25 آبان 1395 70-410 بدون دیدگاه

فصل 5 : نصب و مدیریت Active Directory

یک سرویس Directory (راهنما) یک انبار از اطلاعات درباره منابع ( سخت افزار ، نرم افزار و انسان ها ) است که به یک شبکه کانکت می باشد. کاربرها ، کامپیوترها و برنامه ها در شبکه می توانند برای اهداف متنوعی مانند تصدیق کاربر ، پیکربندی و ذخیره سازی اطلاعات و حتی مراجعه به صفحات ساده به این انبار دسترسی داشته باشند.

Active Directory Domain Services (ADDS) سرویس Directory است که مایکروسافت اولین بار در Windows Server 2000 معرفی کرد و آن را در هر نسخه ی بعدی Windows Server تا Windows server 2012 ارتقا داده است.

این فصل بعضی از کارهای ابتدایی که Administrator ها برای نصب و مدیریت ADDS اجرا می کنند را بیان می کند.

درس های این فصل :

  • نصب Domain Controllers
  • درست کردن و مدیریت Active Directory Users And Computers
  • درست کردن و مدیریت Active Directory Groups و Organizational Units(OUs)

{tab درس اول}

درس 1 : نصب Domain Controllers

ADDS یک سرویس Directory است که Administrator ها را قادر می سازد که بخش هایی به نام Domain بسازند. Domain یک محفظه ی منطقی شامل مؤلفه های شبکه است که حداقل توسط یک سرور به عنوان Domain Controller میزبانی می شود. Domain Controllerهای هر Domain برای تحمل خطا و تعادل در Load کردن اطلاعات خود را بین هم تکرار می کنند و برمی گردانند.

بعد از گذراندن این دوره قادر خواهید بود که :

  • اضافه و حذف کردن Domain Controller از یک Domain
  • ارتقای یک Domain Controller
  • نصب Active Directory Domain Services (ADDS) به صورت Core Installation
  • نصب Domain Controller از Install From Media (IFM)
  • حل مشکل های ثبت نام DNS Server Record
  • پیکربندی یک Global Catalog Server

خلاصه ی درس :

  • یک سرویس Directory (راهنما) یک انبار از اطلاعات درباره منابع ( سخت افزار ، نرم افزار و انسان ها ) است که به یک شبکه کانکت می باشد. کاربرها ، کامپیوترها و برنامه ها در شبکه می توانند برای اهداف متنوعی مانند تصدیق کاربر ، پیکربندی و ذخیره سازی اطلاعات و حتی مراجعه به صفحات ساده به این انبار دسترسی داشته باشند.

Active Directory Domain Services (ADDS) سرویس Directory است که مایکروسافت اولین بار در Windows Server 2000 معرفی کرد و آن را در هر نسخه ی بعدی Windows Server تا Windows server 2012 ارتقا داده است.

  • وقتی شما اولین Domain خود را روی شبکه ی Active Directory می سازید، در واقع در حال ساخت Root از یک Domain tree هستید. شما می توانید Domain را با Domain های Additional پر جمعیت تر کنید تا زمانی که آن ها بخشی از یک Name Space باشند.
  • در شروع نصب یک ADDS جدید، قدم اول ایجاد یک Forest جدید است که شما این کار را با ساختن اولین Domain در Forest انجام می دهید، به آن Forest Root Domain گفته می شود.
  • در Windows server 2012 در حال حاضر این امکان وجود دارد که با استفاده از Windows PowerShell ، ADDS را روی یک کامپیوتر که Server Core Installation دارد نصب کنید و آن را به Domain Controller ارتقا بدهید.
  • IFM یک Feature است که Administrator ها را قادر می سازد که روند پردازش توسعه ی Domain Controller ها به Remote Site ها را ساده کنند.
  • ·2راه برای Upgrade کردن ADDS وجود دارد. شما می توانید Domain Controller های level پایین موجود را به Windows Server 2012 ، Upgrade کنید یا این که یک Windows Server 2012 Domain Controller جدید را به نصب فعلی خود Add کنید.
  • Global Catalog یک شاخص از همه ی Object های ADDS در Forest است که از Search کردن سیستم ها بین چند Domain Controller  جلوگیری می کند.
  • DNS برای عمل کردن ADDS یک عضو حیاتی محسوب می شود. برای تطبیق دادن یک سرویس Directory مانند ADDS ، یک DNS Recourse Record ساخته شده تا به کلاینت ها این توانایی را بدهد که Domain Controller ها و سایر سرویس های ADDS حیاتی را مکان یابی کنند.

{tab درس دوم}  

درس 2 : درست کردن و مدیریت کردن Active Directory Users And Computers

کاربر ها و کامپیوتر ها مانند برگ های پایه ای هستند که شاخه های درخت ADDS را پر جمعیت می کنند. درست کردن و مدیریت آن ها جزء وظایف هر روزه ی بیشتر ADDS Administrator ها است.

پس از گذراندن این دوره قادر خواهید بود که :

  • مکانیزه کردن روند ساخت حساب های Active Directory
  • ساخت ، کپی ، پیکربندی و حذف کاربرها و کامپیوترها
  • پیکر بندی Template ها
  • اجرای حجم زیادی از کارها در Active Directory
  • پیکربندی User Right
  • Join شدن به دومین در حالت Offline
  • مدیریت حساب های غیر فعال و Disable شده

خلاصه ی درس :

  • حساب های کاربری ابتدایی ترین وسیله برای دسترسی افراد به منابع روی یک شبکه ی ADDS است.
  • یکی از معمولی ترین وظایف Administrator ها ساختن حساب های کاربری Active Directory است. Windows Server 2012 شامل یک سری ابزار برای ساختن این حساب ها است.
  • Windows server 2012 ، اپلیکیشن Active Directory Administrative Center (ADAC) را که اول در Windows Server 2008 R2 برای ترکیب کردن کامل Feature های جدید مانند Active Directory Recycle Bin و Fine-Grained Password Policies معرفی شد ، باز طراحی کرده است.

شما می توانید از این ابزار برای ساختن و مدیریت حساب های کاربری ADDS هم استفاده کنید.

  • Microsoft Excel و Microsoft Exchange ، 2 اپلیکیشن رایج هستند که شما با استفاده از اطلاعات آن ها می توانید یک تعداد کاربر داشته باشید و آن ها را به پایگاه داده ی ADDS اضافه کنید. در این موارد شما می توانید با ذخیره کردن این فایل ها با فرمت CSV اطلاعات این اپلیکیشن ها را استخراج کنید.
  • یک برنامه ی سودمند است که قابلیت را دارد و با استفاده از آن می توانید Record های فعلی موجود در Active Directory را تغییر دهید.
  • از آن جایی که شبکه های ADDS از یک مسیر متمرکز استفاده می کنند ، باید وسیله ای برای پیگیری کردن کارهای کامپیوترهای روی شبکه وجود داشته باشد. به این منظور ، Active Directory از Computer Account ها استفاده می کند که در پایگاه داده ی Active Directory به صورت کامپیوتر ثبت شده اند.
  • پروسه ی Join کردن یک کامپیوتر به Domain باید روی خود کامپیوتر و توسط یکی از Administratorها انجام شود.
  • شما میتوانید با استفاده از یک برنامه ی Command-Line به نام ، Offline Domain Join انجام دهید. به عبارت دیگر کامپیوترها را در حالتی که سرور خاموش است به Domain ، Join کنید.

{tab درس سوم}

درس 3 : درست کردن و مدیریت Active Directory Groups And Organizational Unit

OU ها می توانند به صورت تو در تو مدلی را طراحی کنند که Administrator ها را قادر می سازد از بحث ارث بری که پیشتر راجع به آن صحبت شد ، نهایت استفاده را ببرند. شما می توانید تعداد OU های تو در تو را محدود کنید ، چون ازدیاد آن ها می تواند باعث کندی زمان پاسخ گویی به درخواست های منابع و ایجاد پیچیدگی در تنظیمات Application Group Policy شود.

وقتی شما برای اولین بار Active Directory Domain Services را نصب می کنید فقط یک OU به صورت پیش فرض در Domain قرار دارد که نام آن Domain Controller است. همه ی OU های دیگر باید توسط Administrator ایجاد شود.

