طراحی اتاق خواب مواد خانه ، باغ ، نقشه
بسط دادن
خانه

چگونه با استفاده از یک نشانه ، دسترسی از راه دور را ایمن تر کنیم؟ معرفی مفاهیم اساسی Active Directory چه برنامه هایی شامل آگهی است

هر کاربر تازه کار ، با مخفف AD مواجه می شود ، تعجب می کند Active Directory چیست؟ Active Directory یک سرویس دایرکتوری است که توسط مایکروسافت برای شبکه های دامنه ویندوز ایجاد شده است. این برنامه در اکثر سیستم عامل های ویندوز سرور به عنوان مجموعه ای از فرآیندها و خدمات گنجانده شده است. در ابتدا ، این سرویس فقط با دامنه ها سروکار داشت. با این حال ، از ویندوز سرور 2008 ، AD به نام طیف گسترده ای از سرویس های هویت مبتنی بر دایرکتوری تبدیل شده است. این امر Active Directory را به مکانی بهتر برای یادگیری مبتدیان تبدیل می کند.

تعریف اساسی

سروری که Active Directory Domain Services را اجرا می کند ، کنترلر دامنه نامیده می شود. این برنامه به کلیه کاربران و رایانه های موجود در دامنه شبکه ویندوز ، تأیید و مجوز ، تعیین و اجرای سیاست های امنیتی برای همه رایانه های شخصی و نصب یا به روز رسانی نرم افزار می پردازد. به عنوان مثال ، وقتی کاربر به رایانه ای وارد می شود که در یک دامنه ویندوز قرار دارد ، Active Directory رمز عبور ارائه شده را بررسی می کند و تعیین می کند که شیء مدیر سیستم است یا یک کاربر استاندارد. همچنین این امکان را به شما می دهد تا اطلاعات را مدیریت و ذخیره کنید ، مکانیزم های تأیید اعتبار و مجوز را فراهم کرده و چارچوبی را برای به کار بستن سایر خدمات مرتبط ایجاد کنید: خدمات گواهی نامه ، دایرکتوری فدرال و سبک وزن و خدمات مدیریت حقوق.

Active Directory از نسخه های LDAP 2 و 3 استفاده می کند ، نسخه مایکروسافت از Kerberos و DNS.

Active Directory چیست؟ به زبان ساده در مورد پیچیده

ردیابی داده های شبکه کار خسته کننده ای است. حتی در شبکه های کوچک ، کاربران تمایل دارند که در یافتن فایل های شبکه و چاپگرها مشکل داشته باشند. بدون نوعی دایرکتوری ، شبکه های متوسط \u200b\u200bو بزرگ نمی توانند مدیریت شوند و اغلب در یافتن منابع مشکل دارند.

نسخه های قبلی مایکروسافت ویندوز شامل خدمات برای کمک به کاربران و سرپرستان در یافتن داده ها بود. شبکه سازی در بسیاری از محیط ها مفید است ، اما نقطه ضعف آشکار رابط بی دست و پا و غیرقابل پیش بینی بودن آن است. WINS Manager و Manager Manager می توانند برای مشاهده لیست سیستم ها مورد استفاده قرار گیرند ، اما آنها برای کاربران نهایی در دسترس نبودند. سرپرستان از User Manager برای اضافه کردن و حذف داده های نوع کاملاً متفاوت از شیء شبکه استفاده کردند. این برنامه ها برای کار در شبکه های بزرگ بی اثر بودند و این سؤال را ایجاد کردند که چرا در شرکت Active Directory وجود دارد؟

فهرست ، به معنای کلی آن ، لیست کاملی از اشیاء است. دفترچه تلفن نوعی فهرست است که اطلاعات مربوط به افراد ، مشاغل و سازمانهای دولتی را ذخیره می کند آنها معمولاً حاوی نام ، آدرس و شماره تلفن هستند. پرسیدن سوال اکتیو دایرکتوری - آنچه به زبان ساده است ، می توان گفت که این فناوری شبیه به یک دایرکتوری است ، اما بسیار انعطاف پذیر است. AD اطلاعات مربوط به سازمان ها ، سایت ها ، سیستم ها ، کاربران ، سهام و سایر شی شبکه را ذخیره می کند.

آشنایی با مفاهیم اساسی Active Directory

چرا یک سازمان به Active Directory نیاز دارد؟ همانطور که در مقدمه Active Directory ذکر شد ، یک سرویس اطلاعات مربوط به اجزای شبکه را ذخیره می کند. آموزش Active Directory For Beginners بیان می کند که اینگونه است به مشتری اجازه می دهد تا اشیاء را در فضای نام خود پیدا کند. این تی اصطلاح (همچنین به آن درخت کنسول نیز گفته می شود) به منطقه ای گفته می شود که یک جزء شبکه بتواند در آن زندگی کند. به عنوان مثال ، فهرست مطالب کتاب ، فضایی را ایجاد می کند که در آن می توان فصل ها را به شماره صفحه نشان داد.

DNS درخت کنسولی است که نامهای میزبان را در آدرسهای IP مانند این حل می کندکتابهای تلفن یک فضای نام برای تفکیک نام برای شماره تلفن ها فراهم می کنند. چگونه این کار در Active Directory انجام می شود؟ AD یک درخت کنسول برای حل و فصل نام اشیاء شبکه به خود اشیاء و می تواند طیف گسترده ای از اشیاء ، از جمله کاربران ، سیستم ها و خدمات موجود در شبکه را برطرف کند.

اشیاء و خصوصیات

هر چیزی که مانیتور اکتیو دایرکتوری را یک شیء در نظر می گیرد. می توانیم با کلمات ساده بگوییم که این در Active Directory است هر کاربر ، سیستم ، منبع یا خدمات است. از اصطلاح معمولی استفاده می شود زیرا AD قادر به ردیابی بسیاری از عناصر است ، و بسیاری از اشیاء می توانند ویژگی های مشترک را به اشتراک بگذارند. چه مفهومی داره؟

به عنوان مثال ، ویژگی ها اشیاء را در فهرست اکتیو دایرکتوری توصیف می کنند ، به عنوان مثال ، همه اشیاء سفارشی برای ذخیره نام کاربر از ویژگی های مشترک استفاده می کنند. این همچنین در مورد توضیحات آنها صدق می کند. سیستم ها همچنین اشیاء هستند ، اما آنها دارای مجموعه ای از ویژگی های جداگانه هستند که شامل نام میزبان ، آدرس IP و مکان است.

مجموعه ای از ویژگی های موجود برای هر نوع خاص از شی ، طرحواره نامیده می شود. این باعث می شود که طبقات اشیاء از یکدیگر متفاوت باشند. اطلاعات طرحواره در واقع در Active Directory ذخیره می شود. اینکه این رفتار پروتکل امنیتی بسیار مهم است نشان می دهد که طرحواره به مدیران اجازه می دهد تا ویژگی هایی را به کلاس های شی اضافه کنند و آنها را بدون مجدداً کنترل مجدد دامنه ، در تمام گوشه های دامنه در شبکه توزیع کنند.

