Windows Server Active Directory Configuration

اپ میشود.......

اپ میشود.......

اپ میشود.......

اکتیو دایرکتوری(Active Directory) چیست؟




اغلب کامپیوترهایی که ویندوز XPحرفه ای را اجرا می کنند در شبکه های مبتنی بر ویندوز2000به عنوان کلاینت (Client)خواهندبود.یکی از سرویسهای مفید ویندوز سرور 2000سرویس (Active Directory)اکتیو دایرکتوری است.یادگیری اهداف این سرویس و نقش آن در شبکه های مبتنی بر ویندور 2000بسیار مهم است .علاوه برآن بایستی ویژگیهای مهم وکلیدی ان رایاد بگیرید.این سرویس جهت مدیریت آسان منابع و تدارک انعطاف پذیری طراحی شده است.
Active Directory یک سرویس دایرکتوریست که محصولات ویندوز سرور را در بر می گیرد.یک سرویس دایرکتوری در واقع یک سرویس شبکه است که تمام منابع شبکه را شناشایی کرده و دسترسی به آن را برای کاربران و برنامه های کابردی فراهم می کند. اکتیو دایرکتوری شامل یک دایرکتوری و یا یک منبع ذخیره داده است.که دارای یک ساختار پایگاه داده است.که اطلاعات مربوط به منابع شبکه را در بر می گیرد.برخی منابعی که اطلاعات مربوط به آنها در دایرکتوری ذخیره می شوندعبارتند از داده های کاربر،چاپگرها،سرورها،پایگ اههای داده ،گروهها،کامپیوترها،و سیاستهای امنیتی و...که به صورت اشیاءبرای Active Directory قابل شناسایی هستند.


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] منابع را به صورت سلسله مراتبی در یک دامنه Domainسازماندهی می کند.که این منابع یک سری گروههای منطقی از سرورها و منابع شبکه تحت یک نام دامنه واحد می باشند.در ویندوز 2000دامنه Domainیک واحد اساسی و مبنایی از کثرت و امنیت منابع می باشد.هر دامنه ای دارای یک یا چند کنترلر دامنه می باشد.یک کنترلر دامنه کامپیوتری است که در حال اجرای سیستم عامل ویندوز سرور2000است.و یک نسخه ی کاملی از دایرکتوری کل دامنه را در خود نگه می دارد.برای راحتی مدیریت کنترلرهای دامنه همه ی آهنا به لحاظ سح هم نظیرpeerمی باشند.


مدیران شبکه می توانند تغییراتی را در کنترلرهای دامنه ایجادکنند.و دایرکتوری همه ی کنترلرهای دامنه را آپدیتupdateکنند. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] با تمرکز بخشیدن از یک نقطه مدیریت تمام اشیاءداخل شبکه را تسهیل نموده است.چون اکتیو دایرکتوری یک نقطه ی ورود واحد را برای تمام منابع شبکه تدارک دیده است هر مدیر شبکه می تواند به داخل یک کامپیوتر دخول کندو مدیریت اشیاءروی شبکه را انجام دهد.درActive Directoryدایرکتوری ،اطلاعات مربوط به اشیاءرا در بخشهای مربوط به خودش ذخیره می کندوبه منابع ذخیره سازی اجازه ذخیره اطلاعات تعداد زیادی از اشیاءرا می دهد.در نتیجه دایرکتوری مربوط به اکتیو دایرکتوری برای سازمانهایی که در حال توسعه و بزرگ شدن هستندمی تواند گسترش یابد و به آنها اجازه ی نصب تعداد کمی از اشیاء در یک مقیاس کوچک تا اجازه ی نصب میلیونها شیءدر یک مقیاس بزرگتر را می دهد.
Active Directory مفهوم اینترنتی فضای نام را در سرویسهای دایرکتوری ویندوز2000تمرکز می بخشد.این ویژگی این امکان را به اشیاء می دهد که به صورت واحد و یکپارچه چندین فضای نام که موجودند را مدیریت کنیدهر چند که داخل شبکه های مربوط به یک شرکت محیطهای سخت افزاری و نرم افزاری متفاوتی وجود داشته با شد. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] از سرویس DNSنیز استفاده می کند و می تواند اطلاعات را با هر برنامه کاربردی و یا دایرکتوری مبادله کند.


اکتیو دایرکتوری هم چنین اطلاعات را با دیگر سرویسهای دایرکتوری مثل سرویسهای دایرکتوری ناول Novellکه نسخه ی 2ویا 3پروتکل LDAPرا پشتیبانی می کنند به اشتراک می گذارد.چون اکتیو دایرکتوری از DNSو سرویسهای محلی استفاده میکند نامهای دامنه ویندوز2000نیز نامهای DNSهستند.ویندوز2000از DNSپویایا همان DDNSاستفاده میکند.که کلاینتها را قادر می سازد آدرسها را به طور پویا برای ثبت در دایرکتوری توسط سروری که در حال اجرای سرویسDNSاست قراردهند.و نیز آنها را قادر می سازد که جدول DNSرا به طور پویا آپدیت Updateکنند.DDNSضرورت استفاده از دیگر سرویسهای نام اینترنتی را بر طرف می کند.مانند سرویس Winsدر محیطهای مشابه و همجوار.برای عملکرد صحیح اکتیو دایرکتوری نرم افزارهای مربوط به کلاینتها بایستی سرویس DNSرا نصب و پیکربندی کنید.


اکتیو دایرکتوری اکثر استانداردهای اینترنتی را با پشتیبانی از پروتکلهای HTTPوLDAP در بر می گیرد.LDAPیک استاندارد اینترنتی است که برای دسترسی به سرویسهای دایرکتوری توسعه داده شده است جهت ساده سازی متناوب دسترسی به دایرکتوری یا همان پروتکل DAP.برای کسب اطلاعات بیشتر به درباره LDAP می توانید به دنبال عبارت RFC1777در اینترنت بگردید. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] همچنین جهت تبادل اطلاعات بین دایرکتوری ها و برنامه های کاربردی از پروتکل LDAPاستفاده می کند.Active Directoryهر دو نسخه ی 2و3پروتکل LDAPرا پشتیبانی می کند.


HTTPنیز یک پروتکل استاندارد برای نمایش صفحات وب می باشد.شما می توانید هر شیء موجود در اکتیو دایرکتوری را در صفحات با کدHTMLداخل مرورگر به نمایش بگذارید.لذا کاربران از فواید مشاهده ی اشیاءدرمرورگر وب جهت دیدن اشیاءداخل اکتیو دایرکتوری بهره می برند.
اکتیو دایرکتوری همچنین از چندین قالب بندی نام استاندارد نیز پشتیبانی می کند.لذا کاربران و برنامه های کاربردی با استعانت به آشنایی با فرمتهای نام گوناگون می توانند به اکتیو دایرکتوری دسترسی پیدا کنند.در زیر برخی فرمتهای نام استاندارد را که اکتیو دایرکتوری پشتیبانی میکند را آورده ایم .


RFC822:نامهایی با فرمتهای SOMEONE@DOMAINهستند که برای اغلب کاربران آشنا یند.
HTTP URL [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] آشنای اینترنتی هستند [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
UNC:اکتیو دایرکتوری نامهای UNCرا پشتیبانی میکندنامهایی که در شبکه ها ی مبتنی بر ویندوز 2000به درایورهای به اشتراک گذاشته شده ،چاپگرها و فایلها مراجعه می کنند.
مثل://Microsoft.com\xl\buget.pdf
LDAP URL [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] سروری را تعیین میکند که در سرویس اکتیو دایرکتوری مقیم است و نامهای اشیاءاکتیو دایرکتوری راطبق RFC1779 توزیع می کند.جهت کسب اطلاعات بیشتر به RFC1779مراجعه کنید.




ساختار اکتیو دایرکتوریActive Directory

اکتیو دایرکتوری یک روش طراحی ساختار دایرکتوری را برای سازمان شما فراهم میکند.لذا قبل از نصب اکتیو دایرکتوری شما بایستی عملیات و ساختار سازمانی مورد نیاز خود را مد نظر قرار دهید.برخی شرکتها یا سازمانها یک ساختار متمرکز دارندنوعا اینگونه سازمانها و شرکتها حوزه های اطلاعاتی قوی و محکمی دارندکه آنها را در یک ساختار شبکه ای با جزئیات کمتری تعریف و پیاده سازی می کنندامّا برخی دیگر از سازمانها و شرکتها بخصوص سازمانها و شرکتهای خیلی بزرگ پراکنده و غیر متمرکزنداینگونه سازمانها و شرکتها دارای شعبات چند گانه ای هستندکه هر کدام از آنها خیلی مهم و کانونی اند.اینگونه سازمانها به یک راهبرد غیرمتمرکز نیازمندند تا شبکه ها و اعضای خودشان را مدیریت کنند
با انعطاف پذیری که Active Directory دارد شما می توانید بهترین و مناسب ترین ساختار شبکه ی سازمان خود را ایجاد و مدیریت کنید.اکتیو دایرکتوری بطور کامل ساختار منطقی و سلسله مراتبی دامنه را از ساختار فیزیکی آن جدا می کند.



ساختار منطقیLogical Structure

در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] شما منابع را در یک ساختار منطقی سازماندهی میکنیداین ویژگی شماراقادرمی سازد که منابع را توسط نامشان پیدا کنید نه محل فیزیکی آنها چون اکتیودایرکتوری ساختار فیزیکی رااز دیدکاربران پنهان می سازد.




اشیاءs


هر شیءبطور مجزا و واضح توسط یک سری از خواص نام گذاری شده است که یک منبع شبکه را ارائه میکند.خواص اشیاءخصیصه یا شاخصهایی از اشیاءدر دایرکتوری هستند.به عنوان مثال خواص حساب کاربری نام او و حوزه ی او و آدرس ایمیل اوهستند.در اکتیودایرکتوری شما می توانید اشیاءرا در کلاسهایی سازماندهی کنید.که گروههایی منطقی از اشیاءهستند.به عنوان مثال هر کلاس شیءممکن است شامل حساب کاربر،گروهها،کامپیوترها،د امنه ها،و یا واحدهای سازمانی باشند.1

برخی اشیاء به عنوان در برگیرنده شناخته می شوندکه شامل اشیاءدیگرهستند.مثل دامنه که یک شیءدر برگیرنده است.



واحدهای سازمانیOrganizational Units


واحد سازمانی یک دربرگیرنده containerاشیاءاست.که برای سازماندهی اشیاء در دامنه داخل گروههای مدیریتی منطقی استفاده می شود.هر واحد سازمانی میتوانداشیایی مثل حسابهای کاربران،گروهها،چاپگرها،کا مپیوترها،برنامه های کاربردی،فایلهای اشتراکی ودیگر واحدهای سازمانی را دربرگیرد.

ساختار سلسله مراتبی هرواحدسازمانی داخل یک دامنه مستقل از ساختار سلسله مراتبی دردیگر دامنه هاست.هردامنه می تواند ساختار سلسله مراتبی مربوط به خودش را پیاده سازی کند.لذا یک ساختار سلسله مراتبی درختی با عمق کم کارایی بهتری نسبت به ساختاری با عمق زیاد دارد.بنابراین نبایستی ساختاری با عمق بیش از آنچه نیاز دارید ایجاد کنید



دامنه Domain


دامنه یک واحدمرکزی و هسته ای از ساختارمنطقی درActive Directoryاست.گروه بندی اشیاءدر یک یا چند دامنه این اجازه را به شبکه شما می دهد که ساختار شبکه شما را نمایان سازد.دامنه ها مشخصه های زیر را به اشتراک می گذارند.
الف-همه ی اشیاءموجود در یک دامنه و هر اطلاعات ذخیره شده در دامنه فقط مربوط به اشیایی هستند که آن دامنه آنها را در بر می گیرد.بطور تئوری هر دایرکتوری می تواند بیش از 10میلیون شیءرا در بر گیردامٌا مقدار 1میلیون شیء رد هر دامنه مقدار عملی و کاربردی آن است.
ب- هر دامنه یک کرانه ی امنیتی-رخصتی permissionاست.لیست کنترل دسترسی(ACL)دسترسی به اشیاءداخل دامنه را کنترل می کند.ACLها شامل رخصتهای مرتبط با اشیاء هستندکه کنترل می کنند کدام کاربران و چه نوع از دسترسی را می توانند بدست اورند.در ویندوز 2000 اشیاءشامل فایلها،پوشه ها،چاپگرها،منابع مورد اشتراک و سیاستهای امنیتی هستند.ACL ها نمی توانند از یک دامنه به دامنه ی دیگر عمل کنند.و منحصراً عامل در دامنه ی خود هستند.مدیران یک دامنه حق گماردن انواع سیاستها داخل آن دامنه را دارند.



درختTree


یک درخت یک گروه و یا یک ساختارمرتب سلسله مراتبی از یک یا چند دامنه ی ویندوز 2000است که فضای نام همجوار را به اشتراک می گذارد

درختها دارای مشخصه های زیرند:

الف-از استاندارد DNS پیروی می کنند.نام دامنه ای از یک دامنه ی فرزند منسوب و مربوط به نامی است که آن نام محلق و پیوندخورده با نام دامنه ی والد خودش است.
ب- همه ی دامنه ها داخل یک درخت یک شمای عمومی را به اشتراک می گذارند.که یک روش تعریف از همه ی انواع اشیاییاست که می توانید در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ذخیره کنید.
ج- همه ی دامنه ها ی داخل یک درخت یک کاتالوگ سراسری عمومی را به اشتراک می گذارند که یک مخزن و انبار متمرکز از اطلاعاتی دربار? اشیاءداخل درخت می باشد.



جنگلForest


یک جنگل یک گروه و یا یک ساختار مرتب از یک یا چند درخت دامنه است که فضای نام آنها از یکدیگر جدا می باشد

جنگلها دارای مشخصه های زیرمی باشند:
الف-همه ی درختهای داخل یک جنگل یک شمایSchema عمومی را به اشتراک می گذارند.
ب-درختهای داخل یک جنگل ساختار نام متفاوتی دارند.
ج-همه ی دامنه های داخل یک جنگل یک کاتالوگ سراسری عمومی را به اشتراک میگذارند.
د-دامنه های داخل یک جنگل به طور مستقل عمل میکنند.امٌا جنگل قادر به برقراری ارتباط بین تمام سازماندهی ها می باشد.

Microsoft.comوmsn.comاز یک جنگلند که فضای نام آنها فقط داخل هر درخت همجوار است.


ساختار فیزیکیPhysical Structure

اجزاء فیزیکی Active Directory مثل کنترلرهای دامنه و سامانه ها ساختار فیزیکی یک سازمان را بازتاب می نمایند.




کنترلرهای دامنه Domain Controllers


یک کنترلردامنه یک کامپیوتریست که در حال اجرای سیستم عامل ویندوز2000میباشد.

که یک نسخه (عین المثل)از دایرکتوری دامنه را در خود ذخیره کرده است.چون دامنه امکان داشتن یک و یا چند کنترلردامنه را داراست هر کنترلردامنه میتواند نسخه ی کاملی از بخشهای دامنه از یک دایرکتوری را در خود داشته باشد.
عملکردهای کنترلرهای دامنه شامل موارد زیرند:
الف- هر کنترلر دامنه یک کپی کامل از تمام اطلاعات Active Directory موجود در یک دامنه را در خود ذخیره می کندو تغییرات اطلاعات را مدیریت میکندو این تغییرات را به دیگر کنترلرهای موجود دردامنه منعکس می کند.
ب- کنترلرهای دامنه بطور خودکار همه ی اشیاء موجود در دامنه را به یکدیگر منعکس می کنند.وقتی کاربریک فعٌالیت یا عمل را انجام می دهدکه باعث آپدیت Active Directory گرددکاربرموجب تغییری در یک دامنه گردیده است که آن کنترلر دامنه این تغییر را به تمام کنترلرهای موجود در آن دامنه منعکس می کند.کاربران مجاز به تغییرمثل مدیران می توانند انعکاس تغییرات را بین کنترلرهای دامنه مدیریت کنند.با تعیین اینکه انعکاس چگونه و چه مقدار داده در یک زمان سیستم عامل ویندوز2000انجام گیرد.
ج- کنترلرهای دامنه عمل اپدیت برخی موارد معین ومهم را فوراً در بین کنترلرهای دامنه منعکس میکنند.مانند غیر فعال کردن یک حساب کاربر.
د- Active Directory عمل انعکاس تغییرات را به صورت چندگانه انجام می دهد.بدین معنا که تمام کنترلرهای موجود در یک دامنه به لحاظ سطح نظیر یکدیگرند(Peer)ودراین حالت هر کنترلردامنه یک کپی از پایگاه داده دایسرکتوری را در خود نگه می دارد.که می تواند روی آن بنویسد.کنترلرهای دامنه می توانند برای زمان کوتاهی اطلاعات متفاوتی را در خود نگه دارندتا زمانی که همگام سازی بین کنترلرهای دامنه جهت انعکاس تغییرات در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] صورت گیرد.
ح- کنترلرهای دامنه قادر به کشف تصادم هستند این تصادم وقتی می تواند رخ دهد که تغییر داده شده در یک کنترلرقبل از انعکاس این تغییر در دیگر کنترلرهای دامنه صورت گیردتصادم ها با مقایسه ی شماره ی نسخه ی تغییرات کشف می شوندActive Directoryتصادم را با انعکاس تغییرات بوجود آمده توسط بالاترین شماره ی نسخه ی این تغییرات حل می نماید.
چ- داشتن بیش از یک کنترلر دامنه در دامنه تحمل خرابی را بالا میبرد.اگر یک کنترلر موجود دردامنه خراب شود.دیگر کنترلرهای دامنه دامنه می توانند تمام عملکردهای لازم را تدارک ببینندمثل ثبت و ضبط تغییرات در Active Directory.
خ- کنترلرهای دامنه همه ی تعاملات کاربر را مدیریت میکننند.مثل افزودن اشیاءبه اکتیو دایرکتوری و اعتبار سنجی و تصدیق هویٌت کاربران را.بطور کلی بایستی یک کنترلردامنه برای هر دامنه موجود در سامانه جهت اهداف تعیین و تصدیق هویٌت وجود داشته باشد.لذا ملزومات تعیین و تصدیق هویٌت،تعدادو محل کنترلرهای دامنه را در سازمان مطبوعتان تعیین میکند.




Sitesسامانه ها


یک سامانه یک ترکیبی از زیر شبکه های متصل بهم بهمراه ادرسهای IPآنها در کنارقابلیٌت اعتماد بالا و پیوندهای سریع جهت محلی سازی بیشتر ترافیک شبکه تا حد امکان می باشد.نوعاً یک سامانه مسیریابهای مرزی یکسانی برروی یکLAN دارا می باشد.وقتی زیر شبکه ها را در زیر شبکه تا گروه بندی میکنید.شما بایستی زیر شبکه هایی را که سریع و ارزان و دارای ارتباطات قابل اعتماد هستند را با یکدیگر ترکیب کنید.با اکتیو دایرکتوری سامانه ها بخشی از فضای نام نیستند.وقتی شما فضای نام را مرور می کنیدکامپیوترها و کاربران گروه بندی شده را داخل دامنه و یا واحدهای سازمانیOUمی بینیدنه در داخل سامانه ها،سامانه ها فقط اشیاء کامپیوتر و ارتباط بین اشیاءرا در بر می گیرندکه برای پیکربندی انعکاسreplication بین سامانه ها مورد استفاده قرار می گیرند. [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] همچنین دارای ویژگی replication است.انعکاسreplicationاین اطمینان را فراهم میکند که تغییرات داخل یک کنترلر دامنه در دیگر کنترلرهای همان دامنه نیز منعکس می شود.داخل یک سامانه اکتیو دایرکتوری بطور خودکار یک توپولوژی حلقه ای را به وجود می آورد.برای انعکاس بین کنترلرهای موجود در یک دامنه این توپولوژی،مسیر آپدیت دایرکتوری و جریان آن از یک کنترلر دامنه به دیگر کنترلرهای دامنه را تا زمانی که همه ی کنترلرهای دامنه این آپدیت دایرکتوری را دریافت کنندتعریف میکند.

ساختار حلقه این تضمین را می کند که حداقل دو مسیر انعکاس replication از یک کنترلردامنه به دیگر کنترلرها وجود دارد.بنابراین چنانچه یک کنترلردامنه خاموش شود دیگرکنترلرهای دامنه انعکاس را ادامه خواهند داد.اکتیو دایرکتوری بطور دوره ای توپولوژی انعکاس داخل یک سامانه را آنالیز کرده تا کارآمدی آن را تضمین کنداگر یک کنتلر دامنه را از سامانه یا شبکه حذف یا به ان اضافه کنید اکتیو دایرکتوری توپولوژی را مجدداً پیکربندی خواهد کرد.تا تغییرات جدید را منعکس نماید.



Schema


شما اشیایی که می توانند در اکتیودایرکتوری ذخیره شوند را تعریف میکند.شما لیستی از تعاریفی است که انواع اشیاءو انواع اطلاعات مربوط بهاین اشیاء راکه در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ذخیره میگردنندرا شامل می شود.شما دو نوع از تعاریف اشیاء را در بر می گیرد.1-کلاس اشیاء2-خواص اشیاءکلاس اشیاء و خواص اشیاء در لیستهای مجزایی در شما تعریف می شوند.کلاس شما و خواص اشیاء همچنین به شمای اشیاء ارجاع داده می شوند.شمای کلاس اشیاء امکان ایجاد اشیایی در اکتیودایرکتوری را تشریح میکند.هر کلاس مجموعه ای از خواص اشیاء است.برای هر کلاس شیء شما تعریف میکند که چه خواصی و چه نمونه ای از کلاس باید وجود داشته باشدو چه خواص اضافه ای آن کلاس می تواند داشته باشدو نیز یک کلاس والد(پدر)از کلاس شیء جاری چه کلاس شی ای میتواند داشته باشد.هر شیءدر اکتیودایرکتوری نمونه ای از کلاس آن شیء است.خواص اشیاء ،خواصی را که با هر کدام از آن اشیاء مرتبط هستند را تعریف می کند.خواص فقط یک بار تعریف می شوند و می توان از آن در کلاسهای زیادی استفاده کرد.چون تعاریف شما در خود اشیاء در Active Directory ذخیره هستندمی توان آنها را به راحتی و به طور یکسانی مانند اشیاء موجود در اکتیو دایرکتوری مدیریت کرد.هنگام نصب اکتیودایرکتوری روی اولین کنترلردامنه موجود در شبکه یک شمای پیش فرض روی آن ایجاد می شود.که یک مجموعه ی پایه ای از خواص کلاس شما را در بر می گیرد.شمای پیش فرض تعاریفی از اشیاء و تنظیماتی از آنها را که اکتیودایرکتوری بصورت داخلی برای انجام عملیاتی مورد استفاده قرار می دهد را شامل می شود.شمای اکتیو دایرکتوری قابلیت گسترش و توسعه را دارد بدین معنا که می توانید یک دایرکتوری جدید از انواع اشیاء و خواص آنها را تعریف کنید و نیز خواص جدیدی برای اشیاء موجود در Active Directory منظور کنید.و نیز می توانید به کمک ابزار مدیریت شما (schema manager snap-in)ویا روابط سرویس اکتیودایرکتوری موسوم به ADSIشما را گسترش دهید.فقط توسعه دهندگان مجرب و یا مدیران شبکه بایستی به طور پویا با تعریف کلاسهای جدید و خواصی برای کلاسهای موجود شما را گسترش دهند.شما در داخل خود اکتیو دایرکتوری پیاده سازی و تعریف شده است.(داخل یک کاتالوگ سراسری)و می تواند بطور پویا آپدیت شود.درنتیجه هر برنامه ی کاربردی می تواند شما را با تعریف کلاس وخواص جدیدی گسترش داده و بطور سریع و فوری مورد استفاده قرار دهد.




کاتالوگ سراسری Global Catalog

اکتیودایرکتوری به مدیران و کاربران برای یافتن اشیایی مثل کاربران و چاپگرهاو... این اجازه را می دهد.بنابراین پیداکردن اشیاء خارج از دامنه احتیاج به مکانیزمی داردکه به دامنه ها این اجازه را می دهدکه به صورت یک واحد کامل عمل کنند.یک سرویس کاتالوگ اطلاعات منتخب درباره ی هر شیء داخل همه ی دامنه ها در یک دایرکتوری را دربر می گیرد.که برای جستجوی سراسری مفید است .سرویس کاتالوگ توسط سرویسهای Active Directory تدارک دیده شده است که یک کاتالوگ سراسری نامیده می شود.کاتالوگ سراسری یک مخزن مرکزی از اطلاعات درباره ی اشیاء داخل یک درخت یا جنگل می باشد.


کاتالوگ سراسری Global Catalogبطور خودکار در اولین کنترلردامنه در اولین دامنه ی موجود در جنگل ایجاد شده است.و کنترلردامنه ی شامل کاتالوگ سراسری ، به عنوان سرور کاتالوگ سراسری شناخته می شود.با استفاده از سرویسهای انعکاس چندگانه اصلی موجود در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] اطلاعات کاتالوگ سراسری بین سرورهای کاتالوگ سراسری در دیگر دامنه ها منعکس می گردد.بطور پیش فرض خواص اشیاءدر کاتالوگ سراسری ذخیره شده اند که به طور متناوب به منظور عملیات جستجو مورد استفاده قرار می گیرند.مانند نام کاربر و نام ورود
انهاو... که اینها جهت انعکاس کامل اشیاء ضروری می باشند.می توان کاتالوک سراسری را مورد استفاده قرارداده و اشیاء را در هر جایی از شبکه قرار دادبدون اینکه نیاز به انعکاس همه ی اطلاعات دامنه بین کنترلرهای دامنه داشته باشید.شما به کمک ابزار مدیریت سرورها
server management snap-in می توانید کنترلرهای دامنه را اضافه و به عنوان سرورهای کاتالوگ سراسری مورد استفاده قرار دهید. با ملاحظه به اینکه کدام کنترلر دامنه برای سرورهای کاتالوگ سراسری منظور شوند و با توجٌه به این نکته که ساخار شبکه چگونه ترافیک queryها و انعکاس را اداره کند شما قادر به تصمیم گیری در این باره هستید.بنابراین اغلب سرورهای کاتالوگ سراسری بزرگتر از ترافیک موجود در شبکه هستندبنابراین قابلیت دسترسی به سرورهای اضافی،پاسخ سریعتر را به سوءالات بی مورد کاربران فراهم می کند.هر سامانه ی اصلی بایستی شامل یک سرور کاتالوگ سراسری باشد.





فضای نامName Space


اکتیو دایرکتوری به مانند همه ی سرویسهای دایرکتوری یک فضای نام اصلی می باشد.تحلیل نام در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] فرآیند ترجمه ی نام یک شیء یا اطلاعاتی است که آن نام ارائه می دهد.فضای نام در اکتیو دایرکتوری بر مبنای نامگذاری DNSمی باشدکه اجازه ی عملیات داخلی بر پایه ی تکنولوزی اینترنت را می دهد

فضای نام عمومی امکان مدیریت ویکسان سازی محیطهای سخت افزاری و نرم افزاری چندگانه را می دهد.دو نوع فضای نام وجود دارد
فضای نام پیوستار و همجوار :در این فضای نام یک فرزند همیشه در ساختار سلسله مراتبی اشیاءشامل یک نام والد از دامنه ی خود می باشد.درخت نمونهای از این فضای نام می باشد.
فضای نام منفصل ومنقطع:در این فضای نام نامهای یک شیءوالد و فرزندان از یک شیءوالد دیگر بطور مستقیم با یکدیگر مرتبط نیستند.جنگل نمونه ای ازاین فضای نام می باشد.
هر شیئ در اکتیودایرکتوری با یک نام شناسایی می شود.Active Directoryنامگذاری گوناگونی را مورد استفاده قرار می دهد.
1- نامگذاری واضح Distinguished Name
2- نامگذاری واضح وابسته Distinguished Name Relative
3- شناسه ی منحصربفرد سراسریGlobal Unique Identifier
4- نام اصلی کاربر User Principal Name




نامگذاری واضح DN))Distinguished Name


هر شیءدر اکتیو دایرکتوری دارای یک نام می باشد که هر شیء را به طور منحصربفردی شناسایی می کندو اطلاعات کافی جهت بازیابی اشیاء توسط کلاینتها از اکتیودایرکتوری رادر بر می گیرد.DNشامل نامی از دامنه است که شیء را شامل می شود.DNها در اکتیو دایرکتوری بایستی یکتا ومنحصربفرد باشند.چون اکتیودایرکتوری اجازه ی کثرت DNها را نمی دهد.به عنوان مثال در DNزیر first name وlast nameشیء کاربر را در دامنه ی Microsoft.comشناسایی میکند.که نامهای first nameوlast name نامهای واقعی حساب کاربر را ارائه می کنند.

/DC=COM/DC=MICROSOFT/OU=DEV/CN=USER/CN=firstname lastname



نامگذاری واضح وابستهRelative Distinguished Name(RDN)


اکتیودایرکتوری همچنین پرسش و پاسخ را طبق خواص پشتیبانی می کندلذا می توانید هر شیء را در ان بیابید.حتی اگرDN ان ناشناخته و یا تغییر یافته باشد.RDNهر شیء بخشی از نامی است که خواصی ارز خود آن شیء می باشد.در مثال قبل RDNشیء کاربر first nameوlast name آن می باشدو RDN شیء والد آن USERمی با شد.شما می توانید RDNهارا برای اشیاء [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] تکرار کنیداما نمی توانید دو شیء با RDNیکسان در یک واحد سازمانی OU داشته باشید.به عنوان مثال اگر حساب کاربری Jone Doeنامگذاری شده باشد نمی توانید حساب کاربر دیگری با همین نام در یک واحد سازمانی OUداشته باشید.بنابراین اشیاء با RDNهای تکراری می توانند در OUهای جداگانه ای وجود داشته باشندزیرا آنها DNهای متفاوتی دارند



شناسه ی منحصربفرد سراسری Global Unique Identifier

GUIDیک عدد 128 بیتی است که به صورت یکتا و منحصربفرد رزرو شده است GUIDها براشیاءوقتی که ایجاد می شوند گمارده می شوند GUIDهرگز تغییر نمی کندحتی اگر نام شیء را تغییر دهیدیا آن را حذف کنید.برنامه های کاربردی GUIDاشیاء را ذخیره کرده و جهت بازیابی اشیاء صرفنظر از نام DNجاری آنها مورد استفاده قرار می دهند.



نام اصلی کاربر User Principal Name


حسابهای کاربری نامهای کاربر پسندی دارند UPN یک نام کوتاهتر برای حساب کاربر و برای نام DNS از یک درخت است که شیء حساب کاربر در آنجا مقیم است مانند [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این مقاله بدون نقص نیست لذا از شما خواننده گرامی تقاضا دارم نواقص را منعکس کرده تا در اسرع وقت در این مقاله تصحیح نمایم

.


نصب اکتیو دایرکتوری در WINDOWS SERVER 2008 R2


قصد داریم تا چگونگی نصب یک اکتیو دایرکتوری برای یک دامین جدید در یک جنگل جدید بپردازیم.برای این منظور، قدم های زیر را دنبال کنید. این مطلب با ساده ترین بیان ممکن نوشته شده است و تلاش شده است به همراه تصویر متعدد، توضیحات کافی ارائه شود. اینجا برای نصب هدف نسخه Full Installation است. نصب در نسخه Core Installation ، در آینده مورد بحث قرار خواهد گرفت.

فاز اول

۱) ابتدا Server Manager را باز کنید. در منوی شروع “Start” آن را به راحتی می توانید ببینید، ضمن آنکه به صورت پیش فرض هر زمان که Loginکنید بار می شود.
۲)قسمت Roles را از ساختار درختی سمت چپ انتخاب کنید و سپس در سمت راست Add Rolesرا بزنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱:اضافه کردن Role.

3) سپس Add Role Wizardباز خواهد شد. در این مرحله ویزارد از شما تقاضا می کند تا:
الف) آخرین به روز رسانی ها را دریافت کنید.
ب)از کلمه عبور قدرتمند استفاده کنید
ج)تنظیمات شبکه ای را کامل انجام دهید. همانند اختصاص IP به صورت ثابت “Static“

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۲:نکات پیش از شروع Wizard.

4)موارد فوق را رعایت کنید و سپس Next را بزنید. در قسمت بعد، لیستی از نقش هایی (Role) که ویندوز سرور ۲۰۰۸ می تواند در شبکه داشته باشد را به شما نمایش می دهد. در این قسمت Active Directory Domain Services را انتخاب کنید. (به اختصار AD DSگفته می شود.)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر۳:انتخاب Role.

5)با زدن Nextویزارد نصب اکتیودایرکتوری در موارد زیر هشدار می دهد:

الف) برای redundancyحداقل دو دامین کنترلر در شبکه ایجاد کنید. به منظور عدم قطع سرویس دهی به کلاینت ها متداول است که از حداقل دو دامین کنترلر استفاده شود که در این خصوص در آینده صحبت می کنیم.
ب)AD DS نیاز به سرویس DNSدر شبکه دارد. چنانچه قبلا نصب نشده، آن را نصب کنید. در این خصوص در مطلب پیش نیاز ها ذکر کردم که چنانچه اولین دامین در اولین جنگل را ایجاد می کنید اجازه دهید خودکار انجام شود. شما در این مرحله به راحتی این پیغام را در نظر نگیرید. ( موقتا )
ج) پس از پایان این ویزارد باید DCPromo.exeرا اجرا کنید. در غیر این صورت اکتیودایرکتوری نصب نخواهد شد. در ویندوز سرور ۲۰۰۳ این عمل اتوماتیک صورت می گرفت.
د)نصب اکتیودایرکتوری سبب نصب DFS Namespaces ، DFS Replication و File Replication servicesنیز می شود. که خوب این دیگه از این بهتر نمی شود.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۴:نکات پیش از نصب.

۶)برای ادامه Next را بزنید و سپس با زدن Installعملیات نصب را تایید کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۵:تایید نصب.

۷)با مشاهده Installation Succeededمطابق تصویر شش ، فاز اول عملیات نصب تمام شده.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۶:پایان فاز اول.

فاز دوم

۸) می توانید روی لینک که در تصویر هفت مشاهده می کنید کلیک کنید تا DCPromo.exe باز شود و یا در RUN وارد کنید. و یا هر روش دیگری که می پسندید. در اینجا با باز کردن Start Menu و Search به صورت سریعی DCPromoرا باز کردم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۷:نمای Server Manager پس ازفاز یک.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۸:اجرای DCPromo.exe.

9)در اینجا من Advanced Mode Installationرا انتخاب می کنم. توصیه می کنم شما هم این عمل را انجام دهید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۹:شروع DCPromo.

10)Next را بزنید. در مرحله بعد تذکراتی در خصوص سازگاری با سیستم عامل های قبلی داده می شود که کم و بیش در مطلب پیش نیاز و حوزه عملکرد در موردش بحث شد. برای اطلاعات بیشتر به وب سایت مایکروسافت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مراجعه کنید. اما به صورت کلی بدانید از ویندوز NT در دامین کنترلر های ویندوز سرور ۲۰۰۸ به دلیل پشتیبانی نکردن از الگوریتم های رمزنگاری قدیمی مورد استفاده ویندوز NTپشتیبانی نمی شود. پس چنانچه از این نسخه از ویندوز در شبکه خود هنوز استفاده می کنید، از ادامه مراحل خودداری کنید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۰: تذکرات سازگاری با ویندوز

NT

11) مشخص کردن ساختار جنگل و ساختار درختی: در این قدم لازم است جایگاه سرور در ساختار منطقی مشخص گردد. گزینه های در دسترس عبارت اند از:

- ساخت یک دامین جدید در یک جنگل جدید. Create a new Domain in a new forest: در اینجا چون هیچ Forest از پیش وجود ندارد این گزینه را انتخاب می کنیم.
در یک جنگل موجود Existing Forest:
- افزودن یک دامین کنترلر به یک دامین Add a Domain Controller to an existing domain: یک Additional Domain Controller ایجاد می کند. برای اطمینان از Availability سرویس معمولا در یک دامین از بیش از یک دامین کنترلر استفاده می گردد تا اگر یک سرور با مشکلی رو به رو شد، سرور دوم پاسخ گوی کلاینت ها باشد.

• - ساخت یک دامین جدید در یک جنگل موجود Create new domain in an existing forest: این گزینه یک دامین فرزند (Child Domain) جدید در یک جنگل ایجاد می کند.

- ایجاد یک Tree Root: با این گزینه یک درخت جدید در جنگل ایجاد می شود که Tree Root دامینی است که در اینجا ایجاد می شود. Create a new domain tree instead of a new child domain
با توجه به گزینه ای که در اینجا انتخاب می شود، مراحل بعدی می تواند متمایز از آنچه در اینجا ذکر می شود باشد. در اینجا صرفا قصد داریم یک دامین جدید در یک Forest جدید ایجاد کنیم. نکته قابل توجه آن است که برای ایجاد هر کدام موارد فوق باید دسترسی های لازم را در اختیار داشته باشید. به عنوان مثال چنانچه گزینه ی create a new domain in an existing forest را انتخاب کنید یا به عبارتی یک Child Domain ایجاد کنید، لازم است یک Credential مناسب که یک اکانت عضو گروه Enterprise Administrators است فرآهم آورید. به عنوان مثال دیگری، برای ایجاد یک Read-Only Domain Controller داشتن مجوز دسترسی Domain Administrator کفایت می کند. همچنین لازم است نام DNS جایی که قصد راه اندازی مورد جدید را در آن داریم وارد کنیم. این نام باید یک نام معتبر روی یک Forestموجود باشد.


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر a11: انتخاب جایگاه سرور در ساختار منطقی (درخت و جنگل)
تصویر b11: انتخاب جایگاه سرور در ساختار منطقی (درخت و جنگل)
* مربوط به ایجاد یک Child Domain جدید

۱۲)در مرحله بعدی باید نام Forest Root Domain را وارد کنید. به مواردی که پیش تر تذکر داده شد توجه کنید. در اینجا از نام ADExample.comاستفاده می کنم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۲: انتخاب نام
Forest RooT

13) در این مرحله با زدن Next ویزارد چک می کند تا این نام قبلا در شبکه موجود نباشد. پس از چند ثانیه، چنانچه موجود نباشد، نام NetBIOSاز شما پرسیده خواهد شد که به صورت پیش فرض بخش اول نامی است که در بالا انتخاب کرده اید. توصیه می شود این نام را تغییر ندهید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۳: انتخاب نام NetBios

14)با زدن Next در مرحله بعد باید Forest Functional Level و Domain Functional Level را انتخاب کنید که در آینده توضیح داده شده است. همانطور که ذکر شده اینجا Windows Server 2008 R2 را با فرض عدم وجود DCهای با نسخه ی پایین تر ویندوز انتخاب می شود.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۴: انتخاب حوزه عملکرد

۱۵)در مرحله بعدی باید تنظیمات اضافی را اعمال نمود. به صورت پیش فرض DNS Server انتخاب شده است. چنانچه اولین دامین کنترلر نباشد شما می توانید تنظیمات Global Catalog(GC) و Read-only Domain Controller را اعمال کنید. اما از آنجایی که در اینجا در حال نصب اولین دامین کنترلر هستیم، این موارد غیر قابل تغییر اند. در خصوص Read-Only Domain Controller و GCدر آینده توضیح داده خواهد شد.
۱۶)در صورت انتخاب DNS Server در این مرحله پیام هشداری دریافت می کنید مبنی بر اینکه امکان ساخت Delegation برای DNS Zone وجود ندارد زیرا Parent Zone قابل دسترسی نیست یا از Windows DNS Server استفاده نمی کند. از آنجایی که در حال نصب اولین دامین در جنگل جدید هسیتم، با زدن Yesپیغام را تایید می کنیم.


