مدیریت های اولیه در AD DS
تذکر در خواندن این مطلب : پیش از خواندن این بخش، خواننده لازم است با Microsoft Management Console یا به اختصار MMC آشنایی داشته باشد. همچنین لازم است با مفاهیم اولیه Users ، Computers و Groups آشنایی داشته باشد. ممکن است برخی از موارد در مطلب پوشش داده شده باشد اما صرفا جهت یادآوری ذکر شده اند و چنانچه خواننده با موارد ذکر شده آشنایی کافی نداشته باشد ممکن است با شبهاتی مواجه گردد.
آشنایی با Snap-in های اکتیو دایرکتوری
اکثریت قابل توجه عمل های مدیریتی توسط کنسول های زیر در مدیریت AD DS صورت می گیرد:
- Active Directory Users and Computers : این کنسول، کنسولی است که کارهای روزانه مدیریتی در آن صورت می گیرد. مدیریت اشیاء همچون User، Group و Comptuers در این کنسول صورت می گیرد و می توان گفت حجیم ترین اعمال مدیریتی در این کنسول صورت خواهد گرفت. تمام مدیران شبکه معمولا بر این کنسول تسلط دارند.
- Active Directory Sites and Services : مدیریت Replication ، Network Topology و سرویس های مرتبط با آن ها در این کنسول صورت می گیرد.
- Active Directory Domians and Trusts : مدیریت Domain Functional level و ارتباطات Trust و سایر موارد مرتبط در این کنسول صورت می گیرد.
- Active Directory Schema : بررسی و ویرایش مشخصات کلاس های اشیاء و ویژگی های آن ها در این کنسول صورت می گیرد.
در زمان نصب Active Directory کنسول های فوق در Administrative Tools نصب می گردند. در Core Server توجه داشته باشید توصیه می شود به مدیریت از راه دور بپردازید و استفاده از ابزار Remote Administration می تواند نقش مهمی در کمک به مدیریت از راه دور داشته باشد. می توانید کنسول های مورد نظر خود را در MMC همان گونه که می پسندید آماده کنید. با این حال دو Snap-in که استفاده بیشتری دارند در Server Manager زمانی که AD DS نصب شود قابل دسترسی خواهد بود. Snap-in های Active Directory Users and Computers و Active Directory Sites and Services. جهت مدیریت اکتیو دایرکتوری از راه دور همچنین می توانید از RSAT که روی کلاینت های Windows Vista SP1 به بعد قابل نصب است استفاده کنید. همچنین برای Window Server 2008 R2 استفاده از Active Directory Administration Center بسیار کمک کننده و راحت است. به هر صورت توانایی کار با تمام ابزار های ذکر شده در این قسمت برای هر مدیر شبکه ای لازم است. در اینجا فرض می شود، خواننده با کار عملی در این قسمت می تواند مهارت های لازم را به دست آورد از توضیحات مربوطه صرف نظر می گردد.
تصویر 1: Active Directory Administrative Centers
جهت دسترسی به کنسول های فوق راه های مختلفی در دسترس است. یکی از ساده ترین آن ها مراجعه به Administrative Tools موجود در Control Panel است. به مرور زمان با راه های متفاوتی آشنا خواهیم شد. برای دسترسی ساده تر به Administrative Tools می توانید نمایش دادن آن را در Start Menu در Taskbar and Start Menu تنظیم کنید.
در ادامه به ساخت اشیاء اولیه ای که جهت مدیریت لازم اند پرداخته می شود.
ساخت یک Organizational Unit
OU ها Container های مدیریتی در اکتیو دایرکتوری هستند که برای جمع آوری کردن اشیایی که دارای الزامات مشترکی هستند به کار می روند. پیش تر در خصوص مفهوم OU بحث شد اما زمانی که در آینده با کاربرد های OU و سپس با نحوه طراحی OU آشنا شوید موضوع OU ها روشن تر خواهد شد. فعلا چنین تصور می کنیم،همانند Folder ها که برای مدیریت ساده تر روی فایل ها استفاده می شوند، OU ها برای مدیریت ساده تر در یک ساختار سلسله یافته روی برخی اشیاء موجود در اکتیو دایرکتوری به کار می روند. در اینجا لغت مدیریتی بسیار مهم است چرا که عضو یک OU بودن بدون هیچ اقدام مدیریتی روی OU هیچ حق یا دسترسی خاصی را برای شیئ ایجاد نخواهد کرد. برای ساخت یک OU به صورت زیر عمل می کنیم.
