Windows Server Active Directory Configuration

.


ساخت User Template. ./


همانطور که می دانید قالب ها ، ساخت اکانت های زیاد را ساده می کند. به خصوص اگر شما در حال ایجاد کاربرانی برای یک سازمان خاص با ویژگی های مشابه و عضویت در گروه های یکسان هستید، شما می توانید از یک قالب برای ساخت کاربر استفاده کنید.در یک قالب شما می توانید تمام پارامترهای اکانتی که کاربرانتان به آن ها نیاز دارند را تعریف کنید. مطمئن باشید که اکانت قالب غیرفعال است و همه ویژگی های مطلوبی که شما برای کاربرانتان نیاز دارید را دارا می باشد. طی ساخت یک اکانت کاربر جدید ، شما یک ویزارد و پنجره یکسان با قالب را دریافت خواهید کرد. تنها کاری که باید انجام دهید اینست که یک کپی از اکانت قالب ایجاد کرده و نام و پسورد جدید را اضافه نمایید.شما ممکن است چندین قاب کاربر برای چندین هدف با ویژگی ها و تنظیمات مختلف ایجاد نمایید. در اینجا هیچ محدودیتی برای تعداد قالب های کاربر وجود ندارد.توجه کنید که برای ساخت یک اکانت جدید مطابق با اکانت قالب ، کافی است که بر روی اکانت قالب کلیک راست کرده و سپس گزینه Copy را انتخاب نماییم . در این هنگام یک ویزارد باز شده که لازم است فقط نام و پسورد اکانت جدید وارد شود. بقیه تنظیمات مشابه با اکانت قالب می باشد.



.




+

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]









.

.



مدیریت User Properties در اکتیودایرکتوری . ./


برای کاربران موجود در اکتیودایرکتوری شما می توانید انواع زیادی از خصوصیات و ویژگی ها را پیکربندی نمایید. برای دسترسی به پنجره Properties یک کاربر، شما می توانید بر روی اکانت آن کاربر double-click کنید و یا بر روی اکانت راست کلیک کرده و گزینه Properties را انتخاب نمایید. در پنجره Properties یک کاربر ، برگه های زیادی وجود دارد که توضیح مهمترین برگه ها به شرح زیر می باشد:

• برگه Accounts : با استفاده از این برگه شما می توانید اکانت کاربر را کنترل نمایید که توضیح مختصر مهمترین قسمت های آن به قرار زیر می باشد:

1. در بخشی از این برگه اطلاعات User logon name که شما در هنگام ورود به دامین از آن استفاده می کنید به نمایش در آمده است. (تصویر 4)

2. در قسمتی از این برگه کادر Account options قرار دارد که از آن برای تنظیمات امنیتی مربوط به اکانت ، از قبیل شرایط پسورد و وضعیت اکانت استفاده می شود. (تصویر 4)

3. در پایین این برگه کادر Account expiration قرار دارد که می توان با استفاده از آن برای اکانت یک تاریخ انقضاء تعیین کرد. (تصویر 4)

4.بر روی این برگه دکمه Logon Hours قرار دارد که از آن برای تعیین این که کاربر در چه زمان هایی و در چه روزهایی بتواند به دامین logon نماید استفاده می شود. (تصویر 5)

5.همچنین بر روی این برگه دکمه ی Log On To قرار دارد که به کاربر اجازه می دهد تنها از طریق ایستگاه کاری (کامپیوتر) خاصی به درون دامین log on نماید. این کار به شما کمک خواهد کرد که امنیت دامین تان را به وسیله مجبور کردن کارکنان به log on کردن به دامین تنها از طریق کامپیوترهایی که اجازه دسترسی به آن را دارند، افزایش دهید. (تصویر 6)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

• برگه General : این برگه شامل اطلاعات عمومی کاربر مانند نام ، تلفن ، آدرس ایمیل و غیره می باشد. (تصویر 7)
• برگه Address : این برگه شامل اطلاعات آدرس کاربر می باشد. (تصویر 8)
• برگه Telephones : از این برگه می توان برای ثبت تلفن های کاربر استفاده کرد. (تصویر 9)
• برگه Organization : از این برگه برای وارد کردن اطلاعات مربوط به کاربر در سازمان استفاده می شود. (تصویر 10)
• برگه Profile : این برگه به شما اجازه می دهد که محیط کاربر را سفارشی سازی نمایید. (تصویر 11)
• برگه Member Of : از این برگه برای عضو کردن کاربر در یک گروه امنیتی خاص استفاده می شود. (تصویر 12)
• برگه Environment : از این برگه برای پیکربندی محیط Terminal Services start-up استفاده می شود.یعنی می توان برای یک کاربر که از طریق Terminal Services و، log on می کند تعیین کرد که در هنگام start up چه برنامه ای اجرا شود. (تصویر 14)
• برگه Remote Control : از این برگه برای پیکربندی و تنظیمات مربوط به کنترل از راه دور کامپیوتر استفاده می شود. (تصویر 15)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

.

.

نحوه اضافه کردن گروه و یوزر در اکتیو دایرکتوری با کامند . ./

در شبکه های domain اضافه کردن و مدیریت اکنت ها و گروه ها به وسیله اکتیو دایرکتوری Active Directoryانجام میشود پس از نصب این role به روی سرور میتوانیم این کنسول را از دو طریق باز کنیم :

1) start ......>allprogram.....> administrative tools ...>activ directory users and computrs

2) در پنجره run متن روبرو را وارد کنید : dsa.msc

که گزینه دوم سریعتر و راحت تر است.

کنسول زیر کنسول AD است که در سمت چپ پنجره یوزرها و گروه ها و OU ها و نام domain نشان داده میشود


همانطور که در شکل مشخص است میتوانیم در اینجا به ایجاد یوزرها و گروه ها بپردازیم اما برای سرعت بیشتر در ایجاد آنها و مدیریت بهتر میتوانیم در محیط cmd نیز آنها را ایجاد کنیم
برای ایجاد یوزر اکانت در محیط cmd به روش زیر عمل میکنیم:

برای ساخت هر یوزر باید محل قرارگیری آن را آدرس دهی کنیم برای مثال برای ساخت یوزری به نام test1
در ouای به نام ACC در دامینی به نام iranvij.ir باید به این شکل عمل کنیم:
نکته: برای نوشتن یوزرها و گروهها از CN استفاده میکنیم برای OU ها از ou و برای domian از یز استفاده میکنیم مثال بالا :

"cn=test1,ou=ACC,dc=iranvij,dc=ir"

دستور ساخت یوزر:

Dsadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir"jk

یوزر ساخته میشود اما غیر فعال است چون پسورد برایش تعیین نکردیمبرای این کار:

DSadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir " -pwd

بعد از تایپ pwd میتوانیم پسورد را وارد کنیم اما چون دیده میشود از نظر امنیت درست نیست پس برای مخفی وارد کردن پسورد بعد از pwd علامت * را تایپ میکنیم حالا پسورد را وارد میکنیم که نشان نمیدهد.
برای وارد کردن اسم کوچک و فامیلی یوزر میتوان به این طریق عمل کرد:

DSadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir " -pwd -FN reza -LN rezai

که بعد از FN بعد از یک spase نام کوچک را وارد میکنیم و برای فامیلی هم بعد از LN سم را وارد میکنیم

فرم کلی ساختن یوزر به این شکل است:


dsadd user



Syntax

dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd **Password | ***] [-desc Description] [-memberof Group ...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:][-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd **yes | no**] [-canchpwd **yes | no**] [-reversiblepwd **yes | no**] [-pwdneverexpires **yes | no**] [-acctexpires NumberOfDays] [-disabled **yes | no**] [**-s Server | -d Domain**] [-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci**]

.منبع : iranvij


.

.

ساخت گروه با کامند در اکتیو دایرکتوری . ./

برای ساخت گروه ها نیز به ترتیب زیر عمل میکنیم:

گروهها به چند دسته تقسیم میشوند که برای ساخت باید نوع آن را نیز مشخص کنیم(به دلیل خارج شدن از موضوع از توضیح انواع گروهها در این تاپیک صرف نظر میکنم و فقط انواع آن را نشانتان میدهم)



برای مثال گروهی به نام ACC در ouای به نام SALES در ouای به نام Department در دامین iranvij.ir ایجاد میکنیم

Dsadd group
"CN=acc,OU=sales,OU=department,DC=iranvij,DC=i r" -secgrp no

در ساخت گروهها به صورت کامندی به صورت پیش فرض از نوع security و Global ساخته میشود که برای تغییر دادن آن از حالت security دستورsecgrp no را تایپ میکنیم

فرم کلی ساختن گروه به این شکل است:

dsadd group

Adds a single group to the directory.

Syntax

dsadd group GroupDN [-secgrp **yes | no**] [-scope **l | g | u**] [-samid SAMName] [-desc Description] [-memberof Group ...] [-members Member ...] [**-s Server | -d Domain**] [-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci**]

فرم کلی ساختن OU به این شکل است:

dsadd ou

Adds a single organizational unit (OU) to the directory.

Syntax

dsadd ou OrganizationalUnitDN [-desc Description] [**-s Server | -d Domain**][-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci **]

منبع : iranvij




.

.




حذف object در اکتیودایرکتوری . ./





DSRM این فرمان برای حذف یا پاک کردن objects ها در اکتیو دایرکتوری استفاده میشود . برای استفاده فرمان ?/ dsrm را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.


برای حذفش باید این فرمان روبنویسید

DSRM "CN=BANO,OU=USER ACCOUNT,DC=CONTOSO,DC=COM"M

DSRM همون فرمان حذف هست
BANU همون یوزرمون توی OU هست که اسم OU مون USER ACCOUNT هست
CONTOSO.COM همون دومین هست




.

.




انتقال و یا rename یک Object . ./


.

DSMOVE این فرمان برای جابجایی move یک شی single object به یک محل دیگر در یک domain و یا تغییر نام یک شی rename the object بدون جابجایی استفاده میشود . برای استفاده فرمان ?/ dsmove را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.


برای تغییر نام :

DSMOVE "CN=BANO,OU=ACCOUNT USSER,DC=CONTOSO,DC=COM" - NEWNAME "SARA" K

برای MOVE :از یک OU به OU دیگر :

DSMOVE "CN=BANO,OU=SALE,CN=CONTOSO,CN=COM"H"

NEWPARENT OU=MARKETING ,DC=CONTOSO,DC=COM

.

.




dsmod: برای مودیفای یا ویرایش کردن یک Object . ./



DSMOD این فرمان برای تغییر خواص modify properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users و servers ها که در اکتیو دایرکتوری موجود میباشند، استفاده میشود. برای استفاده فرمان ?/ dsmod objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان
:
?/ dsmod server




dsget: برای دیدن مشخصات یک Object . ./



DSGET این فرمان برای نشان دادن خواص properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users ، sites ها، subnets ها و servers ها که در اکتیو دایرکتوری ثبت شده اند registered استفاده میشود . برای استفاده فرمان ?/ dsget objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان
:
?/ dsget subnet





.

مفاهیم مربوط به DN, RDN , CN . ./

DN دقیقا مشابه یک مسیر برای اشیاء اکتیو دایرکتوری است. همانطور که با استفاده از مسیر c:texta.txt می تواند به فایل متنی رسید، DN یک روش مناسب تر برای رسیدن به اشیاء است.. هر شیء دارای یک DN یکتا خود است.

