قلب یک شبکه شرکتی کارآمد یک کنترل کننده دامنه اکتیو دایرکتوری است که بسیاری از خدمات را مدیریت می کند و مزایای زیادی را ارائه می دهد.
دو راه برای ایجاد زیرساخت فناوری اطلاعات وجود دارد - استاندارد و معمولی، زمانی که حداقل تلاش کافی برای حل مشکلات نوظهور، بدون ایجاد یک زیرساخت روشن و قابل اعتماد انجام شود. به عنوان مثال، ایجاد یک شبکه همتا به همتا در سراسر سازمان و به اشتراک گذاری تمام فایل ها و پوشه های لازم، بدون توانایی کنترل اقدامات کاربر.
بدیهی است که این مسیر نامطلوب است، زیرا در پایان شما باید مجموعه ای آشفته از سیستم ها را جدا کرده و به درستی سازماندهی کنید، در غیر این صورت نمی تواند کار کند - و تجارت شما همراه با آن. بنابراین، هر چه زودتر تنها تصمیم درست را برای ایجاد یک شبکه شرکتی با کنترل کننده دامنه بگیرید، در دراز مدت برای کسب و کارتان بهتر است. و به همین دلیل.
دامنه یک واحد اساسی زیرساخت فناوری اطلاعات است که بر اساس سیستم عامل ویندوز، یک ارتباط منطقی و فیزیکی از سرورها، رایانهها، تجهیزات و حسابهای کاربری است.
یک Domain Controller (DC) یک سرور مجزا است که سیستم عامل ویندوز سرور را با سرویسهای Active Directory اجرا میکند، که اجرای تعداد زیادی نرمافزار را که برای مدیریت نیاز به DC دارند، ممکن میسازد. نمونه هایی از این نرم افزارها عبارتند از سرور ایمیل Exchange، مجموعه ابری Office 365 و سایر محیط های نرم افزاری درجه یک شرکت مایکروسافت.
علاوه بر اطمینان از عملکرد صحیح این پلتفرمها، CA مزایای زیر را برای کسبوکارها و سازمانها فراهم میکند:
- استقرار ترمینال سرور... با جایگزینی بهروزرسانیهای مداوم رایانههای شخصی اداری با یک سرمایهگذاری یکباره در میزبانی «تین کلاینتها» برای اتصال به یک سرور ابری قدرتمند، منابع و تلاش قابلتوجهی را ذخیره میکند.
- امنیت تقویت شده... CA به شما امکان می دهد سیاست های ایجاد رمز عبور را تنظیم کنید و کاربران را مجبور کنید از رمزهای عبور پیچیده تر از تاریخ تولد، qwerty یا 12345 استفاده کنند.
- کنترل دسترسی متمرکز... به جای به روز رسانی دستی رمزهای عبور در هر رایانه به طور جداگانه، مدیر CD می تواند به طور مرکزی همه رمزهای عبور را در یک عملیات از یک رایانه تغییر دهد.
- مدیریت خط مشی گروه متمرکز... ابزارهای Active Directory به شما این امکان را می دهند که خط مشی های گروهی ایجاد کنید و حقوق دسترسی به فایل ها، پوشه ها و سایر منابع شبکه را برای گروه های کاربری خاص تنظیم کنید. این کار راه اندازی حساب های کاربری جدید یا تغییر تنظیمات پروفایل های موجود را بسیار ساده می کند.
- ورودی عبوری... اکتیو دایرکتوری از مسیر عبور پشتیبانی می کند، زمانی که کاربر هنگام وارد کردن نام کاربری و رمز عبور خود برای دامنه، به طور خودکار به سایر سرویس ها مانند ایمیل و آفیس 365 متصل می شود.
- ایجاد قالب های پیکربندی کامپیوتر... پیکربندی هر یک از رایانههای شخصی هنگامی که به شبکه شرکتی اضافه میشود را میتوان با استفاده از الگوها خودکار کرد. به عنوان مثال، می توان از قوانین خاصی برای غیرفعال کردن درایوهای CD یا پورت های USB، بستن پورت های شبکه خاص و غیره استفاده کرد. بنابراین، به جای پیکربندی دستی یک ایستگاه کاری جدید، مدیر به سادگی آن را به یک گروه خاص اضافه می کند و تمام قوانین این گروه به طور خودکار اعمال می شود.
همانطور که می بینید، پیکربندی یک کنترلر دامنه اکتیو دایرکتوری مزایا و مزایای بی شماری را برای کسب و کارها و سازمان ها در هر اندازه به ارمغان می آورد.
چه زمانی کنترل کننده دامنه Active Directory را در یک شبکه شرکتی پیاده سازی کنیم؟
توصیه می کنیم زمانی که بیش از 10 کامپیوتر به شبکه متصل هستند، یک کنترل کننده دامنه را برای شرکت خود پیکربندی کنید، زیرا تنظیم خط مشی های لازم برای 10 کامپیوتر بسیار ساده تر از 50 کامپیوتر است. علاوه بر این، از آنجایی که این سرور عملکرد خاصی ندارد. کارهایی که منابع زیادی دارند، یک کامپیوتر رومیزی قدرتمند ممکن است برای این نقش مناسب باشد.
با این حال، مهم است که به یاد داشته باشید که این سرور رمزهای عبور را برای دسترسی به منابع شبکه و پایگاه داده کاربران دامنه، طرح حقوق کاربر و سیاست های گروه ذخیره می کند. لازم است یک سرور پشتیبان با کپی مداوم داده ها مستقر شود تا از تداوم کنترل کننده دامنه اطمینان حاصل شود، و این می تواند با استفاده از مجازی سازی سرور ارائه شده هنگام میزبانی یک شبکه شرکتی در فضای ابری، بسیار سریع تر، آسان تر و قابل اطمینان تر انجام شود. این از مشکلات زیر جلوگیری می کند:
- تنظیمات سرور DNS اشتباه است، که منجر به خطا در مکان یابی منابع در شبکه شرکت و اینترنت می شود
- پیکربندی نادرست گروه های امنیتیمنجر به خطا در حقوق دسترسی کاربر به منابع شبکه می شود
- نسخه های سیستم عامل نادرست... هر نسخه از Active Directory از نسخه های تین کلاینت خاصی از سیستم عامل های دسکتاپ ویندوز پشتیبانی می کند
- غیبتیا تنظیمات اشتباه کپی خودکار داده هابه کنترلر دامنه پشتیبان.
Domain Controller یک کامپیوتر سرور است که یک دامنه را مدیریت می کند و یک نسخه از دایرکتوری دامنه (پایگاه داده دامنه محلی) را ذخیره می کند. از آنجایی که ممکن است چندین کنترل کننده دامنه در یک دامنه وجود داشته باشد، همه آنها یک کپی کامل از بخشی از دایرکتوری متعلق به دامنه خود را حفظ می کنند.
در زیر وظایف کنترلرهای دامنه آورده شده است.
- هر Domain Controller یک کپی کامل از تمام اطلاعات Active Directory مربوط به دامنه خود را نگهداری می کند و تغییرات این اطلاعات را برای کنترلرهای دیگر در همان دامنه مدیریت و تکرار می کند.
- همه کنترلرهای موجود در دامنه به طور خودکار تمام اشیاء موجود در دامنه را بین خود تکرار می کنند. هر تغییری که در اکتیو دایرکتوری ایجاد شود در واقع روی یکی از کنترلرهای دامنه ایجاد می شود. سپس این کنترل کننده دامنه تغییرات را به سایر کنترلرهای داخل دامنه خود تکرار می کند. با تنظیم فرکانس تکرار و میزان داده ای که ویندوز با هر تکرار منتقل می کند، می توانید ترافیک شبکه بین کنترلرهای دامنه را کنترل کنید.
- بهروزرسانیهای مهم، مانند غیرفعال کردن حساب کاربری، بلافاصله توسط کنترلکنندههای دامنه تکرار میشوند.
- اکتیو دایرکتوری از تکثیر مولتی مستر استفاده می کند که در آن هیچ کنترل کننده دامنه اصلی نیست. همه کنترلرها همتا هستند و هر کدام شامل یک کپی از پایگاه داده کاتالوگ است که می توان آن را تغییر داد. در دورههای زمانی کوتاه، اطلاعات موجود در این نسخهها ممکن است متفاوت باشد تا زمانی که همه کنترلکنندهها با یکدیگر همگام شوند.
- وجود چندین کنترلر در یک دامنه، تحمل خطا را فراهم می کند. اگر یکی از کنترلرهای دامنه در دسترس نباشد، دیگری هر گونه عملیات لازم را انجام می دهد، مانند نوشتن تغییرات در Active Directory.
- کنترلکنندههای دامنه، تعاملات دامنه کاربر، مانند یافتن اشیاء Active Directory و شناسایی تلاشهای ورود به شبکه را مدیریت میکنند.
دو نقش اصلی عملیات وجود دارد که میتوان به یک کنترلکننده دامنه در یک جنگل (نقشهای محدود به جنگل) اختصاص داد:
- استاد طرحواره. اولین کنترل کننده دامنه در جنگل، نقش اصلی طرحواره را بر عهده می گیرد و مسئول نگهداری و توزیع طرحواره به بقیه جنگل است. فهرستی از تمام کلاسها و ویژگیهای شی ممکن که اشیایی را که در Active Directory قرار دارند را تعریف میکند، نگهداری میکند. اگر طرحواره نیاز به به روز رسانی یا تغییر داشته باشد، Schema Master مورد نیاز است.
- استاد نامگذاری دامنه. اضافه کردن و حذف دامنه ها را در جنگل ثبت می کند و برای حفظ یکپارچگی دامنه ها حیاتی است. Domain Naming Master زمانی درخواست می شود که دامنه های جدیدی به جنگل اضافه شود. اگر Domain Naming Master در دسترس نباشد، اضافه کردن دامنه های جدید امکان پذیر نیست. با این حال، در صورت لزوم، این نقش می تواند به کنترل کننده دیگری منتقل شود.
سه نقش اصلی عملیات وجود دارد که میتوان به یکی از کنترلکنندههای هر دامنه (نقشهای دامنه) اختصاص داد.
- RID (Relative Identifier (RID) Master). مسئول تخصیص محدوده شناسه های نسبی (RID) به همه کنترل کننده ها در دامنه. SID در ویندوز سرور 2003 دارای دو بخش است. بخش اول برای همه اشیاء در دامنه مشترک است. برای ایجاد یک SID منحصر به فرد، یک RID منحصر به فرد به این قسمت اضافه می شود. آنها با هم، یک شی را منحصر به فرد شناسایی می کنند و محل ایجاد آن را نشان می دهند.
- شبیه ساز کنترل کننده دامنه اولیه (PDC). مسئول شبیهسازی Windows NT 4.0 PDC برای ماشینهای سرویس گیرندهای است که هنوز به Windows 2000، Windows Server 2003 یا Windows XP مهاجرت نکردهاند و سرویس گیرنده دایرکتوری نصب نشدهاند. یکی از وظایف اصلی شبیه ساز PDC ثبت مشتریان قدیمی است. علاوه بر این، در صورت عدم موفقیت در تأیید اعتبار مشتری، با شبیه ساز PDC تماس گرفته می شود. این امر شبیه ساز PDC را قادر می سازد تا گذرواژه های اخیراً تغییر یافته را برای مشتریان قدیمی در دامنه، قبل از رد درخواست ورود بررسی کند.
- استاد زیرساخت. تغییرات ایجاد شده در اشیاء کنترل شده در دامنه را ثبت می کند. همه تغییرات ابتدا به Infrastructure Master گزارش می شود و سپس به سایر کنترلرهای دامنه تکرار می شود. Infrastructure Master اطلاعات گروه و عضویت را برای همه اشیاء در دامنه پردازش می کند. یکی دیگر از وظایف Infrastructure Master این است که اطلاعات مربوط به تغییرات ایجاد شده در اشیاء را به دامنه های دیگر منتقل کند.
برنج. 3.4. توزیع پیشفرض نقشهای اصلی عملیات جنگل
نقش سرور کاتالوگ جهانی (GC) را می توان توسط هر کنترل کننده دامنه فردی در یک دامنه ایفا کرد - یکی از عملکردهای سرور که می تواند به یک کنترل کننده دامنه اختصاص داده شود. سرورهای کاتالوگ جهانی دو هدف مهم را انجام می دهند. آنها کاربران را قادر می سازند تا به شبکه وارد شوند و اشیاء را در هر قسمت از جنگل پیدا کنند. کاتالوگ جهانی شامل زیرمجموعه ای از اطلاعات از هر پارتیشن دامنه است و بین سرورهای کاتالوگ جهانی در دامنه تکرار می شود. هنگامی که کاربر سعی می کند از هر نقطه ای در جنگل وارد شبکه شود یا به منبع شبکه دسترسی پیدا کند، درخواست مربوطه با مشارکت کاتالوگ جهانی حل می شود. یکی دیگر از وظایف کاتالوگ جهانی، که مهم نیست چند دامنه در شبکه خود دارید، مفید است، شرکت در فرآیند احراز هویت زمانی که کاربر به شبکه وارد می شود. هنگامی که کاربر آنلاین می شود، ابتدا نام او با محتوای کاتالوگ جهانی بررسی می شود. این به شما امکان میدهد از رایانههایی در دامنههایی غیر از جایی که حساب کاربری مورد نظر ذخیره شده است، وارد شبکه شوید.
در این پست، روند پیادهسازی اولین کنترلکننده دامنه در یک سازمان را بررسی خواهیم کرد. و در مجموع سه مورد از آنها وجود خواهد داشت:
1) کنترل کننده دامنه اصلی، سیستم عامل - Windows Server 2012 R2 با رابط کاربری گرافیکی، نام شبکه: dc1.
گزینه پیش فرض را انتخاب کنید، روی Next کلیک کنید. سپس پروتکل پیش فرض IPv4 را انتخاب کنید و دوباره روی Next کلیک کنید.
در صفحه بعدی، شناسه شبکه را تنظیم می کنیم. در مورد ما 192.168.0. در قسمت Reverse Lookup Zone Name، خواهیم دید که چگونه آدرس ناحیه جستجوی معکوس به طور خودکار جایگزین می شود. روی Next کلیک کنید.
در صفحه به روز رسانی پویا، یکی از سه گزینه به روز رسانی پویا را انتخاب کنید.
فقط بهروزرسانیهای پویا امن را مجاز کنید.این گزینه فقط در صورتی در دسترس است که منطقه با Active Directory یکپارچه شده باشد.
به روز رسانی پویا غیر ایمن و غیر ایمن را مجاز کنید.این سوئیچ به هر کلاینت اجازه می دهد تا در صورت ایجاد تغییرات، سوابق منابع DNS خود را به روز کند.
به روز رسانی پویا اجازه ندهید.این گزینه به روز رسانی پویا DNS را غیرفعال می کند. فقط در صورتی باید از آن استفاده شود که منطقه با Active Directory یکپارچه نشده باشد.
اولین گزینه را انتخاب می کنیم، روی Next کلیک می کنیم و با کلیک بر روی Finish تنظیمات را تکمیل می کنیم.
یکی دیگر از گزینه های مفیدی که معمولاً در DNS پیکربندی می شود Forwarders یا Forwarders است که هدف اصلی آن کش کردن و تغییر مسیر درخواست های DNS از یک سرور DNS محلی به یک سرور DNS خارجی در اینترنت است، به عنوان مثال، سروری که در ISP قرار دارد. به عنوان مثال، ما می خواهیم رایانه های محلی در شبکه دامنه خود با یک سرور DNS (192.168.0.3) ثبت شده در تنظیمات شبکه، بتوانند به اینترنت دسترسی داشته باشند، لازم است که سرور dns محلی ما برای حل درخواست های dns از بالادست پیکربندی شود. سرور ... برای پیکربندی Forwarders، به کنسول مدیریت DNS بروید. سپس در ویژگی های سرور، به تب Forwarders بروید و در آنجا روی Edit کلیک کنید.
حداقل یک آدرس IP را نشان خواهیم داد. چند مورد مطلوب است. روی OK کلیک کنید.
حالا بیایید سرویس DHCP را پیکربندی کنیم. Snap-in را راه اندازی می کنیم.
ابتدا، بیایید طیف کاری کامل آدرسهایی را که از آن آدرسها برای صدور به مشتریان گرفته میشود، تنظیم کنیم. Action \ New Scope را انتخاب کنید. جادوگر افزودن منطقه شروع می شود. بیایید نام منطقه را تعیین کنیم.
سپس آدرس شروع و پایان محدوده شبکه را نشان خواهیم داد.
در مرحله بعد، آدرس هایی را که می خواهیم از صدور مشتریان حذف کنیم، اضافه می کنیم. روی Next کلیک کنید.
در صفحه Lease Duration، در صورت لزوم، زمان اجاره متفاوتی را با زمان پیشفرض مشخص کنید. روی Next کلیک کنید.
سپس موافقت می کنیم که می خواهیم این گزینه های DHCP را پیکربندی کنیم: بله، اکنون می خواهم این گزینه ها را پیکربندی کنم.
به ترتیب دروازه، نام دامنه، آدرسهای DNS، WINS و skip را نشان میدهیم و در پایان با کلیک کردن روی: بله، اکنون میخواهم این محدوده را فعال کنم، با فعالسازی محدوده موافقت میکنیم. پایان
برای عملکرد ایمن سرویس DHCP، باید یک حساب ویژه را پیکربندی کنید تا به صورت پویا رکوردهای DNS را به روز کند. این کار باید از یک طرف به منظور جلوگیری از ثبت پویا کلاینت ها در DNS با استفاده از حساب مدیریت دامنه و سوء استفاده احتمالی از آن و از طرف دیگر در صورت رزرو سرویس DHCP و خرابی اصلی انجام شود. سرور، امکان انتقال یک نسخه پشتیبان از منطقه به سرور دوم وجود خواهد داشت و این به حساب سرور اول نیاز دارد. برای انجام این شرایط، در اسنپ Active Directory Users and Computers، یک حساب کاربری به نام dhcp ایجاد کنید و با انتخاب گزینه: Password Never Expires، یک رمز عبور نامحدود اختصاص دهید.
یک رمز عبور قوی به کاربر اختصاص دهید و آن را به گروه DnsUpdateProxy اضافه کنید. سپس کاربر را از گروه Domain Users حذف می کنیم، زیرا قبلاً گروه "DnsUpdateProxy" را به کاربر اصلی اختصاص داده ایم. این حساب صرفاً مسئول به روز رسانی پویا رکوردها خواهد بود و به هیچ منبع دیگری که در آن حقوق پایه دامنه کافی است دسترسی نخواهد داشت.
روی Apply و سپس OK کلیک کنید. دوباره کنسول DHCP را باز کنید. در تب Advanced به ویژگی های پروتکل IPv4 بروید.
روی Credentials کلیک کنید و کاربر DHCP ما را در آنجا مشخص کنید.
روی OK کلیک کنید، سرویس را مجددا راه اندازی کنید.
بعداً هنگامی که رزرو سرویس DHCP را پیکربندی میکنیم، به پیکربندی DHCP باز خواهیم گشت، اما برای این کار باید حداقل کنترلکنندههای دامنه را افزایش دهیم.
Domain Controller ها سرورهایی هستند که از Active Directory پشتیبانی می کنند. هر کنترل کننده دامنه دارای کپی مخصوص به خود از پایگاه داده Active Directory است که قابل نوشتن است. کنترل کننده های دامنه به عنوان مولفه امنیتی مرکزی در یک دامنه عمل می کنند.
تمام عملیات امنیتی و بررسی حساب ها بر روی کنترلر دامنه انجام می شود. هر دامنه باید حداقل یک کنترل کننده دامنه داشته باشد. برای استحکام، توصیه می شود حداقل دو کنترلر دامنه برای هر دامنه نصب کنید.
در ویندوز NT، فقط یک کنترلکننده دامنه از نوشتن در پایگاه داده پشتیبانی میکرد، به این معنی که برای ایجاد و تغییر تنظیمات حساب کاربری، اتصال به یک کنترلکننده دامنه مورد نیاز بود.
چنین کنترل کننده ای نامیده شد کنترل کننده دامنه اصلی (PDC)... با شروع سیستم عامل ویندوز 2000، معماری کنترل کننده دامنه مجدداً طراحی شده است تا توانایی به روز رسانی پایگاه داده اکتیو دایرکتوری را در هر کنترل کننده دامنه فراهم کند. پس از به روز رسانی پایگاه داده در یک کنترل کننده دامنه، تغییرات به تمام کنترل کننده های دامنه دیگر تکرار شد.
اگرچه همه کنترل کننده های دامنه از نوشتن در پایگاه داده پشتیبانی می کنند، اما یکسان نیستند. دامنهها و جنگلهای Active Directory وظایفی دارند که توسط کنترلکنندههای دامنه خاص انجام میشوند. کنترل کننده های دامنه با مسئولیت های اضافی به عنوان شناخته می شوند استادان عملیات... برخی از مواد مایکروسافت به چنین سیستم هایی اشاره دارند عملیات منعطف تک استاد (FSMO)... بسیاری از مردم معتقدند که اصطلاح FSMO برای مدت طولانی مورد استفاده قرار گرفته است، زیرا مخفف آن بسیار خنده دار به نظر می رسد.
پنج نقش اصلی عملیات وجود دارد. به طور پیش فرض، هر پنج نقش به اولین کنترل کننده دامنه در جنگل Active Directory اختصاص داده می شود. سه نقش اصلی عملیات در سطح دامنه استفاده می شود و به اولین کنترل کننده دامنه در دامنه ایجاد شده اختصاص داده می شود. ابزارهای Active Directory که بعداً مورد بحث قرار خواهند گرفت، به شما این امکان را می دهند که نقش های اصلی عملیات را از یک کنترل کننده دامنه به کنترل کننده دامنه دیگر منتقل کنید. علاوه بر این، میتوانید کنترلکننده دامنه را مجبور کنید که نقش خاصی را بهعنوان اصلی عملیات بر عهده بگیرد.
دو نقش اصلی عملیات وجود دارد که در سطح جنگل عمل می کنند.
- استاد نام گذاری دامنه- هر بار که تغییرات نامگذاری در سلسله مراتب دامنه جنگل ایجاد می شود، باید با این استادان عملیات مشورت شود. وظیفه استاد نامگذاری دامنه این است که اطمینان حاصل کند که نام دامنه در جنگل منحصر به فرد است. این نقش اصلی عملیات باید هنگام ایجاد دامنه های جدید، حذف دامنه ها یا تغییر نام دامنه ها در دسترس باشد
- استاد طرحواره- نقش اصلی طرحواره متعلق به تنها کنترل کننده دامنه در جنگل است که می توان روی آن تغییرات طرحواره ایجاد کرد. پس از ایجاد تغییرات، آنها به تمام کنترلرهای دامنه دیگر در جنگل کپی می شوند. به عنوان نمونه ای از نیاز به تغییرات طرحواره، نصب محصول نرم افزار Microsoft Exchange Server را در نظر بگیرید. در همان زمان، تغییراتی در این طرح ایجاد می شود که به مدیر اجازه می دهد تا به طور همزمان حساب های کاربری و صندوق های پستی را مدیریت کند.
هر نقش در سطح جنگل می تواند تنها به یک کنترل کننده دامنه در جنگل تعلق داشته باشد. یعنی میتوانید از یک کنترلکننده بهعنوان مستر نامگذاری دامنه و از کنترلکننده دوم بهعنوان Master schema استفاده کنید. علاوه بر این، هر دو نقش را می توان به یک کنترل کننده دامنه اختصاص داد. این توزیع نقش ها به طور پیش فرض استفاده می شود.
هر دامنه در یک جنگل دارای یک کنترل کننده دامنه است که هر یک از نقش های سطح دامنه را انجام می دهد.
- استاد RID- مستر شناسه های نسبی مسئول تخصیص شناسه های نسبی است. شناسه های نسبی بخشی منحصر به فرد از یک شناسه امنیتی (SID) هستند که برای شناسایی یک شی امنیتی (کاربر، رایانه، گروه و غیره) در یک دامنه استفاده می شود. یکی از وظایف اصلی یک Master ID نسبی حذف یک شی از یک دامنه و اضافه کردن یک شی به دامنه دیگر هنگام جابجایی اشیا بین دامنه ها است.
- استاد زیرساخت- مسئولیت همگام سازی عضویت در گروه به عهده مالک زیرساخت است. هنگامی که تغییراتی در ترکیب گروه ها ایجاد می شود، زیرساخت اصلی تغییرات را به همه کنترل کننده های دامنه دیگر منتقل می کند.
- شبیه ساز کنترل کننده دامنه اصلی (شبیه ساز PDC)- این نقش برای شبیه سازی یک کنترل کننده دامنه اصلی ویندوز NT 4 برای پشتیبانی از کنترل کننده های دامنه پشتیبان ویندوز NT 4 استفاده می شود.وظیف دیگر شبیه ساز کنترل کننده دامنه اصلی، ارائه یک نقطه مرکزی مدیریت برای تغییر رمزهای عبور کاربر و سیاست های قفل کاربر است.
کلمه "policies" اغلب در سراسر این بخش برای اشاره به اشیاء خط مشی گروه (GPO) استفاده می شود. GPO ها یکی از اصلی ترین ویژگی های مفید اکتیو دایرکتوری هستند و در مقاله مرتبط در لینک زیر مورد بحث قرار گرفته اند.