وبلاگ تخصصی شبکه های کامپیوتری | MCSE , CCNA , ...
  • Windows Server 2003 Edition

1.Web Edition
2.Standard Edition
3.Enterprise Edition
4.Data Center Edition

مزیتهای windows 20003
پایداری win 2003 خوب است.چندین ماه  بدون خرابی میتواند پابرجا بماند
همراه با fire wall ساخته میشود و  در برابر کاربرها و ویروسهای ناخواسته حفاظت میکند
 از remote networking,remote assistance,remote desktop
VSS-Volume Shadow Copy
SUS-Software Update Services
  از IP V6 پشتیبانی میکند
  از NAT-Network Address Translation پشتیبانی میکند
  از گروه پشتیبانی میکند
  ازNET. پشتیبانی میکند
  از ASR-Automated System Recovery حمایت میکند
در DNS,zone جدیدی داریم به نام Stub zone
میتوانیم اسم کامپیوتر را هر زمان بعد از نصب active directory عوض کنیم


نصب OS-Operating System

CD را در cdromمیگذاریم سپس دستگاه را مجداد روشن میکنیم و به bios میرویم و اولین دستگاه برای boot شدن را cdrom و دومین را hard disk انتخاب میکنید سپس escape را فشار میدهیم و سپس F10 را فشار میدهیم و save میکنیم و خارج میشویم
بعد از شروع مجدد پیام ...press any key boot from cd نمایش داده میشود و ما یک کلید را به دلخواه فشار میدهیم و Enterprise Edition را انتخاب میکنیم. حال نصب شروع میشوددر اینجا اگر بخواهیم میتوانیم partition اضافه و یا پاک کنیم سپس از ما سئوال میکند برای format و شما باید

Active Directory Domain Controller AD نصب اکتیو دایرکتوری

AD-Active Directory
اکتیودایرکتوری مجموعه ای از دستورالعملهایی است که به یکدیگر وابسته هستند
AD یک مخزن از اطلاعات است
AD از user Acount,Group Acount,Computer Acount, Printers, Group Policies و دیگر وسیله ها شامل میشود
اگر AD را نصب کنیم سیستم عامل ما به یک سرور تبدیل میشود در غیر اینصورت مثل یک client عمل میکند



نیازمندیها برای نصب ADS-Active Directory Service
DNS باید نصب باشد
باید یک کارت شبکه فعال داشته باشیم همچنین باید ip address و PDNS را تعیین کرده باشید
پارتیشنی که برای نصب در نظر دارید باید NTFS باشد
باید 1GB فضای خالی داشته باشیم


برای اینکه اجزای DNS را اضافه کنیم باید مسیر زیر را دنبال کنید

Start-->Setting-->Control Panel-->Add/remove Program-->add/remove Components-->select Networking service(dont tick)-->Details-->Tick DNS(Domain name system)-->ok-->Next-->finish

 

تبدیل FAT به NTFS
اگر بخواهیم پارتیشن را از FAT به NTFS تبدیل کنیم بدون اینکه اطلاعات پاک شود از فرمان زیر استفاده میکنیم

run-->cmd--> convert d: /fs:NTFS
d: درایو مورد نظر میباشد
fs-File System

 


 

نصب ADS
ابتدا به منوی start میرویم سپس Run در در آنجا فرمان dcpromo  را تایپ میکنیم و ok را میزنیم,سپس wizard را دنبال میکنیم و اسم domain مورد نظر را میدهیم بطور مثال dell.com سپس wizard را ادامه میدهیم و password مورد نظر را میدهیم تا به finish میرسیم و نصب خاتمه پیدا میکند

  • dcpromo- Domain Control Promotion

 

در هنگام نصب AD دوfolder بصورت اتوماتیک ساخته میشود

NTDS-New Technology Direction Services
SysVol-System Volume

 NTDS مندرجات AD و اطلاعات log file را در بر دارد
Sysvol  فایلهای عمومی domain را برای کپی کردن بین domain controllers در بر دارد

عملیات نصب ADS را بطور تصویری در اینجا میتوانید مشاهده کنید


برداشتن ADS
عمل نصب ADS با فرمان dcpromo فقط یک بار میتواند صورت بگیرد و اگر بار دیگر این عمل را تکرار کنید باعث میشود ADS,unistall شود و server تبدیل به client شود .عمل unistall با فرمان کاملتری نیز انجام میتواند بگیرد

run-->dcpromo /forceremoval

Objects
oject ها یک چیزی  از قبیل مواد زیر هستند

ُUser Acount(user name-password-email ID expire date-first name-last name)
Printer(printer name-location)
Group(group name-group membership)
Shared Folder(share name-location-size-date of creatied-modified accessed-encryption)

اجزای ترکیب دهنده AD

  • Logical Components

1.Domain
2.Trees
3.Forests
4.OU(Organisational Units)

  • Physical Components

1.DC(Domain Controllers)
2.sites

Domain (دومین)
به مجموعه ای از کامپیوترها گفته میشود که یک خط مشی امنیتی و یک بانک اطلاعاتی حوزه ای مشترک را به اشتراک میگذارند و هر حوزه نام منحصر بفردی دارد



ِ

Domain Controller

به سرویس دهنده اصلی که تمامی Active Directory Services را که برای شناسایی تمامی کاربران و منابع شبکه هستند در آن میباشد گفته میشود
نوعهای مختلفی از domain controller موجود میباشد که به قرار زیر میباشد

1.Domain Controller(DC)
2.Additional Domain Controller(ADC)
3.Child Domain Controller(CDC)

Domain Controller(DC)

با توجه به توضیحات بالا DC اولین domain controller در شبکه میباشد همچنین به آن parent domain گفته میشود
بطور مثال dell.com یک parent domain است

Additional Domain Controller(ADC)

ُیک نسخه کامل(Replica) از parent domain و child domain است که برای back up و زمانی که domain متوقف شد و برای تعادل بار در domain استفاده میشود
َ

Child Domain Controller(CDC)

ِیک domain controller است که درزیر parent domain controller نصب میشود و ارتباط دارد با parent اما در یک محل جدا از parent نصب میشود
بطور مثال sales.dell.com

 


Tree

یک مجموعه از domain controller ها میباشد که در زیر domain(دومین) قرار میگیرد

 

 

Parent Domain  iran.com
Child Domain  teh.iran.com , ahv.iran.com
Grand Child Domain kar.teh.iran.com , meh.teh.iran.com , sho.ahv.iran.com , dez.ahv.iran.com

 

Forest

به مجموعه ای از Tree ها Forest میگوییم
مجموع از  domain controller مستقل از قبیل  parent domains,child domain,back up  گوییم 

 

OU(Organisational Units)

OU یک شی است که مبنی بر اداره, محل و یا سرویسهابرای مدیریت ساده user ,group ساخته میشود

additional domain controller نصب ADC

یک نسخه کامل(Replica) از parent domain و child domain است که برای back up و زمانی که domain متوقف شد و برای تعادل بار در domain استفاده میشود

 

 

نصب ADC
توجه داشته باشید در ابتدا باید از درست کار کردن DNS در Parent Domain اطمینان حاصل کنیم .برای این منظور بعد از رفتن در cmd فرمان nslookup را اجرا میکنیم تا از صحت درست بودن DNS اطمینان حاصل کنیم
طریقه نصب DNS در فصلهای آینده بطور کامل شرح داده خواهد شد
سپس به دستگاه دیگر که به منظور نصب ADC در نظر گرفته ایم میرویم و تنظیمات ip را از قبیل ip address و preferred DNS را انجام میدهیم
توجه داشته باشید باید ip address با ip دومین اصلی فرق بکند الیته باید در یک range باشد .اما باید دقیقا همان DNS را که در parent domain قرار داده ایم را وارد کنیم.سپس به run میرویم و برای نصب Addition domain فرمان dcpromo را اجرا میکنیم
سپس طبق شکل زیر additional domain controller را انتخاب میکنیم و next را میزنیم


سپس طبق شکل زیر administrator را وارد میکنیم و password که در دومین قرار داده ایم را وارد میکنیم و اسم دومین اصلی را وارد میکنیم

سپس browss را انتخاب میکنیم و اسم domain را وارد میکنیم و next را میزنیم و مراحل را همان طور که در نصب parent domain انجام داده ایم انجام میدهیم

 

Child Domain Controller نصب و پیکربندی

یک domain controller است که درزیر parent domain controller نصب و با parent ارتباط دارد اما در یک محل جدا از parent نصب میشود
بطور مثال میخواهیم  mail.dell.com را نصب کنیم
پس از اجرای فرمان dcpromo و next به پنجره زیر وارد میشویم


سپس child domain را انتخاب میکنیم

حال اطلاعات مربوط به administrator را وارد میکنیم


حال پنجره نصب child domain ظاهر میشود

حال پنجره NetBIOS name ظاهر میشود


سپس مراحل نصب را به همان صورت که در Active Directory توضیح و نشان داده شد  میگذرانیم و نصب پایان میگرد و سیستم را restart میکنیم

Creating a Domain User Account ایجاد حساب کاربری

در این مرحله یک user ایجاد میکنیم تا به واسطه آن به server متصل شویم

start->Programs->Administrative Tools->Active Directory Users and Computers

ویا  Run->dsa.msc

سپس پنجره active directory users and computers نمایان میشود,روی dell.com راست کلیک کرده و new->user را انتخاب میکنیم

 

پس از اینکه نام user مورد نظر را وارد کردیم و next را زدیم به برای تعیین password به صفحه زیر وارد میشویم


پس از اینکه password وگزینه مورد نظر را انتخاب کردیم ساختن user پایان میگیرد

گزینه هایی که برای تعیین password قابل انتخاب هستند  به شرح زیر میباشد

User Must Change Password At Next Logon
به اجبار user در اولین log on باید password را عوض کند

User cannot change password
این گزینه از عوض کردن پسورد بوسیله کاربر جلوگیری میکند

Password never expires
این گزینه تمامی تنظیمات مربوط به انقظای پسورد را باطل میکند

Account is disabled
بوسیله این گزینه Administrator میتواند از ورود کاربربه سیستم جلوگیری کند
توجه داشته باشید بوسیله این گزینه account فعال میباشد اما user نمیتواند logon کند

 

Allow Domain User locally (ورود به سیستم به صورت محلی در ویندوز سرور 2003 )

اگر user بخواهد به صورت  locally(مستقیما در محل ) به server بصورت یک user وارد شود این عمل ممکن نمیباشد و administartor باید برای آن policies را تعیینن کرده باشد

start->administartor tools->domain security policies->local policies->user right assignment->allow logon locally(right click)->properties

سپس add user or group را انتخاب میکنیم

browse را انتخاب میکنیم

 

 

Advanced را انتخاب میکنیم


Find now را انتخاب میکنیم و سه گزینه Administrators,Domain users,Every one را انتخاب میکنیم

 

 

 

سپس دستور run->gpupdate را اجرا میکنیم
gpupdate مخفف group policy update میباشد

تنظیمات حساب کاربری برای یک کاربر عضو دومین

کارتهای هوشمند انتخاب عملی برای هر شبکه نیستند و شما همواره میتوانید  یک security خیلی بالا برای شبکه اجرا کنید زمانی که متوجه شوید مقداری از روشهای پیشنهادی را برای استفاده از password policy های قوی

تنظیمات Password Policy
برای پیکربندی یک password policy تمامی Domain User ها تاثیرگذار خواهد بود
گامهای زیر را دنبال کنید

Administrative tools->Domain security policy->account policies->password policy

 

 

تنظیمات که برای password policy موجود میباشد

  • Enforce password history
  • Maximum password age
  • Minimum password age
  • Minimum password length
  • Password must meet complexity requirements
  • Store passwords using reversible encryption 

 

Enforce password history
این تنظیمات مشخص میکند چند تا passwordواحد باید ساخته شود برای هر user account قبل از اینکه از password قدیمی دوباره استفاده شود


Maximum password age
این تنظیمات  تعداد روزهایی که یک password میتواند استفاده شود قبل از زمانی که باید عوض شود را مشخص میکند
password ها میتواند تنظیم شوند تا انقضا یابند بین 99-1 روز یا اینکه شما میتوانید  password ها را پیکربندی کنید بطوری که هرگز به انقضا نرسند( بوسیله تنظیمات اعداد,به 0 روز )
زمانیکه سن password  به مقداری حول صفرتنظیم شود ,کمترین مقدار سن password باید تنظیماتی کمتر از بیشترین سن password داشته باشد.اگر بیشترین سن password صفر باشد کمترین سن password میتواند بین اعداد 998-0 روز باشد

Minimum password age
این تنظیمات مشخص میکند تعداد روزهایی که password باید استفاده شود قبل از اینکه بخواهد reset شود این تنظیمات جلوگیری میکند user ها را از اینکه بطور دایره وار حول یک سری از password ها بسرعت حرکت کنند تا زمانی که password اصلی استفاده میشود



Minimum password length
این تنظیمات خود تعبیر است.شما میتوانید تنظیم کنید طول مقدار کمترین password را بین 1و14 کاراکتر
کمترین طول مقدار صفر تنظیم میشود که بدین معنی است که password فقط یک جای خالی است



Password must meet complexity requirements
این دستور تنظیم on و off است که complexity روشن باشد یا خاموش را مشخص میکند

 


Store passwords using reversible encryption
اگر چه بنظر میرسد که این گزینه کمک میکند به بالا بردن password security اما در حقیقت برعکس آن را انجام میدهد Store passwords using reversible encryption بدین معناست که رمزدار کردن میتواند نتیجه معکوس داشته باشد و هیج وقت این گزینه را enable نکنید




complexity Requirements
زمانی که Password باید برخورد بکند با complexity تنظیمات لازم policy باید enable شده باشد.

password جدید باید  با شرایط زیر برخورد بکند
password نباید همه قسمتهای اسم user account را در بر داشته باشد
طول کاراکترها حداقل باید 6 باشد

کاراکترها باید از دسته بندی زیر پیروی کنند
از حروف بزرگ انگلیسی A-Z
از حروف کوچک انگلیسی a-z
اعداد بین 0 و 9
کاراکترهای غیر حروف انگلیسی مثل ! , $ , # , %

Organizational Unit ساختن

یک کمپانی کوچک  به یک کمپانی بزرگ تبدیل میشود و تعداد user ها به عددی بزرگ تبدیل شده و مدیریت آن سخت میشود. برای یک مدیر در این مورد بهترین راه این است که user ها را به واحدهای دیگرقسمت کند .OU نیزفقط به این منظور بکار میرود
شما میتوانید شئی های AD را که  برای مدیریتهایی از قبیل users,groups,printer و غیره احتیاج خواهید داشت را بطور منطقی قرار بدهید
شما میتوانید بطور خیلی متفاوت  یکی از unit ها را نسبت به دیگر unit ها اداره کنید
OUها در واقع Group نیستند بلکه آنها محفظه ای از Administartive هستند
هر چیزی که بتوان در واقع در Group و یا در Adtive Directory Data Base بگذارید میتوانید در OU قرار دهید,که  این امر با Groupها  درست نمیشود
تنها اشیا AD  که گروهها هم میتوانند شامل آنها باشندعبارتند از User account ها و یا group account ها.
دیگر تفاوت عمده میان Groups و OU ها این است که شما میتوانید  Group Policy را برای  یک OU بکار ببرید, اما شما نمیتوانید  Group Policy را برای یک Groupاستفاده کنید.ممکن است آن نام دلالت کند ولی آن چیزی نیست که  برای آن Group policy استفاده میشود

ساختن OU ها

ابتدا پنجره Active Directory Users and computers را میگشاییم سپس بر روی دومین راست کلیک میکنیم  سپس New و بعد organizational unit را انتخاب میکنیم

بعد از آن اسم OU مورد نظر را وارد میکنیم

سپس میتوانیم اطلاعات OU مورد نظر از قبیل توضیحات , آدرس , شهر , استان , کد پستی , کشور را مشخص کنیم

 

Flexible Single Master of Operation (FSMO) رول

FSMO کنترل کنند ه دامنه (Domain Controller) عملکرد های در شبکه را انجام می دهند.بصورت پیشفرض , اولین Domain Controller در forest (جنگل ) تمامی عملکرد اصلی (operation master ) را نگهداری میکند . زمانی که یک دومین جدید درست کنید , اولین دومین کنترل کننده سه عملکرد اصلی دومین )RID Master , PDC emulator , Infrastructur master ) را نگهداری میکند.
FSMO برای کاهش تضاد و تسهیل ارتباطات مربوط به replication بین دومین کنترل ها استفاده میشود.

انواع Operation Master در یک دومین و سطح جنگل عبارتند از :
1.RID Master
2.PDC Emulator
3.Infrasticture Master
4.Domain Naming Master
5.Schema Master
تنها یک کنترل کننده دومین در دومین (Domain ) یا جنگل (forest) هر یک از نقش ها را انجام می دهند.

RID Master (Relative Identifer)
هر دومین در جنگل شما دقیقا یک دومین کنترلر دارد که رول RID Master را نگهداری میکند.هدف از این رول برای دوباره پرکردن حوضچه ID های وابسته (RIDs) استفاده نشده برای دومین و جلوگیری از تخلیه شدن این حوضچه است
وقتی که شما یک منشا امنیتی جدید (user , domputer account ) درست میکنید RIDs استفاده میشود. زیرا SID برای منشا امنیتی جدید بوسیله ادغام Domain SID با یک RID منحصربفرد گرفته شده از حوضچه ساخته شده است.بنابراین اگر شما به آخر RIDs برسید, قادر به ساختن هر یک از user یا computer account نیستید و برای جلوگیری از این اتفاق RID Master حوضچه RID را مانیتور میکند و RIDs جدید برای دوباره پرکردن زمانی که به سقوط در زیر سطح معین شده رسید تولید میکند.

PDC Emulator
یک دومین کنترلی است که خود را به عنوان (Primary Domain Controller (PDC به ایستگاه های کاری , عضو سرورها و دومین کنترل هایی که از نسخه های اولیه ویندوز استفاده میکنند انتشار می دهد.
تغییرات پسورد در درون یک دومین را تکرار میکند
همزمان کردن زمان در درون دومین اطمینان حاصل میکند (و در بین دومین های در جنگل )
یک دومین کنترل در هر دومین این رول میدهد .

Infrastructure Master
مسیر های تغییر مکان و تغییر نام object ها را برعهده دارد
بروز رسانی اطلاعات دامین کنترل گروه را انجام می دهد.

Domain Naming Master
از یکتا بودن نام دومینها اطمینان حاصل میکند
برای اضافه یا حذف یک دومین از جنگل قابل باید در دسترس باشد.
یک دومین کنترلر در جنگل این رول را انجام می دهد

Schema Master
نگهداری شکل (Schema ) برای جنگل را انجام می دهد.
یک دومین کنترلر در جنگل این رول را انجام می دهد.
همانطور که میدانید shema یک مجموعه از object است

ciscopersian.com


برچسب‌ها: نصب اکتیودایرکتوری, اکتیودایرکتوری ویندوز 2003, پیکره بندی اکتیودایرکتوری ویندوز 2003, اکتیودایرکتوری
+ نوشته شده در  ٢۳ اسفند ۱۳٩۱ساعت ۱:٤٧ ‎ق.ظ  توسط Milad  نظرات ()