اپ میشود.......

اپ میشود.......

اپ میشود.......

اکتیو دایرکتوری(Active Directory) چیست؟




اغلب کامپیوترهایی که ویندوز XPحرفه ای را اجرا می کنند در شبکه های مبتنی بر ویندوز2000به عنوان کلاینت (Client)خواهندبود.یکی از سرویسهای مفید ویندوز سرور 2000سرویس (Active Directory)اکتیو دایرکتوری است.یادگیری اهداف این سرویس و نقش آن در شبکه های مبتنی بر ویندور 2000بسیار مهم است .علاوه برآن بایستی ویژگیهای مهم وکلیدی ان رایاد بگیرید.این سرویس جهت مدیریت آسان منابع و تدارک انعطاف پذیری طراحی شده است.
Active Directory یک سرویس دایرکتوریست که محصولات ویندوز سرور را در بر می گیرد.یک سرویس دایرکتوری در واقع یک سرویس شبکه است که تمام منابع شبکه را شناشایی کرده و دسترسی به آن را برای کاربران و برنامه های کابردی فراهم می کند. اکتیو دایرکتوری شامل یک دایرکتوری و یا یک منبع ذخیره داده است.که دارای یک ساختار پایگاه داده است.که اطلاعات مربوط به منابع شبکه را در بر می گیرد.برخی منابعی که اطلاعات مربوط به آنها در دایرکتوری ذخیره می شوندعبارتند از داده های کاربر،چاپگرها،سرورها،پایگ اههای داده ،گروهها،کامپیوترها،و سیاستهای امنیتی و...که به صورت اشیاءبرای Active Directory قابل شناسایی هستند.


اکتیو دایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) منابع را به صورت سلسله مراتبی در یک دامنه Domainسازماندهی می کند.که این منابع یک سری گروههای منطقی از سرورها و منابع شبکه تحت یک نام دامنه واحد می باشند.در ویندوز 2000دامنه Domainیک واحد اساسی و مبنایی از کثرت و امنیت منابع می باشد.هر دامنه ای دارای یک یا چند کنترلر دامنه می باشد.یک کنترلر دامنه کامپیوتری است که در حال اجرای سیستم عامل ویندوز سرور2000است.و یک نسخه ی کاملی از دایرکتوری کل دامنه را در خود نگه می دارد.برای راحتی مدیریت کنترلرهای دامنه همه ی آهنا به لحاظ سح هم نظیرpeerمی باشند.


مدیران شبکه می توانند تغییراتی را در کنترلرهای دامنه ایجادکنند.و دایرکتوری همه ی کنترلرهای دامنه را آپدیتupdateکنند.Active Directory ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])با تمرکز بخشیدن از یک نقطه مدیریت تمام اشیاءداخل شبکه را تسهیل نموده است.چون اکتیو دایرکتوری یک نقطه ی ورود واحد را برای تمام منابع شبکه تدارک دیده است هر مدیر شبکه می تواند به داخل یک کامپیوتر دخول کندو مدیریت اشیاءروی شبکه را انجام دهد.درActive Directoryدایرکتوری ،اطلاعات مربوط به اشیاءرا در بخشهای مربوط به خودش ذخیره می کندوبه منابع ذخیره سازی اجازه ذخیره اطلاعات تعداد زیادی از اشیاءرا می دهد.در نتیجه دایرکتوری مربوط به اکتیو دایرکتوری برای سازمانهایی که در حال توسعه و بزرگ شدن هستندمی تواند گسترش یابد و به آنها اجازه ی نصب تعداد کمی از اشیاء در یک مقیاس کوچک تا اجازه ی نصب میلیونها شیءدر یک مقیاس بزرگتر را می دهد.
Active Directory مفهوم اینترنتی فضای نام را در سرویسهای دایرکتوری ویندوز2000تمرکز می بخشد.این ویژگی این امکان را به اشیاء می دهد که به صورت واحد و یکپارچه چندین فضای نام که موجودند را مدیریت کنیدهر چند که داخل شبکه های مربوط به یک شرکت محیطهای سخت افزاری و نرم افزاری متفاوتی وجود داشته با شد.اکتیو دایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) از سرویس DNSنیز استفاده می کند و می تواند اطلاعات را با هر برنامه کاربردی و یا دایرکتوری مبادله کند.


اکتیو دایرکتوری هم چنین اطلاعات را با دیگر سرویسهای دایرکتوری مثل سرویسهای دایرکتوری ناول Novellکه نسخه ی 2ویا 3پروتکل LDAPرا پشتیبانی می کنند به اشتراک می گذارد.چون اکتیو دایرکتوری از DNSو سرویسهای محلی استفاده میکند نامهای دامنه ویندوز2000نیز نامهای DNSهستند.ویندوز2000از DNSپویایا همان DDNSاستفاده میکند.که کلاینتها را قادر می سازد آدرسها را به طور پویا برای ثبت در دایرکتوری توسط سروری که در حال اجرای سرویسDNSاست قراردهند.و نیز آنها را قادر می سازد که جدول DNSرا به طور پویا آپدیت Updateکنند.DDNSضرورت استفاده از دیگر سرویسهای نام اینترنتی را بر طرف می کند.مانند سرویس Winsدر محیطهای مشابه و همجوار.برای عملکرد صحیح اکتیو دایرکتوری نرم افزارهای مربوط به کلاینتها بایستی سرویس DNSرا نصب و پیکربندی کنید.


اکتیو دایرکتوری اکثر استانداردهای اینترنتی را با پشتیبانی از پروتکلهای HTTPوLDAP در بر می گیرد.LDAPیک استاندارد اینترنتی است که برای دسترسی به سرویسهای دایرکتوری توسعه داده شده است جهت ساده سازی متناوب دسترسی به دایرکتوری یا همان پروتکل DAP.برای کسب اطلاعات بیشتر به درباره LDAP می توانید به دنبال عبارت RFC1777در اینترنت بگردید.Active Directory ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])همچنین جهت تبادل اطلاعات بین دایرکتوری ها و برنامه های کاربردی از پروتکل LDAPاستفاده می کند.Active Directoryهر دو نسخه ی 2و3پروتکل LDAPرا پشتیبانی می کند.


HTTPنیز یک پروتکل استاندارد برای نمایش صفحات وب می باشد.شما می توانید هر شیء موجود در اکتیو دایرکتوری را در صفحات با کدHTMLداخل مرورگر به نمایش بگذارید.لذا کاربران از فواید مشاهده ی اشیاءدرمرورگر وب جهت دیدن اشیاءداخل اکتیو دایرکتوری بهره می برند.
اکتیو دایرکتوری همچنین از چندین قالب بندی نام استاندارد نیز پشتیبانی می کند.لذا کاربران و برنامه های کاربردی با استعانت به آشنایی با فرمتهای نام گوناگون می توانند به اکتیو دایرکتوری دسترسی پیدا کنند.در زیر برخی فرمتهای نام استاندارد را که اکتیو دایرکتوری پشتیبانی میکند را آورده ایم .


RFC822:نامهایی با فرمتهای SOMEONE@DOMAINهستند که برای اغلب کاربران آشنا یند.
HTTP URL :آدرسهای ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) آشنای اینترنتی هستند[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
UNC:اکتیو دایرکتوری نامهای UNCرا پشتیبانی میکندنامهایی که در شبکه ها ی مبتنی بر ویندوز 2000به درایورهای به اشتراک گذاشته شده ،چاپگرها و فایلها مراجعه می کنند.
مثل://Microsoft.com\xl\buget.pdf
LDAP URL :نام ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) سروری را تعیین میکند که در سرویس اکتیو دایرکتوری مقیم است و نامهای اشیاءاکتیو دایرکتوری راطبق RFC1779 توزیع می کند.جهت کسب اطلاعات بیشتر به RFC1779مراجعه کنید.




ساختار اکتیو دایرکتوریActive Directory

اکتیو دایرکتوری یک روش طراحی ساختار دایرکتوری را برای سازمان شما فراهم میکند.لذا قبل از نصب اکتیو دایرکتوری شما بایستی عملیات و ساختار سازمانی مورد نیاز خود را مد نظر قرار دهید.برخی شرکتها یا سازمانها یک ساختار متمرکز دارندنوعا اینگونه سازمانها و شرکتها حوزه های اطلاعاتی قوی و محکمی دارندکه آنها را در یک ساختار شبکه ای با جزئیات کمتری تعریف و پیاده سازی می کنندامّا برخی دیگر از سازمانها و شرکتها بخصوص سازمانها و شرکتهای خیلی بزرگ پراکنده و غیر متمرکزنداینگونه سازمانها و شرکتها دارای شعبات چند گانه ای هستندکه هر کدام از آنها خیلی مهم و کانونی اند.اینگونه سازمانها به یک راهبرد غیرمتمرکز نیازمندند تا شبکه ها و اعضای خودشان را مدیریت کنند
با انعطاف پذیری که Active Directory دارد شما می توانید بهترین و مناسب ترین ساختار شبکه ی سازمان خود را ایجاد و مدیریت کنید.اکتیو دایرکتوری بطور کامل ساختار منطقی و سلسله مراتبی دامنه را از ساختار فیزیکی آن جدا می کند.



ساختار منطقیLogical Structure

در اکتیو دایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) شما منابع را در یک ساختار منطقی سازماندهی میکنیداین ویژگی شماراقادرمی سازد که منابع را توسط نامشان پیدا کنید نه محل فیزیکی آنها چون اکتیودایرکتوری ساختار فیزیکی رااز دیدکاربران پنهان می سازد.




اشیاءs


هر شیءبطور مجزا و واضح توسط یک سری از خواص نام گذاری شده است که یک منبع شبکه را ارائه میکند.خواص اشیاءخصیصه یا شاخصهایی از اشیاءدر دایرکتوری هستند.به عنوان مثال خواص حساب کاربری نام او و حوزه ی او و آدرس ایمیل اوهستند.در اکتیودایرکتوری شما می توانید اشیاءرا در کلاسهایی سازماندهی کنید.که گروههایی منطقی از اشیاءهستند.به عنوان مثال هر کلاس شیءممکن است شامل حساب کاربر،گروهها،کامپیوترها،د امنه ها،و یا واحدهای سازمانی باشند.1

برخی اشیاء به عنوان در برگیرنده شناخته می شوندکه شامل اشیاءدیگرهستند.مثل دامنه که یک شیءدر برگیرنده است.



واحدهای سازمانیOrganizational Units


واحد سازمانی یک دربرگیرنده containerاشیاءاست.که برای سازماندهی اشیاء در دامنه داخل گروههای مدیریتی منطقی استفاده می شود.هر واحد سازمانی میتوانداشیایی مثل حسابهای کاربران،گروهها،چاپگرها،کا مپیوترها،برنامه های کاربردی،فایلهای اشتراکی ودیگر واحدهای سازمانی را دربرگیرد.

ساختار سلسله مراتبی هرواحدسازمانی داخل یک دامنه مستقل از ساختار سلسله مراتبی دردیگر دامنه هاست.هردامنه می تواند ساختار سلسله مراتبی مربوط به خودش را پیاده سازی کند.لذا یک ساختار سلسله مراتبی درختی با عمق کم کارایی بهتری نسبت به ساختاری با عمق زیاد دارد.بنابراین نبایستی ساختاری با عمق بیش از آنچه نیاز دارید ایجاد کنید



دامنه Domain


دامنه یک واحدمرکزی و هسته ای از ساختارمنطقی درActive Directoryاست.گروه بندی اشیاءدر یک یا چند دامنه این اجازه را به شبکه شما می دهد که ساختار شبکه شما را نمایان سازد.دامنه ها مشخصه های زیر را به اشتراک می گذارند.
الف-همه ی اشیاءموجود در یک دامنه و هر اطلاعات ذخیره شده در دامنه فقط مربوط به اشیایی هستند که آن دامنه آنها را در بر می گیرد.بطور تئوری هر دایرکتوری می تواند بیش از 10میلیون شیءرا در بر گیردامٌا مقدار 1میلیون شیء رد هر دامنه مقدار عملی و کاربردی آن است.
ب- هر دامنه یک کرانه ی امنیتی-رخصتی permissionاست.لیست کنترل دسترسی(ACL)دسترسی به اشیاءداخل دامنه را کنترل می کند.ACLها شامل رخصتهای مرتبط با اشیاء هستندکه کنترل می کنند کدام کاربران و چه نوع از دسترسی را می توانند بدست اورند.در ویندوز 2000 اشیاءشامل فایلها،پوشه ها،چاپگرها،منابع مورد اشتراک و سیاستهای امنیتی هستند.ACL ها نمی توانند از یک دامنه به دامنه ی دیگر عمل کنند.و منحصراً عامل در دامنه ی خود هستند.مدیران یک دامنه حق گماردن انواع سیاستها داخل آن دامنه را دارند.



درختTree


یک درخت یک گروه و یا یک ساختارمرتب سلسله مراتبی از یک یا چند دامنه ی ویندوز 2000است که فضای نام همجوار را به اشتراک می گذارد

درختها دارای مشخصه های زیرند:

الف-از استاندارد DNS پیروی می کنند.نام دامنه ای از یک دامنه ی فرزند منسوب و مربوط به نامی است که آن نام محلق و پیوندخورده با نام دامنه ی والد خودش است.
ب- همه ی دامنه ها داخل یک درخت یک شمای عمومی را به اشتراک می گذارند.که یک روش تعریف از همه ی انواع اشیاییاست که می توانید در Active Directory ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) ذخیره کنید.
ج- همه ی دامنه ها ی داخل یک درخت یک کاتالوگ سراسری عمومی را به اشتراک می گذارند که یک مخزن و انبار متمرکز از اطلاعاتی دربار? اشیاءداخل درخت می باشد.



جنگلForest


یک جنگل یک گروه و یا یک ساختار مرتب از یک یا چند درخت دامنه است که فضای نام آنها از یکدیگر جدا می باشد

جنگلها دارای مشخصه های زیرمی باشند:
الف-همه ی درختهای داخل یک جنگل یک شمایSchema عمومی را به اشتراک می گذارند.
ب-درختهای داخل یک جنگل ساختار نام متفاوتی دارند.
ج-همه ی دامنه های داخل یک جنگل یک کاتالوگ سراسری عمومی را به اشتراک میگذارند.
د-دامنه های داخل یک جنگل به طور مستقل عمل میکنند.امٌا جنگل قادر به برقراری ارتباط بین تمام سازماندهی ها می باشد.

Microsoft.comوmsn.comاز یک جنگلند که فضای نام آنها فقط داخل هر درخت همجوار است.


ساختار فیزیکیPhysical Structure

اجزاء فیزیکی Active Directory مثل کنترلرهای دامنه و سامانه ها ساختار فیزیکی یک سازمان را بازتاب می نمایند.




کنترلرهای دامنه Domain Controllers


یک کنترلردامنه یک کامپیوتریست که در حال اجرای سیستم عامل ویندوز2000میباشد.

که یک نسخه (عین المثل)از دایرکتوری دامنه را در خود ذخیره کرده است.چون دامنه امکان داشتن یک و یا چند کنترلردامنه را داراست هر کنترلردامنه میتواند نسخه ی کاملی از بخشهای دامنه از یک دایرکتوری را در خود داشته باشد.
عملکردهای کنترلرهای دامنه شامل موارد زیرند:
الف- هر کنترلر دامنه یک کپی کامل از تمام اطلاعات Active Directory موجود در یک دامنه را در خود ذخیره می کندو تغییرات اطلاعات را مدیریت میکندو این تغییرات را به دیگر کنترلرهای موجود دردامنه منعکس می کند.
ب- کنترلرهای دامنه بطور خودکار همه ی اشیاء موجود در دامنه را به یکدیگر منعکس می کنند.وقتی کاربریک فعٌالیت یا عمل را انجام می دهدکه باعث آپدیت Active Directory گرددکاربرموجب تغییری در یک دامنه گردیده است که آن کنترلر دامنه این تغییر را به تمام کنترلرهای موجود در آن دامنه منعکس می کند.کاربران مجاز به تغییرمثل مدیران می توانند انعکاس تغییرات را بین کنترلرهای دامنه مدیریت کنند.با تعیین اینکه انعکاس چگونه و چه مقدار داده در یک زمان سیستم عامل ویندوز2000انجام گیرد.
ج- کنترلرهای دامنه عمل اپدیت برخی موارد معین ومهم را فوراً در بین کنترلرهای دامنه منعکس میکنند.مانند غیر فعال کردن یک حساب کاربر.
د- Active Directory عمل انعکاس تغییرات را به صورت چندگانه انجام می دهد.بدین معنا که تمام کنترلرهای موجود در یک دامنه به لحاظ سطح نظیر یکدیگرند(Peer)ودراین حالت هر کنترلردامنه یک کپی از پایگاه داده دایسرکتوری را در خود نگه می دارد.که می تواند روی آن بنویسد.کنترلرهای دامنه می توانند برای زمان کوتاهی اطلاعات متفاوتی را در خود نگه دارندتا زمانی که همگام سازی بین کنترلرهای دامنه جهت انعکاس تغییرات در Active Directory ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) صورت گیرد.
ح- کنترلرهای دامنه قادر به کشف تصادم هستند این تصادم وقتی می تواند رخ دهد که تغییر داده شده در یک کنترلرقبل از انعکاس این تغییر در دیگر کنترلرهای دامنه صورت گیردتصادم ها با مقایسه ی شماره ی نسخه ی تغییرات کشف می شوندActive Directoryتصادم را با انعکاس تغییرات بوجود آمده توسط بالاترین شماره ی نسخه ی این تغییرات حل می نماید.
چ- داشتن بیش از یک کنترلر دامنه در دامنه تحمل خرابی را بالا میبرد.اگر یک کنترلر موجود دردامنه خراب شود.دیگر کنترلرهای دامنه دامنه می توانند تمام عملکردهای لازم را تدارک ببینندمثل ثبت و ضبط تغییرات در Active Directory.
خ- کنترلرهای دامنه همه ی تعاملات کاربر را مدیریت میکننند.مثل افزودن اشیاءبه اکتیو دایرکتوری و اعتبار سنجی و تصدیق هویٌت کاربران را.بطور کلی بایستی یک کنترلردامنه برای هر دامنه موجود در سامانه جهت اهداف تعیین و تصدیق هویٌت وجود داشته باشد.لذا ملزومات تعیین و تصدیق هویٌت،تعدادو محل کنترلرهای دامنه را در سازمان مطبوعتان تعیین میکند.




Sitesسامانه ها


یک سامانه یک ترکیبی از زیر شبکه های متصل بهم بهمراه ادرسهای IPآنها در کنارقابلیٌت اعتماد بالا و پیوندهای سریع جهت محلی سازی بیشتر ترافیک شبکه تا حد امکان می باشد.نوعاً یک سامانه مسیریابهای مرزی یکسانی برروی یکLAN دارا می باشد.وقتی زیر شبکه ها را در زیر شبکه تا گروه بندی میکنید.شما بایستی زیر شبکه هایی را که سریع و ارزان و دارای ارتباطات قابل اعتماد هستند را با یکدیگر ترکیب کنید.با اکتیو دایرکتوری سامانه ها بخشی از فضای نام نیستند.وقتی شما فضای نام را مرور می کنیدکامپیوترها و کاربران گروه بندی شده را داخل دامنه و یا واحدهای سازمانیOUمی بینیدنه در داخل سامانه ها،سامانه ها فقط اشیاء کامپیوتر و ارتباط بین اشیاءرا در بر می گیرندکه برای پیکربندی انعکاسreplication بین سامانه ها مورد استفاده قرار می گیرند.اکتیو دایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) همچنین دارای ویژگی replication است.انعکاسreplicationاین اطمینان را فراهم میکند که تغییرات داخل یک کنترلر دامنه در دیگر کنترلرهای همان دامنه نیز منعکس می شود.داخل یک سامانه اکتیو دایرکتوری بطور خودکار یک توپولوژی حلقه ای را به وجود می آورد.برای انعکاس بین کنترلرهای موجود در یک دامنه این توپولوژی،مسیر آپدیت دایرکتوری و جریان آن از یک کنترلر دامنه به دیگر کنترلرهای دامنه را تا زمانی که همه ی کنترلرهای دامنه این آپدیت دایرکتوری را دریافت کنندتعریف میکند.

ساختار حلقه این تضمین را می کند که حداقل دو مسیر انعکاس replication از یک کنترلردامنه به دیگر کنترلرها وجود دارد.بنابراین چنانچه یک کنترلردامنه خاموش شود دیگرکنترلرهای دامنه انعکاس را ادامه خواهند داد.اکتیو دایرکتوری بطور دوره ای توپولوژی انعکاس داخل یک سامانه را آنالیز کرده تا کارآمدی آن را تضمین کنداگر یک کنتلر دامنه را از سامانه یا شبکه حذف یا به ان اضافه کنید اکتیو دایرکتوری توپولوژی را مجدداً پیکربندی خواهد کرد.تا تغییرات جدید را منعکس نماید.



Schema


شما اشیایی که می توانند در اکتیودایرکتوری ذخیره شوند را تعریف میکند.شما لیستی از تعاریفی است که انواع اشیاءو انواع اطلاعات مربوط بهاین اشیاء راکه در Active Directory ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) ذخیره میگردنندرا شامل می شود.شما دو نوع از تعاریف اشیاء را در بر می گیرد.1-کلاس اشیاء2-خواص اشیاءکلاس اشیاء و خواص اشیاء در لیستهای مجزایی در شما تعریف می شوند.کلاس شما و خواص اشیاء همچنین به شمای اشیاء ارجاع داده می شوند.شمای کلاس اشیاء امکان ایجاد اشیایی در اکتیودایرکتوری را تشریح میکند.هر کلاس مجموعه ای از خواص اشیاء است.برای هر کلاس شیء شما تعریف میکند که چه خواصی و چه نمونه ای از کلاس باید وجود داشته باشدو چه خواص اضافه ای آن کلاس می تواند داشته باشدو نیز یک کلاس والد(پدر)از کلاس شیء جاری چه کلاس شی ای میتواند داشته باشد.هر شیءدر اکتیودایرکتوری نمونه ای از کلاس آن شیء است.خواص اشیاء ،خواصی را که با هر کدام از آن اشیاء مرتبط هستند را تعریف می کند.خواص فقط یک بار تعریف می شوند و می توان از آن در کلاسهای زیادی استفاده کرد.چون تعاریف شما در خود اشیاء در Active Directory ذخیره هستندمی توان آنها را به راحتی و به طور یکسانی مانند اشیاء موجود در اکتیو دایرکتوری مدیریت کرد.هنگام نصب اکتیودایرکتوری روی اولین کنترلردامنه موجود در شبکه یک شمای پیش فرض روی آن ایجاد می شود.که یک مجموعه ی پایه ای از خواص کلاس شما را در بر می گیرد.شمای پیش فرض تعاریفی از اشیاء و تنظیماتی از آنها را که اکتیودایرکتوری بصورت داخلی برای انجام عملیاتی مورد استفاده قرار می دهد را شامل می شود.شمای اکتیو دایرکتوری قابلیت گسترش و توسعه را دارد بدین معنا که می توانید یک دایرکتوری جدید از انواع اشیاء و خواص آنها را تعریف کنید و نیز خواص جدیدی برای اشیاء موجود در Active Directory منظور کنید.و نیز می توانید به کمک ابزار مدیریت شما (schema manager snap-in)ویا روابط سرویس اکتیودایرکتوری موسوم به ADSIشما را گسترش دهید.فقط توسعه دهندگان مجرب و یا مدیران شبکه بایستی به طور پویا با تعریف کلاسهای جدید و خواصی برای کلاسهای موجود شما را گسترش دهند.شما در داخل خود اکتیو دایرکتوری پیاده سازی و تعریف شده است.(داخل یک کاتالوگ سراسری)و می تواند بطور پویا آپدیت شود.درنتیجه هر برنامه ی کاربردی می تواند شما را با تعریف کلاس وخواص جدیدی گسترش داده و بطور سریع و فوری مورد استفاده قرار دهد.




کاتالوگ سراسری Global Catalog

اکتیودایرکتوری به مدیران و کاربران برای یافتن اشیایی مثل کاربران و چاپگرهاو... این اجازه را می دهد.بنابراین پیداکردن اشیاء خارج از دامنه احتیاج به مکانیزمی داردکه به دامنه ها این اجازه را می دهدکه به صورت یک واحد کامل عمل کنند.یک سرویس کاتالوگ اطلاعات منتخب درباره ی هر شیء داخل همه ی دامنه ها در یک دایرکتوری را دربر می گیرد.که برای جستجوی سراسری مفید است .سرویس کاتالوگ توسط سرویسهای Active Directory تدارک دیده شده است که یک کاتالوگ سراسری نامیده می شود.کاتالوگ سراسری یک مخزن مرکزی از اطلاعات درباره ی اشیاء داخل یک درخت یا جنگل می باشد.


کاتالوگ سراسری Global Catalogبطور خودکار در اولین کنترلردامنه در اولین دامنه ی موجود در جنگل ایجاد شده است.و کنترلردامنه ی شامل کاتالوگ سراسری ، به عنوان سرور کاتالوگ سراسری شناخته می شود.با استفاده از سرویسهای انعکاس چندگانه اصلی موجود در اکتیودایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) اطلاعات کاتالوگ سراسری بین سرورهای کاتالوگ سراسری در دیگر دامنه ها منعکس می گردد.بطور پیش فرض خواص اشیاءدر کاتالوگ سراسری ذخیره شده اند که به طور متناوب به منظور عملیات جستجو مورد استفاده قرار می گیرند.مانند نام کاربر و نام ورود
انهاو... که اینها جهت انعکاس کامل اشیاء ضروری می باشند.می توان کاتالوک سراسری را مورد استفاده قرارداده و اشیاء را در هر جایی از شبکه قرار دادبدون اینکه نیاز به انعکاس همه ی اطلاعات دامنه بین کنترلرهای دامنه داشته باشید.شما به کمک ابزار مدیریت سرورها
server management snap-in می توانید کنترلرهای دامنه را اضافه و به عنوان سرورهای کاتالوگ سراسری مورد استفاده قرار دهید. با ملاحظه به اینکه کدام کنترلر دامنه برای سرورهای کاتالوگ سراسری منظور شوند و با توجٌه به این نکته که ساخار شبکه چگونه ترافیک queryها و انعکاس را اداره کند شما قادر به تصمیم گیری در این باره هستید.بنابراین اغلب سرورهای کاتالوگ سراسری بزرگتر از ترافیک موجود در شبکه هستندبنابراین قابلیت دسترسی به سرورهای اضافی،پاسخ سریعتر را به سوءالات بی مورد کاربران فراهم می کند.هر سامانه ی اصلی بایستی شامل یک سرور کاتالوگ سراسری باشد.





فضای نامName Space


اکتیو دایرکتوری به مانند همه ی سرویسهای دایرکتوری یک فضای نام اصلی می باشد.تحلیل نام در اکتیو دایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) فرآیند ترجمه ی نام یک شیء یا اطلاعاتی است که آن نام ارائه می دهد.فضای نام در اکتیو دایرکتوری بر مبنای نامگذاری DNSمی باشدکه اجازه ی عملیات داخلی بر پایه ی تکنولوزی اینترنت را می دهد

فضای نام عمومی امکان مدیریت ویکسان سازی محیطهای سخت افزاری و نرم افزاری چندگانه را می دهد.دو نوع فضای نام وجود دارد
فضای نام پیوستار و همجوار :در این فضای نام یک فرزند همیشه در ساختار سلسله مراتبی اشیاءشامل یک نام والد از دامنه ی خود می باشد.درخت نمونهای از این فضای نام می باشد.
فضای نام منفصل ومنقطع:در این فضای نام نامهای یک شیءوالد و فرزندان از یک شیءوالد دیگر بطور مستقیم با یکدیگر مرتبط نیستند.جنگل نمونه ای ازاین فضای نام می باشد.
هر شیئ در اکتیودایرکتوری با یک نام شناسایی می شود.Active Directoryنامگذاری گوناگونی را مورد استفاده قرار می دهد.
1- نامگذاری واضح Distinguished Name
2- نامگذاری واضح وابسته Distinguished Name Relative
3- شناسه ی منحصربفرد سراسریGlobal Unique Identifier
4- نام اصلی کاربر User Principal Name




نامگذاری واضح DN))Distinguished Name


هر شیءدر اکتیو دایرکتوری دارای یک نام می باشد که هر شیء را به طور منحصربفردی شناسایی می کندو اطلاعات کافی جهت بازیابی اشیاء توسط کلاینتها از اکتیودایرکتوری رادر بر می گیرد.DNشامل نامی از دامنه است که شیء را شامل می شود.DNها در اکتیو دایرکتوری بایستی یکتا ومنحصربفرد باشند.چون اکتیودایرکتوری اجازه ی کثرت DNها را نمی دهد.به عنوان مثال در DNزیر first name وlast nameشیء کاربر را در دامنه ی Microsoft.comشناسایی میکند.که نامهای first nameوlast name نامهای واقعی حساب کاربر را ارائه می کنند.

/DC=COM/DC=MICROSOFT/OU=DEV/CN=USER/CN=firstname lastname



نامگذاری واضح وابستهRelative Distinguished Name(RDN)


اکتیودایرکتوری همچنین پرسش و پاسخ را طبق خواص پشتیبانی می کندلذا می توانید هر شیء را در ان بیابید.حتی اگرDN ان ناشناخته و یا تغییر یافته باشد.RDNهر شیء بخشی از نامی است که خواصی ارز خود آن شیء می باشد.در مثال قبل RDNشیء کاربر first nameوlast name آن می باشدو RDN شیء والد آن USERمی با شد.شما می توانید RDNهارا برای اشیاء اکتیودایرکتوری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) تکرار کنیداما نمی توانید دو شیء با RDNیکسان در یک واحد سازمانی OU داشته باشید.به عنوان مثال اگر حساب کاربری Jone Doeنامگذاری شده باشد نمی توانید حساب کاربر دیگری با همین نام در یک واحد سازمانی OUداشته باشید.بنابراین اشیاء با RDNهای تکراری می توانند در OUهای جداگانه ای وجود داشته باشندزیرا آنها DNهای متفاوتی دارند



شناسه ی منحصربفرد سراسری Global Unique Identifier

GUIDیک عدد 128 بیتی است که به صورت یکتا و منحصربفرد رزرو شده است GUIDها براشیاءوقتی که ایجاد می شوند گمارده می شوند GUIDهرگز تغییر نمی کندحتی اگر نام شیء را تغییر دهیدیا آن را حذف کنید.برنامه های کاربردی GUIDاشیاء را ذخیره کرده و جهت بازیابی اشیاء صرفنظر از نام DNجاری آنها مورد استفاده قرار می دهند.



نام اصلی کاربر User Principal Name


حسابهای کاربری نامهای کاربر پسندی دارند UPN یک نام کوتاهتر برای حساب کاربر و برای نام DNS از یک درخت است که شیء حساب کاربر در آنجا مقیم است مانند firstname@microsoft.com

این مقاله بدون نقص نیست لذا از شما خواننده گرامی تقاضا دارم نواقص را منعکس کرده تا در اسرع وقت در این مقاله تصحیح نمایم

.


نصب اکتیو دایرکتوری در WINDOWS SERVER 2008 R2


قصد داریم تا چگونگی نصب یک اکتیو دایرکتوری برای یک دامین جدید در یک جنگل جدید بپردازیم.برای این منظور، قدم های زیر را دنبال کنید. این مطلب با ساده ترین بیان ممکن نوشته شده است و تلاش شده است به همراه تصویر متعدد، توضیحات کافی ارائه شود. اینجا برای نصب هدف نسخه Full Installation است. نصب در نسخه Core Installation ، در آینده مورد بحث قرار خواهد گرفت.

فاز اول

۱) ابتدا Server Manager را باز کنید. در منوی شروع “Start” آن را به راحتی می توانید ببینید، ضمن آنکه به صورت پیش فرض هر زمان که Loginکنید بار می شود.
۲)قسمت Roles را از ساختار درختی سمت چپ انتخاب کنید و سپس در سمت راست Add Rolesرا بزنید.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

تصویر ۱:اضافه کردن Role.
3) سپس Add Role Wizardباز خواهد شد. در این مرحله ویزارد از شما تقاضا می کند تا:
الف) آخرین به روز رسانی ها را دریافت کنید.
ب)از کلمه عبور قدرتمند استفاده کنید
ج)تنظیمات شبکه ای را کامل انجام دهید. همانند اختصاص IP به صورت ثابت “Static“



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۲:نکات پیش از شروع Wizard.




4)موارد فوق را رعایت کنید و سپس Next را بزنید. در قسمت بعد، لیستی از نقش هایی (Role) که ویندوز سرور ۲۰۰۸ می تواند در شبکه داشته باشد را به شما نمایش می دهد. در این قسمت Active Directory Domain Services را انتخاب کنید. (به اختصار AD DSگفته می شود.)



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر۳:انتخاب Role.



5)با زدن Nextویزارد نصب اکتیودایرکتوری در موارد زیر هشدار می دهد:

الف) برای redundancyحداقل دو دامین کنترلر در شبکه ایجاد کنید. به منظور عدم قطع سرویس دهی به کلاینت ها متداول است که از حداقل دو دامین کنترلر استفاده شود که در این خصوص در آینده صحبت می کنیم.
ب)AD DS نیاز به سرویس DNSدر شبکه دارد. چنانچه قبلا نصب نشده، آن را نصب کنید. در این خصوص در مطلب پیش نیاز ها ذکر کردم که چنانچه اولین دامین در اولین جنگل را ایجاد می کنید اجازه دهید خودکار انجام شود. شما در این مرحله به راحتی این پیغام را در نظر نگیرید. ( موقتا )
ج) پس از پایان این ویزارد باید DCPromo.exeرا اجرا کنید. در غیر این صورت اکتیودایرکتوری نصب نخواهد شد. در ویندوز سرور ۲۰۰۳ این عمل اتوماتیک صورت می گرفت.
د)نصب اکتیودایرکتوری سبب نصب DFS Namespaces ، DFS Replication و File Replication servicesنیز می شود. که خوب این دیگه از این بهتر نمی شود.


Click here to view the original image of 601x444px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۴:نکات پیش از نصب.




۶)برای ادامه Next را بزنید و سپس با زدن Installعملیات نصب را تایید کنید.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۵:تایید نصب.



۷)با مشاهده Installation Succeededمطابق تصویر شش ، فاز اول عملیات نصب تمام شده.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۶:پایان فاز اول.




فاز دوم

۸) می توانید روی لینک که در تصویر هفت مشاهده می کنید کلیک کنید تا DCPromo.exe باز شود و یا در RUN وارد کنید. و یا هر روش دیگری که می پسندید. در اینجا با باز کردن Start Menu و Search به صورت سریعی DCPromoرا باز کردم.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۷:نمای Server Manager پس ازفاز یک.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۸:اجرای DCPromo.exe.





9)در اینجا من Advanced Mode Installationرا انتخاب می کنم. توصیه می کنم شما هم این عمل را انجام دهید.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۹:شروع DCPromo.



10)Next را بزنید. در مرحله بعد تذکراتی در خصوص سازگاری با سیستم عامل های قبلی داده می شود که کم و بیش در مطلب پیش نیاز و حوزه عملکرد در موردش بحث شد. برای اطلاعات بیشتر به وب سایت مایکروسافت اینجا ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) مراجعه کنید. اما به صورت کلی بدانید از ویندوز NT در دامین کنترلر های ویندوز سرور ۲۰۰۸ به دلیل پشتیبانی نکردن از الگوریتم های رمزنگاری قدیمی مورد استفاده ویندوز NTپشتیبانی نمی شود. پس چنانچه از این نسخه از ویندوز در شبکه خود هنوز استفاده می کنید، از ادامه مراحل خودداری کنید.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۱۰: تذکرات سازگاری با ویندوز

NT




11) مشخص کردن ساختار جنگل و ساختار درختی: در این قدم لازم است جایگاه سرور در ساختار منطقی مشخص گردد. گزینه های در دسترس عبارت اند از:

- ساخت یک دامین جدید در یک جنگل جدید. Create a new Domain in a new forest: در اینجا چون هیچ Forest از پیش وجود ندارد این گزینه را انتخاب می کنیم.
در یک جنگل موجود Existing Forest:
- افزودن یک دامین کنترلر به یک دامین Add a Domain Controller to an existing domain: یک Additional Domain Controller ایجاد می کند. برای اطمینان از Availability سرویس معمولا در یک دامین از بیش از یک دامین کنترلر استفاده می گردد تا اگر یک سرور با مشکلی رو به رو شد، سرور دوم پاسخ گوی کلاینت ها باشد.




- ساخت یک دامین جدید در یک جنگل موجود Create new domain in an existing forest: این گزینه یک دامین فرزند (Child Domain) جدید در یک جنگل ایجاد می کند.


- ایجاد یک Tree Root: با این گزینه یک درخت جدید در جنگل ایجاد می شود که Tree Root دامینی است که در اینجا ایجاد می شود. Create a new domain tree instead of a new child domain
با توجه به گزینه ای که در اینجا انتخاب می شود، مراحل بعدی می تواند متمایز از آنچه در اینجا ذکر می شود باشد. در اینجا صرفا قصد داریم یک دامین جدید در یک Forest جدید ایجاد کنیم. نکته قابل توجه آن است که برای ایجاد هر کدام موارد فوق باید دسترسی های لازم را در اختیار داشته باشید. به عنوان مثال چنانچه گزینه ی create a new domain in an existing forest را انتخاب کنید یا به عبارتی یک Child Domain ایجاد کنید، لازم است یک Credential مناسب که یک اکانت عضو گروه Enterprise Administrators است فرآهم آورید. به عنوان مثال دیگری، برای ایجاد یک Read-Only Domain Controller داشتن مجوز دسترسی Domain Administrator کفایت می کند. همچنین لازم است نام DNS جایی که قصد راه اندازی مورد جدید را در آن داریم وارد کنیم. این نام باید یک نام معتبر روی یک Forestموجود باشد.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

تصویر a11: انتخاب جایگاه سرور در ساختار منطقی (درخت و جنگل)
تصویر b11: انتخاب جایگاه سرور در ساختار منطقی (درخت و جنگل)
* مربوط به ایجاد یک Child Domain جدید




۱۲)در مرحله بعدی باید نام Forest Root Domain را وارد کنید. به مواردی که پیش تر تذکر داده شد توجه کنید. در اینجا از نام ADExample.comاستفاده می کنم.


Click here to view the original image of 506x478px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۱۲: انتخاب نام
Forest RooT




13) در این مرحله با زدن Next ویزارد چک می کند تا این نام قبلا در شبکه موجود نباشد. پس از چند ثانیه، چنانچه موجود نباشد، نام NetBIOSاز شما پرسیده خواهد شد که به صورت پیش فرض بخش اول نامی است که در بالا انتخاب کرده اید. توصیه می شود این نام را تغییر ندهید.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])



تصویر ۱۳: انتخاب نام NetBios




14)با زدن Next در مرحله بعد باید Forest Functional Level و Domain Functional Level را انتخاب کنید که در آینده توضیح داده شده است. همانطور که ذکر شده اینجا Windows Server 2008 R2 را با فرض عدم وجود DCهای با نسخه ی پایین تر ویندوز انتخاب می شود.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۱۴: انتخاب حوزه عملکرد



۱۵)در مرحله بعدی باید تنظیمات اضافی را اعمال نمود. به صورت پیش فرض DNS Server انتخاب شده است. چنانچه اولین دامین کنترلر نباشد شما می توانید تنظیمات Global Catalog(GC) و Read-only Domain Controller را اعمال کنید. اما از آنجایی که در اینجا در حال نصب اولین دامین کنترلر هستیم، این موارد غیر قابل تغییر اند. در خصوص Read-Only Domain Controller و GCدر آینده توضیح داده خواهد شد.
۱۶)در صورت انتخاب DNS Server در این مرحله پیام هشداری دریافت می کنید مبنی بر اینکه امکان ساخت Delegation برای DNS Zone وجود ندارد زیرا Parent Zone قابل دسترسی نیست یا از Windows DNS Server استفاده نمی کند. از آنجایی که در حال نصب اولین دامین در جنگل جدید هسیتم، با زدن Yesپیغام را تایید می کنیم.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

تصویر ۱۵: مرحله DC Option و پیام مشکل در ساخت
Delegation



17)سپس با توجه به آنچه در “پیش نیاز” صحبت شد، جای فلدر های ذخیره سازی اطلاعات را معین می کنیم.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۱۶: محل فایل های
Data Store




18) در این مرحله باید کلمه عبوری برای Directory Services Restore Mode انتخاب کنید. توصیه می شود این کلمه عبور با کلمه عبور خودتان متمایز باشد و یادآوری آن ساده باشد هر چند امنیت آن اهمیت بسیاری دارد. البته راهی برای تعویض این کلمه عبور وجود است که در آینده آن را ذکر خواهیم کرد. در وضعیت Directory Services Restore Modeسرویس اکتیو دایرکتوری به صورت آفلاین می شود و در برخی عملیات کاربرد بسیاری دارد که در آینده مورد بحث قرار می گیرد.


Click here to view the original image of 505x477px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۱۷:
Restore Mode Password



19)در مرحله بعدخلاصه ای از تنظیمات مشخص شده را می توانید مشاهده کنید. آن ها را بازبینی کنید تا مشکلی موجود نباشد. نکته جدید دیگری همانطوری که تصویر هجده مشاهده می کنید وجود دارد دکمه Export settings است. همانطوری که درنصب به روش Unattended توضیح داده شد ، با این گزینه می توانید یک answer fileبرای نصب اکتیو دایرکتوری های دیگری با همین تنظیمات استفاده کنید.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


تصویر ۱۸: تایید نصب




۲۰)با زدن Next انجام نصب را تایید می کنید. این مراحل قدری طول می کشد و پس از پایان نیاز است تا کامپیوتر ریستارت “Restart” شود. یکی از کمک های مایکروسافت به شما مدیر شبکه گزینه Reboot on completionاست. به راحتی این گزینه را چک بزنید و به دقایقی را تا شروع مجدد فعالیت سرور و شروع داستان های پس از نصب اکتیو دایرکتوری یک چای یا قهوه میل کنید. در ضمن توجه داشته باشید که چنانچه این سرور شما سرویس های دیگری را به شبکه ارائه می دهد، باید در زمان بندی معین و اعلام قبلی به کاربران سرور را ریستارت کنید.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

تصویر ۱۹: انجام نصب و گزینه Reboot on Completion


توصیه می شود در پایان تنظیمات و تغییرات اعمال شده را بررسی کنید. به عنوان مثال تنظیمات DNS و… را بازبینی کنید.





منبع :/social.technet.microsofT






.

اختیارات و مجوزهای یک یوزر . ./

اختیارات و توانمندی های یک یوزر و در واقع قدرت آن به چه عواملی بستگی دارد. پاسخ مشخص است :به مجوزها و اختیاراتی که دارد و گروه هایی که عضو آنها می باشد. حال گروه های پیش فرض و اصلی ویندوز را بررسی می کنیم.

Administrators
مشخص است منظور کاربرانی با دسترسی کامل روی سیستم هستند. یوزر administrator به صورت پیش فرض و ذاتی عضو این گروه است.

Users
هر یوزر جدید به طور پیش فرض در این گروه قرار می گیرد. اعضای این گروه اختیارات بسیار کمی دارند مثلا ساعت را نمی توانند تنظیم کنند. درایور نمی توانند نصب کنند. به تنظیمات کارت شبکه دسترسی ندارند ولی قادر به انجام برخی موارد مانند ساختن کانکشن اینترنت و یا بکاپ گیری از فایل های خودشان هستند.

Network Configuration Operators
همان اعضای گروه یوزر هستند که البته می توانند تنظیمات شبکه (TCP/IP) را انجام دهند.

Backup Operators
همان گروه یوزر هستند که قادرند از تمام فایل های سیستم نسخه پشتیبان یا بکاپ تهیه کنند.

Power Users
گروهی نسبتا قدرتمند هستند که اختیاراتی مانند Share کردن، نصب برنامه های کوچک، تغییر ساعت، ساخت یوزر (البته با حداکثر اختیاراتی که خودش دارد) را دارا هستند.

Remote Desktop Users
برای وصل شدن به سیستم از طریق یک سیستم دیگر یا اصطلاحا به صورت Remote، یوزر مربوطه باید عضو این گروه باشد. اعضای گروه Administrators به صورت ذاتی این قابلیت را دارند.

Everyone
گروهی که تمام یوزرهای کامپیوتر را دربر می گیرد.
یادمان باشد حتی اعضای گروه Administrators هم عضو این گروه هستند بنابراین اگر مثلا دسترسی به یک فایل را برای Everyone غیر مجاز کنیم، حتی Administrator ها هم دیگر به آن دسترسی نخواهند داشت.

Authenticated Users
منظور یوزرهایی هستند که به سیستم وارد شده یا اصطلاحا Login کرده اند. منظور تمام یوزرهایی است که از طرق مختلف مثلا پای خود سیستم، به صورت Remote، از طریق دسترسی به Share های روی سیستم و ... به آن وارد شده اند. وقتی یوزرها Log off کنند به صورت خودکار از این گروه خارج می شوند. یوزر Guest عضو این گروه نیست.

Anonymous Logon
کسانی عضو این گروه می شوند که بدون وارد کردن یوزر و پسورد و در واقع بدون Authentication وارد سیستم شوند. مثل زمانی که Simple File Sharing تیک دارد و Guest هم Enable است. یا مثل زمانی که یک FTP site روی سیستم ساخته ایم و تیک anonymous آن را زده ایم یعنی برای استفاده از آن نیازی به یوزر و پسورد نباشد. (در این مورد بعدا توضیحات لازم ارایه خواهند شد)

دستورات خط فرمان
از این به بعد در بسیاری از درس ها دستورات خط فرمانی مرتبط با مباحث ارایه خواهند شد. به عنوان یک مدیر شبکه، لازم است این دستورات را بدانید و در مواقع لازم از آنها استفاده کنید. برخی فکر می کنند یادگیری این دستورات و استفاده از آنها فقط برای به رخ کشیدن معلومات یا به قول خودمان کلاس گذاشتن به درد می خورد. این تصور کاملا اشتباه است. برخی اوقات یک دستور شما را از ده ها کلیک ماوس و زدن و برداشتن تیک های مختلف خلاص می کند. ضمنا می توان از این دستورات در فایل های دسته ای یا Batch Files استفاده کرد. بسیاری از اوقات هم به دلایل مختلف شما به بسیاری امکانات گرافیکی ویندوز دسترسی ندارید. با این مقدمه و ذکر این مطلب که تمامی مباحث خصوصا دستورات خط فرمانی را باید حتما تمرین کنید و فقط به مطالعه مباحث اکتفا نکنید، به سراغ دستورات خط فرمان مرتبط با یوزرها می رویم :

1- ساختن یک یوزر محلی (local) روی یک سیستم

Net User "نام یوزر" "پسورد" /add

2- حذف یک یوزر
Net User "نام یوزر" /delete
3- Disable و Enable کردن یک یوزر
Net User "نام یوزر" /activeYes / No)

4- مشاهده لیست یوزرهای سیستم
Net User

5- ساخت یک گروه
Net localgroup "نام گروه" /add
6- اضافه کردن یک یوزر به یک گروه
Net localgroup "نام گروه" "نام یوزر" /add

7- حذف عضویت یک یوزر از یک گروه
Net localgroup "نام گروه" "نام یوزر" /delete

8- اطلاعات کلی در مورد یک یوزر (آخرین ورود به سیستم، فعال یا غیر فعال یودن، زمان انقضا و ...) و گروه هایی که عضو آن است
Net User "نام یوزر"

9- اطلاعات کلی در مورد یک گروه و یوزرهای عضو آن
Net localgroup "نام گروه"




منبع : انجمن تخصصی شبکه



.

.


microsoft managment console ( MMC )H


M


mmc یک کنسول مدیریتی است که از طریق آن می توانید به event viewer , فلدرهای share شده, userها و گروه های موجود در کامپیوتر دسترسی داشته و مدیریت انجام دهید.همچنی می توانید سخت افزارهای سیستم خود را مدیریت کنید و کلیه سرویسهایی که وجود دارئ را مشاهده و طبق نیاز آنها را start و یا stop کنید.



.





ادامه این پست
microsoft managment console ( MMC )H



استفاده از ابزارهای مدیریتی اکتیو دایرکتوری . ./



ابزارهای مدیریتی یا Snap-in های اکتیو دایرکتوری،می توانند امکان انجام وظایف مدیریتی را که شما به آنها نیاز دارید، در اختیار شما قرار دهند.در این تاپیک شما با بیشتر ابزارهای مدیریتی اکتیو دایرکتوری آشنا شده و مسیر دسترسی به آنها را فرا خواهید گرفت.همچنین استفاده بهینه از آنها ، تعویض هویت و روش ساختن کنسولهای مدیریتی سفارشی را خواهید آموخت.

فهمیدن کنسولهای مدیریتی مایکروسافت

ابزارهای مدیریتی ویندوز از یک چهارچوب اشتراکی به نام کنسولهای مدیریتی مایکروسافت (Microsoft Management Console- MMC) استفاده میکنند.در این پنجره سفارشی ابزارها به شما نمایش داده میشوند.در سمت چپ این پنجره ابزارها به صورت یک کنسول درختی نمایش داده میشوند (مانند پنجره مرورگر ویندوز)،در قسمت وسط جزییات نمایش داده شده و در بخش سمت راست دستورات اجرایی نمایش داده میشوند که به آنها Action گفته می شود.
جهت کنترل نمایش بخش سمت چپ و راست ، میتوانید از کلیدهای Show/Hide Console Tree و Show/Hide Action Pane استفاده کنید یا میتوانید از منوی View گزینه Customizeرا انتخاب نمایید.
ابزارهای مدیریتی یا Snap-In ها با استفاده از بخش درختی شکل کنسول به شما نشان داده می شوند و بخش جزییات میتوانند امکان انجام وظایف مدیریتی را در اختیار شما قرار دهند.شما میتوانید MMC را به صورت کمربند ابزار تصور نمایید که میتوان یک یا چند ابزار مختلف را به آن نصب نمود.Snap-In ها را نمی توان به صورت مجزا اجرا کرد بلکه این ابزارها فقط قابلیت اجرا در متن MMC را دارند.بیشتر ابزارها در فولدر ابزارهای مدیریتی (Administrative Tools) در یک Snap-In ترکیب میگردند.این ابزارها در برگیرنده ابزارهایی مانند پنجره نمایش رخدادها (Even Viewer) ، سرویسها (Services)و برنامه زمانبندی وظایف (Task Scheduler) میباشند.ابزارهای دیگری مانند مدیریت کامپیوتر Computer Management یا کنسولهای دیگری وجود دارند که خود آنها از چند Snap-In تشکیل شده اند که هر یک از این Snap-In ها نیز میتوانند به صورت یک کنسول مجزا وجود داشته باشند.به عنوان مثال Computer Management خود در بر گیرنده Event Viewer , Services ,Task Scheduler میباشد.
در زمان مدیریت ویندوز با استفاده از Snap-In ها شما دستوراتی را از طریق MMC اجرا میکنید که به آنها Action گفته میشود که میتوانید آنها را در منوی Action هر کنسول پیدا کنید ، در منوی محتوا (Context Menu) که زمان کلیک راست کردن بر روی صفحه ظاهر میشود و همچنین از بخش Action در سمت راست کنسول MMC نیز میتوان به Action ها دسترسی پیدا کرد.اکثر مدیران با تجربه شبکه ،استفاده از Context Menu را به عنوان بهینه ترین روش دسترسی به Action ها می شناسند.اگر شما منحصرا از Context Menu استفاده میکنید ، میتوانید بخش Action Pane را در سمت راست کنسول خاموش کنید تا در بخش جزییات (Details Pane) جزییات بیشتری به شما نمایش داده شود. دو نوع MMC وجود دارد : از قبل تنظیم شده و سفارشی.زمانی که شما یک نقش(Role) یا یک ویژگی (Feature) جدید را اضافه می کنید به صورت خودکار یک کنسول از پیش تنظیم شده به ویندوز اضافه میگردد تا از طریق آن بتوانید مدیریت آن نقش یا ویژگی را انجام دهید.این دسته از کنسولها در حالت کاربری (User Mode) تنظیم شده اند به صورتی که شما نمیتوانید در آنها تغییراتی ایجاد کرده یا آنها را ذخیره کنید.شما همچنین میتوانید کنسولهای سفارشی تهیه کرده که در آنها دقیقا میتوانید ابزارهایی را که نیاز دارید ، گردآوری کنید.در ادامه شما با هر دو نوع کنسول آشنا خواهید شد.
ابزارهای مدیریتی اکتیو دایرکتوری
مدیریت اکتیو دایرکتوری بیشتر از طریق کنسولهای Snap-In زیر انجام میگیرد:
Active Directory Users and Computersمنابع کاری روزانه مانند Users ,Groups ,Computers ,Printers and Shared Folders بیشتر در این کنسول قرار دارند.این کنسول بیشترین استفاده را برای مدیران اکتیو دایرکتوری دارا میباشد.
Active Directory Site and Servicesمدیریت Replication ، مدیریت توپولوژی شبکه و سرویسهای وابسته.
Active Directory Domains and Trustsتنظیم و نگهداری رابطه اعتماد (trust Relationship) و سطح عاملیت دامین و فارست.استفاده از این ابزار در فصل 13 “Domains and Trusts” توضیح داده خواهد شد.
Active Directory Schemaایجاد تغییر در تعاریف ویژگیهای اکتیو دایرکتوری و کلاسهای اشیاء.Schema نقشه پیش ساخت (blueprint) اکتیو دایرکتوری میباشد.از این کنسول بندرت استفاده شده یا در آن تغییراتی ایجاد میشود به همین دلیل این کنسول به صورت پیش فرض نصب نمیگردد.
زمانی که شما نقش AD DS را به یک سرور اضافه میکنید کنسولهای مدیریتی فوق به صورت پیش فرض نصب می شوند. 2 ابزار مدیریتی معمول پس از نصب AD DS به Server Manager اضافه میشوند:Active Directory Users and Computers و Active Directory Sites and Services . همچنین در صورتی که بخواهید مدیریت اکتیو دایرکتوری را از طریق سروری که AD DS نمیباشد،انجام دهید، باید ابزار RSAT را از لیست feature های ویندوز در Server Manager انتخاب نموده و آن را نصب نمایید.جهت مدیریت اکتیو دایرکتوری از طریق یک ویندوز کلاینتی،این ابزار را میتوانید به صورت رایگان از سایت مایکروسافت دانلود کرده و بر روی ویندوزهای کلاینتی مانند ویندوز Vista با سرویس پک 1 و ویندوز 7 نصب کنید تا از طریق ویندوزهای کلاینتی مدیریت اکتیو دایرکتوری را انجام دهید.

یافتن ابزارهای مدیریتی اکتیو دایرکتوری

شما میتوانید به 2 ابزار مدیریتی با استفاده از Server Manager دسترسی داشته باشید.با استفاده از توسعه دادن Roles در Server Manager و بعد از آن Active Directory Domain Services ،همچنین تمام این ابزارها را میتوان در فولدر ابزارهای مدیریتی (Administrative Tools ) یافت که این فولدر در کنترل پنل قرار دارد.در مدل نمایشی کلاسیک کنترل پنل شما میتوانید فولدر Administrative Tools را بیابید. در مدل نمایش Home در کنترل پنل در بخش System and Maintenance میتوان به Administrative Tools دسترسی یافت.

اضافه کردن Administrative Tools به منوی Start

به صورت پیش فرض Administrative Tools به منوی start در ویندوز Vista و ویندوز 7 اضافه نمیگردد.با اضافه کردن این ابزار به منوی Start میتوانید دسترسی سریعتری به Administrative Tools داشته باشید.
1-بر روی start کلیک راست کرده و گزینه Properties را انتخاب کنید.
2-بر روی Customize کلیک کنید.
3-اگر از منوی start به صورت پیش فرض استفاده می کنید لیست باز شده را تا انتها پایین آورده و گزینه Display on all programs menu and the start menu را انتخاب نمایید .


اجرا کردن Administrative Tools با استفاده از
Alternate Credentials

بسیاری از Administrator ها با استفاده از اکانت کاربری Administrator به سیستم Logon می کنند.این کار بسیار خطرناک میباشد به این جهت که Administrator دارای حقوق ویژه ای میباشد و دسترسی بیشتری به منابع موجود در شبکه به نسبت کاربر عادی دارد.از اینرو بد افزارهایی که تحت اکانت کاربری Administrator اجرا میشوند ، میتوانند خسارات قابل توجهی را وارد کنند .در عوض Log on کردن با یک کاربر عادی و استفاده از ویژگی Run As Administrator جهت اجرا کردن ابزارهای مدیریتی با استفاده از اکانت کاربریAdministrator امنیت بیشتری برای سیستم فراهم میکند.
1-بر روی میانبر یک برنامه اجرایی یا برنامه های کاربردی کنترل پنل یا MMC که قصد اجرای آن را دارید کلیک راست کنید و گزینه Run As Administrator را انتخاب نمایید.اگر فرمان ذکر شده در لیست موجود نیست با استفاده از نگهداشتن کلید Shift و کلیک راست به فرمان Run As Administrator دسترسی خواهید یافت.

2-نام کاربری و رمز عبور اکانت کاربری Administrator را وارد کنید.

3-بر روی OK کلیک کنید.
اگر به صورت دائم از یک ابزار تحت اکانت کاربری Administrator استفاده میکنید ، میتوانید کلید میانبر جدیدی با تنظیم پیش فرض درست کنید که همیشه تحت اکانت کاربری Administrator اجرا گردد.برای این کار یک کلید میانبر جدید بسازید و وارد صفحه Properties کلید میانبر شوید .بر روی کلید Advanced کلیک کنید و گزینه Run As Administrator را انتخاب کنید .زمانی که ابزار را با استفاده از میانبر اجرا میکنید پنجره User Account Control ظاهر میشود.

ایجاد کنسول سفارشی با ابزارهای اکتیو دایرکتوری

استفاده از ابزارهایی که به آنها نیاز دارید در یک مکان سفارشی شده مطابق با نیازهای شما کار شما را آسان تر میکند.به انجام رساندن این کار با ایجاد کردن یک کنسول سفارشی MMC امکان پذیر میشود که مانند کمربند ابزار برای شما عمل میکند که تمامی ابزارهای مورد نیاز شما را در یک مکان در خود جای می دهد.زمانی که یک کنسول سفارشی MMC ایجاد میکنید:
با اضافه کردن Snap-In های مختلف در یک MMC میتوانید وظایف کاری خود را بدون نیاز به سوییچ کردن بین کنسولها انجام دهید.در نتیجه شما تنها نیاز دارید که یک کنسول را با استفاده از Run As Administrator اجرا کنید.
کنسول را جهت استفاده های مکرر ذخیره کنید.
کنسول را جهت استفاده دیگر Administrator ها توزیع کنید.
تمامی کنسولها را به صورت یکپارچه در یک مکان به اشتراک بگذارید.
جهت ایجاد یک MMC سفارشی، یک MMC خالی را با کلیک کردن بر روی منوی Start باز کنید.در منوی استارت در داخل جعبه جستجو (search Box) تایپ کنید mmc.exe و کلید Enter را بزنید.فرمان Add / Remove Snap-In از منوی فایل اجازه اضافه کردن ، حذف کردن ، مرتب کردن و مدیریت کنسولهای Snap-In را در اختیار شما قرار میدهد.

ذخیره و توزیع کنسول سفارشی

اگر قصد توزیع یک کنسول را دارید،به شما توصیه میگردد که کنسول را درحالت User Mode ذخیره کنید.جهت تعویض سبک کنسول از منوی فایل گزینه Option را انتخاب کنید.به صورت پیش فرض کنسولها در حالت Author Mode ذخیره میشوند که اجازه اضافه کردن یا حذف Snap-In ها را میدهد همچنین اجازه دیدن تمامی بخشهای کنسول و ذخیره تغییرات را نیز در اختیار کاربر قرار میدهد در مقابل User Mode عاملیت کنسول را تغییر میدهد تا امکان تغییر در آن وجود نداشته باشد.سه مدل برای User Mode وجود دارد که در جدول 2-1 این مدلها توضیح داده شده اند.مدل User Mode به صورت Full Access معمولا برای Administrator های متخصص انتخاب میشود که وظایف کاری گوناگونی را با استفاده از کنسولها انجام میدهند.مدل User Mode در حالتهای Multiple Windows و Single Window جهت Administrator هایی مناسب میباشد که وظایف کاری محدود تری دارند.

انواع مدلهای کنسول مدیزیتی مایکروسافت :




Author
شما تصمیم دارید به سفارشی سازی کنسول ادامه دهید.




User Mode-Full Access
شما میخواهید کاربران بتوانند در بین تمام Snap-In ها جابجا شده و از آنها استفاده کنند.کاربران نمیتوانند Snap-In جدیدی را اضافه یا حذف کنند همچنین امکان ایجاد تغییرات در Snap-In ها یا کنسول را نخواهند داشت.

User Mode –Limited Access, Multiple Window
شما میخواهید کاربران بتوانند فقط امکان دسترسی به Snap-In خاصی را داشته باشند که توسط شما در Console Tree مشخص شده است و شما قصد دارید چند پنجره با تنظیم پیش فرض ایجاد کنید که هر کدام بر روی Snap-In خاصی تمرکز داشته باشند.کاربران امکان باز کردن پنجره جدید را نخواهند داشت.

User Mode-Limited Access, Single Window
شما میخواهید کاربران فقط امکان دسترسی به Snap-In مورد نظر شما را داشته باشند و از آن فقط در درون یک پنجره استفاده کنند.


کنسولها با پسوند .msc ذخیره میشوند.مکان پیش فرض ذخیره سازی کنسولها فولدر Administrative Tools میباشد اما به جای کنترل پنل در منوی Start تحت پروفایل کاربری شما در مسیر زیر ذخیره میگردد:%UserProfile%\AppData\Roaming\Microso ft\Windows\St artMenu .
این مکان مشکلاتی را برای شما ایجاد میکند زیرا دسترسی به این مکان با مجوزهای دسترسی محدود شده به اکانت کاربری شما میباشد و فقط با استفاده از اکانت کاربری شما میتوان به این مکان دسترسی داشت.بهترین تکنیک جهت استفاده از این سیستم Log On کردن به سیستم با استفاده از اکانت کاربری میباشد که مزیت خاصی (مانند Administrator ) برای آن در نظر گرفته نشده باشد و آنگاه اجرا کردن Administrative Tools با استفاده از Alternate Credentials که اجازه کافی برای انجام وظایف Administrator را دارا باشد.به این دلیل که در این پروسه دو اکانت کاربری همزمان درگیر میباشند ذخیره کردن کنسول در این حالت باعث باز شدن پنجره انتخاب مسیر در بهترین حالت و یا نمایش پیام Access-Denied در بدترین حالت میباشد.
سعی کنید کنسولهای خود را در مکانی ذخیره کنید که هم توسط اکانت کاربری عادی شما و هم توسط اکانت کاربری Administrator شما به صورت همزمان در دسترس باشد.توصیه میشود که کنسولهای خود را در یک مکان به اشتراک گذاشته شده بر روی شبکه ذخیره کنید تا زمانی که از طریق یک کامپیوتر دیگر نیز به شبکه متصل میشوید به کنسولها دسترسی داشته باشید.به صورت اختیاری میتوانید کنسولها را در فولدر ای ذخیره کنید که برای دیگر Administrator ها هم قابل دسترس باشد به این صورت یک مکان متمرکز جهت ذخیره سازی و دسترسی به کنسولهای مدیریتی سفارشی ایجاد نموده اید.شما همچنین میتوانید کنسولها را بر روی یک وسیله همراه مانند درایو های USB ذخیره کرده و یا آنها را به صورت Attachment با استفاده از Email ارسال نمایید.به یاد داشته باشید که کنسولها به اساسا مجموعه ای از دستور العمل ها میباشند که توسط mmc.exe تفسیر میشوند دستور العمل هایی که مشخص میکنند چه Snap-In اضافه شده و یا چه کامپیوتری با استفاده از این Snap-In مدیریت شود.کنسولها خود حاوی Snap-In نمیباشند از اینرو کنسول در صورت عدم نصب Snap-In نمیتواند به درستی کار خود را انجام دهد پس شما باید Snap-In های مورد نیاز را با استفاده RSAT بر روی سیستم نصب نموده تا در نهایت بتوانید از کنسولها استفاده کنید.




تمرین ایجاد و مدیریت یک کنسول سفارشی


در این تمرین شما یک کنسول سفارشی MMC را ایجاد خواهید کرد.اضافه کردن ، حذف کردن و مرتب ساختن Snap-In ها را انجام خواهید داد.در نهایت کنسول را برای توزیع در میان دیگر Administrator ها آماده خواهید نمود.




تمرین 1 ایجاد یک کنسول سفارشی
در این تمرین شما یک کنسول سفارشی MMC با استفاده از Snap-In های Active Directory Users and Computers و Active Directory Schema و Computer Management ایجاد خواهید کرد.این ابزارها برای مدیریت اکتیو دایرکتوری و دامین کنترلر مفید میباشند.
1-به Server01 با استفاده از اکانت کاربری Administrator وارد شوید.
2-بر روی Start کلیک کنید در منوی استارت در جعبه جستجو (search Box) تایپ کنید mmc.exe و کلید Enter را بزنید.
یک MMC خالی پدیدار میشود .به صورت پیش فرض پنجره کنسول در داخل MMC در حالت Maximized قرار ندارد.با Maximize کردن پنجره از مزیتهای ابعاد کامل نمایش نرم افزار استفاده کنید.
3-از منوی File گزینه Add/Remove Snap-in را انتخاب نمایید.
جعبه محاوره Add/Remove Snap-In مانند تصویر 2-3 ظاهر میشود.

اگر در لیست Snap-In مورد نظر خود را پیدا نمیکنید از نصب RSAT اطمینان حاصل نمایید.
4-در جعبه محاوره Add/Remove Snap-In از لیست Available Snap-Ins: در سمت چپ گزینه Active Directory Users and Computers را انتخاب نمایید.
5-بر روی کلید Add کلیک کنید تا این Snap-In به لیست Selected Snap-Ins در سمت راست اضافه شود.
توجه داشته باشید که Snap-In مربوط به Active Directory Schema برای اضافه کردن در لیست موجود نمیباشد.این Snap-In با نصب نقش Active Directory Domain Service یا RSAT نصب میگردد اما به دلیل عدم Register شدن در لیست نمایش داده نمیشود.
6-بر روی Ok کلیک کنید تا جعبه محاوره Add or Remove Snap-Ins بسته شود.
7-بر روی کلید Start کلیک کنید و در جعبه جستجو تایپ کنید cmd.exe.
8-در Command Prompt تایپ کنید Regsvr32.exe schmmgmt.dll .
این دستور ،عمل نصب Dynamic Link Library (DLL) را برای Active Directory Schema انجام میدهد.این عملیات تنها به یک بار اجرا شدن نیاز دارد.
9-یک پنجره اعلان نمایش میدهد که ثبت موفقیت آمیز انجام شده است.بر روی Ok کلیک کنید.
10-به کنسول سفارشی خود باز گردید ،مراحل 2 تا 6 را تکرار کنید تا Active Directory Schema را نیز اضافه کنید.
11-از منوی File گزینه Add/Remove Snap-In را انتخاب نمایید.
12-در جعبه محاوره Add Or Remove Snap-Ins در بخش Available Snap-Ins گزینه Computer Management را نتخاب نمایید.
13-بر روی کلید Add کلیک کنید تا این Snap-In به منوی Selected Snap-Ins اضافه گردد.
زمانی که Snap-In شما Remote Administration یا مدیریت از راه دور را پشتیبانی نماید ، شما با اعلان انتخاب کامپیوتر مورد نظر مانند تصویر 2-4 مواجه میشوید.

برای مدیریت کردن کامپیوتری که کنسول بر روی آن اجرا میشود گزینه Local Computer را انتخاب کنبد.این حالت فقط مدیریت کامپیوتری که کنسول را بر روی آن ایجاد نموده اید در اختیار شما قرار نمیدهد بلکه اگر شما این کنسول را ذخیره کرده و بر روی هر کامپیوتر دیگر اجرا کنید ، کنسول امکان مدیریت همان کامپیوتری که کنسول را بر روی آن اجرا میکنید در اختیار شما قرار میدهد.
برای مشخص کردن یک کامپیوتر خاص جهت مدیریت توسط Snap-In ، گزینه Another Computer را انتخاب نمایید.سپس نام کامپیوتر را وارد نموده یا بر روی Browse کلیک کنید تا کامپیوتر را انتخاب نمایید.
14-گزینه Another Computer را انتخاب نمایید و به عنوان نام کامپیوتر ،تایپ کنید Server01.
15-بر روی Finish کلیک کنید.
16-بر روی Ok کلیک کنید تا پنجره محاوره Add Or Remove Snap-In بسته شود.
17-از منوی فایل گزینه Save را انتخاب کنید و کنسول را بر روی دسکتاپ خود با نام MyConsole.msc ذخیره کنید.
18-کنسول را ببندید.

تمرین 2 اضافه کردن Snap-In به یک MMC
در این تمرین Even Viewer را به کنسولی که در تمرین 1 ایجاد کردید ،اضافه خواهید کرد.Event Viewer یک ابزار سودمند جهت نظارت کردن بر فعالیتهای دامین کنترلر میباشد.
1-MyConsole.msc را باز کنید.
اگر در تمرین 1 کنسول را بجای دسکتاپ در محل پیش فرض ذخیره نموده اید ،میتوانید از طریق Start\All Programs\Administrative Tools به کنسول خود دسترسی داشته باشید.
2-از منوی File گزینه Add/Remove Snap-In را انتخاب کنید.
3-در پنجره محاوره Add Or Remove Snap-Ins از لیست Snap-In ها گزینه Event Viewer را نتخاب نمایید.
4-بر روی کلید Add کلیک کنید تا Event Viewer به لیست Selected Snap-Ins اضافه شود.
پنجره اعلان انتخاب کامپیوتر باز میگردد.
5-گزینه Another Computer را انتخاب نموده و در بخش نام کامپیوتر، تایپ کنید Server01.
6-بر روی Ok کلیک کنید.
7-برای بسته شدن پنجره محاوره Add or Remove Snap-In بر روی Ok کلیک کنید.
8-کنسول را ذخیره کرده و ببندید.

تمرین 3 مدیریت کردن Snap-In ها در یک MMC
در این تمرین شما ترتیب Snap-in ها را عوض کرده و یک Snap-in را حذف میکنید.همچنین با Extension Snap-in نیز آشنا خواهید شد.
1-Myconsole.msc را باز کنید.
2-از منوی File گزینه Add/Remove Snap-In را انتخاب نمایید.
3-در لیست Selected Snap-ins گزینه Event Viewer را انتخاب نمایید.
4-بر روی کلید Move Up کلیک کنید.
5-گزینه Active Directory Schema را انتخاب نمایید.
6-بر روی کلید Remove کلیک کنید.
7-در لیست Selected Snap-ins گزینه Computer Management را انتخاب نمایید.
8-بر روی Edit Extensions کلیک کنید.
Extension ها در حقیقت Snap-in هایی هستند که در درون Snap-in های دیگر جای میگیرند تا وظایف افزوده ای را فراهم سازند.Snap-in مدیریت کامپیوتر خود دربرگیرنده تعدادی از Snap-in ها به صورت Extension میباشد که شما میتوانید هر کدام که میخواهید فعال یا غیر فعال کنید.
9-گزینه Enable Only Selected Extension را اتخاب کنید.
10-Event Viewer را در حالت غیر انتخاب شده قرار دهید.شما پیش از این Event Viewer را به صورت یک Snap-in مستقل به کنسول اضافه کرده اید.
11-بر روی Ok کلیک کنید تا پنجره محاوره Extensions for Computer Management بسته شود.
12-یک بار دیگر بر روی Ok کلیک کنید تا پنجره محاوره Add or Remove Snap-in بسته شود.
13-کنسول را ذخیره کرده و آن را ببندید.

تمرین 4 آماده سازی کنسول جهت توزیع میان کاربران
در این تمرین شما کنسول را در حالت User Mode ذخیره میکنید تا کاربران دیگر نتوانند عمل اضافه کردن،حذف کردن یا ایجاد تغییرات در Snap-in ها را انجام دهند.به یاد داشته باشید که کاربران MMC معمولا خودشان Administrator هستند.
1-Myconsole.msc را باز کنید.
2-از منوی File گزینه Options را انتخاب کنید.
3-در منوی کرکره ای Console Mode ،گزینه User Mode – Full Access را انتخاب کنید.
4-بر روی Ok کلیک کنید.
5-کنسول را ذخیره کرده و ببندید.
6-با دوبار کلیک کردن بر روی کنسول آن را باز کنید.
7-بر روی منوی Fileکلیک کنید.ملاحظه میکنید که دیگر دستور Add/Remove Snap-inوجود ندارد.
8-کنسول را ببندید.
9-بر روی کنسول کلیک راست کرده و Author را انتخاب کنید.
10-بر روی منوی File کلیک کنید.در Author Mode دستور Add/Remove Snap-inنمایش داده میشود.
11-کنسول را ببندید.

.

Active Directory Users and Computers


شما بعنوان یک مدیر شبکه یکی از مسئولیت های اصلی تان ساخت و پیکربندی کاربران ، گروه ها ، اکانت های کامپیوتر ، واحدهای سازماندهی (OUها) و group poliy ها می باشد. شبیه به مبحث اکتیودایرکتوری در ورژن های قبلی ویندوز سرور، در ویندوز سرور 2008 نیز اکتیو دایرکتوری از کنسول Active Directory Users and Computers برای مدیریت اکانت های کاربران و گروه ها و کامپیوترها استفاده می کند. در این کنسول علاوه بر کارهای ذکر شده شما می توانید دیگر جنبه های اکتیودایرکتوری شامل group policy ، domain controller ، domain security policy و غیره را مدیریت نمایید.

با این کنسول که بیشترین استفاده را در وظایف مدیریتی روزانه در ساختار اکتیودایرکتوری دارا می باشد ، برای ایجاد ، مدیریت و نگهداری و همچنین حذف حسابهای کامپیوتری و کاربری در اکتیودایرکتوری استفاده می شود. باید توجه کرد که اشیاء در اکتیو دایرکتوری به شکل تودرتو در گروه هایی که واحد های سازماندهی (OU) نامیده می شوند قرار می گیرند. بسیاری از وظایفی که توسط کنسول
انجام می شود شامل موارد زیر می باشد:




اضافه کردن کاربر جدید در اکتیو دایرکتوری
تغییر پسوردهای کاربران
واگذاری حقوق خاصی به فایل سرورها
اجازه remote access به شبکه
تنظیم login and logout script ها
ساختن گروه های امنیتی (security groups)



بسیاری از برنامه شامل Exchange Server ، Terminal Services و System Centerتوانایی اضافه شدن به اکتیو دایرکتوری در بسیاری از مواقع را دارند. این برنامه ها به اکتیو دایرکتوری اجازه مدیریت اشیاء وابسته به خود را می دهند . برای مثال اگر برنامه Terminal Services را به شبکه تان اضافه می کنید ، شما می توانید از طریق کنسول Active Directory Users and Computers مدت زمان اتصال هر کاربر به شبکه را کنترل نمایید.

شما می توانید برای دسترسی به کنسول Active Directory Users and Computers از مسیرهای زیر استفاده کنید :
دقت کنید که فقط Domain Controller ها دارای چنین کنسولی هستند و اگر نتوانستید این کنسول را بیابید ، مطمئن شوید که بر روی دامین کنترولر login کرده اید .



1
2
Start --> Programs --> Administrative Tools Active Directory Users and Computers
Start --> Control Panel --> Administrative Tools Active Directory Users and Computers







بعد از آشنایی با طریقه دسترسی به Active Directory Users and Computers ، حالا وقت آنست که container ها و OU های پیش فرض بطور مختصر مورد بررسی قرار گیرند. بعد از نصب و پیکربندی Domain controller ، به طور پیش فرض شما چندین container و OU ی توکار را در کنسول Active Directory Users and Computers مانند (تصویر 1) می بینید.ساختار اکتیودایرکتوری بر اساس forest است که هر Forest می تواند دارای چندین Domain و یا Tree باشد .کنسول Active Directory Users and Computers به شما اجازه کار کردن با ساختار Forest را نمی دهد و شما می توانید فقط ساختار Domain را با آن مدیریت کنید .

تصویر 1



Click here to view the original image of 664x442px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


اگر به (تصویر 1) نگاه کنید می بینید که itpro.local دامینی است که در شبکه من وجود دارد . تمامی اشیائی که در ساختار اکتیودایرکتوری من ساخته می شوند عضوی از دامین itpro.local هستند. اما این تنها دامینی نیست که در شبکه من وجود دارد. کنسول Active Directory Users and Computers برای اینکه در کار مدیریتی دامین ها پیچیدگی و ابهامی پیش نیاید در هر لحظه فقط یکی از دامین ها را به ما نشان می دهد . دامینی که در اولین صفحه این کنسول مشاهده می کنیم در حقیقت همان دامینی است که متعلق به Domain controller ای است که به آنlogin کرده ایم . یعنی در اینجا ما بر روی دامین کنترلری login کرده ایم که دامین itpro.local بر روی آن قرار دارد.

اما مشکل در اینجاست که دامین ها ممکن است بصورت فیزیکی و جغرافیایی از هم فاصله داشته باشند . برای مثال بسیاری از شرکت ها وجود دارند که دارای نمایندگی هایی در مناطق مختلف هستند و برای هر کدام از این مناطق نیز یک دامین دارند و شما برای اینکه بتوانید به هر کدام از این دامین ها دسترسی داشته باشید نیاز به یک ابزار دارید. شما میتوانید از طریق کنسول Active Directory Users and Computers به دامین هایی که به آنها اعتماد و دسترسی لازم را دارید نیز دسترسی پیدا کنید . تمام کاری که باید بکنید این است که بر روی دامین مورد نظر کلیک راست کرده و گزینه Connect To Domain را بزنید . صفحه ای برای شما باز خواهد شد که به شما این امکان را می دهد که بتوانید نام دامین مورد نظرتان را در آن تایپ کرده و یا اینکه دامین مورد نظرتان را از لیست انتخاب کنید . و براحتی با گزینه Browse دامین مورد نظر برای شما باز خواهد شد .

در (تصویر 1) شما تعدادی Container را مشاهده می کنید که هرکدام به نوعی از اشیاء اشاره میکنند . هر شیئی که در اکتیودایرکتوری ساخته می شود به یکObject Type مرتبط می شود که در این ساختار به آنها کلاس شیء یا Object Class هم گفته می شود . همچنین هر شیء برای خود یک سری خواص یا Attribute دارد که به آن مرتبط شده اند که این خواص بسته به نوع اشیاء متفاوت هستند. پس بعد از نصب و پیکربندی یک دامین کنترولر چندین بخش سازماندهی (Container) را درون کنسول Active Directory Users and Computers می بینید که به قرار زیر می باشند:(شبیه به Folder هستند )

Built-In : شامل همه گروه های امنیتی پیش فرضی می باشد که به هنگام نصب دامین کنترولر به صورت خودکار ساخته می شوند. این گروه ها مجوزهای استانداردی را بر روی اشیاء مختلف درون اکتیودایرکتوری می گذارند . این Container شامل گروه های Account Operators group, Administrators , Users Backup Operators, Server Operators, Replicators, Users, Remote Desktop و Print Operators می شود.



Click here to view the original image of 634x507px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



Computers : شامل ایستگاهای کاری درون دامین تان می شود. به طور پیش فرض هیچ ایستگاه کاری درون این container وجود ندارد، اما با پیوستن یک ایستگاه کاری به دامین تان شما می توانید آن کامپیوتر را درون این container مشاهده کنید.

Domain Controllers : شامل همه دامین کنترول هایی است که دامین شما را کنترول می نمایند.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



Foreign Security Principals : این container همه اشیائی که بخشی از دامین تان نمی باشند را در خود نگه می دارد و مجوزهایی که باید به کار ببرند را به آنها اختصاص می دهد.

Users : شامل همه اکانت های امنیتی است که بخشی از دامین می باشند . چندین گروه در این container وجود دارند که در هنگام نصب دامین کنترولر به صورت خودکار ساخته می شوند . این container شامل اکانت پیش فرض Administrator و گروه هایی مانند Domain Admins ، Enterprise Admins، Domain Controllers ، Domain Guests ، Domain Users ، Schema Admins ، Guests و غیره می باشد.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


در ضمن شما می توانید انواع مختلفی از اشیاء اکتیودایرکتوری را ساخته و مدیریت نمایید. بعضی از این اشیاء به قرار زیر می باشند :

Computer : اشیاء کامپیوتر ایستگاه های کاری که بخشی از دامین اکتیو دایرکتوری می باشند را نمایش می دهند . همه کامپیوتر های درون یک Domain در یک پایگاه داده امنیتی یکسان که شامل اطلاعات گروه ها و کاربران می باشد ، سهیم می باشند. اشیاء کامپیوتر برای مدیریت مجوز های امنیتی و محدودیت های enforcing Group Policy مفید می باشند.

Contact : این اشیاء معمولا در OU ها برای مشخص کردن تماس های مدیریتی مورد استفاده قرار می گیرند. Contact ها مسئولیت های امنیتی شبیه به کاربران را ندارند و فقط برای مشخص کردن اطلاعات درباره اشخاص درون سازمان ها مورد استفاده قرار می گیرند.

Group : اشیاء گروه، مجموعه هایی منطقی از کاربران اصلی هستند که دسترسی های امنیتی را به منابع اختصاص می دهند. هنگامی که کاربران را مدیریت می کنید ، شما باید آنها را درون گروه ها قرار دهید و سپس مجوزها را به گروه اختصاص دهید. این کار مدیریت انعطاف پذیرتری را بدون نیاز به اختصاص دادن مجوزها بصورت فردی برای کاربر فراهم می آورد.

Organizational Unit : یک شیء OU برای ایجاد یک سلسله مراتب درون دامین اکتیو دایرکتوری مورد استفاده قرار می گیرد. آن کوچکترین واحدی است که برای ساختن گروه های مدیریتی از آن استفاده می شود. و همچنین می توان از آن برای تخصیص سیاست های گروه (group policy) استفاده کرد. به طور معمول ساختار OU درون یک دامین سلسله مراتب سازماندهی یک شرکت تجاری را بازتاب می دهد.

Printer : شیء پرینتر نگاشتی برای دستگاه های پرینتر می باشد.

Shared Folder : این شیء نگاشتی برای server share ها می باشند. آنها برای سازماندهی منابع فایلی مختلفی که ممکن است بر روی file/print server ها موجود باشند مورد استفاده قرار می گیرند. اغلب از اشیاء Shared Folder برای دادن نام منطقی به مجموعه فایل های مشخصی استفاده می شود.

User : یک شیء کاربر مسئول امنیتی بنیادی بر روی اکتیودایرکتوری می باشد. اکانت های کاربر شامل اطلاعاتی در باره اشخاص از قبیل پسورد و دیگر اطلاعات مربوط به مجوز ها می باشد.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



هدف از این مقاله معرفی اکتیو دایرکتوری بود و فرآیند ایجاد و اعمال تغییرات بر روی اشیاء در اکتیودایرکتوری در مقالات بعدی مورد بررسی قرار می گیرد.در پایان شما لزوما نبایستی برای اینکه بتوانید دامین را مدیریت کنید و به کنسول Active Directory Users and Computers دسترسی داشته باشید به دامین کنترلر login کنید . شما به جای اینکه از طریق دامین کنترلر و از منوی administrative Tools به این کنسول دسترسی داشته باشید، می توانید از طریق یک Member Server و استفاده از کنسول MMC یا Microsoft Management Console و اضافه کردن کنسول Active Directory Users and Computers براحتی از این ابزار در سرور های دیگر نیز استفاده کنید .

برای اینکار از طریق Run در منوی استارت دستور MMC را وارد کنید و کلید Enter را بزنید . در این لحظه سرور برای شما یک صفحه کنسول خالی باز میکند . از طریق منوی File گزینه Add Remove Snap In را انتخاب کنید و از لیست موجود کنسول Active Directory Users and Computer را انتخاب کنید و بعد Close و OK را بزنید و منتظر باشید تا کنسول بصورت کامل لود شود .






منبع : network.itpro



.

.

ایجاد OU ها





Ou مخفف organization unit است وکوچکترین واحد مدیریت داخل شبکه domain است و کوچکترین واحدی است که ما می توانیم به آن (group policy)gp اعمال کنیم.
کلا معیار برای ساختن ou ها متفاوت می باشد. معمولا در این تقسیم بندی و ساختن ou ها بسیار موثر است.
زمانی که active directory users and computers را بازمی کنیم چارت سازمانی از نام domain شروع می شود برای مثال wikipg.comبعد از آن ou ها , container ها را داریم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
هرگاه active directory users and computers ساخته شد در آن ou ساخته می شود به نا م domain controllers

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
چگونه می توان ou ساخت؟
به دو روش می توان Ou ساخت



گرافیکی
command


هر وقت خواستیم جایی ou بسازیم فقط active directory users and computer است که می توان ou ساخت.
در این قسمت بر روی wikipg.com یک کلیک راست کرده و new ou را انتخاب میکنیم و اسم آن را برای مثال fani می گذاریم .
ساختن ou به روش گرافیکی
برای ساختن ou به روش گرافیکی بر روی نام دامنه کلیک راست کرده و new را انتخاب کرده سپس organization unit را انتخاب می کنیم.


Click here to view the original image of 521x433px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بعد از انتخاب کردن این گزینه کادر زیر باز می شود که در آن باید نام ou را مشخص کنیم.
اگر گزینه ی protect container from accidental deletion انتخاب شده باشد در این صورت اگر بر روی ou که ساخته شده است کلیک راست کرده و سپس گزینه ی Remove را انتخاب کنیم پاک نمی شود برای اینکه پاک شود باید مراحلی که در قسمت پاک کردن ou توضیح داده شده است مطالعه کنید.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا اگر در صفحه ی active directory users and computers نگاه کنیم میبینیم که ou در اینجا با نام fani ایجاد شده است.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
طریقه ی ساختن ou توسط command
با فرمان نیز می توانیم این کار را انجام دهیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Dsadd ou DN هر ou که می سازیم داخل ntds.dit ذخیره می شود این ou با فرمت Dstinguished Name ذخیره می شود
برای dn نوشتن از قوانین زیر پیروی می کنیم.
قانون DN نوشتن
از پایین به بالا سلسله مراتب می نویسیم
هر جا به ou رسیدیم آن را با OU نمایش می دهیم.
هر جا به DOMAIN رسیدیم آن را با DC نمایش می دهیم
هر جا به موردی غیر از موارد بالا رسیدیم آن را با CN نمایش می دهیم.
برای جدا کردن سلسله مراتب از یکدیگر از کاما , استفاده می کنیم.
برای مثال اگر بخواهیم ou با نام it بسازیم به این صورت عمل می کنیم:


Click here to view the original image of 661x326px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پس از اینکه دستور را در cmd وارد کردیم باید enter را بزنیم بعد از زدن Enter پیغام می دهد که ou با موفقیت ساخته شده است.


Click here to view the original image of 660x326px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا اگر در صفحه ی active directory users and computers برویم ویک بار صفحه را Refresh کنیم می بینیم که ou مورد نظر ساخته شده است.


Click here to view the original image of 581x315px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اگر بخواهیم یک Ou را در داخل ou دیگر ایجاد کنیم در این حالت باید حتما باید PARENT ساخته شود تا CHILD ساخته شود. برای مثال اگر بخواهیم که ou بانام mali در ou it ایجاد کنیم خواهیم داشت:


Click here to view the original image of 654x323px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور که میبینید باید از پایین ترین نقطه به سمت بالا ترین نقطه حرکت می کنیم. سپس enter را می زنیم

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پس لز زدن Enter پیغام می دهد که ou با موفقیت ساخته شده است. و اگر در صفحه ی active directory users and computers برویم خواهیم دید که در زیر مجموعه ی ou it برای ما ou mali ساخته شده است.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پاک کردن ou
برای پاک کردن ou که به روش گرافیکی ساخته شده است اگر بر روی ou مورد نظر کلیک راست کرده و گزینه ی delete را بزنیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پاک نمی شود و error می دهد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
برای پاک کردن ou که به روش گرافیکی آن را ساخته ایم به روش زیر عمل می کنیم.
ابتدا در صفحه ی active directory users and computersگزینه ی view را انتخاب کرده سپس گزینه ی advance feature را انتخاب می کنیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
تا فعال شود سپس بر روی ou مورد نظر کلیک راست کرده و گزینه ی propertiesو تیک protect object from accident delition را برمی داریم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و بعد با کلیک راست کردن مجدد بر روی ou و انتخاب گزینه ی delete آن را پاک می کنیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
زمانیکه با command در این قسمت ou می سازیم دیگر گزینه ی Protect container from accident delition تیک نمی خورد و می توان با کلیک راست کردن بر روی آن و انتخاب کردن delete آن را حذف کرد.
حذف کردن ou توسط command
پاک کردن Ou از طریق command با زدن dsrm می باشد.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
سپس enter را می زنیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
قبل از delete کردن سوال می پرسد که می خواهی این ou حذف شود و y را می زنیم سپس این صفحه را یک با ر refresh می کنیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور که در شکل بالا ملاحظه می کنید ou mali حذف شده است.








.

.





ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers




کنسول Active Directory Users and Computers ابزار اصلی برای مدیریت کاربران و گروه ها و کامپیوترهای اکتیودایرکتوری است.شما می توانید طبق مراحل زیر یک اکانت کاربر را ایجاد نمایید:

1.ابتدا به یک اکتیو دایرکتوری دامین کنترلر log on نمایید.

2.کنسول Active Directory Users and Computers را اجرا نمایید.

3.ما می خواهیم در کانتینر Users یک اکانت کاربری جدید ایجاد نمایم.برای این کار بر روی کانتینر Users کلیک راست کرده و در منو باز شده گزینه New و سپس گزینه User را انتخاب می نماییم. (تصویر 1 را ببینید)



Click here to view the original image of 597x486px.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



4.پنجره New Object–User به نمایش در می آید. در این پنجره شما باید فیلد های first name ، last name و logon name User را پر نمایید .و سپس دکمه Next را بزنید. ( تصویر 2 را ببینید) در اینجا فیلد logon name User به طور مختصر توضیح داده می شود:

User Logon Name : نام کاربری را برای اکانت جدید تعیین می کند و از آن برای فرآیند logon استفاده می کند. نامی را انتخاب کنید که با قرارداد نام گذاری شما سازگار باشد. پر کردن این فیلد لازم می باشد. نام های ورودی کاربر، طی فرآیند logon شدن حساس به حروف کوچک و بزرگ نمی باشند. ( user principal name) یا UPNاز نامی که کاربر با آن logon می کند و پسوند نام مسئول دامین ساخته می شود، که به وسیله نشانه @ به هم متصل می شوند. برای مثال نام ورودی کاربر ممکن است reza و پسوند نام مسئول itpro.local باشد. در نتیجه UPN، reza@itpro.local خواهد بود.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



5.دومین پنجره New Object–User به نمایش در می آید. در اینجا ما باید بخاطر اهداف امنیتی برای اکانت کاربر یک پسورد انتخاب نماییم . پس در password ، یک پسورد سخت را تایپ می نماییم . در پایین پنجره یکسری گزینه ها وجود دارد که بنا بر نیازهای مدیریتی انتخاب می شوند. (تصویر 3 را ببینید) توضیح این گزینه ها به شرح زیر می باشد:

User Must Change Password At Next Logon : اگر این گزینه انتخاب شده باشد، کاربر مجبور می شود که پسوردی را که برای اولین بار با آن log on کرده است را تغییر دهد. این کار برای بالا بردن امنیت انجام می شود و وظیفه پسوردگذاری را به کاربر انتقال می دهدیه طور پیش فرض این گزینه انتخاب شده است.

User Cannot Change Password : اگر این گزینه انتخاب شده باشد، کاربر از تغییر دادن پسورد منع می شود. این کار برای اکانت هایی مانند Guestو آن هایی که بین بیش از یک کاربر به اشتراک گذاشته شده اند مفید است. این گزینه به طور پیش فرض انتخاب شده نیست.

Password Never Expires : این گزینه تعیین می کند که پسورد هیچ وقت تغییر نکند حتی اگر یک سیاست پسورد تعیین شده باشد. برای مثال اگر یک service account داشته باشید و نخواهید سربار مدیریتی به خاطر تغییر پسوردها ایجاد شود، می توانید این گزینه را انتخاب کنید. این گزینه به طور پیش فرض انتخاب شده نیست.

Account Is Disabled : این گزینه تعیین می کند که این اکانت برای اهداف logon نمی تواند مورد استفاده قرار بگیرد.برای مثال ممکن است شما این گزینه را برای اکانت های قالب یا اکانتی که هم اکنون مورد استفاده قرار نمی گیرد انتخاب کنید.این کار اکانت های غیر فعال را از درگیری با تهدید های امنیتی باز می دارد. این گزینه به طور پیش فرض انتخاب شده نیست.

6.در پایان دکمه Next و سپس Finish را فشار دهید .


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




منبع : network.itpro




.

.


ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers







unlock account
در تب account گزینه ای به نام unlock account وجود دارد گاهی اوقات در group policy تعریف می شود که user اگر چند بار password خود را اشتباه زدlock شود .اگر یوزر lock نشده باشد در این قسمت هیچ تیکی نمی خورد ولی اگر یوزر lock شود در این قسمت تیک می خورد.

account options
در تب acount گزینه ای به نام acount options وجود دارد که شامل بخش های زیر می باشد.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


user must change password at next logon


اگر این گزینه در قسمت account options انتخاب شود در این صورت user هنگامی که login می کند باید password خود را عوض کند.



User cannot change password


اگر این گزینه انتخاب شود یعنی user نتواند password خود را تغییر دهد.



Password never expire


اگر این گزینه انتخاب شود password هیچگاه منقضی نمی شود.




Store password using reversible encryption


هر user که داخل ntds.dit ذخیره می شود کاملا hash می شود.اگر خواستیم level امنیتی پایین بیاید و فقط pass ها encrypt شود ولی hash نشود از این گزینه استفاده می کنیم.Hash یک عملیات یک طرفه است .


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



Account is disabled


گاهی اوقات ممکن است که یک user برای مدتی از سازمان برود در این صورت با انتخاب کردن گزینه ی account is disabled می توان آن را غیر فعال کرد.



Smart card is required for interactive logon


اگر یک user بخواهد توسط smartcard دباید اینجا گفته شود که authentication آن بر اساس smartcard است.



Account is sensitive and can not be delegated


گاهی می خواهیم account که ساختیم sensitive باشد یعنی اگر M در user Mina را بزرگ زدیم حتما M بزرگ را از ما بخواهد اما اگر این گزیه فعال شود delegation برای آن user فعال نیست.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



Use kerbros DES encryption typs for this account


2 نوع authentication protocol داریم.که به ما کمک می کند که اطلاعات مربوط به authentication که فرستاده ا یم امن شود.
Remote authentication protocol
در مواقعی که دسترسی remote داریم و خارج از شبکه lan به درد ما می خورد. مثلا درvpn ها و user های dialup چون سرویس vpn به صورت remote است و از شبکه wan استفاده می کند.از جمله از این پروتکل ها می توان pap,spap,chap,mschap,mschap2,eap را نام برد.مفهوم remote یعنی از طریق یک wan با آن در ارتباط هستید.

Local authentication protocol
جایی که شبکه ی domain داریم و اطلاعات از طریق شبکه local مبادله می شوند.مهمترین این پروتکل ها ntlmv1 و ntlmv2 و Kerberos میباشند که این پروتکل ها یک سری الگوریتم های hashing و encryption دارند که اطلاعات را encrypt می کنند.Des لول امنیتی کمتری نسبت به 3des دارد و Kerberos v5 از3des استفاده می کند. برای پایین آوردن لول امنیتی از 3des استفاده می شود.




Do not require Kerberos preauthentication


هر زمان که Kerberos می خواهد run شود ابتدا یک authentication اولیه انجام می دهد و بعد اطلاعات فرستاده می شود. این کار برای لول امنیتی بالاتر انجام می گیرد. اگر این تیک را بزنیم می گوید که pre authentication انجام نشود.




account expire


در این قسمت مشخص می شود که account هیچگاه منقضی نشود و یا در تاریخ خاصی که مشخص می کنیم منقضی شود.که این تاریخ را در قسمت Endof مشخص می کنیم.







.

ایجاد شیء ( onbject ) کامپیوتر


کامپوترها در دامین به صورت یک شیء و اکانت نمایانده میشوند دقیقا به صورت یک اکانت کاربری.در حقیقت کامپیوترها در پشت صحنه مانند یک کاربر به دامین وارد میشوند.هر کامپیوتر دارای یک نام کاربری میباشد –نام کامپیوتر و علامت $ که در انتهای نام اضافه میشود و همچنین یک رمز عبور که زمانی که کامپیوتر به عضویت دامین درمی آید،ساخته میشود و هر 30 روز یکبار به صورت اتوماتیک تعویض میگردد.برای ایجاد یک شیء کامپیوتر در اکتیو دایرکتوری:


1-ابزار Active Directory Users and Computers را باز کنید.
2-در بخش درختی کنسول ،گره نمایش دهنده نام دامین خود را گسترش دهید(به عنوان مثال Contoso.com) و مسیر را به یک واحد سازمانی که قصد ایجاد کامپیوتر جدید را در آن دارید هدایت کنید.
3-بر روی واحد سازمانی کلیک راست کرده از زیر منوی New گزینه Computer را انتخاب کنید.
4-در جعبه Computer Name نام کامپیوتر را وارد کنید.
به صورت پیش فرض نامی را که وارد میکنید برای نام Pre-Windows 2000 نیز وارد میشود.
5- نام وارد شده در جعبه Pre-Windows 2000 را تغییر ندهید.
6-اکانت مشخص شده در فیلد User or Groupمیتواند کامپیوتر را به عضویت دامین درآورد.اکانت پیش فرض گروه Domain Admins میباشد.بر روی Change کلیک کرده تا یک کاربر یا گروه دیگر را انتخاب کنید.عموما شما گروه هایی را برای این کار انتخاب میکنید که وظایف آنها گسترش شبکه ،پشتیبانی دسکتاپ یا تیمی که کاربران را در هنگام مشکلات پشتيباني مي کند.شما همچنین میتوانید کاربری را انتخاب کنید که قرار است از آن کامپیوتر در شبکه استفاده کند.
7-جعبه چک با برچسب Assign This Computer Account As Pre-Windows 2000 Computer را انتخاب نکنید مگر اینکه کامپیوتر مورد نظر از سیستم عامل ویندوز NT 4.0 استفاده کند.
8-بر روی Ok کلیک کنید.
شیء کامپیوتر دارای تعدادی خصیصه میباشد که تنظیم آنها برای پیکر پندی بهتر کامپیوتر سودمند میباشند.این تنظیمات می تواند پس از ایجاد شیء کامپیوتر انجام شود.
9-بر روی شیء کامپیوتر کلیک راست کرده و Properties را انتخاب کنید.
10-خصیصه های کامپیوتر را وارد کنید.

از پیروی از قراردهای نام گذاری و دیگر استاندارادهای سازمان خود اطمینان حاصل کنید.

از فیلد Descriptionمیتوانید برای مشخص کردن کاربر کامپیوتر استفاده کرده یا نقش کامپیوتر را تعیین کنید (مانند کامپیوتر اتاق آموزش) یا دیگر خصوصیات توصیفی.از آنجا که این توضیحات در بخش جزییات ابزار Active Directory Users and Computers نمایش داده میشوند ،اطلاعاتی درباره کامپیوتر را که برای مدیریت شبکه شما مفید میباشند در این بخش قرار دهید.

خصیصه های متعددی وجود دارند که یک شیء کامپیوتر را توصیف میکنند مانند نام DNS ، نوع دامین کنترلر،سایت،نام سیستم عامل،نسخه سیستم عامل و سرویس پک.این خصوصیات به صورت اتوماتیک بعد از عضویت کامپیوتر در دامین مشخص میگردند.

از برگه Managed By میتوان برای ایجاد لینک به کاربر یا گروهی استفاده نمود که مسئول مدیریت کامپیوتر میباشد. بر روی Change زیر جعبه نام کلیک کنید.برای جستجوی گروه ها ابتدا باید بر روی Object Type کلیک کرده و Groups را در حالت انتخاب شده قرار دهید. از این برگه معمولا برای اختصاص دادن کنتاکت استفاده میشود.برخی از سازمانها از این برگه برای مشخص کردن تیم یا گروهی که مسئولیت مدیریت کامپیوترها را عهده دار میباشند، استفاده می کنند. استفاده دیگری که از این اطلاعات میشود پیدا کردن کاربری است که از کامپیوتر استفاده می کند.

11-بر روی Ok کلیک کنید.






.

.


یافتن اشیاء در اکتیو دایرکتوری :

در مواقعی شما نیاز دارید تا این اشیاء را در اکتیو دایرکتوری بیابید.مانند:

اعطای مجوزها زمانی که تنظیمات مجوزهای دسترسی به فایلها و فولدر ها را انجام می دهید،باید برای اعطای این مجوزها کاربرها یا گروه هایی را انتخاب می کنید که مجوزها به آنها اختصاص داده می شوند.

افزودن اعضا به گروه ها اعضا گروه میتوانند ترکیبی از کاربران ، گروه ها یا کامپیوترها باشند.زمانی که یک شیء را به عضویت یک گروه در می آورید باید آن شیء را انتخاب کنید.

ایجاد لینک خصوصیات لینک در حقیقت خصوصیاتی از یک شیء میباشند که به یک شیء دیگر لینک میشوند.عضویت گروه در حقیقت یک خصیصه لینک شده میباشد.خصیصه های لینک شده دیگری مانند ویژگی Managed Byهم یک خصوصیت لینک شده میباشد.زمانی که Managed Byرا مشخص می کنید باید کاربر یا گروه مقتضی را انتخاب کنید.

جستجوی یک شیء شما میتوانید هر شیئی را در اکتیو دایرکتوری جستجو کنید.
شرایط بسیار دیگری وجود دارند که در آن شما باید جستجو در اکتیو دایرکتوری را انجام دهید.در این راه شما با رابط های کاربری مختلفی برخورد میکنید.در این بخش شما تکنیکهایی برای کار کردن در هر یک از شرایط را می آموزید.









.

.


( الف ) کنترل نمایش اشیاء در ابزار Active Directory Users and Computers :



بخش جزییات در ابزار Active Directory Users and computers قابلیت سفارشی شدن را دارد تا به شما کمک کند تا بتوانید به صورت موثرتر با اشیاء کار کنید.

با استفاده از دستور Add / Remove Columnsاز منوی View میتوانید ستونهایی را به بخش جزییات اضافه کنید.

تمامی خوصیات اشیاء به صورت ستون قابل نمایش نمیباشند اما مسلما ستونهایی را خواهید یافت که اطلاعات سودمندی را به شما نمایش می دهند مانند نام ورود به سیستم کاربر.همچنین شما ستونهایی را خواهید یافت که نمایش اطلاعات آنها ضروری نمیباشد.اگر واحد سازمانی شما فقط یک نوع شیء را در خود جای میدهد،ستون Type استفاده خاصی ندارد.

زمانی که یک ستون نمایان میشود،میتوانید ترتیب نمایش ستونها را تغییر دهید برای این کار با نگاه داشتن کلیک چپ بر روی سر ستون و کشیدن سر ستون به چپ یا راست ،میتوانید ترتیب نمایش ستونها را تغییر دهید.همچنین میتوانید با کلیک کردن بر روی سر ستون لیست نمایش را مرتب کنید با کلیک اول ستون به صورت صعودی و با کلیک دوم ستون به صورت نزولی نمایش داده میشود دقیقا مانند مرورگر ویندوز.


.

منبع : persianadmins

.


( ب ) استفاده از جعبه محاوره انتخاب کاربر ،کنتاکت،کامپیوتر،یا گروه :



زمانی که شما یک عضو به یک گروه اضافه میکنید،یک مجوز دسترسی اختصاص میدهید یا یک خصوصیت لینک شده ایجاد میکنید،پنجره محاوره انتخاب کاربر ،کنتاکت،کامپیوتر،یا گروه به شما نمایش داده می شود.در این منبع آموزشی به این پنجره محاوره ، پنجره محاوره انتخاب گفته میشود.اگر تصمیم دارید یک نمونه از این پنجره را ببینید Properties یک شیء گروه را باز کنید،بر روی برگه Members کلیک کرده و در نهایت بر روی کلید Add کلیک کنید.

در صورتی که نام اشیاء مورد نظر را میدانید،میتوانید آنها را مستقیما در جعبه نوشتاری Enter the object names to select تایپ کنید.امکان وارد کردن چندین نام که با استفاده از نقطه ویرگول (; ) ) از یکدیگر جدا شده اند ،وجود دارد.زمانی که شما بر روی Ok کلیک میکنید ویندوز عملیات جستجو برای یافتن تمامی اقلام وارد شده در لیست را آغاز کرده و آنها را به یک لینک به شیء مورد نظر تبدیل میکند و سپس پنجره محاوره را می بندد.کلید Check Names نیز همان عمل را انجام میدهد اما در انتها پنجره محاوره را باز باقی می گذارد .

به جای وارد کردن کل نام ،شما میتوانید بخشی از نام را وارد کنید.زمانی که بر روی Check Names یا Ok کلیک میکنید ویندوز سعی میکند تا نام جزیی وارد شده را به شیء صحیح تبدیل کند.اگر تنها یک شیء تطبیق داده شود تنها نام همان شیء مقرر میگردد.اگر چند شیء با نام وارد شده توسط شما تطبیق پیدا کنند ،مانند نام Dan آنگاه جعبه یافتن چند نام (Multiple Names Found) نمایش داده میشود.

به صورت پیش فرض پنجره محاوره انتخاب ،تمامی دامین را جستجو می کند.اگر در نتیجه جستجو تعداد زیادی شیء به شما نمایش داده شد و شما تصمیم داشتید که محدوده جستجو را کوچکتر کنید یا تصمیم داشتید در دامین دیگری عملیات جستجو را انجام دهید بر روی کلید Location کلیک کنید.


پنجره محاوره انتخاب با وجود وارد کردن نام کامل – انتخاب کاربر،کنتاکت،کامپیوتر یا گروه ،بندرت هر چهار نوع شیء را به صورت پیش فرض جستجو میکند.به عنوان مثال زمانی که یک عضو به یک گروه اضافه میکنید،کامپیوترها به صورت پیش فرض جستجو نمی شوند.اگر شما نام یک کامپیوتر را وارد کنید این نام یه صورت درست مقرر نمی گردد.زمانی که یک نام را در برگه Managed By تعیین میکنید،گروه ها به صورت پیش فرض جستجو نمی شوند.شما باید از محدوده انتخاب پنجره محاوره انتخاب اطمینان حاصل کنید تا نوع شیء مورد نظر شما در محدوده جستجو پوشش داده شود.بر روی کلید Object Type کلیک کنید و از پنجره محاوره نمایش داده شده استفاده کرده تا نوع شیء مورد نظر خود را انتخاب کنید،سپس بر روی Ok کلیک کنید.

اگر برای یافتن مکان اشیاء خود دچار مشکل میباشید،بر روی کلید Advanced در پنجره محاوره انتخاب کلیک کنید.مدل نمایش پیشرفته به شما این امکان را می دهد که همزمان با گشتن در میان نامها و توضیحات بتوانید اکانتهای کاربری غیر فعال ،رمزهای عبور بدون تاریخ انقضا و اکانتهای کاربری قدیمی را که برای بازه زمانی خاصی به سیستم وارد نشده اند را جستجو کنید.بسته به نوع شیء که جستجو میکنید ممکن است برخی از این فیلدها در برگه Common Queries غیر فعال باشند.بر روی کلید Object Type کلیک کرده تا دقیقا نوع اشیاء مورد نظر خود را انتخاب کنید.




منبع : persianadmins

.

( ج ) استفاده از دستور Find :



سیستمهای ویندوز ابزار جستجویی را عرضه می کنند که توسط Administrator ها به نام Find Box شناخته می شود.یک راه برای اجرای Find Box کلیک کردن بر روی Find Objects در کلید Active Directory Domain Service در نوار ابزار کنسول Active Directory Users and Computers میباشد.

با استفاده از لیست کرکره ای Find نوع اشیاء مورد نظر جهت جستجو را مشخص کنید با استفاده از این لیست میتوانید Common Query یا جستجوی سفارشی را انتخاب کنید.در لیست کرکره ای In محدوده جستجو را تعیین کنید.توصیه میشود هر چقدر امکان دارد محدوده جستجو را کوچکتر کنید تا از مشکل افت کارائی در جستجو در محدوده کل دامین جلوگیری کنید.

بعد از تنظیم نوع اشیاء و محدوده جستجو ،ضوابط جستجو را مشخص کنید.برای انجام دادن یک جستجوی سفازشی پیشرفته از لیست کرکره ای Find گزینه Custom Search را انتخاب کنید.اگر Custom Search را انتخاب کرده و بر روی برگه Advanced کلیک کنید ،می توانید یک جستجوی قدرتمند در LDAP انجام دهید.برای مثال جستجوی OU=*main*در نتیجه تمامی واحدهای سازمانی را که حاوی کلمه Main باشند را به شما نمایش می دهد مانند واحد سازمانی Domain Controllers.بدون استفاده از جستجوی سفارشی ، جستجو تنها با استفاده از متنی انجام میشود که در ابتدای نام وارد شده است،جستجوی سفارشی با استفاده از حروف جایگزین شده امکان ساختن یک جستجوی “Contains” را در اختیار شما قرار می دهد.

زمانی که محدوده جستجو و ظوابط را مشخص کردید بر روی کلید Find Now کلیک کنید.نتایج جسجو در همان پنجره نمایش داده میشوند.پس از نمایش جستجو شما میتوانید با کلیک راست کردن بر روی نتایج دستوراتی مانند حذف ، انتقال و نمایش خصوصیات اشیاء را در پنجره جستجو انجام دهید.

پنجره Find Box در دیگر مکانهای ویندوز نیز نمایش داده می شود مانند ویزارد اضافه کردن پرینتر زمانی که مکان پرینتر را جستجو می کنید.فولدر های تحت شبکه هم کلید جستجو در اکتیو دایرکتوری را دارا میباشند.شما میتوانید برای دسترسی سریعتر به جستجوها ،یک میانبر به منوی استارت یا دسکتاپ اضافه کنید.هدف میانبر باید rundll32 dsquery,OpenQueryWindowباشد.





.

.

.
( د ) استفاد از جستجوهای ذخیره شده :


در ویندوز سرور 2003 گره Saved Queries در درون ابزار Active Directory Users and Computers معرفی شد.این دستورالعمل قدرتمند امکان ایجاد یک سیستم نمایش قاعده گرا از دامین را در اختیار شما قرار میدهد،نمایش اشیاء در سر تا سر یک یا چند واحد سازمانی.

برای ایجاد Saved Query:

1-ابزار Active Directory Users and Computers را باز کنید.
Saved Queries در ابزار Active Directory Users and Computers که در کنسول Server Manager موجود است ،یافت نمیشود.شما باید برای دسترسی به این ابزار از کنسول Active Directory Users and Computers یا یک کنسول سفارشی با ابزار Active Directory Users and Computers استفاده کنید.
2-بر روی Saved Queries کلیک راست کرده ،ابتدا New و سپس Query را انتخاب کنید.
3-برای Query یک نام تایپ کنید.
4-میتوانید توضیحاتی را به صورت اختیاری وارد کنید.
5-بر روی Browse کلیک کرده تا محل ریشه جستجو را مشخص کنید.
جستجو به واحد سازمانی یا دامینی که شما مشخص میکنید محدود میشود.توصیه میشود هر قدر امکان دارد محدوده جستجو را کوچکتر کنید تا کارایی جستجو را افزایش دهید.
6-بر روی Define Query کلیک کنید تا جستجوی خود را تعریف کنید.
7-در جعبه محاوره Find Common Queries نوع شیء مورد نظر را انتخاب کنید.
8-بر روی Ok کلیک کنید.

بعد از ایجاد جستجو ذخیره شده این جستجو در ابزار Active Directory Users and Computers ذخیره میشود و هر بار که شما این کنسول را باز کنید مثلا با استفاده از (dsa.cmd) این جستجوی ذخیره شده نمایش داده میشود.اگر شما جستجوی ذخیره شده را در یک کنسول سفارشی ایجاد کنید،جستجوی ذخیره شده ایجاد شده فقط در همان کنسول قابل دسترس میباشد.برای انتقال جستجوی ذخیره شده به یک کنسول یا یک کاربر دیگر ،میتوانید جستجوی ذخیره شده را به صورت یک فایل XML صادر کرده (Export) و آن را در ابزار مقصد وارد (Import) کنید.

نمایش جزییات در بخش جزییات جستجوی ذخیره شده قابلیت سفارشی شدن با اضافه کردن ستونها یا مرتب کردن آنها را دارد.یک فایده مهم جستجوهای ذخیره شده این است که نمایش سفارشی شده برای هر جستحوی ذخیره شده قابلیت تنظیم جداگانه دارد.زمانی که ستون Last Name را به نمایش عادی یک واحد سازمانی اضافه میکنید این ستون به صفحه نمایش تمامی واحدهای سازمانی اضافه میگردد از اینرو شما یک ستون خالی در بخش نمایش واحدهای سازمانی که فقط اشیاء گروه یا کامپیوتر را درخود جای می دهند ،خواهید دید.با استفاده از جستجوی ذخیره شده شما میتوانید ستون Last Name را به جستجوی شیء کاربر و دیگر ستونها را به جستجوهای دیگر اضافه کنید.

جستجوهای ذخیره شده یک ابزار قدرتمند برای ایجاد نمایشهای مجازی از دایرکتوری میباشد که با استفاده از آن میتوان عمل نظارت بر مشکلاتی مانند اکانتهای کاربری قفل شده یا غیر فعال در دایرکتوری را انجام داد.فراگیری استفاده از جستجوهای ذخیره شده باعث استفاده بهینه از زمان برای شما میشود.





.

.



( هــ ) یافتن اشیاء با استفاده از Dsquery :


ویندوز در Command Prompt ابزارهایی را در اختیار شما قرار میدهد که وظیفه آنها فراهم کردن امکاناتی نظیر ابزارهای موجود در کنسول Active Directory Users and Computers میباشد.اکثر این ابزارها با حروف DS آغاز میشوند از اینو به آنها دستورات DS نیز گفته میشود.دستور Dsquery میتواند محل اشیاء در اکتیو دایرکتوری را مشخص کند (مانند جستجو در کنسول Active Directory Users and Computers).
مانند دیگر دستورات DS ، دستور Dsquey نیز دارای مستندات کافی برای راهنمایی استفاده از این دستور میباشد.در خط فرمان تایپ کنید Dsquery.exe /?تا ترکیبات مختلف دستور و استفاده از آنها را ببینید.در بیشتر دستورات DS باید کلاس اشیایی را که میخواهید با آنها کار کنید در خط دستور وارد کنید.به عنوان مثال تایپ کردن Dsquey user برای جستجوی کاربران به کار میرود همچنین دستورات Dsquery computer و Dsquery Group برای جستجو در میان گروه ها و کامپیوترها به کار میرود.بعد از تایپ کلاس شیء مورد نظر میتوانید از سوییچ ها برای تعیین ضوابط جستجو استفاده کنید.اگر تصمیم دارید شیء مورد نظر را با استفاده از نام مکان یابی کنید میتوانید از سوییچ –name استفاده کنید.اکثر اشیاء را میتوان را با استفاده از Description مربوط به آنها مکان یابی نمود (سوییچ –desc).
برای مثال اگر تصمیم دارید کاربری که نام آن با “jam” آغاز میشود را پیدا کنید،میتوانید دستور زیر وارد کنید: *dsquery user –name jam .بعد از سوییچ ویژگی شیء که در این مورد –name میباشد ،میتوانید ضوابط را وارد کنید،این ظوابط حساس به حروف بزرگ یا کوچک نمیباشند و میتوانند از کاراکترهای جایگزین مانند ستاره (*) استفاده کنید که به مفهوم هر کاراکتری با هر تعداد میباشد.دستور dsquery در جواب تمام اشیاء منطبق با جستجو را بر می گرداند.این اشیاء به صورت پیش فرض با استفاده از نام Distinguished Name (DN) نمایش داده میشوند.

اگر نمی خواهید نتایج به صورت DN به شما نمایش داده شوند میتوانید از سوییچ –o در خط فرمان استفاده کنید.شما میتوانید با اضافه کردن سوییچ –o samid نتایج را با استفاده از نام Pre-Windows 2000 مشاهده کنید یا سوییچ –o upn نام Logon کاربرها را به شما نمایش میدهد.






.







.

.

( ی ) فهمیدن DNs ، RDNsو CNs :


DN ها نوعی روش تعیین مسیر اشیاء در اکتیو دایرکتوری میباشند.هر شیء در اکتیو دایرکتوری دارای یک مسیر کاملا منحصر به فرد برای خود میباشد.به عنوان مثال کاربر ما James Fine دارای آدرس DN زیر میباشد:CN=James Fine,OU=People,DC=Contoso,DC=Com .

شما میتوانید ببینید که چه اتفاقی روی داده است : آدرس DN مسیری است که از شیء آغاز شده و در ساختار سلسله مراتبی نام DNS ،کار خود را تا بالاترین سطح دامین ادامه میدهد.همانطور که قبلا ذکر شد CN نمایش دهنده Common Name میباشد (نام معمول) و زمانی که شما یک شیء کاربر ایجاد میکنید از جعبه Full Name برای ایجاد CN شیء کاربر استفاده میکنید.OU به معنای واحد سازمانی که شیء در آن قرار دارد و DC به معنای Domain Component (جزء مولفه دامین) میباشد.

بخشی از DN که مقدم بر اولین واحد سازمانی یا دربرگیرنده شیء (Container) میباشد به نام Relative Distinguished Name (RDN) شتاخته میشود.در مورد James Fine ، RDN شیء برابر است با CN=James Fine.تمامی RDN ها برابر با CN نمیباشند.آدرس DN مربوط به واحد سازمانی People برابر است با OU=People,DC=contoso,DC=com از اینرو RDN مربوط به People برابر است با OU=People.

به این دلیل که DN هر شیء باید در اکتیو دایرکتوری منحصر بفرد باشد RDN هر شیء در باید در درون در برگیرنده آن شیء منحصر بفرد باشد.به این دلیل اگر در سازمان شما کارمند دیگری با نام James Fine استخدام شد و هر دو کارمند باید در یک واحد سازمانی قرار میگرفتند باید به این کاربران دو نام متفاوت CN را اختصاص دهید.همین منطق به فایلهای درون یک فولدر اعمال میشود:شما نمیتوانید دو فایل با یک نام درون یک فولدر داشته باشید.تا زمانی که با اکتیو دایرکتوری کار میکنید دائما با نامهای DN سر و کار خواهید داشت مانند زمانی که با فایلها و فولدر ها کار میکنید دائما با مسیر فایلها سر و کار دارید.خواندن و رهگیری مسیر آنها بسیار مهم میباشد.

.

اعطای نمایندگی و امنیت اشیاء در اکتیو دایرکتوری . ./

شما روش ایجاد کاربر،گروه،کامپیوتر و واحد سازمانی را فرا گرفتید،همچنین روش دسترسی به Properties این اشیاء را نیز فرا گرفتید.توانایی انجام اعمال فوق به عضویت شما در گروه Administrator های دامین بستگی دارد.برای اعمالی نظیر ریست کردن رمز عبور کاربران یا بازکردن اکانت کاربران از حالت قفل شده شما به دسته ای از کاربران نیاز دارید که در عین توانایی در انجام امور فوق عضو گروه Administrator های دامین نیز نباشند و فقط مجوز انجام اعمال خاصی را که مد نظر شما میباشد داشته باشند.در این تاپیک یاد می گیرید که چگونه برای انجام بخشی از وظایف Administrator به کاربران دیگر نمایندگی دهید.این عمل با ایجاد تغییر در Access Control List (ACL) اشیاء موجود در اکتیو دایرکتوری انجام میشود.

فهمیدن اعطای نمایندگی

در اکثر سازمانها تعداد Administrator ها بیشتر از یک نفر میباشد و با رشد سازمان ، وظایف Administration معمولا در میان Administrator ها یا سازمانهای پشتیبانی کننده شبکه توزیع میشود.برای مثال در بیشتر سازمانها یک تیم جهت پشتیبانی کاربران شبکه(Help Desk) وجود دارد که یکی از وظایف این گروه ریست کردن رمز عبور کاربران و باز کردن قفل اکانتهای قفل شده می باشد.به این قابلیت تیم پشتیبانی کاربران اعطای نمایندگی وظایف Administrator گفته میشود.اعضای این تیم این تیم معمولا توانایی ایجاد کاربر جدید را ندارند ،اما میتوانند در خصوصیات کاربران موجود در شبکه تغییراتی را ایجاد کنند.
امنیت تمام اشیاء موجود در اکتیو دایرکتوری مانند کاربران،کامپیوترها و گروه هایی که شما در دروس گذشته ایجاد کردید،میتوانند با استفاده از لیستی از مجوزها فراهم شود.به مجوزهای یک شیء Access Control Entry (ACE) گفته میشود این مجوزها به کاربران ،کامپیوترها و گروه ها اعطا میشوند که به آنها Security Principals گفته میشود.ACE ها در Discretionary Access Control List (DACL) هر شیء ذخیره میشوند.DACL بخشی از ACL هر شیء میباشد که در برگیرنده System Access Control List (SACL) نیز میباشد که تنظیمات مربوط به Auditing (بازرسی) را در خود جای میدهد.اگر قبلا با مجوزهای فایل و فولدر کار کرده باشید الفاظ و مفاهیم به کار رفته در هر دو یکسان میباشد.
از هر سه اصطلاح ذیل برای نامگذاری اعطای .کالت استفاده می شود.اعطای نمایندگی کنترل مدیریت یا اعطای نمایندگی کنترل (Delegation of Control) یا فقط اعطای نمایندگی(Delegation) .








.

.






دیدن ACL یک شیء در اکتیو دایرکتوری . ./

برای دیدن ACL یک شیء کاربر
1-ابزار Active Directory Users and Computers را باز کنید.
2-از منوی View گزینه Advanced Features را انتخاب کنید.
3-بر روی یک شیء کلیک راست کرده و Properties را انتخاب کنید.
4-بر روی برگه Security کلیک کنید.
اگر Advance Features غیر فعال باشد برگه Security در پنجره محاوره Properties اشیاء نمایش داده نمیشود.
5-بر روی کلید Advanced کلیک کنید.
برگه Security یک خلاصه در سطح بالا از مجوزهای اعطا شده به یک Security Principals را نمایش میدهد،اما در مورد ACL های اکتیو دایرکتوری بندرت این برگه توضیحات کافی برای بررسی مجوزها و تغییر در آنها در اختیار شما قرار میدهد.همیشه بهتر است از کلید Advanced استفاده کرده و با استفاده از پنجره محاوره Advanced Security Setting تغییرات مورد نظر خود را اعمال کنید.
برگه Permissions در پنجره محاوره Advanced Security Setting به شما DACL یک شیء را نمایش میدهد.در این پنجره محاوره ACE های درون یک DACL به صورت مجزا نمایش داده نمیشوند.به عنوان مثال در
برای دیدن ACE های یک مجوز به صورت جداگانه بر روی یکی از مجوزهای وارد شده کلیک کرده سپس بر روی کلید Edit کلیک کنید.
پنجره محاوره Permission Entry نمایش داده میشود که جزییات کامل ACE هایی که مجوز وارده شده را درست کرده اند به شما نمایش میدهد.








.

شیء ،خصوصیت و کنترل حق دسترسی. ./

DACL هر شیء امکان اعطای مجوز دسترسی برای خصوصیت خاصی از شیء را در اختیار شما قرار می دهد.شما میتوانید مجوز Allow یا Deny را جهت ایجاد تغییرات در شماره تلفن یا Email اعطا کنید.در حقیقت این فقط یک Property نمیباشد بلکه مجموعه ای از property ها میباشد.Property Set مدیریت اعطای مجوز به مجموعه ای از خصوصیاتی که معمولا با یکدیگر تنظیم میشوند را دراختیار شما قرار میدهد.اما شما در اعطای مجوز به برخی خصوصیات دیگر مانند شماره موبایل و آدرس خیابان منزل میتوانید از مجوزهایی استفاده کنید که دقیقا به یک خصوصیت خاص اعطا میشوند.

از مجوزهای دسترسی میتوان برای کنترل حق دسترسی (Access Right) استفاده کرد. حق دسترسی در حقیقت یکAction میباشد مانند تغییر در رمز عبور یا ریست کردن آن.درک تفاوت بین دو حق دسترسی فوق مهم میباشد از اینرو که اگر شما حق دسترسی Change a Password را داشته باشید باید رمز عبور فعلی را داشته باشید و قبل از تغییر رمز عبور، آن را وارد کنید.اگر شما حق دسترسی Reset a Password را داشته باشید برای ریست کردن رمز عبور نیازی به دانستن رمز عبور فعلی ندارید.

در نهایت مجوزهای دسترسی میتوانند به اشیاء تخصیص داده شوند.به عنوان مثال توانایی تغییردر مجوزهای دسترسی هر شیء با استفاده از Allow::Modify Permissions ACE اعمال می شود.مجوزهای دسترسی شیء ،کنترل ایجاد شیء جدید در درون شیء موجود را نیز مدیریت میکنند. به عنوان مثال شما قصد دارید به تیم پشتیبانی کاربران مجوز ایجاد شیء کامپیوتر در درون واحد سازمانی را اعطا کنید تا بتوانند برای کامپیوترهای دسکتاپ و لپ تاپ ها اکانت جدید ایجاد کنند.با استفاده از اعطای مجوز Allow::Create Computer به تیم پشتیبانی کاربران بر روی شیء واحد سازمانی مورد نظر ،این امکان را فراهم میکنید.

نوع و محدوده عملکرد مجوزهای دسترسی با استفاده از دو برگه کنترل می شود:Object و Properties و لیست کرکره ای Apply To محدوده اعمال شدن مجوزهای دسترسی در هر یک از برگه های فوق را تعیین می کند.

اعطای مجوز دسترسی با استفاده از پنجره محاوره Advanced Security Setting . ./


سناریویی را تصور کنید که در آن شما تصمیم دارید به تیم پشتیبانی شبکه مجوز تغییر رمز عبور کاربر James Fine را اعطا کنید.در این بخش ابتدا با پیچیده ترین روش این کار آشنا میشوید:با اختصاص دادن یک ACE در DACL شیء کاربر.سپس انجام این کار را با استفاده از ویزارد Delegation Of Control بر روی کل واحد سازمانی Users خواهید آموخت و درانتها متوجه میشود چرا استفاده از روش دوم توصیه شده است.
1-Active Directory Users and Computers Snap-in را باز کنید.
2-بر روی منوی View کلیک کرده و سپس Advanced Features را انتخاب کنید.
3-بر روی یک شیء کلیک راست کرده و Properties را اتخاب کنید.
4-بر روی برگه Security کلیک کنید.
5-بر روی کلید Advanced کلیک کنید.
6-بر روی کلید Add کلیک کنید.
7-در پنجره محاوره Select ، هر شییء را که قصد اعطای مجوز به آنرا دارید،انتخاب کنید.
این یکی از مهمترین بهترین تکنیک میباشد که مجوزهای دسترسی را بجای کاربران به طور مجزا به گروه ها اعطا کنید.
به عنوان مثال در این مورد این مجوز را به گروه Help Desk اعطا کنید.
8-بر روی Ok کلیک کنید.
پنجره محاوره Permission Entry نمایش داده میشود.
9-مجوزهای دسترسی را که میخواهید تخصیص دهید ،تنظیم کنید.
برای این تمرین در برگه Object لیست مجوزها را اسکرول کنید و مجوز Allow::Reset Password را انتخاب کنید.
10-با استفاد از کلیک بر روی Ok تمامی پنجره های محاوره را ببندید.



.

.


درک و مدیریت مجوزها با استفاده از قانون وراثت . ./


میتوانید تصور کنید که اعطای مجوز Reset Password به گروه Help Desk برای هر کاربر به صورت مجزا به چه میزان زمان بر میباشد.خوشبختانه شما نیاز ندارید این پروسه وحشتناک و طولانی اعطای مجوز برای هر شیء به صورت مجزا را در اکتیو دایرکتوری انجام دهید.به جای آن شما میتوانید مجوزهای دسترسی را به واحدهای سازمانی تخصیص دهید.مجوز دسترسی که به واحد سازمانی اختصاص داده میشود توسط تمام اشیاء موجود در واحد سازمانی به ارث برده میشوند.بنابراین اگر شما مجوز Reset Password کاربران را به گروه Help Desk بدهید و این مجوز را به واحد سازمانی تخصیص دهید تمامی اشیاء کاربر موجود در آن واحد سازمانی این مجوز را به ارث میبرند و آن را به خود اختصاص می دهند.با استفاده از تنها یک مرحله میتوان این وظیفه مدیریتی را محول کرد.

درک مفهوم ارث بری بسیار ساده میباشد.اشیاء Child مجوزهای دسترسی خود را از دربرگیرنده ها یا واحدهای سازمانی Parent به ارث میبرند.اگر این این دربرگیرنده یا واحدهای سازمانی خود از دسته واحدهای سازمانی یا دربرگیرنده های سطح اول باشند از خود دامین ارث بری میکنند.دلیل وجود این قانون این است که هر شیءجدید ایجاد شده در درون یک دربرگیرنده یا واحد سازمانی دارای یک سری از مجوزهای دسترسی به همراه خود باشد.میتوانید این موضوع را درتصویر 2-16 ملاحظه کنید.

اما به یاد داشته باشید که این گزینه تنها باعث میشود که مجوزهایی که توسط خود دربرگیرنده یا واحدسازمانی به ارث برده شده اند به اشیاء درون آنها به ارث داده شود.تمامی مجوزهای دسترسی به ارث برده نمی شوند برای مثال مجوز دسترسی Reset Password توسط گروه های موجود در واحد سازمانی یا دربرگیرنده ها به ارث برده نمی شوند به این دلیل که شیء گروه ویژگی Password را ندارد.رمز عبور فقط درباره شیء کاربر ،کاربرد دارد نه درباره گروه.همچنین شما میتوانید از جعبه Apply To محدوده ارث بری مجوزهای دسترسی را مشخص کنید.در اینجا توضیحات شروع به پیچیده شدن کرده است.تنها چیزی که باید بدانید این است که به صورت پیش فرض تمامی اشیاء جدید مجوزهای دسترسی قابل ارث بری را از دربرگیرنده یا واحد سازمانی که در آن ایجاد شده اند به ارث می برند.

اگر مجوزهای دسترسی به ارث برده شده مورد نظر شما نباشد و بخواهید در آنها تغییراتی ایجاد کنید با استفاده از دو راه میتوانید در مجوزهای دسترسی به ارث برده شده تغییراتی ایجاد کنید.نخست میتوانید ارث بری را غیر فعال کنید برای این کار به پنجره Properties شیء رفته سپس به برگه Advanced Security Setting بروید و گزینه Include Inheritable Permission From This Object Parent را در حالت غیر انتخاب شده قرار دهید.زمانی که این کار را انجام دهید یک شیء ،دیگر مجوزهای دسترسی شیء Parent خود را به ارث نمیبرد.از این پس هر مجوزی که به شیء بدهید فقط برای همان شیء به صورت جداگانه تنظیم خواهد شد.این تکنیک مناسبی نمیباشد از اینرو که در ارث بری،قوانین جدید ایجاد شده در سطح دربرگیرنده Parent استثنا ایجاد میکند.

گزینه دوم در عین اعطای اجازه ارث بری میتوان مجوزهای جدید ایجاد شده در سطح شیء Child را به مجوزهای تخصیص داده شده در سطح Parent اولویت داد و یک Explicit Permission ایجاد کرد.در حقیقت تمامی Explicit Permission ها به مجوزهای به ارث برده شده توسط شیء اولویت داده میشوند.این موضوع یک مفهوم مهم میباشد از اینرو که یک Explicit Permission که اجازه انجام یک کار را میدهد بر مجوز به ارث برده شده که اجازه انجام همان کار نمیدهد ،اولویت پیدا خواهد کرد.اگر فکر میکنید که منطق این کار برای شما غیر قابل درک میباشد باید بدانید که نیست.مجوز Deny توسط Parent معین شده است اما Child به صورت یک استثنا تنظیم شده است.




.

.

اعطای نمایندگی جهت انجام وظایف مدیریتی با استفاده از ویزارد Delegation Of Control . ./


با پیچیدگی کار کردن با DACL ها آشنا شدید و متوجه شدید که مدیریت مجوزهای دسترسی با از این سو و آن سو جمع کردن مجوزها در جعبه محاوره Permission Entry کار ساده ای نمی باشد.خوشبختانه بهترین تکنیک مدیریت مجوزها بجای استفاده از رابط امنیتی از ویزارد Delegation Of Control استفاده میکند.
دستور العمل ذیل جزییات استفاده از این ویزارد را در اختیار شما قرار میدهد.
1-Active Directory Users and Computers Snap-in را باز کنید.
2-بر روی گره دامین یا واحد سازمانی که در مورد انجام وظایف مدیریتی یا کنترل بر روی آن قصد اعطای نمایندگی را دارید ،کلیک راست کرده و Delegate Control را انتخاب کنید.
در این مورد واحد سازمانی را انتخاب کنید که کاربران شما در آن قرار دارند.
ویزارد Delegation Of Control نمایش داده میشود تا شما را برای انجام بقیه مراحل راهنمایی کند.
3-بر روی Next کلیک کنید.
ابتدا باید گروه مدیریتی را انتخاب کنید که قصد دارید امتیازاتی را به آنها اعطا کنید.
4-در صفحه Users or Groups بر روی کلید Add کلیک کنید.
5-با استفاده از پنجره محاوره Select ،گروه مورد نظر را انتخاب کرده و بر روی Ok کلیک کنید.
6-بر روی Next کلیک کنید.
پس از این شما وظیفه خاصی را مشخص میکنید که میخواهید به عهده گروه مورد نظر گذاشته شود.
7-در صفحه Task To Delegate بر روی Task کلیک کنید.
در این مورد شما گزینه Reset User Password and Force Password Change at Next Logon را انتخاب کنید.
8-بر روی Next کلیک کنید.
9-خلاصه وضعیت کارهای انجام شده را بررسی کرده و بر روی Finish کلیک کنید.
ویزارد Delegation Of Control میتواند ACE هایی که را لازم باشد تخصیص دهد تا گروه مورد نظر بتواند وظایف تعیین شده را انجام دهد.



.

.

گزارش دهی و دیدن مجوزها . ./

برای زمانی که قصد دارید ببینید که چه کسی حق دارد چه کاری را با استفاده از مجوزهای دسترسی انجام دهد راه های مختلفی وجود دارد.پیش از این دیدید که میتوانید این مجوزها را بر روی DACL با استفاده از Advanced Security Setting و جعبه محاوره Permission Entry مشاهده کنید.

Dsacls.exeنیز به عنوان یک ابزار تحت Command Prompt در اختیار شما میباشد که میتواند درباره اشیاء موجود در اکتیو دایرکتوری به شما گزارش دهی کند.اگر در ادامه فرمان آدرس DN یک شیء را وارد کنید گزارشی از مجوزهای دسترسی اعمال شده بر روی شیء را مشاهده می کنید.به عنوان مثال دستور ذیل گزارشی از مجوزهای دسترسی تخصیص داده شده به واحد سازمانی People را ارائه می کند:


Dsacls.exe “ou=People,dc=contoso,dc=com”




همچنین از Dsacls میتوان برای تنظیم کردن مجوزهای دسترسی جهت اعطای نمایندگی استفاده نمود. برای دیدن نحوه ترکیبات مختلف و روش استفاده از این دستور در Command Prompt تایپ کنید dsacls.exe /?.


.

.

حذف یا ریست کردن مجوزهای دسترسی یک شیء . ./

چگونه مجوزهایی را که برای آنها اعطای نمایندگی کرده اید حذف یا ریست میکنید؟متاسفانه فرمانی برای بازپس گیری نمایندگی وجود ندارد.شما باید از Advanced Security Setting و جعبه محاوره Permission Entry برای حذف کردن مجوزهای دسترسی استفاده کنید.اگر قصد دارید مجوزهای دسترسی یک شیء را به حالت پیش فرض ریست کنید،جعبه محاوره Advanced Security Setting را باز کرده و بر روی Restore Defaults کلیک کنید.مجوزهای عبور پیش فرض توسط Schema در اکتیو دایرکتوری برای کلاسهای مختلف اشیاء تعیین میشوند.پس از برگرداندن وضعیت به حالت پیش فرض میتوانید مجددا Explicit Permission هایی را که میخواهید به DACL اضافه کنید.

Dsacls نیز با استفاده از سوییچ/s میتواند مجوزهای دسترسی را به حالت پیش فرض Schema برگرداند و سوییچ/t میتواند کل درخت یعنی خود شیء و کلیه اشیاء درون آن را به حالت پیش فرض برگرداند.به عنوان مثال برای ریست کردن مجوزهای دسترسی واحد سازمانی People و تمامی واحدهای سازمانی و اشیاء درون آن میتوانید تایپ کنید:



Dsacls “ou=people,dc=contoso,dc=com” /resetDefaultDACL





.

.


فهمیدن مجوزهای دسترسی موثر . ./



مجوزهای دسترسی موثر یا Effective Permission نتیجه اعمال شدن مجموع مجوزهای دسترسی تخصیص داده شده در سطوح مختلف به یک عامل امنیتی یا Security Principal میباشد.مانند یک کاربر یا یک گروه که مجوزهای دسترسی به این اشیاء بر اساس تاثیرات جمع شونده تمامی مجوزهای به ارث برده شده و Explicit ACE ها میباشد.برای مثال شما میتوانید رمز عبور یک کاربر را ریست کنید به این دلیل که عضو گروهی میباشید که بر روی یک واحد سازمانی چند مرحله بالاتر از موقعیت فعلی کاربر، مجوز Reset Password به آن اعطا شده است.نتیجه مجوزهایی که به گروهی که شما عضو آن هستید اعطا شده است و توسط واحد سازمانی که کاربر مورد نظر در آن میاشد به ارث برده شده اند،باعث میشود شما مجوز دسترسی موثر Allow::Reset Password را دراختیار داشته باشید.مجوزهای دسترسی موثر شما زمانی پیچیده میشود که مجوزهای دسترسی مجاز یا Allow و رد یا Deny را بر اثر مجوزهای به ارث برده شده و مجوزهای Explicit،با هم بر روی یک شیء داشته باشید و این حقیقت که شما عضو گروه های مختلفی میباشید که هر یک میتوانند مجوز دسترسی مختلفی بر روی یک شیء داشته باشند.

مجوزهای دسترسی چه به اکانت کاربری شما یا به گروهی که شما به آن تعلق دارید اعطا شده باشد،هم ارزش میباشند.در نهایت ACE به شما به عنوان کاربر اعمال میشود.بهترین تکنیک مدیریت مجوزهای دسترسی،اعطای آنها به گروه به جای کاربر میباشد اما همچنان امکان اعطای مجوزهای دسترسی به یک کاربر یا یک کامپیوتر به صورت انفرادی وجود دارد.تنها به این دلیل که مجوزهای دسترسی مستقیما به شما به عنوان کاربر اعطا میشود به معنای مهمتر بودن یا کم اهمیت تر بودن مجوزهایی نمیباشد که به گروهی که شما عضو آن هستید اعطا شده است.در نتیجه مجوزهای دسترسی چه در سطح کاربر تخصیص داده شود چه در سطح گروه ارزش یکسانی دارند.

مجوزهای دسترسی Allow یا Allow Permission ها خاصیت جمع شوندگی دارند.زمانی که شما عضو چند گروه می باشید و به آن گروه ها مجوزهایی اعطا شده که در نتیجه آن میتوانند وظایف مختلفی را انجام دهند به شما به عنوان عضو این گروه ها، تمامی مجوزهای اعطا شده به این گروه ها به علاوه مجوزهای اعطا شده به صورت مستقیم به اکانت کاربری شما به صورت یکجا تخصیص داده می شود.
مجوزهای دسترسی Deny یا Deny Permission ها بر تمامی مجوزهای دسترسی Allow معادل خود ،اولویت دارند.اگر شما عضو گروه هایی باشید که یکی از آنها مجوز Allow برای ریست کردن رمز عبور را دارا باشد و به گروه دیگر مجوز دسترسی Deny برای ریست کردن رمز عبور داده شده باشد،مجوز Deny از ریست کردن رمز عبور توسط شما جلوگیری می کند.


.

.
تذکر از مجوز Deny با مضایقه استفاده کنید . ./


عموما استفاده از مجوز Deny غیر ضروری میباشد.اگر شما مجوز Allow برای انجام یک وظیفه را اعطا نکنید کاربر نمیتواند آن وظیفه را انجام دهد.قبل از اختصاص دادن مجوز Deny بررسی کنید تا در صورت امکان با حذف کردن مجوز Allow به هدف خود برسید.از مجوز Deny بندرت و با ملاحظه استفاده کنید.


هر مجوز دسترسی به صورت یک دانه مجزا عمل میکند.حتی اگر توانایی ریست کردن رمز عبور با استفاده از مجوز Deny از شما گرفته شده باشد شما همچنان توانایی هایی با استفاده از دیگر مجوزهای دسترسی Allow در اختیار خواهید داشت که بتوانید نام Logon یا آدرس e-mail کاربر را تغییر دهید.
در نهایت در تاپیک گذشته آموختید که چگونه یک شیء Child از شیء Parent خود به صورت پیش فرض ارث بری میکند و میتوان با استفاده از مجوزهای Expicit اولویت بر ارث بری ایجاد کرد.این موضوع به این معنی است که مجوز Allow با استفاده از مجوز Expilicit بر مجوز Deny به ارث برده شده اولویت پیدا میکند.
متاسفانه وجود پیچیدگی تعامل مجوزهای کاربر،گروه،Explicit،به ارث برده شده،Allow و Deny ارزیابی مجوز موثر را به کاری مشکل بدل میکند.یک برگه به نام Effective Permission در پنجره محاوره Advanced Security Setting در Properties هر شیء در اکتیو دایرکتوری وجود دارد،اما این برگه عملا بلا استفاده می باشد.این برگه جزییات مربوط به مجوزهای دسترسی که شما به آنها نیاز دارید را به شما نشان نمی دهد.شما میتوانید از گزارش مجوزهای ایجاد شده توسط دستور Dcacls استفاده نمایید.
اطلاعات بیشتر کنترل دسترسی قاعده مند
بهترین راه مدیریت اعطای نمایندگی در اکتیو دایرکتوری با استفاده از کنترل دسترسی قاعده مند می باشد.هر چند این موضوع در این منبع آموزشی پوشش داده نمی شود اما فهمیدن این موضوع برای پیاده سازی شبکه در محیط واقعی ارزشمند می باشد.این موضوع در کتاب Windows Administration Resource Kit:Productivity Solution For IT Professionalsنوشته Dan Holme توضیح داده شده است.



.

.

طراحی ساختار واحد سازمانی جهت پشتیبانی اعطای نمایندگی . ./


همانطور که اکنون میدانید واحدهای سازمانی دربرگیرنده های مدیریتی میباشند.آنها دربرگیرنده اشیایی میباشند که نیازهای مدیریتی،تنظیمات و قابلیت نمایش یکسانی را به اشتراک میگذارند.شما اکنون اولین نیاز این اشیاء را به خوبی درک میکنید:مدیریت.اشیایی که توسط یک Administrator و با استفاده از یک راه مدیریت میشوند باید در یک واحد سازمانی نگهداری شوند.با قرار دادن کاربران خود در یک واحد سازمانی به نام “People” شما میتوانید نمایندگی تغییر رمز عبور کاربران را به گروه Help Desk اعطا نمایید.این کار با الصاق یک مجوز به یک واحد سازمانی انجام میشود.دیگر مجوزهای مدیریتی که میتوانند با اشیاء کاربر در واحد سازمانی People سر و کار داشته باشند را نیز میتوان الصاق نمود.به عنوان مثال اگر بخواهید به مدیران بخش منابع انسانی اجازه غیر فعال کردن اکانت کاربرانی که مدت قرارداد آنها خاتمه یافته است را بدهید،میتوانید نمایندگی این مجوز را مجددا برای این گروه بر روی واحد سازمانی People اعطا نمایید.

به یاد داشته باشید Administrator ها باید با استفاده از یک اکانت کاربر عادی به سیستم وارد شده و برای اجرای ابزارهای مدیریتی از هویت اکانت دوم که مجوزهای لازم جهت انجام وظایف مدیریتی را دارد، استفاده نماید.این اکانتهای دوم در حقیقت اکانتهای مدیریتی سازمان میباشند.گروه Help Desk نباید بتوانند رمز عبور کاربر Administrator را ریست نمایند یا گروه مدیریت منابع انسانی نباید بتواند این دسته از اکانتها را غیر فعال نماید.از اینرو اکانتهای کاربری مدیریتی متفاوت از اکانتهای کاربری عادی،مدیریت خواهند شد.به این دلیل شما باید یک واحد سازمانی مجزا برای اشیاء کاربر Administartor ایجاد کنید.اعطای نمایندگی مدیریت این واحد سازمانی کاملا متفاوت از دیگر واحدهای سازمانی میباشد.

همانند زمانی که شما میخواید اجازه اضافه کردن اشیاء کامپیوترها را در واحد سازمانی Clients به گروه پشتیبانی بدهید اما نمیخواهید که اعضای این گروه بتوانند در واحد سازمانی Servers ،شیء کامپیوتر ایجاد کرده یا اشیاء موجود را مدیریت کنند.

نقش اصلی واحد سازمانی مشخص کردن حوزه اعطای نمایندگی به صورت موثر جهت اجرای مجوزها بر روی اشیاء و زیر واحدهای سازمانی میباشد.زمانی که محیط اکتیو دایرکتوری را طراحی میکنید همیشه کار را با طراحی ساختار واحد سازمانی که بتواند کار اعطای نمایندگی را به صورت موثر انجام دهد آغاز میکنید،ساختاری که بازتاب مدل مدیریتی در سازمان شما میباشد.بندرت مدل مدیریت اشیاء در اکتیو دایرکتوری دقیقا مشابه مدل چارت سازمانی شما میباشد.معمولا تمام کاربران عادی از یک راه و توسط یک گروه پشتیبانی میشوند از اینرو معمولا تمامی این کاربران در یک واحد سازمانی یا یک انشعاب از واحد سازمانی کاربران یافت میشوند.در اکثر سازمانها برای پشتیبانی کاربران و کامپیوترها یک گروه به نام Help Desk وجود دارد که در این موارد تمام کامپیوترها نیز مانند کاربران در یک واحدسازمانی یا شاخه ای از واحد سازمانی Computers قرار میگیرند.اما اگر تیم پشتیبانی به صورت غیر متمرکز وجود داشته باشد شما باید واحد سازمانی Clients را به زیر واحدهای سازمانی تقسیم کنید که نمایانگر محل جغرافیایی باشد سپس نمایندگی مدیریت هر واحد سازمانی را میتوان به تیم پشتیبانی مستقر در همان محل اعطا کرد.

در طراحی واحد سازمانی ابتدا باید اعطای نمایندگی مدیریت اشیاء به صورت موثر در اکتیو دایرکتوری مد نظر قرار گیرد سپس تصحیح طراحی را به صورتی انجام داد که انجام تنظیمات کامپیوترها با استفاده از Group Policy را تسهیل نماید.


.

منبع : منبع تمامی مطالب از پست اعطای نمایندگی و امنیت در اکتیو دایرکتوری تا پست طراحی و ساختار واحد سازمانی سایت ..ir persianadmins

.


ساخت User Template. ./


همانطور که می دانید قالب ها ، ساخت اکانت های زیاد را ساده می کند. به خصوص اگر شما در حال ایجاد کاربرانی برای یک سازمان خاص با ویژگی های مشابه و عضویت در گروه های یکسان هستید، شما می توانید از یک قالب برای ساخت کاربر استفاده کنید.در یک قالب شما می توانید تمام پارامترهای اکانتی که کاربرانتان به آن ها نیاز دارند را تعریف کنید. مطمئن باشید که اکانت قالب غیرفعال است و همه ویژگی های مطلوبی که شما برای کاربرانتان نیاز دارید را دارا می باشد. طی ساخت یک اکانت کاربر جدید ، شما یک ویزارد و پنجره یکسان با قالب را دریافت خواهید کرد. تنها کاری که باید انجام دهید اینست که یک کپی از اکانت قالب ایجاد کرده و نام و پسورد جدید را اضافه نمایید.شما ممکن است چندین قاب کاربر برای چندین هدف با ویژگی ها و تنظیمات مختلف ایجاد نمایید. در اینجا هیچ محدودیتی برای تعداد قالب های کاربر وجود ندارد.توجه کنید که برای ساخت یک اکانت جدید مطابق با اکانت قالب ، کافی است که بر روی اکانت قالب کلیک راست کرده و سپس گزینه Copy را انتخاب نماییم . در این هنگام یک ویزارد باز شده که لازم است فقط نام و پسورد اکانت جدید وارد شود. بقیه تنظیمات مشابه با اکانت قالب می باشد.



.




+

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]









.

.



مدیریت User Properties در اکتیودایرکتوری . ./


برای کاربران موجود در اکتیودایرکتوری شما می توانید انواع زیادی از خصوصیات و ویژگی ها را پیکربندی نمایید. برای دسترسی به پنجره Properties یک کاربر، شما می توانید بر روی اکانت آن کاربر double-click کنید و یا بر روی اکانت راست کلیک کرده و گزینه Properties را انتخاب نمایید. در پنجره Properties یک کاربر ، برگه های زیادی وجود دارد که توضیح مهمترین برگه ها به شرح زیر می باشد:

• برگه Accounts : با استفاده از این برگه شما می توانید اکانت کاربر را کنترل نمایید که توضیح مختصر مهمترین قسمت های آن به قرار زیر می باشد:

1. در بخشی از این برگه اطلاعات User logon name که شما در هنگام ورود به دامین از آن استفاده می کنید به نمایش در آمده است. (تصویر 4)

2. در قسمتی از این برگه کادر Account options قرار دارد که از آن برای تنظیمات امنیتی مربوط به اکانت ، از قبیل شرایط پسورد و وضعیت اکانت استفاده می شود. (تصویر 4)

3. در پایین این برگه کادر Account expiration قرار دارد که می توان با استفاده از آن برای اکانت یک تاریخ انقضاء تعیین کرد. (تصویر 4)

4.بر روی این برگه دکمه Logon Hours قرار دارد که از آن برای تعیین این که کاربر در چه زمان هایی و در چه روزهایی بتواند به دامین logon نماید استفاده می شود. (تصویر 5)

5.همچنین بر روی این برگه دکمه ی Log On To قرار دارد که به کاربر اجازه می دهد تنها از طریق ایستگاه کاری (کامپیوتر) خاصی به درون دامین log on نماید. این کار به شما کمک خواهد کرد که امنیت دامین تان را به وسیله مجبور کردن کارکنان به log on کردن به دامین تنها از طریق کامپیوترهایی که اجازه دسترسی به آن را دارند، افزایش دهید. (تصویر 6)


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





برگه General : این برگه شامل اطلاعات عمومی کاربر مانند نام ، تلفن ، آدرس ایمیل و غیره می باشد. (تصویر 7)
برگه Address : این برگه شامل اطلاعات آدرس کاربر می باشد. (تصویر 8)
برگه Telephones : از این برگه می توان برای ثبت تلفن های کاربر استفاده کرد. (تصویر 9)
برگه Organization : از این برگه برای وارد کردن اطلاعات مربوط به کاربر در سازمان استفاده می شود. (تصویر 10)
برگه Profile : این برگه به شما اجازه می دهد که محیط کاربر را سفارشی سازی نمایید. (تصویر 11)
برگه Member Of : از این برگه برای عضو کردن کاربر در یک گروه امنیتی خاص استفاده می شود. (تصویر 12)
برگه Environment : از این برگه برای پیکربندی محیط Terminal Services start-up استفاده می شود.یعنی می توان برای یک کاربر که از طریق Terminal Services و، log on می کند تعیین کرد که در هنگام start up چه برنامه ای اجرا شود. (تصویر 14)
برگه Remote Control : از این برگه برای پیکربندی و تنظیمات مربوط به کنترل از راه دور کامپیوتر استفاده می شود. (تصویر 15)



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





.

.

نحوه اضافه کردن گروه و یوزر در اکتیو دایرکتوری با کامند . ./

در شبکه های domain اضافه کردن و مدیریت اکنت ها و گروه ها به وسیله اکتیو دایرکتوری Active Directoryانجام میشود پس از نصب این role به روی سرور میتوانیم این کنسول را از دو طریق باز کنیم :

1) start ......>allprogram.....> administrative tools ...>activ directory users and computrs

2) در پنجره run متن روبرو را وارد کنید : dsa.msc

که گزینه دوم سریعتر و راحت تر است.

کنسول زیر کنسول AD است که در سمت چپ پنجره یوزرها و گروه ها و OU ها و نام domain نشان داده میشود


همانطور که در شکل مشخص است میتوانیم در اینجا به ایجاد یوزرها و گروه ها بپردازیم اما برای سرعت بیشتر در ایجاد آنها و مدیریت بهتر میتوانیم در محیط cmd نیز آنها را ایجاد کنیم
برای ایجاد یوزر اکانت در محیط cmd به روش زیر عمل میکنیم:

برای ساخت هر یوزر باید محل قرارگیری آن را آدرس دهی کنیم برای مثال برای ساخت یوزری به نام test1
در ouای به نام ACC در دامینی به نام iranvij.ir باید به این شکل عمل کنیم:
نکته: برای نوشتن یوزرها و گروهها از CN استفاده میکنیم برای OU ها از ou و برای domian از یز استفاده میکنیم مثال بالا :



"cn=test1,ou=ACC,dc=iranvij,dc=ir"



دستور ساخت یوزر:



Dsadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir"jk



یوزر ساخته میشود اما غیر فعال است چون پسورد برایش تعیین نکردیمبرای این کار:


DSadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir " -pwd


بعد از تایپ pwd میتوانیم پسورد را وارد کنیم اما چون دیده میشود از نظر امنیت درست نیست پس برای مخفی وارد کردن پسورد بعد از pwd علامت * را تایپ میکنیم حالا پسورد را وارد میکنیم که نشان نمیدهد.
برای وارد کردن اسم کوچک و فامیلی یوزر میتوان به این طریق عمل کرد:


DSadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir " -pwd -FN reza -LN rezai


که بعد از FN بعد از یک spase نام کوچک را وارد میکنیم و برای فامیلی هم بعد از LN سم را وارد میکنیم

فرم کلی ساختن یوزر به این شکل است:


dsadd user



Syntax




dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd **Password | ***] [-desc Description] [-memberof Group ...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:][-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd **yes | no**] [-canchpwd **yes | no**] [-reversiblepwd **yes | no**] [-pwdneverexpires **yes | no**] [-acctexpires NumberOfDays] [-disabled **yes | no**] [**-s Server | -d Domain**] [-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci**]













.منبع : iranvij


.

.

ساخت گروه با کامند در اکتیو دایرکتوری . ./





برای ساخت گروه ها نیز به ترتیب زیر عمل میکنیم:

گروهها به چند دسته تقسیم میشوند که برای ساخت باید نوع آن را نیز مشخص کنیم(به دلیل خارج شدن از موضوع از توضیح انواع گروهها در این تاپیک صرف نظر میکنم و فقط انواع آن را نشانتان میدهم)



برای مثال گروهی به نام ACC در ouای به نام SALES در ouای به نام Department در دامین iranvij.ir ایجاد میکنیم


Dsadd group
"CN=acc,OU=sales,OU=department,DC=iranvij,DC=i r" -secgrp no




در ساخت گروهها به صورت کامندی به صورت پیش فرض از نوع security و Global ساخته میشود که برای تغییر دادن آن از حالت security دستورsecgrp no را تایپ میکنیم

فرم کلی ساختن گروه به این شکل است:

dsadd group

Adds a single group to the directory.

Syntax

dsadd group GroupDN [-secgrp **yes | no**] [-scope **l | g | u**] [-samid SAMName] [-desc Description] [-memberof Group ...] [-members Member ...] [**-s Server | -d Domain**] [-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci**]




فرم کلی ساختن OU به این شکل است:
dsadd ou

Adds a single organizational unit (OU) to the directory.

Syntax


dsadd ou OrganizationalUnitDN [-desc Description] [**-s Server | -d Domain**][-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci **]





منبع : iranvij




.

.




حذف object در اکتیودایرکتوری . ./





DSRM این فرمان برای حذف یا پاک کردن objects ها در اکتیو دایرکتوری استفاده میشود . برای استفاده فرمان ?/ dsrm را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.


برای حذفش باید این فرمان روبنویسید



DSRM "CN=BANO,OU=USER ACCOUNT,DC=CONTOSO,DC=COM"M


DSRM همون فرمان حذف هست
BANU همون یوزرمون توی OU هست که اسم OU مون USER ACCOUNT هست
CONTOSO.COM همون دومین هست




.

.




انتقال و یا rename یک Object . ./


.

DSMOVE این فرمان برای جابجایی move یک شی single object به یک محل دیگر در یک domain و یا تغییر نام یک شی rename the object بدون جابجایی استفاده میشود . برای استفاده فرمان ?/ dsmove را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.


برای تغییر نام :

DSMOVE "CN=BANO,OU=ACCOUNT USSER,DC=CONTOSO,DC=COM" - NEWNAME "SARA" K





برای MOVE :از یک OU به OU دیگر :


DSMOVE "CN=BANO,OU=SALE,CN=CONTOSO,CN=COM"H"

NEWPARENT OU=MARKETING ,DC=CONTOSO,DC=COM





.

.




dsmod: برای مودیفای یا ویرایش کردن یک Object . ./



DSMOD این فرمان برای تغییر خواص modify properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users و servers ها که در اکتیو دایرکتوری موجود میباشند، استفاده میشود. برای استفاده فرمان ?/ dsmod objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان
:
?/ dsmod server




dsget: برای دیدن مشخصات یک Object . ./



DSGET این فرمان برای نشان دادن خواص properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users ، sites ها، subnets ها و servers ها که در اکتیو دایرکتوری ثبت شده اند registered استفاده میشود . برای استفاده فرمان ?/ dsget objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان
:
?/ dsget subnet





.

مفاهیم مربوط به DN, RDN , CN . ./
DN دقیقا مشابه یک مسیر برای اشیاء اکتیو دایرکتوری است. همانطور که با استفاده از مسیر c:texta.txt می تواند به فایل متنی رسید، DN یک روش مناسب تر برای رسیدن به اشیاء است.. هر شیء دارای یک DN یکتا خود است.

یک DN با شئ شروع می شود و به top level domain name ختم می شود. همانطور که پیش تر اشاره شد CN یا common name معرف شیئ است. OU معرف organizational unit است و DC معرف Domain Component.
قسمتی از DN که پیش از اولین OU است RDN یا relative distinguished name گفته می شود. از آنجایی که DN باید یکتا باشد RDN باید در دربرگیرنده (container) خود یکتا باشد.




منبع : ERFANTAHERI


.

.



جست و جو در خط فرمان با DSQUERY در کامند . ./


با استفاده از دستور dsquery می توانید به جستجو در اکتیو دایرکتوری بپردازید. مشابه سایر دستورات اکتیو دایرکتوری به صورت کامل مستند سازی شده و با استفاده از دستور ?/ dsquery می توانید اطلاعات کامل کسب کنید. به عنوان مثال برای جستجو یک کاربر از dsquery user استفاده می کنیم یا برای جستجو یک گروه از dsquery group و برای کامپیوتر از dsquery computer استفاده می کنیم. به عنوان مثال برای یافتن کاربر که نام او با erf شروع می شود دستور زیر را وارد می کنیم:

c:> dsquery user -name erf*

نتیجه جستجو چیزی مشابه زیر خواهد بود:

" CN=Erfan CN=Users,DC=contoso,dc=com"

چنانچه شیوه ی DN شیوه مطلوب شما برای مشاهده ی نتایج نیست می توانید از سوییچ o استفاده کنید. مثلا برای مشاهده logon name می توانید سوییچ o upn- را به دستور اضافه کنید. یا برای مشاهده نام کاربری مربوط به ویندوز قبل از ۲۰۰۰ سوییچ o samid- را اضافه کنید.



منبع : ERFANTAHERI



.

.

