عضو شوید
عضویت سریع
آمار مطالب
آمار بازدید
Active Directory Domain Controller AD نصب اکتیو دایرکتوری
AD-Active Directory
اکتیودایرکتوری مجموعه ای از دستورالعملهایی است که به یکدیگر وابسته هستند
AD یک مخزن از اطلاعات است
AD از user Acount,Group Acount,Computer Acount, Printers, Group Policies و دیگر وسیله ها شامل میشود
اگر AD را نصب کنیم سیستم عامل ما به یک سرور تبدیل میشود در غیر اینصورت مثل یک client عمل میکند
نیازمندیها برای نصب ADS-Active Directory Service
DNS باید نصب باشد
باید یک کارت شبکه فعال داشته باشیم همچنین باید ip address و PDNS را تعیین کرده باشید
پارتیشنی که برای نصب در نظر دارید باید NTFS باشد
باید 1GB فضای خالی داشته باشیم
برای اینکه اجزای DNS را اضافه کنیم باید مسیر زیر را دنبال کنید
Start-->Setting-->Control Panel-->Add/remove Program-->add/remove Components-->select Networking service(dont tick)-->Details-->Tick DNS(Domain name system)-->ok-->Next-->finish
تبدیل FAT به NTFS
اگر بخواهیم پارتیشن را از FAT به NTFS تبدیل کنیم بدون اینکه اطلاعات پاک شود از فرمان زیر استفاده میکنیم
run-->cmd--> convert d: /fs:NTFS
d: درایو مورد نظر میباشد
fs-File System
نصب ADS
ابتدا به منوی start میرویم سپس Run در در آنجا فرمان dcpromo را تایپ میکنیم و ok را میزنیم,سپس wizard را دنبال میکنیم و اسم domain مورد نظر را میدهیم بطور مثال dell.com سپس wizard را ادامه میدهیم و password مورد نظر را میدهیم تا به finish میرسیم و نصب خاتمه پیدا میکند
- dcpromo- Domain Control Promotion
در هنگام نصب AD دوfolder بصورت اتوماتیک ساخته میشود
NTDS-New Technology Direction Services
SysVol-System Volume
NTDS مندرجات AD و اطلاعات log file را در بر دارد
Sysvol فایلهای عمومی domain را برای کپی کردن بین domain controllers در بر دارد
عملیات نصب ADS را بطور تصویری در اینجا میتوانید مشاهده کنید
برداشتن ADS
عمل نصب ADS با فرمان dcpromo فقط یک بار میتواند صورت بگیرد و اگر بار دیگر این عمل را تکرار کنید باعث میشود ADS,unistall شود و server تبدیل به client شود .عمل unistall با فرمان کاملتری نیز انجام میتواند بگیرد
run-->dcpromo /forceremoval
Objects
oject ها یک چیزی از قبیل مواد زیر هستند
ُUser Acount(user name-password-email ID expire date-first name-last name)
Printer(printer name-location)
Group(group name-group membership)
Shared Folder(share name-location-size-date of creatied-modified accessed-encryption)
اجزای ترکیب دهنده AD
- Logical Components
1.Domain
2.Trees
3.Forests
4.OU(Organisational Units)
- Physical Components
1.DC(Domain Controllers)
2.sites
Domain (دومین)
به مجموعه ای از کامپیوترها گفته میشود که یک خط مشی امنیتی و یک بانک اطلاعاتی حوزه ای مشترک را به اشتراک میگذارند و هر حوزه نام منحصر بفردی دارد
ِ
Domain Controller
به سرویس دهنده اصلی که تمامی Active Directory Services را که برای شناسایی تمامی کاربران و منابع شبکه هستند در آن میباشد گفته میشود
نوعهای مختلفی از domain controller موجود میباشد که به قرار زیر میباشد
1.Domain Controller(DC)
2.Additional Domain Controller(ADC)
3.Child Domain Controller(CDC)
Domain Controller(DC)
با توجه به توضیحات بالا DC اولین domain controller در شبکه میباشد همچنین به آن parent domain گفته میشود
بطور مثال dell.com یک parent domain است
Additional Domain Controller(ADC)
ُیک نسخه کامل(Replica) از parent domain و child domain است که برای back up و زمانی که domain متوقف شد و برای تعادل بار در domain استفاده میشود
َ
Child Domain Controller(CDC)
ِیک domain controller است که درزیر parent domain controller نصب میشود و ارتباط دارد با parent اما در یک محل جدا از parent نصب میشود
بطور مثال sales.dell.com
Tree
یک مجموعه از domain controller ها میباشد که در زیر domain(دومین) قرار میگیرد
Parent Domain iran.com
Child Domain teh.iran.com , ahv.iran.com
Grand Child Domain kar.teh.iran.com , meh.teh.iran.com , sho.ahv.iran.com , dez.ahv.iran.com
Forest
به مجموعه ای از Tree ها Forest میگوییم
مجموع از domain controller مستقل از قبیل parent domains,child domain,back up گوییم
OU(Organisational Units)
OU یک شی است که مبنی بر اداره, محل و یا سرویسهابرای مدیریت ساده user ,group ساخته میشود
additional domain controller نصب ADC
یک نسخه کامل(Replica) از parent domain و child domain است که برای back up و زمانی که domain متوقف شد و برای تعادل بار در domain استفاده میشود
نصب ADC
توجه داشته باشید در ابتدا باید از درست کار کردن DNS در Parent Domain اطمینان حاصل کنیم .برای این منظور بعد از رفتن در cmd فرمان nslookup را اجرا میکنیم تا از صحت درست بودن DNS اطمینان حاصل کنیم
طریقه نصب DNS در فصلهای آینده بطور کامل شرح داده خواهد شد
سپس به دستگاه دیگر که به منظور نصب ADC در نظر گرفته ایم میرویم و تنظیمات ip را از قبیل ip address و preferred DNS را انجام میدهیم
توجه داشته باشید باید ip address با ip دومین اصلی فرق بکند الیته باید در یک range باشد .اما باید دقیقا همان DNS را که در parent domain قرار داده ایم را وارد کنیم.سپس به run میرویم و برای نصب Addition domain فرمان dcpromo را اجرا میکنیم
سپس طبق شکل زیر additional domain controller را انتخاب میکنیم و next را میزنیم
سپس طبق شکل زیر administrator را وارد میکنیم و password که در دومین قرار داده ایم را وارد میکنیم و اسم دومین اصلی را وارد میکنیم
سپس browss را انتخاب میکنیم و اسم domain را وارد میکنیم و next را میزنیم و مراحل را همان طور که در نصب parent domain انجام داده ایم انجام میدهیم
Child Domain Controller نصب و پیکربندی
یک domain controller است که درزیر parent domain controller نصب و با parent ارتباط دارد اما در یک محل جدا از parent نصب میشود
بطور مثال میخواهیم mail.dell.com را نصب کنیم
پس از اجرای فرمان dcpromo و next به پنجره زیر وارد میشویم
سپس child domain را انتخاب میکنیم
حال اطلاعات مربوط به administrator را وارد میکنیم
حال پنجره نصب child domain ظاهر میشود
حال پنجره NetBIOS name ظاهر میشود
سپس مراحل نصب را به همان صورت که در Active Directory توضیح و نشان داده شد میگذرانیم و نصب پایان میگرد و سیستم را restart میکنیم
Creating a Domain User Account ایجاد حساب کاربری
در این مرحله یک user ایجاد میکنیم تا به واسطه آن به server متصل شویم
start->Programs->Administrative Tools->Active Directory Users and Computers
ویا Run->dsa.msc
سپس پنجره active directory users and computers نمایان میشود,روی dell.com راست کلیک کرده و new->user را انتخاب میکنیم
پس از اینکه نام user مورد نظر را وارد کردیم و next را زدیم به برای تعیین password به صفحه زیر وارد میشویم
پس از اینکه password وگزینه مورد نظر را انتخاب کردیم ساختن user پایان میگیرد
گزینه هایی که برای تعیین password قابل انتخاب هستند به شرح زیر میباشد
User Must Change Password At Next Logon
به اجبار user در اولین log on باید password را عوض کند
User cannot change password
این گزینه از عوض کردن پسورد بوسیله کاربر جلوگیری میکند
Password never expires
این گزینه تمامی تنظیمات مربوط به انقظای پسورد را باطل میکند
Account is disabled
بوسیله این گزینه Administrator میتواند از ورود کاربربه سیستم جلوگیری کند
توجه داشته باشید بوسیله این گزینه account فعال میباشد اما user نمیتواند logon کند
Allow Domain User locally (ورود به سیستم به صورت محلی در ویندوز سرور 2003 )
اگر user بخواهد به صورت locally(مستقیما در محل ) به server بصورت یک user وارد شود این عمل ممکن نمیباشد و administartor باید برای آن policies را تعیینن کرده باشد
start->administartor tools->domain security policies->local policies->user right assignment->allow logon locally(right click)->properties
سپس add user or group را انتخاب میکنیم
browse را انتخاب میکنیم
Advanced را انتخاب میکنیم
Find now را انتخاب میکنیم و سه گزینه Administrators,Domain users,Every one را انتخاب میکنیم
سپس دستور run->gpupdate را اجرا میکنیم
gpupdate مخفف group policy update میباشد
تنظیمات حساب کاربری برای یک کاربر عضو دومین
کارتهای هوشمند انتخاب عملی برای هر شبکه نیستند و شما همواره میتوانید یک security خیلی بالا برای شبکه اجرا کنید زمانی که متوجه شوید مقداری از روشهای پیشنهادی را برای استفاده از password policy های قوی
تنظیمات Password Policy
برای پیکربندی یک password policy تمامی Domain User ها تاثیرگذار خواهد بود
گامهای زیر را دنبال کنید
Administrative tools->Domain security policy->account policies->password policy
تنظیمات که برای password policy موجود میباشد
- Enforce password history
- Maximum password age
- Minimum password age
- Minimum password length
- Password must meet complexity requirements
- Store passwords using reversible encryption
Enforce password history
این تنظیمات مشخص میکند چند تا passwordواحد باید ساخته شود برای هر user account قبل از اینکه از password قدیمی دوباره استفاده شود
Maximum password age
این تنظیمات تعداد روزهایی که یک password میتواند استفاده شود قبل از زمانی که باید عوض شود را مشخص میکند
password ها میتواند تنظیم شوند تا انقضا یابند بین 99-1 روز یا اینکه شما میتوانید password ها را پیکربندی کنید بطوری که هرگز به انقضا نرسند( بوسیله تنظیمات اعداد,به 0 روز )
زمانیکه سن password به مقداری حول صفرتنظیم شود ,کمترین مقدار سن password باید تنظیماتی کمتر از بیشترین سن password داشته باشد.اگر بیشترین سن password صفر باشد کمترین سن password میتواند بین اعداد 998-0 روز باشد
Minimum password age
این تنظیمات مشخص میکند تعداد روزهایی که password باید استفاده شود قبل از اینکه بخواهد reset شود این تنظیمات جلوگیری میکند user ها را از اینکه بطور دایره وار حول یک سری از password ها بسرعت حرکت کنند تا زمانی که password اصلی استفاده میشود
Minimum password length
این تنظیمات خود تعبیر است.شما میتوانید تنظیم کنید طول مقدار کمترین password را بین 1و14 کاراکتر
کمترین طول مقدارصفر تنظیم میشود که بدین معنی است که password فقط یک جای خالی است
Password must meet complexity requirements
این دستور تنظیم on و off است که complexity روشن باشد یا خاموش را مشخص میکند
Store passwords using reversible encryption
اگر چه بنظر میرسد که این گزینه کمک میکند به بالا بردن password security اما در حقیقت برعکس آن را انجام میدهد Store passwords using reversible encryption بدین معناست که رمزدار کردن میتواند نتیجه معکوس داشته باشد و هیج وقت این گزینه را enable نکنید
complexity Requirements
زمانی که Password باید برخورد بکند با complexity تنظیمات لازم policy باید enable شده باشد.
password جدید باید با شرایط زیر برخورد بکند
password نباید همه قسمتهای اسم user account را در بر داشته باشد
طول کاراکترها حداقل باید 6 باشد
کاراکترها باید از دسته بندی زیر پیروی کنند
از حروف بزرگ انگلیسی A-Z
از حروف کوچک انگلیسی a-z
اعداد بین 0 و 9
کاراکترهای غیر حروف انگلیسی مثل ! , $ , # , %
Organizational Unit ساختن
یک کمپانی کوچک به یک کمپانی بزرگ تبدیل میشود و تعداد user ها به عددی بزرگ تبدیل شده و مدیریت آن سخت میشود. برای یک مدیر در این مورد بهترین راه این است که user ها را به واحدهای دیگرقسمت کند .OU نیزفقط به این منظور بکار میرود
شما میتوانید شئی های AD را که برای مدیریتهایی از قبیل users,groups,printer و غیره احتیاج خواهید داشت را بطور منطقی قرار بدهید
شما میتوانید بطور خیلی متفاوت یکی از unit ها را نسبت به دیگر unit ها اداره کنید
OUها در واقع Group نیستند بلکه آنها محفظه ای از Administartive هستند
هر چیزی که بتوان در واقع در Group و یا در Adtive Directory Data Base بگذارید میتوانید در OU قرار دهید,که این امر با Groupها درست نمیشود
تنها اشیا AD که گروهها هم میتوانند شامل آنها باشندعبارتند از User account ها و یا group account ها.
دیگر تفاوت عمده میان Groups و OU ها این است که شما میتوانید Group Policy را برای یک OU بکار ببرید, اما شما نمیتوانید Group Policy را برای یک Groupاستفاده کنید.ممکن است آن نام دلالت کند ولی آن چیزی نیست که برای آن Group policy استفاده میشود
ساختن OU ها
ابتدا پنجره Active Directory Users and computers را میگشاییم سپس بر روی دومین راست کلیک میکنیم سپس New و بعد organizational unit را انتخاب میکنیم
بعد از آن اسم OU مورد نظر را وارد میکنیم
سپس میتوانیم اطلاعات OU مورد نظر از قبیل توضیحات , آدرس , شهر , استان , کد پستی , کشور را مشخص کنیم
Flexible Single Master of Operation (FSMO) رول
FSMO کنترل کنند ه دامنه (Domain Controller) عملکرد های در شبکه را انجام می دهند.بصورت پیشفرض , اولین Domain Controller در forest (جنگل ) تمامی عملکرد اصلی (operation master ) را نگهداری میکند . زمانی که یک دومین جدید درست کنید , اولین دومین کنترل کننده سه عملکرد اصلی دومین )RID Master , PDC emulator , Infrastructur master ) را نگهداری میکند.
FSMO برای کاهش تضاد و تسهیل ارتباطات مربوط به replication بین دومین کنترل ها استفاده میشود.
انواع Operation Master در یک دومین و سطح جنگل عبارتند از :
1.RID Master
2.PDC Emulator
3.Infrasticture Master
4.Domain Naming Master
5.Schema Master
تنها یک کنترل کننده دومین در دومین (Domain ) یا جنگل (forest) هر یک از نقش ها را انجام می دهند.
RID Master (Relative Identifer)
هر دومین در جنگل شما دقیقا یک دومین کنترلر دارد که رول RID Master را نگهداری میکند.هدف از این رول برای دوباره پرکردن حوضچه ID های وابسته (RIDs) استفاده نشده برای دومین و جلوگیری از تخلیه شدن این حوضچه است
وقتی که شما یک منشا امنیتی جدید (user , domputer account ) درست میکنید RIDs استفاده میشود. زیرا SID برای منشا امنیتی جدید بوسیله ادغام Domain SID با یک RID منحصربفرد گرفته شده از حوضچه ساخته شده است.بنابراین اگر شما به آخر RIDs برسید, قادر به ساختن هر یک از user یا computer account نیستید و برای جلوگیری از این اتفاق RID Master حوضچه RID را مانیتور میکند و RIDs جدید برای دوباره پرکردن زمانی که به سقوط در زیر سطح معین شده رسید تولید میکند.
PDC Emulator
یک دومین کنترلی است که خود را به عنوان (Primary Domain Controller (PDC به ایستگاه های کاری , عضو سرورها و دومین کنترل هایی که از نسخه های اولیه ویندوز استفاده میکنند انتشار می دهد.
تغییرات پسورد در درون یک دومین را تکرار میکند
همزمان کردن زمان در درون دومین اطمینان حاصل میکند (و در بین دومین های در جنگل )
یک دومین کنترل در هر دومین این رول میدهد .
Infrastructure Master
مسیر های تغییر مکان و تغییر نام object ها را برعهده دارد
بروز رسانی اطلاعات دامین کنترل گروه را انجام می دهد.
Domain Naming Master
از یکتا بودن نام دومینها اطمینان حاصل میکند
برای اضافه یا حذف یک دومین از جنگل قابل باید در دسترس باشد.
یک دومین کنترلر در جنگل این رول را انجام می دهد
Schema Master
نگهداری شکل (Schema ) برای جنگل را انجام می دهد.
یک دومین کنترلر در جنگل این رول را انجام می دهد.
همانطور که میدانید shema یک مجموعه از object است
