خانه  مقالات تخصصی  گروه ها در Active Directory

گروه ها در Active Directory

مقالات تخصصی
0

گروه ها در Active Directory

به دسته بندی User ها گروه گفته میشود. بهترین استفاده گروه ها در Active Directory هم برای زمانی است که شما  سطوح دسترسی را تعیین میکنید.

سه نوع گروه داریم. گروه های Built in ، Built in System و گروه هایی که خودمان میسازیم.

گروه های Built in گروه هایی هستند که عضویت در آن ها دستی انجام میشود و همچنین قابل پاک شدن نیستند. و همچنین به واسطه عضویت در این گروه ها یک سری Permission ها به صورت hard coded به User های آن اعمال میشود مثل گروه Administrators یا Guests.

گروه های Built in System کمی با گروه های Built in تفاوت دارد.  عضویت در گروه های Built in دستی بود ولی عضویت در گروه های Built in System به صورت اتوماتیک انجام میشود. با توجه به شرایط به صورت داینامیک User میتواند عضو یکی از این گروه های Built in System قرار بگیرد. 

حالا در AD یک سری گروه های Built in داریم که  وقتی Active Directory نصب میشود با آن نصب میشوند. مثل گروه Domain Admin که قبلا معرفی کردیم. هرکسی عضو گروه Domain Admin باشد ادمین دومین باشد. یا Enterprise Admin هم عضو گروه های Built in ئه AD به حساب می آید.

یک سری گروه ها هم ما میتوانیم بسازیم. این گروه ها با گروه هایی که در زمان Workgroup میساختیم متفاوت است. شما در workgroup  در lusrmgr.msc و new group میزدید. اما گروه ها در اکتیو دایرکتوری باید دوتا فیلد مهم در زمان ساخت،مشخص شده باشد. گروه ها در AD از دو جنبه تقسیم بندی میشوند. اول از نظر Scope و بعد از نظر Type تقسیم بندی میشوند. به این معنی که وقتی  یک گروه در AD درست میکنید باید Scope و Typeآن را مشخص کنید .

Type ئه Group میتواند Security باشد یا Distributed باشد.

1

برای مثال در شکل زیر در OU  یک گروه میسازیم:

2

3

Group Types

گروه هایی که Type شان Security است اصطلاحا Security Principal هستند. ما میتوانیم در گروه هایی که Type شان Security است تعیین سطوح دسترسی کنیم. اما گروه های Distribution قابلیت Security Principal بودن را ندارند. یعنی اگر شما یک گروهی را درست کردید که تایپ آن Distribution بود روی این گروه نمیتوانید Permission  ست کنید. 

Group Scope

Scope گروه ها میتواند سه حالت باشد:

4

آیا در Workgroup میتوانستیم یک گروه را عضو یک گروه دیگر کنیم؟ خیر. وقتی گروهی عضو  گروه دیگر شود به آن Group Nesting میگویند. در workgroup میتوانستیم فقط Built in System ها را عضو گروه هایی که خودمان ساختیم و یا عضو گروه های Built in کنیم. اما در AD ما Group nesting داریم. یعنی شما میتوانید گروه را عضو گروه کنید.

5

یک کاربر یا یک گروه از  یک دومین نیز میتوانند در یک گروه در دومین های دیگر عضو شوند.

حال Scope های مختلف را بررسی میکنیم:

 گروه Global

این گروه فقط اعضایی میتوانند عضوش شوند که در همان Domain هستند.  این گروه میتواند از دومین های دیگر Permission بگیرد. پس گروه global فقط از دومین خودش عضو میگیرد اما از کل (منابع موجود) دومین های Forest ، Permission قبول میکند. برای همین به آن Global میگویند.

گروه Domain Local

گروه Domain Local دقیقا عکس Global است. گروه Domian Local از کل Forest عضو قبول میکند اما نسبت به منابع موجود فقط در دومین خود Permission میگیرند. 

6

 

گروه Universal

از همه ی Forest عضو و Permission قبول میکند.

سوال اینجاست که اصلا چرا این تقسیم بندی ها انجام شده است؟

مایکروسافت برای اینکه در شبکه های خیلی بزرگ بتوانیم به راحتی مدیریت دسترسی کاربر ها را انجام دهیم  این سه مدل گروه را درست کرده و برای آن قانون نوشته.

 

 قانون AGDLP

7

همیشه Account ها را عضو گروه Global کنید (هیچوقت مستقیما به Global ها Permission ندهید) ، همیشه Global هات رو عضو گروه Domian Local کنید و Permission نهایی را همیشه به Domain Local بدهید (هرجا میخواهید دسترسی دهید به Domain Local دهید).

نکته ای که باید در این قانون رعایت شود این است که ما همیشه دسته بندی User ها را در گروه های Global انجام میدهیم و دسته بندی Resource ها را در گروه های Domian Local انجام میدهیم.

در شکل زیر گروه ها باید به File Server دسترسی داشته باشند. یک حالت این است که به تک تک Permission بدهیم و در این حالت باید کلی Permission تکراری انجام دهیم که هم سربار سیستم را زیاد میکند هم مشکلات درست میکند. اما در حالت دیگر میتوانیم یک گروه Domian Local درست کنیم و همه ی این گروه ها را عضو آن کنیم و یکبار به این گروه Domain Local ، Persmission دهیم.

8

قانون AGUP

9

این قانون میگوید Account ها عضو Global شوند ، Global عضو Universal شود و به Universal نیز Permission دهد.

10

این قانون برای زمانی است که Resource شما بیشتر از یک جا است. ما در این مثال چند پرینتر داریم که میخواهیم هرکسی عضو گروه HP Printers بود به Printer های دیگر Permission داشته باشد. اگر از قانون AGDLP استفاده کنیم مجبوریم سه تا Domain Local درست کنیم.اما به جای اینکار گروه HP Printers را به صورت Universal درست میکنیم.کربرها را از هرجای فارست که هستند یک بار عضو این گروه میکنیم و به این Universal یکبار به ازای هر پرینتر Permission میدهیم.

  • گروه های Domain Local و Universal گروه هایی هستند که اصولا Resource ها با آنها دسته بندی میشوند..
  • Global Groups گروه هایی بودند کهکاربر ها را در آن دسته بندی میکنیم. 

دو قانون AGDLP و AGUP هم برای به کار بردن این گروه ها است. توجه داشته باشید که معمولا قانون AGUP درForest ای که یک دومین دارد کاربردی ندارد و AGDLP کاربرد دارد فقط مگر اینکه چشم انداز داشته باشید که شبکه شما وسیع خواهد شد و دومین های دیگری را هم راه اندازی خواهید کرد.

Group Memberships

در اینجا میخواهیم ببینیم کدام گروه ها میتوانند membership همدیگر را قبول کنند.

آیا گروه Global عضو گروه Global میشود؟ نمیشود مگر اینکه هردو در یک دومین باشند. Global سمت چپ اگر بخواهد عضو Global سمت راست شود باید Permission های آن را به ارث ببرد. Global فقط از دومین خودش عضو میگیرد. ممکن است که در G سمت چپ عضوهایی باشند که در دومین G سمت راست نیستند پس نمیشود.

Global عضو Domain Local میشود زیرا  قانون AGDLP را داشتیم.

به همین ترتیب بقیه موارد را بررسی میکنیم. موارد مشخص شده یعنی میتوانند عضو شوند و باقی موارد نمیتوانند:

11

گروه ها در Active Directory نویسنده:مهندس محمد آجورلو

https://adminpro.ir/?p=5919
admin

    دیدگاه‌ها