در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

20 آموزش شبکه مقدماتی قسمت 14 : Security Groups در اکتیودایرکتوری

در این مقاله به شما انواع گروه های امنیتی ویندوز یا بهتر بگوییم Security Groups را بررسی خواهیم کرد . در مقاله قبلی به شما آموزش دادیم که چگونه در ویندوز سرور 2003 و 2008 Security Group را ایجاد کنید . حتما در تصاویر قبلی دیده اید که ویندوز به شما اجازه ساختن گروه های مختلفی را میدهد که انواع آن را میتوانید در شکل الف مشاهده کنید . همانطوری که حدس زدید هر کدام از این گروه های قابلیت های خاصی برای خود دارند . در این مقاله به شما قابلیت های مختلف این گروه ها و انواع آنها را به شما معرفی خواهم کرد .

گروه های امنیتی در اکتیودایرکتوری 1

شکل الف : ویندوز به شما اجازه ایجاد چندین نوع گروه را می دهد .


همانطوری که در شکل بالا مشاهده میکنید محدوده ای که گروه ها میتواند در آن ایجاد شوند به Domain Local ، Global و Universal طبقه بندی می شوند . اما یادتان باشد که گروه چهارمی هم وجود دارد که در اینجا عنوان نشده است و آن گروه محلی یا Local Group است .


گروه های محلی یا Local Groups


گروه های محلی ، گروه هایی هستند که بر روی هر کامپیوتر بصورت خاص وجود دارند و طبیعتا شما به اندازه تعداد کامپیوتر های خود در شبکه دارای گروه های محلی هستید . همانطوری که در مقالات قبلی نیز اشاره کردیم هر کامپیوتر برای خود یک سری حسابهای کاربری یا User Account دارد که با کاربران دامین یا Domain Users کاملا متفاوت بوده و صرفا بر روی همان کامپیوتر معتبر هستند . به این نوع حساب های کاربری Local User Account هم گفته می شود یعنی محدوده فعالیت آنها صرفا همان کامپیوتری است که بر روی آن ایجاد شده اند و صرفا از طریق همان کامپیوتر قابل دسترسی هستند . همچنین به خاطر داشته باشید که Local Users صرفا بر روی Member Server ها و Workstation ها وجود دارند و شما به هیچ عنوان بر روی Domain Controller خود چیزی با عنوان Local User را نخواهید دید .


خوب همین مفهوم در خصوص Local Groups نیز صادق است ، یعنی این گروه های صرفا بر روی Member Server ها و Workstation ها وجود دارند و حوزه فعالیت آنها همان کامپیوتری است که بر روی آن ایجاد شده اند . یک Local Group میتواند یک سری Local User را نیز در محدوده خود داشته و آنها را مدیریت کند . برای مثال گروه Local Administrators برای این ایجاد شده است که اگر بخواهیم به کاربری دسترسی مدیریتی به سیستم را بدهیم کافیست او را در این گروه عضو کنیم و بعد از این ، این کاربر بر روی این کامپیوتر به صورت محلی مدیر خواهد بود .


همچنین به یاد داشته باشید که Local Group ها صرفا میتوانند برای تعیین سطوح دسترسی منابع موجود بر روی همان کامپیوتر استفاده شوند ، اما این به این معنا نیست که این گروه های نمی توانند از گروه های دیگر موجود در شبکه عضویت داشته باشند و کاربران دامین نمیتوانند در آنها عضو شوند . یک Local Group رد عین حالی که میتواند کاربران محلی یا Local Users را در عضویت خود داشته باشد میتواند کاربران دامین را نیز در عضویت داشته باشد . Local Group ها همچنین میتوانند Domain Group های موجود در دامین شبکه خود را نیز به عضویت خود در بیاورند . برای مثال شما میتوانید در اکتیودایرکتوری یک Universal Group ایجاد کنید و آنرا به عضویت یک Local Group بر روی یکی از سرورهای عضو شبکه قرار دهید . پس بصورت کلی Local Group ها میتوانند Local Users ، Domain Users ، Domain Local Groups ، Global Group و Universal Group را در خود عضو کنند .


اما دو نکته مهم در اینجا وجود دارد که بایستی به آنها توجه کنید ، نکته اول این است که یک Local Group نمیتواند یک Local Group دیگر را در عضویت خود داشته باشد . شاید با خود فکر کنید که براحتی یک گروه را Drag و Drop میکنیم و به عضویت همدیگر در می آوریم ، اما واقعا به این شکل نیست . یکی از کارکنان مایکروسافت به من گفت که این موضع به دلیل این است که نمیخواهیم بصورت تصادفی Local Group ای عضو Local Group دیگر بشود . نکته بعدی که بایستی به آن توجه کنید این است که Local Group ها تنها در صورتی می توانند Domain Users و Domain Groups را در عضویت خود داشته باشند که خودشان عضو این دامین باشند و در غیر اینصورت فقط میتوانند Local Users را در عضویت خود داشته باشند .


Domain Local Groups در اکتیودایرکتوری


با توجه به مفهومی که از Local Groups متوجه شدید ممکن است مفهوم Domain Local Group کمی برایتان تناقض ایجاد کند . دلیل وجود گروه های Domain Local این است که Domain Controller ها نمیتوانند پایگاه داده محلی یا Local Database داشته باشند اما در همین حین Domain Controller ها دارای منابعی هستند که می بایست آنها در مدیریت کنند و این همانجایی است که Domain Local Groups وارد کار می شود . وقتی ویندوز سرور 2003 یا 2008 را نصب میکنید ، آن ماشین یا به عنوان یک Standalone Server و یا به عنوان یک Member Server شروع به فعالیت میکند ، در هنگام نصب این سیستم عامل ها Local Users ها و Local Group ها نیز ایجاد خواهند شد . حال فرض کنید که قرار است همین کامپیوتر در نقش Domain Controller مشغول به فعالیت شود !! شما با استفاده از اجرای دستور DCPROMO از طریق Run اینکار را انجام خواهید داد ، در همین زمان Local Users و Local Groups به Domain Local Groups و Domain Local Users تبدیل خواهند شد .


این مسئله خیلی مهم است که بدانید تمامی Domain Controller های موجود در یک شبکه از یک پایگاه داده مشترک و یکسان استفاده می کنند که کاربران و گروه های آن یکی هستند . این بدین معناست که اگر شما بر روی یکی از Domain Local Group ها کاربری را اضافه کنید کاربر به عضویت تمامی Domain Local Group هایی در خواهد آمد که بر روی Domain Controller های شبکه وجود دارند . مهمترین نکاتی که بایستی در خصوص Domain Local Groups بدانید این است که اولا همانطوری که گفته شد پس از اجرای دستور DCPROMO تمامی Local Group ها تبدیل به Domain Local Group خواهند شد و تمامی Domain Local Group هایی که ساخته می شوند در پوشه Built-In در کنسول Active Directory Users and Computers مطابق شکل ب قرار میگیرند .


گروه های امنیتی در اکتیودایرکتوری 2

شکل ب : Domain Local Group هایی که پس از اجرای دستور DCPROMO در پوشه Built-In ایجاد شده اند.


دلیل اینکه گفتیم این نکته مهم است این است که ما در خصوص استفاده از Domain Local Group ها دارای محدودیت هایی هستیم ، این گروه ها نه میتوانند حرکت داده شوند و نه می توانند حذف شوند . همچنین شما نمیتوانید یک Domain Local Group را به عضویت یک Domain Local Group دیگر در بیاورید . اما این محدودیت ها برای Domain Local Group هایی که شما ایجاد میکنید وجود ندارد و شما براحتی میتوانید Domain Local Group هایی را که خودتان ایجاد کرده اید را جابجا و یا به عضویت سایر Domain Local Group ها در بیاورید ، این گروه های در پوشه Users در کنسول Active Directory Users and Computers قرار میگیرند .


