آموزش active directory

آموزش active directory

آموزش اکتیو دایرکتوری

active directory چیست

مایکروسافت سال های زیادی است که جزءمحبوبترین  و پرکاربردترین سیستم عامل های دنیا شناخته شده به واسطه ی کاربر پسندبودن آن و همچنین محیط Graphical User Interface روان و ساده ای که داره باعث شده کاربران بسیار زیادی را به سمت خودش جذب میکنه در سازمان و در شرکت های خصوصی و دولتی و همچنین کاربران خانگی محبوبیت بسیار زیادی پیدا کرده بواسطه ی ساده بودن و کارابودن آن.مایکروسافت سرویس های بسیار زیادی را در شبکه ساپورت میکنه وباعث شده در شبکه تمامی نیازهای یک سیستم عامل شبکه ای را برای ما برطرف کند.مایکروسافت از پشته ی پروتکلی TCP/IP درجهت ارتباطات شبکه ای استفاده میکند.

تفاوت شبکه های Domain و Workgroup

اگربخواهیم شبکه رااز نظر مدیریت  تقسیم بندی کنیم شبکه به دو نوع شبکه ی (peer to peer)WORKGROUP و DOMAINتقسیم می شود.نوع Connectify آن ها میتونه هرچیزی باشه شما میتونید شبکه های استار شبکه های وایرلس شبکه های فیبرنوری و…تمام این شبکه هارا میتوان از یکی از این دو نمونه ی Domain و Workgroup را تشکیل بدهیم.نوع توپولوژی مهم نیست و فقط نحوه ی مدیریت شبکه برای ما مدنظر است.شبکه ی Workgroup شبکه ای که حداقل سیستم عاملی که بر روی کامپیوترها نصب کردیم از نوع سیستم عامل های کلاینتی شرکت مایکروسافت باشه .سیستم عامل های کلاینتی مایکروسافت سیستم عامل هایی هستن که سرویس گیرنده هستن . سیستم عامل های مایکروسافتی از نوع کلاینت حالت ویندوز۹۵, ۹۸,ویندوزXP ,ویندوز ملنیوم ,ویستا,۷,۸, ,۸٫۱۱۰ است.تمام این ویندوز ها درخانواده ی کلاینتی ها گذاشته میشوند. در شبکه ی Workgroup حداقل یکی ازاین سیستم هارا بر روی هر کامپیوتری نصب کرده باشیدتا بتوانید شبکه ی  Workgroup را تشکیل بدهید.

شبکه ی Domain شبکه ای هست که حداقل یک سیستم عامل سروری برروی آن نصب باشدو برروی سیستم عامل سرورباید سرویس اکتیو دایرکتوری نصب کرده باشیم.و بقیه کامپیوترهای ما در شبکه میتوانند سرورباشن یا حتی ویندوزهای کلاینتی باشندباید عضو اکتیودایرکتوری شده باشند.درسازمان ها و شرکت های کوچیک حتی خانه ها ازشبکه ی SOHO استفاده می شودکه مخفف Small Office/Home Office  است . شبکه ی Workgroup هزینه ی بسیارپایینی دارن و مدیریت آن ها در تعدادکم کامپیوترها ساده تر از شبکه Domain است. اگرتعدادکامپیوترها زیاد باشن مسلما شبکه ی Domain از نظر مدیریت نسبت به Workgroup برنده است.علت گران قیمت بودن شبکه Domain وجود سیستم عامل سرور است که قیمت لایسنس آن و کاربرهایی که باید عضو آن شوند لایسنس ها را گران میکندهمچنین نگهداری آن و استخدام نیروی متخصص باعث میشه که شبکه ی Domain هزینه اش بالا رود. شبکه های Workgroup در ویندوزXP زیر ۱۰کامپیوتر و در ویندوزهای۷ و۱۰زیر۲۰کامپیوتر میتواند باشد.

  Workgroup Vs Domain:

نام دیگرشبکه ی Workgroup pee-to-peer, می باشدوبرای شبکه های کوچکتر استفاده می شودمدیریت متمرکز ندارد امنیت پایین است.

 نام دیگر شبکه ی Client/server, Domain  می باشدبرای شبکه های بزرگتر استفاده می شود مدیریت متمرکزی دارد.

شبکه ی Workgroup و دامین از نظر مدیریت مقایسه می شونداین مدیریت بر اساس  usernameو پسوردهایی است که شما توسط آن ها میتوانیدبر روی کامپیوترها log in کنید.اگرکاربری  با یک یوزرنیم و پسورد از یک سیستم log in کند و بخواهد با همان یوزرنیم و پسوردبر روی یک کامپیوتر دیگر log in کند این عملیات انجام نمی شود.چراکه دیتا بیس هایی که در شبکه ی Workgroup  استفاده می شوددیتا بیس های امنیتی هر کامپیوتر در داخل همان کامپیوتر قرار گرفته و کامپیوترهای دیگه از یوزرنیم , پسوردهای هم خبر ندارن.به همین دلیل باید به تعدادکاربرهایی که در شبکه قرار میگیرن بر روی هر کامپیوتر یوزرنیم و پسورد بسازیدو در تعداد بالای کامپیوترها مشکل پیش میاد.درصورتی که در شبکه یDomain ,اکتیودایرکتوری وظیفه ی مدیریت یوزرنیم پسوردها را برعهده میگیرد. DCمخفف domain controller است و سروری است که وظیفه ی مدیریت و ذخیره ی یوزرنیم و پسوردها را انجام می دهد. کامپیوترها اگر Join یک DC باشندوبا یک بار یوزرنیم وپسوردساختن برروی DC ,آن کاربر میتواند بر روی تمام کامپیوترها Log in انجام بدهد.

در شبکه ی Workgroupهر شخصی میتواند بر روی کامپیوتر خودتوسط دیتا بیس SAM که مخفف Security Account Manager است بر روی آن کامپیوتر log in  کند.

مسیر فایل SAMدر درایو C < Windows >< System32  config  > SAM

این فایل رمزگزاری شده وخوندن آن درحالت عادی میسر نیست.به این علت شبکه ی Workgroup شبکه ی نا امنی است چراکه قبل اینکه ویندوز لود شود برنامه هایی هستن که میتوانند این فایل SAM را Replace کنند یا اطلاعات آن را استخراج کنندتا درنهایت ما بتونیم به ویندوزی که عضو شبکه ی Workgroup است وارد شویم.پادزهر این موضوع را مایکروسافت قرارداده تا از این نوع هک شدن جلوگیری کنید.سرویس بیت لاکر BitLockerهست که از ویندوز۷به بعد بر روی ویندوز های اینترپرایز Enterprise , professional , Ultimate ویندوز Seven گذاشته شد.ویندوزهای Homeاین سرویس را ندارد.

برای تشکیل شبکه نیازه از یک توپولوژی تبعیت کرد.توپولوژی که معمولا مرسوم شده وازش استفاده شده توپولوژی استار است.

در توپولوژی star یک سوئیچ وجود داره و بقیه کامپیوترها از طریق یک کارت شبکه که به آنNIC(network interface card)گفته می شودبه interfaceهای سوئیچ ما متصل شده باشن .سوئیچ ها دوحالت دارن managed و unmanaged

سوئیچ های unmanaged در شبکه های استارخیلی مورد استفاده است و تنظیمات خاصی ندارند شما باید کانکتور RJ45را به سوئیچ متصل کنید و از سمت دیگه کانکتور را به کارت شبکه متصل کنید و از کابل cat6 استفاده میشه .زمانی که کامپوترها از نظر فیزیکی متصل شدن سپس از نظر نرم افزاری نیازاست که شبکه ی Workgroup را تشکیل بدیم.اگر تعدادکامپیوترها از تعدادبرد های سوئیچ بیشتر شدنیاز است که چند سوئیچ را بهم متصل کرد.پورتی که توسط آن سوئیچ ها بهم متصل می شودuplink می باشد.با سرعت۱۰۰۰, تا بتواند پهنای باند بقیه ی کامپیوترها را  به سوئیچ دیگه انتقال بده.بر روی سوئیچ های مدیریتی , سیستم عامل وجود داردکه معروف ترین آن ها سوئیچ های سیسکو و در ایران هم سوئیچ های میکروتیک وجود دارد و روتر برد های میکروتیک هستن میتونن درغالب سوئیچ های لایه سه هم کارکنن. زمانی که ما از ماشین های مجازی(کامپیوترهای مجازی)استفاده می کنیم.نیاز داریم از سوئیچ های مجازی جهت ارتباط Virtual Machine استفاده کنیم.

