مدیریت اکتیو دایرکتوری
ادمین ها زمان زیادی را صرف مدیریت اکتیو دایرکتوری میکنند. من در مورد ابزارها و تکنیکهای در قسمت دوم "مدیریت زیر ساخت اکتیو دایرکتوری" صحبت میکنم، در آنجا به صورت کامل در مورد کار با اکتیو دایرکتوری گفتگو خواهیم کرد .
کار با اکتیو دایرکتوری
وقتی شما با اینستال کردن دومین کنترولرها، domains ها و forests ها را ایجاد کردید، اکتیو دایرکتوری به صورت پیشفرض default اکانتهای یوزر و گروه هایی را خودش ایجاد میکند تا به شما در مدیریت اکتیو دایرکتوری و پیکربندی کنترل دسترسی ها access controls کمک کند. یوزرها و گروه های مهم عبارتند از :
Administrator یک اکانت یوزر پیشفرض default است که بطور وسیع در domain دارای امتیازات privileges و دسترسی access است. به صورت پیشفرض اکانت Administrator برای یک domain در گروه های Administrators ، Domain Admins ، Domain Users ، Enterprise Admins ، Group Policy Creator Owners و Schema Admins عضو میباشد .
Administrators یک گروه محلی local group است که دسترسی کامل اجرایی full administrative access بر روی کامپیوتر منحصر به فرد یا یک domain تک را دارد که بستگی به محل location آن دارد. به این علت که این گروه دارای دسترسی کامل میباشد، شما باید خیلی به این موضوع در زمانی که یک یوزر را به این گروه اضافه میکنید، توجه کنید. برای این که کسی را ادمین یک کامپیوتر محلی local computer یا domain کنیم، تنها کاری که انجام میدهیم این است که یوزر را در این گروه اضافه کنیم. تنها کسانی که عضو گروه Administrators هستند، میتوانند این اکانت account را تغییر دهند. عضو های پیش فرض در این گروه Administrator ، Domain Admins و Enterprise Admins میباشند .
Domain Admins یک گروه global است که برای اداره کردن تمام کامپیوترها در یک domain به شما کمک میکند. اعضای این گروه دارای کنترل بر روی همه کامپیوترهای داخل یک domain را دارا میباشند، به این علت که به صورت پیشفرض آنها عضو گروه Administrators هستند. برای اینکه کسی را ادمین یک domain کنید، آن را عضو این گروه کنید .
Enterprise Admins یک گروه universal است که به شما برای اداره کردن تمام کامپیوترها در یک domain tree یا forest کمک میکند. اعضای این گروه دارای کنترل کامل بر روی همه domains ها در یک forest میباشند. این گروه عضو گروه Administrators در تمام دومین کنترولرهای موجود در forest میباشند. یادتان باشد، این گروه فقط بر روی forest root domain میباشد. اگر میخواهید کسی را به صورت enterprise ادمین کنید، آن را عضو این گروه کنید .
Group Policy Creator Owners یک گروه global میباشد که به شما در مدیریت گروه پالسی Group Policy کمک میکند. اعضای این گروه دارای کنترل مدیریت گروه پالسی در domain را دارند. از آنجا این گروه دارای قابلیت قبل توجهی است، در زمان اضافه کردن یوزر، خوب فکر کنید .
Schema Admins یک گروه global است که به شما در مورد مدیریت Schema اکتیو دایرکتوری کمک میکند. از آن جهت که اعضای این گروه داری قدرت مدیریت Schema اکتیو دایرکتوری میباشند، قبل از اضافه کردن یوزر به این گروه، دقیق فکر کنید . یادتان باشد، این گروه فقط بر روی forest root domain میباشد.
هر زمان که شما با اکتیو دایرکتوری کار میکنید، اطمینان حاصل کنید که با اکانت یوزری که کار میکنید، عضو یکی از این گروه ها که مناسب برای کار شما است، باشد .
ابزارهای اکتیو دایرکتوری برای ادمین ها
شما میتوانید با استفاده از دو ابزار مدیریت گرافیکی graphical و فرمان command ، اکتیو دایرکتوری را مدیریت کنید. ابزارهای گرافیکی ساده ترین را برای این کار میباشند، اما اگر شما در استفاده از فرمان command ماهر هستید، شما اغلب قادر خواهید بود با سرعت بیشتری وظایف مربوطه را انجام دهید. شما هنگامی که فرامین را با کار زمانبندی Task Scheduler استفاده میکنید، شما میتوانید به صورت خودکار این کارها را انجام دهید .
