تا %60 تخفیف خرید برای 6 نفر با صدور مدرک فقط تا
00 00 00

آموزش اکتیودایرکتوری (Active Directory) قسمت 2 : مدیریت کاربران

مدیریت کاربران در اکتیودایرکتوری

در بخش اول مقاله اکتیودایرکتوری به معرفی آن پرداختیم. در بخش دوم این مقاله به مبحث مدیریت کاربران و کامپیوترها در اکتیودایرکتوری می پردازیم. هرکاربر به یک اکانت کاربری برای log on به دامین ویندوز سرور 2008 نیاز دارند. هنگامی که یک کاربر log on می کند آنها می توانند بر مبنای مجوزهایی که به اکانت کاربر (یا هر گروهی که کاربر متعلق به آن است) تخصیص داده شده است به منابع دسترسی داشته باشند.

در کنسول Active Directory Users And Computers یک Container وجود دارد که Users نامیده می شود و شامل دو اکانت کاربر توکار به نام های Administrator و Guest می باشد. به هر یک از این اکانت های توکار حقوق و مجوزهایی به طور خودکار اختصاص داده می شود. اکانت Administrator هنگامی که شما یک ویندوز سرور 2008 عضوز سرور را نصب می کنید ، به شکل محلی ساخته می شود و یا در هنگامی که یک کامپیوتر ویندز سرور 2008 که اولین سرور در دامین اکتیو دایرکتوری است را نصب می کنید ، در اکتیو دایرکتوری ساخته می شود. Administrator یک اکانت مخصوصی است که کنترل کاملی بر روی کامپیوتر یا دامین دارد. اکانت Administrator درون اکتیودایرکتوری دارای تنظیمات پیش فرض زیر می باشد:

  • Administrator کنترل کاملی بر روی دامین دارد و می تواند برای دیگر کاربران و گروه ها حقوق کاربری و کنترل دسترسی را تعیین کند.Administrator عضو گروه های زیر می باشد :
  • Administrators
  • Domain Admins
  • Enterprise Admins
  • Group Policy Creator Owners
  • Schema Admins
  • اکانت Administrator نمی تواند حذف شود و یا از گروه Administrators برداشته شود ولی آن می تواند برای اهداف امنیتی غیرفعال شود و یا تغییر نام داده شود . باید توجه کرد که اگر این اکانت غیرفعال باشد و سرور از طریق Safe Mode بوت شود ، هنوز هم می توان از این اکانت استفاده کرد.
  • اکانت Guest به کسانی که یک اکانت واحدی درون اکتیو دایرکتوری برای ورود به دامین را ندارند به شکل محدودی اجازه دسترسی به منابع را می دهد. این اکانت به شکل پیش فرض غیرفعال می باشد،ولی شما می توانید آن را فعال نمایید . این اکانت می تواند از یک پسورد خالی استفاده کند ولی پیشنهاد می شود که به آن پسورد اختصاص دهید و از آن برای محیط هایی که دارای امنیت پایینی هستند استفاده کنید.

قرارداد ها و قوانین نام کاربری و پسورد

برای ساخت یک کاربر جدید شما باید از یک نام کاربری معتبر استفاده کنید. این نام کاربری از یکسری قرارداد و قوانینی تبعیت می کند. این قراردادها به صورت زیر می باشد:

  • نام کاربری می تواند بین 1 تا 20 کاراکتر باشد.
  • اکانت کاربر باید از یک نام کاربری واحد که به دیگر نام های موجود در اکتیودایرکتوری دامین فرق داشته باشد استفاده کند.
  • نام کاربری نمی تواند شامل کاراکترهای زیر باشد: * / \ [ ] : ; | = , + ? < > “ @
  • نام های User logon حساس به حروف بزرگ یا کوچک نیستند.

برای حفاظت اکانت کاربر از هکرها و افراد مزاحم شما باید یک پسورد سخت به هر اکانت کاربر در دامین اکتیو دایرکتوری اختصاص دهید. به عنوان یک مدیر شما می توانید در هنگامی که یک اکانت کاربر را می سازید به آن یک پسورد اختصاص دهید یا یک پسورد پیش فرض را به اکانت کاربر اختصاص دهید و از کاربر در هنگام logon برای تغییر پسورد سوال شود. شما ممکن است به کاربران برای ساخت پسورد سخت آموزش دهید و یا از group policiy ها برای تهیه یک پسورد سخت استفاده کنید.