1. به کنسول Active Directory Users and Computers رفته و روی گره نام دامین (Domain Node) در ساختار درختی کلیک راست کرده.
2. از منوی New گزینه New را انتخاب کرده و Organizational Unit را انتخاب می کنیم.
3. نام OU مورد نظر را انتخاب می کنیم. اکیدا توصیه می شود از اسامی با معنا و بر اساس چارت سازمانی سازمان مطبوع استفاده گردد. ممکن است طراحی OU ها تطبیق دقیقی با چارت سازمانی نداشته باشد، در این شرایط نیز توصیه می شود مربوط ترین نام ممکن را انتخاب کنید.
4. روی OK کلیک کنید و OU مورد نظر ساخته می شود. برای تنظیم موارد مرتبط روی OU ساخته شده کلیک راست کرده و properties را بزنید. اکنون می توانید موارد مختلفی را تنظیم کنید.
5. می توانید در یک OU یک یا چند OU دیگر بسازید. برای این منظور روی OU مطلوب کلیک راست کرده و 2 تا 4 را انجام دهید. توجه داشته باشید که امکان انتقال با Drag & Drop موجود است.
تصویر 2: منوی New
در ابزار های مدیریتی Window Server 2008 یک ویژگی جدید به نام Protect Container From Accidental Deletioan اضافه شده است.. این ویژگی که بسیار قابل توجه است، در اینجا سبب می شود تا دو Permission جدید به OU ها اضافه شود. این مجوز ها به این شرح اند:
1. Everyone::Deny::Delete
2. Everyone::Deny::Delete Subtree
و این به معنای این است که هیچ مدیری نمی تواند به صورت تصادفی یک OU را حدف کند. اکیدا توصیه می شود از این ویژگی در تمام OU ها استفاده شود و از غیر فعال نمودن همیشگی آن اکیدا خودداری شود هر چند شاید چندان خوش آمد نباشد.
برای حذف یا هر عملی که موجب حذف شدن OU می شود همانند انتقال باید:
1. در کنسول Active Directory Users and Computers از منوی View گزینه Advanced Features را فعال کنید و روی OU مورد نظر کلیک راست کنید.
2. در زبانه ی Object چک باکس Protect Object from Accidental Deletion بدون چک کنید.
3. پس از اقدامات مدیریتی لازم دوباره گزینه را چک بزنید.
تصویر 3: ویژگی protect Object from accidental deletion
ساخت یک شیئ User
مهمترین و ابتدایی ترین شیئ که پس از نصب اکتیو دایرکتوری مورد بررسی قرار می گیرد، User یا کاربر است. هر چند دومین قدم در مراحل عملیاتی سازی محیط اکتیو دایرکتوری و حتی شاید مدیریت کاربران نباشد. برای مدیریت محیط اکتیو دایرکتوری از کنسول ها و Snap-in های متعددی استفاده می شود. کنسولی که بیشترین استفاده روزانه را دارد و بیشترین حجم کاری مدیر شبکه روی آن کنسول اتفاق می افتد کنسولی به نام Active Directory Users and Computers است که از طریق MMC یا روش های مشابه می توانید به آن دسترسی پیدا کنید. برای باز کردن کنسول در یک روش ساده می توانید روی DC در run وارد کنید dsa.mcs. چنانچه از Core Server استفاده می کنید، توصیه می شود به صورت remote به DC متصل شده و به مدیریت بپردازید هر چند که در آینده روش افزودن یک user از روی خط فرمان مورد بررسی قرار می گیرد.
برای شروع در ساده ترین گام های ممکن اقدام به ساخت یک کاربر جدید می کنیم.
1. در Administrative Tools در Control Panel کنسول Active Directory Users and Computers را باز کنید.
