وارد شدن
تمام اسرار کامپیوتر برای مبتدیان و حرفه ای ها
  • ویندوز 10
  • ارتباط
  • مرورگرها
  • آنتی ویروس
  • دفتر
  • ویدئو
  • "نوا پشتا": چگونه با شماره بسته ردیابی کنیم؟
  • چگونه توسعه یافت و در آینده چه اتفاقی خواهد افتاد
  • کلاژ عکس های خانوادگی
  • فاصله روستای بندر آهن تا خرسون
  • چگونه به سرعت کاراکتر GTA V Online خود را ارتقا دهیم
  • نحوه حذف ویروس از تلفن خود: دستورالعمل های گام به گام
    • تمام اسرار کامپیوتر برای مبتدیان و حرفه ای ها / درمان ویروس ها / چگونه می توانید دسترسی از راه دور را با استفاده از توکن ایمن تر کنید؟ Active Directory چیست - نحوه نصب و پیکربندی Active Directory Management

    چگونه می توانید دسترسی از راه دور را با استفاده از توکن ایمن تر کنید؟ Active Directory چیست - نحوه نصب و پیکربندی Active Directory Management

    چگونه می توانید دسترسی از راه دور را با استفاده از توکن ایمن تر کنید؟ Active Directory چیست - نحوه نصب و پیکربندی Active Directory Management

    من که از درون با کسب و کارهای کوچک آشنا هستم، همیشه به سوالات زیر علاقه مند بوده ام. توضیح دهید چرا یک کارمند باید از مرورگری که مدیر سیستم دوست دارد در رایانه محل کار خود استفاده کند؟ یا هر نرم افزار دیگه ای رو مثلا همون آرشیو، سرویس گیرنده ایمیل، سرویس گیرنده پیام فوری... من با ملایمت به استاندارد سازی اشاره می کنم و نه بر اساس دلسوزی شخصی مدیر سیستم، بلکه بر اساس کافی بودن کارکرد. ، هزینه نگهداری و پشتیبانی این محصولات نرم افزاری. بیایید IT را به عنوان یک علم دقیق در نظر بگیریم، و نه به عنوان یک هنر، زمانی که هر کسی هر کاری که می خواهد انجام می دهد. باز هم، مشکلات زیادی در این زمینه در مشاغل کوچک وجود دارد. تصور کنید که یک شرکت در یک زمان سخت بحران، چندین نفر از این مدیران را تغییر دهد، کاربران ضعیف در چنین شرایطی چه باید بکنند؟ به طور مداوم بازآموزی کنید؟

    بیایید از آن طرف نگاه کنیم. هر مدیری باید بفهمد که در حال حاضر در شرکتش چه اتفاقی می افتد (از جمله در فناوری اطلاعات). این امر برای نظارت بر وضعیت موجود و واکنش سریع به بروز انواع مختلف مشکلات ضروری است. اما این درک برای برنامه ریزی استراتژیک اهمیت بیشتری دارد. از این گذشته، با داشتن یک پایه قوی و قابل اعتماد، می توانیم خانه ای با 3 یا 5 طبقه بسازیم، سقفی با اشکال مختلف بسازیم، بالکن یا باغ زمستانی بسازیم. به همین ترتیب در فناوری اطلاعات، ما یک پایه قابل اعتماد داریم - بعداً می توانیم از محصولات و فناوری های پیچیده تر برای حل مشکلات تجاری استفاده کنیم.

    مقاله اول در مورد چنین پایه ای صحبت خواهد کرد - خدمات Active Directory. آنها برای تبدیل شدن به پایه ای قوی برای زیرساخت فناوری اطلاعات یک شرکت با هر اندازه و هر حوزه ای طراحی شده اند. آن چیست؟ پس بیایید در این مورد صحبت کنیم ...

    بیایید گفتگو را با مفاهیم ساده - دامنه و خدمات اکتیو دایرکتوری شروع کنیم.

    دامنهواحد اداری اساسی در زیرساخت شبکه یک شرکت است که شامل تمام اشیاء شبکه مانند کاربران، کامپیوترها، چاپگرها، اشتراک‌ها و غیره است. مجموعه چنین دامنه هایی را جنگل می گویند.

    خدمات اکتیو دایرکتوری (خدمات اکتیو دایرکتوری) یک پایگاه داده توزیع شده است که شامل تمام اشیاء دامنه است. محیط دامنه Active Directory یک نقطه واحد از احراز هویت و مجوز را برای کاربران و برنامه های کاربردی در سراسر سازمان فراهم می کند. با سازماندهی یک دامنه و استقرار خدمات اکتیو دایرکتوری است که ساخت زیرساخت فناوری اطلاعات سازمانی آغاز می شود.

    پایگاه داده Active Directory بر روی سرورهای اختصاصی - کنترل کننده های دامنه ذخیره می شود. Active Directory Services نقش سیستم عامل سرور مایکروسافت ویندوز سرور است. Active Directory Services بسیار مقیاس پذیر است. بیش از 2 میلیارد شی را می توان در جنگل اکتیو دایرکتوری ایجاد کرد، که به سرویس دایرکتوری اجازه می دهد در شرکت هایی با صدها هزار رایانه و کاربر پیاده سازی شود. ساختار سلسله مراتبی دامنه ها به شما این امکان را می دهد که زیرساخت های فناوری اطلاعات را به طور انعطاف پذیر در تمام شاخه ها و بخش های منطقه ای شرکت ها مقیاس کنید. برای هر شعبه یا بخش یک شرکت، می توان یک دامنه جداگانه با خط مشی ها، کاربران و گروه های خاص خود ایجاد کرد. برای هر دامنه فرزند، اختیارات اداری را می توان به مدیران سیستم محلی تفویض کرد. در عین حال، دامنه های فرزند همچنان تابع والدین خود هستند.

    علاوه بر این، Active Directory Services به شما اجازه می دهد تا روابط اعتماد بین جنگل های دامنه را پیکربندی کنید. هر شرکت دارای جنگل دامنه های خاص خود است که هر کدام منابع خاص خود را دارند. اما گاهی اوقات شما نیاز دارید که دسترسی به منابع شرکتی خود را برای کارکنان یک شرکت دیگر فراهم کنید - کار با اسناد و برنامه های مشترک به عنوان بخشی از یک پروژه مشترک. برای انجام این کار، می‌توان روابط اعتمادی را بین جنگل‌های سازمانی ایجاد کرد که به کارکنان یک سازمان اجازه می‌دهد تا به دامنه سازمان دیگر وارد شوند.

    برای اطمینان از تحمل خطا برای خدمات Active Directory، باید دو یا چند کنترلر دامنه را در هر دامنه مستقر کنید. همه تغییرات به طور خودکار بین کنترلرهای دامنه تکرار می شود. اگر یکی از کنترلرهای دامنه خراب شود، عملکرد شبکه تحت تأثیر قرار نمی گیرد، زیرا بقیه به کار خود ادامه می دهند. با قرار دادن سرورهای DNS بر روی کنترل‌کننده‌های دامنه در Active Directory، سطح بیشتری از انعطاف‌پذیری ارائه می‌شود، که به هر دامنه اجازه می‌دهد چندین سرور DNS داشته باشد که در ناحیه اصلی دامنه خدمت می‌کنند. و اگر یکی از سرورهای DNS از کار بیفتد، بقیه به کار خود ادامه خواهند داد. در یکی از مقالات این مجموعه در مورد نقش و اهمیت سرورهای DNS در زیرساخت فناوری اطلاعات صحبت خواهیم کرد.

    اما اینها همه جنبه های فنی پیاده سازی و نگهداری خدمات اکتیو دایرکتوری هستند. بیایید در مورد مزایای یک شرکت با دور شدن از شبکه های همتا به همتا و استفاده از گروه های کاری صحبت کنیم.

    1. یک نقطه از احراز هویت

    در یک گروه کاری، در هر کامپیوتر یا سرور، باید به صورت دستی لیست کاملی از کاربرانی که نیاز به دسترسی به شبکه دارند اضافه کنید. اگر ناگهان یکی از کارمندان بخواهد رمز عبور خود را تغییر دهد، باید آن را در تمام رایانه ها و سرورها تغییر دهید. اگر شبکه از 10 کامپیوتر تشکیل شده باشد خوب است، اما اگر تعداد آنها بیشتر باشد چطور؟ هنگام استفاده از دامنه اکتیو دایرکتوری، همه حساب های کاربری در یک پایگاه داده ذخیره می شوند و همه رایانه ها برای مجوز به آن نگاه می کنند. همه کاربران دامنه در گروه های مناسب قرار می گیرند، به عنوان مثال، "حسابداری"، "بخش مالی". کافی است یک بار برای گروه های خاص مجوزها را تنظیم کنید و همه کاربران به اسناد و برنامه ها دسترسی مناسب خواهند داشت. اگر یک کارمند جدید به شرکت ملحق شود، یک حساب کاربری برای او ایجاد می شود که در گروه مناسب قرار می گیرد - کارمند به تمام منابع شبکه که باید به او اجازه دسترسی داشته باشد دسترسی پیدا می کند. اگر کارمندی استعفا داد، فقط او را مسدود کنید و بلافاصله دسترسی به همه منابع (رایانه ها، اسناد، برنامه ها) را از دست خواهد داد.

    2. نقطه واحد مدیریت سیاست

    در یک گروه کاری، همه رایانه ها دارای حقوق مساوی هستند. هیچ یک از رایانه ها نمی توانند دیگری را کنترل کنند. هنگام استفاده از یک اکتیو دایرکتوری، همه کاربران و رایانه ها به صورت سلسله مراتبی در بین واحدهای سازمانی توزیع می شوند که هر یک از آنها تابع سیاست های گروهی یکسانی هستند. خط‌مشی‌ها به شما امکان می‌دهند تنظیمات و تنظیمات امنیتی یکسانی را برای گروهی از رایانه‌ها و کاربران تنظیم کنید. هنگامی که یک رایانه یا کاربر جدید به دامنه اضافه می شود، به طور خودکار تنظیماتی را دریافت می کند که با استانداردهای پذیرفته شده شرکت مطابقت دارد. با استفاده از خط مشی ها، می توانید به طور متمرکز چاپگرهای شبکه را به کاربران اختصاص دهید، برنامه های لازم را نصب کنید، تنظیمات امنیتی مرورگر را تنظیم کنید و برنامه های Microsoft Office را پیکربندی کنید.

    3. افزایش سطح امنیت اطلاعات

    استفاده از خدمات Active Directory سطح امنیت شبکه را به میزان قابل توجهی افزایش می دهد. اولا، این یک ذخیره سازی حساب واحد و ایمن است. در یک محیط دامنه، تمام رمزهای عبور کاربر دامنه بر روی سرورهای اختصاصی کنترل کننده دامنه ذخیره می شوند که معمولاً از دسترسی خارجی محافظت می شوند. دوم، هنگام استفاده از یک محیط دامنه، از پروتکل Kerberos برای احراز هویت استفاده می شود که بسیار امن تر از NTLM است که در گروه های کاری استفاده می شود.

    4. یکپارچه سازی با برنامه های کاربردی و تجهیزات شرکت

    مزیت بزرگ خدمات اکتیو دایرکتوری انطباق آن با استاندارد LDAP است که توسط سیستم های دیگر مانند سرورهای پست (Exchange Server)، سرورهای پروکسی (ISA Server، TMG) ​​پشتیبانی می شود. و اینها لزوما فقط محصولات مایکروسافت نیستند. مزیت چنین ادغامی این است که کاربر برای دسترسی به یک برنامه خاص نیازی به به خاطر سپردن تعداد زیادی لاگین و رمز عبور ندارد. ویندوز سرور پروتکل RADIUS را برای ادغام با Active Directory فراهم می کند که توسط تعداد زیادی تجهیزات شبکه پشتیبانی می شود. بنابراین، به عنوان مثال، می توان از احراز هویت کاربران دامنه هنگام اتصال از طریق VPN از خارج یا استفاده از نقاط دسترسی Wi-Fi در شرکت اطمینان حاصل کرد.

    5. ذخیره سازی پیکربندی برنامه یکپارچه

    برخی از برنامه ها پیکربندی خود را در اکتیو دایرکتوری ذخیره می کنند، مانند Exchange Server. استقرار سرویس دایرکتوری اکتیو دایرکتوری یک پیش نیاز برای کار این برنامه ها است. ذخیره سازی پیکربندی برنامه در یک سرویس دایرکتوری مزایای انعطاف پذیری و قابلیت اطمینان را ارائه می دهد. به عنوان مثال، در صورت خرابی کامل سرور Exchange، کل پیکربندی آن دست نخورده باقی می ماند. برای بازیابی عملکرد نامه های شرکتی، نصب مجدد Exchange Server در حالت بازیابی کافی است.

    به طور خلاصه، می خواهم یک بار دیگر تأکید کنم که خدمات Active Directory قلب زیرساخت فناوری اطلاعات یک سازمان است. در صورت خرابی، کل شبکه، تمام سرورها و کار همه کاربران فلج می شود. هیچ کس نمی تواند وارد رایانه شود یا به اسناد و برنامه های خود دسترسی پیدا کند. بنابراین، سرویس دایرکتوری باید با در نظر گرفتن تمام تفاوت های ظریف ممکن، به عنوان مثال، پهنای باند کانال ها بین شعب یا دفاتر شرکت (سرعت ورود کاربر به سیستم و همچنین تبادل اطلاعات بین دامنه) با دقت طراحی و اجرا شود. کنترل کننده ها، به طور مستقیم به این بستگی دارد).

    چگونه کمک خواهد کرد اکتیو دایرکتوریمتخصصان؟

    در اینجا یک لیست کوچک از "خوبی ها" وجود دارد که می توانید با استقرار Active Directory به دست آورید:

    • یک پایگاه داده ثبت نام کاربر، که به صورت مرکزی در یک یا چند سرور ذخیره می شود. بنابراین، هنگامی که یک کارمند جدید در دفتر ظاهر می شود، فقط باید یک حساب کاربری برای او در سرور ایجاد کنید و مشخص کنید که به کدام ایستگاه های کاری می تواند دسترسی داشته باشد.
    • از آنجایی که تمام منابع دامنه ایندکس می شوند، این امکان را برای کاربران فراهم می کند تا به راحتی و سریع جستجو کنند. به عنوان مثال، اگر شما نیاز به پیدا کردن یک چاپگر رنگی در یک بخش دارید.
    • ترکیبی از اعمال مجوزهای NTFS، سیاست‌های گروه و تفویض کنترل به شما این امکان را می‌دهد که حقوق را بین اعضای دامنه تنظیم و توزیع کنید.
    • پروفایل های کاربر رومینگ امکان ذخیره اطلاعات مهم و تنظیمات پیکربندی را در سرور فراهم می کند. در واقع، اگر کاربری با نمایه رومینگ در یک دامنه برای کار در رایانه دیگری بنشیند و نام کاربری و رمز عبور خود را وارد کند، دسکتاپ خود را با تنظیماتی که با آن آشنا است می بیند.
    • با استفاده از سیاست های گروه، می توانید تنظیمات سیستم عامل های کاربر را تغییر دهید، از اجازه دادن به کاربر برای تنظیم کاغذ دیواری روی دسکتاپ گرفته تا تنظیمات امنیتی، و همچنین توزیع نرم افزار در شبکه، به عنوان مثال، Volume Shadow Copy و غیره؛
    • بسیاری از برنامه ها (سرورهای پروکسی، سرورهای پایگاه داده و غیره) نه تنها امروزه توسط مایکروسافت تولید می شوند، استفاده از احراز هویت دامنه را یاد گرفته اند، بنابراین شما مجبور نیستید پایگاه داده کاربری دیگری ایجاد کنید، بلکه می توانید از پایگاه داده موجود استفاده کنید.
    • استفاده از سرویس‌های نصب از راه دور نصب سیستم‌ها را در ایستگاه‌های کاری آسان‌تر می‌کند، اما به نوبه خود، تنها در صورتی کار می‌کند که سرویس دایرکتوری پیاده‌سازی شده باشد.

    و این لیست کاملی از احتمالات نیست، اما بعداً در مورد آن توضیح خواهیم داد. حالا سعی می کنم منطق ساخت و ساز را به شما بگویم اکتیو دایرکتوری، اما دوباره ارزش این را دارد که بفهمیم پسران ما از چه چیزی ساخته شده اند اکتیو دایرکتوری- اینها دامنه ها، درختان، جنگل ها، واحدهای سازمانی، کاربر و گروه های رایانه ای هستند.

    دامنه ها -این واحد منطقی اساسی ساخت و ساز است. در مقایسه با گروه های کاری دامنه های ADگروه های امنیتی هستند که یک پایگاه ثبت واحد دارند، در حالی که گروه های کاری فقط یک ارتباط منطقی از ماشین ها هستند. AD از DNS (سرور نام دامنه) برای نام‌گذاری و خدمات جستجو استفاده می‌کند، به جای WINS (سرویس نام اینترنتی ویندوز)، همانطور که در نسخه‌های قبلی NT وجود داشت. بنابراین، نام رایانه‌های موجود در دامنه مانند buh.work.com است، جایی که buh نام رایانه در دامنه work.com است (اگرچه همیشه اینطور نیست).

    گروه های کاری از نام های NetBIOS استفاده می کنند. میزبانی ساختار دامنه آگهیامکان استفاده از سرور DNS غیر مایکروسافت وجود دارد. اما باید با BIND 8.1.2 یا بالاتر سازگار باشد و از رکوردهای SRV() و همچنین پروتکل ثبت دینامیک (RFC 2136) پشتیبانی کند. هر دامنه حداقل یک کنترل کننده دامنه دارد که پایگاه داده مرکزی را میزبانی می کند.

    درختان -اینها ساختارهای چند دامنه ای هستند. ریشه این ساختار دامنه اصلی است که شما برای آن دامنه های فرزند ایجاد می کنید. در واقع اکتیو دایرکتوری از ساختار سلسله مراتبی مشابه ساختار دامنه در DNS استفاده می کند.

    اگر یک دامنه work.com (دامنه سطح اول) داشته باشیم و دو دامنه فرزند برای آن ایجاد کنیم first.work.com و second.work.com (اینجا اول و دوم دامنه های سطح دوم هستند و نه رایانه ای در دامنه مانند موردی که در بالا توضیح داده شد)، در نهایت با یک درخت دامنه مواجه می شویم.

    درختان به عنوان یک ساختار منطقی زمانی استفاده می شوند که شما نیاز به تقسیم شاخه های شرکت دارید، به عنوان مثال، بر اساس جغرافیا، یا به دلایل سازمانی دیگر.

    آگهیبه ایجاد خودکار روابط اعتماد بین هر دامنه و دامنه های فرزند آن کمک می کند.

    بنابراین، ایجاد دامنه first.work.com منجر به برقراری خودکار یک رابطه اعتماد دو طرفه بین والدین work.com و child first.work.com می شود (به طور مشابه برای second.work.com). بنابراین، مجوزها را می توان از دامنه والد به فرزند اعمال کرد و بالعکس. تصور اینکه روابط اعتماد برای دامنه های فرزند وجود داشته باشد، دشوار نیست.

    یکی دیگر از ویژگی های روابط اعتماد، گذراست. دریافتیم که یک رابطه اعتماد برای دامنه net.first.work.com با دامنه work.com ایجاد شده است.

    جنگل -درست مانند درختان، ساختارهای چند دامنه ای هستند. ولی جنگلاتحادی از درختان است که دامنه های ریشه متفاوتی دارند.

    فرض کنید تصمیم دارید چندین دامنه به نام‌های work.com و home.net داشته باشید و برای آن‌ها دامنه‌های فرزند بسازید، اما به دلیل اینکه tld (دامنه سطح بالا) تحت کنترل شما نیست، در این حالت می‌توانید با انتخاب یکی از دامنه‌ها، جنگلی را سازماندهی کنید. دامنه های ریشه سطح اول زیبایی ایجاد جنگل در این مورد، رابطه اعتماد دو طرفه بین این دو دامنه و حوزه فرزند آنهاست.

    با این حال، هنگام کار با جنگل ها و درختان، باید موارد زیر را به خاطر بسپارید:

    • شما نمی توانید یک دامنه موجود به درخت اضافه کنید
    • شما نمی توانید یک درخت موجود را در جنگل قرار دهید
    • هنگامی که دامنه ها در یک جنگل قرار می گیرند، نمی توان آنها را به جنگل دیگری منتقل کرد
    • شما نمی توانید دامنه ای را که دارای دامنه های فرزند است حذف کنید

    واحدهای سازمانی -در اصل می توان آنها را ساب دامنه نامید. به شما امکان می دهد حساب های کاربری، گروه های کاربر، رایانه ها، منابع مشترک، چاپگرها و سایر OU (واحدهای سازمانی) را در یک دامنه گروه بندی کنید. مزیت عملی استفاده از آنها امکان تفویض حقوق برای اداره این واحدها است.

    به زبان ساده، می‌توانید در دامنه‌ای مدیری را انتخاب کنید که بتواند OU را مدیریت کند، اما حق مدیریت کل دامنه را ندارد.

    یکی از ویژگی های مهم OU ها، بر خلاف گروه ها، توانایی اعمال سیاست های گروهی برای آنها است. "چرا نمی توانید به جای استفاده از OU دامنه اصلی را به چندین دامنه تقسیم کنید؟" - تو پرسیدی.

    بسیاری از کارشناسان توصیه می کنند در صورت امکان یک دامنه داشته باشید. دلیل این امر عدم تمرکز مدیریت هنگام ایجاد یک دامنه اضافی است، زیرا مدیران هر دامنه کنترل نامحدودی دریافت می کنند (اجازه دهید یادآوری کنم که هنگام واگذاری حقوق به مدیران OU، می توانید عملکرد آنها را محدود کنید).

    علاوه بر این، برای ایجاد یک دامنه جدید (حتی یک دامنه) به یک کنترلر دیگر نیاز دارید. اگر دو بخش مجزا دارید که توسط یک کانال ارتباطی آهسته به هم متصل شده‌اند، ممکن است مشکلاتی در تکرار ایجاد شود. در این صورت داشتن دو دامنه مناسب تر است.

    همچنین یک تفاوت دیگر در استفاده از خط‌مشی‌های گروه وجود دارد: سیاست‌هایی که تنظیمات رمز عبور و قفل حساب را تعریف می‌کنند، فقط می‌توانند برای دامنه‌ها اعمال شوند. برای OU، این تنظیمات خط مشی نادیده گرفته می شوند.

    وب سایت ها -این راهی برای جداسازی فیزیکی یک سرویس دایرکتوری است. طبق تعریف، سایت به گروهی از رایانه ها گفته می شود که توسط کانال های انتقال سریع داده به هم متصل شده اند.

    اگر چندین شعبه در نقاط مختلف کشور دارید که با خطوط ارتباطی کم سرعت به هم متصل هستند، برای هر شعبه می توانید وب سایت خود را ایجاد کنید. این کار برای افزایش قابلیت اطمینان تکرار دایرکتوری انجام می شود.

    این تقسیم AD بر اصول ساخت منطقی تأثیر نمی گذارد، بنابراین، همانطور که یک سایت می تواند چندین دامنه داشته باشد و بالعکس، یک دامنه می تواند چندین سایت داشته باشد. اما در این توپولوژی سرویس دایرکتوری یک نکته وجود دارد. به عنوان یک قاعده، از اینترنت برای برقراری ارتباط با شعب استفاده می شود - یک محیط بسیار ناامن. بسیاری از شرکت ها از تدابیر امنیتی مانند فایروال استفاده می کنند. این سرویس دایرکتوری از حدود یک و نیم دوجین پورت و سرویس در کار خود استفاده می کند که باز شدن آن ها برای عبور ترافیک AD از فایروال در واقع آن را "خارج" نشان می دهد. راه حل مشکل استفاده از فناوری تونل سازی و همچنین وجود یک کنترل کننده دامنه در هر سایت برای سرعت بخشیدن به پردازش درخواست های کلاینت AD است.

    منطق تودرتوی اجزای سرویس دایرکتوری ارائه شده است. مشاهده می شود که جنگل شامل دو درخت دامنه است که دامنه ریشه درخت به نوبه خود می تواند شامل OU و گروه هایی از اشیاء باشد و همچنین دارای دامنه های فرزند (در این مورد، برای هر کدام یکی) باشد. دامنه های فرزند همچنین می توانند شامل گروه های شی و OU باشند و دامنه های فرزند داشته باشند (در شکل نشان داده نشده است). و غیره. اجازه دهید یادآوری کنم که OU ها می توانند شامل OU ها، اشیا و گروه هایی از اشیا باشند و گروه ها می توانند شامل گروه های دیگر باشند.

    گروه های کاربر و کامپیوتر -برای مقاصد اداری استفاده می شوند و همان معنایی دارند که در ماشین های محلی در شبکه استفاده می شود. برخلاف OU ها، سیاست های گروه را نمی توان برای گروه ها اعمال کرد، اما می توان مدیریت را برای آنها محول کرد. در طرح Active Directory، دو نوع گروه وجود دارد: گروه‌های امنیتی (برای تمایز حقوق دسترسی به اشیاء شبکه) و گروه‌های توزیع (که عمدتاً برای توزیع پیام‌های ایمیل، به عنوان مثال، در Microsoft Exchange Server استفاده می‌شوند).

    آنها بر اساس دامنه تقسیم می شوند:

    • گروه های جهانیممکن است شامل کاربران داخل جنگل و همچنین سایر گروه‌های جهانی یا گروه‌های جهانی از هر دامنه در جنگل باشد
    • گروه های دامنه جهانیممکن است شامل کاربران دامنه و سایر گروه های جهانی همان دامنه باشد
    • دامنه گروه های محلیبرای متمایز کردن حقوق دسترسی استفاده می شود، می تواند شامل کاربران دامنه، و همچنین گروه های جهانی و گروه های جهانی از هر دامنه در جنگل باشد.
    • گروه های کامپیوتری محلی- گروه هایی که حاوی SAM (مدیر حساب امنیتی) ماشین محلی هستند. دامنه آنها فقط به یک ماشین معین محدود می شود، اما می توانند شامل گروه های محلی دامنه ای که رایانه در آن قرار دارد، و همچنین گروه های جهانی و جهانی از دامنه خودشان یا دیگری که به آن اعتماد دارند، باشد. به عنوان مثال، می توانید یک کاربر از گروه کاربران محلی دامنه را در گروه Administrators ماشین محلی قرار دهید و بدین ترتیب به او حقوق سرپرست بدهید، اما فقط برای این رایانه.


    در سال 2002، وقتی در راهروی دپارتمان علوم کامپیوتر دانشگاه مورد علاقه‌ام قدم می‌زدم، پوستری تازه را روی درب دفتر «ان‌تی سیستمز» دیدم. پوستر آیکون های حساب کاربری را به صورت گروه بندی شده در گروه ها نشان می داد که فلش ها به نوبه خود به نمادهای دیگر منتهی می شدند. همه اینها به صورت شماتیک در یک ساختار خاص ترکیب شد، چیزی در مورد یک سیستم ثبت نام واحد، مجوز و موارد مشابه نوشته شد. تا آنجا که من اکنون متوجه شدم، آن پوستر معماری دامنه های Windows NT 4.0 و سیستم های Active Directory ویندوز 2000 را به تصویر می کشد. از آن لحظه اولین آشنایی من با اکتیو دایرکتوری شروع شد و بلافاصله به پایان رسید، زیرا در آن زمان یک جلسه سخت، یک تعطیلات سرگرم کننده وجود داشت، پس از آن یکی از دوستانم FreeBSD 4 و دیسک های لینوکس رد هت را به اشتراک گذاشت، و برای چند سال بعد من در دنیا غوطه ور شدم. از سیستم های یونیکس مانند، اما من هرگز محتوای پوستر را فراموش نکردم.
    وقتی برای کار در شرکتی نقل مکان کردم که مدیریت کل زیرساخت فناوری اطلاعات بر اساس Active Directory بود، مجبور شدم به سیستم‌های روی پلتفرم ویندوز سرور برگردم و با آنها بیشتر آشنا شوم. به یاد دارم که مدیر ارشد آن شرکت در هر جلسه چیزی در مورد برخی از بهترین روش‌های Active Directory تکرار می‌کرد. اکنون، پس از 8 سال ارتباط دوره ای با اکتیو دایرکتوری، به خوبی درک می کنم که این سیستم چگونه کار می کند و بهترین روش های Active Directory چیست.
    همانطور که احتمالاً قبلاً حدس زده اید، ما در مورد Active Directory صحبت خواهیم کرد.
    هر کسی که به این موضوع علاقه دارد به گربه خوش آمدید.

    این توصیه‌ها برای سیستم‌های کلاینت از ویندوز 7 و بالاتر، برای دامنه‌ها و جنگل‌های سطح Windows Server 2008/R2 و بالاتر معتبر هستند.

    استاندارد سازی
    برنامه ریزی برای اکتیو دایرکتوری باید با توسعه استانداردهای شما برای نامگذاری اشیا و مکان آنها در فهرست شروع شود. لازم است سندی ایجاد شود که تمام استانداردهای لازم را تعریف کند. البته، این یک توصیه نسبتا رایج برای متخصصان فناوری اطلاعات است. اصل "اول ما مستندات را می نویسیم و سپس با استفاده از این مستندات یک سیستم می سازیم" بسیار خوب است، اما به دلایل بسیاری به ندرت در عمل اجرا می شود. از جمله این دلایل، تنبلی ساده انسان یا عدم صلاحیت مناسب است.
    توصیه می کنم ابتدا مستندات را بنویسید، در مورد آن فکر کنید و تنها پس از آن به نصب اولین کنترل کننده دامنه ادامه دهید.
    به عنوان مثال، بخشی از سند را در مورد استانداردهای نامگذاری اشیاء اکتیو دایرکتوری ارائه خواهم کرد.
    نامگذاری اشیا

    • نام گروه های کاربری باید با پیشوند GRUS_ شروع شود (GR - Group, US - Users)
    • نام گروه های کامپیوتری باید با پیشوند GRCP_ شروع شود (GR - Group، CP - Computers)
    • نام گروه های نمایندگی باید با پیشوند GRDL_ شروع شود (GR - Group، DL - Delegation)
    • نام گروه‌های دسترسی به منابع باید با پیشوند GRRS_ (GR - گروه، RS - منابع) شروع شود.
    • نام گروه‌ها برای خط‌مشی‌ها باید با پیشوندهای GPUS_، GPCP_ شروع شود (GP - خط‌مشی گروه، ایالات متحده - کاربران، CP - رایانه‌ها)
    • نام رایانه های سرویس گیرنده باید از دو یا سه حرف از نام سازمان تشکیل شده باشد و به دنبال آن یک عدد با خط فاصله از هم جدا شود، مثلاً nnt-01.
    • نام سرورها باید فقط با دو حرف شروع شود و بعد از آن یک خط فاصله و بعد از آن نقش سرور و شماره آن مثلا nn-dc01 باشد.
    توصیه می‌کنم اشیاء Active Directory را نام‌گذاری کنید تا مجبور نباشید قسمت Description را پر کنید. به عنوان مثال، از نام گروه GPCP_Restricted_Groups مشخص است که این یک گروه سیاست است که برای رایانه ها اعمال می شود و کار مکانیسم گروه های محدود را انجام می دهد.
    رویکرد شما برای نوشتن اسناد باید بسیار دقیق باشد، این باعث صرفه جویی در زمان زیادی در آینده می شود.