قوانین ساخت یک پسورد سخت

  • پسورد خود را از واژه های موجود در دیکشنری انتخاب نکنید
  • شامل نام کاربری، نام واقعی، نام حیوان خانگی، نام اعضای خانواده یا نامزد ( D: ) و یا نام شرکت نباشد.
  • طول آن بین 7 تا 14 کاراکتر باشد.
  • از پسوردهای قبلی متمایز باشد.
  • ترکیبی ار حروف بزرگ، حروف کوچک، اعداد و کاراکترهای ویژه باشد.

همچنین شما می توانید از group policy ها و از طریق مسیر زیر قوانین پسوردگذاری بر مبنای تنظیمات امنیتی را تعیین کنید :

Administrative Tools --> Domain Security Policy --> Security Settings --> Account Policies --> Password Policy

Usernames and Security Identifiers

هنگامی که شما یک کاربر جدید (New user) می سازید، یک شناسه امنیتی (security identifier) یا (SID) برای اکانت کاربر روی کامپیوتر ساخته می شود. برای مثال SID یک کاربر ممکن است به شکل زیر می باشد:

S-1-5-21-823518204-746137067-120266-629-500

(SID) ها چندین مزیت دارند. زیرا ویندوز سرور 2008 از SID برای اشیاء کاربر (user object) استفاده می کند و شما می توانید نام کاربری را با حفظ تمام ویژگی های اکانت به آسانی تغییر دهید . همچنین اگر شما یک اکانت را حذف نمایید و سپس بخواهید یک اکانت جدید با همان نام را ایجاد نمایید، کامپیوتر مطمئن می شود که این اکانت همان اکانت قدیمی نیست، زیرا (SID) این اکانت فرق می کند.

ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers

کنسول Active Directory Users and Computers ابزار اصلی برای مدیریت کاربران و گروه ها و کامپیوترهای اکتیودایرکتوری است.شما می توانید طبق مراحل زیر یک اکانت کاربر را ایجاد نمایید:

1.ابتدا به یک اکتیو دایرکتوری دامین کنترلر log on نمایید.

2.کنسول Active Directory Users and Computers را اجرا نمایید.

3.ما می خواهیم در کانتینر Users یک اکانت کاربری جدید ایجاد نمایم.برای این کار بر روی کانتینر Users کلیک راست کرده و در منو باز شده گزینه New و سپس گزینه User را انتخاب می نماییم. (تصویر 1 را ببینید)

وب سایت توسینسو

4.پنجره New Object–User به نمایش در می آید. در این پنجره شما باید فیلد های first name ، last name و logon name User را پر نمایید .و سپس دکمه Next را بزنید. ( تصویر 2 را ببینید) در اینجا فیلد logon name User به طور مختصر توضیح داده می شود:

User Logon Name : نام کاربری را برای اکانت جدید تعیین می کند و از آن برای فرآیند logon استفاده می کند. نامی را انتخاب کنید که با قرارداد نام گذاری شما سازگار باشد. پر کردن این فیلد لازم می باشد. نام های ورودی کاربر، طی فرآیند logon شدن حساس به حروف کوچک و بزرگ نمی باشند. ( user principal name) یا UPNاز نامی که کاربر با آن logon می کند و پسوند نام مسئول دامین ساخته می شود، که به وسیله نشانه @ به هم متصل می شوند. برای مثال نام ورودی کاربر ممکن است reza و پسوند نام مسئول itpro.local باشد. در نتیجه UPN، reza@itpro.local خواهد بود.

وب سایت توسینسو

5.دومین پنجره New Object–User به نمایش در می آید. در اینجا ما باید بخاطر اهداف امنیتی برای اکانت کاربر یک پسورد انتخاب نماییم . پس در password ، یک پسورد سخت را تایپ می نماییم . در پایین پنجره یکسری گزینه ها وجود دارد که بنا بر نیازهای مدیریتی انتخاب می شوند. (تصویر 3 را ببینید) توضیح این گزینه ها به شرح زیر می باشد:

User Must Change Password At Next Logon : اگر این گزینه انتخاب شده باشد، کاربر مجبور می شود که پسوردی را که برای اولین بار با آن log on کرده است را تغییر دهد. این کار برای بالا بردن امنیت انجام می شود و وظیفه پسوردگذاری را به کاربر انتقال می دهدیه طور پیش فرض این گزینه انتخاب شده است.

User Cannot Change Password : اگر این گزینه انتخاب شده باشد، کاربر از تغییر دادن پسورد منع می شود. این کار برای اکانت هایی مانند Guestو آن هایی که بین بیش از یک کاربر به اشتراک گذاشته شده اند مفید است. این گزینه به طور پیش فرض انتخاب شده نیست.

Password Never Expires : این گزینه تعیین می کند که پسورد هیچ وقت تغییر نکند حتی اگر یک سیاست پسورد تعیین شده باشد. برای مثال اگر یک service account داشته باشید و نخواهید سربار مدیریتی به خاطر تغییر پسوردها ایجاد شود، می توانید این گزینه را انتخاب کنید. این گزینه به طور پیش فرض انتخاب شده نیست.

Account Is Disabled : این گزینه تعیین می کند که این اکانت برای اهداف logon نمی تواند مورد استفاده قرار بگیرد.برای مثال ممکن است شما این گزینه را برای اکانت های قالب یا اکانتی که هم اکنون مورد استفاده قرار نمی گیرد انتخاب کنید.این کار اکانت های غیر فعال را از درگیری با تهدید های امنیتی باز می دارد. این گزینه به طور پیش فرض انتخاب شده نیست.

6.در پایان دکمه Next و سپس Finish را فشار دهید .

وب سایت توسینسو

مدیریت User Properties در اکتیودایرکتوری

برای کاربران موجود در اکتیودایرکتوری شما می توانید انواع زیادی از خصوصیات و ویژگی ها را پیکربندی نمایید. برای دسترسی به پنجره Properties یک کاربر، شما می توانید بر روی اکانت آن کاربر double-click کنید و یا بر روی اکانت راست کلیک کرده و گزینه Properties را انتخاب نمایید. در پنجره Properties یک کاربر ، برگه های زیادی وجود دارد که توضیح مهمترین برگه ها به شرح زیر می باشد:

• برگه Accounts : با استفاده از این برگه شما می توانید اکانت کاربر را کنترل نمایید که توضیح مختصر مهمترین قسمت های آن به قرار زیر می باشد:

1. در بخشی از این برگه اطلاعات User logon name که شما در هنگام ورود به دامین از آن استفاده می کنید به نمایش در آمده است. (تصویر 4)

2. در قسمتی از این برگه کادر Account options قرار دارد که از آن برای تنظیمات امنیتی مربوط به اکانت ، از قبیل شرایط پسورد و وضعیت اکانت استفاده می شود. (تصویر 4)

3. در پایین این برگه کادر Account expiration قرار دارد که می توان با استفاده از آن برای اکانت یک تاریخ انقضاء تعیین کرد. (تصویر 4)

4.بر روی این برگه دکمه Logon Hours قرار دارد که از آن برای تعیین این که کاربر در چه زمان هایی و در چه روزهایی بتواند به دامین logon نماید استفاده می شود. (تصویر 5)

5.همچنین بر روی این برگه دکمه ی Log On To قرار دارد که به کاربر اجازه می دهد تنها از طریق ایستگاه کاری (کامپیوتر) خاصی به درون دامین log on نماید. این کار به شما کمک خواهد کرد که امنیت دامین تان را به وسیله مجبور کردن کارکنان به log on کردن به دامین تنها از طریق کامپیوترهایی که اجازه دسترسی به آن را دارند، افزایش دهید. (تصویر 6)

وب سایت توسینسو
  • برگه General : این برگه شامل اطلاعات عمومی کاربر مانند نام ، تلفن ، آدرس ایمیل و غیره می باشد. (تصویر 7)
  • برگه Address : این برگه شامل اطلاعات آدرس کاربر می باشد. (تصویر 8)
  • برگه Telephones : از این برگه می توان برای ثبت تلفن های کاربر استفاده کرد. (تصویر 9)
  • برگه Organization : از این برگه برای وارد کردن اطلاعات مربوط به کاربر در سازمان استفاده می شود. (تصویر 10)
  • برگه Profile : این برگه به شما اجازه می دهد که محیط کاربر را سفارشی سازی نمایید. (تصویر 11)
  • برگه Member Of : از این برگه برای عضو کردن کاربر در یک گروه امنیتی خاص استفاده می شود. (تصویر 12)
  • برگه Environment : از این برگه برای پیکربندی محیط Terminal Services start-up استفاده می شود.یعنی می توان برای یک کاربر که از طریق Terminal Services و، log on می کند تعیین کرد که در هنگام start up چه برنامه ای اجرا شود. (تصویر 14)
  • برگه Remote Control : از این برگه برای پیکربندی و تنظیمات مربوط به کنترل از راه دور کامپیوتر استفاده می شود. (تصویر 15)
وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

ساخت User Template

همانطور که می دانید قالب ها ، ساخت اکانت های زیاد را ساده می کند. به خصوص اگر شما در حال ایجاد کاربرانی برای یک سازمان خاص با ویژگی های مشابه و عضویت در گروه های یکسان هستید، شما می توانید از یک قالب برای ساخت کاربر استفاده کنید.در یک قالب شما می توانید تمام پارامترهای اکانتی که کاربرانتان به آن ها نیاز دارند را تعریف کنید. مطمئن باشید که اکانت قالب غیرفعال است و همه ویژگی های مطلوبی که شما برای کاربرانتان نیاز دارید را دارا می باشد. طی ساخت یک اکانت کاربر جدید ، شما یک ویزارد و پنجره یکسان با قالب را دریافت خواهید کرد. تنها کاری که باید انجام دهید اینست که یک کپی از اکانت قالب ایجاد کرده و نام و پسورد جدید را اضافه نمایید.شما ممکن است چندین قاب کاربر برای چندین هدف با ویژگی ها و تنظیمات مختلف ایجاد نمایید. در اینجا هیچ محدودیتی برای تعداد قالب های کاربر وجود ندارد.توجه کنید که برای ساخت یک اکانت جدید مطابق با اکانت قالب ، کافی است که بر روی اکانت قالب کلیک راست کرده و سپس گزینه Copy را انتخاب نماییم . در این هنگام یک ویزارد باز شده که لازم است فقط نام و پسورد اکانت جدید وارد شود. بقیه تنظیمات مشابه با اکانت قالب می باشد.


مدیریت اکانت های کامپیوتر در اکتیودایرکتوری

همه کامپیوترها در دامین شما باید یک اکانت کامپیوتر در اکتیودایرکتوری داشته باشند. شبیه به اکانت های کاربر که یک شخص را در اکتیو دایرکتوری نشان می دهد ، اکانت های کامپیوتر نیز یک کامپیوتر را در اکتیودایرکتوری نشان می دهند. برای اینکه کامپیوترها دسترسی امنی به منابع دامین داشته باشد، هر کامپیوتر در دامین شما نیازمند دسترسی به دامین کنترولر (از طریق برپاکردن یک کانال امن میان خود و دامین کنترولر ) است. این کانال امن در حقیقت یک مسیر تایید اعتبار است که در آن یک کامپیوتر پسوردش را برای تایید اعتبار به دامین کنترولر نشان می دهد و از طریق همین کانال امن بعدا کامپیوترها برای تبادل داده به شکل امن میان خود و دامین کنترولر استفاده می کنند.

شما می توانید به دو روش یک اکانت کامپیوتر را در دامین اکتیو دایرکتوری بسازید . یک روش ساخت اکانت کامپیوتر با استفاده از کنسول Active Directory Users And Computers قبل از اینکه کامپیوتر به دامین بپیوندد ، است. و روش دیگر اضافه کردن کامپیوتر به دامین ، از طریق برگه Computer Name در System Properties آن کامپیوتر است.

ساختن یک اکانت کامپیوتر جدید با استفاده از کنسول Active Directory Users And Computers

اگر شما دارای حقوق مدیریتی برای اضافه کردن یک اکانت کامپیوتر به دامین بوده و همچنین در حال نصب و راه اندازی یک کامپیوتر کلاینت جدید هستید . در این حالت شما می توانید با استفاده از کنسول Active Directory Users And Computers ، یک اکانت کامپیوتر جدید همنام با اسم کامپیوتر کلاینت در دامین اکتیودایرکتوری بسازید و سپس از آن برای اتصال کامپیوتر کلاینت به دامین در هنگام نصب ویندوز کامپیوتر کلاینت ، استفاده کنید. مراحل ایجاد یک اکانت کامپیوتر در اکتیودایرکتوری چنین است :

1.ابتدا کنسول Active Directory Users and Computers را اجرا نمایید.

2. ما می خواهیم در کانتینر یا پوشه Computer یک اکانت کامپیوتر جدید ایجاد نمایم.برای این کار بر روی پوشه Computer کلیک راست کرده و در منو باز شده گزینه New و سپس گزینه Computer را انتخاب می کنیم.

3.در این حالت پنجره New Object _ Computer ، باز می شود . در اینجا کافی است که در فیلد Computer Name ، نام کامپیوتر کلاینت را وارد کرده و دکمه OK را بزنید. به این ترتیب شما یک اکانت کامپیوتر برای کامپیوتر کلاینت در دامین اکتیو دایرکتوری تان ساخته اید و می توانید از آن برای اتصال کامپیوتر به دامین در هنگام نصب ویندوز در کامپیوتر کلاینت استفاده کنید.

پیوستن یک کامپیوتر کلاینت به دامین با استفاده از برگه Computer Name در System Properties

برای پیوستن کامپیوترها به دامین پس از نصب و راه اندازی کامپیوتر کلاینت ، شما می توانید از این روش استفاده کنید. ما در اینجا می خواهیم یک کامپیوتر کلاینت که با Windows xp راه اندازی شده است را به دامین itpro.local متصل کنیم. برای اینکار به ترتیب زیر عمل می نماییم:

1.ابتدا به کارت شبکه Windows xp ، یک آدرس IP در محدوده آدرس IP دامین اختصاص می دهیم. به طور نمونه ، آدرس IP کامپیوتر دامین ما در اینجا 192.168.1.1 است پس ما می توانیم IP کامپیوتر کلاینت را مثلا 192.168.1.5 انتخاب کنیم. سپس در قسمت Preferred DNS server کارت شبکه ویندوز xp ، آدرس DNS سرور itpro.local که همانا 192.168.1.1 است، را قرار می دهیم.

وب سایت توسینسو

2.سپس با استفاده از دستور Ping در Command Prompt ، بررسی می کنیم که آیا کارت شبکه ویندوز xp با دامین ارتباط دارد یا نه ؟

وب سایت توسینسو

3.سپس بر روی My Computer کلیک راست کرده و آنگاه گزینه Properties را انتخاب نمایید. در این هنگام پنجره System Properties نمایان می شود . حالا برگه Computer Name را انتخاب کنید.

وب سایت توسینسو

4.در برگه Computer Name بر روی دکمه Change فشار دهید. در این هنگام پنجره Computer Name Changes نمایان می شود. در اینجا شما باید در فیلد Domain ، نام دامینی که می خواهید به آن وصل شوید را بنویسید.(مثلا itpro.local ) و سپس دکمه OK را بزنید.

وب سایت توسینسو

5.حالا پنجره Computer Name Changes ظاهر می شود. در اینجا شما باید در فیلدهای username و password ، نام کاربری و پسورد اکانتی که دارای حقوق لازم برای عضویت کامپیوترها به دامین است را وارد نماییم و دکمه OK را بزنیم . اگر تمام مراحل درست انجام شده باشد شما یک پیام خوش آمدگویی به دامین دریافت خواهید کرد و آنگاه باید کامپیوتر را ریستارت نمایید.

وب سایت توسینسو

6.اگر شما کنسول Active Directory Users and Computers را در ویندوز سرور 2008 باز کرده و بر روی پوشه Computer کلیک نمایید . آنگاه باید اکانت کامپیوتر کلاینت را مشاهده نمایید.

وب سایت توسینسو

در بخش بعدی این سری از مقالات ما به مبحث مدیریت گروه ها در اکتیودایرکتوری می پردازیم.

نویسنده : رضا تقی زاده

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
26 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند