Windows Server Active Directory Configuration

[بانو . ./]

.






دیدن ACL یک شیء در اکتیو دایرکتوری . ./

برای دیدن ACL یک شیء کاربر
1-ابزار Active Directory Users and Computers را باز کنید.
2-از منوی View گزینه Advanced Features را انتخاب کنید.
3-بر روی یک شیء کلیک راست کرده و Properties را انتخاب کنید.
4-بر روی برگه Security کلیک کنید.
اگر Advance Features غیر فعال باشد برگه Security در پنجره محاوره Properties اشیاء نمایش داده نمیشود.
5-بر روی کلید Advanced کلیک کنید.
برگه Security یک خلاصه در سطح بالا از مجوزهای اعطا شده به یک Security Principals را نمایش میدهد،اما در مورد ACL های اکتیو دایرکتوری بندرت این برگه توضیحات کافی برای بررسی مجوزها و تغییر در آنها در اختیار شما قرار میدهد.همیشه بهتر است از کلید Advanced استفاده کرده و با استفاده از پنجره محاوره Advanced Security Setting تغییرات مورد نظر خود را اعمال کنید.
برگه Permissions در پنجره محاوره Advanced Security Setting به شما DACL یک شیء را نمایش میدهد.در این پنجره محاوره ACE های درون یک DACL به صورت مجزا نمایش داده نمیشوند.به عنوان مثال در
برای دیدن ACE های یک مجوز به صورت جداگانه بر روی یکی از مجوزهای وارد شده کلیک کرده سپس بر روی کلید Edit کلیک کنید.
پنجره محاوره Permission Entry نمایش داده میشود که جزییات کامل ACE هایی که مجوز وارده شده را درست کرده اند به شما نمایش میدهد.








.

[بانو . ./]

شیء ،خصوصیت و کنترل حق دسترسی. ./

DACL هر شیء امکان اعطای مجوز دسترسی برای خصوصیت خاصی از شیء را در اختیار شما قرار می دهد.شما میتوانید مجوز Allow یا Deny را جهت ایجاد تغییرات در شماره تلفن یا Email اعطا کنید.در حقیقت این فقط یک Property نمیباشد بلکه مجموعه ای از property ها میباشد.Property Set مدیریت اعطای مجوز به مجموعه ای از خصوصیاتی که معمولا با یکدیگر تنظیم میشوند را دراختیار شما قرار میدهد.اما شما در اعطای مجوز به برخی خصوصیات دیگر مانند شماره موبایل و آدرس خیابان منزل میتوانید از مجوزهایی استفاده کنید که دقیقا به یک خصوصیت خاص اعطا میشوند.

از مجوزهای دسترسی میتوان برای کنترل حق دسترسی (Access Right) استفاده کرد. حق دسترسی در حقیقت یکAction میباشد مانند تغییر در رمز عبور یا ریست کردن آن.درک تفاوت بین دو حق دسترسی فوق مهم میباشد از اینرو که اگر شما حق دسترسی Change a Password را داشته باشید باید رمز عبور فعلی را داشته باشید و قبل از تغییر رمز عبور، آن را وارد کنید.اگر شما حق دسترسی Reset a Password را داشته باشید برای ریست کردن رمز عبور نیازی به دانستن رمز عبور فعلی ندارید.

در نهایت مجوزهای دسترسی میتوانند به اشیاء تخصیص داده شوند.به عنوان مثال توانایی تغییردر مجوزهای دسترسی هر شیء با استفاده از Allow::Modify Permissions ACE اعمال می شود.مجوزهای دسترسی شیء ،کنترل ایجاد شیء جدید در درون شیء موجود را نیز مدیریت میکنند. به عنوان مثال شما قصد دارید به تیم پشتیبانی کاربران مجوز ایجاد شیء کامپیوتر در درون واحد سازمانی را اعطا کنید تا بتوانند برای کامپیوترهای دسکتاپ و لپ تاپ ها اکانت جدید ایجاد کنند.با استفاده از اعطای مجوز Allow::Create Computer به تیم پشتیبانی کاربران بر روی شیء واحد سازمانی مورد نظر ،این امکان را فراهم میکنید.

نوع و محدوده عملکرد مجوزهای دسترسی با استفاده از دو برگه کنترل می شود:Object و Properties و لیست کرکره ای Apply To محدوده اعمال شدن مجوزهای دسترسی در هر یک از برگه های فوق را تعیین می کند.

[بانو . ./]

اعطای مجوز دسترسی با استفاده از پنجره محاوره Advanced Security Setting . ./


سناریویی را تصور کنید که در آن شما تصمیم دارید به تیم پشتیبانی شبکه مجوز تغییر رمز عبور کاربر James Fine را اعطا کنید.در این بخش ابتدا با پیچیده ترین روش این کار آشنا میشوید:با اختصاص دادن یک ACE در DACL شیء کاربر.سپس انجام این کار را با استفاده از ویزارد Delegation Of Control بر روی کل واحد سازمانی Users خواهید آموخت و درانتها متوجه میشود چرا استفاده از روش دوم توصیه شده است.
1-Active Directory Users and Computers Snap-in را باز کنید.
2-بر روی منوی View کلیک کرده و سپس Advanced Features را انتخاب کنید.
3-بر روی یک شیء کلیک راست کرده و Properties را اتخاب کنید.
4-بر روی برگه Security کلیک کنید.
5-بر روی کلید Advanced کلیک کنید.
6-بر روی کلید Add کلیک کنید.
7-در پنجره محاوره Select ، هر شییء را که قصد اعطای مجوز به آنرا دارید،انتخاب کنید.
این یکی از مهمترین بهترین تکنیک میباشد که مجوزهای دسترسی را بجای کاربران به طور مجزا به گروه ها اعطا کنید.
به عنوان مثال در این مورد این مجوز را به گروه Help Desk اعطا کنید.
8-بر روی Ok کلیک کنید.
پنجره محاوره Permission Entry نمایش داده میشود.
9-مجوزهای دسترسی را که میخواهید تخصیص دهید ،تنظیم کنید.
برای این تمرین در برگه Object لیست مجوزها را اسکرول کنید و مجوز Allow::Reset Password را انتخاب کنید.
10-با استفاد از کلیک بر روی Ok تمامی پنجره های محاوره را ببندید.



.

[بانو . ./]

.


درک و مدیریت مجوزها با استفاده از قانون وراثت . ./


میتوانید تصور کنید که اعطای مجوز Reset Password به گروه Help Desk برای هر کاربر به صورت مجزا به چه میزان زمان بر میباشد.خوشبختانه شما نیاز ندارید این پروسه وحشتناک و طولانی اعطای مجوز برای هر شیء به صورت مجزا را در اکتیو دایرکتوری انجام دهید.به جای آن شما میتوانید مجوزهای دسترسی را به واحدهای سازمانی تخصیص دهید.مجوز دسترسی که به واحد سازمانی اختصاص داده میشود توسط تمام اشیاء موجود در واحد سازمانی به ارث برده میشوند.بنابراین اگر شما مجوز Reset Password کاربران را به گروه Help Desk بدهید و این مجوز را به واحد سازمانی تخصیص دهید تمامی اشیاء کاربر موجود در آن واحد سازمانی این مجوز را به ارث میبرند و آن را به خود اختصاص می دهند.با استفاده از تنها یک مرحله میتوان این وظیفه مدیریتی را محول کرد.

