آموزش مهندسی شبکه مایکروسافت پارت اول

1. بررسی پیش‌نیازهای سخت‌افزاری و نرم‌افزاری

• سیستم‌عامل:
  سیستم‌عامل سرور باید نسخه‌ای از ویندوز سرور (مانند Windows Server 2019 یا 2022) باشد که از AD DS پشتیبانی کند.
• سخت‌افزار:
  • حداقل 2 هسته پردازنده.
  • 4 گیگابایت RAM (توصیه می‌شود 8 گیگابایت یا بیشتر).
  • 32 گیگابایت فضای ذخیره‌سازی برای نصب ویندوز سرور.
• آدرس IP ثابت (Static):
  سرور باید دارای آدرس IP ثابت باشد.

2. نصب ویندوز سرور و تنظیمات اولیه

• نصب ویندوز سرور:
  ویندوز سرور باید با استفاده از تنظیمات پیش‌فرض یا سفارشی نصب شود.
• تنظیم نام سرور:
  نام مناسبی برای سرور انتخاب کنید که مطابق استانداردهای سازمان باشد (مانند DC1 یا ADServer01).
• تنظیم آدرس IP ثابت:
  • به Control Panel > Network and Sharing Center > Change Adapter Settings بروید.
  • آدرس IP ثابت، Subnet Mask و Default Gateway را تنظیم کنید.
  • آدرس DNS اولیه باید به آدرس IP خود سرور اشاره کند.

3. بررسی سلامت شبکه

• اتصال شبکه:
  اطمینان حاصل کنید که سرور به شبکه داخلی متصل است و ارتباط پایدار دارد.
• Ping:
  با استفاده از دستور ping ارتباط بین سرور و کلاینت‌های شبکه را بررسی کنید.
• نام دامنه:
  بررسی کنید که دامنه‌ای که قصد دارید ایجاد کنید از نظر نام‌گذاری با سایر دامنه‌های موجود تداخل نداشته باشد.

4. آماده‌سازی تنظیمات DNS

Active Directory وابستگی زیادی به DNS دارد. اگر سرور DNS از قبل پیکربندی نشده است، باید هنگام نصب AD DS این نقش را به سرور اضافه کنید.

• در صورت استفاده از DNS موجود:
  اطمینان حاصل کنید که رکوردهای DNS برای دامنه جدید به‌درستی تنظیم شوند.
• در صورت نصب DNS جدید:
  نقش DNS Server می‌تواند همراه با نصب AD DS پیکربندی شود.

5. بررسی حساب‌های کاربری و دسترسی‌ها

• دسترسی ادمین:
  حساب کاربری باید دارای مجوزهای ادمین (Administrator) روی سرور باشد.
• حساب‌های دیگر:
  اگر از یک محیط چندگانه استفاده می‌کنید، اطمینان حاصل کنید که حساب‌های مورد نیاز برای عملیات اولیه وجود دارند.

6. نصب پیش‌نیازهای نرم‌افزاری

برخی از ویژگی‌ها و نقش‌ها باید پیش از نصب AD DS فعال شوند:

• .NET Framework
• Windows Management Framework

7. برنامه‌ریزی نام‌گذاری دامنه

• نام داخلی دامنه:
  از نام‌های کوتاه و مشخص استفاده کنید (مانند contoso.local).
• پرهیز از نام‌های عمومی:
  از نام‌های عمومی که ممکن است با دامنه‌های اینترنتی تداخل داشته باشند، اجتناب کنید.

8. بررسی سیاست‌های امنیتی

• رمز عبور قوی:
  برای حساب Administrator رمز عبور قوی و پیچیده تعیین کنید.
• Firewall:
  بررسی کنید که تنظیمات Firewall با نیازهای AD DS همخوانی داشته باشد.

جمع‌بندی

آماده‌سازی محیط پیش از نصب AD DS تضمین می‌کند که فرآیند نصب به‌درستی انجام شده و پس از آن، سرویس Active Directory به‌طور پایدار کار کند. با توجه به این مراحل، می‌توانید سرور خود را برای اجرای AD DS بهینه‌سازی کنید و از مشکلات احتمالی جلوگیری نمایید.

1. نصب نقش AD DS

برای نصب نقش Active Directory Domain Services مراحل زیر را انجام دهید:

1. وارد سیستم با حساب Administrator شوید.
2. Server Manager را باز کنید و روی Add Roles and Features کلیک کنید.
3. در بخش Installation Type، گزینه Role-based or Feature-based Installation را انتخاب کنید.
4. سروری که نقش روی آن نصب می‌شود را انتخاب کنید.
5. نقش Active Directory Domain Services را انتخاب کرده و دکمه Next را بزنید.
6. در بخش Features، تنظیمات پیش‌فرض را حفظ کرده و روی Next کلیک کنید.
7. خلاصه تنظیمات را بررسی کرده و روی Install کلیک کنید.

2. پیکربندی DC پس از نصب نقش AD DS

پس از نصب AD DS، سرور باید به یک Domain Controller ارتقا داده شود:

1. در Server Manager، روی پیام “Promote this server to a domain controller” کلیک کنید.
2. یکی از گزینه‌های زیر را بر اساس نیاز خود انتخاب کنید:
   • Add a new forest: اگر اولین Domain Controller در سازمان است.
   • Add a domain to an existing forest: اگر یک دامنه جدید به ساختار فعلی اضافه می‌کنید.
   • Add an additional domain controller to an existing domain: برای افزودن یک DC اضافی.
3. اگر Add a new forest را انتخاب کردید:
   • Root domain name را وارد کنید (مانند contoso.local).
4. روی Next کلیک کرده و سطح عملکرد Forest و Domain را تنظیم کنید (معمولاً Windows Server 2016 یا 2019).
5. Directory Services Restore Mode (DSRM) را پیکربندی کنید:
   • یک رمز عبور قوی برای این حالت وارد کنید.
6. تنظیمات DNS و NetBIOS را مرور کرده و مقادیر پیش‌فرض را تأیید کنید.
7. مسیر ذخیره فایل‌های پایگاه داده، لاگ و SYSVOL را تنظیم کنید (پیش‌فرض مناسب است).
8. Review Options را بررسی کرده و روی Install کلیک کنید.