نکته :

OU ها جزء مؤلفه های امنیتی نیستند. این به این معناست شما نمی توانید روی منابعی که عضو یک OU هستند بر پایه ی OU ها ، permission دسترسی اختصاص دهید. تفاوت OU ها و Global Group ها ، Domain Local Group ها و Universal Group ها هم در همین است. Group ها برای تخصیص Permission های دسترسی مورد استفاده قرار می گیرند در حالی که OU ها برای مرتب سازی و سازماندهی منابع و همچنین محول کردن Permission ها استفاده می شوند.

یک نوع دیگر مرتب سازی در Domain هم وجود دارد که به آن Container گفته می شود. برای مثال : یک Domain که تازه ایجاد شده چند Container در خود دارد. یکی از آن ها Users است که شامل Userها و Groupهای از پیش تعیین می باشد و دیگر که Computers نام دارد که شامل کامپیوتر هایی است که به Domain متصل شده اند.

مانند OUها ، شما نمی توانید به Container ها Group Policy اختصاص دهید ، همینطور نمی توانید Container های جدید را با استفاده از ابزار های استاندارد Active Directory Administration ، مانند کنسول Active Directory Users And Computers بسازید.برای ایجاد Container های جدید باید از Script ها استفاده کنید ولی اینکار لزومی ندارد. چون استفاده از OUها یک روش ترجیح داده شده ای برای بخش بندی یک Domain است.

بعد از گذراندن این دوره قادر خواهید بود که :

  • پیکربندی Group Nesting
  • تبدیل کردن Group ها (شامل Security ، Distribution ، Domain Local Universal و Domain Global)
  • مدیریت اعضای Group با استفاده از Group Policy
  • حساب کردن عضویت Group ها
  • محول کردن ساخت و مدیریت Active Directory Objects
  • مدیریت Container های پیشفرض Active Directory
  • ایجاد کردن ، کپی کردن ، پیکربندی و حذف کردن Group ها و OU ها

خلاصه ی درس :

  • بعد از اینکه طراحی Domain ها و Tree ها و Forest های سطح بالاتر از آن ها را انجام دادید ، باید ایجاد درجه بندی در هر Domain را شروع کنید.
  • اضافه کردن OU به سلسله مراتب Active Directory از ایجاد Domain آسان تر است. به این صورت که دیگر نیازی به سخت افزار نیست و شما می توانید به آسانی آن ها را در صورت نیاز جا به جا یا حذف کنید.
  • وقتی می خواهید یک سری Permission را به چند User بدهید که طبق آن ها به منابع دسترسی داشته باشند مثلا File System Share یا Printer ، نمی توانید این کار را روی OU ها انجام دهید. به جای آن باید از Security Group ها استفاده کنید. با این که همه ی این ها عامل های مرتب ساز Object ها هستند Group ها بر خلاف OU ها و Domain ها جزء مؤلفه های سلسله مراتبی Active Directory نیستند.
  • OU ها ساده ترین نوع Object برای ایجاد درجه بندی در ADDSهستند. فقط لازم است که به آن یک اسم اختصاص دهید و مسیر آن را در Active Directory Tree مشخص کنید.
  • ساختن OU ها این امکان را ایجاد می کند که بتوانید یک مدل مدیریت نا متمرکز را اجرا کنید. به طوری که هر کدام بخشی از ADDS را مدیریت می کنند بدون اینکه ساختار کلی را تحت تاثیر قرار دهند.
  • Group ها ، Administrator ها را قادر می سازد که بتوانند در یک زمان به تعداد زیادی User ، Permission اختصاص دهند. یک Group می تواند به صورت یک ترکیب از حساب های کاربری و کامپیوتری باشد که نقش یک مؤلفه ی امنیتی را ایفا می کند. تقریبا مانند کاری که User ها انجام می دهند.
  • در Active Directory دو نوع Group داریم : Security و Distribution . همینطور سه نوع Group Scope داریم به نام های : Domain Local ، Global و Universal
  • Group Nesting (گروه های تو در تو) ، اصطلاحی است که وقتی چند گروه به عنوان اعضای گروه دیگری در نظر گرفته می شوند، استفاده می شود.
  • می توان عضویت گروه ها را با استفاده از Group Policy کنترل کرده و وقتی که شما Group Policy تعریف می کنید ، می توانید عضویت یک Group را مشخص کرده و آن را اجرا کنیم تا دیگر کسی نتواند عضوی را به آن اضافه یا از آن حذف کند.

{/tabs}