درک مفهوم ارث بری بسیار ساده میباشد.اشیاء Child مجوزهای دسترسی خود را از دربرگیرنده ها یا واحدهای سازمانی Parent به ارث میبرند.اگر این این دربرگیرنده یا واحدهای سازمانی خود از دسته واحدهای سازمانی یا دربرگیرنده های سطح اول باشند از خود دامین ارث بری میکنند.دلیل وجود این قانون این است که هر شیءجدید ایجاد شده در درون یک دربرگیرنده یا واحد سازمانی دارای یک سری از مجوزهای دسترسی به همراه خود باشد.میتوانید این موضوع را درتصویر 2-16 ملاحظه کنید.

اما به یاد داشته باشید که این گزینه تنها باعث میشود که مجوزهایی که توسط خود دربرگیرنده یا واحدسازمانی به ارث برده شده اند به اشیاء درون آنها به ارث داده شود.تمامی مجوزهای دسترسی به ارث برده نمی شوند برای مثال مجوز دسترسی Reset Password توسط گروه های موجود در واحد سازمانی یا دربرگیرنده ها به ارث برده نمی شوند به این دلیل که شیء گروه ویژگی Password را ندارد.رمز عبور فقط درباره شیء کاربر ،کاربرد دارد نه درباره گروه.همچنین شما میتوانید از جعبه Apply To محدوده ارث بری مجوزهای دسترسی را مشخص کنید.در اینجا توضیحات شروع به پیچیده شدن کرده است.تنها چیزی که باید بدانید این است که به صورت پیش فرض تمامی اشیاء جدید مجوزهای دسترسی قابل ارث بری را از دربرگیرنده یا واحد سازمانی که در آن ایجاد شده اند به ارث می برند.

اگر مجوزهای دسترسی به ارث برده شده مورد نظر شما نباشد و بخواهید در آنها تغییراتی ایجاد کنید با استفاده از دو راه میتوانید در مجوزهای دسترسی به ارث برده شده تغییراتی ایجاد کنید.نخست میتوانید ارث بری را غیر فعال کنید برای این کار به پنجره Properties شیء رفته سپس به برگه Advanced Security Setting بروید و گزینه Include Inheritable Permission From This Object Parent را در حالت غیر انتخاب شده قرار دهید.زمانی که این کار را انجام دهید یک شیء ،دیگر مجوزهای دسترسی شیء Parent خود را به ارث نمیبرد.از این پس هر مجوزی که به شیء بدهید فقط برای همان شیء به صورت جداگانه تنظیم خواهد شد.این تکنیک مناسبی نمیباشد از اینرو که در ارث بری،قوانین جدید ایجاد شده در سطح دربرگیرنده Parent استثنا ایجاد میکند.

گزینه دوم در عین اعطای اجازه ارث بری میتوان مجوزهای جدید ایجاد شده در سطح شیء Child را به مجوزهای تخصیص داده شده در سطح Parent اولویت داد و یک Explicit Permission ایجاد کرد.در حقیقت تمامی Explicit Permission ها به مجوزهای به ارث برده شده توسط شیء اولویت داده میشوند.این موضوع یک مفهوم مهم میباشد از اینرو که یک Explicit Permission که اجازه انجام یک کار را میدهد بر مجوز به ارث برده شده که اجازه انجام همان کار نمیدهد ،اولویت پیدا خواهد کرد.اگر فکر میکنید که منطق این کار برای شما غیر قابل درک میباشد باید بدانید که نیست.مجوز Deny توسط Parent معین شده است اما Child به صورت یک استثنا تنظیم شده است.




.

[بانو . ./]

.