ظرف و نام LDAP

کانتینر نوع خاصی از شیء است که برای سازماندهی عملکرد یک سرویس استفاده می شود. این یک جسم فیزیکی مانند یک کاربر یا یک سیستم را نشان نمی دهد. درعوض ، برای گروه بندی موارد دیگر با هم استفاده می شود. اشیاء کانتینر را می توان درون ظروف دیگر لانه کرد.

هر مورد در AD نام دارد. اینها مواردی نیستند که مثلاً ایوان یا اولگا به آنها عادت کرده اید. اینها اسامی برجسته LDAP هستند. نام های برجسته LDAP پیچیده هستند ، اما به شما اجازه می دهند بدون توجه به نوع آن ، هر شیء را در یک فهرست قرار دهید.

درخت و سایت

یک اصطلاح درخت برای توصیف مجموعه اشیاء در Active Directory استفاده می شود. چیست؟ به زبان ساده ، این را می توان با استفاده از یک انجمن درخت توضیح داد. هنگامی که ظروف و اشیاء بصورت سلسله مراتبی ترکیب می شوند ، آنها تمایل به تشکیل شاخه ها دارند - از این رو نام. اصطلاح مربوط به یک زیرمجموعه پیوسته است ، که به تنه اصلی غیرقابل شکست یک درخت اشاره دارد.

در ادامه با استعاره ، اصطلاح جنگل مجموعه ای را توصیف می کند که جزئی از همان فضای نام نیست ، اما دارای یک طرحواره ، پیکربندی و فهرست جهانی است. اشیاء موجود در این ساختارها در صورت اجازه امنیتی در دسترس همه کاربران قرار می گیرند. سازمانهایی که به چندین حوزه تقسیم می شوند باید درختان را به یک جنگل گروه بندی کنند.

یک سایت یک موقعیت جغرافیایی است که در Active Directory تعریف شده است. سایت ها با زیر شبکه های IP منطقی مطابقت دارند و به همین ترتیب می توانند توسط برنامه ها برای یافتن نزدیکترین سرور در شبکه استفاده شوند. استفاده از اطلاعات سایت از Active Directory می تواند ترافیک WAN را به میزان قابل توجهی کاهش دهد.

مدیریت دایرکتوری فعال

مؤلفه ضربه محکم و ناگهانی Active Directory - کاربران. این راحت ترین ابزار برای مدیریت Active Directory است. از گروه برنامه اداری ابزار در منوی Start بطور مستقیم قابل دسترسی است. این مدیر سرور و مدیر کاربر را از ویندوز NT 4.0 جایگزین و بهبود می بخشد.


ایمنی

Active Directory نقش مهمی در آینده شبکه ویندوز ایفا می کند. سرپرستان باید بتوانند ضمن واگذاری وظایف به سایر سرپرستان ، از دایرکتوری خود در برابر مزاحمان و کاربران محافظت کنند. همه این موارد با استفاده از الگوی امنیتی Active Directory امکان پذیر است ، که لیست کنترل دسترسی (ACL) را با هر نوع ظرف و ویژگی در فهرست مرتبط می کند.

سطح بالای کنترل این امکان را به مدیر می دهد تا به کاربران و افراد مختلف اجازه دسترسی به اشیاء و خصوصیات آنها را گروه بندی کند. آنها حتی می توانند ویژگیهایی را به اشیاء اضافه کنند و آن خصوصیات را از گروه های خاصی از کاربران پنهان کنند. به عنوان مثال ، می توانید ACL را تنظیم کنید تا فقط مدیران بتوانند تلفن های خانگی سایر کاربران را مشاهده کنند.

دولت تفویض شده

یک مفهوم جدید در ویندوز 2000 سرور به دولت واگذار شده است. این امر به شما امکان می دهد بدون اعطای حقوق دسترسی اضافی ، وظایف خود را به کاربران دیگر اختصاص دهید. اداره تفویض شده را می توان از طریق اشیاء خاص یا زیر شاخه های فهرست راهنما انجام داد. این یک روش بسیار کارآمد تر برای اعطای اقتدار به شبکه ها است.

که در با اختصاص کلیه حقوق مدیر جهانی دامنه به شخصی ، فقط به یک کاربر خاص می توان مجوز داد. Active Directory از وراثت پشتیبانی می کند ، بنابراین هر شیء جدید ACL را از ظرف خود به ارث می برد.

اصطلاح "رابطه اعتماد"

اصطلاح "رابطه اعتماد" هنوز هم مورد استفاده قرار می گیرد اما قابلیت های مختلفی دارد. هیچ تفاوتی بین اعتماد یکجانبه و دوجانبه وجود ندارد. کلیه اعتمادهای اکتیو دایرکتوری دو جهته است. علاوه بر این ، همه آنها گذرا هستند. بنابراین ، اگر دامنه A به دامنه B و B اعتماد می کند C ، آنگاه یک رابطه اعتماد ضمنی خودکار بین دامنه A و دامنه C وجود دارد.

حسابرسی در Active Directory - آنچه در اصطلاح ساده است؟ این یک ویژگی امنیتی است که به شما امکان می دهد تعیین کنید که چه کسی در حال دستیابی به اشیاء است و همچنین این تلاش چقدر موفق است.

استفاده از DNS (سیستم نام دامنه)

یک سیستم DNS متفاوت برای هر سازمان متصل به اینترنت ضروری است. DNS وضوح نام را بین نامهای معمولی مانند mspress.microsoft.com و آدرسهای IP خام که اجزای لایه شبکه از آنها برای برقراری ارتباط استفاده می کنند ، فراهم می کند.

Active Directory برای یافتن اشیاء از فناوری DNS استفاده گسترده ای می کند. این یک تغییر مهم نسبت به سیستم عامل های قبلی ویندوز است ، که نیاز به حذف نام NetBIOS توسط آدرس های IP دارند و به WINS یا سایر تکنیک های تصحیح نام NetBIOS متکی هستند.

Active Directory در صورت استفاده از سرورهای DNS Windows 2000 بهترین کار را می کند. مایکروسافت با فراهم کردن جادوگران مهاجرتی که از طریق فرایند راهنما را به سر می برند ، مهاجرت به سرورهای DNS ویندوز 2000 را برای مدیران آسان کرده است.

سایر سرورهای DNS قابل استفاده هستند. با این حال ، در این حالت ، مدیران مجبورند وقت بیشتری را برای مدیریت بانکهای اطلاعاتی DNS اختصاص دهند. تفاوت های ظریف چیست؟ اگر تصمیم به استفاده از سرورهای DNS ویندوز 2000 ندارید ، باید اطمینان حاصل کنید که سرورهای DNS شما با پروتکل جدید بروزرسانی پویا DNS مطابقت دارند. سرورها برای یافتن کنترل کننده های دامنه ، به روز رسانی پویا روی سوابق خود متکی هستند. راحت نیست پس از همه ، هاگر به روزرسانی پویا پشتیبانی نمی شود ، باید پایگاه داده ها را به صورت دستی به روز کنید.

دامنه های ویندوز و دامنه اینترنت اکنون کاملاً سازگار هستند. به عنوان مثال ، نامی مانند mspress.microsoft.com کنترل کننده های دامنه Active Directory را که مسئول دامنه است شناسایی می کند ، بنابراین هر مشتری با دسترسی DNS می تواند کنترل کننده دامنه را پیدا کند.مشتریان می توانند از رزولوشن DNS برای جستجوی هر تعداد سرویس استفاده کنند زیرا سرورهای Active Directory لیست آدرس ها را با استفاده از قابلیت های جدید بروزرسانی پویا ، لیست آدرس ها را در DNS منتشر می کنند. این داده ها به عنوان یک دامنه شناسایی شده و از طریق سوابق منابع خدمات منتشر می شوند. SRV RR از فرمت پیروی می کندservice.protocol.domain.

سرورهای Active Directory سرویس LDAP را برای میزبانی از شی ارائه می دهند و LDAP از TCP به عنوان پروتکل حمل و نقل اساسی استفاده می کند. بنابراین ، مشتری که به دنبال سرور Active Directory در دامنه mspress.microsoft.com است ، به دنبال رکورد DNS برای ldap.tcp.mspress.microsoft.com است.

فروشگاه جهانی

Active Directory کاتالوگ جهانی (GC) و یک منبع واحد برای یافتن هر شیء در شبکه سازمان فراهم می کند.

فهرست جهانی خدمات در سرور Windows 2000 است که به کاربران امکان می دهد اشیاء دسترسی یافته را پیدا کنند. این عملکرد به مراتب برتر از برنامه Find Computer است که در نسخه های قبلی ویندوز وجود دارد. از این گذشته ، کاربران می توانند هر شیء را در Active Directory جستجو کنند: سرورها ، چاپگرها ، کاربران و برنامه ها.

بیش از شرکت کنندگان در کنگره جهانی موبایل. کارمندان این شرکت سه نقطه Wi-Fi را در فرودگاه نزدیک غرفه برای ثبت نام بازدید کنندگان از این نمایشگاه ایجاد کرده و آنها را با نام های استاندارد "Starbucks" ، "MWC Free WiFi" و "Airport_Free_Wifi_AENA" فراخوانده اند. طی 4 ساعت ، 2000 نفر به این نقاط متصل شدند.


در نتیجه آزمایش ، گزارشی تهیه شد که در آن کارمندان Avast ترافیک همه افراد متصل به نقاط باز Wi-Fi را تجزیه و تحلیل می کردند. اطلاعات شخصی برای 63٪ افرادی که به هم متصل بودند نیز افشا شد: ورود به سیستم ، کلمه عبور ، آدرس ایمیل و غیره. اگر این گزارش ارائه نشده در نمایشگاه نبود ، شرکت کنندگان در آزمایش هرگز متوجه نمی شدند که فردی به داده های خود دسترسی داشته است.


ما از خانه ، هتل یا کافه به شبکه شرکت ما متصل می شویم و حتی نمی فهمیم چه آسیبی می تواند به آن وارد شود.


طبق مطالعات آماری ، بیش از 40 درصد کارمندان شرکت حداقل یک روز در هفته از راه دور کار می کنند.


اما معلوم می شود که یک کارمند که از راه دور از طریق اینترنت کار می کند ، بسیار آسیب پذیرتر از یک کاربر محلی است و تهدید بالقوه ای را برای شرکت ایجاد می کند. بنابراین باید به امنیت کاربران از راه دور توجه ویژه ای شود.

عوامل تهدید

یک مکان کاربری از راه دور ، در مقایسه با یک محل کار اداری محلی ، سه عامل تهدید اضافی را ایجاد می کند:

  1. کاربر از راه دور خارج از کنترل فیزیکی سازمان است. اثبات الزامی است که این کارمند شرکت است که به منابع شرکت وصل می شود و نه مهاجم.
  2. داده های از راه دور کاربر از طریق کانال هایی که خارج از کنترل سازمان هستند منتشر می شوند. این داده ها مستعد رهگیری ، اصلاح غیرمجاز و "اختلاط" ترافیک غیرمجاز هستند.
  3. برای یک محل کار از راه دور ، خود شرکت نمی تواند امنیت جسمی را فراهم کند. همچنین ، رایانه ای که شما از آن استفاده می کنید ، ممکن است الزامات پیکربندی را برآورده نکند.

بنابراین ، هنگام سازماندهی دسترسی از راه دور ، باید سه اصل اساسی امنیت اطلاعات رعایت شود:

  • محرمانه بودن (اطلاعات مهم فقط باید برای تعداد محدودی از افراد در دسترس باشد)؛
  • تمامیت (تغییر در اطلاعات منجر به از بین رفتن یا تحریف آن باید ممنوع باشد)؛
  • دسترسی (اطلاعات در صورت نیاز به کاربران مجاز باید در دسترس باشد).

چگونه می توانم از راه دور دسترسی داشته باشم؟

برای سازماندهی کار کارگران از راه دور ، می توانید از مکانیزم های محافظت زیر استفاده کنید:

  • ابزار قابل اعتماد برای تأیید اعتبار کاربر (گذرواژه\u200cها ، سخت افزارها ، داده های بیومتریک و غیره).
  • سیستم کنترل دسترسی (کنترل متمرکز دسترسی به منابع IT شرکت).
  • ابزار سازمانی VPN (دستگاه های سخت افزاری ، راه حل های نرم افزاری ، پسوند فایروال و غیره)؛
  • وسیله ای برای مقابله با حملات (محافظت از شبکه داخلی و کارمندان در برابر حملات).

ما در مورد یکی از مکانیسم های محافظت - یک VPN - صحبت خواهیم کرد.

چرا VPN؟

اتصال VPN اتصال ایمن تری به شبکه شرکت ها و اینترنت می دهد.

برنامه های VPN:

  • دسترسی به اینترنت؛
  • دسترسی از خارج به شبکه شرکت ها.
  • اتحاد مؤلفه های شبکه شرکت.

زیرساخت شبکه شرکت شما با استفاده از نرم افزار یا سخت افزار می تواند برای VPN فراهم شود.


بسیاری از خدمات رایگان و پرداخت شده VPN در خارج وجود دارد.


چنین خدماتی عمدتا با 4 پروتکل اجرا می شوند:

  1. IPSecکار در حالت حمل و نقل و تونل. رمزگذاری پیام ها در یک بسته داده با استفاده از حالت حمل و نقل ، payload نام دارد و رمزگذاری کل بسته را تونلینگ می نامند.
  2. PPTP پروتکل تونل سازی نقطه به نقطه است که از روشی برای تونلینگ استفاده می کند که در آن داده ها به صورت بسته های PPP ذخیره می شوند. اینها ، به نوبه خود ، در بسته های IP قرار داده شده و به مقصد خود ارسال می شوند.
  3. L2TP - پروتکل تونل سازی لایه 2 که در دو گره اصلی اجرا می شود: کنسانتره دسترسی L2TP (LAC) ، سرور شبکه L2TP (LNS). LAC وسیله ای است که تماس را خاتمه می دهد در حالی که LNS بسته های PPP را تأیید می کند.
  4. TLS و SSL - پروتکل های رمزنگاری شده که از ترکیبی از تأیید هویت و رمزگذاری استفاده می کنند تا داده ها بین یک سرور و مشتری تبادل شود.


همچنین خدمات VPN برای استفاده شرکت ها نیز وجود دارد. یکی از مشهورترین OpenVPN است. این یک سرویس ایمن و ارزان است.


مزایای آن عبارتند از:

  1. ایمنی استفاده از چندین پروتکل رمزنگاری (HMAC ، 3DES ، AES ، RSA) و یک کلید 2048 بیتی امکان رمزگذاری مطمئن همه داده ها را فراهم می آورد.
  2. قابلیت های انعطاف پذیر OpenVPN به شما امکان می دهد تا از طریق پروکسی / جوراب ، بر روی پروتکل های مختلف و با مسدود کردن اجباری DHCP ، و همچنین از طریق دیواره آتش ، اتصال برقرار کنید.
  3. توسط اکثر دستگاه ها از جمله سیستم عامل های Apple iOS و Google Android پشتیبانی می شود.

آیا سازماندهی اتصالات VPN بدون استفاده از برنامه های شخص ثالث امکان پذیر است؟

در صورت ایجاد قابلیتهای مشابه در سیستم عامل ، استفاده از خدمات شخص ثالث نیز منطقی نیست.


ما می خواهیم با استفاده از ویژگی های استاندارد ویندوز ، نحوه برقراری اتصال SSTP VPN ایمن را نشان دهیم.


در این حالت ، اتصال VPN توسط مکانیزم رمزگذاری ترافیک با استفاده از گواهی دیجیتالی (SSL) ارائه شده توسط سرور VPN محافظت می شود. در حین برقراری اتصال VPN ، نرم افزار سیستم عامل مشتری ، گواهی سرور VPN را بررسی می کند ، به طور خاص ، بررسی می کند که آیا گواهی سرور ابطال شده است یا خیر ، آیا اعتماد به گواهینامه روتین سازمان صدور گواهینامه که مجوز را برای سرور VPN صادر کرده است ، اعتبار دارد. به همین دلیل یکی از شرایط مورد نیاز برای عملکرد موفقیت آمیز اتصال VPN از طریق SSTP ، امکان بروزرسانی خودکار لیست گواهینامه های ریشه از طریق اینترنت است.


SSTP یک پروتکل مدرن و ایمن است. یک مزیت اضافی توانایی آن برای کار در درگاه همه کاره HTTPS (TCP 443) است که برای مرور منظم وب استفاده می شود ، بدین معنی که اتصال SSTP VPN تقریباً در هر ارتباط اینترنتی کار خواهد کرد.

VPN و تأیید هویت دو عاملی

اتصال VPN خود رمزگذاری می شود. اما استفاده از یک ورود و رمز عبور برای تأیید اعتبار در یک VPN کاملاً ناامن است. اما راهی وجود دارد - این احراز هویت دو عاملی است. این اجازه می دهد تا کاربر از دو طریق هویت خود را تأیید کند. توصیه می شود برای پیکربندی از سخت افزار (کارت یا کارت هوشمند) استفاده کنید. سپس هنگام برقراری اتصال VPN ، کاربر نیازی به رمز عبور نخواهد داشت ، بلکه خود دستگاه و کد پین آن است.


مهمترین مزیت دستگاه سخت افزاری هنگام استفاده از VPN ، منحصر به فرد بودن کلید خصوصی است. این امر به دلیل این واقعیت ایجاد می شود که نمی توان کلید خصوصی دستگاه را کپی و تکثیر کرد. از این گذشته ، اگر وسیله تأیید هویت منحصر به فرد نیست ، پس نمی توانید مطمئن باشید که کاربرانی که دسترسی پیدا کرده اند همان کاربری است که این دسترسی به آنها اختصاص داده شده است.


در مورد استفاده از رمز عبور ، وضعیت کاملاً متفاوت است. هرکسی که عمدا یا به طور اتفاقی رمز ورود شما را دریابد می تواند بدون اطلاع شما از آن استفاده کند. این بدان معنی است که او می تواند هر کاری را که می خواهد از طرف صاحب رمز انجام دهد. ردیابی چنین وضعیتی بسیار دشوار است ، به خصوص اگر مهاجم از نظر فنی زرنگ باشد.

تنظیم سرور VPN

پیکربندی اتصال VPN را با استفاده از یک سرور ساده VPN مبتنی بر Windows Server 2012 R2 شروع خواهیم کرد.


چنین سرور ، نصب شده بر روی تجهیزات استاندارد ، ممکن است برای یک شبکه کوچک دفتر با نیاز به سازماندهی یک اتصال از راه دور برای چند ده کارمند (30-50 نفر) استفاده شود.

پیکربندی سرور VPN

بیایید باز کنیم مدیر سرور و روی پیوند کلیک کنید نقش ها و مؤلفه ها را اضافه کنید.


بیایید نقشی را انتخاب کنیم دسترسی از راه دور.



بیایید سرویس نقش را انتخاب کنیم DirectAccess و VPN (RAS).



روی دکمه کلیک کنید [نصب]... این فرآیند نصب را برای نقش دسترسی از راه دور آغاز می کند.



در پنجره جادوگر راه اندازی اولیه برای دسترسی از راه دور ، را انتخاب کنید فقط VPN را مستقر کنید.


پس از آن ، اجازه دهید سرور را اضافه کنیم. در پنجره مسیریابی و دسترسی از راه دور مورد منو را انتخاب کنید عمل کن و فرعی اضافه کردن سرور... بعد ، ما علاوه بر این را تأیید خواهیم کرد.


بر روی نام سرور اضافه شده کلیک راست کرده و را انتخاب کنید مسیریابی و دسترسی از راه دور را پیکربندی و فعال کنید.



مورد را انتخاب کنید پیکربندی ویژه.



به عنوان یک پیکربندی قابل تنظیم ، ما نشان می دهیم دسترسی به شبکه خصوصی مجازی (VPN).



