Windows Server Active Directory Configuration

[Azad/]

گروه های دامنه

گروه های دامنه بخشی از اکتیودایرکتوری هستند و می توانند در دامین ریشه جنگل ، در هر دامینی از جنگل و یا در یک OU ( ساختار سازمانی ) وجود داشته باشند. کامپیوتر ویندوز سرور 2008 ای که به عنوان دامین کنترولر ( DC ) استفاده می شود بصورت اتوماتیک گروه های پیش فرضی را در دامین ایجاد می کند. مدیریت گروه ها در دامین از طریق کنسول Active Directory Users and Computers انجام می شود. همانند گروه های محلی ، می توان گروه های جدیدی در دامین ایجاد کرد و یا به گروه های موجود در دامین ، عضو اضافه کرد.

گروه های دامنه پیش فرض

وقتی که اکتیودایرکتوری را در یک ویندوز سرور 2008 نصب می کنید و یک دامین کنترولر ایجاد می نمایید ، سیستم به صورت خودکار تعدادی گروه را ایجاد می کند. برخی از گروه ها در Container (حاوی) Built-in هستند و برخی دیگر از گروه ها در حاوی Users قرار دارند.

برخی از مهمترین گروه های واقع در حاوی Built-in به قرار زیر می باشد :

• Account Operators : اعضای این گروه می توانند به ایجاد، تغییر، و حذف اکانت های کاربران، گروه ها و کامپیوترهایی که در حاوی Users یا حاوی Computers و یا در OU قرار دارند(ولی نه در OUی توکار Domain Controllers )، بپردازند. اما اعضای این گروه نمی توانند گروه های Administrators یا Domain Admins ، و یا اکانت های اعضای این گروه ها را تغییر دهند. اعضای این گروه می توانند به صورت محلی به همه ی DC های دامنه وارد شوند و می توانند آن ها را خاموش کنند.

• Administrators : اعضای این گروه کنترل کاملی روی همه ی دامین کنترول های دامنه دارند. به طور پیش فرض اکانت Administrators و گروه های Domain Admins و Enterprise Admins ، عضو این گروه هستند.

• Backup Operators : اعضای این گروه می توانند به پشتیبان گیری و بازیابی فایل های همه ی دامین کنترول های دامنه بپردازند، صرف نظر از جوازهایی که روی آن فایل ها دارند. اعضای این گروه همچنین می توانند به همه ی دامین کنترول ها وارد شوند، و آن ها را خاموش نمایند.

• Guests : اعضای این گروه هیچ حق پیش فرضی ندارند. اکانت Guest (که به طور پیش فرض غیرفعال است) و همچنین گروه Domain Guest (واقع در حاوی Users) عضو این گروه هستند.

• Incoming Forest Trust Builders : این گروه فقط در دامنه ریشه جنگل ظاهر می شوند. اعضای این گروه می توانند رابطه اعتمادی جنگل یک طرفه ی ورودی ( One-way Incoming )را به دامنه ریشه ی جنگل ایجاد کنند.

• Print Operators : اعضای این گروه می توانند چاپگرهای دامنه را مدیریت کنند.

• Remote Desktop Users : اعضای این گروه می توانند با نرم افزار سرویس گیرنده ی Remote Desktop ، از راه دور به دامین کنترول های دامنه وارد شوند.

• Server Operators : اعضای این گروه، توانایی انجام این کارها را در DC ها دارند : ایجاد و حذف منابع اشتراکی - به کار انداختن و متوقف کردن برخی از سرویس ها - پشتیبان گیری و بازیابی فایل ها - فرمت کردن درایوها - خاموش کردن کامپیوتر

.

[Azad/]

Users : اعضای این گروه می توانند معمولترین کارها را انجام دهند( از قبیل اجرای برنامه ها، و استفاده از چاپگرهای محلی و شبکه ). به طور پش فرض گروه های Domain Users و Authenticated Users عضو این گروه هستند. ( این بدان معنی است که هر اکانت کاربری که در دامنه ایجاد می کنید به صورت اتوماتیک عضو گروه Users می شود ).

