مقدمه
Windows sever 2003Edition
Active Directory
Active Directory
Domain Name Sever
نحوه ترجمه اسامیDomain توسط DNS
Queries and Resolution
ارسال درخواست برای یافتن آدرس IP سایت www.Cisco. Com
سرویس دهنده ریشه، آدرس 25. 219. 133. 198 را برمیگرداند.
ارسال درخواست خودبازگشتی برای www.Cisco.com
آدرس www.Cisco.Com و DNS بر روی یک سرویس دهنده نصب شدهاند.
آدرس سایت www.Cisco.Com ، 25. 219. 133. 198 میباشد.
درخواست صفحه وب برای مرورگر وب
نصب DNS از طریق آدرس دهی
نصب DNS از طریق شکل
Installing Active Directory System
آشنایی با Domain و اجزای Active Directory
نصب Active Directory
عضویت سرویس گیرنده در Domain
نحوه عضویت سرویس گیرندهها
انواع Log on کردن
Log on to locally
Log on to Domain
Accounts Management
آشنایی با انواع Account ها و ابزارهای مدیریتی
انواع Accountها
ابزارهای مدیریت Active Directory
مدیریت کاربران
ایجاد کردن کاربران جدید
مشاهده کاربران و تغییر دادن آنها
زبانه Account ـ گزینه Logon Hours
زبانه Account ـ گزینه Log on to…
زبانه Account ـ بخش Account expires
زبانه Member of
کاربر Organizational Unit
تکثیر کاربران
مدیریت Computer Account ها
کاربرد Computer Account
نحوه ایجاد Computer Account
مدیریت کاربران
آشنایی با انواع گروهها
Global Groups
Domain Local Group
Universal Group
روشهای اعطای مجوز به کاربران
روش AGP
روش ADLP
آشنایی با گروهها Built-in
گروههای Built-in Global
گروههای Built-in Domain Local
گروههای Built-in System
پیاده سازی روشهای مختلف اعطای مجوز به کاربران
پیاده سازی روش AGP
پیاده سازی روش ADLP
پیاده سازی روش AGDLP
پیوست1ـ
منابع و مأخذ
مقدمه
یکی از مهمترین و اساسیترین پیشرفتهای جدید در سرور ویندوز 2000 مایکروسافت، اکتیو دایرکتوری است. این سرویس که مربوط به دایرکتوریهاست، به مدیران سیستم اجازه میدهد تا ارتباطات بین منابع توزیع شده در شبکه را به صورت شفاف مدیریت کنند که این خود باعث سهولت استفاده از شبکه و کاهش هزینههای مدیریت میشود. این سرویس به نحو چشمگیری قابل گسترش است، آبجکتها را به شکل سلسله مراتبی و مطابق با ساختار سازمانی سازماندهی میکند، امکان نیابت اعضای شبکه در برخورداری از منابع را فراهم می آورد و بالاخره ارتباطات قابل اطمینانی را به طور خودکار مدیریت میکند. این قابلیتها برای سازمانها این امکان را فراهم میسازد که مدیریت سادهتری داشته باشند و نیز موجب تقویت امنیت سیستم و گسترش قابلیت استفاده از سیستم میشود.
آیا در اکتیو دایرکتوری حمایت از همانند سازی (Replication) ، در سطح Attribute است یا فقط در سطح Object؟
اکتیو دایرکتوری کاملاً از همانندسازی در سطح Attribute های خاص همانند سازی در سطح Attribute حمایت میکند. این امر مهمی است زیرا تغییرات بر روی Attribute های خاص مانند تغییرات در کلمه عبور در یک Object مربوط به کاربر، مستلزم اعمال همانند سازی بر روی بقیه Attribute ها نخواهد بود.
قابلیت گسترش اکتیو دایرکتوری چگونه است؟
اکتیو دایرکتوری بسیار قابل گسترش است. مایکروسافت معتقد است مشتریان به دنبال آن سرویسهای دایرکتوری هستند که میلیونها Object را در خود نگاه میدارد، به صدها تقاضای جستجوی هم زمان از کلاینتهای مختلف پاسخ میدهد، و بالاخره عمل همانندسازی اطلاعات را به صورت مؤثر و کارا بر روی پایگاههای متعدد حتی در سطح شبکههای WAN به اجرا در میآورد.