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۵: مرحله DC Option و پیام مشکل در ساخت
Delegation

17)سپس با توجه به آنچه در “پیش نیاز” صحبت شد، جای فلدر های ذخیره سازی اطلاعات را معین می کنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۶: محل فایل های
Data Store

18) در این مرحله باید کلمه عبوری برای Directory Services Restore Mode انتخاب کنید. توصیه می شود این کلمه عبور با کلمه عبور خودتان متمایز باشد و یادآوری آن ساده باشد هر چند امنیت آن اهمیت بسیاری دارد. البته راهی برای تعویض این کلمه عبور وجود است که در آینده آن را ذکر خواهیم کرد. در وضعیت Directory Services Restore Modeسرویس اکتیو دایرکتوری به صورت آفلاین می شود و در برخی عملیات کاربرد بسیاری دارد که در آینده مورد بحث قرار می گیرد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۷:
Restore Mode Password

19)در مرحله بعدخلاصه ای از تنظیمات مشخص شده را می توانید مشاهده کنید. آن ها را بازبینی کنید تا مشکلی موجود نباشد. نکته جدید دیگری همانطوری که تصویر هجده مشاهده می کنید وجود دارد دکمه Export settings است. همانطوری که درنصب به روش Unattended توضیح داده شد ، با این گزینه می توانید یک answer fileبرای نصب اکتیو دایرکتوری های دیگری با همین تنظیمات استفاده کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۸: تایید نصب

۲۰)با زدن Next انجام نصب را تایید می کنید. این مراحل قدری طول می کشد و پس از پایان نیاز است تا کامپیوتر ریستارت “Restart” شود. یکی از کمک های مایکروسافت به شما مدیر شبکه گزینه Reboot on completionاست. به راحتی این گزینه را چک بزنید و به دقایقی را تا شروع مجدد فعالیت سرور و شروع داستان های پس از نصب اکتیو دایرکتوری یک چای یا قهوه میل کنید. در ضمن توجه داشته باشید که چنانچه این سرور شما سرویس های دیگری را به شبکه ارائه می دهد، باید در زمان بندی معین و اعلام قبلی به کاربران سرور را ریستارت کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تصویر ۱۹: انجام نصب و گزینه Reboot on Completion

توصیه می شود در پایان تنظیمات و تغییرات اعمال شده را بررسی کنید. به عنوان مثال تنظیمات DNS و… را بازبینی کنید.





منبع :/social.technet.microsofT






.

اختیارات و مجوزهای یک یوزر . ./

اختیارات و توانمندی های یک یوزر و در واقع قدرت آن به چه عواملی بستگی دارد. پاسخ مشخص است :به مجوزها و اختیاراتی که دارد و گروه هایی که عضو آنها می باشد. حال گروه های پیش فرض و اصلی ویندوز را بررسی می کنیم.

Administrators
مشخص است منظور کاربرانی با دسترسی کامل روی سیستم هستند. یوزر administrator به صورت پیش فرض و ذاتی عضو این گروه است.

Users
هر یوزر جدید به طور پیش فرض در این گروه قرار می گیرد. اعضای این گروه اختیارات بسیار کمی دارند مثلا ساعت را نمی توانند تنظیم کنند. درایور نمی توانند نصب کنند. به تنظیمات کارت شبکه دسترسی ندارند ولی قادر به انجام برخی موارد مانند ساختن کانکشن اینترنت و یا بکاپ گیری از فایل های خودشان هستند.

Network Configuration Operators
همان اعضای گروه یوزر هستند که البته می توانند تنظیمات شبکه (TCP/IP) را انجام دهند.

Backup Operators
همان گروه یوزر هستند که قادرند از تمام فایل های سیستم نسخه پشتیبان یا بکاپ تهیه کنند.

Power Users
گروهی نسبتا قدرتمند هستند که اختیاراتی مانند Share کردن، نصب برنامه های کوچک، تغییر ساعت، ساخت یوزر (البته با حداکثر اختیاراتی که خودش دارد) را دارا هستند.

Remote Desktop Users
برای وصل شدن به سیستم از طریق یک سیستم دیگر یا اصطلاحا به صورت Remote، یوزر مربوطه باید عضو این گروه باشد. اعضای گروه Administrators به صورت ذاتی این قابلیت را دارند.

Everyone
گروهی که تمام یوزرهای کامپیوتر را دربر می گیرد.
یادمان باشد حتی اعضای گروه Administrators هم عضو این گروه هستند بنابراین اگر مثلا دسترسی به یک فایل را برای Everyone غیر مجاز کنیم، حتی Administrator ها هم دیگر به آن دسترسی نخواهند داشت.

Authenticated Users
منظور یوزرهایی هستند که به سیستم وارد شده یا اصطلاحا Login کرده اند. منظور تمام یوزرهایی است که از طرق مختلف مثلا پای خود سیستم، به صورت Remote، از طریق دسترسی به Share های روی سیستم و ... به آن وارد شده اند. وقتی یوزرها Log off کنند به صورت خودکار از این گروه خارج می شوند. یوزر Guest عضو این گروه نیست.

Anonymous Logon
کسانی عضو این گروه می شوند که بدون وارد کردن یوزر و پسورد و در واقع بدون Authentication وارد سیستم شوند. مثل زمانی که Simple File Sharing تیک دارد و Guest هم Enable است. یا مثل زمانی که یک FTP site روی سیستم ساخته ایم و تیک anonymous آن را زده ایم یعنی برای استفاده از آن نیازی به یوزر و پسورد نباشد. (در این مورد بعدا توضیحات لازم ارایه خواهند شد)

دستورات خط فرمان
از این به بعد در بسیاری از درس ها دستورات خط فرمانی مرتبط با مباحث ارایه خواهند شد. به عنوان یک مدیر شبکه، لازم است این دستورات را بدانید و در مواقع لازم از آنها استفاده کنید. برخی فکر می کنند یادگیری این دستورات و استفاده از آنها فقط برای به رخ کشیدن معلومات یا به قول خودمان کلاس گذاشتن به درد می خورد. این تصور کاملا اشتباه است. برخی اوقات یک دستور شما را از ده ها کلیک ماوس و زدن و برداشتن تیک های مختلف خلاص می کند. ضمنا می توان از این دستورات در فایل های دسته ای یا Batch Files استفاده کرد. بسیاری از اوقات هم به دلایل مختلف شما به بسیاری امکانات گرافیکی ویندوز دسترسی ندارید. با این مقدمه و ذکر این مطلب که تمامی مباحث خصوصا دستورات خط فرمانی را باید حتما تمرین کنید و فقط به مطالعه مباحث اکتفا نکنید، به سراغ دستورات خط فرمان مرتبط با یوزرها می رویم :

1- ساختن یک یوزر محلی (local) روی یک سیستم

Net User "نام یوزر" "پسورد" /add

2- حذف یک یوزر
Net User "نام یوزر" /delete
3- Disable و Enable کردن یک یوزر
Net User "نام یوزر" /activeYes / No)

4- مشاهده لیست یوزرهای سیستم
Net User

5- ساخت یک گروه
Net localgroup "نام گروه" /add
6- اضافه کردن یک یوزر به یک گروه
Net localgroup "نام گروه" "نام یوزر" /add

7- حذف عضویت یک یوزر از یک گروه
Net localgroup "نام گروه" "نام یوزر" /delete

8- اطلاعات کلی در مورد یک یوزر (آخرین ورود به سیستم، فعال یا غیر فعال یودن، زمان انقضا و ...) و گروه هایی که عضو آن است
Net User "نام یوزر"

9- اطلاعات کلی در مورد یک گروه و یوزرهای عضو آن
Net localgroup "نام گروه"




منبع : انجمن تخصصی شبکه



.

.


microsoft managment console ( MMC )H


M


mmc یک کنسول مدیریتی است که از طریق آن می توانید به event viewer , فلدرهای share شده, userها و گروه های موجود در کامپیوتر دسترسی داشته و مدیریت انجام دهید.همچنی می توانید سخت افزارهای سیستم خود را مدیریت کنید و کلیه سرویسهایی که وجود دارئ را مشاهده و طبق نیاز آنها را start و یا stop کنید.



.

ادامه این پست
microsoft managment console ( MMC )H



استفاده از ابزارهای مدیریتی اکتیو دایرکتوری . ./

ابزارهای مدیریتی یا Snap-in های اکتیو دایرکتوری،می توانند امکان انجام وظایف مدیریتی را که شما به آنها نیاز دارید، در اختیار شما قرار دهند.در این تاپیک شما با بیشتر ابزارهای مدیریتی اکتیو دایرکتوری آشنا شده و مسیر دسترسی به آنها را فرا خواهید گرفت.همچنین استفاده بهینه از آنها ، تعویض هویت و روش ساختن کنسولهای مدیریتی سفارشی را خواهید آموخت.

فهمیدن کنسولهای مدیریتی مایکروسافت

ابزارهای مدیریتی ویندوز از یک چهارچوب اشتراکی به نام کنسولهای مدیریتی مایکروسافت (Microsoft Management Console- MMC) استفاده میکنند.در این پنجره سفارشی ابزارها به شما نمایش داده میشوند.در سمت چپ این پنجره ابزارها به صورت یک کنسول درختی نمایش داده میشوند (مانند پنجره مرورگر ویندوز)،در قسمت وسط جزییات نمایش داده شده و در بخش سمت راست دستورات اجرایی نمایش داده میشوند که به آنها Action گفته می شود.
جهت کنترل نمایش بخش سمت چپ و راست ، میتوانید از کلیدهای Show/Hide Console Tree و Show/Hide Action Pane استفاده کنید یا میتوانید از منوی View گزینه Customizeرا انتخاب نمایید.
ابزارهای مدیریتی یا Snap-In ها با استفاده از بخش درختی شکل کنسول به شما نشان داده می شوند و بخش جزییات میتوانند امکان انجام وظایف مدیریتی را در اختیار شما قرار دهند.شما میتوانید MMC را به صورت کمربند ابزار تصور نمایید که میتوان یک یا چند ابزار مختلف را به آن نصب نمود.Snap-In ها را نمی توان به صورت مجزا اجرا کرد بلکه این ابزارها فقط قابلیت اجرا در متن MMC را دارند.بیشتر ابزارها در فولدر ابزارهای مدیریتی (Administrative Tools) در یک Snap-In ترکیب میگردند.این ابزارها در برگیرنده ابزارهایی مانند پنجره نمایش رخدادها (Even Viewer) ، سرویسها (Services)و برنامه زمانبندی وظایف (Task Scheduler) میباشند.ابزارهای دیگری مانند مدیریت کامپیوتر Computer Management یا کنسولهای دیگری وجود دارند که خود آنها از چند Snap-In تشکیل شده اند که هر یک از این Snap-In ها نیز میتوانند به صورت یک کنسول مجزا وجود داشته باشند.به عنوان مثال Computer Management خود در بر گیرنده Event Viewer , Services ,Task Scheduler میباشد.
در زمان مدیریت ویندوز با استفاده از Snap-In ها شما دستوراتی را از طریق MMC اجرا میکنید که به آنها Action گفته میشود که میتوانید آنها را در منوی Action هر کنسول پیدا کنید ، در منوی محتوا (Context Menu) که زمان کلیک راست کردن بر روی صفحه ظاهر میشود و همچنین از بخش Action در سمت راست کنسول MMC نیز میتوان به Action ها دسترسی پیدا کرد.اکثر مدیران با تجربه شبکه ،استفاده از Context Menu را به عنوان بهینه ترین روش دسترسی به Action ها می شناسند.اگر شما منحصرا از Context Menu استفاده میکنید ، میتوانید بخش Action Pane را در سمت راست کنسول خاموش کنید تا در بخش جزییات (Details Pane) جزییات بیشتری به شما نمایش داده شود. دو نوع MMC وجود دارد : از قبل تنظیم شده و سفارشی.زمانی که شما یک نقش(Role) یا یک ویژگی (Feature) جدید را اضافه می کنید به صورت خودکار یک کنسول از پیش تنظیم شده به ویندوز اضافه میگردد تا از طریق آن بتوانید مدیریت آن نقش یا ویژگی را انجام دهید.این دسته از کنسولها در حالت کاربری (User Mode) تنظیم شده اند به صورتی که شما نمیتوانید در آنها تغییراتی ایجاد کرده یا آنها را ذخیره کنید.شما همچنین میتوانید کنسولهای سفارشی تهیه کرده که در آنها دقیقا میتوانید ابزارهایی را که نیاز دارید ، گردآوری کنید.در ادامه شما با هر دو نوع کنسول آشنا خواهید شد.
ابزارهای مدیریتی اکتیو دایرکتوری
مدیریت اکتیو دایرکتوری بیشتر از طریق کنسولهای Snap-In زیر انجام میگیرد:
Active Directory Users and Computersمنابع کاری روزانه مانند Users ,Groups ,Computers ,Printers and Shared Folders بیشتر در این کنسول قرار دارند.این کنسول بیشترین استفاده را برای مدیران اکتیو دایرکتوری دارا میباشد.
Active Directory Site and Servicesمدیریت Replication ، مدیریت توپولوژی شبکه و سرویسهای وابسته.
Active Directory Domains and Trustsتنظیم و نگهداری رابطه اعتماد (trust Relationship) و سطح عاملیت دامین و فارست.استفاده از این ابزار در فصل 13 “Domains and Trusts” توضیح داده خواهد شد.
Active Directory Schemaایجاد تغییر در تعاریف ویژگیهای اکتیو دایرکتوری و کلاسهای اشیاء.Schema نقشه پیش ساخت (blueprint) اکتیو دایرکتوری میباشد.از این کنسول بندرت استفاده شده یا در آن تغییراتی ایجاد میشود به همین دلیل این کنسول به صورت پیش فرض نصب نمیگردد.
زمانی که شما نقش AD DS را به یک سرور اضافه میکنید کنسولهای مدیریتی فوق به صورت پیش فرض نصب می شوند. 2 ابزار مدیریتی معمول پس از نصب AD DS به Server Manager اضافه میشوند:Active Directory Users and Computers و Active Directory Sites and Services . همچنین در صورتی که بخواهید مدیریت اکتیو دایرکتوری را از طریق سروری که AD DS نمیباشد،انجام دهید، باید ابزار RSAT را از لیست feature های ویندوز در Server Manager انتخاب نموده و آن را نصب نمایید.جهت مدیریت اکتیو دایرکتوری از طریق یک ویندوز کلاینتی،این ابزار را میتوانید به صورت رایگان از سایت مایکروسافت دانلود کرده و بر روی ویندوزهای کلاینتی مانند ویندوز Vista با سرویس پک 1 و ویندوز 7 نصب کنید تا از طریق ویندوزهای کلاینتی مدیریت اکتیو دایرکتوری را انجام دهید.

یافتن ابزارهای مدیریتی اکتیو دایرکتوری

شما میتوانید به 2 ابزار مدیریتی با استفاده از Server Manager دسترسی داشته باشید.با استفاده از توسعه دادن Roles در Server Manager و بعد از آن Active Directory Domain Services ،همچنین تمام این ابزارها را میتوان در فولدر ابزارهای مدیریتی (Administrative Tools ) یافت که این فولدر در کنترل پنل قرار دارد.در مدل نمایشی کلاسیک کنترل پنل شما میتوانید فولدر Administrative Tools را بیابید. در مدل نمایش Home در کنترل پنل در بخش System and Maintenance میتوان به Administrative Tools دسترسی یافت.

اضافه کردن Administrative Tools به منوی Start

به صورت پیش فرض Administrative Tools به منوی start در ویندوز Vista و ویندوز 7 اضافه نمیگردد.با اضافه کردن این ابزار به منوی Start میتوانید دسترسی سریعتری به Administrative Tools داشته باشید.
1-بر روی start کلیک راست کرده و گزینه Properties را انتخاب کنید.
2-بر روی Customize کلیک کنید.
3-اگر از منوی start به صورت پیش فرض استفاده می کنید لیست باز شده را تا انتها پایین آورده و گزینه Display on all programs menu and the start menu را انتخاب نمایید .

اجرا کردن Administrative Tools با استفاده از
Alternate Credentials

بسیاری از Administrator ها با استفاده از اکانت کاربری Administrator به سیستم Logon می کنند.این کار بسیار خطرناک میباشد به این جهت که Administrator دارای حقوق ویژه ای میباشد و دسترسی بیشتری به منابع موجود در شبکه به نسبت کاربر عادی دارد.از اینرو بد افزارهایی که تحت اکانت کاربری Administrator اجرا میشوند ، میتوانند خسارات قابل توجهی را وارد کنند .در عوض Log on کردن با یک کاربر عادی و استفاده از ویژگی Run As Administrator جهت اجرا کردن ابزارهای مدیریتی با استفاده از اکانت کاربریAdministrator امنیت بیشتری برای سیستم فراهم میکند.
1-بر روی میانبر یک برنامه اجرایی یا برنامه های کاربردی کنترل پنل یا MMC که قصد اجرای آن را دارید کلیک راست کنید و گزینه Run As Administrator را انتخاب نمایید.اگر فرمان ذکر شده در لیست موجود نیست با استفاده از نگهداشتن کلید Shift و کلیک راست به فرمان Run As Administrator دسترسی خواهید یافت.

2-نام کاربری و رمز عبور اکانت کاربری Administrator را وارد کنید.

3-بر روی OK کلیک کنید.

اگر به صورت دائم از یک ابزار تحت اکانت کاربری Administrator استفاده میکنید ، میتوانید کلید میانبر جدیدی با تنظیم پیش فرض درست کنید که همیشه تحت اکانت کاربری Administrator اجرا گردد.برای این کار یک کلید میانبر جدید بسازید و وارد صفحه Properties کلید میانبر شوید .بر روی کلید Advanced کلیک کنید و گزینه Run As Administrator را انتخاب کنید .زمانی که ابزار را با استفاده از میانبر اجرا میکنید پنجره User Account Control ظاهر میشود.

ایجاد کنسول سفارشی با ابزارهای اکتیو دایرکتوری

استفاده از ابزارهایی که به آنها نیاز دارید در یک مکان سفارشی شده مطابق با نیازهای شما کار شما را آسان تر میکند.به انجام رساندن این کار با ایجاد کردن یک کنسول سفارشی MMC امکان پذیر میشود که مانند کمربند ابزار برای شما عمل میکند که تمامی ابزارهای مورد نیاز شما را در یک مکان در خود جای می دهد.زمانی که یک کنسول سفارشی MMC ایجاد میکنید:
با اضافه کردن Snap-In های مختلف در یک MMC میتوانید وظایف کاری خود را بدون نیاز به سوییچ کردن بین کنسولها انجام دهید.در نتیجه شما تنها نیاز دارید که یک کنسول را با استفاده از Run As Administrator اجرا کنید.
کنسول را جهت استفاده های مکرر ذخیره کنید.
کنسول را جهت استفاده دیگر Administrator ها توزیع کنید.
تمامی کنسولها را به صورت یکپارچه در یک مکان به اشتراک بگذارید.
جهت ایجاد یک MMC سفارشی، یک MMC خالی را با کلیک کردن بر روی منوی Start باز کنید.در منوی استارت در داخل جعبه جستجو (search Box) تایپ کنید mmc.exe و کلید Enter را بزنید.فرمان Add / Remove Snap-In از منوی فایل اجازه اضافه کردن ، حذف کردن ، مرتب کردن و مدیریت کنسولهای Snap-In را در اختیار شما قرار میدهد.

ذخیره و توزیع کنسول سفارشی

اگر قصد توزیع یک کنسول را دارید،به شما توصیه میگردد که کنسول را درحالت User Mode ذخیره کنید.جهت تعویض سبک کنسول از منوی فایل گزینه Option را انتخاب کنید.به صورت پیش فرض کنسولها در حالت Author Mode ذخیره میشوند که اجازه اضافه کردن یا حذف Snap-In ها را میدهد همچنین اجازه دیدن تمامی بخشهای کنسول و ذخیره تغییرات را نیز در اختیار کاربر قرار میدهد در مقابل User Mode عاملیت کنسول را تغییر میدهد تا امکان تغییر در آن وجود نداشته باشد.سه مدل برای User Mode وجود دارد که در جدول 2-1 این مدلها توضیح داده شده اند.مدل User Mode به صورت Full Access معمولا برای Administrator های متخصص انتخاب میشود که وظایف کاری گوناگونی را با استفاده از کنسولها انجام میدهند.مدل User Mode در حالتهای Multiple Windows و Single Window جهت Administrator هایی مناسب میباشد که وظایف کاری محدود تری دارند.

انواع مدلهای کنسول مدیزیتی مایکروسافت :

Author

شما تصمیم دارید به سفارشی سازی کنسول ادامه دهید.

User Mode-Full Access

شما میخواهید کاربران بتوانند در بین تمام Snap-In ها جابجا شده و از آنها استفاده کنند.کاربران نمیتوانند Snap-In جدیدی را اضافه یا حذف کنند همچنین امکان ایجاد تغییرات در Snap-In ها یا کنسول را نخواهند داشت.

User Mode –Limited Access, Multiple Window

شما میخواهید کاربران بتوانند فقط امکان دسترسی به Snap-In خاصی را داشته باشند که توسط شما در Console Tree مشخص شده است و شما قصد دارید چند پنجره با تنظیم پیش فرض ایجاد کنید که هر کدام بر روی Snap-In خاصی تمرکز داشته باشند.کاربران امکان باز کردن پنجره جدید را نخواهند داشت.

User Mode-Limited Access, Single Window

شما میخواهید کاربران فقط امکان دسترسی به Snap-In مورد نظر شما را داشته باشند و از آن فقط در درون یک پنجره استفاده کنند.