برخی از مهمترین گروه های واقع در حاوی Users به قرار زیر می باشد :

• Cert Publishers : اعضای این گروه می توانند به انتشار مجوز برای کاربران و کامپیوترها بپردازند.

• Domain Admins : اعضای این گروه کنترل کاملی روی دامنه دارند. به طور پیش فرض این گروه عضو گروه Administrators همه ی دامین کنترول ها، همه ی ایستگاه های کاری دامنه ، و همه ی سرویس دهنده های عضو دامنه است. اکانت Administrators به صورت اتوماتیک عضو این گروه می باشد، و شما نباید کاربران دیگر را به این گروه اضافه کنید مگر اینکه آن ها تجربه و مهارت کافی داشته باشند.

• Domain Computers : این گروه حاوی همه ی ایستگاه های کاری و سرویس دهنده های عضو دامنه است.

• Domain Controllers : این گروه حاوی همه ی کنترل کننده های دامنه است.

• Domain Users : این گروه حاوی همه ی کاربران دامنه است. به عبارت دیگر هر اکانت کاربری که در دامنه ایجاد می شود عضو این گروه است.

• Enterprise Admins : این گروه فقط در دامنه ی ریشه ی جنگل ظاهر می شود. اعظای آن کنترل کاملی روی همه ی دامنه های جنگل دارند، و این گروه عضو گروه Administrators همه ی دامین کنترول های جنگل است. به طور پیش فرض اکانت Administrator عضو این گروه است، و شما نباید کاربرانی که مهارت و تجربه کافی در زمینه مسائل شبکه ندارند را به این گروه اضافه کنید.

• Group Policy Creators Owners : اعضای این گروه می توانند سیاست های گروه را در دامنه تغییر دهند. به طور پش فرض اکانت Administrator عضو این گروه است، و شما باید فقط کاربرانی را به این گروه اضافه کنید که توانایی و دانش کافی در اعمال سیاست های گروه را دارا می باشند.

• Schema Admins : این گروه فقط در دامنه ریشه ی جنگل ظاهر می شود. اعظای این گروه می توانند شمای اکتیودایرکتوری در جنگل را تغییر دهند. به طور پش فرض اکانت Administrator عضو این گروه است، و فقط باید کاربرانی را به این گروه اضافه کنید که در زمینه کار با اکتیودایرکتوری مهارت دارند.

.

[Azad/]

.


گروه های خاص در دامنه

در دامین گروه هایی وجود دارد که نمی توانید آنها را کنسول اکتیودایرکتوری ببینید و یا اعضای آنها را مشاهده نموده و یا تغییر دهید. این گرو ها را فقط وقتی می توانید ببینید که می خواهید روی منابع شبکه مجوز قرار دهید . این گروه ها ، گروه های خاص نامیده می شود و ویندوز در شرایط خاصی از آنها برای نمایش کاربران مختلف استفاده می کند و عضویت در آنها موقتی و گذراست . برای نمونه گروه Everyone نماینده همه کاربرانی است که در حال حاضر در شبکه وارد شده اند. مهمترین گروه های خاص عبارتند از :

• Anonymous logon : کاربران و سرویس هایی را مشخص می کند که از طریق شبکه و بدون داشتن اسم اکانت و پسورد و یا اسم دامنه به یک کامپیوتر و منابع آن دست می یابند.

• Everyone : شامل همه کاربرانی است که در حال حاضر در شبکه هستند . از جمله کاربران مهمان و کاربران سایر دامین ها. هر کاربری که به شبکه وارد می شود به صورت خودکار عضو این گروه می گردد.

• Network : نماینده ی کاربرانی است که در حال حاضر از طریق شبکه (نه به صورت محلی و از طریق کامپیوتری که دارنده منبع است ) به یک منبع خاص دستیابی حاصل کرده اند. هر کاربری که از طریق شبکه به منبعی دست می یابد به صورت اتوماتیک عضو این گروه می شود.

• Interactive : شامل هر کاربری است که در حال حاضر به یک کامپیوتر خاص وارد شده و به یک منبع خاص آن کامپیوتر دستیابی حاصل کرده است. (متضاد Network ). هر کاربری که به صورت محلی کار می کند و به منبعی روی کامپیوتر دست می یابد به صورت اتوماتیک عضو گروه Interactive می شود.

.

[Azad/]

روش های اعطای مجوز به کاربران


از روش های مختلفی برای اعطای مجوز به کاربران به کمک گروه ها می توان استفاده نمود.


روش AGP: در این روش کاربران (Account ها) را در گروه های مختلف از نوع Global دسته بندی می کنند. این دسته بندی از نظر نوع کار و محل جغرافیایی کاربران انجام می شود. سپس مجوز (permission) لازم به گروه ها اعطا می شود.


از این روش در شبکه هایی که تعداد object ها زیاد نیست می توان استفاده کرد.




روش ADLP: در این روش کاربران (Account ها) را در گروه های مختلف از نوع Global دسته بندی می کنند. سپس گروه هایی از نوع Local Domain ایجاد کرده و به آنها مجوز (Permission) لازم را اعطا می کنند. حال تمامی گروه های Global که لازم است مجوزهای مربوط را داشته باشند، می توان به عضویت گروه های Local Domain در آورد.


از این روش در شبکه هایی که تعداد object های زیادی دارند و یاشبکه هایی که از چندین Domain تشکیل شده اند، استفاده می شود.






اکانت ها (Users و Computer) عضو

گروه های Global بر اساس نقش سازمانی (Roles) می شوند. این گروه ها عضو
گروه های Domain Local می شوند تا قواعد (Rules) و دسترسی ها روی ان گروه ها اعمال شود و یک گروه ها به
ACL ها اضافه می شوند.
در یک جنگل چند دامینی، گروه های Global عضو یک گروه Universal می شوند و گروه Universal عضو یک گروه Domain Local است تا در ACL قرار گیرد. همچنین کاربران می توانند در گروه Universal قرار گیرند.

همانطور که اشاره شد گروه های Global بر اساس Roles و گروه های Domain Local بر اساس Rules ساخته می شوند. درک تفاوت این دو بسیار مهم و قابل توجه است. به دلیل سطح دسترسی های متفاوت معمولا لازم است که برای یک منبع چند گروه Domain Local ساخته شود. البته بدیهی است در بسیاری از سناریو ها که تنها لازم یک گروه Global به یک منبع دسترسی داشته باشد از ساخت گروه Domain Local صرف نظر می شود. همچنین در منابع موقتی و کاربران کم در سازمان های کوچک، از ساخت Global Group ها صرف نظر می شود.

در تصویر زیر بر اساس بهترین استراتژی ساخت گروه ها و بر اساس Role های سازمانی و Rule های مدیریتی گروه ها ساخته شده است. در ابتدا بدون توجه به Rule های دسترسی، و با توجه به Role سازمانی کاربران هم کار (کاربرانی که در یک دپارتمان کار می کنند) در گروه های Global قرار می گیرند و برای تعیین Rule های دسترسی در گروه های Domain Local با پیشوند ACL_ قرار گرفته اند.










.

[Azad/]

delegate کردن



اکتیو دایرکتوری معمولا به عنوان یک سامانه مرکزی امنیتی و تعیین هویت توسط سازمان ها شناخته می شود که سبب کاهش هزینه های نگه داری و مدیریت ساده تر روی کاربران می شود. اما همواره برخی سازمان ها، به ویژه سازمان های کوچک و سازمان های با بروکراسی، با سوالاتی نظیر، اگر مدیریت غیر مرکزی در بخش ها مختلف لازم باشد، آیا مدیران هر بخش دسترسی به اندازه کافی محدودی دارند،
مدیریت روی یک شیئ موجود در data store اکتیو دایرکتوری فقط توسط مدیر موجه می تواند صورت گیرد و سوالاتی از این قبیل دارند

. برخی از مدیران شبکه برای این دسته از موضوعات به راهکار دامین های چند تایی روی می آورد. راهکار دامین های چند تایی با توجه به هزینه دار بودن و بسیاری موارد دیگر، اغلب راهکار مناسبی نیست. در طراحی های اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸ همواره می کوشیم تا از ایجاد دامین های چندتایی جلوگیری شود. این گونه سوالات همواره جوابشان نحوه Delegation است. همچنین بدیهی است تمام اعمال مدیریتی توسط مدیر هر بخش نمی تواند صورت گیرد و در بسیاری از مورارد همانند ریست کردن پسورد های فراموش شده لازم است به پشتیبانی محول گردد

. Delegation به این معنا است که یک مدیر بالاتر، یک کاربر دیگر را قادر می سازد تا برخی از توانایی های مدیریتی خود را انجام دهد. ساختار اکتیو دایرکتوری یک ساختار سلسه مراتبی است. ابتدا در سطح ساختار جنگل و دامین ها، سایت ها و سپس در سطح واحد های سازمانی (OU). این ساختار سلسه مراتبی علاوه بر تمام ویژگی هایی که ایجاد می کند، قابلیت های قدرتمندی برای تنظیم مجوز های دسترسی و Delegation فعالیت های مدیریتی ایجاد می کند. وظایف مدیریتی در اکتیو دایرکتوری شامل دو دسته هستند که در جدول زیر آمده است:

دسته

وظایف

Data mangement

Account mangement
Security Group mangement
Resource mangement
Group Policy mangement
Application Specific Data mangement

Service mangement

Trust mangement
Directory Data Store mangement
Schema mangement
Operation Master Roles mangement
Backup & Restore mangement
Replication mangement


Security Policy mangement

دسترسی به اشیاء در اکتیو دایرکتوری

زمانی که کاربر در محیط اکتیو دایرکتوری Logon می کند، یک Token دسترسی دریافت می کند که شامل SID شیئ User Account او است. همچنین این Token شامل SID تمام Security Group هایی که کاربر در آن عضو است می باشد. هر Object دارای یک Security Descriptor است که شامل اجزای زیر است:

Obejct Owner: به صورت پیش فرض Creator شیئ Owner آن است. تا زمانی که Take Ownership روی شیئ صورت نگرفته باشد، SID اکانت مربوطه در این فیلد قرار دارد.
Primary Group: این اطلاعات فقط توسط POSIX یا Portable Operating System Interface for Unix استفاده می شود و شامل Primary Group مالک است.
DACL: لیستی از ACE ها که جهت کنترل دسترسی به کار می رود.
SACL: لیستی که سیاست های بازبینی (Auditing) را معین می کند.



تصویر ۱-۱: ارتباط User Access Token و Object Security Descriptor

یادآوری: ACE کوتاه شده ی Access Controll Entery و ACL کوتاه شده Access Controll List است. جهت اطلاعات بیشتر و نحوه محاسبه مجوز های موثر به مجوز های NTFS مراجعه شود.

برای هر شیئ در اکتیو دایرکتوری یک لیست کنترل دسترسی وجود دارد. به عبارت دیگر، در هر یک از ابزار ها که اشیاء قابل دسترسی باشند این مجوز ها اعمال می شوند. هر چند متداول ترین ابزار برای تنظیم مجوز ها کنسول Active Directory Users & Computers است، اما از هر ابزار دیگر همانند ldp.exe یا ADSI Edit نیز اعمال می شوند. در اینجا از همان ابزار متداول Active Directory Users & Computers و سپس ldp استفاده می کنیم.



در کنسول Active Directory Users & Computers از منوی View گزینه Advanced Features را Checked می کنیم.
روی شیئ مورد نظر Right click کرده و Properties را کلیک می کنیم.
در tab (زبانه) Security لیست ACL را مشاهده می کنیم. در اینجا مشابه مجوز های NTFS به اعمال مجوز ها می پردازیم. با توجه به نوع شیئ مجوز های مختلفی قابل اعمال هستند.





.

