اکتیو دایرکتوری چیست؟ بهترین روش های Active Directory

12.08.2019 خطاها

Active Directory خدمات مدیریت سیستم ها را ارائه می دهد. آنها جایگزین بسیار بهتری برای گروه های محلی هستند و به شما امکان می دهند شبکه های کامپیوتری با مدیریت کارآمد و حفاظت از داده های قابل اعتماد ایجاد کنید.

اگر قبلاً با مفهوم اکتیو دایرکتوری مواجه نشده اید و نمی دانید که چگونه چنین سرویس هایی کار می کنند، این مقاله برای شما مناسب است. بیایید بفهمیم که این مفهوم به چه معناست، مزایای چنین پایگاه های داده چیست و چگونه آنها را برای استفاده اولیه ایجاد و پیکربندی کنیم.

اکتیو دایرکتوری یک راه بسیار راحت برای مدیریت سیستم است. با استفاده از اکتیو دایرکتوری، می توانید به طور موثر داده های خود را مدیریت کنید.

این سرویس ها به شما امکان می دهند یک پایگاه داده واحد ایجاد کنید که توسط کنترل کننده های دامنه مدیریت می شود. اگر صاحب یک کسب و کار هستید، اداره یک دفتر را مدیریت می کنید یا به طور کلی فعالیت های بسیاری از افرادی را که نیاز به اتحاد دارند کنترل می کنید، چنین دامنه ای برای شما مفید خواهد بود.

این شامل تمام اشیاء - رایانه ها، چاپگرها، فکس ها، حساب های کاربری و غیره است. به مجموع دامنه‌هایی که داده‌ها روی آن‌ها قرار دارند، «جنگل» می‌گویند. پایگاه داده اکتیو دایرکتوری یک محیط دامنه است که در آن تعداد اشیاء می تواند تا 2 میلیارد باشد. آیا می توانید این مقیاس ها را تصور کنید؟

یعنی با کمک چنین "جنگل" یا پایگاه داده ای می توانید تعداد زیادی کارمند و تجهیزات را در یک دفتر وصل کنید و بدون اینکه به یک مکان گره بخورید - کاربران دیگر نیز می توانند در خدمات متصل شوند، به عنوان مثال، از یک دفتر شرکت در شهر دیگر.

علاوه بر این، در چارچوب خدمات اکتیو دایرکتوری، چندین دامنه ایجاد و ترکیب می شود - هر چه شرکت بزرگتر باشد، ابزارهای بیشتری برای کنترل تجهیزات آن در پایگاه داده مورد نیاز است.

علاوه بر این، هنگامی که چنین شبکه ای ایجاد می شود، یک دامنه کنترل تعیین می شود، و حتی با حضور بعدی دامنه های دیگر، اصلی هنوز "والد" باقی می ماند - یعنی فقط دسترسی کامل به مدیریت اطلاعات دارد.

این داده ها در کجا ذخیره می شوند و چه چیزی وجود دامنه ها را تضمین می کند؟ برای ایجاد اکتیو دایرکتوری از کنترلرها استفاده می شود. معمولاً دو مورد از آنها وجود دارد - اگر برای یکی اتفاقی بیفتد، اطلاعات در کنترلر دوم ذخیره می شود.

گزینه دیگر برای استفاده از پایگاه داده این است که مثلاً شرکت شما با دیگری همکاری کند و شما مجبور باشید یک پروژه مشترک را انجام دهید. در این حالت، افراد غیرمجاز ممکن است نیاز به دسترسی به فایل‌های دامنه داشته باشند، و در اینجا می‌توانید نوعی "رابطه" بین دو "جنگل" مختلف ایجاد کنید، که امکان دسترسی به اطلاعات مورد نیاز را بدون به خطر انداختن امنیت داده‌های باقی‌مانده فراهم می‌کند.

به طور کلی، اکتیو دایرکتوری ابزاری برای ایجاد پایگاه داده در یک ساختار خاص، صرف نظر از اندازه آن است. کاربران و تمام تجهیزات در یک "جنگل" متحد می شوند، دامنه ها ایجاد می شوند و روی کنترل کننده ها قرار می گیرند.

همچنین توصیه می شود توضیح دهید که سرویس ها فقط می توانند در دستگاه هایی با سیستم سرور ویندوز کار کنند. علاوه بر این، 3-4 سرور DNS روی کنترلرها ایجاد می شود. آنها به منطقه اصلی دامنه سرویس می دهند و اگر یکی از آنها خراب شود، سرورهای دیگر آن را جایگزین می کنند.

پس از مروری کوتاه بر Active Directory for Dummies، طبیعتاً به این سوال علاقه مند هستید - چرا یک گروه محلی را برای کل پایگاه داده تغییر دهید؟ طبیعتاً میدان امکانات در اینجا چندین برابر گسترده تر است و برای اینکه تفاوت های دیگر بین این خدمات برای مدیریت سیستم را دریابیم، اجازه دهید نگاهی دقیق تر به مزایای آنها بیندازیم.

مزایای اکتیو دایرکتوری

مزایای Active Directory عبارتند از:

استفاده از یک منبع واحد برای احراز هویت در این شرایط، باید تمام حساب هایی را که نیاز به دسترسی به اطلاعات عمومی دارند، در هر رایانه شخصی اضافه کنید. هرچه تعداد کاربران و تجهیزات بیشتر باشد، همگام سازی این داده ها بین آنها دشوارتر است.

و بنابراین، هنگام استفاده از خدمات با پایگاه داده، حساب ها در یک نقطه ذخیره می شوند و تغییرات بلافاصله در همه رایانه ها اعمال می شود.

چگونه کار می کند؟ هر کارمند با آمدن به دفتر، سیستم را راه اندازی می کند و به حساب خود وارد می شود. درخواست لاگین به صورت خودکار به سرور ارسال می شود و احراز هویت از طریق آن انجام می شود.

در مورد نظم خاصی در نگهداری سوابق، همیشه می توانید کاربران را به گروه هایی تقسیم کنید - "بخش منابع انسانی" یا "حسابداری".

در این مورد، دسترسی به اطلاعات حتی ساده تر است - اگر نیاز به باز کردن یک پوشه برای کارمندان یک بخش دارید، این کار را از طریق پایگاه داده انجام می دهید. آنها با هم به پوشه مورد نیاز با داده دسترسی پیدا می کنند، در حالی که برای دیگران اسناد بسته می مانند.

کنترل هر شرکت کننده در پایگاه داده

اگر در یک گروه محلی، هر عضو مستقل است و کنترل آن از رایانه دیگری دشوار است، در دامنه ها می توانید قوانین خاصی را تنظیم کنید که با خط مشی شرکت مطابقت دارد.

به عنوان یک مدیر سیستم، می توانید تنظیمات دسترسی و تنظیمات امنیتی را تنظیم کنید و سپس آنها را برای هر گروه کاربری اعمال کنید. به طور طبیعی، بسته به سلسله مراتب، می توان به برخی از گروه ها تنظیمات دقیق تری داد، در حالی که به برخی دیگر می توان به فایل ها و اقدامات دیگر در سیستم دسترسی پیدا کرد.

علاوه بر این، هنگامی که یک فرد جدید به شرکت می پیوندد، رایانه او بلافاصله مجموعه تنظیمات لازم را دریافت می کند که شامل اجزای کار می شود.

تطبیق پذیری در نصب نرم افزار

صحبت از کامپوننت ها شد، با استفاده از Active Directory می توانید چاپگرها را اختصاص دهید، برنامه های لازم را برای همه کارمندان به طور همزمان نصب کنید و تنظیمات حریم خصوصی را تنظیم کنید. به طور کلی، ایجاد یک پایگاه داده به طور قابل توجهی کار را بهینه می کند، امنیت را نظارت می کند و کاربران را برای حداکثر بازده کاری متحد می کند.

و اگر یک شرکت یک ابزار یا خدمات ویژه جداگانه را اجرا کند، می توان آنها را با دامنه ها هماهنگ کرد و دسترسی به آنها را ساده کرد. چگونه؟ اگر تمام محصولات مورد استفاده در شرکت را با هم ترکیب کنید، کارمند برای ورود به هر برنامه نیازی به وارد کردن لاگین و رمزهای عبور متفاوت نخواهد داشت - این اطلاعات رایج خواهد بود.

حال که مزایا و معنای استفاده از اکتیو دایرکتوری مشخص شد، بیایید به روند نصب این سرویس ها بپردازیم.

ما از یک پایگاه داده در ویندوز سرور 2012 استفاده می کنیم

نصب و پیکربندی اکتیو دایرکتوری کار سختی نیست و همچنین ساده تر از آن چیزی است که در نگاه اول به نظر می رسد.

برای بارگذاری خدمات، ابتدا باید موارد زیر را انجام دهید:

نام کامپیوتر را تغییر دهید: روی "شروع" کلیک کنید، کنترل پنل را باز کنید، "سیستم" را انتخاب کنید. "Change settings" را انتخاب کنید و در Properties، روبروی خط "Computer name" روی "Change" کلیک کنید، مقدار جدیدی را برای رایانه اصلی وارد کنید.
در صورت نیاز کامپیوتر خود را مجددا راه اندازی کنید.
تنظیمات شبکه را به صورت زیر تنظیم کنید:
- از طریق کنترل پنل، منوی شبکه ها و اشتراک گذاری را باز کنید.
- تنظیمات آداپتور را تنظیم کنید. روی "Properties" کلیک راست کرده و تب "Network" را باز کنید.
- در پنجره لیست، روی پروتکل اینترنت شماره 4 کلیک کنید، دوباره روی "Properties" کلیک کنید.
- تنظیمات مورد نیاز را وارد کنید، به عنوان مثال: آدرس IP - 192.168.10.252، subnet mask - 255.255.255.0، دروازه اصلی - 192.168.10.1.
- در خط "سرور DNS ترجیحی"، آدرس سرور محلی را در "جایگزین..." - سایر آدرس های سرور DNS مشخص کنید.
- تغییرات خود را ذخیره کنید و پنجره ها را ببندید.

نقش های Active Directory را به این صورت تنظیم کنید:

از طریق Start، Server Manager را باز کنید.
از منو، Add Roles and Features را انتخاب کنید.
جادوگر راه‌اندازی می‌شود، اما می‌توانید از پنجره اول با توضیحات صرف‌نظر کنید.
خط "نصب نقش ها و اجزا" را بررسی کنید، ادامه دهید.
رایانه خود را انتخاب کنید تا Active Directory روی آن نصب شود.
از لیست، نقشی را که باید بارگیری شود انتخاب کنید - در مورد شما "خدمات دامنه اکتیو دایرکتوری" است.
یک پنجره کوچک ظاهر می شود که از شما می خواهد اجزای مورد نیاز برای خدمات را دانلود کنید - آن را بپذیرید.
سپس از شما خواسته می شود اجزای دیگر را نصب کنید - اگر به آنها نیاز ندارید، فقط با کلیک روی "بعدی" از این مرحله رد شوید.
جادوگر راه اندازی پنجره ای با توضیحات سرویس هایی که نصب می کنید نمایش می دهد - بخوانید و ادامه دهید.
لیستی از مؤلفه هایی که قرار است نصب کنیم ظاهر می شود - بررسی کنید که آیا همه چیز درست است و اگر چنین است، دکمه مناسب را فشار دهید.
پس از اتمام فرآیند، پنجره را ببندید.
تمام است - خدمات در رایانه شما بارگیری می شوند.

راه اندازی اکتیو دایرکتوری

برای پیکربندی یک سرویس دامنه باید موارد زیر را انجام دهید:

ویزارد راه اندازی با همین نام را راه اندازی کنید.
روی نشانگر زرد رنگ در بالای پنجره کلیک کنید و "Promote the server to a domain controller" را انتخاب کنید.
روی افزودن جنگل جدید کلیک کنید و نامی برای دامنه ریشه ایجاد کنید، سپس روی Next کلیک کنید.
حالت های عملیاتی "جنگل" و دامنه را مشخص کنید - اغلب آنها با هم مطابقت دارند.
یک رمز عبور ایجاد کنید، اما حتما آن را به خاطر بسپارید. ادامه را ادامه دهید.
پس از این، ممکن است هشداری مبنی بر عدم واگذاری دامنه و اعلان بررسی نام دامنه مشاهده کنید - می توانید از این مراحل صرف نظر کنید.
در پنجره بعدی می توانید مسیر دایرکتوری های پایگاه داده را تغییر دهید - اگر مناسب شما نیستند این کار را انجام دهید.
اکنون همه گزینه هایی را که می خواهید تنظیم کنید می بینید - بررسی کنید که آیا آنها را به درستی انتخاب کرده اید و ادامه دهید.
برنامه بررسی می کند که آیا پیش نیازها برآورده شده اند یا خیر، و اگر نظری وجود ندارد یا انتقادی نیستند، روی "نصب" کلیک کنید.
پس از اتمام نصب، کامپیوتر خود به خود راه اندازی مجدد می شود.

همچنین ممکن است از خود بپرسید که چگونه یک کاربر را به پایگاه داده اضافه کنید. برای انجام این کار، از منوی «کاربران یا رایانه‌های اکتیو دایرکتوری» که در بخش «اداره» در کنترل پنل مشاهده می‌کنید، استفاده کنید یا از منوی تنظیمات پایگاه داده استفاده کنید.

برای افزودن یک کاربر جدید، روی نام دامنه کلیک راست کرده، "Create" و سپس "Division" را انتخاب کنید. پنجره ای در مقابل شما ظاهر می شود که در آن باید نام بخش جدید را وارد کنید - به عنوان پوشه ای عمل می کند که می توانید کاربران را از بخش های مختلف جمع آوری کنید. به همین ترتیب، بعداً چندین بخش دیگر ایجاد خواهید کرد و همه کارمندان را به درستی قرار خواهید داد.

در مرحله بعد، هنگامی که نام بخش را ایجاد کردید، روی آن کلیک راست کرده و "Create" و سپس "User" را انتخاب کنید. اکنون تنها چیزی که باقی می ماند این است که داده های لازم را وارد کرده و تنظیمات دسترسی را برای کاربر تنظیم کنید.

هنگامی که نمایه جدید ایجاد شد، با انتخاب منوی زمینه روی آن کلیک کنید و "Properties" را باز کنید. در تب "حساب"، کادر کنار "Block..." را بردارید. همین.

نتیجه گیری کلی این است که Active Directory یک ابزار مدیریت سیستم قدرتمند و مفید است که به متحد کردن همه رایانه های کارمند در یک تیم کمک می کند. با استفاده از سرویس ها می توانید یک پایگاه داده امن ایجاد کنید و کار و همگام سازی اطلاعات بین تمامی کاربران را به میزان قابل توجهی بهینه کنید. اگر شرکت شما یا هر مکان تجاری دیگری به رایانه ها و شبکه های الکترونیکی متصل است، باید حساب ها را یکپارچه کنید و کار و محرمانگی را زیر نظر داشته باشید، نصب یک پایگاه داده مبتنی بر Active Directory یک راه حل عالی خواهد بود.

اکتیو دایرکتوری

اکتیو دایرکتوری("Active Directories", آگهی) - LDAP-پیاده سازی سازگار از سرویس دایرکتوری شرکت مایکروسافتبرای سیستم عامل های خانوادگی ویندوز NT. اکتیو دایرکتوریبه مدیران اجازه می‌دهد تا از سیاست‌های گروهی برای اطمینان از پیکربندی یکنواخت محیط کار کاربر، استقرار نرم‌افزار بر روی چندین رایانه از طریق خط‌مشی‌های گروهی یا از طریق استفاده کنند. مدیر پیکربندی مرکز سیستم(قبلا سرور مدیریت سیستم های مایکروسافت)، به‌روزرسانی‌های نرم‌افزاری سیستم‌عامل، برنامه‌ها و سرور را با استفاده از سرویس Update بر روی همه رایانه‌های موجود در شبکه نصب کنید ویندوز سرور . اکتیو دایرکتوریداده ها و تنظیمات محیط را در یک پایگاه داده متمرکز ذخیره می کند. شبکه های اکتیو دایرکتوریمی تواند اندازه های مختلفی داشته باشد: از چند ده تا چند میلیون شی.

کارایی اکتیو دایرکتوریدر سال 1999 اتفاق افتاد، محصول برای اولین بار با عرضه شد ویندوز 2000 سرور، و بعداً پس از انتشار اصلاح و بهبود یافت ویندوز سرور 2003. متعاقبا اکتیو دایرکتوریدر بهبود یافته است ویندوز سرور 2003 R2, ویندوز سرور 2008و ویندوز سرور 2008 R2و تغییر نام داد به خدمات دامنه اکتیو دایرکتوری. سرویس دایرکتوری قبلاً فراخوانی شده بود سرویس دایرکتوری NT (NTDS، این نام را هنوز می توان در برخی از فایل های اجرایی یافت.

بر خلاف نسخه ها پنجره هاقبل از ویندوز 2000، که عمدتاً از پروتکل استفاده می کرد NetBIOSبرای ارتباطات شبکه، خدمات اکتیو دایرکتوریادغام شده با DNSو TCP/IP. پروتکل پیش فرض احراز هویت است کربروس. اگر مشتری یا برنامه از احراز هویت پشتیبانی نمی کند کربروس، از پروتکل استفاده می شود NTLM .

دستگاه

اشیاء

اکتیو دایرکتوریساختار سلسله مراتبی متشکل از اشیا دارد. اشیاء به سه دسته اصلی تقسیم می شوند: منابع (مانند چاپگرها)، خدمات (مانند ایمیل) و حساب های کاربری و رایانه. اکتیو دایرکتوریاطلاعاتی در مورد اشیا ارائه می دهد، به شما امکان می دهد اشیاء را سازماندهی کنید، دسترسی به آنها را کنترل کنید، و همچنین قوانین امنیتی را ایجاد کنید.

اشیاء می توانند محفظه هایی برای اشیاء دیگر (گروه های امنیتی و توزیع) باشند. یک شی به طور منحصر به فرد با نام خود شناسایی می شود و دارای مجموعه ای از ویژگی ها - ویژگی ها و داده ها - است که می تواند شامل شود. دومی به نوبه خود به نوع شی بستگی دارد. ویژگی ها اساس ساختار یک شی را تشکیل می دهند و در طرحواره تعریف می شوند. طرح واره تعریف می کند که چه نوع اشیایی می توانند وجود داشته باشند.

خود طرحواره از دو نوع شی تشکیل شده است: اشیاء کلاس طرحواره و اشیاء ویژگی schema. یک شی کلاس طرحواره یک نوع شی را تعریف می کند اکتیو دایرکتوری(مانند یک شی کاربر)، و یک شیء ویژگی طرحواره، مشخصه ای را که شی می تواند داشته باشد، تعریف می کند.

هر شیء ویژگی را می توان در چندین شیء کلاس طرحواره مختلف استفاده کرد. این اشیاء، اشیاء طرحواره (یا ابرداده) نامیده می شوند و به شما اجازه می دهند تا در صورت نیاز طرحواره را تغییر داده و گسترش دهید. با این حال، هر شی طرحواره بخشی از تعاریف شی است اکتیو دایرکتوریبنابراین غیرفعال کردن یا تغییر این اشیا می تواند عواقب جدی داشته باشد، زیرا در نتیجه این اقدامات ساختار تغییر خواهد کرد. اکتیو دایرکتوری. تغییرات در یک شی طرح به طور خودکار به آن منتشر می شود اکتیو دایرکتوری. پس از ایجاد، یک شی طرح را نمی توان حذف کرد، فقط می توان آن را غیرفعال کرد. به طور معمول، تمام تغییرات طرحواره به دقت برنامه ریزی می شوند.

ظرفمشابه هدف - شیبه این معنا که دارای ویژگی‌هایی است و به یک فضای نام تعلق دارد، اما، برخلاف یک شی، یک کانتینر هیچ چیز خاصی را نشان نمی‌دهد: می‌تواند شامل گروهی از اشیا یا ظروف دیگر باشد.

ساختار

سطح بالای ساختار جنگل است - مجموعه ای از تمام اشیاء، ویژگی ها و قوانین (Syntax ویژگی) در اکتیو دایرکتوری. یک جنگل شامل یک یا چند درخت است که توسط گذرا به هم متصل شده اند روابط اعتماد . درخت شامل یک یا چند دامنه است که با روابط اعتماد گذرا نیز به یک سلسله مراتب مرتبط هستند. دامنه ها با ساختار نام DNS آنها - فضاهای نام - شناسایی می شوند.

اشیاء در یک دامنه را می توان در کانتینرها - تقسیم بندی ها گروه بندی کرد. بخش ها به شما این امکان را می دهند که سلسله مراتبی را در یک دامنه ایجاد کنید، مدیریت آن را ساده کنید و به شما امکان می دهد ساختار سازمانی و/یا جغرافیایی یک شرکت را در آن مدل کنید. اکتیو دایرکتوری. بخش ها ممکن است شامل بخش های دیگری باشند. شرکت مایکروسافتتوصیه می کند تا حد امکان از دامنه های کمتری استفاده کنید اکتیو دایرکتوریو از تقسیمات برای ساختار و سیاست ها استفاده کنید. اغلب سیاست های گروهی به طور خاص برای بخش ها اعمال می شود. خط مشی های گروه خود یک شی هستند. تقسیم پایین ترین سطحی است که می توان اختیارات اداری را در آن تفویض کرد.

راه دیگری برای تقسیم اکتیو دایرکتوریهستند سایت های ، که روشی برای گروه بندی فیزیکی (و نه منطقی) بر اساس بخش های شبکه هستند. سایت ها به سایت هایی تقسیم می شوند که از طریق کانال های کم سرعت (به عنوان مثال، از طریق کانال های شبکه جهانی، با استفاده از شبکه های خصوصی مجازی) و از طریق کانال های پرسرعت (مثلاً از طریق یک شبکه محلی) ارتباط دارند. یک وب سایت می تواند شامل یک یا چند دامنه باشد و یک دامنه می تواند شامل یک یا چند وب سایت باشد. هنگام طراحی اکتیو دایرکتوریدر نظر گرفتن ترافیک شبکه ایجاد شده هنگام همگام سازی داده ها بین سایت ها بسیار مهم است.

تصمیم کلیدی طراحی اکتیو دایرکتوریتصمیم برای تقسیم زیرساخت اطلاعاتی به حوزه های سلسله مراتبی و واحدهای سطح بالا است. مدل‌های معمولی که برای چنین جداسازی استفاده می‌شوند، مدل‌های جداسازی بر اساس بخش‌های عملکردی شرکت، موقعیت جغرافیایی و نقش‌ها در زیرساخت اطلاعاتی شرکت هستند. اغلب از ترکیب این مدل ها استفاده می شود.

ساختار فیزیکی و همانند سازی

از نظر فیزیکی، اطلاعات بر روی یک یا چند کنترلر دامنه معادل ذخیره می شود و جایگزین آنهایی می شود که در ویندوز NTکنترل‌کننده‌های دامنه اصلی و پشتیبان، اگرچه یک سرور به اصطلاح «عملیات اصلی واحد» برای برخی عملیات‌ها حفظ می‌شود که می‌تواند یک کنترل‌کننده دامنه اصلی را تقلید کند. هر کنترل کننده دامنه یک کپی خواندن و نوشتن از داده ها نگهداری می کند. تغییرات ایجاد شده در یک کنترلر از طریق تکرار با همه کنترل کننده های دامنه هماهنگ می شود. سرورهایی که خود سرویس روی آنهاست اکتیو دایرکتورینصب نشده اند، اما بخشی از دامنه هستند اکتیو دایرکتوری، سرورهای عضو نامیده می شوند.

همانند سازی اکتیو دایرکتوریدر صورت درخواست انجام می شود. سرویس بررسی کننده سازگاری دانشیک توپولوژی تکرار ایجاد می کند که از سایت های تعریف شده در سیستم برای کنترل ترافیک استفاده می کند. تکرار درون سایتی به طور مکرر و به طور خودکار با استفاده از یک بررسی کننده سازگاری (اطلاع دادن به شرکای تکرار از تغییرات) اتفاق می افتد. تکرار بین سایتی را می توان برای هر کانال سایت پیکربندی کرد (بسته به کیفیت کانال) - یک "امتیاز" (یا "هزینه") متفاوت را می توان به هر کانال اختصاص داد (به عنوان مثال. DS3, , ISDNو غیره)، و ترافیک تکرار بر اساس تخمین پیوند اختصاص داده شده محدود، برنامه ریزی و مسیریابی خواهد شد. اگر «امتیاز» پایین باشد، داده‌های تکراری می‌توانند از طریق پل‌های پیوند سایت به صورت گذرا در چندین سایت جریان پیدا کنند، اگرچه AD به طور خودکار امتیاز کمتری را به پیوندهای سایت به سایت نسبت به پیوندهای انتقالی اختصاص می‌دهد. تکثیر سایت به سایت توسط سرورهای پل در هر سایت انجام می شود، که سپس تغییرات را در هر کنترل کننده دامنه در سایت خود تکرار می کنند. تکثیر درون دامنه از پروتکل پیروی می کند RPCطبق پروتکل IP، interdomain - همچنین می توانید از پروتکل استفاده کنید SMTP.

اگر ساختار اکتیو دایرکتوریشامل چندین دامنه است، برای حل مشکل جستجوی اشیا استفاده می شود کاتالوگ جهانی: یک کنترل کننده دامنه که شامل تمام اشیاء موجود در جنگل است، اما با مجموعه ای محدود از ویژگی ها (یک کپی جزئی). کاتالوگ در سرورهای کاتالوگ جهانی مشخص ذخیره می شود و درخواست های بین دامنه ای را ارائه می دهد.

قابلیت Single Host اجازه می دهد تا زمانی که امکان تکرار چند میزبان وجود ندارد، درخواست ها پردازش شوند. پنج نوع از این عملیات وجود دارد: شبیه‌سازی کنترل‌کننده دامنه اصلی (مشابه‌ساز PDC)، شناسه نسبی اصلی (مستر شناسه نسبی یا اصلی RID)، کارشناسی ارشد زیرساخت (مستر زیرساخت)، استاد طرح (شما استاد)، و استاد نام‌گذاری دامنه (دامنه). جادوگر نامگذاری). سه نقش اول در دامنه منحصر به فرد هستند، دو نقش آخر در کل جنگل منحصر به فرد هستند.

پایه اکتیو دایرکتوریرا می توان به سه فروشگاه منطقی یا "پارتیشن" تقسیم کرد. نمودار یک الگو برای اکتیو دایرکتوریو همه انواع اشیا، کلاس ها و ویژگی های آنها، نحو صفت را تعریف می کند (همه درختان در یک جنگل هستند زیرا طرحواره یکسانی دارند). پیکربندی ساختار جنگل و درختان است اکتیو دایرکتوری. یک دامنه تمام اطلاعات مربوط به اشیاء ایجاد شده در آن دامنه را ذخیره می کند. دو فروشگاه اول به همه کنترل‌کننده‌های دامنه در جنگل کپی می‌شوند، پارتیشن سوم به طور کامل بین کنترل‌کننده‌های replica در هر دامنه و تا حدی به سرورهای کاتالوگ جهانی کپی می‌شود.

نامگذاری

اکتیو دایرکتوریفرمت های نام گذاری اشیاء زیر را پشتیبانی می کند: نام های نوع عمومی UNC, URLو URL LDAP. نسخه LDAPفرمت نامگذاری X.500 به صورت داخلی استفاده می شود اکتیو دایرکتوری.

هر شی دارای نام متمایز (انگلیسی) نام متمایز, DN) . به عنوان مثال، یک شی چاپگر به نام HPLaser3در بازاریابی OU و در دامنه foo.org نام متمایز زیر را خواهد داشت: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , که در آن CN نام رایج است, OU بخش, DC دامنه است کلاس شی نام‌های متمایز می‌توانند بخش‌های بسیار بیشتری نسبت به چهار قسمت در این مثال داشته باشند. اشیا نیز دارای نام های متعارف هستند. اینها اسامی متمایز هستند که به ترتیب معکوس، بدون شناسه و با استفاده از اسلش رو به جلو به عنوان جداکننده نوشته شده اند: foo.org/Marketing/HPLaser3. برای تعریف یک شی در داخل ظرف آن، استفاده کنید نام متمایز نسبی : CN=HPLaser3. هر شیء همچنین دارای یک شناسه منحصر به فرد جهانی است ( GUID) یک رشته 128 بیتی منحصر به فرد و غیرقابل تغییر است که در آن استفاده می شود اکتیو دایرکتوریبرای جستجو و تکرار برخی از اشیاء نیز دارای UPN ( UPN، مطابق با RFC 822) با فرمت object@domain.

ادغام یونیکس

سطوح مختلف تعامل با اکتیو دایرکتوریرا می توان در اکثر موارد اجرا کرد یونیکسسیستم عامل مانند از طریق استاندارد سازگار است LDAPمشتریان، اما چنین سیستم هایی، به عنوان یک قاعده، اکثر ویژگی های مرتبط با اجزا را درک نمی کنند پنجره هامانند سیاست های گروهی و حمایت از وکالتنامه های یک طرفه.

فروشندگان شخص ثالث یکپارچه سازی را ارائه می دهند اکتیو دایرکتوریروی سکوها یونیکس، شامل یونیکس, لینوکس, Mac OS Xو تعدادی از برنامه های کاربردی بر اساس جاوا، با بسته ای از محصولات:

اضافات طرحواره همراه با ویندوز سرور 2003 R2شامل ویژگی هایی است که به اندازه کافی با RFC 2307 مرتبط هستند تا به طور کلی مورد استفاده قرار گیرند. پیاده سازی های اساسی RFC 2307، nss_ldap و pam_ldap، پیشنهاد شده است PADL.com، مستقیماً از این ویژگی ها پشتیبانی می کند. طرح استاندارد برای عضویت گروه از RFC 2307bis (پیشنهاد شده) پیروی می کند. ویندوز سرور 2003 R2شامل کنسول مدیریت مایکروسافت برای ایجاد و ویرایش ویژگی ها.

یک گزینه جایگزین استفاده از سرویس دایرکتوری دیگری است، مانند سرور دایرکتوری 389(قبلا سرور دایرکتوری فدورا, FDS)، eB2Bcom ViewDS نسخه 7.1 دایرکتوری فعال XMLیا سرور دایرکتوری سیستم جاوا Sunاز جانب سان میکروسیستم، که همگام سازی دو طرفه را انجام می دهد اکتیو دایرکتوری، بنابراین هنگامی که مشتریان یکپارچه سازی "بازتاب" را درک می کنند یونیکسو لینوکساحراز هویت می شوند FDS، و مشتریان پنجره هااحراز هویت می شوند اکتیو دایرکتوری. گزینه دیگر استفاده است OpenLDAPبا قابلیت پوشش نیمه شفاف که عناصر سرور راه دور را گسترش می دهد LDAPویژگی های اضافی ذخیره شده در پایگاه داده محلی.

اکتیو دایرکتوریبا استفاده خودکار می شوند پاورشل .

ادبیات

رند موریموتو، کنتون گاردنیر، مایکل نوئل، جو کوکا Microsoft Exchange Server 2003. راهنمای کامل = Microsoft Exchange Server 2003 Unleashed. - M.: "Williams", 2006. - P. 1024. - ISBN 0-672-32581-0

همچنین ببینید

پیوندها

یادداشت

اجزای ویندوز مایکروسافت
پایه ای
خدمات مدیریت
برنامه های کاربردی	مخاطبین DVD Maker فکس و اسکن اینترنت اکسپلوررمجله ذره بین مرکز رسانه ویندوز مدیا پلیر برنامه همکاری Windows Mobile Device Center مرکز تحرکرنگ راوی ویرایشگر نمادهای شخصی کمک از راه دور تشخیص گفتاردفترچه واژگان نوت بوک پنل کناری ضبط صداتقویم ماشین حساب قیچی ایمیل جدول نمادها تاریخی: فیلم ساز جلسه ی اینترنتی Outlook Express مدیر برنامه مدیر فایل البوم عکس
بازی ها
هسته سیستم عامل
خدمات
فایل سیستم های
سرور	اکتیو دایرکتوری خدمات استقرار سرویس تکرار فایلدامنه های DNS تغییر مسیر پوشه Hyper-V IIS Media Services MSMQ حفاظت از دسترسی به شبکه (NAP) خدمات چاپ برای یونیکس فشرده سازی دیفرانسیل از راه دور خدمات نصب از راه دور خدمات مدیریت حقوق پروفایل های کاربر رومینگ شیرپوینت مدیر منابع سیستم دسکتاپ از راه دور WSUS خط مشی گروه هماهنگ کننده معاملات توزیع شده
معماری
ایمنی
سازگاری

مایکروسافت
توسط
نرم افزار سرور
فن آوری ها
اینترنت
بازی ها
سخت افزار امنیت
تحصیلات
صدور مجوز
بخش ها

حاشیه نویسی: این سخنرانی مفاهیم اساسی خدمات دایرکتوری اکتیو دایرکتوری را شرح می دهد. مثال های عملی از مدیریت یک سیستم امنیت شبکه آورده شده است. مکانیسم سیاست های گروه تشریح شده است. هنگام مدیریت زیرساخت خدمات دایرکتوری، بینشی در مورد وظایف مدیر شبکه ارائه می دهد

شبکه های مدرن اغلب از پلتفرم های نرم افزاری مختلف و انواع سخت افزار و نرم افزار تشکیل شده اند. کاربران اغلب مجبور می شوند تعداد زیادی رمز عبور را برای دسترسی به منابع مختلف شبکه به خاطر بسپارند. حقوق دسترسی برای یک کارمند بسته به منابعی که با آنها کار می کند می تواند متفاوت باشد. همه این انبوه روابط به زمان زیادی از مدیر و کاربر برای تجزیه و تحلیل، به خاطر سپردن و یادگیری نیاز دارد.

راه حلی برای مشکل مدیریت چنین شبکه ناهمگنی با توسعه یک سرویس دایرکتوری پیدا شد. خدمات دایرکتوری توانایی مدیریت هر گونه منابع و خدمات را از هر نقطه، صرف نظر از اندازه شبکه، سیستم عامل های مورد استفاده یا پیچیدگی سخت افزار فراهم می کند. اطلاعات کاربر یک بار در سرویس دایرکتوری وارد می شود و پس از آن در سراسر شبکه در دسترس قرار می گیرد. آدرس های ایمیل، عضویت در گروه، حقوق دسترسی لازم و حساب های کاربری برای کار با سیستم عامل های مختلف - همه اینها به طور خودکار ایجاد و به روز می شوند. هر تغییری که توسط یک مدیر در سرویس دایرکتوری ایجاد شود بلافاصله در سراسر شبکه به روز می شود. مدیران دیگر نیازی به نگرانی در مورد کارمندان خاتمه یافته ندارند - به سادگی با حذف حساب کاربری از سرویس دایرکتوری، آنها می توانند اطمینان حاصل کنند که تمام حقوق دسترسی به منابع شبکه که قبلاً به آن کارمند داده شده بود به طور خودکار حذف می شوند.

در حال حاضر، اکثر خدمات دایرکتوری از شرکت های مختلف بر اساس استاندارد است X.500. پروتکلی که معمولاً برای دسترسی به اطلاعات ذخیره شده در خدمات دایرکتوری استفاده می شود (LDAP). با توسعه سریع شبکه های TCP/IP، LDAP در حال تبدیل شدن به استانداردی برای خدمات دایرکتوری و برنامه هایی است که از خدمات دایرکتوری استفاده می کنند.

سرویس دایرکتوری Active Directory اساس ساختار منطقی شبکه های شرکتی مبتنی بر سیستم ویندوز است. عبارت " کاتالوگ"به معنای وسیع به معنای" فهرست راهنما"، آ خدمات دایرکتوریشبکه شرکتی یک فهرست شرکتی متمرکز است. دایرکتوری شرکتی می تواند حاوی اطلاعاتی درباره اشیاء از انواع مختلف باشد. سرویس دایرکتوریاکتیو دایرکتوری در درجه اول شامل اشیایی است که سیستم امنیتی شبکه ویندوز بر اساس آنها است - حساب های کاربر، گروه و رایانه. حساب ها در ساختارهای منطقی سازماندهی می شوند: دامنه، درخت، جنگل، واحدهای سازمانی.

از دیدگاه مطالعه مطالب درس "شبکه سازی" مدیریتگزینه زیر برای گذراندن مطالب آموزشی کاملا امکان پذیر است: ابتدا قسمت اول این بخش (از مفاهیم اولیه تا نصب کنترلرهای دامنه) را مطالعه کنید، سپس به «سرویس فایل و چاپ» بروید و پس از مطالعه «سرویس فایل و چاپ» بروید. برای یادگیری مفاهیم پیشرفته تر خدمات دایرکتوری، به "دایرکتوری خدمات اکتیو دایرکتوری" بازگردید.

6.1 اصطلاحات و مفاهیم اساسی (جنگل، درخت، دامنه، واحد سازمانی). برنامه ریزی فضای نام AD نصب کنترلرهای دامنه

مدل های مدیریت امنیت: مدل گروه کاری و مدل دامنه متمرکز

همانطور که در بالا ذکر شد، هدف اصلی خدمات دایرکتوری مدیریت امنیت شبکه است. اساس امنیت شبکه پایگاه داده ای از حساب های کاربران، گروه های کاربری و رایانه ها است که با کمک آن دسترسی به منابع شبکه کنترل می شود. قبل از اینکه در مورد سرویس دایرکتوری اکتیو دایرکتوری صحبت کنیم، اجازه دهید دو مدل برای ساخت پایگاه داده خدمات دایرکتوری و مدیریت دسترسی به منابع را با هم مقایسه کنیم.

مدل گروه کاری

این مدل مدیریت امنیت شبکه شرکتی ابتدایی ترین است. این برای استفاده در کوچک در نظر گرفته شده است شبکه های همتا به همتا(3-10 کامپیوتر) و بر این اساس است که هر کامپیوتر در شبکه با سیستم عامل های Windows NT/2000/XP/2003 دارای پایگاه داده حساب محلی خود است و با کمک این پایگاه داده محلی به منابع این دسترسی می یابد. کامپیوتر کنترل می شود پایگاه داده محلی حساب ها پایگاه داده نامیده می شود سام (مدیر حساب امنیتی) و در رجیستری سیستم عامل ذخیره می شود. پایگاه داده های رایانه های فردی کاملاً از یکدیگر جدا شده اند و به هیچ وجه به یکدیگر متصل نیستند.

نمونه ای از کنترل دسترسی هنگام استفاده از این مدل در شکل نشان داده شده است. 6.1.

برنج. 6.1.

این مثال دو سرور (SRV-1 و SRV-2) و دو ایستگاه کاری (WS-1 و WS-2) را نشان می دهد. پایگاه های داده SAM آنها به ترتیب SAM-1، SAM-2، SAM-3 و SAM-4 تعیین می شوند (پایگاه های داده SAM به صورت بیضی در شکل نشان داده شده اند). هر پایگاه داده دارای حساب های کاربری User1 و User2 است. نام کامل User1 در سرور SRV-1 "SRV-1\User1" و نام کامل User1 در ایستگاه کاری WS-1 "WS-1\User1" خواهد بود. بیایید تصور کنیم که یک پوشه Folder در سرور SRV-1 ایجاد شده است، که User1 از طریق شبکه به آن دسترسی دارد - خواندن (R)، User2 - خواندن و نوشتن (RW). نکته اصلی در این مدل این است که رایانه SRV-1 چیزی در مورد حساب های رایانه های SRV-2، WS-1، WS-2 و همچنین سایر رایانه های موجود در شبکه نمی داند. اگر کاربری با نام User1 به صورت محلی به سیستم در رایانه وارد شود، به عنوان مثال، WS-2 (یا، همانطور که می گویند، "با نام محلی User1 در رایانه WS-2 وارد می شود")، پس زمانی که تلاش برای دسترسی از این رایانه از طریق شبکه، پوشه پوشه در سرور SRV-1، سرور از کاربر می خواهد نام و رمز عبور را وارد کند (اگر کاربرانی با نام های مشابه رمزهای عبور یکسانی داشته باشند استثناء می شود).

یادگیری مدل Workgroup ساده تر است و نیازی به یادگیری مفاهیم پیچیده اکتیو دایرکتوری نیست. اما هنگامی که در شبکه ای با تعداد زیادی کامپیوتر و منابع شبکه استفاده می شود، مدیریت نام کاربری و رمز عبور آنها بسیار دشوار می شود - باید به صورت دستی حساب های مشابه با رمزهای عبور یکسان در هر رایانه ایجاد کنید (که منابع خود را در شبکه به اشتراک می گذارد. ) که بسیار کار بر است، یا ایجاد یک حساب کاربری برای همه کاربران با یک رمز عبور برای همه (یا بدون رمز عبور)، که سطح امنیت اطلاعات را به شدت کاهش می دهد. بنابراین، مدل Workgroup فقط برای شبکه‌هایی با تعداد رایانه‌های 3 تا 10 (یا بهتر است بگوییم، بیشتر از 5) توصیه می‌شود، به شرطی که در بین همه رایانه‌ها حتی یک رایانه ویندوز سرور وجود نداشته باشد.

مدل دامنه

در مدل دامنه، یک پایگاه داده خدمات دایرکتوری واحد وجود دارد که برای همه رایانه های موجود در شبکه قابل دسترسی است. برای این منظور سرورهای تخصصی بر روی شبکه نصب می شوند که به نام کنترل کننده های دامنه، که این پایگاه داده را روی هارد دیسک های خود ذخیره می کنند. در شکل 6.2. نموداری از مدل دامنه را نشان می دهد. سرورهای DC-1 و DC-2 کنترل‌کننده‌های دامنه هستند؛ آنها پایگاه داده حساب دامنه را ذخیره می‌کنند (هر کنترل‌کننده نسخه‌ای از پایگاه داده خود را ذخیره می‌کند، اما تمام تغییرات ایجاد شده در پایگاه داده روی یکی از سرورها برای کنترل‌کننده‌های دیگر تکرار می‌شود).

برنج. 6.2.

در چنین مدلی، اگر برای مثال، در سرور SRV-1، که عضوی از یک دامنه است، دسترسی مشترک به پوشه Folder فراهم شود، آنگاه حقوق دسترسی به این منبع را می توان نه تنها به حساب های کاربری اختصاص داد. پایگاه داده SAM محلی این سرور، اما مهمتر از همه، به سوابق حساب ذخیره شده در پایگاه داده دامنه. در شکل، حقوق دسترسی به پوشه Folder به یک حساب محلی در رایانه SRV-1 و چندین حساب دامنه (کاربر و گروه کاربر) داده شده است. در مدل مدیریت امنیت دامنه، کاربر در رایانه با خود ثبت نام می کند ("ورود به سیستم"). حساب دامنهو صرف نظر از رایانه ای که ثبت نام روی آن انجام شده است، به منابع شبکه لازم دسترسی پیدا می کند. و نیازی به ایجاد تعداد زیادی حساب محلی در هر کامپیوتر نیست، تمام رکوردها ایجاد شده است یک بار در پایگاه داده دامنه. و با کمک یک پایگاه داده دامنه انجام می شود کنترل دسترسی متمرکزبه منابع شبکه صرف نظر از تعداد کامپیوترهای موجود در شبکه.

هدف از سرویس دایرکتوری اکتیو دایرکتوری

یک دایرکتوری (دایرکتوری) می تواند اطلاعات مختلف مربوط به کاربران، گروه ها، رایانه ها، چاپگرهای شبکه، اشتراک گذاری فایل ها و غیره را ذخیره کند - بیایید همه این اشیاء را فراخوانی کنیم. دایرکتوری همچنین اطلاعات مربوط به خود شی یا ویژگی های آن را که ویژگی نامیده می شود ذخیره می کند. به عنوان مثال، ویژگی‌های ذخیره شده در فهرست راهنمای کاربر می‌تواند نام مدیر، شماره تلفن، آدرس، نام ورود، رمز عبور، گروه‌هایی که به آنها تعلق دارد و موارد دیگر باشد. برای اینکه فروشگاه دایرکتوری برای کاربران مفید باشد، باید خدماتی وجود داشته باشد که با دایرکتوری تعامل داشته باشند. به عنوان مثال، می‌توانید از یک دایرکتوری به‌عنوان مخزن اطلاعاتی استفاده کنید که می‌تواند برای احراز هویت یک کاربر استفاده شود، یا به‌عنوان مکانی که می‌توانید برای یافتن اطلاعات در مورد یک شی، درخواست ارسال کنید.

اکتیو دایرکتوری نه تنها مسئول ایجاد و سازماندهی این اشیاء کوچک است، بلکه مسئولیت اشیاء بزرگ مانند دامنه ها، OU (واحدهای سازمانی) و سایت ها را نیز بر عهده دارد.

در زیر در مورد اصطلاحات اساسی مورد استفاده در زمینه سرویس دایرکتوری اکتیو دایرکتوری بخوانید.

سرویس دایرکتوری Active Directory (به اختصار AD) عملکرد کارآمد محیط های پیچیده شرکتی را با ارائه قابلیت های زیر تضمین می کند:

ورود به سیستم در شبکه; کاربران می توانند با یک نام کاربری و رمز عبور وارد شبکه شده و به تمام منابع و خدمات شبکه (سرویس های زیرساخت شبکه، خدمات فایل و چاپ، سرورهای برنامه و پایگاه داده و غیره) دسترسی داشته باشند.
امنیت اطلاعات. کنترل‌های احراز هویت و دسترسی به منابع که در Active Directory تعبیه شده‌اند، امنیت شبکه متمرکز را فراهم می‌کنند.
مدیریت متمرکز. مدیران می توانند به طور متمرکز تمام منابع شرکت را مدیریت کنند.
مدیریت با استفاده از سیاست های گروهی. هنگامی که یک کامپیوتر بوت می شود یا یک کاربر وارد سیستم می شود، الزامات خط مشی گروه برآورده می شود. تنظیمات آنها در آن ذخیره می شود اشیاء خط مشی گروه( GPO ) و برای همه حساب های کاربری و رایانه واقع در سایت ها، دامنه ها یا واحدهای سازمانی اعمال می شود.
یکپارچه سازی DNS. خدمات دایرکتوری برای عملکرد کاملاً به سرویس DNS بستگی دارد. سرورهای DNS به نوبه خود می توانند اطلاعات ناحیه را در پایگاه داده Active Directory ذخیره کنند.
توسعه دایرکتوری. مدیران می توانند کلاس های شی جدید را به طرح کاتالوگ اضافه کنند یا ویژگی های جدیدی را به کلاس های موجود اضافه کنند.
مقیاس پذیری. سرویس اکتیو دایرکتوری می‌تواند یک دامنه یا چندین دامنه را که در یک درخت دامنه ترکیب می‌شوند را پوشش دهد و یک جنگل می‌تواند از چندین درخت دامنه ساخته شود.
تکثیر اطلاعات. اکتیو دایرکتوری از تکثیر اطلاعات سرویس در یک طرح چندمستر ( چند استاد) که به شما امکان می دهد پایگاه داده اکتیو دایرکتوری را در هر کنترل کننده دامنه تغییر دهید. وجود چندین کنترلر در یک دامنه، تحمل خطا و توانایی توزیع بار شبکه را فراهم می کند.
انعطاف پذیری درخواست کاتالوگ. پایگاه داده Active Directory را می توان برای جستجوی سریع هر شی AD با استفاده از ویژگی های آن (مثلاً نام یا آدرس ایمیل کاربر، نوع چاپگر یا مکان و غیره) استفاده کرد.
رابط های برنامه نویسی استاندارد. برای توسعه دهندگان نرم افزار، سرویس دایرکتوری دسترسی به تمام ویژگی های دایرکتوری را فراهم می کند و از استانداردهای استاندارد صنعتی و رابط های برنامه نویسی (API) پشتیبانی می کند.

طیف گسترده ای از اشیاء مختلف را می توان در اکتیو دایرکتوری ایجاد کرد. یک شی یک موجودیت منحصر به فرد در یک دایرکتوری است و معمولاً دارای ویژگی های بسیاری است که به توصیف و تشخیص آن کمک می کند. حساب کاربری نمونه ای از یک شی است. این نوع شی می تواند دارای ویژگی های بسیاری مانند نام، نام خانوادگی، رمز عبور، شماره تلفن، آدرس و بسیاری موارد دیگر باشد. به همین ترتیب، یک چاپگر اشتراکی نیز می تواند یک شی در اکتیو دایرکتوری باشد و ویژگی های آن نام، مکان و غیره است. ویژگی های شی نه تنها به شما در تعریف یک شی کمک می کند، بلکه به شما امکان می دهد اشیاء را در دایرکتوری جستجو کنید.

واژه شناسی

سرویس دایرکتوریسیستم های ویندوز سرور بر اساس استانداردهای فناوری پذیرفته شده کلی ساخته شده اند. استاندارد اصلی برای خدمات دایرکتوری بود X.500، که برای ساخت دایرکتوری های مقیاس پذیر درخت مانند سلسله مراتبی با قابلیت گسترش هم کلاس های شی و هم مجموعه ای از ویژگی ها (ویژگی ها) هر کلاس جداگانه در نظر گرفته شده بود. با این حال، ثابت شده است که اجرای عملی این استاندارد از نظر عملکرد ناکارآمد است. سپس بر اساس استاندارد X.500، یک نسخه ساده شده (سبک) از استاندارد ساخت دایرکتوری به نام LDAP (پروتکل دسترسی به دایرکتوری سبک وزن). پروتکل LDAP تمام خصوصیات اساسی X.500 (سیستم ساخت دایرکتوری سلسله مراتبی، مقیاس پذیری، توسعه پذیری)، اما در عین حال امکان اجرای کاملاً مؤثر این استاندارد را در عمل فراهم می کند. عبارت " سبک وزن " (" سبک وزن") در نام LDAP هدف اصلی توسعه پروتکل را منعکس می کند: ایجاد یک جعبه ابزار برای ساخت یک سرویس دایرکتوری که دارای قدرت عملکردی کافی برای حل مشکلات اساسی است، اما با فناوری های پیچیده ای که اجرای خدمات دایرکتوری را ناکارآمد می کند، بارگذاری نمی شود. در حال حاضر، LDAP روش استاندارد برای دسترسی به دایرکتوری های آنلاین اطلاعات است و نقش اساسی را در بسیاری از محصولات مانند سیستم های احراز هویت، برنامه های ایمیل و برنامه های کاربردی تجارت الکترونیک. امروزه بیش از 60 سرور LDAP تجاری در بازار وجود دارد که حدود 90 درصد آنها سرورهای دایرکتوری LDAP مستقل هستند و بقیه به عنوان اجزای دیگر برنامه ها ارائه می شوند.

پروتکل LDAP به وضوح محدوده ای از عملیات دایرکتوری را که یک برنامه مشتری می تواند انجام دهد، تعریف می کند. این عملیات به پنج گروه تقسیم می شوند:

ایجاد ارتباط با کاتالوگ؛
جستجوی اطلاعات در آن؛
اصلاح محتوای آن؛
اضافه کردن یک شی؛
حذف یک شی

به جز پروتکل LDAP خدمات دایرکتوریاکتیو دایرکتوری همچنین از پروتکل احراز هویت استفاده می کند کربروسو سرویس DNS برای جستجوی شبکه برای اجزای خدمات دایرکتوری (کنترل کننده های دامنه، سرورهای کاتالوگ جهانی، سرویس Kerberos و غیره).

دامنه

واحد اصلی امنیت اکتیو دایرکتوری است دامنه. دامنه حوزه مسئولیت اداری را تشکیل می دهد. پایگاه داده دامنه شامل حساب‌ها است کاربران, گروه هاو کامپیوترها. اکثر توابع مدیریت خدمات دایرکتوری در سطح دامنه (تأیید هویت کاربر، کنترل دسترسی به منابع، مدیریت سرویس، مدیریت تکرار، سیاست های امنیتی) عمل می کنند.

نام های دامنه اکتیو دایرکتوری به همان روشی که نام ها در فضای نام DNS تشکیل می شوند. و این تصادفی نیست. سرویس DNS وسیله ای برای یافتن اجزای دامنه - در درجه اول کنترل کننده های دامنه است.

کنترل کننده های دامنه- سرورهای ویژه ای که بخشی از پایگاه داده اکتیو دایرکتوری مربوط به یک دامنه معین را ذخیره می کنند. وظایف اصلی کنترل کننده های دامنه:

ذخیره سازی پایگاه داده Active Directory(سازمان دسترسی به اطلاعات موجود در کاتالوگ، از جمله مدیریت این اطلاعات و اصلاح آن)؛
همگام سازی تغییرات در AD(تغییر در پایگاه داده AD را می توان در هر یک از کنترل کننده های دامنه ایجاد کرد، هر تغییری که در یکی از کنترل کننده ها ایجاد شود با کپی های ذخیره شده در کنترل کننده های دیگر همگام سازی می شود).
احراز هویت کاربر(هر یک از کنترل کننده های دامنه اعتبار کاربرانی که در سیستم های مشتری ثبت نام می کنند را بررسی می کند).

اکیداً توصیه می شود که حداقل دو دامین کنترلر در هر دامنه نصب کنید - اولاً برای محافظت در برابر از بین رفتن پایگاه داده اکتیو دایرکتوری در صورت خرابی هر کنترل کننده و دوم اینکه بار را بین controllers.it.company.ru توزیع کنید. یک زیر دامنه dev.it.company.ru وجود دارد که برای بخش توسعه نرم افزار سرویس فناوری اطلاعات ایجاد شده است.

غیرمتمرکز کردن مدیریت خدمات دایرکتوری (مثلاً در مواردی که یک شرکت شعبه هایی دارد که از نظر جغرافیایی از یکدیگر دور هستند و مدیریت متمرکز به دلایل فنی دشوار است).
برای افزایش بهره‌وری (برای شرکت‌هایی که تعداد کاربران و سرورهای زیادی دارند، موضوع افزایش عملکرد کنترل‌کننده‌های دامنه مرتبط است).
برای مدیریت کارآمدتر تکرار (اگر کنترل‌کننده‌های دامنه از یکدیگر دور باشند، ممکن است تکرار در یکی زمان بیشتری طول بکشد و با استفاده از داده‌های همگام‌نشده مشکلاتی ایجاد کند).

دامنه ریشه جنگل

واحدهای سازمانی (OU).

تقسیمات سازمانی (واحدهای سازمانی, OU) - ظروف داخل AD که برای ترکیب اشیاء برای اهداف ایجاد می شوند تفویض حقوق اداریو اعمال سیاست های گروهدر دامنه OP وجود دارد فقط در دامنه هاو می تواند ترکیب شود فقط اشیاء از دامنه شما. OP ها می توانند درون یکدیگر قرار بگیرند، که به شما امکان می دهد یک سلسله مراتب پیچیده درخت مانند از کانتینرها را در یک دامنه بسازید و کنترل اداری انعطاف پذیرتری را پیاده سازی کنید. علاوه بر این، OP می تواند ایجاد شود تا سلسله مراتب اداری و ساختار سازمانی شرکت را منعکس کند.

کاتالوگ جهانی

کاتالوگ جهانییک لیست است همه اشیاء، که در جنگل Active Directory وجود دارد. به طور پیش‌فرض، کنترل‌کننده‌های دامنه فقط حاوی اطلاعاتی درباره اشیاء در دامنه خود هستند. سرور جهانی کاتالوگیک کنترل کننده دامنه است که حاوی اطلاعاتی در مورد هر شی (البته نه همه ویژگی های آن اشیاء) است که در یک جنگل مشخص یافت می شود.

یکی از اجزای اساسی خدمات دامنه در هر سازمان، اصول امنیتی است که کاربران، گروه‌ها یا رایانه‌هایی را که نیاز به دسترسی به منابع خاصی در شبکه دارند، فراهم می‌کنند. این اشیا به نام اصول امنیتی هستند که می‌توانند مجوز دسترسی به منابع در شبکه را داشته باشند و به هر یک از اصلی‌ها یک شناسه امنیتی منحصر به فرد (SID) اختصاص داده می‌شود که از دو بخش تشکیل شده است. شناسه امنیتی SIDیک نمایش عددی است که به طور منحصر به فرد یک اصل امنیتی را شناسایی می کند. اولین بخش از چنین شناسه ای است شناسه دامنه. از آنجا که اصول امنیتی در یک دامنه قرار دارند، به همه این اشیاء یک شناسه دامنه اختصاص داده می شود. بخش دوم SID است شناسه نسبی (RID)، که برای شناسایی منحصر به فرد اصلی امنیتی با توجه به آژانس صادر کننده SID استفاده می شود.

اگرچه اکثر سازمان‌ها یک زیرساخت خدمات دامنه را تنها یک بار برنامه‌ریزی و استقرار می‌دهند، و اغلب اشیا تغییرات بسیار نادری را تجربه می‌کنند، یک استثنای مهم از این قانون اصول امنیتی است که باید به‌طور دوره‌ای اضافه، اصلاح و حذف شوند. یکی از اجزای اساسی شناسایی، حساب های کاربری است. اساساً، حساب‌های کاربری اشیاء فیزیکی هستند، عمدتاً افرادی که کارمندان سازمان شما هستند، اما استثناهایی وجود دارد که حساب‌های کاربری برای برخی از برنامه‌ها به عنوان خدمات ایجاد می‌شوند. حساب های کاربری نقش مهمی در مدیریت شرکت ایفا می کنند. چنین نقش هایی عبارتند از:

شناسه کاربر، از آنجایی که حساب ایجاد شده به شما امکان می دهد دقیقاً با داده هایی که صحت آنها توسط دامنه تأیید می شود وارد رایانه ها و دامنه ها شوید.
مجوزهای دسترسی به منابع دامنه، که بر اساس مجوزهای صریح به یک کاربر اختصاص داده می شود تا به منابع دامنه دسترسی دهد.

اشیاء حساب کاربری از رایج ترین اشیاء در اکتیو دایرکتوری هستند. مدیران باید به حساب‌های کاربری توجه ویژه‌ای داشته باشند، زیرا معمولاً کاربران برای کار در یک سازمان، جابجایی بین بخش‌ها و ادارات، ازدواج، طلاق و حتی ترک شرکت رایج هستند. چنین اشیایی مجموعه ای از ویژگی ها هستند و فقط یک حساب کاربری می تواند بیش از 250 ویژگی مختلف داشته باشد که چندین برابر تعداد ویژگی های ایستگاه های کاری و رایانه های دارای سیستم عامل لینوکس است. هنگامی که یک حساب کاربری ایجاد می کنید، مجموعه محدودی از ویژگی ها ایجاد می شود و سپس می توانید اعتبار کاربری مانند اطلاعات سازمانی، آدرس کاربر، شماره تلفن و موارد دیگر را اضافه کنید. بنابراین، توجه به این نکته ضروری است که برخی از ویژگی ها هستند اجباری، و بقیه - اختیاری. در این مقاله، من در مورد روش‌های کلیدی برای ایجاد حساب‌های کاربری، برخی از ویژگی‌های اختیاری صحبت خواهم کرد و همچنین ابزارهایی را توضیح خواهم داد که به شما امکان می‌دهند اقدامات روتین مرتبط با ایجاد حساب‌های کاربری را خودکار کنید.

ایجاد کاربران با استفاده از Active Directory Users and Computers

در اکثر موارد، مدیران سیستم ترجیح می دهند از Snap-in برای ایجاد اصول امنیتی استفاده کنند که به پوشه اضافه می شود. "مدیریت"بلافاصله پس از نصب نقش "خدمات دامنه اکتیو دایرکتوری"و ارتقاء سرور به کنترل کننده دامنه. این روش راحت ترین است زیرا از یک رابط کاربری گرافیکی برای ایجاد اصول امنیتی استفاده می کند و جادوگر ایجاد حساب کاربری بسیار آسان است. عیب این روش این است که هنگام ایجاد حساب کاربری، نمی توانید بلافاصله اکثر ویژگی ها را تنظیم کنید و باید با ویرایش حساب، ویژگی های لازم را اضافه کنید. برای ایجاد یک حساب کاربری، مراحل زیر را دنبال کنید:

در زمینه "نام"نام کاربری خود را وارد کنید؛
در زمینه "حرف های اولیه"حروف اول او را وارد کنید (اغلب از حروف اول استفاده نمی شود).
در زمینه "نام خانوادگی"نام خانوادگی کاربر ایجاد شده را وارد کنید؛
رشته "نام و نام خانوادگی"برای ایجاد ویژگی های شی ایجاد شده مانند نام مشترک استفاده می شود CNو نمایش مشخصات نام. این فیلد باید در سراسر دامنه منحصر به فرد باشد و به صورت خودکار پر می شود و فقط در صورت لزوم باید تغییر یابد.
رشته "نام ورود کاربر"مورد نیاز است و برای نام ورود به دامنه کاربر در نظر گرفته شده است. در اینجا باید نام کاربری خود را وارد کرده و پسوند UPN را از لیست کشویی انتخاب کنید که بعد از علامت @ قرار می گیرد.
رشته "نام کاربری ورود به سیستم (Pre-Windows 2000)"در نظر گرفته شده برای نام ورود برای سیستم های قبل از سیستم عامل ویندوز 2000. در سال های اخیر، صاحبان چنین سیستم هایی به طور فزاینده ای در سازمان ها نادر شده اند، اما این زمینه مورد نیاز است، زیرا برخی از نرم افزارها از این ویژگی برای شناسایی کاربران استفاده می کنند.