استفاده از CSVDE . ./



CSVDE یک ابزار خط فرمان است که با استفاده از آن می توان اطلاعات را از اکتیو دایرکتوری خارج یا به اکتیو دارکتوری وارد کرد. نوع فایل این ابزار می تواند به سادگی یک فایل متنی با شیوه نگارش صحیح باشد یا یک فایل CSV. می توان با استفاده از notepad یا Microsoft Office Excel نصب به ساخت این نوع فایل ها پرداخت. این دستور در اتوماتیک کردن فرآیند ساخت کاربران بسیار مهم و ساده است.

الگوی کلی دستور import کردن به صورت زیر است:

csvde [-i] [-f filename] [-k]

پارامتر i معین کننده عمل import یا درون ریزی است و پارامتر f مشخص کننده نام و آدرس فایل ورودی یا خروجی است. سوییچ k برای در نظر نگرفتن خطای ناشی از وجود نظیر است. در اینجا منظور از وجود نظیر، وجود یک ویژگی نظیر یا یا شیئ نظیر با همان DN است. در این شیوه دیتا با استفاده از ویرگول به جای tab جدا می شود و به نحوی جدا می شود که هر قسمت مربوط به یک ستون از دایرکتوری است.
استفاده از CSVDE ها ضمن سادگی دارای معایبی نیز می باشد به همین جهت استفاده از LDIFDE توصیه می شود.


و

Ldifte.exe و Csvde.exe دو تا ابزار export برای ایجاد object های اکتیو دایرکتوری هستند. برای پاک کردن فرمت اطلاعات موجود در فرمت LDIF یا CSV . آنها می توانند بر اساس مقصد دایرکتوری اطلاعات را export کنند، عضوی های OU و object کلاس هامثل کاربر و گروه و کامپیوتر.

این ابزارها می تونند مشخص کنند چه مشخصه و ویژگی export شود. گرچه این ابزار ها برای مشخصه های معین محدودیت های خودشون را دارند.انهاکمک برای مدیریت اکتیو دایرکتوری هستند چرا که زمانی اسکریپت آماده هم وجود دارد.ادمین توی یک زمان با استفاده از این ابزارها برای ورود و خروج (import and export) چندین کاریر می تونه زمان خودش را save کنه.



منبع : ERFANTAHERI


.

.


CSVDE . ./



ابتدایی ترین ابزار برای Import و Export کردن اطلاعات از اکتیو دایرکتوری CSVDE است. بزرگ ترین مزیت CSVDE آن است که فایل خروجی آن می تواند در برنامه های SpreedSheet همانند Microsoft Excel باز شوند. موضوع قابل توجه آن است که CSVDE به عنوان یک ابزار Backup تلقی نمی شود. فایل خروجی CSVDE بر اساس CSV یا Comma Seprated Value است. CSVDE به کلمه های عبور کاری ندارد و بنابراین نمی توان با استفاده از آن Password ها را Export کرد.

CSVDE ها محدودیت های قابل توجهی دارند و نمی توانند برای ویرایش اطلاعات به کار گرفته شوند. ممکن است فایل CSV از Microsoft Exchange Server ابتدا Export شود و AD DS یا AD LDS لازم باشد Import شود. این سناریوی متداول در سازمان هایی است که Exchange Server استفاده می کردند و برای امنیت بیشتر قصد دارند از AD DS نیز استفاده کنند.

همچنین ممکن است در ملحق شدن شرکت ها به هم از این سناریو استفاده شود. با توجه به آنکه ساختار دایرکتوری Exchange با Active Directory یکسان نیست، لازم است نام Header برخی ستون ها تغییر کند. به عنوان مثال لازم است Display Name به displayName و obj-class به objectClass تغییر کند. برای استفاده از فرمان Command Prompt را با سطح دسترسی مناسب باز کنید. به عنوان مثال با یک اکانت عضو گروه Domain Admins در جستجوی منوی استارت تایپ کنید CMD و سپس Run As Administrator را از منوی right click روی آن بزنید. فرم کلی دستور به صورت زیر است:



Csvde [-i] [-f <FileName>] [-s <ServerName>] [-c <String1> <String2>] [-v] [-j <Path>] [-t <PortNumber>] [-d <BaseDN>] [-r <LDAPFilter>] [-p <Scope] [-l <LDAPAttributeList>] [-o <LDAPAttributeList>] [-g] [-m] [-n] [-k] [-a <UserDistinguishedName> {<Password> | *}] [-b <UserName> <Domain> {<Password> | *}]


سوییچ عملکرد

i به صورت پیش فرض دستور در Export Mode کار می کند. این سوییچ تعیین کننده Import Mode است. برای Export Mode نباید این سوییچ استفاده شود.
F تعیین نام فایل. در هر دو Mode
s تعیین دامین کنترلر
C جایگزین کردن تمام عبارت مشخص شده در رشته دوم به جای رشته اول. زمانی کاربرد دارد که از یک اطلاعات از یک دامین به یک دامین جدید Import می شوند و لازم است DN ها تغییر کند.
j تعیین محل قرار گیری Log File به صورت پیش فرض در مسیر مورد اشاره است.
U تعیین استفاده از uni Code
T تعیین پورت LDAP به صورت پیش فرض 389 است و پورت GC به صورت پیش فرض 3268 است.
r یک فیلتر LDAP برای Export اطلاعات می سازد.
d یک فیلتر بر اساس DN برای Export اطلاعات می سازد.
l لیستی از ویژگی های که در Export درج می شود را تعیین می کند.
o حذف کردن برخی از ویژگی ها. زمانی کاربرد دارد که از AD DS به دایرکتوری دیگری انتقال صورت می گیرد.




مثال 1: محتوای یک فایل CSV

objectClass,dn,givenName,sn,samAccountName,Descrip tion
user,distinguishedName,1stUserFirstName,1stUserSur name,FirstUserLogonName,Manager
user,distinguishedName,2ndUserFirstName,2ndUserSur name,SecondUserLogonName,President




مثال2: استفاده از سوییچ r برای Export کردن تمام کاربرانی که نام خانوادگی مشخصی دارند.

csvde -r (&(objectClass=User)(sn=Surname))





مثال 3: استفاده از سوییچ d برای Export کردن تمام اشیاء یک OU

csvde -d "ou=marketing,dc=contoso,dc=com" -f marketingobjects.csv




مثال 4: استفاده از سوییچ i برای Import کردن اطلاعات

csvde -i -f input.csv

توجه: از آنجایی که CSVDE از Password ها پشتیبانی نمی کند مقدار پیش فرض userAccountControl را در فایل CSV می توان به 514 ویرایش کرد تا اکانت کاربری Disable باشد. همچنین برخی از مدیران حتی در شرایطی که تمام اشیاء لازم باشد Import شود، عمل Export را برای اشیاء مختلف جدا انجام می دهند و ادعا می کنند که مدیریت ساده تر است.



به نقل از پورت 80




.

.


LDIFDE . ./



مشابه CSVDE این دستور نیز برای import و export اطلاعات به کار می رود.
LDIFDE محدودیت های کمتری نسبت به CSVDE دارد اما توسط تعداد کمی از نرم افزار های پشتیبانی می شود. این دستور خروجی فایلی بر اساس LDIF یا LDAP Data Exchange Format دارد.

بر خلاف CSVDE این فایل نمی تواند در Excel باز شود اما در Text Editor های قابلیت باز شدن دارد. بزرگترین مزیت آن نسبت به CSVDE آن است که می توان با استفاده از آن یک شیئ را ویرایش و یا حتی پاک کرد.
البته امکان تغییر در عضویت گروه ها وجود ندارد. همانند CSVDE ، این دستور نیز با Password ها کاری ندارد. بنابراین نمی توان Password ها را با آن Export کرد. از LDIFDE برای گسترش Schema نیز می توان استفاده کرد. فرمت کلی دستور کاملا مشابه CSVDE است و سوییچ های یکسانی دارد.


Ldifde [-i] [-f ] [-s ] [-c ] [-v] [-j ] [-t ] [-d ] [-r ] [-p ] [-l ] [-o ] [-g] [-m] [-n] [-k] [-a ] [-b ] [-?]


زمانی که از LDIFDE برای ویرایش، حذف یا افزودن یک شیء استفاده می شود باید مقدار ChangeType در فایل LDIF ویرایش یابد. مقادیر add , modify و delete مقادیری هستند که این attribute ممکن است دریافت کند. به مثال زیر توجه کنید:


مثال ۵: تعیین مقدار ChangeType

DN: CN=SampleUser,DC=DomainName
changetype: add
CN: SampleUser
description: DescriptionOfFile
objectClass: User
sAMAccountName: SampleUser


مثال ۶: خروجی فقط DN ، CN ، نام و شماره تلفن در یک DN معین شده.
Ldifde -d dc=fabrikam,dc=com -r (objectClass=User) -l distinguishedname,cn,givenname,sn,telephone


مثال ۷: حذف کردن تاریخ ساخت و GUID شیئ از فایل
Ldifde -d dc=fabrikam,dc=com -r (objectClass=User) -o whenCreated,objectGUID




منبع : server2008
.

.


شروع در Powershell . ./
Powershell یک رابط متنی بر اساس دستور مبتنی بر وظیفه است که از زبان های اسکریپی پشتیبانی به عمل می آورد. به جهت سهولت این ابزار جهت مدیریت روی Windows Server توصیه می شود.دستورات Powershell را cmdlets می گوییم و با استفاده از این ابزار قصد داریم عملیات پیچیده ای را با ساده ترین شکل ممکن روی Active Directory Domain Services انجام دهیم. در اینجا هدف ساخت اسکریپت نمی باشد و فقط از cmdlets ها استفاده می کنیم. اگر می خواهید در خصوص Powershell اطلاعات با عمق بیشتری به دست آورید، کتاب Windows PowerShell 2.0 Administrator’s Pocket Consultant نوشته ی William R. Stanek از انتشارات مایکروسافت می تواند به شما کمک کند. اطلاعاتی که در این سری مطالب ارائه می گردند، برای اکثر مدیریت ها روی Active Directory کفایت می کنند.


Powershell به صورت پیش فرض در Windows Server 2008/2012 نصب شده است و برای دسترسی به آن کافی است آیکون آن را از روی Task Bar باز کنید و یا در run وارد کنید: Powershell.exe




.

.



ماژول ها در powershell . ./

Powershell به صورت خودکار از صد ها cmdlets پشتیبانی می کند و برای افزودن کارایی آن می توان از snap-inها یا Module (ماژول ها) استفاده کرد. یک ماژول عبارت است از پکیجی از cmdlets ها که لیست cmdlet های Powershell اضافه می گردد و قابلیت های جدیدی را در اختیار قرار می دهد. به صورت پیش فرض در زمان نصب سرویس، Active Directory Module در powershell اضافه شده است. علاوه بر cmdlets ها می توان از همان دستورات پیشین cmd نیز در powershell با همان syntax (نحو) استفاده کرد. cmdlet ها حساس به حروف بزرگ و کوچک نیستند.


برای نصب Active Directory Module ابتدا لازم است Remote Ser ver Administration Tools یا به اختصار RSAT را نصب کنید و سپس در Turn Windows Features On Or Off گزینه Active Directory Module For Windows PowerShell که تحت گزینه Remote Server Administration Tools در قسمت AD DS است را انتخاب کنید.


این Module در سمت کلاینت نصب می گردد و لازم است Active Directory Web Services روی حداقل یکی از دامین کنترلرها (DC) در دامین مورد نظر نصب شده باشد. ADWS در Windows Server 2008 R2/2012 به صورت خودکار در زمان Promote کردن DC نصب می گردد. اگر قصد دارید از نسخ پیشین استفاده کنید لازم است Active Directory Management Gateway Service را دانلود و نصب کنید.
جهت دسترسی به ابزار مجهز شده به Module می توانید Active Directory Module For Windows PowerShell موجود در Administrative Tools را باز کنید و یا در powershell وارد کنید:




Import-Module ActiveDirectory

.

در ادامه لیستی از cmdlet های قابل اجرا در محیط powershell که جهت کار و مدیریت دایرکتوری سرویس می باشد رو براتون لیست کردم . بعد هم چند ابزار کاربردی جهت کار در محیط اکتیو دایرکتوری معرفی خواهد شد :


AD: Powershell cmdlets ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) . ./
Add-ADDomainControllerPasswordReplicationPolicy
Add-ADGroupMember
Clear-ADAccountExpiration
Disable-ADOptionalFeature
Enable-ADOptionalFeature
Get-ADAccountResultantPasswordReplicationPolicy
Get-ADComputerServiceAccount
Get-ADDomain
Get-ADDomainControllerPasswordReplicationPolicy
Get-ADFineGrainedPasswordPolicy
Get-ADForest
Get-ADGroupMember
Get-ADOptionalFeature
Get-ADPrincipalGroupMembership
Get-ADServiceAccount
Get-ADUserResultantPasswordPolicy
Move-ADDirectoryServer
Move-ADObject
New-ADFineGrainedPasswordPolicy
New-ADObject
New-ADServiceAccount
Remove-ADComputer
Remove-ADDomainControllerPasswordReplicationPolicy
Remove-ADFineGrainedPasswordPolicySubject
Remove-ADGroupMember
Remove-ADOrganizationalUnit
Remove-ADServiceAccount
Rename-ADObject
Restore-ADObject
Set-ADAccountControl
Set-ADAccountPassword
Set-ADDefaultDomainPasswordPolicy
Set-ADDomainMode
Set-ADForest
Set-ADGroup
Set-ADOrganizationalUnit
Set-ADUser
Unlock-ADAccount

————————————————� �———————




منبع : omid4admins

دوستان به این تاپیک جتما سر بزنید :


آموزش پیکربندی محیط Server Core 2008R2، با استفاده از دستورات کاربردی . ./ ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

خوب دوباره بعد ازیک وقفه کوتاه سلام . ./

+



برای نصب powershell روی ویندوز 7 : . ./


RSAT ( REMOTE SERVER ADMINISTRATOR TOOLS ) رو دانلود کنید

توی کنترل پنل کیک کنید روی PROGRAM and feature و انتخاب کنید turn windows feature on or off

expand کنید RSAT را و سپس EXPANT کنید AD DS و AD LDS را

انتخاب کنید مازول AD DS WINDOWS POWERSHELL

.





ماژول ها . ./
Powershell به صورت خودکار از صد ها cmdlets پشتیبانی می کند و برای افزودن کارایی آن می توان از snap-inها یا Module (ماژول ها) استفاده کرد. یک ماژول عبارت است از پکیجی از cmdlets ها که لیست cmdlet های Powershell اضافه می گردد و قابلیت های جدیدی را در اختیار قرار می دهد. به صورت پیش فرض در زمان نصب سرویس، Active Directory Module در powershell اضافه شده است. علاوه بر cmdlets ها می توان از همان دستورات پیشین cmd نیز در powershell با همان syntax (نحو) استفاده کرد. cmdlet ها حساس به حروف بزرگ و کوچک نیستند.


برای نصب Active Directory Module ابتدا لازم است Remote Ser ver Administration Tools یا به اختصار RSAT را نصب کنید و سپس در Turn Windows Features On Or Off گزینه Active Directory Module For Windows PowerShell که تحت گزینه Remote Server Administration Tools در قسمت AD DS است را انتخاب کنید.


این Module در سمت کلاینت نصب می گردد و لازم است Active Directory Web Services روی حداقل یکی از دامین کنترلرها (DC) در دامین مورد نظر نصب شده باشد. ADWS در Windows Server 2008 R2/2012 به صورت خودکار در زمان Promote کردن DC نصب می گردد. اگر قصد دارید از نسخ پیشین استفاده کنید لازم است Active Directory Management Gateway Service را دانلود و نصب کنید.
جهت دسترسی به ابزار مجهز شده به Module می توانید Active Directory Module For Windows PowerShell موجود در Administrative Tools را باز کنید و یا در powershell وارد کنید:

Import-Module ActiveDirectory



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


ماژول اکتیو دایرکتوری دارای بیش از ۷۶ cmdlets است که به خاطر سپردن آن ها امری دشوار خواهد بود. از این رو لازم است روش آنکه چگونه بتوان به cmdlet مورد نظر دسترسی پیدا کرد و از آن استفاده کرد بسیار حیاتی خواهد بود. با استفاده از دستور زیر می توانید لیست cmdlet ها را دریافت کنید.

Get-Command



cmdlet ها همیشه یه فرمت فعل-مفعول دارند. به عنوان مثال برای دریافت لیست پروسه های در حال اجرا کافی است دستور زیر را وارد کنید:


Get-Service




با استفاده از دستور زیر می توانید لیست تمام افعال به کار گرفته شده را ببینید. مفعول ها از یک استاندارد که توسط مایکروسافت معین شده اند استفاده می کنند به عنوان مثال تمام اسامی مربوط به Active Directory با AD آغاز می گردد.

Get-Verb


دستور زیر، لیستی از cmdlet های مربوط AD را فراهم می آورد:

Get-Command -Noun AD* | More



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

همانند cmd استفاده از more| سبب می شود نتایج به صورت صفحه بندی شده نمایش داده شود. روش بهتر برای نمایش cmdlet های یک ماژول استفاده از دستور زیر است:
Get-Command -Module ActiveDirectory









منبع : پورت 80







.

.


پارامتر ها . ./ اکثر cmdlet ها دارای ورودی می باشند به آن ورودی ها پارامتر می گوییم. پارامتر ها با یک فاصله و یک – (dash) از cmdlet جدا می شوند و حساس به حروف کوچک و بزرگ نمی باشند. پارامتر Identity- در اکثر cmdlet های AD مورد استفاده قرار می گیرد و کاربرد آن تعیین distinguished name یا sAMAccountName است. sAMAccountName همان Pre-Windows 2000 Logon Name می باشد. پس از پارامتر مقدار آن مشخص می گردد. اگر حاوی فاصله است لازم است در کوتیشن ‘ ‘ قرار گیرد. به مثال زیر توجه کنید:
Get-ADGroupMember -Identity “cn=Sales,ou=Groups,dc=contoso,dc=com”
Get-ADGroupMember -Identity Sales




راهنما . ./ برای آنکه اطلاعاتی در خصوص هر cmdlet کسب کنید کافی است از دستور Get-Help استفاده کنید.
Get-Help cmdlet
Get-Help Get-ADGroupMember (مثال)




.

.


اشیاء . ./
بر خلاف cmd که تنها یک متن خروجی دارد، خروجی در powershell می تواند یک شیئ یا به عبارت دیگر یک ساختار (construct) باشد. دستور زیر سبب می شود برخی از ویژگی های یک شیئ کاربر نمایش داده شود. مسئله قابل توجه آن است که خروجی فقط قدری نوشته نیست، بلکه حاوی یک شیئ است که می تواند برای یک عملیات به کار گرفته شود. اشیاء می تواند دارای Attribute و Method ها باشند.
Get-ADUser -Identity GetMe
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


متغیر ها . ./ یک متغیر فضایی از حافظه است که می تواند جهت نگه داری یک مقدار یا شیئ به کار گرفته شود. در PowerShell متغیر ها با حرف $ آغاز می گردند. نام متغیر نیز Case-Sensitive نمی باشد. برای تعریف متغیر فرم عمومی زیر به کار می رود:




$variable = value


اکنون قصد داریم شیئ دریافت شده از دستور قبل را در یک متغیر قرار دهیم:


$catched= Get-ADUser GetMe




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

اکنون قصد داریم با استفاده از متغیر ساخته شده، اکانت کاربر GetMe را Disable (غیر فعال) کنیم. برای آنکه قصد داریم مقداری را تنظیم کنیم، از فعل set در ابتدای cmdlet استفاده می شود:

Set-ADUser -Identity $user -Enabled $false



همانطور که حدس می زنید استفاده از متغیر در این مثال الزام آور نبود و امکان استفاده از دستور زیر نیز وجود داشت:
Set-ADUser -Identity GetMe -Enabled $false



PowerShell دارای تعدادی متغییر از پیش تعریف شده است به عنوان مثال، متغییر های true$ و false$ دو نمونه متغییر boolean هستند و یا متغیر $error شامل خطای عملیات می باشد.

خطوط لوله . ./
امکان pipe کردن اشیاء نیز وجود دارد. pipe کردن به آن معنا است که خروجی یک cmdlet به عنوان ورودی یک cmdlet دیگر به کار گرفته شود. به عبارت دقیق تر؛ یک pipline یا خط لوله، عبارت است از: یک کانال میان خروجی یک cmdlet که در یک خط دستور به یک cmdlet منتقل می گردد. به عنوان مثال، دستور فوق را می توان با این بیان نیز وارد کرد:

Get-ADUser GetMe| Set-ADUser -Enabled $false


دستور Get-ADUser شیئ یک کاربر را می گیرد و آن را از طریق لوله | به Set-ADUser منتقل می کند. یک مثال کاربری می تواند غیرفعال کردن تمام اعضای یک گروه باشد.



Get-ADGroupMember -Identity Sales | Set-ADUser -Enabled $false


در این مثال اگر گروه sales یک Nested Group باشد به این معنا که حاوی گروهی دیگری باشد، به دلیل عدم امکان اجرای قسمت دوم pipe دستور با خطا رو به رو می شود و می توان از روش فیلتر کردن خروجی ها با Where-Object این خطا را بر طرف کرد.







.

.




لوله ها وحشی می شوند . ./


عملیات پیچیده تر می تواند شامل تعداد بیشتر pipe باشد و ممکن است شامل توابع، ساختار ها، حلقه ها و شرط ها باشد. اغلب pipeline ها برای راحتی در خواندن و بررسی آن ها بیشتر از یک خط هستند. راه های مختلفی وجود دارد که بتوان یک pipeline را بیش از یک سطر وارد کرد.
۱) علامت ‘ : زمانی که آخرین حرف در یک سطر باشد، PowerShell یک سطر دیگر برای ادامه دستور اختصاص می دهد و دستور را اجرا نمی کند. به عنوان مثال:

Get-ADGroupMember -Identity Sales | `
Set-ADUser -Enabled $false


2) علامت لوله | : اگر علامت لوله در پایان یک خط باشد، PowerShell تصور می کند دستور نا تمام است و در سطر بعدی ادامه دستور را می توانید وارد کنید. به عنوان مثال:

Get-ADGroupMember -Identity Sales |
Set-ADUser -Enabled $false



3) آکولاد {} : یک عبارت می تواند در میان دو آکولاد قرار بگیرد و PowerShell تا بسته نشدن آکولاد آن دستور را نا تمام در نظر می گیرد.
زمانی که Prompt به خط دوم برای دستور می رود به صورت << خواهد شد. می توانید خط را خالی رها کنید تا دستور اجرا گردد.




نام های مستعار . ./

PowerShell اجازه می دهد تا یک cmdlet دارای یک نام مستعار (Alias) باشد. به عنوان مثال gsv نام مستعار برای Get-Service است. با استفاده از دستور زیر می توانید لیست Alias ها را برای یک دستور معین مشاهده کنید به طوری که cmdlet دستور می باشد:

Get-Alias -Definition cmdlet



همچنین اگر می خواهید بدانید که نام مستعار مربوط به کدام دستور است می توانید از دستور زیر استفاده کنید. فراموش نکنید که cmdlet های استاندارد دارای فرمت فعل-مفعول اند. در اینجا Alias نام مستعار مورد نظر است:

Get-Alias Alias






.

([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
آموزش رایگان تصویری به زبان فارسی Server 2008R2 70-640
([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])


Active Directory . ./
([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])





([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])فیلم های اموزشی این تاپیک رو حتما دانلود کنید . ./

و

Namespace، Provider و PSDrives . ./

cmdletها روی اشیاء در یک فضای نامی (Namespace) عمل می کنند. به عنوان مثال یک folder روی disk یک namespace است. این فضاهای نامی توسط Provider (فراهم آورنده) ساخته می شوند. به عنوان مثال File System دارای یک Provider است که به این ترتیب می تواند به صورت مستقیم با آن در ارتباط باشد و روی آن عملیات انجام دهد. این مسئله برای Registry هم صادق است.


در PowerShell فضای نامی که توسط هر Provider ساخته شده است توسط یک PSDrive معین می گردد. PowerShell به صورت خودکار یک PSDrive برای هر کدام از Drive های ویندوز می سازد. PowerShell اما استفاده از PSDrive را به مرحله ای فراتر می برد و با استفاده از ساخت PSDrive برای منابعی که متداولا استفاده می گردد، سبب می گردد دسترسی به منابع از طریق PowerShell آسان تر گردد. به عنوان مثال HKCU مربوط به HKEY_CURRENT_USER و HKLM مربوط به HKEY_LOCAL_MACHINE از Registry است. برای مشاهده لیست کامل PSDrive ها دستور زیر را وارد کنید:



Get-PSDrive



PowerShellهمه فن حریف . ./

PowerShell یک رابط متنی مدرن، ساده و یکپارچه است که با استفاده از آن می توانید عملیات پیچیده را به راحتی بنویسید و طعم شیرین مدیریت روی خط فرمان را بچشید. مدیریت با استفاده از PowerShell به تمام مدیران توصیه می گردد چرا که با استفاده از این ابزار پیشرفته می توان بهره وری را افزایش داد. مشابه هر رابط متنی خوب دیگری، با استفاده از فشردن کلید Tab می توانید تکمیل دستور را بر عهده PowerShell قرار دهید و فقط حروف ابتدایی دستور را تا زمانی که قابل تمیز دادن باشد وارد کنید.



./Active Directory Provider


PowerShell دارای یک Provider برای Active Directory است. ابتدایی ترین مزیت آن این است که با استفاده از این Provider می توان به همان راحتی که فایل ها را در دیسک کاوش می کنید، در Active Directory کاوش کنید. برای دسترسی به PSDriver مربوط به Active Directory کافی است دستور زیر را وارد کنید:



cd AD:



همانطور که مشاهده می کنید خط Prompt به AD تغییر می کند و AD اشاره به Root Directory Service Entry یا همان RootDSE دارد. اکنون با دستور Dir می توانید لیست محتویات را مشاهده کنید و با دستور cd می توانید به شاخته های مختلف بروید. در اینجا می خواهیم در OU=Sales یک OU جدید برای مسئولین قرارداد ایجاد کنیم:



cd AD:
cd "dc=erfantaheri,dc=com"
cd "ou=Sales"
New-Item -Name "ou=Contractors" –ItemType organizationalUnit




همچنین می توان با استفاده از پارامتر path بدون انتقال به شاخته مورد نظر مستقیما در مسیر مطلوب آیتم را ایجاد کرد. با استفاده از Alias ها دستور بسیار کوتاه تر از این می تواند باشد.



New-Item -Name "ou=Contractors" –ItemType organizationalUnit –path “ou=sales, DC=erfantaheri, DC=com”




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])






.

.

مشاهده مشخصات کاربران و تغییر دادن آنها



اگر در قسمت users " از hamrahanit.local " Active Directory users and computers روی یک کاربر کلیک راست کرده و گزینه properties راانتخاب نمائید، پنجره جدیدی ظاهر شده که در آن مشخصات کامل آن کاربر را دیده و می توانید آنها را تغییر دهید.





برگه account :شامل logon name . password و accont flag ها است

برگه های general . adress . telephone . organization : برگه general به نمایش میزاره properies نام رو زمانی که شما ایجاد میکنید ابجکت کاربر را. بعلاوه توضیحات اولیه و اطلاعات contact
برگه های telephone و address اطلاعات جزییتری از contact را به نمایش میزارند

برگه telephone همچنین شامل فیلد note هست
برگه organization نمایش میده job title . departemant company و ارتباطات سازمانی را

برگه profile : در اینجا شما میتونید پیکربندی کنید profile path . login script و home folder کاربران را.

برگه member of tab : شما میتونید اضافه و حذف کنید کاربر را از گروه و تغییر بدید گروه اصلی کاربر را

برگه dial-in : شما میتونید فعال کنید و پیکربندی کنید permission remote access رو برای کاربران

برگه com+ شما اختصاص میدهید کاربران اکتیو دایرکتوری رو به بخش set
این ویزگی تسهیل میبخشد مدیریت توزیع برنامه های کاربردی










.

مدیریت attribute های چندین کاربر :

ویرایش چندین کاربر با هم :


انتخاب کنید چندین کاربر را با نگه داشتن کلید ctrl و انتخاب انها و بعد properties را انتخاب کنید





زبانه Account – گزینه Logon Hours:

اگر روی این گزینه کلیه کنید پنجره ای ظاهر خواهد شد. این پنجره به شما نشان می دهد که این کاربر در چه ساعاتی از شبانه روز در یک هفته اجازه logon کردن به Domain را دارد، شما این محدودیت را به اعضای هر ساعت در شبانه روز و هر روز در هفته می توانید تعیین کنید.

خانه هایی که به رنگ آبی پر شده اند بیانگر این می باشند که در آن ساعت و در آن روز کاربر اجازه logon کردن دارد. شما به راحتی می توانید با کلیک کردن روی یک خانه و یا select کردن جمعی از خانه های آن را به رنگ آبی (به منزله اجازه دادن برای logon شدن) و یا به رنگ سفید (به منزله اجازه ندادن برای logon شدن) در آورید. و توجه کنید که رنگ تمام خانه هادر حالت پیش فرض، آبی رنگ می باشند.

زبانه Account- گزینه ... Log on to:

با کلیک کردن روی این گزینه پنجره ای نمایش داده می شود:

در این پنجره تنظیمات پیش فرض طوری انجام شده که کاربر مربوط، با کلیک کردن از روی هر کامپیوتری به logon, Domain شود. شما با انتخاب گزینه The Following computer می توانید برای کاربر محدودیت ایجاد کنید تا فقط از روی کامپیوترهایی که مدنظر شما می باشد بتواند logon کند. برای انجام این کار در قسمت Computer اسامی کامپیوترها را یک به یک نوشته و با فشار دادن دکمه add آنها را به لیست اضافه کنید.

برگه Account- بخش Account expires:

توسط این گزینه شما می توانید محدودیت زمانی برای فعال بودن کاربر تعریف نمائید. تنظیم پیش فرض این بخش روی گزینه Never می باشد.

بدین معنی که اعتبار این کاربر منقضی نخواهد شد. شما می توانید به انتخاب گزینه End of و انتخاب تاریخ از لیست و تقویم مقابل، یک تاریخ انقضا برای کاربر انتخاب کنید.











.

سیاستهای کلمه عبور



سیاستهای کلمه عبور چگونگی برخورد با کلمه عبور را کنترل می کند. برای ویرایش سیاستها بر روی آنها دو بار کلیک نمایید و اطلاعات مورد نیاز را ویرایش نمایید. مهمترین اطلاعات مورد استفاده در سیاستهای کلمه عبور به شرح زیر می باشد:


· Enforce password history : این سیاست به ویندوز 2003 سرور می گوید کلمه عبوری را که کاربران اخیرا مورد استفاده قرار داده اند را به خاطر بسپارید. کاربر حق استفاده از کلمات عبور قبلی رانخواهد داشت. در عوض،هر وقت آنها بخواهند کلمه عبور را عوض نمایند، بایستی کلمه عبور جدید انتخاب نمایند. شما می توانید مشخص نمایید چند کلمه عبور قدیمی به خاطر سپرده شود.


· Maximum password age : حداکثر روزه های را که کاربر می تواند کلمه عبور را بدون تغییر نگه دارد را مشخص نمایید. موقعی که آن تعداد روز سپری شد، کاربر بایستی کلمه عبورش را عوض نمایید.
· Minimum password age: حداقل روزی را که یک کلمه عبور بایستی بدون تغییر بماند را مشخص نمایید.


· Minimum password length: کلمات عبور کوتاه به راحتی توسط هکرها حدس زده می شود. می توانید کلمات عبور را با محدود کردن حداقل طول کلمه عبور، قابل اطمینان تر نمایید حداقل طول کلمه عبور معمولا بین 6 تا 10 کاراکتر می باشد. حدس زدن کلمات عبور طولانی سخت تر از کلمات عبور کوتاه می باشد. یقینا به خاطر سپردن کلمات عبور طولانی نیز سخت تر می باشد، بنابراین حداقل طول کلمات عبور را بیشتر از 10 قرار ندهید. (در بیشتر مورد کاربران دوست دارند با کلمه عبوری کوتاهتر از حداقل طول کلمه عبور به سیستم وارد شوند.)


نکته: با ترکیب سیاستهای فوق شما می توانید مطمئن شود که کاربران در همه زمانها کلمه عبورشان را از نو ایجاد می کنند. برای مثال، شما می توانید سابقه کلمه عبور را 10، ماکزیمم عمر آن را 30 روز و حداقل عمر آن را 25 روز قرار دهید ومطمئن باشید کاربران هر ماه کلمه عبورشان از نو ایجاد می گردد.


طراحی خوب سیاست های کلمه عبور باعث می شود که حدس زدن کلمه عبور برای هکرها مشکل باشد و کاربران به طور متوالی کلمه عبور را تعویض نمایند. این دوکار باعث می شود حدس زدن کلمه عبور کاربران و نفوذ به سرور بر ای هکرها مشکل گردد.


توجه! سیاستهای کلمه عبور برای سرورهای عضو و standalone به صورت تکی انجام می گیرد. اگر کاربران دارای حساب کاربری بر روی چندین سرور باشند. احتمالا آنها از کلمه عبوری یکسانی استفاده خواهند کرد. سیاستهای کلمه عبور یکسانی را برای سرورها اعمال نمایید.





.

سیاستهای lock کردن حساب کاربری



اگر هکر بخواهد از طریق حدس زدن کلمه عبور به کامپیوترتان نفوذ نماید، بایستی چند بار با کلمات عبور مختلف تلاش نماید. ویندوز 2003 می تواند تعداد تلاشهای ناموفق یک حساب کاربری با کلمه عبور غیر معتبر را پیگیری نماید وبرای جلوگیری از نفوذ آینده هکر از طریق حدس زدن کلمه عبور، به منظور lock نمودن آن حساب کاربری پیکربندی شود. این پیکربندی از طریق Account Lockout policy موجود در برنامه Local security policy صورت می گیرد به مانند سیاستهای کلمه عبور، سیاست lock نمودن حساب کاربری می تواند ویرایش شود. بر روی سیاست مورد نظر دو با کلیک نماییدو اطلاعات مورد نیاز را ویرایش نمایید. مهمترین این اطلاعات شامل موارد زیر می باشد.


· Account Lockout threshold: این سیاست در ویندوز 2003 سرور مشخص می کند یک کاربری چند بار به کلمه عبور اشتباه می تواند تلاش نماید. بعد از اینکه تعداد تلاشها از حد آستانه سپری شد، حساب کاربری lock می شود. برای مثال، باتنظیم این سیاست به 3، می توانید مطمئن باشید که یک حساب کاربری بعد از وارد نمودن سه کلمه عبور اشتباه پشت سر هم lock می گردد. مقدار این سیاست را خیلی کوچک در نظر نگیرید، زیرا پس از مدتی، بسیاری از حسابهای کاربری Lock می شوند. از طرف دیگر بالا بودن مقدار این سیاست به هکرها امکان تلاش بیشتری را می دهد. یک انتخاب خوب برای این سیاست بین 3 تا 5 تلاش می باشد.


· Account lockout duration: این سیاست مدت lock ماندن یک حساب کاربری را نشان می دهد. شما می توانید مدتی را انتخاب نمایید یا مقدار آن را صفر قرار دهید تا از حالت Lock در آوردن یک حساب کاربری به صورت دستی انجام گیرد.


وقتی حساب کاربری lock می گردد، از برنامه Computer Management به منظور فعال نمودن حساب کاربری می توانید استفاده نمایید. همان طوری که در شکل مشاهده می کنید حساب کاربری کاربران lock شده با آیکن خاصی نشان داده می شود. به راحتی بر روی حساب کاربری مورد نظرتان کلیک راست نمایید و از منوی popup ظاهر شده گزینه properties را انتخاب نمایید و به منظور Unlock کردن کاربر check box مربوط به Account Is Locked Out را حذف نمایید.





,

.


مدیریت گروه ها در Active Directory

به دلیل تعدد تعداد User ها مدیریت آن ها عملا غیر ممکن است. به همین دلیل از گروه هایی استفاده می کنیم تا مدیریت ها در محیط اکتیو دایرکتوری ساده تر صورت گیرد. از طرف دیگر، با گذر زمان، کاربران، کامپیوتر ها و سرویس ها در محیط اکتیو دایرکتوری تغییر می کنند و در صورت مدیریت مستقیم روی کاربران، سبب دوباره کاری می شود. به عنوان مثال ممکن است در سازمان، حتی تنها یک کاربر خاص به دسترسی هایی که سایر کاربران ندارند لازم داشته باشد. در این شرایط هم حتی باید از یک Group که تنها همان یک کاربر عضو آن است استفاده شود.

دلیل این امر آن است که در صورت تغییر کاربر با شخص دیگری، از دوباره کاری و پیچیده شدن تعیین دسترسی ها جلوگیری به عمل آید. از طرف دیگر، تصور کنید در دپارتمان فروش، ۱۰۰ کاربر باید به ۱۰ Shared Folder مختلف در سه سرور مختلف دسترسی داشته باشند. ضمن آنکه تعیین دسترسی کاربر و تغییرات احتمالی بدون استفاده از گروه ها، عملیات طاقت فرسایی است، با توجه به آنکه هر تغییر در ACL فایل ها، سبب می شود Archive Flag فایل ۱ شود، سبب خواهد شد که عملیات Backup با چالش جدی رو به رو شود.

اکنون تصور کنید که علاوه بر کاربران دپارتمان فروش، که آن ها را یک گروه در نظر می گیریم، کاربران گروه های مشاوران فروش و بخش بازاریابی هم لازم است به همان Shared Folder ها دسترسی داشته باشند. بنابراین این باید در هر Shared Folder سه مجوز دسترسی مختلف تعیین کرد. اکنون اگر لازم باشد هشت مشاور ارشد که در گروه های متمایزی عضو هستند، نیز به همان Shared Folder ها دسترسی داشته باشند لازم است مجددا ACL تغییر کند.

در اینجا به راحتی حدس زده اید که گروه ها تنها نباید شامل کاربران باشند و در دو مرحله باید طراحی صورت گیرد تا مدیریت موثر تر باشد. ابتدا کاربران را بر اساس وظیفه سازمانی در گروه های معین قرار می گیرند و سپس گروه دیگری که شامل گروه هایی باشد که لازم است به آن ۱۰ Shared Folder دسترسی داشته باشند. این گروه را در تعیین ACL روی Shared Folder ها استفاده می کنیم. به عبارت دیگر، دلیل وجود گروه اول، تعدد کاربران بود، اما دلیل وجود گروه دوم، نا متمرکز بودن و تعدد ACL ها بود.

معمولا گروه های این چنینی را با پسوند ACL_ نمایش می دهیم تا از سایر گروه ها متمایز باشد. گفتی است در سناریوی فوق می توان از راهکارهای مدیریت فایل نیز استفاده کرد که در اینجا مورد بحث نیست.








.

اما Group Scope های ما :

Local : این گروه توانایی پذیرفتن اعضا از تمامی Domain های Forest خود و همچنین دومین های سایر Forest ها که با آنها Trust دارند را دارا میباشد.

محدوده حرکتی این Scope هم فقط داخل Domain خودش هست و از طریق سایر Domain ها دیده نمیشه.


Global :این گروه هم فقط از دومین خود عضو پذیری دارد اما محدوده ی حرکتی وسیعی دارن یعنی در تمامی دومین های Forest خود و سایر Forest هایی که با آنها Trust دارد قابل دسترسی میباشد.


Universal : این گروه نیز توانایی عضو پذیری از تمامی دومی های Forest خود را دارد و محدودهی حرکتی مشابه با Global Scope دارد .یعنی میتواند به تمامی دومین های Forest خود و سایر دومین ها در Forest های دیگر در صورت وجود Trust حرکت کند.

مثال کاربردی از این گروه ها :
شما فرض کنید یک فایل سرور در Domain A و Forest A دارید و نیاز دارید اعضایی از Domain B در Forest B به این فایل ها دسترسی داشته باشن .خوب شما میتونید از این گرو ها برای ارائه Permission به گروهی از کاربران دومین مورد نظر برای دسترسی به فایل ها ایجاد کنید .


برای تعیین حوزه گروه ها از سه فاکتور زیر استفاده می شود:

۱) Replication: گروه کجا معین شده و در کجا Replicate می شود؟

۲) Membership: چه اشیایی می توانند در گروه عضو شوند؟

۳) Availability: در کجا گروه می تواند مورد استفاده قرار گیرد؟




امکان تبدیل مستقیم حوزه گروه ها به صورت زیر وجود دارد:

Global به Universal
Domain Local به Universal
Universal به Global
Universal به Domain Local


*. برای تبدیل هایی که به صورت مستقیم انجام نمی شود، می توان ابتدا به حوزه قابل تبدیل تبدیل گردد و سپس به حوزه مطلوب تبدیل شود. توجه شود که با آنکه امکان تبدیل وجود دارد اما اگر عضویت هایی بر خلاف عضویت های حوزه مطلوب وجود داشته باشد، امکان تبدیل وجود نخواهد داشت. بنابراین لازم است پیش از تبدیل، عضویت ها اصلاح شود.

گروه Universal منعطف ترین حوزه است اما با یک هزینه. از آنجایی که در GC اطلاعات اعضا ذخیره می شود، اگر Functional Level (حوزه عملکرد دامین) Windows Server 2000 باشد تمام Member List باید Replicate شود. البته در Windows Server 2003 به دلیل استفاده از linked-Value Replication فقط تغییرات منتقل می شود. اگر DC دارای Windows Server 2003 / 2008 باشد، دارای Universal Group Membership Caching است. اگر Universal Group Membership Caching فعال باشد، SID های گروه های Universal و Global در خصیصه ی MSDS-Cached-Membership اشیاء User و Computer نگه داری می شود. عمل Cache در اولین logon صورت می گیرد، بنابراین اگر اولین logon کاربر در زمان down بودن GC باشد، کاربر نمی تواند logon کند. این ویژگی به Functional Level وابسته نیست و باید برای هر Site در اکتیودایرکتوری فعال باشد. اطلاعات Cache شده هر هشت ساعت یک بار به صورت پیش فرض به روز می شوند. برای یک کاربر منحصر به فرد امکان Force کردن به روز رسانی از طریق ADSI Edit وجود دارد. اگر اطلاعات برای هفت روز نتواند به روز شود، اطلاعات قدیمی در نظر گرفته شده و discard می شود. بنابراین برای Logon به GC نیاز است.


Restart کردن یک DC باعث Refresh شدن تمام اطلاعات می شود. برای Refresh شدن اطلاعات بدون Restart شدن DC در تمام DC ها مقدار updateCachedMembership در RootDSE را به ۱ باید تغییر داد. (با استفاده از LDP.EXE) هر دو متد باید روی تمام DC های یک سایت صورت گیرد.
استراتژی مدیریت گروه ها

پیش از این به محدودیت های تکنیکال در گروه ها اشاره شد. اکنون به دنبال یک استراتژی کارا هستیم. همانطور که دیدید، برای مدیریت موثر تر و محدودیت ها لازم است گروه ها عضو گروه های دیگر شوند، به فرآیند اضافه کردن یک گروه به گروه دیگر اصطلاحا Nesting گفته می شود. با متد ساده زیر، می توان به بهترین استراتژی دست یافت: (حهت سهولت در به خاطر سپاری به این شکل نوشته شده ا





.

گروه ها در ویندوز سرور 2008
گروه ها مجموعه ای از اشیاء مانند ( کاربران ، کامپیوترها ، چاپگرها و حتی گروه های دیگر ) هستند که از آن برای دادن مجوزهای دسترسی به منابع شبکه به مجموعه ای از اشیاء به شکل همزمان استفاده می شود. ما در ویندوز سرور 2008 دو نوع گروه داریم، یکی گروه های محلی و دیگری گرو های دامنه .


گروه های محلی
هنگامی که شما یک کامپیوتر ویندوز سرور 2008 را بعنوان یک سرویس دهنده عضو ، مثلا بعنوان سرویس دهنده DHCP یا سرویس دهنده DNS ( و نه به عنوان دامین کنترولر ) پیکربندی می نمایید ، تعدادی گروه محلی بصورت اتوماتیک در آن ایجاد می شود به طوری که می توان به کاربرانی که عضو آن گروه ها هستند اجازه داد اعمالی که به آن گروه ها واگذار شده است را انجام دهند.می توان کاربران را عضو گرو های محلی پیش فرض کرد. همچنین می توان گره های محلی جدیدی را در کامپیوتر ایجاد نمود و به گروه خاصی از کاربران ، حقوق خاصی برای انجام بعضی از کارها اعطا کرد و یا اجازه دسترسی به منابع خاصی از شبکه را به آنها داد.اما باید توجه کرد که دلیل استفاده از گروه ها بیشتر محدود کردن اعمال کاربران بر روی سرویس دهنده است و نه دادن حق انجام اعمال . یعنی اگرچه می توان با استفاده از گروه ها به کاربران خاصی اجازه انجام برخی از کارهای مدیریتی را داد ولی بهتر است که از گروه ها برای محدود کردن اجازه دسترسی کاربران به منابع شبکه استفاده کرد.

هنگامی که یک کامپیوتر ویندوز سرور 2008 را بعنوان یک سرویس دهنده عضو در نظر می گیرید در آن تعدادی گروه محلی پیش فرض ایجاد می شود که هر یک از آن ها دارای حقوق مدیریتی خاصی می باشند . گروه های محلی پیش فرض را می توان در پوشه Groups واقع در کنسول مدیریتی Local Users and Groups Management مشاهده نمایید.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



بعضی از مهمترین گروه های پیش فرضی که در این پوشه قرار دارند به قرار زیر می باشد :



Administrators : اعضای این گروه ، حقوق نامحدودی برای دستکاری یا مدیریت محلی یا از راه دور کامپیوتر دارند. به طور پیش فرض Administrator محلی ( Local Administrator ) و اعضای گروه Domain Admins ، عضو این گروه هستند.




Guests : فقط اکانت Guest عضو این گروه است. ولی در ویندوز سرور 2008 اکانت Guest به طور پش فرض غیر فعال است. اعضای این گروه هیچ گونه حقوق یا جواز پیش فرضی ندارند. اگر اکانت Guest را فعال کنید و مهمانی به کامپیوتر وارد شود، در زمان ورود او یک پروفایل موقتی ایجاد می گردد که در زمان خروج پاک می شود.




Remote Desktop Users : اعضای این گروه می توانند از راه دور به سرویس دهنده وارد شوند.




Users : اعضای این گروه می توانند اعمال مقدماتی همچون اجرای برنامه ها و استفاده از چاپگرها را انجام دهند. اعضای این گروه نمی توانند منابع اشتراکی یا چاپگر ایجاد کنند.(ولی می توانند به چاپگرهای شبکه وصل شوند تا آن ها را به صورت محلی نصب کنند). همه ی اکانت های کاربری که در دامنه ایجاد می شوند عضو این گروه هستند.




Telnet Clients : اعضای این گروه می توانند به سرویس Telnet Server کامپیوتر، اگر در حال اجرا باشد، استفاده کنند. به طور پش فرض سرویس Telnet Server غیرفعال است.











.

گروه های دامنه
گروه های دامنه بخشی از اکتیودایرکتوری هستند و می توانند در دامین ریشه جنگل ، در هر دامینی از جنگل و یا در یک OU ( ساختار سازمانی ) وجود داشته باشند. کامپیوتر ویندوز سرور 2008 ای که به عنوان دامین کنترولر ( DC ) استفاده می شود بصورت اتوماتیک گروه های پیش فرضی را در دامین ایجاد می کند. مدیریت گروه ها در دامین از طریق کنسول Active Directory Users and Computers انجام می شود. همانند گروه های محلی ، می توان گروه های جدیدی در دامین ایجاد کرد و یا به گروه های موجود در دامین ، عضو اضافه کرد.

گروه های دامنه پیش فرض
وقتی که اکتیودایرکتوری را در یک ویندوز سرور 2008 نصب می کنید و یک دامین کنترولر ایجاد می نمایید ، سیستم به صورت خودکار تعدادی گروه را ایجاد می کند. برخی از گروه ها در Container (حاوی) Built-in هستند و برخی دیگر از گروه ها در حاوی Users قرار دارند.

برخی از مهمترین گروه های واقع در حاوی Built-in به قرار زیر می باشد :



Account Operators : اعضای این گروه می توانند به ایجاد، تغییر، و حذف اکانت های کاربران، گروه ها و کامپیوترهایی که در حاوی Users یا حاوی Computers و یا در OU قرار دارند(ولی نه در OUی توکار Domain Controllers )، بپردازند. اما اعضای این گروه نمی توانند گروه های Administrators یا Domain Admins ، و یا اکانت های اعضای این گروه ها را تغییر دهند. اعضای این گروه می توانند به صورت محلی به همه ی DC های دامنه وارد شوند و می توانند آن ها را خاموش کنند.




Administrators : اعضای این گروه کنترل کاملی روی همه ی دامین کنترول های دامنه دارند. به طور پیش فرض اکانت Administrators و گروه های Domain Admins و Enterprise Admins ، عضو این گروه هستند.




Backup Operators : اعضای این گروه می توانند به پشتیبان گیری و بازیابی فایل های همه ی دامین کنترول های دامنه بپردازند، صرف نظر از جوازهایی که روی آن فایل ها دارند. اعضای این گروه همچنین می توانند به همه ی دامین کنترول ها وارد شوند، و آن ها را خاموش نمایند.




Guests : اعضای این گروه هیچ حق پیش فرضی ندارند. اکانت Guest (که به طور پیش فرض غیرفعال است) و همچنین گروه Domain Guest (واقع در حاوی Users) عضو این گروه هستند.




Incoming Forest Trust Builders : این گروه فقط در دامنه ریشه جنگل ظاهر می شوند. اعضای این گروه می توانند رابطه اعتمادی جنگل یک طرفه ی ورودی ( One-way Incoming )را به دامنه ریشه ی جنگل ایجاد کنند.




Print Operators : اعضای این گروه می توانند چاپگرهای دامنه را مدیریت کنند.




Remote Desktop Users : اعضای این گروه می توانند با نرم افزار سرویس گیرنده ی Remote Desktop ، از راه دور به دامین کنترول های دامنه وارد شوند.




Server Operators : اعضای این گروه، توانایی انجام این کارها را در DC ها دارند : ایجاد و حذف منابع اشتراکی - به کار انداختن و متوقف کردن برخی از سرویس ها - پشتیبان گیری و بازیابی فایل ها - فرمت کردن درایوها - خاموش کردن کامپیوتر







.

Users : اعضای این گروه می توانند معمولترین کارها را انجام دهند( از قبیل اجرای برنامه ها، و استفاده از چاپگرهای محلی و شبکه ). به طور پش فرض گروه های Domain Users و Authenticated Users عضو این گروه هستند. ( این بدان معنی است که هر اکانت کاربری که در دامنه ایجاد می کنید به صورت اتوماتیک عضو گروه Users می شود ).




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





برخی از مهمترین گروه های واقع در حاوی Users به قرار زیر می باشد :



Cert Publishers : اعضای این گروه می توانند به انتشار مجوز برای کاربران و کامپیوترها بپردازند.




Domain Admins : اعضای این گروه کنترل کاملی روی دامنه دارند. به طور پیش فرض این گروه عضو گروه Administrators همه ی دامین کنترول ها، همه ی ایستگاه های کاری دامنه ، و همه ی سرویس دهنده های عضو دامنه است. اکانت Administrators به صورت اتوماتیک عضو این گروه می باشد، و شما نباید کاربران دیگر را به این گروه اضافه کنید مگر اینکه آن ها تجربه و مهارت کافی داشته باشند.




Domain Computers : این گروه حاوی همه ی ایستگاه های کاری و سرویس دهنده های عضو دامنه است.




Domain Controllers : این گروه حاوی همه ی کنترل کننده های دامنه است.




Domain Users : این گروه حاوی همه ی کاربران دامنه است. به عبارت دیگر هر اکانت کاربری که در دامنه ایجاد می شود عضو این گروه است.




Enterprise Admins : این گروه فقط در دامنه ی ریشه ی جنگل ظاهر می شود. اعظای آن کنترل کاملی روی همه ی دامنه های جنگل دارند، و این گروه عضو گروه Administrators همه ی دامین کنترول های جنگل است. به طور پیش فرض اکانت Administrator عضو این گروه است، و شما نباید کاربرانی که مهارت و تجربه کافی در زمینه مسائل شبکه ندارند را به این گروه اضافه کنید.




Group Policy Creators Owners : اعضای این گروه می توانند سیاست های گروه را در دامنه تغییر دهند. به طور پش فرض اکانت Administrator عضو این گروه است، و شما باید فقط کاربرانی را به این گروه اضافه کنید که توانایی و دانش کافی در اعمال سیاست های گروه را دارا می باشند.




Schema Admins : این گروه فقط در دامنه ریشه ی جنگل ظاهر می شود. اعظای این گروه می توانند شمای اکتیودایرکتوری در جنگل را تغییر دهند. به طور پش فرض اکانت Administrator عضو این گروه است، و فقط باید کاربرانی را به این گروه اضافه کنید که در زمینه کار با اکتیودایرکتوری مهارت دارند.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



.

.


گروه های خاص در دامنه
در دامین گروه هایی وجود دارد که نمی توانید آنها را کنسول اکتیودایرکتوری ببینید و یا اعضای آنها را مشاهده نموده و یا تغییر دهید. این گرو ها را فقط وقتی می توانید ببینید که می خواهید روی منابع شبکه مجوز قرار دهید . این گروه ها ، گروه های خاص نامیده می شود و ویندوز در شرایط خاصی از آنها برای نمایش کاربران مختلف استفاده می کند و عضویت در آنها موقتی و گذراست . برای نمونه گروه Everyone نماینده همه کاربرانی است که در حال حاضر در شبکه وارد شده اند. مهمترین گروه های خاص عبارتند از :



Anonymous logon : کاربران و سرویس هایی را مشخص می کند که از طریق شبکه و بدون داشتن اسم اکانت و پسورد و یا اسم دامنه به یک کامپیوتر و منابع آن دست می یابند.




Everyone : شامل همه کاربرانی است که در حال حاضر در شبکه هستند . از جمله کاربران مهمان و کاربران سایر دامین ها. هر کاربری که به شبکه وارد می شود به صورت خودکار عضو این گروه می گردد.




Network : نماینده ی کاربرانی است که در حال حاضر از طریق شبکه (نه به صورت محلی و از طریق کامپیوتری که دارنده منبع است ) به یک منبع خاص دستیابی حاصل کرده اند. هر کاربری که از طریق شبکه به منبعی دست می یابد به صورت اتوماتیک عضو این گروه می شود.




Interactive : شامل هر کاربری است که در حال حاضر به یک کامپیوتر خاص وارد شده و به یک منبع خاص آن کامپیوتر دستیابی حاصل کرده است. (متضاد Network ). هر کاربری که به صورت محلی کار می کند و به منبعی روی کامپیوتر دست می یابد به صورت اتوماتیک عضو گروه Interactive می شود.




.

روش های اعطای مجوز به کاربران


از روش های مختلفی برای اعطای مجوز به کاربران به کمک گروه ها می توان استفاده نمود.


روش AGP: در این روش کاربران (Account ها) را در گروه های مختلف از نوع Global دسته بندی می کنند. این دسته بندی از نظر نوع کار و محل جغرافیایی کاربران انجام می شود. سپس مجوز (permission) لازم به گروه ها اعطا می شود.


از این روش در شبکه هایی که تعداد object ها زیاد نیست می توان استفاده کرد.




روش ADLP: در این روش کاربران (Account ها) را در گروه های مختلف از نوع Global دسته بندی می کنند. سپس گروه هایی از نوع Local Domain ایجاد کرده و به آنها مجوز (Permission) لازم را اعطا می کنند. حال تمامی گروه های Global که لازم است مجوزهای مربوط را داشته باشند، می توان به عضویت گروه های Local Domain در آورد.


از این روش در شبکه هایی که تعداد object های زیادی دارند و یاشبکه هایی که از چندین Domain تشکیل شده اند، استفاده می شود.






اکانت ها (Users و Computer) عضو

گروه های Global بر اساس نقش سازمانی (Roles) می شوند. این گروه ها عضو
گروه های Domain Local می شوند تا قواعد (Rules) و دسترسی ها روی ان گروه ها اعمال شود و یک گروه ها به
ACL ها اضافه می شوند.
در یک جنگل چند دامینی، گروه های Global عضو یک گروه Universal می شوند و گروه Universal عضو یک گروه Domain Local است تا در ACL قرار گیرد. همچنین کاربران می توانند در گروه Universal قرار گیرند.

همانطور که اشاره شد گروه های Global بر اساس Roles و گروه های Domain Local بر اساس Rules ساخته می شوند. درک تفاوت این دو بسیار مهم و قابل توجه است. به دلیل سطح دسترسی های متفاوت معمولا لازم است که برای یک منبع چند گروه Domain Local ساخته شود. البته بدیهی است در بسیاری از سناریو ها که تنها لازم یک گروه Global به یک منبع دسترسی داشته باشد از ساخت گروه Domain Local صرف نظر می شود. همچنین در منابع موقتی و کاربران کم در سازمان های کوچک، از ساخت Global Group ها صرف نظر می شود.

در تصویر زیر بر اساس بهترین استراتژی ساخت گروه ها و بر اساس Role های سازمانی و Rule های مدیریتی گروه ها ساخته شده است. در ابتدا بدون توجه به Rule های دسترسی، و با توجه به Role سازمانی کاربران هم کار (کاربرانی که در یک دپارتمان کار می کنند) در گروه های Global قرار می گیرند و برای تعیین Rule های دسترسی در گروه های Domain Local با پیشوند ACL_ قرار گرفته اند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]








.

delegate کردن



اکتیو دایرکتوری معمولا به عنوان یک سامانه مرکزی امنیتی و تعیین هویت توسط سازمان ها شناخته می شود که سبب کاهش هزینه های نگه داری و مدیریت ساده تر روی کاربران می شود. اما همواره برخی سازمان ها، به ویژه سازمان های کوچک و سازمان های با بروکراسی، با سوالاتی نظیر، اگر مدیریت غیر مرکزی در بخش ها مختلف لازم باشد، آیا مدیران هر بخش دسترسی به اندازه کافی محدودی دارند،
مدیریت روی یک شیئ موجود در data store اکتیو دایرکتوری فقط توسط مدیر موجه می تواند صورت گیرد و سوالاتی از این قبیل دارند

. برخی از مدیران شبکه برای این دسته از موضوعات به راهکار دامین های چند تایی روی می آورد. راهکار دامین های چند تایی با توجه به هزینه دار بودن و بسیاری موارد دیگر، اغلب راهکار مناسبی نیست. در طراحی های اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸ همواره می کوشیم تا از ایجاد دامین های چندتایی جلوگیری شود. این گونه سوالات همواره جوابشان نحوه Delegation است. همچنین بدیهی است تمام اعمال مدیریتی توسط مدیر هر بخش نمی تواند صورت گیرد و در بسیاری از مورارد همانند ریست کردن پسورد های فراموش شده لازم است به پشتیبانی محول گردد

. Delegation به این معنا است که یک مدیر بالاتر، یک کاربر دیگر را قادر می سازد تا برخی از توانایی های مدیریتی خود را انجام دهد. ساختار اکتیو دایرکتوری یک ساختار سلسه مراتبی است. ابتدا در سطح ساختار جنگل و دامین ها، سایت ها و سپس در سطح واحد های سازمانی (OU). این ساختار سلسه مراتبی علاوه بر تمام ویژگی هایی که ایجاد می کند، قابلیت های قدرتمندی برای تنظیم مجوز های دسترسی و Delegation فعالیت های مدیریتی ایجاد می کند. وظایف مدیریتی در اکتیو دایرکتوری شامل دو دسته هستند که در جدول زیر آمده است:

دسته

وظایف

Data mangement


Account mangement
Security Group mangement
Resource mangement
Group Policy mangement
Application Specific Data mangement


Service mangement


Trust mangement
Directory Data Store mangement
Schema mangement
Operation Master Roles mangement
Backup & Restore mangement
Replication mangement


Security Policy mangement






دسترسی به اشیاء در اکتیو دایرکتوری

زمانی که کاربر در محیط اکتیو دایرکتوری Logon می کند، یک Token دسترسی دریافت می کند که شامل SID شیئ User Account او است. همچنین این Token شامل SID تمام Security Group هایی که کاربر در آن عضو است می باشد. هر Object دارای یک Security Descriptor است که شامل اجزای زیر است:

Obejct Owner: به صورت پیش فرض Creator شیئ Owner آن است. تا زمانی که Take Ownership روی شیئ صورت نگرفته باشد، SID اکانت مربوطه در این فیلد قرار دارد.
Primary Group: این اطلاعات فقط توسط POSIX یا Portable Operating System Interface for Unix استفاده می شود و شامل Primary Group مالک است.
DACL: لیستی از ACE ها که جهت کنترل دسترسی به کار می رود.
SACL: لیستی که سیاست های بازبینی (Auditing) را معین می کند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱-۱: ارتباط User Access Token و Object Security Descriptor

یادآوری: ACE کوتاه شده ی Access Controll Entery و ACL کوتاه شده Access Controll List است. جهت اطلاعات بیشتر و نحوه محاسبه مجوز های موثر به مجوز های NTFS مراجعه شود.

برای هر شیئ در اکتیو دایرکتوری یک لیست کنترل دسترسی وجود دارد. به عبارت دیگر، در هر یک از ابزار ها که اشیاء قابل دسترسی باشند این مجوز ها اعمال می شوند. هر چند متداول ترین ابزار برای تنظیم مجوز ها کنسول Active Directory Users & Computers است، اما از هر ابزار دیگر همانند ldp.exe یا ADSI Edit نیز اعمال می شوند. در اینجا از همان ابزار متداول Active Directory Users & Computers و سپس ldp استفاده می کنیم.



در کنسول Active Directory Users & Computers از منوی View گزینه Advanced Features را Checked می کنیم.
روی شیئ مورد نظر Right click کرده و Properties را کلیک می کنیم.
در tab (زبانه) Security لیست ACL را مشاهده می کنیم. در اینجا مشابه مجوز های NTFS به اعمال مجوز ها می پردازیم. با توجه به نوع شیئ مجوز های مختلفی قابل اعمال هستند.





.

مدیریت کامپیوتر ها کامپیوتر ها در اکتیو دایرکتوری هستند. کامپیوتر ها همانند کاربران دارای اکانت هستند. این اکانت ها مشابه اکانت های کاربران دارای Username و Password است. Password اکانت های کامپیوتر به صورت پیش فرض هر ۳۰ روز یک بار توسط خود ویندوز تعویض می شود. بعضی وقت ها کامپیوتر ها هم دچار فراموشی Password خود می شوند. مدیریت کامپیوتر ها، چه وسیله سخت افزاری و چه اکانت در AD جزء کار های روزمره ی تمام مدیران شبکه است. اضافه شدن کامپیوتر جدید، تغییر کامپیوتر دو کاربر و… مواردی هستند که ساعات کاری مدیران شبکه را پر می کنند.



پیش از آنکه یک user بتواند از طریق یک کامپیوتر به دامین logon کند باید آن کامپیوتر متعلق دامین باشد. (فعلا چنین تصور می کنیم) برای ملحق شدن یک کامپیوتر به دامین باید کامپیوتر دارای اکانتی باشد که دقیقا مشابه اکانت کاربران دارای SID منحصر به فرد خود است. آن اکانت باعث می شود تا کامپیوتر تعیین هویت گردد و مشخص گردد که آن کامپیوتر جزئی از شبکه است. زمانی که یک کامپیوتر عضو شبکه Domain می شود، وظیفه تعیین هویت کاربران را به دامین محول می کند. هرچند که با استفاده از SAM مثل سابق امکان Logon کردن به کامپیوتر local وجود دارد. به عبارت بهتر، یک ارتباط Trust بین هر کامپیوتر عضو دامین با دامینش وجود دارد که زمانی که کامپیوتر عضو دامین می شود ایجاد می شود. هر چند که رابطه Trust بیشتر بین دو دامین بحث می شود، اما این ارتباط نیز، از نوع ارتباط Trust است

Computer Container


اکانت های کامپیوتر به طور پیش فرض در یک Container به نام Computers با آدرس (…,CN=Computers) قرار می گیرند. این Container یک OU نیست! بنابراین نمی توانید در آن یک OU بسازید یا یک Group Policy Object را به آن Link کنید. بنابراین اکیدا توصیه می شود از OU ها برای مدیریت کامپیوتر ها استفاده کنید. اغلب از حداقل دو OU مختلف استفاده می شود. یک OU برای Server ها و دیگری برای کامپیوتر های کلاینت. البته با توجه به معماری شبکه اگر لایه دسترسی از راه دور وجود داشته باشد، در نظر گرفتن یک OU دیگر کاملا دید صحیحی است. از لحاظ تکنیکال اکانت هایی که در این دو OU قرار می گیرند، مشابه هم هستند اما از لحاظ مدیریتی می توان مدیریت بهتری انجام داد.گاهی اوقات، OU ها را بر اساس ساختار سازمانی می سازند و اکانت های کامپیوتر را در آن همان OU ها قرار می دهند. این روش هم روش صحیحی می تواند باشد. همچنین به عنوان مثال ایجاد دو OU به نام های Desktops و لب تاپ ها در OU مربوط به Cleints می تواند ایده ی خوبی باشد.


به صورت پیش فرض کاربران عضو گروه های Enterprise Admins، Domain Admins ، Administrators ، Account Operators می توانند اکانت های کامپیوتر را در هر OU بسازن

د. اعضای سه گروه اول را کاملا محدود کنید و Administrators را در گروه Account Operators اضافه نکنید. برای آنکه کاربرانی بتوانند اکانت کامپیوتر بسازند در OU مورد نظر از روش Delegation استفاده کنید. مسئله قابل توجهی که در اینجا صورت می گیرد این است که ویندوز مدیران شبکه را مجبور نمی کند از بهترین روش ملحق کردن کامپیوتر ها به دامین استفاده کنند. بهترین روش آن است که ابتدا یک اکانت کامپیوتر ساخته شود و سپس کامپیوتر ملحق شود. در این صورت کامپیوتر به جای ساختن یک اکانت در زمان ملحق شدن از آن اکانت ساخته شده استفاده می کند. حال اگر قبل از ملحق شدن، یک اکانت برای کامپیوتر نساخته باشیم، به صورت خودکار یک اکانت در Container مربوط به Computers اضافه می شود زیرا به صورت پیش فرض ویندوز اکانت ها را در آن Container می سازد. مسئله ی ایجاد شده آن است که تا زمانی که کامپیوتر ملحق شده به دامین را به OU مناسب منتقل نکرده باشیم، Group Policy اعمال شده در آن، به آن کامپیوتر اعمال نمی شود. بهترین راه حل آن است که Container ای که به صورت پیش فرض اکانت های کامپیوتر در آن ساخته می شود را تغییر دهیم. برای این منظور از دستور زیر استفاده می کنیم:



redircmp “DN مربوط به OU مورد نظر”



راه حل نا مناسبی هم وجود دارد که Default Domain Policy را ویرایش کرده و به نحو مورد نظر در آورد. به هر صورت استفاده از روش ساختن کامپیوتر اکانت ها پیش از ملحق شدن به مزایای بسیاری دارد که اغلب مدیران شبکه فقط از این روش استفاده می کنند. به عنوان مثال در Windows Deployment Services می توان تعیین کرد که تنها به کلاینت های prestaged شده پاسخ گو باشد.




.

.


محدود کردن توانایی کاربران در ساخت کامپیوتر



این موضوع برای امنیت شبکه امر بسیار مهمی به شمار می رود. این نکته توسط برخی مدیران شبکه نادیده گرفته می شود و امنیت شبکه را به مخاطره می اندازد. به صورت پیش فرض هر کاربر در اکتیو دایرکتوری می تواند ۱۰ اکانت کامپیوتر بسازد. البته در خصوص کاربران گروه Domain Admins و گروه های با دسترسی بالاتر، این محدودیت وجود ندارد. این امر در ساده سازی فعالیت های مدیریتی مزایایی را دارد اما با این حال در برخی از طراحی های امنیتی لازم است تا کاربران نتوانند کامپیوتری را عضو دامین کنند. محدودیت ۱۰ کاربر می تواند از طریق ویرایشگر ADSI تغییر کند. برای این منظور لازم است تا ms-DS-MachineAccountQuota را تغییر دهید.

برای اینکه کاربران نتوانند کامپیوتری را به دامین ملحق کنند، مقدار ۰ را وارد کنید. راه حل مناسب دیگر تغییر User Rights Assignment در Group Policy است. به صورت پیش فرض در سیاست Add workstations to domain گروه Auhtenticated Users قرار دارد. در اینجا می توانند کاربران و گروه هایی که می خواهید توانایی انجام این کار را داشته باشند معین می کنید. البته تغییر این سیاست با توجه به ویرایشی که مقدار ms-DS-MachineAccountQuota انجام شد لزومی ندارد. با انجام این ویرایش می توان اطمینان داشت تنها کاربرانی که به آن ها Delegate شده می توانند کامپیوتری را به دامین ملحق کنند.




.




.

.


ملحق شدن کامپیوتر به دامین


تنها Local Administrators به صورت پیش فرض می توانند در عضویت کامپیوتر تغییری ایجاد کنند. در System Properites در زبانه ی Computer Name دکمه Change را زده و Radio Buttom را در حالت Domain قرار داده و نام دامین مورد نظر را وارد می کنیم. توجه داشته باشید برای این منظور باید در DNS مشکلی وجود نداشته باشد. با استفاده از دستور netdom می توان نیز یک کامپیوتر را عضو یک دامین کرد.


netdom join {/d: | /domain:} [/ou:] [{/ud: | /userd:}[] [{/pd: | /passwordd:}{|*}]] [{/uo: | /usero} [{/po: | /passwordo}{|*}] [/reboot[:,Delay>]] [/help | /?]


برای استفاده از روش فوق لازم است دامین کنترلر Online باشد. در Windows Server 2008 R2 و Windows 7 این امکان وجود دارد که در صورت offilne بودن، عملیات join شدن به دامین صورت گیرد.همچنین مکانیسم دیگری وجود دارد تا از طریق Read-Only Domain Controller ها به دامین ملحق شد. برای اطلاعات بیشتر به اینجا (Microsoft TechNet) مراجعه کنید. جهت اتوماتیک کردن فرآیند ساخت کامپیوتر اکانت ها می توان از روش های متداول همانند CSVDE و LDIFDE و دستوارت PowerShell و دستور DsAdd و حتی VBScritp استفاده کرد که در آینده بررسی می شوند.




.

.






Join کردن یک کامپیوتر به domain


برای اینکه بتوانیم کلاینتی را join به domain کنیم باید چه شرایطی را داشته باشیم؟
• باید تنظیمات tcp/ip کلاینت را انجام دهیم. برای این کار ابتدا در قسمت run تایپ می کنیم

ncpa.cpl




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]







در صفحه ای که بازمی شود در آن صفحه بر روی کارت شبکه کلیک راست کرده و گزینه ی properties را انتخاب می کنیم.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




پس از انتخاب کردن properties در صفحه ای که باز می شود گزینه ی internet protocol version 4 (tcp/ipv4) را انتخاب می کنیم.





[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]






با انتخاب کردن internet protocol version4 صفحه ای باز می شود که در آن صفحه باید تنظیمات tcp/ip را انجام داد.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]






در این قسمت باید ip که می خواهیم بر روی کامپیوتر set شود را وارد کرده سپس subnetmask را وارد کنیم اگر default gateway داریم در این قسمت وارد می کنیم و اگر هم نداریم این قسمت را خالی می گذاریم سپس در قسمت
Preferred dns server باید ip server را بگذاریم قسمت alternate dns برای این است که اگر dns اصلی از کار بیافتد یک dns دیگر نیز داشته باشیم که بتوانیم از آن استفاده کنیم. در واقع ip که می خواهیم بدهیم باید در یک netid با server باشد یا اینکه باید routing داشته باشیم. در مرحله ی بعدی باید بر روی computer کلیک راست کرده و سپس گزینه ی properties را انتخاب کنیم.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





سپس در صفحه ای که باز می شود باید گزینه ی change setting را انتخاب کرد.



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





سپس در صفحه ای که باز می شود گزینه ی change را انتخاب می کنیم.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]






در صفحه ای که باز می شود باید تنظیمات مربوط به join شدن به domain انجام شود از ما اسم domain را می خواهد پس چون اسم می خواهد باید تنظیمات روی آن set شده باشد



.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





در این صفحه در قسمت domain باید نام domain را که می خواهیم به آن join شویم را وارد کرده و در قسمت computer name نیز همان نام کامپیوتری که می خواهد به دامین join شود مشخص می شود. سپس گزینه ی ok را انتخاب می کنیم.

با زدن گزینه ی ok. کامپیوتر اول میرود سراغ dns کلاینت از dns می پرسد دنبال سرویس active directory هستم و اسم domain من wikipg.com است و سرویس active برای wikipg.com کجا ثبت شده است؟ در این قسمت dns می رود سراغ ntds.ditدر مرحله ی دوم dns جواب می دهد که برو سراغ 192.168.1.6 و این پاسخ را از روی رکورد هایی که برایش ثبت شده است می گوید. در مرحله ی سوم کلاینت سراغ active directory می رود در این قسمت برای کلاینت یک صفحه باز می شود یعنی آن را authorize کن یعنی user و بده که داخل شبکه ی من authorize باشد. پس باید قبل از اینکه join به domain شوید به ازای هر کلاینت یک user بسازید.اما چون هنوز طریقه ی ساختن user آموزش داده نشده است می توان همان username و password برای administrator را در domain وارد کرد.

در این مرحله اگر authentication مورد قبول بود به مرحله ی بعدی می رود.با هر user می توان join به domain را انجام داد اما administrator یک ویژگی دارد و این است که می تواند به صورت بی نهایت join به domain انجام دهد

.




QUOTA:


اگر user معمولی داشته باشیم حداکثر با آن user می توانیم 10 تا pc را join به domain کنیم در اینجا quota برابر با 10 است ولی برای administrator بی نهایت می باشد
.
• به صورت اتوماتیک به ازای کامپیوتر pc1 یک computer account در ntds.dit ساخته می شود.
• علاوه بر computer account یک رکورد داخل dns ایجاد می گردد



.
نکته:

هرگاه قبل از مرحله ی authentication با خطایی برخورد کردیم باید dns را چک کنیم یا یک اسم dns را Ping کنیم. برای مثالserver.wikipg.com اگر در این مرحله به ما reply داد در این صورت dns به درستی کار می کند. از مرحله ی authentication به بعد اگر با مشکل مواجه شدیم یعنی dc مشکل دارد. وباید آن را درنظر بگیریم. ویا ممکن است که رکورد را نمی تواند ثبت کند یا رکورد مشکل دارد و یا رکورد تکراری است. و یا اینکه user که در نظر گرفته اید pass آن مشکل دارد . اگر که پیغام welcome را نمایش داد یعنی مشکلی ندارد و باید کامپیوتر restart شود

.
هنگامی که سیستم restart می شود 2 عملیات به صورت اتوماتیک انجام می شود.

درواقع در پروسه ی restart شدن دو عملیات انجام می شود.

برای کامپیوتر یک computer account داخل dc ساخته می شود.



در قسمت active directory user and computer یک قسمت داریم به نام computers که کامپیوتری که ساخته می شود در این قسمت اضافه می شود.
به ازای این Pc که join به domain شده است یک dns ساخته میشود








.

.



Offline Domain Join

Offline Domain Join ابزاری است که برای Windows Server 2008 R2 و Windows 7 یا نسخ جدید تر ویندوز در دسترس است. با استفاده از این فرآیند برای Join شدن به Domain نیازی به برقراری ارتیاط با Domain Controller وجود ندارد. این ویژگی برای سایت هایی که دارای ارتباط شبکه با شبکه سازمانی نیستند در نظر گرفته شده است (همانند سایت های موقت)

به عنوان مثال ممکن است تعدادی ماشین مجازی (Virtual Machines) در یک Data Center ایجاد کرده باشید. با استفاده از Offline Domain Join این امکان پدید می آید که بدون هیچ Restart اضافی در اولین استارت آن ها عضو دامین شوند. مهمترین مزیت Offline Domain Join آن است که وضعیت عضویت در شبکه Active Directory بدون هیچ ترافیک شبکه ای تغییر می کند. چهار قدم اصلی برای انجام Offline Domain Join لازم است:




مرحله یک

روی یکی از کامپیوتر های دامین که Windows Server 2008 R2 یا Windows 7 دارد با یک اکانت که مجوز عضو کردن کامپیوتر ها را به دامین دارد Login کنید.




مرحله دو

از دستور DJoin در خط فرمان برای Provision (پیش بینی) کردن یک کامپیوتر برای Offline Join استفاده می کنیم. این دستور که در ادامه توضیح داده خواهد شد، در Active Directory اطلاعاتی که برای Join شدن لازم است را ایجاد می کند و دارای یک اطلاعات خروجی است که به آن در اصطلاح blob to a Text file گفته می شود. برای آنکه تصور کنید Blob to a text file با فایل -------encoded blob که کد شده است، چگونه است، تصویر زیر را ببینید.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به صورت عمومی قالب دستور DJoin برای Provision به صورت زیر است:

djoin.exe /provision /domain DomainDNSName /machine ComputerName /savefile Filename

- پارامتر Provision یک اکانت کامپیوتر جدید در Active Directory ایجاد می کند. اگر اکانت موچود باشد، با استفاده از سوییچ /reuse یک اکانت موجود برای provision آماده می شود.

- DOmainDNSName اسم دامین است به عنوان مثال Contoso.com

- ComputerName نام کامپیوتر است برای پارامتر Provision یا Reuse

- FileName مسیر یا نام فایل در مسیر جاری است که فایل Blob to Text File در آن ساخته می شود.

برای مثال:

djoin.exe /provision /domain contoso.com /machine COMPUTER007 /savefile COMPUTER007_Join.txt

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همچنین پارامتر های زیر در دسترس اند:

- پارامتر machineOU/ مشخص کننده ی OU ای است که در برگیرنده Computer Account است. باید به صورت DN وارد شود. (distinguished name)

- پارامتر dcname/ مشخص کننده دامین کنترلری است که کامپیوتر اکانت در آن ساخته شود.

- پارامتر downlevel/ مشخص کننده ی آن است که دامین کنترلر یک نسخه قدیمی تر از Windows Server 2008 R2 را اجرا می کند.





مرحله سه

در کامپیوتر آفلاینی که قصد عضو شدن دارد لازم است دستور DJoin را به همراه ورودی اطلاعات Blob to a Text File ایجاد شده در مرحله بعدی وارد کنیم. انتقال این فایل می تواند با استفاده از روش های آفلاین و یا روش هایی همانند ایمیل یا ذخیره سازی های ابری صورت گیرد. فراموش نکنید در هر روش انتقالی، امنیت فایل را در نظر بگیرید. البته اطلاعات این فایل رمزنگاری شده است، اما شامل اطلاعات حساسی همانند Computer Password و SID است.

در یک کامپیوتر که دارای سیستم عامل Windows 7 یا Window Server 2008 R2 است می توانید با استفاده از دستور DJoin آن را به عضویت دامین در بیاورید. برای این منظور، قالب عمومی دستور عبارت است از:

djoin.exe /requestODJ /loadfile Filename /windowspath %SystemRoot% /localos

- پارامتر requestODJ معین کننده است که قصد درخواست Offline Domain Join را از احرای DJoin داریمو

- پارامتر Filename مشخص کننده فایل مسیر و نام Blob to a text file است.

- پارامتر windowspath مشخص کننده مسیری است که ویندوز روی آن نصب شده است. متغییر %SystemRoot% این مسیر را به صورت پیش فرض تعیین می کند. همچنین متغییر %windir% نیز می تواند استفاده شود.

- پارامتر localos مشخص کننده آن است که عمل عضو شدن برای کامپیوتر local است و نه یک Offline Image

به عنوان مثال:

djoin.exe /requestODJ /loadfile COMPUTER007_Join.txt /windowspath %SystemRoot% /localos

اگر قصد داشته باشید که عملیات Offline Domain Join را برای کامپیوتری که هنوز Start نشده است، به عنوان مثال یک Virtual Machine جدید، لازم است که ابتدا هارد دیسک مجازی آن را زوی یک کامپیوتر دیگر Mount (یا Attach) کنید و سپس آن هارد دیسک به عنوان یک Volume دیگر روی ماشین جاری اضافه خواهد شد. اکنون با اجرای دستور زیر می توانید عملیات را انجام دهید:

djoin.exe /requestODJ /loadfile Filename /windowspath PathToWindowsFolder

توجه داشته باشید در این شرایط مقدار پارامتر WindowPath باید مسیر شاخه Windows برای هارد دیسک Attach شده باشد و از متغییر های پیشین نباید استفاده شود. همچنین سوییچ localos به دلیل اینکه OS در حال اجرا هدف نیست استفاده نشده است.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مرحله چهار

زمانی که کامپیوتر را Restart یا Start می کنید، کامپیوتر به عنوان یک عضو دامین مبدل خواهد شد.
عضو شدن در دامین از طریق RODC

در Windows Server 2008 R2 امکان عضو شدن کامپیوتر ها از طریق RODC ها برای سایت هایی که دارای DC به صورت خواندنی – نوشتنی نیستند ایجاد شده است. اما برای این منظور لازم است:

۱) اکانت کامپیوتر و برخی ویژگی های لازم برای آن به صورت از قبل ساخته شده ایجاد شوند.

۲) ویرایش سیاست PRP در صورت لزوم برای آنکه Password کامپیوتری که ساخته اید روی RODC به صورت Cache نگه داری شود.

۳) Replication انجام شود. می تواند به صورت Force انجام شود.

۴) انتقال Password مربوطه برای کامپیوتری که قصد دارد به صورت offline عضو شود.

۵) اجرای یک اسکریپت با هدف آنکه RODC عضو شدن را کامل کند.



.

مروری بر سناریو عضویت آفلاین در دامنه:

عوضیت آفلاین در دامنه (Offline Domain Join) یک پروسه جدید است که برای کامپیوتر های دارای ویندوز 7 و ویندوز سرور 2008R2 قابل استفاده است، که در آن یک کامپیوتر را ، بدون ارتباط با دامین کنترلر، می توان به عضویت دامنه در آورد.


این قابلیت این امکان رو به مدیر سرور ها می ده تا در مواقعی که هیچ ارتباطی با شبکه شرکت شون نداره، کامپیوتر یا کامپیتر هایی رو به عضویت دامنه در بیاره! کاربرد این قابلیت در دیتاسنتر ها مشخص میشه.
برای مثال، اگر یک شرکت بخواد تعداد ماشین های مجازی شو در دیتا سنترش گسترش بده، این قابلیت به این شرکت این اجازه رو میده که ماشین های مجازی شون رو بلافاصله پس از نصب سیستم عامل، به عضویت دامنه دربیارن! برای کامل شدن عضویت نیز، نیاز به هیچ گونه ریست کردن اضافی کامپیوتر نیست! این پروسه به طور قابل توجهی مدت زمان مورد نیاز برای عضو کردن ماشین ها رو به دامنه، در تعداد زیاد ماشین های مجازی، کاهش میده!


زمان عضویت در یک دامنه، یک ارتباط مورد اعتماد (Trust Relationship) بین کامپیوتر که دارای سیستم ویندوز هست و یک دامین اکتیو دایرکتوری برقرار میشه! این عمل باعث ایجاد تغییراتی در سرویس دامنه اکتیو دایرکتوری یا (AD DS) و همچنین اون کامپیوتر که در حال عضویت هست، می شود. برای کامل شدن عضویت هم اون کامپیوتر باید بعدا با دامین کنترولر ارتباط برقرار کنه، در این صورت هست که پروسه عضویت کامل میشه!




پروسه عضویت آفلاین دامنه، مزیت های زیر رو داره:

1. تغییرات اکتیو دایرکتوری بدون هیچ گونه مصرف ترافیکی برای ارتباط با کامپیوتر عضو شده، انجام میشه!
2. تغییرات کامپیوتر عضو شده بدون هیچ گونه مصرف ترافیکی برای ارتباط با دامین کنترلر ، انجام میشه!
3. هر کدام از پروسه های تنظیم شدن تغییرات می توانند در زمان های مختلفی انجام شوند!

در زیر به توضیح بخشی دیگر از مزایای این عمل می پردازیم:

الف) کاهش کل هزینه مالکیت در دیتاسنتر ها (در مقاله بعدی کامل ترجمه می کنم)
ب) بهبود تجربه برای اجرا کردن عضویت دامنه بوسیله RODC یا همان Read Only Domain Controller
ج) استقرار سرمایه گذاری سریع

پیش نیاز ها برای اجرای عضویت آفلاین در دامنه

برای اجرای عضویت آفلاین در دامنه، شما نیاز به کمندهایی دارید که از ابزار جدیدی به نام Djoin.exe استفاده می کنند. از این ابزار برای آماده کردن کامپیوتر اکانت ها در سرویس دامنه اکتیو دایرکتوری AD DS استفاده میشه! همچنین شما از این ابزار برای انتقال اطلاعات کامپیوتر اکانت به کامپیوتر مقصد که می خواید عضو دامنش کنید، استفاده می کنید.

در عضویت آفلاین، تمام پروسه در یک بازه زمانی خاص به اتمام نمی رسه، بلکه کامپیوتر اکانت ساخته شده در سرویس اکتیو دایرکتوری ، در همان جا باقی می مونه ، مگر این که ادمین سرور تغییراتی بر روی اون ها انجام بده. هرچند بعضی از سازمان ها اسکریپت هایی رو روی سرور اجرا می کنند که هر 30 تا 60 روز کامیوتر اکانت های قدیمی یا اون هایی که مورد استفاده نیستند رو ، از این قسمت پاک می کنند.




پیش نیاز های سیستم عامل برای اجرای پروسه

شما از ابزار Djoin.exe تنها بر روی ویندوز 7 و سرور 2008R2 می توانید استفاده کنید.کامپیوتری که شما Djoin.exe رو برای تنظیم اطلاعات کامپیوتر اکانت روی AD DS انجام میده، باید دارای ویندوز 7 یا سرور 2008R2 باشه. کامپیوتری که می خواد به دامنه از طریق این قابلیت عضو بشه هم باید دارای یکی از این دو نوع سیتم عامل باشه.


اعتبارسنجی های مورد نیاز

برای این که شما بتوانید به وسیله یوزر خودتون، عمل عضویت آفلاین رو اجرا کنید، نیاز به یه سری اختیارات و مجوز ها دارین، اعضای گروه Domain Admins Group به صورت پیش فرض این اختیارات و توانایی ها رو دارن، اگر یوزر شما عضو این گروه نیست و می خواد که عمل عضویت آفلاین رو انجام بده باید یکی از کار های زیر رو بکنه:

1. استفاده از گروپ پالیسی برای دادن اختیارات مورد نظر به شما
2. ویرایش کردن لیست کنترل دسترسی ها (ACL) برای انجام عمل انتقال مجوز ها به شما (Delegate)
3. ساختن یک OU یا واحد سازمانی و ویرایش لیست کنترل دسترسی های اون به منظور دادن مجوز های Create chile - Allow

گر بر روی user کلیک راست کنیم قسمت های زیررا برای ما می آورد:





Copy :



اگر خواستیم یک user بسازیم که مشخصاتش با یک user که از قبل ساخته شده یکی باشد از این گزینه استفاده می کنیم. ولی آیتم هایی مثل اسم و فامیل که باید unique باشد را از ما می پرسد و user جدید سایر آیتم های مربوط به user قبلی را دارد در واقع اگر آن user در گروه هایی عضو باشد و یا یک سری permission روی آن تعریف شده باشد در این صورت user جدید که ساخته می شود سایر این ویژگی ها را دارد.برای مثال اگر ما بخواهیم یک user با سایر مشخصاتی که user test دارد داشته باشیم در این صورت بر روی user test کلیک راست کرده گزینه ی copy را انتخاب می کنیم سپس صفحه ی زیر باز می شود.





[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





در این صفحه که باز شده است سایر مشخصاتی که به صورت unique می باشد را وارد می کنیم.سپس گزینه ی next را انتخاب می کنیم.در صفحه ی جدید password را مشخص می کنیم.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



سپس گزینه ی next را انتخاب می کنیم.





Add to a group
:

Group مجموعه ای از user ها است و وقتی user را می سازیم باید عضو گروه یا گروه هایی شود. اگر بخواهیم user مورد نظر عضو گروه خاصی باشد در این صورت بر روی user کلیک راست کرده و گزینه ی add to a group را انتخاب می کنیم.در صفحه ای که باز می شود با انتخاب کردن advanced کادری باز می شود که سایر گروه ها در آن قرار دارد و مشخص می کنیم که user مورد نظر باید عضو کدام گروه قرار گیرد.



در قسمت enter the object names to select نام گروه مورد نظر را وارد می کنیم سپس میتوان گزینه ی checknames را انتخاب کنیم تا نام درست آن مشخص شود یا اگر بخواهیم کل گروه هایی که وجود دارد را ببینیم در این حالت بر روی گزینه ی advanced کلیک می کنیم در صفحه ای که باز می شود.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




دراین صفحه با انتخاب گزینه ی find now سایر گرو ه هایی که وجود دارد را برای ما می آورد و می توان یکی از این گروه ها را انتخاب کرد.و user مورد نظر را عضو هر یک از گروه هایی که در این لیست موجود است کرد.


Disable account:



با استفاده از این گزینه می توان یک user را برای مدتی به حالت disable در آورد. این گزینه در مواقعی کاربرد دارد که یک user برای مدتی می خواهد از سازمان برود ولی دوباره بر می گردد پس می توان آن را disable کرد.









[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




پس از انتخاب کردن این گزینه پیغام زیر نمایش پیدا می کند.







[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



وقتی این گزینه انتخاب شد اگر بخواهیم دوباره user را به حالت enable در بیاوریم دوباره بر روی آن کلیک راست کرده و این بار به جای گزینه ی disable گزینه ی enable وجود دارد.
Reset password:
اگر user در زمانی password خودش را فراموش کند می توان از این گزینه استفاده کرده و password آن راتغییر داد.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در قسمت new password و confirm password میتوان مشخص کرد که password جدید چیست.
گزینه ی unlock
اگر این گزینه انتخاب شده باشد یعنی login آن lock شده است باید unlock شود تا بتواند login کند.
Move:
از ما می پرسد که به کجا منتقل کند مسیر را به آن می دهیم برای move کردن می توانیم از drag و drop هم استفاده کنیم


.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] اگر گزینه ی move انتخاب شود دراین صورت صفحه ای باز می شود که در این صفحه میتوان مشخص کردن که این user را می خواهیم به کجا انتقال دهیم.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





Open home page: اگر داخل سازمان share point داشته باشیم می توانیم داخل آن صفحه webpage بسازیم.

send mail: اگرخواستیم برای یک user این گزینه را بزنیم باید آدرس email user در سازمانمان یک mail بفرستیم.


All tasks :در این قسمت یک گزینه دارد Resultant set of policy مجموعه policy هایی که به یک user اعمال شده است را نشان می دهد.







[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

گزینه properties یوزر در اکتیو دایرکتوری





اگر بر روی یک user که ساختیم کلیک راست کنیم به گزینه ی properties می رسیم
.

تب general



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




اگر خواستیم یک user را که هیچ مشخصه ای از او نداریم به جز اسمش در صفحه ی
Active directory users and computers
یک دکمه در بالای صفحه شبیه به search وجود دارد آن ر که انتخاب کنیم صفحه ای باز می شود که می توانیم مشخص کنیم دنبال چه می گردیم مثلا user و جایش را از ما می پرسد مثل ou یا

admin





[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]








اطلاعاتی که دراین قسمت وجود دارد به درد search می خورد و زمانی که بخواهیم search انجام دهیم کار راحتتر می شود.
در تب آدرس: این قسمت هم به درد search می خورد.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





تب account
در این قسمت accounting را برای user مشخص می کنیم.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همانطور که در این صفحه مشاهده می کنید در قسمت user logon name مشخص شده است که user چطور می تواند login کند ودر قسمت user logon name (pre windows 2000)در این قسمت هم فرمت 2000 آن مشخص شده است.





Logon hours


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




دراین قسمت نموداری وجود دارد که زمان های قابل استفاده برای user را مشخص می کند.همانطور که مشاهده می کنید رنگ آبی رنگ نشان دهنده ی این است که user مجاز است که در این ساعت ها login کند و رنگ سفید هم مشخص می کند که user اجازه ندارد login کند می توان از این قسمت مشخص کرد که در چه ساعاتی می شود login کرد و در چه ساعاتی نمی شود.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]






logon to
در این قسمت می توان مشخص کرد که یک user از پشت کدام pc ها می تواند login کند.این سرویس با ntbios کار می کند پس حتما باید چک سرویس netbios روی کلاینتمان فعال باشد.

جای سرویس netbios




ابتدا باید وارد محیط network connection شویم که با تایپ کردن ncpa.cpl در قسمت run ویا search می توانیم وارد این محیط شویم.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




پس از ورود به این محیط باید بر روی کارت شبکه کلیک راست کنیم و گزینه ی properties را انتخاب کنیم.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] در صفحه ای که باز می شود باید بر روی ipv4 کلیک کنیم در صفحه ای که باز می شود در پایین صفحه بر روی advanced کلیک میکنیم .






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



در صفحه ای که باز می شود در قسمت netbios setting باید enable netbios over tcp/ip را فعال کنیم.






[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

unlock account




در تب account گزینه ای به نام unlock account وجود دارد گاهی اوقات در group policy تعریف می شود که user اگر چند بار password خود را اشتباه زدlock شود .اگر یوزر lock نشده باشد در این قسمت هیچ تیکی نمی خورد ولی اگر یوزر lock شود در این قسمت تیک می خورد.





account options
در تب acount گزینه ای به نام acount options وجود دارد که شامل بخش های زیر می باشد.




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]






user must change password at next logon



اگر این گزینه در قسمت account options انتخاب شود در این صورت user هنگامی که login می کند باید password خود را عوض کند.








User cannot change password

اگر این گزینه انتخاب شود یعنی user نتواند password خود را تغییر دهد.





Password never expire

اگر این گزینه انتخاب شود password هیچگاه منقضی نمی شود.





Store password using reversible encryption

هر user که داخل ntds.dit ذخیره می شود کاملا hash می شود.اگر خواستیم level امنیتی پایین بیاید و فقط pass ها encrypt شود ولی hash نشود از این گزینه استفاده می کنیم.Hash یک عملیات یک طرفه است .







[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]









Account is disabled


گاهی اوقات ممکن است که یک user برای مدتی از سازمان برود در این صورت با انتخاب کردن گزینه ی account is disabled می توان آن را غیر فعال کرد.





Smart card is required for interactive logon


اگر یک user بخواهد توسط smartcard دباید اینجا گفته شود که authentication آن بر اساس smartcard است.






Account is sensitive and can not be delegated


گاهی می خواهیم account که ساختیم sensitive باشد یعنی اگر M در user Mina را بزرگ زدیم حتما M بزرگ را از ما بخواهد اما اگر این گزیه فعال شود delegation برای آن user فعال نیست.







[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]










Use kerbros DES encryption typs for this account




2نوع authentication protocol داریم.که به ما کمک می کند که اطلاعات مربوط به authentication که فرستاده ا یم امن شود.




Remote authentication protocol


در مواقعی که دسترسی remote داریم و خارج از شبکه lan به درد ما می خورد. مثلا درvpn ها و user های dialup چون سرویس vpn به صورت remote است و از شبکه wan استفاده می کند.از جمله از این پروتکل ها می توان pap,spap,chap,mschap,mschap2,eap را نام برد.مفهوم remote یعنی از طریق یک wan با آن در ارتباط هستید.





Local authentication protocol


جایی که شبکه ی domain داریم و اطلاعات از طریق شبکه local مبادله می شوند.مهمترین این پروتکل ها ntlmv1 و ntlmv2 و Kerberos میباشند که این پروتکل ها یک سری الگوریتم های hashing و encryption دارند که اطلاعات را encrypt می کنند.Des لول امنیتی کمتری نسبت به 3des دارد و Kerberos v5 از3des استفاده می کند. برای پایین آوردن لول امنیتی از 3des استفاده می شود.








Do not require Kerberos preauthentication


هر زمان که Kerberos می خواهد run شود ابتدا یک authentication اولیه انجام می دهد و بعد اطلاعات فرستاده می شود. این کار برای لول امنیتی بالاتر انجام می گیرد. اگر این تیک را بزنیم می گوید که pre authentication انجام نشود.






account expire


در این قسمت مشخص می شود که account هیچگاه منقضی نشود و یا در تاریخ خاصی که مشخص می کنیم منقضی شود.که این تاریخ را در قسمت Endof مشخص می کنیم.