صفحه اصلی
عایق کاری نما
مدیریت حساب ها در دامنه اکتیو دایرکتوری. مدیریت اکتیو دایرکتوری با استفاده از Windows PowerShell

مدیریت حساب ها در دامنه اکتیو دایرکتوری. مدیریت اکتیو دایرکتوری با استفاده از Windows PowerShell



در سال 2002، در حالی که در راهروی دپارتمان علوم کامپیوتر دانشگاه مورد علاقه‌ام قدم می‌زدم، پوستری تازه را روی درب دفتر «ان‌تی سیستمز» دیدم. این پوستر نمادهای حساب کاربری را به صورت گروه بندی شده به تصویر می کشد که از آن ها فلش ها به نوبه خود به نمادهای دیگر منشعب می شوند. همه اینها به صورت شماتیک در یک ساختار خاص ترکیب شد، چیزی در مورد یک سیستم ثبت نام واحد، مجوز و موارد مشابه نوشته شد. تا جایی که الان متوجه شدم، آن پوستر معماری دامنه های Windows NT 4.0 و سیستم های Active Directory ویندوز 2000 را به تصویر می کشید. از آن لحظه اولین آشنایی من با اکتیو دایرکتوری شروع شد و بلافاصله به پایان رسید، زیرا در آن زمان یک جلسه سخت، یک تعطیلات سرگرم کننده وجود داشت، پس از آن یکی از دوستانم دیسک های FreeBSD 4 و لینوکس رد هت را به اشتراک گذاشت و برای چند سال بعد من در دنیا غوطه ور شدم. از سیستم های یونیکس مانند، اما من هرگز محتوای پوستر را فراموش نکردم.
زمانی که برای کار در شرکتی نقل مکان کردم که در آن مدیریت کل زیرساخت فناوری اطلاعات مبتنی بر Active Directory بود، مجبور شدم به سیستم‌های روی پلت فرم ویندوز سرور برگردم و با آنها بیشتر آشنا شوم. به یاد دارم که مدیر ارشد آن شرکت در هر جلسه چیزی در مورد برخی از بهترین روش‌های Active Directory تکرار می‌کرد. اکنون، پس از 8 سال ارتباط دوره ای با اکتیو دایرکتوری، به خوبی درک می کنم که این سیستم چگونه کار می کند و بهترین روش های Active Directory چیست.
همانطور که احتمالا قبلاً حدس زده اید، ما در مورد Active Directory صحبت خواهیم کرد.
هر کسی که به این موضوع علاقه دارد به گربه خوش آمدید.

این توصیه‌ها برای سیستم‌های کلاینت از ویندوز 7 و بالاتر، برای دامنه‌ها و جنگل‌های سطح Windows Server 2008/R2 و بالاتر معتبر هستند.

استانداردسازی
برنامه ریزی برای اکتیو دایرکتوری باید با توسعه استانداردهای شما برای نامگذاری اشیا و مکان آنها در فهرست شروع شود. لازم است سندی ایجاد شود که تمام استانداردهای لازم را تعریف کند. البته، این یک توصیه نسبتا رایج برای متخصصان فناوری اطلاعات است. اصل "اول ما مستندات را می نویسیم و سپس با استفاده از این مستندات یک سیستم می سازیم" بسیار خوب است، اما به دلایل زیادی به ندرت در عمل پیاده سازی می شود. از جمله این دلایل، تنبلی ساده انسان یا عدم صلاحیت مناسب است.
توصیه می کنم ابتدا مستندات را بنویسید، در مورد آن فکر کنید و تنها پس از آن به نصب اولین کنترل کننده دامنه ادامه دهید.
به عنوان مثال، بخشی از سند را در مورد استانداردهای نامگذاری اشیاء اکتیو دایرکتوری ارائه خواهم کرد.
نامگذاری اشیا

  • نام گروه های کاربری باید با پیشوند GRUS_ شروع شود (GR - Group, US - Users)
  • نام گروه های کامپیوتری باید با پیشوند GRCP_ شروع شود (GR - Group، CP - Computers)
  • نام گروه های نمایندگی باید با پیشوند GRDL_ شروع شود (GR - Group، DL - Delegation)
  • نام گروه‌های دسترسی به منابع باید با پیشوند GRRS_ (GR - گروه، RS - منابع) شروع شود.
  • نام گروه‌ها برای خط‌مشی‌ها باید با پیشوندهای GPUS_، GPCP_ شروع شود (GP - خط‌مشی گروه، ایالات متحده - کاربران، CP - رایانه‌ها)
  • نام رایانه های مشتری باید از دو یا سه حرف از نام سازمان تشکیل شده باشد و به دنبال آن یک عدد با خط فاصله از هم جدا شود، به عنوان مثال nnt-01.
  • نام سرورها باید فقط با دو حرف شروع شود و بعد از آن یک خط فاصله و بعد از آن نقش سرور و شماره آن مثلا nn-dc01 باشد.
توصیه می‌کنم اشیاء Active Directory را نام‌گذاری کنید تا مجبور نباشید قسمت Description را پر کنید. به عنوان مثال، از نام گروه GPCP_Restricted_Groups مشخص است که این یک گروه سیاست است که برای رایانه ها اعمال می شود و کار مکانیسم گروه های محدود را انجام می دهد.
رویکرد شما برای نوشتن اسناد باید بسیار دقیق باشد، این باعث صرفه جویی در زمان زیادی در آینده خواهد شد.

همه چیز را تا حد امکان ساده کنید، سعی کنید به تعادل برسید
هنگام ساخت اکتیو دایرکتوری، باید از اصل دستیابی به تعادل پیروی کرد و مکانیسم های ساده و قابل فهم را انتخاب کرد.
اصل تعادل دستیابی به عملکرد و ایمنی مورد نیاز با حداکثر سادگی راه حل است.
تلاش برای ساختن سیستم به گونه ای ضروری است که ساختار آن برای بی تجربه ترین مدیر یا حتی کاربر قابل درک باشد. به عنوان مثال، در یک زمان توصیه ای برای ایجاد یک ساختار جنگلی از چندین دامنه وجود داشت. علاوه بر این، توصیه شد که نه تنها ساختارهای چند دامنه ای، بلکه ساختارهایی از چندین جنگل نیز مستقر شوند. شاید این توصیه به دلیل اصل «تفرقه و تسلط» وجود داشته باشد یا به این دلیل که مایکروسافت به همه گفته است که دامنه مرز امنیتی است و با تقسیم سازمان به دامنه‌ها، ساختارهای جداگانه‌ای به دست می‌آوریم که به صورت جداگانه کنترل آنها آسان‌تر است. اما همانطور که تمرین نشان داده است، نگهداری و نظارت بر سیستم های تک دامنه آسان تر است، جایی که مرزهای امنیتی به جای دامنه ها، واحدهای سازمانی (OUs) هستند. بنابراین، از ایجاد ساختارهای چند دامنه ای پیچیده خودداری کنید.
البته، شما باید بدون تعصب عمل کنید - اگر بدون چندین دامنه غیرممکن است، پس باید چندین دامنه، همچنین با جنگل ها ایجاد کنید. نکته اصلی این است که بفهمید چه کاری انجام می دهید و چه چیزی می تواند منجر شود.
درک این نکته مهم است که یک زیرساخت اکتیو دایرکتوری ساده برای مدیریت و نظارت آسان تر است. حتی می توانم بگویم که هر چه ساده تر، ایمن تر باشد.
اصل ساده سازی را اعمال کنید. برای رسیدن به تعادل تلاش کنید.

از اصل "شیء - گروه" پیروی کنید
با ایجاد یک گروه برای این شی، شروع به ایجاد اشیاء اکتیو دایرکتوری کنید و حقوق لازم را به گروه اختصاص دهید. بیایید به یک مثال نگاه کنیم. شما باید یک حساب مدیر اصلی ایجاد کنید. ابتدا گروه Head Admins را بسازید و سپس خود اکانت را بسازید و به این گروه اضافه کنید. به عنوان مثال، با افزودن آن به گروه Domain Admins، حقوق سرپرست سرپرست را به گروه Head Admins اختصاص دهید. تقریباً همیشه معلوم می شود که پس از مدتی کارمند دیگری سر کار می آید که به حقوق مشابه نیاز دارد و به جای تفویض حقوق به بخش های مختلف اکتیو دایرکتوری، می توان به سادگی او را به گروه ضروری که سیستم قبلاً نقش آن را تعریف کرده است اضافه کرد. و اختیارات لازم تفویض می گردد.
مثال دیگر. شما باید حقوق را به OU با کاربران به گروه مدیران سیستم واگذار کنید. حقوق را مستقیماً به گروه سرپرستان تفویض نکنید، بلکه یک گروه خاص مانند GRDL_OUName_Operator_Accounts ایجاد کنید که به آن حقوق اختصاص می دهید. سپس به سادگی گروه مدیران مسئول را به گروه GRDL_OUName_Operator_Accounts اضافه کنید. قطعاً این اتفاق خواهد افتاد که در آینده نزدیک باید حقوق این OU را به گروه دیگری از مدیران واگذار کنید. و در این مورد، شما به سادگی گروه داده های مدیران را به گروه نمایندگی GRDL_OUName_Operator_Accounts اضافه می کنید.
من پیشنهاد می کنم ساختار زیرگروه ها

  • گروه های کاربری (GRUS_)
  • گروه‌های مدیریت (GRAD_)
  • گروه های نمایندگی (GRDL_)
  • گروه های خط مشی (GRGP_)
گروه های کامپیوتری
  • گروه های سرور (GRSR_)
  • گروه‌های کامپیوتر مشتری (GRCP_)
گروه های دسترسی به منابع
  • گروه‌های دسترسی به منابع مشترک (GRRS_)
  • گروه‌های دسترسی چاپگر (GRPR_)
در سیستمی که بر اساس این توصیه ها ساخته شده است، تقریباً تمام مدیریت ها شامل افزودن گروه ها به گروه ها خواهد بود.
با محدود کردن تعداد نقش‌ها برای گروه‌ها تعادل را حفظ کنید و به یاد داشته باشید که نام گروه به طور ایده‌آل باید نقش آن را به طور کامل توصیف کند.

معماری OU
معماری یک OU قبل از هر چیز باید از نقطه نظر امنیت و تفویض حقوق این OU به مدیران سیستم مورد بررسی قرار گیرد. من برنامه ریزی معماری OU ها را از نقطه نظر پیوند دادن سیاست های گروه به آنها توصیه نمی کنم (اگرچه اغلب این کار انجام می شود). برای برخی، توصیه من ممکن است کمی عجیب به نظر برسد، اما من به هیچ وجه گره زدن سیاست های گروه را به OU توصیه نمی کنم. در بخش سیاست های گروه بیشتر بخوانید.
مدیران OU
من توصیه می کنم یک OU جداگانه برای حساب ها و گروه های اداری ایجاد کنید، که در آن می توانید حساب ها و گروه های همه مدیران و مهندسین پشتیبانی فنی را قرار دهید. دسترسی به این OU باید به کاربران عادی محدود شود و مدیریت اشیاء از این OU باید فقط به مدیران اصلی واگذار شود.
کامپیوترهای OU
OU های رایانه از نظر موقعیت جغرافیایی رایانه ها و انواع رایانه ها به بهترین وجه برنامه ریزی می شوند. رایانه ها را از مکان های جغرافیایی مختلف در OU های مختلف توزیع کنید و به نوبه خود آنها را به رایانه های مشتری و سرور تقسیم کنید. سرورها را همچنین می توان به Exchange، SQL و موارد دیگر تقسیم کرد.

کاربران، حقوق در اکتیو دایرکتوری
حساب های کاربری Active Directory باید مورد توجه ویژه قرار گیرند. همانطور که در بخش مربوط به OU گفته شد، حساب های کاربری باید بر اساس اصل تفویض اختیار به این حساب ها گروه بندی شوند. همچنین رعایت اصل کمترین امتیاز مهم است - هر چه کاربر حقوق کمتری در سیستم داشته باشد، بهتر است. توصیه می کنم فوراً سطح امتیاز کاربر را در نام حساب کاربری وی درج کنید. یک حساب کاربری برای کارهای روزمره باید شامل نام خانوادگی و حروف اول کاربر به زبان لاتین باشد (به عنوان مثال، IvanovIV یا IVIvanov). فیلدهای مورد نیاز عبارتند از: نام، حروف اول، نام خانوادگی، نام نمایشی (به زبان روسی)، ایمیل، تلفن همراه، عنوان شغلی، مدیر.
حساب های مدیر باید از انواع زیر باشد:

  • با حقوق سرپرست رایانه های کاربر، اما نه سرورها. باید شامل حروف اول مالک و پیشوند محلی باشد (به عنوان مثال، iivlocal)
  • با حقوق مدیریت سرورها و اکتیو دایرکتوری. باید فقط از حروف اول تشکیل شود (به عنوان مثال، iiv).
قسمت نام خانوادگی هر دو نوع حساب اداری باید با حرف I شروع شود (به عنوان مثال، iPetrov P Vasily)
اجازه دهید توضیح دهم که چرا باید حساب‌های مدیریتی را به مدیران سرور و مدیران رایانه مشتری جدا کنید. این باید به دلایل ایمنی انجام شود. مدیران رایانه های مشتری حق نصب نرم افزار بر روی رایانه های مشتری را خواهند داشت. هرگز نمی توان با اطمینان گفت که چه نرم افزاری نصب خواهد شد و چرا. بنابراین، اجرای یک برنامه با حقوق سرپرست دامنه ناامن است. شما باید رایانه های مشتری را فقط با حقوق سرپرست محلی مدیریت کنید از این کامپیوتر. این امر باعث می‌شود تعدادی از حملات به حساب‌های سرپرست دامنه، مانند Pass The Hash، غیرممکن شود. علاوه بر این، مدیران رایانه های مشتری باید اتصالات را از طریق خدمات ترمینال و اتصالات شبکه به رایانه ببندند. کامپیوترهای پشتیبانی فنی و اداری باید در یک VLAN جداگانه قرار داده شوند تا دسترسی به آنها از شبکه کامپیوترهای مشتری محدود شود.
واگذاری حقوق مدیر به کاربران
اگر می‌خواهید به یک کاربر حقوق سرپرست بدهید، هرگز حساب کاربری او را برای استفاده روزمره در گروه سرپرستان محلی رایانه قرار ندهید. یک حساب کاربری برای کار روزانه همیشه باید حقوق محدودی داشته باشد. یک حساب اداری جداگانه برای او مانند namelocal ایجاد کنید و این حساب را با استفاده از یک خط مشی به گروه مدیران محلی اضافه کنید و با استفاده از هدف گذاری در سطح مورد، برنامه آن را فقط در رایانه کاربر محدود کنید. کاربر می تواند با استفاده از مکانیزم Run AS از این حساب کاربری استفاده کند.
سیاست های رمز عبور
با استفاده از خط مشی رمز عبور دقیق، سیاست های رمز عبور جداگانه برای کاربران و مدیران ایجاد کنید. توصیه می شود رمز عبور کاربر حداقل از 8 کاراکتر تشکیل شده باشد و حداقل هر سه ماه یک بار تغییر کند. توصیه می شود که مدیران هر دو ماه یک بار رمز عبور را تغییر دهند و حداقل 10-15 کاراکتر باشد و شرایط پیچیدگی را برآورده کند.

ترکیب دامنه و گروه های محلی. مکانیسم گروه های محدود
ترکیب دامنه و گروه‌های محلی در رایانه‌های دامنه فقط باید به صورت خودکار با استفاده از مکانیسم گروه‌های محدود کنترل شود. با استفاده از مثال زیر توضیح خواهم داد که چرا باید فقط به این روش انجام شود. به طور معمول، پس از شکستن دامنه اکتیو دایرکتوری، مدیران خود را به گروه های دامنه مانند ادمین های دامنه، ادمین های سازمانی اضافه می کنند، مهندسان پشتیبانی فنی را به گروه های لازم اضافه می کنند و همچنین بقیه کاربران را در گروه ها توزیع می کنند. در فرآیند مدیریت این دامنه، روند صدور حقوق بارها تکرار می شود و یادآوری این نکته بسیار دشوار خواهد بود که دیروز حسابدار نینا پترونا را به طور موقت به گروه مدیران 1C اضافه کردید و امروز باید او را از این گروه حذف کنید. اگر این شرکت چندین مدیر داشته باشد و هر یک از آنها هر از چند گاهی به سبکی مشابه به کاربران حقوق بدهند، وضعیت بدتر می شود. تنها در عرض یک سال، تقریباً غیرممکن خواهد بود که بفهمیم چه حقوقی به چه کسی واگذار شده است. بنابراین، ترکیب گروه ها باید فقط توسط سیاست های گروه کنترل شود، که همه چیز را با هر برنامه مرتب می کند.
ترکیب گروه های داخلی
شایان ذکر است که گروه های داخلی مانند اپراتورهای حساب، اپراتورهای پشتیبان، اپراتورهای رمز، مهمانان، اپراتورهای چاپ، اپراتورهای سرور باید هم در دامنه و هم در رایانه های مشتری خالی باشند. این گروه ها در درجه اول برای اطمینان از سازگاری با سیستم های قدیمی تر مورد نیاز هستند و به کاربران این گروه ها حقوق بسیار زیادی در سیستم داده می شود و حملات افزایش امتیاز ممکن می شود.

حساب های مدیر محلی
با استفاده از مکانیسم گروه‌های محدود، باید حساب‌های مدیر محلی را در رایانه‌های محلی مسدود کنید، حساب‌های مهمان را مسدود کنید، و گروه مدیران محلی را در رایانه‌های محلی پاک کنید. هرگز از خط‌مشی‌های گروهی برای تنظیم رمز عبور برای حساب‌های سرپرست محلی استفاده نکنید. این مکانیسم امن نیست. اما، اگر تصمیم دارید حساب‌های مدیر محلی را مسدود نکنید، از مکانیسم LAPS برای تنظیم صحیح رمزهای عبور و چرخش آنها استفاده کنید. متأسفانه، راه‌اندازی LAPS کاملاً خودکار نیست و بنابراین باید به صورت دستی ویژگی‌ها را به طرح اکتیو دایرکتوری اضافه کنید، حقوق را به آنها اختصاص دهید، گروه‌ها را اختصاص دهید و غیره. بنابراین، مسدود کردن حساب های مدیر محلی آسان تر است.
حساب های خدماتی
برای اجرای سرویس‌ها، از حساب‌های سرویس و مکانیسم gMSA (موجود در ویندوز 2012 و سیستم‌های بالاتر) استفاده کنید.

سیاست های گروه
سیاست‌ها را قبل از ایجاد/تغییر آن‌ها مستند کنید.
هنگام ایجاد یک خط مشی، از اصل Policy - Group استفاده کنید. یعنی قبل از ایجاد یک خط مشی، ابتدا یک گروه برای این سیاست ایجاد کنید، گروه کاربران تایید شده را از محدوده سیاست حذف کنید و گروه ایجاد شده را اضافه کنید. خط مشی را نه به OU، بلکه به ریشه دامنه پیوند دهید و دامنه کاربرد آن را با افزودن اشیا به گروه سیاست تنظیم کنید. من این مکانیسم را انعطاف‌پذیرتر و قابل درک‌تر از پیوند دادن یک سیاست به یک OU می‌دانم. (این دقیقاً همان چیزی است که در بخش معماری OU نوشتم).
همیشه محدوده خط مشی را تنظیم کنید. اگر یک خط مشی فقط برای کاربران ایجاد کرده اید، ساختار کامپیوتر را غیرفعال کنید و بالعکس، اگر یک خط مشی فقط برای کامپیوتر ایجاد کرده اید، ساختار کاربر را غیرفعال کنید. به لطف این تنظیمات، سیاست ها با سرعت بیشتری اعمال می شوند.
با استفاده از Power Shell پشتیبان‌گیری از خط مشی روزانه را تنظیم کنید تا در صورت بروز خطا در پیکربندی، همیشه بتوانید تنظیمات را به تنظیمات اصلی خود بازگردانید.
فروشگاه مرکزی
با شروع ویندوز 2008، امکان ذخیره الگوهای خط مشی گروه ADMX در یک مکان ذخیره سازی مرکزی، SYSVOL وجود داشت. قبلاً، به‌طور پیش‌فرض، همه قالب‌های خط‌مشی به صورت محلی در مشتریان ذخیره می‌شدند. برای قرار دادن قالب‌های ADMX در حافظه مرکزی، باید محتویات پوشه %SystemDrive%\Windows\PolicyDefinitions را به همراه زیرپوشه‌ها از سیستم‌های کلاینت (ویندوز 7/8/8.1) در فهرست کنترل‌کننده دامنه %SystemDrive%\Windows\ کپی کنید. SYSVOL\domain\Policies\PolicyDefinitions با محتوای ادغام شده، اما بدون جایگزینی. بعد باید همان کپی را از آن تهیه کنید سیستم های سرور، با قدیمی ترین شروع می شود. در نهایت، هنگام کپی پوشه ها و فایل ها از آخرین نسخهسرور، یک کپی با ادغام و جایگزینی ایجاد کنید.

کپی کردن قالب های ADMX

علاوه بر این، الگوهای ADMX برای هر محصول نرم افزاری، به عنوان مثال، محصولات مایکروسافت آفیس، محصولات ادوبی، محصولات گوگل و سایرین را می توان در حافظه مرکزی قرار داد. به وب‌سایت فروشنده نرم‌افزار بروید، قالب ADMX Group Policy را دانلود کنید و آن را در پوشه %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions در هر کنترل‌کننده دامنه باز کنید. اکنون می توانید آنچه را که نیاز دارید کنترل کنید محصول نرم افزاریاز طریق سیاست های گروهی
فیلترهای WMI
فیلترهای WMI خیلی سریع نیستند، بنابراین بهتر است از مکانیسم هدف گیری در سطح آیتم استفاده شود. اما اگر نمی توان از هدف گذاری در سطح آیتم استفاده کرد و تصمیم به استفاده از WMI دارید، توصیه می کنم فوراً چندین مورد از رایج ترین فیلترها را برای خود ایجاد کنید: فیلتر «فقط سیستم عامل های مشتری»، «فقط سیستم عامل های سرور»، «ویندوز 7» فیلترها، فیلترهای «ویندوز» 8، «ویندوز 8.1»، «ویندوز 10». اگر مجموعه های آماده ای از فیلترهای WMI دارید، اعمال آن آسان تر خواهد بود فیلتر مورد نیازبه سیاست مورد نظر

ممیزی رویدادهای Active Directory
مطمئن شوید که ممیزی رویداد را در کنترلرهای دامنه و سایر سرورها فعال کنید. من توصیه می کنم ممیزی اشیاء زیر را فعال کنید:

  • حسابرسی مدیریت حساب کامپیوتری - موفقیت، شکست
  • حسابرسی سایر رویدادهای مدیریت حساب - موفقیت، شکست
  • مدیریت گروه امنیتی حسابرسی - موفقیت، شکست
  • حسابرسی مدیریت حساب کاربری - موفقیت، شکست
  • سرویس احراز هویت Kerberos حسابرسی - شکست
  • حسابرسی سایر رویدادهای ورود به حساب - شکست
  • تغییر سیاست حسابرسی حسابرسی - موفقیت، شکست
حسابرسی باید در بخش پیکربندی شود پیکربندی خط مشی حسابرسی پیشرفتهو حتما تنظیمات را در قسمت فعال کنید گزینه های سیاست/امنیت محلی - تنظیمات زیرمجموعه خط مشی حسابرسی (ویندوز ویستا یا جدیدتر) را مجبور کنید تا تنظیمات دسته خط مشی حسابرسی را لغو کند.، که تنظیمات سطح بالا را لغو می کند و تنظیمات پیشرفته را اعمال می کند.

تنظیمات ممیزی پیشرفته

از آنجایی که تنظیمات حسابرسی وجود دارد، من در جزئیات صحبت نمی کنم مقدار کافیمقالات اختصاص داده شده به این موضوع من فقط اضافه می کنم که علاوه بر فعال کردن حسابرسی، باید هشدارهای ایمیلی در مورد رویدادهای امنیتی مهم تنظیم کنید. همچنین قابل توجه است که در سیستم هایی با تعداد رویدادهای زیاد، ارزش اختصاص سرورهای جداگانه برای جمع آوری و تجزیه و تحلیل فایل های گزارش را دارد.

اسکریپت های مدیریت و تمیز کردن
تمام اقدامات مشابه و مکرر تکرار شده باید با استفاده از اسکریپت های مدیریت انجام شود. این اقدامات عبارتند از: ایجاد حساب های کاربری، ایجاد حساب های مدیر، ایجاد گروه ها، ایجاد OU و غیره. ایجاد اشیاء با استفاده از اسکریپت ها به شما این امکان را می دهد که با ایجاد چک های نحوی درست در اسکریپت ها، به منطق نام گذاری اشیاء Active Directory خود احترام بگذارید.
همچنین ارزش نوشتن اسکریپت‌های پاکسازی را دارد که به طور خودکار ترکیب گروه‌ها را کنترل می‌کند، کاربران و رایانه‌هایی را که برای مدت طولانی به دامنه متصل نشده‌اند شناسایی می‌کند، موارد نقض سایر استانداردها را شناسایی می‌کند و غیره.
من استفاده از اسکریپت های مدیریت برای نظارت بر انطباق و انجام عملیات پس زمینه را به عنوان یک توصیه رسمی صریح ندیده ام. اما من خودم بررسی های خودکار و رویه ها را با استفاده از اسکریپت ترجیح می دهم، زیرا این باعث صرفه جویی در زمان و حذف می شود مقدار زیادیخطاها و، البته، اینجا جایی است که رویکرد کمی یونیکس من به مدیریت وارد عمل می شود، زمانی که تایپ چند دستور آسان تر از کلیک کردن بر روی ویندوز است.

مدیریت دستی
شما و همکارانتان باید برخی از عملیات اداری را به صورت دستی انجام دهید. برای این منظور، توصیه می کنم از کنسول mmc استفاده کنید که اسنپ این ها به آن اضافه شده است.
همانطور که بعداً گفته خواهد شد، کنترل‌کننده‌های دامنه شما باید در حالت Server Core کار کنند، یعنی باید کل محیط AD را فقط از رایانه خود با استفاده از کنسول‌ها مدیریت کنید. برای مدیریت Active Directory، باید Remote Server Administration Tools را بر روی رایانه خود نصب کنید. کنسول ها باید به عنوان یک کاربر با حقوق مدیر Active Directory و کنترل تفویض شده روی رایانه شما اجرا شوند.
هنر مدیریت اکتیو دایرکتوری با استفاده از کنسول ها نیاز به یک مقاله جداگانه و شاید حتی یک فیلم آموزشی جداگانه دارد، بنابراین در اینجا من فقط در مورد خود اصل صحبت می کنم.

کنترل کننده های دامنه
در هر دامنه، حداقل باید دو کنترلر وجود داشته باشد. کنترل کننده های دامنه باید تا حد امکان خدمات کمتری داشته باشند. نباید دامین کنترلر را به فایل سرور تبدیل کنید یا خدای ناکرده آن را به نقش ترمینال سرور ارتقا دهید. استفاده از سیستم عامل در کنترل کننده های دامنه در حالت Server Core، حذف کامل پشتیبانی WoW64 باعث کاهش چشمگیر تعداد به روز رسانی های مورد نیاز و افزایش امنیت آنها می شود.
مایکروسافت قبلاً از مجازی‌سازی کنترل‌کننده‌های دامنه به دلیل احتمال درگیری‌های تکرار ناپذیر هنگام بازیابی از عکس‌های فوری، جلوگیری کرده بود. ممکن است دلایل دیگری نیز وجود داشته باشد، نمی توانم با اطمینان بگویم. اکنون هایپروایزرها یاد گرفته‌اند که به کنترل‌کننده‌ها بگویند که آنها را از عکس‌های فوری بازیابی کنند و این مشکل از بین رفته است. من همیشه بدون گرفتن عکس فوری، کنترل‌کننده‌ها را مجازی‌سازی می‌کنم، زیرا نمی‌دانم چرا ممکن است نیاز به گرفتن چنین عکس‌های فوری روی کنترل‌کننده‌های دامنه وجود داشته باشد. من فکر می کنم انجام آن راحت تر است نسخه پشتیبانکنترل کننده دامنه با استفاده از ابزارهای استاندارد. بنابراین، من توصیه می کنم تمام کنترلرهای دامنه را که امکان پذیر است مجازی سازی کنید. این پیکربندی انعطاف پذیرتر خواهد بود. هنگام مجازی سازی کنترل کننده های دامنه، آنها را روی هاست های فیزیکی مختلف قرار دهید.
اگر می خواهید یک Domain Controller را در یک محیط فیزیکی ناامن یا در یکی از شعبه های سازمان خود قرار دهید، برای این منظور از RODC استفاده کنید.

نقش های FSMO، کنترل کننده های اولیه و ثانویه
نقش های کنترل کننده دامنه FSMO همچنان باعث ایجاد ترس در ذهن مدیران جدید می شود. اغلب، تازه‌کارها اکتیو دایرکتوری را از اسناد قدیمی یاد می‌گیرند یا به داستان‌هایی از مدیران دیگری گوش می‌دهند که یک بار چیزی را در جایی خوانده‌اند.
برای هر پنج + 1 نقش، موارد زیر باید به اختصار گفته شود. با شروع ویندوز سرور 2008، دیگر کنترل کننده های دامنه اولیه و ثانویه وجود ندارد. هر پنج نقش کنترل کننده دامنه قابل حمل هستند، اما نمی توانند همزمان روی بیش از یک کنترلر قرار گیرند. اگر یکی از کنترلرها را که مثلاً صاحب 4 نقش بوده است برداریم و حذف کنیم، به راحتی می توانیم همه این نقش ها را به کنترلرهای دیگر منتقل کنیم و هیچ اتفاق بدی در دامنه نمی افتد، چیزی خراب نمی شود. این امکان پذیر است زیرا مالک تمام اطلاعات مربوط به کار مربوط به یک نقش خاص را مستقیماً در Active Directory ذخیره می کند. و اگر نقش را به کنترلر دیگری منتقل کنیم، ابتدا به اطلاعات ذخیره شده در Active Directory تبدیل می شود و شروع به انجام سرویس می کند. یک دامنه می تواند برای مدت طولانی بدون صاحبان نقش وجود داشته باشد. تنها نقشی که همیشه باید در اکتیو دایرکتوری باشد و بدون آن همه چیز بسیار بد خواهد بود، نقش کاتالوگ جهانی (GC) است که می‌تواند توسط همه کنترل‌کننده‌های دامنه انجام شود. من توصیه می کنم نقش GC را به هر کنترل کننده در دامنه اختصاص دهید، هر چه تعداد آنها بیشتر باشد، بهتر است. البته می توانید مواردی را بیابید که ارزش نصب نقش GC بر روی کنترلر دامنه را ندارد. خوب، اگر به آن نیاز ندارید، پس نداشته باشید. توصیه ها را بدون تعصب دنبال کنید.

سرویس DNS
سرویس DNS برای عملکرد Active Directory حیاتی است و باید بدون وقفه کار کند. بهتر است سرویس DNS را روی هر دامنه کنترلر نصب کنید و مناطق DNS را در خود Active Directory ذخیره کنید. اگر از Active Directory برای ذخیره مناطق DNS استفاده می‌کنید، باید ویژگی‌های اتصال TCP/IP را روی کنترل‌کننده‌های دامنه پیکربندی کنید تا هر کنترل‌کننده هر DNS دیگری را به‌عنوان سرور DNS اصلی داشته باشد و می‌توانید ثانویه را روی آدرس 127.0 تنظیم کنید. 0.1. این تنظیم باید انجام شود زیرا برای شروع عادی سرویس اکتیو دایرکتوری، یک DNS در حال کار مورد نیاز است و برای شروع DNS، سرویس Active Directory باید در حال اجرا باشد، زیرا خود منطقه DNS در آن قرار دارد.
مطمئن شوید که مناطق جستجوی معکوس را برای همه شبکه های خود تنظیم کرده و به روز رسانی ایمن خودکار رکوردهای PTR را فعال کنید.
من توصیه می کنم علاوه بر این، پاکسازی منطقه خودکار سوابق DNS منسوخ شده را فعال کنید (DNS scavenging).
اگر سرورهای سریعتر دیگری در موقعیت جغرافیایی شما وجود ندارد، توصیه می کنم سرورهای محافظت شده Yandex را به عنوان DNS-Forwarders مشخص کنید.