    همه چیز را تا حد امکان ساده کنید، سعی کنید به تعادل برسید
    هنگام ساخت اکتیو دایرکتوری، باید از اصل دستیابی به تعادل پیروی کرد و مکانیسم های ساده و قابل درک را انتخاب کرد.
    اصل تعادل دستیابی به عملکرد و ایمنی مورد نیاز با حداکثر سادگی راه حل است.
    تلاش برای ساختن سیستم به گونه ای ضروری است که ساختار آن برای بی تجربه ترین مدیر یا حتی کاربر قابل درک باشد. به عنوان مثال، در یک زمان توصیه ای برای ایجاد یک ساختار جنگلی از چندین دامنه وجود داشت. علاوه بر این، توصیه شد که نه تنها ساختارهای چند دامنه ای، بلکه ساختارهایی از چندین جنگل نیز مستقر شوند. شاید این توصیه به دلیل اصل «تفرقه و تسلط» وجود داشته باشد یا به این دلیل که مایکروسافت به همه گفته است که دامنه مرز امنیتی است و با تقسیم سازمان به دامنه‌ها، ساختارهای جداگانه‌ای به دست می‌آوریم که به صورت جداگانه کنترل آنها آسان‌تر است. اما همانطور که تمرین نشان داده است، نگهداری و کنترل سیستم های تک دامنه آسان تر است، جایی که مرزهای امنیتی به جای دامنه ها، واحدهای سازمانی (OUs) هستند. بنابراین، از ایجاد ساختارهای چند دامنه ای پیچیده خودداری کنید.
    البته، شما باید بدون تعصب عمل کنید - اگر بدون چندین دامنه غیرممکن است، پس باید چندین دامنه، همچنین با جنگل ها ایجاد کنید. نکته اصلی این است که بفهمید چه کاری انجام می دهید و چه چیزی می تواند منجر شود.
    درک این نکته مهم است که یک زیرساخت اکتیو دایرکتوری ساده برای مدیریت و نظارت آسان تر است. حتی می توانم بگویم که هر چه ساده تر، ایمن تر است.
    اصل ساده سازی را اعمال کنید. برای رسیدن به تعادل تلاش کنید.

    از اصل "شیء - گروه" پیروی کنید
    با ایجاد یک گروه برای این شی، شروع به ایجاد اشیاء اکتیو دایرکتوری کنید و حقوق لازم را به گروه اختصاص دهید. بیایید به یک مثال نگاه کنیم. باید یک حساب مدیر اصلی ایجاد کنید. ابتدا گروه Head Admins را بسازید و سپس خود اکانت را بسازید و به این گروه اضافه کنید. به عنوان مثال، با افزودن آن به گروه Domain Admins، حقوق سرپرست سرپرست را به گروه Head Admins اختصاص دهید. تقریباً همیشه معلوم می شود که پس از مدتی کارمند دیگری سر کار می آید که به حقوق مشابه نیاز دارد و به جای تفویض حقوق به بخش های مختلف اکتیو دایرکتوری، می توان به سادگی او را به گروه ضروری که سیستم قبلاً نقش آن را تعریف کرده است اضافه کرد. و اختیارات لازم تفویض می گردد.
    یک مثال دیگر شما باید حقوق را به OU با کاربران به گروه مدیران سیستم واگذار کنید. حقوق را مستقیماً به گروه سرپرستان تفویض نکنید، بلکه یک گروه خاص مانند GRDL_OUName_Operator_Accounts ایجاد کنید که به آن حقوق اختصاص می دهید. سپس به سادگی گروه مدیران مسئول را به گروه GRDL_OUName_Operator_Accounts اضافه کنید. قطعاً این اتفاق خواهد افتاد که در آینده نزدیک باید حقوق این OU را به گروه دیگری از مدیران واگذار کنید. و در این مورد، شما به سادگی گروه داده های مدیران را به گروه نمایندگی GRDL_OUName_Operator_Accounts اضافه می کنید.
    من ساختار گروه زیر را پیشنهاد می کنم.

    • گروه های کاربری (GRUS_)
    • گروه‌های مدیریت (GRAD_)
    • گروه های نمایندگی (GRDL_)
    • گروه های خط مشی (GRGP_)
    گروه های کامپیوتری
    • گروه های سرور (GRSR_)
    • گروه‌های کامپیوتر مشتری (GRCP_)
    گروه های دسترسی به منابع
    • گروه‌های دسترسی به منابع مشترک (GRRS_)
    • گروه‌های دسترسی چاپگر (GRPR_)
    در سیستمی که بر اساس این توصیه ها ساخته شده است، تقریباً تمام مدیریت ها شامل افزودن گروه ها به گروه ها خواهد بود.
    با محدود کردن تعداد نقش‌ها برای گروه‌ها تعادل را حفظ کنید و به یاد داشته باشید که نام گروه به طور ایده‌آل باید نقش آن را به طور کامل توصیف کند.

    معماری OU
    معماری یک OU قبل از هر چیز باید از نقطه نظر امنیت و تفویض حقوق این OU به مدیران سیستم مورد بررسی قرار گیرد. من برنامه ریزی معماری OU ها را از نقطه نظر پیوند دادن خط مشی های گروه به آنها توصیه نمی کنم (اگرچه این اغلب انجام می شود). برای برخی، توصیه من ممکن است کمی عجیب به نظر برسد، اما من به هیچ وجه گره زدن سیاست های گروه را به OU توصیه نمی کنم. در بخش سیاست های گروه بیشتر بخوانید.
    مدیران OU
    من توصیه می کنم یک OU جداگانه برای حساب ها و گروه های اداری ایجاد کنید، که در آن می توانید حساب ها و گروه های همه مدیران و مهندسین پشتیبانی فنی را قرار دهید. دسترسی به این OU باید به کاربران عادی محدود شود و مدیریت اشیاء از این OU باید فقط به مدیران اصلی واگذار شود.
    کامپیوترهای OU
    OU های رایانه از نظر موقعیت جغرافیایی رایانه ها و انواع رایانه ها به بهترین وجه برنامه ریزی می شوند. رایانه ها را از مکان های جغرافیایی مختلف در OU های مختلف توزیع کنید و به نوبه خود آنها را به رایانه های مشتری و سرور تقسیم کنید. سرورها را همچنین می توان به Exchange، SQL و موارد دیگر تقسیم کرد.

    کاربران، حقوق در اکتیو دایرکتوری
    حساب های کاربری Active Directory باید مورد توجه ویژه قرار گیرند. همانطور که در بخش مربوط به OU گفته شد، حساب های کاربری باید بر اساس اصل تفویض اختیار به این حساب ها گروه بندی شوند. همچنین رعایت اصل کمترین امتیاز مهم است - هر چه کاربر حقوق کمتری در سیستم داشته باشد، بهتر است. توصیه می کنم فوراً سطح امتیاز کاربر را در نام حساب کاربری وی درج کنید. یک حساب کاربری برای کارهای روزمره باید شامل نام خانوادگی و حروف اول کاربر به زبان لاتین باشد (به عنوان مثال، IvanovIV یا IVIvanov). فیلدهای مورد نیاز عبارتند از: نام، حروف اول، نام خانوادگی، نام نمایشی (به زبان روسی)، ایمیل، تلفن همراه، عنوان شغلی، مدیر.
    حساب های مدیر باید از انواع زیر باشد:

    • با حقوق سرپرست رایانه های کاربر، اما نه سرورها. باید شامل حروف اول مالک و پیشوند محلی باشد (به عنوان مثال، iivlocal)
    • با حقوق مدیریت سرورها و اکتیو دایرکتوری. باید فقط از حروف اول تشکیل شود (به عنوان مثال، iiv).
    قسمت نام خانوادگی هر دو نوع حساب اداری باید با حرف I شروع شود (به عنوان مثال، iPetrov P Vasily)
    اجازه دهید توضیح دهم که چرا باید حساب‌های مدیریتی را به مدیران سرور و مدیران رایانه مشتری جدا کنید. این باید به دلایل ایمنی انجام شود. مدیران رایانه های مشتری حق نصب نرم افزار بر روی رایانه های مشتری را خواهند داشت. هرگز نمی توان با اطمینان گفت که چه نرم افزاری نصب می شود و چرا. بنابراین، اجرای نصب یک برنامه با حقوق سرپرست دامنه ناامن است. شما باید رایانه های سرویس گیرنده را فقط با حقوق سرپرست محلی برای آن رایانه مدیریت کنید. این امر باعث می‌شود که تعدادی از حملات به حساب‌های سرپرست دامنه، مانند Pass The Hash، غیرممکن شود. علاوه بر این، مدیران رایانه های مشتری باید اتصالات را از طریق خدمات ترمینال و اتصالات شبکه به رایانه ببندند. کامپیوترهای پشتیبانی فنی و اداری باید در یک VLAN جداگانه قرار داده شوند تا دسترسی به آنها از شبکه کامپیوترهای مشتری محدود شود.
    واگذاری حقوق مدیر به کاربران
    اگر می‌خواهید به یک کاربر حقوق سرپرست بدهید، هرگز حساب کاربری او را برای استفاده روزمره در گروه سرپرستان محلی رایانه قرار ندهید. یک حساب کاربری برای کار روزانه باید همیشه حقوق محدودی داشته باشد. یک حساب اداری جداگانه برای او مانند namelocal ایجاد کنید و این حساب را با استفاده از یک خط مشی به گروه مدیران محلی اضافه کنید و با استفاده از هدف گذاری در سطح مورد، برنامه آن را فقط در رایانه کاربر محدود کنید. کاربر می تواند با استفاده از مکانیزم Run AS از این حساب استفاده کند.
    سیاست های رمز عبور
    با استفاده از خط مشی رمز عبور دقیق، سیاست های رمز عبور جداگانه برای کاربران و مدیران ایجاد کنید. توصیه می شود رمز عبور کاربر حداقل از 8 کاراکتر تشکیل شده باشد و حداقل هر سه ماه یک بار تغییر کند. توصیه می شود که مدیران هر دو ماه یک بار رمز عبور را تغییر دهند و حداقل 10-15 کاراکتر باشد و شرایط پیچیدگی را برآورده کند.

    ترکیب دامنه و گروه های محلی. مکانیسم گروه های محدود
    ترکیب دامنه و گروه‌های محلی در رایانه‌های دامنه فقط باید به طور خودکار با استفاده از مکانیسم گروه‌های محدود کنترل شود. با استفاده از مثال زیر توضیح خواهم داد که چرا باید فقط به این روش انجام شود. به طور معمول، پس از شکستن دامنه اکتیو دایرکتوری، مدیران خود را به گروه های دامنه مانند ادمین های دامنه، مدیران سازمانی اضافه می کنند، مهندسین پشتیبانی فنی را به گروه های لازم اضافه می کنند و همچنین بقیه کاربران را در گروه ها توزیع می کنند. در فرآیند مدیریت این دامنه، روند صدور حقوق بارها تکرار می شود و یادآوری این نکته بسیار دشوار خواهد بود که دیروز حسابدار نینا پترونا را به طور موقت به گروه مدیران 1C اضافه کردید و امروز باید او را از این گروه حذف کنید. اگر این شرکت چندین مدیر داشته باشد و هر یک از آنها هر از چند گاهی به سبکی مشابه به کاربران حقوق بدهند، وضعیت بدتر می شود. تنها در عرض یک سال، تقریباً غیرممکن خواهد بود که بفهمیم چه حقوقی به چه کسی واگذار شده است. بنابراین، ترکیب گروه ها باید فقط توسط سیاست های گروه کنترل شود، که همه چیز را با هر برنامه مرتب می کند.
    ترکیب گروه های داخلی
    شایان ذکر است که گروه های داخلی مانند اپراتورهای حساب، اپراتورهای پشتیبان، اپراتورهای رمز، مهمانان، اپراتورهای چاپ، اپراتورهای سرور باید هم در دامنه و هم در رایانه های مشتری خالی باشند. این گروه ها در درجه اول برای اطمینان از سازگاری با سیستم های قدیمی تر مورد نیاز هستند و به کاربران این گروه ها حقوق بسیار زیادی در سیستم داده می شود و حملات افزایش امتیاز ممکن می شود.

    حساب های مدیر محلی
    با استفاده از مکانیسم گروه‌های محدود، باید حساب‌های مدیر محلی را در رایانه‌های محلی مسدود کنید، حساب‌های مهمان را مسدود کنید، و گروه مدیران محلی را در رایانه‌های محلی پاک کنید. هرگز از خط‌مشی‌های گروهی برای تنظیم رمز عبور برای حساب‌های سرپرست محلی استفاده نکنید. این مکانیسم امن نیست. اما، اگر تصمیم دارید حساب‌های مدیر محلی را مسدود نکنید، از مکانیسم LAPS برای تنظیم صحیح رمزهای عبور و چرخش آنها استفاده کنید. متأسفانه، راه‌اندازی LAPS کاملاً خودکار نیست و بنابراین باید به صورت دستی ویژگی‌ها را به طرح اکتیو دایرکتوری اضافه کنید، حقوق را به آنها اختصاص دهید، گروه‌ها را اختصاص دهید و غیره. بنابراین، مسدود کردن حساب های مدیر محلی آسان تر است.
    حساب های خدماتی
    برای اجرای سرویس‌ها، از حساب‌های سرویس و مکانیسم gMSA (موجود در ویندوز 2012 و سیستم‌های بالاتر) استفاده کنید.

    سیاست های گروه
    سیاست‌ها را قبل از ایجاد/تغییر آن‌ها مستند کنید.
    هنگام ایجاد یک خط مشی، از اصل Policy - Group استفاده کنید. یعنی قبل از ایجاد یک خط مشی، ابتدا یک گروه برای این سیاست ایجاد کنید، گروه کاربران تایید شده را از محدوده سیاست حذف کنید و گروه ایجاد شده را اضافه کنید. خط مشی را نه به OU، بلکه به ریشه دامنه پیوند دهید و دامنه کاربرد آن را با افزودن اشیا به گروه سیاست تنظیم کنید. من این مکانیسم را انعطاف‌پذیرتر و قابل درک‌تر از پیوند دادن یک سیاست به یک OU می‌دانم. (این دقیقاً همان چیزی است که در بخش معماری OU نوشتم).
    همیشه محدوده خط مشی را تنظیم کنید. اگر یک خط مشی فقط برای کاربران ایجاد کرده اید، ساختار کامپیوتر را غیرفعال کنید و بالعکس، اگر یک خط مشی فقط برای کامپیوتر ایجاد کرده اید، ساختار کاربر را غیرفعال کنید. به لطف این تنظیمات، سیاست ها با سرعت بیشتری اعمال می شوند.
    با استفاده از Power Shell پشتیبان‌گیری از خط مشی روزانه را تنظیم کنید تا در صورت بروز خطا در پیکربندی، همیشه بتوانید تنظیمات را به تنظیمات اصلی خود بازگردانید.
    فروشگاه مرکزی
    با شروع ویندوز 2008، امکان ذخیره الگوهای خط مشی گروه ADMX در یک مکان ذخیره سازی مرکزی، SYSVOL وجود داشت. قبلاً، به‌طور پیش‌فرض، همه قالب‌های خط‌مشی به صورت محلی در مشتریان ذخیره می‌شدند. برای قرار دادن قالب‌های ADMX در حافظه مرکزی، باید محتویات پوشه %SystemDrive%\Windows\PolicyDefinitions را به همراه زیرپوشه‌ها از سیستم‌های کلاینت (ویندوز 7/8/8.1) در فهرست کنترل‌کننده دامنه %SystemDrive%\Windows\ کپی کنید. SYSVOL\domain\Policies\PolicyDefinitions با محتوای ادغام شده، اما بدون جایگزینی. در مرحله بعد، شما باید همان کپی را از سیستم های سرور، با قدیمی ترین شروع کنید. در نهایت، هنگام کپی کردن پوشه ها و فایل ها از آخرین نسخه سرور، یک کپی MERGE AND REPLACE را انجام دهید.

    کپی کردن قالب های ADMX

    علاوه بر این، الگوهای ADMX برای هر محصول نرم افزاری، به عنوان مثال، محصولات مایکروسافت آفیس، محصولات ادوبی، محصولات گوگل و سایرین را می توان در حافظه مرکزی قرار داد. به وب‌سایت فروشنده نرم‌افزار بروید، قالب ADMX Group Policy را دانلود کنید و آن را در پوشه %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions در هر کنترل‌کننده دامنه باز کنید. اکنون می توانید محصول نرم افزاری مورد نیاز خود را از طریق خط مشی های گروهی مدیریت کنید.
    فیلترهای WMI
    فیلترهای WMI خیلی سریع نیستند، بنابراین ترجیحاً از مکانیسم هدف گیری در سطح آیتم استفاده شود. اما اگر نمی توان از هدف گذاری در سطح آیتم استفاده کرد و تصمیم به استفاده از WMI دارید، توصیه می کنم فوراً چندین مورد از رایج ترین فیلترها را برای خود ایجاد کنید: فیلتر «فقط سیستم عامل های مشتری»، «فقط سیستم عامل های سرور»، «ویندوز 7» فیلترها، فیلترهای «ویندوز» 8، «ویندوز 8.1»، «ویندوز 10». اگر مجموعه های آماده ای از فیلترهای WMI دارید، اعمال فیلتر مورد نظر در خط مشی مورد نظر آسان تر خواهد بود.

    حسابرسی رویدادهای Active Directory
    مطمئن شوید که ممیزی رویداد را در کنترلرهای دامنه و سایر سرورها فعال کنید. من توصیه می کنم ممیزی اشیاء زیر را فعال کنید:

    • حسابرسی مدیریت حساب کامپیوتری - موفقیت، شکست
    • حسابرسی سایر رویدادهای مدیریت حساب - موفقیت، شکست
    • مدیریت گروه امنیتی حسابرسی - موفقیت، شکست
    • حسابرسی مدیریت حساب کاربری - موفقیت، شکست
    • سرویس احراز هویت Kerberos حسابرسی - شکست
    • حسابرسی سایر رویدادهای ورود به حساب - شکست
    • تغییر سیاست حسابرسی حسابرسی - موفقیت، شکست
    حسابرسی باید در بخش پیکربندی شود پیکربندی خط مشی حسابرسی پیشرفتهو حتما تنظیمات را در قسمت فعال کنید گزینه‌های سیاست/امنیت محلی - تنظیمات زیرمجموعه خط مشی حسابرسی (ویندوز ویستا یا جدیدتر) را مجبور کنید تا تنظیمات دسته خط مشی حسابرسی را لغو کند.، که تنظیمات سطح بالا را لغو می کند و تنظیمات پیشرفته را اعمال می کند.

    تنظیمات ممیزی پیشرفته

    من به جزئیات در مورد تنظیمات حسابرسی نمی پردازم، زیرا تعداد کافی مقاله در اینترنت به این موضوع اختصاص داده شده است. من فقط اضافه می کنم که علاوه بر فعال کردن حسابرسی، باید هشدارهای ایمیلی در مورد رویدادهای امنیتی مهم تنظیم کنید. همچنین قابل توجه است که در سیستم هایی با تعداد رویدادهای زیاد، ارزش اختصاص سرورهای جداگانه برای جمع آوری و تجزیه و تحلیل فایل های گزارش را دارد.

    اسکریپت های مدیریت و تمیز کردن
    تمام اقدامات مشابه و مکرر باید با استفاده از اسکریپت های مدیریت انجام شود. این اقدامات عبارتند از: ایجاد حساب های کاربری، ایجاد حساب های مدیر، ایجاد گروه ها، ایجاد OU و غیره. ایجاد اشیاء با استفاده از اسکریپت ها به شما این امکان را می دهد که با ایجاد چک های نحوی مستقیماً در اسکریپت ها، به منطق نامگذاری اشیاء Active Directory خود احترام بگذارید.
    همچنین ارزش نوشتن اسکریپت های پاکسازی را دارد که به طور خودکار ترکیب گروه ها را کنترل می کند، کاربران و رایانه هایی را که برای مدت طولانی به دامنه متصل نشده اند شناسایی می کند، نقض سایر استانداردها را تشخیص می دهد و غیره.
    من آن را به عنوان یک توصیه رسمی صریح برای استفاده از اسکریپت های مدیریت برای نظارت بر انطباق و انجام عملیات پس زمینه ندیده ام. اما من خودم بررسی‌ها و رویه‌ها را در حالت خودکار با استفاده از اسکریپت ترجیح می‌دهم، زیرا این باعث صرفه‌جویی در زمان و حذف تعداد زیادی خطا می‌شود و البته اینجاست که رویکرد کمی یونیکس من به مدیریت، زمانی که تایپ کردن آسان‌تر است، وارد عمل می‌شود. چند دستور از کلیک بر روی ویندوز.

    مدیریت دستی
    شما و همکارانتان باید برخی از عملیات اداری را به صورت دستی انجام دهید. برای این منظور، توصیه می‌کنم از کنسول mmc استفاده کنید که اسنپ‌این‌ها به آن اضافه شده است.
    همانطور که بعداً گفته خواهد شد، کنترل‌کننده‌های دامنه شما باید در حالت Server Core کار کنند، یعنی باید کل محیط AD را فقط از رایانه خود با استفاده از کنسول‌ها مدیریت کنید. برای مدیریت Active Directory، باید Remote Server Administration Tools را روی رایانه خود نصب کنید. کنسول ها باید به عنوان یک کاربر با حقوق مدیر Active Directory و کنترل تفویض شده روی رایانه شما اجرا شوند.
    هنر مدیریت اکتیو دایرکتوری با استفاده از کنسول ها نیاز به یک مقاله جداگانه و شاید حتی یک فیلم آموزشی جداگانه دارد، بنابراین در اینجا من فقط در مورد خود اصل صحبت می کنم.

    کنترل کننده های دامنه
    در هر دامنه، حداقل باید دو کنترلر وجود داشته باشد. کنترل کننده های دامنه باید تا حد امکان خدمات کمتری داشته باشند. نباید دامین کنترلر را به فایل سرور تبدیل کنید یا خدای ناکرده آن را به نقش ترمینال سرور ارتقا دهید. استفاده از سیستم عامل در کنترل کننده های دامنه در حالت Server Core، حذف کامل پشتیبانی WoW64 باعث کاهش چشمگیر تعداد به روز رسانی های مورد نیاز و افزایش امنیت آنها می شود.
    مایکروسافت قبلاً از مجازی‌سازی کنترل‌کننده‌های دامنه به دلیل احتمال درگیری‌های تکرار ناپذیر هنگام بازیابی از عکس‌های فوری، جلوگیری کرده بود. ممکن است دلایل دیگری نیز وجود داشته باشد، نمی توانم با اطمینان بگویم. اکنون هایپروایزرها یاد گرفته‌اند که به کنترل‌کننده‌ها بگویند که آنها را از عکس‌های فوری بازیابی کنند و این مشکل از بین رفته است. من همیشه بدون گرفتن عکس فوری، کنترل‌کننده‌ها را مجازی‌سازی می‌کنم، زیرا نمی‌دانم چرا ممکن است نیاز به گرفتن چنین عکس‌های فوری روی کنترل‌کننده‌های دامنه وجود داشته باشد. به نظر من، تهیه یک نسخه پشتیبان از کنترل کننده دامنه با استفاده از ابزارهای استاندارد آسان تر است. بنابراین، من توصیه می کنم تمام کنترلرهای دامنه را که امکان پذیر است مجازی سازی کنید. این پیکربندی انعطاف پذیرتر خواهد بود. هنگام مجازی سازی کنترل کننده های دامنه، آنها را روی هاست های فیزیکی مختلف قرار دهید.
    اگر می خواهید یک Domain Controller را در یک محیط فیزیکی ناامن یا در یکی از شعبه های سازمان خود قرار دهید، برای این منظور از RODC استفاده کنید.

    نقش های FSMO، کنترل کننده های اولیه و ثانویه
    نقش های کنترل کننده دامنه FSMO همچنان باعث ایجاد ترس در ذهن مدیران جدید می شود. اغلب، تازه‌کارها اکتیو دایرکتوری را از اسناد قدیمی یاد می‌گیرند یا به داستان‌هایی از مدیران دیگری گوش می‌دهند که یک بار چیزی را در جایی خوانده‌اند.
    برای هر پنج + 1 نقش، موارد زیر باید به اختصار گفته شود. با شروع ویندوز سرور 2008، دیگر کنترل کننده های دامنه اولیه و ثانویه وجود ندارد. هر پنج نقش کنترل کننده دامنه قابل حمل هستند، اما نمی توانند همزمان روی بیش از یک کنترلر قرار گیرند. اگر یکی از کنترلرها را که مثلاً صاحب 4 نقش بوده است برداریم و حذف کنیم، به راحتی می توانیم همه این نقش ها را به کنترلرهای دیگر منتقل کنیم و هیچ اتفاق بدی در دامنه نمی افتد، چیزی خراب نمی شود. این امکان پذیر است زیرا مالک تمام اطلاعات مربوط به کار مربوط به یک نقش خاص را مستقیماً در Active Directory ذخیره می کند. و اگر نقش را به کنترلر دیگری منتقل کنیم، ابتدا به اطلاعات ذخیره شده در Active Directory تبدیل می شود و شروع به انجام سرویس می کند. یک دامنه می تواند برای مدت طولانی بدون صاحبان نقش وجود داشته باشد. تنها نقشی که همیشه باید در اکتیو دایرکتوری باشد و بدون آن همه چیز بسیار بد خواهد بود، نقش کاتالوگ جهانی (GC) است که می‌تواند توسط همه کنترل‌کننده‌های دامنه انجام شود. من توصیه می کنم نقش GC را به هر کنترل کننده در دامنه اختصاص دهید، هر چه تعداد آنها بیشتر باشد، بهتر است. البته می توانید مواردی را بیابید که ارزش نصب نقش GC بر روی کنترلر دامنه را ندارد. خوب، اگر به آن نیاز ندارید، پس نداشته باشید. توصیه ها را بدون تعصب دنبال کنید.

    سرویس DNS
    سرویس DNS برای عملکرد Active Directory حیاتی است و باید بدون شکست کار کند. بهتر است سرویس DNS را روی هر دامین کنترلر نصب کنید و مناطق DNS را در خود Active Directory ذخیره کنید. اگر از Active Directory برای ذخیره مناطق DNS استفاده می‌کنید، باید ویژگی‌های اتصال TCP/IP را روی کنترل‌کننده‌های دامنه پیکربندی کنید تا هر کنترل‌کننده هر DNS دیگری را به‌عنوان سرور DNS اصلی داشته باشد و می‌توانید ثانویه را روی آدرس 127.0 تنظیم کنید. 0.1. این تنظیم باید انجام شود زیرا برای شروع عادی سرویس اکتیو دایرکتوری، یک DNS در حال کار مورد نیاز است و برای شروع DNS، سرویس Active Directory باید در حال اجرا باشد، زیرا خود منطقه DNS در آن قرار دارد.
    مطمئن شوید که مناطق جستجوی معکوس را برای همه شبکه های خود تنظیم کرده و به روز رسانی ایمن خودکار رکوردهای PTR را فعال کنید.
    من توصیه می کنم علاوه بر این، پاکسازی منطقه خودکار سوابق DNS منسوخ شده را فعال کنید.
    اگر سرورهای سریعتر دیگری در موقعیت جغرافیایی شما وجود ندارد، توصیه می کنم سرورهای محافظت شده Yandex را به عنوان DNS-Forwarders مشخص کنید.

    سایت ها و تکثیر
    بسیاری از مدیران به این فکر می کنند که وب سایت ها یک گروه بندی جغرافیایی از رایانه ها هستند. به عنوان مثال، سایت مسکو، سایت سنت پترزبورگ. این ایده به دلیل این واقعیت به وجود آمد که تقسیم اولیه اکتیو دایرکتوری به سایت ها با هدف متعادل کردن و جداسازی ترافیک شبکه تکراری انجام شد. کنترل کننده های دامنه در مسکو نیازی به دانستن این موضوع ندارند که اکنون ده حساب کامپیوتری در سن پترزبورگ ایجاد شده است. و بنابراین، چنین اطلاعاتی در مورد تغییرات را می توان یک بار در ساعت طبق برنامه منتقل کرد. یا حتی یک بار در روز و فقط در شب تغییرات را تکرار کنید تا در پهنای باند صرفه جویی کنید.
    من این را در مورد وب سایت ها می گویم: وب سایت ها گروه های منطقی رایانه ها هستند. کامپیوترهایی که با اتصال شبکه خوب به یکدیگر متصل هستند. و خود سایت ها با اتصال پهنای باند کم به یکدیگر متصل می شوند که این روزها نادر است. بنابراین، من اکتیو دایرکتوری را به سایت‌هایی تقسیم می‌کنم تا ترافیک تکرار را متعادل کند، بلکه برای متعادل کردن بار شبکه به طور کلی و برای پردازش سریع‌تر درخواست‌های مشتری از رایانه‌های سایت. بگذارید با یک مثال توضیح دهم. یک شبکه محلی 100 مگابیتی یک سازمان وجود دارد که توسط دو کنترلر دامنه سرویس دهی می شود و یک ابر وجود دارد که سرورهای اپلیکیشن این سازمان با دو کنترلر دیگر ابری در آن قرار دارند. من چنین شبکه‌ای را به دو سایت تقسیم می‌کنم تا کنترل‌کننده‌های شبکه محلی درخواست‌های مشتریان از شبکه محلی را پردازش کنند و کنترل‌کنندگان در ابر درخواست‌ها را از سرورهای برنامه پردازش کنند. علاوه بر این، این به شما امکان می دهد درخواست ها را از سرویس های DFS و Exchange جدا کنید. و از آنجایی که اکنون به ندرت کانال اینترنتی کمتر از 10 مگابیت در ثانیه می بینم، Notify Based Replication را فعال می کنم، این زمانی است که به محض هر گونه تغییر در اکتیو دایرکتوری، تکثیر داده ها بلافاصله رخ می دهد.

    نتیجه
    امروز صبح داشتم به این فکر می‌کردم که چرا خودخواهی انسان در جامعه مورد استقبال قرار نمی‌گیرد و جایی در سطح عمیقی از ادراک باعث ایجاد احساسات شدید منفی می‌شود. و تنها پاسخی که به ذهن من رسید این بود که نژاد بشر اگر به اشتراک گذاشتن منابع فیزیکی و فکری را نمی آموخت روی این سیاره زنده نمی ماند. به همین دلیل است که من این مقاله را با شما به اشتراک می گذارم و امیدوارم که توصیه های من به شما کمک کند تا سیستم خود را بهبود ببخشید و زمان قابل توجهی کمتری برای عیب یابی صرف کنید. همه اینها منجر به آزاد شدن زمان و انرژی بیشتر برای خلاقیت می شود. زندگی در دنیای افراد خلاق و آزاد بسیار لذت بخش تر است.
    خوب است اگر در صورت امکان، دانش و شیوه ساخت اکتیو دایرکتوری را در نظرات به اشتراک بگذارید.
    صلح و سلامتی برای همه!

    می توانید کمک کنید و مبلغی را برای توسعه سایت انتقال دهید

    هر کاربر مبتدی که با علامت اختصاری AD مواجه می شود، از خود می پرسد که Active Directory چیست؟ Active Directory یک سرویس دایرکتوری است که توسط مایکروسافت برای شبکه های دامنه ویندوز توسعه یافته است. در اکثر سیستم عامل های ویندوز سرور به عنوان مجموعه ای از فرآیندها و خدمات گنجانده شده است. در ابتدا، این سرویس فقط با دامنه ها سروکار داشت. با این حال، با شروع ویندوز سرور 2008، AD به نام طیف گسترده ای از خدمات هویت مبتنی بر دایرکتوری تبدیل شد. این باعث می شود Active Directory برای مبتدیان تجربه یادگیری بهتری داشته باشد.

    تعریف پایه

    سروری که Active Directory Domain Directory Services را اجرا می کند، کنترل کننده دامنه نامیده می شود. همه کاربران و رایانه‌های موجود در دامنه شبکه ویندوز را تأیید و مجوز می‌دهد، سیاست‌های امنیتی را برای همه رایانه‌های شخصی تخصیص داده و اجرا می‌کند، و نرم‌افزار را نصب یا به‌روزرسانی می‌کند. به عنوان مثال، هنگامی که کاربر به رایانه‌ای وارد می‌شود که به یک دامنه ویندوز متصل است، Active Directory رمز عبور ارائه‌شده را بررسی می‌کند و تعیین می‌کند که آیا موضوع یک مدیر سیستم است یا یک کاربر استاندارد. همچنین مدیریت و ذخیره سازی اطلاعات را فعال می کند، مکانیزم های احراز هویت و مجوز را فراهم می کند، و چارچوبی را برای استقرار سایر خدمات مرتبط ایجاد می کند: خدمات گواهی، خدمات دایرکتوری فدرال و سبک، و مدیریت حقوق.

    اکتیو دایرکتوری از LDAP نسخه 2 و 3، نسخه Kerberos مایکروسافت و DNS استفاده می کند.

    اکتیو دایرکتوری - چیست؟ به عبارت ساده در مورد پیچیده

    نظارت بر داده های شبکه یک کار وقت گیر است. حتی در شبکه های کوچک، کاربران معمولاً در یافتن فایل های شبکه و چاپگرها مشکل دارند. بدون نوعی دایرکتوری، شبکه های متوسط ​​تا بزرگ قابل مدیریت نیستند و اغلب در یافتن منابع با مشکل مواجه می شوند.

    نسخه های قبلی مایکروسافت ویندوز شامل خدماتی برای کمک به کاربران و مدیران در یافتن اطلاعات بود. Network Neighborhood در بسیاری از محیط‌ها مفید است، اما نقطه ضعف آشکار آن، رابط سخت و غیرقابل پیش‌بینی آن است. WINS Manager و Server Manager را می توان برای مشاهده لیستی از سیستم ها استفاده کرد، اما آنها برای کاربران نهایی در دسترس نبودند. مدیران از User Manager برای افزودن و حذف داده‌ها از نوع کاملاً متفاوتی از شی شبکه استفاده کردند. مشخص شد که این برنامه‌ها در شبکه‌های بزرگ ناکارآمد هستند و این سوال را مطرح می‌کنند که چرا شرکت‌ها به Active Directory نیاز دارند؟

    دایرکتوری، در کلی ترین معنای، فهرست کاملی از اشیاء است. دفترچه تلفن نوعی دایرکتوری است که اطلاعات افراد، مشاغل و سازمان های دولتی و ... را ذخیره می کندآنها معمولاً نام، آدرس و شماره تلفن را ضبط می کنند.تعجب می کند اکتیو دایرکتوری - چیست، به عبارت ساده می توان گفت که این فناوری شبیه به یک دایرکتوری است، اما بسیار انعطاف پذیرتر است. AD اطلاعات مربوط به سازمان ها، سایت ها، سیستم ها، کاربران، اشتراک ها و هر موجودیت شبکه دیگری را ذخیره می کند.

    مقدمه ای بر مفاهیم Active Directory

    چرا یک سازمان به Active Directory نیاز دارد؟ همانطور که در مقدمه Active Directory ذکر شد، این سرویس اطلاعات مربوط به اجزای شبکه را ذخیره می کند.راهنمای Active Directory for Beginners توضیح می دهد که این به مشتریان اجازه می دهد تا اشیاء را در فضای نام خود پیدا کنند.این تی این اصطلاح (که درخت کنسول نیز نامیده می شود) به منطقه ای اشاره دارد که یک جزء شبکه می تواند در آن قرار گیرد. به عنوان مثال، فهرست مطالب یک کتاب فضای نامی ایجاد می کند که در آن می توان فصول را به شماره صفحات اختصاص داد.

    DNS یک درخت کنسول است که نام هاست را به آدرس های IP ماننددفترچه‌های تلفن فضای نامی برای حل نام شماره‌های تلفن فراهم می‌کنند.چگونه این اتفاق در اکتیو دایرکتوری می افتد؟ AD یک درخت کنسول برای حل نام اشیاء شبکه به خود اشیا ومی‌تواند طیف گسترده‌ای از موجودیت‌ها، از جمله کاربران، سیستم‌ها و سرویس‌ها را در شبکه حل کند.

    اشیاء و صفات

    هر چیزی که اکتیو دایرکتوری آن را ردیابی کند یک شی در نظر گرفته می شود.به زبان ساده می توان گفت که این در اکتیو دایرکتوری است هر کاربر، سیستم، منبع یا سرویس است. یک شی اصطلاح رایج استفاده می شود زیرا AD قادر به ردیابی بسیاری از عناصر است و بسیاری از اشیاء می توانند ویژگی های مشترک را به اشتراک بگذارند. چه مفهومی داره؟

    ویژگی ها اشیاء را در اکتیو دایرکتوری توصیف می کنند، به عنوان مثال، همه اشیاء کاربر برای ذخیره نام کاربری ویژگی هایی را به اشتراک می گذارند. این در مورد توضیحات آنها نیز صدق می کند. سیستم ها نیز اشیاء هستند، اما دارای مجموعه ای جداگانه از ویژگی ها هستند که شامل نام میزبان، آدرس IP و مکان است.

    مجموعه ای از ویژگی های موجود برای هر نوع خاصی از شی را طرحواره می نامند. کلاس های شی را از یکدیگر متمایز می کند. اطلاعات طرحواره در واقع در Active Directory ذخیره می شود. این که این رفتار پروتکل امنیتی بسیار مهم است با این واقعیت نشان می‌دهد که طراحی به مدیران اجازه می‌دهد تا ویژگی‌هایی را به کلاس‌های شی اضافه کنند و آنها را در سراسر شبکه در تمام گوشه‌های دامنه بدون راه‌اندازی مجدد هیچ کنترل‌کننده دامنه توزیع کنند.

    ظرف LDAP و نام

    کانتینر نوع خاصی از شی است که برای سازماندهی عملیات یک سرویس استفاده می شود. این یک موجودیت فیزیکی مانند یک کاربر یا یک سیستم را نشان نمی دهد. در عوض، برای گروه بندی عناصر دیگر استفاده می شود. اشیاء کانتینری را می توان در کانتینرهای دیگر تودرتو کرد.

    هر عنصر در AD یک نام دارد. اینها آنهایی نیستند که شما به آنها عادت دارید، مثلاً ایوان یا اولگا. اینها اسامی متمایز LDAP هستند. نام‌های متمایز LDAP پیچیده هستند، اما به شما این امکان را می‌دهند که هر شیء را بدون در نظر گرفتن نوع آن، به‌طور منحصربه‌فرد شناسایی کنید.

    درخت اصطلاحات و وب سایت

    درخت اصطلاح برای توصیف مجموعه ای از اشیاء در اکتیو دایرکتوری استفاده می شود. این چیه؟ به عبارت ساده، این را می توان با استفاده از یک ارتباط درختی توضیح داد. هنگامی که ظروف و اشیاء به صورت سلسله مراتبی با هم ترکیب می شوند، تمایل به تشکیل شاخه دارند - از این رو نام آن. یک اصطلاح مرتبط فرعی پیوسته است که به تنه اصلی شکسته نشده درخت اشاره دارد.

    در ادامه استعاره، اصطلاح "forest" مجموعه‌ای را توصیف می‌کند که بخشی از فضای نام یکسان نیست، اما یک طرحواره، پیکربندی و فهرست جهانی مشترک دارد. اشیاء در این ساختارها در صورت اجازه امنیت برای همه کاربران در دسترس هستند. سازمان هایی که به چندین دامنه تقسیم می شوند باید درختان را در یک جنگل واحد گروه بندی کنند.

    سایت یک مکان جغرافیایی است که در Active Directory تعریف شده است. سایت‌ها با زیرشبکه‌های IP منطقی مطابقت دارند و به این ترتیب، می‌توانند توسط برنامه‌ها برای یافتن نزدیک‌ترین سرور در شبکه استفاده شوند. استفاده از اطلاعات سایت از Active Directory می تواند ترافیک شبکه های WAN را به میزان قابل توجهی کاهش دهد.

    مدیریت اکتیو دایرکتوری

    کامپوننت snap Users Active Directory. این راحت ترین ابزار برای مدیریت اکتیو دایرکتوری است. مستقیماً از گروه برنامه Administrative Tools در منوی Start قابل دسترسی است. این برنامه مدیر سرور و مدیر کاربر ویندوز NT 4.0 را جایگزین و بهبود می بخشد.


    ایمنی

    اکتیو دایرکتوری نقش مهمی در آینده شبکه های ویندوز ایفا می کند. مدیران باید بتوانند از دایرکتوری خود در برابر مهاجمان و کاربران محافظت کنند در حالی که وظایف را به مدیران دیگر محول می کنند. همه اینها با استفاده از مدل امنیتی Active Directory امکان پذیر است که یک لیست کنترل دسترسی (ACL) را با هر کانتینر و ویژگی شی در دایرکتوری مرتبط می کند.

    سطح بالای کنترل به مدیر اجازه می‌دهد تا به کاربران و گروه‌های فردی سطوح مختلف مجوز بر روی اشیاء و ویژگی‌های آنها را اعطا کند. آنها حتی می توانند ویژگی هایی را به اشیاء اضافه کنند و آن ویژگی ها را از گروه های کاربری خاصی پنهان کنند. برای مثال، می‌توانید ACL را طوری تنظیم کنید که فقط مدیران بتوانند تلفن‌های خانگی دیگر کاربران را مشاهده کنند.

    مدیریت تفویض شده

    یک مفهوم جدید برای سرور ویندوز 2000 مدیریت تفویض شده است. این به شما امکان می دهد بدون اعطای حقوق دسترسی اضافی، وظایفی را به سایر کاربران اختصاص دهید. مدیریت تفویض شده را می توان از طریق اشیاء خاص یا زیردرخت های دایرکتوری پیوسته اختصاص داد. این روش بسیار کارآمدتری برای اعطای اختیار در سراسر شبکه ها است.