کنسولها با پسوند .msc ذخیره میشوند.مکان پیش فرض ذخیره سازی کنسولها فولدر Administrative Tools میباشد اما به جای کنترل پنل در منوی Start تحت پروفایل کاربری شما در مسیر زیر ذخیره میگردد:%UserProfile%\AppData\Roaming\Microsoft\Windows\St artMenu .
این مکان مشکلاتی را برای شما ایجاد میکند زیرا دسترسی به این مکان با مجوزهای دسترسی محدود شده به اکانت کاربری شما میباشد و فقط با استفاده از اکانت کاربری شما میتوان به این مکان دسترسی داشت.بهترین تکنیک جهت استفاده از این سیستم Log On کردن به سیستم با استفاده از اکانت کاربری میباشد که مزیت خاصی (مانند Administrator ) برای آن در نظر گرفته نشده باشد و آنگاه اجرا کردن Administrative Tools با استفاده از Alternate Credentials که اجازه کافی برای انجام وظایف Administrator را دارا باشد.به این دلیل که در این پروسه دو اکانت کاربری همزمان درگیر میباشند ذخیره کردن کنسول در این حالت باعث باز شدن پنجره انتخاب مسیر در بهترین حالت و یا نمایش پیام Access-Denied در بدترین حالت میباشد.
سعی کنید کنسولهای خود را در مکانی ذخیره کنید که هم توسط اکانت کاربری عادی شما و هم توسط اکانت کاربری Administrator شما به صورت همزمان در دسترس باشد.توصیه میشود که کنسولهای خود را در یک مکان به اشتراک گذاشته شده بر روی شبکه ذخیره کنید تا زمانی که از طریق یک کامپیوتر دیگر نیز به شبکه متصل میشوید به کنسولها دسترسی داشته باشید.به صورت اختیاری میتوانید کنسولها را در فولدر ای ذخیره کنید که برای دیگر Administrator ها هم قابل دسترس باشد به این صورت یک مکان متمرکز جهت ذخیره سازی و دسترسی به کنسولهای مدیریتی سفارشی ایجاد نموده اید.شما همچنین میتوانید کنسولها را بر روی یک وسیله همراه مانند درایو های USB ذخیره کرده و یا آنها را به صورت Attachment با استفاده از Email ارسال نمایید.به یاد داشته باشید که کنسولها به اساسا مجموعه ای از دستور العمل ها میباشند که توسط mmc.exe تفسیر میشوند دستور العمل هایی که مشخص میکنند چه Snap-In اضافه شده و یا چه کامپیوتری با استفاده از این Snap-In مدیریت شود.کنسولها خود حاوی Snap-In نمیباشند از اینرو کنسول در صورت عدم نصب Snap-In نمیتواند به درستی کار خود را انجام دهد پس شما باید Snap-In های مورد نیاز را با استفاده RSAT بر روی سیستم نصب نموده تا در نهایت بتوانید از کنسولها استفاده کنید.

تمرین ایجاد و مدیریت یک کنسول سفارشی

در این تمرین شما یک کنسول سفارشی MMC را ایجاد خواهید کرد.اضافه کردن ، حذف کردن و مرتب ساختن Snap-In ها را انجام خواهید داد.در نهایت کنسول را برای توزیع در میان دیگر Administrator ها آماده خواهید نمود.

تمرین 1 ایجاد یک کنسول سفارشی

در این تمرین شما یک کنسول سفارشی MMC با استفاده از Snap-In های Active Directory Users and Computers و Active Directory Schema و Computer Management ایجاد خواهید کرد.این ابزارها برای مدیریت اکتیو دایرکتوری و دامین کنترلر مفید میباشند.
1-به Server01 با استفاده از اکانت کاربری Administrator وارد شوید.
2-بر روی Start کلیک کنید در منوی استارت در جعبه جستجو (search Box) تایپ کنید mmc.exe و کلید Enter را بزنید.
یک MMC خالی پدیدار میشود .به صورت پیش فرض پنجره کنسول در داخل MMC در حالت Maximized قرار ندارد.با Maximize کردن پنجره از مزیتهای ابعاد کامل نمایش نرم افزار استفاده کنید.
3-از منوی File گزینه Add/Remove Snap-in را انتخاب نمایید.
جعبه محاوره Add/Remove Snap-In مانند تصویر 2-3 ظاهر میشود.

اگر در لیست Snap-In مورد نظر خود را پیدا نمیکنید از نصب RSAT اطمینان حاصل نمایید.
4-در جعبه محاوره Add/Remove Snap-In از لیست Available Snap-Ins: در سمت چپ گزینه Active Directory Users and Computers را انتخاب نمایید.
5-بر روی کلید Add کلیک کنید تا این Snap-In به لیست Selected Snap-Ins در سمت راست اضافه شود.
توجه داشته باشید که Snap-In مربوط به Active Directory Schema برای اضافه کردن در لیست موجود نمیباشد.این Snap-In با نصب نقش Active Directory Domain Service یا RSAT نصب میگردد اما به دلیل عدم Register شدن در لیست نمایش داده نمیشود.
6-بر روی Ok کلیک کنید تا جعبه محاوره Add or Remove Snap-Ins بسته شود.
7-بر روی کلید Start کلیک کنید و در جعبه جستجو تایپ کنید cmd.exe.
8-در Command Prompt تایپ کنید Regsvr32.exe schmmgmt.dll .
این دستور ،عمل نصب Dynamic Link Library (DLL) را برای Active Directory Schema انجام میدهد.این عملیات تنها به یک بار اجرا شدن نیاز دارد.
9-یک پنجره اعلان نمایش میدهد که ثبت موفقیت آمیز انجام شده است.بر روی Ok کلیک کنید.
10-به کنسول سفارشی خود باز گردید ،مراحل 2 تا 6 را تکرار کنید تا Active Directory Schema را نیز اضافه کنید.
11-از منوی File گزینه Add/Remove Snap-In را انتخاب نمایید.
12-در جعبه محاوره Add Or Remove Snap-Ins در بخش Available Snap-Ins گزینه Computer Management را نتخاب نمایید.
13-بر روی کلید Add کلیک کنید تا این Snap-In به منوی Selected Snap-Ins اضافه گردد.
زمانی که Snap-In شما Remote Administration یا مدیریت از راه دور را پشتیبانی نماید ، شما با اعلان انتخاب کامپیوتر مورد نظر مانند تصویر 2-4 مواجه میشوید.

برای مدیریت کردن کامپیوتری که کنسول بر روی آن اجرا میشود گزینه Local Computer را انتخاب کنبد.این حالت فقط مدیریت کامپیوتری که کنسول را بر روی آن ایجاد نموده اید در اختیار شما قرار نمیدهد بلکه اگر شما این کنسول را ذخیره کرده و بر روی هر کامپیوتر دیگر اجرا کنید ، کنسول امکان مدیریت همان کامپیوتری که کنسول را بر روی آن اجرا میکنید در اختیار شما قرار میدهد.
برای مشخص کردن یک کامپیوتر خاص جهت مدیریت توسط Snap-In ، گزینه Another Computer را انتخاب نمایید.سپس نام کامپیوتر را وارد نموده یا بر روی Browse کلیک کنید تا کامپیوتر را انتخاب نمایید.
14-گزینه Another Computer را انتخاب نمایید و به عنوان نام کامپیوتر ،تایپ کنید Server01.
15-بر روی Finish کلیک کنید.
16-بر روی Ok کلیک کنید تا پنجره محاوره Add Or Remove Snap-In بسته شود.
17-از منوی فایل گزینه Save را انتخاب کنید و کنسول را بر روی دسکتاپ خود با نام MyConsole.msc ذخیره کنید.
18-کنسول را ببندید.

تمرین 2 اضافه کردن Snap-In به یک MMC
در این تمرین Even Viewer را به کنسولی که در تمرین 1 ایجاد کردید ،اضافه خواهید کرد.Event Viewer یک ابزار سودمند جهت نظارت کردن بر فعالیتهای دامین کنترلر میباشد.
1-MyConsole.msc را باز کنید.
اگر در تمرین 1 کنسول را بجای دسکتاپ در محل پیش فرض ذخیره نموده اید ،میتوانید از طریق Start\All Programs\Administrative Tools به کنسول خود دسترسی داشته باشید.
2-از منوی File گزینه Add/Remove Snap-In را انتخاب کنید.
3-در پنجره محاوره Add Or Remove Snap-Ins از لیست Snap-In ها گزینه Event Viewer را نتخاب نمایید.
4-بر روی کلید Add کلیک کنید تا Event Viewer به لیست Selected Snap-Ins اضافه شود.
پنجره اعلان انتخاب کامپیوتر باز میگردد.
5-گزینه Another Computer را انتخاب نموده و در بخش نام کامپیوتر، تایپ کنید Server01.
6-بر روی Ok کلیک کنید.
7-برای بسته شدن پنجره محاوره Add or Remove Snap-In بر روی Ok کلیک کنید.
8-کنسول را ذخیره کرده و ببندید.

تمرین 3 مدیریت کردن Snap-In ها در یک MMC
در این تمرین شما ترتیب Snap-in ها را عوض کرده و یک Snap-in را حذف میکنید.همچنین با Extension Snap-in نیز آشنا خواهید شد.
1-Myconsole.msc را باز کنید.
2-از منوی File گزینه Add/Remove Snap-In را انتخاب نمایید.
3-در لیست Selected Snap-ins گزینه Event Viewer را انتخاب نمایید.
4-بر روی کلید Move Up کلیک کنید.
5-گزینه Active Directory Schema را انتخاب نمایید.
6-بر روی کلید Remove کلیک کنید.
7-در لیست Selected Snap-ins گزینه Computer Management را انتخاب نمایید.
8-بر روی Edit Extensions کلیک کنید.
Extension ها در حقیقت Snap-in هایی هستند که در درون Snap-in های دیگر جای میگیرند تا وظایف افزوده ای را فراهم سازند.Snap-in مدیریت کامپیوتر خود دربرگیرنده تعدادی از Snap-in ها به صورت Extension میباشد که شما میتوانید هر کدام که میخواهید فعال یا غیر فعال کنید.
9-گزینه Enable Only Selected Extension را اتخاب کنید.
10-Event Viewer را در حالت غیر انتخاب شده قرار دهید.شما پیش از این Event Viewer را به صورت یک Snap-in مستقل به کنسول اضافه کرده اید.
11-بر روی Ok کلیک کنید تا پنجره محاوره Extensions for Computer Management بسته شود.
12-یک بار دیگر بر روی Ok کلیک کنید تا پنجره محاوره Add or Remove Snap-in بسته شود.
13-کنسول را ذخیره کرده و آن را ببندید.

تمرین 4 آماده سازی کنسول جهت توزیع میان کاربران
در این تمرین شما کنسول را در حالت User Mode ذخیره میکنید تا کاربران دیگر نتوانند عمل اضافه کردن،حذف کردن یا ایجاد تغییرات در Snap-in ها را انجام دهند.به یاد داشته باشید که کاربران MMC معمولا خودشان Administrator هستند.
1-Myconsole.msc را باز کنید.
2-از منوی File گزینه Options را انتخاب کنید.
3-در منوی کرکره ای Console Mode ،گزینه User Mode – Full Access را انتخاب کنید.
4-بر روی Ok کلیک کنید.
5-کنسول را ذخیره کرده و ببندید.
6-با دوبار کلیک کردن بر روی کنسول آن را باز کنید.
7-بر روی منوی Fileکلیک کنید.ملاحظه میکنید که دیگر دستور Add/Remove Snap-inوجود ندارد.
8-کنسول را ببندید.
9-بر روی کنسول کلیک راست کرده و Author را انتخاب کنید.
10-بر روی منوی File کلیک کنید.در Author Mode دستور Add/Remove Snap-inنمایش داده میشود.
11-کنسول را ببندید.

.

Active Directory Users and Computers


شما بعنوان یک مدیر شبکه یکی از مسئولیت های اصلی تان ساخت و پیکربندی کاربران ، گروه ها ، اکانت های کامپیوتر ، واحدهای سازماندهی (OUها) و group poliy ها می باشد. شبیه به مبحث اکتیودایرکتوری در ورژن های قبلی ویندوز سرور، در ویندوز سرور 2008 نیز اکتیو دایرکتوری از کنسول Active Directory Users and Computers برای مدیریت اکانت های کاربران و گروه ها و کامپیوترها استفاده می کند. در این کنسول علاوه بر کارهای ذکر شده شما می توانید دیگر جنبه های اکتیودایرکتوری شامل group policy ، domain controller ، domain security policy و غیره را مدیریت نمایید.

با این کنسول که بیشترین استفاده را در وظایف مدیریتی روزانه در ساختار اکتیودایرکتوری دارا می باشد ، برای ایجاد ، مدیریت و نگهداری و همچنین حذف حسابهای کامپیوتری و کاربری در اکتیودایرکتوری استفاده می شود. باید توجه کرد که اشیاء در اکتیو دایرکتوری به شکل تودرتو در گروه هایی که واحد های سازماندهی (OU) نامیده می شوند قرار می گیرند. بسیاری از وظایفی که توسط کنسول
انجام می شود شامل موارد زیر می باشد:

• اضافه کردن کاربر جدید در اکتیو دایرکتوری
• تغییر پسوردهای کاربران
• واگذاری حقوق خاصی به فایل سرورها
• اجازه remote access به شبکه
• تنظیم login and logout script ها
• ساختن گروه های امنیتی (security groups)

بسیاری از برنامه شامل Exchange Server ، Terminal Services و System Centerتوانایی اضافه شدن به اکتیو دایرکتوری در بسیاری از مواقع را دارند. این برنامه ها به اکتیو دایرکتوری اجازه مدیریت اشیاء وابسته به خود را می دهند . برای مثال اگر برنامه Terminal Services را به شبکه تان اضافه می کنید ، شما می توانید از طریق کنسول Active Directory Users and Computers مدت زمان اتصال هر کاربر به شبکه را کنترل نمایید.

شما می توانید برای دسترسی به کنسول Active Directory Users and Computers از مسیرهای زیر استفاده کنید :
دقت کنید که فقط Domain Controller ها دارای چنین کنسولی هستند و اگر نتوانستید این کنسول را بیابید ، مطمئن شوید که بر روی دامین کنترولر login کرده اید .

1 2	Start --> Programs --> Administrative Tools Active Directory Users and Computers Start --> Control Panel --> Administrative Tools Active Directory Users and Computers

بعد از آشنایی با طریقه دسترسی به Active Directory Users and Computers ، حالا وقت آنست که container ها و OU های پیش فرض بطور مختصر مورد بررسی قرار گیرند. بعد از نصب و پیکربندی Domain controller ، به طور پیش فرض شما چندین container و OU ی توکار را در کنسول Active Directory Users and Computers مانند (تصویر 1) می بینید.ساختار اکتیودایرکتوری بر اساس forest است که هر Forest می تواند دارای چندین Domain و یا Tree باشد .کنسول Active Directory Users and Computers به شما اجازه کار کردن با ساختار Forest را نمی دهد و شما می توانید فقط ساختار Domain را با آن مدیریت کنید .

تصویر 1

Click here to view the original image of 664x442px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر به (تصویر 1) نگاه کنید می بینید که itpro.local دامینی است که در شبکه من وجود دارد . تمامی اشیائی که در ساختار اکتیودایرکتوری من ساخته می شوند عضوی از دامین itpro.local هستند. اما این تنها دامینی نیست که در شبکه من وجود دارد. کنسول Active Directory Users and Computers برای اینکه در کار مدیریتی دامین ها پیچیدگی و ابهامی پیش نیاید در هر لحظه فقط یکی از دامین ها را به ما نشان می دهد . دامینی که در اولین صفحه این کنسول مشاهده می کنیم در حقیقت همان دامینی است که متعلق به Domain controller ای است که به آنlogin کرده ایم . یعنی در اینجا ما بر روی دامین کنترلری login کرده ایم که دامین itpro.local بر روی آن قرار دارد.

اما مشکل در اینجاست که دامین ها ممکن است بصورت فیزیکی و جغرافیایی از هم فاصله داشته باشند . برای مثال بسیاری از شرکت ها وجود دارند که دارای نمایندگی هایی در مناطق مختلف هستند و برای هر کدام از این مناطق نیز یک دامین دارند و شما برای اینکه بتوانید به هر کدام از این دامین ها دسترسی داشته باشید نیاز به یک ابزار دارید. شما میتوانید از طریق کنسول Active Directory Users and Computers به دامین هایی که به آنها اعتماد و دسترسی لازم را دارید نیز دسترسی پیدا کنید . تمام کاری که باید بکنید این است که بر روی دامین مورد نظر کلیک راست کرده و گزینه Connect To Domain را بزنید . صفحه ای برای شما باز خواهد شد که به شما این امکان را می دهد که بتوانید نام دامین مورد نظرتان را در آن تایپ کرده و یا اینکه دامین مورد نظرتان را از لیست انتخاب کنید . و براحتی با گزینه Browse دامین مورد نظر برای شما باز خواهد شد .

در (تصویر 1) شما تعدادی Container را مشاهده می کنید که هرکدام به نوعی از اشیاء اشاره میکنند . هر شیئی که در اکتیودایرکتوری ساخته می شود به یکObject Type مرتبط می شود که در این ساختار به آنها کلاس شیء یا Object Class هم گفته می شود . همچنین هر شیء برای خود یک سری خواص یا Attribute دارد که به آن مرتبط شده اند که این خواص بسته به نوع اشیاء متفاوت هستند. پس بعد از نصب و پیکربندی یک دامین کنترولر چندین بخش سازماندهی (Container) را درون کنسول Active Directory Users and Computers می بینید که به قرار زیر می باشند:(شبیه به Folder هستند )

Built-In : شامل همه گروه های امنیتی پیش فرضی می باشد که به هنگام نصب دامین کنترولر به صورت خودکار ساخته می شوند. این گروه ها مجوزهای استانداردی را بر روی اشیاء مختلف درون اکتیودایرکتوری می گذارند . این Container شامل گروه های Account Operators group, Administrators , Users Backup Operators, Server Operators, Replicators, Users, Remote Desktop و Print Operators می شود.

Click here to view the original image of 634x507px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Computers : شامل ایستگاهای کاری درون دامین تان می شود. به طور پیش فرض هیچ ایستگاه کاری درون این container وجود ندارد، اما با پیوستن یک ایستگاه کاری به دامین تان شما می توانید آن کامپیوتر را درون این container مشاهده کنید.

Domain Controllers : شامل همه دامین کنترول هایی است که دامین شما را کنترول می نمایند.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Foreign Security Principals : این container همه اشیائی که بخشی از دامین تان نمی باشند را در خود نگه می دارد و مجوزهایی که باید به کار ببرند را به آنها اختصاص می دهد.

Users : شامل همه اکانت های امنیتی است که بخشی از دامین می باشند . چندین گروه در این container وجود دارند که در هنگام نصب دامین کنترولر به صورت خودکار ساخته می شوند . این container شامل اکانت پیش فرض Administrator و گروه هایی مانند Domain Admins ، Enterprise Admins، Domain Controllers ، Domain Guests ، Domain Users ، Schema Admins ، Guests و غیره می باشد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در ضمن شما می توانید انواع مختلفی از اشیاء اکتیودایرکتوری را ساخته و مدیریت نمایید. بعضی از این اشیاء به قرار زیر می باشند :

Computer : اشیاء کامپیوتر ایستگاه های کاری که بخشی از دامین اکتیو دایرکتوری می باشند را نمایش می دهند . همه کامپیوتر های درون یک Domain در یک پایگاه داده امنیتی یکسان که شامل اطلاعات گروه ها و کاربران می باشد ، سهیم می باشند. اشیاء کامپیوتر برای مدیریت مجوز های امنیتی و محدودیت های enforcing Group Policy مفید می باشند.

Contact : این اشیاء معمولا در OU ها برای مشخص کردن تماس های مدیریتی مورد استفاده قرار می گیرند. Contact ها مسئولیت های امنیتی شبیه به کاربران را ندارند و فقط برای مشخص کردن اطلاعات درباره اشخاص درون سازمان ها مورد استفاده قرار می گیرند.

Group : اشیاء گروه، مجموعه هایی منطقی از کاربران اصلی هستند که دسترسی های امنیتی را به منابع اختصاص می دهند. هنگامی که کاربران را مدیریت می کنید ، شما باید آنها را درون گروه ها قرار دهید و سپس مجوزها را به گروه اختصاص دهید. این کار مدیریت انعطاف پذیرتری را بدون نیاز به اختصاص دادن مجوزها بصورت فردی برای کاربر فراهم می آورد.

