مدیریت کاربران و گروه ها

 

مهمترین و ابتدایی ترین شیئ که پس از نصب اکتیو دایرکتوری مورد بررسی قرار می گیرد، User یا کاربر است. هر چند دومین قدم در مراحله عملیاتی سازی محیط اکتیو دایرکتوری شاید مدیریت کاربران نباشد. برای مدیریت محیط اکتیو دایرکتوری از کنسول ها و Snap-in های متعددی استفاده می شود. کنسولی که بیشترین استفاده روزانه را دارد و بیشترین حجم کاری مدیر شبکه روی آن کنسول اتفاق می افتد کنسولی به نام Active Directory Users and Computers است که از طریق MMC یا روش های مشابه می توانید به آن دسترسی پیدا کنید. برای باز کردن کنسول در یک روش ساده می توانید روی DC در run وارد کنید dsa.mcs. چنانچه از Core Server استفاده می کنید، توصیه می کنم به صورت remote به DC متصل شده و به مدیریت بپردازید.

برای شروع در ساده ترین گام های ممکن اقدام به ساخت یک کاربر جدید می کنیم.

۱٫ در Administrative Tools در Control Panel کنسول Active Directory Users and Computers را باز کنید.

۲٫ در نوار سمت چپ، روی نام دامین مثلا Contoso.com دابل کلیک کنید تا ساختار درختی آن باز شود.

۳٫ روی Users کلیک کرده تا User های موجود را مشاهده کنید.

۴٫ برای ساخت یک کاربر جدید روی Users کلیک راست کرده و New > New User را بزنید.

۵٫ در ویزارد باز شده با توجه به موارد زیر فیلد ها را پر کنید.
– در واقع فیلد Initials مربوط به نام وسط می شود.
– نام کامل برای ویرایش آسان تر است و در واقع CN کاربر است. این قسمت در کنسول نمایش داده می شود. باید در دربرگیرنده ی خود یکتا باشد. به عنوان مثال تنها یک کاربر با نام کامل معین می تواند در یک OU باشد. در تشابهات اسمی می توانید نام کامل را به نحوی ویرایش کنید که بتوانند هر دو کاربر ساخته شوند.
– در قسمت logon name نامی که کاربر باید با آن وارد سیستم شود را معین می کنید و با استفاده از لیست drop-down پسوند UPN را که در ادامه ی نام انتخابی شما می آید را انتخاب می کنید. این پسوند با استفاده از کاراکتر “@” به بقیه نام متصل می شود. در اکتیو دایرکتوری شما می توانید از کارکتر هایی همانند – یا ‘ برای logon name استفاده کنید اما در بسیاری از نرم افزار ها محدودیت کارکتر های خاص بیشتر است بنابراین توصیه می شود از کارکتر های خاص استفاده نکنید.
– لیست پسوند های UPN می تواند از طریق کنسول Active Directory Domains & Trusts قابل تعیین است که در اینجا مورد بحث قرار نمی گیرند اما نام DNS دامین همیشه در دسترس قرار دارد و نمی توان را حذف کرد.
– در قسمت logon name ویندوز های قبل ۲۰۰۰ محدودیت تعداد کارکتر بیشتر است و بعدا در این خصوص توضیح داده خواهد شد.

۶٫ next را بزنید و در مرحله بعدی کلمه عبور اولیه و تنظیمات ساده ای را می توان انجام داد.
– اکیدا توصیه می شود به علت پیگیری های وقایع و یافتن عامل خطا های انسانی، کلمه عبور یکسانی برای کاربران در حال ساخت تعیین نکنید و گزینه user must change password at next logon را فعال کنید تا کاربر با تعویض کلمه عبور خود، مسئولیت فعالیت های خود را نتواند به دپارتمان IT یا مدیر شبکه حواله کند.
– پسورد اولیه باید شرایط تعیین شده در Group Policy را دارا باشد به صورت پیش فرض باید دارای Complexity باشد که دارای شرایط زیر است

آ. بیش از ۷ کاراکتر یا ۷ کاراکتر
ب. باید شامل سه یا چهار نوع (دسته) کاراکتر متفاوت باشد؛ شامل حروف کوچک، حروف بزرگ، اعداد و کارکتر های غیر الفبایی همانند – % # ! $
ج. نمی تواند شامل هیچ کدام از نام ها یا logon name ها باشد

۷٫ Next را بزنید و اطلاعات وارد شده را بازبینی کنید. در صورتی که اشکالی موجود نبود Finish را بزنید.

اتوماتیک کردن مدیریت و ساخت کاربران

ساخت User Accounts ها فرآیندی است که بار کاری مدیران شبکه را افزایش می دهد. با توجه به مطالبی که در بالا ذکر شد، می توان به راحتی تمام اعمال مدیریتی مربوطه را انجام داد اما آن روش، روش کارا و مناسبی برای مدیریت کاربران نیست. اغلب در بین کاربران یک دامین ویژگی های مشابهی وجود دارد همانند امکان logon کردن در ساعات مشخص شده. در زمان ساخت یک user جدید می توان به سادگی از گزینه کپی کردن کاربر به جای ساخت یک کاربر جدید استفاده کرد. از زمان Windows NT 4.0، مفاهیم User Templates در ویندوز پشتیبانی می شد. User Template یک کاربر ساخته شده و آماده شده است که برای ساخت کاربر جدید از آن استفاده می شود. برای آنکه با این کاربر logon صورت نگیرد معمولا آن را Disable می کنند. پس از انجام این کار، اطلاعاتی از روی کاربر قدیم (Template) به کاربر ساخته شده کپی می شود که در هر زبانه به این صورت است:

۱٫ General : هیچ اطلاعاتی کپی نمی شود.
۲٫ Address : کدپستی، شهر، کشور کپی می شود اما آدرس کپی نمی شود.
۳٫ Account : ساعت های logon، کامپیوتر هایی که می تواند Logon کند، تاریخ انقضای اکانت و Account Options کپی می شوند.
۴٫ Profile : قسمت های profile path، logon Script و Home Drive و Home Folder Path کپی می شوند.
۵٫ Organization: قسمت های دپارتمان، کمپانی و مدیر کپی می شوند.
۶٫ Member of : گروه ها کپی می شوند.

تذکر: علاوه به مواردی که به صورت عادی در کنسول Active Directory Users & Computers موجود است، گزینه ها و موارد پر کاربرد دیگری نیز در دسترس است که برای دسترسی به آن ها باید از منوی View گزینه Advanced Features را انتخاب کرد. در این صورت گزینه هایی همانند Assitant و یا Employee ID نیز در دسترس خواهند بود که برخی از آن ها نیز کپی می شوند.

مفاهیم مربوط به  DN, RDN , CN

DN دقیقا مشابه یک مسیر برای اشیاء اکتیو دایرکتوری است. همانطور که با استفاده از مسیر c:texta.txt می تواند به فایل متنی رسید، DN یک روش مناسب تر برای رسیدن به اشیاء است. هر چند DN بسیار متفاوت از آن مثال است. هر شیء دارای یک DN یکتا خود است.

یک DN با شئ شروع می شود و به top level domain name ختم می شود. همانطور که پیش تر اشاره شد CN یا common name معرف شیئ است. OU معرف organizational unit است و DC معرف Domain Component.

قسمتی از DN که پیش از اولین OU است RDN یا relative distinguished name گفته می شود. از آنجایی که DN باید یکتا باشد RDN باید در دربرگیرنده (container) خود یکتا باشد.

