ccna90

درس هشتم: Active Directory users and computers – بخش نخست

موضوع: Active Directory users and computers – بخش نخست

(اکتیو دایکتوری بر روی سرور 2016 و آشنایی با سرویس اکتیو دایکتوری)

 

 

مقدمه

     به محض اینکه سرویس  AD CS روی DC دامین نصب میشود، چندین کنسول جدید به گزینه های موجود در بخش Administrative tools اضافه میگردد:

  • Active Directory users and computers
  • Active Directory sites and services
  • Active Directory domains and trusts
  • Active Directory administrative center
  • Active Directory modules for powershell

با عملکرد و قابلیت های هر کدام از  کنسولهای اکتیو دایرکتوری به مرور آشنا خواهید شد. کنسولهای اکتیو دایرکتوری را می توانید درون فولدری به نام Windows Administrative Tools در منوی استارت و یا در داخل administrative tools در control panel بیابید. طبعا توسط search هم در اختیار شما قرار خواهند گرفت. بهتر است یک shortcut از آنها روی دسکتاپ داشته باشید تا سریعا در اختیار شما باشند. در این درس و چند درس آینده در مورد Active Directory users and computers مطالبی خواهید آموخت. به اختصار این سرویس را بصورت AD users and computers خواهیم نوشت.

 

 

 

محیط AD users and computers

     در شکل ذیل نمای کلی این کنسول را مشاهده میکنید:

AD users and computers-general view-simple

 این کنسول از menu bar ، پنل سمت چپ و پنل سمت راست تشیل شده است. ممکن است گاهی در این دوره از اصطلاح ریشه کنسول استفاده کنیم. وقتی میگوییم ریشه کنسول، دقیقا منظور همین حالتی است که در شکل بالا مشاهده میکنید. در پنل سمت چپ، نام دامین ITPerfection.local انتخاب شده است. دامین فوق دارای موارد ذیل است:

  • یک container به نام builtin که شامل تمام آبجکت های پیشساخته AD users and computers می باشد.
  • یک Container به نام computers که شامل تمام کامیپوترهای عضو دامین میباشد. ( مگر آنهایی را که بصورت دستی به درون OU انتقال داده باشیم).
  • یک OU به نام Domain Controllers که دربرگیرنده تمام Domain Controller های دامین است. درباره مفهوم OU در درس های ابتدایی توضیح داده شده است. البته در ادامه با OUبیشتر آشنا خواهید شد)
  • یک Container به نام users که شامل تمام user های عضو دامین میباشد. ( مگر آنهایی را که بصورت دستی به درون OU انتقال داده باشیم).
  • دو container دیگر به نام Managed Service Accounts و ForeignSecurityPrincipales که در ادامه با این container ها نیز آشنا خواهید شد.

     نمایی که از این کنسول مشاهده میکنید، نمای ساده این کنسول می باشد. مانند شکل ذیل میتوانید از طریق انتخاب گزینه advanced features از منوی view ، نمای اصلی و پیشرفته این کنسول را مشاهده کنید.

AD users and computers- chnage view

     اکنون می بینید که نمای این کنسول دچار تفاوت شده است و آیتم هایی اضافه شده است:

AD users and computers-general view- advanced

معمولا آیتم های نمای ساده اولیه کارگشا هستند و بصورت پیشفرض با همان نما کار میکنیم.

 

 

 

 

ایجاد user

     قبل از ایجاد نخستین user باید در ذهن خود یک استاندارد نامگذاری ایجاد کنید. بهتر است نام user ها دارای یک فرمت واحد باشد. در ضمن نام هر user باید در سراسر دامین یکتا باشد. بعنوان مثال میتوانید از فرمت ذیل استفاده کنید:

First name.last name

Example:  tony.grant

یا اینکه بجای کل first name صرفا اولین حرف را استفاده کنید:

Example: t.grant

حال بیاید ایجاد user ها را آغاز کنیم. چندین راه برای ساخت user وجود دارد:

  • از طریق AD users and computers
  • از طریق AD administrative center
  • از طریق windows powershell
  • در محیط cmd با دستور dsadd

     در این درس از طریق AD users and computers این کار را خواهیم کرد.

     نخستین کار اینست که با یک user عضو گروه domain admins ( گروه کاربران دارای قابلیت مدیریت دامین) به DC لاگین کنیم. قبلا گفته شد که وقتی روی DC1 اقدام به نصب AD CS میکنید، بلافاصله administrator کامپیوتر DC1 به administrator دامین تبدیل میشود. نام دامین را نیز ITPerfection.local نهادیم. پس با administrator@ITPerfection.local به کامپیوتر DC1 لاگین میکنیم.

     حال کنسول AD users and computers را باز کنید. در پنل سمت راست وارد users شوید. تعدادی user و group از قبل در این کنسول بصورت built-in وجود دارند. شناسه هایی که آیکن آنها بصورت یک انسان است، یک user و شناسه هایی که آیکن آنها بصورت دو انسان است یک گروه می باشد. در جایی خالی از پنل سمت راست، راست کلیک کرده و گزینه new را انتخاب نمایید. تعدادی گزینه ظاهر میشود. گزینه user را انتخاب کنید. پنجره ای مانند ذیل را مشاهده خواهید کرد:

create a user

     این پنجره دارای عنوان new Object-User است. یعنی در حال ایجاد یک آبجکت می باشیم. کمی پایین تر عبارت create in: ITPerfection.local/users نوشته شده است. یعنی این آبجکت درون فولدر users دامین ایجاد میشود. سپس کادرهای First name و initials و Last name قرار دارد. به ترتیب باید نام کوچک، نام میانی ( ما ایرانی ها معمولا نام میانی نداریم) و نام خانوادگی فرد مورد نظر را بصورت کامل وارد کنید. Username در کادر User logon name مشخص میشود. هر چیزی که در این کادر وارد شود را باید آن فرد برای logon به کامپیوترهای شبکه وارد کند تا احراز هویت شود. یک کادر کشویی در روبروی کادر User Logon name وجود دارد که فعلا فقط گزینه @ITPerfection.local وجود دارد. اگر دارای بیش از یک دامین در forest می بودیم، ممکن بود نام سایر دامین ها نیز جزو گزینه ها باشد. قبل از ویندوز server 2000 در دامین های مایکروسافتی بجای سرویس DNS از سرویس Wins استفاده میشد و نامها دارای ساختار سلسله مراتبی نبودند. ( در درسهای آینده با سرویس Wins و نامهای NetBios آشنا خواهید شد). اکنون وقتی user name را وارد کنید بلافاصله خود ویندوز ، شکلی از username که در سرویس wins مورد استفاده خواهد بود را در کادر مقابل کادر User Logon name (pre-windows 2000) نمایش خواهد داد. قصد ایجاد User برای آقای tony Grant را داریم. این پنجره را بصورت ذیل پر می کنیم:

     حال روی دکمه next کلیک میکنیم. در صفحه بعدی این ویزارد، دو کادر وجود دارد برای وارد کردن password و چهار چکباکس به شرح ذیل:

first user created

  • User must change password at next logon : یعنی user باید بلافاصله بعد از logon بعدی ( در واقع اولین logon ) خودش یک password جدید برای خودش تعیین کند. توصیه میشود که این چکباکس را تیک بزنید. بصورت پیشفرض هم تیک دارد.
  • User Cannot change password : کاملا معکوس چکباکس قبلی است. اگر این چکباکس را تیک بزنید، یوزر فوق نمی تواند شخصا password خودش را تغییر دهد.
  • Password never expires : یعنی password این یوزر همواره معتبر باشد و دارای محدودیت زمانی نباشد.
  • Account is disabled : اگر این چکباکس تیک زده شود، یوزر فوق غیرفعال و غیرقابل logon خواهد شد.

      ما برای آقای گرانت تنظیمات ذیل را وارد کردیم:

settings for first user

     با دکمه next به صفحه بعد می رویم. اکنون یوزر ساخته شده است و در صفحه بعد روی دکمه finish کلیک میکنیم. شاید پیغام خطایی صادر شود با این مضمون که: پسورد تعیین شده بصورت complex نیست، از حداقل طول مجاز برخوردار نیست و…. با معنی و مفهوم این خطا در درس پالیسی ها کاملا آشنا خواهید شد. فعلا پسوردی وارد کنید که شامل حروف و ارقام و علامتهایی مانند * باشد و حداقل دارای طول شش کراکتر نیز باشد.

     اکنون در قسمت users کنسول AD users and computers مشاهده میکنید که t.grant وجود دارد و زیر ستون type هم کلمه user نوشته شده است. یوزر فوق یک یوزر معمولی با سطح دسترسی معمولی میباشد.

     این یوزر را به چند صورت میتوان در شبکه نمایش داد. متداولترین روش، به روش UPN موسوم است. این فرم نمایش بصورت ذیل است:

t.grant@ITPerfection.local

هیچ یوزر دیگری در این دامین نمیتواند دارای UPN کاملا مشابه با UPN این کاربر باشد. اگر سعی در ایجاد t.grant دیگری ( بعنوان مثال برای تیموتی گرانت) کنید، اکتیودایرکتوری از شما نخواهد پذیرفت. در نحوه تعیین فرمت نامگذاری یوزرها به این محدودیت توجه داشته باشید.

 

 

 

تنظیمات اختصاصی user

     علاوه بر همه تنظیماتی که تا کنون دیدید هر user دارای انبوهی از تنظیمات دیگر نیز هست. برای مشاهده آنها روی user مورد نظر ( مثلا همین t.grant ) راست کلیک کرده و گزینه properties را انتخاب نمایید. در تب General مشخصات کلی user قابل مشاهده است مانند first name و last name و آدرس پستی و شماره تلفن و… میتوان این اطلاعات را همینجا ادیت کرد. به تب Accounts بروید.

user-account settings

  • Logon hours : با کلیک روی این دکمه میتوانید مشخص کنید که grant در چه روزها و در چه ساعتهایی اجازه logon به دامین را داشته باشد. ( پیشفرض: 24 ساعت هر هفت روز هفته)
  • Log On To : با کلیک روی این دکمه نیز میتوانید تعیین کنید که آیا grant از همه کامیپوترهای موجود در دامین بتواند به دامین log on کند یا فقط از طریق کامپیوترهای مشخصی. در حالت دوم باید کامپیوترهای مجاز را مشخص نمایید. ( پیشفرض: logon از طریق همه کامپیوترها مجاز است)
  • Unlock Account : در دامین معمولا یک حدی مجاز شمرده میشود که کاربر بتواند جهت logon تلاش کند. فرض کنید این حد 5 بار تعیین شده است. اگر کاربری در حین تلاش برای logon هر پنج مرتبه پسورد خود را اشتباه وارد کند، اکانت این کاربر قفل ( lock ) میشود و پس از مدت زمانی مشخص از قفل خارج میشود ( یا شاید هم هیچگاه خارج نشود). در این حالت چنانچه مدیران شبکه از کاربر فوق درخواستی دریافت کنند و وی را بشناسند و وی منع قانونی جهت logon نداشته باشد، میتوانند بصورت دستی از طریق تیک زدن این گزینه، اکانت وی را بازگشایی کنند. این چکباکس بصورت پیشفرض دارای تیک هست یعنی اکانت کاربران بصورت پیشفرض قفل نیست. البته چنانچه در هنگام ساخت user ، چکباکس Account is disabled را تیک بزنید، چکباکس unlock Account نیز طبعا فاقد تیک بوده و اکانت این کاربر قفل و disable خواهد بود.
  • Account options : در این قسمت تعدادی گزینه وجود دارد. در اینجا هم میتوان مشخص کرد که ایا کاربر در logon بعدی باید password خود را عوض کند یا نه؟ آیا این اکانت disable باشد یا نه؟ آیا این کاربر بصورت معمولی از طریق وارد کردن اطلاعات username/password به دامین logon کند یا از طریق smart card ها وارد شود؟ چکباکسی نیز وجود دارد به نام account is sensitive and can not be delegated که اگر تیک زده شود به این معنا خواهد بود که این کاربر، کاربر مهم و حساسی است و مدیریت آن به شخصی غیر از اعضای domain admins و enterprise admins اعطا نشود. نیز میتوان تعیین کرد که درهنگام logon کردن این کاربر اطلاعات password وی بصورت رمزنگاری شده بین DC و کامپیوتر رد و بدل شود و نیز الگوریتم رمزنگاری چه باشد؟ یا حتی میتوان تعیین کرد که این کاربر وقتی logon میکند نیازی به احراز هویت شدن توسط Kerberos نداشته باشد.
  • Account Expires : در این قسمت میتوان مشخص کرد که اعتبار این اکانت کاربری دائمی باشد ( پیشفرض) یا در تاریخ مشخصی منقضی شود. وقتی اعتبار زمانی این اکانت خاتمه یابد، اکانت disable خواهد شد.

     در پنجره Properties یک user تبی نیز وجود دارد به نام Member of که در این تب میتوانید مشاهده کنید که کاربر فوق عضو چه گروه هایی می باشید. میتوانید وی را از گروهی حذف کرده و یا عضویت گروهی در آورید. با سایر TAB ها به مرور آشنا خواهید شد.

 

 

 

 

 

فعال/ غیر فعال کردن، تغییر نام و حذف user

     بدلایلی مثل اخراج یک کارمند یا قطع رابطه کاری وی یا عدم نیاز به دسترسی وی به شبکه، باید user فوق را غیرفعال کرد. به روشهای مختلفی میتوان این کار را انجام داد:

  • در کنسول AD users and computers روی user مد نظر کلیک راست کرد و انتخاب گزینه Disable Account ( برای فعال کردن هم مجددا کلیک راست روی کاربر و انتخاب گزینه enable account )
  • در کنسول AD users and computers در تب Account از صفحه properties کاربر فوق، در قسمت Account options گزینه account is disabled تیک زده شود. ( برای فعال کردن، تیک برداشته شود)

    نیز میتوان روی user فوق راست کلیک کرده و با انتخاب گزینه های rename و Delete به ترتیب اقدام به تغییر نام و حذف آن user کرد. معمولا تغییر نام user پیشنهاد نمیشود.

 

 

Reset Password

     گاهی ممکن است یک کاربر password خودش را فراموش کند. یا اینکه لازم باشد که password خود را عوض کند ولی به هر دلیلی مجوز change password را برای کاربر فوق در نظر نگرفته باشید. در این چنین مواقعی مدیران شبکه باید password را عوض کنند. برای این کار روی user فوق راست کلیک کرده و گزینه Reset password را انتخاب کنید. کادر ذیل ظاهر میشود:

reset password

     و در این کادر Password جدیدی برای وی مشخص میکنید. اینکه چکبامس user must change password at next logon بصورت پیشفرض تیک داشته باشد یا نه، کاملا وابسته به این است که در هنگام ساخت این user چکباکس فوق را تیک زده باشید یا نه. اگر تیک زده باشید، در این کادر بصورت تیک دار ظاهر میشود. بهرحال مهم نیست. همینجا میتوانید تصمیم گیری کنید. گاهی کاربری که پسورد خودش را فراموش کرده است، بیشتر از حد مجاز پسورد اشتباه را وارد میکند و اکانت وی قفل میشود. لذا همینجا چکباکس unlock the user’s account را نیز میتوانید تیک بزنید تا اکانت فوق از حالت قفل نیز خارج شود.

 

 

 

User template

     وقتی تعداد کاربران شبکه زیاد باشد، ساخت user ها با تنظیمات لازم عملی وقت گیر و خسته کننده خواهد بود. بخصوص اگر تنظیمات پیشرفته ای مانند roaming profile و home folder و MAP Drive را بخواهیم برای کاربران Set کنیم. مایکروسافت مکانیزمی ایجاد کرده است برای ساخت template . میتوانید یک user template ایجاد کنید، تنظیمات لازم و مورد نیاز را روی آن انجام دهید و سپس از روی آن نمونه برداری کنید. هر نمونه یک user جدید خواهد بود.

     فرض کنید که می خواهیم 60 اکانت برای بخش فروش ایجادکنیم.

  1. مانند ساخت یک user عادی، اقدام به ایجاد user می کنیم. سعی کنید نام بامسمایی برای این template ایجاد کنید. البته در نام محدودیت و الزامی وجود ندارد غیراز # ابتدای first name و Logon name . باید حتما در ابتدای این دو فلید علامت # قرار دهید. سپس تنظیمات password و چکباکس های مربوط به اینکه کاربر بتواند پسورد را عوض کند یا نه، در logon بعدی اش پسورد را عوض کند یا نه، اکانت غیرفعال باشد یا فعال و اینکه آیا expire شود یا نه را مشخص کنید. اکنون اکانت ساخته میشود. این اکانت درواقع یک user template است.
  2. درپنجره Properties این اکانت، تنظیمات مورد نیاز را اعمال می کنیم.
  3. حال می خواهیم اولین اکانت از نوع این template را ایجادکنیم. کافی است روی template راست کلیک کرده و گزینه copy را انتخاب کنیم. یک اکانت جدید( با properties تعیین شده برای template ) ایجاد میشود. کافی است موارد ذیل را تعیین کنیم: first name, last name, logon name, password
  4. اطالاعات تب general هر اکانت مختص به خودش خواهد بود. چون هراکانتی دارای آدرس ایمیل، شماره تلفن، صفحه وب شخصی اینترنتی و… مخصوص خود است. اما سایرویژگی های چون profile path ، home directory ، log on hours و… بین اکانت های template فوق یکسان خواهد بود. موارد ذکر شده در شکل ذیل از user template به یوزرهای نمونه برداری شده، کپی خواهند شد.

user template fields

  1. درپایان کار بهتر است user template را disable کرد تا از آن برای logon کردن استفاده نشود.

     اگر هنوز استفاده از user template برای شما جذابیتی ندارد، بهتر است با یکی از تب های پنجره properties در User آشنا شوید یعنی profile .

profile tab

  • Profile Path : یکی از امکانات دامین اینست که میتوان کاری کرد که محتویات پروفایل کاربران ( شامل فایلهای موجود در فولدرهای Desktop documents, downloads, music, pictures, saved, games videos, و فایل های contacts, links بعلاوه تنظیمات و سفارشی سازهای ایجاد شده توسط کاربر در application ها ) برای کاربران ثبت و اختصاصی شود. یعنی ایجاد قابلیت Roaming برای پروفایل کاربران. فرض کنید که کاربر grant@ITPerfection.local برای اولین بار از طریق کامپیوتر Client52 به شبکه logon میکند. این کاربر فایل اکسلی به نام common-lists.xlsx ایجاد میکند و برنامه Microsoft Excel را نیز customize میکند. نیز یک فایل jpg را نیز روی دسکتاپش قرار میدهد. سپس از این کامپیوتر log out میکند. فردا این کاربر از طریق Client580 به دامین logon میکند. وقتی وارد میشود روی دسکتاپش نه خبری از فایل common-lists.xlsx هست و نه از فایل jpeg . ( البته چنانچه از طریق Client52 مجددا وارد شود آن فایل ها سر جای خود باقی هستند.) دلیل کار اینست که پروفایل ایجاد شده برای این کاربر روی client52 با پروفایل ایجاد شده روی Client580 متفاوت است. در این حالت گفته میشود که پروفایل حالت roaming ندارد. میتوان این حالت را برای وی ایجاد کرد.
  • Logon Script : شاید بخواهید پس از logon کردن کاربری، سلسله ای از اتفاقات رخ دهد. میتوان یک batch file ساخت و درون آن اسکریپتهایی نوشت که باعث اجرای آن اتفاقات شوند. این batch file را باید درون DC دامین درون فولدر share شده ای به نام NET-LOGON قرار دهید. فولدر فوق درون فولدر معروف Sysvol قرار دارد. اکنون وقتی کاربر logon کند اسکریپتهای این batch file یکی یکی اجرا میشوند. البته از قابلیت logon script خیلی به ندرت استفاده میشود. مدیران شبکه ترجیح میدهند برای چنین کاری از قابلیت های Group Policy استفاده کنند.
  • Home Folder : میتوان برای کاربران روی شبکه یک محل ذخیره سازی فایل هایشان اختصاص داد. از نظر امنیتی و نیز high availability اقدام درستی میباشد. ممکن است در سازمان دهها و صدها کامپیوتر موجود باشد ( PC-Laptop-Solmate و . . .) حال فرض کنید که کاربران این شرکت فایل های خود را روی کامپیوترهایشان ذخیره کنند. در این حالت تیم IT باید برای حفاظت این فایل ها از دسترسی های غیرمجاز از یکسو و نیز از بین نرفتن این فایل ها برنامه ریزی ها کند و وقت بسیار زیادی از اعضای تیم IT نیز تلف خواهد شد. اگر مکانیزم بکاپ گیری استفاده شود، فضای ذخیره سازی بسیار زیادی نیز صرف خواهد شد. اگر بخواهیم وارد مشکلات این مکانیزم شویم، گفتنی بسیار است. پس بهترین کار اینست که برای هر کاربر روی فایل سرور شبکه محلی برای دخیره سازی ایجاد کنیم و مسوولیت امنیت و availability این فولدرها را عهده دار شویم. کاربران موظف باشند که فایل های مهم و سازمانی خود را در این محل ذخیره کنند و تیم IT هیچ مسوولیتی در قبال امنیت و availability فایل های موجود روی کامپیوترهای افراد نداشته باشد. به فولدری که جهت ذخیره سازی فایل های کاربران روی فایل سرور ایجاد میشود عموما home folder گفته میشود. متوجه تفاوت بین home folder و profile path باشید. در profile path صرفا قابلیت roaming برای فایل های دسکتاپ و نیز تنظیمات application ها ایجاد میکنیم اما در home folder کاربران به انتخاب خود فایل های حساس سازمانی را ذخیره میکنند.

پس یکی از بهترین فواید استفاده از user template اینست که میتوان توسط آن بسادگی قابلیت هایی چون Roaming profile و home folder را به ازای هر کاربر ایجاد و پیاده سازی کرد. البته قابلیت roaming profile میتواند باعث افزایش ترافیک شبکه شود بخصوص اگر کاربران فایل های حجیم و سنگینی را روی دسکتاپهایشان ذخیره کنند. پس بهتر است یا از این قابلیت استفاده نکنید یا آموزش های لازم را به کاربران ارائه کنید که فایل های سنگین را روی دسکتاپ قرار ندهند.

 

 

نکات پایانی User Template

     با فواید استفاده از user template آشنا شدید. بد نیست بدانید که میتوانید انواعی از user template ها را داشته باشید. بعنوان مثال:

  • یک user template برای کاربرانی که نباید roaming profile داشته باشند ولی باید home folder داشته باشند.
  • یک user template برای کاربرانی که باید roaming profile داشته باشند ولی نباید home folder داشته باشند.
  • یک user template برای کاربرانی که هم roaming profile باید داشته باشند و هم home folder
  • یک user template برای کاربرانی که نه roaming profile باید داشته باشند و نه home folder
  • یک user template برای کاربرانی که هیچوقت password آنها نباید expire شود.
  • یک user template برای کاربرانی که باید حتما در نخستین logon ( همان اولین logon ) پسورد خود را تغییر دهند

 و انواع بسیار متنوع دیگری از user template ها. 

نکته دیگر اینکه سعی کنید user template ها همواره disable باشند.

 

 

ایجاد OU

     در ویندوز سرور مفهمومی وجود دارد به نام OU که بسیار مفید است. فرض کنید درشبکه ای با 300 اکانت کاربری مدیریت شبکه ای انجام می دهید. مدیرشرکت تصمیم میگیرد که بیانیه ای را به کاربران بخش بازاریابی اعلام نماید و میخواهد این بیانیه بصورت متن در هنگام log on شدن کاربران بخش بازاریابی  به آنها نمایش داده شود. تنها کاری که شما باید انجام دهید اینست که یک OU ایجادکنید و همه اکانت های متعلق به کارکنان بازاریابی را درون OU فوق، قراردهید . حال برای OU فوق یک policy تعریف میکنید که متن موردنظر هنگام اولین log on کاربران فوق از آن لحظه برای آنها به نمایش درآید. OU ها براساس سه معیار میتوانند بوجود آیند: جغرافیا ( کمتر متداول است) ، کاربرد ( متداول ترین) و سطوح امنیتی.

     ساخت OU بسیار ساده هست. در کنسول AD users and computers از پنل سمت چپ در ریشه کنسول باشید، حال در پنل سمت راست کنسول در یک فضای خالی، راست کلیک کرده، گزینه new و سپس organization Unit را انتخاب کنید. ویزاردی شروع بکار میکند که از شما میخواهد که نامی برای OU تایپ کنید. اگر چکباکس protect container from accidental deletion را تیک بزنید، از این پس به این سادگی ها نمی توانید این OU را حذف کنید. فایده اش اینست که چنانچه اشتباها بخواهید این OU را حذف کنید، جلوی شما را خواهد گرفت.

نکته: درون محیط خود OU هم میتوان دوباره OU ساخت و سلسله مراتبی از OU ها ایجاد کرد. بعنوان مثال درون OU ایجاد شده برای بخش فروش به نام Sales میتوان یک OU برای بخش پیش فروش ایجاد کرد به نام Pre-Sales .

      نگاهی بیندازیم به پنجره properties یک OU . فرض کنید OU ساختید به اسم Sales که آنرا در برابر حذف تصادفی هم ایمن کرده اید. وقتی به properties بروید، چنین چیزی خواهید دید:

ou settings

      مشاهده می کنید که فقط سه تب وجود دارد. حقیقت اینست که سایر تب ها پنهان می باشند. برای مشاهده سایر تبها باید نمای اکتیو دایرکتوری را به نمای advanced تبدیل کنید. حال دوباره که به صفحه properties برگردید، همه تب های ممکن قابل مشاهده خواهند بود:

ou settins- full view

     اکنون در قسمت بالای تب Managed by می توانید از طریق دکمه change ، مدیریت این OU را به هر کاربری که تمایل دارید واگذار نمائید.

