در مقاله آشنایی با اکتیودایرکتوری قسمت اول به این نتیجه رسیدیم که با توجه به گسترش روز افزون ارتباطات ؛افزایش تعداد منابع از جمله کامپیوترها و پرینتر ها و کاربران، سازمانها و ارگانها جهت مدیریت متمرکز و بهتر منابع خود از سرویس اکتیودایرکتوری استفاده می کنند.اکتیودایرکتوری مانند یک دفترچه تلفن؛ اطلاعات منابع شبکه یک سازمان را درخود نوشته و ذخیره سازی می کند و دسترسی به اطلاعات این منابع براساس یک ساختار منطقی راحت و سریع قابل دسترسی می باشد.
در مقاله آشنایی با قسمت دوم مقاله اکتیودایرکتوری نیز در رابطه با نوع شبکه که یا workgroup و یا domain باشد نیزاشاره شد که درشبکه های workgroup هر کامپیوتر هم به عنوان server و هم به عنوان client عمل می کند ودرشبکه هایی که تعداد کامپیوترها و منابع کاری آنها کمتر از 10عدد است می توان به شبکه WorkGroup بسنده کرد و در مقابل شبکه های domain زمانی در یک مجموعه استفاده می شود که تعداد منابع کاری، کامپیوترها وپرینترها بیش تر از 10 عدد باشد و برای متمرکز کردن و مدیریت این منابع که در صورت پراکندگی و زیاد بودن به عنوان مثال به تعداد 200 کا مپیوتر از ساختار domain استفاده می شود .این آیتم ها نیز با کمک global catalog دسته بندی object ها را سریعتر می کند. همچنین توضیحاتی نیز راجع به مفهوم Forest و Tree داده شد.
درمقاله آشنایی با اکتیودایرکتوری قسمت سوم نیزبه مزیت های استفاده از اکتیودایرکتوری در سازمانها جهت مدیریت بهتر ؛ افزایش امنیت شبکه ؛ مدیریت سیستمهای توزیع شده با استفاده از اکتیودایرکتوری اشاره شد.
همچنین در مقاله Trust در اکتیودایرکتوری نیز ویژگی ها و انواع trust در اکتیو دایرکتوری به طور کامل بررسی شد.
دراین مقاله به توضیح انواع سرویسهای مختص اکتیودایرکتوری خواهیم پرداخت:
Active Directory Certificate Services:
این سرویس ، برای سرویس های لازم یک credential Key فراهم کرده و مدیریت میکند ، که این کلید برای تایید authentication کاربران قرار می گیرد و از این طریق کاربران را برای تایید authentication ، مورد بررسی می شوند و درصورت تایید بودن به او حق دسترسی داده می شود . امروزه از کلید عمومی در بخش های مختلف security مورد بررسی قرار گرفته ازجمله : (HTTP) Http Security که برای بیشتر نقش های ویندوز لازم است؛ کد گذاری فایل های سیستم ، IPSEC ، VPNS ، و دیگر نرم افزار ها وسیستم های امنیتی که نیازمند استفاده از رمز نگاری یا امضای دیجیتالی هستند .
Active Directory Domain Services
این سرویس دسته بندی منابع شبکه در داخل یک data base که به منظور استفاده از منابع شبکه همان user ها ، کامپیوتر ها ، پرینتر ها است این دسته بندی برروی data base اکتیوداریکتوری می باشد و مدیریت را متمرکز تر میکند .
User هر کاربر سازمان در active directory تعریف می شود ، و بعد از join شدن ، اطلاعات سیستم درactive directory ما ثبت می شود ، user ها برای ورود به شبکه باید به active directory request زده و authentication می شوند .active directory با پروتکل LDAP و Kerberos به کمک DNS وظایفش را انجام میدهد .
Active Directory Federation services :
ویژگی این سرویس قابلیت SSO می باشد ، که درمیانdomain های مختلف بدون ایجاد trust بین domain های یک user می تواند با یکبار authentication و مانند یک یوزر حقوقی وارد سیستم شود و از منابع سیستم استفاده کند اما لازم به ذکر است که بعد از authentication سطح دسترسی user در خود شبکه محاسبه می شود .
Active Directory Lightweight Directory Services:
این سرویس مانند یک سازمان که دارای برنامه های کاربردیست عمل میکند که خود برای ذخیره سازی داده های نرم فزاری میتواند به عنوان یک سرویس ذخیره داده باشد . بدون نیاز به active directory نیز قابل راه اندازیست و مربوط به برنامه های کاربردی می باشد که جزو active directory نیستند.
Active Directory Rights Management services:
این سرویس تکنولوژی را به ما می دهد که بتوانیم از اطلاعاتمان محافظت کنیم ، به گونه ای که فقط کاربران حق خواندن آن را داشته باشند و نتوانند آن را کپی و یا از آن پرینت بگیرند ، این سرویس به شما این اطمینان را می دهد که اطلاعاتتان یکپارچه خواهد ماند و حتی می توانید اسنادتان را کنترل کنید ، چه کسی چه کارهایی برروی فایل های شما انجام می دهد .
ttttttttttttttttttttttt
آشنایی با اکتیو دایرکتوری-قسمت اول-چرا به اکتیو دایرکتوری نیاز داریم
nnnnnnnnnnnnnnnnnnnnnnnn
با توجه به گسترش روز افزون ارتباطات و شبکه های کامپیوتری سازمان ها اقدام به پیاده سازی ساختار ارتباطی گسترده در محدوده ی شهر ها و حتی کشورها نموده اندٌ پیاده سازی این ارتباط مستلزم طرح ریزی و به کار گیری ابزار های مناسب در خصوص مدیریت متمرکز و برقراری ارتباطی امن میان کاربران و منابع شبکه می باشد.در این راستا شرکت های تولید سیستم عامل سرویسی به نام Directory را در محصولات سیستم عامل به کارگیری نموده اند به کمک این سرویس امکان مدیریت متمرکز منابع از جمله کامپیوتر ها ْ کاربران دستگاه ها و غیره در سطوح سازمانی مختلف ْ از شبکه های LAN در محدوده یک ساختمان تا شبکه های WAN که در محدوده ی کشور یا قاره را فراهم نموده است.در این مقاله قصد داریم به بررسی ساختار Active Directory و اقدامات لازم در خصوص طرح ریزی و پیاده سازی بپردازیم. در ادامه با ISG همراه باشید.
برای داشتن Active Directory نیاز است که نوع شبکه ی ما از نوع Client / server باشد. زیرا که active directory باید روی یک server پیاده و راه اندازی شود.
Windows server
نسخه ای از windows است که بر روی server نصب میشود. نسبت به windows client قابلیت های بیشتری دارد (و البته گران تر هم هست) و ما میتوانیم روی آن تنظیمات مورد نیاز را انجام دهیم تا به active directory ما تبدیل شود.
Active Directory
از دو کلمه Active و Directory تشکیل شده است که کلمه اول به معنای پویا و منظور از کلمه ی دوم راهنماست.
Directory : مانند دفترچه تلفن میماند.اطلاعات منابع شبکه در آن نوشته و ذخیره میشد تا راحت تر در دسترس باشند.
دلیل نیاز به Active Director مدیریت بهتر یا centralize Administration میباشد.
Active Directory: از فناوریهای شرکت مایکروسافت برای مدیریت منابع شبکه است که بوسیله Domain Controller مدیریت میشود و در اساس یک بانک اطلاعاتی مجتمع توزیعپذیر است که برای server های بر مبنای Windows Server تهیه گردیدهاست. بدون Active Directory مدیریت منابع نیازمند مدیریت تکبهتک آنها بصورت منفرد است، در حالی که توسط Active Directory مدیریت منابع شبکه بصورت مجتمع صورت میگیرد. این فناوری طوری طراحی شده است که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانیهای کوچک را به عهده دارد. اطلاعات Active Directory سلسله مراتبی، Revertable و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیرهسازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ و یا عملکرد واحد پردازش مرکزی ندارد.
بعنوان مثال برای به اشتراک گذاری چند Folder روی شبکه در حالتی که Active Directory موجود نمیباشد نیازمند تعیین دسترسی هر کاربر در هر Folder بصورت مجزا می باشیم و با بروز تغییرات در کاربران و Folderها بایستی این تغییرات بصورت مجزا اعمال گردد در حالی که در حالت اکتیو دیرکتوری با اعمال قوانین گروهی (group policy) میتوان این اعمال را بصورت مجتمع انجام داد.
مثال دوم با بکار گیری Active Directory وقتی کاربر تصمیم به تعویض password خود میگیرد تمامی سیستمهای کاربری که با Active Directory مجتمع شدهاند بصورت خودکار با password جدید شما هماهنگ میگردند و نیازی به تغییر تک تک آنها نمیباشد.
ساختار Active Directory
Active Directory یک روش طراحی ساختار Directory را برای سازمان شما فراهم میکند. لذا قبل از نصب Active Directory شما بایستی عملیات و ساختار سازمانی مورد نیاز خود را مد نظر قرار دهید.برخی شرکتها یا سازمانها یک ساختار متمرکز دارندنوعا اینگونه سازمانها و شرکتها حوزه های اطلاعاتی قوی و محکمی دارندکه آنها را در یک ساختار شبکه ای با جزئیات کمتری تعریف و پیاده سازی می کنندامّا برخی دیگر از سازمانها و شرکتها بخصوص سازمانها و شرکتهای خیلی بزرگ پراکنده و غیر متمرکزند. اینگونه سازمانها و شرکتها دارای شعبات چند گانه ای هستندکه هر کدام از آنها خیلی مهم و کانونی اند.اینگونه سازمانها به یک راهبرد غیرمتمرکز نیازمندند تا شبکه ها و اعضای خودشان را مدیریت کنند.
با انعطاف پذیری که Active Directory دارد شما می توانید بهترین و مناسب ترین ساختار شبکه ی سازمان خود را ایجاد و مدیریت کنید.Active Directory بطور کامل ساختار منطقی و سلسله مراتبی دامنه را از ساختار فیزیکی آن جدا می کند.
ساختار منطقی Logical Structure
در Active Directory شما منابع را در یک ساختار منطقی سازماندهی می کنید. این ویژگی شما را قادر می سازد که منابع را توسط نامشان پیدا کنید نه محل فیزیکی آنها چون Active Directory ساختار فیزیکی را از دید کاربران پنهان می سازد.
Active Directoryیک پایگاه داده مرکزی در Windows Server است که تمامی اطلاعات مربوط به اشیاء متصل به شبکه را در خود نگهداری میکند. با اینکه تاکنون مطالب زیادی در مورد ساختار پیچیده Active Directory نوشته شده است، بسیاری از سازمانها ترجیح می دهند که به دلیل سهولت کار، از ساختار مبتنی بر یک دامنه استفاده کنند. پیاده سازی ساختار تک دامنه ای بسیار ساده است، ولی در مواردی که تعداد کاربران بیش از 50000 باشند و یا به دلایل خاصی دامنه های بیشتری نیاز باشد، این ساختار توصیه نمیگردد.
ایجاد یک دامنه نسبتاً ساده است. کافی است یک نام برای آن انتخاب نموده و با راه اندازی wizard نصب کنترل کننده دامنه یا DCPromo، سرور خود را به یک کنترل کننده دامنه (DC) تبدیل کنید. مهمترین ابزاری که در مدیریت دامنه ها به کار خواهید برد، ابزاری بنام Active Directory Users and Computers می باشد. به کمک این ابزار می توانید کاربران و اشیاء کامپیوتری را در دامنه ایجاد نموده و آنها را در قالب یک واحد سازمانی (OU) سازماندهی کنید. البته ایجاد اشیاء Active Directory از طریق خط فرمان نیز امکان پذیر می باشد.
چرا Service Directory ؟
نیاز به یک Active Directory قوى و شفاف، از رشد انفجارى شبکه ها ناشى مى شود. همان طور که شبکه ها رشد مى کنند و پیچیده تر مى شوند و برنامه هاى کاربردى که نیاز به شبکه و سیستم هاى دیگر در اینترنت دارند افزایش مى یابند، به همان میزان نیاز فراوانى به Service Directory احساس مى شود. دایرکتورى سرویس یکى از مهمترین ابزارهاى سیستم هاى پیشرفته کامپیوترى است که در این جا بد نیست مزایاى این سرویس را با هم مرور مى کنیم:
1- فراهم کردن یک مرکز واحد و یکنواخت مدیریتى براى کاربران، برنامه هاى کاربردى و دستگاه ها.
2- فراهم کردن یک نقطه ورود جهت دسترسى به منابع شبکه و همچنین فراهم کردن ابزارهاى قوى و یکنواخت مدیریتى براى مدیریت سرویس هاى ایمنى براى کاربران داخلى و نیز کاربرانى که از راه دور و توسط تلفن ارتباط برقرار مى کنند.
3- مهیا کردن دسترسى استاندارد و یکسان به همه امکانات اکتیو دایرکتورى.
Active Directory یک جزء اصلى از معمارى شبکه ویندوز 2012 و هسته هاى مشابه است. Active Directory به سازمان ها اجازه مى دهد که اطلاعات خود را در شبکه، شامل منابع موجود در شبکه و کاربران شبکه به اشتراک بگذارند و مدیریت کنند. اکتیو دایرکتورى همچنین به عنوان یک مرکز اصلى براى امنیت شبکه عمل مى کند. به طورى که اجازه مى دهد سیستم عامل به طور شفاف هویت کاربر را تعیین نماید و همچنین دسترسى به منابع شبکه را توسط آن کاربر کنترل نماید. نکته مهمتر این است که Active Directory به عنوان نقطه اى براى گردآورى تعمیم ها و مدیریت آنها عمل مى کند.
این قابلیت ها به سازمان ها اجازه مى دهند که قوانین کارى استانداردى را براى برنامه هاى کاربردى توزیع شده و منابع شبکه به کار ببرند، بدون اینکه نیازى به مدیرانى داشته باشند که توانایى نگهدارى Directory هاى مخصوصى را داشته باشند. در عین حال Active Directory یک نقطه مرکزى را براى مدیریت حساب هاى کاربران و سرورها و برنامه هاى کاربردى در محیط ویندوز فراهم مى کند که با برنامه هاى کاربردى تحت ویندوز و دستگاه هاى سازگار با ویندوز ارتباط برقرار کنند.
به این ترتیب Active Directory باعث توسعه سرمایه گذارى در شبکه مى شود. همچنین باعث کم شدن هزینه استفاده از کامپیوتر از طریق افزایش مدیریت بیشتر و راحت تر شبکه، افزایش ایمنى شبکه و افزایش قابلیت همکارى بین شبکه ها مى شود. استراتژى Directory Service شرکت مایکروسافت سبب مى شود که بسیارى از فروشنده ها و مراکز، Service Directory هاى خاصى را در برنامه هاى کاربردى یا دستگاه هایشان تعبیه نمایند تا بتوانند درخواست ها و عملیات هایى را که مورد نیاز مشتریان است برآورده سازند. براى مثال سرویس E-mail شامل Directory Service هایى است که به کاربران اجازه مى دهد تا صندوق پست خود را جست وجو کنند.
سیستم عامل هاى سرور نیز مى توانند از Directory Service ها براى امکاناتى نظیر مدیریت حساب کاربران، ذخیره کردن اطلاعات و پیکربندى براى برنامه هاى کاربردى استفاده کنند. Active Directory اولین Director Service کامل و جامع است که اندازه پذیر بوده و از اندازه هاى کوچک شروع مى شود و به اندازه هاى بسیار بزرگ مى رسد و نیز براساس تکنولوژى اینترنتى ساخته شده و کاملاً با سیستم عامل هماهنگ است.
علاوه بر این جهت برنامه هاى کاربردى تحت ویندوز، Active Directory طورى طراحى شده که براى کاربران، محیط هاى ایزوله و محیط هاى انتقال، محیط مدیریت متمرکز را با حداقل Directory Service مورد نیاز شرکت ها فراهم مى کند و این توانایى Active Directory را براى مدت طولانى به عنوان پایه و ستون اصلى جهت اشتراک گذاشتن اطلاعات و مدیریت مشترک منابع شبکه، شامل استفاده از برنامه هاى کاربردى، سیستم عامل هاى شبکه و سرویس هاى وابسته به دایرکتورى مطرح مى کند.
آشنایی با اکتیو دایرکتوری-قسمت دوم
آشنایی با اکتیو دایرکتوری-قسمت سوم
مشاوره و راه اندازی اکتیو دایرکتوری توسط تیم فنی ISG
ttttttttttttttttttttttt
آشنایی با اکتیو دایرکتوری-قسمت دوم-آشنایی با مفاهیم پایه اکتیو دایرکتوری
nnnnnnnnnnnnnnnnnnnnnnnn
قبل از پرداختن به بحث اکتیو دایرکتوری لازم است با تعدادی از مفاهیم و اصطلاحات پایه آشنا شوید. در ادامه این اصطلاحات را به صورت مختصر معرفی نموده و سپس در طول فصل با آنها بیشتر آشنا خواهید شد. در ادامه با ISG همراه باشید. Workgroup یک شبکه Workgroup گروهی از کاربران هستند که به یک شبکه محلی5 (LAN) متصل شده و در آن هر کامپیوتر دارای حساب های کاربری مجزایی میباشد. کاربری که با استفاده از یک حساب کاربری میتواند به یک کامپیوتر وارد شود، برای ورود به کامپیوتری دیگر نیازمند حساب کاربری جداگانه ای می باشد. در این شبکه ها، استفاده از حساب های کاربری متعدد برای کاربران یکسان چندان جالب نمی باشد زیرا هر کاربر با تعدادی از حساب های کاربری و رمز عبورهای متفاوت سرو کار دارد. شبکه های Workgroup معمولا برای سازمان هایی که دارای تعداد کمتر از 10 کامپیوتر هستند مناسب است، اما زمانی که این تعداد افزایش پیدا میکند، مدیریت آنها سخت تر شده و در نتیجه به یک Domain نیاز می باشد.
Domain زمانی که تعداد کامپیوترهای یک سازمان از تعداد کامپیوترهای یک شبکه Workgroup (معمولاً 10 کامپیوتر) فراتر میرود، با استفاده از Wizardی به نام “ ویزارد استقرار کنترل کننده دامنه” (DCPromo) یک دامنه مثل (test.com) برروی سرور ایجاد شده و سرور را به یک DC تبدیل می کند.
DC سروری است که یک کپی از Active Directory را نگهداری (میزبانی) میکند.
AD DS) Active Directory Domain Services)
AD DS سرویسی است که برای تبدیل سرور به یک DC استفاده میشود. در اصل، این سرویس یک پایگاه داده از اشیائی (مثل کاربران، کامپیوترها و گروهها) است که جهت سازماندهی متمرکز و مدیریت تمامی اشیاء در سازمان استفاده میشود. یک کاربر میتواند تنها با در اختیار داشتن یک حساب کاربری در Active Directory از چندین کامپیوتر در سازمان استفاده کند بدون اینکه برای ورود به هر کامپیوتر نیاز به حساب جداگانه ای داشته باشد.
کپی هایی از Active Directory برروی DCها نگهداری میشوند. معمولا برای ریسک پذیری بالاتر، حداقل از دو DC استفاده میشود تا در مواقع از کار افتادن یکی از آنها بتوان از دیگری استفاده نمود.
هر تغییری که در اکتیو دایرکتوری ایجاد شود با استفاده از پروسه ای به نام Replication (تکثیر) به هر کدام از این DC ها ارسال میگردد.
Replication
زمانی که هر شیء (مثل User Account) توسط Active Directory AD اضافه، حذف و یا مورد تغییر واقع می شود، این تغییرات به تمام DC ها در یک دامنه فرستاده شده و برروی آنها اعمال می گردد. ارسال تغییرات از هر DC به دیگری 15 ثانیه طول می کشد. چنانچه تعداد DCها در سازمان بیش از چهار عدد باشند، در قالب یک مدار منطقی سازماندهی شده و طی پروسه Replication، تغییرات اعمال شده برروی یک DC در طول مدار منعکس شده و به سایر DC ها تحویل داده میشود، سپس برروی آنها اعمال می گردد.
Objects
اشیاء در Active Directory بیانگر itemهایی هستند که بطور واقعی وجود دارند. رایج ترین اشیاء، کاربران و کامپیوترها هستند که بیانگر افراد و کامپیوترهای موجود در سازمان میباشند. اشیاء به وسیله AD DS مدیریت و نگهداری میشوند. به عنوان مثال برای نشان دادن کاربری مثل asghar، یک شیء User Account به نام asghar ایجاد میشود. پس از آن کاربری با نام asghar میتواند با حساب کاربری خود به دامنه وارد شده و از منابع اشتراک گذاشته در آن مثل فایل ها، پوشه ها، پرینترها و ایمیل استفاده کند. البته این کار زمانی امکانپذیر است که مجوزهای لازم به آن کاربر داده شده باشد. بطور مشابه، یک شیء Computer Account می تواند برای نشان دادن کامپیوتر asghar ایجاد شود. هر شیء دارای مشخصاتی است که می تواند مورد تغییر قرار گیرد از جمله First name، Last name، Logon name، Display name و Password برای یک شیء کاربر.
تمامی اشیاء AD DS و نوع آنها از قبل تعیین شده هستند بنابراین امکان ایجاد اشیاء دلخواه و یا مشخصات دلخواه برای آنها وجود ندارد. کلیه این اشیاء و مشخصات آنها در Schema مشخص شده اند.
Schema
Schema (اسکیما)، کلیه اشیاء قابل استفاده در اکتیو دایرکتوری را تعریف نموده و شامل لیستی از مشخصاتی است که این اشیاء را توصیف می کنند. اشیاء Schema در حالت عادی قابل تغییر نیستند اما گاهی اوقات و به دلایل خاص باید تغییراتی در آنها اعمال شود. به عنوان مثال زمانی که برنامه هایی مانند Exchange Server 2007 (برای ایمیل) نصب می شوند، Schema باید برای پذیرفتن اشیاء جدید تغییر کند (یا به عبارتی گسترش یابد).
Organizational units
واحدهای سازمانی (OU)، برای سازماندهی اشیاء در Active Directory استفاده می شوند. در واقع OUها مانند کانتینترهایی هستند که جهت نگهداری اشیاء مورد استفاده قرار می گیرند. با قرار دادن اشیاء در این کانتینترها مدیریت آنها آسانتر میشود. به عنوان مثال میتوانید یک OU با نام Sales (فروش) ایجاد نموده و تمام کاربران و کامپیوترهای بخش فروش را در آن قرار دهید.
OUها دو مزیت ممتاز دارند: اول، میتوان برروی آنها مجوزهایی برای دسترسی اشیاء تعیین نمود. دوم، میتوان انواع Group Policyها را ایجاد نموده و به آنها پیوند داد. به عنوان مثال Maria مسئول تمام کاربران و کامپیوترها در بخش فروش است. اگر این اشیاء در یک OU به نام Sales قرار داده شوند، Maria برای مدیریت آنها میتواند برروی آن OU مجوزی اعمال نموده تا برروی تمام کاربران و کامپیوترها اعمال شود. بطور مشابه میتواند با استفاده از اشیاء Group Policy (GPO) تنظیمات و پیکربندی های گوناگونی را برروی کاربران و کامپیوترهای این OU اعمال کند.
Group Policy
سیاست گروهی به شما امکان میدهد که تنظیماتی را پیکربندی نموده و آنها را برروی اشیاء کاربران و یا کامپیوترها اعمال کنید. به عنوان مثال برای اطمینان از اینکه فایروال برروی تمام کامپیوترهای بخش فروش فعال است میتوانید تمام کامپیوترهای این بخش را در یک OU به نام Sales قرار داده، یک شیء Group Policy (GPO) که فایروال را فعال میکند پیکربندی نموده و سپس آنرا به Sales OU پیوند دهید. در این حالت تفاوتی ندارد که در این OU پنج کامپیوتر و یا 5000 کامپیوتر قرار داشته باشد. یک GPO تنظیمات را بر تمام کامپیوترهای داخل OU اعمال میکند.
میتوانید GPOها را برروی OUها، دامنه ها یا سایت ها پیوند دهید. به عنوان مثال اگر قصد دارید که برروی کامپیوترهای تمام کاربران در دامنه فایروال فعال باشد، بجای پیوند GPO به یک OU باید آنرا به دامنه مورد نظر پیوند دهید. دقت داشته باشید که در هنگام ایجاد یک دامنه دو GPO بطور پیشفرض ایجاد میشوند: Default domain policy و Default domain controllers policy.
Default domain policy
Default domain policy (سیاست پیشفرض دامنه)، یک GPO است که در زمان ایجاد یک دامنه، بطور پیشفرض ایجاد و پیکربندی شده و در سطح دامنه پیوند میشود. تنظیمات این GPO بر تمام کاربران و کامپیوترهای داخل دامنه اعمال میگردد. این سیاست با بعضی تنظیمات اولیه امنیتی مانند نیاز به رمز عبور آغاز میشود و میتوان تنظیمات آنرا مورد تغییر قرار داد.
Default domain controllers policy
Default domain controllers policy (سیاست پیشفرض DC) ، همانند GPO قبلی بوده با این تفاوت که در سطح DC پیوند میشود. زمانی که یک دامنه ایجاد میشود، یک OU نیز به همراه آن ایجاد شده (Domain Controllers OU) و تمام DCها در آن قرار داده میشوند. با پیوند سیاست پیشفرض برروی این OU، تمام DCهای داخل آن از این سیاست برخوردار میگردند.
Site
یک سایت، به گروهی از کامپیوترهای متصل بهم، و در بعضی موارد به گروهی از زیرشبکه های متصل بهم نیز گفته میشود. محدوده عملکرد سازمان های تجاری معمولاً خارج از یک محل است. کامپیوترهایی که در یک محل قرار داشته و از طریق یک شبکه LAN به یکدیگر متصل هستند، یک سایت را تشکیل میدهند. اگر یک اداره به صورت Remote ایجاد شده باشد، به عنوان یک سایت پیکربندی میشود. ممکن است چندین دامنه در یک سایت، و یا چندین سایت در یک دامنه (زمانی که هر زیرشبکه را به عنوان یک سایت درنظر بگیریم) وجود داشته باشد.
Forest
Forest ، گروهی از یک یا بیشتر از یک دامنه است که Active Directory یکسانی را با یکدیگر به اشتراک میگذارند.
Global Catalog
GC لیستی از تمام اشیاء در یک Forest است. این کاتالوگ به راحتی قابل جستجو بوده و اغلب توسط برنامه های مختلف به منظور جستجوی اشیاء AD DS استفاده میگردد.
GC، بر روی DCهایی قرار دارد که به عنوان سرور GC تعیین شده اند.
Tree
درخت، به مجموعهای از دامنه ها با فضای نام مشترک گفته میشود. به زبان ساده تر، دو بخش ریشه در فضای نام همه این دامنه ها یکسان است. به عنوان مثال اگر اولین دامنه در درخت Test.com باشد، دامنه های فرزند آن (زیردامنه ها) میتوانند Sales.Test.com و Financ.Test.com باشند. بنابراین مجموع این دامنه ها که دو بخش اصلی آنها (Test.com) مشترک است، یک درخت را تشکیل میدهند. یک forest می تواند بیشتر از یک درخت را شامل شود. به عنوان مثال، علاوه بر درخت test.com می تواند شامل درختی با فضای نام مشترک .com نیز باشد. فضای نام این درختها یکسان نیستند ولی چون در یک جنگل قرار دارند، Schema و Global Catalog در آنها مشترک است.
آشنایی با اکتیو دایرکتوری-قسمت اول
مشاوره و راه اندازی اکتیو دایرکتوری توسط تیم فنی ISG