استفاده از ابزار های مدیریتی روی خط فرمان:

دستور کاربرد
dsadd افزودن یک شیئ به اکتیو دایرکتوری
dsget نمایش ویژگی های یک شیئ
dsmod تغییر دادن یک ویژگی معین یک شیئ معین
dsmove جا به جا کردن یک شیئ به یک container دیگر مثلا یک OU دیگر
dsrm حذف کردن یک شیئ، تمام زیر مجموعه های یک شیئ container یا هر دو
dsquery جستجو در اکتیو دایرکتوری

جستجو روی خط فرمان

با استفاده از دستور dsquery می توانید به جستجو در اکتیو دایرکتوری بپردازید. مشابه سایر دستورات اکتیو دایرکتوری به صورت کامل مستند سازی شده و با استفاده از دستور ?/ dsquery می توانید اطلاعات کامل کسب کنید. به عنوان مثال برای جستجو یک کاربر از dsquery user استفاده می کنیم یا برای جستجو یک گروه از dsquery group و برای کامپیوتر از dsquery computer استفاده می کنیم. به عنوان مثال برای یافتن کاربر که نام او با Mah شروع می شود دستور زیر را وارد می کنیم:

c:> dsquery user -name Mah*

 

نتیجه جستجو چیزی مشابه زیر خواهد بود:

" CN=Mahyar CN=Users,DC=contoso,dc=com"

 

چنانچه شیوه ی DN شیوه مطلوب شما برای مشاهده ی نتایج نیست می توانید از سوییچ o استفاده کنید. مثلا برای مشاهده logon name می توانید سوییچ o upn- را به دستور اضافه کنید. یا برای مشاهده نام کاربری مربوط به ویندوز قبل از ۲۰۰۰ سوییچ o samid- را اضافه کنید.

افزودن یک کاربر روی خط فرمان

الگوی زیر را برای وارد کردن دستور افزودن یک نام کاربری در نظر بگیرید:

dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>]

[-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-pwd {<Password> | *}] [-desc <Description>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}]

توضیح آنکه هر سوییچ مربوط به کدام فیلد است در <> رو به روی هر سوییچ اضافه شده است. توجه فرمایید چنانچه از * در سوییچ pwd استفاده کنید، dsadd از شما برای کلمه عبور سوال خواهد کرد و روی صفحه نمایش داده نخواهد شد. همچنین توجه داشته باشید که <userdn> را به صورت کامل و صحیح وارد کنید. به مثال زیر توجه فرمایید.

dsadd user cn=erfan,cn=users,dc=contoso,dc=com   -fn erfan -ln taheri   -pwd [email protected]!  -disabled no

از طریق دستور DSadd می توانید تمام مشخصه ها را تنظیم کنید. برای کسب اطلاعات بیشتر به اینجا مراجعه کنید.

استفاده از CSVDE و LDIFDE

CSVDE یک ابزار خط فرمان است که با استفاده از آن می توان اطلاعات را از اکتیو دایرکتوری خارج یا به اکتیو دارکتوری وارد کرد. نوع فایل این ابزار می تواند به سادگی یک فایل متنی با شیوه نگارش صحیح باشد یا یک فایل CSV. می توان با استفاده از notepad یا Microsoft Office Excel نصب به ساخت این نوع فایل ها پرداخت. این دستور در اتوماتیک کردن فرآیند ساخت کاربران بسیار مهم و ساده است. الگوی کلی دستور به صورت زیر است:

csvde [-i] [-f filename] [-k]

پارامتر i معین کننده عمل import یا درون ریزی است و پارامتر f مشخص کننده نام و آدرس فایل ورودی یا خروجی است. سوییچ k برای در نظر نگرفتن خطای ناشی از وجود نظیر است. در اینجا منظور از وجود نظیر، وجود یک ویژگی نظیر یا یا شیئ نظیر با همان DN است. در این شیوه دیتا با استفاده از ویرگول به جای tab جدا می شود و به نحوی جدا می شود که هر قسمت مربوط به یک ستون از دایرکتوری است.

استفاده از CSVDE ها ضمن سادگی دارای معایبی نیز می باشد به همین جهت استفاده از LDIFDE توصیه می شود. در آینده در خصوص نحوه ساخت فایل CSV بیشتر بحث خواهد شد.

LDIFDE نیز برای درون ریزی یا برون ریزی اطلاعات از Active Directory استفاده می شود. Lightweight Directory Access Protocol Data Interchange Format یا به اختصار LDIF یک استاندارد Draft برای نوعی فایل است که برای انجام عملیات روی دایرکتوری هایی که از استاندارد های LDAP پشتیبانی می کند کاربرد دارد. در خصوص LDIFDE و نحوه استفاده از آن در آینده بحث می شود

 

اتوماتیک کردن مدیریت و ساخت کاربران

ساخت User Accounts ها فرآیندی است که بار کاری مدیران شبکه را افزایش می دهد. با توجه به مطالبی که در بالا ذکر شد، می توان به راحتی تمام اعمال مدیریتی مربوطه را انجام داد اما آن روش، روش کارا و مناسبی برای مدیریت کاربران نیست. اغلب در بین کاربران یک دامین ویژگی های مشابهی وجود دارد همانند امکان logon کردن در ساعات مشخص شده. در زمان ساخت یک user جدید می توان به سادگی از گزینه کپی کردن کاربر به جای ساخت یک کاربر جدید استفاده کرد. از زمان Windows NT 4.0، مفاهیم User Templates در ویندوز پشتیبانی می شد. User Template یک کاربر ساخته شده و آماده شده است که برای ساخت کاربر جدید از آن استفاده می شود. برای آنکه با این کاربر logon صورت نگیرد معمولا آن را Disable می کنند. پس از انجام این کار، اطلاعاتی از روی کاربر قدیم (Template) به کاربر ساخته شده کپی می شود که در هر زبانه به این صورت است:

۱٫ General : هیچ اطلاعاتی کپی نمی شود.
۲٫ Address : کدپستی، شهر، کشور کپی می شود اما آدرس کپی نمی شود.
۳٫ Account : ساعت های logon، کامپیوتر هایی که می تواند Logon کند، تاریخ انقضای اکانت و Account Options کپی می شوند.
۴٫ Profile : قسمت های profile path، logon Script و Home Drive و Home Folder Path کپی می شوند.
۵٫ Organization: قسمت های دپارتمان، کمپانی و مدیر کپی می شوند.
۶٫ Member of : گروه ها کپی می شوند.

تذکر: علاوه به مواردی که به صورت عادی در کنسول Active Directory Users & Computers موجود است، گزینه ها و موارد پر کاربرد دیگری نیز در دسترس است که برای دسترسی به آن ها باید از منوی View گزینه Advanced Features را انتخاب کرد. در این صورت گزینه هایی همانند Assitant و یا Employee ID نیز در دسترس خواهند بود که برخی از آن ها نیز کپی می شوند.

مفاهیم مربوط به  DN, RDN , CN

DN دقیقا مشابه یک مسیر برای اشیاء اکتیو دایرکتوری است. همانطور که با استفاده از مسیر c:texta.txt می تواند به فایل متنی رسید، DN یک روش مناسب تر برای رسیدن به اشیاء است. هر چند DN بسیار متفاوت از آن مثال است. هر شیء دارای یک DN یکتا خود است.

یک DN با شئ شروع می شود و به top level domain name ختم می شود. همانطور که پیش تر اشاره شد CN یا common name معرف شیئ است. OU معرف organizational unit است و DC معرف Domain Component.

قسمتی از DN که پیش از اولین OU است RDN یا relative distinguished name گفته می شود. از آنجایی که DN باید یکتا باشد RDN باید در دربرگیرنده (container) خود یکتا باشد.

استفاده از ابزار های مدیریتی روی خط فرمان:

دستور کاربرد
dsadd افزودن یک شیئ به اکتیو دایرکتوری
dsget نمایش ویژگی های یک شیئ
dsmod تغییر دادن یک ویژگی معین یک شیئ معین
dsmove جا به جا کردن یک شیئ به یک container دیگر مثلا یک OU دیگر
dsrm حذف کردن یک شیئ، تمام زیر مجموعه های یک شیئ container یا هر دو
dsquery جستجو در اکتیو دایرکتوری

About mahyar

OrcID: 0000-0001-8875-3362 PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS MCITP: Enterprise AdministratorCCNA, CCNP (R&S , Security)ISO/IEC 27001 Lead Auditor

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …