Windows Server Active Directory Configuration

[بانو . ./]

.


ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers







unlock account
در تب account گزینه ای به نام unlock account وجود دارد گاهی اوقات در group policy تعریف می شود که user اگر چند بار password خود را اشتباه زدlock شود .اگر یوزر lock نشده باشد در این قسمت هیچ تیکی نمی خورد ولی اگر یوزر lock شود در این قسمت تیک می خورد.

account options
در تب acount گزینه ای به نام acount options وجود دارد که شامل بخش های زیر می باشد.

• user must change password at next logon

اگر این گزینه در قسمت account options انتخاب شود در این صورت user هنگامی که login می کند باید password خود را عوض کند.

• User cannot change password

اگر این گزینه انتخاب شود یعنی user نتواند password خود را تغییر دهد.

• Password never expire

اگر این گزینه انتخاب شود password هیچگاه منقضی نمی شود.

• Store password using reversible encryption

هر user که داخل ntds.dit ذخیره می شود کاملا hash می شود.اگر خواستیم level امنیتی پایین بیاید و فقط pass ها encrypt شود ولی hash نشود از این گزینه استفاده می کنیم.Hash یک عملیات یک طرفه است .

• Account is disabled

گاهی اوقات ممکن است که یک user برای مدتی از سازمان برود در این صورت با انتخاب کردن گزینه ی account is disabled می توان آن را غیر فعال کرد.

• Smart card is required for interactive logon

اگر یک user بخواهد توسط smartcard دباید اینجا گفته شود که authentication آن بر اساس smartcard است.

• Account is sensitive and can not be delegated

گاهی می خواهیم account که ساختیم sensitive باشد یعنی اگر M در user Mina را بزرگ زدیم حتما M بزرگ را از ما بخواهد اما اگر این گزیه فعال شود delegation برای آن user فعال نیست.

• Use kerbros DES encryption typs for this account

2 نوع authentication protocol داریم.که به ما کمک می کند که اطلاعات مربوط به authentication که فرستاده ا یم امن شود.
Remote authentication protocol
در مواقعی که دسترسی remote داریم و خارج از شبکه lan به درد ما می خورد. مثلا درvpn ها و user های dialup چون سرویس vpn به صورت remote است و از شبکه wan استفاده می کند.از جمله از این پروتکل ها می توان pap,spap,chap,mschap,mschap2,eap را نام برد.مفهوم remote یعنی از طریق یک wan با آن در ارتباط هستید.

Local authentication protocol
جایی که شبکه ی domain داریم و اطلاعات از طریق شبکه local مبادله می شوند.مهمترین این پروتکل ها ntlmv1 و ntlmv2 و Kerberos میباشند که این پروتکل ها یک سری الگوریتم های hashing و encryption دارند که اطلاعات را encrypt می کنند.Des لول امنیتی کمتری نسبت به 3des دارد و Kerberos v5 از3des استفاده می کند. برای پایین آوردن لول امنیتی از 3des استفاده می شود.

• Do not require Kerberos preauthentication

هر زمان که Kerberos می خواهد run شود ابتدا یک authentication اولیه انجام می دهد و بعد اطلاعات فرستاده می شود. این کار برای لول امنیتی بالاتر انجام می گیرد. اگر این تیک را بزنیم می گوید که pre authentication انجام نشود.

• account expire

در این قسمت مشخص می شود که account هیچگاه منقضی نشود و یا در تاریخ خاصی که مشخص می کنیم منقضی شود.که این تاریخ را در قسمت Endof مشخص می کنیم.







.

[بانو . ./]

ایجاد شیء ( onbject ) کامپیوتر


کامپوترها در دامین به صورت یک شیء و اکانت نمایانده میشوند دقیقا به صورت یک اکانت کاربری.در حقیقت کامپیوترها در پشت صحنه مانند یک کاربر به دامین وارد میشوند.هر کامپیوتر دارای یک نام کاربری میباشد –نام کامپیوتر و علامت $ که در انتهای نام اضافه میشود و همچنین یک رمز عبور که زمانی که کامپیوتر به عضویت دامین درمی آید،ساخته میشود و هر 30 روز یکبار به صورت اتوماتیک تعویض میگردد.برای ایجاد یک شیء کامپیوتر در اکتیو دایرکتوری:


1-ابزار Active Directory Users and Computers را باز کنید.
2-در بخش درختی کنسول ،گره نمایش دهنده نام دامین خود را گسترش دهید(به عنوان مثال Contoso.com) و مسیر را به یک واحد سازمانی که قصد ایجاد کامپیوتر جدید را در آن دارید هدایت کنید.
3-بر روی واحد سازمانی کلیک راست کرده از زیر منوی New گزینه Computer را انتخاب کنید.
4-در جعبه Computer Name نام کامپیوتر را وارد کنید.
به صورت پیش فرض نامی را که وارد میکنید برای نام Pre-Windows 2000 نیز وارد میشود.
5- نام وارد شده در جعبه Pre-Windows 2000 را تغییر ندهید.
6-اکانت مشخص شده در فیلد User or Groupمیتواند کامپیوتر را به عضویت دامین درآورد.اکانت پیش فرض گروه Domain Admins میباشد.بر روی Change کلیک کرده تا یک کاربر یا گروه دیگر را انتخاب کنید.عموما شما گروه هایی را برای این کار انتخاب میکنید که وظایف آنها گسترش شبکه ،پشتیبانی دسکتاپ یا تیمی که کاربران را در هنگام مشکلات پشتيباني مي کند.شما همچنین میتوانید کاربری را انتخاب کنید که قرار است از آن کامپیوتر در شبکه استفاده کند.
7-جعبه چک با برچسب Assign This Computer Account As Pre-Windows 2000 Computer را انتخاب نکنید مگر اینکه کامپیوتر مورد نظر از سیستم عامل ویندوز NT 4.0 استفاده کند.
8-بر روی Ok کلیک کنید.
شیء کامپیوتر دارای تعدادی خصیصه میباشد که تنظیم آنها برای پیکر پندی بهتر کامپیوتر سودمند میباشند.این تنظیمات می تواند پس از ایجاد شیء کامپیوتر انجام شود.
9-بر روی شیء کامپیوتر کلیک راست کرده و Properties را انتخاب کنید.
10-خصیصه های کامپیوتر را وارد کنید.

از پیروی از قراردهای نام گذاری و دیگر استاندارادهای سازمان خود اطمینان حاصل کنید.

از فیلد Descriptionمیتوانید برای مشخص کردن کاربر کامپیوتر استفاده کرده یا نقش کامپیوتر را تعیین کنید (مانند کامپیوتر اتاق آموزش) یا دیگر خصوصیات توصیفی.از آنجا که این توضیحات در بخش جزییات ابزار Active Directory Users and Computers نمایش داده میشوند ،اطلاعاتی درباره کامپیوتر را که برای مدیریت شبکه شما مفید میباشند در این بخش قرار دهید.

خصیصه های متعددی وجود دارند که یک شیء کامپیوتر را توصیف میکنند مانند نام DNS ، نوع دامین کنترلر،سایت،نام سیستم عامل،نسخه سیستم عامل و سرویس پک.این خصوصیات به صورت اتوماتیک بعد از عضویت کامپیوتر در دامین مشخص میگردند.

از برگه Managed By میتوان برای ایجاد لینک به کاربر یا گروهی استفاده نمود که مسئول مدیریت کامپیوتر میباشد. بر روی Change زیر جعبه نام کلیک کنید.برای جستجوی گروه ها ابتدا باید بر روی Object Type کلیک کرده و Groups را در حالت انتخاب شده قرار دهید. از این برگه معمولا برای اختصاص دادن کنتاکت استفاده میشود.برخی از سازمانها از این برگه برای مشخص کردن تیم یا گروهی که مسئولیت مدیریت کامپیوترها را عهده دار میباشند، استفاده می کنند. استفاده دیگری که از این اطلاعات میشود پیدا کردن کاربری است که از کامپیوتر استفاده می کند.

11-بر روی Ok کلیک کنید.






.

[بانو . ./]

.


یافتن اشیاء در اکتیو دایرکتوری :

در مواقعی شما نیاز دارید تا این اشیاء را در اکتیو دایرکتوری بیابید.مانند:

اعطای مجوزها زمانی که تنظیمات مجوزهای دسترسی به فایلها و فولدر ها را انجام می دهید،باید برای اعطای این مجوزها کاربرها یا گروه هایی را انتخاب می کنید که مجوزها به آنها اختصاص داده می شوند.

افزودن اعضا به گروه ها اعضا گروه میتوانند ترکیبی از کاربران ، گروه ها یا کامپیوترها باشند.زمانی که یک شیء را به عضویت یک گروه در می آورید باید آن شیء را انتخاب کنید.

ایجاد لینک خصوصیات لینک در حقیقت خصوصیاتی از یک شیء میباشند که به یک شیء دیگر لینک میشوند.عضویت گروه در حقیقت یک خصیصه لینک شده میباشد.خصیصه های لینک شده دیگری مانند ویژگی Managed Byهم یک خصوصیت لینک شده میباشد.زمانی که Managed Byرا مشخص می کنید باید کاربر یا گروه مقتضی را انتخاب کنید.

جستجوی یک شیء شما میتوانید هر شیئی را در اکتیو دایرکتوری جستجو کنید.
شرایط بسیار دیگری وجود دارند که در آن شما باید جستجو در اکتیو دایرکتوری را انجام دهید.در این راه شما با رابط های کاربری مختلفی برخورد میکنید.در این بخش شما تکنیکهایی برای کار کردن در هر یک از شرایط را می آموزید.









.

[بانو . ./]

.


( الف ) کنترل نمایش اشیاء در ابزار Active Directory Users and Computers :



بخش جزییات در ابزار Active Directory Users and computers قابلیت سفارشی شدن را دارد تا به شما کمک کند تا بتوانید به صورت موثرتر با اشیاء کار کنید.

با استفاده از دستور Add / Remove Columnsاز منوی View میتوانید ستونهایی را به بخش جزییات اضافه کنید.

تمامی خوصیات اشیاء به صورت ستون قابل نمایش نمیباشند اما مسلما ستونهایی را خواهید یافت که اطلاعات سودمندی را به شما نمایش می دهند مانند نام ورود به سیستم کاربر.همچنین شما ستونهایی را خواهید یافت که نمایش اطلاعات آنها ضروری نمیباشد.اگر واحد سازمانی شما فقط یک نوع شیء را در خود جای میدهد،ستون Type استفاده خاصی ندارد.

زمانی که یک ستون نمایان میشود،میتوانید ترتیب نمایش ستونها را تغییر دهید برای این کار با نگاه داشتن کلیک چپ بر روی سر ستون و کشیدن سر ستون به چپ یا راست ،میتوانید ترتیب نمایش ستونها را تغییر دهید.همچنین میتوانید با کلیک کردن بر روی سر ستون لیست نمایش را مرتب کنید با کلیک اول ستون به صورت صعودی و با کلیک دوم ستون به صورت نزولی نمایش داده میشود دقیقا مانند مرورگر ویندوز.


.

منبع : persianadmins

[بانو . ./]

.


( ب ) استفاده از جعبه محاوره انتخاب کاربر ،کنتاکت،کامپیوتر،یا گروه :



زمانی که شما یک عضو به یک گروه اضافه میکنید،یک مجوز دسترسی اختصاص میدهید یا یک خصوصیت لینک شده ایجاد میکنید،پنجره محاوره انتخاب کاربر ،کنتاکت،کامپیوتر،یا گروه به شما نمایش داده می شود.در این منبع آموزشی به این پنجره محاوره ، پنجره محاوره انتخاب گفته میشود.اگر تصمیم دارید یک نمونه از این پنجره را ببینید Properties یک شیء گروه را باز کنید،بر روی برگه Members کلیک کرده و در نهایت بر روی کلید Add کلیک کنید.

در صورتی که نام اشیاء مورد نظر را میدانید،میتوانید آنها را مستقیما در جعبه نوشتاری Enter the object names to select تایپ کنید.امکان وارد کردن چندین نام که با استفاده از نقطه ویرگول (; ) ) از یکدیگر جدا شده اند ،وجود دارد.زمانی که شما بر روی Ok کلیک میکنید ویندوز عملیات جستجو برای یافتن تمامی اقلام وارد شده در لیست را آغاز کرده و آنها را به یک لینک به شیء مورد نظر تبدیل میکند و سپس پنجره محاوره را می بندد.کلید Check Names نیز همان عمل را انجام میدهد اما در انتها پنجره محاوره را باز باقی می گذارد .

به جای وارد کردن کل نام ،شما میتوانید بخشی از نام را وارد کنید.زمانی که بر روی Check Names یا Ok کلیک میکنید ویندوز سعی میکند تا نام جزیی وارد شده را به شیء صحیح تبدیل کند.اگر تنها یک شیء تطبیق داده شود تنها نام همان شیء مقرر میگردد.اگر چند شیء با نام وارد شده توسط شما تطبیق پیدا کنند ،مانند نام Dan آنگاه جعبه یافتن چند نام (Multiple Names Found) نمایش داده میشود.

به صورت پیش فرض پنجره محاوره انتخاب ،تمامی دامین را جستجو می کند.اگر در نتیجه جستجو تعداد زیادی شیء به شما نمایش داده شد و شما تصمیم داشتید که محدوده جستجو را کوچکتر کنید یا تصمیم داشتید در دامین دیگری عملیات جستجو را انجام دهید بر روی کلید Location کلیک کنید.


پنجره محاوره انتخاب با وجود وارد کردن نام کامل – انتخاب کاربر،کنتاکت،کامپیوتر یا گروه ،بندرت هر چهار نوع شیء را به صورت پیش فرض جستجو میکند.به عنوان مثال زمانی که یک عضو به یک گروه اضافه میکنید،کامپیوترها به صورت پیش فرض جستجو نمی شوند.اگر شما نام یک کامپیوتر را وارد کنید این نام یه صورت درست مقرر نمی گردد.زمانی که یک نام را در برگه Managed By تعیین میکنید،گروه ها به صورت پیش فرض جستجو نمی شوند.شما باید از محدوده انتخاب پنجره محاوره انتخاب اطمینان حاصل کنید تا نوع شیء مورد نظر شما در محدوده جستجو پوشش داده شود.بر روی کلید Object Type کلیک کنید و از پنجره محاوره نمایش داده شده استفاده کرده تا نوع شیء مورد نظر خود را انتخاب کنید،سپس بر روی Ok کلیک کنید.

اگر برای یافتن مکان اشیاء خود دچار مشکل میباشید،بر روی کلید Advanced در پنجره محاوره انتخاب کلیک کنید.مدل نمایش پیشرفته به شما این امکان را می دهد که همزمان با گشتن در میان نامها و توضیحات بتوانید اکانتهای کاربری غیر فعال ،رمزهای عبور بدون تاریخ انقضا و اکانتهای کاربری قدیمی را که برای بازه زمانی خاصی به سیستم وارد نشده اند را جستجو کنید.بسته به نوع شیء که جستجو میکنید ممکن است برخی از این فیلدها در برگه Common Queries غیر فعال باشند.بر روی کلید Object Type کلیک کرده تا دقیقا نوع اشیاء مورد نظر خود را انتخاب کنید.




منبع : persianadmins

[بانو . ./]

.

( ج ) استفاده از دستور Find :



سیستمهای ویندوز ابزار جستجویی را عرضه می کنند که توسط Administrator ها به نام Find Box شناخته می شود.یک راه برای اجرای Find Box کلیک کردن بر روی Find Objects در کلید Active Directory Domain Service در نوار ابزار کنسول Active Directory Users and Computers میباشد.

با استفاده از لیست کرکره ای Find نوع اشیاء مورد نظر جهت جستجو را مشخص کنید با استفاده از این لیست میتوانید Common Query یا جستجوی سفارشی را انتخاب کنید.در لیست کرکره ای In محدوده جستجو را تعیین کنید.توصیه میشود هر چقدر امکان دارد محدوده جستجو را کوچکتر کنید تا از مشکل افت کارائی در جستجو در محدوده کل دامین جلوگیری کنید.

بعد از تنظیم نوع اشیاء و محدوده جستجو ،ضوابط جستجو را مشخص کنید.برای انجام دادن یک جستجوی سفازشی پیشرفته از لیست کرکره ای Find گزینه Custom Search را انتخاب کنید.اگر Custom Search را انتخاب کرده و بر روی برگه Advanced کلیک کنید ،می توانید یک جستجوی قدرتمند در LDAP انجام دهید.برای مثال جستجوی OU=*main*در نتیجه تمامی واحدهای سازمانی را که حاوی کلمه Main باشند را به شما نمایش می دهد مانند واحد سازمانی Domain Controllers.بدون استفاده از جستجوی سفارشی ، جستجو تنها با استفاده از متنی انجام میشود که در ابتدای نام وارد شده است،جستجوی سفارشی با استفاده از حروف جایگزین شده امکان ساختن یک جستجوی “Contains” را در اختیار شما قرار می دهد.