یک DN با شئ شروع می شود و به top level domain name ختم می شود. همانطور که پیش تر اشاره شد CN یا common name معرف شیئ است. OU معرف organizational unit است و DC معرف Domain Component.
قسمتی از DN که پیش از اولین OU است RDN یا relative distinguished name گفته می شود. از آنجایی که DN باید یکتا باشد RDN باید در دربرگیرنده (container) خود یکتا باشد.




منبع : ERFANTAHERI


.

.



جست و جو در خط فرمان با DSQUERY در کامند . ./


با استفاده از دستور dsquery می توانید به جستجو در اکتیو دایرکتوری بپردازید. مشابه سایر دستورات اکتیو دایرکتوری به صورت کامل مستند سازی شده و با استفاده از دستور ?/ dsquery می توانید اطلاعات کامل کسب کنید. به عنوان مثال برای جستجو یک کاربر از dsquery user استفاده می کنیم یا برای جستجو یک گروه از dsquery group و برای کامپیوتر از dsquery computer استفاده می کنیم. به عنوان مثال برای یافتن کاربر که نام او با erf شروع می شود دستور زیر را وارد می کنیم:

c:> dsquery user -name erf*

نتیجه جستجو چیزی مشابه زیر خواهد بود:

" CN=Erfan CN=Users,DC=contoso,dc=com"

چنانچه شیوه ی DN شیوه مطلوب شما برای مشاهده ی نتایج نیست می توانید از سوییچ o استفاده کنید. مثلا برای مشاهده logon name می توانید سوییچ o upn- را به دستور اضافه کنید. یا برای مشاهده نام کاربری مربوط به ویندوز قبل از ۲۰۰۰ سوییچ o samid- را اضافه کنید.



منبع : ERFANTAHERI



.

.

استفاده از CSVDE . ./



CSVDE یک ابزار خط فرمان است که با استفاده از آن می توان اطلاعات را از اکتیو دایرکتوری خارج یا به اکتیو دارکتوری وارد کرد. نوع فایل این ابزار می تواند به سادگی یک فایل متنی با شیوه نگارش صحیح باشد یا یک فایل CSV. می توان با استفاده از notepad یا Microsoft Office Excel نصب به ساخت این نوع فایل ها پرداخت. این دستور در اتوماتیک کردن فرآیند ساخت کاربران بسیار مهم و ساده است.

الگوی کلی دستور import کردن به صورت زیر است:

csvde [-i] [-f filename] [-k]

پارامتر i معین کننده عمل import یا درون ریزی است و پارامتر f مشخص کننده نام و آدرس فایل ورودی یا خروجی است. سوییچ k برای در نظر نگرفتن خطای ناشی از وجود نظیر است. در اینجا منظور از وجود نظیر، وجود یک ویژگی نظیر یا یا شیئ نظیر با همان DN است. در این شیوه دیتا با استفاده از ویرگول به جای tab جدا می شود و به نحوی جدا می شود که هر قسمت مربوط به یک ستون از دایرکتوری است.
استفاده از CSVDE ها ضمن سادگی دارای معایبی نیز می باشد به همین جهت استفاده از LDIFDE توصیه می شود.


و

Ldifte.exe و Csvde.exe دو تا ابزار export برای ایجاد object های اکتیو دایرکتوری هستند. برای پاک کردن فرمت اطلاعات موجود در فرمت LDIF یا CSV . آنها می توانند بر اساس مقصد دایرکتوری اطلاعات را export کنند، عضوی های OU و object کلاس هامثل کاربر و گروه و کامپیوتر.

این ابزارها می تونند مشخص کنند چه مشخصه و ویژگی export شود. گرچه این ابزار ها برای مشخصه های معین محدودیت های خودشون را دارند.انهاکمک برای مدیریت اکتیو دایرکتوری هستند چرا که زمانی اسکریپت آماده هم وجود دارد.ادمین توی یک زمان با استفاده از این ابزارها برای ورود و خروج (import and export) چندین کاریر می تونه زمان خودش را save کنه.



منبع : ERFANTAHERI


.