در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش اکتیودایرکتوری (Active Directory) قسمت 3 : مدیریت گروه ها

در بخش های قبلی مقاله اکتیودایرکتوری ، ما به معرفی اکتیودایرکتوری و مبحث مدیریت کاریران و کامپیوترها پرداختیم. در بخش سوم و چهارم این سری مقالات ما درباره مدیریت گروه ها و ساختار سازمانی (OU) صحبت می کنیم. استفاده از گروه ها و واحدهای سازمانی یک راه حل آسان و منطقی برای مدیریت دامنه و حفظ امنیت منابع شبکه است. ما در این مقاله درباره مدیریت گروه ها و دلایل استفاده از آن می پردازیم و سپس در مقاله بعدی درباره ساختارهای سازمانی و موارد کاربردی آن در محیط اکتیودایرکتوری صحبت خواهیم کرد.

گروه ها در ویندوز سرور 2008

گروه ها مجموعه ای از اشیاء مانند ( کاربران ، کامپیوترها ، چاپگرها و حتی گروه های دیگر ) هستند که از آن برای دادن مجوزهای دسترسی به منابع شبکه به مجموعه ای از اشیاء به شکل همزمان استفاده می شود. ما در ویندوز سرور 2008 دو نوع گروه داریم، یکی گروه های محلی و دیگری گرو های دامنه .

گروه های محلی

هنگامی که شما یک کامپیوتر ویندوز سرور 2008 را بعنوان یک سرویس دهنده عضو ، مثلا بعنوان سرویس دهنده DHCP یا سرویس دهنده DNS ( و نه به عنوان دامین کنترولر ) پیکربندی می نمایید ، تعدادی گروه محلی بصورت اتوماتیک در آن ایجاد می شود به طوری که می توان به کاربرانی که عضو آن گروه ها هستند اجازه داد اعمالی که به آن گروه ها واگذار شده است را انجام دهند.می توان کاربران را عضو گرو های محلی پیش فرض کرد.

همچنین می توان گره های محلی جدیدی را در کامپیوتر ایجاد نمود و به گروه خاصی از کاربران ، حقوق خاصی برای انجام بعضی از کارها اعطا کرد و یا اجازه دسترسی به منابع خاصی از شبکه را به آنها داد.اما باید توجه کرد که دلیل استفاده از گروه ها بیشتر محدود کردن اعمال کاربران بر روی سرویس دهنده است و نه دادن حق انجام اعمال . یعنی اگرچه می توان با استفاده از گروه ها به کاربران خاصی اجازه انجام برخی از کارهای مدیریتی را داد ولی بهتر است که از گروه ها برای محدود کردن اجازه دسترسی کاربران به منابع شبکه استفاده کرد.

هنگامی که یک کامپیوتر ویندوز سرور 2008 را بعنوان یک سرویس دهنده عضو در نظر می گیرید در آن تعدادی گروه محلی پیش فرض ایجاد می شود که هر یک از آن ها دارای حقوق مدیریتی خاصی می باشند . گروه های محلی پیش فرض را می توان در پوشه Groups واقع در کنسول مدیریتی Local Users and Groups Management مشاهده نمایید.

وب سایت توسینسو

بعضی از مهمترین گروه های پیش فرضی که در این پوشه قرار دارند به قرار زیر می باشد :

  • Administrators : اعضای این گروه ، حقوق نامحدودی برای دستکاری یا مدیریت محلی یا از راه دور کامپیوتر دارند. به طور پیش فرض Administrator محلی ( Local Administrator ) و اعضای گروه Domain Admins ، عضو این گروه هستند.
  • Guests : فقط اکانت Guest عضو این گروه است. ولی در ویندوز سرور 2008 اکانت Guest به طور پش فرض غیر فعال است. اعضای این گروه هیچ گونه حقوق یا جواز پیش فرضی ندارند. اگر اکانت Guest را فعال کنید و مهمانی به کامپیوتر وارد شود، در زمان ورود او یک پروفایل موقتی ایجاد می گردد که در زمان خروج پاک می شود.
  • Remote Desktop Users : اعضای این گروه می توانند از راه دور به سرویس دهنده وارد شوند.
  • Users : اعضای این گروه می توانند اعمال مقدماتی همچون اجرای برنامه ها و استفاده از چاپگرها را انجام دهند. اعضای این گروه نمی توانند منابع اشتراکی یا چاپگر ایجاد کنند.(ولی می توانند به چاپگرهای شبکه وصل شوند تا آن ها را به صورت محلی نصب کنند). همه ی اکانت های کاربری که در دامنه ایجاد می شوند عضو این گروه هستند.
  • Telnet Clients : اعضای این گروه می توانند به سرویس Telnet Server کامپیوتر، اگر در حال اجرا باشد، استفاده کنند. به طور پش فرض سرویس Telnet Server غیرفعال است.

از آنجایی که مدیریت کاربران و گروه های محلی در ویندوز سرور 2008 همانند ویندوز7 می باشد ، شما می توانید برای دریافت اطلاعات بیشتر درباره گروه های محلی پیش فرض و همچنین نحوه ایجاد یک گروه محلی جدید به مقاله ساخت و مدیریت گروه ها در ویندوز 7 مراجعه نمایید.

گروه های دامنه

گروه های دامنه بخشی از اکتیودایرکتوری هستند و می توانند در دامین ریشه جنگل ، در هر دامینی از جنگل و یا در یک OU ( ساختار سازمانی ) وجود داشته باشند. کامپیوتر ویندوز سرور 2008 ای که به عنوان دامین کنترولر ( DC ) استفاده می شود بصورت اتوماتیک گروه های پیش فرضی را در دامین ایجاد می کند. مدیریت گروه ها در دامین از طریق کنسول Active Directory Users and Computers انجام می شود. همانند گروه های محلی ، می توان گروه های جدیدی در دامین ایجاد کرد و یا به گروه های موجود در دامین ، عضو اضافه کرد.

گروه های دامنه پیش فرض

وقتی که اکتیودایرکتوری را در یک ویندوز سرور 2008 نصب می کنید و یک دامین کنترولر ایجاد می نمایید ، سیستم به صورت خودکار تعدادی گروه را ایجاد می کند. برخی از گروه ها در Container (حاوی) Built-in هستند و برخی دیگر از گروه ها در حاوی Users قرار دارند.برخی از مهمترین گروه های واقع در حاوی Built-in به قرار زیر می باشد :

  • Account Operators : اعضای این گروه می توانند به ایجاد، تغییر، و حذف اکانت های کاربران، گروه ها و کامپیوترهایی که در حاوی Users یا حاوی Computers و یا در OU قرار دارند(ولی نه در OUی توکار Domain Controllers )، بپردازند. اما اعضای این گروه نمی توانند گروه های Administrators یا Domain Admins ، و یا اکانت های اعضای این گروه ها را تغییر دهند. اعضای این گروه می توانند به صورت محلی به همه ی DC های دامنه وارد شوند و می توانند آن ها را خاموش کنند.
  • Administrators : اعضای این گروه کنترل کاملی روی همه ی دامین کنترول های دامنه دارند. به طور پیش فرض اکانت Administrators و گروه های Domain Admins و Enterprise Admins ، عضو این گروه هستند.
  • Backup Operators : اعضای این گروه می توانند به پشتیبان گیری و بازیابی فایل های همه ی دامین کنترول های دامنه بپردازند، صرف نظر از جوازهایی که روی آن فایل ها دارند. اعضای این گروه همچنین می توانند به همه ی دامین کنترول ها وارد شوند، و آن ها را خاموش نمایند.
  • Guests : اعضای این گروه هیچ حق پیش فرضی ندارند. اکانت Guest (که به طور پیش فرض غیرفعال است) و همچنین گروه Domain Guest (واقع در حاوی Users) عضو این گروه هستند.
  • Incoming Forest Trust Builders : این گروه فقط در دامنه ریشه جنگل ظاهر می شوند. اعضای این گروه می توانند رابطه اعتمادی جنگل یک طرفه ی ورودی ( One-way Incoming )را به دامنه ریشه ی جنگل ایجاد کنند.
  • Print Operators : اعضای این گروه می توانند چاپگرهای دامنه را مدیریت کنند.
  • Remote Desktop Users : اعضای این گروه می توانند با نرم افزار سرویس گیرنده ی Remote Desktop ، از راه دور به دامین کنترول های دامنه وارد شوند.
  • Server Operators : اعضای این گروه، توانایی انجام این کارها را در DC ها دارند : ایجاد و حذف منابع اشتراکی - به کار انداختن و متوقف کردن برخی از سرویس ها - پشتیبان گیری و بازیابی فایل ها - فرمت کردن درایوها - خاموش کردن کامپیوتر

Users : اعضای این گروه می توانند معمولترین کارها را انجام دهند( از قبیل اجرای برنامه ها، و استفاده از چاپگرهای محلی و شبکه ). به طور پش فرض گروه های Domain Users و Authenticated Users عضو این گروه هستند. ( این بدان معنی است که هر اکانت کاربری که در دامنه ایجاد می کنید به صورت اتوماتیک عضو گروه Users می شود ).

وب سایت توسینسو

برخی از مهمترین گروه های واقع در حاوی Users به قرار زیر می باشد :

  • Cert Publishers : اعضای این گروه می توانند به انتشار مجوز برای کاربران و کامپیوترها بپردازند.
  • Domain Admins : اعضای این گروه کنترل کاملی روی دامنه دارند. به طور پیش فرض این گروه عضو گروه Administrators همه ی دامین کنترول ها، همه ی ایستگاه های کاری دامنه ، و همه ی سرویس دهنده های عضو دامنه است. اکانت Administrators به صورت اتوماتیک عضو این گروه می باشد، و شما نباید کاربران دیگر را به این گروه اضافه کنید مگر اینکه آن ها تجربه و مهارت کافی داشته باشند.
  • Domain Computers : این گروه حاوی همه ی ایستگاه های کاری و سرویس دهنده های عضو دامنه است.
  • Domain Controllers : این گروه حاوی همه ی کنترل کننده های دامنه است.
  • Domain Users : این گروه حاوی همه ی کاربران دامنه است. به عبارت دیگر هر اکانت کاربری که در دامنه ایجاد می شود عضو این گروه است.
  • Enterprise Admins : این گروه فقط در دامنه ی ریشه ی جنگل ظاهر می شود. اعظای آن کنترل کاملی روی همه ی دامنه های جنگل دارند، و این گروه عضو گروه Administrators همه ی دامین کنترول های جنگل است. به طور پیش فرض اکانت Administrator عضو این گروه است، و شما نباید کاربرانی که مهارت و تجربه کافی در زمینه مسائل شبکه ندارند را به این گروه اضافه کنید.
  • Group Policy Creators Owners : اعضای این گروه می توانند سیاست های گروه را در دامنه تغییر دهند. به طور پش فرض اکانت Administrator عضو این گروه است، و شما باید فقط کاربرانی را به این گروه اضافه کنید که توانایی و دانش کافی در اعمال سیاست های گروه را دارا می باشند.
  • Schema Admins : این گروه فقط در دامنه ریشه ی جنگل ظاهر می شود. اعظای این گروه می توانند شمای اکتیودایرکتوری در جنگل را تغییر دهند. به طور پش فرض اکانت Administrator عضو این گروه است، و فقط باید کاربرانی را به این گروه اضافه کنید که در زمینه کار با اکتیودایرکتوری مهارت دارند.
وب سایت توسینسو

گروه های خاص در دامنه

در دامین گروه هایی وجود دارد که نمی توانید آنها را کنسول اکتیودایرکتوری ببینید و یا اعضای آنها را مشاهده نموده و یا تغییر دهید. این گرو ها را فقط وقتی می توانید ببینید که می خواهید روی منابع شبکه مجوز قرار دهید . این گروه ها ، گروه های خاص نامیده می شود و ویندوز در شرایط خاصی از آنها برای نمایش کاربران مختلف استفاده می کند و عضویت در آنها موقتی و گذراست . برای نمونه گروه Everyone نماینده همه کاربرانی است که در حال حاضر در شبکه وارد شده اند. مهمترین گروه های خاص عبارتند از :

  • Anonymous logon : کاربران و سرویس هایی را مشخص می کند که از طریق شبکه و بدون داشتن اسم اکانت و پسورد و یا اسم دامنه به یک کامپیوتر و منابع آن دست می یابند.
  • Everyone : شامل همه کاربرانی است که در حال حاضر در شبکه هستند . از جمله کاربران مهمان و کاربران سایر دامین ها. هر کاربری که به شبکه وارد می شود به صورت خودکار عضو این گروه می گردد.
  • Network : نماینده ی کاربرانی است که در حال حاضر از طریق شبکه (نه به صورت محلی و از طریق کامپیوتری که دارنده منبع است ) به یک منبع خاص دستیابی حاصل کرده اند. هر کاربری که از طریق شبکه به منبعی دست می یابد به صورت اتوماتیک عضو این گروه می شود.
  • Interactive : شامل هر کاربری است که در حال حاضر به یک کامپیوتر خاص وارد شده و به یک منبع خاص آن کامپیوتر دستیابی حاصل کرده است. (متضاد Network ). هر کاربری که به صورت محلی کار می کند و به منبعی روی کامپیوتر دست می یابد به صورت اتوماتیک عضو گروه Interactive می شود.

شیوه ایجاد یک گروه دامنه جدید

ما می توانیم در یک دامین ، گروه دامنه جدید ایجاد نماییم و یا به گروه های دامنه موجود عضو اضافه کنیم. نکته ای که باید در مورد گروه های دامنه در نظر داشت اینست که فقط در مورد قرار دادن مجوز بر روی منابع سیستم می توان از آنها استفاده کرد و نمی توان بر روی آنها بر خلاف نامی که دارند ، سیاست های گروه ( Group policy ) اعمال کرد.گروه ها در ویندوز سرور 2008 به دو نوع تقسیم می شوند :

  • گروه های توزیع (Distribution ) : که برای اطلاع رسانی و توزیع نامه های الکترونیکی بکار می رود و توسط برنامه های پست الکترونیکی همچون Microsoft Exchange Server مورد استفاده قرار می گیرد . این گروه ها دارای SID نمی باشند و نمی توان از آن برای قرار دادن مجوز بر روی منابع استفاده کرد. در ضمن این نوع گروه سطح دسترسی های گروه های دیگری که عضو آن می شود را نیز به خود نمی گیرد.
  • گروه های امنیتی ( Security ) : که برای اعطای مجوز به منابع بکار می رود و می توان از آنها برای تنظیم جوازها و حقوق کاربران استفاده کرد.

گروه ها در ویندوز سرور 2008 بنا به محدوده ای از درخت دامنه یا جنگل که به آن اعمال می شود به چندین حوزه گروه ( Group Scope ) تقسیم می شود :

  • سراسری ( Global ) : گروه های سراسری می توانند شامل اکانت های کاربران در دامنه و سایر گروه های سراسری دامین باشند. علاوه بر این می توان گروه سراسری را در یک گروه محلی یک سرویس دهنده ی عضو همان دامنه یا هر دامنه مورد اعتماد قرار داد. ( به عبارت دیگر گروه سراسری را تقریبا در هر جایی از جنگل می توان قرار داد. )
  • گروه محلی دامنه ( Domain local ) : اعضای آن ها می توانند اکانت کاربران و سایر گروه های محلی دامنه ی همان دامین باشند. از آن جا که این حوزه صرفا مربوط به یک دامنه است انحطاف پذیری کمتری نسبت به گروه های سراسری دارد.
  • کلی ( Universal ) : گروه های کلی دارای قدرتمندترین حوزه می باشند و هر کاری که بخواهید را می توانید با این نوع گروه انجام دهید. گروه های سراسری هر دامنه ای از جنگل می توانند عضو آن شوند - آن را می توان عضو هر گروه محلی ای کرد - گروه های کلی دیگری را می توان عضو آن کرد. این بدان معناست که پس از اضافه کردن اعضای مورد نظر به گروه های کلی ، می توان با دادن حقوق مناسب برای انجام برخی اعمال به گروه های کلی ، و دادن مجوزهای مناسب برای منابع به اعضای گروه کلی ، همه ی بخش های شبکه را مدیریت کرد.

می توانید یک گروه امنیتی جدید را برای دامین ایجاد کرده و سپس کاربرانی را در گروه قرار دهید و با دادن مجوزهای دسترسی به یک پوشه خاص به آن گروه ، کاری کنید که کاربرانی که عضو گروه هستند به همان پوشه دسترسی داشته باشند. بدین منظور در کنسول مدیریتی Active Directory Users and Computers به سطحی بروید که می خواهید گروه ها را ایجاد نموده ، سپس در آن جا کلیک راست کرده و از منویی که باز می شود گزینه ی New-->Group را انتخاب نمایید تا پنجره ی New Object-Group باز شود. ابتدا برای گروه یک نام تعیین کرده و سپس برای آن یک حوزه و یک نوع را انتخاب می نماییم. ترجیحا حوزه ی گروه را Global و نوع آن را هم Security تعیین می کنیم.

وب سایت توسینسو

برای اضافه کردن عضو به گروه ، بر روی گروه مورد نظر دابل کلیک کرده و تب Members را انتخاب می کنیم سپس بر روی دکمه Add کلیک کرده و از این طریق اعضای مورد نظر را به گروه اضافه می کنیم. برای عضو کردن گروه ایجاد شده در یک گروه دیگر نیز می توان از تب Member Of استفاده کرد.

وب سایت توسینسو

موارد استفاده از گروه ها

همانطور که قبلا گفته شد می توان از گروه ها برای دادن مجوزهای دسترسی به اشیاء در دامین ، به مجموعه ای از کاربران استفاده کرد. که به این شکل عمل می کنیم : ابتدا کاربران را در یک گروه عضو می کنیم و سپس مجوز دسترسی به شیء ( مثلا یک پوشه ) را به گروه می دهیم.می توان از گروه ها برای دادن حقوق مدیریتی خاصی به کاربران عادی دامین نیز استفاده کرد . مثلا فرض کنید که می خواهیم کاری کنیم که دستیاران مدیر شبکه ( help desk ) بتوانند ساعت سیستم کامپیوتر های شبکه را تنظیم نمایند. در این حالت ابتدا گروهی به نام help desks ایجاد می کنیم و سپس اکانت کاربری کاربران help desk را عضو آن می نماییم . بعد برای دادن حقوق مدیریتی مورد نظر به مسیر زیر می رویم :

Group Policy Management --> Default Domain Policy --> Right click --> Edit 
Computer Configuration --> Policies --> Windows Settings --> Security Settings --> Local Policies --> User Rights Assignment --> Change the system time

سپس در پنجره Change the system time Properties گروه helpdesks را اضافه می نماییم. باید توجه کرد که علاوه بر گروه helpdesk باید گروههای Administrators و Local SERVICE و Server Operators را هم اضافه کنیم.

وب سایت توسینسو

نویسنده : رضا تقی زاده

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

عنوان
1 آموزش اکتیودایرکتوری (Active Directory) قسمت 1 : معرفی رایگان
2 آموزش اکتیودایرکتوری (Active Directory) قسمت 2 : مدیریت کاربران رایگان
3 آموزش اکتیودایرکتوری (Active Directory) قسمت 3 : مدیریت گروه ها رایگان
زمان و قیمت کل 0″ 0
9 نظر
فرهاد خانلری

مهندس عالی بود

جا داشت بدون اکتفا به گزینه پسندیدم همینجا شخصاً ازت تشکر کنم و بگم خسته نباشید.

فقط این چند بخش رو ویرایش کن لطفاً و گروه مطلب براشون ایجاد کنید تا مطالب به هم پیوسته باشن.

یا حق

رضا تقی زاده

باشه ، سرفرصت کاری که گفتین رو حتما انجام میدم. لطف داری فرهاد جان

محسن خدابنده اویلی

ممنون از مطالب زیباتئن

mohsenbeyrami

ممنون از مطلب خوبتون

یه سوال؟

یوزر های من بنا به دلایلی عضو گروه admin local هستن

من میخوام بعضی دسترسی هارو بگیرم ازشون

مثلا بتونن نرم افزار نصب کنن

اما تنطیمات کارت شبکه رو دسترسی نداشته باشن

محمد نصیری

دوست من لطفا از گزینه سئوال بپرسید سئوالتون رو ارسال کنید سپاسگزارم

امیرحسین کریم پور

با سلام و ضمن تشکر از مقاله خوبتون.

یه سوال برام پیش اومد این که آیا گروه پیشفرض administrator دارای دو گروه enterprise admins و domain admins نیستند؟اگه هستند بجای enterprise admins چرا نوشتین local administrator ??

mesmaeilifarid

سلام

ممنون از این مقاله خوب

یه سوال: وقتی یک فولدر در سرور share میشه اگر administrator دامین دسترسی به اون رو داشته یوزر administrator محلی کلاینت ها هم میتونه به اون دسترسی داشته باشه. چطور میشه صرفا administrator سرور بتونه به فولدر دسترسی داشته باشه؟

این نظر توسط UNITY در تاریخ چهارشنبه, 19 اردیبهشت 1397 حذف شده است.

دلیل: ارسال هر پست به غیر از زبان شیرین فارسی در حال حاضر در این وب سایت ممنوع است سپاسگزارم

مرتضی بهزادی مقدم

مهندس جان

اگه من یه گروهی بخام درست کنم که هم بتونم بهش ایمیل ( مثل گروههای Destribution) بزنم و هم بتونم سطح دسترسی ( مثل گروههای Security) بهش بدم باید چکار کنم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....