زمانی که محدوده جستجو و ظوابط را مشخص کردید بر روی کلید Find Now کلیک کنید.نتایج جسجو در همان پنجره نمایش داده میشوند.پس از نمایش جستجو شما میتوانید با کلیک راست کردن بر روی نتایج دستوراتی مانند حذف ، انتقال و نمایش خصوصیات اشیاء را در پنجره جستجو انجام دهید.

پنجره Find Box در دیگر مکانهای ویندوز نیز نمایش داده می شود مانند ویزارد اضافه کردن پرینتر زمانی که مکان پرینتر را جستجو می کنید.فولدر های تحت شبکه هم کلید جستجو در اکتیو دایرکتوری را دارا میباشند.شما میتوانید برای دسترسی سریعتر به جستجوها ،یک میانبر به منوی استارت یا دسکتاپ اضافه کنید.هدف میانبر باید rundll32 dsquery,OpenQueryWindowباشد.





.

[بانو . ./]

.

.
( د ) استفاد از جستجوهای ذخیره شده :


در ویندوز سرور 2003 گره Saved Queries در درون ابزار Active Directory Users and Computers معرفی شد.این دستورالعمل قدرتمند امکان ایجاد یک سیستم نمایش قاعده گرا از دامین را در اختیار شما قرار میدهد،نمایش اشیاء در سر تا سر یک یا چند واحد سازمانی.

برای ایجاد Saved Query:

1-ابزار Active Directory Users and Computers را باز کنید.
Saved Queries در ابزار Active Directory Users and Computers که در کنسول Server Manager موجود است ،یافت نمیشود.شما باید برای دسترسی به این ابزار از کنسول Active Directory Users and Computers یا یک کنسول سفارشی با ابزار Active Directory Users and Computers استفاده کنید.
2-بر روی Saved Queries کلیک راست کرده ،ابتدا New و سپس Query را انتخاب کنید.
3-برای Query یک نام تایپ کنید.
4-میتوانید توضیحاتی را به صورت اختیاری وارد کنید.
5-بر روی Browse کلیک کرده تا محل ریشه جستجو را مشخص کنید.
جستجو به واحد سازمانی یا دامینی که شما مشخص میکنید محدود میشود.توصیه میشود هر قدر امکان دارد محدوده جستجو را کوچکتر کنید تا کارایی جستجو را افزایش دهید.
6-بر روی Define Query کلیک کنید تا جستجوی خود را تعریف کنید.
7-در جعبه محاوره Find Common Queries نوع شیء مورد نظر را انتخاب کنید.
8-بر روی Ok کلیک کنید.

بعد از ایجاد جستجو ذخیره شده این جستجو در ابزار Active Directory Users and Computers ذخیره میشود و هر بار که شما این کنسول را باز کنید مثلا با استفاده از (dsa.cmd) این جستجوی ذخیره شده نمایش داده میشود.اگر شما جستجوی ذخیره شده را در یک کنسول سفارشی ایجاد کنید،جستجوی ذخیره شده ایجاد شده فقط در همان کنسول قابل دسترس میباشد.برای انتقال جستجوی ذخیره شده به یک کنسول یا یک کاربر دیگر ،میتوانید جستجوی ذخیره شده را به صورت یک فایل XML صادر کرده (Export) و آن را در ابزار مقصد وارد (Import) کنید.

نمایش جزییات در بخش جزییات جستجوی ذخیره شده قابلیت سفارشی شدن با اضافه کردن ستونها یا مرتب کردن آنها را دارد.یک فایده مهم جستجوهای ذخیره شده این است که نمایش سفارشی شده برای هر جستحوی ذخیره شده قابلیت تنظیم جداگانه دارد.زمانی که ستون Last Name را به نمایش عادی یک واحد سازمانی اضافه میکنید این ستون به صفحه نمایش تمامی واحدهای سازمانی اضافه میگردد از اینرو شما یک ستون خالی در بخش نمایش واحدهای سازمانی که فقط اشیاء گروه یا کامپیوتر را درخود جای می دهند ،خواهید دید.با استفاده از جستجوی ذخیره شده شما میتوانید ستون Last Name را به جستجوی شیء کاربر و دیگر ستونها را به جستجوهای دیگر اضافه کنید.

جستجوهای ذخیره شده یک ابزار قدرتمند برای ایجاد نمایشهای مجازی از دایرکتوری میباشد که با استفاده از آن میتوان عمل نظارت بر مشکلاتی مانند اکانتهای کاربری قفل شده یا غیر فعال در دایرکتوری را انجام داد.فراگیری استفاده از جستجوهای ذخیره شده باعث استفاده بهینه از زمان برای شما میشود.





.

[بانو . ./]

.



( هــ ) یافتن اشیاء با استفاده از Dsquery :


ویندوز در Command Prompt ابزارهایی را در اختیار شما قرار میدهد که وظیفه آنها فراهم کردن امکاناتی نظیر ابزارهای موجود در کنسول Active Directory Users and Computers میباشد.اکثر این ابزارها با حروف DS آغاز میشوند از اینو به آنها دستورات DS نیز گفته میشود.دستور Dsquery میتواند محل اشیاء در اکتیو دایرکتوری را مشخص کند (مانند جستجو در کنسول Active Directory Users and Computers).
مانند دیگر دستورات DS ، دستور Dsquey نیز دارای مستندات کافی برای راهنمایی استفاده از این دستور میباشد.در خط فرمان تایپ کنید Dsquery.exe /?تا ترکیبات مختلف دستور و استفاده از آنها را ببینید.در بیشتر دستورات DS باید کلاس اشیایی را که میخواهید با آنها کار کنید در خط دستور وارد کنید.به عنوان مثال تایپ کردن Dsquey user برای جستجوی کاربران به کار میرود همچنین دستورات Dsquery computer و Dsquery Group برای جستجو در میان گروه ها و کامپیوترها به کار میرود.بعد از تایپ کلاس شیء مورد نظر میتوانید از سوییچ ها برای تعیین ضوابط جستجو استفاده کنید.اگر تصمیم دارید شیء مورد نظر را با استفاده از نام مکان یابی کنید میتوانید از سوییچ –name استفاده کنید.اکثر اشیاء را میتوان را با استفاده از Description مربوط به آنها مکان یابی نمود (سوییچ –desc).
برای مثال اگر تصمیم دارید کاربری که نام آن با “jam” آغاز میشود را پیدا کنید،میتوانید دستور زیر وارد کنید: *dsquery user –name jam .بعد از سوییچ ویژگی شیء که در این مورد –name میباشد ،میتوانید ضوابط را وارد کنید،این ظوابط حساس به حروف بزرگ یا کوچک نمیباشند و میتوانند از کاراکترهای جایگزین مانند ستاره (*) استفاده کنید که به مفهوم هر کاراکتری با هر تعداد میباشد.دستور dsquery در جواب تمام اشیاء منطبق با جستجو را بر می گرداند.این اشیاء به صورت پیش فرض با استفاده از نام Distinguished Name (DN) نمایش داده میشوند.

اگر نمی خواهید نتایج به صورت DN به شما نمایش داده شوند میتوانید از سوییچ –o در خط فرمان استفاده کنید.شما میتوانید با اضافه کردن سوییچ –o samid نتایج را با استفاده از نام Pre-Windows 2000 مشاهده کنید یا سوییچ –o upn نام Logon کاربرها را به شما نمایش میدهد.






.







.

[بانو . ./]

.

( ی ) فهمیدن DNs ، RDNsو CNs :


DN ها نوعی روش تعیین مسیر اشیاء در اکتیو دایرکتوری میباشند.هر شیء در اکتیو دایرکتوری دارای یک مسیر کاملا منحصر به فرد برای خود میباشد.به عنوان مثال کاربر ما James Fine دارای آدرس DN زیر میباشد:CN=James Fine,OU=People,DC=Contoso,DC=Com .

شما میتوانید ببینید که چه اتفاقی روی داده است : آدرس DN مسیری است که از شیء آغاز شده و در ساختار سلسله مراتبی نام DNS ،کار خود را تا بالاترین سطح دامین ادامه میدهد.همانطور که قبلا ذکر شد CN نمایش دهنده Common Name میباشد (نام معمول) و زمانی که شما یک شیء کاربر ایجاد میکنید از جعبه Full Name برای ایجاد CN شیء کاربر استفاده میکنید.OU به معنای واحد سازمانی که شیء در آن قرار دارد و DC به معنای Domain Component (جزء مولفه دامین) میباشد.

بخشی از DN که مقدم بر اولین واحد سازمانی یا دربرگیرنده شیء (Container) میباشد به نام Relative Distinguished Name (RDN) شتاخته میشود.در مورد James Fine ، RDN شیء برابر است با CN=James Fine.تمامی RDN ها برابر با CN نمیباشند.آدرس DN مربوط به واحد سازمانی People برابر است با OU=People,DC=contoso,DC=com از اینرو RDN مربوط به People برابر است با OU=People.

به این دلیل که DN هر شیء باید در اکتیو دایرکتوری منحصر بفرد باشد RDN هر شیء در باید در درون در برگیرنده آن شیء منحصر بفرد باشد.به این دلیل اگر در سازمان شما کارمند دیگری با نام James Fine استخدام شد و هر دو کارمند باید در یک واحد سازمانی قرار میگرفتند باید به این کاربران دو نام متفاوت CN را اختصاص دهید.همین منطق به فایلهای درون یک فولدر اعمال میشود:شما نمیتوانید دو فایل با یک نام درون یک فولدر داشته باشید.تا زمانی که با اکتیو دایرکتوری کار میکنید دائما با نامهای DN سر و کار خواهید داشت مانند زمانی که با فایلها و فولدر ها کار میکنید دائما با مسیر فایلها سر و کار دارید.خواندن و رهگیری مسیر آنها بسیار مهم میباشد.

[بانو . ./]

.

اعطای نمایندگی و امنیت اشیاء در اکتیو دایرکتوری . ./

شما روش ایجاد کاربر،گروه،کامپیوتر و واحد سازمانی را فرا گرفتید،همچنین روش دسترسی به Properties این اشیاء را نیز فرا گرفتید.توانایی انجام اعمال فوق به عضویت شما در گروه Administrator های دامین بستگی دارد.برای اعمالی نظیر ریست کردن رمز عبور کاربران یا بازکردن اکانت کاربران از حالت قفل شده شما به دسته ای از کاربران نیاز دارید که در عین توانایی در انجام امور فوق عضو گروه Administrator های دامین نیز نباشند و فقط مجوز انجام اعمال خاصی را که مد نظر شما میباشد داشته باشند.در این تاپیک یاد می گیرید که چگونه برای انجام بخشی از وظایف Administrator به کاربران دیگر نمایندگی دهید.این عمل با ایجاد تغییر در Access Control List (ACL) اشیاء موجود در اکتیو دایرکتوری انجام میشود.

فهمیدن اعطای نمایندگی

در اکثر سازمانها تعداد Administrator ها بیشتر از یک نفر میباشد و با رشد سازمان ، وظایف Administration معمولا در میان Administrator ها یا سازمانهای پشتیبانی کننده شبکه توزیع میشود.برای مثال در بیشتر سازمانها یک تیم جهت پشتیبانی کاربران شبکه(Help Desk) وجود دارد که یکی از وظایف این گروه ریست کردن رمز عبور کاربران و باز کردن قفل اکانتهای قفل شده می باشد.به این قابلیت تیم پشتیبانی کاربران اعطای نمایندگی وظایف Administrator گفته میشود.اعضای این تیم این تیم معمولا توانایی ایجاد کاربر جدید را ندارند ،اما میتوانند در خصوصیات کاربران موجود در شبکه تغییراتی را ایجاد کنند.
امنیت تمام اشیاء موجود در اکتیو دایرکتوری مانند کاربران،کامپیوترها و گروه هایی که شما در دروس گذشته ایجاد کردید،میتوانند با استفاده از لیستی از مجوزها فراهم شود.به مجوزهای یک شیء Access Control Entry (ACE) گفته میشود این مجوزها به کاربران ،کامپیوترها و گروه ها اعطا میشوند که به آنها Security Principals گفته میشود.ACE ها در Discretionary Access Control List (DACL) هر شیء ذخیره میشوند.DACL بخشی از ACL هر شیء میباشد که در برگیرنده System Access Control List (SACL) نیز میباشد که تنظیمات مربوط به Auditing (بازرسی) را در خود جای میدهد.اگر قبلا با مجوزهای فایل و فولدر کار کرده باشید الفاظ و مفاهیم به کار رفته در هر دو یکسان میباشد.
از هر سه اصطلاح ذیل برای نامگذاری اعطای .کالت استفاده می شود.اعطای نمایندگی کنترل مدیریت یا اعطای نمایندگی کنترل (Delegation of Control) یا فقط اعطای نمایندگی(Delegation) .








.