مدیریت کامپیوتر ها

کامپیوتر ها هم آدم هستند. حداقل در اکتیو دایرکتوری هستند. کامپیوتر ها همانند کاربران دارای اکانت هستند. این اکانت ها مشابه اکانت های کاربران دارای Username و Password است. Password اکانت های کامپیوتر به صورت پیش فرض هر ۳۰ روز یک بار توسط خود ویندوز تعویض می شود. نکته عجیب آن است که گاهی کامپیوتر ها هم دچار فراموشی Password خود می شوند. مدیریت کامپیوتر ها، چه وسیله سخت افزاری و چه اکانت در AD DS جزء کار های روزمره ی تمام مدیران شبکه است. اضافه شدن کامپیوتر جدید، تغییر کامپیوتر دو کاربر و… مواردی هستند که ساعات کاری مدیران شبکه را پر می کنند.

پیش از آنکه یک user بتواند از طریق یک کامپیوتر به دامین logon کند باید آن کامپیوتر متعلق دامین باشد. (فعلا چنین تصور می کنیم) برای ملحق شدن یک کامپیوتر به دامین باید کامپیوتر دارای اکانتی باشد که دقیقا مشابه اکانت کاربران دارای SID منحصر به فرد خود است. آن اکانت باعث می شود تا کامپیوتر تعیین هویت گردد و مشخص گردد که آن کامپیوتر جزئی از شبکه است. زمانی که یک کامپیوتر عضو شبکه Domain می شود، وظیفه تعیین هویت کاربران را به دامین محول می کند. هرچند که با استفاده از SAM مثل سابق امکان Logon کردن به کامپیوتر local وجود دارد. به عبارت بهتر، یک ارتباط Trust بین هر کامپیوتر عضو دامین با دامینش وجود دارد که زمانی که کامپیوتر عضو دامین می شود ایجاد می شود. هر چند که رابطه Trust بیشتر بین دو دامین بحث می شود، اما این ارتباط نیز، از نوع ارتباط Trust است (مراجعه شود به تعریف ارتباط Trust).

Computer Container

پیش از شروع، لازم است جایی را بیابیم که اکانت های کامپیوتر در آن قرار گیرند. به طور پیش فرض در یک Container به نام Computers با آدرس (…,CN=Computers) قرار می گیرند. این Container یک OU نیست! بنابراین نمی توانید در آن یک OU بسازید یا یک Group Policy Object را به آن Link کنید. بنابراین اکیدا توصیه می شود از OU ها برای مدیریت کامپیوتر ها استفاده کنید. اغلب از حداقل دو OU مختلف استفاده می شود. یک OU برای Server ها و دیگری برای کامپیوتر های کلاینت. البته با توجه به معماری شبکه اگر لایه دسترسی از راه دور وجود داشته باشد، در نظر گرفتن یک OU دیگر کاملا دید صحیحی است. از لحاظ تکنیکال اکانت هایی که در این دو OU قرار می گیرند، مشابه هم هستند اما از لحاظ مدیریتی می توان مدیریت بهتری انجام داد.گاهی اوقات، OU ها را بر اساس ساختار سازمانی می سازند و اکانت های کامپیوتر را در آن همان OU ها قرار می دهند. این روش هم روش صحیحی می تواند باشد. همچنین به عنوان مثال ایجاد دو OU به نام های Desktops و Laptops در OU مربوط به Cleints می تواند ایده ی خوبی باشد. در این خصوص در آینده در مباحث طراحی اکتیو دایرکتوری بحث می شود.

به صورت پیش فرض کاربران عضو گروه های Enterprise Admins، Domain Admins ، Administrators ، Account Operators می توانند اکانت های کامپیوتر را در هر OU بسازند. همانطور که پیش تر گفته شد، اکیدا توصیه می شود اعضای سه گروه اول را کاملا محدود کنید و Administrators را در گروه Account Operators اضافه نکنید. برای آنکه کاربرانی بتوانند اکانت کامپیوتر بسازند در OU مورد نظر از روش Delegation استفاده کنید. مسئله قابل توجهی که در اینجا صورت می گیرد این است که ویندوز مدیران شبکه را مجبور نمی کند از بهترین روش ملحق کردن کامپیوتر ها به دامین استفاده کنند. بهترین روش آن است که ابتدا یک اکانت کامپیوتر ساخته شود و سپس کامپیوتر ملحق شود. در این صورت کامپیوتر به جای ساختن یک اکانت در زمان ملحق شدن از آن اکانت ساخته شده استفاده می کند. حال اگر قبل از ملحق شدن، یک اکانت برای کامپیوتر نساخته باشیم، به صورت خودکار یک اکانت در Container مربوط به Computers اضافه می شود زیرا به صورت پیش فرض ویندوز اکانت ها را در آن Container می سازد. مسئله ی ایجاد شده آن است که تا زمانی که کامپیوتر ملحق شده به دامین را به OU مناسب منتقل نکرده باشیم، Group Policy اعمال شده در آن، به آن کامپیوتر اعمال نمی شود. بهترین راه حل آن است که Container ای که به صورت پیش فرض اکانت های کامپیوتر در آن ساخته می شود را تغییر دهیم. برای این منظور از دستور زیر استفاده می کنیم:

redircmp “DN مربوط به OU مورد نظر”

راه حل نا مناسبی هم وجود دارد که Default Domain Policy را ویرایش کرده و به نحو مورد نظر در آورد. به هر صورت استقاده از روش ساختن کامپیوتر اکانت ها پیش از ملحق شدن به مزایای بسیاری دارد که اغلب مدیران شبکه فقط از این روش استفاده می کنند. به عنوان مثال در Windows Deployment Services می توان تعیین کرد که تنها به کلاینت های prestaged شده پاسخ گو باشد.

محدود کردن توانایی کاربران در ساخت کامپیوتر

این موضوع برای امنیت شبکه امر بسیار مهمی به شمار می رود. این نکته توسط برخی مدیران شبکه نادیده گرفته می شود و امنیت شبکه را به مخاطره می اندازد. به صورت پیش فرض هر کاربر در اکتیو دایرکتوری می تواند ۱۰ اکانت کامپیوتر بسازد. البته در خصوص کاربران گروه Domain Admins و گروه های با دسترسی بالاتر، این محدودیت وجود ندارد. این امر در ساده سازی فعالیت های مدیریتی مزایایی را دارد اما با این حال در برخی از طراحی های امنیتی لازم است تا کاربران نتوانند کامپیوتری را عضو دامین کنند. محدودیت ۱۰ کاربر می تواند از طریق ویرایشگر ADSI تغییر کند. برای این منظور لازم است تا ms-DS-MachineAccountQuota را تغییر دهید. برای اینکه کاربران نتوانند کامپیوتری را به دامین ملحق کنند، مقدرا ۰ را وارد کنید. راه حل مناسب دیگر تغییر User Rights Assignment در Group Policy است. به صورت پیش فرض در سیاست Add workstations to domain گروه Auhtenticated Users قرار دارد. در اینجا می توانند کاربران و گروه هایی که می خواهید توانایی انجام این کار را داشته باشند معین می کنید. البته تغییر این سیاست با توجه به ویرایشی که مقدار ms-DS-MachineAccountQuota انجام شد لزومی ندارد. با انجام این ویرایش می توان اطمینان داشت تنها کاربرانی که به آن ها Delegate شده می توانند کامپیوتری را به دامین ملحق کنند.

ملحق شدن به دامین

تنها Local Administrators به صورت پیش فرض می توانند در عضویت کامپیوتر تغییری ایجاد کنند. در System Properites در زبانه ی Computer Name دکمه Change را زده و Radio Buttom را در حالت Domain قرار داده و نام دامین مورد نظر را وارد می کنیم. توجه داشته باشید برای این منظور باید در DNS مشکلی وجود نداشته باشد. با استفاده از دستور netdom می توان نیز یک کامپیوتر را عضو یک دامین کرد.

netdom join <Computer> {/d: | /domain:}<Domain> [/ou:<OUPath>] [{/ud: | /userd:}[<Domain>]<User> [{/pd: | /passwordd:}{<Password>|*}]] [{/uo: | /usero}<User> [{/po: | /passwordo}{<Password>|*}] [/reboot[:,Delay>]] [/help | /?]

برای استفاده از روش فوق لازم است دامین کنترلر Online باشد. در ویندوز سرور ۲۰۰۸ R2 و ویندوز ۷ این امکان وجود دارد که در صورت offilne بودن، عملیات join شدن به دامین صورت گیرد.همچنین مکانیسم دیگری وجود دارد تا از طریق Read-Only Domain Controller ها به دامین ملحق شد. جهت اتوماتیک کردن فرآیند ساخت کامپیوتر اکانت ها می توان از روش های متداول همانند CSVDE و LDIFDE و دستوارت PowerShell و دستور DsAdd و حتی VBScritp استفاده کرد که تمام این موارد در آینده بررسی می شوند.

9 دیدگاه در مدیریت کامپیوتر ها

  1. سلام عرفان جان
    یعنی میشه با اکانت Administrator local کامپیوتر رو براحتی join به domain کرد حتی اگر اکانت domain admin رو نداشته باشیم؟
    البته من در ویندوز ۲۰۰۸ و ۷ دیدم که domian رو نشون میده
    اما عضو اون نیست البته اگر پسورد یوزر داشته باشی میتونی کامپیوتر هارو ببینی
    راستی من چند بار سوال پیرسیدم اما جواب ندادی
    یادت باشه
    alireza_ostadi@yahoo.com
    alireza.ostadi@gmail.com
    از مطالبی که میزاری متشکرم
    دستت درد نکنه
    موفق باشی پسر

  2. سلام علیرضا عزیز

    نه تمام کاربران دامین می توانند، نه کاربران Local… به عبارت بهتر، اگر یک فردی Local Administrator کامپیوتر خودش باشه و یک یوز اکانت در دامین داشته باشه می توانه عضو دامین کنه کامپیوترش رو. چون دسترسی کاربر در عضو شدن ۲ بار کنترل میشه اول روی کامپیوتر Local دسترسی Admin و بعد روی دامین (بدون توجه به admin بودن). هر user که در دامین باشه عضو گروه Domain Users هست به صورت پیش فرض و می تونه حداکثر ۱۰ کامپیوتر رو به Container پیش فرض اضافه کنه. و Admin ها محدودیت ندارند.

    علیرضا جان، مدتی هست که به دلیل کمبود وقت، کمتر سوالات رو جواب می دهم. اما سوالات توی کامنت مطلب ها رو همیشه جواب خواهم داد. خیلی خیلی عذر خواهی می کنم اگر سوالی را فراموش کردم که پاسخ بدهم. از شما دوست خوبم بسیار متشکرم که مطالب من را می خوانی.

    با احترام
    عرفان طاهری

  3. با عرض سلام و خسته نباشید
    امید وارم عرفان جان حالت خوب باشه
    و متشکرم که این نکته مهم رو گفته
    عرفان جان اگر امکان داره یسری تولز برای ادمین شبکه معرفی کن
    مثلا برای ریموت شدن به کامپیوتر ها البته می دونم نرم افزار های مثل readmin netsupport هست اما یوزرفرندی هم باشن که به یوزرهم چیزی بشه یاد داد یا مثلا چطور میشه یه اکتیو دایرکتوری تمیز و مرتب داشت
    یه دی ان اس با کانفیگ مناسب داشت اینا رو که می گم دیدم شرکتایی که همینطوری فقط دیتا وارد می کنن
    بازم متشکرم از اطلاعاتی که در اختیار دوستانت و مردم قرار می دهید تشکر می کنم
    موفق باشید
    قربانت علیرضا

  4. سلام
    از مطالبتون متوجه شدم می تونم مشکلم رو در میون بذارم و به یه راه حل اصولی برسم
    یه سرور ۲۰۰۳ دارم به عنوان DC اولم و یکی هم به عنوان DC دوم برای ریپلیکیشن
    ولی بنا به دلیلی (که نمیدونم چه دلیلیه)این ریپلیکیشن درست کار نمی کنه.
    توی اروراش که نگاه کردم به sysvol اشاره می کنه که مشکل از اونه
    و
    DNS هم شات داونه (البته روی DC دوم) و هرچی می زنم که Restart توی ایونتاش میزنه DNS has shut down .روی زون دامین م یه مثلث زرد خطر می زنه و می نویسه Zone not loaded by DNS Server.
    از طرفی یه بک آپ ازش دارم که مال یه سال پیشه
    فقط مشکل اینجاست که موقع ری استور کردن یوزر و پسی رو می خواد که موقع نصب اکتیو دایرکتوری گرفته بوده و من این دامین رو نصب نکردم و یوزرش رو ندارم.
    ببخشید اگه زیاد شد.
    ولی اگر راه حلی سراغ دارید ممنون می شم سریعتر به من خبر بدید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *