Professional Documents
Culture Documents
70-742 v2 PDF
70-742 v2 PDF
را نیز بر اساس آنForest کلDC راه اندازی می کنند و زمان اولینLinux را بر رویNTP ) هاRouter ها وFirewall معموال (برای
. می کنندSet
. برای آن ساخته می شودComputer Account در واقع یک، می شودDomain بهjoin ، workstation زمانی که یک: نکته
Machine Account .1
(Enter Username & Password) : User Account .2
راNetLogon ها سرویسwindows تمامی. انجام می دهدNetLogon مستقل به نامservice این فاز یک: Machine Account
هم همین می باشد کهDomain کردن بهjoin اصال دلیل. کردLogon نمی توانDomain به،دارند و اگر این سرویس از کار بیافتد
. ارسال می گرددPassword وUsername کانال امن ایجاد شده و سپس،Computer Account توسطNetLogon
NetLogon
Kerberos
Logon
برای تغییر.)Background روز یکبار تغییر می کند (البته در30 هرComputer Account ِ Password به صورت پیش فرض: نکته
: روز30 این
Run
gpedit.msc
Ok
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account
password.
Default: 30 days.
. تغییر نمی یابد ولی از لحاظ امنیتی یک ریسک محسوب می شودPassword تغییر داد که در این حالت هیچ زمانی0 می توان زمان آن را به
برای تغییر این. کندDomain بهjoin راComputer Account تا10 می تواند تعدادUser Account به صورت پیش فرض هر: نکته
: 10 عدد
Server Manager
Tools
ADSI Edit
RC
Connect to...
Ok
---------------------
ADSI Edit
>Default naming context ]Server1.mft.local[
DC=mft,DC=local
RC
Properties
Attribute: ms-DS-MachineAccountQuota
Double click
Value: 10 //by default
Ok
پس هنگام کار با آن بایستی دقت نمود چرا که با. داردntds.dit دسترسی مستقیم و بدون واسط بهADSI Edit کنسول: نکته
.هر گونه تغییر در این کنسول به منزله تغییر در دیتا بیس محسوب می گردد
-----------------------------------------------------------------------------------------------
View Tab
Advanced Features
مربوطهOU بر روی
RC
Properties
Object Tab
o Protect container from accidental deletion
Apply
Ok
مربوطهOU بر روی
RC
Delete
C:\>dsadd ou “ou=class,dc=mft,dc=local”
Security Objects
Users
Groups
Computers
Container
OU
C:\>whoami
C:\>whoami /User Users مربوط بهSID دستور مشاهده ی
C:\>whoami /Groups (البته فقط گروه هاییGroups مربوط بهSID دستور مشاهده ی
)که در آن عضو هستیم را نمایش می دهد نه همه گروه ها
C:\>whoami /UPN کاربرUPN دستور مشاهده
C:\>whoami /FQDN ) جاریUser( کاربرDN دستور مشاهده
گرفت که با این کار یکسریproperties کرد و سپسselect را با همuser می توان چندActive Directory در کنسول: نکته
) گرفتن از آنهاproperties وuser کردن چندselect های مربوط بهTab( : ها نمایش داده می شودuser های مشترک بینAttributes
Properties for Multiple Items
General
Account
Address
Profile
Organization
. ها تکنیکال هستندtab اطالعاتی بوده و دیگر،Address وGeneral هایtab که
User1
RC
Copy
Cut
Move
نکته :قابلیت Copyیک : Userکپی یک کاربر در واقع کپی Attributesهای Userمربوطه می باشد یعنی Tabهای General
و Accountو Addressو Profileو Organizationبرای ساخت یک Userجدید عینا کپی می شود و دیگر نیازی به پر
کردن فیلدهای Tabهای مذکور برای Userجدید نمی باشد.
نکته :قابلیت Cutیک : Userانتقال یک کاربر از یک واحد سازمانی به دیگر واحدها یعنی Cutاز یک OUبه OUدیگر می
باشد .نکته حایز اهمیت این است که با انتقال Userبه یک OUدیگر Delegate ،و Policyهای تحت تاثیر Userتغییر می
یابند.
نکته :قابلیت Moveیک : Userمانند قابلیت Cutاست منتها به صورت Wizrdمی باشد در واقع متد انتقال آن فرق می کند.
تمرین :کامند فعال نمودن Accountو نیز User must change password at next logonبرای کاربر : u5
C:\>dsmod user “cn=u5,ou=class,dc=mft,dc=local” –disable no –mustchpwd yes
نکته مهم :پارامترهای –samidو –memberofبر روی دستور dsmodعمل نمی کنند.
[C:\>dsmod user <UserDN>]Parameters
Ex:C:\>dsmove“cn=mojtaba,ou=software,dc=mft,dc=local”–newparent “ou=it,dc=mft,dc=local”
| :عملگر ،Pipeعملگری است که خروجی کامند اول را ،ورودی کامند دوم می کند.
Output First Command ---> input Second Command
در حالت ،Pipeاگر queryبه صورت interactiveیا تعاملی باشد query ،مربوطه به صورت خودکار cancelمی گردد.
نمایش تمامی userهایی که 4هفته Logonنکرده اند و تمام آن ها را Disableنمودن در سطح کل : Domain
C:\>dsquery user “dc=mft,dc=local” –inactive 4 | dsmod user –disabled yes
: –inactiveمالک آن هفته است.
نکته :اگر با Logon ، Local Adminکنیم و سپس کنسول Active Directory Users and Computersرا باز کنیم Error ،می
دهد و بایستی کنسول را به صورت runasاجرا کرده یا با Logon ، Domain Adminsنماییم.
Ex: “cn=u1,ou=class,dc=mft,dc=local”,user,u1,u1@mft.local
Ex: “cn=u2,ou=class,dc=mft,dc=local”,user,u2,u2@mft.local
...
. را داخل ” “ قرار می دهندDN آدرس، اشتباه نشود،Header با کاماهایDN برای آن که کاماهای: نکته
. نمی توان قرار دادCSV داخل فایل، ها را به دلیل مسایل امنیتیPassword : نکته
ایجاد کنیم و دستورات را داخل آن قرار داده و در آخر بایستی باText کافی است که یک فایلCSV برای ایجاد یک فایل: نکته
. ).txt ذخیره نماییم (نه به صورت.csv پسوند
: Active Directory مربوطه درCSV یا تزریق فایلinject
Run
cmd
Ok
C:\>csvde.exe -i -f c:\class\user.csv
-i : import
-f : file
c:\class\user.csv : ساخته شدهcsv آدرس فایل
: ) تعیین کردPassword( کلمه عبور،CSV های وارد شده از طریق فایلUser با ترفند زیر می توان برای
Active Directory Console
Select All Users with inject csv
RC
Properties
Account Tab
User must change password at next logon
Ok
Enable Account
: ) نمی توان گفتBackup به منظور حفظ ساختار آن (البتهCSV در یک فایلActive Directory خروجی گرفتن از تمام ساختار
C:\>csvde.exe -f c:\class\adds.csv
راCSV اجرا کرده و فایلrunas را به صورتcmd می کنیم و سپسLogon ،User1 مثالDomain Users هنگامی که با یک: نکته
: راه حل. شده را نداریمinject هایuser نمودنEnable در این صورت توانایی، می کنیمinject ها راuser کرده وimport
C:\>runas /user:administrator mmc
user کرده و در آخرAdd را در آنActive Directory Users and Groups اجرا نموده و سپسrunas را به صورتmmc کنسول
. کردEnable ها را
Additional DCs
: دالیل استفاده از آن
Redundancy .1
Load Balancing .2
Traffic
Location
: additional DC انواع
. دارندwrite قدرت تغییر یا: Writable .1
. ها پاسخ می دهندclient قدرت تغییر نداشته و تنها به: )Read Only Domain Controller ( RODC .2
: Additional DC Writable
. بودن استDomain بهjoin شرط راه اندازی آن تنها: راه اندازی
. توانایی آن را دارندDomain Admins وEnterprise Admins گروه های،DC برای اضافه نمودن: نکته مهم
. می کنیمLogon ، گرددAdditional DC ایی که می خواهیمserver ابتدا بر روی .1
. را نصب می کنیمActive Directory Domain Services ِ Role سپس بر روی آن .2
. آن را انجام می دهیمPost Deployment و در آخر .3
نکته :اگر user ،server6ایجاد کند یا یک OUبسازد در فایل دیتا بیس )ntds.dit( Active Directoryبخش Domain Partition
مربوط به server6ذخیره می شود و سپس ntds.ditآن با Replicate ،server1می شود و بالعکس (در Additional DCهای
Replication ،Writableبه صورت دو طرفه انجام می شود).
می توان باDomain Admins وEnterprise Admins به صورت پیش فرض تنها با، تبدیل می شودDC بهserver وقتی یک: نکته
. را انجام دادLogon ها نمی توان عملLocal Users ها وDomain users کرد و با هیچ کدام ازLogon آن
: می کنیمLogon ، استDomain users که یکuser1 ای مثلuser پیغام خطای آن وقتی با یک
The sign-in method you’re trying to use is not allowed. For more info, contact your network administrator.
استPolicy خود یک، را انجام دادLogon ها نمی توان عملLocal Users ها وDomain users البته اینکه نمی توانیم با هیچ کدام از
. ها مفصل بحث خواهد شدpolicy کنیم که در بخشEdit که می توانیم آن را
sync و این. کمی طوالنی تر خواهد شد، هاDC بینsync به دلیلLogon پروسه ی، اضافه می گرددAdditional DC زمانی که: نکته
در این میان تنها. ندارد... وSecondary وPrimary انجام می شود و هیچ ارتباطی با بحث زون هایDomain Replication از طریق
: به عبارتی. ها می باشدDC بینReplication وابسته به اینADI Zone
. معنادار می باشدSecondary وStandard هاست که برای زون هایDNS بینReplication : Zone Transfer
Domain می باشد و وابستگی کامل بهADI هاست که برای زون هایDNS بینReplication : Zone Replication
. داردReplication
. می باشدForest کلDC همیشه اولینTime Server : یادآوری
Time Server
1st DC in the forest
if DC & Clients times not Equal and time difference more than 5 minutes => None of the
clients can logon (it is one policy)
. داردDNS اولویت باالتری نسبت به حذف یک رکورد درActive Directory درuser حذف یک: نکته
DNS Console
>Server1
>Forward Lookup Zone
>mft.local
RC
Properties
General Tab
Replication: ..... // فعال می باشدADI تنها برای زون های
Change
o To all DNS server running on domain controllers in this forest: mft.local
To all DNS server running on domain controllers in this domian:
mft.local
o To all domain controllers in this domain(for windows 2000
compatibility): mft.local
o To all domain controllers in the scope of this directory partition:
Remote های دیگر بدون زدنDC شدن بهconnect قابلیتActive Directory Users and Computers در کنسول: نکته
: به صورت زیر. وجود داردDesktop
Active Directory Users and Computers ]Server1.mft.local[
RC
Change domain controller
: Additional DC RODC
Read تنها قابلیتserver8 به عنوان مثالDC در این نوع یک. داریمWritable چالش بیشتری نسبت بهAdditional در این نوع
. عمل می کندSecondary zone دارد یعنی مانند یک
: Writable به جایRODC دالیل استفاده از
یا مدیریتAdministration .1
. شعبه ها مورد حمله قرار گیرندDC یا امنیت چرا که ممکن استSecurity .2
آن بهReplication آن چون که متدReplication بهبود کارایی: improve Domain Replication Performance .3
دارند یعنی فقط تغییراتin-bound این است که فقطRODC (یکی از قابلیت های. یا یکطرفه استsingle master صورت
)را دریافت می کنند و قادر به انجام هیچ گونه تغییر نیستند
. و شعبه توجیهی نداردSite می باشد یعنی کاربرد آن بیشتر در شعبه ها بوده و در یکBranch Solution ،RODC به طور کلی: نکته
: راه اندازی
. باشدDomain بهjoin نباید از قبلRODC .1
: نیست) تعریف شده باشدDomain بهjoin ای کهcomputer account (یعنی ایجادPreStage بایستی به صورتRODC .2
. را نصب می کنیمActive Directory Domain Services ِ Role سپس بر روی آن .3
. آن را انجام می دهیمPost Deployment و در آخر .4
Active Directory Users and Computers
>mft.local
Domain Controllers
RC
Pre-create Read-only Domain Controller account...
Use Advanced mode installation
Next
Network credentials:
My current logged on credentials (MFT\Server1)
Next
Specify the Computer Name:
Computer name: Server8
Next
Select a Site:
Default-First-Site-Name // دیگر باشدSite بایستی در یکRODC اصوال
Next
Additional Domain Controller Options:
DNS Server
Global Catalog (GC)
// را زده استGC دیگر است به صورت پیش فرض تیک گزینهSite چون ذهنیت آن در یک
Next
Specify the Password Replication Policy: (Next)
Delegation of RODC Installation and Administration:
Group or user: ----mft\Kish-user---- set
مربوط بهUsername وPassword چون نمی خواهیم، کندDelegate راRODC ایی باید ساخت شود تا مدیریتuser یک
بدین منظور بایستی یک یوزر دامینی. یا شعبه ها در اختیار داشته باشندBranch راEnterprise or Domain Admins
. واگذار می کندuser را به اینServer8 ایجاد گردد یعنی تمام مدیریتKish-user ) مانندDomain users(
اییDomain هایuser است که قدرت نصب نیز دارد (می دانیم که هیچ کدام ازDomain معمولیuser یکKish-user
. می شودRODC مربوط بهLocal Admin به نوعی می توان گفت،قدرت نصب ندارند) اما این قدرت را به آن می دهد
They will also have local administrative permissions on this RODC.
. می شودRODC همانAdmin فقطuser به طور خالصه این
. برای مدیریت خود الزم داردuser یکRODC هر: نکته
Next
Summary (Next)
Finish
. باشدWritable هایDC بایستی یکی ازRODC مربوط بهDNS : نکته بسیار مهم
Preferred DNS Server: 10.1.1.1 (server1)
Alternate DNS Server: 10.1.1.6 (server6)
کسی که عضو این گروه باشد password ،آن به Replicate ، RODCمی شود.
در یکی از DCهای ، writableیک گروه به نام KishUsersبرای OUمربوط به ،Kishساخته و سپس تمام userهای kishرا عضو
گروه KishUsersمی نماییم .و در نهایت گروه KishUsersرا عضو گروه Allowed RODC Password Replication Groupمی
کنیم .اتفاقی که می افتد این است که passwordتمام userهای گروه ،KishUsersبه server8که RODCمی باشد Replicate ،می
شود .با این کار Enterprise & Domain Admins ِ passwordنیز به Replicate ، RODCمی شود که ریسک امنیتی است.
عضوDenied بایستی آن ها را در گروه، نشودReplicate ، RODC بهEnterprise & Domain Admins ِ password برای آن که
،Denied باشد و هم درAllowed هم درuser ) به طور کلی اگر یک. یک گروه را می توان عضو یک گروه دیگر نمود،Domain (در.نماییم
. باالتر استDenied می شود زیرا که اولویتDenied نتیجه ی اعمال آن
user هایpassword صورت می گیرد به عنوان مثالReplicate های کل شعب نیزRODC با تمام، با انجام این کار: ایراد این راه حل
. و ذخیره می شوندReplicate های کیش در شعبه مشهد نیز
. نماییمAllowed RODC Password Replication Group را عضو گروهDomain Users تنها گروه: 2 راه حل
: نشوندReplicate های کیش به مشهدuser هایpassword را نداشته باشد که1 این است که ایراد راه حل: 3 راه حل
: انجام شودForest های کلRODC مراحل زیر بایستی بر روی تمام: نکته بسیار مهم
Apply
Ok
Advanced
کرده اندLogon هایی کهuser ِ pass نمایش =< آن ها را ذخیره می کندpassword می کندLogon ، user برای اولین بار که، server8
راcomputer account مربوط بهpassword توجه شود که. ش ذخیره نمی شودpassword ، نکندLogon ،user چون که تا خود
.ذخیره نمی کند
Policy Usage Tab
Accounts that have been authenticated to this RODC
Accounts whose passwords are stored on this RODC
.) هدایت شوندServer1( مربوط به سایت تهرانDC دیگر تمامی آن ها بایستی به، داشته باشیمSite Tehran کارمند در122 اکنون اگر
. استTime بحث بعدی
. محقق شدDC ها به نزدیکترینclient تا اینجا هدف اول یعنی هدایت
. کاهش یابدReplicate زمان، هر چه پهنای باند بیشتر باشد. تنظیم گردد، و نیز بر اساس پهنای باند15 های فوق را بهتر است مضربtime
. دقیقه می باشد15 ، Replicate every حداقل زمان
،12 تا10 را مدیریت نماییم به عنوان مثال در ساعات شلوغ مانندReplication در این قسمت می توانیم زمان: View Schedule
. انجام نشودReplication
. ها از مسیر می روندpacket ، یک مسیرکمتر باشدCost هر چقدر مقدار
آن مسیر را افزایش داده به طوری که از مجموعCost ها از یک مسیر خاص فرستاده نشوند بایستیpacket در این صورت اگر بخواهیم که
. ها بیشتر گرددCost بقیه
8
OSPF Cost = 10 / Bandwith
: Site Link Bridge
>Sites
>inter-site Transports
>IP
RC
New site link Bridge
Name: B-Kish-Qeshm > Teh-Kish
> Teh-Qeshm
Add
>Sites
>Default-First-Site-Name
>Servers
>Server1
>NTDS Settings
Automatically generated
RC
Properties
Change Schedules
Default: //ساعتی یکبار
Topology Change
. انجام می دهدKCC راTopology زمان تغییر
: در مسیر زیرDC Type : هست یا نیست؟GC ، DC برای مشاهده اینکه کدام
Active Directory Users and Computers
>Seved Queries
>mft.local
>Domain Controllers
: بایستی، را انتخاب نکردیم یا اگر انتخاب کرده و نیاز به تغییر وضعیت آن داریمGC گزینه ی،ADDS Role اگر موقع نصب: نکته
>Sites
>Default-First-Site-Name
>Servers
>Server8
>NTDS Settings
RC
Properties
General Tab
Global Catalog
: نکته
Active Directory Users and Computers
>Seved Queries
>mft.local
>Domain Controllers
>Server1
RC
Properties
General Tab
. لینک می باشدAD Site & Services این تنظیمات در واقع به همان کنسول
: Groups
set های خاصی بر روی آن گروهPolicy چون ممکن است، هستUniversal عضو کدام گروه هایUser فقط می تواند بفهمد کهGC
.شده باشد
Domain نمود و تنهاLogin نمی توانEnterprise Admins با، ) خاموش (وجود نداشته باشدGC ،) (سوال؟Site اگر در یک: نکته
. هستندLogin قادر بهAdmins
Kish
NTDS Site Settings
RC
Properties
Site Setting
Enable UGMC
AD – Site :
DC (Writable , RODC)
DNS (ADI)
GC or UGMC
. نموده استCache باز هم کار می کند زیرا که، به تهران قطع شده باشدLink وجود داشته باشد وUGMC ، Site اگر در یک: نکته
: Group Scopeبه منطقه ی کاربرد و قدرت Groupگویند که شامل انواع زیر می باشد.
Local
)DL( Domain Local
گرفتن عضو از هر ( Domainتمام )Forestمنتها فقط در Domainخودش قابل استفاده است.
تخصیص دسترسی تنها بر روی همان Domain
از نظر ماهیت اصال Localنیست.
)GL( Global
گرفتن عضو از همان Domainخود
تخصیص دسترسی بر روی تمام Forest
)UN( Universal
گرفتن عضو از هر ( Domainتمام )Forest
تخصیص دسترسی بر روی تمام Forest
هم از همه جا عضو می گیرد و هم در همه جا قابل استفاده است.
: Securityکاربرد آن در مکانیزم های Messagingو Permissionو )Rights( Policyمی باشد .این نوع SIDدارند.
: Distributionکاربرد آن فقط در مکانیزم های Messagingمی باشد که بایستی Appهای پیام رسان مانند Exchangeو...
داشت .این نوع SIDندارند.
Permission .1
Policy .2
بحث : Scopeبیشتر در Multi Domainمطرح است و در Single Domainمعنای خاصی ندارد.
اصطالح : Group Nestingعضویت گروه ها در گروه های دیگر (گروه عضو گروه)
AGDLP .1
AGUDLP .2
1. AGDLP:
A G DL P
Accounts
Global groups
Domain Local
assign Permission
Server Manager
Manage
Remove Roles and Features
Next
Next
Active Directory Domain Services
Demote this domain controller
Force the removal of this domain controller
Next
Proceed with removal
Next
Retain domain controller metadata
Next
New Administrator Password:
Password: *******
Confirm Password: *******
Next
Review Options:
Next
Close
Ok
member به یکdomain controller ، انجام شودDemote نیز یادآوری می کند که بعد از اینکهReview Options در قسمت: نکته
. نیستDC است ولیDomain ایی که عضوserver تبدیل می گردد یعنیserver
در بحث امنیت ،بیشتر تیک گزینه ی File and Printer Sharing for Microsoft Networksرا بر می دارند (حتی برای RODCها).
توجه شود که این تیک برای DCالزامی است و نباید برداشته شود.
نکته :دلیل متغیر بودن زمان : 90 – 120 minutesآن است که خود clientیک عددی Randomبین بازه ی 92تا 122برای Refresh
شدن خودش set ،می نماید و هدف Randomبودن این است که clientها در یک زمان مشخص مثال دقیقه ی 92به سمت server
درخواست یا requestندهند و از هجوم آن ها و ایجاد بار بر روی serverجلوگیری شود.
یادآوری :همان طور که گفته شد سطح ADDSاز سطح Localباالتر است و نیز گفته شد ADDSخود شامل Siteو OUو Domain
می باشد که این موارد نیز خود دارای اولویت هایی نسبت به یکدیگرند.
ADDS:
Site
OU
Domain
اولویت Site < Domain < OU :
نکته Policy :تعریف کردن در سطح Siteزیاد مرسوم نیست و بیشتر در سطوح Domainو OUتعریف می شوند OU .در بحث تعریف
Policyفوق العاده است و همان طور که گفته شد یکی از بهترین دالیل تعریف Policy ،OUمی باشد.
Run
gpmc.msc
Ok
Group Policy Management
>Forest : mft.local
تمام دامین های کل فارست را نمایش می دهد>Domains //
>mft.local
Default Domain Policy
>Domain Controllers
>Class
>IT
>Kish
>Group Policy Objects
Default Domain Controller Policy
Default Domain Policy
به صورت پیش فرض دو GPOوجود دارد :
Default Domain Controller Policy .1
Default Domain Policy .2
جدید ساخته و ویرایشGPO ویرایش نشوند بلکه به جای آن یکDefault هایGPO به طور کلی پیشنهاد می شود که: Recommend
. های کمتر ارجح تر استPolicy های زیاد باGPO .گردد
را می آورد که به دلیل کاربرد و اهمیت اینLocal Policies مربوط بهSecurity Settings در واقع همانsecpol.msc دستور: نکته
. در یک کنسول جدا آورده شده است،بخش
. تاثیرگذار استGPO منطقه ایی است که یک: Scope
------->
Default Domain Policy .محدوده آن تمام دامین می باشد
------->
Default Domain Controllers Policy .محدوده آن فقط برای دامین کنترلرها می باشد
محدودتری می باشند یعنی فقطscope دارای، هاDefault Domain Policy ها نسبت بهDefault Domain Controllers Policy
.Domain Controllers مربوطه بهOU برای
Password Policy
تعیین، حداقل تعداد کاراکترهایی را که یک رمز عبور برای یک حساب کاربری ممکن است وجود دارد: Minimum password length
>0-127< .می کند
. می باشد7 به صورت پیش فرض مقدار آن
. استEnter همان: Blank منظور از. هم می پذیردBlank به معنای آن است که0 مقدار
. کاراکتر می باشد127 ،password می باشد به عبارتی دیگر حداکثر طول127 حداکثر مقداری که می توان داد
. تغییر یابد8 به7 حداقل تعداد طول کاراکترهای کلمه عبور از: استادRecommend
This security setting determines the least number of characters that a password for a user account
may contain. You can set a value of between 1 and 20 characters, or you can establish that no
password is required by setting the number of characters to 0.
Default:
7 on domain controllers.
0 on stand-alone servers.
Note: By default, member computers follow the configuration of their domain controllers.
، اگر این سیاست فعال باشد. بایستی پیچیده باشدpassword الزاما: Password must meet complexity requirements
:کلمه عبور باید حداقل الزامات زیر را داشته باشد
تعریف نشده است وADDS در سطحpolicy را برداریم به معنای آن است که اینDefine this policy setting اگر تیک گزینه: نکته
. ها قرار می گیردclient مربوط به خودlocal هایpolicy در این صورت کنترل آن در دست
This security setting determines whether passwords must meet complexity requirements.
If this policy is enabled, passwords must meet the following minimum requirements:
Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Default:
Note: By default, member computers follow the configuration of their domain controllers.
این تنظیم امنیتی تعیین دوره زمان (در روز) است که یک رمز. استpassword Expire همان: Maximum password age
.عبور می تواند مورد استفاده قرار گیرد قبل از اینکه سیستم نیاز کاربر به آن را تغییر دهید
. روز می باشد42 به صورت پیش فرض مقدار آن
. تبدیل می گرددNerver Expire آن عمال به0 مقدار
را بزنیم ارجع ترNever Expire خاص تیک گزینهuser به صورت دستی برای یکActive Directory اگر در کنسول: نکته
. می باشدuser برای تکAD ها بوده در حالی که درuser برای تمامیpolicy چون اینpolicy است نسبت به این
This security setting determines the period of time (in days) that a password can be used before the system
requires the user to change it. You can set passwords to expire after a number of days between 1 and 999,
or you can specify that passwords never expire by setting the number of days to 0. If the maximum password
age is between 1 and 999 days, the Minimum password age must be less than the maximum password age.
If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998
days.
Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your
environment. This way, an attacker has a limited amount of time in which to crack a user's password and
have access to your network resources.
Default: 42.
است یا به عبارتی این تنظیم امنیتی تعیین دوره زمانpassword حداقل زمان برای تغییر دوباره: Minimum password age
. استفاده شود،(در روز) است که یک رمز عبور باید قبل از اینکه کاربر بتواند آن را تغییر دهد
. روز می باشد1 به صورت پیش فرض مقدار آن
البته برای. خود را تغییر دهد که اصال پیشنهاد نمی شودpassword به معنای آن است که کاربر می تواند پشت سر هم0 مقدار
. مشکلی را ایجاد نمی کندpolicy به این0 مقداردهی، داشته باشیمDC مواقعی که یک
This security setting determines the period of time (in days) that a password must be used before the user
can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting
the number of days to 0.
The minimum password age must be less than the Maximum password age, unless the maximum password
age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the
minimum password age can be set to any value between 0 and 998.
Configure the minimum password age to be more than 0 if you want Enforce password history to be
effective. Without a minimum password age, users can cycle through passwords repeatedly until they get
to an old favorite. The default setting does not follow this recommendation, so that an administrator can
specify a password for a user and then require the user to change the administrator-defined password when
the user logs on. If the password history is set to 0, the user does not have to choose a new password. For
this reason, Enforce password history is set to 1 by default.
Default:
1 on domain controllers.
0 on stand-alone servers.
Note: By default, member computers follow the configuration of their domain controllers.
این تنظیم امنیتی تعداد شمار کلمه عبور منحصر به فرد جدید را تعیین می کند که باید با یک: Enforce password history
.حساب کاربری مرتبط شود قبل از استفاده مجدد از رمز عبور قدیمی
به عنوان مثال اگر. تکراری دادpassword دفعه نمی توان24 یعنی تا. کلمه عبور می باشد24 به صورت پیش فرض مقدار آن
. دفعه بعد صبر نماید24 را که امروز تنظیم کرده است را بخواهد مجددا قرار دهد بایستی تا12345q@ کاربر کلمه عبور
. به معنای آن است که کاربر می تواند کلمه عبور قدیمی را مجددا به عنوان کلمه عبور جدید قرار دهد0 مقدار
This security setting determines the number of unique new passwords that have to be associated with a user
account before an old password can be reused. The value must be between 0 and 24 passwords.
This policy enables administrators to enhance security by ensuring that old passwords are not reused
continually.
Default:
24 on domain controllers.
0 on stand-alone servers.
Note: By default, member computers follow the configuration of their domain controllers.
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately
after they were just changed by also enabling the Minimum password age security policy setting. For
information about the minimum password age security policy setting, see Minimum password age.
این تنظیم امنیتی تعیین می کند که آیا سیستم عامل با استفاده از رمزنگاری: Store passwords using reversible encryption
.برگشت پذیر رمزهای عبور را ذخیره می کند
. می باشدDisable به صورت پیش فرض
گردد دیگر نمی توانHash ، ایpassword به صورت یکطرفه است یعنی اگرHash در می آیند وHash ها معموال به صورتpassword
. به صورت دوطرفه است یعنی به روشی رمزنگاری می کند که بتوان آن را برگرداندencryption در مقابل.آن را به حالت قبل برگرداند
. ذخیره می کند که از لحاظ امنیت بسیار ضعیف استencryption ها را به صورتpassword گردد یعنیEnable اگرPolicy این
This security setting determines whether the operating system stores passwords using reversible encryption.
This policy provides support for applications that use protocols that require knowledge of the user's
password for authentication purposes. Storing passwords using reversible encryption is essentially the same
as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless
application requirements outweigh the need to protect password information.
This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication
through remote access or Internet Authentication Services (IAS). It is also required when using Digest
Authentication in Internet Information Services (IIS).
Default: Disabled.
Account Lockout Policy
این تنظیم امنیتی تعیین تعداد تالشهای منطقی شکست خورده که سبب می شود که یک حساب: Account lockout threshold
مجددا تنظیم نشود یا تا زمانی که مدتAdmin یک حساب قفل شده نمی تواند استفاده شود تا زمانی که توسط یک.کاربری قفل شود
.زمان قفل شدن آن حساب کاربری منقضی نشده باشد
. تالش ورود به سیستم انجام دهید999 تا0 شما می توانید یک مقدار بین
به صورت پیش فرض هرگزpassword ایی با اشتباه وارد نمودنAccount می باشد یعنی هیچ0 به صورت پیش فرض مقدار آن
.قفل نخواهد شد
: پیغام آن پس از فعال نمودن
The referenced account is currently locked out and may not be logged on to.
This security setting determines the number of failed logon attempts that causes a user account to
be locked out. A locked-out account cannot be used until it is reset by an administrator or until the
lockout duration for the account has expired. You can set a value between 0 and 999 failed logon
attempts. If you set the value to 0, the account will never be locked out.
Failed password attempts against workstations or member servers that have been locked using
either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.
Default: 0.
شدن را تعیین می کند که پس از این زمان می توان مجدداLock این تنظیم امنیتی مدت زمان: Account lockout duration
. را وارد نمودpassword
. دقیقه است99،999 دقیقه تا0 دامنه در دسترس از
. فعال گرددAccount lockout threshold می باشد در صورتی که سیاست30 minutes به صورت پیش فرض مقدار آن
. به طور صریح آن را باز نکند قفل خواهد شدAdmin به معنای آن است که حساب تا زمانی که یک0 مقدار
This security setting determines the number of minutes a locked-out account remains locked out
before automatically becoming unlocked. The available range is from 0 minutes through 99,999
minutes. If you set the account lockout duration to 0, the account will be locked out until an
administrator explicitly unlocks it.
If an account lockout threshold is defined, the account lockout duration must be greater than or
equal to the reset time.
Default: None, because this policy setting only has meaning when an Account lockout threshold
is specified.
این تنظیم امنیتی تعیین تعداد دقیقه است که باید پس از یک تالش منطقی شکست: Reset account lockout counter after
. تالش های منطقی بد تنظیم شود0 خورده قبل از تالش ضد دامنه شکست خورده به
8:30 AM یعنی در زمان، خود را غلط بزند و پس از گذشت نیم ساعتpassword بار2 ،8:00 AM اگر کاربر ساعت: به بیان ساده تر
بار؟3 بار است یا2 را اشتباه وارد نموده استpassword اکنون این تعداد دفعاتی که کاربر، خود را غلط وارد کندpassword دوباره
. دقیقه است999999 دقیقه تا1 محدوده دسترس
تعداد دفعات کلمه عبورcounter ، دقیقه30 می باشد یعنی اینکه پس از زمان30 minutes به صورت پیش فرض مقدار آن
. فعال گرددAccount lockout threshold در صورتی که سیاست.اشتباه وارد شده را صفر کن
This security setting determines the number of minutes that must elapse after a failed logon attempt
before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1
minute to 99,999 minutes.
If an account lockout threshold is defined, this reset time must be less than or equal to the Account
lockout duration.
Default: None, because this policy setting only has meaning when an Account lockout threshold
is specified.
Kerberos Policy
است یعنی اختالفTime Server در واقع همان: Maximum tolerance for computer clock synchronization
. نمایدLogon دیگر نمی تواندclient در غیر این صورت. باشد5 minutes نباید بیشتر ازDC ها باclient زمانی
. می باشد5 minutes به صورت پیش فرض مقدار آن
RC
Edit
>Computer Configuration
>Policies
>Windows Settings
>Security Settings
>Local Policies
>Audit Policy
Audit account logon events
Audit account management
Audit directory service access
Audit logon events
Audit object access
Audit policy change
Audit privilege use
Audit process tracking
Audit system events
>User Rights Assingment
Access this computer from the network
Add workstations to domain
Allow Log on locally
Allow log on through Remote Desktop Services
Change the system time
Change the Time Zone
Deny access to this computer from the network
Deny log on locally
Deny log on through Remote Desktop Services
Force shutdown from a remote system
Load and unload device drivers
Shut down the system
Take ownership of files or other objects
...
>Security Options
Accounts: Administrator account status
Accounts: Guest account status
Devices: Allow undock without having to log on
Devices: Allowed to format and eject removable media
Interactive logon: Do not require CTRL+ALT+DEL
Interactive logon: Don't display last signed-in
Interactive logon: Don't display username at sign-in
Interactive logon: Message text for users attempting to log on
Interactive logon: Message title for users attempting to log on
Interactive logon: Number of previous logons to cache (in case dc is not available)
Network security: Force logoff when logon hours expire
Shutdown: Allow system to be shut down without having to log on
،Local Users وDomain Users ها نمی توانیم باDC باعث می شود که بر رویPolicy این: Allow Log on locally
. کنیمLogon
Policy را در اینDomain Users کرد بایستی گروهLogon ،DC ایی بر رویdomain هایuser برای این که بتوان با
. کردAdd
Default:
On workstations and servers:
Administrators
Backup Operators
Power Users
Users
Guest
On domain controllers:
Account Operators
Administrators
Backup Operators
Print Operators
. ها پایین ترندDomain Admins ها یک درجه ازServer Operators گروه: نکته
ها راworkstation این تنظیم امنیتی تعیین می کند کدام گروه ها یا کاربران می توانند: Add workstations to domain
هر، به طور پیش فرض. معتبر استDomain Controllers این تنظیم امنیتی فقط در. اضافه کنندDomain به یک
. ایجاد کندDomain درComputer Account عدد12 دارای این حق است و می تواند تاauthenticated user
Active Directory-based اجازه می دهد که رایانه در شبکه هایDomain بهComputer Account افزودن یک
را قادر می سازدworkstation این،Domain به یکworkstation اضافه کردن یک، برای مثال. شرکت کندnetworking
. را شناسایی کندActive Directory تا حساب ها و گروه های موجود در
Default: Authenticated Users
تعیین می کند که کدام کاربران و گروه ها مجاز به اتصالuser right این: Access this computer from the network
) متصل شوندDC به اینnetwork هایی که می توانند از طریقuser( .به کامپیوتر بر روی شبکه هستند
. تحت تاثیر قرار نمی گیردuser right توسط اینRemote Desktop Services
. نامیده می شودTerminal Services ،Windows Server در نسخه های قبلی، Remote Desktop Services :توجه
Default
on workstations and servers:
Administrators
Backup Operators
Users
Everyone
on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
این تنظیم امنیتی تعیین می کند که کدام کاربران و گروه ها مجاز به: Deny access to this computer from the network
.اتصال به کامپیوتر بر روی شبکه نیستند
This policy setting supersedes the Access this computer from the network policy setting if a user account
is subject to both policies.
Policy این. این تنظیم امنیتی تعیین می کند که از ورود کدام کاربران به کامپیوتر جلوگیری می شود: Deny log on locally
user1 برای یک کاربر خاص مثالDC باLogon است منتها بر عکس یعنی می خواهیم ازAllow logon locally مانند
.جلوگیری شود
Allow logon locally:
Account Operators
Administrators
Backup Operators
Print Operators
Domian Users
Deny log on locally:
mft\user1
ازDeny به عبارتی اولویت.user1 کنند به جزLogon ،DC می توانند باdomain هایuser تمامی،اگر به صورت فوق باشد
. باالتر استAllow
This policy setting supersedes the Allow log on locally policy setting if an account is subject to both
policies.
. وارد سیستم شودLocal هیچکس نمی تواند به طور، اعمال کنیدEveryone را به گروهsecurity policy اگر این: مهم
Important : If you apply this security policy to the Everyone group, no one will be able to log on locally.
Default: None.
تعیین می کند که چه کاربران و گروه هایی می توانند زمان و تاریخ را بر رویuser right این: Change the system time
.ساعت داخلی کامپیوتر تغییر دهند
Default
on workstations and servers:
Administrators
Local Service
on domain controllers:
Administrators
Server Operators
Local Service
تعیین می کند که چه کاربران و گروه هایی می توانند منطقه زمانی مورد استفادهuser right این: Change the Time Zone
. تغییر دهندLocal time توسط کامپیوتر را برای نمایش
System time itself is absolute and is not affected by a change in the time zone.
Default: Administrators
. ها ایجاد نمی کندclient نمودنLogon مشکلی در،DC مربوط بهtime zone تغییر در: نکته
این تنظیم امنیتی تعیین می کند که چه کاربران یا گروه هایی: Allow log on through Remote Desktop Services
. دارندRemote Desktop Services مجوز ورود به سیستم را از طریق
Default:
On workstation and servers:
Administrators
Remote Desktop Users
On domain controllers:
Administrators
این تنظیم امنیتی تعیین می کند که چه کاربران یا گروه هایی: Deny log on through Remote Desktop Services
. ندارندRemote Desktop Services مجوز ورود به سیستم را از طریق
Default: None
This user right determines which users can dynamically load and unload device drivers or other
code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is
recommended that you do not assign this privilege to other users.
Default
on workstations and servers:
Administrators
on domain controllers:
Administrators
Print Operators
می، وارد سیستم می شوندLocal این تنظیم امنیتی تعیین می کند کدام کاربرانی که به صورت: Shut down the system
می تواند منع خدماتuser right سوء استفاده از این. خاموش نمایندShut Down توانند سیستم عامل را با استفاده از دستور
.را منجر شود
Default
on Workstations:
Administrators
Backup Operators
Users
on Servers:
Administrators
Backup Operators
on Domain controllers:
Administrators
Backup Operators
Server Operators
Print Operators
. جدید ایجاد و ویرایش گرددGPO نشوند بلکه یکEdit ، هاDefault Domain Policy معموال پیشنهاد می شود که: Recoommend
: Built-in انواع گروه های
را عضو اینuser ها را داشته و می توانuser توانایی مدیریت و کنترلBuilt-in در این نوع از گروه های: Built-in Group .1
Administrators گروه ها نمود مانند گروه
ها را نداشته و نمی توانuser توانایی مدیریت و کنترلBuilt-in ولی در نوع دوم از گروه های: Built-in System Group .2
Authenticated Users ای را عضو این گروه ها نمود مانند گروهuser
Network Configuration Operators وRemote Desktop Users نظیرActive Directory گروه های موجود در کنسول: نکته
. ها می گیرندPolicy نیز قدرت خود را از... و
. ایی نداردScope جدید ساخته می شود به صورت پیش فرض هیچ گونهGPO زمانی که یک: GPO ساخت .1
مربوطهOU ها بهcomputer account بایستیActive Directory در کنسول: Computer Account نمودنmove .2
.انتقال یابند
Link .3
GPO Edit .4
in client side : gpupdate /force .5
GPO در تضاد ها با دیگرGPO آن، باالتر باشدGPO یکLink Order هر چقدر،Domain مثال سطحLevel اگر در یک: نکته مهم
توجه شود در مورد تضادها این گونه است وگرنه در مورد. باالتر اعمال می گرددLink Order باGPO هایPolicy ها برنده رقابت است و
. هایی که با یکدیگر تضاد ندارند این گونه نیست و تمامی آن ها اعمال می گردندPolicy
>mft.local
Default Domain Policy
GPO1
>Class
GPO2 //Parent
>PC11
>Server7
>Server2
>Server10
GPO10 //Child ----> The child says the last word
>IT
>Software
>Hardware
>RS
: Tabs
>mft.local
Default Domain Policy
GPO1
>PC11
>Server10
GPO10
in Server10:
Apply GPO : Default Domain Policy , GPO1 , GPO10
But
Link GPO : GPO10
Linkیک Policyبا Applyکردن آن کامال متفاوت از یکدیگرند.
نکته Link :نمودن یک GPOبه دو جا (به عنوان مثال دو ) OUمتفاوت اصال پیشنهاد نمی شود چرا که با ایجاد هر گونه تغییر یا حذف
GPOبر روی هر دو OUتاثیر گذار است.
نکته :
>RS
RS Policy
RC
Delete حذف لینک است و GPOاز بین نمی رود//.
Block Inheritance .1
Enforce .2
>Server10
RC
Block inheritance
. عمل نمی کنندServer10 بر رویGPO1 وDefault Domain Policy هایPolicy در این حالت دیگر
>mft.local
RC
Link an existing GPO...
RS Policy
Ok
>mft.local
Default Domain Policy
GPO1
RS Policy
RC
Enforce
>PC11
>Server10
GPO10
با این کار ،GPO RSباالترین اولویت را در تضاد ها (حتی از GPO10باالتر) برای Server10دارد.
نکته مهم :با فعال سازی Block Inheritanceبر روی OUمربوط به Server10و Enforceنمودن ،GPO RSنتیجه GPO RS :بر
روی OUمربوط به Server10اعمال خواهد شد.
قانون کلی :با Enforceنمودن یک GPOحتی اگر Block inheritanceفعال باشد ،آن GPOاعمال گردیده و نیز باالترین اولویت را
خواهد داشت.
یادآوری :گفتیم که روند اعمال Policyها به طور normalبه صورت L S D Oمی باشد .با فعال نمودن قابلیت های Block inheritance
و Enforceدیگر روند اعمال Policyها به صورت normalنخواهد بود.
GPO Statusیک Solutionموقت است برای مواقعی که می خواهیم یک GPOرا غیرفعال کنیم تا ببینیم کدام Policyسبب مثال بسته
شدن فلش بر روی Computerهای آن OUگردیده است.
به طور کلی بای ستی به موارد زیر دقت نمود چرا که هر کدام از این قابلیت ها می توانند روند normalاعمال شدن Policyرا بر هم بزنند:
1. Block inheritance
2. Enforce
3. GPO Status
4. Link Enabled
5. Link Section
6. Security Filter Section
7. GPO Security Settings
) (بر عکس سناریو باال: PC7 اعمال گردد به جزIT مربوط بهOU هایPC به تمامGPO1 : سناریو
: GPO Backup
: دو راهکار وجود داردGPO گیری ازBackup برای
Copy & Paste / import settings .1
Backup... > > راست کلیکGPO بر روی خود.2
: GPO2 به عنوان مثال برای: 1 راه
GPO2
Details Tab
Unique ID: {31B2F340-016D-11D2-945F-00C04FB984F9}
then
Go to this path: C:\Windows\SYSVOL\sysvol\mft.local\Policies\{31B2F340-016D-11D2-945F-
00C04FB984F9} : Copy Folder
Go to random path for paste Ex: C:\New folder
/
GPO2
RC
import settings...
Next
Location: ---------- Browse
Go to the path where you pasted the folder Ex: C:\New folder
. موجود به مثال یک هفته پیش می باشدGPO بازیابی یکRestore جدید و خام است اماGPO نیازمندimport settings
: 2 راه
Location: Browse
>Computer Configuration
>Policies
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Accounts: Guest account status6
Interactive logon: Don't display last signed-in7
Interactive logon: Message title for users attempting to log on8
Interactive logon: Message text for users attempting to log on
Interactive logon: Number of previous logons to cache9
Network security: Force logoff when logon hours expire10
. نداردOU های آنcomputer مربوط بهLocal هایPolicy هیچ تاثیری بر روی،OU در یکBlock Inheritance با فعال سازی
. انتقال می یابدGroup Policy Inheritance به باالترین اولویت در لیستGPO آن،GPO نمودن یکEnforce با
یا موقعیت مکانیLocation .1
یا طرح کسب و کارBusiness Plan .2
Bothیا ترکیبی از این ها .3
مزیت Tab Settingدر کنسول ( Group Policy Managementشکل باال) این است که می توان تغییرات انجام شده بر روی GPOرا
مشاهده نمود.
روند اعمال Policyها به صورت Pullمی باشد ،زیرا همان طور که گفته شد خود clientها برای دریافت تغییرات سراغ serverمی روند (با
دستور .)gpupdate /force
قابلیت Pushنیز جدیدا به آن اضافه گردیده البته فقط بر روی .OUبه صورت زیر می توانیم عمل Pushرا انجام دهیم :
>Class
RC
Group Policy Update...
Yes
پس از آن که Group Policy Update...را می زنیم ،تعداد کامپیوترهای تحت تاثیر داخل آن OUرا نملیش می دهد یعنی شامل OU
Classو تمام Subcontainerهای آن.
وقتی عمل Pushدر سمت serverانجام گرفت ،دیگر نیازی به دستور gpupdate /forceدر سمت clientنیست.
همان طور که گفته شد خود این زمان نیز یک Policyاست که می توان آن را تغییر داد.
دلیل اصلی زمان نسبتا طوالنی : Refresh Policyجلوگیری از هجوم clientها به سمت .server
یکی دیگر دالیل طوالنی بودن آن این است که در زمان windows NTپهنای باند حدود 10 Mbpsبود که 90 – 120نسبتا
زمان معقولی بود ،اما امروزه پهنای باند به 1 Gbpsافزایش یافته که این مدت زمان 90 – 120غیر منطقی است که بایستی کاهش
یابد.
>Computer Configuration
>Administrative Templates
>System
Group Policy
Set Group Policy Refresh Interval For Computers
Set Group Policy Refresh Interval For Domain Controllers
Set Group Policy Refresh Interval For Computers //for client
Double Click
Enabled
Base Time : 90 minutes
Random Time : 30 minutes //.از لحاظ حجم تعداد درخواست های کالینت ها بایستی عددی غیر از صفر باشد
Not ،Local و هم درOU یا به عبارتی دیگر هم درclient و هم در سمتserver باال به صورت پیش فرض هم در سمتPolicy
. آن را به این گونه طراحی کرده استwindows می باشد وDefined
: استادRecommend
: باشد1 Gbps اگر پهنای باند
30 : Base Time
10 : Random Time
: باشد100 Mbps اگر پهنای باند
40 : Base Time
20 : Random Time
If you enable this setting, you can specify an update rate from 0 to 64,800 minutes (45 days).
. روز است45 ،client ها در سمتupdate نهایت زمان دریافت
زمان فوق ( )Baseبه دلیل این که تعداد DCها زیاد نمی باشد ،مناسب است و Random Timeدادن به آن نیازی نیست.
نکته :با صفر نمودن زمان های Baseو ،Randomاعمال تغییرات Policyها به صورت آنی خواهد بود.
نکته :برای هر GPOمی توان به صورت مستقل و جدا از دیگر GPOها ،زمان های Baseو Randomرا تغییر داد.
Administrative Templates
یک سری فایل های با پسوند .admxهستند که به آن ها third partyمی گویند .یعنی قابلیت اضافه کردن دارند به عنوان مثال برای کنترل
،google chromeفایل با پسوند .admxآن را addمی نماییم و سپس تمام Policyهای مربوط به ،google chromeاضافه می شوند
که این قابلیت از انعطاف پذیری باالیی برخوردار است.
: Third Partyبرنامه یا سرویس Third Partyیا شخص ثالث ،سرویس یا برنامهای است که نه شما ساختهاید و نه شرکت طرف
حساب شما .یا نه شما می شناسید و نه شرکت اصلی طرف حساب شما( .برای خود companyنیست).
مثالً اگر شما خودتان یک برنامه برای سازمان خودتان بنویسید یا اینکه آن برنامه جزء برنامههای خود ویندوز باشد (مثل Internet
)Explorerاین برنامهها Third Partyنیستن د ،اما اگر آن برنامه را یک شرکت دیگر نوشته باشد (مثل برنامه فایرفاکس) این
برنامه از نگاه شما و ویندوز ،میشود .Third Party
یا درایور Third Partyدرایوری است که نه مایکروسافت ساخته و نه شرکت سازنده آن سخت افزار.
طبیعی است که در این مواقع امکان دارد یک هکر ی ا شرکتی که احتماالً چندان مهارت ندارد آن درایور یا سرویس را ساخته باشد،
پس ویندوز یا گوگل وظیفه دارد ابتدا سؤال کند و اجازه بگیرد.
Audit Policy
در لغت Auditبه معنای گزارش گیری می باشد.
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>Audit Policy
Audit account logon events
Audit account management
Audit directory service access
Audit logon events
Audit object access
Audit policy change
Audit privilege use
Audit process tracking
Audit system events
Audit account logon events
client های مربوط بهLog به عبارتی دیگر. یا گزارش می گیردLog ) می نمایدAuthenticate (جایی کهDC در سمت خود
. نگه می داردDC ها را سمت
نمودن باLogon شدند یا خیر به خصوص در موردLogon کاربردی است برای مواقعی که می خواهیم ببینیم چه کسانی موفق به
.Failure آن همAdministrator
Audit logon events
Type:
All
Fail
Success
Applies to:
This folder only
This folder, subfolders and files //by default
This folder and subfolders
This folder and files
Subfolders and files only
Subfolders only
Files only
عمال کار نمی، را انتخاب کرده باشیمFail ،Type را انتخاب کرده باشیم و درSuccess گزینه ی،Audit Object Access اگر در: نکته
: کند یعنی به صورت یکی از حاالت زیر باشد
Type: Fail
OR
Type: Success
:تنها در حاالت زیر عمل می نماید
Success Success
Success All
Failure Fail
Failure All
Success & Failure All
Success & Failure All
>Computer Configuration
>Administrative Templates
>System
Removable Storage Access
Set time (in seconds) to force reboot
CD and DVD: Deny execute access
CD and DVD: Deny read access
CD and DVD: Deny write access
Custom Classes: Deny read access
Custom Classes: Deny write access
Floppy Drivers: Deny execute access
Floppy Drivers: Deny read access
Floppy Drivers: Deny write access
Removable Disks: Deny execute access
Removable Disks: Deny read access
Removable Disks: Deny write access
All Removable Storage classes: Deny all access
All Removable Storage classes: Allow direct access in remote sessions
Tape Drivers: Deny execute access
Tape Drivers: Deny read access
Tape Drivers: Deny write access
WPD Devices: Deny read access
WPD Devices: Deny write access
...
. می باشدexternal شامل فلش و هاردهایDisks منظور از: نکته
virus که بیشتر بحثportable هایApp ها و همچنینvirus برای جلوگیری از اجرا شدن فایل های اجرایی مثلPolicy این
.آن مطرح است
ویروس ها فایل های اجرایی با پسوند .batیا .exeهستند که با وصل کردن فلش به پورت USBو Auto runنمودن آن ،فایل
اجرایی مربوطه اجرا شده و ویروس پخش می گردد.
نکته :در نسخه های serverقابلیت Auto runبه دلیل امنیت بسته است و به هیچ عنوان نمی توان آن را فعال نمود .این قابلیت
مخصوص نسخه های clientمی باشد.
این Policyبرای جلوگیری از انتقال فایل ها از کامپیوتر بر روی فلش می باشد .توجه شود بر عکس آن یعنی انتقال فایل از فلش
به کامپیوتر امکان پذیر است.
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>User Rights Assignment
Force shutdown from a remote system
Double click
Add User or Group...
Enter the object name to select (examples): Server\Users
Check Names
Ok
Apply
Ok
: نمایدLogon از هر جایی کهuser1 بر رویUSB هایStorage بستن فلش یا: سناریو
Run
gpmc.msc
Ok
Group Policy Objects
RC
New...
Name: denyFlashForUser1
Ok
mft.local //یا بر روی کل دامین
RC
Link an existing GPO...
denyFlashForUser1
Ok
Security Filter Section
Authenticated Users > Remove
Add
Object Types...
Users
Ok
Enter the object name to select (examples): MFT\User1
Check Names
Ok
denyFlashForUser1
RC
Edit
>Computer Configuration
>Administrative Templates
>System
Removable Storage Access
Removable Disks: Deny read access
Double click
Enabled
Apply
Ok
Remote Desktop تواناییRemote Desktop Users وAdministrators به صورت پیش فرض تنها اعضای گروه: نکته
: راه وجود دارد2 این توانایی را بدهیمUser1 مثالDomain Users اگر بخواهیم به یک.را دارند
: شاملAdministrators گروه
Local Admins
Domain Admins
Enterprise Admins
1. Default Domain Policy
RC
Edit
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>User Rights Assignment
Allow log on through Remote Desktop Services
Double click
Add User or Group...
Enter the object name to select (examples): MFT\User1
Check Names
Ok
Apply
Ok
Default Domain ) زد چون آن را درRemote( ریموتUser1 باDomain با این کار می توان به تمام کامپیوتر های
. تنظیم کردیم که ریسک امنیتی داردPolicy
2. Computer Management (Local)
>System Tools
>Local Users and Groups
Groups
Remote Desktop Users
Double click
Add
Enter the object name to select (examples): MFT\User1
Check Names
Ok
Apply
Ok
Domain که یک کاربر معمولی درUser1 در این حالت. گویندDomain Users add to Local Groups به این کار اصطالحا
. های دیگر همان کاربر عادی محسوب می گرددPC کردیم که درPC یکLocal Admin می باشد را
OR
Computer Management (Local)
>System Tools
>Local Users and Groups
Groups
Administrators
Double click
Add
Enter the object name to select (examples): MFT\User1
Check Names
Ok
Apply
Ok
. نمودLocal ) را می توان عضو گروه هایDomain Users( اییdomain هایuser : نکته
در این صورت. در آورد.bat ها را به صورت یک فایل اجرایی با پسوندclient در سمتgpupdate /force می توان دستور: نکته
. اعمال گردندclient ها کافی است که یکبار فایل را اجرا کنیم تا تغییرات در سمتPolicy با هر گونه تغییرات در
gpupdate.exe /force
Practice
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Shutdown: Allow system to be shut down without having to log on
Double click
Enabled
Apply
Ok
Apply
Ok
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Interactive logon: Do not require CTRL+ALT+DEL
Double click
Enabled
Apply
Ok
Apply
Ok
>Computer Configuration
>Policies
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Interactive logon: Message title for users attempting to log on
Double click
Enter the title: --------
Apply
Ok
Interactive logon: Message text for users attempting to log on
Double click
Enter the text: --------
Apply
Ok
Apply
Ok
: Group Policy Results
. ها قرار گرفته استPolicy تحت تاثیر کدامComputer7 می دهد به عنوان مثالUser یاComputer یک برآیند نهایی از
. به بعد اضافه شده است2012 این قابلیت از
. به طور جداگانه انجام شودwizard بایستیUser یاComputer برای هر: نکته
. برآیند گیری آن مدتی طول می کشد اما خروجی آن جالب است: نکته
Group Policy Results
RC
Group Policy Wizard...
Next
Computer Selection:
o this computer
Another computer
Browse
Next
User Selection:
Display policy setting for:
o current user
select a specific user:
Next
Summary of Selections: (Next)
Finish
مربوطه تاثیر گذارuser یاcomputer ای که در رقابت برنده است و بر رویPolicy آن، ها با یکدیگرPolicy در رقابت: نکته
. مشخص کرده استWining GPO است را با نام
: کنسول باالcommand : نکته
C:\> GPRESULT /?
Examples:
GPRESULT /R
GPRESULT /H GPReport.html
GPRESULT /USER targetusername /V
GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z
GPRESULT /S system /U username /P password /SCOPE USER /V
: Sites
باشند به عبارتیSite در یکDomain نمود با فرض اینکه هر دوLink متفاوتDomain را بر روی دو تاGPO می توان یک
. نمود که خیلی مرسوم نیستApply هاSite ها را بر رویGPO دیگر می توان
: Prefrenced قابلیت
. قابلیتی کامال جدید و یک کنسول کاربردی است
>Computer Configuration
>Policies
>Prefrenced
>Windows Settings
Environment
Files
Folders //می توان یک فولدر بر روی تمام کامپیوترها ایجاد یا حذف نمود
Ini Files
Registry
Network Shares
Shortcuts
>Control Panel Settings
Data Sources
Devices
Folder Options
Local Users and Groups
Network Options
Power Options
Printers
Scheduled Tasks
Services
Turn ،Policy های تحت تاثیر اینcomputer تنظیم نمود که تمام،Power Options به عنوان مثال می توان در قسمت
. باشد10 minutes آن ها بعد ازoff the display
: Multi Domain
Domain Trust
mft.local
IT.mft.local ------------------------------- RS.mft.local ----------------------------- Apche.mft.local
.
.
.
Sales.IT.mft.local
از لحاظ مدیریتی کامال مستقل و جدای از یکدیگرند و تنها از نظر اسمی بهSales.mft.local وIT.mft.local وmft.local
.هم پیوسته اند
if A ----Trust----> B then B ---Access---> A
Server Manager
Tools
Active Directory Domains and Trusts
>mft.local
>IT.mft.local
RC
Properties
RC
Properties
Account Tab
DNS Console
>Server1
>Forward Lookup Zone
>mft.local
>Server7
>Forward Lookup Zone
>IT.mft.local
RC
Properties
Forwarders Tab
تعریفIT.mft.local ِ zone برایForwarder به طور خودکار به عنوانDNS server1 مربوط بهIP مشاهده می شود که
.گردیده است
یاParent ها به صورت خودکارchild domain تمامForwarder ، ها به صورت درختی باشدDomain اگر ساختار: قانون
انجام می شود و اگر تعریف نشده باشدAuto درصد مواقع به طور72 ها تعریف می گردد البته درchild آنRoot Domain
.بایستی به صورت دستی تنظیم کنیم
{child to parent}
Child Domains DNS Servers Forward to Root Domain DNS Servers.
به طور خودکار وجود ندارد بلکه بایستیRoot Domain ها بهchild ِ Forwarder قابلیت تعریف شدنServer 2012 در
. درصد به طور خودکار انجام می گیرد72 به بعد درServer 2016 اما در.به صورت دستی تعریف گردد
DNS Console
>Server1
>Forward Lookup Zone
>mft.local
...
>IT //(in the form zone delegate)
>Server7
>Forward Lookup Zone
>IT.mft.local
به صورتchild domain مربوط بهForward Lookup Zone ، ها به صورت درختی باشدDomain اگر ساختار: قانون
انجام می شود و اگرAuto درصد مواقع به طور72 تعریف می گردد البته درParent درZone Delegate خودکار به عنوان
.تعریف نشده باشد بایستی به صورت دستی تنظیم کنیم
{parent to child}
Zone Delegation (for Child) Created in Parent Domain
)Root Domain( DNS Server mft.local می شودWEB وSales وIT تمام دامین هایForwarder
. تعریف می کندWEB وSales وIT برای دامین هایZone Delegation تا3 نیزmft.local
: یعنی به صورت، باشدTree-Root حال اگر ساختار به صورت
Tree-Root
mft.local ------------------------------- mit.local
یکmit.local و نیز در دامینmit.local برای دامینConditional Forwarder بایستی یکmft.local در دامین: قانون
دقت شود که این عمل هرگز به طور خودکار انجام نمی شود و بایستی. تعریف گرددmft.local برایConditional Forwarder
. بگیرندping نمی توانند یکدیگر راTree-Root یعنی به طور پیش فرض دو دامین در.به صورت دستی تنظیم کنیم
{Tree-Root}
Create Conditional Forwarder for each other domain
: قانون کلی
Conditional
------------------------------
Forwarder
------------------------------
Zone Delegation
in server1:
C:\>ping server5.mft.local //دردسر تایپ
. می دهدSuccess طبق چیزی که گفته شد
اما اگر به صورت زیر وارد کنیم چی؟
C:\>ping server5
Suffix دلیل؟. گرفتping مشاهده می شود که در این حالت نمی توان
: بوده استBroadcast داد از طریقping گرفت و اگر همping گفتیم که در این حالت نمی توان
C:\>nbtstat –c
:NetBIOS نحوه ی از کار انداختن
Run
ncpa.cpl
Ok
Ethernet
RC
Properties
Internet Protocol Version 4 (TCP/IPv4)
Advanced
WINS Tab
Disable NetBIOS over TCP/IP
Ok
Ok
Ok
Restart the computer //In most cases, it is necessary
:NetBIOS مربوط بهcache دستور حذف
C:\>nbtstat –r
: را تعریف نمودIT.mft.local مربوط به دامینsuffix ،mft.local گرفت بایستی در دامینping راserver5 برای اینکه بتوان
Run
ncpa.cpl
Ok
Ethernet
RC
Properties
Internet Protocol Version 4 (TCP/IPv4)
Advanced
DNS Tab
DNS suffix for this connection: IT.mft.local
OR
Append these DNS suffixes (in order):
Add
Domain suffix: mft.local
Ok
Add
Domain suffix: IT.mft.local
Ok
Add
Domain suffix: ...
Ok
Ok
Ok
Ok
: هاsuffix انواع: یادآوری
Primary Suffix .1
Connection Suffix .2
. معموال پیشنهاد نمی شود و زیاد مرسوم نیستchild بیشتر از یک: نکته
C:\Windows\NTDS\ntds.dit
این فایل که دیتا بیس ADاست از چندین بخش مختلف تشکیل می شود ،به عنوان مثال یک سری از بخش های آن با کل Forest
مشترک است و یک سری مربوط به خود Domainمی باشد.
: schema
بین تمام DCهای کل Forestمشترک است.
در هر Forestیک Schema Partitionبیشتر نیست.
اگر یک Schema ،DCنداشته باشد ،هیچ Objectایی نمی تواند بسازد.
Schema بین تمام DCهای کل Replicate ،Forestمی شود.
نکته :هر Domainایی برای خود فایل ntds.ditجداگانه دارد یعنی mft.localبرای خودش یک فایل ntds.ditو
IT.mft.localنیز یک فایل ntds.ditجدا دارد که بخش Schemaاین فایل بین تمام DCهای کل Forestیکسان و منحصر
به فرد بوده و تنها با همان DCها Replicate ،می شود.
فرض شود server1در دامین mft.localو server7در دامین IT.mft.localمی باشند .اگر server1یک Attributeجدید
برای کالس Groupایجاد کند Replicationآن با تمام DCهای Domainهای کل Forestانجام می گیرد.
نکته :به صورت پیش فرض کنسول schemaنصب نمی باشد :
Run
mmc
Ok
File Tab
Add/Remove Snap-in...
Active Directory Domains and Trusts
Active Directory Sites and Services
Active Directory Users and Computers
ActiveX Control
ADSI Edit
...
.همان طور که مشاهده می شود کنسول آن به صورت پیش فرض وجود ندارد
Install Schema:
: شودregister است که بایستی.dll یک فایل
Run
cmd
Ok
C:\>regsvr32 schmmgmt.dll
Then
Run
mmc
Ok
File Tab
Add/Remove Snap-in...
Active Directory Domains and Trusts
Active Directory Schema
Active Directory Sites and Services
Active Directory Users and Computers
ActiveX Control
ADSI Edit
...
2. Configuration Partition
logical structure
stored in all DCs of the forest
one per forest
Active Directory sites and services
it is replicated to all DCs in a forest
تمام بخش هایی که در کنسول Active Directory sites and servicesتعریف شد نظیر Siteو Subnetو Costو
Replication timeو ...تمامی اینها در بخش Configuration Partitionمی روند.
اگر یک Siteتعریف شود بین تمام DCهای کل Replicate ،Forestمی گردد و زمان Replicationآن نیز همان زمان هایی
است که قبال گفته شد.
یادآوری :انواع : Replication
: Inter-Site Replication .4زمان به صورت پیش فرض به ازای هر 3ساعت بود.
: Intra-Site Replication .5زمان بین 1ثانیه تا 5دقیقه بود.
6. Domain Partition
one per each domain
contain users,groups,ou,...
Active Directory users and computers
it is replicated to all DCs in a given domain
بخش دیگر دیتا بیس Domain Partitionنام دارد که به تعداد Domainها این بخش را داریم و برای هر Domainمتفاوت
می باشد .در واقع بیشترین حجم دیتا بیس را بخش Domian Partitionدارد.
فرض شود server1در دامین mft.localو server7در دامین IT.mft.localمی باشند .اگر server1یک Userجدید در
دامین mft.localایجاد کند Replicationآن تنها با DCهای دامین mft.localانجام می گیرد و با هیچ کدام از DCهای
Domainهای Forestکاری ندارد.
7. Application Partition
DNS in ADI zones
این بخش طراحی شده است برای سرویس ها و برنامه ها که به صورت پیش فرض تنها DNSاز این Partitionاستفاده می نماید.
به عنوان مثال اگر برنامه Microsoft Exchangeنصب شود ،از این بخش استفاده می کند.
یادآوری :همان طور که قبال گفته شد در ،ADI Zoneتب های Zone Transferو SOAعمال بی معنی است و با تغییر در
این تب ها هیچ گونه اتفاقی رخ نمی دهد.
یادآوری :
نکته مهم Replication :بخش Application Partitionبه چه صورت است؟ رفتار Replicationآن دست خودمان است و
زمان Replicateوابسته به Active Directoryمی باشد بدین معنا که اگر یک Aرکورد در Siteتهران ایجاد شود تا 3ساعت
طول می کشد تا در Siteاصفهان اضافه گردد.
DNS Console
>Server1
>Forward Lookup Zone
>mft.local
RC
Properties
General Tab
Replication: ..... // فعال می باشدADI تنها برای زون های
Change
o To all DNS server running on domain controllers in this forest: mft.local
To all DNS server running on domain controllers in this domian:
mft.local
o To all domain controllers in this domain(for windows 2000
compatibility): mft.local
o To all domain controllers in the scope of this directory partition:
. رفتار می کندDomain Partition آن همان حالت دوم است یعنی مانندReplication پیش فرض
. نداردActive Directory هیچ گونه وابستگی بهDNS است در حالی کهDNS وابسته بهActive Directory : نکته
: Operation Masters
Forest هایDC یک بخش مشترک بین تمامschema می آید وschema از... وUser همان طور که گفته شد الگوی ساخت
ها فقط قدرتDC را داشته و بقیه یschema ِ write قدرت تغییر یاDC تنها یکForest هایDC حال در بین تمام.است
. داردwrite قدرتForest کلDC که به صورت پیش فرض تنها اولین. آن را دارندRead
به این نقش های منحصر به فرد.) توانایی تغیی ر آن ها را داردsingle( پس به طور کلی یکسری نقش هایی است که فقط یک نفر
. گویندOperation Masters