اعطای نمایندگی جهت انجام وظایف مدیریتی با استفاده از ویزارد Delegation Of Control . ./


با پیچیدگی کار کردن با DACL ها آشنا شدید و متوجه شدید که مدیریت مجوزهای دسترسی با از این سو و آن سو جمع کردن مجوزها در جعبه محاوره Permission Entry کار ساده ای نمی باشد.خوشبختانه بهترین تکنیک مدیریت مجوزها بجای استفاده از رابط امنیتی از ویزارد Delegation Of Control استفاده میکند.
دستور العمل ذیل جزییات استفاده از این ویزارد را در اختیار شما قرار میدهد.
1-Active Directory Users and Computers Snap-in را باز کنید.
2-بر روی گره دامین یا واحد سازمانی که در مورد انجام وظایف مدیریتی یا کنترل بر روی آن قصد اعطای نمایندگی را دارید ،کلیک راست کرده و Delegate Control را انتخاب کنید.
در این مورد واحد سازمانی را انتخاب کنید که کاربران شما در آن قرار دارند.
ویزارد Delegation Of Control نمایش داده میشود تا شما را برای انجام بقیه مراحل راهنمایی کند.
3-بر روی Next کلیک کنید.
ابتدا باید گروه مدیریتی را انتخاب کنید که قصد دارید امتیازاتی را به آنها اعطا کنید.
4-در صفحه Users or Groups بر روی کلید Add کلیک کنید.
5-با استفاده از پنجره محاوره Select ،گروه مورد نظر را انتخاب کرده و بر روی Ok کلیک کنید.
6-بر روی Next کلیک کنید.
پس از این شما وظیفه خاصی را مشخص میکنید که میخواهید به عهده گروه مورد نظر گذاشته شود.
7-در صفحه Task To Delegate بر روی Task کلیک کنید.
در این مورد شما گزینه Reset User Password and Force Password Change at Next Logon را انتخاب کنید.
8-بر روی Next کلیک کنید.
9-خلاصه وضعیت کارهای انجام شده را بررسی کرده و بر روی Finish کلیک کنید.
ویزارد Delegation Of Control میتواند ACE هایی که را لازم باشد تخصیص دهد تا گروه مورد نظر بتواند وظایف تعیین شده را انجام دهد.



.

[بانو . ./]

.

گزارش دهی و دیدن مجوزها . ./

برای زمانی که قصد دارید ببینید که چه کسی حق دارد چه کاری را با استفاده از مجوزهای دسترسی انجام دهد راه های مختلفی وجود دارد.پیش از این دیدید که میتوانید این مجوزها را بر روی DACL با استفاده از Advanced Security Setting و جعبه محاوره Permission Entry مشاهده کنید.

Dsacls.exeنیز به عنوان یک ابزار تحت Command Prompt در اختیار شما میباشد که میتواند درباره اشیاء موجود در اکتیو دایرکتوری به شما گزارش دهی کند.اگر در ادامه فرمان آدرس DN یک شیء را وارد کنید گزارشی از مجوزهای دسترسی اعمال شده بر روی شیء را مشاهده می کنید.به عنوان مثال دستور ذیل گزارشی از مجوزهای دسترسی تخصیص داده شده به واحد سازمانی People را ارائه می کند:

Dsacls.exe “ou=People,dc=contoso,dc=com”

همچنین از Dsacls میتوان برای تنظیم کردن مجوزهای دسترسی جهت اعطای نمایندگی استفاده نمود. برای دیدن نحوه ترکیبات مختلف و روش استفاده از این دستور در Command Prompt تایپ کنید dsacls.exe /?.


.

[بانو . ./]

.

حذف یا ریست کردن مجوزهای دسترسی یک شیء . ./

چگونه مجوزهایی را که برای آنها اعطای نمایندگی کرده اید حذف یا ریست میکنید؟متاسفانه فرمانی برای بازپس گیری نمایندگی وجود ندارد.شما باید از Advanced Security Setting و جعبه محاوره Permission Entry برای حذف کردن مجوزهای دسترسی استفاده کنید.اگر قصد دارید مجوزهای دسترسی یک شیء را به حالت پیش فرض ریست کنید،جعبه محاوره Advanced Security Setting را باز کرده و بر روی Restore Defaults کلیک کنید.مجوزهای عبور پیش فرض توسط Schema در اکتیو دایرکتوری برای کلاسهای مختلف اشیاء تعیین میشوند.پس از برگرداندن وضعیت به حالت پیش فرض میتوانید مجددا Explicit Permission هایی را که میخواهید به DACL اضافه کنید.

Dsacls نیز با استفاده از سوییچ/s میتواند مجوزهای دسترسی را به حالت پیش فرض Schema برگرداند و سوییچ/t میتواند کل درخت یعنی خود شیء و کلیه اشیاء درون آن را به حالت پیش فرض برگرداند.به عنوان مثال برای ریست کردن مجوزهای دسترسی واحد سازمانی People و تمامی واحدهای سازمانی و اشیاء درون آن میتوانید تایپ کنید:

Dsacls “ou=people,dc=contoso,dc=com” /resetDefaultDACL

.

[بانو . ./]

.

فهمیدن مجوزهای دسترسی موثر . ./

مجوزهای دسترسی موثر یا Effective Permission نتیجه اعمال شدن مجموع مجوزهای دسترسی تخصیص داده شده در سطوح مختلف به یک عامل امنیتی یا Security Principal میباشد.مانند یک کاربر یا یک گروه که مجوزهای دسترسی به این اشیاء بر اساس تاثیرات جمع شونده تمامی مجوزهای به ارث برده شده و Explicit ACE ها میباشد.برای مثال شما میتوانید رمز عبور یک کاربر را ریست کنید به این دلیل که عضو گروهی میباشید که بر روی یک واحد سازمانی چند مرحله بالاتر از موقعیت فعلی کاربر، مجوز Reset Password به آن اعطا شده است.نتیجه مجوزهایی که به گروهی که شما عضو آن هستید اعطا شده است و توسط واحد سازمانی که کاربر مورد نظر در آن میاشد به ارث برده شده اند،باعث میشود شما مجوز دسترسی موثر Allow::Reset Password را دراختیار داشته باشید.مجوزهای دسترسی موثر شما زمانی پیچیده میشود که مجوزهای دسترسی مجاز یا Allow و رد یا Deny را بر اثر مجوزهای به ارث برده شده و مجوزهای Explicit،با هم بر روی یک شیء داشته باشید و این حقیقت که شما عضو گروه های مختلفی میباشید که هر یک میتوانند مجوز دسترسی مختلفی بر روی یک شیء داشته باشند.

مجوزهای دسترسی چه به اکانت کاربری شما یا به گروهی که شما به آن تعلق دارید اعطا شده باشد،هم ارزش میباشند.در نهایت ACE به شما به عنوان کاربر اعمال میشود.بهترین تکنیک مدیریت مجوزهای دسترسی،اعطای آنها به گروه به جای کاربر میباشد اما همچنان امکان اعطای مجوزهای دسترسی به یک کاربر یا یک کامپیوتر به صورت انفرادی وجود دارد.تنها به این دلیل که مجوزهای دسترسی مستقیما به شما به عنوان کاربر اعطا میشود به معنای مهمتر بودن یا کم اهمیت تر بودن مجوزهایی نمیباشد که به گروهی که شما عضو آن هستید اعطا شده است.در نتیجه مجوزهای دسترسی چه در سطح کاربر تخصیص داده شود چه در سطح گروه ارزش یکسانی دارند.

مجوزهای دسترسی Allow یا Allow Permission ها خاصیت جمع شوندگی دارند.زمانی که شما عضو چند گروه می باشید و به آن گروه ها مجوزهایی اعطا شده که در نتیجه آن میتوانند وظایف مختلفی را انجام دهند به شما به عنوان عضو این گروه ها، تمامی مجوزهای اعطا شده به این گروه ها به علاوه مجوزهای اعطا شده به صورت مستقیم به اکانت کاربری شما به صورت یکجا تخصیص داده می شود.
مجوزهای دسترسی Deny یا Deny Permission ها بر تمامی مجوزهای دسترسی Allow معادل خود ،اولویت دارند.اگر شما عضو گروه هایی باشید که یکی از آنها مجوز Allow برای ریست کردن رمز عبور را دارا باشد و به گروه دیگر مجوز دسترسی Deny برای ریست کردن رمز عبور داده شده باشد،مجوز Deny از ریست کردن رمز عبور توسط شما جلوگیری می کند.


.

[بانو . ./]

.
تذکر از مجوز Deny با مضایقه استفاده کنید . ./


عموما استفاده از مجوز Deny غیر ضروری میباشد.اگر شما مجوز Allow برای انجام یک وظیفه را اعطا نکنید کاربر نمیتواند آن وظیفه را انجام دهد.قبل از اختصاص دادن مجوز Deny بررسی کنید تا در صورت امکان با حذف کردن مجوز Allow به هدف خود برسید.از مجوز Deny بندرت و با ملاحظه استفاده کنید.

هر مجوز دسترسی به صورت یک دانه مجزا عمل میکند.حتی اگر توانایی ریست کردن رمز عبور با استفاده از مجوز Deny از شما گرفته شده باشد شما همچنان توانایی هایی با استفاده از دیگر مجوزهای دسترسی Allow در اختیار خواهید داشت که بتوانید نام Logon یا آدرس e-mail کاربر را تغییر دهید.
در نهایت در تاپیک گذشته آموختید که چگونه یک شیء Child از شیء Parent خود به صورت پیش فرض ارث بری میکند و میتوان با استفاده از مجوزهای Expicit اولویت بر ارث بری ایجاد کرد.این موضوع به این معنی است که مجوز Allow با استفاده از مجوز Expilicit بر مجوز Deny به ارث برده شده اولویت پیدا میکند.
متاسفانه وجود پیچیدگی تعامل مجوزهای کاربر،گروه،Explicit،به ارث برده شده،Allow و Deny ارزیابی مجوز موثر را به کاری مشکل بدل میکند.یک برگه به نام Effective Permission در پنجره محاوره Advanced Security Setting در Properties هر شیء در اکتیو دایرکتوری وجود دارد،اما این برگه عملا بلا استفاده می باشد.این برگه جزییات مربوط به مجوزهای دسترسی که شما به آنها نیاز دارید را به شما نشان نمی دهد.شما میتوانید از گزارش مجوزهای ایجاد شده توسط دستور Dcacls استفاده نمایید.
اطلاعات بیشتر کنترل دسترسی قاعده مند
بهترین راه مدیریت اعطای نمایندگی در اکتیو دایرکتوری با استفاده از کنترل دسترسی قاعده مند می باشد.هر چند این موضوع در این منبع آموزشی پوشش داده نمی شود اما فهمیدن این موضوع برای پیاده سازی شبکه در محیط واقعی ارزشمند می باشد.این موضوع در کتاب Windows Administration Resource Kit:Productivity Solution For IT Professionalsنوشته Dan Holme توضیح داده شده است.



.

[بانو . ./]

.

طراحی ساختار واحد سازمانی جهت پشتیبانی اعطای نمایندگی . ./


همانطور که اکنون میدانید واحدهای سازمانی دربرگیرنده های مدیریتی میباشند.آنها دربرگیرنده اشیایی میباشند که نیازهای مدیریتی،تنظیمات و قابلیت نمایش یکسانی را به اشتراک میگذارند.شما اکنون اولین نیاز این اشیاء را به خوبی درک میکنید:مدیریت.اشیایی که توسط یک Administrator و با استفاده از یک راه مدیریت میشوند باید در یک واحد سازمانی نگهداری شوند.با قرار دادن کاربران خود در یک واحد سازمانی به نام “People” شما میتوانید نمایندگی تغییر رمز عبور کاربران را به گروه Help Desk اعطا نمایید.این کار با الصاق یک مجوز به یک واحد سازمانی انجام میشود.دیگر مجوزهای مدیریتی که میتوانند با اشیاء کاربر در واحد سازمانی People سر و کار داشته باشند را نیز میتوان الصاق نمود.به عنوان مثال اگر بخواهید به مدیران بخش منابع انسانی اجازه غیر فعال کردن اکانت کاربرانی که مدت قرارداد آنها خاتمه یافته است را بدهید،میتوانید نمایندگی این مجوز را مجددا برای این گروه بر روی واحد سازمانی People اعطا نمایید.

به یاد داشته باشید Administrator ها باید با استفاده از یک اکانت کاربر عادی به سیستم وارد شده و برای اجرای ابزارهای مدیریتی از هویت اکانت دوم که مجوزهای لازم جهت انجام وظایف مدیریتی را دارد، استفاده نماید.این اکانتهای دوم در حقیقت اکانتهای مدیریتی سازمان میباشند.گروه Help Desk نباید بتوانند رمز عبور کاربر Administrator را ریست نمایند یا گروه مدیریت منابع انسانی نباید بتواند این دسته از اکانتها را غیر فعال نماید.از اینرو اکانتهای کاربری مدیریتی متفاوت از اکانتهای کاربری عادی،مدیریت خواهند شد.به این دلیل شما باید یک واحد سازمانی مجزا برای اشیاء کاربر Administartor ایجاد کنید.اعطای نمایندگی مدیریت این واحد سازمانی کاملا متفاوت از دیگر واحدهای سازمانی میباشد.

همانند زمانی که شما میخواید اجازه اضافه کردن اشیاء کامپیوترها را در واحد سازمانی Clients به گروه پشتیبانی بدهید اما نمیخواهید که اعضای این گروه بتوانند در واحد سازمانی Servers ،شیء کامپیوتر ایجاد کرده یا اشیاء موجود را مدیریت کنند.

نقش اصلی واحد سازمانی مشخص کردن حوزه اعطای نمایندگی به صورت موثر جهت اجرای مجوزها بر روی اشیاء و زیر واحدهای سازمانی میباشد.زمانی که محیط اکتیو دایرکتوری را طراحی میکنید همیشه کار را با طراحی ساختار واحد سازمانی که بتواند کار اعطای نمایندگی را به صورت موثر انجام دهد آغاز میکنید،ساختاری که بازتاب مدل مدیریتی در سازمان شما میباشد.بندرت مدل مدیریت اشیاء در اکتیو دایرکتوری دقیقا مشابه مدل چارت سازمانی شما میباشد.معمولا تمام کاربران عادی از یک راه و توسط یک گروه پشتیبانی میشوند از اینرو معمولا تمامی این کاربران در یک واحد سازمانی یا یک انشعاب از واحد سازمانی کاربران یافت میشوند.در اکثر سازمانها برای پشتیبانی کاربران و کامپیوترها یک گروه به نام Help Desk وجود دارد که در این موارد تمام کامپیوترها نیز مانند کاربران در یک واحدسازمانی یا شاخه ای از واحد سازمانی Computers قرار میگیرند.اما اگر تیم پشتیبانی به صورت غیر متمرکز وجود داشته باشد شما باید واحد سازمانی Clients را به زیر واحدهای سازمانی تقسیم کنید که نمایانگر محل جغرافیایی باشد سپس نمایندگی مدیریت هر واحد سازمانی را میتوان به تیم پشتیبانی مستقر در همان محل اعطا کرد.

در طراحی واحد سازمانی ابتدا باید اعطای نمایندگی مدیریت اشیاء به صورت موثر در اکتیو دایرکتوری مد نظر قرار گیرد سپس تصحیح طراحی را به صورتی انجام داد که انجام تنظیمات کامپیوترها با استفاده از Group Policy را تسهیل نماید.


.

منبع : منبع تمامی مطالب از پست اعطای نمایندگی و امنیت در اکتیو دایرکتوری تا پست طراحی و ساختار واحد سازمانی سایت ..ir persianadmins