ابزارهای مدیریتی گرافیکی
ابزارهای گرافیکی برای کار با اکتیو دایرکتوری به صورت snap-ins برای کنسول مدیریت مایکروسافت Microsoft Management Console - MMC ارائه میشوند. شما میتوانید به صورت مستقیم این ابزار را در منوی Administrative Tools یا با اضافه کردن در MMC در دسترس داشته باشید. اگر شما از یک کامپیوتر دیگر که دسترسی به دومین ویندوز سرور ۲۰۰۸ دارد استفاده میکنید، این ابزار تا زمانی که آنها را اینستال نکنید، در دسترس شما نیستند. برای داشتن این ابزار میتوانید از قسمت ویزارد Add Feature آنها را اینستال کنید .
Active Directory Domains And Trusts برای مدیریت و نگهداری domains ها، domain trees ها و domain forests ها استفاده میشوند. در شکل ۱۶-۱ میتوانید آن را ببینید .
شکل ۱۶-۱ کنسول Active Directory Domains And Trusts
Active Directory Sites And Services برای مدیریت و نگهداری sites ها و subnets ها استفاده میشوند. در شکل ۱۷-۱ میتوانید آن را ببینید .
شکل ۱۷-۱ کنسول Active Directory Sites And Services
Active Directory Users And Computers برای مدیریت و نگهداری اکانتهای یوزرها Users ، گروه ها Groups و کامپیوترها Computers استفاده میشود. همچنین برای مدیریت و نگهداری OUs ها نیز استفاده میشود. در شکل ۱۸-۱ میتوانید آن را ببینید .
شکل ۱۸-۱ کنسول Active Directory Users And Computers
Active Directory Schema برای دیدن و مدیریت Schema در اکتیو دایرکتوری استفاده میشود. شما با object classes و attributes به صورت جداگانه کار میکنید. در شکل ۱۹-۱ میتوانید آن را ببینید .
شکل ۱۹-۱ کنسول Active Directory Schema
ADSI Edit برای ویرایش رابط های سرویس اکتیو دایرکتوری Active Directory Service Interfaces – ADSI استفاده میشود. این یک ویرایشگر سطح پایین است که به شما اجازه میدهد objects ها و attributes آنها را بطور مستقیم تغییر دهید. در شکل ۲۰-۱ میتوانید آن را ببینید .
شکل ۲۰-۱ کنسول ADSI Edit
در این لحظه که این کتاب نوشته میشود، در ویندوز سرور 2008 R2 کنسول جدیدی به نام مرکز مدیریت اکتیو دایرکتوری Active Directory Administrative Center - ADAC وجود دارد. این کنسول به شما اجازه میدهد که چندین کار مدیریتی در اکتیو دایرکتوری انجام دهید که دلیل آن این است که بصورت یکپارچه میباشد. در پشت این رابط گرافیکی، کنسول ADAC از PowerShell 2.0 استفاده میکند تا کارهای مدیریتی را انجام دهد. شما میتوانید همان فرمان ها را در خود PowerShell 2.0 به صورت مستقیم استفاده کنید .
اگر چه هر یک از این ابزار وظایف مختلفی دارند، اما شما میتوانید برخی از وظایف ویرایش را با استفاده از تکنیکهای مشابه انجام دهید. شما میتوانید :
کشیدن Drag منابع به محل مورد نظر، شما آن objects ها برای تغییر محل انتخاب کرده و کلید چپ ماس را نگه داشته و سپس آن را با حرکت ماس جابجا میکنید .
ویرایش و تنظیم خواص properties چندین منابع، شما objects ها را انتخاب کرده، سپس دگمه سمت راست ماس را کلیک کرده و کاری را که میخواهید انجام دهید، مانند اضافه کردن به گروه Add To Group ، غیر فعال کردن اکانت Disable Account یا خواص Properties را انتخاب میکنید .
اگر میخواهید یک سری از منابع را انتخاب کنید، کلید شیفت Shift key را فشار داده و نگه میداریم، اولین object را کلیک میکنیم و آخرین object را کلیک میکنیم .
اگر میخواهید چندین منابع مختلف را انتخاب کنید، ولی آنها به صورت پشت هم نیستند، شما با فشار دادن و نگه داشتن کلید کنترل Ctrl key و کلیک کردن روی هر object مورد نظر میتوانید این کار را انجام دهید .
توجه: فایروال ویندوز Windows Firewall میتواند مدیریت از راه دور با استفاده از برخی کنسولهای MMC را تحت تاثیر قرار دهد. اگر فایروال ویندوز روی کامپیوتر راه دور remote computer فعال باشد و شما پیغام خطایی دریافت میکنید که حق مناسبی ندارید، مسیر شبکه یافت نمیشود network path isn’t found یا دسترسی مجاز نمیباشد access is denied ، شما احتیاج دارید که بر روی کامپیوتر راه دور پروتکل TCP پورت 445 را پیکربندی کنید. برای حل این مشکل، شما میتوانید از طریق گروه پالسی GPO مربوطه که نام آن Remote Administration Exception میباشد که در مسیر زیر است، آن را فعال کنید .
Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile
برای اطلاعات بیشتر، مقاله شماره 840634 پایگاه دانش مایکروسافت را بخوانید .
http://support.microsoft.com/kb/840634/en-us
ابزار خط فرمان Command-Line
شما همچنین میتوانید اکتیو دایرکتوری را توسط فرامین commands کنترل و مدیریت کنید. فرامینی که شما میتوانید استفاده کنید عبارتند از :
ADPREP این فرمان برای آماده کردن forest و domain برای اینستال کردن دومین کنترولری که دارای ورژن جدید ویندوز سرور است استفاده میشود. فرامین adprep /forestprep یا adprep /domainprep یک forest یا یک domain را آماده میکند. استفاده از فرمان adprep /domainprep /gpprep برای آماده سازی گروه پالسی Group Policy یک domain میباشد .
DSADD این فرمان برای اضافه کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units و یوزرها users به اکتیو دایرکتوری استفاده میشود. برای استفاده فرمان ?/ dsadd objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان :
?/ dsadd computer
DSGET این فرمان برای نشان دادن خواص properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users ، sites ها، subnets ها و servers ها که در اکتیو دایرکتوری ثبت شده اند registered استفاده میشود . برای استفاده فرمان ?/ dsget objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان :
?/ dsget subnet
DSMOD این فرمان برای تغییر خواص modify properties کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users و servers ها که در اکتیو دایرکتوری موجود میباشند، استفاده میشود. برای استفاده فرمان ?/ dsmod objectname را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد، مانند این فرمان :
?/ dsmod server
DSMOVE این فرمان برای جابجایی move یک شی single object به یک محل دیگر در یک domain و یا تغییر نام یک شی rename the object بدون جابجایی استفاده میشود . برای استفاده فرمان ?/ dsmove را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.
DSQUERY این فرمان برای پیدا کردن find کامپیوترها computers ، تماس ها contacts ، گروه ها groups ، واحدهای سازمانی organizational units ، یوزرها users ، sites ها، subnets ها و servers ها در اکتیو دایرکتوری با استفاده از معیارهای جستجو استفاده میشود . برای استفاده فرمان ?/ dsquery را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.
DSRM این فرمان برای حذف یا پاک کردن objects ها در اکتیو دایرکتوری استفاده میشود . برای استفاده فرمان ?/ dsrm را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.
NETDOM این فرمان برای مدیریت domain و trust relationships ها با استفاده از فرمان command استفاده میشود .
NTDSUTIL این فرمان برای مشاهده اطلاعات site ، domain و server استفاده میشود، برای مدیریت رول های operations masters و تعمیر و نگهداری دیتابیس اکتیو دایرکتوری استفاده میشود . برای استفاده فرمان ?/ ntdsutil را تایپ کنید و با این کار به شما اطلاعات کمکی نشان داده خواهد شد.
REPADMIN این فرمان برای مشاهده یا مانیتور کردن و مدیریت عملیات replication استفاده میشود .
کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری