70-742 v2 PDF

Identity with
Windows Server 2016

(70 – 742)
Master Sepehr Kaviany

kaviany.com
Tehran Technical Complex

Ebnesina Branch
Prepared by Mojtaba Mohammadian
: )DC( Domain Controller ‫ به‬Member Server ‫ پیش نیازهای تبدیل یک‬: ‫یادآوری‬
1. Active NIC : ‫فعال بودن کارت شبکه‬

2. Host Name
3. Set Static IP Address
4. Set 127.0.0.1 as a DNS Server
5. Install Active Directory Domain Services (ADDS) Role
: Active Directory Domain Services ِ Role ‫نصب‬

Server Manager
Manage
Add Roles and Features
Before You Begin page (Next)
Installation Type page (Next)
Server Selection page (Next)
Server Roles page:
 Active Directory Domain Services
Next
Features page (Next)
Confirmation page:
 Restart the destination server automatically if required
Install
NTP (Net Time Protocol)

.‫ می باشد‬Forest ‫ کل‬DC ‫ همیشه اولین‬Time Server : ‫یادآوری‬
Time Server
 1st DC in the forest
 if DC & Clients times not Equal and time difference more than 5 minutes => None of the
clients can logon (it is one policy)
 To equalize the client time with the server, you must enter the following command on the
client side : C:\>net time /set
‫ را نیز بر اساس آن‬Forest ‫ کل‬DC ‫ راه اندازی می کنند و زمان اولین‬Linux ‫ را بر روی‬NTP )‫ ها‬Router ‫ ها و‬Firewall ‫معموال (برای‬
.‫ می کنند‬Set
.‫ می باشد‬Machine Account ‫ بوده که وابسته به مفهوم‬LDAP ‫ پروتکل احراز هویت‬Kerberos : ‫نکته‬
.‫ برای آن ساخته می شود‬Computer Account ‫ در واقع یک‬،‫ می شود‬Domain ‫ به‬join ، workstation ‫ زمانی که یک‬: ‫نکته‬
: ‫ داریم‬Authentication ‫ فاز‬2 ‫به طور کلی‬
Machine Account .1
(Enter Username & Password) : User Account .2
‫ را‬NetLogon ‫ ها سرویس‬windows ‫ تمامی‬.‫ انجام می دهد‬NetLogon ‫ مستقل به نام‬service ‫ این فاز یک‬: Machine Account
‫ هم همین می باشد که‬Domain ‫ کردن به‬join ‫ اصال دلیل‬.‫ کرد‬Logon ‫ نمی توان‬Domain ‫ به‬،‫دارند و اگر این سرویس از کار بیافتد‬
.‫ ارسال می گردد‬Password ‫ و‬Username ‫ کانال امن ایجاد شده و سپس‬،Computer Account ‫ توسط‬NetLogon
NetLogon
Kerberos
Logon
‫ دستور مشاهده سرویس ها‬:

Run
Services.msc
Ok
‫ برای تغییر‬.)Background ‫ روز یکبار تغییر می کند (البته در‬30 ‫ هر‬Computer Account ِ Password ‫ به صورت پیش فرض‬: ‫نکته‬
: ‫ روز‬30 ‫این‬
Run
gpedit.msc
Ok
>Computer Configuration
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Domain member: Maximum machine account password age
This security setting determines how often a domain member will attempt to change its computer account
password.
Default: 30 days.
.‫ تغییر نمی یابد ولی از لحاظ امنیتی یک ریسک محسوب می شود‬Password ‫ تغییر داد که در این حالت هیچ زمانی‬0 ‫می توان زمان آن را به‬
‫ برای تغییر این‬.‫ کند‬Domain ‫ به‬join ‫ را‬Computer Account ‫ تا‬10 ‫ می تواند تعداد‬User Account ‫ به صورت پیش فرض هر‬: ‫نکته‬
: 10 ‫عدد‬
Server Manager
Tools
ADSI Edit
RC
Connect to...
Ok
---------------------
ADSI Edit
>Default naming context ]Server1.mft.local[
DC=mft,DC=local
RC
Properties
Attribute: ms-DS-MachineAccountQuota
Double click
Value: 10 //by default
Ok
‫ پس هنگام کار با آن بایستی دقت نمود چرا که با‬.‫ دارد‬ntds.dit ‫ دسترسی مستقیم و بدون واسط به‬ADSI Edit ‫ کنسول‬: ‫نکته‬
.‫هر گونه تغییر در این کنسول به منزله تغییر در دیتا بیس محسوب می گردد‬
-----------------------------------------------------------------------------------------------
Active Directory Users and Computers

>mft.local
>Computers
Server2
RC
Reset Account
‫ بایستی‬،‫ را بزنیم‬Reset Account ‫ که اگر‬،‫ می باشد‬Computer Account ‫ در واقع همان تغییر پسورد‬Reset Account ‫این‬
.‫ گردد‬Domain ‫ به‬join ‫ و دوباره‬Disjion ‫ یکبار‬Server2
: Active Directory ‫ساختارهای‬
1. Physical Structure
DC
AD - Site
2. Logical Structure
Domain
Tree
Forest
OU
: OU ‫ اهداف ایجاد‬: ‫یادآوری‬

‫ ها‬Object ‫ طبقه بندی‬.1
‫ واگذاری اختیار‬.2
‫ های مستقل‬Policy ‫ اعمال‬.3
: OU ‫نحوه ایجاد یک‬
>mft.local
RC
New...
Organizational Unit
Name: ---
 Protect container from accidental deletion : //‫ جلوگیری می کند‬OU ‫این گزینه از حذف‬
: OU ‫نحوه حذف‬
View Tab
Advanced Features
‫ مربوطه‬OU ‫بر روی‬
RC
Properties
Object Tab
o Protect container from accidental deletion
Apply
Ok
‫ مربوطه‬OU ‫بر روی‬
RC
Delete
.‫ گویند‬DN ، Active Directory ‫ به فرمت آدرس دهی در‬: ‫یادآوری‬
: command ‫ با‬OU ‫ایجاد یک‬
C:\>dsadd ou “ou=class,dc=mft,dc=local”
C:\>dsadd user “cn=user2,ou=class,dc=mft,dc=local” –pwd 12345q@

: Objects ‫انواع‬
.Users ‫ مانند‬،‫ می گیرند‬SID ‫ هایی هستند که‬Object : Security Objects 

.OU ‫ مانند‬،‫ نمی گیرند‬SID ‫ هایی هستند که‬Object : Container 
Security Objects
Users
Groups
Computers
Container
OU
C:\>whoami
C:\>whoami /User Users ‫ مربوط به‬SID ‫دستور مشاهده ی‬
C:\>whoami /Groups ‫ (البته فقط گروه هایی‬Groups ‫ مربوط به‬SID ‫دستور مشاهده ی‬
)‫که در آن عضو هستیم را نمایش می دهد نه همه گروه ها‬
C:\>whoami /UPN ‫ کاربر‬UPN ‫دستور مشاهده‬
C:\>whoami /FQDN ‫) جاری‬User( ‫ کاربر‬DN ‫دستور مشاهده‬
‫ گرفت که با این کار یکسری‬properties ‫ کرد و سپس‬select ‫ را با هم‬user ‫ می توان چند‬Active Directory ‫ در کنسول‬: ‫نکته‬
)‫ گرفتن از آنها‬properties ‫ و‬user ‫ کردن چند‬select ‫ های مربوط به‬Tab( :‫ ها نمایش داده می شود‬user ‫ های مشترک بین‬Attributes
Properties for Multiple Items
General
Account
Address
Profile
Organization
.‫ ها تکنیکال هستند‬tab ‫ اطالعاتی بوده و دیگر‬،Address ‫ و‬General ‫ های‬tab ‫که‬
User1
RC
Copy
Cut
Move
‫نکته ‪ :‬قابلیت ‪ Copy‬یک ‪: User‬کپی یک کاربر در واقع کپی ‪ Attributes‬های ‪ User‬مربوطه می باشد یعنی ‪ Tab‬های ‪General‬‬
‫و ‪ Account‬و ‪ Address‬و ‪ Profile‬و ‪ Organization‬برای ساخت یک ‪ User‬جدید عینا کپی می شود و دیگر نیازی به پر‬
‫کردن فیلدهای ‪ Tab‬های مذکور برای ‪ User‬جدید نمی باشد‪.‬‬
‫نکته ‪ :‬قابلیت ‪ Cut‬یک ‪ : User‬انتقال یک کاربر از یک واحد سازمانی به دیگر واحدها یعنی ‪ Cut‬از یک ‪ OU‬به ‪ OU‬دیگر می‬
‫باشد‪ .‬نکته حایز اهمیت این است که با انتقال ‪ User‬به یک ‪ OU‬دیگر‪ Delegate ،‬و ‪ Policy‬های تحت تاثیر ‪ User‬تغییر می‬
‫یابند‪.‬‬
‫نکته ‪ :‬قابلیت ‪ Move‬یک ‪ : User‬مانند قابلیت ‪ Cut‬است منتها به صورت ‪ Wizrd‬می باشد در واقع متد انتقال آن فرق می کند‪.‬‬
‫ایجاد یک ‪ user‬جدید با استفاده از ‪: command‬‬ ‫‪‬‬

‫>‪C:\>dsadd user <UserDN‬‬
‫@‪Ex: C:\>dsadd user “cn=u4,ou=class,dc=mft,dc=local” –pwd 12345q‬‬
‫نکته ‪ User :‬و ‪ Group‬و ‪ Copmuter‬با کد ‪ cn‬ایجاد می شوند‪ .‬در این صورت دیگر گروهی با نام ‪ u4‬نمی توان ساخت با اینکه‬
‫یک ‪ object‬دیگری می باشد‪ ،‬دلیل آن این است که هر دو کد ‪ cn‬می گیرند‪.‬‬
‫نکته ‪ :‬اگر @‪ –pwd 12345q‬را وارد نکنیم‪ ،‬یعنی کامند ”‪ C:\>dsadd user “cn=u4,ou=class,dc=mft,dc=local‬را بزنیم‪،‬‬
‫‪ Account‬ایجاد شده به صورت ‪ Disable‬خواهد بود که در این صورت بایستی دو کامند زیر را وارد نمود ‪:‬‬
‫@‪C:\>dsmod user “cn=u4,ou=class,dc=mft,dc=local” –pwd 12345q‬‬

‫‪C:\>dsmod user “cn=u4,ou=class,dc=mft,dc=local” –disable no‬‬
‫نکته ‪ :‬اگر کامند ایجاد ‪ user‬را به صورت زیر وارد کنیم‪ ،‬پیغام ‪ account already exists‬نمایش داده می شود ‪:‬‬
‫”‪C:\>dsadd user “cn=u4,ou=class,dc=mft,dc=local‬‬
‫@‪C:\>dsadd user “cn=u4,ou=class,dc=mft,dc=local” –pwd 12345q‬‬
‫>‪C:\>dsadd user <UserDN‬‬ ‫ایجاد یک ‪ user‬جدید‬

‫?‪C:\>dsadd user /‬‬ ‫مشاهده ‪ Attribute‬های ‪Help‬‬
‫[‪C:\>dsmod user <UserDN> ]Parameter‬‬ ‫ویرایش یک ‪user‬‬
‫تمرین ‪ :‬کامند فعال نمودن ‪ Account‬و نیز ‪ User must change password at next logon‬برای کاربر ‪: u5‬‬
‫‪C:\>dsmod user “cn=u5,ou=class,dc=mft,dc=local” –disable no –mustchpwd yes‬‬
‫نکته مهم ‪ :‬پارامترهای ‪ –samid‬و ‪ –memberof‬بر روی دستور ‪ dsmod‬عمل نمی کنند‪.‬‬
‫[‪C:\>dsmod user <UserDN>]Parameters‬‬
‫یادآوری ‪ :‬هر ‪ User‬در ‪ 3 ،Active Directory‬تا ‪ name‬دارد‪:‬‬

‫‪user1 : Display Name‬‬ ‫‪.1‬‬
‫‪ : UPN‬مانند ‪user1@mft.local‬‬ ‫‪.2‬‬
‫‪ : SAMID‬مانند ‪mft\user1‬‬ ‫‪.3‬‬
‫نکته ‪:‬‬
‫یا کاربر دلخواه‪User8 //‬‬
RC
Rename
‫ هیچ گونه تغییری نمی کنند مگر آن که‬SAMID ‫ و‬UPN ‫ کاربر را تغییر می دهد و‬Display Name ‫ به صورت گرافیکی تنها‬Rename
: ‫به صورت دستی آنها را تغییر دهیم‬
User8
RC
Properties
Tab Ge
UPN
SAMID
.‫ کاربر را تغییر داد‬UPN ‫ و‬Display Name ‫ با کامند تنها می توان‬: ‫نکته‬
.SAMID ‫ و‬UPN ‫ کاربر توجه شود نه به‬Display Name ‫ تنها به‬،user ‫ دادن به‬Permission ‫ در هنگام‬: ‫نکته‬
C:\>dsget user <UserDN> ]Parameter[ : ‫استخراج مشخصات با استفاده از فرمان‬

.‫ مشخص است‬Attribute ‫منظور همان خروجی گرفتن از یک‬
Ex: C:\>dsget user “cn=u5,ou=class,dc=mft,dc=local” –disable

Ex: C:\>dsget user “cn=u5,ou=class,dc=mft,dc=local” –memberof
C:\>dsmove <SourceDN> -newparent <DestinationDN> : ‫ ها با استفاده از فرمان‬Object ‫انتقال‬
Ex:C:\>dsmove“cn=mojtaba,ou=software,dc=mft,dc=local”–newparent “ou=it,dc=mft,dc=local”
: Active Directory ‫ در کنسول‬Display Name ‫تغییر‬

C:\>dsmove“cn=mojtaba,ou=software,dc=mft,dc=local”–newname m.o.64
.‫ کار داریم‬m.o.64 ‫ با نام‬...‫ و‬Copy ‫ دادن و‬Permission ‫بعد از این دستور برای‬
C:\>dsrm <DN> : ‫ ها با استفاده از فرمان‬Object ‫حذف‬
: mojtaba ‫حذف کاربر‬

C:\>dsrm “cn=mojtaba,ou=software,dc=mft,dc=local”
Enter
Y
C:\>dsquery user <UserDN> user ‫ یا جست و جوی‬Search
: Class ِ OU ‫ های‬user ‫نمایش تمامی‬

‫”‪C:\>dsquery user “ou=class,dc=mft,dc=local‬‬
‫نمایش تمامی ‪ user‬هایی که با حرف ‪ M‬شروع می شوند در سطح کل ‪: Domain‬‬

‫*‪C:\>dsquery user “dc=mft,dc=local” –name M‬‬
‫نمایش تمامی ‪ user‬هایی که به ‪ 1‬ختم می شوند در سطح کل ‪: Domain‬‬

‫‪C:\>dsquery user “dc=mft,dc=local” –name *1‬‬
‫نمایش تمامی ‪ user‬های ‪ Disable‬در سطح کل ‪: Domain‬‬

‫‪C:\>dsquery user “dc=mft,dc=local” –disabled‬‬
‫نمایش تمامی ‪ user‬های ‪ Disable‬در سطح کل ‪ Domain‬و ‪ Enable‬نمودن آن ها ‪:‬‬

‫‪C:\>dsquery user “dc=mft,dc=local” –disabled | dsmod user –disable no‬‬
‫| ‪ :‬عملگر ‪ ،Pipe‬عملگری است که خروجی کامند اول را‪ ،‬ورودی کامند دوم می کند‪.‬‬
‫‪Output First Command ---> input Second Command‬‬
‫نکته مهم ‪ :‬حذف ‪ user‬های ‪ Disable‬مربوط به ‪: PC11‬‬

‫‪C:\>dsquery user “ou=pc11,ou=class,dc=mft,dc=local” –disabled | dsrm –nopromt‬‬
‫در حالت ‪ ،Pipe‬اگر ‪ query‬به صورت ‪ interactive‬یا تعاملی باشد‪ query ،‬مربوطه به صورت خودکار ‪ cancel‬می گردد‪.‬‬
‫نمایش تمامی ‪ user‬هایی که ‪ 4‬هفته ‪ Logon‬نکرده اند و تمام آن ها را ‪ Disable‬نمودن در سطح کل ‪: Domain‬‬
‫‪C:\>dsquery user “dc=mft,dc=local” –inactive 4 | dsmod user –disabled yes‬‬
‫‪ : –inactive‬مالک آن هفته است‪.‬‬
‫نکته ‪ :‬اگر با ‪ Logon ، Local Admin‬کنیم و سپس کنسول ‪ Active Directory Users and Computers‬را باز کنیم‪ Error ،‬می‬
‫دهد و بایستی کنسول را به صورت ‪ runas‬اجرا کرده یا با ‪ Logon ، Domain Admins‬نماییم‪.‬‬
‫وارد نمودن ‪ User Account‬از طریق فایل ‪: CSV‬‬

‫‪ CSV‬یک فرمت عمومی است مثال یکی از خروجی های ‪ CSV ،Excel‬می باشد‪ .‬در این نوع فایل ها‪ ،‬هر رکورد توسط کاما (‪ ),‬از‬
‫یکدیگر جدا می شود‪ .‬به نوعی کاماها‪ ،‬همان ستون ها هستند‪.‬‬
‫هدف ‪ :‬وارد نمودن ‪ 22‬تا ‪ user‬در ‪ Active Directory‬اما به صورت سریع تر‪.‬‬
‫بدین منظور از فایل های ‪ CSV‬استفاده می کنیم‪.‬‬
‫‪ : Header‬به خط اول فایل ‪ Header ،CSV‬گویند که حداقل پارامترهای آن ‪ 4‬تاست‪:‬‬
DN,ObjectClass,sAMAccountName,UserPrincipalName
Ex: “cn=u1,ou=class,dc=mft,dc=local”,user,u1,u1@mft.local
Ex: “cn=u2,ou=class,dc=mft,dc=local”,user,u2,u2@mft.local
...
.‫ را داخل ” “ قرار می دهند‬DN ‫ آدرس‬،‫ اشتباه نشود‬،Header ‫ با کاماهای‬DN ‫ برای آن که کاماهای‬: ‫نکته‬
.‫ نمی توان قرار داد‬CSV ‫ داخل فایل‬،‫ ها را به دلیل مسایل امنیتی‬Password : ‫نکته‬
‫ ایجاد کنیم و دستورات را داخل آن قرار داده و در آخر بایستی با‬Text ‫ کافی است که یک فایل‬CSV ‫ برای ایجاد یک فایل‬: ‫نکته‬
. ).txt ‫ ذخیره نماییم (نه به صورت‬.csv ‫پسوند‬
: Active Directory ‫ مربوطه در‬CSV ‫ یا تزریق فایل‬inject
Run
cmd
Ok
C:\>csvde.exe -i -f c:\class\user.csv
-i : import
-f : file
c:\class\user.csv : ‫ ساخته شده‬csv ‫آدرس فایل‬
: ‫) تعیین کرد‬Password( ‫ کلمه عبور‬،CSV ‫ های وارد شده از طریق فایل‬User ‫با ترفند زیر می توان برای‬
Active Directory Console
Select All Users with inject csv
RC
Properties
Account Tab
 User must change password at next logon
Ok
 Enable Account
: )‫ نمی توان گفت‬Backup ‫ به منظور حفظ ساختار آن (البته‬CSV ‫ در یک فایل‬Active Directory ‫خروجی گرفتن از تمام ساختار‬
C:\>csvde.exe -f c:\class\adds.csv
c:\class\adds.csv : csv ‫آدرس ایجاد فایل‬

.‫ می باشد‬...‫ ها و‬Computer ‫ ها و‬Group ‫ ها و‬User ‫این فایل شامل تمام‬
.‫ قرار داد‬Loop ‫ را در یک‬dsadd ِ Script ‫ این است که‬،CSV ‫ ها با حجم باال به جز فایل‬user ‫ نمودن‬inject ‫ راه دیگر‬: ‫نکته‬
Active Directory ‫ در‬Computer Account ‫ساختن‬

