13 بهمن 1393 configuring windows server 2008 R2 بدون دیدگاه

 فصل دوازدهم :Domains and Forests   

مقدمه

 در فصل اول آموختید که چگونه AD DS احراز هویت و سطح دسترسی ها (Identity & Access) را کنترل می کند. هم چنین آموختید که چگونه یک ADDS ساده بسازید که شامل یک Forest و یک Domain بود.ولی همیشه شبکه شما آنقدر ساده و کوچک نیست که شامل یک Forest و Domain باشد، گاهی ممکن است چندین Domain در یک Forest داشته باشید، حتی ممکن است نیاز پیدا کنید که چندین Forest را مدیریت کنید. در این فصل سطح های بالاتر AD DS صحبت می کنیم و در مورد مدل و ساختار Domain ها و Forest ها می باشد. هم چنین می آموزید که چکونه Domain functional Level  و Forest Functional Level را افزایش دهید، چگونه  Object ها را بین Domain و Forest جابجا کنید، چگونه بهترین ساختار را برای Domain ها و Forest ها طراحی کنید، و…

 مواردی که برای آزمون باید یاد بگیرید :

 ·         پیکربندی Active Directory Infrastructure

 ·         پیکربندی یک Forest یا یک Domain

 ·         پیکربندی Trusts

{tab  درس اول :درک مفاهیم مربوط به،Forest و DomainFunctional Levels}

 زمانی که یک DC که روی آن ویندوز سرور 2008 نصب شده است را به Domain ی اضافه کنید که دارای ویندوز سرور 2003 نیز باشد، در آن صورت ویندوز سرور 2008 نمی تواند از تمام قابلیت های خود استفاده کند. به بیان ساده تر ویندوز سرور 2008 باید سطح خود را پایین بیاورد تا بتواند با ویندوز سرور 2003 ارتباط برقرار کند. این مبحث که به آن Functional Level گفته می شود در این فصل تشریح می شود.

خلاصه درس اول:

  • Domain & Forest Functional levels مشخص می کند که چه قابلیت هایی در Active Directory فعال باشد و چه ورژن هایی از ویندوز سرور قابل پشتیبانی هستند. (توصیه می کنیم که ویندوز سرور های قدیمی شبکه را از رده خارج کنید تا بتوانید Functional Level  را افزایش دهید در نتیجه از حداکثر قابلیت های ویندوز سرور های خود استفاده کنید- مترجم)
  •  (از ویندوز 2003 به بعد متد Replication ارتقا یافت. تا پیش از آن اگر تغییر کوچکی در یک Object اعمال  می شد کل آن Object باید Replicate می شد مثلا اگر تغییری در Permission های یکی از اعضای یک Group اعمال می شد باید کل Group ، Replicate می شد. از  ویندوز سرور 2003 به بعد یک قابلیت اضافه شد که فقط آن بخش از یک Object که تغییر یافته Replicate شود به این قابلیت Linked-Value Replication  گفته می شود.- مترجم) اگر Forest Functional Level شما روی 2003 باشد می توانید از Linked-Value Replication ، RODC و سایر قابلیت های ویندوز سرور 2003 استفاده کنید.

{tab  درس دوم: مدیریت Multiple Domains & Trust Relationships}

 تا قبل از این فصل با شبکه هایی سر وکار داشتید که فقط یک Forest داشتند و در هر Forest فقط یک Domain وجود داشت(Single Domain). ولی همه شبکه ها تا این حد ساده و کوچک نیستند. در این فصل با ساختار چند Domain در یک Forest (که به آن Multiple Domain می گویند)، و با ساختار چند Forest آشنا می شوید. هم چنین می آموزید که چگونه Object های اکتیو دایرکتوری را بین Domain  ها جابجا کنید، چگونه ساختار یک Domain راتغییر دهید، چگونه منابع مشترک بین Domain ها و Forest ها را مدیریت کنید، چگونه Authentication بین Domain  ها و Forest ها انجام می شود. در این فصل مهارت های لازم برای مدیریت شبکه های پیچیده تر را فراخواهید گرفت.

  خلاصه درس دوم:

  •  با گسترش شبکه، ممکن است نیاز پیدا کنید که یک Domain اضافه کنید.
  •  Active Directory Migration Tool (ADMT) ابزاری است که به کمک ان می توان Object ها را بین Domain ها (چه Domain هایی که در یک Forest هستند و چه Domain  هایی که در دو Forest مختلف اند) جابجا کرد. زمانی که یک Account را به Domain دیگری می برید یک SID جدید به آن تعلق می گیرد. چون SID قبلی در sIDHistory attribute ذخیره می شود این Account حتی بعد از جابجا شدن و گرفتن SID جدید باز هم می تواند به منابعی که قبلا اجازه دسترسی داشت هم چنان دسترسی داشته باشد. به علاوه عضویت در Group های قبلی نیز باقی می ماند. همه این قابلیت ها را مدیون ADMT هستیم J
  •  Trust باعث می شود که کاربران Trusted Domain بتواند در کامپیوتر های Trusting Domain ، Authenticate شوند. هم چنین به Domain Local Group های آن نیز اضافه شوند تا بتوانند از منابع آن استفاده کنند. (به تفاوت ظریف Trusted Domain و Trusting Domain دقت کنید.)
  •  یک رابطه ی Trust دوطرفه از نوع Transitive بین هر Child  Domain و Parent Domain برقرار است. چنین رابطه ای بین Tree Root Domain  ها و Forest Root Domain وجود دارد. (در مورد Trust هایی که از نوع Transitive هستند تحقیق کنید)
  •  می توانید Trust هایی از نوع External Domains, Forests, & Kerberos v5 داشته باشید که هر کدام می توانند از نوع Transitive یا Nontransitive باشند. Trust های داخل یک Forest به طور پیش فرض از نوع Transitive هستند و Trust های External به طور پیش فرض از نوع Nontransitive هستند.
  •  با استفاده از Selective Authentication می توانید مشخص کنید که کدام User ها و Group ها از Trusted Domain می توانند روی کدام کامپیوتر های Trusting Domain ، Authenticate شوند.
  •  Domain Quarantine که به آن SID Filtering هم گفته می شود به صورت پیش فرض برای Forest Trust و External Trust فعال است این قابلیت باعث می شود که SID از دید Forest های دیگر مخفی می کند. (این گزینه را برای Trust های داخل Forest فعال نکنید – مترجم)

{tab خلاصه فصل}

 ارتقا دادن Forest & domain Functional Level با افزایش قابلیت های اکتیو دایرکتوری شما می شود، ولی به یاد داشته باشید که این عمل باعث می شود که ویندوز سرور های قدیم تر از آن نتوانند به اکتیو دایرکتوری شما متصل شوند.

  •  Trust باعث می شود که کاربران Trusted Domain بتواند در کامپیوتر های Trusting Domain ، Authenticate شوند. هم چنین به Domain Local Group های آن نیز اضافه شوند تا بتوانند از منابع آن استفاده کنند.
  •  یک رابطه ی Trust دوطرفه از نوع Transitive بین هر Child  Domain و Parent Domain برقرار است. چنین رابطه ای بین Tree Root Domain  ها و Forest Root Domain وجود دارد.
  •  External Trust بین دو Domain که در دو Forest قرار دارند. هم چنین می توانید یک Trust با Kerberos v5 realm بسازید.
  •  Cross-Forest Trust بین دو Forest Root ، Trust ایجاد می کند، به دلیل خاصیت Transitivity تمام دو Forest با هم Trust می شوند.
  •  با استفاده از Selective Authentication می توانید مشخص کنید که کدام User ها و Group ها از Trusted Domain می توانند روی کدام کامپیوتر های Trusting Domain ، Authenticate شوند.

{/tabs}