[Azad/]

مدیریت کامپیوتر ها

کامپیوتر ها در اکتیو دایرکتوری هستند. کامپیوتر ها همانند کاربران دارای اکانت هستند. این اکانت ها مشابه اکانت های کاربران دارای Username و Password است. Password اکانت های کامپیوتر به صورت پیش فرض هر ۳۰ روز یک بار توسط خود ویندوز تعویض می شود. بعضی وقت ها کامپیوتر ها هم دچار فراموشی Password خود می شوند. مدیریت کامپیوتر ها، چه وسیله سخت افزاری و چه اکانت در AD جزء کار های روزمره ی تمام مدیران شبکه است. اضافه شدن کامپیوتر جدید، تغییر کامپیوتر دو کاربر و… مواردی هستند که ساعات کاری مدیران شبکه را پر می کنند.



پیش از آنکه یک user بتواند از طریق یک کامپیوتر به دامین logon کند باید آن کامپیوتر متعلق دامین باشد. (فعلا چنین تصور می کنیم) برای ملحق شدن یک کامپیوتر به دامین باید کامپیوتر دارای اکانتی باشد که دقیقا مشابه اکانت کاربران دارای SID منحصر به فرد خود است. آن اکانت باعث می شود تا کامپیوتر تعیین هویت گردد و مشخص گردد که آن کامپیوتر جزئی از شبکه است. زمانی که یک کامپیوتر عضو شبکه Domain می شود، وظیفه تعیین هویت کاربران را به دامین محول می کند. هرچند که با استفاده از SAM مثل سابق امکان Logon کردن به کامپیوتر local وجود دارد. به عبارت بهتر، یک ارتباط Trust بین هر کامپیوتر عضو دامین با دامینش وجود دارد که زمانی که کامپیوتر عضو دامین می شود ایجاد می شود. هر چند که رابطه Trust بیشتر بین دو دامین بحث می شود، اما این ارتباط نیز، از نوع ارتباط Trust است

[Azad/]

Computer Container


اکانت های کامپیوتر به طور پیش فرض در یک Container به نام Computers با آدرس (…,CN=Computers) قرار می گیرند. این Container یک OU نیست! بنابراین نمی توانید در آن یک OU بسازید یا یک Group Policy Object را به آن Link کنید. بنابراین اکیدا توصیه می شود از OU ها برای مدیریت کامپیوتر ها استفاده کنید. اغلب از حداقل دو OU مختلف استفاده می شود. یک OU برای Server ها و دیگری برای کامپیوتر های کلاینت. البته با توجه به معماری شبکه اگر لایه دسترسی از راه دور وجود داشته باشد، در نظر گرفتن یک OU دیگر کاملا دید صحیحی است. از لحاظ تکنیکال اکانت هایی که در این دو OU قرار می گیرند، مشابه هم هستند اما از لحاظ مدیریتی می توان مدیریت بهتری انجام داد.گاهی اوقات، OU ها را بر اساس ساختار سازمانی می سازند و اکانت های کامپیوتر را در آن همان OU ها قرار می دهند. این روش هم روش صحیحی می تواند باشد. همچنین به عنوان مثال ایجاد دو OU به نام های Desktops و لب تاپ ها در OU مربوط به Cleints می تواند ایده ی خوبی باشد.


به صورت پیش فرض کاربران عضو گروه های Enterprise Admins، Domain Admins ، Administrators ، Account Operators می توانند اکانت های کامپیوتر را در هر OU بسازن

د. اعضای سه گروه اول را کاملا محدود کنید و Administrators را در گروه Account Operators اضافه نکنید. برای آنکه کاربرانی بتوانند اکانت کامپیوتر بسازند در OU مورد نظر از روش Delegation استفاده کنید. مسئله قابل توجهی که در اینجا صورت می گیرد این است که ویندوز مدیران شبکه را مجبور نمی کند از بهترین روش ملحق کردن کامپیوتر ها به دامین استفاده کنند. بهترین روش آن است که ابتدا یک اکانت کامپیوتر ساخته شود و سپس کامپیوتر ملحق شود. در این صورت کامپیوتر به جای ساختن یک اکانت در زمان ملحق شدن از آن اکانت ساخته شده استفاده می کند. حال اگر قبل از ملحق شدن، یک اکانت برای کامپیوتر نساخته باشیم، به صورت خودکار یک اکانت در Container مربوط به Computers اضافه می شود زیرا به صورت پیش فرض ویندوز اکانت ها را در آن Container می سازد. مسئله ی ایجاد شده آن است که تا زمانی که کامپیوتر ملحق شده به دامین را به OU مناسب منتقل نکرده باشیم، Group Policy اعمال شده در آن، به آن کامپیوتر اعمال نمی شود. بهترین راه حل آن است که Container ای که به صورت پیش فرض اکانت های کامپیوتر در آن ساخته می شود را تغییر دهیم. برای این منظور از دستور زیر استفاده می کنیم:

redircmp “DN مربوط به OU مورد نظر”

راه حل نا مناسبی هم وجود دارد که Default Domain Policy را ویرایش کرده و به نحو مورد نظر در آورد. به هر صورت استفاده از روش ساختن کامپیوتر اکانت ها پیش از ملحق شدن به مزایای بسیاری دارد که اغلب مدیران شبکه فقط از این روش استفاده می کنند. به عنوان مثال در Windows Deployment Services می توان تعیین کرد که تنها به کلاینت های prestaged شده پاسخ گو باشد.




.

[Azad/]

.


محدود کردن توانایی کاربران در ساخت کامپیوتر



این موضوع برای امنیت شبکه امر بسیار مهمی به شمار می رود. این نکته توسط برخی مدیران شبکه نادیده گرفته می شود و امنیت شبکه را به مخاطره می اندازد. به صورت پیش فرض هر کاربر در اکتیو دایرکتوری می تواند ۱۰ اکانت کامپیوتر بسازد. البته در خصوص کاربران گروه Domain Admins و گروه های با دسترسی بالاتر، این محدودیت وجود ندارد. این امر در ساده سازی فعالیت های مدیریتی مزایایی را دارد اما با این حال در برخی از طراحی های امنیتی لازم است تا کاربران نتوانند کامپیوتری را عضو دامین کنند. محدودیت ۱۰ کاربر می تواند از طریق ویرایشگر ADSI تغییر کند. برای این منظور لازم است تا ms-DS-MachineAccountQuota را تغییر دهید.

برای اینکه کاربران نتوانند کامپیوتری را به دامین ملحق کنند، مقدار ۰ را وارد کنید. راه حل مناسب دیگر تغییر User Rights Assignment در Group Policy است. به صورت پیش فرض در سیاست Add workstations to domain گروه Auhtenticated Users قرار دارد. در اینجا می توانند کاربران و گروه هایی که می خواهید توانایی انجام این کار را داشته باشند معین می کنید. البته تغییر این سیاست با توجه به ویرایشی که مقدار ms-DS-MachineAccountQuota انجام شد لزومی ندارد. با انجام این ویرایش می توان اطمینان داشت تنها کاربرانی که به آن ها Delegate شده می توانند کامپیوتری را به دامین ملحق کنند.




.




.

[Azad/]

.


ملحق شدن کامپیوتر به دامین


تنها Local Administrators به صورت پیش فرض می توانند در عضویت کامپیوتر تغییری ایجاد کنند. در System Properites در زبانه ی Computer Name دکمه Change را زده و Radio Buttom را در حالت Domain قرار داده و نام دامین مورد نظر را وارد می کنیم. توجه داشته باشید برای این منظور باید در DNS مشکلی وجود نداشته باشد. با استفاده از دستور netdom می توان نیز یک کامپیوتر را عضو یک دامین کرد.


netdom join {/d: | /domain:} [/ou:] [{/ud: | /userd:}[] [{/pd: | /passwordd:}{|*}]] [{/uo: | /usero} [{/po: | /passwordo}{|*}] [/reboot[:,Delay>]] [/help | /?]