سایت ها و تکثیر
بسیاری از مدیران به این فکر می کنند که وب سایت ها یک گروه بندی جغرافیایی از رایانه ها هستند. به عنوان مثال، سایت مسکو، سایت سنت پترزبورگ. این ایده به دلیل این واقعیت به وجود آمد که تقسیم اولیه اکتیو دایرکتوری به سایت ها با هدف متعادل کردن و جداسازی ترافیک شبکه تکراری انجام شد. کنترل کننده های دامنه در مسکو نیازی به دانستن این موضوع ندارند که اکنون ده حساب کامپیوتری در سن پترزبورگ ایجاد شده است. و بنابراین، چنین اطلاعاتی در مورد تغییرات را می توان یک بار در ساعت طبق برنامه منتقل کرد. یا حتی یک بار در روز و فقط در شب تغییرات را تکرار کنید تا در پهنای باند صرفه جویی کنید.
من این را در مورد وب سایت ها می گویم: وب سایت ها گروه های منطقی رایانه ها هستند. کامپیوترهایی که با اتصال شبکه خوب به یکدیگر متصل هستند. و خود سایت ها با اتصال پهنای باند کم به یکدیگر متصل می شوند که این روزها نادر است. بنابراین، من اکتیو دایرکتوری را به سایت‌هایی تقسیم می‌کنم تا ترافیک تکرار را متعادل کند، بلکه برای متعادل کردن بار شبکه به طور کلی و برای پردازش سریع‌تر درخواست‌های مشتری از رایانه‌های سایت. بگذارید با یک مثال توضیح دهم. یک شبکه محلی 100 مگابیتی یک سازمان وجود دارد که توسط دو کنترلر دامنه سرویس دهی می شود و یک ابر وجود دارد که سرورهای اپلیکیشن این سازمان با دو کنترلر دیگر ابری در آن قرار دارند. من چنین شبکه ای را به دو سایت تقسیم می کنم تا کنترل کننده ها شبکه محلیدرخواست های مشتری پردازش شده از شبکه محلی و کنترل کننده ها در ابر درخواست های سرورهای برنامه را پردازش می کنند. علاوه بر این، این به شما امکان می دهد درخواست ها را از سرویس های DFS و Exchange جدا کنید. و از آنجایی که اکنون به ندرت کانال اینترنتی کمتر از 10 مگابیت در ثانیه می بینم، Notify Based Replication را فعال می کنم، این زمانی است که به محض هر گونه تغییر در اکتیو دایرکتوری، تکثیر داده ها بلافاصله رخ می دهد.

نتیجه گیری
امروز صبح داشتم به این فکر می‌کردم که چرا خودخواهی انسان در جامعه مورد استقبال قرار نمی‌گیرد و جایی در سطح عمیقی از ادراک باعث ایجاد احساسات شدید منفی می‌شود. و تنها پاسخی که به ذهن من رسید این بود که نژاد بشر اگر به اشتراک گذاشتن منابع فیزیکی و فکری را نمی آموخت روی این سیاره زنده نمی ماند. به همین دلیل است که من این مقاله را با شما به اشتراک می گذارم و امیدوارم که توصیه های من به شما کمک کند تا سیستم خود را بهبود ببخشید و زمان قابل توجهی کمتری برای عیب یابی صرف کنید. همه اینها منجر به آزاد شدن زمان و انرژی بیشتر برای خلاقیت می شود. زندگی در دنیای افراد خلاق و آزاد بسیار لذت بخش تر است.
خوب است اگر در صورت امکان، دانش و شیوه ساخت اکتیو دایرکتوری را در نظرات به اشتراک بگذارید.
صلح و سلامتی برای همه!

می توانید کمک کنید و مبلغی را برای توسعه سایت انتقال دهید

17.03.2014 دارن مار-الیا

چه زمانی Windows PowerShellبه تازگی ظاهر شد، بسیاری شروع به این سوال کردند که آیا امکان مدیریت Active Directory (AD) با استفاده از PowerShell وجود دارد یا خیر. در آن زمان، پاسخ مایکروسافت آن چیزی نبود که اکثر مدیران دوست داشتند بشنوند. پاورشل یک «شتاب‌دهنده نوع» رابط‌های سرویس دایرکتوری فعال (ADSI) داخلی برای دسترسی به اشیاء AD داشت، اما کاربر تا حد زیادی مجبور بود خودش نحوه استفاده از PowerShell را برای انجام وظایف مدیریت AD بفهمد. تغییرات قابل توجهی با انتشار ویندوز سرور 2008 R2 رخ داد که ماژول PowerShell را برای Active Directory معرفی کرد. ماژول AD شامل مجموعه ای از دستورات برای مدیریت AD و همچنین یک ارائه دهنده AD است که به شما امکان می دهد AD را مانند یک درایو نمادین هدایت کنید. در این مقاله نحوه نصب ماژول AD را به شما نشان می دهم و عملکرد آن را با جزئیات شرح می دهم

هنگامی که Windows PowerShell برای اولین بار منتشر شد، بسیاری از مردم پرسیدند که آیا امکان مدیریت Active Directory (AD) با استفاده از PowerShell وجود دارد یا خیر. در آن زمان، پاسخ مایکروسافت آن چیزی نبود که اکثر مدیران دوست داشتند بشنوند. پاورشل یک «شتاب‌دهنده نوع» رابط‌های سرویس دایرکتوری فعال (ADSI) داخلی برای دسترسی به اشیاء AD داشت، اما کاربر تا حد زیادی مجبور بود به تنهایی نحوه استفاده از PowerShell را برای انجام وظایف مدیریت AD بفهمد. با گذشت زمان، نرم‌افزار Quest مجموعه‌ای از دستورات رایگان را برای وظایف مدیریتی AD، از جمله ایجاد، تغییر، و حذف اشیاء AD و جستجوی اشیا در AD ارائه کرده است. این وضعیت مدیریت PowerShell و AD برای مدت طولانی بوده است.

تغییرات قابل توجهی با انتشار Windows Server 2008 R2 رخ داد که ماژول PowerShell را برای Active Directory معرفی کرد. ماژول AD شامل مجموعه ای از دستورات برای مدیریت AD و همچنین یک ارائه دهنده AD است که به شما امکان می دهد AD را مانند یک درایو نمادین هدایت کنید. در این مقاله نحوه نصب ماژول AD را به شما نشان می دهم و عملکرد آن را به طور کامل شرح می دهم.

نصب ماژول اکتیو دایرکتوری

برخلاف ابزارهای قبلی که از LDAP برای برقراری ارتباط با AD استفاده می کردند، ماژول AD از پروتکل های Active Directory Web Services (ADWS) برای ارتباط با کنترل کننده دامنه AD (DC) استفاده می کند. این پروتکل ها به طور مفصل در وبلاگ MSDN «نمای کلی خدمات وب اکتیو دایرکتوری» توضیح داده شده اند، اما توجه به این نکته کافی است که دستورات PowerShell در ماژول AD و مرکز مدیریت Active Directory (ADAC) از ADWS برای برقراری ارتباط و بازیابی اطلاعات از AD استفاده می کنند. .

هنگامی که کنترل کننده های دامنه Windows Server 2012 یا Server 2008 R2 را در یک دامنه AD نصب می کنید، پروتکل ADWS به طور پیش فرض روی هر یک از آنها نصب و اجرا می شود. اگر دامنه شما کاملاً از کنترلرهای دامنه Windows Server 2008 یا Windows Server 2003 تشکیل شده است، باید ADWS را جداگانه نصب کنید. مایکروسافت برای این منظور بسته خدمات مدیریت اکتیو دایرکتوری را به صورت رایگان ارائه می کند. اگر بسته را بر روی حداقل یک کنترل کننده دامنه AD Server 2008 یا Server 2003 نصب کنید، می توانید از ماژول AD برای PowerShell به همراه ADAC استفاده کنید.

خود ماژول AD به طور پیش‌فرض بر روی هر DC با سیستم عامل Server 2012 یا Server 2008 R2 نصب می‌شود. روشن کامپیوترهای ویندوزی 8 و ویندوز 7 (یا هر رایانه دیگری غیر از DC دارای سرور 2012 یا سرور 2008 R2)، باید Remote Server Administration Tools را از مرکز دانلود مایکروسافت نصب کنید.

صرف نظر از اینکه Remote Server Administration Tools از قبل روی کامپیوتر شما نصب شده باشد یا به طور جداگانه، مرحله بعدی این است که بخش Add/Remove Programs را در Control Panel باز کنید و از منوی سمت چپ گزینه Turn Windows features on or off را انتخاب کنید. کادر محاوره ای ویژگی های ویندوز را به سمت پایین به بخش Remote Server Administration Tools ببرید. همانطور که در شکل 1 نشان داده شده است، چک باکس Active Directory Module for Windows PowerShell را در پوشه \Remote Server Administration Tools\Role Administration Tools\AD DS و AD LDS Tools پیدا کنید.

اکنون باید یک میانبر برای Active Directory Module برای Windows PowerShell در بخش Administrative Tools منوی Start مشاهده کنید. روی این میانبر کلیک کنید تا PowerShell با ماژول AD بارگذاری شده راه اندازی شود. اگر قبلاً در PowerShell کار می کنید و فقط می خواهید ماژول را بارگیری کنید تا برای استفاده در دسترس باشد، می توانید دستور زیر را وارد کنید و به دستورات AD و AD Provider دسترسی داشته باشید:

Import-Module ActiveDirectory

حال بیایید ببینیم که چگونه با استفاده از AD Provider به AD پیمایش کنیم.

با استفاده از Active Directory Provider

PowerShell مفهوم درایوهای PowerShell را پیاده سازی می کند، که من به سادگی از آنها به عنوان درایوهای PS یاد می کنم. به بیان ساده، درایو PS نمایشی از یک منبع است، مانند یک سیستم فایل قابل پیمایش متشکل از پوشه ها و آیتم های برگ. هر منبعی را نمی توان به این شکل در نظر گرفت، اما بسیاری از منابع (از جمله AD و رجیستری) به خوبی در این مدل قرار می گیرند. ماژول AD شامل ارائه دهنده دیسک PS AD است. بر این اساس، می‌توانید AD را به گونه‌ای که گویی یک سیستم فایل است، پیمایش کنید و حتی آن را تغییر دهید.

چگونه با استفاده از AD Provider به AD پیمایش کنیم؟ فرض بر این است که PowerShell باز است و ماژول AD بارگذاری شده است. در این مورد، اولین مرحله اجرای دستور Set-Location است که دارای چندین نام مستعار از جمله sl و cd است:

تنظیم مکان AD:

این دستور محل کار فعلی درایو PS AD را تغییر می دهد. در نتیجه، اعلان PowerShell به جای C:\، AD:\ را نشان می دهد. سپس، برای دیدن آیتم ها در درایو PS AD، می توانید از دستور Get-ChildItem با نام مستعار dir استفاده کنید:

Get-ChildItem

شکل 2 نمونه ای از نتیجه را در رایانه من نشان می دهد.

همانطور که می بینیم، دستور لیستی از تمام پارتیشن های دامنه موجود را برمی گرداند. جالب ترین مورد، به نظر من، قسمت دامنه به نام cpandl است که شامل نام کاربر و رایانه است. برای تغییر این دامنه کافیست دستور زیر را وارد کنید:

تنظیم مکان "dc=cpandl,dc=com"

توجه داشته باشید که دستور Set-Location با نام متمایز (DN) دامنه AD من استفاده می شود. این برای ناوبری صحیح لازم است. هنگامی که به دایرکتوری دامنه خود پیمایش کردید (همانطور که با اعلان AD:\dc=cpandl,dc=com در PowerShell نشان داده شده است)، می توانید از دستور Get-ChildItem برای مشاهده ساختار AD سطح بالا استفاده کنید (شکل 3).
شکل 3: مشاهده سطح بالای سلسله مراتب AD

اگر می خواهید به کاربران در واحد سازمانی SDM (OU) نگاه کنید، برای رفتن به آن OU فقط باید وارد کنید:

تنظیم مکان "OU=SDM"

خط فرمان PowerShell شبیه AD:\ou=SDM,dc=cpandl,dc=com خواهد بود. در این مرحله، می‌توانید از دستور Get-ChildItem برای مشاهده تمام اشیاء کاربر در این OU استفاده کنید. اگر من نیاز به تغییر ویژگی Description در شیء کاربر که نمایانگر حساب کاربری Darren Mar-Elia من است را داشته باشم. یک تیم برای آن وجود دارد! دستور Set-ItemProperty به شما این امکان را می دهد که یک ویژگی را در یک شی AD تغییر دهید. اگر نیاز به تغییر توضیحات حساب کاربری در Chief Techie دارید، باید دستور زیر را اجرا کنید:

Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Name "Description" -Value "Chief Techie"

همانطور که می بینیم، پارامتر –Path در اینجا برای تعیین حساب کاربری من در فهرست فعلی استفاده می شود. من همچنین از پارامتر -Name برای نشان دادن اینکه ویژگی Description باید تغییر کند و از پارامتر -Value برای تعیین توضیحات Chief Techie استفاده می کنم.

توجه داشته باشید که اگر می خواهید تمام اشیاء با مقدار خاصیت خاص را پیدا کنید، می توانید از Get-ItemProperty استفاده کنید. اگر فقط می خواهید یک مرجع به یک شی AD دریافت کنید، از Get-Item استفاده کنید.

همانطور که می بینید، کار با AD به این روش بسیار ساده است. مکانیزم به سختی برای تغییرات انبوه مناسب است، اما برای کار با AD به عنوان یک سیستم فایل مناسب است. با این حال، همانطور که متوجه شدم، اکثر مدیران به جای درایو PS AD برای مدیریت AD از دستورات استفاده می کنند. بیایید ببینیم برخی از این دستورات چگونه کار می کنند.

استفاده از دستورات اکتیو دایرکتوری

ماژول AD همراه با ویندوز 7 شامل 76 دستور برای مدیریت AD است. آنها را می توان تقریباً برای هر هدفی، از جمله یافتن اشیاء AD، ایجاد و حذف اشیاء AD، و دستکاری اطلاعات پیکربندی AD (مانند حالت جنگل و سیاست های رمز عبور دانه بندی) استفاده کرد. معمولاً دستورات با افعالی مانند Add-، Remove-، Get- و Set- گروه بندی می شوند. توجه داشته باشید که هر دستور Get دارای یک دستور Set- مربوطه نیست و برعکس، بنابراین گاهی اوقات باید برای یافتن دستور مناسب برای یک کار تلاش کنید. به عنوان مثال، شما می توانید سطح عملکرد جنگل AD را با استفاده از Set-ADForestMode تنظیم کنید، اما برای اطلاع از سطح عملکرد جنگل فعلی، باید از دستور Get-ADForest استفاده کنید و به ویژگی ForestMode در شیء برگشتی نگاه کنید.

بیایید به چند کار رایج که می توان با استفاده از دستورات AD انجام داد نگاه کنیم. به طور خاص، نحوه افزودن حساب‌های کاربری، مدیریت عضویت در گروه، بازنشانی رمزهای عبور حساب کاربری و جستجوی اشیاء AD را به شما نشان خواهیم داد.

افزودن حساب های کاربری

دستور New-ADUser یک راه آسان برای افزودن حساب های کاربری به AD ارائه می دهد. اگر می خواهید یک حساب کاربری جدید به نام بیل اسمیت به واحد سازمانی SDM اضافه کنید، پس مورد سادهبا استفاده از دستور زیر می توانید یک حساب کاربری جدید ایجاد کنید:

New-ADUser -Name "Bill Smith" -SamAccountName "bsmith" ` -GivenName "Bill" -Smithname "Smith" ` -DisplayName "Bill Smith" -Path "OU=SDM,DC=cpandl,DC=com"

این دستور اطلاعات اولیه حساب کاربری را وارد می کند. به طور خاص، پارامتر -SamAccountName برای ارائه نام حساب SAM مورد نیاز برای ایجاد شی کاربر استفاده می شود. پارامتر –Path همچنین برای گفتن دستور محل قرار دادن شی - در استفاده می شود در این موردبه واحد سازمانی SDM در دامنه cpandl.com. علاوه بر این، نام کاربر (پارامتر -GivenName)، نام خانوادگی (پارامتر -Surname) و نام نمایشی (پارامتر -DisplayName) مشخص شده است.

با اجرای این دستور یک حساب کاربری ایجاد می شود، اما دو مشکل وجود دارد. ابتدا اکانت غیرفعال می شود. ثانیاً، حساب دارای رمز عبور مرتبط با آن نخواهد بود، که در اکثر دامنه ها مورد نیاز است.

برای جلوگیری از فعال کردن حساب و اختصاص رمز عبور جداگانه، می توانید دستور New-ADUser را تغییر دهید. اگر پارامتر -Enabled $true را در دستور مشخص کنید، New-ADUser به طور خودکار حساب را فعال می کند. فعال سازی نیاز به رمز عبور دارد، بنابراین باید آن را نیز در دستور مشخص کنید.

برای ارائه رمز عبور، می توانید از پارامتر –AccountPassword استفاده کنید. با این حال، نمی توانید رمز عبور را به صورت متنی در خط فرمان وارد کنید. این گزینه مستلزم آن است که رمز عبور در یک رشته امن (یعنی دارای نوع داده SecureString) وارد شود. دو راه برای تبدیل رمز عبور به رشته ایمن وجود دارد و هر دو از یک متغیر استفاده می کنند.

روش اول از دستور ConvertTo-SecureString استفاده می کند که رشته های متن ساده را به رشته های امن تبدیل می کند. به عنوان مثال، اگر می خواهید رمز عبور P@ssw0rd12 را به یک رشته محافظت شده تبدیل کنید و آن را به متغیر $pwd اختصاص دهید، دستور زیر را اجرا کنید:

$pwd = ConvertTo-SecureString -string "P@ssw0rd12" ` -AsPlainText –force

این ایمن‌ترین روش برای تعیین رمز عبور نیست، زیرا زمانی که فرمان را وارد می‌کنید، ممکن است شخصی از روی شانه شما نگاه کند. بیشتر راه قابل اعتماد، اگر دستور New-ADUser یک رمز عبور می خواهد و کاراکترهای وارد شده را مخفی می کند. این را می توان با استفاده از دستور Read-Hostcmdlet با پارامتر –AsSecureString انجام داد:

$pwd = Read-Host -AsSecureString

پس از اجرای این دستور، هنگام وارد کردن رمز عبور، علامت آشنای "*" را روی صفحه نمایش خود مشاهده خواهید کرد.

هنگامی که رمز عبور در متغیر pwd $ ذخیره شد، می توانید آن را به دستور New-ADUser ارسال کنید:

New-ADUser -Name"Bill Smith"-SamAccountName"bsmith"` -GivenName"Bill"-SmithName"Smith"` -DisplayName"Bill Smith"` -Path"OU=SDM,DC=cpandl,DC=com"` - فعال $true -AccountPassword $pwd

همانطور که می بینیم، این دستور حاوی پارامترهای -Enabled و -AccountPassword است که حساب را فعال می کند و به طور ایمن یک رمز عبور به آن اختصاص می دهد.

ایجاد حساب های کاربری در یک زمان یک راه منظم است، اما گاهی اوقات لازم است چندین حساب را همزمان ایجاد کنید. PowerShell برای این منظور عالی است. به عنوان مثال، اگر شما نیاز به ایجاد سه حساب کاربری دارید، می توانید یک فایل مقدار جدا شده با کاما (CSV) تهیه کنید که حاوی اطلاعات حساب است و سپس از دستور Import-CSV برای انتقال آن اطلاعات به New-ADUser استفاده کنید.

شکل 4 یک فایل CSV با نام userlist.csv را نشان می دهد.

توجه داشته باشید که در این فایل، سرفصل های ستون با نام پارامترهای ارائه شده در دستور قبلی New-ADUser مطابقت دارد. این کار به عمد انجام شد. هنگامی که داده‌های CSV به New-ADUser ارسال می‌شوند، این فرمان نام پارامترها را از خط لوله PowerShell دریافت می‌کند و لازم نیست در خود فرمان مشخص شود. در اینجا دستوری است که برای ایجاد سه حساب کاربری استفاده می شود:

Import-CSV -Path C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pwd

همانطور که می بینید، خروجی دستور Import-CSV به دستور New-ADUser می رود. خط لوله تشخیص می دهد که سرفصل های ستون در فایل CSV نام پارامترها هستند و ردیف های باقی مانده حاوی مقادیر هستند، بنابراین شما فقط باید پارامترهای -Enabled و -AccountPassword را ارائه کنید. این یک قابلیت نوار نقاله عالی است. این به شما امکان می دهد از PowerShell بسیار مؤثرتر برای این نوع کارهای اتوماسیون استفاده کنید.

مدیریت عضویت در گروه

افزودن حساب های کاربری و رایانه یک کار معمولی مدیریت AD است. با استفاده از ماژول AD، انجام این کار نسبتاً آسان است. با استفاده از دستور Add-ADGroupMember، می توانید یک یا چند حساب را به یک گروه اضافه کنید. به عنوان مثال، اگر شما نیاز به اضافه کردن سه کاربر جدید به گروه کاربران بازاریابی دارید. ساده ترین راه استفاده از دستور زیر است:

Add-ADGroupMember -Identity»کاربران بازاریابی«` -Members jadams,tthumb,mtwain

در این دستور از پارامتر -Identity برای ارائه نام گروه استفاده می شود. پارامتر -Members همچنین برای ارائه نام حساب SAM کاربر استفاده می شود. اگر چندین نام حساب SAM وجود دارد، آنها باید در یک فایل جدا شده با کاما فهرست شوند.

می توانید عملیات ایجاد سه حساب کاربری و افزودن آنها به گروه Marketing Users را در یک دستور ترکیب کنید تا در یک اقدام مشکل را حل کنید. با این حال، دستور Add-ADGroupMember از ارسال نام اعضای گروه به خط لوله پشتیبانی نمی کند. بنابراین، اگر می خواهید از خط لوله استفاده کنید، باید از دستور Add-ADPrincipalGroupMembership استفاده کنید. این دستور می تواند اشیاء کاربر، کامپیوتر یا گروه را به عنوان ورودی از یک خط لوله بپذیرد و آن اشیاء را به گروه مشخص شده اضافه کند.

می توانید عملیات ایجاد کاربران را با عملیات افزودن کاربران جدید به گروه کاربران بازاریابی در یک دستور به صورت زیر ترکیب کنید:

Import-CSV -Path C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -MemberOf"کاربران بازاریابی"

توجه داشته باشید که پارامتر –PassThru به قسمت New-ADUser دستور اضافه شده است. این پارامتر به New-ADUser می گوید که اشیاء کاربر ایجاد شده را به خط لوله منتقل کند. اگر این پارامتر مشخص نشده باشد، دستور Add-ADPrincipalGroupMembership ناموفق خواهد بود.

همچنین قابل توجه است که فقط از پارامتر -MemberOf برای تعیین نام گروه در بخش Add-ADPrincipalGroupMembership دستور استفاده می شود. خط لوله با افزودن هر یک از سه کاربر به گروه کاربران بازاریابی، بقیه موارد را تامین می کند.

بنابراین با استفاده از یک دستور PowerShell، سه کاربر جدید ایجاد شدند، آنها در OU قرار گرفتند، پسورد به آنها داده شد و به گروه کاربران بازاریابی اضافه شدند. اکنون اجازه دهید به برخی دیگر از وظایف متداول تعمیر و نگهداری AD که می‌توان با استفاده از PowerShell و ماژول AD خودکار کرد، نگاهی بیندازیم.

بازنشانی رمزهای عبور حساب کاربری

گاهی اوقات کاربران باید رمز عبور حساب خود را بازنشانی کنند. این کار را می توان به راحتی با استفاده از دستور Set-ADAccountPassword با تغییر یا بازنشانی رمز عبور حساب، خودکار کرد. برای تغییر رمز باید رمز قبلی را بدانید و رمز جدید را وارد کنید. برای بازنشانی رمز عبور، کافیست یک رمز عبور جدید وارد کنید. با این حال، برای انجام بازنشانی رمز عبور، باید مجوز Reset Password را روی شی کاربر در AD داشته باشید.

مانند پارامتر -AccountPassword در دستور New-ADUser، دستور Set-ADAccountPassword از نوع داده SecureString برای رمزهای عبور استفاده می کند، بنابراین باید از یکی از روش های تبدیل رمزهای عبور متن ساده به رشته های امن استفاده کنید. به عنوان مثال، اگر می خواهید رمز عبور حساب کاربری Tom Thumb را بازنشانی کنید، پس از ذخیره رمز عبور جدید به عنوان یک رشته محافظت شده در متغیر $pass، می توانید این دستور را اجرا کنید:

Set-ADAccountPassword -Identity»tthumb«` -NewPassword $pass –Reset

در این دستور، من از پارامتر –Identity برای اختصاص یک نام حساب SAM به حساب کاربری Tom Thumb استفاده می کنم. همچنین پارامتر -NewPassword را با متغیر $pass وارد می کنم تا رمز عبور جدید ارائه کنم. در نهایت، پارامتر –Reset مشخص می‌شود که نشان می‌دهد یک بازنشانی به جای تغییر رمز عبور در حال انجام است.

یک کار اختیاری دیگر: پرچم حساب کاربری Tom Thumb را تغییر دهید تا او را مجبور کنید که دفعه بعد که وارد سیستم می شود رمز عبور خود را تغییر دهد. این یک تکنیک رایج زمانی است که شما نیاز به تنظیم مجدد رمز عبور یک کاربر دارید. این کار را می توان با استفاده از دستور Set-ADUser انجام داد و پارامتر -ChangePasswordAtLogon را روی $true قرار داد:

Set-ADUser -Identity tthumb -ChangePasswordAtLogon $true

این سوال مطرح می شود که چرا از یک خط لوله برای ارسال خروجی دستور Set-ADAccountPassword به دستور Set-ADUser برای انجام هر دو عملیات در یک فرمان PowerShell استفاده نشده است. من این روش رو امتحان کردم جواب نمیده احتمالاً محدودیتی در دستور Set-ADAccountPassword وجود دارد که از اجرای موفقیت آمیز فرمان منفرد جلوگیری می کند. در هر صورت، کافی است همانطور که در بالا نشان داده شده است، پرچم را با استفاده از دستور Set-ADUser تغییر دهید.

جستجو برای اشیاء اکتیو دایرکتوری

یکی دیگر از وظایف معمول AD یافتن اشیاء AD است که معیارهای خاصی را برآورده می کنند. به عنوان مثال، شما می توانید تمام رایانه هایی را که نسخه خاصی از سیستم عامل ویندوز را در یک دامنه AD اجرا می کنند، پیدا کنید. دستور Get-ADObject راحت ترین برای جستجوی LDAP است. به عنوان مثال، برای یافتن کامپیوترهای Server 2008 R2 در دامنه cpandl.com، از دستور زیر استفاده شد:

Get-ADObject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=computer))" -SearchBase"dc=cpandl,dc=com"` -SearchScope زیردرخت

این دستور از سه پارامتر برای انجام کار استفاده می کند: -LDAPFilter، -SearchBase و -SearchScope. پارامتر -LDAPFilter یک پرس و جو استاندارد LDAP را به عنوان ورودی می گیرد. این مثال تمام اشیاء رایانه‌ای را که ویژگی OperatingSystem روی Windows Server 2008 R2 Enterprise تنظیم شده است، جستجو می‌کند. پارامتر -SearchBase به دستور می گوید که جستجو در سلسله مراتب AD از کجا شروع شود. در این مورد، جستجو از دایرکتوری ریشه دامنه AD انجام می شود، اما محدود کردن جستجو به یک OU خاص دشوار نیست. پارامتر –SearchScope به فرمان می گوید که آیا باید همه کانتینرها را در زیر پایگاه جستجو بخزد و اشیاء مشخص شده را پیدا کرد. در این مورد، پارامتر Subtree برای وادار کردن فرمان به بررسی همه کانتینرهای زیرین استفاده می شود.

وقتی دستور را اجرا می کنید، اشیایی که با معیارها مطابقت دارند نمایش داده می شوند. یا می توانید نتایج را به دستور دیگری برای پردازش اشیاء یافت شده ارسال کنید.

توجه داشته باشید که برای جستجوهای بزرگ استفاده از پارامتر –ResultPageSize برای کنترل نحوه صفحه بندی نتایج جستجو مفید است. معمولاً من این پارامتر را روی 1000 تنظیم می کنم و دستور Get-ADObject هر بار 1000 شی را برمی گرداند. در غیر این صورت، ممکن است نتیجه مورد انتظار را دریافت نکنید زیرا تعداد اشیاء برگردانده شده از حداکثر مجاز تعیین شده توسط خط مشی برای یک درخواست جستجو بیشتر است.

یکی دیگر از دستورات جستجوی ارائه شده توسط مایکروسافت Search-ADAccount است. این دستور به ویژه برای جستجو با شرایط از پیش تعریف شده مختلف مانند حساب های غیرفعال، حساب های دارای رمز عبور منقضی شده و حساب های قفل شده مفید است. بنابراین، دستور زیر تمام حساب های کاربری با رمزهای عبور منقضی شده را در SDM OU پیدا می کند:

Search-ADAccount -Password Expired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com" -SearchScope OneLevel Search-ADAccount -Password Expired -UsersOnly ` -SearchBase"OU=sdmdcoml,d" -SearchScope OneLevel

این دستور از پارامتر –PasswordExpired استفاده می کند تا مشخص کند که حساب هایی با رمزهای عبور منقضی شده مورد نیاز هستند. پارامتر -UsersOnly مشخص می کند که فقط اشیاء کاربر باید جستجو شوند (یعنی اشیاء رایانه باید حذف شوند). مانند مثال قبلی، پارامترهای -SearchBase و -SearchScope برای تعیین محدوده جستجو استفاده می شوند. اما در این مورد، من از پارامتر OneLevel فقط برای جستجوی نزدیکترین OU (یعنی بدون احتساب هر واحد سازمانی کودک) استفاده می کنم.

این فقط سطح ماژول AD است، اما امیدوارم ایده ای از قابلیت های آن داشته باشید. همانطور که در بالا ذکر شد، بیش از 70 دستور در ماژول وجود دارد. موضوعاتی که در این مقاله پوشش داده نشده اند عبارتند از: حذف اشیا با استفاده از دستور Remove-، بازیابی اشیاء حذف شده با استفاده از دستور Restore-ADObject، و حذف خواص UAC روی اشیاء کاربر با استفاده از دستور Set-ADAccountControl. تقریباً برای هر کار اداری AD دستوراتی وجود دارد.



روز همگی بخیر، ما به درس های مدیریت سیستم خود ادامه می دهیم. بیایید امروز به درک اشیاء اصلی اکتیو دایرکتوری ادامه دهیم. هنگامی که برنامه ریزی اکتیو دایرکتوری را مشخص کردیم، اولین چیزی که باید ایجاد کنیم ساختار واحد سازمانی (OU) است. این کار به این دلیل انجام می شود که مدیر سیستم می تواند حقوق را به گروه های جداگانه ای از اشیاء که بر اساس معیارهای خاصی متحد شده اند واگذار کند و سیاست های گروه را به دلایل مشابه اعمال کند. اگر یک سلسله مراتب راحت را سازماندهی کنید، همه چیز را در AD دقیقاً مانند یک هک خواهید داشت که باعث صرفه جویی در وقت شما می شود.

من در AD خود ساختاری مانند این ایجاد خواهم کرد:

  • در بالا OU وابستگی سرزمینی قرار دارد. در مورد من اینها شهرها هستند
  • سپس اینها سرورهای OU، کاربران و رایانه ها هستند
  • سپس، در صورت لزوم، می توانید آن را به طبقات، بخش ها و هر چیز دیگری که به تصور شما می رسد تقسیم کنید.

خوب، بیایید در واقع شروع کنیم. Start-Administration-ADUC را باز کنید

نام OU، در مورد من شهر را وارد کنید. سپس، به روشی مشابه، تعداد OU های مورد نیاز شما را در سلسله مراتبی که نیاز دارید ایجاد می کنیم.

برای من به نظر می رسد این است. چندین شهر وجود دارد که دارای واحدهای سازمانی اضافی هستند:

  • کاربران
  • گروه های پستی
  • گروه ها
  • حساب های سیستمی
  • سرورها
  • کامپیوترها

اگر به طور ناگهانی یک OU اضافی ایجاد کرده اید یا در مکان اشتباهی قرار گرفته اید، می توانید سعی کنید آن را حذف کنید یا آن را جابجا کنید. اما خواهید دید که OU از حذف محافظت می شود.

امتیازات کافی برای حذف یک واحد سازمانی وجود ندارد، یا شی از حذف تصادفی محافظت می شود

برای رفع این مشکل و داشتن نظم در اکتیو دایرکتوری خود، به منوی "View-Additional Components" بروید.

حالا روی OU مورد نظر کلیک راست کرده و properties را انتخاب کنید.

بیایید به تب "Object" برویم و این کادر را مشاهده کنیم که از OU محافظت می کند. پس از حذف آن، می توانید دستکاری هایی را انجام دهید، توصیه هایی در مورد نحوه انجام کاری که باید انجام دهید این است که چک باکس را برگردانید.

همانطور که می بینید، مایکروسافت فرآیند ایجاد اشیاء در اکتیو دایرکتوری را بسیار پیش پا افتاده کرده است، زیرا مدیر سیستم به سادگی بسیاری از چیزها را به عنوان مثال به بخش منابع انسانی که حساب ها را ایجاد می کند واگذار می کند. اگر سوالی دارید، آنها را در نظرات بنویسید، خوشحال می شوم که چت کنیم.

هوش

    Windows6.1-KB958830-x64-RefreshPkg.msu

    Windows6.1-KB958830-x86-RefreshPkg.msu

    تاریخ انتشار:

    • **ابزارهای مدیریت سرور از راه دور برای Windows 7 SP1 را فقط می‌توان بر روی رایانه‌های دارای نسخه‌های Windows 7 یا Windows 7 SP1 Professional، Enterprise و Ultimate نصب کرد.**

      Remote Server Administration Tools for Windows 7 SP1 به مدیران IT این امکان را می دهد تا نقش ها و ویژگی هایی را که بر روی رایانه های راه دوری که Windows Server 2008 R2 SP1 یا Windows Server 2008 R2 (و Windows Server 2008 یا Windows Server 2003 برای برخی نقش ها و ویژگی ها) نصب شده اند را مدیریت کنند. یک کامپیوتر راه دور که ویندوز 7 یا ویندوز 7 سرویس پک 1 (SP1) دارد. این ابزارها هنگام نصب Server Core یا زمانی که از Windows Server 2008 R2 SP1، Windows Server 2008 R2 و Windows Server 2008 (برای برخی از نقش ها و ویژگی ها) استفاده می کنند، از مدیریت از راه دور رایانه هایی پشتیبانی می کنند. نصب کاملاین سیستم عامل ها شما می توانید از Remote Server Administration Tools برای Windows 7 SP1 برای مدیریت از راه دور نقش ها و ویژگی های انتخاب شده Windows Server 2003 استفاده کنید، اگرچه گزینه ای برای نصب Server Core برای این سیستم عامل وجود ندارد.

      این ویژگی از نظر عملکرد با ابزارهای مدیریت برای ویندوز سرور 2003 و ابزارهای مدیریت سرور از راه دور برای ویندوز ویستا SP1 قابل مقایسه است.

    سیستم مورد نیاز

      سیستم عامل پشتیبانی شده

      ویندوز 7؛ Windows 7 Service Pack 1

      • Remote Server Administration Tools برای Windows 7 SP1 را می توان بر روی رایانه های دارای نسخه های Windows 7 یا Windows 7 SP1 Professional، Enterprise و Ultimate نصب کرد. داده شده است نرم افزارقابل نصب است فقطدر رایانه‌هایی که نسخه‌های حرفه‌ای، Enterprise و Ultimate Windows 7 یا Windows 7 Service Pack 1 (SP1) را اجرا می‌کنند. نمی توان آن را روی سرورهای هدفی که قصد مدیریت آنها را دارید نصب کرد.

        از این صفحه می توانید نسخه های 32 و 64 بیتی Remote Server Administration Tools را برای Windows 7 SP1 دانلود کنید. نسخه‌ای را دانلود و نصب کنید که با معماری رایانه‌ای که قصد دارید ابزارهای مدیریت را روی آن نصب کنید، مطابقت دارد. کاربرانی که نمی دانند از کدام معماری در رایانه خود استفاده می شود - x86 یا x64، باید به بخش مراجعه کنند.

        می‌توانید از Remote Server Administration Tools برای Windows 7 SP1 برای مدیریت نقش‌ها و ویژگی‌هایی که در طول نصب Server Core یا نصب کامل یک Windows Server 2008 R2 SP1 64 بیتی یا سیستم عامل Windows Server 2008 R2 اجرا می‌شوند، استفاده کنید. مدیریت از راه دور نیز برای برخی از نقش ها و ویژگی های در حال اجرا پشتیبانی می شود سیستم ویندوزسرور 2008 یا ویندوز سرور 2003.

        Remote Server Administration Tools برای Windows 7 Service Pack 1 (SP1) نباید روی رایانه ای که دارای Windows Server 2003 Administration Tools یا Windows 2000 Server® Administration Tools است نصب شود. قبل از نصب Remote Server Administration Tools برای Windows 7 SP1، تمام نسخه های Administration Tools Pack یا Remote Server Administration Tools را از رایانه خود حذف نصب کنید.

        فقط یک نسخه از Remote Server Administration Tools برای Windows 7 SP1 را می توان بر روی کامپیوتر نصب کرد. قبل از نصب بسته جدید، باید هر گونه کپی موجود از Remote Server Administration Tools برای Windows 7 SP1 را حذف کنید. این شامل کپی به زبان های مختلف نیز می شود.

        برای جزئیات بیشتر در مورد ابزارهای مدیریت سرور از راه دور برای Windows 7 SP1 و سیستم عامل‌های پشتیبانی‌شده که می‌توانید از ابزارها در آنها استفاده کنید، مراجعه کنید.

    دستورالعمل نصب

      • نصب ابزارهای مدیریت سرور از راه دور برای ویندوز 7 SP1

        مدیراندر رایانه ای که می خواهید بسته ابزار مدیریت را روی آن نصب کنید یا با استفاده از حساب داخلی وارد رایانه شوید مدیر.

        توجه!قبل از نصب Remote Server Administration Tools برای Windows 7 SP1، تمام نسخه های Administration Tools Pack یا Remote Server Administration Tools را از رایانه خود حذف نصب کنید.

        توجه!فقط یک نسخه از Remote Server Administration Tools برای Windows 7 SP1 را می توان بر روی کامپیوتر نصب کرد. قبل از نصب بسته جدید، باید هر گونه کپی موجود از Remote Server Administration Tools برای Windows 7 SP1 را حذف کنید. این شامل کپی به زبان های مختلف نیز می شود. برای دستورالعمل‌های مربوط به حذف نمونه‌های موجود Remote Server Administration Tools برای Windows 7 SP1، رجوع کنید به در این صفحه

        1. Remote Server Administration Tools را برای Windows 7 SP1 در رایانه ای که Windows 7 یا Windows 7 SP1 دارد از مرکز دانلود مایکروسافت دانلود کنید.

        2. پوشه ای را که بسته را دانلود کرده اید باز کنید، روی آن دوبار کلیک کنید تا آن را استخراج کنید و Remote Server Administration Tools for Windows 7 SP1 Installation Wizard را اجرا کنید.

        . توجه!برای شروع نصب بسته ابزار مدیریت، باید مجوز و شرایط گارانتی محدود را بپذیرید.

        3. تمام دستورالعمل های جادوگر را دنبال کنید و روی دکمه کلیک کنید آماده استتا پس از اتمام نصب عملیات خود را تکمیل کند.

        4. دکمه را فشار دهید شروع کنید، مورد را انتخاب کنید کنترل پنلو کلیک کنید برنامه ها.

        5. در منطقه برنامه ها و کامپوننت هایک گزینه را انتخاب کنید

        6. اگر User Account Control از شما خواسته است که اجازه باز کردن کادر گفتگوی Windows Features را بدهید، کلیک کنید ادامه دهید.

        7. در کادر محاوره ای اجزای ویندوزعنصر را گسترش دهید

        8. ابزارهای مدیریت از راه دور را که می خواهید نصب کنید انتخاب کنید.

        9. دکمه را فشار دهید باشه.

        10. منوی خود را سفارشی کنید شروع کنیدبه طوری که میانبر در آن نمایش داده شود اداره(در غیاب آن):

        روی دکمه کلیک کنید شروع کنیدکلیک راست کرده و command را انتخاب کنید خواص;

        روی برگه منوی شروعروی دکمه کلیک کنید تنظیم کنید;

        در کادر محاوره ای سفارشی کردن منوی استارتلیست را به آیتم پیمایش کنید ادارهو کادر را علامت بزنید نمایش در همه برنامه ها و منوهای استارت. روی دکمه کلیک کنید باشه. میانبرهای نصب شده توسط Remote Server Administration Tools برای Windows 7 SP1 به لیست اضافه شده است. ادارهمنو شروع کنید.

        نصب مجدد یا حذف ابزارهای مدیریت سرور از راه دور برای Windows 7 SP1

        اگر Remote Administration Tool را از رایانه‌ای که دارای Windows 7 یا Windows 7 Service Pack 1 (SP1) است حذف کرده‌اید، می‌توانید با دنبال کردن مراحل زیر آن را دوباره نصب کنید.

        نصب مجدد ابزارهای مدیریت از راه دور فردی

        1. روی دکمه کلیک کنید شروع کنید، مورد را انتخاب کنید کنترل پنلو کلیک کنید برنامه ها.

        2. در منطقه برنامه ها و کامپوننت هاگزینه را انتخاب کنید ویژگی های ویندوز را روشن یا خاموش کنید.

        3. اگر پنجره User Account Control برای باز کردن یک کادر محاوره ای اجازه می خواهد اجزای ویندوز، دکمه را فشار دهید ادامه دهید.

        4. در کادر محاوره ای اجزای ویندوزعنصر را گسترش دهید ابزارهای مدیریت سرور از راه دور.

        5. ابزارهای مدیریت از راه دوری را که می‌خواهید نصب کنید انتخاب کنید، یا چک باکس‌های ابزارهایی را که می‌خواهید حذف کنید پاک کنید. روی دکمه کلیک کنید باشه.

        حذف کامل Remote Server Administration Tools برای Windows 7 SP1

        باید عضو گروه باشد مدیراندر رایانه ای که می خواهید بسته ابزار مدیریت را حذف کنید یا با استفاده از حساب داخلی به رایانه وارد شوید مدیر.

        می توانید کل بسته ابزار مدیریت را با استفاده از یک برنامه کاربردی از رایانه خود حذف کنید حذف نصب یک برنامهدر کنترل پنل

        حذف نصب بسته ابزار مدیریت

        1. روی دکمه کلیک کنید شروع کنید، مورد را انتخاب کنید کنترل پنل، و سپس در منطقه برنامه هاعنصر کلیک کنید حذف نصب یک برنامه.

        2. روی عنصر کلیک کنید مشاهده به روز رسانی های نصب شده.

        3. یک مورد را انتخاب کنید به روز رسانی مایکروسافت ویندوز (958830).

        4. دکمه را فشار دهید حذف کنید.

مبانی مدیریت دامنه اکتیو دایرکتوری

تعدادی از ابزارهای موجود در کنسول مدیریت مایکروسافت (MMC) کار با Active Directory را آسان‌تر می‌کنند.

تجهیزات کاربران و رایانه های Active Directory(کاربران و رایانه های اکتیو دایرکتوری) یک MMC است که می توانید از آن برای مدیریت و انتشار اطلاعات دایرکتوری استفاده کنید. این ابزار اصلی مدیریتی اکتیو دایرکتوری است و برای انجام کلیه وظایف مربوط به کاربران، گروه ها و رایانه ها و همچنین مدیریت واحدهای سازمانی استفاده می شود. برای راه اندازی snap-in Active Directory Users and Computers، دستوری به همین نام را از منوی Administrative Tools انتخاب کنید.

کاربران و رایانه های Active Directory

به طور پیش فرض، کنسول Active Directory Users and Computers با دامنه ای که رایانه شما به آن تعلق دارد کار می کند. شما می توانید از طریق درخت کنسول به کامپیوتر و اشیاء کاربر در این دامنه دسترسی داشته باشید یا به دامنه دیگری متصل شوید. ابزارهای موجود در همان کنسول به شما امکان می دهند پارامترهای شیء اضافی را مشاهده کرده و آنها را جستجو کنید.

پس از دسترسی به دامنه، مجموعه ای استاندارد از پوشه ها را مشاهده خواهید کرد:

  • پرس و جوهای ذخیره شده – معیارهای جستجوی ذخیره شده که به شما امکان می دهد جستجوی انجام شده قبلی را به سرعت در Active Directory تکرار کنید.
  • B uiltin – لیستی از حساب های کاربری داخلی؛
  • رایانه های C – محفظه پیش فرض برای حساب های رایانه؛
  • Domain Controller – محفظه پیش فرض برای کنترل کننده های دامنه.
  • ForeignSecurityPrincipals - حاوی اطلاعاتی درباره اشیاء از یک دامنه خارجی قابل اعتماد است. به طور معمول، این اشیاء زمانی ایجاد می شوند که یک شی از یک دامنه خارجی به گروه دامنه فعلی اضافه شود.
  • U sers محفظه پیش فرض برای کاربران است.

برخی از پوشه های کنسول به طور پیش فرض نمایش داده نمی شوند. برای نمایش آنها، از منوی View، Advanced Features را انتخاب کنید. اینها پوشه های اضافی هستند:

  • L ostAndFound – مالک گم شده، اشیاء دایرکتوری.
  • N TDS Quotas – داده های سهمیه سرویس دایرکتوری.
  • P rogram Data – داده های ذخیره شده در سرویس دایرکتوری برنامه های مایکروسافت؛
  • سیستم S – پارامترهای سیستم داخلی.

شما می توانید به طور مستقل پوشه هایی را برای واحدهای سازمانی به درخت AD اضافه کنید.

بیایید به مثالی از ایجاد یک حساب کاربری دامنه نگاه کنیم. برای ایجاد یک حساب کاربری، روی محفظه ای که می خواهید حساب کاربری را در آن قرار دهید کلیک راست کرده، از منوی زمینه گزینه New را انتخاب کنید و سپس User را انتخاب کنید. پنجره New Object – User Wizard باز می شود:

  1. نام، حرف اول و نام خانوادگی کاربر را در فیلدهای مربوطه وارد کنید. برای ایجاد نام نمایشی کاربر به این اطلاعات نیاز دارید.
  2. ویرایش کنید نام کامل. باید در دامنه منحصر به فرد باشد و بیش از 64 کاراکتر طول نداشته باشد.
  3. نام ورود خود را وارد کنید از لیست کشویی برای انتخاب دامنه ای که حساب با آن مرتبط می شود استفاده کنید.
  4. در صورت لزوم، نام کاربری ورود به سیستم خود را در سیستم‌هایی که دارای Windows NT 4.0 یا نسخه‌های قبلی هستند، تغییر دهید. به طور پیش فرض، 20 کاراکتر اول نام کامل کاربر به عنوان نام ورود برای سیستم هایی که نسخه های قبلی ویندوز را اجرا می کنند، استفاده می شود. این نام نیز باید در دامنه منحصر به فرد باشد.
  5. روی Next کلیک کنید. یک رمز عبور برای کاربر در نظر بگیرید. تنظیمات آن باید با خط مشی رمز عبور شما مطابقت داشته باشد.
    C onfirm Password – فیلدی که برای تایید صحیح بودن رمز وارد شده استفاده می شود.
    U ser باید رمز عبور را در ورود بعدی تغییر دهد(لازم به تغییر رمز عبور در ورود بعدی) - اگر این کادر علامت زده شود، کاربر باید در ورود بعدی رمز عبور را تغییر دهد.
    U ser نمی تواند رمز عبور را تغییر دهد - اگر این کادر علامت زده شود، کاربر نمی تواند رمز عبور را تغییر دهد.
    رمز عبور هرگز منقضی نمی شود - اگر این کادر انتخاب شود، رمز عبور این حساب هرگز منقضی نمی شود (این تنظیم خط مشی حساب دامنه را لغو می کند).
    یک حساب غیرفعال است - اگر این کادر علامت زده شود، حساب غیرفعال می شود (این گزینه برای غیرفعال کردن موقت استفاده از حساب کاربری مفید است).

حساب‌ها به شما اجازه می‌دهند اطلاعات تماس کاربر و همچنین اطلاعاتی در مورد مشارکت در گروه‌های دامنه مختلف، مسیر نمایه، اسکریپت ورود به سیستم، مسیر پوشه اصلی، فهرست رایانه‌هایی که کاربر مجاز است از آنها وارد دامنه شود و غیره را ذخیره کنید.

اسکریپت های لاگین دستوراتی را تعریف می کنند که هر بار که وارد سیستم می شوید اجرا می شوند. آنها به شما اجازه می دهند زمان سیستم، چاپگرهای شبکه، مسیرهای درایوهای شبکه و غیره را پیکربندی کنید. اسکریپت ها برای اجرای دستورات یک بار استفاده می شوند و تنظیمات محیطی که توسط اسکریپت ها تنظیم شده اند برای استفاده بعدی ذخیره نمی شوند. اسکریپت های ورود می توانند فایل های سرور اسکریپت ویندوز با پسوندهای .VBS، .JS و غیره، فایل های دسته ای با پسوند .BAT، فایل های دسته ای با پسوند .CMD، برنامه هایی با پسوند EXE باشند.

می‌توانید به هر حساب، پوشه اصلی خود را برای ذخیره و بازیابی فایل‌های کاربر اختصاص دهید. اکثر برنامه‌ها به‌طور پیش‌فرض، پوشه اصلی را برای عملیات باز کردن و ذخیره‌سازی فایل باز می‌کنند، و پیدا کردن داده‌های خود را برای کاربران آسان‌تر می‌کنند. در خط فرمان، پوشه خانه دایرکتوری فعلی شروع است. پوشه خانه می تواند بر روی هارد دیسک محلی کاربر یا درایو شبکه مشترک قرار گیرد.

خط مشی های گروه را می توان برای رایانه دامنه و حساب های کاربری اعمال کرد. Group Policy با دادن کنترل متمرکز بر امتیازات، مجوزها و قابلیت های کاربران و رایانه ها، مدیریت را ساده می کند. Group Policy به شما اجازه می دهد:

  • پوشه های ویژه ای با مدیریت مرکزی مانند My Documents ایجاد کنید.
  • کنترل دسترسی به اجزای ویندوز، منابع سیستم و شبکه، ابزارهای کنترل پنل، دسکتاپ و منوی استارت.
  • پیکربندی اسکریپت های کاربر و کامپیوتر برای تکمیل یک کار در زمان مشخص.
  • خط‌مشی‌ها را برای گذرواژه‌ها و قفل‌های حساب، حسابرسی، تکالیف حقوق کاربر و امنیت پیکربندی کنید.

علاوه بر وظایف مدیریت کاربر حساب هاو گروه ها، بسیاری از وظایف مدیریت دامنه دیگر وجود دارد. ابزارها و برنامه های کاربردی دیگر به این منظور خدمت می کنند.

تجهیزات دامنه ها و تراست های Active Directory(Active Directory - domains and trust) برای کار با دامنه ها، درخت های دامنه و جنگل های دامنه استفاده می شود.

تجهیزات سایت ها و خدمات اکتیو دایرکتوری(Active Directory - sites and services) به شما امکان مدیریت سایت ها و زیرشبکه ها و همچنین تکرار بین سایتی را می دهد.

برای مدیریت اشیاء AD، ابزارهای خط فرمان وجود دارد که به شما امکان می دهد طیف گسترده ای از وظایف اداری را انجام دهید:

  • D sadd - رایانه ها، مخاطبین، گروه ها، واحدهای سازمانی و کاربران را به Active Directory اضافه می کند. برای اطلاعات کمک، dsadd / را تایپ کنید؟ مثلا کامپیوتر dsadd/؟
  • D smod – ویژگی های کامپیوترها، مخاطبین، گروه ها، واحدهای سازمانی، کاربران و سرورهای ثبت شده در Active Directory را تغییر می دهد. برای اطلاعات راهنمایی، dsmod / را تایپ کنید؟ به عنوان مثال سرور dsmod /؟
  • D move - یک شی واحد را به یک مکان جدید در یک دامنه منتقل می کند یا یک شی را بدون جابجایی آن تغییر نام می دهد.
  • D sget—ویژگی های رایانه ها، مخاطبین، گروه ها، واحدهای سازمانی، کاربران، سایت ها، زیرشبکه ها و سرورهای ثبت شده در Active Directory را نشان می دهد. برای اطلاعات کمک، dsget / را تایپ کنید؟ به عنوان مثال زیر شبکه dsget /؟
  • D squery – جستجوی کامپیوترها، مخاطبین، گروه ها، واحدهای سازمانی، کاربران، سایت ها، زیرشبکه ها و سرورها در Active Directory بر اساس معیارهای مشخص شده.
بخش ها