Organizational Unit : یک شیء OU برای ایجاد یک سلسله مراتب درون دامین اکتیو دایرکتوری مورد استفاده قرار می گیرد. آن کوچکترین واحدی است که برای ساختن گروه های مدیریتی از آن استفاده می شود. و همچنین می توان از آن برای تخصیص سیاست های گروه (group policy) استفاده کرد. به طور معمول ساختار OU درون یک دامین سلسله مراتب سازماندهی یک شرکت تجاری را بازتاب می دهد.

Printer : شیء پرینتر نگاشتی برای دستگاه های پرینتر می باشد.

Shared Folder : این شیء نگاشتی برای server share ها می باشند. آنها برای سازماندهی منابع فایلی مختلفی که ممکن است بر روی file/print server ها موجود باشند مورد استفاده قرار می گیرند. اغلب از اشیاء Shared Folder برای دادن نام منطقی به مجموعه فایل های مشخصی استفاده می شود.

User : یک شیء کاربر مسئول امنیتی بنیادی بر روی اکتیودایرکتوری می باشد. اکانت های کاربر شامل اطلاعاتی در باره اشخاص از قبیل پسورد و دیگر اطلاعات مربوط به مجوز ها می باشد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

هدف از این مقاله معرفی اکتیو دایرکتوری بود و فرآیند ایجاد و اعمال تغییرات بر روی اشیاء در اکتیودایرکتوری در مقالات بعدی مورد بررسی قرار می گیرد.در پایان شما لزوما نبایستی برای اینکه بتوانید دامین را مدیریت کنید و به کنسول Active Directory Users and Computers دسترسی داشته باشید به دامین کنترلر login کنید . شما به جای اینکه از طریق دامین کنترلر و از منوی administrative Tools به این کنسول دسترسی داشته باشید، می توانید از طریق یک Member Server و استفاده از کنسول MMC یا Microsoft Management Console و اضافه کردن کنسول Active Directory Users and Computers براحتی از این ابزار در سرور های دیگر نیز استفاده کنید .

برای اینکار از طریق Run در منوی استارت دستور MMC را وارد کنید و کلید Enter را بزنید . در این لحظه سرور برای شما یک صفحه کنسول خالی باز میکند . از طریق منوی File گزینه Add Remove Snap In را انتخاب کنید و از لیست موجود کنسول Active Directory Users and Computer را انتخاب کنید و بعد Close و OK را بزنید و منتظر باشید تا کنسول بصورت کامل لود شود .






منبع : network.itpro



.

.

ایجاد OU ها





Ou مخفف organization unit است وکوچکترین واحد مدیریت داخل شبکه domain است و کوچکترین واحدی است که ما می توانیم به آن (group policy)gp اعمال کنیم.
کلا معیار برای ساختن ou ها متفاوت می باشد. معمولا در این تقسیم بندی و ساختن ou ها بسیار موثر است.
زمانی که active directory users and computers را بازمی کنیم چارت سازمانی از نام domain شروع می شود برای مثال wikipg.comبعد از آن ou ها , container ها را داریم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

هرگاه active directory users and computers ساخته شد در آن ou ساخته می شود به نا م domain controllers

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

چگونه می توان ou ساخت؟
به دو روش می توان Ou ساخت

• گرافیکی
• command

هر وقت خواستیم جایی ou بسازیم فقط active directory users and computer است که می توان ou ساخت.
در این قسمت بر روی wikipg.com یک کلیک راست کرده و new ou را انتخاب میکنیم و اسم آن را برای مثال fani می گذاریم .
ساختن ou به روش گرافیکی
برای ساختن ou به روش گرافیکی بر روی نام دامنه کلیک راست کرده و new را انتخاب کرده سپس organization unit را انتخاب می کنیم.

Click here to view the original image of 521x433px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بعد از انتخاب کردن این گزینه کادر زیر باز می شود که در آن باید نام ou را مشخص کنیم.
اگر گزینه ی protect container from accidental deletion انتخاب شده باشد در این صورت اگر بر روی ou که ساخته شده است کلیک راست کرده و سپس گزینه ی Remove را انتخاب کنیم پاک نمی شود برای اینکه پاک شود باید مراحلی که در قسمت پاک کردن ou توضیح داده شده است مطالعه کنید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حالا اگر در صفحه ی active directory users and computers نگاه کنیم میبینیم که ou در اینجا با نام fani ایجاد شده است.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

طریقه ی ساختن ou توسط command
با فرمان نیز می توانیم این کار را انجام دهیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Dsadd ou DN هر ou که می سازیم داخل ntds.dit ذخیره می شود این ou با فرمت Dstinguished Name ذخیره می شود
برای dn نوشتن از قوانین زیر پیروی می کنیم.
قانون DN نوشتن
از پایین به بالا سلسله مراتب می نویسیم
هر جا به ou رسیدیم آن را با OU نمایش می دهیم.
هر جا به DOMAIN رسیدیم آن را با DC نمایش می دهیم
هر جا به موردی غیر از موارد بالا رسیدیم آن را با CN نمایش می دهیم.
برای جدا کردن سلسله مراتب از یکدیگر از کاما , استفاده می کنیم.
برای مثال اگر بخواهیم ou با نام it بسازیم به این صورت عمل می کنیم:

Click here to view the original image of 661x326px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پس از اینکه دستور را در cmd وارد کردیم باید enter را بزنیم بعد از زدن Enter پیغام می دهد که ou با موفقیت ساخته شده است.

Click here to view the original image of 660x326px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حالا اگر در صفحه ی active directory users and computers برویم ویک بار صفحه را Refresh کنیم می بینیم که ou مورد نظر ساخته شده است.

Click here to view the original image of 581x315px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر بخواهیم یک Ou را در داخل ou دیگر ایجاد کنیم در این حالت باید حتما باید PARENT ساخته شود تا CHILD ساخته شود. برای مثال اگر بخواهیم که ou بانام mali در ou it ایجاد کنیم خواهیم داشت:

Click here to view the original image of 654x323px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همانطور که میبینید باید از پایین ترین نقطه به سمت بالا ترین نقطه حرکت می کنیم. سپس enter را می زنیم

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پس لز زدن Enter پیغام می دهد که ou با موفقیت ساخته شده است. و اگر در صفحه ی active directory users and computers برویم خواهیم دید که در زیر مجموعه ی ou it برای ما ou mali ساخته شده است.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پاک کردن ou
برای پاک کردن ou که به روش گرافیکی ساخته شده است اگر بر روی ou مورد نظر کلیک راست کرده و گزینه ی delete را بزنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

پاک نمی شود و error می دهد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

برای پاک کردن ou که به روش گرافیکی آن را ساخته ایم به روش زیر عمل می کنیم.
ابتدا در صفحه ی active directory users and computersگزینه ی view را انتخاب کرده سپس گزینه ی advance feature را انتخاب می کنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تا فعال شود سپس بر روی ou مورد نظر کلیک راست کرده و گزینه ی propertiesو تیک protect object from accident delition را برمی داریم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

و بعد با کلیک راست کردن مجدد بر روی ou و انتخاب گزینه ی delete آن را پاک می کنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

زمانیکه با command در این قسمت ou می سازیم دیگر گزینه ی Protect container from accident delition تیک نمی خورد و می توان با کلیک راست کردن بر روی آن و انتخاب کردن delete آن را حذف کرد.
حذف کردن ou توسط command
پاک کردن Ou از طریق command با زدن dsrm می باشد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سپس enter را می زنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

قبل از delete کردن سوال می پرسد که می خواهی این ou حذف شود و y را می زنیم سپس این صفحه را یک با ر refresh می کنیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همانطور که در شکل بالا ملاحظه می کنید ou mali حذف شده است.








.

.





ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers




کنسول Active Directory Users and Computers ابزار اصلی برای مدیریت کاربران و گروه ها و کامپیوترهای اکتیودایرکتوری است.شما می توانید طبق مراحل زیر یک اکانت کاربر را ایجاد نمایید:

1.ابتدا به یک اکتیو دایرکتوری دامین کنترلر log on نمایید.

2.کنسول Active Directory Users and Computers را اجرا نمایید.

3.ما می خواهیم در کانتینر Users یک اکانت کاربری جدید ایجاد نمایم.برای این کار بر روی کانتینر Users کلیک راست کرده و در منو باز شده گزینه New و سپس گزینه User را انتخاب می نماییم. (تصویر 1 را ببینید)

Click here to view the original image of 597x486px.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

4.پنجره New Object–User به نمایش در می آید. در این پنجره شما باید فیلد های first name ، last name و logon name User را پر نمایید .و سپس دکمه Next را بزنید. ( تصویر 2 را ببینید) در اینجا فیلد logon name User به طور مختصر توضیح داده می شود:

User Logon Name : نام کاربری را برای اکانت جدید تعیین می کند و از آن برای فرآیند logon استفاده می کند. نامی را انتخاب کنید که با قرارداد نام گذاری شما سازگار باشد. پر کردن این فیلد لازم می باشد. نام های ورودی کاربر، طی فرآیند logon شدن حساس به حروف کوچک و بزرگ نمی باشند. ( user principal name) یا UPNاز نامی که کاربر با آن logon می کند و پسوند نام مسئول دامین ساخته می شود، که به وسیله نشانه @ به هم متصل می شوند. برای مثال نام ورودی کاربر ممکن است reza و پسوند نام مسئول itpro.local باشد. در نتیجه UPN، [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] خواهد بود.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

5.دومین پنجره New Object–User به نمایش در می آید. در اینجا ما باید بخاطر اهداف امنیتی برای اکانت کاربر یک پسورد انتخاب نماییم . پس در password ، یک پسورد سخت را تایپ می نماییم . در پایین پنجره یکسری گزینه ها وجود دارد که بنا بر نیازهای مدیریتی انتخاب می شوند. (تصویر 3 را ببینید) توضیح این گزینه ها به شرح زیر می باشد:

User Must Change Password At Next Logon : اگر این گزینه انتخاب شده باشد، کاربر مجبور می شود که پسوردی را که برای اولین بار با آن log on کرده است را تغییر دهد. این کار برای بالا بردن امنیت انجام می شود و وظیفه پسوردگذاری را به کاربر انتقال می دهدیه طور پیش فرض این گزینه انتخاب شده است.

User Cannot Change Password : اگر این گزینه انتخاب شده باشد، کاربر از تغییر دادن پسورد منع می شود. این کار برای اکانت هایی مانند Guestو آن هایی که بین بیش از یک کاربر به اشتراک گذاشته شده اند مفید است. این گزینه به طور پیش فرض انتخاب شده نیست.

Password Never Expires : این گزینه تعیین می کند که پسورد هیچ وقت تغییر نکند حتی اگر یک سیاست پسورد تعیین شده باشد. برای مثال اگر یک service account داشته باشید و نخواهید سربار مدیریتی به خاطر تغییر پسوردها ایجاد شود، می توانید این گزینه را انتخاب کنید. این گزینه به طور پیش فرض انتخاب شده نیست.

Account Is Disabled : این گزینه تعیین می کند که این اکانت برای اهداف logon نمی تواند مورد استفاده قرار بگیرد.برای مثال ممکن است شما این گزینه را برای اکانت های قالب یا اکانتی که هم اکنون مورد استفاده قرار نمی گیرد انتخاب کنید.این کار اکانت های غیر فعال را از درگیری با تهدید های امنیتی باز می دارد. این گزینه به طور پیش فرض انتخاب شده نیست.

6.در پایان دکمه Next و سپس Finish را فشار دهید .

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

منبع : network.itpro




.

.


ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers







unlock account
در تب account گزینه ای به نام unlock account وجود دارد گاهی اوقات در group policy تعریف می شود که user اگر چند بار password خود را اشتباه زدlock شود .اگر یوزر lock نشده باشد در این قسمت هیچ تیکی نمی خورد ولی اگر یوزر lock شود در این قسمت تیک می خورد.

account options
در تب acount گزینه ای به نام acount options وجود دارد که شامل بخش های زیر می باشد.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

• user must change password at next logon

اگر این گزینه در قسمت account options انتخاب شود در این صورت user هنگامی که login می کند باید password خود را عوض کند.

• User cannot change password

اگر این گزینه انتخاب شود یعنی user نتواند password خود را تغییر دهد.

• Password never expire

اگر این گزینه انتخاب شود password هیچگاه منقضی نمی شود.

• Store password using reversible encryption

هر user که داخل ntds.dit ذخیره می شود کاملا hash می شود.اگر خواستیم level امنیتی پایین بیاید و فقط pass ها encrypt شود ولی hash نشود از این گزینه استفاده می کنیم.Hash یک عملیات یک طرفه است .

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

• Account is disabled

گاهی اوقات ممکن است که یک user برای مدتی از سازمان برود در این صورت با انتخاب کردن گزینه ی account is disabled می توان آن را غیر فعال کرد.

• Smart card is required for interactive logon

اگر یک user بخواهد توسط smartcard دباید اینجا گفته شود که authentication آن بر اساس smartcard است.

• Account is sensitive and can not be delegated

گاهی می خواهیم account که ساختیم sensitive باشد یعنی اگر M در user Mina را بزرگ زدیم حتما M بزرگ را از ما بخواهد اما اگر این گزیه فعال شود delegation برای آن user فعال نیست.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

• Use kerbros DES encryption typs for this account

2 نوع authentication protocol داریم.که به ما کمک می کند که اطلاعات مربوط به authentication که فرستاده ا یم امن شود.
Remote authentication protocol
در مواقعی که دسترسی remote داریم و خارج از شبکه lan به درد ما می خورد. مثلا درvpn ها و user های dialup چون سرویس vpn به صورت remote است و از شبکه wan استفاده می کند.از جمله از این پروتکل ها می توان pap,spap,chap,mschap,mschap2,eap را نام برد.مفهوم remote یعنی از طریق یک wan با آن در ارتباط هستید.

Local authentication protocol
جایی که شبکه ی domain داریم و اطلاعات از طریق شبکه local مبادله می شوند.مهمترین این پروتکل ها ntlmv1 و ntlmv2 و Kerberos میباشند که این پروتکل ها یک سری الگوریتم های hashing و encryption دارند که اطلاعات را encrypt می کنند.Des لول امنیتی کمتری نسبت به 3des دارد و Kerberos v5 از3des استفاده می کند. برای پایین آوردن لول امنیتی از 3des استفاده می شود.

• Do not require Kerberos preauthentication

هر زمان که Kerberos می خواهد run شود ابتدا یک authentication اولیه انجام می دهد و بعد اطلاعات فرستاده می شود. این کار برای لول امنیتی بالاتر انجام می گیرد. اگر این تیک را بزنیم می گوید که pre authentication انجام نشود.

• account expire

در این قسمت مشخص می شود که account هیچگاه منقضی نشود و یا در تاریخ خاصی که مشخص می کنیم منقضی شود.که این تاریخ را در قسمت Endof مشخص می کنیم.







.

ایجاد شیء ( onbject ) کامپیوتر


کامپوترها در دامین به صورت یک شیء و اکانت نمایانده میشوند دقیقا به صورت یک اکانت کاربری.در حقیقت کامپیوترها در پشت صحنه مانند یک کاربر به دامین وارد میشوند.هر کامپیوتر دارای یک نام کاربری میباشد –نام کامپیوتر و علامت $ که در انتهای نام اضافه میشود و همچنین یک رمز عبور که زمانی که کامپیوتر به عضویت دامین درمی آید،ساخته میشود و هر 30 روز یکبار به صورت اتوماتیک تعویض میگردد.برای ایجاد یک شیء کامپیوتر در اکتیو دایرکتوری:


1-ابزار Active Directory Users and Computers را باز کنید.
2-در بخش درختی کنسول ،گره نمایش دهنده نام دامین خود را گسترش دهید(به عنوان مثال Contoso.com) و مسیر را به یک واحد سازمانی که قصد ایجاد کامپیوتر جدید را در آن دارید هدایت کنید.
3-بر روی واحد سازمانی کلیک راست کرده از زیر منوی New گزینه Computer را انتخاب کنید.
4-در جعبه Computer Name نام کامپیوتر را وارد کنید.
به صورت پیش فرض نامی را که وارد میکنید برای نام Pre-Windows 2000 نیز وارد میشود.
5- نام وارد شده در جعبه Pre-Windows 2000 را تغییر ندهید.
6-اکانت مشخص شده در فیلد User or Groupمیتواند کامپیوتر را به عضویت دامین درآورد.اکانت پیش فرض گروه Domain Admins میباشد.بر روی Change کلیک کرده تا یک کاربر یا گروه دیگر را انتخاب کنید.عموما شما گروه هایی را برای این کار انتخاب میکنید که وظایف آنها گسترش شبکه ،پشتیبانی دسکتاپ یا تیمی که کاربران را در هنگام مشکلات پشتيباني مي کند.شما همچنین میتوانید کاربری را انتخاب کنید که قرار است از آن کامپیوتر در شبکه استفاده کند.
7-جعبه چک با برچسب Assign This Computer Account As Pre-Windows 2000 Computer را انتخاب نکنید مگر اینکه کامپیوتر مورد نظر از سیستم عامل ویندوز NT 4.0 استفاده کند.
8-بر روی Ok کلیک کنید.
شیء کامپیوتر دارای تعدادی خصیصه میباشد که تنظیم آنها برای پیکر پندی بهتر کامپیوتر سودمند میباشند.این تنظیمات می تواند پس از ایجاد شیء کامپیوتر انجام شود.
9-بر روی شیء کامپیوتر کلیک راست کرده و Properties را انتخاب کنید.
10-خصیصه های کامپیوتر را وارد کنید.

از پیروی از قراردهای نام گذاری و دیگر استاندارادهای سازمان خود اطمینان حاصل کنید.

از فیلد Descriptionمیتوانید برای مشخص کردن کاربر کامپیوتر استفاده کرده یا نقش کامپیوتر را تعیین کنید (مانند کامپیوتر اتاق آموزش) یا دیگر خصوصیات توصیفی.از آنجا که این توضیحات در بخش جزییات ابزار Active Directory Users and Computers نمایش داده میشوند ،اطلاعاتی درباره کامپیوتر را که برای مدیریت شبکه شما مفید میباشند در این بخش قرار دهید.

خصیصه های متعددی وجود دارند که یک شیء کامپیوتر را توصیف میکنند مانند نام DNS ، نوع دامین کنترلر،سایت،نام سیستم عامل،نسخه سیستم عامل و سرویس پک.این خصوصیات به صورت اتوماتیک بعد از عضویت کامپیوتر در دامین مشخص میگردند.

از برگه Managed By میتوان برای ایجاد لینک به کاربر یا گروهی استفاده نمود که مسئول مدیریت کامپیوتر میباشد. بر روی Change زیر جعبه نام کلیک کنید.برای جستجوی گروه ها ابتدا باید بر روی Object Type کلیک کرده و Groups را در حالت انتخاب شده قرار دهید. از این برگه معمولا برای اختصاص دادن کنتاکت استفاده میشود.برخی از سازمانها از این برگه برای مشخص کردن تیم یا گروهی که مسئولیت مدیریت کامپیوترها را عهده دار میباشند، استفاده می کنند. استفاده دیگری که از این اطلاعات میشود پیدا کردن کاربری است که از کامپیوتر استفاده می کند.

11-بر روی Ok کلیک کنید.






.

.


یافتن اشیاء در اکتیو دایرکتوری :

در مواقعی شما نیاز دارید تا این اشیاء را در اکتیو دایرکتوری بیابید.مانند:

اعطای مجوزها زمانی که تنظیمات مجوزهای دسترسی به فایلها و فولدر ها را انجام می دهید،باید برای اعطای این مجوزها کاربرها یا گروه هایی را انتخاب می کنید که مجوزها به آنها اختصاص داده می شوند.

افزودن اعضا به گروه ها اعضا گروه میتوانند ترکیبی از کاربران ، گروه ها یا کامپیوترها باشند.زمانی که یک شیء را به عضویت یک گروه در می آورید باید آن شیء را انتخاب کنید.

ایجاد لینک خصوصیات لینک در حقیقت خصوصیاتی از یک شیء میباشند که به یک شیء دیگر لینک میشوند.عضویت گروه در حقیقت یک خصیصه لینک شده میباشد.خصیصه های لینک شده دیگری مانند ویژگی Managed Byهم یک خصوصیت لینک شده میباشد.زمانی که Managed Byرا مشخص می کنید باید کاربر یا گروه مقتضی را انتخاب کنید.

جستجوی یک شیء شما میتوانید هر شیئی را در اکتیو دایرکتوری جستجو کنید.
شرایط بسیار دیگری وجود دارند که در آن شما باید جستجو در اکتیو دایرکتوری را انجام دهید.در این راه شما با رابط های کاربری مختلفی برخورد میکنید.در این بخش شما تکنیکهایی برای کار کردن در هر یک از شرایط را می آموزید.









.

.


( الف ) کنترل نمایش اشیاء در ابزار Active Directory Users and Computers :



بخش جزییات در ابزار Active Directory Users and computers قابلیت سفارشی شدن را دارد تا به شما کمک کند تا بتوانید به صورت موثرتر با اشیاء کار کنید.

با استفاده از دستور Add / Remove Columnsاز منوی View میتوانید ستونهایی را به بخش جزییات اضافه کنید.

تمامی خوصیات اشیاء به صورت ستون قابل نمایش نمیباشند اما مسلما ستونهایی را خواهید یافت که اطلاعات سودمندی را به شما نمایش می دهند مانند نام ورود به سیستم کاربر.همچنین شما ستونهایی را خواهید یافت که نمایش اطلاعات آنها ضروری نمیباشد.اگر واحد سازمانی شما فقط یک نوع شیء را در خود جای میدهد،ستون Type استفاده خاصی ندارد.

زمانی که یک ستون نمایان میشود،میتوانید ترتیب نمایش ستونها را تغییر دهید برای این کار با نگاه داشتن کلیک چپ بر روی سر ستون و کشیدن سر ستون به چپ یا راست ،میتوانید ترتیب نمایش ستونها را تغییر دهید.همچنین میتوانید با کلیک کردن بر روی سر ستون لیست نمایش را مرتب کنید با کلیک اول ستون به صورت صعودی و با کلیک دوم ستون به صورت نزولی نمایش داده میشود دقیقا مانند مرورگر ویندوز.


.

منبع : persianadmins

.


( ب ) استفاده از جعبه محاوره انتخاب کاربر ،کنتاکت،کامپیوتر،یا گروه :



زمانی که شما یک عضو به یک گروه اضافه میکنید،یک مجوز دسترسی اختصاص میدهید یا یک خصوصیت لینک شده ایجاد میکنید،پنجره محاوره انتخاب کاربر ،کنتاکت،کامپیوتر،یا گروه به شما نمایش داده می شود.در این منبع آموزشی به این پنجره محاوره ، پنجره محاوره انتخاب گفته میشود.اگر تصمیم دارید یک نمونه از این پنجره را ببینید Properties یک شیء گروه را باز کنید،بر روی برگه Members کلیک کرده و در نهایت بر روی کلید Add کلیک کنید.

در صورتی که نام اشیاء مورد نظر را میدانید،میتوانید آنها را مستقیما در جعبه نوشتاری Enter the object names to select تایپ کنید.امکان وارد کردن چندین نام که با استفاده از نقطه ویرگول (; ) ) از یکدیگر جدا شده اند ،وجود دارد.زمانی که شما بر روی Ok کلیک میکنید ویندوز عملیات جستجو برای یافتن تمامی اقلام وارد شده در لیست را آغاز کرده و آنها را به یک لینک به شیء مورد نظر تبدیل میکند و سپس پنجره محاوره را می بندد.کلید Check Names نیز همان عمل را انجام میدهد اما در انتها پنجره محاوره را باز باقی می گذارد .

به جای وارد کردن کل نام ،شما میتوانید بخشی از نام را وارد کنید.زمانی که بر روی Check Names یا Ok کلیک میکنید ویندوز سعی میکند تا نام جزیی وارد شده را به شیء صحیح تبدیل کند.اگر تنها یک شیء تطبیق داده شود تنها نام همان شیء مقرر میگردد.اگر چند شیء با نام وارد شده توسط شما تطبیق پیدا کنند ،مانند نام Dan آنگاه جعبه یافتن چند نام (Multiple Names Found) نمایش داده میشود.

به صورت پیش فرض پنجره محاوره انتخاب ،تمامی دامین را جستجو می کند.اگر در نتیجه جستجو تعداد زیادی شیء به شما نمایش داده شد و شما تصمیم داشتید که محدوده جستجو را کوچکتر کنید یا تصمیم داشتید در دامین دیگری عملیات جستجو را انجام دهید بر روی کلید Location کلیک کنید.


پنجره محاوره انتخاب با وجود وارد کردن نام کامل – انتخاب کاربر،کنتاکت،کامپیوتر یا گروه ،بندرت هر چهار نوع شیء را به صورت پیش فرض جستجو میکند.به عنوان مثال زمانی که یک عضو به یک گروه اضافه میکنید،کامپیوترها به صورت پیش فرض جستجو نمی شوند.اگر شما نام یک کامپیوتر را وارد کنید این نام یه صورت درست مقرر نمی گردد.زمانی که یک نام را در برگه Managed By تعیین میکنید،گروه ها به صورت پیش فرض جستجو نمی شوند.شما باید از محدوده انتخاب پنجره محاوره انتخاب اطمینان حاصل کنید تا نوع شیء مورد نظر شما در محدوده جستجو پوشش داده شود.بر روی کلید Object Type کلیک کنید و از پنجره محاوره نمایش داده شده استفاده کرده تا نوع شیء مورد نظر خود را انتخاب کنید،سپس بر روی Ok کلیک کنید.

اگر برای یافتن مکان اشیاء خود دچار مشکل میباشید،بر روی کلید Advanced در پنجره محاوره انتخاب کلیک کنید.مدل نمایش پیشرفته به شما این امکان را می دهد که همزمان با گشتن در میان نامها و توضیحات بتوانید اکانتهای کاربری غیر فعال ،رمزهای عبور بدون تاریخ انقضا و اکانتهای کاربری قدیمی را که برای بازه زمانی خاصی به سیستم وارد نشده اند را جستجو کنید.بسته به نوع شیء که جستجو میکنید ممکن است برخی از این فیلدها در برگه Common Queries غیر فعال باشند.بر روی کلید Object Type کلیک کرده تا دقیقا نوع اشیاء مورد نظر خود را انتخاب کنید.




منبع : persianadmins

.

( ج ) استفاده از دستور Find :



سیستمهای ویندوز ابزار جستجویی را عرضه می کنند که توسط Administrator ها به نام Find Box شناخته می شود.یک راه برای اجرای Find Box کلیک کردن بر روی Find Objects در کلید Active Directory Domain Service در نوار ابزار کنسول Active Directory Users and Computers میباشد.

با استفاده از لیست کرکره ای Find نوع اشیاء مورد نظر جهت جستجو را مشخص کنید با استفاده از این لیست میتوانید Common Query یا جستجوی سفارشی را انتخاب کنید.در لیست کرکره ای In محدوده جستجو را تعیین کنید.توصیه میشود هر چقدر امکان دارد محدوده جستجو را کوچکتر کنید تا از مشکل افت کارائی در جستجو در محدوده کل دامین جلوگیری کنید.

بعد از تنظیم نوع اشیاء و محدوده جستجو ،ضوابط جستجو را مشخص کنید.برای انجام دادن یک جستجوی سفازشی پیشرفته از لیست کرکره ای Find گزینه Custom Search را انتخاب کنید.اگر Custom Search را انتخاب کرده و بر روی برگه Advanced کلیک کنید ،می توانید یک جستجوی قدرتمند در LDAP انجام دهید.برای مثال جستجوی OU=*main*در نتیجه تمامی واحدهای سازمانی را که حاوی کلمه Main باشند را به شما نمایش می دهد مانند واحد سازمانی Domain Controllers.بدون استفاده از جستجوی سفارشی ، جستجو تنها با استفاده از متنی انجام میشود که در ابتدای نام وارد شده است،جستجوی سفارشی با استفاده از حروف جایگزین شده امکان ساختن یک جستجوی “Contains” را در اختیار شما قرار می دهد.

زمانی که محدوده جستجو و ظوابط را مشخص کردید بر روی کلید Find Now کلیک کنید.نتایج جسجو در همان پنجره نمایش داده میشوند.پس از نمایش جستجو شما میتوانید با کلیک راست کردن بر روی نتایج دستوراتی مانند حذف ، انتقال و نمایش خصوصیات اشیاء را در پنجره جستجو انجام دهید.

پنجره Find Box در دیگر مکانهای ویندوز نیز نمایش داده می شود مانند ویزارد اضافه کردن پرینتر زمانی که مکان پرینتر را جستجو می کنید.فولدر های تحت شبکه هم کلید جستجو در اکتیو دایرکتوری را دارا میباشند.شما میتوانید برای دسترسی سریعتر به جستجوها ،یک میانبر به منوی استارت یا دسکتاپ اضافه کنید.هدف میانبر باید rundll32 dsquery,OpenQueryWindowباشد.





.

.

.
( د ) استفاد از جستجوهای ذخیره شده :


در ویندوز سرور 2003 گره Saved Queries در درون ابزار Active Directory Users and Computers معرفی شد.این دستورالعمل قدرتمند امکان ایجاد یک سیستم نمایش قاعده گرا از دامین را در اختیار شما قرار میدهد،نمایش اشیاء در سر تا سر یک یا چند واحد سازمانی.

برای ایجاد Saved Query:

1-ابزار Active Directory Users and Computers را باز کنید.
Saved Queries در ابزار Active Directory Users and Computers که در کنسول Server Manager موجود است ،یافت نمیشود.شما باید برای دسترسی به این ابزار از کنسول Active Directory Users and Computers یا یک کنسول سفارشی با ابزار Active Directory Users and Computers استفاده کنید.
2-بر روی Saved Queries کلیک راست کرده ،ابتدا New و سپس Query را انتخاب کنید.
3-برای Query یک نام تایپ کنید.
4-میتوانید توضیحاتی را به صورت اختیاری وارد کنید.
5-بر روی Browse کلیک کرده تا محل ریشه جستجو را مشخص کنید.
جستجو به واحد سازمانی یا دامینی که شما مشخص میکنید محدود میشود.توصیه میشود هر قدر امکان دارد محدوده جستجو را کوچکتر کنید تا کارایی جستجو را افزایش دهید.
6-بر روی Define Query کلیک کنید تا جستجوی خود را تعریف کنید.
7-در جعبه محاوره Find Common Queries نوع شیء مورد نظر را انتخاب کنید.
8-بر روی Ok کلیک کنید.

بعد از ایجاد جستجو ذخیره شده این جستجو در ابزار Active Directory Users and Computers ذخیره میشود و هر بار که شما این کنسول را باز کنید مثلا با استفاده از (dsa.cmd) این جستجوی ذخیره شده نمایش داده میشود.اگر شما جستجوی ذخیره شده را در یک کنسول سفارشی ایجاد کنید،جستجوی ذخیره شده ایجاد شده فقط در همان کنسول قابل دسترس میباشد.برای انتقال جستجوی ذخیره شده به یک کنسول یا یک کاربر دیگر ،میتوانید جستجوی ذخیره شده را به صورت یک فایل XML صادر کرده (Export) و آن را در ابزار مقصد وارد (Import) کنید.

نمایش جزییات در بخش جزییات جستجوی ذخیره شده قابلیت سفارشی شدن با اضافه کردن ستونها یا مرتب کردن آنها را دارد.یک فایده مهم جستجوهای ذخیره شده این است که نمایش سفارشی شده برای هر جستحوی ذخیره شده قابلیت تنظیم جداگانه دارد.زمانی که ستون Last Name را به نمایش عادی یک واحد سازمانی اضافه میکنید این ستون به صفحه نمایش تمامی واحدهای سازمانی اضافه میگردد از اینرو شما یک ستون خالی در بخش نمایش واحدهای سازمانی که فقط اشیاء گروه یا کامپیوتر را درخود جای می دهند ،خواهید دید.با استفاده از جستجوی ذخیره شده شما میتوانید ستون Last Name را به جستجوی شیء کاربر و دیگر ستونها را به جستجوهای دیگر اضافه کنید.

جستجوهای ذخیره شده یک ابزار قدرتمند برای ایجاد نمایشهای مجازی از دایرکتوری میباشد که با استفاده از آن میتوان عمل نظارت بر مشکلاتی مانند اکانتهای کاربری قفل شده یا غیر فعال در دایرکتوری را انجام داد.فراگیری استفاده از جستجوهای ذخیره شده باعث استفاده بهینه از زمان برای شما میشود.





.

.



( هــ ) یافتن اشیاء با استفاده از Dsquery :


ویندوز در Command Prompt ابزارهایی را در اختیار شما قرار میدهد که وظیفه آنها فراهم کردن امکاناتی نظیر ابزارهای موجود در کنسول Active Directory Users and Computers میباشد.اکثر این ابزارها با حروف DS آغاز میشوند از اینو به آنها دستورات DS نیز گفته میشود.دستور Dsquery میتواند محل اشیاء در اکتیو دایرکتوری را مشخص کند (مانند جستجو در کنسول Active Directory Users and Computers).
مانند دیگر دستورات DS ، دستور Dsquey نیز دارای مستندات کافی برای راهنمایی استفاده از این دستور میباشد.در خط فرمان تایپ کنید Dsquery.exe /?تا ترکیبات مختلف دستور و استفاده از آنها را ببینید.در بیشتر دستورات DS باید کلاس اشیایی را که میخواهید با آنها کار کنید در خط دستور وارد کنید.به عنوان مثال تایپ کردن Dsquey user برای جستجوی کاربران به کار میرود همچنین دستورات Dsquery computer و Dsquery Group برای جستجو در میان گروه ها و کامپیوترها به کار میرود.بعد از تایپ کلاس شیء مورد نظر میتوانید از سوییچ ها برای تعیین ضوابط جستجو استفاده کنید.اگر تصمیم دارید شیء مورد نظر را با استفاده از نام مکان یابی کنید میتوانید از سوییچ –name استفاده کنید.اکثر اشیاء را میتوان را با استفاده از Description مربوط به آنها مکان یابی نمود (سوییچ –desc).
برای مثال اگر تصمیم دارید کاربری که نام آن با “jam” آغاز میشود را پیدا کنید،میتوانید دستور زیر وارد کنید: *dsquery user –name jam .بعد از سوییچ ویژگی شیء که در این مورد –name میباشد ،میتوانید ضوابط را وارد کنید،این ظوابط حساس به حروف بزرگ یا کوچک نمیباشند و میتوانند از کاراکترهای جایگزین مانند ستاره (*) استفاده کنید که به مفهوم هر کاراکتری با هر تعداد میباشد.دستور dsquery در جواب تمام اشیاء منطبق با جستجو را بر می گرداند.این اشیاء به صورت پیش فرض با استفاده از نام Distinguished Name (DN) نمایش داده میشوند.

اگر نمی خواهید نتایج به صورت DN به شما نمایش داده شوند میتوانید از سوییچ –o در خط فرمان استفاده کنید.شما میتوانید با اضافه کردن سوییچ –o samid نتایج را با استفاده از نام Pre-Windows 2000 مشاهده کنید یا سوییچ –o upn نام Logon کاربرها را به شما نمایش میدهد.






.







.

.

( ی ) فهمیدن DNs ، RDNsو CNs :


DN ها نوعی روش تعیین مسیر اشیاء در اکتیو دایرکتوری میباشند.هر شیء در اکتیو دایرکتوری دارای یک مسیر کاملا منحصر به فرد برای خود میباشد.به عنوان مثال کاربر ما James Fine دارای آدرس DN زیر میباشد:CN=James Fine,OU=People,DC=Contoso,DC=Com .

شما میتوانید ببینید که چه اتفاقی روی داده است : آدرس DN مسیری است که از شیء آغاز شده و در ساختار سلسله مراتبی نام DNS ،کار خود را تا بالاترین سطح دامین ادامه میدهد.همانطور که قبلا ذکر شد CN نمایش دهنده Common Name میباشد (نام معمول) و زمانی که شما یک شیء کاربر ایجاد میکنید از جعبه Full Name برای ایجاد CN شیء کاربر استفاده میکنید.OU به معنای واحد سازمانی که شیء در آن قرار دارد و DC به معنای Domain Component (جزء مولفه دامین) میباشد.

بخشی از DN که مقدم بر اولین واحد سازمانی یا دربرگیرنده شیء (Container) میباشد به نام Relative Distinguished Name (RDN) شتاخته میشود.در مورد James Fine ، RDN شیء برابر است با CN=James Fine.تمامی RDN ها برابر با CN نمیباشند.آدرس DN مربوط به واحد سازمانی People برابر است با OU=People,DC=contoso,DC=com از اینرو RDN مربوط به People برابر است با OU=People.

به این دلیل که DN هر شیء باید در اکتیو دایرکتوری منحصر بفرد باشد RDN هر شیء در باید در درون در برگیرنده آن شیء منحصر بفرد باشد.به این دلیل اگر در سازمان شما کارمند دیگری با نام James Fine استخدام شد و هر دو کارمند باید در یک واحد سازمانی قرار میگرفتند باید به این کاربران دو نام متفاوت CN را اختصاص دهید.همین منطق به فایلهای درون یک فولدر اعمال میشود:شما نمیتوانید دو فایل با یک نام درون یک فولدر داشته باشید.تا زمانی که با اکتیو دایرکتوری کار میکنید دائما با نامهای DN سر و کار خواهید داشت مانند زمانی که با فایلها و فولدر ها کار میکنید دائما با مسیر فایلها سر و کار دارید.خواندن و رهگیری مسیر آنها بسیار مهم میباشد.

.

اعطای نمایندگی و امنیت اشیاء در اکتیو دایرکتوری . ./

شما روش ایجاد کاربر،گروه،کامپیوتر و واحد سازمانی را فرا گرفتید،همچنین روش دسترسی به Properties این اشیاء را نیز فرا گرفتید.توانایی انجام اعمال فوق به عضویت شما در گروه Administrator های دامین بستگی دارد.برای اعمالی نظیر ریست کردن رمز عبور کاربران یا بازکردن اکانت کاربران از حالت قفل شده شما به دسته ای از کاربران نیاز دارید که در عین توانایی در انجام امور فوق عضو گروه Administrator های دامین نیز نباشند و فقط مجوز انجام اعمال خاصی را که مد نظر شما میباشد داشته باشند.در این تاپیک یاد می گیرید که چگونه برای انجام بخشی از وظایف Administrator به کاربران دیگر نمایندگی دهید.این عمل با ایجاد تغییر در Access Control List (ACL) اشیاء موجود در اکتیو دایرکتوری انجام میشود.

فهمیدن اعطای نمایندگی

در اکثر سازمانها تعداد Administrator ها بیشتر از یک نفر میباشد و با رشد سازمان ، وظایف Administration معمولا در میان Administrator ها یا سازمانهای پشتیبانی کننده شبکه توزیع میشود.برای مثال در بیشتر سازمانها یک تیم جهت پشتیبانی کاربران شبکه(Help Desk) وجود دارد که یکی از وظایف این گروه ریست کردن رمز عبور کاربران و باز کردن قفل اکانتهای قفل شده می باشد.به این قابلیت تیم پشتیبانی کاربران اعطای نمایندگی وظایف Administrator گفته میشود.اعضای این تیم این تیم معمولا توانایی ایجاد کاربر جدید را ندارند ،اما میتوانند در خصوصیات کاربران موجود در شبکه تغییراتی را ایجاد کنند.
امنیت تمام اشیاء موجود در اکتیو دایرکتوری مانند کاربران،کامپیوترها و گروه هایی که شما در دروس گذشته ایجاد کردید،میتوانند با استفاده از لیستی از مجوزها فراهم شود.به مجوزهای یک شیء Access Control Entry (ACE) گفته میشود این مجوزها به کاربران ،کامپیوترها و گروه ها اعطا میشوند که به آنها Security Principals گفته میشود.ACE ها در Discretionary Access Control List (DACL) هر شیء ذخیره میشوند.DACL بخشی از ACL هر شیء میباشد که در برگیرنده System Access Control List (SACL) نیز میباشد که تنظیمات مربوط به Auditing (بازرسی) را در خود جای میدهد.اگر قبلا با مجوزهای فایل و فولدر کار کرده باشید الفاظ و مفاهیم به کار رفته در هر دو یکسان میباشد.
از هر سه اصطلاح ذیل برای نامگذاری اعطای .کالت استفاده می شود.اعطای نمایندگی کنترل مدیریت یا اعطای نمایندگی کنترل (Delegation of Control) یا فقط اعطای نمایندگی(Delegation) .








.

.






دیدن ACL یک شیء در اکتیو دایرکتوری . ./

برای دیدن ACL یک شیء کاربر
1-ابزار Active Directory Users and Computers را باز کنید.
2-از منوی View گزینه Advanced Features را انتخاب کنید.
3-بر روی یک شیء کلیک راست کرده و Properties را انتخاب کنید.
4-بر روی برگه Security کلیک کنید.
اگر Advance Features غیر فعال باشد برگه Security در پنجره محاوره Properties اشیاء نمایش داده نمیشود.
5-بر روی کلید Advanced کلیک کنید.
برگه Security یک خلاصه در سطح بالا از مجوزهای اعطا شده به یک Security Principals را نمایش میدهد،اما در مورد ACL های اکتیو دایرکتوری بندرت این برگه توضیحات کافی برای بررسی مجوزها و تغییر در آنها در اختیار شما قرار میدهد.همیشه بهتر است از کلید Advanced استفاده کرده و با استفاده از پنجره محاوره Advanced Security Setting تغییرات مورد نظر خود را اعمال کنید.
برگه Permissions در پنجره محاوره Advanced Security Setting به شما DACL یک شیء را نمایش میدهد.در این پنجره محاوره ACE های درون یک DACL به صورت مجزا نمایش داده نمیشوند.به عنوان مثال در
برای دیدن ACE های یک مجوز به صورت جداگانه بر روی یکی از مجوزهای وارد شده کلیک کرده سپس بر روی کلید Edit کلیک کنید.
پنجره محاوره Permission Entry نمایش داده میشود که جزییات کامل ACE هایی که مجوز وارده شده را درست کرده اند به شما نمایش میدهد.








.

شیء ،خصوصیت و کنترل حق دسترسی. ./

DACL هر شیء امکان اعطای مجوز دسترسی برای خصوصیت خاصی از شیء را در اختیار شما قرار می دهد.شما میتوانید مجوز Allow یا Deny را جهت ایجاد تغییرات در شماره تلفن یا Email اعطا کنید.در حقیقت این فقط یک Property نمیباشد بلکه مجموعه ای از property ها میباشد.Property Set مدیریت اعطای مجوز به مجموعه ای از خصوصیاتی که معمولا با یکدیگر تنظیم میشوند را دراختیار شما قرار میدهد.اما شما در اعطای مجوز به برخی خصوصیات دیگر مانند شماره موبایل و آدرس خیابان منزل میتوانید از مجوزهایی استفاده کنید که دقیقا به یک خصوصیت خاص اعطا میشوند.

از مجوزهای دسترسی میتوان برای کنترل حق دسترسی (Access Right) استفاده کرد. حق دسترسی در حقیقت یکAction میباشد مانند تغییر در رمز عبور یا ریست کردن آن.درک تفاوت بین دو حق دسترسی فوق مهم میباشد از اینرو که اگر شما حق دسترسی Change a Password را داشته باشید باید رمز عبور فعلی را داشته باشید و قبل از تغییر رمز عبور، آن را وارد کنید.اگر شما حق دسترسی Reset a Password را داشته باشید برای ریست کردن رمز عبور نیازی به دانستن رمز عبور فعلی ندارید.

در نهایت مجوزهای دسترسی میتوانند به اشیاء تخصیص داده شوند.به عنوان مثال توانایی تغییردر مجوزهای دسترسی هر شیء با استفاده از Allow::Modify Permissions ACE اعمال می شود.مجوزهای دسترسی شیء ،کنترل ایجاد شیء جدید در درون شیء موجود را نیز مدیریت میکنند. به عنوان مثال شما قصد دارید به تیم پشتیبانی کاربران مجوز ایجاد شیء کامپیوتر در درون واحد سازمانی را اعطا کنید تا بتوانند برای کامپیوترهای دسکتاپ و لپ تاپ ها اکانت جدید ایجاد کنند.با استفاده از اعطای مجوز Allow::Create Computer به تیم پشتیبانی کاربران بر روی شیء واحد سازمانی مورد نظر ،این امکان را فراهم میکنید.

نوع و محدوده عملکرد مجوزهای دسترسی با استفاده از دو برگه کنترل می شود:Object و Properties و لیست کرکره ای Apply To محدوده اعمال شدن مجوزهای دسترسی در هر یک از برگه های فوق را تعیین می کند.

اعطای مجوز دسترسی با استفاده از پنجره محاوره Advanced Security Setting . ./


سناریویی را تصور کنید که در آن شما تصمیم دارید به تیم پشتیبانی شبکه مجوز تغییر رمز عبور کاربر James Fine را اعطا کنید.در این بخش ابتدا با پیچیده ترین روش این کار آشنا میشوید:با اختصاص دادن یک ACE در DACL شیء کاربر.سپس انجام این کار را با استفاده از ویزارد Delegation Of Control بر روی کل واحد سازمانی Users خواهید آموخت و درانتها متوجه میشود چرا استفاده از روش دوم توصیه شده است.
1-Active Directory Users and Computers Snap-in را باز کنید.
2-بر روی منوی View کلیک کرده و سپس Advanced Features را انتخاب کنید.
3-بر روی یک شیء کلیک راست کرده و Properties را اتخاب کنید.
4-بر روی برگه Security کلیک کنید.
5-بر روی کلید Advanced کلیک کنید.
6-بر روی کلید Add کلیک کنید.
7-در پنجره محاوره Select ، هر شییء را که قصد اعطای مجوز به آنرا دارید،انتخاب کنید.
این یکی از مهمترین بهترین تکنیک میباشد که مجوزهای دسترسی را بجای کاربران به طور مجزا به گروه ها اعطا کنید.
به عنوان مثال در این مورد این مجوز را به گروه Help Desk اعطا کنید.
8-بر روی Ok کلیک کنید.
پنجره محاوره Permission Entry نمایش داده میشود.
9-مجوزهای دسترسی را که میخواهید تخصیص دهید ،تنظیم کنید.
برای این تمرین در برگه Object لیست مجوزها را اسکرول کنید و مجوز Allow::Reset Password را انتخاب کنید.
10-با استفاد از کلیک بر روی Ok تمامی پنجره های محاوره را ببندید.



.

.


درک و مدیریت مجوزها با استفاده از قانون وراثت . ./


میتوانید تصور کنید که اعطای مجوز Reset Password به گروه Help Desk برای هر کاربر به صورت مجزا به چه میزان زمان بر میباشد.خوشبختانه شما نیاز ندارید این پروسه وحشتناک و طولانی اعطای مجوز برای هر شیء به صورت مجزا را در اکتیو دایرکتوری انجام دهید.به جای آن شما میتوانید مجوزهای دسترسی را به واحدهای سازمانی تخصیص دهید.مجوز دسترسی که به واحد سازمانی اختصاص داده میشود توسط تمام اشیاء موجود در واحد سازمانی به ارث برده میشوند.بنابراین اگر شما مجوز Reset Password کاربران را به گروه Help Desk بدهید و این مجوز را به واحد سازمانی تخصیص دهید تمامی اشیاء کاربر موجود در آن واحد سازمانی این مجوز را به ارث میبرند و آن را به خود اختصاص می دهند.با استفاده از تنها یک مرحله میتوان این وظیفه مدیریتی را محول کرد.

درک مفهوم ارث بری بسیار ساده میباشد.اشیاء Child مجوزهای دسترسی خود را از دربرگیرنده ها یا واحدهای سازمانی Parent به ارث میبرند.اگر این این دربرگیرنده یا واحدهای سازمانی خود از دسته واحدهای سازمانی یا دربرگیرنده های سطح اول باشند از خود دامین ارث بری میکنند.دلیل وجود این قانون این است که هر شیءجدید ایجاد شده در درون یک دربرگیرنده یا واحد سازمانی دارای یک سری از مجوزهای دسترسی به همراه خود باشد.میتوانید این موضوع را درتصویر 2-16 ملاحظه کنید.

اما به یاد داشته باشید که این گزینه تنها باعث میشود که مجوزهایی که توسط خود دربرگیرنده یا واحدسازمانی به ارث برده شده اند به اشیاء درون آنها به ارث داده شود.تمامی مجوزهای دسترسی به ارث برده نمی شوند برای مثال مجوز دسترسی Reset Password توسط گروه های موجود در واحد سازمانی یا دربرگیرنده ها به ارث برده نمی شوند به این دلیل که شیء گروه ویژگی Password را ندارد.رمز عبور فقط درباره شیء کاربر ،کاربرد دارد نه درباره گروه.همچنین شما میتوانید از جعبه Apply To محدوده ارث بری مجوزهای دسترسی را مشخص کنید.در اینجا توضیحات شروع به پیچیده شدن کرده است.تنها چیزی که باید بدانید این است که به صورت پیش فرض تمامی اشیاء جدید مجوزهای دسترسی قابل ارث بری را از دربرگیرنده یا واحد سازمانی که در آن ایجاد شده اند به ارث می برند.

اگر مجوزهای دسترسی به ارث برده شده مورد نظر شما نباشد و بخواهید در آنها تغییراتی ایجاد کنید با استفاده از دو راه میتوانید در مجوزهای دسترسی به ارث برده شده تغییراتی ایجاد کنید.نخست میتوانید ارث بری را غیر فعال کنید برای این کار به پنجره Properties شیء رفته سپس به برگه Advanced Security Setting بروید و گزینه Include Inheritable Permission From This Object Parent را در حالت غیر انتخاب شده قرار دهید.زمانی که این کار را انجام دهید یک شیء ،دیگر مجوزهای دسترسی شیء Parent خود را به ارث نمیبرد.از این پس هر مجوزی که به شیء بدهید فقط برای همان شیء به صورت جداگانه تنظیم خواهد شد.این تکنیک مناسبی نمیباشد از اینرو که در ارث بری،قوانین جدید ایجاد شده در سطح دربرگیرنده Parent استثنا ایجاد میکند.

گزینه دوم در عین اعطای اجازه ارث بری میتوان مجوزهای جدید ایجاد شده در سطح شیء Child را به مجوزهای تخصیص داده شده در سطح Parent اولویت داد و یک Explicit Permission ایجاد کرد.در حقیقت تمامی Explicit Permission ها به مجوزهای به ارث برده شده توسط شیء اولویت داده میشوند.این موضوع یک مفهوم مهم میباشد از اینرو که یک Explicit Permission که اجازه انجام یک کار را میدهد بر مجوز به ارث برده شده که اجازه انجام همان کار نمیدهد ،اولویت پیدا خواهد کرد.اگر فکر میکنید که منطق این کار برای شما غیر قابل درک میباشد باید بدانید که نیست.مجوز Deny توسط Parent معین شده است اما Child به صورت یک استثنا تنظیم شده است.




.

.

اعطای نمایندگی جهت انجام وظایف مدیریتی با استفاده از ویزارد Delegation Of Control . ./


با پیچیدگی کار کردن با DACL ها آشنا شدید و متوجه شدید که مدیریت مجوزهای دسترسی با از این سو و آن سو جمع کردن مجوزها در جعبه محاوره Permission Entry کار ساده ای نمی باشد.خوشبختانه بهترین تکنیک مدیریت مجوزها بجای استفاده از رابط امنیتی از ویزارد Delegation Of Control استفاده میکند.
دستور العمل ذیل جزییات استفاده از این ویزارد را در اختیار شما قرار میدهد.
1-Active Directory Users and Computers Snap-in را باز کنید.
2-بر روی گره دامین یا واحد سازمانی که در مورد انجام وظایف مدیریتی یا کنترل بر روی آن قصد اعطای نمایندگی را دارید ،کلیک راست کرده و Delegate Control را انتخاب کنید.
در این مورد واحد سازمانی را انتخاب کنید که کاربران شما در آن قرار دارند.
ویزارد Delegation Of Control نمایش داده میشود تا شما را برای انجام بقیه مراحل راهنمایی کند.
3-بر روی Next کلیک کنید.
ابتدا باید گروه مدیریتی را انتخاب کنید که قصد دارید امتیازاتی را به آنها اعطا کنید.
4-در صفحه Users or Groups بر روی کلید Add کلیک کنید.
5-با استفاده از پنجره محاوره Select ،گروه مورد نظر را انتخاب کرده و بر روی Ok کلیک کنید.
6-بر روی Next کلیک کنید.
پس از این شما وظیفه خاصی را مشخص میکنید که میخواهید به عهده گروه مورد نظر گذاشته شود.
7-در صفحه Task To Delegate بر روی Task کلیک کنید.
در این مورد شما گزینه Reset User Password and Force Password Change at Next Logon را انتخاب کنید.
8-بر روی Next کلیک کنید.
9-خلاصه وضعیت کارهای انجام شده را بررسی کرده و بر روی Finish کلیک کنید.
ویزارد Delegation Of Control میتواند ACE هایی که را لازم باشد تخصیص دهد تا گروه مورد نظر بتواند وظایف تعیین شده را انجام دهد.



.

.

گزارش دهی و دیدن مجوزها . ./

برای زمانی که قصد دارید ببینید که چه کسی حق دارد چه کاری را با استفاده از مجوزهای دسترسی انجام دهد راه های مختلفی وجود دارد.پیش از این دیدید که میتوانید این مجوزها را بر روی DACL با استفاده از Advanced Security Setting و جعبه محاوره Permission Entry مشاهده کنید.

Dsacls.exeنیز به عنوان یک ابزار تحت Command Prompt در اختیار شما میباشد که میتواند درباره اشیاء موجود در اکتیو دایرکتوری به شما گزارش دهی کند.اگر در ادامه فرمان آدرس DN یک شیء را وارد کنید گزارشی از مجوزهای دسترسی اعمال شده بر روی شیء را مشاهده می کنید.به عنوان مثال دستور ذیل گزارشی از مجوزهای دسترسی تخصیص داده شده به واحد سازمانی People را ارائه می کند:

Dsacls.exe “ou=People,dc=contoso,dc=com”

همچنین از Dsacls میتوان برای تنظیم کردن مجوزهای دسترسی جهت اعطای نمایندگی استفاده نمود. برای دیدن نحوه ترکیبات مختلف و روش استفاده از این دستور در Command Prompt تایپ کنید dsacls.exe /?.


.

.

حذف یا ریست کردن مجوزهای دسترسی یک شیء . ./

چگونه مجوزهایی را که برای آنها اعطای نمایندگی کرده اید حذف یا ریست میکنید؟متاسفانه فرمانی برای بازپس گیری نمایندگی وجود ندارد.شما باید از Advanced Security Setting و جعبه محاوره Permission Entry برای حذف کردن مجوزهای دسترسی استفاده کنید.اگر قصد دارید مجوزهای دسترسی یک شیء را به حالت پیش فرض ریست کنید،جعبه محاوره Advanced Security Setting را باز کرده و بر روی Restore Defaults کلیک کنید.مجوزهای عبور پیش فرض توسط Schema در اکتیو دایرکتوری برای کلاسهای مختلف اشیاء تعیین میشوند.پس از برگرداندن وضعیت به حالت پیش فرض میتوانید مجددا Explicit Permission هایی را که میخواهید به DACL اضافه کنید.

Dsacls نیز با استفاده از سوییچ/s میتواند مجوزهای دسترسی را به حالت پیش فرض Schema برگرداند و سوییچ/t میتواند کل درخت یعنی خود شیء و کلیه اشیاء درون آن را به حالت پیش فرض برگرداند.به عنوان مثال برای ریست کردن مجوزهای دسترسی واحد سازمانی People و تمامی واحدهای سازمانی و اشیاء درون آن میتوانید تایپ کنید:

Dsacls “ou=people,dc=contoso,dc=com” /resetDefaultDACL

.

.

فهمیدن مجوزهای دسترسی موثر . ./

مجوزهای دسترسی موثر یا Effective Permission نتیجه اعمال شدن مجموع مجوزهای دسترسی تخصیص داده شده در سطوح مختلف به یک عامل امنیتی یا Security Principal میباشد.مانند یک کاربر یا یک گروه که مجوزهای دسترسی به این اشیاء بر اساس تاثیرات جمع شونده تمامی مجوزهای به ارث برده شده و Explicit ACE ها میباشد.برای مثال شما میتوانید رمز عبور یک کاربر را ریست کنید به این دلیل که عضو گروهی میباشید که بر روی یک واحد سازمانی چند مرحله بالاتر از موقعیت فعلی کاربر، مجوز Reset Password به آن اعطا شده است.نتیجه مجوزهایی که به گروهی که شما عضو آن هستید اعطا شده است و توسط واحد سازمانی که کاربر مورد نظر در آن میاشد به ارث برده شده اند،باعث میشود شما مجوز دسترسی موثر Allow::Reset Password را دراختیار داشته باشید.مجوزهای دسترسی موثر شما زمانی پیچیده میشود که مجوزهای دسترسی مجاز یا Allow و رد یا Deny را بر اثر مجوزهای به ارث برده شده و مجوزهای Explicit،با هم بر روی یک شیء داشته باشید و این حقیقت که شما عضو گروه های مختلفی میباشید که هر یک میتوانند مجوز دسترسی مختلفی بر روی یک شیء داشته باشند.

مجوزهای دسترسی چه به اکانت کاربری شما یا به گروهی که شما به آن تعلق دارید اعطا شده باشد،هم ارزش میباشند.در نهایت ACE به شما به عنوان کاربر اعمال میشود.بهترین تکنیک مدیریت مجوزهای دسترسی،اعطای آنها به گروه به جای کاربر میباشد اما همچنان امکان اعطای مجوزهای دسترسی به یک کاربر یا یک کامپیوتر به صورت انفرادی وجود دارد.تنها به این دلیل که مجوزهای دسترسی مستقیما به شما به عنوان کاربر اعطا میشود به معنای مهمتر بودن یا کم اهمیت تر بودن مجوزهایی نمیباشد که به گروهی که شما عضو آن هستید اعطا شده است.در نتیجه مجوزهای دسترسی چه در سطح کاربر تخصیص داده شود چه در سطح گروه ارزش یکسانی دارند.

مجوزهای دسترسی Allow یا Allow Permission ها خاصیت جمع شوندگی دارند.زمانی که شما عضو چند گروه می باشید و به آن گروه ها مجوزهایی اعطا شده که در نتیجه آن میتوانند وظایف مختلفی را انجام دهند به شما به عنوان عضو این گروه ها، تمامی مجوزهای اعطا شده به این گروه ها به علاوه مجوزهای اعطا شده به صورت مستقیم به اکانت کاربری شما به صورت یکجا تخصیص داده می شود.
مجوزهای دسترسی Deny یا Deny Permission ها بر تمامی مجوزهای دسترسی Allow معادل خود ،اولویت دارند.اگر شما عضو گروه هایی باشید که یکی از آنها مجوز Allow برای ریست کردن رمز عبور را دارا باشد و به گروه دیگر مجوز دسترسی Deny برای ریست کردن رمز عبور داده شده باشد،مجوز Deny از ریست کردن رمز عبور توسط شما جلوگیری می کند.


.

.
تذکر از مجوز Deny با مضایقه استفاده کنید . ./


عموما استفاده از مجوز Deny غیر ضروری میباشد.اگر شما مجوز Allow برای انجام یک وظیفه را اعطا نکنید کاربر نمیتواند آن وظیفه را انجام دهد.قبل از اختصاص دادن مجوز Deny بررسی کنید تا در صورت امکان با حذف کردن مجوز Allow به هدف خود برسید.از مجوز Deny بندرت و با ملاحظه استفاده کنید.

هر مجوز دسترسی به صورت یک دانه مجزا عمل میکند.حتی اگر توانایی ریست کردن رمز عبور با استفاده از مجوز Deny از شما گرفته شده باشد شما همچنان توانایی هایی با استفاده از دیگر مجوزهای دسترسی Allow در اختیار خواهید داشت که بتوانید نام Logon یا آدرس e-mail کاربر را تغییر دهید.
در نهایت در تاپیک گذشته آموختید که چگونه یک شیء Child از شیء Parent خود به صورت پیش فرض ارث بری میکند و میتوان با استفاده از مجوزهای Expicit اولویت بر ارث بری ایجاد کرد.این موضوع به این معنی است که مجوز Allow با استفاده از مجوز Expilicit بر مجوز Deny به ارث برده شده اولویت پیدا میکند.
متاسفانه وجود پیچیدگی تعامل مجوزهای کاربر،گروه،Explicit،به ارث برده شده،Allow و Deny ارزیابی مجوز موثر را به کاری مشکل بدل میکند.یک برگه به نام Effective Permission در پنجره محاوره Advanced Security Setting در Properties هر شیء در اکتیو دایرکتوری وجود دارد،اما این برگه عملا بلا استفاده می باشد.این برگه جزییات مربوط به مجوزهای دسترسی که شما به آنها نیاز دارید را به شما نشان نمی دهد.شما میتوانید از گزارش مجوزهای ایجاد شده توسط دستور Dcacls استفاده نمایید.
اطلاعات بیشتر کنترل دسترسی قاعده مند
بهترین راه مدیریت اعطای نمایندگی در اکتیو دایرکتوری با استفاده از کنترل دسترسی قاعده مند می باشد.هر چند این موضوع در این منبع آموزشی پوشش داده نمی شود اما فهمیدن این موضوع برای پیاده سازی شبکه در محیط واقعی ارزشمند می باشد.این موضوع در کتاب Windows Administration Resource Kit:Productivity Solution For IT Professionalsنوشته Dan Holme توضیح داده شده است.



.

.

طراحی ساختار واحد سازمانی جهت پشتیبانی اعطای نمایندگی . ./


همانطور که اکنون میدانید واحدهای سازمانی دربرگیرنده های مدیریتی میباشند.آنها دربرگیرنده اشیایی میباشند که نیازهای مدیریتی،تنظیمات و قابلیت نمایش یکسانی را به اشتراک میگذارند.شما اکنون اولین نیاز این اشیاء را به خوبی درک میکنید:مدیریت.اشیایی که توسط یک Administrator و با استفاده از یک راه مدیریت میشوند باید در یک واحد سازمانی نگهداری شوند.با قرار دادن کاربران خود در یک واحد سازمانی به نام “People” شما میتوانید نمایندگی تغییر رمز عبور کاربران را به گروه Help Desk اعطا نمایید.این کار با الصاق یک مجوز به یک واحد سازمانی انجام میشود.دیگر مجوزهای مدیریتی که میتوانند با اشیاء کاربر در واحد سازمانی People سر و کار داشته باشند را نیز میتوان الصاق نمود.به عنوان مثال اگر بخواهید به مدیران بخش منابع انسانی اجازه غیر فعال کردن اکانت کاربرانی که مدت قرارداد آنها خاتمه یافته است را بدهید،میتوانید نمایندگی این مجوز را مجددا برای این گروه بر روی واحد سازمانی People اعطا نمایید.

به یاد داشته باشید Administrator ها باید با استفاده از یک اکانت کاربر عادی به سیستم وارد شده و برای اجرای ابزارهای مدیریتی از هویت اکانت دوم که مجوزهای لازم جهت انجام وظایف مدیریتی را دارد، استفاده نماید.این اکانتهای دوم در حقیقت اکانتهای مدیریتی سازمان میباشند.گروه Help Desk نباید بتوانند رمز عبور کاربر Administrator را ریست نمایند یا گروه مدیریت منابع انسانی نباید بتواند این دسته از اکانتها را غیر فعال نماید.از اینرو اکانتهای کاربری مدیریتی متفاوت از اکانتهای کاربری عادی،مدیریت خواهند شد.به این دلیل شما باید یک واحد سازمانی مجزا برای اشیاء کاربر Administartor ایجاد کنید.اعطای نمایندگی مدیریت این واحد سازمانی کاملا متفاوت از دیگر واحدهای سازمانی میباشد.

همانند زمانی که شما میخواید اجازه اضافه کردن اشیاء کامپیوترها را در واحد سازمانی Clients به گروه پشتیبانی بدهید اما نمیخواهید که اعضای این گروه بتوانند در واحد سازمانی Servers ،شیء کامپیوتر ایجاد کرده یا اشیاء موجود را مدیریت کنند.

نقش اصلی واحد سازمانی مشخص کردن حوزه اعطای نمایندگی به صورت موثر جهت اجرای مجوزها بر روی اشیاء و زیر واحدهای سازمانی میباشد.زمانی که محیط اکتیو دایرکتوری را طراحی میکنید همیشه کار را با طراحی ساختار واحد سازمانی که بتواند کار اعطای نمایندگی را به صورت موثر انجام دهد آغاز میکنید،ساختاری که بازتاب مدل مدیریتی در سازمان شما میباشد.بندرت مدل مدیریت اشیاء در اکتیو دایرکتوری دقیقا مشابه مدل چارت سازمانی شما میباشد.معمولا تمام کاربران عادی از یک راه و توسط یک گروه پشتیبانی میشوند از اینرو معمولا تمامی این کاربران در یک واحد سازمانی یا یک انشعاب از واحد سازمانی کاربران یافت میشوند.در اکثر سازمانها برای پشتیبانی کاربران و کامپیوترها یک گروه به نام Help Desk وجود دارد که در این موارد تمام کامپیوترها نیز مانند کاربران در یک واحدسازمانی یا شاخه ای از واحد سازمانی Computers قرار میگیرند.اما اگر تیم پشتیبانی به صورت غیر متمرکز وجود داشته باشد شما باید واحد سازمانی Clients را به زیر واحدهای سازمانی تقسیم کنید که نمایانگر محل جغرافیایی باشد سپس نمایندگی مدیریت هر واحد سازمانی را میتوان به تیم پشتیبانی مستقر در همان محل اعطا کرد.

در طراحی واحد سازمانی ابتدا باید اعطای نمایندگی مدیریت اشیاء به صورت موثر در اکتیو دایرکتوری مد نظر قرار گیرد سپس تصحیح طراحی را به صورتی انجام داد که انجام تنظیمات کامپیوترها با استفاده از Group Policy را تسهیل نماید.


.

منبع : منبع تمامی مطالب از پست اعطای نمایندگی و امنیت در اکتیو دایرکتوری تا پست طراحی و ساختار واحد سازمانی سایت ..ir persianadmins

.


ساخت User Template. ./


همانطور که می دانید قالب ها ، ساخت اکانت های زیاد را ساده می کند. به خصوص اگر شما در حال ایجاد کاربرانی برای یک سازمان خاص با ویژگی های مشابه و عضویت در گروه های یکسان هستید، شما می توانید از یک قالب برای ساخت کاربر استفاده کنید.در یک قالب شما می توانید تمام پارامترهای اکانتی که کاربرانتان به آن ها نیاز دارند را تعریف کنید. مطمئن باشید که اکانت قالب غیرفعال است و همه ویژگی های مطلوبی که شما برای کاربرانتان نیاز دارید را دارا می باشد. طی ساخت یک اکانت کاربر جدید ، شما یک ویزارد و پنجره یکسان با قالب را دریافت خواهید کرد. تنها کاری که باید انجام دهید اینست که یک کپی از اکانت قالب ایجاد کرده و نام و پسورد جدید را اضافه نمایید.شما ممکن است چندین قاب کاربر برای چندین هدف با ویژگی ها و تنظیمات مختلف ایجاد نمایید. در اینجا هیچ محدودیتی برای تعداد قالب های کاربر وجود ندارد.توجه کنید که برای ساخت یک اکانت جدید مطابق با اکانت قالب ، کافی است که بر روی اکانت قالب کلیک راست کرده و سپس گزینه Copy را انتخاب نماییم . در این هنگام یک ویزارد باز شده که لازم است فقط نام و پسورد اکانت جدید وارد شود. بقیه تنظیمات مشابه با اکانت قالب می باشد.



.




+

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]









.

.



مدیریت User Properties در اکتیودایرکتوری . ./


برای کاربران موجود در اکتیودایرکتوری شما می توانید انواع زیادی از خصوصیات و ویژگی ها را پیکربندی نمایید. برای دسترسی به پنجره Properties یک کاربر، شما می توانید بر روی اکانت آن کاربر double-click کنید و یا بر روی اکانت راست کلیک کرده و گزینه Properties را انتخاب نمایید. در پنجره Properties یک کاربر ، برگه های زیادی وجود دارد که توضیح مهمترین برگه ها به شرح زیر می باشد:

• برگه Accounts : با استفاده از این برگه شما می توانید اکانت کاربر را کنترل نمایید که توضیح مختصر مهمترین قسمت های آن به قرار زیر می باشد:

1. در بخشی از این برگه اطلاعات User logon name که شما در هنگام ورود به دامین از آن استفاده می کنید به نمایش در آمده است. (تصویر 4)

2. در قسمتی از این برگه کادر Account options قرار دارد که از آن برای تنظیمات امنیتی مربوط به اکانت ، از قبیل شرایط پسورد و وضعیت اکانت استفاده می شود. (تصویر 4)

3. در پایین این برگه کادر Account expiration قرار دارد که می توان با استفاده از آن برای اکانت یک تاریخ انقضاء تعیین کرد. (تصویر 4)

4.بر روی این برگه دکمه Logon Hours قرار دارد که از آن برای تعیین این که کاربر در چه زمان هایی و در چه روزهایی بتواند به دامین logon نماید استفاده می شود. (تصویر 5)

5.همچنین بر روی این برگه دکمه ی Log On To قرار دارد که به کاربر اجازه می دهد تنها از طریق ایستگاه کاری (کامپیوتر) خاصی به درون دامین log on نماید. این کار به شما کمک خواهد کرد که امنیت دامین تان را به وسیله مجبور کردن کارکنان به log on کردن به دامین تنها از طریق کامپیوترهایی که اجازه دسترسی به آن را دارند، افزایش دهید. (تصویر 6)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

• برگه General : این برگه شامل اطلاعات عمومی کاربر مانند نام ، تلفن ، آدرس ایمیل و غیره می باشد. (تصویر 7)
• برگه Address : این برگه شامل اطلاعات آدرس کاربر می باشد. (تصویر 8)
• برگه Telephones : از این برگه می توان برای ثبت تلفن های کاربر استفاده کرد. (تصویر 9)
• برگه Organization : از این برگه برای وارد کردن اطلاعات مربوط به کاربر در سازمان استفاده می شود. (تصویر 10)
• برگه Profile : این برگه به شما اجازه می دهد که محیط کاربر را سفارشی سازی نمایید. (تصویر 11)
• برگه Member Of : از این برگه برای عضو کردن کاربر در یک گروه امنیتی خاص استفاده می شود. (تصویر 12)
• برگه Environment : از این برگه برای پیکربندی محیط Terminal Services start-up استفاده می شود.یعنی می توان برای یک کاربر که از طریق Terminal Services و، log on می کند تعیین کرد که در هنگام start up چه برنامه ای اجرا شود. (تصویر 14)
• برگه Remote Control : از این برگه برای پیکربندی و تنظیمات مربوط به کنترل از راه دور کامپیوتر استفاده می شود. (تصویر 15)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

.

.

نحوه اضافه کردن گروه و یوزر در اکتیو دایرکتوری با کامند . ./

در شبکه های domain اضافه کردن و مدیریت اکنت ها و گروه ها به وسیله اکتیو دایرکتوری Active Directoryانجام میشود پس از نصب این role به روی سرور میتوانیم این کنسول را از دو طریق باز کنیم :

1) start ......>allprogram.....> administrative tools ...>activ directory users and computrs

2) در پنجره run متن روبرو را وارد کنید : dsa.msc

که گزینه دوم سریعتر و راحت تر است.

کنسول زیر کنسول AD است که در سمت چپ پنجره یوزرها و گروه ها و OU ها و نام domain نشان داده میشود


همانطور که در شکل مشخص است میتوانیم در اینجا به ایجاد یوزرها و گروه ها بپردازیم اما برای سرعت بیشتر در ایجاد آنها و مدیریت بهتر میتوانیم در محیط cmd نیز آنها را ایجاد کنیم
برای ایجاد یوزر اکانت در محیط cmd به روش زیر عمل میکنیم:

برای ساخت هر یوزر باید محل قرارگیری آن را آدرس دهی کنیم برای مثال برای ساخت یوزری به نام test1
در ouای به نام ACC در دامینی به نام iranvij.ir باید به این شکل عمل کنیم:
نکته: برای نوشتن یوزرها و گروهها از CN استفاده میکنیم برای OU ها از ou و برای domian از یز استفاده میکنیم مثال بالا :

"cn=test1,ou=ACC,dc=iranvij,dc=ir"

دستور ساخت یوزر:

Dsadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir"jk

یوزر ساخته میشود اما غیر فعال است چون پسورد برایش تعیین نکردیمبرای این کار:

DSadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir " -pwd

بعد از تایپ pwd میتوانیم پسورد را وارد کنیم اما چون دیده میشود از نظر امنیت درست نیست پس برای مخفی وارد کردن پسورد بعد از pwd علامت * را تایپ میکنیم حالا پسورد را وارد میکنیم که نشان نمیدهد.
برای وارد کردن اسم کوچک و فامیلی یوزر میتوان به این طریق عمل کرد:

DSadd user "cn=test1,ou=ACC,dc=iranvij,dc=ir " -pwd -FN reza -LN rezai

که بعد از FN بعد از یک spase نام کوچک را وارد میکنیم و برای فامیلی هم بعد از LN سم را وارد میکنیم

فرم کلی ساختن یوزر به این شکل است:


dsadd user



Syntax

dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd **Password | ***] [-desc Description] [-memberof Group ...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:][-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd **yes | no**] [-canchpwd **yes | no**] [-reversiblepwd **yes | no**] [-pwdneverexpires **yes | no**] [-acctexpires NumberOfDays] [-disabled **yes | no**] [**-s Server | -d Domain**] [-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci**]

.منبع : iranvij


.

.

ساخت گروه با کامند در اکتیو دایرکتوری . ./

برای ساخت گروه ها نیز به ترتیب زیر عمل میکنیم:

گروهها به چند دسته تقسیم میشوند که برای ساخت باید نوع آن را نیز مشخص کنیم(به دلیل خارج شدن از موضوع از توضیح انواع گروهها در این تاپیک صرف نظر میکنم و فقط انواع آن را نشانتان میدهم)



برای مثال گروهی به نام ACC در ouای به نام SALES در ouای به نام Department در دامین iranvij.ir ایجاد میکنیم

Dsadd group
"CN=acc,OU=sales,OU=department,DC=iranvij,DC=i r" -secgrp no

در ساخت گروهها به صورت کامندی به صورت پیش فرض از نوع security و Global ساخته میشود که برای تغییر دادن آن از حالت security دستورsecgrp no را تایپ میکنیم

فرم کلی ساختن گروه به این شکل است:

dsadd group

Adds a single group to the directory.

Syntax

dsadd group GroupDN [-secgrp **yes | no**] [-scope **l | g | u**] [-samid SAMName] [-desc Description] [-memberof Group ...] [-members Member ...] [**-s Server | -d Domain**] [-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci**]

فرم کلی ساختن OU به این شکل است:

dsadd ou

Adds a single organizational unit (OU) to the directory.

Syntax

dsadd ou OrganizationalUnitDN [-desc Description] [**-s Server | -d Domain**][-u UserName] [-p **Password | ***] [-q] [**-uc | -uco | -uci **]

منبع : iranvij




.

.




حذف object در اکتیودایرکتوری . ./





DSRM این فرمان برای حذف یا پاک کردن objects ها در اکتیو دایرکتوری استفاده میشود . برای استفاده فرمان ?/ dsrm را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.


برای حذفش باید این فرمان روبنویسید

DSRM "CN=BANO,OU=USER ACCOUNT,DC=CONTOSO,DC=COM"M

DSRM همون فرمان حذف هست
BANU همون یوزرمون توی OU هست که اسم OU مون USER ACCOUNT هست
CONTOSO.COM همون دومین هست




.

.




انتقال و یا rename یک Object . ./


.

DSMOVE این فرمان برای جابجایی move یک شی single object به یک محل دیگر در یک domain و یا تغییر نام یک شی rename the object بدون جابجایی استفاده میشود . برای استفاده فرمان ?/ dsmove را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.


برای تغییر نام :

DSMOVE "CN=BANO,OU=ACCOUNT USSER,DC=CONTOSO,DC=COM" - NEWNAME "SARA" K

برای MOVE :از یک OU به OU دیگر :

DSMOVE "CN=BANO,OU=SALE,CN=CONTOSO,CN=COM"H"

NEWPARENT OU=MARKETING ,DC=CONTOSO,DC=COM

.

.




dsmod: برای مودیفای یا ویرایش کردن یک Object . ./



DSMOD این فرمان برای تغییر خواص modify properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users و servers ها که در اکتیو دایرکتوری موجود میباشند، استفاده میشود. برای استفاده فرمان ?/ dsmod objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان
:
?/ dsmod server




dsget: برای دیدن مشخصات یک Object . ./



DSGET این فرمان برای نشان دادن خواص properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users ، sites ها، subnets ها و servers ها که در اکتیو دایرکتوری ثبت شده اند registered استفاده میشود . برای استفاده فرمان ?/ dsget objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان
:
?/ dsget subnet





.

مفاهیم مربوط به DN, RDN , CN . ./

DN دقیقا مشابه یک مسیر برای اشیاء اکتیو دایرکتوری است. همانطور که با استفاده از مسیر c:texta.txt می تواند به فایل متنی رسید، DN یک روش مناسب تر برای رسیدن به اشیاء است.. هر شیء دارای یک DN یکتا خود است.

یک DN با شئ شروع می شود و به top level domain name ختم می شود. همانطور که پیش تر اشاره شد CN یا common name معرف شیئ است. OU معرف organizational unit است و DC معرف Domain Component.
قسمتی از DN که پیش از اولین OU است RDN یا relative distinguished name گفته می شود. از آنجایی که DN باید یکتا باشد RDN باید در دربرگیرنده (container) خود یکتا باشد.




منبع : ERFANTAHERI


.

.



جست و جو در خط فرمان با DSQUERY در کامند . ./


با استفاده از دستور dsquery می توانید به جستجو در اکتیو دایرکتوری بپردازید. مشابه سایر دستورات اکتیو دایرکتوری به صورت کامل مستند سازی شده و با استفاده از دستور ?/ dsquery می توانید اطلاعات کامل کسب کنید. به عنوان مثال برای جستجو یک کاربر از dsquery user استفاده می کنیم یا برای جستجو یک گروه از dsquery group و برای کامپیوتر از dsquery computer استفاده می کنیم. به عنوان مثال برای یافتن کاربر که نام او با erf شروع می شود دستور زیر را وارد می کنیم:

c:> dsquery user -name erf*

نتیجه جستجو چیزی مشابه زیر خواهد بود:

" CN=Erfan CN=Users,DC=contoso,dc=com"

چنانچه شیوه ی DN شیوه مطلوب شما برای مشاهده ی نتایج نیست می توانید از سوییچ o استفاده کنید. مثلا برای مشاهده logon name می توانید سوییچ o upn- را به دستور اضافه کنید. یا برای مشاهده نام کاربری مربوط به ویندوز قبل از ۲۰۰۰ سوییچ o samid- را اضافه کنید.



منبع : ERFANTAHERI



.

.

استفاده از CSVDE . ./



CSVDE یک ابزار خط فرمان است که با استفاده از آن می توان اطلاعات را از اکتیو دایرکتوری خارج یا به اکتیو دارکتوری وارد کرد. نوع فایل این ابزار می تواند به سادگی یک فایل متنی با شیوه نگارش صحیح باشد یا یک فایل CSV. می توان با استفاده از notepad یا Microsoft Office Excel نصب به ساخت این نوع فایل ها پرداخت. این دستور در اتوماتیک کردن فرآیند ساخت کاربران بسیار مهم و ساده است.

الگوی کلی دستور import کردن به صورت زیر است:

csvde [-i] [-f filename] [-k]

پارامتر i معین کننده عمل import یا درون ریزی است و پارامتر f مشخص کننده نام و آدرس فایل ورودی یا خروجی است. سوییچ k برای در نظر نگرفتن خطای ناشی از وجود نظیر است. در اینجا منظور از وجود نظیر، وجود یک ویژگی نظیر یا یا شیئ نظیر با همان DN است. در این شیوه دیتا با استفاده از ویرگول به جای tab جدا می شود و به نحوی جدا می شود که هر قسمت مربوط به یک ستون از دایرکتوری است.
استفاده از CSVDE ها ضمن سادگی دارای معایبی نیز می باشد به همین جهت استفاده از LDIFDE توصیه می شود.


و

Ldifte.exe و Csvde.exe دو تا ابزار export برای ایجاد object های اکتیو دایرکتوری هستند. برای پاک کردن فرمت اطلاعات موجود در فرمت LDIF یا CSV . آنها می توانند بر اساس مقصد دایرکتوری اطلاعات را export کنند، عضوی های OU و object کلاس هامثل کاربر و گروه و کامپیوتر.

این ابزارها می تونند مشخص کنند چه مشخصه و ویژگی export شود. گرچه این ابزار ها برای مشخصه های معین محدودیت های خودشون را دارند.انهاکمک برای مدیریت اکتیو دایرکتوری هستند چرا که زمانی اسکریپت آماده هم وجود دارد.ادمین توی یک زمان با استفاده از این ابزارها برای ورود و خروج (import and export) چندین کاریر می تونه زمان خودش را save کنه.



منبع : ERFANTAHERI


.