*فاکتورهایی که قبل از ساختن  OUباید دانست.

_مهمترین هدف ساختن  OUاعمال Policy و محدودیت به صورت سلسله وار و مستقل از یکدیگر می باشد بدین صورت که در هر سازمانی گروههای کاربری صعودی وجود دارد که باید برای هر گروه نسبت به نیاز مشخص محدودیت اعمال کرد. به عنوان مثال در یک شرکت گروههای زیر به صورت مستقل وجود دارد:

_Sales

_Marketing

_Engineering

_Research & Development

_Support

_Information Technology(IT)

هرکدام از این شعب مقصود و ماموریت مخصوص به خود را دارندبرای اختصاصی ساختن هر شعبه نقش های مختلفی می توان به آن ها اختصاص داد.

نقش هایی که ممکن است مورد استفاده قرار گیرد شامل موارد زیر است:

_مدیریت (Managers)

_کارمندان دفتری(Clerical Staff)

_کارمندان فنی(Technical Staff)

_طراحان نقشه(Planners)

هرکدام از این نقش ها بر اساس وظایف شغلی افراد تعیین می گردد به عنوان مثال مدیریت باید تسلط مستقیم بر روی کارمندان داشته باشد.

توجه داشته باشید که به طور معمول بسیاری از این نقش ها به کارمندانی پیشنهاد می شود که ممکن است در وضعیت های متفاوتی نسبت به هم داشته باشند . به عنوان مثال یک کارمند ممکن است مدیر یک شعبه باشد و علاوه بر آن در بخش فنی نیز مشغول به کار باشد که در حال حاضر در بسیاری از سازمان های امروزی این امر متداول است.به همین دلیل قبل ساخت OUهای یک سازمان می بایستی نقشه ی دقیقی از وضعیت کارمندان, نیاز آنها و وظایف آن ها تهیه کنید و سپس اقدام به ساخت OUها کنید مانند نقشه ی زیر:

FIGURE 4.2 Mapping a business organization to an OU structure

 

 

 *هنگام ساخت یک OU نام آن باید مشمول قوانین زیر باشد:

_ استفاده از نام های آسان و توصیف پذیر به منظور مدیریت آسانتر

_ اسم OU باید به محدودیت آن اشاره کند و نباید مستقیما یک Object خاص را توصیف کند چرا که Objectها در داخل OU متغییر هستند.نام هر OUمحدود به ۶۴ کارکترمی باشد که در این بین باید به صورت کلی به نوع محدودیت و گروههای کاربری اشاره کند.

به عنوان مثال درشرکت شما دو نوع گروه IT وجود دارد که هر کدام مسئولیت خاصی دارند شما می توانید با ساختن دو والد (Parent) بر اساس نوع مسئولیت ها واحد IT را در هر دو این والدها ایجاد کنید.

_ دقت به سازگاری اصول سلسله مراتبی نام یک OU:

اساس و بیان ساخت یک OU , داشتن موقعیت های سلسله وار ثابت می باشدبدین معنا که شما نمی توانید یک OU با یک نام مشابه در یک سطح مشابه داشته باشید اگرچه شما می توانید دو OU هم نام در سطوح مختلف داشته باشید.منظور از سطوح همان شاخه های اصلی یا(Parent)ها می باشد.