برای استفاده از روش فوق لازم است دامین کنترلر Online باشد. در Windows Server 2008 R2 و Windows 7 این امکان وجود دارد که در صورت offilne بودن، عملیات join شدن به دامین صورت گیرد.همچنین مکانیسم دیگری وجود دارد تا از طریق Read-Only Domain Controller ها به دامین ملحق شد. برای اطلاعات بیشتر به اینجا (Microsoft TechNet) مراجعه کنید. جهت اتوماتیک کردن فرآیند ساخت کامپیوتر اکانت ها می توان از روش های متداول همانند CSVDE و LDIFDE و دستوارت PowerShell و دستور DsAdd و حتی VBScritp استفاده کرد که در آینده بررسی می شوند.




.

[Azad/]

.






Join کردن یک کامپیوتر به domain


برای اینکه بتوانیم کلاینتی را join به domain کنیم باید چه شرایطی را داشته باشیم؟
• باید تنظیمات tcp/ip کلاینت را انجام دهیم. برای این کار ابتدا در قسمت run تایپ می کنیم

ncpa.cpl












در صفحه ای که بازمی شود در آن صفحه بر روی کارت شبکه کلیک راست کرده و گزینه ی properties را انتخاب می کنیم.









پس از انتخاب کردن properties در صفحه ای که باز می شود گزینه ی internet protocol version 4 (tcp/ipv4) را انتخاب می کنیم.












با انتخاب کردن internet protocol version4 صفحه ای باز می شود که در آن صفحه باید تنظیمات tcp/ip را انجام داد.











در این قسمت باید ip که می خواهیم بر روی کامپیوتر set شود را وارد کرده سپس subnetmask را وارد کنیم اگر default gateway داریم در این قسمت وارد می کنیم و اگر هم نداریم این قسمت را خالی می گذاریم سپس در قسمت
Preferred dns server باید ip server را بگذاریم قسمت alternate dns برای این است که اگر dns اصلی از کار بیافتد یک dns دیگر نیز داشته باشیم که بتوانیم از آن استفاده کنیم. در واقع ip که می خواهیم بدهیم باید در یک netid با server باشد یا اینکه باید routing داشته باشیم. در مرحله ی بعدی باید بر روی computer کلیک راست کرده و سپس گزینه ی properties را انتخاب کنیم.










سپس در صفحه ای که باز می شود باید گزینه ی change setting را انتخاب کرد.









سپس در صفحه ای که باز می شود گزینه ی change را انتخاب می کنیم.











در صفحه ای که باز می شود باید تنظیمات مربوط به join شدن به domain انجام شود از ما اسم domain را می خواهد پس چون اسم می خواهد باید تنظیمات روی آن set شده باشد



.






در این صفحه در قسمت domain باید نام domain را که می خواهیم به آن join شویم را وارد کرده و در قسمت computer name نیز همان نام کامپیوتری که می خواهد به دامین join شود مشخص می شود. سپس گزینه ی ok را انتخاب می کنیم.

با زدن گزینه ی ok. کامپیوتر اول میرود سراغ dns کلاینت از dns می پرسد دنبال سرویس active directory هستم و اسم domain من wikipg.com است و سرویس active برای wikipg.com کجا ثبت شده است؟ در این قسمت dns می رود سراغ ntds.ditدر مرحله ی دوم dns جواب می دهد که برو سراغ 192.168.1.6 و این پاسخ را از روی رکورد هایی که برایش ثبت شده است می گوید. در مرحله ی سوم کلاینت سراغ active directory می رود در این قسمت برای کلاینت یک صفحه باز می شود یعنی آن را authorize کن یعنی user و بده که داخل شبکه ی من authorize باشد. پس باید قبل از اینکه join به domain شوید به ازای هر کلاینت یک user بسازید.اما چون هنوز طریقه ی ساختن user آموزش داده نشده است می توان همان username و password برای administrator را در domain وارد کرد.

در این مرحله اگر authentication مورد قبول بود به مرحله ی بعدی می رود.با هر user می توان join به domain را انجام داد اما administrator یک ویژگی دارد و این است که می تواند به صورت بی نهایت join به domain انجام دهد