پس از پر کردن تمام فیلدهای مورد نیاز، بر روی دکمه کلیک کنید "به علاوه":

برنج. 2. کادر گفتگوی ایجاد حساب کاربری

در صفحه بعدی ویزارد ایجاد حساب کاربری، باید رمز عبور اولیه کاربر را در فیلد وارد کنید "کلمه عبور"و آن را در فیلد تایید کنید "تائیدیه". علاوه بر این، می توانید یک ویژگی را انتخاب کنید که نشان می دهد اولین باری که کاربر وارد می شود، کاربر باید رمز عبور حساب خود را تغییر دهد. بهتر است از این گزینه در ارتباط با سیاست های امنیتی محلی استفاده کنید "سیاست رمز عبور"، که به شما امکان می دهد پسوردهای قوی برای کاربران خود ایجاد کنید. همچنین با تیک زدن گزینه «منع تغییر رمز عبور کاربر»رمز عبور خود را در اختیار کاربر قرار می دهید و از تغییر آن جلوگیری می کنید. هنگام انتخاب گزینه "رمز عبور منقضی نمی شود"رمز عبور حساب کاربری هرگز منقضی نمی شود و نیازی به تغییر دوره ای نخواهد بود. اگر کادر را علامت بزنید "قطع ارتباط حساب"، پس این حساب برای کار بیشتر در نظر گرفته نمی شود و کاربر با چنین حساب کاربری تا زمانی که فعال نشود نمی تواند وارد شود. این گزینه، مانند اکثر ویژگی ها، در بخش بعدی این مقاله مورد بحث قرار خواهد گرفت. پس از انتخاب تمام ویژگی ها، روی دکمه کلیک کنید "به علاوه". این صفحه جادوگر در شکل زیر نشان داده شده است:

برنج. 3. برای حسابی که در حال ایجاد آن هستید یک رمز عبور ایجاد کنید

در صفحه آخر ویزارد خلاصه ای از تنظیماتی که وارد کرده اید را مشاهده خواهید کرد. اگر اطلاعات به درستی وارد شده است، روی دکمه کلیک کنید "آماده"برای ایجاد یک حساب کاربری و تکمیل ویزارد.

ایجاد کاربران بر اساس قالب ها

به طور معمول، سازمان ها دارای بخش ها یا بخش های زیادی هستند که کاربران شما به آنها تعلق دارند. در این بخش ها، کاربران دارای ویژگی های مشابهی هستند (به عنوان مثال، نام بخش، موقعیت، شماره دفتر و غیره). برای مدیریت مؤثرترین حساب‌های کاربری از یک بخش، به عنوان مثال، با استفاده از خط‌مشی‌های گروه، توصیه می‌شود آنها را در دامنه در بخش‌های ویژه (به عبارت دیگر، کانتینرها) بر اساس الگوها ایجاد کنید. الگوی حساب کاربرییک حساب کاربری است که برای اولین بار در روزهای سیستم عامل ویندوز NT ظاهر شد، که در آن ویژگی های مشترک برای همه کاربران ایجاد شده از قبل پر شده است. برای ایجاد یک قالب حساب کاربری، مراحل زیر را دنبال کنید:

معمول هستند. این برگه برای پر کردن ویژگی های فردی کاربر در نظر گرفته شده است. این ویژگی ها شامل نام و نام خانوادگی کاربر، توضیح کوتاهی برای حساب کاربری، شماره تلفن تماس کاربر، شماره اتاق، آدرس ایمیل و وب سایت است. با توجه به اینکه این اطلاعات برای هر کاربر فردی است، داده های پر شده در این برگه کپی نمی شود.
نشانی. در برگه فعلی می توانید صندوق پستی، شهر، منطقه، کد پستی و کشور محل زندگی کاربران را که بر اساس این الگو ایجاد می شود را پر کنید. از آنجایی که نام خیابان های هر کاربر معمولاً مطابقت ندارد، داده های این فیلد قابل کپی نیست.
حساب. در این تب می‌توانید دقیقاً زمان ورود کاربر، رایانه‌هایی که کاربران می‌توانند وارد آن شوند، پارامترهای حساب مانند ذخیره رمز عبور، انواع رمزگذاری و غیره و همچنین تاریخ انقضای حساب را مشخص کنید.
مشخصات. برگه فعلی به شما امکان می دهد مسیر پروفایل، اسکریپت ورود به سیستم، مسیر محلی پوشه اصلی و همچنین درایوهای شبکه ای را که پوشه اصلی حساب در آن قرار می گیرد، مشخص کنید.
سازمان. در این تب می توانید موقعیت کارکنان، بخشی که در آن کار می کنند، نام سازمان و نام رئیس بخش را مشخص کنید.
اعضای گروه. اینجاست که اعضای اصلی گروه و گروه مشخص می شوند.

اینها برگه های اصلی هستند که هنگام ایجاد الگوهای حساب کاربری پر می کنید. علاوه بر این شش تب، می توانید اطلاعات را در 13 تب نیز پر کنید. بیشتر این تب ها در مقالات بعدی این مجموعه مورد بحث قرار خواهند گرفت.

مرحله بعدی یک حساب کاربری بر اساس الگوی فعلی ایجاد می کند. برای انجام این کار، روی قالب حساب راست کلیک کرده و دستور را از منوی زمینه انتخاب کنید "کپی 🀄";

در کادر محاوره ای "کپی شی - کاربر"نام، نام خانوادگی و نام کاربری کاربر را وارد کنید. در صفحه بعد رمز عبور و تاییدیه خود را وارد کرده و تیک گزینه را بردارید "قطع ارتباط حساب". کار جادوگر را کامل کنید.

برنج. 5. کادر گفتگوی حساب کاربری را کپی کنید

پس از ایجاد حساب کاربری، به ویژگی های حسابی که ایجاد کرده اید بروید و ویژگی هایی را که به قالب اضافه می کنید، مرور کنید. ویژگی های پیکربندی شده در حساب جدید کپی می شوند.

ایجاد کاربران با استفاده از خط فرمان

مانند بسیاری از موارد، سیستم عامل ویندوز دارای ابزارهای خط فرمان با عملکرد رابط کاربری گرافیکی مشابه است. "اکتیو دایرکتوری - کاربران و کامپیوترها". این دستورات دستورات DS نامیده می شوند زیرا با حروف DS شروع می شوند. برای ایجاد اصول امنیتی از دستور استفاده کنید دسد. بعد از خود دستور، اصلاح کننده هایی مشخص می شوند که نوع و نام DN شی را تعیین می کنند. در مورد ایجاد حساب های کاربری، باید اصلاح کننده را مشخص کنید کاربر، که نوع شیء است. بعد از نوع شی، باید نام DN خود شی را وارد کنید. DN (نام متمایز) یک شی یک مجموعه نتیجه است که حاوی نام متمایز است. DN معمولا با نام کاربری UPN یا نام لاگین نسخه های قبلی ویندوز دنبال می شود. اگر در نام DN فاصله وجود دارد، نام باید در گیومه قرار گیرد. دستور دستور به صورت زیر است:

کاربر Dsadd DN_name –samid account_name –UPN_name – رمز عبور pwd – پارامترهای اضافی

41 پارامتر وجود دارد که می توان با این دستور استفاده کرد. بیایید به رایج ترین آنها نگاه کنیم:

-سامید- نام حساب کاربری؛

-بالا– نام کاربری قبل از ویندوز 2000؛

-fn– نام کاربری که در قسمت رابط گرافیکی پر شده است "نام";

-می– حرف اول کاربر؛

-لوگاریتم- نام خانوادگی کاربر، مشخص شده در قسمت "نام خانوادگی" جادوگر ایجاد حساب کاربری؛

-نمایش دادن- نام کاربری کامل را مشخص می کند که به طور خودکار در رابط کاربری ایجاد می شود.

-خالی- کد کارمندی که برای کاربر ایجاد می شود.

-pwd- پارامتر تعیین کننده رمز عبور کاربر. اگر علامت ستاره (*) را مشخص کنید، از شما خواسته می شود که رمز عبور کاربر را در حالت محافظت از دید وارد کنید.

-نزول- توضیح مختصری برای حساب کاربری؛

-عضو- پارامتری که عضویت کاربر در یک یا چند گروه را تعیین می کند.

-دفتر- محل دفتری که کاربر در آن کار می کند. در ویژگی های حساب، این پارامتر را می توان در تب پیدا کرد "سازمان";

-تلفن- شماره تلفن تماس کاربر فعلی؛

-پست الکترونیک- آدرس ایمیل کاربر، که در برگه قابل مشاهده است "معمول هستند";

-خانه- پارامتری که شماره تلفن منزل کاربر را نشان می دهد.

-سیار- شماره تلفن کاربر تلفن همراه؛

-فکس- شماره دستگاه فکس مورد استفاده کاربر فعلی؛

-عنوان- موقعیت کاربر در سازمان؛

-بخش- این پارامتر به شما امکان می دهد نام بخشی را که این کاربر در آن کار می کند مشخص کنید.

-شرکت- نام شرکتی که کاربر ایجاد شده در آن کار می کند.

-حمدیر- دایرکتوری اصلی کاربر که اسناد او در آن قرار می گیرد.

-hmdrv- مسیر درایو شبکه که پوشه اصلی حساب در آن قرار خواهد گرفت

-مشخصات– مسیر پروفایل کاربر؛

-mustchpwd- این پارامتر نشان می دهد که کاربر باید پس از ورود به سیستم رمز عبور خود را تغییر دهد.

-canchpwd- پارامتری که تعیین می کند کاربر باید رمز عبور خود را تغییر دهد یا خیر. اگر مقدار پارامتر باشد "آره"، سپس کاربر فرصتی برای تغییر رمز عبور خواهد داشت.

-reversiblepwd- پارامتر فعلی ذخیره رمز عبور کاربر را با استفاده از رمزگذاری معکوس تعیین می کند.

-pwdnever expires- گزینه ای که نشان می دهد رمز عبور هرگز منقضی نمی شود. در تمام این چهار پارامتر، مقادیر فقط می توانند باشند "آره"یا "نه";

منقضی می شود- پارامتری که تعیین می کند پس از چند روز حساب منقضی می شود. مقدار مثبت نشان دهنده تعداد روزهایی است که حساب منقضی می شود، در حالی که مقدار منفی به این معنی است که قبلاً منقضی شده است.

-معلول- نشان می دهد که حساب قبلاً غیرفعال شده است. مقادیر این پارامتر نیز هستند "آره"یا "نه";

-q- تعیین حالت بی صدا برای پردازش فرمان.

مثال استفاده:

کاربر Dsadd “cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -نمایش "Alexey Smirnov" - تلفن "743-49-62" -ایمیل [ایمیل محافظت شده]-dept Marketing -company TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd بله -غیر فعال نیست

برنج. 6. ایجاد یک حساب کاربری با استفاده از ابزار Dsadd

ایجاد کاربران با استفاده از دستور CSVDE

یکی دیگر از ابزارهای خط فرمان، CSVDE، به شما امکان می دهد اشیاء Active Direcoty را وارد یا صادر کنید، که به عنوان یک فایل cvd ارائه می شود - یک فایل متنی جدا شده با کاما که می تواند با استفاده از پردازشگر صفحه گسترده Microsoft Excel یا ویرایشگر متن ساده Notepad ایجاد شود. در این فایل، هر شی در یک خط نشان داده می شود و باید دارای ویژگی هایی باشد که در خط اول فهرست شده اند. شایان ذکر است که با استفاده از این دستور نمی توانید رمزهای عبور کاربر را وارد کنید، یعنی بلافاصله پس از اتمام عملیات واردات، حساب های کاربری غیرفعال می شوند. نمونه ای از چنین فایلی به شرح زیر است:

برنج. 7. ارسال فایل CSV

دستور دستور به صورت زیر است:

Csvde –i –f filename.csv –k

-من. پارامتری که حالت واردات را کنترل می کند. اگر این پارامتر را مشخص نکنید، این دستور از حالت صادرات پیش‌فرض استفاده می‌کند.
-ف
-k
-v
-j
-u. گزینه ای که به شما امکان می دهد از حالت یونیکد استفاده کنید.

مثال استفاده از دستور:

Csvde -i -f d:\testdomainusers.csv -k

برنج. 8. حساب های کاربری را از یک فایل CSV وارد کنید

وارد کردن کاربران با استفاده از LDIFDE

ابزار خط فرمان Ldifde همچنین به شما امکان می دهد اشیاء اکتیو دایرکتوری را با استفاده از فرمت فایل تبادل اطلاعات پروتکل دسترسی Lightweight Directory Access (LDIF) وارد یا صادر کنید. این فرمت فایل شامل یک بلوک از خطوط است که یک عملیات خاص را تشکیل می دهد. برخلاف فایل‌های CSV، در این فرمت فایل، هر خط مجزا مجموعه‌ای از ویژگی‌ها را نشان می‌دهد و به دنبال آن یک دونقطه و مقدار خود ویژگی فعلی را نشان می‌دهد. درست مانند یک فایل CSV، خط اول باید ویژگی DN باشد. به دنبال آن خط changeType می آید که نوع عملیات (افزودن، تغییر یا حذف) را مشخص می کند. برای یادگیری نحوه درک این فرمت فایل، باید حداقل ویژگی های کلیدی اصول امنیتی را بیاموزید. یک مثال در زیر ارائه شده است:

برنج. 9. نمونه فایل LDF

دستور دستور به صورت زیر است:

Ldifde -i -f filename.csv -k

-من. پارامتری که حالت واردات را کنترل می کند. اگر این گزینه را مشخص نکنید، این دستور از حالت صادرات پیش فرض استفاده می کند.
-ف. پارامتری که نام فایلی که باید وارد یا صادر شود را مشخص می کند.
-k. یک پارامتر طراحی شده برای ادامه واردات، نادیده گرفتن تمام خطاهای ممکن.
-v. پارامتری که با استفاده از آن می توانید اطلاعات دقیق را نمایش دهید.
-j. پارامتر مسئول محل فایل لاگ.
-د. پارامتری که ریشه جستجوی LDAP را مشخص می کند.
-ف. پارامتر در نظر گرفته شده برای فیلتر جستجوی LDAP؛
-پ. دامنه یا عمق جستجو را نشان می دهد.
-l. در نظر گرفته شده برای تعیین لیستی از ویژگی های جدا شده با کاما که در صادرات اشیاء حاصل گنجانده می شود.

ایجاد کاربران با استفاده از VBScript

VBScript یکی از قدرتمندترین ابزارهایی است که برای خودکارسازی وظایف اداری طراحی شده است. این ابزار به شما اجازه می دهد تا اسکریپت هایی را ایجاد کنید که برای خودکارسازی اکثر اقداماتی که می توانند از طریق رابط کاربری انجام شوند طراحی شده اند. اسکریپت های VBScript فایل های متنی هستند که کاربران معمولاً می توانند با استفاده از یک ویرایشگر متن رایج (مانند Notepad) آنها را ویرایش کنند. و برای اجرای اسکریپت ها فقط باید روی خود آیکون اسکریپت دوبار کلیک کنید که با استفاده از دستور Wscript باز می شود. برای ایجاد یک حساب کاربری در VBScript دستور خاصی وجود ندارد، بنابراین ابتدا باید به کانتینر متصل شوید، سپس از کتابخانه آداپتور Active Directory Services Interface (ADSI) با استفاده از عبارت Get-Object استفاده کنید، جایی که شما یک رشته کوئری LDAP را اجرا می کنید. یک نام پروتکل LDAP:// با نام شی DN ارائه می کند. برای مثال، Set objOU=GetObject("LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com"). خط دوم کد متد Create تقسیم را فعال می کند تا یک شی از یک کلاس خاص با یک نام مشخص خاص ایجاد کند، به عنوان مثال، Set objUser=objOU.Create(“user”,”CN= Yuriy Soloviev”). خط سوم شامل متد Put است که باید نام ویژگی و مقدار آن را مشخص کنید. آخرین خط این اسکریپت تغییرات ایجاد شده را تایید می کند، یعنی objUser.SetInfo().

مثال استفاده:

Set objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com” Set objUser=objOU.Create(“user”,”CN= Yuri Solovyov”) objUser. قرار دادن “sAMAccountName” "Yuriy.Soloviev" objUser. "UserPrincipalName" را قرار دهید [ایمیل محافظت شده]"objUser.Put "givenName"،"Yuri" objUser.Put "sn"Soloviev" objUser.SetInfo()

ایجاد کاربران با استفاده از PowerShell

سیستم عامل Windows Server 2008 R2 توانایی مدیریت اشیاء Active Directory را با استفاده از Windows PowerShell معرفی کرد. محیط PowerShell یک پوسته خط فرمان قدرتمند در نظر گرفته می شود که بر اساس Net Framework توسعه یافته و برای مدیریت و خودکارسازی مدیریت سیستم عامل های ویندوز و برنامه هایی که تحت این سیستم عامل ها اجرا می شوند طراحی شده است. PowerShell شامل بیش از 150 ابزار خط فرمان به نام cmdlet است که توانایی مدیریت رایانه های سازمانی را از طریق خط فرمان فراهم می کند. این پوسته جزئی از سیستم عامل است.

برای ایجاد یک کاربر جدید در دامنه اکتیو دایرکتوری، از cmdlet New-ADUser استفاده کنید که بیشتر مقادیر ویژگی آن را می توان با استفاده از پارامترهای این cmdlet اضافه کرد. پارامتر –Path برای نمایش نام LDAP استفاده می شود. این پارامتر کانتینر یا واحد سازمانی (OU) را برای کاربر جدید مشخص می کند. اگر پارامتر Path مشخص نشده باشد، cmdlet یک شی کاربر در محفظه پیش فرض برای اشیاء کاربر در دامنه ایجاد می کند که همان کانتینر Users است. برای تعیین رمز عبور، از پارامتر –AccountPassword با مقدار (Read-Host -AsSecureString "Password for your account") استفاده کنید. همچنین شایان ذکر است که مقدار پارامتر –Country دقیقاً کد کشور یا منطقه زبان انتخاب شده توسط کاربر است. سینتکس cmdlet به شرح زیر است:

New-ADUser [-Name] [-AccountExpirationDate ] [-AccountNotDelegated ] [-رمز عبور حساب کاربری ] [-AllowReversiblePasswordEncryption ] [-AuthType (مذاکره | اساسی)] [-CannotChangePassword ] [-گواهینامه ها ] [-ChangePasswordAtLogon ] [-شهر ] [-شرکت ] [-کشور ] [-اعتبارنامه ] [-بخش ] [-شرح ] [-DisplayName ] [-تقسیم ] [-آدرس ایمیل ] [-EmployeeID ] [-تعداد کارکنان ] [-فعال شد ] [-فاکس ] [-GivenName ] [-HomeDirectory ] [-HomeDrive ] [-صفحه نخست ] [-تلفن منزل ] [-حرف اول ] [-نمونه، مثال ] [-LogonWorkstations ] [-مدیر ] [-تلفن همراه ] [-دفتر ] [-تلفن دفتر ] [-سازمان ] [-سایر ویژگی ها ] [-اسم دیگر ] [-PassThru ] [-PasswordNeverExpires ] [-PasswordNotRequired ] [-مسیر ] [-صندوق پستی ] [-کد پستی ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-سرور ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-حالت ] [-آدرس خیابان ] [-نام خانوادگی ] [-عنوان ] [-TrustedForDelegation ] [-نوع ] [-UserPrincipalName ] [-تأیید] [-WhatIf] [ ]

همانطور که از این نحو می بینید، توضیح همه پارامترها بی فایده است، زیرا آنها با ویژگی های اصلی امنیتی یکسان هستند و نیازی به توضیح ندارند. بیایید به یک مثال استفاده نگاه کنیم:

New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -نام خانوادگی "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU=Marketing,OU=Users,DC=Ctestdomain, " -CannotChangePassword $false -ChangePasswordAtLogon $true -City "Kherson" -State "Kherson" -Country UA -Department "Marketing" -Title "Marketer" -UserPrincipalName "!} [ایمیل محافظت شده]" -آدرس ایمیل " [ایمیل محافظت شده]" -$true -AccountPassword را فعال کرد (Read-Host -AsSecureString "AccountPassword")

برنج. 10. با استفاده از Windows PowerShell یک حساب کاربری ایجاد کنید

نتیجه

در این مقاله با مفهوم اصلی امنیتی و اینکه حساب های کاربری چه نقشی در یک محیط دامنه دارند آشنا شدید. سناریوهای اصلی برای ایجاد حساب های کاربری در دامنه اکتیو دایرکتوری به تفصیل مورد بحث قرار گرفت. شما یاد گرفتید که چگونه با استفاده از Snap-in حساب کاربری ایجاد کنید "اکتیو دایرکتوری - کاربران و کامپیوترها"، با استفاده از الگوها، ابزارهای خط فرمان Dsadd، CSVDE و LDIFDE. همچنین یاد گرفتید که چگونه با استفاده از زبان برنامه نویسی VBScript و پوسته خط فرمان Windows PowerShell حساب کاربری ایجاد کنید.