اگر بخواهم با شما رک حرف بزنم باید بگویم که در طول دوران کاریم با ویندوز سرور 2003 و 2008 هیچوقت از Domain Local Group ها استفاده نکرده ام و هیچوقت دلیل خاصی نیز برای ایجاد کردن این نوع گروه ها بدست نیاورده ام . در اصل یک تعبیر برای این قضه دارم که Domain Local Group ها همان Global Group ها در دامین محسوب می شوند مگر اینکه فقط به یک دامین خاص تعلق داشته باشد.


Global Group در اکتیودایرکتوری


Global Group ها را میتوان به عنوان گروهی که بیشترین استفاده را در ساختار دامین دارد معرفی کرد . در بیشتر مواقع یک Global Group در نقش یک مجموعه از کاربران اکتیودایرکتوری کار میکند . نکته جالب در خصوص Global Group ها این است که آنها می توانند در همدیگر عضو شوند . شما میتوانید یک Global Group را به عضویت یک Global Group دیگر در بیاورید و این میتواند در حالی باشد که هر دوی این گروه ها در یک دامین قرار دارند . در نظر داشته باشید که Global Group ها فقط می توانند منابع اکتیودایرکتوری را در خود داشته باشند . شما نمیتوانید یک Local User و یا یک Local Group را در یک Global Group عضو کنید . اما بر عکس این ، شما میتوانید یک Global Group را به عضویت یک Local Group در بیاورید و این یکی از روش های معمول برا ایجاد دسترسی به منابع Local سیستم های موجود در شبکه محسوب می شود . برای مثال فرض کنید که شما برای مدیران قسمت های مختلف می خواهید دسترسی مدیریتی به سیستم خودشان را بدهید ( هرچند که هیچوقت اینکار را نباید انجام بدهید و این فقط یک مثال است ) . برای اینکار یک Global Group در اکتیودایرکتوری ایجاد میکنیم و نام آنرا Managers یا مدیران قرار میدهیم و تمامی کاربران مدیر را در این گروه قرار میدهیم ، سپس این گروه را در گروه Local Administrators کامپیوترهای خودشان قرار میدهیم و این باعث میشود که این کاربران بر روی سیستم های خودشان دسترسی مدیریتی داشته باشند .


نتیجه : در این مقاله من در مورد انواع گروه های امنیتی یا Security Group هایی که میتوان در اکتیودایرکتوری ایجاد کرد صحبت کردم . شما با انواع Security Group و تفاوتهای آنها آشنا شدید و تفاوت بین Local Group و Domain Local Group و Global Group را متوجه شدید ، در ادامه مقالات شما را با مفهوم Universal Group آشنا خواهم کرد و پس از آن مفهوم Group Nesting را با هم بررسی میکنیم.ITPRO باشید



نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#distribution_group_چیست #گروه_های_اکتیو_دایرکتوری #استراتژی_گروه_ها #تفاوت_انواع_گروه_های_در_اکتیو_دایرکتوری #security_group_چیست #آموزش_مبانی_شبکه #گروه_ها_در_اکتیودایرکتوری #انواع_گروه_در_اکتیودایرکتوری #آموزش_Network+
عنوان
1 20 آموزش شبکه مقدماتی قسمت 1 : سخت افزار شبکه رایگان
2 20 آموزش شبکه مقدماتی قسمت 2 : مسیریاب ها یا روترها رایگان
3 20 آموزش شبکه مقدماتی قسمت 3 : سرویس نامگذاری دامنه یا DNS سرور رایگان
4 20 آموزش شبکه مقدماتی قسمت 4 : مفاهيم Workstation و Server رایگان
5 20 آموزش شبکه مقدماتی قسمت 5 : Domain Controller رایگان
6 20 آموزش شبکه مقدماتی قسمت 6 : دامنه های ویندوزی رایگان
7 20 آموزش شبکه مقدماتی قسمت 7 : معرفی FSMO رایگان
8 20 آموزش شبکه مقدماتی قسمت 8 : ادامه مبحث FSMO ها رایگان
9 20 آموزش شبکه مقدماتی قسمت 9 : اطلاعات در اکتیو دایرکتوری رایگان
10 20 آموزش شبکه مقدماتی قسمت 10 : Distinguished Names رایگان
11 20 آموزش شبکه مقدماتی قسمت 11 : استفاده از کنسول ADUC رایگان
12 20 آموزش شبکه مقدماتی قسمت 12 : مدیریت حسابهای کاربری در AD رایگان
13 20 آموزش شبکه مقدماتی قسمت 13 : گروه ها در اکتیودایرکتوری رایگان
14 20 آموزش شبکه مقدماتی قسمت 14 : Security Groups در اکتیودایرکتوری رایگان
15 20 آموزش شبکه مقدماتی قسمت 15 : Universal Group و Group Nesting رایگان
16 20 آموزش شبکه مقدماتی قسمت 16 : نقش سیستم عامل های ویندوزی رایگان
17 20 آموزش شبکه مقدماتی قسمت 17 : هفت لایه OSI یا مدل مرجع OSI رایگان
18 20 آموزش شبکه مقدماتی قسمت 18 : اشتراک گذاری منابع در شبکه رایگان
19 20 آموزش شبکه مقدماتی قسمت 19 : سطوح دسترسی اشتراکی رایگان
20 20 آموزش شبکه مقدماتی قسمت 20 : سطوح دسترسی به فایل رایگان
زمان و قیمت کل 0″ 0
5 نظر
امیر شاه حسینی

اقای نصیری میشه بگید تو win 2012 گروه های local domain , global,universal میتونن اعضاشونو از کجا بگیرند و میتونن منابع کجاهارو ببینن؟

rahman_alam

تشکر از مطالب مفیدتون...ی سوال

"برای اینکار یک Global Group در اکتیودایرکتوری ایجاد میکنیم و نام آنرا Managers یا مدیران قرار میدهیم و تمامی کاربران مدیر را در این گروه قرار میدهیم ، سپس این گروه را در گروه Local Administrators کامپیوترهای خودشان قرار میدهیم و این باعث میشود که این کاربران بر روی سیستم های خودشان دسترسی مدیریتی داشته باشند . "

اگر این گروه را به عضویت گروه Local Administrators در بیاریم که همه اعضای این گروه روی کامپیوتر ادمین میشن...یعنی همه مدیران روی کامپیوترهای هم دیگه ادمین میشن...درسته؟

محمد نصیری

بله روی همه سیستم های مدیران مدیر میشن

میلاد فشی

تشکر از مطالب مفیدتون...ی سوال

"برای اینکار یک Global Group در اکتیودایرکتوری ایجاد میکنیم و نام آنرا Managers یا مدیران قرار میدهیم و تمامی کاربران مدیر را در این گروه قرار میدهیم ، سپس این گروه را در گروه Local Administrators کامپیوترهای خودشان قرار میدهیم و این باعث میشود که این کاربران بر روی سیستم های خودشان دسترسی مدیریتی داشته باشند . "

خوب در سازمان بخش هایی وجود دارند که با دستگاه ها و نرم افزارهایی کار میکنند که باید بتونند IP سیستم خودشون رو تغییر بدهند یا نرم افزار حذف و نصب کنند و ... کاربرانی هم هستند که فقط استفاده کننده هستند و نیاز به تغییرات ندارند.خوب این کاربران باید عضو گروه Domain Users باید باشند.ولی برای کاربرانی که نیاز به تغییرات دارند باید به صورت مثال شما که در بالا به اون اشاره شده باید عمل کرد !؟ لطفاً اگر در مورد این سوال مطلبی در سایت هست یا در منابع مایکروسافت هست معرفی نمایید.

محمد نصیری

لطفا در قالب سئوال جدید ارسال کنید سپاسگزارم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....