3. بررسی صحت نصب

پس از راه‌اندازی مجدد سرور:

• وارد سیستم با حساب Domain Administrator شوید.
• با استفاده از ابزارهای زیر نصب را بررسی کنید:
  • Active Directory Users and Computers (ADUC): بررسی کنید که دامنه و DC به‌درستی نمایش داده شوند.
  • DNS Manager: رکوردهای DNS مرتبط با AD DS (مانند SRV Records) را بررسی کنید.
  • دستور dcdiag: این ابزار می‌تواند وضعیت Domain Controller را بررسی کند. دستور زیر را در Command Prompt اجرا کنید:

    dcdiag /v
    

4. تنظیمات امنیتی و مدیریتی DC

• به‌روزرسانی سیستم: مطمئن شوید که سیستم به‌روز است و آخرین پچ‌های امنیتی نصب شده‌اند.
• مدیریت دسترسی‌ها:
  • مجوزهای لازم را برای حساب‌های کاربری مرتبط با مدیریت AD DS تعیین کنید.
  • دسترسی مستقیم به DC را محدود کنید.
• پشتیبان‌گیری:
  • ابزارهای پشتیبان‌گیری (مانند Windows Server Backup) را پیکربندی کنید.
  • برنامه‌ای برای Backup منظم پایگاه داده AD DS تنظیم کنید.

5. افزودن DC اضافی (اختیاری)

برای افزایش پایداری و توازن بار، می‌توانید DCهای بیشتری در دامنه خود اضافه کنید.

• از گزینه Add an additional domain controller to an existing domain هنگام ارتقا استفاده کنید.
• اطمینان حاصل کنید که replication بین DCها به درستی پیکربندی شده است.

جمع‌بندی

نصب و پیکربندی Domain Controller (DC) بخش کلیدی در ایجاد یک محیط Active Directory قابل اعتماد است. با رعایت این مراحل، می‌توانید یک DC پایدار و امن برای مدیریت کاربران، دستگاه‌ها و منابع شبکه داشته باشید.

1. مانیتورینگ و بررسی سلامت Domain Controllers

بررسی منظم سلامت DCها برای اطمینان از عملکرد صحیح آنها ضروری است:

ابزارهای مانیتورینگ:

• Event Viewer: برای شناسایی خطاها و هشدارهای مرتبط با Active Directory و DNS.
  • بخش‌های مهم: Directory Service، DNS Server، و System Logs.
• Dcdiag: ابزار خط فرمان برای بررسی سلامت DC. مثال:

  dcdiag /v
  

• Active Directory Replication Status Tool: بررسی وضعیت Replication بین DCها.

نکات:

• مشکلات Replication یا خطاهای DNS می‌توانند باعث اختلال در عملکرد AD DS شوند.
• هشدارهای Event Viewer را تحلیل و رفع کنید.

2. مدیریت Replication بین DCها

Replication، داده‌ها را بین DCهای مختلف هماهنگ نگه می‌دارد. برای مدیریت صحیح:

• Active Directory Sites and Services را باز کنید:
  • سایت‌ها و لینک‌های ارتباطی را بررسی کنید.
  • فواصل Replication را تنظیم کنید.
• از دستور زیر برای بررسی وضعیت Replication استفاده کنید:

  repadmin /showrepl
  

• مشکلات Replication را با دستور زیر تحلیل و رفع کنید:

  repadmin /syncall /AeD
  

  . به‌روزرسانی و پچ‌های امنیتی

• به‌روزرسانی‌های سیستم‌عامل: تمام DCها را با آخرین پچ‌های امنیتی به‌روزرسانی کنید.
• نصب Windows Server Update Services (WSUS): برای مدیریت متمرکز به‌روزرسانی‌ها.
• گزارش‌گیری: بعد از هر به‌روزرسانی، صحت عملکرد AD DS را بررسی کنید.

4. پشتیبان‌گیری (Backup) و بازیابی (Recovery)

پشتیبان‌گیری از پایگاه داده AD DS برای محافظت از داده‌های مهم و قابلیت بازیابی در مواقع بحرانی حیاتی است.

تنظیم پشتیبان‌گیری:

• از Windows Server Backup برای گرفتن نسخه پشتیبان از System State استفاده کنید.
• برنامه‌ریزی برای پشتیبان‌گیری منظم (روزانه یا هفتگی).
• بررسی موفقیت‌آمیز بودن پشتیبان‌گیری‌ها.

بازیابی:

• Directory Services Restore Mode (DSRM): از این حالت برای بازیابی AD DS استفاده کنید.
• بازگرداندن DC در صورت خرابی با استفاده از System State Backup.

5. مدیریت حساب‌های سرویس و امنیت DC

مدیریت حساب‌ها:

• دسترسی مستقیم به DCها را به حداقل برسانید.
• استفاده از حساب‌های کاربری با حداقل دسترسی (Least Privilege).

امنیت:

• فعال کردن Auditing برای نظارت بر تغییرات Active Directory.
• استفاده از فایروال برای محدود کردن دسترسی به DCها.
• غیرفعال کردن پروتکل‌ها و سرویس‌های غیرضروری.

6. نظارت بر عملکرد و بهینه‌سازی

مانیتورینگ منابع:

• استفاده از Task Manager یا Performance Monitor برای نظارت بر پردازنده، حافظه، و فضای دیسک.
• ابزار Resource Monitor برای تحلیل دقیق‌تر.

بهینه‌سازی:

• حذف اشیاء و داده‌های غیرضروری از AD DS.
• مدیریت Global Catalog Servers برای بهبود سرعت جستجو.
• کاهش بار روی DCها با استفاده از Additional Domain Controllers.

7. مدیریت Roleهای Operations Masters

Operations Masters (FSMO Roles) وظایف حیاتی را در ساختار Active Directory انجام می‌دهند.