    که در در جایی که به شخصی تمام حقوق مدیر دامنه جهانی اختصاص داده شده است، کاربر فقط می تواند در یک زیر درخت خاص مجوز بگیرد. اکتیو دایرکتوری از وراثت پشتیبانی می کند، بنابراین هر شی جدید ACL کانتینر خود را به ارث می برد.

    اصطلاح "رابطه امانی"

    اصطلاح "رابطه امانتداری" هنوز استفاده می شود، اما کارکردهای متفاوتی دارد. هیچ تفاوتی بین اعتمادهای یک طرفه و دو طرفه وجود ندارد. به هر حال، تمام روابط اعتماد Active Directory دو طرفه هستند. علاوه بر این، همه آنها گذرا هستند. بنابراین، اگر دامنه A به دامنه B و B به C اعتماد دارد، یک رابطه اعتماد ضمنی خودکار بین دامنه A و دامنه C وجود دارد.

    حسابرسی در اکتیو دایرکتوری - به عبارت ساده چیست؟ این یک ویژگی امنیتی است که به شما امکان می‌دهد تعیین کنید چه کسی در تلاش برای دسترسی به اشیاء است و این تلاش چقدر موفقیت آمیز است.

    استفاده از DNS (سیستم نام دامنه)

    این سیستم که به عنوان DNS شناخته می شود، برای هر سازمانی که به اینترنت متصل است ضروری است. DNS تفکیک نام را بین نام‌های رایج، مانند mspress.microsoft.com و آدرس‌های IP خام، که اجزای لایه شبکه برای ارتباط استفاده می‌کنند، ارائه می‌کند.

    اکتیو دایرکتوری به طور گسترده از فناوری DNS برای جستجوی اشیا استفاده می کند. این یک تغییر قابل توجه نسبت به سیستم عامل های قبلی ویندوز است که نیاز به حل نام های NetBIOS توسط آدرس های IP دارند و به WINS یا سایر تکنیک های تشخیص نام NetBIOS متکی هستند.

    اکتیو دایرکتوری زمانی که با سرورهای DNS دارای ویندوز 2000 استفاده می شود بهترین عملکرد را دارد. مایکروسافت با ارائه جادوگران مهاجرت که سرپرست را در طول فرآیند هدایت می کند، مهاجرت به سرورهای DNS مبتنی بر ویندوز 2000 را برای مدیران آسان تر کرده است.

    ممکن است از سایر سرورهای DNS استفاده شود. با این حال، این امر مستلزم صرف وقت بیشتر مدیران برای مدیریت پایگاه داده های DNS است. تفاوت های ظریف چیست؟ اگر ترجیح می دهید از سرورهای DNS دارای ویندوز 2000 استفاده نکنید، باید اطمینان حاصل کنید که سرورهای DNS شما با پروتکل جدید به روز رسانی پویا DNS مطابقت دارند. سرورها برای یافتن کنترلرهای دامنه به به روز رسانی پویا سوابق خود متکی هستند. راحت نیست. پس از همه، eاگر به روز رسانی پویا پشتیبانی نمی شود، باید پایگاه داده ها را به صورت دستی به روز کنید.

    دامنه های ویندوز و دامنه های اینترنتی اکنون کاملاً سازگار هستند. به عنوان مثال، نامی مانند mspress.microsoft.com کنترل کننده های دامنه Active Directory مسئول دامنه را شناسایی می کند، بنابراین هر کلاینت با دسترسی DNS می تواند کنترل کننده دامنه را پیدا کند.مشتریان می‌توانند از وضوح DNS برای جستجوی هر تعداد سرویس استفاده کنند، زیرا سرورهای Active Directory فهرستی از آدرس‌های DNS را با استفاده از ویژگی‌های جدید به‌روزرسانی پویا منتشر می‌کنند. این داده به عنوان یک دامنه تعریف شده و از طریق سوابق منابع خدمات منتشر می شود. SRV RR فرمت را دنبال کنید service.protocol.domain.

    سرورهای اکتیو دایرکتوری سرویس LDAP را برای میزبانی شی ارائه می دهند و LDAP از TCP به عنوان پروتکل لایه انتقال زیرین استفاده می کند. بنابراین، کلاینت‌ای که به دنبال یک سرور Active Directory در دامنه mspress.microsoft.com می‌گردد، ورودی DNS را برای ldap.tcp.mspress.microsoft.com جستجو می‌کند.

    کاتالوگ جهانی

    اکتیو دایرکتوری یک کاتالوگ جهانی (GC) ویک منبع واحد برای جستجوی هر شی در شبکه یک سازمان فراهم می کند.

    کاتالوگ جهانی سرویسی در سرور ویندوز 2000 است که به کاربران این امکان را می دهد تا هر شیء اشتراک گذاری شده را پیدا کنند. این عملکرد بسیار برتر از برنامه Find Computer موجود در نسخه های قبلی ویندوز است. پس از همه، کاربران می توانند هر شی را در Active Directory جستجو کنند: سرورها، چاپگرها، کاربران و برنامه ها.

    Active Directory یک سرویس دایرکتوری مایکروسافت برای خانواده سیستم عامل های ویندوز NT است.

    این سرویس به مدیران اجازه می دهد تا از سیاست های گروهی برای اطمینان از یکنواختی تنظیمات محیط کار کاربر، نصب نرم افزار، به روز رسانی و غیره استفاده کنند.

    ماهیت اکتیو دایرکتوری چیست و چه مشکلاتی را حل می کند؟ ادامه مطلب

    اصول سازماندهی شبکه های همتا به همتا و چند همتا

    اما مشکل دیگری پیش می آید، اگر user2 در PC2 تصمیم به تغییر رمز عبور خود بگیرد چه؟ سپس اگر user1 رمز عبور حساب را تغییر دهد، user2 در PC1 قادر به دسترسی به منبع نخواهد بود.

    مثال دیگر: ما 20 ایستگاه کاری با 20 اکانت داریم که می خواهیم به یک اکانت خاص دسترسی داشته باشیم.

    اگر 20 نفر نباشند بلکه 200 نفر باشند چه؟

    همانطور که می دانید مدیریت شبکه با این رویکرد به جهنم مطلق تبدیل می شود.

    بنابراین، رویکرد گروه کاری برای شبکه های اداری کوچک با حداکثر 10 رایانه شخصی مناسب است.

    اگر بیش از 10 ایستگاه کاری در شبکه وجود داشته باشد، رویکردی که در آن به یک گره شبکه حقوقی برای انجام احراز هویت و مجوز تفویض شده است، منطقی توجیه می شود.

    این گره کنترل کننده دامنه - Active Directory است.

    کنترل کننده دامنه

    کنترلر یک پایگاه داده از حساب ها را ذخیره می کند، به عنوان مثال. این حساب ها را برای PC1 و PC2 ذخیره می کند.

    اکنون همه اکانت ها یک بار روی کنترلر ثبت می شوند و نیاز به حساب های محلی بی معنی می شود.

    اکنون، هنگامی که کاربر وارد رایانه شخصی می شود و نام کاربری و رمز عبور خود را وارد می کند، این داده ها به صورت خصوصی به کنترل کننده دامنه منتقل می شود که مراحل احراز هویت و مجوز را انجام می دهد.

    پس از آن، کنترلر برای کاربری که وارد شده است چیزی مانند پاسپورت صادر می کند، که متعاقباً با آن در شبکه کار می کند و به درخواست سایر رایانه های شبکه، سرورهایی که می خواهد به منابع آنها متصل شود، ارائه می دهد.

    مهم! Domain Controller کامپیوتری است که Active Directory را اجرا می کند و دسترسی کاربر به منابع شبکه را کنترل می کند. منابع (مانند چاپگرها، پوشه‌های مشترک)، خدمات (مثلاً ایمیل)، افراد (حساب‌های کاربر و گروه کاربر)، رایانه‌ها (حساب‌های رایانه‌ای) را ذخیره می‌کند.

    تعداد چنین منابع ذخیره شده می تواند به میلیون ها شی برسد.

    نسخه های زیر MS Windows می توانند به عنوان یک کنترل کننده دامنه عمل کنند: Windows Server 2000/2003/2008/2012 به جز Web-Edition.

    دامین کنترلر علاوه بر اینکه مرکز احراز هویت شبکه است، مرکز کنترل تمامی کامپیوترها نیز می باشد.

    بلافاصله پس از روشن شدن، کامپیوتر شروع به تماس با کنترل کننده دامنه، مدت ها قبل از ظاهر شدن پنجره احراز هویت می کند.

    بنابراین، نه تنها کاربری که لاگین و رمز عبور را وارد می کند، احراز هویت می شود، بلکه رایانه مشتری نیز احراز هویت می شود.

    نصب اکتیو دایرکتوری

    بیایید به نمونه ای از نصب اکتیو دایرکتوری در ویندوز سرور 2008 R2 نگاه کنیم. بنابراین، برای نصب نقش Active Directory، به "Server Manager" بروید:

    نقش "افزودن نقش" را اضافه کنید:

    نقش Active Directory Domain Services را انتخاب کنید:

    و اجازه دهید نصب را شروع کنیم:

    پس از آن ما یک پنجره اعلان در مورد نقش نصب شده دریافت می کنیم:

    پس از نصب نقش کنترلر دامنه، به نصب خود کنترلر می پردازیم.

    در قسمت جستجوی برنامه روی "شروع" کلیک کنید، نام جادوگر DCPromo را وارد کنید، آن را راه اندازی کنید و کادر تنظیمات نصب پیشرفته را علامت بزنید:

    روی «بعدی» کلیک کنید و از میان گزینه‌های ارائه شده، یک دامنه و جنگل جدید ایجاد کنید.

    نام دامنه را وارد کنید، برای مثال example.net.

    ما نام دامنه NetBIOS را بدون منطقه می نویسیم:

    سطح عملکرد دامنه ما را انتخاب کنید:

    با توجه به ویژگی های عملکرد کنترل کننده دامنه، ما یک سرور DNS نیز نصب می کنیم.

    مکان های پایگاه داده، فایل گزارش و حجم سیستم بدون تغییر باقی می مانند:

    رمز عبور مدیر دامنه را وارد کنید:

    ما صحت پر کردن را بررسی می کنیم و اگر همه چیز درست است، روی "بعدی" کلیک کنید.

    پس از این، فرآیند نصب آغاز می شود که در پایان آن پنجره ای ظاهر می شود که به شما اطلاع می دهد که نصب با موفقیت انجام شده است:

    معرفی اکتیو دایرکتوری

    این گزارش دو نوع شبکه کامپیوتری را که می توان با استفاده از سیستم عامل مایکروسافت ایجاد کرد، مورد بحث قرار می دهد: گروه کاری و دامنه اکتیو دایرکتوری.

    مواد مرتبط:
    نقشه سایت