین شما از این ابزار برای انتقال اطلاعات کامپیوتر اکانت به کامپیوتر مقصد که می خواید عضو دامنش کنید، استفاده می کنید.

در عضویت آفلاین، تمام پروسه در یک بازه زمانی خاص به اتمام نمی رسه، بلکه کامپیوتر اکانت ساخته شده در سرویس اکتیو دایرکتوری ، در همان جا باقی می مونه ، مگر این که ادمین سرور تغییراتی بر روی اون ها انجام بده. هرچند بعضی از سازمان ها اسکریپت هایی رو روی سرور اجرا می کنند که هر 30 تا 60 روز کامیوتر اکانت های قدیمی یا اون هایی که مورد استفاده نیستند رو ، از این قسمت پاک می کنند.




پیش نیاز های سیستم عامل برای اجرای پروسه

شما از ابزار Djoin.exe تنها بر روی ویندوز 7 و سرور 2008R2 می توانید استفاده کنید.کامپیوتری که شما Djoin.exe رو برای تنظیم اطلاعات کامپیوتر اکانت روی AD DS انجام میده، باید دارای ویندوز 7 یا سرور 2008R2 باشه. کامپیوتری که می خواد به دامنه از طریق این قابلیت عضو بشه هم باید دارای یکی از این دو نوع سیتم عامل باشه.


اعتبارسنجی های مورد نیاز

برای این که شما بتوانید به وسیله یوزر خودتون، عمل عضویت آفلاین رو اجرا کنید، نیاز به یه سری اختیارات و مجوز ها دارین، اعضای گروه Domain Admins Group به صورت پیش فرض این اختیارات و توانایی ها رو دارن، اگر یوزر شما عضو این گروه نیست و می خواد که عمل عضویت آفلاین رو انجام بده باید یکی از کار های زیر رو بکنه:

1. استفاده از گروپ پالیسی برای دادن اختیارات مورد نظر به شما
2. ویرایش کردن لیست کنترل دسترسی ها (ACL) برای انجام عمل انتقال مجوز ها به شما (Delegate)
3. ساختن یک OU یا واحد سازمانی و ویرایش لیست کنترل دسترسی های اون به منظور دادن مجوز های Create chile - Allow

[Azad/]

گر بر روی user کلیک راست کنیم قسمت های زیررا برای ما می آورد:





Copy :



اگر خواستیم یک user بسازیم که مشخصاتش با یک user که از قبل ساخته شده یکی باشد از این گزینه استفاده می کنیم. ولی آیتم هایی مثل اسم و فامیل که باید unique باشد را از ما می پرسد و user جدید سایر آیتم های مربوط به user قبلی را دارد در واقع اگر آن user در گروه هایی عضو باشد و یا یک سری permission روی آن تعریف شده باشد در این صورت user جدید که ساخته می شود سایر این ویژگی ها را دارد.برای مثال اگر ما بخواهیم یک user با سایر مشخصاتی که user test دارد داشته باشیم در این صورت بر روی user test کلیک راست کرده گزینه ی copy را انتخاب می کنیم سپس صفحه ی زیر باز می شود.

در این صفحه که باز شده است سایر مشخصاتی که به صورت unique می باشد را وارد می کنیم.سپس گزینه ی next را انتخاب می کنیم.در صفحه ی جدید password را مشخص می کنیم.

سپس گزینه ی next را انتخاب می کنیم.





Add to a group
:

Group مجموعه ای از user ها است و وقتی user را می سازیم باید عضو گروه یا گروه هایی شود. اگر بخواهیم user مورد نظر عضو گروه خاصی باشد در این صورت بر روی user کلیک راست کرده و گزینه ی add to a group را انتخاب می کنیم.در صفحه ای که باز می شود با انتخاب کردن advanced کادری باز می شود که سایر گروه ها در آن قرار دارد و مشخص می کنیم که user مورد نظر باید عضو کدام گروه قرار گیرد.

در قسمت enter the object names to select نام گروه مورد نظر را وارد می کنیم سپس میتوان گزینه ی checknames را انتخاب کنیم تا نام درست آن مشخص شود یا اگر بخواهیم کل گروه هایی که وجود دارد را ببینیم در این حالت بر روی گزینه ی advanced کلیک می کنیم در صفحه ای که باز می شود.

دراین صفحه با انتخاب گزینه ی find now سایر گرو ه هایی که وجود دارد را برای ما می آورد و می توان یکی از این گروه ها را انتخاب کرد.و user مورد نظر را عضو هر یک از گروه هایی که در این لیست موجود است کرد.


Disable account:



با استفاده از این گزینه می توان یک user را برای مدتی به حالت disable در آورد. این گزینه در مواقعی کاربرد دارد که یک user برای مدتی می خواهد از سازمان برود ولی دوباره بر می گردد پس می توان آن را disable کرد.

پس از انتخاب کردن این گزینه پیغام زیر نمایش پیدا می کند.

وقتی این گزینه انتخاب شد اگر بخواهیم دوباره user را به حالت enable در بیاوریم دوباره بر روی آن کلیک راست کرده و این بار به جای گزینه ی disable گزینه ی enable وجود دارد.
Reset password:
اگر user در زمانی password خودش را فراموش کند می توان از این گزینه استفاده کرده و password آن راتغییر داد.

در قسمت new password و confirm password میتوان مشخص کرد که password جدید چیست.
گزینه ی unlock
اگر این گزینه انتخاب شده باشد یعنی login آن lock شده است باید unlock شود تا بتواند login کند.
Move:
از ما می پرسد که به کجا منتقل کند مسیر را به آن می دهیم برای move کردن می توانیم از drag و drop هم استفاده کنیم


.

اگر گزینه ی move انتخاب شود دراین صورت صفحه ای باز می شود که در این صفحه میتوان مشخص کردن که این user را می خواهیم به کجا انتقال دهیم.

Open home page: اگر داخل سازمان share point داشته باشیم می توانیم داخل آن صفحه webpage بسازیم.

send mail: اگرخواستیم برای یک user این گزینه را بزنیم باید آدرس email user در سازمانمان یک mail بفرستیم.


All tasks :در این قسمت یک گزینه دارد Resultant set of policy مجموعه policy هایی که به یک user اعمال شده است را نشان می دهد.

[Azad/]

گزینه properties یوزر در اکتیو دایرکتوری





اگر بر روی یک user که ساختیم کلیک راست کنیم به گزینه ی properties می رسیم
.

تب general

اگر خواستیم یک user را که هیچ مشخصه ای از او نداریم به جز اسمش در صفحه ی
Active directory users and computers
یک دکمه در بالای صفحه شبیه به search وجود دارد آن ر که انتخاب کنیم صفحه ای باز می شود که می توانیم مشخص کنیم دنبال چه می گردیم مثلا user و جایش را از ما می پرسد مثل ou یا

admin

اطلاعاتی که دراین قسمت وجود دارد به درد search می خورد و زمانی که بخواهیم search انجام دهیم کار راحتتر می شود.
در تب آدرس: این قسمت هم به درد search می خورد.

تب account
در این قسمت accounting را برای user مشخص می کنیم.

همانطور که در این صفحه مشاهده می کنید در قسمت user logon name مشخص شده است که user چطور می تواند login کند ودر قسمت user logon name (pre windows 2000)در این قسمت هم فرمت 2000 آن مشخص شده است.





Logon hours

دراین قسمت نموداری وجود دارد که زمان های قابل استفاده برای user را مشخص می کند.همانطور که مشاهده می کنید رنگ آبی رنگ نشان دهنده ی این است که user مجاز است که در این ساعت ها login کند و رنگ سفید هم مشخص می کند که user اجازه ندارد login کند می توان از این قسمت مشخص کرد که در چه ساعاتی می شود login کرد و در چه ساعاتی نمی شود.

logon to
در این قسمت می توان مشخص کرد که یک user از پشت کدام pc ها می تواند login کند.این سرویس با ntbios کار می کند پس حتما باید چک سرویس netbios روی کلاینتمان فعال باشد.

[Azad/]

جای سرویس netbios




ابتدا باید وارد محیط network connection شویم که با تایپ کردن ncpa.cpl در قسمت run ویا search می توانیم وارد این محیط شویم.

پس از ورود به این محیط باید بر روی کارت شبکه کلیک راست کنیم و گزینه ی properties را انتخاب کنیم.

در صفحه ای که باز می شود باید بر روی ipv4 کلیک کنیم در صفحه ای که باز می شود در پایین صفحه بر روی advanced کلیک میکنیم .

در صفحه ای که باز می شود در قسمت netbios setting باید enable netbios over tcp/ip را فعال کنیم.

[Azad/]

unlock account




در تب account گزینه ای به نام unlock account وجود دارد گاهی اوقات در group policy تعریف می شود که user اگر چند بار password خود را اشتباه زدlock شود .اگر یوزر lock نشده باشد در این قسمت هیچ تیکی نمی خورد ولی اگر یوزر lock شود در این قسمت تیک می خورد.





account options
در تب acount گزینه ای به نام acount options وجود دارد که شامل بخش های زیر می باشد.

• user must change password at next logon

اگر این گزینه در قسمت account options انتخاب شود در این صورت user هنگامی که login می کند باید password خود را عوض کند.

• User cannot change password

اگر این گزینه انتخاب شود یعنی user نتواند password خود را تغییر دهد.

• Password never expire

اگر این گزینه انتخاب شود password هیچگاه منقضی نمی شود.

• Store password using reversible encryption

هر user که داخل ntds.dit ذخیره می شود کاملا hash می شود.اگر خواستیم level امنیتی پایین بیاید و فقط pass ها encrypt شود ولی hash نشود از این گزینه استفاده می کنیم.Hash یک عملیات یک طرفه است .

• Account is disabled

گاهی اوقات ممکن است که یک user برای مدتی از سازمان برود در این صورت با انتخاب کردن گزینه ی account is disabled می توان آن را غیر فعال کرد.

• Smart card is required for interactive logon

اگر یک user بخواهد توسط smartcard دباید اینجا گفته شود که authentication آن بر اساس smartcard است.

• Account is sensitive and can not be delegated

گاهی می خواهیم account که ساختیم sensitive باشد یعنی اگر M در user Mina را بزرگ زدیم حتما M بزرگ را از ما بخواهد اما اگر این گزیه فعال شود delegation برای آن user فعال نیست.

• Use kerbros DES encryption typs for this account

2نوع authentication protocol داریم.که به ما کمک می کند که اطلاعات مربوط به authentication که فرستاده ا یم امن شود.




Remote authentication protocol


در مواقعی که دسترسی remote داریم و خارج از شبکه lan به درد ما می خورد. مثلا درvpn ها و user های dialup چون سرویس vpn به صورت remote است و از شبکه wan استفاده می کند.از جمله از این پروتکل ها می توان pap,spap,chap,mschap,mschap2,eap را نام برد.مفهوم remote یعنی از طریق یک wan با آن در ارتباط هستید.





Local authentication protocol


جایی که شبکه ی domain داریم و اطلاعات از طریق شبکه local مبادله می شوند.مهمترین این پروتکل ها ntlmv1 و ntlmv2 و Kerberos میباشند که این پروتکل ها یک سری الگوریتم های hashing و encryption دارند که اطلاعات را encrypt می کنند.Des لول امنیتی کمتری نسبت به 3des دارد و Kerberos v5 از3des استفاده می کند. برای پایین آوردن لول امنیتی از 3des استفاده می شود.

• Do not require Kerberos preauthentication

هر زمان که Kerberos می خواهد run شود ابتدا یک authentication اولیه انجام می دهد و بعد اطلاعات فرستاده می شود. این کار برای لول امنیتی بالاتر انجام می گیرد. اگر این تیک را بزنیم می گوید که pre authentication انجام نشود.

• account expire

در این قسمت مشخص می شود که account هیچگاه منقضی نشود و یا در تاریخ خاصی که مشخص می کنیم منقضی شود.که این تاریخ را در قسمت Endof مشخص می کنیم.