2. در نوار سمت چپ، روی نام دامین مثلا Contoso.com دابل کلیک کنید تا ساختار درختی آن باز شود.
3. روی Users کلیک کرده تا User های موجود را مشاهده کنید.
4. برای ساخت یک کاربر جدید روی Users کلیک راست کرده و New > New User را بزنید.
5. در ویزارد باز شده با توجه به موارد زیر فیلد ها را پر کنید.
- در واقع فیلد Initials مربوط به نام وسط می شود.
- نام کامل برای ویرایش آسان تر است و در واقع CN کاربر است. این قسمت در کنسول نمایش داده می شود. باید در دربرگیرنده ی خود یکتا باشد. به عنوان مثال تنها یک کاربر با نام کامل معین می تواند در یک OU باشد. در تشابهات اسمی می توانید نام کامل را به نحوی ویرایش کنید که بتوانند هر دو کاربر ساخته شوند.
- در قسمت logon name نامی که کاربر باید با آن وارد سیستم شود را معین می کنید و با استفاده از لیست drop-down پسوند UPN را که در ادامه ی نام انتخابی شما می آید را انتخاب می کنید. این پسوند با استفاده از کاراکتر “@” به بقیه نام متصل می شود. در اکتیو دایرکتوری شما می توانید از کارکتر هایی همانند – یا ‘ برای logon name استفاده کنید اما در بسیاری از نرم افزار ها محدودیت کارکتر های خاص بیشتر است بنابراین توصیه می شود از کارکتر های خاص استفاده نکنید.
- لیست پسوند های UPN می تواند از طریق کنسول Active Directory Domains & Trusts قابل تعیین است که در اینجا مورد بحث قرار نمی گیرند اما نام DNS دامین همیشه در دسترس قرار دارد و نمی توان را حذف کرد.
- در قسمت logon name ویندوز های قبل 2000 محدودیت تعداد کارکتر بیشتر است و بعدا در این خصوص توضیح داده خواهد شد.
6. next را بزنید و در مرحله بعدی کلمه عبور اولیه و تنظیمات ساده ای را می توان انجام داد.
- اکیدا توصیه می شود به علت پیگیری های وقایع و یافتن عامل خطا های انسانی، کلمه عبور یکسانی برای کاربران در حال ساخت تعیین نکنید و گزینه user must change password at next logon را فعال کنید تا کاربر با تعویض کلمه عبور خود، مسئولیت فعالیت های خود را نتواند به دپارتمان IT یا مدیر شبکه حواله کند.
- پسورد اولیه باید شرایط تعیین شده در Group Policy را دارا باشد به صورت پیش فرض باید دارای Complexity باشد که دارای شرایط زیر است
آ. بیش از 7 کاراکتر یا 7 کاراکتر
ب. باید شامل سه یا چهار نوع (دسته) کاراکتر متفاوت باشد؛ شامل حروف کوچک، حروف بزرگ، اعداد و کارکتر های غیر الفبایی همانند – % # ! $
ج. نمی تواند شامل هیچ کدام از نام ها یا logon name ها باشد
7. Next را بزنید و اطلاعات وارد شده را بازبینی کنید. در صورتی که اشکالی موجود نبود Finish را بزنید.
8. با کلیک راست کردن روی User ساخته شده می توان موارد متعددی را ویرایش کرد که در آینده مورد بررسی قرارمی گیرند.
تصویر 4: User Properties
ساخت یک شیئ Group
گروه ها کلاس مهمی از اشیاء اکتیو دایرکتوری هستند. گروه های Container هایی هستند که برای جمع آوری کاربران استفاده می شوند. به این طریق، به جای مدیریت مستقیم روی کاربران، به مدیریت روی گروه ها می پردازیم. یکی از موارد پر کاربرد می تواند مجوز های دسترسی به Shared Folder ها باشد. برای ساخت گروه:
1. کنسول Active Directory User and Computers را باز کنید و به Container مورد نظر خود مثلا OU مربوطه رفته و کلیک راست کنید.
2. در منوی New گزینه group را بزنید. سپس در پنجره New Object – Group ابتدا نام گروه را وارد کنید. توجه داشته باشید اکثر سازمان ها رویه خاصی برای نام گذاری گروه ها دارند که باید از آن رویه پیروی کنید. اکیدا توصیه می شود نام گروه در pre-windows2000 را تغییر ندهید و همان نام پیش فرض که مطابق نام گروه است رها کنید.
3. برای تعیین نوع گروه در نظر داشته باشید:
الف: گروه Security : گروه هایی هستند که برای اهدای مجوز های لازم به کاربر به کار می روند. از این گروه همچنین می توان به عنوان لیستی جهت E_mail استفاده کرد.
ب: گروه Distribution : گروه هایی هستند که صرفا برای لیستی جهت E_mail به کار روند و نمی توان هیچ مجوز دسترسی خاصی برای آن ها استفاده کرد.
4. برای تعیین حوزه گروه در نظر داشته باشید:
الف: Domain Local : گروهی است که معرف و شامل کاربران و گروه هایی است که دسترسی یکسانی به یک یا چند منبع نیاز دارند.. به عنوان مثال گروهی که باید بتواند نتایج یک پروژه را ویرایش کند.
ب: Global : گروهی است که معرف و شامل کاربران و گروه هایی است که بر اساس موضوعی همانند نوع کار، موقعیت و موارد مشابه اشتراک دارند.
ج: Universal : گروهی است که می تواند شامل کاربران و گروه هایی از دامین های مختلف باشد.
توجه داشته باشید که Group Scope در آینده به تفصیل بررسی می شود. همچنین توجه داشته باشید در دامین هایی که Functional Level آن ها Mixed یا Interim است تنها می توانید گروه Domain Local یا Global برای Security Group بسازید.
5. OK را بزنید و سپس با راست کلیک روی Group ساخته شده می توانید موارد بیشتری را در تکمیل کنید. توجه داشته باشید که Description از آنجایی که به صورت پیش فرض در کنسول نمایش داده می شود امکان مناسبی برای توضیح در خصوص گروه، دلایل یا شرایط گروه است.
تصویر 5: Group Properties
ساخت یک شیئ Computer
کامپیوتر ها در اکتیو دایرکتوری مشابه کاربر ها دارای یک اکانت هستند. در واقع کامپیوتر ها هم در اکتیو دایرکتوری همان طوری که یک کاربر logon می کند، logon می کنند. در آینده در خصوص اکانت های کامپیوتر بسیار خواهیم آموخت اما در اینجا برای ساخت یک اکانت کامپیوتر:
1. در کنسول Active Directory Users and Computers روی گره Computer یا گره مورد نظر همانند OU، در ساختار درختی کلیک راست کنید و گزینه New و سپس Computer را بزنید.
2. در قسمت Computer Name نام کامپیوتر را وارد کنید. اکیدا توصیه می شود نام Pre-2000 را تغییر ندهید.
3. در قسمت user or group باید کاربر یا گروهی که می تواند کامپیوتر را عضو دامین کند را انتخاب کنید. معمولا باید Support Team انتخاب شود. می توان کاربری که کامپیوتر به او اختصاص دارد را انتخاب کرد. در آینده در خصوص راهکار های عضویت کامپیوتر ها در دامین بحث خواهد شد.
4. چک باکس Assign this computer account as a pre-windows 2000 computer را چک نزنید مگر آنکه سیستم عامل کلاینت ویندوز NT 4.0 یا قبل از آن باشد.
5. پس از ایجاد می توانید درproperties مربوطه گزینه های بیشتری را تکمیل نمایید. توجه داشته باشید که پس آنکه کامپیوتر عضو دامین شد، اطلاعاتی نظیر DNS name یا سیستم عامل به صورت خودکار تکمیل می شوند و قابل ویرایش نیستند.
تصویر 6: ساخت یک اکانت کامپیوتر جدید
این وبلاگ به دور از هر گونه حاشیه تنها به مباحث فناوری اطلاعات و ارتباطات می پردازد. برخی مطالب به عنوان نکات قابل توجه از سایتهای دیگر در این وبلاگ درج میشود که حتما از نویسنده اصلی با ذکر منبع تقدیر و تشکر خواهد شد.