• از Active Directory Users and Computers یا PowerShell برای مدیریت این نقش‌ها استفاده کنید.
• اطمینان حاصل کنید که تمامی نقش‌ها به‌درستی اختصاص داده شده‌اند.
• در صورت نیاز به انتقال یک نقش، از دستورات زیر استفاده کنید:

  Move-ADDirectoryServerOperationMasterRole -Identity "DC_Name" -OperationMasterRole PDCEmulator
  

8. مدیریت Read-Only Domain Controllers (RODCs)

RODCها برای دفاتر از راه دور و مکان‌های با امنیت پایین طراحی شده‌اند.

• محدود کردن داده‌های ذخیره‌شده روی RODC.
• استفاده از Password Replication Policy برای مدیریت کپی کردن رمزهای عبور.
• بررسی و مانیتورینگ RODC‌ها به‌طور منظم.

9. عیب‌یابی مشکلات رایج DC

• خطاهای Replication: با استفاده از ابزارهای repadmin و dcdiag مشکلات را شناسایی و رفع کنید.
• خطاهای DNS: بررسی و اصلاح رکوردهای DNS در DNS Manager.
• مشکلات احراز هویت: اطمینان از صحت تنظیمات Time Synchronization.

جمع‌بندی

مدیریت و نگهداری Domain Controllers شامل مانیتورینگ، پشتیبان‌گیری، به‌روزرسانی، و بهینه‌سازی است. با رعایت این اصول و استفاده از ابزارهای مناسب، می‌توانید DCهای پایدار و امنی داشته باشید و از اختلالات در سرویس‌های Active Directory جلوگیری کنید.

1. ویژگی‌ها و مزایای RODC

ویژگی‌ها:

• Read-Only Replication: اطلاعات Active Directory به صورت فقط خواندنی در RODC ذخیره می‌شوند.
• Password Replication Policy (PRP): کنترل دقیق بر کپی شدن رمزهای عبور به RODC.
• محافظت در برابر تغییرات: هیچ تغییری روی RODC در Active Directory مرکزی بازتاب داده نمی‌شود.

مزایا:

• کاهش ریسک نفوذ در محیط‌های ناامن.
• بهبود عملکرد و دسترسی در دفاتر از راه دور.
• حداقل تأثیرگذاری در صورت به خطر افتادن RODC.

2. نصب و پیکربندی RODC

برای نصب RODC:

1. نصب رول AD DS: رول Active Directory Domain Services را روی سرور نصب کنید.
2. اضافه کردن نقش RODC: با استفاده از Server Manager یا PowerShell، RODC را در یک دامین موجود نصب کنید.

   Install-ADDSDomainController -DomainName "example.com" -ReadOnlyReplica
   

   پیکربندیPassword Replication Policy (PRP): تعیین کنید که کدام حساب‌ها اجازه دارند رمزهای عبورشان در RODC ذخیره شود.

3. مدیریت Password Replication Policy (PRP)

تعریف PRP:

PRP سیاستی است که تعیین می‌کند کدام حساب‌ها (کاربران یا رایانه‌ها) رمزهای عبورشان در RODC ذخیره شوند.

• حساب‌های حساس (مانند ادمین‌ها) به صورت پیش‌فرض در لیست Denied قرار دارند.
• می‌توانید لیست Allowed و Denied را از طریق کنسول Active Directory Users and Computers مدیریت کنید.

ویرایش PRP:

1. باز کردن Active Directory Users and Computers.
2. انتخاب Properties برای RODC مورد نظر.
3. رفتن به تب Password Replication Policy.
4. اضافه یا حذف حساب‌ها در لیست‌های Allowed و Denied.

بررسی رمزهای ذخیره‌شده:

• با استفاده از ابزار زیر، می‌توانید حساب‌هایی که رمز آنها در RODC ذخیره شده را مشاهده کنید:

  Install-ADDSDomainController -DomainName "example.com" -ReadOnlyReplica
  

4. مدیریت کش Credentialهای RODC

کش رمزهای عبور در RODC به صورت انتخابی انجام می‌شود.

• اگر کاربری رمز عبور خود را فراموش کند یا خطایی رخ دهد، باید به یک Writable Domain Controller متصل شود.
• در صورت مشکوک شدن به لو رفتن RODC، کش رمزهای عبور را پاک کنید:

repadmin /prp remove <RODC_Name> <Account_Name>

5. مدیریت و مانیتورینگ RODC

ابزارها:

• Event Viewer: بررسی لاگ‌های امنیتی و عملیاتی مرتبط با RODC.
• Dcdiag: تست سلامت RODC. مثال:

  dcdiag /test:rodcdiag
  
• Repadmin: بررسی وضعیت Replication.

توصیه‌ها:

• به طور مرتب ارتباط Replication بین RODC و DC اصلی را بررسی کنید.
• اطمینان حاصل کنید که RODC به DC قابل نوشتن متصل است.

6. محدود کردن دسترسی به RODC

تفویض دسترسی:

RODC به مدیران محلی (Local Administrators) اجازه می‌دهد برخی وظایف مدیریتی را بدون تأثیرگذاری بر Active Directory مرکزی انجام دهند.

• از Delegation of Control Wizard برای تفویض دسترسی استفاده کنید.
• وظایف محدود مانند ریست رمزهای عبور کاربران محلی را تعریف کنید.

تنظیمات امنیتی:

• فعال کردن Auditing برای رصد تغییرات روی RODC.
• استفاده از فایروال برای محدود کردن دسترسی.

7. عیب‌یابی RODC

مشکلات معمول:

• Replication Errors:
  با استفاده از ابزار repadmin وضعیت Replication را بررسی و رفع کنید:

  repadmin /syncall /AeD
  

  عدم دسترسی به RODC:
• اطمینان حاصل کنید که RODC به درستی به DC اصلی متصل است.
• خطاهای PRP:
  لیست‌های Allowed و Denied را دوباره بررسی کنید.