*درک مفهوم ارث بریOU :(Understanding OU Inheritance)

هنگام کپی و یا جابجایی یک OU از مکان فعلی به مکانی دیگر در ساختار Active Directoryباید توجه داشته باشید که OUها همیشه تنظیمات OU بالاتر از خود یا همان Parent(والد) خود را به ارث می برند که البته این قابلیت قابل تغییر و یا حذف می باشد.

*واگذاری کنترل مدیریت(Delegating Administrative Control):

_دریک شبکه Domain به دلیل ازدیاد کاربران و اعمال مدیریتی, کنترل و مدیریت تک تک کاربران شبکه امری بسیار دشوار است به منظورتقسیم امورمدیریتی میان دیگرمدیران شبکه قابلیت Delegate یا واگذاری در داخل OUها گذاشته شده است که قدرت مدیریت را بین چند مدیر شبکه به منظور کاهش و تقسیم امور مدیریتی تقسیم خواهد کرد.

قبل از درک مفهوم Delegate می بایستی با مبحثACEs)) Access Control Entries

آشنا شوید.

وظیفه یACEها اختصاص دادن حقوق مدیریتی به گروهها وObjectها می باشد.

*هنگام انجام Delegation دو موضوع اهمیت دارد:

۱_ روابط بین Parent وChild:

منظور ازParent یاوالد همان OU می باشد که در بالای یک OU دیگرقرار دارد و می تواند کلیه Policyها وPermissionها را به OUفرزند یا همان Child انتقال دهد که این امر در سازمان های بزرگ بسیار کاربردی می باشد.

۲_شناخت تنظیمات ارث بری OU:

شما باید آگاه باشید که چگونه تنظیمات ارث بری یک OU ازParent به Child را کنترل کنید.

*بکارگیری Group Policies:

یکی از انعطاف پذیرترین و قدرتمندترین ابزاری که در سیستم عامل های ویندوز مایکروسافت تعبیه شده Group Policy ها می باشند.

_ شما باید آگاه باشید که اشتباه در اعمال Policyها می تواند بسیار مشکل ساز شود.

_ از اشتباهات رایج که هم کاربران و هم مدیران مرتکب می شوند این است که ممکن است احساس شود که باید کامپیوتر Local آن ها به حالت Full Permission یا بدون محدودیت باشد که این امر اشتباه می باشد.

_ در واقع Group Policy گلچینی از قوانین و محدودیت هایست که توسط OU ها به Objectهای موجود در OU توسط سرویس Directory Active اعمال خواهد شد.

_ Policy ها در سه سطح Domain,Site وOU به ترتیب وسعت اعمال خواهند شد و اغلب Objectهای آن را Users و Computers تشکیل می دهند.

به عنوان مثال یک مدیر شبکه می تواند از Group Policy به منظور ایجاد محدودیت های زیر استفاده کند:

_ محدودسازی کاربران از نصب برنامه ها

_ محدودیت در استفاده از Control Panel

_ محدودیت در تغییر صفحه زمینه Desktop

*ساختن OU ها و نحوه ی مدیریت سازمان توسط آنها

در دیاگرام جغرافیایی زیر نمونه ای از شعب یک شرکت به صورت سلسله وار گذاشته شده که توسط OU ها قابل مدیریت می باشد.

FIGURE 4.3 A geographically-based OU structure

دقت داشته باشید که در این مثال می توانستیم سازمان خود را به شکل کلی تر طراحی کنیم و طراحی یک سازمان توسط OU ها بستگی به میزان محدودیت ها و گروههای تفکیکی دارد.

Bهنگام ساخت OU قابلیتی وجود دارد به نام Protect که از احتمال تصادفی پاک شدن OU جلوگیری می کند.در هنگام ساختOU این گزینه را فعال کنید تا از پاک شدن احتمالی آن توسط مدیران پیشگیری کنید.

جهت غیرفعال کردن این گزینه از منوی بالا گزینه Advanced View را انتخاب کرده سپس بر روی OU مورد نظر راست کلیک کرده و از تب Object این گزینه را غیر فعال کنید.