     در تب object مجددا چکباکس protect container from accidental deletion را میتوان ادیت نمود و بعنوان مثال حذف تصادفی را مجاز یا غیرمجاز کرد. همینطور میتوان نام OU را تغییر داد.

     در تب Security نیز میتوان مجوزهای افراد و گروهها را روی این OU ادیت کرد. بصورت پیشفرض گروه authenticate users به هر OU مجوز Read دارد و Domain admins و enterprise admins دسترسی فول دارند.

     تب +COM به درد برنامه نویسان میخورد و در تب Attribute editor میتوانیم پاره ای از صفات این OU را ادیت کنیم.

 

 

اعطای اختیارات مدیریتی OU به یک کاربر یا گروه کاربری

     می توان امورات مدیریتی OU را به کاربر- یا کاربرانی- سپرد که عضو گروه های Domain admins یا Enterprise Admins نمی باشند. فرض کنید قصد داریم بعنوان مدیرشبکه، اختیار بعضی از امورات کاربری کاربران گروه فروش شرکت را به t.grant@ITPerfection.local اعطا کنیم.  باید ابتدا یک OU ایجادکرده و کاربران مدنظر را درون OU فوق قرار دهیم. مراحل ذیل را دنبال می کنیم:

  1. ایجادOU ( مثلا به نام Sales ) وقراردادن user ها و کامپیوترهایی که مدیریت بعضی ازامورات آنها باید به Ali اعطا شود.
  2. راست کلیک روی OU وانتخاب گزینه delegate Control. ویزاردی شروع بکار میکند. در صفحه اول ویزارد دکمه next را فشار میدهیم.
  3. درصفحه بعد بوسیله دکمه addمشخص کردن grant بعنوان فردی که صاحب اختیار شده است.

ou settins- full view

  1. تعیین permission های مدنظر برای grant روی OU فوق. این کار با دو انتخاب ممکن است. یک انتخاب ( پیشفرض) دکمه رادیویی delegate the following common tsks که لیست قابلیت های متداول که در زیر لیست شده اند را در اختیار شما میگذارد تا با تیک زدن هر کدام که مایل هستید، قابلیت فوق را به کاربر یا کاربران یا گروه انتخابی خود ارائه کنید.

مجوزهای قابل اعطا عبارتند از:

  • ایجاد، حذف و مدیریت اکانت های کاربری
  • ریست password های کاربران OU یاPassword Enforce Change آنها
  • خواندن همه اطلاعات کاربران
  • ایجاد، حذف و مدیریت گروهها درون OU فوق
  • اصلاح عضویت کاربردرگروه
  • مدیریت لینک های group policy
  • ایجادResultant set of policy(planning)
  • ایجادResultant set of policy(logging)
  • ایجاد،حذف ومدیریت inetOrgPerson accounts
  • ریست کردن pass هایاEnforce change pass اکانت های inetOrg Person
  • خواندن همه اطلاعات inetOrg Person

     یا میتوان با دکمه رادیویی create a custom task ، سفارشی سازی های بسیار متنوعی در مورد مجوزهای اهدایی انجام داد. در این روش میتوان آبجکت ها و مواردی را انتخاب کرد و سپس تعیین نمود که کاربر یا گروه بتواند این موارد را 1- فقط ایجاد کند یا 2- فقط delete نماید یا 3- هم ایجاد و هم delete کند. ما راه اول یعنی Delegate the following common tasks را انتخاب میکنیم:

 OU Delegation permissions

     در واقع مجوز ایجاد، حذف و مدیریت user ها، تغییر password یوزرها، مجبور کردن یوزرها به تغییر دادن password خود در logon بعدی، ایجاد، حذف و مدیریت گروههای کابرری را به t.grant اعطا کرده ایم.

     اکنون آقای tony grant صاحب اختیارات تعیین شده روی فقط وتنها فقط OU مربوطه است. وی طبعا نمیتواند از طریق کامپیوترDC به شبکه log on کند. پس باید از طریق کلاینت وارد شبکه شود و جزو ادمین ها هم که نیست. لذا وقتی log on می کند اصلا کنسول اکتیودایرکتوری را ندارد که بخواهد روی OU اعمال اختیارات کند. اکنون برای داشتن کنسول اکتیودایرکتوری 2 راه وجود دارد:

  • grant ازطریق کلاینتی log on کند که دارای ویندوز سرور است: در این حال بایدMMC را اجرا کند وsnap in به نام Active directory users and computers را نصب کند.
  • grant ازطریق کلاینتی log on کرده است که دارای ویندوز سرور نیست: باید از سایت مایکروسافت ابزاری به نام RSAT را دانلود و نصب کند. این ابزار بعضی از امکانات AD users and computers را در اختیار کاربر فوق میگذارد و وی میتواند در محدوده OU و اختیاراتش، اقداماتی انجام دهد.

     اکنون اگر قصد داشته باشیم اختیارات را از t.grant@ITPerfection.local پس بگیریم، برای این کار باید روی Sales راست کلیک کرده وبه پنجره properties رفته و در تب security دربین ACE ها، آیتم t.grant را انتخاب کرده و سپس روی دکمه Advanced کلیک کنیم. درصفحه بعد،درتب permissions ، آیتم t.grant را حذف می کنیم. ( می توانیم همین راه را برای ادیت مجوزهای وی روی OU فوق طی کنیم. در این پنجره در حالیکه t.grant را انتخاب کرده اید روی دکمه edit مجوز مورد نظر کلیک کنید تا با تعداد بسیار زیادی از مجوزهای ریزتر و جزئی تر مواجه شوید. شرح این مجوزها بسیار طولانی خواهید بود و تمرین و تجربه کردن شما را میطلبد).

edit or remove delegated

توصیه: مایکروسافت توصیه میکند که بجای delegate کردن مدیریت OU به یک کاربر، این کار را برای یک گروه انجام دهید. حتی اگر فقط یک کاربر مد نظر شماست، یک گروه ایجاد کرده و کاربر فوق را بعنوان تنها کاربر گروه فوق، به عضویت آن گروه در آورید. فایده این کار اینست که اگر روزی به هر دلیلی خواستید اختیارات مدیریتی OU فوق را در اختیار کاربر دیگری قرار دهید، صرفا کافیست کاربران فوق را از عضویت گروه خارج کرده و کاربر جدید را عضو گروه فوق نمایید و احتیاج به ادیت کردن فرآیند Delegation نخواهد بود.

 

 

 عضو کردن User ها، Computer ها و OU ها در OU

     اکنون فرض کنید یوزری ساخته اید برای monica Jordan به صورت m.jordan  و میخواهید وی را عضو OU گروه فروش ( Sales ) کنید. این کار به چند صورت ممکن است:

  • روی jordan راست کلیک کنید. از منوی ظاهر شده، گزینه move را انتخاب نمایید. یک کادر برای انتخاب مقصد نمایان میشود. OU مورد نظر را انتخاب کنید.
  • jordan را بصورت drag-drop به داخل OU مورد نظر بکشید.
  • روی jordan راست کلیک کنید. از منوی ظاهر شده گزینه Cut را انتخاب کنید. اکنون به داخل OU رفته و گزینه paste را انتخاب نمایید.

     هر کدام از این روشها را که انجام دهید باعث میشود که m.jordan به داخل OU مورد نظر انتقال یابد و از این پس تابعی از رخدادهای آن OU باشد. برای خارج کردن user از OU و انتقال آن به یک OU دیگر و یا بازگرداندنش به users نیز دقیقا از همین روشها میتوانید استفاده کنید. انتقال و جابجایی computer ها و OU ها نیز از همین روشها ممکن است. میتوان computer را عضو OU کرد یا از عضویت آن خارج نمود. همینطور میتوان درون OU یک OU ساخت و بعدا این OU را به داخل یک OU دیگر منتقل نمود.

 

ترمینولوژی

RSAT: Remote Server Administration Tool

MMC: Microsoft Management Console

OU: Organization Unit

UPN: User Principal Name

ضمایم21

  • AD users and computers-general view-simple
  • AD users and computers- chnage view
  • AD users and computers-general view- advanced
  • create a user
  • first user created
  • settings for first user
  • user-account settings
  • reset password
  • edit or remove delegated
  • OU Delegation permissions
  • ou settins- full view
  • ou settins- full view
  • ou settings
  • user template fields
  • profile tab
  • پیوست گم شده
  • پیوست گم شده
  • پیوست گم شده
  • پیوست گم شده
  • پیوست گم شده
  • پیوست گم شده
مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید

کپی رایت آکادمی ITperfection.