|
مدیریت
کاربران
مهمترین و ابتدایی
ترین شیئ که پس از نصب اکتیو
دایرکتوری مورد بررسی قرار می گیرد،
User
یا کاربر است. هر چند دومین قدم در
مراحله عملیاتی سازی محیط اکتیو
دایرکتوری شاید مدیریت کاربران نباشد.
برای مدیریت محیط اکتیو دایرکتوری از
کنسول ها و
Snap-in
های متعددی استفاده می شود. کنسولی که
بیشترین استفاده روزانه را دارد و
بیشترین حجم کاری مدیر شبکه روی آن
کنسول اتفاق می افتد کنسولی به نام
Active Directory
Users and Computers
است که از طریق
MMC
یا روش های مشابه می توانید به آن
دسترسی پیدا کنید. برای باز کردن
کنسول در یک روش ساده می توانید روی
DC
در
run
وارد کنید
dsa.mcs.
چنانچه از
Core Server
استفاده می کنید، توصیه می کنم به
صورت
remote
به
DC
متصل شده و به مدیریت بپردازید.
برای شروع در ساده
ترین گام های ممکن اقدام به ساخت یک
کاربر جدید می کنیم.
1. در
Administrative Tools
در
Control Panel
کنسول
Active Directory
Users and Computers
را باز کنید.
2. در نوار سمت چپ، روی نام دامین
مثلا
Contoso.com
دابل کلیک کنید تا ساختار درختی آن
باز شود.
3. روی
Users
کلیک کرده تا
User
های موجود را مشاهده کنید.
4. برای ساخت یک کاربر جدید روی
Users
کلیک راست کرده و
New
>
New User
را بزنید.
5. در ویزارد باز شده با توجه به
موارد زیر فیلد ها را پر کنید.
- در واقع فیلد
Initials
مربوط به نام وسط می شود.
- نام کامل برای ویرایش آسان تر است و
در واقع
CN
کاربر است. این قسمت در کنسول نمایش
داده می شود. باید در دربرگیرنده ی
خود یکتا باشد. به عنوان مثال تنها یک
کاربر با نام کامل معین می تواند در
یک
OU
باشد. در تشابهات اسمی می توانید نام
کامل را به نحوی ویرایش کنید که
بتوانند هر دو کاربر ساخته شوند.
- در قسمت
logon name
نامی که کاربر باید با آن وارد سیستم
شود را معین می کنید و با استفاده از
لیست
drop-down
پسوند
UPN
را که در ادامه ی نام انتخابی شما می
آید را انتخاب می کنید. این پسوند با
استفاده از کاراکتر “@” به بقیه نام
متصل می شود. در اکتیو دایرکتوری شما
می توانید از کارکتر هایی همانند – یا
‘ برای
logon name
استفاده کنید اما در بسیاری از نرم
افزار ها محدودیت کارکتر های خاص
بیشتر است بنابراین توصیه می شود از
کارکتر های خاص استفاده نکنید.
- لیست پسوند های
UPN
می تواند از طریق کنسول
Active Directory
Domains
&
Trusts
قابل تعیین است که در اینجا مورد بحث
قرار نمی گیرند اما نام
DNS
دامین همیشه در دسترس قرار دارد و نمی
توان را حذف کرد.
- در قسمت
logon name
ویندوز های قبل 2000 محدودیت تعداد
کارکتر بیشتر است و بعدا در این خصوص
توضیح داده خواهد شد.
6.
next
را بزنید و در مرحله بعدی کلمه عبور
اولیه و تنظیمات ساده ای را می توان
انجام داد.
- اکیدا توصیه می شود به علت پیگیری
های وقایع و یافتن عامل خطا های
انسانی، کلمه عبور یکسانی برای
کاربران در حال ساخت تعیین نکنید و
گزینه
user must
change password at
next logon
را فعال کنید تا کاربر با تعویض کلمه
عبور خود، مسئولیت فعالیت های خود را
نتواند به دپارتمان
IT
یا مدیر شبکه حواله کند.
- پسورد اولیه باید شرایط تعیین شده
در
Group Policy
را دارا باشد به صورت پیش فرض باید
دارای
Complexity
باشد که دارای شرایط زیر است :
آ. بیش از 7
کاراکتر یا 7 کاراکتر
ب.
باید شامل سه یا چهار نوع (دسته)
کاراکتر متفاوت باشد؛ شامل حروف کوچک،
حروف بزرگ، اعداد و کارکتر های غیر
الفبایی همانند – % # ! $
ج.
نمی تواند شامل هیچ کدام از نام ها یا
logon name
ها باشد
7.
Next
را بزنید و اطلاعات وارد شده را
بازبینی کنید . در صورتی که اشکالی
موجود نبود
Finish
را بزنید.
اتوماتیک کردن مدیریت
و ساخت کاربران
ساخت
User Accounts
ها فرآیندی است که بار کاری مدیران
شبکه را افزایش می دهد. با توجه به
مطالبی که در بالا ذکر شد، می توان به
راحتی تمام اعمال مدیریتی مربوطه را
انجام داد اما آن روش، روش کارا و
مناسبی برای مدیریت کاربران نیست.
اغلب در بین کاربران یک دامین ویژگی
های مشابهی وجود دارد همانند امکان
logon
کردن در ساعات مشخص شده. در زمان ساخت
یک
user
جدید می توان به سادگی از گزینه کپی
کردن کاربر به جای ساخت یک کاربر جدید
استفاده کرد. از زمان
Windows NT 4.0،
مفاهیم
User Templates
در ویندوز پشتیبانی می شد.
User Template
یک کاربر ساخته شده و آماده شده است
که برای ساخت کاربر جدید از آن
استفاده می شود. برای آنکه با این
کاربر
logon
صورت نگیرد معمولا آن را
Disable
می کنند. پس از انجام این کار،
اطلاعاتی از روی کاربر قدیم (Template)
به کاربر ساخته شده کپی می شود که در
هر زبانه به این صورت است:
1.
General
: هیچ اطلاعاتی کپی نمی شود.
2.
Address
: کدپستی، شهر، کشور کپی می شود اما
آدرس کپی نمی شود.
3.
Account
: ساعت های
logon،
کامپیوتر هایی که می تواند
Logon
کند، تاریخ انقضای اکانت و
Account Options
کپی می شوند.
4.
Profile
: قسمت های
profile path،
logon Script
و
Home Drive
و
Home Folder Path
کپی می شوند.
5.
Organization:
قسمت های دپارتمان، کمپانی و مدیر کپی
می شوند.
6.
Member of
: گروه ها کپی می شوند.
تذکر:
علاوه به مواردی که به صورت عادی در
کنسول
Active Directory
Users
&
Computers
موجود است، گزینه ها و موارد پر
کاربرد دیگری نیز در دسترس است که
برای دسترسی به آن ها باید از منوی
View
گزینه
Advanced Features
را انتخاب کرد. در این صورت گزینه
هایی همانند
Assitant
و یا
Employee ID
نیز در دسترس خواهند بود که برخی از
آن ها نیز کپی می شوند.
مفاهیم مربوط به
DN, RDN , CN
DN
دقیقا مشابه یک مسیر
برای اشیاء اکتیو دایرکتوری است.
همانطور که با
استفاده از مسیر
c:\text\a.txt
می تواند به فایل متنی
رسید،
DN
یک روش
مناسب تر برای رسیدن
به اشیاء است. هر چند
DN
بسیار متفاوت از آن
مثال
است. هر شیء دارای یک
DN
یکتا خود است.
یک
DN
با شئ شروع می شود و
به
top level domain name
ختم می شود. همانطور
که پیش تر اشاره شد
CN
یا
common name
معرف شیئ است.
OU
معرف
organizational unit
است و
DC
معرف
Domain Component.
قسمتی
از
DN
که پیش از اولین
OU
است
RDN
یا
relative distinguished name
گفته می
شود. از آنجایی که
DN
باید یکتا باشد
RDN
باید در دربرگیرنده
(container)
خود یکتا باشد.
استفاده از ابزار های
مدیریتی روی خط فرمان:
|
کاربرد |
دستور |
|
افزودن یک
شیئ به اکتیو دایرکتوری |
dsadd |
|
نمایش
ویژگی های یک شیئ |
dsget |
|
تغییر
دادن یک ویژگی معین یک
شیئ معین |
dsmod |
|
جابه
جا کردن
یک شیئ
به
یک
container
دیگر مثلا
یک
OU
دیگر |
dsmove |
|
حذف کردن
یک شیئ، تمام زیر مجموعه
های یک شیئ
container
یا هر دو |
dsrm |
|
جستجو در
اکتیو دایرکتوری |
dsquery |
جستجو روی خط فرمان
با
استفاده از دستور
dsquery
می توانید به جستجو در
اکتیو دایرکتوری
بپردازید. مشابه سایر
دستورات اکتیو دایرکتوری به صورت کامل
مستند سازی
شده و با استفاده از
دستور
?/ dsquery
می توانید اطلاعات
کامل کسب کنید.
به عنوان مثال برای
جستجو یک کاربر از
dsquery user
استفاده می کنیم یا
برای جستجو یک گروه از
dsquery group
و برای کامپیوتر از
dsquery computer
استفاده می کنیم. به
عنوان مثال برای یافتن کاربر که نام
او با
erf
شروع
می شود دستور زیر را
وارد می کنیم:
c:\> dsquery user
-name erf*
نتیجه جستجو چیزی
مشابه زیر خواهد بود:
" CN=Erfan
CN=Users,DC=contoso,dc=com"
چنانچه
شیوه ی
DN
شیوه مطلوب شما برای
مشاهده ی نتایج نیست می توانید از
سوییچ
o
استفاده کنید. مثلا
برای مشاهده
logon name
می توانید سوییچ
o upn-
را به
دستور اضافه کنید. یا
برای مشاهده نام کاربری مربوط به
ویندوز قبل از 2000
سوییچ
o samid-
را اضافه کنید.
افزودن یک کاربر روی
خط فرمان
الگوی زیر را برای
وارد کردن دستور افزودن یک نام کاربری
در نظر بگیرید:
dsadd user <UserDN>
[-samid <SAMName>] [-upn <UPN>]
[-fn <FirstName>] [-mi
<Initial>] [-ln <LastName>]
[-display <DisplayName>]
[-pwd {<Password> | *}] [-desc
<Description>] [-mustchpwd {yes |
no}]
[-canchpwd {yes | no}]
[-reversiblepwd {yes | no}]
[-pwdneverexpires {yes | no}]
[-acctexpires <NumberOfDays>]
[-disabled {yes | no}]
توضیح
آنکه هر سوییچ مربوط
به کدام فیلد است در
<>
رو به روی هر سوییچ
اضافه شده است. توجه
فرمایید چنانچه از * در سوییچ
pwd
استفاده کنید،
dsadd
از شما برای کلمه عبور
سوال خواهد کرد و روی صفحه نمایش داده
نخواهد
شد. همچنین توجه داشته
باشید که
<userdn>
را به صورت کامل و
صحیح
وارد کنید. به مثال
زیر توجه فرمایید.
dsadd user
cn=erfan,cn=users,dc=contoso,dc=com
-fn erfan -ln taheri
-pwd p@ssword!
-disabled no
از طریق دستور
DSadd
می توانید تمام مشخصه
ها را تنظیم کنید.
استفاده از
CSVDE
و
LDIFDE
CSVDE
یک ابزار خط فرمان است
که با استفاده از آن می توان اطلاعات
را از اکتیو
دایرکتوری خارج یا به
اکتیو دارکتوری وارد کرد. نوع فایل
این ابزار می
تواند به سادگی یک
فایل متنی با شیوه نگارش صحیح باشد یا
یک فایل
CSV.
می
توان با استفاده از
notepad
یا
Microsoft Office Excel
نصب به ساخت این
نوع فایل ها پرداخت.
این دستور در اتوماتیک کردن فرآیند
ساخت کاربران
بسیار مهم و ساده است.
الگوی کلی دستور به صورت زیر است:
csvde [-i] [-f
filename] [-k]
پارامتر
i
معین کننده عمل
import
یا درون ریزی است و
پارامتر
f
مشخص کننده نام و
آدرس فایل ورودی یا
خروجی است. سوییچ
k
برای در نظر نگرفتن
خطای ناشی از
وجود نظیر است. در
اینجا منظور از وجود نظیر، وجود یک
ویژگی نظیر یا یا
شیئ نظیر با همان
DN
است. در این شیوه دیتا
با استفاده از ویرگول به جای
tab
جدا می شود و به نحوی
جدا می شود که هر قسمت مربوط به یک
ستون از
دایرکتوری است.
استفاده از
CSVDE
ها ضمن سادگی دارای
معایبی
نیز می باشد به همین
جهت استفاده از
LDIFDE
توصیه می شود. در
آینده در
خصوص نحوه ساخت فایل
CSV
بیشتر بحث خواهد شد.
LDIFDE
نیز
برای درون ریزی یا
برون ریزی اطلاعات از
Active Directory
استفاده می شود.
Lightweight
Directory Access Protocol Data
Interchange Format
یا به
اختصار
LDIF
یک استاندارد
Draft
برای نوعی فایل است که
برای انجام عملیات
روی دایرکتوری هایی که
از استاندارد های
LDAP
پشتیبانی می کند
کاربرد
دارد.
|