8. بازیابی RODC در مواقع خرابی

در صورت خرابی RODC:

1. از دستور زیر برای حذف RODC از دامین استفاده کنید:

   ntdsutil metadata cleanup
   

2. RODC را دوباره نصب کنید و تنظیمات PRP را بازسازی کنید.
3. برای جلوگیری از سوءاستفاده، رمزهای ذخیره‌شده در RODC را با ابزار زیر حذف کنید:

   repadmin /prp removeall <RODC_Name>
   

   جمع‌بندی

مدیریت RODC شامل نصب و پیکربندی صحیح، کنترل سیاست‌های کش رمزهای عبور، نظارت بر سلامت و امنیت، و تفویض دسترسی‌های محدود به مدیران محلی است. با رعایت اصول مدیریتی و استفاده از ابزارهای مانیتورینگ، می‌توانید از عملکرد بهینه RODCها اطمینان حاصل کرده و امنیت شبکه خود را تضمین کنید.

1. مشکلات رایج در AD DS

1. خطاهای مرتبط با احراز هویت:
   • کاربران نمی‌توانند به شبکه وارد شوند یا پیامی مشابه زیر دریافت می‌کنند:
     “The trust relationship between this workstation and the primary domain failed.”
2. خطاهای مرتبط با Replication:
   • اطلاعات بین Domain Controllerها همگام‌سازی نمی‌شود.
   • پیام‌هایی مانند “Replication failed” در لاگ‌ها ظاهر می‌شود.
3. مشکلات DNS:
   • نام‌های دامنه به درستی تبدیل (Resolve) نمی‌شوند.
   • کاربران نمی‌توانند به منابع شبکه دسترسی داشته باشند.
4. خرابی پایگاه داده Active Directory:
   • اشیاء موجود در AD DS (مانند کاربران یا گروه‌ها) ناپدید شده‌اند یا قابل دسترسی نیستند.
5. مشکلات مرتبط با Group Policy:
   • Group Policy Objects (GPO) اعمال نمی‌شوند یا تغییرات با تأخیر اعمال می‌گردد.

2. ابزارهای عیب‌یابی

1. Event Viewer:
   بررسی لاگ‌های مربوط به مشکلات AD DS.
   مسیر:
   • Applications and Services Logs > Directory Service
   • DNS Server
2. Dcdiag:
   ابزار اصلی برای بررسی سلامت Domain Controllerها:

   dcdiag /v
   

   Repadmin:ابزار مدیریت و عیب‌یابی Replication:

   repadmin /showrepl
   repadmin /replsummary
   

3. Nltest:بررسی صحت ارتباطات بین کلاینت‌ها و دامین:

   nltest /dsgetdc:domainname
   

4. عیب‌یابی مشکلات مرتبط با DNS:

nslookup domainname

3. مراحل عیب‌یابی مشکلات رایج

الف) مشکلات احراز هویت

1. بررسی صحت اتصال کلاینت به DC:

   nltest /sc_verify:domainname
   

2. تنظیم مجدد Trust Relationship در صورت خرابی:
   • جدا کردن کلاینت از دامین و پیوستن مجدد.
   • استفاده از PowerShell برای ریست کردن حساب کلاینت:

     Reset-ComputerMachinePassword -Server DCname
     

3. اطمینان از هماهنگی زمان (Time Sync) بین سرورها و کلاینت‌ها:

   w32tm /query /status
   

ب) مشکلات Replication

1. بررسی وضعیت Replication بین DCها:

   repadmin /showrepl
   

2. همگام‌سازی دستی:

   repadmin /syncall /AeD
   

3. رفع مشکلات مربوط به تنظیمات سایت‌ها و Subnets در Active Directory Sites and Services.
4. بررسی وضعیت ارتباط شبکه بین DCها:

   ping DCname
   

ج) مشکلات DNS

• بررسی تنظیمات DNS در کلاینت‌ها:

ipconfig /all

•   تست عملکرد DNS :

nslookup domainname

ipconfig /flushdns
ipconfig /registerdns

• اطمینان از صحت پیکربندی Forwarders در DNS Manager.

د) خرابی پایگاه داده Active Directory

1. بررسی سلامت پایگاه داده با ntdsutil:

   ntdsutil
   activate instance ntds
   files
   integrity
   

2. تعمیر پایگاه داده در صورت نیاز:

   eseutil /p "path_to_database"
   

3. بازیابی پایگاه داده از بکاپ در صورت خرابی شدید.

هـ) مشکلات Group Policy

1. بررسی صحت اعمال GPO روی کلاینت‌ها:

   gpresult /h report.html
   

     . 2تست اتصال به

   SYSVOL

   net share
   

   3. رفع مشکلات مربوط به اعمال GPO:

   • به‌روزرسانی GPOها به صورت دستی:

     gpupdate /force
     

4. بهترین روش‌ها برای جلوگیری از مشکلات

1. تهیه بکاپ منظم:
   از AD DS و پایگاه داده DNS به صورت منظم نسخه پشتیبان تهیه کنید.
2. مانیتورینگ مداوم:
   با استفاده از ابزارهایی مانند System Center Operations Manager (SCOM)، وضعیت AD DS را نظارت کنید.
3. پیاده‌سازی به‌روزرسانی‌ها:
   سرورها و سرویس‌های مرتبط را به‌روزرسانی کنید تا از وجود اشکالات نرم‌افزاری جلوگیری شود.
4. بررسی دوره‌ای لاگ‌ها:
   لاگ‌های Event Viewer و ابزارهای مانیتورینگ را برای شناسایی زودهنگام مشکلات بررسی کنید.
5. آموزش کارکنان IT:
   تیم پشتیبانی شبکه را برای شناسایی و رفع مشکلات رایج در AD DS آموزش دهید.

جمع‌بندی

عیب‌یابی مشکلات Active Directory Domain Services نیازمند شناسایی دقیق منشأ مشکل و استفاده از ابزارهای مناسب است. با استفاده از ابزارهایی مانند Dcdiag، Repadmin و Event Viewer می‌توانید مشکلات را به سرعت شناسایی و رفع کنید. نگهداری و مانیتورینگ پیشگیرانه از بروز مشکلات بزرگ‌تر جلوگیری می‌کند و کارایی شبکه را تضمین خواهد کرد.

1. ایجاد User Accounts

الف) استفاده از Active Directory Users and Computers (ADUC)

1. باز کردن کنسول ADUC:
   • دکمه Start > جستجوی Active Directory Users and Computers.
2. انتخاب OU (Organizational Unit) مناسب:
   • بر روی OU کلیک راست کرده و گزینه New > User را انتخاب کنید.
3. وارد کردن اطلاعات کاربر:
   • First Name: نام کاربر
   • Last Name: نام خانوادگی
   • User Logon Name: نام کاربری برای ورود به دامنه
4. تنظیم رمز عبور:
   • انتخاب رمز عبور و تنظیم سیاست‌هایی مانند User must change password at next logon.
5. تکمیل فرآیند:
   • کلیک بر روی Finish.

ب) استفاده از PowerShell

1. ایجاد حساب کاربری:

   New-ADUser -Name "John Doe" -GivenName "John" -Surname "Doe" -SamAccountName "jdoe" -UserPrincipalName "jdoe@domain.com" -Path "OU=Users,DC=domain,DC=com" -AccountPassword (ConvertTo-SecureString "Password123!" -AsPlainText -Force) -Enabled $true
   

   • اضافه کردن ایمیل، شماره تلفن، و سایر اطلاعات با دستور:

     Set-ADUser -Identity "jdoe" -EmailAddress "jdoe@domain.com" -OfficePhone "123-456-7890"
     

2. مدیریت User Accounts

الف) تغییر اطلاعات کاربران

1. از طریق ADUC:
   • بر روی حساب کاربری کلیک راست کرده و Properties را انتخاب کنید.
   • اطلاعات کاربر را در تب‌های مختلف (General، Address، Account) تغییر دهید.
2. از طریق PowerShell:
   • تغییر نام:

     Rename-ADObject "CN=John Doe,OU=Users,DC=domain,DC=com" -NewName "John D"
     

   • تغییر رمز عبور:
     Set-ADAccountPassword -Identity "jdoe" -NewPassword (ConvertTo-SecureString "NewPassword123!" -AsPlainText -Force)
     

ب) قفل و غیرفعال کردن حساب‌ها

1. غیرفعال کردن حساب:

   Disable-ADAccount -Identity "jdoe"
   

2. قفل کردن حساب:
   • این کار به صورت خودکار توسط سیاست‌های امنیتی انجام می‌شود.
3. باز کردن حساب قفل شده:

   Unlock-ADAccount -Identity "jdoe"
   

   ج) حذف حساب‌های کاربری

1. از طریق ADUC:
   • بر روی حساب کاربری کلیک راست کرده و گزینه Delete را انتخاب کنید.
2. از طریق PowerShell:

   Remove-ADUser -Identity "jdoe"
   

3. بهترین روش‌ها در مدیریت User Accounts

الف) سیاست‌های رمز عبور

• اعمال سیاست‌های پیچیدگی رمز عبور:
  • حداقل طول رمز عبور
  • استفاده از کاراکترهای خاص
• الزام کاربران به تغییر رمز عبور به صورت دوره‌ای:

  Set-ADUser -Identity "jdoe" -PasswordNeverExpires $false
  

  ب) استفاده از گروه‌های امنیتی

• اضافه کردن کاربران به گروه‌های مناسب برای کنترل دسترسی:

  Add-ADGroupMember -Identity "IT Team" -Members "jdoe"
  

ج) غیرفعال کردن حساب‌های غیرضروری

• شناسایی و غیرفعال کردن حساب‌های بدون استفاده:

  Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00
  

د) مستندسازی

• نگهداری اطلاعات حساب‌ها در قالب فایل‌های اکسل یا ابزارهای مدیریت کاربران برای جلوگیری از مشکلات.

4. عیب‌یابی مشکلات User Accounts

الف) بررسی حساب‌های قفل شده

• نمایش حساب‌های قفل شده:

Search-ADAccount -LockedOut

ب) بررسی دلایل عدم ورود کاربر

• بررسی پیام‌های خطا.
• استفاده از Event Viewer برای مشاهده لاگ‌ها:
  • مسیر: Windows Logs > Security.
• تأیید تنظیمات DNS و Replication.

5. جمع‌بندی

ایجاد و مدیریت User Accounts به عنوان یکی از فعالیت‌های پایه‌ای مدیران شبکه، نیازمند دقت و دانش کافی است. استفاده از ابزارهای گرافیکی مانند ADUC و دستورات PowerShell، فرآیند مدیریت کاربران را بهینه می‌کند. همچنین، پایبندی به بهترین روش‌ها، مانند سیاست‌های رمز عبور و مدیریت گروه‌های امنیتی، امنیت شبکه را افزایش داده و دسترسی به منابع را ساده‌تر می‌سازد.

1. انواع گروه‌ها در Active Directory

در AD DS دو نوع گروه اصلی وجود دارد:

الف) گروه‌های امنیتی (Security Groups):

• برای اعمال مجوزهای امنیتی و دسترسی به منابع مانند فایل‌ها، پوشه‌ها و پرینترها استفاده می‌شوند.
• به کاربران و دیگر گروه‌ها سطوح دسترسی اختصاص می‌دهند.

ب) گروه‌های توزیع (Distribution Groups):

• برای ارسال ایمیل‌ها و ارتباطات استفاده می‌شوند.
• نمی‌توان از آن‌ها برای تخصیص مجوزهای امنیتی استفاده کرد.

2. دامنه (Scope) گروه‌ها

برای مدیریت بهتر گروه‌ها در ساختارهای مختلف Active Directory، سه Scope برای گروه‌ها تعریف می‌شود:

1. Local Domain Group (گروه‌های محلی دامنه):
   • فقط در یک دامنه قابل استفاده هستند.
   • می‌توانند شامل کاربرانی از همان دامنه، گروه‌ها و دیگر منابع باشند.
2. Global Group (گروه‌های جهانی):
   • برای گروه‌بندی کاربران در یک دامنه استفاده می‌شوند.
   • می‌توان از آن‌ها برای دسترسی در دامنه‌های دیگر نیز استفاده کرد.
3. Universal Group (گروه‌های عمومی):
   • می‌توانند اعضا و منابعی از چندین دامنه را شامل شوند.
   • برای سازمان‌هایی با ساختار Multi-Domain مناسب هستند.

3. ایجاد Group Accounts

الف) استفاده از Active Directory Users and Computers (ADUC)

1. باز کردن کنسول ADUC.
2. انتخاب OU مناسب برای ایجاد گروه.
3. کلیک راست بر روی OU > گزینه New > Group.
4. وارد کردن نام گروه و انتخاب Group Scope و Group Type:
   • Scope: Domain Local, Global, Universal
   • Type: Security یا Distribution
5. کلیک بر روی OK برای ایجاد گروه.

ب) استفاده از PowerShell

• ایجاد گروه امنیتی:

  New-ADGroup -Name "HR Team" -GroupScope Global -GroupCategory Security -Path "OU=Groups,DC=domain,DC=com"
  

  اضافه کردن توضیحات:

  Set-ADGroup -Identity "HR Team" -Description "This group contains HR team members."
  

4. اضافه و حذف اعضای گروه

الف) اضافه کردن اعضا به گروه

1. از طریق ADUC:
   • در تب Members در Properties گروه، اعضا را اضافه کنید.
2. از طریق PowerShell:

   Add-ADGroupMember -Identity "HR Team" -Members "jdoe", "asmith"
   

ب) حذف اعضا از گروه

• از طریق PowerShell:

  Remove-ADGroupMember -Identity "HR Team" -Members "jdoe" -Confirm:$false
  

5. تنظیمات امنیتی گروه‌ها

الف) تخصیص مجوزها (Permissions) به گروه‌ها

• استفاده از گروه‌های امنیتی برای مدیریت مجوزها در فایل‌ها و پوشه‌ها:
  1. بر روی فایل/پوشه کلیک راست کرده و گزینه Properties > Security را انتخاب کنید.
  2. گروه امنیتی مورد نظر را اضافه کنید.
  3. سطح دسترسی مانند Read, Write, Modify را مشخص کنید.

ب) پیاده‌سازی اصل AGDLP

مدیریت دسترسی‌ها در AD DS معمولاً از اصل AGDLP پیروی می‌کند:

• A: Accounts (کاربران)
• G: Global Groups (گروه‌های جهانی)
• DL: Domain Local Groups (گروه‌های محلی دامنه)
• P: Permissions (مجوزها)

مراحل:

1. کاربران را به Global Groups اضافه کنید.
2. Global Groups را به Domain Local Groups اضافه کنید.
3. Domain Local Groups را برای مجوزها به منابع تخصیص دهید.

6. استفاده از Command-Line Tools و PowerShell

الف) مشاهده اعضای گروه

• مشاهده اعضای یک گروه خاص:

  Get-ADGroupMember -Identity "HR Team"
  

  ب) یافتن گروه‌های غیرضروری یا خالی
• پیدا کردن گروه‌هایی که هیچ عضوی ندارند:

  Get-ADGroup -Filter * | Where-Object { (Get-ADGroupMember $_ -Recursive | Measure-Object).Count -eq 0 }
  

ج) بررسی گروه‌های عضو گروه‌های دیگر (Nested Groups)

• مشاهده گروه‌های تو در تو:

  Get-ADGroupMember -Identity "HR Team" -Recursive
  

7. بهترین روش‌ها در مدیریت Group Accounts

1. مدیریت ساختار گروه‌ها:
   • از Nested Groups (گروه‌های تو در تو) به صورت هوشمندانه استفاده کنید تا پیچیدگی مدیریت کاهش یابد.
2. اصل حداقل دسترسی (Principle of Least Privilege):
   • اطمینان حاصل کنید که کاربران فقط به منابعی که نیاز دارند دسترسی داشته باشند.
3. بررسی دوره‌ای گروه‌ها:
   • به صورت دوره‌ای اعضای گروه‌ها را بررسی و گروه‌های بلااستفاده را حذف کنید.
4. مستندسازی:
   • گروه‌ها و مجوزهای تخصیص داده شده به آن‌ها را مستند کنید.
5. اجتناب از گروه‌های بی‌نام و نشان:
   • نام‌گذاری گروه‌ها باید استاندارد و واضح باشد تا نقش و هدف آن‌ها مشخص باشد.

8. جمع‌بندی

مدیریت Group Accounts یکی از فعالیت‌های کلیدی برای کنترل دسترسی‌ها و اعمال تنظیمات امنیتی در شبکه است. استفاده از گروه‌های امنیتی و پیاده‌سازی اصولی مانند AGDLP، فرآیند مدیریت مجوزها را ساده و ساختار یافته می‌کند. ابزارهایی مانند Active Directory Users and Computers و PowerShell این امکان را فراهم می‌کنند که گروه‌ها و اعضای آن‌ها را به طور دقیق و کارآمد مدیریت کنید. رعایت بهترین روش‌ها و سیاست‌های امنیتی به افزایش بهره‌وری و امنیت شبکه کمک می‌کند.

1. تعریف حساب‌های Computer Accounts

حساب‌های کامپیوتر در Active Directory به‌طور معمول به هر دستگاه (کامپیوتر، سرور، یا دیگر گره‌ها) که به دامنه متصل می‌شود، اختصاص داده می‌شوند. این حساب‌ها اطلاعاتی مانند نام کامپیوتر، SID (Security Identifier)، و دیگر داده‌های مهم امنیتی را ذخیره می‌کنند. حساب‌های کامپیوتر اجازه می‌دهند تا دستگاه‌ها به طور امن در محیط Domain شناسایی شوند.

2. ایجاد حساب‌های Computer Accounts

الف) از طریق Active Directory Users and Computers (ADUC)

1. باز کردن ADUC.
2. انتخاب OU (Organizational Unit) مناسب که حساب کامپیوتر باید در آن قرار گیرد.
3. راست‌کلیک بر روی OU > انتخاب گزینه New > Computer.
4. در پنجره جدید، نام کامپیوتر را وارد کنید.
5. در صورت نیاز، می‌توانید سایر تنظیمات مانند پیوستن به دامنه یا انتخاب گزینه‌های اضافی را تنظیم کنید.
6. کلیک بر روی OK برای ایجاد حساب کامپیوتر.

ب) از طریق PowerShell

برای ایجاد یک حساب کامپیوتر جدید از PowerShell می‌توان از دستور زیر استفاده کرد:

New-ADComputer -Name "ComputerName" -Path "OU=Computers,DC=domain,DC=com" -AccountPassword (ConvertTo-SecureString "Password" -AsPlainText -Force)

این دستور کامپیوتر جدید را در مسیر خاص و با کلمه عبور مشخص ایجاد می‌کند.

3. پیوستن کامپیوتر به دامنه

پیوستن یک کامپیوتر به دامنه به طور معمول از طریق تنظیمات سیستم عامل انجام می‌شود. پس از ایجاد حساب کامپیوتر در AD، می‌توان از آن برای عضویت در دامنه استفاده کرد.

مراحل پیوستن کامپیوتر به دامنه:

1. باز کردن Control Panel > System.
2. انتخاب Change settings در بخش Computer Name, Domain, and Workgroup settings.
3. انتخاب Domain و وارد کردن نام دامنه.
4. وارد کردن اطلاعات حساب کاربری که دسترسی به دامنه را دارد (معمولاً ادمین دامنه).
5. پس از راه‌اندازی مجدد سیستم، کامپیوتر به دامنه متصل خواهد شد.

4. مدیریت و تنظیمات حساب‌های کامپیوتر

الف) تنظیمات امنیتی حساب‌های کامپیوتر

حساب‌های کامپیوتر باید با تنظیمات امنیتی مناسبی پیکربندی شوند تا امنیت دامنه حفظ شود. برخی از تنظیمات امنیتی عبارتند از:

• سیاست رمز عبور: رمز عبور حساب‌های کامپیوتر باید دارای پیچیدگی و طول کافی باشد.
• مدت زمان اعتبار حساب: تنظیمات اعتبار زمانی حساب‌ها باید به گونه‌ای باشد که از حساب‌های کامپیوتر منقضی شده جلوگیری شود.

ب) استفاده از PowerShell برای مدیریت حساب‌های کامپیوتر

PowerShell ابزار قدرتمندی برای مدیریت حساب‌های کامپیوتر است. برخی از دستورات رایج برای مدیریت حساب‌های کامپیوتر عبارتند از:

• غیرفعال کردن حساب کامپیوتر:

  Disable-ADComputer -Identity "ComputerName"
  

• فعال‌سازی مجدد حساب کامپیوتر:

  Enable-ADComputer -Identity "ComputerName"
  

• تغییر ویژگی‌های حساب کامپیوتر (مانند تغییر Location یا Managed By):
  Set-ADComputer -Identity "ComputerName" -ManagedBy "NewAdmin"
  

5. حذف حساب‌های کامپیوتر

الف) حذف از طریق ADUC

1. در Active Directory Users and Computers، حساب کامپیوتر مورد نظر را جستجو کنید.
2. راست‌کلیک بر روی آن و انتخاب گزینه Delete.
3. تایید حذف حساب کامپیوتر.

ب) حذف از طریق PowerShell

برای حذف یک حساب کامپیوتر از PowerShell می‌توان از دستور زیر استفاده کرد:

Remove-ADComputer -Identity "ComputerName"

6. بهترین روش‌ها برای مدیریت حساب‌های کامپیوتر

1. نظارت منظم بر حساب‌های کامپیوتر:
   • از ابزارهای PowerShell یا Active Directory Administrative Center (ADAC) برای بررسی وضعیت حساب‌های کامپیوتر استفاده کنید و حساب‌های غیرفعال یا بلااستفاده را حذف کنید.
2. استفاده از گروه‌های امنیتی برای مدیریت دسترسی:
   • به گروه‌های امنیتی خاصی اجازه دسترسی به منابع شبکه داده شود، و گروه‌ها به جای افزودن کاربران به صورت مستقیم، برای تخصیص دسترسی به منابع استفاده شوند.
3. استفاده از ابزارهای گزارش‌دهی:
   • استفاده از ابزارهایی مانند PowerShell برای ایجاد گزارش‌های وضعیت کامپیوترهای متصل به دامنه و بررسی گروه‌های مرتبط با هر کامپیوتر.
4. مستندسازی تغییرات:
   • تمامی تغییرات در حساب‌های کامپیوتر، مانند پیوستن به دامنه یا حذف حساب، باید مستند شوند تا در صورت بروز مشکل، امکان پیگیری و بازبینی وجود داشته باشد.
5. مرور دوره‌ای امنیت حساب‌های کامپیوتر:
   • به‌طور منظم از سیاست‌های امنیتی مانند Password Policies و Account Lockout Policies برای اطمینان از امنیت حساب‌های کامپیوتر استفاده کنید.

7. جمع‌بندی

مدیریت حساب‌های کامپیوتر در Active Directory بخش مهمی از فرآیند مدیریت شبکه و امنیت آن است. ایجاد، مدیریت و حذف این حساب‌ها به سازمان‌ها کمک می‌کند تا دسترسی کامپیوترها را به منابع شبکه تنظیم کرده و از امنیت بالاتری برخوردار شوند. استفاده از ابزارهایی مانند PowerShell و ADUC برای مدیریت حساب‌های کامپیوتر و تنظیمات امنیتی آن‌ها به بهبود کارایی و امنیت سیستم‌ها کمک می‌کند.

در این بخش، به بررسی ابزارهای مختلف خط فرمان برای مدیریت کاربران و گروه‌ها در Active Directory پرداخته می‌شود.

1. Command-Line Tools برای مدیریت کاربران و گروه‌ها

a) استفاده از دستور dsadd

دستور dsadd برای افزودن (Add) اشیاء مختلف مانند کاربران، گروه‌ها و واحدهای سازمانی (OU) به Active Directory استفاده می‌شود.

افزودن یک کاربر جدید

dsadd user "CN=John Doe,OU=Users,DC=domain,DC=com" -samid johndoe -upn johndoe@domain.com -fn John -ln Doe -pwd "P@ssw0rd"

این دستور یک حساب کاربری جدید به نام “John Doe” با شناسه SAMAccountName “johndoe” و User Principal Name “johndoe@domain.com” می‌سازد.

افزودن یک گروه جدید

dsadd group "CN=Admins,OU=Groups,DC=domain,DC=com" -secgrp yes -scope g

این دستور یک گروه جدید به نام “Admins” در OU Groups ایجاد می‌کند.

b) استفاده از دستور dsmod

دستور dsmod برای اصلاح ویژگی‌های اشیاء موجود در Active Directory (مانند کاربران و گروه‌ها) به کار می‌رود.

تغییر گروه یک کاربر

dsmod user "CN=John Doe,OU=Users,DC=domain,DC=com" -addmbr "CN=Admins,OU=Groups,DC=domain,DC=com"

این دستور کاربر “John Doe” را به گروه “Admins” اضافه می‌کند.

c) استفاده از دستور dsrm

دستور dsrm برای حذف اشیاء مختلف مانند کاربران و گروه‌ها از Active Directory استفاده می‌شود.

حذف یک کاربر

dsrm "CN=John Doe,OU=Users,DC=domain,DC=com"

این دستور کاربر “John Doe” را از Active Directory حذف می‌کند.

2. Windows PowerShell برای مدیریت کاربران و گروه‌ها

Windows PowerShell ابزار قدرتمندتری نسبت به دستورهای خط فرمان قدیمی است که به مدیران سیستم این امکان را می‌دهد که با استفاده از cmdlets (دستورات خاص PowerShell)، امور پیچیده‌تری را به صورت خودکار انجام دهند.

الف) مدیریت کاربران با PowerShell

افزودن یک کاربر جدید

برای افزودن یک کاربر جدید در Active Directory با استفاده از PowerShell می‌توان از دستور زیر استفاده کرد:

New-ADUser -Name "John Doe" -SamAccountName "johndoe" -UserPrincipalName "johndoe@domain.com" -GivenName "John" -Surname "Doe" -Path "OU=Users,DC=domain,DC=com" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true

این دستور یک حساب کاربری جدید به نام “John Doe” با شناسه SAMAccountName “johndoe” و User Principal Name “johndoe@domain.com” ایجاد می‌کند.

غیرفعال کردن یک کاربر

برای غیرفعال کردن یک حساب کاربری از دستور زیر استفاده می‌شود:

Disable-ADUser -Identity "johndoe"

تغییر رمز عبور یک کاربر

برای تغییر رمز عبور یک کاربر از دستور زیر استفاده می‌شود:

Set-ADAccountPassword -Identity "johndoe" -NewPassword (ConvertTo-SecureString "NewP@ssw0rd" -AsPlainText -Force) -Reset

حذف یک کاربر

برای حذف یک کاربر از Active Directory:

Remove-ADUser -Identity "johndoe"

ب) مدیریت گروه‌ها با PowerShell

افزودن یک گروه جدید

برای افزودن یک گروه جدید به Active Directory:

New-ADGroup -Name "Admins" -SamAccountName "Admins" -GroupCategory Security -GroupScope Global -Path "OU=Groups,DC=domain,DC=com"

اضافه کردن اعضا به گروه

برای اضافه کردن یک کاربر به یک گروه از دستور زیر استفاده می‌شود:

Add-ADGroupMember -Identity "Admins" -Members "johndoe"

حذف اعضا از گروه

برای حذف یک کاربر از گروه:

Remove-ADGroupMember -Identity "Admins" -Members "johndoe" -Confirm:$false

حذف یک گروه

برای حذف یک گروه از Active Directory:

Remove-ADGroup -Identity "Admins"

3. مدیریت کاربران و گروه‌ها به کمک PowerShell Cmdlets پیشرفته

PowerShell امکانات بسیار پیشرفته‌ای برای مدیریت گروه‌ها و کاربران فراهم می‌کند، از جمله:

• گزارش‌گیری: از دستوراتی مانند Get-ADUser و Get-ADGroup می‌توان برای ایجاد گزارش‌های متنوع از وضعیت کاربران و گروه‌ها استفاده کرد.
• مدیریت همزمان: از PowerShell می‌توان برای انجام عملیات گروهی مانند اضافه کردن چندین کاربر یا گروه به یک گروه خاص یا تغییرات دیگر استفاده کرد.

مثال گزارش‌گیری از اطلاعات کاربران

برای دریافت اطلاعات کاربران خاص:

Get-ADUser -Filter * -Properties Name,SamAccountName,UserPrincipalName | Select-Object Name,SamAccountName,UserPrincipalName

مثال مدیریت همزمان کاربران

برای غیرفعال کردن تمام کاربران در گروه خاص:

Get-ADGroupMember -Identity "Admins" | Disable-ADUser

4. جمع‌بندی

استفاده از Command-Line Tools و PowerShell برای مدیریت کاربران و گروه‌ها در Active Directory به مدیران سیستم کمک می‌کند تا عملیات‌های مختلف را به‌صورت خودکار و با دقت بالاتر انجام دهند. ابزارهای خط فرمان مانند dsadd، dsmod و dsrm و همچنین PowerShell Cmdlets همچون New-ADUser، Add-ADGroupMember و Remove-ADUser از جمله ابزارهایی هستند که به مدیران سیستم در انجام وظایف مختلف، از جمله افزودن و حذف کاربران و گروه‌ها، تغییر تنظیمات و ایجاد گزارش‌ها کمک می‌کنند.