ظرفیت حافظه مهم است زیرا بسیاری از شرکتها خواهان ذخیره سازی مقادیر عظیمی از اطلاعات در سرویسهای دایرکتوری هستند تا دستیابی به آن اطلاعات را بهبود بخشند. داشتن جستجوی قوی و کارا بسیار سرنوشت ساز است زیرا کاربران، کامپیوترها، وسایل جانبی کامپیوترها و برنامههای کاربردی دائماً برای مراجعه به منابع شبکه از دایرکتوریها استفاده میکنند. بدون داشتن زمان پاسخ کوتاه، دایرکتوریها به سرعت در مضیقه قرار خواهند گرفت. شرکتهایی که به همانندسازی کارا نیاز دارند، آن هم به شکلی که آنها را قادر به ذخیره نسخههایی از دایرکتوریها در محدوده شبکهشان (مثلاً در دفتر کار) کند تا بتوانند زمان پاسخ و دسترسی را بهبود بخشند.
نتایج آزمایشات مایکروسافت که ترکیبی از آزمایش روی سیستمهای Compaq و Cisco بود نشان داد که اکتیو دایرکتوری فراتر از همه نیازهای عملی مانند ظرفیت، حافظه، کارآیی جستجو و قابلیت گسترش در محیطهای همانندسازی شده، عمل کرده است.
آزمایشات روی Cisco نشان داد که یک محیط کاملاً همانندسازی شده به وسیله اکتیو دایرکتوری ـ در یک ساختار معمولی یک سرویسگر اینترنت ـ میتواند به سادگی تا 10 میلیون Object را به وسیله سرورهای چند پردازنده دارای Intel Pentium جابجا کند.
اکتیو دایرکتوری چگونه امتحان خود را پس داد؟ نتایج چه بود؟
همچنین Cisco نشان داد که اکتیو دایرکتوری فراتر از همه نیازهای عملی مانند ظرفیت حافظه، کارآیی جستجو و قابلیت گسترش در محیطهای همانندسازی شده، عمل کرده است.
در آزمایش مایکروسافت در مورد کارآیی و قابلیت گسترش، یک شرکت بزرگ در یک نقطه جغرافیائی خاص با یک ستاد مرکزی و میلیونها پایگاه کوچکتر محلی شبیه سازی شد. ستاد مرکزی به یک شبکه بسیار سریع متصل میشد و پایگاههای محلی با تکنولوژیهای WAN مختلف به ستاد مرکزی متصل بودند. ستاد مرکزی یک نسخه همانند از اکتیو دایرکتوری بر روی هر کدام از 20 سرور خود بود و یک نسخه همانند از اکتیو دایرکتوری در سرورهای هر کدام از میلیونها پایگاه قرار داشت. همه نسخههای همانند حاوی یک مجموعه کامل از اطلاعات شرکت بودند و عملیات جستجو و بهنگام شدن بر روی همه آنها قابل انجام بود.
در چنین شرایطی، اکتیو دایرکتوری نشان داد که قدرت تحمل بیش از سیصد هزار تغییر جداگانه در روز را دارد، (که افزون هر اشتراک کاربری و یا تغییر کلمه عبور هم جزء این تغییرات محسوب میشود) و می تواند ظرفیت کافی را برای همانندسازی در مؤسسات بزرگ و سرویسگران اینترنت فراهم کند.
در آزمایشهایی که در مرکز معیارهای اروپایی شرکت Compaq در سوفیا آنت پولیس (Sophia-Ant polis) در فرانسه انجام شد، Compaq شانزده میلیون object کاربری را تحت سیستم اکتیو دایرکتوری بر کامپیوترهای Alpha Server4100 که دارای 4 پردازنده و 2 گیگا بایت حافظهاند بارگذاری کرد. بانک اطلاعات Object ها فضای 8/68 گیگا بایت را اشغال کرده و با آهنگ خطی در حین بارگذاری درحال افزایش بود ولی در عین حال، زمان پاسخ به کلاینتها کاهش نیافته بود که بیانگر این بود که ظرفیت اضافی چشمگیری برای ادامه کار وجود دارد.
همچنین Cisco اظهار داشت که انتظار دارد سرویسگران اینترنت قادر باشند یک دایرکتوری توزیعی را با بیش از object 100 در یک محیط با پیکربندی چند حوزهای (Multi-Domain) پیاده سازی کنند. دیگر آزمایشهای Cisco نشان داد که سرورهایی که دارای سرویس اکتیودایرکتوری هستند و دارای 7 میلیون object میباشند، قادر هستند میلیونها جستجو در ثانیه را که از سوی صدها کلاینت ارسال شدهاند، سرویسدهی کنند. توانایی اکتیو دایرکتوری در پاسخگویی و سرویسدهی به این حجم از جستجوها سرویسگران اینترنت را قادر میسازد دهها میلیون کاربر را سرویسدهی کنند و با وجود افزایش تعداد کاربر، یک پاسخگویی ثابت و ایستا برای کاربران خود داشته باشند.
با وجود اینکه اکتیو دایرکتوری نیاز به هماهنگی زمان بین سرورها برای عمل همانندسازی ندارد، هنوز مقادیری از زمان صرف رفع تعارضات همانند سازی میشود.
ویندوز سرور 2003 شامل چند گونهی مختلف میباشد که اسامی نام آنها در زیر آمده است:
با این حال هر کدام از حالات فوق مزیتهای مربوط به خود را دارند که در حالت کلی مزیتهای مربوط به ویندوز 2003 سرور به شرح زیر میباشد:
Streaming Media Server.10
WINS Server.11
میتوانیم اسم کامپیوتر را هر زمان بعد از نصب اکتیو دایرکتوری، عوض کنیم.
حال که مزیتهای این سیستم عامل را فهمیدید، به این مرحله میرسیم تا نسخهای از این سیستم عامل را بر روی سیستم خود نصب کنیم که برای انجام این کار باید به نکته زیر توجه داشته باشیم:
1ـ داشتن درایوی با فرمت NTFS و فضای کافی
اکنون زمان آن فرا رسیده است تا چگونگی نصب این سیستم عامل را بر روی کامپیوتر خود به صورت قدم به قدم پیش برویم، برای انجام این کار مراحل زیر را طی کنید:
برای تبدیل فرمت FAT به NTFS (بدون پاک شدن اطلاعات) میتوان به روش زیر نیز عمل کرد:
RunCMD Convert D:/FS: NTFS
که D ، درایو مورد نظر بوده و FS خلاصه شده File-System میباشد.
توضیحات مفصل درباره ویندوز سرور 2003 در پیوست گرد آوری شده است.
Active Directory Service
1-3- AD-Active Directory
مجموعهای از دستورالعملهایی است که به یکدیگر وابسته هستند.
اگر Active Directory را نصب کنیم سیستم عامل ما یک سرور میشود در غیر اینصورت مثل یک Client عمل میکنید. برای نصب اکتیو دایرکتوری باید نیازهای زیر را برطرف کنیم:
DNS – Domain Name Server:
اگر بخواهیم توضیح مختصری در مورد DNS داشته باشیم، آن را به صورت زیر مطرح میکنیم:
-4-1نحوه ترجمه اسامی Domain توسط DNS
آیا تا کنون این سوال برای شما مطرح شده است که پس از تایپ نام یک سایت در مرورگر وب، آدرس IP آن چگونه پیدا میشود؟ برای ارتباط با یک سایت، میبایست قبل از هر چیز آدرس IP آن مشخص گردد. به منظور ترجمه اسامی کامپیوترهای میزان و Domain به آدرسهای IP ، از پروتکل DNS استفاده میگردد.
Resolution-4-2 و Queries
یک سرویس گیرنده به منظور استفاده از DNS و اخذ پاسخ لازم از دو روش متفاوت استفاده مینماید:
1ـ در روش اول، سرویس گیرنده با سرویس دهندگان نام، ارتباط برقرار مینماید. این فرایند مادامی که سرویس دهنده مجاز شامل اطلاعات مورد نیاز پیدا نشود، ادامه خواهد یافت، (non recursive query) .
2ـ در روش دوم، مأموریت ترجمه نام به آدرس، به DNS واگذار میشود. در این روش سرویس گیرنده اقدام به ارسال درخواست خود برای DNS نموده و DNS پس از انجام عملیات خاص و یافتن آدرس IP سایت درخواستی، آن را برای سرویس گیرنده ارسال مینماید، (Recursive query) .
3-4-ارسال درخواست برای یافتن آدرس IP سایت ww.Cisco.Com
فعال نمودن مرورگر و درج آدرس http://www.cisco.com/ در بخش آدرس آن، در این م؟ کامپیوتر شما دارای آگاهی لازم در خصوص آدرس IP وب سایت سیسکو نمیباشد. بنابراین یک درخواست DNS را برای سرویس دهنده DNS مربوط به مرکز ارائه دهنده سرویسهای ایمترنت (ISP) ارسال مینماید. حتماً این سوال برای شما مطرح شده است که کامپیوتر به چه صورت از آدرس IP سرویس دهنده DNS ، آگاهی مییابد تا درخواست خود را برای وی ارسال نماید؟ در صورتی که شما از طریق Dial-up به اینترنت متصل میشوید، این موضوع با استفاده از تنظیمات انجام شده (ایستا یا پویا) توسط پروتکل TCP/IP مرتبط با آداپتور مجازی Dial-up ، انجام خواهد شد. در صورتی که دارای یک اتصال دائم به اینترنت و از طریق یک شبکه محلی میباشید، این موضوع با استفاده از تنظیمات انجام شده (ایستا یا پویا) توسط پروتکل TCP/IP مرتبط با آداپتور کارت شبکه انجام خواهد شد.
ارسال درخواست خودبازگشتی برای سرویس دهنده نام ریشهسرویس دهنده DNS مرکز ارائه دهنده خدمات اینترنت (ISP) شما، آدرس IP مربوط به سایت سیسکو را نمیداند و بدین دلیل، آدرس سایت فوق را از یکی از سرویس دهندگان نام ریشه درخواست مینماید.
4-4-سرویس دهنده ریشه، آدرس 198.133.219.25 را برمیگرداند.
سرویس دهنده DNS ریشه، بانک اطلاعاتی خود را بررسی نموده و از سرویس دهنده DNS اولیه Cissco.Com آگاهی مییابد (IP: 198.133.219.25) . پس از آگاهی از آدرس IP سرویس دهنده، DNS مربوط به Cissco.com پاسخ لازم برای سرویس دهنده ISP شما ارسال میکند.
5-4-ارسال درخواست خود بازگشتی برای www.Cisco.Com
در این مرحله سرویس دهنده DNS مرکز ISP شما، دانش لازم به منظور ارتباط با سرویس دهنده DNS سیسکو را پیدا نموده و پس از برقراری ارتباط از وی، آدرس IP وب سایت سیسکو (www.Cisco.Com) را جویا میشود. بدین منظور سرویس دهنده شما یک درخواست Recursive را برای سرویس دهنده DNS مربوط به Cisco.com ارسال مینماید.
6-4-آدرس www.Cisco.com و DNS بر روی یک سرویس دهنده نصب شدهاند
سرویس دهنده DNS سیسکو، بانک اطلاعاتی خود را بررسی نموده و از وجود رکورد www.Cisco.Com در بانک آگاه میگردد. رکورد فوق دارای یک آدرس IP معادل IP: 198.133.219.25 است. در این حالت خاص، سرویس دهنده وب بر روی ماشین مشابهی است که سرویس دهنده DNS نصب شده است. در صورتی که سرویس دهنده وب و سرویس دهنده DNS بر روی یک ماشین مشابه نصب نشده باشند، آدرس IP آنان متفاوت بوده و این موضوع از طریق رکوردهای منبع موجود در بانک اطلاعاتی سرویس دهنده DNS مشخص میگردد.
7-4-آدرس سایت 198.133.219.25, www.Cisco.Com میباشد
سرویس دهنده DNS مربوط به ISP شما، از آدرس IP مربوط به www.Cisco.Com آگاهی پیدا نموده و نتایج را برای کامپیوتر شما ارسال مینماید.
8-4-درخواست صفحه وب برای مرورگر وب
کامپیوتر شما در این مقطع دارای آگاهی لازم در خصوص آدرس IP وب سایت سیسکو بوده و میتواند با آن ارتباط برقرار نماید. بنابراین کامپیوتر شما یک درخواست http را مستقیماً برای سرویس دهنده وب سیسکو ارسال نموده و از وی درخواست یک صفحه وب را مینماید.
برای اضافه کردن اجزای DNKS در سیستم عامل Server 2003 به دو شیوه عمل میکنیم:
9-4-نصب DNS از طریق آدرس دهی:
برای انجام این کار به صورت زیر عمل میکنیم:
Start SettingControl Panel Add/Remove Program
Add/Remove Components Select Networking Service (dont tick)
Details Tick DNS (Domain mane system) Ok Next Finish
10-4-نصب DNS از طریق شکل:
برای انجام این کار بصورت زیر، عمل میکنیم:
StartAll Programs Administrative Tools Configure Your Server Wizard
شکل DNS – 01
شکل DNS – 02
شکل DNS – 03
شکل DNS – 03
Select the DNS SERVER from Server Role Next
شکل DNS-04
شکل DNS-05
Installing DNS Server (1)
شکل DNS-06
شکل DNS-07
Installing Cannot CompleteFinish
شکل DNS-08
بعد از انجام عملیات نصب DNS آن را اجرا میکنیم تا از کارکرد درست کابل شبکه اطمینان به عمل آوریم، برای این منظور عملیات زیر را انجام میدهیم:
Start Administrative Tools DNS
شکل DNS- 09
بعد از اجرای DNS دو حالت وجود دارد که بصورت زیر میباشد:
1ـ اگر شکل DNS-10 [with Problem] را مشاهده کردید در اینصورت از صحت عملکرد کابل شبکه خود اطمینان حاصل فرمائیدو یا اینکه کابل شبکه را جدا کرده و آن را مجدداً وصل کنید.
2ـ اگر شکل DNS-10[no Problem] را مشاهده کردید، در اینصورت در ادامه بحث، همراه ما باشید.
شکل DNS-10 [with Problem]
شکل DNS-10[no Problem]
1-5-آشنایی با Domain و اجزای Active Directory
مدل Workgroup در شبکهها یک مدل ساده میباشد. بدین معنی که در این شبکه مدیر مرکزی وجود ندارد و هر کاربر مدیر کامپیوتر خود محسوب میشود. در یک چنین مدلی اگر بخواهیم یک Policy برای کامپیوترها و یا کاربران تعیین کنیم، آن را بصورت جداگانه در یکایک کامپیوترها باید تنظیم کنیم. اما در صورت راهاندازی Domain این امکان وجود دارد که یک نفر بتواند تمامی کاربران، کامپیوترها و منابع را در شبکه از طریق هر کامپیوتری مدیریت نماید.
همچنین در این حالت میتوان یک Policy خاص را فقط یک بار تعریف نمود و آن Policy به تمامی کامپیوترها و یا کاربرانی که مدنظر میباشند، اعمال خواهد شد.
برای راهاندازی Domain برنامهای به نام Active Directory را در یک سرور Standard Alone باید نصب کنیم. بعد از نصب آن سرور به DC-Domain Controller تبدیل خواهد شد.
DC وظیفه Suthentication در Domain را به عهده دارد، بدین معنی که زمانی که یک کاربر از روی یک کلاینتها به Domain میخواهد logon کند، اسم و رمز کاربر به صورت کد شده به DC فرستاده میشود. DC که اطلاعات تمامی کاربران را در Domain دارا میباشد، اطلاعات دریافتی را با اطلاعاتی که خود از کاربران دارد مقایسه میند و در صورتی که صحت داشته باشد یک کارت شناسایی که اصطلاحاً آن را با نام Access Taken میشناسیم و کاربر ارسال کرده و درستی اطلاعات آن کاربر را به کلاینت اطلاع میدهد.
2-5-نصب Active Directory
حال در RunStart فرمان DCPromo را تایپ و آن را اجرا میکنیم. ویزاردی مطابق شکل ADS-01 ظاهر خواهد شد:
شکل ADS-01
این ویزارد در صورتی Active Directory نصب نباشد، آن را نصب نموده و در غیر اینصورت آن را حذف خواهد نمود. از پنجره باز شده (شکل ADS-01) گزینه Next را انتخاب کنید.
شکل ADS-02
Select (Domain Controller for a new Domain) Next
شکل ADS-03-1
در پنجره ADS-03-1 از ما سؤال میشود که DC جدید (Domain Controller for a new Domain) یک DSC در Domain جدید خواهد بود، یا یک DC اضافه در (Additional Domain Controller for an existing Domain) Domain موجود خواهد شد؟
در این پنجره (ADS-03-1) گزینه اول را انتخاب میکنیم. چون هیچ Domain بی ایجاد نشده است. اولین DC برای یک Domain را میخواهیم راه اندازی کنیم. و گاهی ممکن است شکل ADS-03-1 به صورت شکل ADS-03-2 باشد، که در این صورت خواهیم داشت:
Select(Domain in a new Forest)Next
شکل ADS-03-2
در پنجره ADS-03-2 از ما سؤال میشود که:
شکل ADS-04
در پنجره فوق اسم اینترنتی یا DNS های Domain از ما خواسته شده است. در این پنجره اسم Fam.Coil را وارد کرده و گزینه Next را انتخاب میکنیم. در این مدت ویزارد سراغ DNS سرور میرود تا اطمینان حاصل کند که از قبل Domain با نام Fam.co.il ایجاد نشده است.
مبلغ قابل پرداخت 19,440 تومان