: ‫ گویند‬PreStage ‫ که به این عمل اصطالحا‬Domain ‫ مربوطه به‬user ‫ شدن‬join ‫ قبل از‬computer account ‫دالیل ساختن‬
Active Directory Console
>mft.local
Class
RC
New...
Computer
‫ ها در پوشه ی‬workstation ‫ شدن‬join ‫ به صورت پیش فرض با‬.‫ ایحاد گردد‬،‫ در آنجایی که خودمان می خواهد‬computer .1
.‫ هستند‬mft.local ‫ در دامین‬Computers
.‫ های دلخواه وجود دارد‬Users and Groups ‫ مربوطه در‬computer ‫امکان عضو نمودن‬ .2
‫ را‬CSV ‫ اجرا کرده و فایل‬runas ‫ را به صورت‬cmd ‫ می کنیم و سپس‬Logon ،User1 ‫ مثال‬Domain Users ‫ هنگامی که با یک‬: ‫نکته‬
:‫ راه حل‬.‫ شده را نداریم‬inject ‫ های‬user ‫ نمودن‬Enable ‫ در این صورت توانایی‬،‫ می کنیم‬inject ‫ ها را‬user ‫ کرده و‬import
C:\>runas /user:administrator mmc
user ‫ کرده و در آخر‬Add ‫ را در آن‬Active Directory Users and Groups ‫ اجرا نموده و سپس‬runas ‫ را به صورت‬mmc ‫کنسول‬
.‫ کرد‬Enable ‫ها را‬
Additional DCs
: ‫دالیل استفاده از آن‬
Redundancy .1
Load Balancing .2
Traffic 
Location 
: additional DC ‫انواع‬
.‫ دارند‬write ‫ قدرت تغییر یا‬: Writable .1
.‫ ها پاسخ می دهند‬client ‫ قدرت تغییر نداشته و تنها به‬: )Read Only Domain Controller ( RODC .2
: Additional DC Writable
.‫ بودن است‬Domain ‫ به‬join ‫ شرط راه اندازی آن تنها‬: ‫راه اندازی‬
.‫ توانایی آن را دارند‬Domain Admins ‫ و‬Enterprise Admins ‫ گروه های‬،DC ‫ برای اضافه نمودن‬: ‫نکته مهم‬
.‫ می کنیم‬Logon ،‫ گردد‬Additional DC ‫ ایی که می خواهیم‬server ‫ابتدا بر روی‬ .1
.‫ را نصب می کنیم‬Active Directory Domain Services ِ Role ‫سپس بر روی آن‬ .2
.‫ آن را انجام می دهیم‬Post Deployment ‫و در آخر‬ .3
:‫ گردد‬Additional DC Writable ، Server6 : ‫هدف‬

Post Deployment ADDS:
 Add a domain controller to an existing domain
Domain: mft.local
Next
 Domain Name System (DNS) Server
o Global Catalog
o Read Only Domain Controller (RODC)
Type the Directory Services Restore Mode (DSRM) Password:
Password: *******
Confirm Password: *******
‫‪Next‬‬
‫‪Next‬‬
‫‪Specify Install From Media (IFM) Options‬‬
‫‪o‬‬ ‫اگر این گزینه را انتخاب کنیم‪ ،‬یعنی سرور ‪ 6‬از یک فایلی دیتا بیس را می خواند که بایستی با یک فلش ‪Install from Media‬‬
‫به صورت آفالین به آن انتقال داد‪.//‬‬
‫‪Specify additional replication Options‬‬
‫^ ‪Replication from: Serve1.mft.local‬‬
‫‪OR Any Domain Controller‬‬
‫‪Next‬‬
‫‪Database folder: ---‬‬
‫‪Log files folder: ---‬‬
‫‪SYSVOL folder: ---‬‬
‫‪Next‬‬
‫‪Next‬‬
‫‪Install‬‬
‫نکته ‪ :‬اگر ‪ Additional DC‬در یک ‪ Site‬جدید باشد‪ ،‬هر ‪ Site‬بایستی سه سرویس زیر را داشته باشد ‪:‬‬
‫‪DC ‬‬
‫‪GC ‬‬
‫‪DNS ‬‬
‫اصوال در هر ‪ ،Site‬یک ‪ GC‬کافی است چرا که با افزایش تعداد ‪ Replication ،GC‬بین ‪ DC‬ها افزایش یافته و ‪ Load‬باالیی به وجود می‬
‫آورد‪.‬‬
‫نکته ‪ :‬همان طور که در ‪ Post Deployment‬مشاهده می شود در ‪ page‬مربوط به آدرس فایل های دیتا بیس این نکته حایز اهمیت است‬
‫که هر ‪ Additional DC‬یک کپی از فایل دیتا بیس دارد و اینگونه نیست که یک دیتا بیس در بین تمام ‪ DC‬ها مشترک و در ‪ DC‬اصلی‬
‫باشد‪.‬‬
‫نکته ‪ :‬اولین اتفاقی که بر روی ‪ server6‬بعد از ‪ Additional DC‬شدن می افتد‪ ،‬تغییراتی است که در ‪ DNS‬کارت شبکه ی آن به وجود‬
‫می آید‪:‬‬
‫‪Preferred DNS Server: 127.0.0.1‬‬
‫)‪Alternate DNS Server: 10.1.1.1 (server1‬‬
‫سوال اینجاست که اکنون دو ‪ DC‬در یک ‪ Site‬هستند‪ Authentication ،‬مربوط به ‪ client‬ها را کدام ‪ DC‬انجام می دهد؟ ‪ server1‬یا‬
‫‪ server6‬؟‬
‫‪ Authentication‬آن به صورت الگوریتم ‪ Round Robin‬یا یکی در میان انجام می شود یعنی یکبار ‪ server1‬و بار دیگر ‪ server6‬و بار‬
‫دیگر ‪ server1‬و‪. ...‬‬
‫رکورد های ‪ SRV‬در ‪ ،DNS‬یکسری پارامترهایی نظیر ‪ Priority‬و ‪ Weight‬دارند که رکوردهای عادی مثل ‪ A‬آنها را ندارد‪.‬‬
‫‪DNS‬‬
‫‪>Server1‬‬
‫‪>Forward Lookup Zones‬‬
‫‪>mft.local‬‬
‫‪>_tcp‬‬
‫‪_ldap‬‬
‫‪RC‬‬
‫‪Properties‬‬
‫‪Service Location (SRV) Tab‬‬
‫‪_Ldap server1‬‬
‫‪Priority: 0‬‬
‫‪Weight: 100‬‬
‫‪ : Priority‬تمام ترافیک را به ‪ server‬ای می دهد که ‪ Priority‬کمتری دارد‪ .‬به صورت پیش فرض مقدار این فیلد ‪ 0‬می باشد‪ .‬اگر مقدار این‬
‫فیلد به صورت زیر باشد ‪:‬‬
‫در این صورت تمام ‪ client‬ها سراغ ‪ sever1‬می روند چون ‪ Priority‬کمتری دارد‪ .‬اگر مقدار ‪ DC ِ Priority‬ها با هم یکسان مثال هر دو‬
‫‪ 2‬باشد‪ ،‬در این حالت پارامتر بعدی یعنی ‪ Weight‬خوانده می شود‪( .‬اگر پارامتر ‪ Priority‬یکسان نبود‪ ،‬پارامتر ‪ Weight‬اصال خوانده نمی‬
‫شود‪).‬‬
‫‪ : Weight‬این پارامتر به صورت نسبتی ترافیک را پخش می کند (نه تمام ترافیک)‪ .‬برعکس ‪ Priority‬مقدار این فیلد هر چقدر بیشتر باشد‪،‬‬
‫درصد بیشتری از ترافیک را به خود اختصاص می دهد‪ .‬این پارامتر یک عدد ‪ 16‬بیتی بین >‪ <0-65535‬و به صورت پیش فرض مقدار این فیلد‬
‫‪ 100‬می باشد‪ .‬اگر مقدار این فیلد به صورت زیر باشد ‪:‬‬
‫در این صورت ‪ server1‬دو برابر ‪ server6‬پاسخ می دهد یعنی دوبار ‪ server1‬و یکبار ‪ server6‬و‪. ...‬‬
‫نکته ‪ :‬اگر ‪ user ،server6‬ایجاد کند یا یک ‪ OU‬بسازد در فایل دیتا بیس ‪ )ntds.dit( Active Directory‬بخش ‪Domain Partition‬‬
‫مربوط به ‪ server6‬ذخیره می شود و سپس ‪ ntds.dit‬آن با ‪ Replicate ،server1‬می شود و بالعکس (در ‪ Additional DC‬های‬
‫‪ Replication ،Writable‬به صورت دو طرفه انجام می شود‪).‬‬
‫انواع ‪: ADDS Replication‬‬

‫‪: Inter-Site Replication .1‬‬
‫‪ ‬اگر ‪ DC‬ها داخل یک ‪ Site‬نباشند به عنوان مثال یکی در تهران و دیگری در شیراز باشد‪،‬این نوع ‪Replication‬‬
‫بین آنها رخ می دهد‪.‬‬
‫‪ ‬زمان ‪ Inter-Site Replication‬به صورت پیش فرض به ازای هر ‪ 3‬ساعت (‪ )180 minutes‬می باشد‪up to ( .‬‬
‫‪)3 hours‬‬
‫‪ ‬نیاز به مدیریت و کنترل دارند که مدیریت آن بایستی توسط کنسولی به نام ‪Active Directory Sites and‬‬
‫‪ Services‬انجام شود‪.‬‬
: Intra-Site Replication .2
‫ بین آنها انجام می شود و نیاز به‬Replication ‫ به صورت خودکار این نوع‬،‫ باشند‬Site ‫ ها داخل یک‬DC ‫ اگر‬
.‫ از طرف ما نیست و خودش این مکانیزم را انجام می دهد‬action ‫هیچ گونه تنظیمات و‬
.‫ دقیقه می باشد‬5 ‫ ثانیه تا‬1 ‫ یعنی بین‬5 minutes ‫ حداکثر‬Intra-Site Replication ‫ معموال زمان‬
.‫ انجام می دهد‬KCC ‫ را سرویسی به نام‬Intra ‫ مدیریت و کنترل‬
‫ می توان با‬Domain Admins ‫ و‬Enterprise Admins ‫ به صورت پیش فرض تنها با‬،‫ تبدیل می شود‬DC ‫ به‬server ‫ وقتی یک‬: ‫نکته‬
.‫ را انجام داد‬Logon ‫ ها نمی توان عمل‬Local Users ‫ ها و‬Domain users ‫ کرد و با هیچ کدام از‬Logon ‫آن‬
:‫ می کنیم‬Logon ،‫ است‬Domain users ‫ که یک‬user1 ‫ ای مثل‬user ‫پیغام خطای آن وقتی با یک‬
The sign-in method you’re trying to use is not allowed. For more info, contact your network administrator.
‫ است‬Policy ‫ خود یک‬،‫ را انجام داد‬Logon ‫ ها نمی توان عمل‬Local Users ‫ ها و‬Domain users ‫البته اینکه نمی توانیم با هیچ کدام از‬
.‫ ها مفصل بحث خواهد شد‬policy ‫ کنیم که در بخش‬Edit ‫که می توانیم آن را‬
sync ‫ و این‬.‫ کمی طوالنی تر خواهد شد‬،‫ ها‬DC ‫ بین‬sync ‫ به دلیل‬Logon ‫ پروسه ی‬،‫ اضافه می گردد‬Additional DC ‫ زمانی که‬: ‫نکته‬
‫ در این میان تنها‬.‫ ندارد‬...‫ و‬Secondary ‫ و‬Primary ‫ انجام می شود و هیچ ارتباطی با بحث زون های‬Domain Replication ‫از طریق‬
: ‫ به عبارتی‬.‫ ها می باشد‬DC ‫ بین‬Replication ‫ وابسته به این‬ADI Zone
.‫ معنادار می باشد‬Secondary ‫ و‬Standard ‫ هاست که برای زون های‬DNS ‫ بین‬Replication : Zone Transfer 
Domain ‫ می باشد و وابستگی کامل به‬ADI ‫ هاست که برای زون های‬DNS ‫ بین‬Replication : Zone Replication 
.‫ دارد‬Replication
.‫ می باشد‬Forest ‫ کل‬DC ‫ همیشه اولین‬Time Server : ‫یادآوری‬
Time Server
 1st DC in the forest
 if DC & Clients times not Equal and time difference more than 5 minutes => None of the
clients can logon (it is one policy)
.‫ دارد‬DNS ‫ اولویت باالتری نسبت به حذف یک رکورد در‬Active Directory ‫ در‬user ‫ حذف یک‬: ‫نکته‬
DNS Console
>Server1
>Forward Lookup Zone
>mft.local
RC
Properties
General Tab
Replication: ..... //‫ فعال می باشد‬ADI ‫تنها برای زون های‬
Change
o To all DNS server running on domain controllers in this forest: mft.local
 To all DNS server running on domain controllers in this domian:
mft.local
o To all domain controllers in this domain(for windows 2000
compatibility): mft.local
o To all domain controllers in the scope of this directory partition:
Remote ‫ های دیگر بدون زدن‬DC ‫ شدن به‬connect ‫ قابلیت‬Active Directory Users and Computers ‫ در کنسول‬: ‫نکته‬
: ‫ به صورت زیر‬.‫ وجود دارد‬Desktop
Active Directory Users and Computers ]Server1.mft.local[
RC
Change domain controller
: Additional DC RODC
Read ‫ تنها قابلیت‬server8 ‫ به عنوان مثال‬DC ‫ در این نوع یک‬.‫ داریم‬Writable ‫ چالش بیشتری نسبت به‬Additional ‫در این نوع‬
.‫ عمل می کند‬Secondary zone ‫دارد یعنی مانند یک‬
: Writable ‫ به جای‬RODC ‫دالیل استفاده از‬
‫ یا مدیریت‬Administration .1
.‫ شعبه ها مورد حمله قرار گیرند‬DC ‫ یا امنیت چرا که ممکن است‬Security .2
‫ آن به‬Replication ‫ آن چون که متد‬Replication ‫ بهبود کارایی‬: improve Domain Replication Performance .3
‫ دارند یعنی فقط تغییرات‬in-bound ‫ این است که فقط‬RODC ‫ (یکی از قابلیت های‬.‫ یا یکطرفه است‬single master ‫صورت‬
)‫را دریافت می کنند و قادر به انجام هیچ گونه تغییر نیستند‬
.‫ و شعبه توجیهی ندارد‬Site ‫ می باشد یعنی کاربرد آن بیشتر در شعبه ها بوده و در یک‬Branch Solution ،RODC ‫ به طور کلی‬: ‫نکته‬
: ‫راه اندازی‬
.‫ باشد‬Domain ‫ به‬join ‫ نباید از قبل‬RODC .1
: ‫ نیست) تعریف شده باشد‬Domain ‫ به‬join ‫ ای که‬computer account ‫ (یعنی ایجاد‬PreStage ‫ بایستی به صورت‬RODC .2
.‫ را نصب می کنیم‬Active Directory Domain Services ِ Role ‫سپس بر روی آن‬ .3
.‫ آن را انجام می دهیم‬Post Deployment ‫و در آخر‬ .4
>mft.local
Domain Controllers
RC
Pre-create Read-only Domain Controller account...
 Use Advanced mode installation
Next
Network credentials:
 My current logged on credentials (MFT\Server1)
Next
Specify the Computer Name:
Computer name: Server8
Next
Select a Site:
Default-First-Site-Name //‫ دیگر باشد‬Site ‫ بایستی در یک‬RODC ‫اصوال‬
Next
Additional Domain Controller Options:
 DNS Server
 Global Catalog (GC)
//‫ را زده است‬GC ‫ دیگر است به صورت پیش فرض تیک گزینه‬Site ‫چون ذهنیت آن در یک‬
Next
Specify the Password Replication Policy: (Next)
Delegation of RODC Installation and Administration:
Group or user: ----mft\Kish-user---- set
‫ مربوط به‬Username ‫ و‬Password ‫ چون نمی خواهیم‬،‫ کند‬Delegate ‫ را‬RODC ‫ ایی باید ساخت شود تا مدیریت‬user ‫یک‬
‫ بدین منظور بایستی یک یوزر دامینی‬.‫ یا شعبه ها در اختیار داشته باشند‬Branch ‫ را‬Enterprise or Domain Admins
.‫ واگذار می کند‬user ‫ را به این‬Server8 ‫ ایجاد گردد یعنی تمام مدیریت‬Kish-user ‫) مانند‬Domain users(
‫ ایی‬Domain ‫ های‬user ‫ است که قدرت نصب نیز دارد (می دانیم که هیچ کدام از‬Domain ‫ معمولی‬user ‫ یک‬Kish-user
.‫ می شود‬RODC ‫ مربوط به‬Local Admin ‫ به نوعی می توان گفت‬،‫قدرت نصب ندارند) اما این قدرت را به آن می دهد‬
They will also have local administrative permissions on this RODC.
.‫ می شود‬RODC ‫ همان‬Admin ‫ فقط‬user ‫به طور خالصه این‬
.‫ برای مدیریت خود الزم دارد‬user ‫ یک‬RODC ‫ هر‬: ‫نکته‬
Next
Summary (Next)
Finish
.‫ باشد‬Writable ‫ های‬DC ‫ بایستی یکی از‬RODC ‫ مربوط به‬DNS : ‫نکته بسیار مهم‬
Preferred DNS Server: 10.1.1.1 (server1)
Alternate DNS Server: 10.1.1.6 (server6)
: Active Directory Domain Services ِ Role ‫نصب‬

Server Manager
Manage
Add Roles and Features
Before You Begin page (Next)
Installation Type page (Next)
Server Selection page (Next)
Server Roles page:
 Active Directory Domain Services
Next
Features page (Next)
Confirmation page:
 Restart the destination server automatically if required
Install
Post Deployment ADDS:

 Add a domain controller to an existing domain
Domain: mft.local //‫ را ویرایش کردیم توانست پیدا کند‬DNS ‫چون‬
Supply the credentials to perform this operation:
Change
Username: mft\Kish-user
Password: *******
Ok
Next
Type the Directory Services Restore Mode (DSRM) Password:
Password: *******
Next
Next
Specify Install From Media (IFM) Options
o Install from Media
Specify additional replication Options
Replication from: Any Domain Controller
Next
Database folder: ---
Log files folder: ---
SYSVOL folder: ---
Next
Next
Install
:‫دو نکته‬
in server6:
>mft.local
>Builtin
>Domain Controllers
>Computers
>Class
RC
New...
---------------------------------------------------
in server8:
RC
Change domain controller
>mft.local
>Builtin
>Domain Controllers
>Computers
>Class
RC
-------
‫رنگ سبز ‪ :‬زمانی که کنسول ‪ Active Directory‬را در ‪ server8‬باز می کنیم‪ ،‬مشاهده می شود که باز هم ‪ ADDS‬مربوط به ‪ server6‬را‬
‫باز کرده است که بایستی ‪ Change domain controller‬انجام داد چرا که اگر دو تا ‪ DC‬در یک ‪ Site‬باشند‪ ،‬یکی ‪ writable‬و دیگری‬
‫‪ ،RODC‬اولویت ‪ open‬شدن با ‪ writable‬می باشد که باید به ‪ RODC‬تغییر یابد‪.‬‬
‫رنگ قرمز ‪ :‬اگر در ‪ server6‬که ‪ writable‬است بر روی ‪ OU‬راست کلیک کنیم‪ ،‬گزینه ‪ New...‬را دارد‪ ،‬در حالی که اگر همین عمل را در‬
‫‪ server8‬که ‪ RODC‬است انجا م دهیم‪ ،‬چنین گزینه ایی را ندارد‪ .‬از این طریق می توان دریافت که کدام ‪ Writable ، DC‬و کدام ‪RODC‬‬
‫می باشد‪.‬‬
‫نکته ‪ :‬در ‪ RODC‬هم ‪ Active Directory‬و هم ‪ DNS‬به صورت ‪ Read-only‬می باشد؟؟؟‬
‫‪Site Tehran‬‬ ‫‪10.1.1.0/24‬‬

‫‪Server1‬‬
‫‪Server6‬‬
‫‪Site Kish‬‬ ‫‪10.1.2.0/24‬‬
‫‪Server8‬‬
‫فرض کنید دو تا ‪ Site‬تهران و کیش تعریف شده است با ‪ subnet‬های فوق‪ .‬و همچنین ‪ user4‬یک ‪ user‬در کیش که ‪ IP‬آن ‪10.1.2.17‬‬
‫می باشد‪.‬‬
‫به ‪ server8‬هدایت می شود >‪user4 (in kish) ---Logon---‬‬
‫که از طریق ‪ DNS‬این عمل انجام می شود‪ DNS .‬نیز خود به ‪ subnet‬مربوط به ‪ client‬نگاه می کند‪.‬‬
‫در اینجا ‪ DNS‬نقش کلیدی دارد و اصال این ‪ DNS‬است که مفهوم ‪ Site‬را به وجود می آورد‪.‬‬
‫‪Enter‬‬
‫‪ DNS---> Server8 ---->Authenticate ----> Login‬هدایت می کند به‪---> IP Client ---‬نگاه می کند به‪Username -----> DNS ---‬‬
‫‪& Password‬‬
‫هدف نهایی ‪ : Site‬هدایت ‪ client‬ها به سمت نزدیکترین ‪ server‬مربوطه‬
‫نکته مهم ‪ :‬به صورت پیش فرض ‪ RODC‬ها‪ Password ،‬هیچ ‪ user‬ای را ندارند‪ .‬به عنوان مثال ‪ server8‬که ‪ RODC‬است کلمه عبور‬
‫هیچ کدام از ‪ user‬ها را ندارد زیرا که یک بحث امنیت فیزیکی است و در صورت دارا بودن ‪ password‬های کاربرانی مثل & ‪Enterprise‬‬
‫‪ Domian Admins‬یک نقص امنیتی بزرگ محسوب می شود‪.‬‬
‫سوالی که مطرح می شود این است که ‪ RODC‬با نداشتن ‪ Password‬هیچ کدام از ‪ user‬ها چگونه عمل ‪ Authentication‬آن ها را انجام‬
‫می دهد؟‬
‫راه حل ‪)Password Replication Policy( PRP : 1‬‬
‫‪Active Directory Users and Computers‬‬
‫[‪>Container Users ]in DC writable‬‬
‫‪Allowed RODC Password Replication Group‬‬
‫کسی که عضو این گروه باشد‪ password ،‬آن به ‪ Replicate ، RODC‬می شود‪.‬‬
‫در یکی از ‪ DC‬های ‪ ، writable‬یک گروه به نام ‪ KishUsers‬برای ‪ OU‬مربوط به ‪ ،Kish‬ساخته و سپس تمام ‪ user‬های ‪ kish‬را عضو‬
‫گروه ‪ KishUsers‬می نماییم‪ .‬و در نهایت گروه ‪ KishUsers‬را عضو گروه ‪ Allowed RODC Password Replication Group‬می‬
‫کنیم ‪ .‬اتفاقی که می افتد این است که ‪ password‬تمام ‪ user‬های گروه ‪ ،KishUsers‬به ‪ server8‬که ‪ RODC‬می باشد‪ Replicate ،‬می‬
‫شود‪ .‬با این کار ‪ Enterprise & Domain Admins ِ password‬نیز به ‪ Replicate ، RODC‬می شود که ریسک امنیتی است‪.‬‬
‫‪Active Directory Users and Computers‬‬

>mft.local
>Container Users ]in DC writable[
Denied RODC Password Replication Group
‫ عضو‬Denied ‫ بایستی آن ها را در گروه‬،‫ نشود‬Replicate ، RODC ‫ به‬Enterprise & Domain Admins ِ password ‫برای آن که‬
،Denied ‫ باشد و هم در‬Allowed ‫ هم در‬user ‫) به طور کلی اگر یک‬.‫ یک گروه را می توان عضو یک گروه دیگر نمود‬،Domain ‫ (در‬.‫نماییم‬
.‫ باالتر است‬Denied ‫ می شود زیرا که اولویت‬Denied ‫نتیجه ی اعمال آن‬
user ‫ های‬password ‫ صورت می گیرد به عنوان مثال‬Replicate ‫ های کل شعب نیز‬RODC ‫ با تمام‬،‫ با انجام این کار‬: ‫ایراد این راه حل‬
.‫ و ذخیره می شوند‬Replicate ‫های کیش در شعبه مشهد نیز‬
.‫ نماییم‬Allowed RODC Password Replication Group ‫ را عضو گروه‬Domain Users ‫ تنها گروه‬: 2 ‫راه حل‬
: ‫ نشوند‬Replicate ‫ های کیش به مشهد‬user ‫ های‬password ‫ را نداشته باشد که‬1 ‫ این است که ایراد راه حل‬: 3 ‫راه حل‬
: ‫ انجام شود‬Forest ‫ های کل‬RODC ‫ مراحل زیر بایستی بر روی تمام‬: ‫نکته بسیار مهم‬
.‫ ها ندارند‬Writable ‫ ها دارند و‬RODC ‫ را تنها‬Password Replication Policy Tab ‫تب‬

8 tabs : RODC
7 tabs : Writable
Server8 (For all RODCs in a forest)
RC
Properties
Password Replication Policy Tab
Add
 Allow passwords for the account to replicate to this RODC
Enter the object name to select (examples): KishUsers
Check Names
Ok
Apply
Ok
Advanced
‫ کرده اند‬Logon ‫هایی که‬user ِ pass ‫نمایش‬ =< ‫ آن ها را ذخیره می کند‬password ‫ می کند‬Logon ، user ‫ برای اولین بار که‬، server8
‫ را‬computer account ‫ مربوط به‬password ‫ توجه شود که‬.‫ ش ذخیره نمی شود‬password ،‫ نکند‬Logon ،user ‫چون که تا خود‬
.‫ذخیره نمی کند‬
Policy Usage Tab
 Accounts that have been authenticated to this RODC
 Accounts whose passwords are stored on this RODC
Active Directory Sites and Services
.‫ می باشد‬Services ‫ و‬Sites ‫این کنسول برای مدیریت‬

Server Manager
Tools
Active Directory Sites and Services ]Server1.mft.local[
>Sites
>inter-site Transports
>Subnets
>Default-First-Site-Name
>Servers
Server1
Server6
Server8
VM10
VM2
VM7
.‫ می باشند‬Default-First-Site-Name ‫ بنام‬Site ‫ ها در یک‬DC ‫به صورت پیش فرض تمامی‬
: ‫ با دو پارامتر ارتباط پیدا می کند‬Site
‫ می‬Logical ‫ که یک مفهوم‬OU ‫ در کل یک مفهوم کامال فیزیکی است برعکس‬Site : ‫ یا موقعیت فیزیکی‬Location .1
.‫باشد‬
‫ بدین معناست که پهنای باند کمتری بین‬،‫ مختلف باشند‬Site ‫ در دو‬DC ‫ زمانی که دو تا‬: ‫ یا پهنای باند‬Bandwith .2
.‫آنها وجود دارد‬
: Site ‫دالیل تعریف‬
‫ که همان طور که قبال گفته شد این عمل از‬client ‫ برای‬DC ‫ پیدا کردن نزدیکترین‬: Find near DC for client .1
.‫ انجام می گیرد‬DNS ‫طریق‬
‫ ها نمی‬DC ‫ به دلیل پهنای باند‬،‫ های مختلفی داشته باشیم‬Site ‫ اگر‬: Domain Replication Traffic Control .2
.‫ انجام دهند‬Replicate ‫توانند مدام با یکدیگر‬
: ‫سناریو‬
Subnet : 10.1.1.0/24 ‫ با‬Tehran ‫ در‬Site ‫یک‬
Subnet : 10.1.2.0/24 ‫ با‬Qeshm ‫ در‬Site ‫یک‬
Subnet : 10.1.3.0/24 ‫ با‬Kish ‫ در‬Site ‫یک‬
Server1 (in Site Tehran) {
} Intra-Site {
Server6 (in Site Tehran) { Inter-Site
}
Server8 (in Site Kish) }
: Site ‫مراحل تعریف‬
Subnet ‫ تعریف‬.1
>Sites
>Subnets
RC
New subnet...
Prefix: 10.1.1.0/24
Ok
...‫ نیز به همین صورت عمل می کنیم‬Qeshm ‫ و‬Kish ‫برای‬
Site ‫ تعریف‬.2

>Sites
RC
New
Site
Name: Tehran
Link Name: DEFAULTIPSITELINK
Ok
Site ‫ به‬Subnet ‫ کردن‬map .3

>Sites
>Subnets
10.1.1.0/24
RC
Properties
Site: Tehran ^
Ok
map ، Site ‫ فقط می تواند به یک‬Subnet ‫) اما یک‬VLAN ‫ داشته باشد (همان بحث‬Subnet ‫ می تواند چند‬Site ‫ یک‬: ‫نکته‬
.‫شود‬
.‫ حذف نشود‬Default-First-Site-Name ‫ ترجیحا‬: ‫نکته‬
: Site ‫ هر‬Subnet ‫نحوه مشاهده‬
>Sites
RC
Properties
General Tab
‫ ها‬DC ‫ یا انتقال‬move .4
Default-First-Site-Name
>Servers
Server1
RC
move
Site Name: Tehran
Ok
.‫) هدایت شوند‬Server1( ‫ مربوط به سایت تهران‬DC ‫ دیگر تمامی آن ها بایستی به‬،‫ داشته باشیم‬Site Tehran ‫ کارمند در‬122 ‫اکنون اگر‬
.‫ است‬Time ‫بحث بعدی‬
.‫ محقق شد‬DC ‫ ها به نزدیکترین‬client ‫تا اینجا هدف اول یعنی هدایت‬
Replication : ‫هدف دوم‬

>Sites
>IP
Click
DEFAULTIPSITELINK
RC
Properties
General Tab
Replicate every: 180 minutes //by default
.30 minutes ‫که می توانیم این زمان را تغییر دهیم به مثال‬

>Sites
>IP
RC
New site link
Name: Teh-Kish
Add
New site link
Name: Teh-Qeshm
Add
 Remove the DEFAULTIPSITELINK
>Sites
>IP
Click
Teh-Kish
RC
Properties
General Tab
Replicate every: 15 minutes
Teh-Qeshm
RC
Properties
General Tab
Replicate every: 30 minutes
.‫ کاهش یابد‬Replicate ‫ زمان‬،‫ هر چه پهنای باند بیشتر باشد‬.‫ تنظیم گردد‬،‫ و نیز بر اساس پهنای باند‬15 ‫ های فوق را بهتر است مضرب‬time
.‫ دقیقه می باشد‬15 ، Replicate every ‫حداقل زمان‬
،12 ‫ تا‬10 ‫ را مدیریت نماییم به عنوان مثال در ساعات شلوغ مانند‬Replication ‫ در این قسمت می توانیم زمان‬: View Schedule
.‫ انجام نشود‬Replication
.‫ ها از مسیر می روند‬packet ،‫ یک مسیرکمتر باشد‬Cost ‫هر چقدر مقدار‬
‫ آن مسیر را افزایش داده به طوری که از مجموع‬Cost ‫ ها از یک مسیر خاص فرستاده نشوند بایستی‬packet ‫در این صورت اگر بخواهیم که‬
.‫ ها بیشتر گردد‬Cost ‫بقیه‬
8
OSPF Cost = 10 / Bandwith
: Site Link Bridge
>Sites
>IP
RC
New site link Bridge
Name: B-Kish-Qeshm > Teh-Kish
> Teh-Qeshm
Add
.‫ ندارد‬cost ‫ و‬time ‫ البته به صورت مجازی می شود که‬Site ‫ دو تا‬Bridge

: ‫ بسازیم‬Bridge ‫ بایستی به صورت دستی‬،‫ را برداریم‬Bridge all site links ‫ اگر تیک گزینه‬: ‫نکته‬
>Sites
>IP
‫‪RC‬‬
‫‪General Tab‬‬
‫‪o Bridge all site links‬‬
‫‪-------------------------------------------------------------‬‬
‫‪>Sites‬‬
‫‪>inter-site Transports‬‬
‫‪>SMTP‬‬
‫‪: SMTP‬‬
‫عملکرد آن به این صورت است که ‪ ،DC‬تمام بسته ها (‪packet‬ها) را با فرمت ‪ mail‬تولید می کند که فشرده تر تا ارسال آن راحت‬ ‫‪‬‬
‫تر و سریع تر شود‪.‬‬
‫کاربرد ‪ :‬زمانی که دو ‪ Site‬با خطوط تلفن (‪ )Dialup‬به یکدیگر وصل شده باشند‪.‬‬ ‫‪‬‬
‫امروزه عمال منسوخ گردیده است‪.‬‬ ‫‪‬‬
‫به بیان ساده ‪ IP :‬یعنی ‪ IP ِ packet‬بساز و ‪ SMTP‬یعنی ‪ SMTP ِ packet‬بساز و بفرست‪.‬‬
‫‪ : BridgeHead Server‬به ‪ Server‬ایی گویند که مسول ‪ Inter-Site Replication‬می باشد‪.‬‬

‫هدف ‪ :‬منظم تر نمودن ‪ Replication‬بین ‪ Site‬ها‬
‫عملکرد ‪ :‬با ایجاد تغییر در ‪ Site‬تهران در ابتدا ‪ Replicate‬بین تمام ‪ DC‬های همان ‪ Site‬تهران انجام می شود‪ ،‬سپس دو ‪BridgeHead‬‬
‫‪ Server‬های بین ‪ Site‬های تهران و کیش با یکدیگر ‪ Replicate‬کرده و در نهایت ‪ BridgeHead Server‬مربوط به ‪ Site‬کیش‪ ،‬تغییرات‬
‫را به تمام ‪ DC‬های ‪ Site‬کیش اعالم می نماید‪ .‬به طور کلی وظیفه آن تغییرات در یک ‪ Site‬را به دیگر ‪ Site‬ها اعالم کردن می باشد‪.‬‬
‫‪ KCC‬به صورت خودکار یکی از ‪ DC‬ها را به عنوان ‪ BridgeHead Server‬انتخاب می نماید و برای اطالع از این که کدام ‪BridgeHead‬‬
‫‪ Server‬می باشد بایستی ‪ Replication Partner‬آن را پیدا کنیم ‪:‬‬
‫[‪Active Directory Sites and Services ]Server1.mft.local‬‬

‫‪>Sites‬‬
‫‪>Default-First-Site-Name‬‬
‫‪>Servers‬‬
‫‪>NTDS Settings‬‬
‫‪Click‬‬
‫یعنی ‪From server: ---- : Bridge Head Server‬‬
‫گفتیم که ‪ KCC‬به صورت خودکار یکی از ‪ DC‬ها را به عنوان ‪ BridgeHead Server‬انتخاب می نماید اما احتمال آن که ‪، Firewall‬‬
‫‪ BridgeHead Server‬را ‪ Block‬کرده باشد پس بنابراین بهتر است به صورت دستی ‪ BridgeHead Server‬را تغییر داده و یک‬
‫‪ Replication Topology‬جدید طراحی کنیم‪.‬‬
‫‪>Sites‬‬
‫‪>Default-First-Site-Name‬‬
‫‪>Servers‬‬
‫‪RC‬‬
‫‪General Tab‬‬
‫‪IP‬‬
Add
Apply
Ok
>Sites
>Servers
>Server1
>NTDS Settings
Automatically generated
RC
Properties
Change Schedules
Default: //‫ساعتی یکبار‬
Topology Change
.‫ انجام می دهد‬KCC ‫ را‬Topology ‫زمان تغییر‬
: ‫ در مسیر زیر‬DC Type : ‫ هست یا نیست؟‬GC ، DC ‫برای مشاهده اینکه کدام‬
>Seved Queries
>mft.local
>Domain Controllers
:‫ بایستی‬،‫ را انتخاب نکردیم یا اگر انتخاب کرده و نیاز به تغییر وضعیت آن داریم‬GC ‫ گزینه ی‬،ADDS Role ‫ اگر موقع نصب‬: ‫نکته‬
>Sites
>Servers
>Server8
>NTDS Settings
RC
Properties
General Tab
 Global Catalog
: ‫ دارد‬Replication ‫ دو مرحله‬GC : ‫نکته‬

.‫ انجام می دهد‬Replicate ‫ خود‬Domain ‫ های‬DC ‫ که با همان‬: Domain Replication .1
‫ داشته‬GC ‫ تنها یک‬Site ‫ باالیی را به وجود می آورند و همان طور که گفته شد بهتر است در هر‬Load : Forest Replication .2
.‫ جلوگیری شود‬Forest ‫ در کل‬Load & Traffic ‫باشیم تا از ایجاد‬
.‫ تعریف گردند‬BridgeHead Server ‫ ها خود نیز می توانند به عنوان‬GC : ‫نکته‬
‫ وجود دارد چون همان‬Replicate from ‫ نداشته و تنها حالت‬Replicate to ‫ ها حالت‬RODC ‫ برای‬NTDS Setting ‫ در قسمت‬: ‫نکته‬
.‫ می باشد‬One-way ‫ آن ها به صورت‬Replicate ‫طور که گفته شد‬
: ‫نکته‬
>Seved Queries
>mft.local
>Domain Controllers
>Server1
RC
Properties
General Tab
.‫ لینک می باشد‬AD Site & Services ‫این تنظیمات در واقع به همان کنسول‬
: Groups
)DL( Domain Local 

)GL( Global 
)UN( Universal 
DL & GL ---> stored in a Domain
UN ---> stored in the Forest

‫ کند چون باید بررسی گردد که‬Logon ‫ ای نمی تواند‬User ‫ هیچ‬،‫ به تهران قطع شده باشد‬Link ‫ نباشد و‬GC ، Site ‫ اگر در یک‬: ‫نکته‬
.‫ الزم است‬GC ‫ یک‬Site ‫ پس در هر‬.‫ کاربران مجوز ورود ندارند‬،‫ هست یا خیر و تا این بررسی انجام نشود‬Universal ‫ عضو گروه‬User
.‫ گردند‬Authenticate ‫ تهران (اصلی) فرستاده شده تا‬Site ‫ ها بایستی به‬User ‫ تمامی‬،‫ هم قطع نبوده و متصل باشد‬Link ‫اگر‬
set ‫ های خاصی بر روی آن گروه‬Policy ‫ چون ممکن است‬،‫ هست‬Universal ‫ عضو کدام گروه های‬User ‫ فقط می تواند بفهمد که‬GC
.‫شده باشد‬
Domain ‫ نمود و تنها‬Login ‫ نمی توان‬Enterprise Admins ‫ با‬، )‫ خاموش (وجود نداشته باشد‬GC ،)‫ (سوال؟‬Site ‫ اگر در یک‬: ‫نکته‬
.‫ هستند‬Login ‫ قادر به‬Admins
: Forest ‫ در یک‬: ‫نکته‬

.‫ داریم‬Domain Database ، ‫ ها‬Domian ‫ به تعداد‬
.‫ داریم‬GC Database ‫ تنها یک‬Forest ‫ولی در کل‬ 
.‫ کنیم‬Cache ‫ ها را می توان‬Universal : ‫نکته‬
: )Universal Group Membersip Caching( UGMC

: ‫ در صورتی که‬.‫ انتخاب کنیم‬UGMC ،Site ‫ در یک‬GC ‫ را به جای انتخاب‬DC Type ‫می توان‬
If the bandwidth is appropriate : Choose GC
If the bandwidth is not appropriate : Choose UGMC
The overall result is that the criterion is the choice between GC & UGMC is : bandwidth
Kish
NTDS Site Settings
RC
Properties
Site Setting
 Enable UGMC
AD – Site :
DC (Writable , RODC)
DNS (ADI)
GC or UGMC
.‫ نموده است‬Cache ‫ باز هم کار می کند زیرا که‬،‫ به تهران قطع شده باشد‬Link ‫ وجود داشته باشد و‬UGMC ، Site ‫ اگر در یک‬: ‫نکته‬
C:\>repadmin /syncall ‫ ها‬Partner ‫ با‬Replication ‫دستور‬

C:\>repadmin /showrepl ‫ ها‬Partner ‫دستور مشاهده ی‬
‫نکته ‪ :‬برنامه ‪ Microsoft Active Directory Topology Diagrammer‬برنامه ایی است که به صورت خودکار ‪Replication‬‬
‫‪ Topology‬از تمام ‪ Site‬ها و ‪ Forest‬و‪ ...‬تولید می کند‪ .‬حجم این برنامه حدود ‪ 1 MB‬است منتها پیش نیاز آن برنامه ‪ Visio‬می باشد‪.‬‬
‫‪: Group Account‬‬
‫‪ : Group Scope‬به منطقه ی کاربرد و قدرت ‪ Group‬گویند که شامل انواع زیر می باشد‪.‬‬
‫‪Local‬‬ ‫‪‬‬
‫‪)DL( Domain Local‬‬ ‫‪‬‬
‫‪ ‬گرفتن عضو از هر ‪( Domain‬تمام ‪ )Forest‬منتها فقط در ‪ Domain‬خودش قابل استفاده است‪.‬‬
‫‪ ‬تخصیص دسترسی تنها بر روی همان ‪Domain‬‬
‫‪ ‬از نظر ماهیت اصال ‪ Local‬نیست‪.‬‬
‫‪)GL( Global‬‬ ‫‪‬‬
‫‪ ‬گرفتن عضو از همان ‪ Domain‬خود‬
‫‪ ‬تخصیص دسترسی بر روی تمام ‪Forest‬‬
‫‪)UN( Universal‬‬ ‫‪‬‬
‫‪ ‬گرفتن عضو از هر ‪( Domain‬تمام ‪)Forest‬‬
‫‪ ‬تخصیص دسترسی بر روی تمام ‪Forest‬‬
‫‪ ‬هم از همه جا عضو می گیرد و هم در همه جا قابل استفاده است‪.‬‬
‫‪: Group Type‬‬
‫‪ : Security‬کاربرد آن در مکانیزم های ‪ Messaging‬و ‪ Permission‬و ‪ )Rights( Policy‬می باشد‪ .‬این نوع ‪ SID‬دارند‪.‬‬ ‫‪‬‬
‫‪ : Distribution‬کاربرد آن فقط در مکانیزم های ‪ Messaging‬می باشد که بایستی ‪ App‬های پیام رسان مانند ‪ Exchange‬و‪...‬‬ ‫‪‬‬
‫داشت‪ .‬این نوع ‪ SID‬ندارند‪.‬‬
‫پیش فرض ایجاد ‪: Group‬‬
‫‪Global : Scope‬‬ ‫‪‬‬

‫‪Security : Type‬‬ ‫‪‬‬
‫یادآوری ‪ :‬اهداف ایجاد ‪: Group‬‬
‫‪Permission‬‬ ‫‪.1‬‬
‫‪Policy‬‬ ‫‪.2‬‬
‫بحث ‪ : Scope‬بیشتر در ‪ Multi Domain‬مطرح است و در ‪ Single Domain‬معنای خاصی ندارد‪.‬‬
‫جایی که گروه دیده می شود؟‬ ‫‪.1‬‬

‫از چه جاهایی می توانند عضو گروه شوند؟‬ ‫‪.2‬‬
‫اصطالح ‪ : Group Nesting‬عضویت گروه ها در گروه های دیگر (گروه عضو گروه)‬
‫قواعد مریوط به ‪: Nesting‬‬
‫‪-----any domain-----> UN‬‬

‫‪GL -----any domain-----> DL‬‬
‫‪-----same domain-----> GL‬‬
‫‪--------------------------------------------------------------‬‬
‫‪DL -----same domain-----> DL‬‬
‫‪--------------------------------------------------------------‬‬
‫‪-----any domain-----> UN‬‬
‫‪UN‬‬
‫‪-----any domain-----> DL‬‬
‫دو مدل در این رابطه داریم ‪:‬‬
‫‪AGDLP‬‬ ‫‪.1‬‬
‫‪AGUDLP‬‬ ‫‪.2‬‬
‫‪1. AGDLP:‬‬
‫‪A G DL P‬‬
‫‪Accounts‬‬
‫‪Global groups‬‬
‫‪Domain Local‬‬
‫‪assign Permission‬‬
‫این مدل بیشتر استفاده می شود و مطرح تر است‪.‬‬

‫مدل ‪ AGDLP‬ارجع تر از مدل ‪ AGUDLP‬می باشد‪.‬‬
‫اگر مدل ‪ AGDLP‬در عمل کند بود یعنی ‪ folder‬ها را با تاخیر باز می کرد‪ ،‬سراغ مدل دوم یعنی ‪ AGUDLP‬می رویم‪.‬‬
‫مشخص نمودن ‪ Account‬ها‬ ‫‪.1‬‬

‫عضو نمودن ‪ Account‬ها در ‪ Global groups‬های ‪ Domain‬خودشان‬ ‫‪.2‬‬
‫عضو نمودن ‪ Global‬ها در ‪ Domain Local‬ایی که می خواهیم به آن ‪ permission‬دهیم‪.‬‬ ‫‪.3‬‬
‫اعطای ‪ Permission‬به ‪Domain Loccal‬‬ ‫‪.4‬‬
2. AGUDLP:
A G U DL P
Accounts
Global groups
Universal
Domain Local
assign Permission
‫ ها‬Account ‫مشخص نمودن‬ .5

‫ خودشان‬Domain ‫ های‬Global groups ‫ ها در‬Account ‫عضو نمودن‬ .6
Forest ‫ کل‬Universal ‫ ها در‬Global groups ‫عضو نمودن‬ .7
.‫ دهیم‬permission ‫ ایی که می خواهیم به آن‬Domain Local ‫ در‬Universal ‫عضو نمودن‬ .8
Domain Loccal ‫ به‬Permission ‫اعطای‬ .9
.‫ ذخیره می شوند‬DC ‫ ها در‬Domain Local ‫ و‬Global : ‫نکته‬

،‫ موجود است‬GC ‫ یک‬Site ‫ ذخیره می شوند و با فرض این که در هر‬GC ‫ ها در‬Universal ‫ این است که‬: AGUDLP ‫علت سریع بودن‬
.‫) باالتری دارند‬SID Mapping( ‫سرعت عمل‬
: ‫مزایای استفاده نمودن از مدل های فوق‬
)Access Control List ( ACL ‫ کوتاه نمودن‬
.‫ های خودشان می کنیم‬Global ‫ ها را عضو‬user ‫ فقط‬،DL ‫ زیرا که برای دسترسی به‬: ‫ انعطاف پذیری بیشتر‬
.‫ شده و سرعت دسترسی باالتر می رود‬map ‫ سریع تر‬SID ‫ > زیرا که‬SID Mapping ‫ در بحث‬: Performance ‫ سریع ترین‬
: command ‫انجام مدل اول با‬ 
: Group ‫دستور ایجاد‬
C:\>dsadd group <GroupDN> -scope l -secgrp yes
-scope ?
l Domain Local
u Universal
g or - Global
-secgrp ?
yes Security Type
no Distribution Type
‫ و‬Global scope ‫ به صورت پیش فرض گروه با‬،‫ باشد‬C:\>dsadd group <GroupDN> ‫ را ندهیم یعنی‬secgrp ‫ و‬scope ‫ اگر‬: ‫نکته‬
.‫ ایجاد می کند‬Security type
Practice
1. Logon with User1
2. CLI
SrvxGL1 Security , Global
SrvxGL2 Security , Global
SrvxDL Security , Domain Local
Srvx-dist Distribution , Global
u1serverx , u2serverx -----------> GL1

u3serverx , u4serverx -----------> GL2
GL1 , GL2 -----------> DL
Assign Permission to DL
: Demote & Promote

.‫ گویند‬Promote ،)Domain Controller ‫ به‬Server ‫ (تبدیل یک‬ADDS Role ‫ به فرآیند نصب‬: Promote
.‫ گویند‬Demote ،DC ‫ به فرآیند حذف‬: Demote

‫ نکته قابل توجه این است‬.‫ را دارند‬DC ‫ نمودن یک‬Demote ‫ توانایی‬Enterprise Admins ‫ و‬Domain Admins ‫تنها اعضای گروه های‬
.‫ توانایی آن را دارند‬Enterprise Admins ‫ تنها اعضای گروه‬،‫ باشد‬Forest ‫ کل‬DC ‫ مربوط به آخرین‬Demote ‫که اگر‬
Server Manager
Manage
Remove Roles and Features
Next
Next
Active Directory Domain Services
 Demote this domain controller
Force the removal of this domain controller
Next
 Proceed with removal
Next
Retain domain controller metadata
Next
New Administrator Password:
Password: *******
Next
Review Options:
Next
Close
Ok
member ‫ به یک‬domain controller ،‫ انجام شود‬Demote ‫ نیز یادآوری می کند که بعد از اینکه‬Review Options ‫ در قسمت‬: ‫نکته‬
.‫ نیست‬DC ‫ است ولی‬Domain ‫ ایی که عضو‬server ‫ تبدیل می گردد یعنی‬server
: )Group Policy Object ( GPO

: Domain ‫ دالیل استفاده از‬: ‫یادآوری‬
Authentication .1
Policy .2
‫محل فیزیکی ‪ Policy‬ها ‪:‬‬
‫‪C:\Windows\SYSVOL\sysvol\mft.local\Policies\{31B2F340-016D-11D2-945F-‬‬
‫‪00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf‬‬
‫ماهیت ‪ Text ،GPO‬یا فایل متنی (‪ )GptTmpl.inf‬است و زمانی که با کنسول ‪ Edit‬می کنیم‪ ،‬در حقیقت این فایل متنی تغییر می یابد‪.‬‬
‫این فایل را نیز می توان با ‪ Notepad‬باز کرد و آن را ویرایش نمود‪.‬‬
‫به طور کلی دو ‪ Level‬یا سطح‪ GPO ،‬داریم‪:‬‬

‫‪1. Local //manage with gpedit.msc‬‬
‫‪2. ADDS: //manage with gpmc.msc‬‬

‫‪Site‬‬
‫‪OU‬‬
‫‪Domain‬‬
‫قانون ‪ :‬به طور کلی ‪ GPO‬های ‪ ADDS‬ارجع تر است به ‪ GPO‬های ‪.Local‬‬
‫یادآوری ‪ :‬هنگامی که یک ‪ join ،workstation‬به ‪ Domain‬می گردد و به صورت ‪ Logon ،Local‬نماید‪ ،‬باز هم تحت تاثیر ‪ Policy‬های‬
‫‪ Domain‬قرار می گیرد چرا که همان طور که گفته شد ‪ Policy‬های ‪ Domain‬اولویت باالتری نسبت به ‪ Policy‬های ‪ Local‬دارند‪.‬‬
‫نکته ‪ :‬اگر یک ‪( Policy‬حداقل طول ‪ 10 ،password‬کاراکتر) در سطح باالتر مثل ‪ Domain‬تعریف (‪ )Define‬شده باشد‪ ،‬به هیچ عنوان‬
‫نمی توان آن ‪ Policy‬را در سطح ‪ Local‬تغییر داد‪.‬‬
‫‪>Computer Configuration‬‬
‫‪>Policies‬‬
‫‪>Windows Settings‬‬
‫‪>Security Settings‬‬
‫‪>Account Policies‬‬
‫‪>Password Policy‬‬
‫‪Minimum password length‬‬
‫دو نوع آیکون وجود دارد‪:‬‬
‫‪ : Gray Like‬یا خاکستری مانند هستند که می توان این ‪ Policy‬ها را در سطح ‪ Local‬نیز تغییر داد چون که در سطوح باالتر‬ ‫‪.1‬‬
‫این ‪ Policy‬تعریف یا ‪ Define‬نگردیده است‪.‬‬
‫‪ : Server Like‬یا عکس ‪ server‬کنار آن ها وجود دارد که به هیچ عنوان نمی توان این ‪ Policy‬ها را در سطوح پایین مثال ‪Local‬‬ ‫‪.2‬‬
‫تغییر داد چون که در سطوح باالتر این ‪ Policy‬تعریف یا ‪ Define‬گردیده است‪.‬‬
‫نکته ‪ :‬از زمان تغییر ‪ Policy‬ها تا اعمال آن ها در سمت ‪ ،client‬مدت زمانی طول می کشد که به آن ‪ Refresh Policy‬گویند که این زمان‬
‫نیز خود یک ‪ Policy‬بوده و قابل تغییر می باشد که در ادامه بحث خواهد شد‪.‬‬
‫به صورت پیش فرض زمان ‪ 90 – 120 minutes ،Refresh Policy‬می باشد‪ ،‬یعنی در بهترین حالت ‪ 90‬دقیقه و در بدترین حالت ‪120‬‬
‫دقیقه زمان می برد تا ‪ Policy‬های تغییر یافته در سمت ‪ client‬اعمال گردند‪.‬‬
‫نکته ‪ :‬برای آن که تغییرات در سمت ‪ client‬به صورت آنی و بدون نیاز به انتظار ‪ 90 – 120‬دقیقه ای‪ ،‬اعمال شود‪ ،‬کافی است دستور زیر را در‬
‫سمت ‪ client‬وارد نماییم ‪:‬‬
‫‪Run‬‬
‫‪cmd‬‬
‫‪C:\>gpupdate /force‬‬
‫و برای آن که اطمینان حاصل کنیم که تغییرات در سمت ‪ client‬اعمال شده است یا خیر‪ ،‬این است که نتیجه ی آن را در ‪ Policy‬های ‪Local‬‬
‫مربوط به ‪ ،client‬مشاهده نماییم‪.‬‬
‫نکته ‪ :‬به صورت پیش فرض پوشه ی ‪ Sysvol‬مربوط به ‪ Share ، )DC( server‬شده است‪ .‬مشاهده ‪:‬‬
‫‪Run‬‬
‫‪\\10.1.1.1‬‬
‫‪Ok‬‬
‫‪Sysvol‬‬
‫‪OR‬‬
‫‪Run‬‬
‫‪cmd‬‬
‫‪C:\>net share‬‬
‫‪-----------------------------‬‬
‫‪ 2‬راهکار برای اینکه تغییرات ‪ Policy‬ها در سمت ‪ client‬ها هیچ تاثیری نداشته باشد ‪:‬‬
‫اگر این ‪ Sysvol ِ folder‬را از حالت ‪ Share‬شده در بیاوریم‪ ،‬دیگر تغییرات ‪ Policy‬در سمت ‪ client‬ها اعمال نمی شود چه با دستور‬ ‫‪.1‬‬
‫‪ gpupdate /force‬و چه با گذشت زمان ‪ 90‬تا ‪ 120‬دقیقه‪.‬‬
‫تیک گزینه ی ‪ File and Printer Sharing for Microsoft Networks‬را برداریم‪.‬‬ ‫‪.2‬‬
‫‪Run‬‬
‫‪ncpa.cpl‬‬
‫‪Ok‬‬
‫‪Ethernet‬‬
‫‪RC‬‬
‫‪o File and Printer Sharing for Microsoft Networks‬‬
‫‪Ok‬‬
‫در بحث امنیت‪ ،‬بیشتر تیک گزینه ی ‪ File and Printer Sharing for Microsoft Networks‬را بر می دارند (حتی برای ‪ RODC‬ها)‪.‬‬
‫توجه شود که این تیک برای ‪ DC‬الزامی است و نباید برداشته شود‪.‬‬
‫نکته ‪ :‬دلیل متغیر بودن زمان ‪ : 90 – 120 minutes‬آن است که خود ‪ client‬یک عددی ‪ Random‬بین بازه ی ‪ 92‬تا ‪ 122‬برای ‪Refresh‬‬
‫شدن خودش‪ set ،‬می نماید و هدف ‪ Random‬بودن این است که ‪ client‬ها در یک زمان مشخص مثال دقیقه ی ‪ 92‬به سمت ‪server‬‬
‫درخواست یا ‪ request‬ندهند و از هجوم آن ها و ایجاد بار بر روی ‪ server‬جلوگیری شود‪.‬‬
‫یادآوری ‪ :‬همان طور که گفته شد سطح ‪ ADDS‬از سطح ‪ Local‬باالتر است و نیز گفته شد ‪ ADDS‬خود شامل ‪ Site‬و ‪ OU‬و ‪Domain‬‬
‫می باشد که این موارد نیز خود دارای اولویت هایی نسبت به یکدیگرند‪.‬‬
‫‪ADDS:‬‬
‫‪Site‬‬
‫‪OU‬‬
‫‪Domain‬‬
‫اولویت ‪Site < Domain < OU :‬‬
‫قانون کلی ‪LSDO :‬‬

‫‪Local‬‬
‫‪Site‬‬
‫‪Domain‬‬
‫‪OU‬‬
‫افزایش اولویت >‪--------------------------‬‬
‫‪<-----------‬افزایش محدوده‬
‫‪ : Not Defined‬اگر یک ‪ Policy‬در یک سطح پایین تعریف شود و در سطوح باالتر تعریف نشده باشد‪ ،‬همان ‪ Policy‬سطح پایین تر اعمال‬
‫خواهد شد‪.‬‬
‫نکته ‪ Policy :‬تعریف کردن در سطح ‪ Site‬زیاد مرسوم نیست و بیشتر در سطوح ‪ Domain‬و ‪ OU‬تعریف می شوند‪ OU .‬در بحث تعریف‬
‫‪ Policy‬فوق العاده است و همان طور که گفته شد یکی از بهترین دالیل تعریف ‪ Policy ،OU‬می باشد‪.‬‬
‫‪Run‬‬
‫‪gpmc.msc‬‬
‫‪Ok‬‬
‫‪Group Policy Management‬‬
‫‪>Forest : mft.local‬‬
‫تمام دامین های کل فارست را نمایش می دهد‪>Domains //‬‬
‫‪Default Domain Policy‬‬
‫‪>Domain Controllers‬‬
‫‪>Class‬‬
‫‪>IT‬‬
‫‪>Kish‬‬
‫‪>Group Policy Objects‬‬
‫‪Default Domain Controller Policy‬‬
‫به صورت پیش فرض دو ‪ GPO‬وجود دارد ‪:‬‬
‫‪Default Domain Controller Policy‬‬ ‫‪.1‬‬
Default Domain Policy .2
: ‫ جدید‬GPO ‫نحوه ی ایجاد یک‬

>Group Policy Objects
RC
New
Name: ---
Source Starter GPO: none
Ok
: GPO ‫نحوه ی ویرایش یک‬
Default Domain Policy or ‫ مربوطه‬GPO
RC
Edit
>Policies
>Prefrenced
>User Configuration
>Policies
>Prefrenced
‫ جدید ساخته و ویرایش‬GPO ‫ ویرایش نشوند بلکه به جای آن یک‬Default ‫ های‬GPO ‫ به طور کلی پیشنهاد می شود که‬: Recommend
.‫ های کمتر ارجح تر است‬Policy ‫ های زیاد با‬GPO .‫گردد‬
‫ را می آورد که به دلیل کاربرد و اهمیت این‬Local Policies ‫ مربوط به‬Security Settings ‫ در واقع همان‬secpol.msc ‫ دستور‬: ‫نکته‬
.‫ در یک کنسول جدا آورده شده است‬،‫بخش‬
.‫ تاثیرگذار است‬GPO ‫ منطقه ایی است که یک‬: Scope
------->
Default Domain Policy .‫محدوده آن تمام دامین می باشد‬
------->
Default Domain Controllers Policy .‫محدوده آن فقط برای دامین کنترلرها می باشد‬
‫ محدودتری می باشند یعنی فقط‬scope ‫ دارای‬،‫ ها‬Default Domain Policy ‫ ها نسبت به‬Default Domain Controllers Policy
.Domain Controllers ‫ مربوطه به‬OU ‫برای‬
Default Domain Policy

RC
Edit
>Policies
>Prefrenced
>User Configuration
>Policies
>Prefrenced
: ‫ می باشد‬Configuration ‫ ایی دارای دو قسمت‬GPO ‫به طور کلی هر‬

‫ نمودن‬Logon ‫ و تا قبل از‬PC ‫ های این قسمت از لحظه روشن شدن‬Policy : >Computer Configuration .1
92 ‫ تقریبا‬.‫) هیچ اتفاقی نمی افتد‬Enter Username & Password( ‫ نمودن‬Logon ‫ اعمال می گردند و با‬،‫کاربر‬
‫ ها را این قسمت شامل می شود‬Policy ‫درصد‬
‫ درصد‬12 ‫ تقریبا‬.‫ اعمال می گردند‬،‫ نمودن کاربر‬Logon ‫ های این قسمت از لحظه‬Policy : >User Configuration .2
‫ ها را این قسمت شامل می شود‬Policy
: ‫ انجام می گیرد‬Registery ‫ از طریق‬client ‫ ها در سمت‬Policy ‫نحوه ی تغییر‬

HKEY_LOCAL_MACHINE ‫ در پوشه‬Computer Configuration ‫ قسمت مهم دارد که تمام تنظیمات مربوط به‬5
.‫ است‬HKEY_USERS ‫ در پوشه‬User Configuration ‫می باشد و نیز تمام تنظیمات مربوط به‬
‫ (با دستور‬client ‫ در سمت‬،‫ باشد‬Computer ‫ مربوط به‬Policy ‫ اگر‬،server ‫ ها در سمت‬Policy ‫به بیان ساده تر با تغییر‬
‫ مربوطه‬Policy ‫ تغییر یافته و‬HKEY_LOCAL_MACHINE ‫ دقیقه) پوشه‬90-120 ‫ و یا با اتمام زمان‬gpupdate /force
.‫اعمال می گردد‬
Run
regedit.exe or regedt32
>Computer
>HKEY_CLASSES_ROOT
>HKEY_CURRENT_USER
>HKEY_LOCAL_MACHINE //All Settings Only For Computer Configuration
>HKEY_USERS //All Settings Only For User Configuration
>HKEY_CURRENT_CONFIG

RC
Edit
>Policies
>Windows Settings
>Security Settings
>Account Policies
>Password Policy //All Password settings in this section / Scope : all domain
Enforce password history
Maximum password age
Minimum password age
Minimum password length
Password must meet complexity requirements
Store passwords using reversible encryption
>Account Lockout Policy
Account lockout duration
Account lockout threshold
Reset account lockout counter after
>Kerberos Policy
Maximum tolerance for computer clock synchronization
Password Policy
‫ تعیین‬،‫ حداقل تعداد کاراکترهایی را که یک رمز عبور برای یک حساب کاربری ممکن است وجود دارد‬: Minimum password length
>0-127< .‫می کند‬
.‫ می باشد‬7 ‫به صورت پیش فرض مقدار آن‬
.‫ است‬Enter ‫ همان‬: Blank ‫ منظور از‬.‫ هم می پذیرد‬Blank ‫ به معنای آن است که‬0 ‫مقدار‬
.‫ کاراکتر می باشد‬127 ،password ‫ می باشد به عبارتی دیگر حداکثر طول‬127 ‫حداکثر مقداری که می توان داد‬
.‫ تغییر یابد‬8 ‫ به‬7 ‫ حداقل تعداد طول کاراکترهای کلمه عبور از‬: ‫ استاد‬Recommend
This security setting determines the least number of characters that a password for a user account
may contain. You can set a value of between 1 and 20 characters, or you can establish that no
password is required by setting the number of characters to 0.
Default:
7 on domain controllers.
0 on stand-alone servers.
Note: By default, member computers follow the configuration of their domain controllers.
،‫ اگر این سیاست فعال باشد‬.‫ بایستی پیچیده باشد‬password ‫ الزاما‬: Password must meet complexity requirements
:‫کلمه عبور باید حداقل الزامات زیر را داشته باشد‬
Contain characters from three of the following four categories:

 English uppercase characters (A through Z)
 English lowercase characters (a through z)
 Base 10 digits (0 through 9)
 Non-alphabetic characters (for example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.
.‫ می باشد‬Enable ‫به صورت پیش فرض‬
‫ تعریف نشده است و‬ADDS ‫ در سطح‬policy ‫ را برداریم به معنای آن است که این‬Define this policy setting ‫ اگر تیک گزینه‬: ‫نکته‬
.‫ ها قرار می گیرد‬client ‫ مربوط به خود‬local ‫ های‬policy ‫در این صورت کنترل آن در دست‬
This security setting determines whether passwords must meet complexity requirements.
If this policy is enabled, passwords must meet the following minimum requirements:
Not contain the user's account name or parts of the user's full name that exceed two consecutive characters
Be at least six characters in length
Default:
Enabled on domain controllers.

Disabled on stand-alone servers.
‫ این تنظیم امنیتی تعیین دوره زمان (در روز) است که یک رمز‬.‫ است‬password Expire ‫ همان‬: Maximum password age
.‫عبور می تواند مورد استفاده قرار گیرد قبل از اینکه سیستم نیاز کاربر به آن را تغییر دهید‬
.‫ روز می باشد‬42 ‫به صورت پیش فرض مقدار آن‬
.‫ تبدیل می گردد‬Nerver Expire ‫ آن عمال به‬0 ‫مقدار‬
‫ را بزنیم ارجع تر‬Never Expire ‫ خاص تیک گزینه‬user ‫ به صورت دستی برای یک‬Active Directory ‫ اگر در کنسول‬: ‫نکته‬
.‫ می باشد‬user ‫ برای تک‬AD ‫ ها بوده در حالی که در‬user ‫ برای تمامی‬policy ‫ چون این‬policy ‫است نسبت به این‬
This security setting determines the period of time (in days) that a password can be used before the system
requires the user to change it. You can set passwords to expire after a number of days between 1 and 999,
or you can specify that passwords never expire by setting the number of days to 0. If the maximum password
age is between 1 and 999 days, the Minimum password age must be less than the maximum password age.
If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998
days.
Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your
environment. This way, an attacker has a limited amount of time in which to crack a user's password and
have access to your network resources.
Default: 42.
‫ است یا به عبارتی این تنظیم امنیتی تعیین دوره زمان‬password ‫ حداقل زمان برای تغییر دوباره‬: Minimum password age
.‫ استفاده شود‬،‫(در روز) است که یک رمز عبور باید قبل از اینکه کاربر بتواند آن را تغییر دهد‬
.‫ روز می باشد‬1 ‫به صورت پیش فرض مقدار آن‬
‫ البته برای‬.‫ خود را تغییر دهد که اصال پیشنهاد نمی شود‬password ‫ به معنای آن است که کاربر می تواند پشت سر هم‬0 ‫مقدار‬
.‫ مشکلی را ایجاد نمی کند‬policy ‫ به این‬0 ‫ مقداردهی‬،‫ داشته باشیم‬DC ‫مواقعی که یک‬
.‫ با یکدیگر کنند‬Replication ‫ ها مجبور به‬DC ‫ باعث می شود که‬password ‫ تغییر‬: ‫دلیل‬
This security setting determines the period of time (in days) that a password must be used before the user
can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting
the number of days to 0.
The minimum password age must be less than the Maximum password age, unless the maximum password
age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the
minimum password age can be set to any value between 0 and 998.
Configure the minimum password age to be more than 0 if you want Enforce password history to be
effective. Without a minimum password age, users can cycle through passwords repeatedly until they get
to an old favorite. The default setting does not follow this recommendation, so that an administrator can
specify a password for a user and then require the user to change the administrator-defined password when
the user logs on. If the password history is set to 0, the user does not have to choose a new password. For
this reason, Enforce password history is set to 1 by default.
Default:
‫ این تنظیم امنیتی تعداد شمار کلمه عبور منحصر به فرد جدید را تعیین می کند که باید با یک‬: Enforce password history
.‫حساب کاربری مرتبط شود قبل از استفاده مجدد از رمز عبور قدیمی‬
‫ به عنوان مثال اگر‬.‫ تکراری داد‬password ‫ دفعه نمی توان‬24 ‫ یعنی تا‬.‫ کلمه عبور می باشد‬24 ‫به صورت پیش فرض مقدار آن‬
.‫ دفعه بعد صبر نماید‬24 ‫ را که امروز تنظیم کرده است را بخواهد مجددا قرار دهد بایستی تا‬12345q@ ‫کاربر کلمه عبور‬
.‫ به معنای آن است که کاربر می تواند کلمه عبور قدیمی را مجددا به عنوان کلمه عبور جدید قرار دهد‬0 ‫مقدار‬
This security setting determines the number of unique new passwords that have to be associated with a user
account before an old password can be reused. The value must be between 0 and 24 passwords.
This policy enables administrators to enhance security by ensuring that old passwords are not reused
continually.
Default:
To maintain the effectiveness of the password history, do not allow passwords to be changed immediately
after they were just changed by also enabling the Minimum password age security policy setting. For
information about the minimum password age security policy setting, see Minimum password age.
‫ این تنظیم امنیتی تعیین می کند که آیا سیستم عامل با استفاده از رمزنگاری‬: Store passwords using reversible encryption
.‫برگشت پذیر رمزهای عبور را ذخیره می کند‬
.‫ می باشد‬Disable ‫به صورت پیش فرض‬
‫ گردد دیگر نمی توان‬Hash ،‫ ای‬password ‫ به صورت یکطرفه است یعنی اگر‬Hash ‫ در می آیند و‬Hash ‫ ها معموال به صورت‬password
.‫ به صورت دوطرفه است یعنی به روشی رمزنگاری می کند که بتوان آن را برگرداند‬encryption ‫ در مقابل‬.‫آن را به حالت قبل برگرداند‬
.‫ ذخیره می کند که از لحاظ امنیت بسیار ضعیف است‬encryption ‫ ها را به صورت‬password ‫ گردد یعنی‬Enable ‫ اگر‬Policy ‫این‬
This security setting determines whether the operating system stores passwords using reversible encryption.
This policy provides support for applications that use protocols that require knowledge of the user's
password for authentication purposes. Storing passwords using reversible encryption is essentially the same
as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless
application requirements outweigh the need to protect password information.
This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication
through remote access or Internet Authentication Services (IAS). It is also required when using Digest
Authentication in Internet Information Services (IIS).
Default: Disabled.
Account Lockout Policy
‫ این تنظیم امنیتی تعیین تعداد تالشهای منطقی شکست خورده که سبب می شود که یک حساب‬: Account lockout threshold
‫ مجددا تنظیم نشود یا تا زمانی که مدت‬Admin ‫ یک حساب قفل شده نمی تواند استفاده شود تا زمانی که توسط یک‬.‫کاربری قفل شود‬
.‫زمان قفل شدن آن حساب کاربری منقضی نشده باشد‬
.‫ تالش ورود به سیستم انجام دهید‬999 ‫ تا‬0 ‫شما می توانید یک مقدار بین‬
‫ به صورت پیش فرض هرگز‬password ‫ ایی با اشتباه وارد نمودن‬Account ‫ می باشد یعنی هیچ‬0 ‫به صورت پیش فرض مقدار آن‬
.‫قفل نخواهد شد‬
: ‫پیغام آن پس از فعال نمودن‬
The referenced account is currently locked out and may not be logged on to.
This security setting determines the number of failed logon attempts that causes a user account to
be locked out. A locked-out account cannot be used until it is reset by an administrator or until the
lockout duration for the account has expired. You can set a value between 0 and 999 failed logon
attempts. If you set the value to 0, the account will never be locked out.
Failed password attempts against workstations or member servers that have been locked using
either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts.
Default: 0.
‫ شدن را تعیین می کند که پس از این زمان می توان مجددا‬Lock ‫ این تنظیم امنیتی مدت زمان‬: Account lockout duration
.‫ را وارد نمود‬password
.‫ دقیقه است‬99،999 ‫ دقیقه تا‬0 ‫دامنه در دسترس از‬
.‫ فعال گردد‬Account lockout threshold ‫ می باشد در صورتی که سیاست‬30 minutes ‫به صورت پیش فرض مقدار آن‬
.‫ به طور صریح آن را باز نکند قفل خواهد شد‬Admin ‫ به معنای آن است که حساب تا زمانی که یک‬0 ‫مقدار‬
This security setting determines the number of minutes a locked-out account remains locked out
before automatically becoming unlocked. The available range is from 0 minutes through 99,999
minutes. If you set the account lockout duration to 0, the account will be locked out until an
administrator explicitly unlocks it.
If an account lockout threshold is defined, the account lockout duration must be greater than or
equal to the reset time.
Default: None, because this policy setting only has meaning when an Account lockout threshold
is specified.
‫ این تنظیم امنیتی تعیین تعداد دقیقه است که باید پس از یک تالش منطقی شکست‬: Reset account lockout counter after
.‫ تالش های منطقی بد تنظیم شود‬0 ‫خورده قبل از تالش ضد دامنه شکست خورده به‬
8:30 AM ‫ یعنی در زمان‬،‫ خود را غلط بزند و پس از گذشت نیم ساعت‬password ‫ بار‬2 ،8:00 AM ‫ اگر کاربر ساعت‬: ‫به بیان ساده تر‬
‫ بار؟‬3 ‫ بار است یا‬2 ‫ را اشتباه وارد نموده است‬password ‫ اکنون این تعداد دفعاتی که کاربر‬،‫ خود را غلط وارد کند‬password ‫دوباره‬
.‫ دقیقه است‬999999 ‫ دقیقه تا‬1 ‫محدوده دسترس‬
‫ تعداد دفعات کلمه عبور‬counter ،‫ دقیقه‬30 ‫ می باشد یعنی اینکه پس از زمان‬30 minutes ‫به صورت پیش فرض مقدار آن‬
.‫ فعال گردد‬Account lockout threshold ‫ در صورتی که سیاست‬.‫اشتباه وارد شده را صفر کن‬
This security setting determines the number of minutes that must elapse after a failed logon attempt
before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1
minute to 99,999 minutes.
If an account lockout threshold is defined, this reset time must be less than or equal to the Account
lockout duration.
Default: None, because this policy setting only has meaning when an Account lockout threshold
is specified.
Kerberos Policy
‫ است یعنی اختالف‬Time Server ‫ در واقع همان‬: Maximum tolerance for computer clock synchronization
.‫ نماید‬Logon ‫ دیگر نمی تواند‬client ‫ در غیر این صورت‬.‫ باشد‬5 minutes ‫ نباید بیشتر از‬DC ‫ ها با‬client ‫زمانی‬
.‫ می باشد‬5 minutes ‫به صورت پیش فرض مقدار آن‬
Default Domain Controllers Policy

‫ نیز مانند‬Default Domain Controllers Policy ‫ در‬.‫ ها نیاز دارند‬client ‫ ها به یک امنیت باالتری نسبت به‬DC ‫خود‬
.‫ زیاد تعریف نشده است‬User Configuration ‫ در بخش‬Default Domain Policy
RC
Edit
>Policies
>Windows Settings
>Security Settings
>Local Policies
>Audit Policy
Audit account logon events
Audit account management
Audit directory service access
Audit logon events
Audit object access
Audit policy change
Audit privilege use
Audit process tracking
Audit system events
>User Rights Assingment
Access this computer from the network
Add workstations to domain
Allow Log on locally
Allow log on through Remote Desktop Services
Change the system time
Change the Time Zone
Deny access to this computer from the network
Deny log on locally
Deny log on through Remote Desktop Services
Force shutdown from a remote system
Load and unload device drivers
Shut down the system
Take ownership of files or other objects
...
>Security Options
Accounts: Administrator account status
Accounts: Guest account status
Devices: Allow undock without having to log on
Devices: Allowed to format and eject removable media
Interactive logon: Do not require CTRL+ALT+DEL
Interactive logon: Don't display last signed-in
Interactive logon: Don't display username at sign-in
Interactive logon: Message text for users attempting to log on
Interactive logon: Message title for users attempting to log on
Interactive logon: Number of previous logons to cache (in case dc is not available)
Network security: Force logoff when logon hours expire
Shutdown: Allow system to be shut down without having to log on
User Rights Assingment
،Local Users ‫ و‬Domain Users ‫ ها نمی توانیم با‬DC ‫ باعث می شود که بر روی‬Policy ‫ این‬: Allow Log on locally
.‫ کنیم‬Logon
Policy ‫ را در این‬Domain Users ‫ کرد بایستی گروه‬Logon ،DC ‫ ایی بر روی‬domain ‫ های‬user ‫برای این که بتوان با‬
.‫ کرد‬Add
Default:
 On workstations and servers:
Administrators
Backup Operators
Power Users
Users
Guest
 On domain controllers:
Account Operators
Administrators
Backup Operators
Print Operators
.‫ ها پایین ترند‬Domain Admins ‫ ها یک درجه از‬Server Operators ‫ گروه‬: ‫نکته‬
‫ ها را‬workstation ‫ این تنظیم امنیتی تعیین می کند کدام گروه ها یا کاربران می توانند‬: Add workstations to domain
‫ هر‬،‫ به طور پیش فرض‬.‫ معتبر است‬Domain Controllers ‫ این تنظیم امنیتی فقط در‬.‫ اضافه کنند‬Domain ‫به یک‬
.‫ ایجاد کند‬Domain ‫ در‬Computer Account ‫ عدد‬12 ‫ دارای این حق است و می تواند تا‬authenticated user
Active Directory-based ‫ اجازه می دهد که رایانه در شبکه های‬Domain ‫ به‬Computer Account ‫افزودن یک‬
‫ را قادر می سازد‬workstation ‫ این‬،Domain ‫ به یک‬workstation ‫ اضافه کردن یک‬،‫ برای مثال‬.‫ شرکت کند‬networking
.‫ را شناسایی کند‬Active Directory ‫تا حساب ها و گروه های موجود در‬
Default: Authenticated Users
‫ تعیین می کند که کدام کاربران و گروه ها مجاز به اتصال‬user right ‫ این‬: Access this computer from the network
)‫ متصل شوند‬DC ‫ به این‬network ‫ هایی که می توانند از طریق‬user( .‫به کامپیوتر بر روی شبکه هستند‬
.‫ تحت تاثیر قرار نمی گیرد‬user right ‫ توسط این‬Remote Desktop Services
.‫ نامیده می شود‬Terminal Services ،Windows Server ‫ در نسخه های قبلی‬، Remote Desktop Services :‫توجه‬
Default
 on workstations and servers:
Administrators
Backup Operators
Users
Everyone
 on domain controllers:
Administrators
Authenticated Users
Enterprise Domain Controllers
Everyone
Pre-Windows 2000 Compatible Access
‫ این تنظیم امنیتی تعیین می کند که کدام کاربران و گروه ها مجاز به‬: Deny access to this computer from the network
.‫اتصال به کامپیوتر بر روی شبکه نیستند‬
This policy setting supersedes the Access this computer from the network policy setting if a user account
is subject to both policies.
Policy ‫ این‬.‫ این تنظیم امنیتی تعیین می کند که از ورود کدام کاربران به کامپیوتر جلوگیری می شود‬: Deny log on locally
user1 ‫ برای یک کاربر خاص مثال‬DC ‫ با‬Logon ‫ است منتها بر عکس یعنی می خواهیم از‬Allow logon locally ‫مانند‬
.‫جلوگیری شود‬
Allow logon locally:
Account Operators
Administrators
Backup Operators
Print Operators
Domian Users
Deny log on locally:
mft\user1
‫ از‬Deny ‫ به عبارتی اولویت‬.user1 ‫ کنند به جز‬Logon ،DC ‫ می توانند با‬domain ‫ های‬user ‫ تمامی‬،‫اگر به صورت فوق باشد‬
.‫ باالتر است‬Allow
This policy setting supersedes the Allow log on locally policy setting if an account is subject to both
policies.
.‫ وارد سیستم شود‬Local ‫ هیچکس نمی تواند به طور‬،‫ اعمال کنید‬Everyone ‫ را به گروه‬security policy ‫ اگر این‬: ‫مهم‬
Important : If you apply this security policy to the Everyone group, no one will be able to log on locally.
Default: None.
‫ تعیین می کند که چه کاربران و گروه هایی می توانند زمان و تاریخ را بر روی‬user right ‫ این‬: Change the system time
.‫ساعت داخلی کامپیوتر تغییر دهند‬
Default
Administrators
Local Service
Administrators
Server Operators
Local Service
‫ تعیین می کند که چه کاربران و گروه هایی می توانند منطقه زمانی مورد استفاده‬user right ‫ این‬: Change the Time Zone
.‫ تغییر دهند‬Local time ‫توسط کامپیوتر را برای نمایش‬
System time itself is absolute and is not affected by a change in the time zone.
Default: Administrators
.‫ ها ایجاد نمی کند‬client ‫ نمودن‬Logon ‫ مشکلی در‬،DC ‫ مربوط به‬time zone ‫ تغییر در‬: ‫نکته‬
‫ این تنظیم امنیتی تعیین می کند که چه کاربران یا گروه هایی‬: Allow log on through Remote Desktop Services
.‫ دارند‬Remote Desktop Services ‫مجوز ورود به سیستم را از طریق‬
Default:
 On workstation and servers:
Administrators
Remote Desktop Users
 On domain controllers:
Administrators
‫ این تنظیم امنیتی تعیین می کند که چه کاربران یا گروه هایی‬: Deny log on through Remote Desktop Services
.‫ ندارند‬Remote Desktop Services ‫مجوز ورود به سیستم را از طریق‬
Default: None
: Load and unload device drivers
This user right determines which users can dynamically load and unload device drivers or other
code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is
recommended that you do not assign this privilege to other users.
Default
Administrators
Administrators
Print Operators
‫ می‬،‫ وارد سیستم می شوند‬Local ‫ این تنظیم امنیتی تعیین می کند کدام کاربرانی که به صورت‬: Shut down the system
‫ می تواند منع خدمات‬user right ‫ سوء استفاده از این‬.‫ خاموش نمایند‬Shut Down ‫توانند سیستم عامل را با استفاده از دستور‬
.‫را منجر شود‬
Default
 on Workstations:
Administrators
Backup Operators
Users
 on Servers:
Administrators
Backup Operators
 on Domain controllers:
Administrators
Backup Operators
Server Operators
Print Operators
.‫ جدید ایجاد و ویرایش گردد‬GPO ‫ نشوند بلکه یک‬Edit ،‫ ها‬Default Domain Policy ‫ معموال پیشنهاد می شود که‬: Recoommend
: Built-in ‫انواع گروه های‬
‫ را عضو این‬user ‫ ها را داشته و می توان‬user ‫ توانایی مدیریت و کنترل‬Built-in ‫ در این نوع از گروه های‬: Built-in Group .1
Administrators ‫گروه ها نمود مانند گروه‬
‫ ها را نداشته و نمی توان‬user ‫ توانایی مدیریت و کنترل‬Built-in ‫ ولی در نوع دوم از گروه های‬: Built-in System Group .2
Authenticated Users ‫ ای را عضو این گروه ها نمود مانند گروه‬user
Network Configuration Operators ‫ و‬Remote Desktop Users ‫ نظیر‬Active Directory ‫ گروه های موجود در کنسول‬: ‫نکته‬
.‫ ها می گیرند‬Policy ‫ نیز قدرت خود را از‬... ‫و‬
: GPO ‫مراحل تعریف‬
.‫ ایی ندارد‬Scope ‫ جدید ساخته می شود به صورت پیش فرض هیچ گونه‬GPO ‫ زمانی که یک‬: GPO ‫ساخت‬ .1
‫ مربوطه‬OU ‫ ها به‬computer account ‫ بایستی‬Active Directory ‫ در کنسول‬: Computer Account ‫ نمودن‬move .2
.‫انتقال یابند‬
Link .3
GPO Edit .4
in client side : gpupdate /force .5
GPO ‫ در تضاد ها با دیگر‬GPO ‫ آن‬،‫ باالتر باشد‬GPO ‫ یک‬Link Order ‫ هر چقدر‬،Domain ‫ مثال سطح‬Level ‫ اگر در یک‬: ‫نکته مهم‬
‫ توجه شود در مورد تضادها این گونه است وگرنه در مورد‬.‫ باالتر اعمال می گردد‬Link Order ‫ با‬GPO ‫ های‬Policy ‫ها برنده رقابت است و‬
.‫ هایی که با یکدیگر تضاد ندارند این گونه نیست و تمامی آن ها اعمال می گردند‬Policy
>mft.local
GPO1
>Class
GPO2 //Parent
>PC11
>Server7
>Server2
>Server10
GPO10 //Child ----> The child says the last word
>IT
>Software
>Hardware
>RS
: Tabs
: Link Group Policy Objects
: Group Policy Inheritance
: Apply & Link
>mft.local
GPO1
>PC11
>Server10
‫‪GPO10‬‬
‫‪in Server10:‬‬
‫‪Apply GPO : Default Domain Policy , GPO1 , GPO10‬‬
‫‪But‬‬
‫‪Link GPO : GPO10‬‬
‫‪ Link‬یک ‪ Policy‬با ‪ Apply‬کردن آن کامال متفاوت از یکدیگرند‪.‬‬
‫نکته ‪ Link :‬نمودن یک ‪ GPO‬به دو جا (به عنوان مثال دو ‪ ) OU‬متفاوت اصال پیشنهاد نمی شود چرا که با ایجاد هر گونه تغییر یا حذف‬
‫‪ GPO‬بر روی هر دو ‪ OU‬تاثیر گذار است‪.‬‬
‫نکته ‪:‬‬
‫‪>RS‬‬
‫‪RS Policy‬‬
‫‪RC‬‬
‫‪Delete‬‬ ‫حذف لینک است و ‪ GPO‬از بین نمی رود‪//.‬‬
‫‪Group Policy Objects‬‬

‫‪RC‬‬
‫حذف خود ‪ GPO‬است‪Delete //.‬‬
: ‫ ها‬Policy ‫ یا وراثت‬inheritance
Block Inheritance .1
Enforce .2
>Server10
RC
 Block inheritance
.‫ عمل نمی کنند‬Server10 ‫ بر روی‬GPO1 ‫ و‬Default Domain Policy ‫ های‬Policy ‫در این حالت دیگر‬
Group Policy Objects

RC
New...
Name: RS
Ok
.‫ به صورت نرمال کمترین اولویت را در تضادها دارد‬،Domain ‫ جدید در سطح‬GPO ‫با تعریف یک‬
>mft.local
RC
Link an existing GPO...
RS Policy
‫‪Ok‬‬
‫‪GPO1‬‬
‫‪RC‬‬
‫‪Enforce‬‬
‫‪>PC11‬‬
‫‪GPO10‬‬
‫با این کار ‪ ،GPO RS‬باالترین اولویت را در تضاد ها (حتی از ‪ GPO10‬باالتر) برای ‪ Server10‬دارد‪.‬‬
‫نکته مهم ‪ :‬با فعال سازی ‪ Block Inheritance‬بر روی ‪ OU‬مربوط به ‪ Server10‬و ‪ Enforce‬نمودن ‪ ،GPO RS‬نتیجه ‪ GPO RS :‬بر‬
‫روی ‪ OU‬مربوط به ‪ Server10‬اعمال خواهد شد‪.‬‬
‫قانون کلی ‪ :‬با ‪ Enforce‬نمودن یک ‪ GPO‬حتی اگر ‪ Block inheritance‬فعال باشد‪ ،‬آن ‪ GPO‬اعمال گردیده و نیز باالترین اولویت را‬
‫خواهد داشت‪.‬‬
‫یادآوری ‪ :‬گفتیم که روند اعمال ‪ Policy‬ها به طور ‪ normal‬به صورت ‪ L S D O‬می باشد‪ .‬با فعال نمودن قابلیت های ‪Block inheritance‬‬
‫و ‪ Enforce‬دیگر روند اعمال ‪ Policy‬ها به صورت ‪ normal‬نخواهد بود‪.‬‬
‫‪GPO Status :‬‬

‫‪GPO1‬‬
‫‪Details Tab‬‬
‫‪GPO Status:‬‬
‫‪‬‬ ‫‪Enabled‬‬
‫‪‬‬ ‫‪All setting disabled‬‬
‫‪‬‬ ‫‪Computer configuration setting disabled‬‬
‫‪‬‬ ‫‪User configuration setting disabled‬‬
‫‪ GPO Status‬یک ‪ Solution‬موقت است برای مواقعی که می خواهیم یک ‪ GPO‬را غیرفعال کنیم تا ببینیم کدام ‪ Policy‬سبب مثال بسته‬
‫شدن فلش بر روی ‪ Computer‬های آن ‪ OU‬گردیده است‪.‬‬
‫به طور کلی بای ستی به موارد زیر دقت نمود چرا که هر کدام از این قابلیت ها می توانند روند ‪ normal‬اعمال شدن ‪ Policy‬را بر هم بزنند‪:‬‬
1. Block inheritance
2. Enforce
3. GPO Status
4. Link Enabled
5. Link Section
6. Security Filter Section
7. GPO Security Settings
: ‫ اعمال گردد‬IT ‫ مربوط به‬OU ‫ در‬PC7 ‫ تنها بر روی‬GPO1 : ‫سناریو‬

RC
New...
Name: GPO1
Ok
>IT
RC
GPO1
Ok
Security Filter Section
Authenticated Users > Remove
Add
Object Types...
 Computers
Ok
Enter the object name to select (examples): PC7
Check Names
Ok
Security Filter ‫ و‬Link ‫ منظقی بین‬AND ‫ می شود‬Scope : ‫نکته مهم‬
Scope : AND between (Link) & (Security Filter)

&
)‫ (بر عکس سناریو باال‬: PC7 ‫ اعمال گردد به جز‬IT ‫ مربوط به‬OU ‫ های‬PC ‫ به تمام‬GPO1 : ‫سناریو‬

RC
New...
Name: GPO1
Ok
>IT
RC
GPO1
Ok
>IT
GPO1
Delegation Tab
Advanced
GPO Security Setting
Add
Object Types...
 Computers
Ok
Enter the object name to select (examples): PC7
Check Names
Ok
PC7 :
Read > Deny
Apply > Deny
Ok
.‫ نیاز دارد‬Apply ‫ و‬Read ‫ های‬permission ‫ برای این که عمل نماید به‬GPO ‫ هر‬: ‫نکته‬
: GPO Backup
:‫ دو راهکار وجود دارد‬GPO ‫ گیری از‬Backup ‫برای‬
Copy & Paste / import settings .1
Backup... > ‫ > راست کلیک‬GPO ‫ بر روی خود‬.2
: GPO2 ‫ به عنوان مثال برای‬: 1 ‫راه‬
GPO2
Details Tab
Unique ID: {31B2F340-016D-11D2-945F-00C04FB984F9}
then
Go to this path: C:\Windows\SYSVOL\sysvol\mft.local\Policies\{31B2F340-016D-11D2-945F-
00C04FB984F9} : Copy Folder
Go to random path for paste Ex: C:\New folder
/
GPO2
RC
import settings...
Next
Location: ---------- Browse
Go to the path where you pasted the folder Ex: C:\New folder
.‫ موجود به مثال یک هفته پیش می باشد‬GPO ‫ بازیابی یک‬Restore ‫ جدید و خام است اما‬GPO ‫ نیازمند‬import settings
: 2 ‫راه‬
‫ مربوطه‬GPO ‫بر روی‬

RC
Back Up...
Location: Browse
.‫ ذخیره می گردند‬GptTmpl.inf ‫ ها در‬Policy ‫ تمام اطالعات و تنظیمات مربوط به‬: ‫نکته‬
>Policies
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Accounts: Guest account status6
Interactive logon: Don't display last signed-in7
Interactive logon: Message title for users attempting to log on8
Interactive logon: Number of previous logons to cache9
Network security: Force logoff when logon hours expire10
.‫ ندارد‬OU ‫ های آن‬computer ‫ مربوط به‬Local ‫ های‬Policy ‫ هیچ تاثیری بر روی‬،OU ‫ در یک‬Block Inheritance ‫با فعال سازی‬
.‫ انتقال می یابد‬Group Policy Inheritance ‫ به باالترین اولویت در لیست‬GPO ‫ آن‬،GPO ‫ نمودن یک‬Enforce ‫با‬
:‫ بر اساس‬OU ‫معموال نامگذاری‬
‫ یا موقعیت مکانی‬Location .1
‫ یا طرح کسب و کار‬Business Plan .2
‫‪ Both‬یا ترکیبی از این ها‬ ‫‪.3‬‬
‫مزیت ‪ Tab Setting‬در کنسول ‪( Group Policy Management‬شکل باال) این است که می توان تغییرات انجام شده بر روی ‪ GPO‬را‬
‫مشاهده نمود‪.‬‬
‫‪Pull & Push‬‬
‫روند اعمال ‪ Policy‬ها به صورت ‪ Pull‬می باشد‪ ،‬زیرا همان طور که گفته شد خود ‪ client‬ها برای دریافت تغییرات سراغ ‪ server‬می روند (با‬
‫دستور ‪.)gpupdate /force‬‬
‫قابلیت ‪ Push‬نیز جدیدا به آن اضافه گردیده البته فقط بر روی ‪ .OU‬به صورت زیر می توانیم عمل ‪ Push‬را انجام دهیم ‪:‬‬
‫‪>Class‬‬
‫‪RC‬‬
‫‪Group Policy Update...‬‬
‫‪Yes‬‬
‫پس از آن که ‪ Group Policy Update...‬را می زنیم‪ ،‬تعداد کامپیوترهای تحت تاثیر داخل آن ‪ OU‬را نملیش می دهد یعنی شامل ‪OU‬‬
‫‪ Class‬و تمام ‪ Subcontainer‬های آن‪.‬‬
‫وقتی عمل ‪ Push‬در سمت ‪ server‬انجام گرفت‪ ،‬دیگر نیازی به دستور ‪ gpupdate /force‬در سمت ‪ client‬نیست‪.‬‬
‫نحوه کم کردن زمان ‪: )90 – 120 minutes ( Refresh Policy‬‬
‫‪ ‬همان طور که گفته شد خود این زمان نیز یک ‪ Policy‬است که می توان آن را تغییر داد‪.‬‬
‫‪ ‬دلیل اصلی زمان نسبتا طوالنی ‪ : Refresh Policy‬جلوگیری از هجوم ‪ client‬ها به سمت ‪.server‬‬
‫‪ ‬یکی دیگر دالیل طوالنی بودن آن این است که در زمان ‪ windows NT‬پهنای باند حدود ‪ 10 Mbps‬بود که ‪ 90 – 120‬نسبتا‬
‫زمان معقولی بود‪ ،‬اما امروزه پهنای باند به ‪ 1 Gbps‬افزایش یافته که این مدت زمان ‪ 90 – 120‬غیر منطقی است که بایستی کاهش‬
‫یابد‪.‬‬
‫‪>Administrative Templates‬‬
‫‪>System‬‬
‫‪Group Policy‬‬
‫‪Set Group Policy Refresh Interval For Computers‬‬
‫‪Set Group Policy Refresh Interval For Domain Controllers‬‬
Set Group Policy Refresh Interval For Computers //for client
Double Click
 Enabled
Base Time : 90 minutes
Random Time : 30 minutes //.‫از لحاظ حجم تعداد درخواست های کالینت ها بایستی عددی غیر از صفر باشد‬
Base Time : <0 – 44640> minutes (31 days)

Random Time : <0 – 1440> minutes (24 hours)
Not ،Local ‫ و هم در‬OU ‫ یا به عبارتی دیگر هم در‬client ‫ و هم در سمت‬server ‫ باال به صورت پیش فرض هم در سمت‬Policy
.‫ آن را به این گونه طراحی کرده است‬windows ‫ می باشد و‬Defined
: ‫ استاد‬Recommend
:‫ باشد‬1 Gbps ‫اگر پهنای باند‬ 
30 : Base Time
10 : Random Time
:‫ باشد‬100 Mbps ‫اگر پهنای باند‬ 
40 : Base Time
20 : Random Time
If you enable this setting, you can specify an update rate from 0 to 64,800 minutes (45 days).
.‫ روز است‬45 ،client ‫ ها در سمت‬update ‫نهایت زمان دریافت‬
Set Group Policy Refresh Interval For Domain Controllers //for DC

Double Click
‫‪ Enabled‬‬
‫)‪Base Time : 5 minutes (by default‬‬
‫)‪Random Time : 0 minutes (by default‬‬
‫زمان فوق (‪ )Base‬به دلیل این که تعداد ‪ DC‬ها زیاد نمی باشد‪ ،‬مناسب است و ‪ Random Time‬دادن به آن نیازی نیست‪.‬‬
‫نکته ‪ :‬با صفر نمودن زمان های ‪ Base‬و ‪ ،Random‬اعمال تغییرات ‪ Policy‬ها به صورت آنی خواهد بود‪.‬‬
‫نکته ‪ :‬برای هر ‪ GPO‬می توان به صورت مستقل و جدا از دیگر ‪ GPO‬ها‪ ،‬زمان های ‪ Base‬و ‪ Random‬را تغییر داد‪.‬‬
‫‪Administrative Templates‬‬
‫یک سری فایل های با پسوند ‪ .admx‬هستند که به آن ها ‪ third party‬می گویند‪ .‬یعنی قابلیت اضافه کردن دارند به عنوان مثال برای کنترل‬
‫‪ ،google chrome‬فایل با پسوند ‪ .admx‬آن را ‪ add‬می نماییم و سپس تمام ‪ Policy‬های مربوط به ‪ ،google chrome‬اضافه می شوند‬
‫که این قابلیت از انعطاف پذیری باالیی برخوردار است‪.‬‬
‫‪ : Third Party‬برنامه یا سرویس ‪ Third Party‬یا شخص ثالث‪ ،‬سرویس یا برنامهای است که نه شما ساختهاید و نه شرکت طرف‬
‫حساب شما‪ .‬یا نه شما می شناسید و نه شرکت اصلی طرف حساب شما‪( .‬برای خود ‪ company‬نیست‪).‬‬
‫مثالً اگر شما خودتان یک برنامه برای سازمان خودتان بنویسید یا اینکه آن برنامه جزء برنامههای خود ویندوز باشد (مثل ‪Internet‬‬
‫‪ )Explorer‬این برنامهها ‪ Third Party‬نیستن د‪ ،‬اما اگر آن برنامه را یک شرکت دیگر نوشته باشد (مثل برنامه فایرفاکس) این‬
‫برنامه از نگاه شما و ویندوز‪ ،‬میشود ‪.Third Party‬‬
‫یا درایور ‪ Third Party‬درایوری است که نه مایکروسافت ساخته و نه شرکت سازنده آن سخت افزار‪.‬‬
‫طبیعی است که در این مواقع امکان دارد یک هکر ی ا شرکتی که احتماالً چندان مهارت ندارد آن درایور یا سرویس را ساخته باشد‪،‬‬
‫پس ویندوز یا گوگل وظیفه دارد ابتدا سؤال کند و اجازه بگیرد‪.‬‬
‫‪Audit Policy‬‬
‫در لغت ‪ Audit‬به معنای گزارش گیری می باشد‪.‬‬
‫‪>Windows Settings‬‬
‫‪>Security Settings‬‬
‫‪>Local Policies‬‬
‫‪>Audit Policy‬‬
‫‪Audit account logon events‬‬
‫‪Audit account management‬‬
‫‪Audit directory service access‬‬
‫‪Audit logon events‬‬
‫‪Audit object access‬‬
‫‪Audit policy change‬‬
‫‪Audit privilege use‬‬
Audit process tracking
Audit system events
client ‫ های مربوط به‬Log ‫ به عبارتی دیگر‬.‫ یا گزارش می گیرد‬Log )‫ می نماید‬Authenticate ‫ (جایی که‬DC ‫ در سمت خود‬
.‫ نگه می دارد‬DC ‫ها را سمت‬
‫ نمودن با‬Logon ‫ شدند یا خیر به خصوص در مورد‬Logon ‫ کاربردی است برای مواقعی که می خواهیم ببینیم چه کسانی موفق به‬
.Failure ‫ آن هم‬Administrator
Audit logon events
.‫ یا گزارش می گیرد‬Log ،client ‫ در سمت خود‬

.‫ این مورد زیاد کاربردی نیست‬
‫ ها‬Log ‫ ایی است برای خواندن‬Tools : Event Viewer
Search
Event Viewer
Open
Event Viewer (Local)
>Windows Logs
Security //‫ در این بخش می آید‬Audit Policy
:‫ بگیرد‬Log ‫ گزارش یا‬DC ‫ در سمت‬،‫ نمود‬Logon ‫ هر کسی که‬: ‫سناریو‬
Default Domain Controller Policy

RC
Edit
>Windows Settings
>Security Settings
>Local Policies
>Audit Policy
Double Click
 Define these policy setting
 Success //‫نام کاربری و کلمه عبور را صحیح بزند یا به عبارتی درست ورود کند‬
 Failure //‫کلمه عبور را اشتباه وارد کند‬
: Filter Current Log ‫قابلیت‬

.‫ ها را فیلتر نموده و سپس مشاهده نماییم‬Log ‫با استفاده از آن می توانیم‬
:‫ به عنوان مثال برای‬،‫ مربوط به هر گزارش را وارد نمود‬Event ID ‫می توان‬ 
4663 : Delete
4771 : Logon
>Windows Logs
Security
RC
Filter Current Log...

>Windows Logs
Security
RC
Properties
:‫ ها در مسیر زیر می باشد‬Log ‫محل ذخیره تمامی‬
%SystemRoot%\System32\Winevt\Logs\Security.evtx
:‫ ها‬Log ‫ماکسیمم سایز‬
Maximum log size (KB): 131072
When maximum event log size is reached:

 Overwrite events as needed (oldest events first) //by default
.‫ یا بازنویسی می نماید‬overwrite ،‫ های قدیمی تر‬Log ‫ های جدید را بر روی‬Log ،Log Size ‫با اتمام فضای‬
o Archive the log when full, do not overwrite events
.‫ جدید می سازد‬Archive ‫ ذخیره کرده و سپس یک‬Archive ‫ ها را در یک‬Log ‫ تمام‬،Log Size ‫با اتمام فضای‬
o Do not overwrite events (Clear logs manually)
.‫ ها حذف شوند‬Log ‫ نمی گیرد تا زمانی که به صورت دستی بعضی از‬Log ‫ دیگر‬،Log Size ‫با اتمام فضای‬
: Clear Log ‫قابلیت‬

>Windows Logs
Security
RC
Clear Log...
Audit object access
.‫ بگیرد‬Log ،‫ مشخص‬folder ‫ در‬File ‫ با حذف یا ایجاد یک‬

Printer or Folder or File : object ‫ منظور از‬
>Windows Settings
>Security Settings
>Local Policies
>Audit Policy
Audit object access
Double Click
 Define these policy
 Success //.‫اگر کاربر توانست یک فایل ایجاد یا حذف نماید را گزارش بگیرد‬
o Failure //.‫اگر کاربر نتوانست یک فایل ایجاد یا حذف نماید را گزارش بگیرد‬
‫ ایی که میخواهیم‬Folder ‫بر روی‬

RC
Properties
Security Tab
Advanced
Auditing Tab
Add
Principal: Select a principal
Enter the object name to select (examples): Authenticated Users
Check Names
Ok
Type: Success
Applies to: This folder, subfolders and files
Show advanced permission
Clear all
 Delete subfolders and files
 Delete
Ok
Apply
Ok
in client side: gpupdate /force
-----------------------------------------------------------------------------------
Enter the object name to select (examples):
 Authenticated Users //‫شامل تمام کاربرها‬
 Server\Users //‫شام ل فقط کاربرهای محلی یا همان یوزرهای لوکال‬
 MFT\Users //‫شامل فقط کاربرهای دامنه یا همان یوزرهای دامینی‬
Type:
 All
 Fail
 Success
Applies to:
 This folder only
 This folder, subfolders and files //by default
 This folder and subfolders
 This folder and files
 Subfolders and files only
 Subfolders only
 Files only
‫ عمال کار نمی‬،‫ را انتخاب کرده باشیم‬Fail ،Type ‫ را انتخاب کرده باشیم و در‬Success ‫ گزینه ی‬،Audit Object Access ‫ اگر در‬: ‫نکته‬
: ‫کند یعنی به صورت یکی از حاالت زیر باشد‬
Audit object access

Double Click
 Success
o Failure
Type: Fail
OR
Audit object access

Double Click
o Success
 Failure
Type: Success
:‫تنها در حاالت زیر عمل می نماید‬
Audit object access Type
Success Success
Success All
Failure Fail
Failure All
Success & Failure All
Success & Failure All
.‫ یا وراثت می باشد‬inheritance ‫ نیز دارای خاصیت‬Audit : ‫نکته‬

‫ یکی دیگر از ویژگی های فایل‬Audit ‫ در واقع‬.FAT ‫ کار می کند نه بر روی‬NTFS ‫ گیری تنها بر روی فایل سیستم‬Log : ‫نکته‬
.‫ محسوب می گردد‬NTFS ‫سیستم‬
: server7 ‫ بر روی‬USB ‫ های‬Storage ‫ بستن فلش یا‬: ‫سناریو‬

Run
gpmc.msc
Ok
RC
New...
Name: USB-Storage
Ok
Class
RC
Link an existing GPO... //‫ را در بر گیرد‬7 ‫به جایی بایستی لینک شود که سرور‬
USB-Storage
Ok
Add
Object Types...
 Computers
Ok
Enter the object name to select (examples): Server7
Check Names
Ok
USB-Storage
RC
Edit
>Administrative Templates
>System
Removable Storage Access
Removable Disks: Deny read access
Double click
 Enabled
Apply
Ok
>System
Set time (in seconds) to force reboot
CD and DVD: Deny execute access
CD and DVD: Deny read access
CD and DVD: Deny write access
Custom Classes: Deny read access
Custom Classes: Deny write access
Floppy Drivers: Deny execute access
Floppy Drivers: Deny read access
Floppy Drivers: Deny write access
Removable Disks: Deny execute access
Removable Disks: Deny write access
All Removable Storage classes: Deny all access
All Removable Storage classes: Allow direct access in remote sessions
Tape Drivers: Deny execute access
Tape Drivers: Deny read access
Tape Drivers: Deny write access
WPD Devices: Deny read access
WPD Devices: Deny write access
...
.‫ می باشد‬external ‫ شامل فلش و هاردهای‬Disks ‫ منظور از‬: ‫نکته‬
: Removable Disks: Deny execute access
virus ‫ که بیشتر بحث‬portable ‫ های‬App ‫ ها و همچنین‬virus ‫ برای جلوگیری از اجرا شدن فایل های اجرایی مثل‬Policy ‫این‬
.‫آن مطرح است‬
‫ویروس ها فایل های اجرایی با پسوند ‪ .bat‬یا ‪ .exe‬هستند که با وصل کردن فلش به پورت ‪ USB‬و ‪ Auto run‬نمودن آن‪ ،‬فایل‬
‫اجرایی مربوطه اجرا شده و ویروس پخش می گردد‪.‬‬
‫نکته ‪ :‬در نسخه های ‪ server‬قابلیت ‪ Auto run‬به دلیل امنیت بسته است و به هیچ عنوان نمی توان آن را فعال نمود‪ .‬این قابلیت‬
‫مخصوص نسخه های ‪ client‬می باشد‪.‬‬
‫‪: Removable Disks: Deny read access‬‬
‫این ‪ Policy‬برای جلوگیری از اجرا شدن خود فلش می باشد‪.‬‬
‫‪: Removable Disks: Deny write access‬‬
‫این ‪ Policy‬برای جلوگیری از انتقال فایل ها از کامپیوتر بر روی فلش می باشد‪ .‬توجه شود بر عکس آن یعنی انتقال فایل از فلش‬
‫به کامپیوتر امکان پذیر است‪.‬‬
‫‪: All Removable Storage classes: Deny all access‬‬

‫شامل تمام ‪ storage‬های ‪ Flash : removable‬و ‪ Hard External‬و ‪ Floppy External‬و ‪ CD or DVD External‬و‬
‫‪ Tape‬و‪...‬‬
‫‪: Tape Drivers‬‬
‫‪ ‬کاربرد ‪Data Center Enviroments :‬‬
‫‪ : Backup Solution ‬بیشتر برای ‪ Archive‬و ‪ Backup‬گرفتن استفاده می شود و آن را نمی توان به عنوان هارد ‪pc‬‬
‫ها استفاده نمود زیرا که دسترسی آن به اطالعات (‪ )data‬به صورت ‪ Sequential Access‬می باشد‪.‬‬
‫‪ ‬تکنولوژی آن مختص ‪ HP‬است اما برندهای دیگری نیز وجود دارند‪.‬‬
‫‪ ‬مانند ‪LTO5 Ultrium 3TB RW :‬‬
‫‪: WPD Devices‬‬

‫شامل ‪ media‬هایی نظیر ‪ mobile‬و ‪ MP3 Players‬و‪...‬‬
‫‪: Set time (in seconds) to force reboot‬‬

‫بعضی از ‪ device‬ها پس از آن که به پورت ‪ USB‬متصل شدند بایستی ‪ Reset‬شود تا عمل کنند‪ .‬مانند ‪ music players‬و‬
‫‪ Tape Drivers‬ها‪( .‬مختص ‪ device‬هایی است که نصب و شناسایی آن ها نیازمند به ‪ Reset‬است)‪ .‬در این ‪ policy‬می توان‬
‫‪ time‬داد که پس از این ‪ time‬عمل ‪ Reset‬انجام شود‪.‬‬
‫‪: Custom Classes: Deny read access‬‬

‫بعضی از ‪ storage‬ها یک شناسه منحصر به فرد (‪ )ID‬دارند که بایستی ‪ ID‬آن ها را در قسمت ‪ Show‬وارد نمود‪:‬‬
،Remote ‫ مربوطه را از طریق‬PC ‫ به صورت پیش فرض نمی توانیم‬،‫ می زنیم‬Remote Desktop ،PC ‫ هنگامی که به یک‬: ‫نکته‬
:‫ است و می توان آن را تغییر داد که اصال پیشنهاد نمی شود‬Policy ‫ کنیم که یک‬shutdown ‫خاموش یا‬
>Windows Settings
>Security Settings
>Local Policies
>User Rights Assignment
Force shutdown from a remote system
Double click
Add User or Group...
Enter the object name to select (examples): Server\Users
Check Names
Ok
Apply
Ok
: ‫ نماید‬Logon ‫ از هر جایی که‬user1 ‫ بر روی‬USB ‫ های‬Storage ‫ بستن فلش یا‬: ‫سناریو‬
Run
gpmc.msc
Ok
RC
New...
Name: denyFlashForUser1
Ok
mft.local //‫یا بر روی کل دامین‬
RC
denyFlashForUser1
Ok
Add
Object Types...
 Users
Ok
Enter the object name to select (examples): MFT\User1
Check Names
Ok
denyFlashForUser1
RC
Edit
>System
Double click
 Enabled
Apply
Ok
Remote Desktop ‫ توانایی‬Remote Desktop Users ‫ و‬Administrators ‫ به صورت پیش فرض تنها اعضای گروه‬: ‫نکته‬
:‫ راه وجود دارد‬2 ‫ این توانایی را بدهیم‬User1 ‫ مثال‬Domain Users ‫ اگر بخواهیم به یک‬.‫را دارند‬
: ‫ شامل‬Administrators ‫گروه‬
Local Admins 
Domain Admins 
Enterprise Admins 
1. Default Domain Policy
RC
Edit
>Windows Settings
>Security Settings
>Local Policies
>User Rights Assignment
Allow log on through Remote Desktop Services
Double click
Add User or Group...
Check Names
Ok
Apply
Ok
Default Domain ‫) زد چون آن را در‬Remote( ‫ ریموت‬User1 ‫ با‬Domain ‫با این کار می توان به تمام کامپیوتر های‬
.‫ تنظیم کردیم که ریسک امنیتی دارد‬Policy
2. Computer Management (Local)
>System Tools
>Local Users and Groups
Groups
Remote Desktop Users
Double click
Add
Check Names
Ok
Apply
Ok
Domain ‫ که یک کاربر معمولی در‬User1 ‫ در این حالت‬.‫ گویند‬Domain Users add to Local Groups ‫به این کار اصطالحا‬
.‫ های دیگر همان کاربر عادی محسوب می گردد‬PC ‫ کردیم که در‬PC ‫ یک‬Local Admin ‫می باشد را‬
OR
Computer Management (Local)
>System Tools
>Local Users and Groups
Groups
Administrators
Double click
Add
Check Names
Ok
Apply
Ok
.‫ نمود‬Local ‫) را می توان عضو گروه های‬Domain Users( ‫ ایی‬domain ‫ های‬user : ‫نکته‬
‫ در این صورت‬.‫ در آورد‬.bat ‫ ها را به صورت یک فایل اجرایی با پسوند‬client ‫ در سمت‬gpupdate /force ‫ می توان دستور‬: ‫نکته‬
.‫ اعمال گردند‬client ‫ ها کافی است که یکبار فایل را اجرا کنیم تا تغییرات در سمت‬Policy ‫با هر گونه تغییرات در‬
gpupdate.exe /force
Practice
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Shutdown: Allow system to be shut down without having to log on
Double click
 Enabled
Apply
Ok
Apply
Ok
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Interactive logon: Do not require CTRL+ALT+DEL
Double click
 Enabled
Apply
Ok
Apply
Ok
>Policies
>Windows Settings
>Security Settings
>Local Policies
>Security Options
Interactive logon: Message title for users attempting to log on
Double click
Enter the title: --------
Apply
Ok
Double click
Enter the text: --------
Apply
Ok
Apply
Ok
: Group Policy Results
.‫ ها قرار گرفته است‬Policy ‫ تحت تاثیر کدام‬Computer7 ‫ می دهد به عنوان مثال‬User ‫ یا‬Computer ‫ یک برآیند نهایی از‬
.‫ به بعد اضافه شده است‬2012 ‫ این قابلیت از‬
.‫ به طور جداگانه انجام شود‬wizard ‫ بایستی‬User ‫ یا‬Computer ‫ برای هر‬: ‫نکته‬
.‫ برآیند گیری آن مدتی طول می کشد اما خروجی آن جالب است‬: ‫نکته‬
Group Policy Results
RC
Group Policy Wizard...
Next
Computer Selection:
o this computer
 Another computer
Browse
Next
User Selection:
 Display policy setting for:
o current user
 select a specific user:
Next
Summary of Selections: (Next)
Finish
‫ مربوطه تاثیر گذار‬user ‫ یا‬computer ‫ ای که در رقابت برنده است و بر روی‬Policy ‫ آن‬،‫ ها با یکدیگر‬Policy ‫ در رقابت‬: ‫نکته‬
.‫ مشخص کرده است‬Wining GPO ‫است را با نام‬
: ‫ کنسول باال‬command : ‫نکته‬
C:\> GPRESULT /?
Examples:
GPRESULT /R
GPRESULT /H GPReport.html
GPRESULT /USER targetusername /V
GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z
GPRESULT /S system /U username /P password /SCOPE USER /V
C:\> GPRESULT /R //‫خالصه تر نمایش می دهد‬

.‫ولی در کل بیشتر با کنسول آن کار می کنند‬
: Sites
‫ باشند به عبارتی‬Site ‫ در یک‬Domain ‫ نمود با فرض اینکه هر دو‬Link ‫ متفاوت‬Domain ‫ را بر روی دو تا‬GPO ‫می توان یک‬
.‫ نمود که خیلی مرسوم نیست‬Apply ‫ ها‬Site ‫ ها را بر روی‬GPO ‫دیگر می توان‬
: Prefrenced ‫قابلیت‬
.‫ قابلیتی کامال جدید و یک کنسول کاربردی است‬
>Policies
>Prefrenced
>Windows Settings
Environment
Files
Folders //‫می توان یک فولدر بر روی تمام کامپیوترها ایجاد یا حذف نمود‬
Ini Files
Registry
Network Shares
Shortcuts
>Control Panel Settings
Data Sources
Devices
Folder Options
Local Users and Groups
Network Options
Power Options
Printers
Scheduled Tasks
Services
Turn ،Policy ‫ های تحت تاثیر این‬computer ‫ تنظیم نمود که تمام‬،Power Options ‫به عنوان مثال می توان در قسمت‬
.‫ باشد‬10 minutes ‫ آن ها بعد از‬off the display
: Multi Domain
Domain Trust
mft.local
IT.mft.local ------------------------------- RS.mft.local ----------------------------- Apche.mft.local
.
.
.
Sales.IT.mft.local
‫ از لحاظ مدیریتی کامال مستقل و جدای از یکدیگرند و تنها از نظر اسمی به‬Sales.mft.local ‫ و‬IT.mft.local ‫ و‬mft.local
.‫هم پیوسته اند‬
if A ----Trust----> B then B ---Access---> A
A <------------> B Trust & Access (Two way trust)
Server Manager
Tools
Active Directory Domains and Trusts
>mft.local
>IT.mft.local
RC
Properties
Transitive Trust >= ‫ غیر مستقیم‬Trust

A ------------> B ------------> C
A ------------> C
Automatic two way Transitive Trust
‫ را ایجاد کنند‬Domain ‫ می توانند دومین‬Enterpise Admins ‫ تنها اعضای گروه‬: ‫نکته‬

Tree-Root
mft.local ---------------- mit.local // The first part (mft & mit) should not be the same
Child
IT.mft.local
.‫ پهنای باند است‬،GC ‫ مالک انتخاب‬: ‫یادآوری‬

‫ به طور کلی‬.‫ باشد‬IT.mft.local ‫ مربوط به دامین‬DC ‫ باشد و هم‬mft.local ‫ نمی تواند هم عضو دامین‬computer ‫ یک‬: ‫نکته‬
.‫ باشد‬Domain ‫ نمی تواند عضو دو تا‬computer ‫یک‬
Run
dsa.msc
Ok
Active Directory Users and Groups
RC
Change domain...
>IT.mft.local
>Builtin
Computers
>Domain Controllers
.‫ نمود‬Logon ‫ می توان‬Forest ‫ از هر جا به همه جا در کل‬: ‫نکته‬
‫@ قرار داد یعنی دیگر‬mft.local ‫ را مثال‬forest ‫ های‬domain ‫ تمام‬UPN ‫ به منظور راحتی می توان‬: ‫نکته‬
،mft.local ‫ بزنیم منتها باید دقت شود که در دامین‬itu2@mft.local ‫ بلکه به جای آن‬،‫ وارد نکنیم‬itu2@it.mft.local
.‫ نمی توان داشت‬itu2 ‫دیگر کاربری به نام‬
.‫ باشد‬unique ‫@) بایستی‬it.mft.local( UPN ‫ می تواند منحصر به فرد نباشد ولی‬username
Run
dsa.msc
Ok
Active Directory Users and Groups
RC
Change domain...
>IT.mft.local
>Builtin
Computers
RC
Properties
Account Tab
: Multi Domains ‫ در‬Name Resulotion ‫بحث‬

.‫ می باشد‬it.mft.local ‫ در دامین‬client ‫ یک‬server7 ‫فرض کنید‬
.‫ می باشد‬mft.local ‫ در دامین‬client ‫ یک‬server2 ‫فرض کنید‬
in server7:
C:\>nslookup
Default Server: server7
Address: 10.1.1.7
C:\>exit
C:\>ping server2.mft.local
Forwarder ‫ دلیل؟‬.‫ گرفت‬ping ‫مشاهده می شود که می توان‬
DNS Console
>Server1
>mft.local
>Server7
>IT.mft.local
RC
Properties
Forwarders Tab
‫ تعریف‬IT.mft.local ِ zone ‫ برای‬Forwarder ‫ به طور خودکار به عنوان‬DNS server1 ‫ مربوط به‬IP ‫مشاهده می شود که‬
.‫گردیده است‬
‫ یا‬Parent ‫ ها به صورت خودکار‬child domain ‫ تمام‬Forwarder ،‫ ها به صورت درختی باشد‬Domain ‫ اگر ساختار‬: ‫قانون‬
‫ انجام می شود و اگر تعریف نشده باشد‬Auto ‫ درصد مواقع به طور‬72 ‫ ها تعریف می گردد البته در‬child ‫ آن‬Root Domain
.‫بایستی به صورت دستی تنظیم کنیم‬
{child to parent}
Child Domains DNS Servers Forward to Root Domain DNS Servers.
‫ به طور خودکار وجود ندارد بلکه بایستی‬Root Domain ‫ ها به‬child ِ Forwarder ‫ قابلیت تعریف شدن‬Server 2012 ‫در‬
.‫ درصد به طور خودکار انجام می گیرد‬72 ‫ به بعد در‬Server 2016 ‫ اما در‬.‫به صورت دستی تعریف گردد‬
‫ پاسخ آن به صورت‬،‫ بگیرد‬ping ‫ را‬mft.local ‫ در دامین‬server2 ،IT.mft.local ‫ در دامین‬server7 ‫اکنون اگر‬

‫ مربوط به رکوردهای‬TTL ‫ می کند با‬cache ‫ برای خودش‬server7 ‫ خواهد بود و پس از آن نیز‬Non-authoritative answer
.20 minutes ‫ یعنی‬Dynamic Update
in server7:
:‫برعکس سناریو باال‬

in server7:
Zone Delegation ‫ دلیل؟‬.‫ گرفت‬ping ‫مشاهده می شود که می توان‬
DNS Console
>Server1
>mft.local
...
>IT //(in the form zone delegate)
>Server7
>IT.mft.local
‫ به صورت‬child domain ‫ مربوط به‬Forward Lookup Zone ،‫ ها به صورت درختی باشد‬Domain ‫ اگر ساختار‬: ‫قانون‬
‫ انجام می شود و اگر‬Auto ‫ درصد مواقع به طور‬72 ‫ تعریف می گردد البته در‬Parent ‫ در‬Zone Delegate ‫خودکار به عنوان‬
.‫تعریف نشده باشد بایستی به صورت دستی تنظیم کنیم‬
{parent to child}
Zone Delegation (for Child) Created in Parent Domain
‫ پاسخ آن به صورت‬،‫ بگیرد‬ping ‫ را‬IT.mft.local ‫ در دامین‬server5 ،mft.local‫ در دامین‬server1 ‫اکنون اگر‬

.‫ می کند‬cache ‫ برای خودش‬server1 ‫ خواهد بود و پس از آن نیز‬Non-authoritative answer
in server1:
: ‫ باشند‬Forest ‫ ها به صورت زیر در یک‬Domain ‫پس اگر‬

mft.local
IT.mft.local Sales.mft.local WEB.mft.local
)Root Domain( DNS Server mft.local ‫ می شود‬WEB ‫ و‬Sales ‫ و‬IT ‫ تمام دامین های‬Forwarder
.‫ تعریف می کند‬WEB ‫ و‬Sales ‫ و‬IT ‫ برای دامین های‬Zone Delegation ‫ تا‬3 ‫ نیز‬mft.local
: ‫ یعنی به صورت‬،‫ باشد‬Tree-Root ‫حال اگر ساختار به صورت‬
Tree-Root
mft.local ------------------------------- mit.local
‫ یک‬mit.local ‫ و نیز در دامین‬mit.local ‫ برای دامین‬Conditional Forwarder ‫ بایستی یک‬mft.local ‫ در دامین‬: ‫قانون‬
‫ دقت شود که این عمل هرگز به طور خودکار انجام نمی شود و بایستی‬.‫ تعریف گردد‬mft.local ‫ برای‬Conditional Forwarder
.‫ بگیرند‬ping ‫ نمی توانند یکدیگر را‬Tree-Root ‫ یعنی به طور پیش فرض دو دامین در‬.‫به صورت دستی تنظیم کنیم‬
{Tree-Root}
Create Conditional Forwarder for each other domain
: ‫ حالت بیشتر نداریم‬3 ‫در نهایت‬

Forwarder .1
Zone Delegation .2
Conditional Forwarder .3
: ‫قانون کلی‬
Conditional
------------------------------
Forwarder
------------------------------
Zone Delegation
: ‫ بگیریم‬ping ‫ را‬server5 ، server1 ‫ اگر در‬: ‫نکته‬
in server1:
C:\>ping server5.mft.local //‫دردسر تایپ‬
.‫ می دهد‬Success ‫طبق چیزی که گفته شد‬
‫اما اگر به صورت زیر وارد کنیم چی؟‬
C:\>ping server5
Suffix ‫ دلیل؟‬.‫ گرفت‬ping ‫مشاهده می شود که در این حالت نمی توان‬
: ‫ بوده است‬Broadcast ‫ داد از طریق‬ping ‫ گرفت و اگر هم‬ping ‫گفتیم که در این حالت نمی توان‬
:NetBIOS ‫ مربوط به‬cache ‫دستور مشاهده‬
C:\>nbtstat –c
:NetBIOS ‫نحوه ی از کار انداختن‬
Run
ncpa.cpl
Ok
Ethernet
RC
Properties
 Internet Protocol Version 4 (TCP/IPv4)
Advanced
WINS Tab
 Disable NetBIOS over TCP/IP
Ok
Ok
Ok
Restart the computer //In most cases, it is necessary
:NetBIOS ‫ مربوط به‬cache ‫دستور حذف‬
C:\>nbtstat –r
:‫ را تعریف نمود‬IT.mft.local ‫ مربوط به دامین‬suffix ،mft.local ‫ گرفت بایستی در دامین‬ping ‫ را‬server5 ‫برای اینکه بتوان‬
Run
ncpa.cpl
Ok
Ethernet
RC
Properties
 Internet Protocol Version 4 (TCP/IPv4)
Advanced
DNS Tab
DNS suffix for this connection: IT.mft.local
OR
Append these DNS suffixes (in order):
Add
Domain suffix: mft.local
Ok
Add
Domain suffix: IT.mft.local
Ok
Add
Domain suffix: ...
Ok
Ok
Ok
Ok
: ‫ ها‬suffix ‫ انواع‬: ‫یادآوری‬
Primary Suffix .1
Connection Suffix .2
.‫ معموال پیشنهاد نمی شود و زیاد مرسوم نیست‬child ‫ بیشتر از یک‬: ‫نکته‬
: Active Directory Partitions
: Active Directoty ‫ مسیر دیتا بیس‬: ‫یادآوری‬
C:\Windows\NTDS\ntds.dit
‫این فایل که دیتا بیس ‪ AD‬است از چندین بخش مختلف تشکیل می شود‪ ،‬به عنوان مثال یک سری از بخش های آن با کل ‪Forest‬‬
‫مشترک است و یک سری مربوط به خود ‪ Domain‬می باشد‪.‬‬
‫دیتا بیس ‪ Active Directory‬شامل چهار ‪ Partition‬می باشد ‪:‬‬
‫‪1. Schema Partition‬‬

‫‪ stored in all DCs of the forest‬‬
‫‪ one per forest‬‬
‫‪ Active Directory schema‬‬
‫‪ it is replicated to all DCs in a forest‬‬
‫‪ : Schema‬ساختاری است که ‪ Object‬های ‪ Active Directory‬بر اساس آن ایجاد می شوند‪.‬‬

‫‪ Schema‬خود دو بخش دارد ‪:‬‬
‫‪Schema‬‬
‫‪Attribute‬‬
‫‪Classes‬‬
‫‪ : Class‬همان ‪ Object‬های کلی مثل ‪ User‬و ‪ Group‬و‪ ...‬هستند‬
‫‪ : Attribute‬ایجاد هر ‪ Object‬مثل ‪ User‬و ‪ Group‬و‪ ...‬دارای ساختار مشخصی است به عنوان مثال در ساخت یک ‪ User‬جدید‪،‬‬
‫‪ Attribute‬های ‪ Address‬و ‪ Email‬و ‪ username‬و ‪ UPN‬و‪ ...‬را وجود دارند اما ‪ Attribute‬ای به نام کد ملی یا نام پدر‬
‫وجود ندارد که می توان اضافه کرد‪ .‬کالس ‪ User‬در واقع تجمیع چندین ‪ Attributes‬است‪.‬‬
‫نکته ‪ :‬هیچ ‪ Class‬ایی به اندازه ی ‪ Attributes ،User‬ندارد و در مقابل ‪ OU‬کمترین ‪ Attributes‬را دارد‪.‬‬
‫نکته ‪ :‬قابلیت جالب ‪ schema‬این است که می توان آن را ‪ Edit‬نمود منتها زبان برنامه نویسی آن ‪ C‬می باشد یعنی می توان صفت‬
‫کد ملی را به عنوان یک ‪ Attribute‬جدید برای کالس ‪ User‬اضافه کرد‪.‬‬
‫‪: schema‬‬
‫‪ ‬بین تمام ‪ DC‬های کل ‪ Forest‬مشترک است‪.‬‬
‫‪ ‬در هر ‪ Forest‬یک ‪ Schema Partition‬بیشتر نیست‪.‬‬
‫‪ ‬اگر یک ‪ Schema ،DC‬نداشته باشد‪ ،‬هیچ ‪ Object‬ایی نمی تواند بسازد‪.‬‬
‫‪ Schema ‬بین تمام ‪ DC‬های کل ‪ Replicate ،Forest‬می شود‪.‬‬
‫نکته ‪ :‬هر ‪ Domain‬ایی برای خود فایل ‪ ntds.dit‬جداگانه دارد یعنی ‪ mft.local‬برای خودش یک فایل ‪ ntds.dit‬و‬
‫‪ IT.mft.local‬نیز یک فایل ‪ ntds.dit‬جدا دارد که بخش ‪ Schema‬این فایل بین تمام ‪ DC‬های کل ‪ Forest‬یکسان و منحصر‬
‫به فرد بوده و تنها با همان ‪ DC‬ها‪ Replicate ،‬می شود‪.‬‬
‫فرض شود ‪ server1‬در دامین ‪ mft.local‬و ‪ server7‬در دامین ‪ IT.mft.local‬می باشند‪ .‬اگر ‪ server1‬یک ‪ Attribute‬جدید‬
‫برای کالس ‪ Group‬ایجاد کند ‪ Replication‬آن با تمام ‪ DC‬های ‪ Domain‬های کل ‪ Forest‬انجام می گیرد‪.‬‬
‫نکته ‪ :‬به صورت پیش فرض کنسول ‪ schema‬نصب نمی باشد ‪:‬‬
Run
mmc
Ok
File Tab
Add/Remove Snap-in...
ActiveX Control
ADSI Edit
...
.‫همان طور که مشاهده می شود کنسول آن به صورت پیش فرض وجود ندارد‬
Install Schema:
:‫ شود‬register ‫ است که بایستی‬.dll ‫یک فایل‬
Run
cmd
Ok
C:\>regsvr32 schmmgmt.dll
Then
Run
mmc
Ok
File Tab
Add/Remove Snap-in...
Active Directory Schema
ActiveX Control
ADSI Edit
...
Active Directory Schema

Double click
>Classes
>Attributes
2. Configuration Partition
 logical structure
 stored in all DCs of the forest
 one per forest
 Active Directory sites and services
‫‪ it is replicated to all DCs in a forest‬‬
‫تمام بخش هایی که در کنسول ‪ Active Directory sites and services‬تعریف شد نظیر ‪ Site‬و ‪ Subnet‬و ‪ Cost‬و‬
‫‪ Replication time‬و ‪ ...‬تمامی اینها در بخش ‪ Configuration Partition‬می روند‪.‬‬
‫اگر یک ‪ Site‬تعریف شود بین تمام ‪ DC‬های کل ‪ Replicate ،Forest‬می گردد و زمان ‪ Replication‬آن نیز همان زمان هایی‬
‫است که قبال گفته شد‪.‬‬
‫یادآوری ‪ :‬انواع ‪: Replication‬‬
‫‪ : Inter-Site Replication .4‬زمان به صورت پیش فرض به ازای هر ‪ 3‬ساعت بود‪.‬‬
‫‪ : Intra-Site Replication .5‬زمان بین ‪ 1‬ثانیه تا ‪ 5‬دقیقه بود‪.‬‬
‫‪6. Domain Partition‬‬
‫‪ one per each domain‬‬
‫‪ contain users,groups,ou,...‬‬
‫‪ Active Directory users and computers‬‬
‫‪ it is replicated to all DCs in a given domain‬‬
‫بخش دیگر دیتا بیس ‪ Domain Partition‬نام دارد که به تعداد ‪ Domain‬ها این بخش را داریم و برای هر ‪ Domain‬متفاوت‬
‫می باشد‪ .‬در واقع بیشترین حجم دیتا بیس را بخش ‪ Domian Partition‬دارد‪.‬‬
‫فرض شود ‪ server1‬در دامین ‪ mft.local‬و ‪ server7‬در دامین ‪ IT.mft.local‬می باشند‪ .‬اگر ‪ server1‬یک ‪ User‬جدید در‬
‫دامین ‪ mft.local‬ایجاد کند ‪ Replication‬آن تنها با ‪ DC‬های دامین ‪ mft.local‬انجام می گیرد و با هیچ کدام از ‪ DC‬های‬
‫‪ Domain‬های ‪ Forest‬کاری ندارد‪.‬‬
‫‪7. Application Partition‬‬
‫‪ DNS in ADI zones‬‬
‫این بخش طراحی شده است برای سرویس ها و برنامه ها که به صورت پیش فرض تنها ‪ DNS‬از این ‪ Partition‬استفاده می نماید‪.‬‬
‫به عنوان مثال اگر برنامه ‪ Microsoft Exchange‬نصب شود‪ ،‬از این بخش استفاده می کند‪.‬‬
‫یادآوری ‪ :‬همان طور که قبال گفته شد در ‪ ،ADI Zone‬تب های ‪ Zone Transfer‬و ‪ SOA‬عمال بی معنی است و با تغییر در‬
‫این تب ها هیچ گونه اتفاقی رخ نمی دهد‪.‬‬
‫یادآوری ‪:‬‬
‫)‪Zone Transfer --------> For (Standard & Secondary Zones‬‬

‫)‪Zone Replication --------> For (ADI Zone‬‬
‫نکته مهم ‪ Replication :‬بخش ‪ Application Partition‬به چه صورت است؟ رفتار ‪ Replication‬آن دست خودمان است و‬
‫زمان ‪ Replicate‬وابسته به ‪ Active Directory‬می باشد بدین معنا که اگر یک ‪ A‬رکورد در ‪ Site‬تهران ایجاد شود تا ‪ 3‬ساعت‬
‫طول می کشد تا در ‪ Site‬اصفهان اضافه گردد‪.‬‬
‫‪DNS Console‬‬
>mft.local
RC
Properties
General Tab
Replication: ..... //‫ فعال می باشد‬ADI ‫تنها برای زون های‬
Change
o To all DNS server running on domain controllers in this forest: mft.local
 To all DNS server running on domain controllers in this domian:
mft.local
o To all domain controllers in this domain(for windows 2000
compatibility): mft.local
o To all domain controllers in the scope of this directory partition:
.‫ رفتار می کند‬Domain Partition ‫ آن همان حالت دوم است یعنی مانند‬Replication ‫پیش فرض‬
.‫ ندارد‬Active Directory ‫ هیچ گونه وابستگی به‬DNS ‫ است در حالی که‬DNS ‫ وابسته به‬Active Directory : ‫نکته‬
: Operation Masters
Forest ‫ های‬DC ‫ یک بخش مشترک بین تمام‬schema ‫ می آید و‬schema ‫ از‬...‫ و‬User ‫همان طور که گفته شد الگوی ساخت‬
‫ ها فقط قدرت‬DC ‫ را داشته و بقیه ی‬schema ِ write ‫ قدرت تغییر یا‬DC ‫ تنها یک‬Forest ‫ های‬DC ‫ حال در بین تمام‬.‫است‬
.‫ دارد‬write ‫ قدرت‬Forest ‫ کل‬DC ‫ که به صورت پیش فرض تنها اولین‬.‫ آن را دارند‬Read
‫ به این نقش های منحصر به فرد‬.‫) توانایی تغیی ر آن ها را دارد‬single( ‫پس به طور کلی یکسری نقش هایی است که فقط یک نفر‬
.‫ گویند‬Operation Masters

70-742 v2 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

70-742 v2 PDF

Uploaded by

Copyright:

Available Formats

Identity with

Windows Server 2016

Master Sepehr Kaviany

Tehran Technical Complex

1. Active NIC : ‫فعال بودن کارت شبکه‬

: Active Directory Domain Services ِ Role ‫نصب‬

NTP (Net Time Protocol)

.‫ می باشد‬Machine Account ‫ بوده که وابسته به مفهوم‬LDAP ‫ پروتکل احراز هویت‬Kerberos : ‫نکته‬

: ‫ داریم‬Authentication ‫ فاز‬2 ‫به طور کلی‬

‫ دستور مشاهده سرویس ها‬:

Active Directory Users and Computers

: OU ‫ اهداف ایجاد‬: ‫یادآوری‬

.‫ گویند‬DN ، Active Directory ‫ به فرمت آدرس دهی در‬: ‫یادآوری‬

: command ‫ با‬OU ‫ایجاد یک‬

C:\>dsadd user “cn=user2,ou=class,dc=mft,dc=local” –pwd 12345q@

.Users ‫ مانند‬،‫ می گیرند‬SID ‫ هایی هستند که‬Object : Security Objects 

‫ایجاد یک ‪ user‬جدید با استفاده از ‪: command‬‬ ‫‪‬‬

‫@‪C:\>dsmod user “cn=u4,ou=class,dc=mft,dc=local” –pwd 12345q‬‬

‫>‪C:\>dsadd user <UserDN‬‬ ‫ایجاد یک ‪ user‬جدید‬

‫یادآوری ‪ :‬هر ‪ User‬در ‪ 3 ،Active Directory‬تا ‪ name‬دارد‪:‬‬

C:\>dsget user <UserDN> ]Parameter[ : ‫استخراج مشخصات با استفاده از فرمان‬

Ex: C:\>dsget user “cn=u5,ou=class,dc=mft,dc=local” –disable

C:\>dsmove <SourceDN> -newparent <DestinationDN> : ‫ ها با استفاده از فرمان‬Object ‫انتقال‬

: Active Directory ‫ در کنسول‬Display Name ‫تغییر‬

C:\>dsrm <DN> : ‫ ها با استفاده از فرمان‬Object ‫حذف‬

: mojtaba ‫حذف کاربر‬

C:\>dsquery user <UserDN> user ‫ یا جست و جوی‬Search

: Class ِ OU ‫ های‬user ‫نمایش تمامی‬

‫نمایش تمامی ‪ user‬هایی که با حرف ‪ M‬شروع می شوند در سطح کل ‪: Domain‬‬

‫نمایش تمامی ‪ user‬هایی که به ‪ 1‬ختم می شوند در سطح کل ‪: Domain‬‬

‫نمایش تمامی ‪ user‬های ‪ Disable‬در سطح کل ‪: Domain‬‬

‫نمایش تمامی ‪ user‬های ‪ Disable‬در سطح کل ‪ Domain‬و ‪ Enable‬نمودن آن ها ‪:‬‬

‫نکته مهم ‪ :‬حذف ‪ user‬های ‪ Disable‬مربوط به ‪: PC11‬‬

‫وارد نمودن ‪ User Account‬از طریق فایل ‪: CSV‬‬

c:\class\adds.csv : csv ‫آدرس ایجاد فایل‬

Active Directory ‫ در‬Computer Account ‫ساختن‬

:‫ گردد‬Additional DC Writable ، Server6 : ‫هدف‬

‫انواع ‪: ADDS Replication‬‬

: Active Directory Domain Services ِ Role ‫نصب‬

Post Deployment ADDS:

‫‪Site Tehran‬‬ ‫‪10.1.1.0/24‬‬

‫‪Active Directory Users and Computers‬‬

.‫ ها ندارند‬Writable ‫ ها دارند و‬RODC ‫ را تنها‬Password Replication Policy Tab ‫تب‬

Active Directory Sites and Services

.‫ می باشد‬Services ‫ و‬Sites ‫این کنسول برای مدیریت‬

Active Directory Sites and Services ]Server1.mft.local[

Active Directory Sites and Services ]Server1.mft.local[

Replication : ‫هدف دوم‬

Active Directory Sites and Services ]Server1.mft.local[

.30 minutes ‫که می توانیم این زمان را تغییر دهیم به مثال‬

Active Directory Sites and Services ]Server1.mft.local[

.‫ ندارد‬cost ‫ و‬time ‫ البته به صورت مجازی می شود که‬Site ‫ دو تا‬Bridge

‫‪ : BridgeHead Server‬به ‪ Server‬ایی گویند که مسول ‪ Inter-Site Replication‬می باشد‪.‬‬

‫[‪Active Directory Sites and Services ]Server1.mft.local‬‬

: ‫ دارد‬Replication ‫ دو مرحله‬GC : ‫نکته‬

)DL( Domain Local 

UN ---> stored in the Forest

: Forest ‫ در یک‬: ‫نکته‬

.‫ کنیم‬Cache ‫ ها را می توان‬Universal : ‫نکته‬

: )Universal Group Membersip Caching( UGMC

C:\>repadmin /syncall ‫ ها‬Partner ‫ با‬Replication ‫دستور‬

‫‪: Group Account‬‬

‫‪: Group Type‬‬