بیایید خدمات را شروع کنیم ، برای این کار روی دکمه کلیک می کنیم [خدمات شروع].



سرور تقریبا آماده است.


به عنوان مثال ، ما از ساده ترین و واضح ترین روش استفاده خواهیم کرد - یک مجموعه آماری از آدرس برای 5 کاربر تنظیم خواهیم کرد.


بیایید خصوصیات سرور اضافه شده را باز کنیم.



مورد را انتخاب کنید استخر آدرس آماری و روی دکمه کلیک کنید [اضافه کردن].


در پنجره محدوده آدرس جدید IPv4 ما آدرس IP شروع و پایان را نشان می دهیم.


روی دکمه کلیک کنید [درخواست دادن]


نقش دسترسی از راه دور پیکربندی شده است ، اکنون بیایید درگاه ها را در فایروال باز کنیم.

باز کردن درگاه های فایروال

برای پروتکل TCP پورت های باز 1723 و 443 .



برای پروتکل UDP پورت های باز 1701 , 500 و 50 .



در مرحله بعد ، سیاست امنیت محلی را پیکربندی خواهیم کرد.

پیکربندی سیاست امنیت محلی

بیایید لیست سیاستهای امنیتی محلی را باز کنیم و مورد را انتخاب کنیم اختصاص حقوق کاربر.



یک خط مشی را انتخاب کنید اجازه ورود از طریق سرویس دسک تاپ از راه دور.


روی دکمه کلیک کنید [کاربر یا گروه اضافه کنید].


نام بخش را پیدا کنید کاربران دامنه و آن را اضافه کنید


خوب ، مرحله پیش فرض پیکربندی دسترسی برای کاربران خاص خواهد بود.

تنظیم دسترسی برای یک کاربر خاص

باز کن مدیر سرور، مورد را انتخاب کنید امکانات و فرعی کاربران فعال رایانه و رایانه ها.


نام کاربر مورد نظر را پیدا کنید ، به آن بروید خصوصیات، روی برگه تماس های دریافتی تنظیم را انتخاب کنید اجازه دسترسی... روی دکمه کلیک کنید [درخواست دادن].


و در آخر ، بیایید بررسی کنیم که آیا دسترسی از راه دور در مشخصات سیستم مجاز است یا نه.


برای انجام این کار ، خصوصیات سیستم را باز کنید ، مورد را انتخاب کنید تنظیم دسترسی از راه دور و سوئیچ را تنظیم کنید اتصالات از راه دور را به این کامپیوتر مجاز کنید.


این همه ، تنظیمات سرور اکنون کامل است. حال بیایید یک اتصال VPN را بر روی کامپیوتر تنظیم کنیم که برای دسترسی از راه دور استفاده خواهد شد.

تنظیم اتصال VPN

تنظیم VPN در رایانه شخصی ویندوز 10 بسیار آسان است. برای اجرای آن ، به داده های حساب (ورود ، گذرواژه) ، آدرس IP سرور و اتصال اینترنتی نیاز دارید. برای سازماندهی احراز هویت دو عامل سخت افزاری ، به یک نشانه نیاز دارید.


شما نیازی به نصب هیچ برنامه اضافی ندارید ، ویندوز خود از قبل همه چیز را دارد.


بیایید تنظیم کنیم. به عنوان نمونه سخت افزار ، من از وسیله ای برای ایمن نگه داشتن کلیدها و گواهینامه های Rutoken PKI EDS استفاده می کنم.



برای پیکربندی اتصال ، به یک گواهینامه نیاز داریم که حاوی خط مشی های ورود به سیستم هوشمند و احراز هویت مشتری است.


ما قبلاً مراحل ایجاد چنین گواهی نامه ای را شرح داده ایم. پیوند به توضیحات


بیایید یک پنجره باز کنیم. روی پیوند کلیک کنید یک اتصال یا شبکه جدید ایجاد و پیکربندی کنید.



یک پنجره باز خواهد شد راه اندازی یک اتصال یا شبکه... گزینه اتصال به محل کار را انتخاب کرده و روی دکمه کلیک کنید [به علاوه].




در زمینه آدرس اینترنتی ما داده های سرور VPN را نشان می دهیم.


در زمینه نام مقصد ما نام اتصال VPN را نشان می دهیم.


کادر را بررسی کنید از کارت هوشمند استفاده کنید و روی دکمه کلیک کنید ایجاد یک.



اتصال VPN ایجاد شده است. اما باید پارامترهای آن را تغییر دهیم.


دوباره پنجره را باز کنید شبکه و مرکز اشتراک گذاری و روی پیوند کلیک کنید تغییر تنظیمات اداپتور.



در پنجره اتصالات شبکه بر روی نام اتصال VPN ایجاد شده کلیک راست کرده و مورد را انتخاب کنید خصوصیات.



برویم به برگه ایمنی و پارامترهای زیر را انتخاب کنید.


این تنظیمات اتصال VPN برای اتصال موفقیت آمیز به شبکه مشخص شده با استفاده از پروتکل امن VPN کافی است. اما پس از اتمام اتصال VPN ، تمام ترافیک شبکه از رایانه به طور پیش فرض به دروازه شبکه مشخص شده هدایت می شود. این می تواند به این واقعیت منجر شود که در حالی که به VPN متصل هستید ، کار با منابع اینترنتی امکان پذیر نخواهد بود. برای رفع این مشکل ، به برگه بروید خالص، روی خط کلیک کنید نسخه IP 4 (TCP / IPv4) و روی دکمه کلیک کنید خصوصیات.


در صفحه دارای مشخصات IP نسخه 4 ، روی دکمه کلیک کنید [علاوه بر این].


کادر را علامت بزنید از دروازه پیش فرض در شبکه راه دور استفاده کنید.


ما تمام تغییرات ایجاد شده را تأیید خواهیم کرد. مراحل پیکربندی کامل است.


حالا بیایید ارتباط را بررسی کنیم.


در نوار وظیفه روی دسک تاپ ، بر روی آیکون کلیک کنید دسترسی به اینترنت و اتصال VPN ایجاد شده را انتخاب کنید. یک پنجره باز خواهد شد مولفه های.


بر روی نام اتصال VPN کلیک کرده و بر روی دکمه کلیک کنید وصل کنید.



کد پین توکن را وارد کرده و روی دکمه کلیک کنید [خوب].



در نتیجه ، اتصال VPN ایجاد شده برقرار می شود.


برای بررسی وضعیت اتصال VPN ، پنجره را باز کنید اتصالات شبکهنام ارتباط ایجاد شده را پیدا کنید. وضعیت آن باید "متصل" باشد.


برای شکستن اتصال VPN در همان پنجره ، اتصال ایجاد شده را پیدا کنید ، روی نام آن راست کلیک کرده و مورد را انتخاب کنید اتصال / قطع ارتباط.

بیایید خلاصه کنیم

هنگامی که اتصال VPN برقرار شد ، تمام ترافیک ها از طریق سرور VPN شروع می شوند.


قابلیت اطمینان از حفاظت از ترافیک VPN در این واقعیت نهفته است که حتی اگر مهاجمان داده های منتقل شده را به نوعی رهگیری کنند ، باز هم قادر به استفاده از آنها نخواهند بود ، زیرا داده ها رمزگذاری شده اند.


و اگر برای نظارت بر ترافیک برنامه های ویژه ای نیز نصب کرده اید ، می توانید ترافیک را با موفقیت فیلتر کنید. به عنوان مثال ، به طور خودکار آن را از نظر ویروس اسکن کنید.


امیدوارم که ما موفق شویم شما را متقاعد کنیم که VPN ساده ، مقرون به صرفه و از همه مهمتر ایمن است!

Active Directory سرویس مدیریت سیستم است. آنها جایگزین بسیار بهتری برای گروه های محلی هستند و به شما امکان می دهند شبکه های رایانه ای با مدیریت کارآمد و محافظت از داده های مطمئن ایجاد کنید.

اگر قبلاً با مفهوم Active Directory روبرو نشده اید و نمی دانید چطور چنین خدماتی کار می کنند ، این مقاله برای شما مناسب است. بیایید ببینیم این مفهوم به چه معناست ، مزایای چنین بانکهای اطلاعاتی چیست و چگونگی ایجاد و پیکربندی آنها برای استفاده اولیه.

Active Directory روشی بسیار مناسب برای مدیریت سیستم است. با استفاده از Active Directory ، می توانید داده های خود را به طور مؤثر مدیریت کنید.

این سرویس ها به شما امکان می دهند یک بانک اطلاعاتی واحد ایجاد کنید که توسط کنترل کننده دامنه اداره می شود. اگر صاحب یک شرکت هستید ، به طور کلی یک دفتر را اداره می کنید ، فعالیت بسیاری از افرادی که باید متحد شوند ، کنترل می کنید ، چنین دامنه ای در دسترس شما خواهد بود.

این شامل همه اشیاء - رایانه ، چاپگر ، نمابر ، حساب کاربری و موارد دیگر می باشد. مجموع دامنه هایی که داده ها در آن قرار دارند "جنگل" نامیده می شود. بانک اطلاعاتی Active Directory محیطی مبتنی بر دامنه است که حداکثر 2 میلیارد شیء دارد. آیا می توانید این مقیاس را تصور کنید؟

یعنی با کمک چنین "جنگلی" یا بانک اطلاعاتی می توان تعداد زیادی از کارمندان و تجهیزات را در مطب متصل کرد و بدون مراجعه به مکان - سایر کاربران نیز می توانند در این خدمات به عنوان مثال از دفتر شرکت در شهر دیگری وصل شوند.

علاوه بر این ، دامنه های مختلف در Active Directory ایجاد و ادغام می شوند - هرچه شرکت بزرگتر باشد ، ابزار بیشتری برای کنترل فناوری آن در پایگاه داده لازم است.

علاوه بر این ، هنگام ایجاد چنین شبکه ای ، یک دامنه کنترل کننده تعیین می شود ، و حتی با حضور بعدی دامنه های دیگر ، اصلی همچنان "والدین" باقی می ماند - یعنی تنها او دسترسی کامل به مدیریت اطلاعات دارد.

این داده ها در کجا ذخیره شده و دامنه ها چگونه است؟ کنترلرها برای ایجاد Active Directory استفاده می شوند. معمولاً دو مورد از آنها وجود دارد - اگر اتفاقی برای یکی بیفتد ، اطلاعات روی کنترلر دوم ذخیره می شوند.

گزینه دیگر برای استفاده از بانک اطلاعاتی این است که ، برای مثال ، شرکت شما با دیگری همکاری می کند و شما باید یک پروژه مشترک را به اتمام برسانید. در این حالت ممکن است دسترسی افراد غیرمجاز به پرونده های دامنه مورد نیاز باشد و در اینجا می توانید نوعی "رابطه" بین دو "جنگل" مختلف برقرار کنید ، دسترسی آزاد به اطلاعات موردنیاز را بدون ایجاد خطر برای امنیت بقیه داده ها برقرار کنید.

به طور کلی ، Active Directory ابزاری است برای ایجاد بانک اطلاعاتی در یک ساختار خاص ، صرف نظر از اندازه آن. کاربران و کلیه تجهیزات در یک "جنگل" متحد می شوند ، دامنه هایی ایجاد می شوند که روی کنترلرها قرار دارند.

همچنین توصیه می شود روشن كنید كه این سرویس ها فقط می توانند روی دستگاههایی با سیستمهای سرور ویندوز كار كنند. علاوه بر این ، 3-4 سرور DNS روی کنترلرها ایجاد می شوند. آنها به منطقه اصلی دامنه خدمت می کنند و در صورت عدم موفقیت یکی از آنها ، سرورهای دیگر جایگزین آن می شوند.

بعد از یک مرور کوتاه از Active Directory برای آدمک ها ، شما به طور طبیعی به این سوال علاقه دارید - چرا یک گروه محلی را به کل پایگاه داده تغییر دهید؟ طبیعتاً ، در اینجا زمینه امکانات بارها وسیع تر است و برای پیدا کردن تفاوت های دیگر بین این سرویس ها برای مدیریت سیستم ، اجازه دهید نگاهی دقیق تر به مزایای آنها بیندازیم.

دایرکتوری فعال

مزایای Active Directory به شرح زیر است:

  1. استفاده از یک منبع برای تأیید اعتبار. در این شرایط ، شما باید در هر رایانه ای که نیاز به دسترسی به اطلاعات عمومی دارد ، تمام حساب ها را اضافه کنید. هرچه کاربران و تکنسین های بیشتری داشته باشند ، همگام سازی این داده ها بین آنها دشوارتر است.

و بنابراین ، هنگام استفاده از خدمات با یک پایگاه داده ، حساب ها در یک نقطه ذخیره می شوند و تغییرات بلافاصله در همه رایانه ها اعمال می شوند.

چگونه کار می کند؟ هر کارمندی که وارد مطب می شود سیستم را شروع می کند و وارد حساب کاربری خود می شود. درخواست ورود به طور خودکار به سرور ارسال می شود و تأیید اعتبار از طریق آن صورت می گیرد.

درمورد سفارش خاصی برای نگهداری سوابق ، همیشه می توانید کاربران را به گروه ها تقسیم کنید - "منابع انسانی" یا "حسابداری".

در این حالت دسترسی آسان به اطلاعات آسان تر است - اگر شما نیاز به باز کردن یک پوشه برای کارمندان از یک بخش دارید ، این کار را از طریق پایگاه داده انجام می دهید. آنها با هم به پوشه داده مورد نیاز دسترسی پیدا می کنند ، در حالی که بقیه اسناد بسته هستند.

  1. کنترل بر روی هر یک از اعضای پایگاه داده.

اگر در یک گروه محلی هر یک از اعضای مستقل باشند ، کنترل آن از طریق رایانه دیگر دشوار است ، می توان طبق قوانین شرکت ، قوانین خاصی را در دامنه ها تنظیم کرد.

به عنوان مدیر سیستم ، می توانید تنظیمات دسترسی و امنیت را پیکربندی کنید ، و سپس آنها را در هر گروه کاربر اعمال کنید. به طور طبیعی ، بسته به سلسله مراتب ، برخی از گروه ها می توانند تنظیمات دقیق تری را تعریف کنند ، در حالی که به دیگران امکان دسترسی به پرونده ها و اقدامات دیگر در سیستم داده می شود.

علاوه بر این ، وقتی فرد جدید به شرکت ملحق می شود ، کامپیوتر وی بلافاصله مجموعه تنظیمات لازم را دریافت می کند ، جایی که اجزای کار در آن گنجانده شده است.

  1. تطبیق پذیری در نصب نرم افزار.

به هر حال ، در مورد مؤلفه ها - با کمک Active Directory می توانید چاپگرها اختصاص دهید ، برنامه های لازم را بصورت یکجا برای همه کارمندان نصب کنید ، پارامترهای حریم خصوصی را تنظیم کنید. به طور کلی ، ایجاد یک بانک اطلاعاتی به طور قابل توجهی کار را بهینه می کند ، نظارت بر ایمنی و متحد کردن کاربران برای حداکثر بهره وری.

و اگر شرکتی دارای یک سرویس یا خدمات ویژه جداگانه است ، می تواند با دامنه ها هماهنگ شده و دسترسی ساده به آنها را داشته باشد. چطور؟ اگر تمام محصولات مورد استفاده در شرکت را ترکیب کنید ، کارمند دیگر نیازی به ورود به سیستم ها و کلمات عبور مختلف برای ورود به هر برنامه نخواهد داشت - این اطلاعات به اشتراک گذاشته می شود.

اکنون که مزایا و پیامدهای استفاده از Active Directory را درک کردید ، بیایید روند نصب این سرویس ها را طی کنیم.

با استفاده از یک پایگاه داده در ویندوز سرور 2012

نصب و پیکربندی Active Directory دشوار نیست ، و همچنین آسانتر از آن است که در نگاه اول به نظر می رسد.

برای بارگیری خدمات ، ابتدا باید موارد زیر را انجام دهید:

  1. نام رایانه را تغییر دهید: بر روی "شروع" کلیک کنید ، کنترل پنل را باز کنید ، مورد "سیستم". "تغییر پارامترها" را انتخاب کنید و در Properties مقابل خط "نام کامپیوتر" روی "تغییر" کلیک کنید ، مقدار جدیدی را برای کامپیوتر میزبان وارد کنید.
  2. راه اندازی مجدد همانطور که توسط کامپیوتر خواسته شده است.
  3. تنظیمات شبکه خود را مانند این تنظیم کنید:
    • از طریق صفحه کنترل ، منوی شبکه و اشتراک گذاری را باز کنید.
    • تنظیمات آداپتور را اصلاح کنید. روی Properties کلیک راست کرده و زبانه Networking را باز کنید.
    • در پنجره از لیست ، روی پروتکل اینترنت در شماره 4 کلیک کنید ، دوباره روی "Properties" کلیک کنید.
    • تنظیمات لازم را وارد کنید ، به عنوان مثال: آدرس IP - 192.168.10.252 ، زیر ماسک - 255.255.255.0 ، فرعی اصلی - 192.168.10.1.
    • در خط "سرور DNS ترجیحی" آدرس سرور محلی را در "Alternative ..." مشخص کنید - آدرسهای دیگر سرورهای DNS.
    • ذخیره تغییرات و بستن پنجره ها.

نقش های Active Directory را مانند این نصب کنید:

  1. از طریق شروع "مدیر سرور" را باز کنید.
  2. از فهرست منو ، افزودن نقش ها و ویژگی ها را انتخاب کنید.
  3. جادوگر شروع خواهد شد ، اما می توانید از اولین پنجره توضیحات پرش کنید.
  4. خط "نصب نقش ها و ویژگی ها" را بررسی کنید ، حرکت کنید.
  5. رایانه خود را انتخاب کنید تا Active Directory را روی آن نصب کنید.
  6. از لیست ، نقشی را که می خواهید بارگیری کنید را علامت گذاری کنید - برای پرونده خود ، این "خدمات دامنه Active Directory" است.
  7. یک پنجره کوچک ظاهر می شود و باعث می شود تا اجزای لازم برای خدمات را بارگیری کنید - آن را بپذیرید.
  8. بعد از اینکه از شما خواسته می شود اجزای دیگر را نصب کنید - اگر به آنها احتیاج ندارید ، فقط با کلیک روی "بعدی" این مرحله را بزنید.
  9. جادوگر راه اندازی یک پنجره با توصیف خدمات شما نصب می کند - ادامه بخوانید و ادامه دهید.
  10. لیستی از مؤلفه هایی که می خواهیم نصب کنیم ظاهر می شود - بررسی کنید که آیا همه چیز صحیح است یا خیر ، اگر دکمه مناسب را فشار دادید.
  11. پس از اتمام روند ، پنجره را ببندید.
  12. این آن است - خدمات روی رایانه شما بارگذاری می شوند.

پیکربندی دایرکتوری فعال

برای راه\u200cاندازی سرویس دامنه ، باید موارد زیر را انجام دهید:

  • جادوگر پیکربندی را با همین نام اجرا کنید.
  • روی نشانگر زرد در بالای پنجره کلیک کنید و Promote Server Role to Domain Controller را انتخاب کنید.
  • روی افزودن یک "جنگل" جدید کلیک کنید و یک نام برای دامنه root ایجاد کنید ، سپس روی "Next" کلیک کنید.
  • سطح عملکردی جنگل و دامنه را مشخص کنید - اغلب آنها یکسان هستند.
  • با یک رمز عبور همراه باشید ، اما حتماً آن را به خاطر بسپارید. ادامه دهید.
  • پس از آن ، ممکن است هشداری در مورد عدم تفویض دامنه و پیشنهادی برای بررسی نام دامنه مشاهده کنید - می توانید از این مراحل پرش کنید.
  • در پنجره بعدی می توانید مسیر دایرکتوری های دیتابیس را تغییر دهید - اگر اینها مناسب شما نیستند این کار را انجام دهید.
  • اکنون تمام پارامترهایی را که می خواهید تنظیم کنید مشاهده خواهید کرد - ببینید آیا آنها را به درستی انتخاب کرده اید یا حرکت می کنید.
  • برنامه بررسی خواهد کرد که آیا پیش نیازها برآورده شده اند ، و اگر هیچ نظری وجود ندارد یا انتقادی ندارند ، روی نصب کلیک کنید.
  • پس از اتمام نصب ، رایانه شخصی دوباره راه اندازی می شود.

همچنین ممکن است از نحوه اضافه کردن کاربر به بانک اطلاعاتی سؤال کنید. برای انجام این کار ، از منوی "Active Directory Users or Computer" استفاده کنید ، که در بخش "اداره" پانل کنترل پیدا خواهید کرد یا از منوی تنظیمات بانک اطلاعاتی استفاده کنید.

برای افزودن یک کاربر جدید ، بر روی نام دامنه راست کلیک کنید ، "ایجاد" را انتخاب کنید ، پس از "تقسیم". پنجره ای در مقابل شما ظاهر خواهد شد که باید نام بخش جدید را وارد کنید - این یک پوشه است که می توانید کاربران را از بخش های مختلف جمع آوری کنید. به همین روش ، بعداً چند بخش دیگر ایجاد خواهید کرد و همه کارمندان را به درستی قرار می دهید.

بعد ، هنگامی که نام بخش را ایجاد کردید ، بر روی آن راست کلیک کرده و "ایجاد" را انتخاب کنید ، بعد از "کاربر". اکنون فقط برای وارد کردن داده های لازم و تنظیم تنظیمات دسترسی برای کاربر باقی مانده است.

وقتی نمایه جدید ایجاد شد ، با انتخاب منوی زمینه بر روی آن کلیک کرده و "Properties" را باز کنید. در برگه "حساب" ، علامت بررسی کنار "Block ..." را بردارید. این همه

نتیجه گیری کلی این است که Active Directory ابزاری قدرتمند و مفید برای مدیریت سیستم است که به اتحاد همه رایانه های کارمندان در یک تیم کمک خواهد کرد. با کمک خدمات می توانید یک بانک اطلاعاتی مطمئن ایجاد کرده و کار و همگام سازی اطلاعات را بین همه کاربران به طور قابل توجهی بهینه کنید. اگر شرکت شما و هر مکان دیگری با کامپیوتر و شبکه متصل است ، باید حساب ها را ترکیب کرده و بر کار و حفظ حریم خصوصی نظارت داشته باشید ، نصب بانک اطلاعاتی بر اساس Active Directory یک راه حل عالی خواهد بود.

Active Directory - سرویس دایرکتوری اکتیو دایرکتوری قابل توسعه و مقیاس پذیر (Active Directory) مدیریت کارآمد منابع شبکه را امکان پذیر می کند.
دایرکتوری فعال یک مخزن سازمان یافته سلسله مراتبی از داده ها در مورد اشیاء شبکه است که وسیله ای مناسب برای یافتن و استفاده از این داده ها فراهم می کند. رایانه ای که Active Directory را اجرا می کند کنترلر دامنه نامیده می شود. تقریباً تمام کارهای اداری با Active Directory مرتبط هستند.
فناوری Active Directory مبتنی بر پروتکل های استاندارد اینترنتی است و به تعریف واضح ساختار شبکه کمک می کند ، برای اطلاعات بیشتر در مورد نحوه استقرار دامنه Active Directory از ابتدا ، در اینجا بخوانید.

دایرکتوری فعال و DNS

Active Directory از سیستم نام دامنه استفاده می کند.

مدیریت دایرکتوری فعال

با کمک Active Directory ، حسابهای رایانه ای ایجاد می شوند ، آنها به دامنه متصل می شوند و رایانه ها ، کنترل کننده دامنه و واحدهای سازمانی (OU) مدیریت می شوند.

ابزارهای مدیریت و پشتیبانی برای مدیریت Active Directory ارائه شده است. ابزارهای ذکر شده در زیر به صورت عکس های فوری MMC (کنسول مدیریت مایکروسافت) پیاده سازی می شوند:

  • Active Directory - کاربران و رایانه ها (کاربران و رایانه های فعال دایرکتوری) به شما امکان می دهد تا کاربران ، گروه ها ، رایانه ها و واحدهای سازمانی (OU) را مدیریت کنید.
  • Active Directory - دامنه ها و امانت ها (دامنه ها و اعتمادهای فعال دایرکتوری فعال) برای کار با دامنه ها ، درختان دامنه و جنگل های دامنه استفاده می شود.
  • Active Directory - سایت ها و خدمات (سایت ها و خدمات Active Directory) به شما امکان می دهد سایت ها و زیر شبکه ها را مدیریت کنید.
  • مجموعه سیاست های نتیجه گرفته شده برای مشاهده سیاست فعلی کاربر یا سیستم و برای برنامه ریزی تغییرات در خط مشی استفاده می شود.
  • در Microsoft Windows 2003 Server ، می توانید به طور مستقیم از منوی Tools Tools به این اسنپ ها دسترسی داشته باشید.

یکی دیگر از ابزارهای اداری ، ضربه محکم و ناگهانی Active Directory Schema ، به شما امکان می دهد شمای دایرکتوری را مدیریت و اصلاح کنید.

برنامه های خط فرمان فرمان فعال

ابزارهای خط فرمان برای مدیریت اشیاء Active Directory وجود دارند که به شما امکان می دهند طیف گسترده ای از کارهای اداری را انجام دهید:

  • DSADD - کامپیوترها ، مخاطبین ، گروه ها ، OP ها و کاربران را به Active Directory اضافه می کند.
  • DSGET - خصوصیات رایانه ها ، مخاطبین ، گروه ها ، PO ها ، کاربران ، سایت ها ، زیر شبکه ها و سرورهای ثبت شده در Active Directory را نشان می دهد.
  • DSMOD - خصوصیات رایانه ها ، مخاطبین ، گروه ها ، PO ها ، کاربران و سرورهای ثبت شده در Active Directory را اصلاح می کند.
  • DSMOVE - یک شی واحد را به یک مکان جدید در یک دامنه منتقل می کند ، یا بدون جابجایی یک شی را تغییر می دهد.
  • DSQXJERY - با توجه به معیارهای مشخص ، در رایانه ها ، مخاطبین ، گروه ها ، OP ها ، کاربران ، سایت ها ، زیر شبکه ها و سرورها در Active Directory جستجو می کند.
  • DSRM - یک شی را از Active Directory حذف می کند.
  • NTDSUTIL - به شما امکان می دهد اطلاعات سایت ، دامنه یا سرور را مشاهده کنید ، اساتید عملیات را مدیریت کرده و یک پایگاه داده Active Directory را حفظ کنید.

Active Directory سرویس دایرکتوری مایکروسافت برای سیستم عامل های خانواده Windows NT است.

این سرویس به مدیران اجازه می دهد تا از سیاست های گروهی استفاده کنند تا از ثبات در تنظیمات محیط کاربر ، نصب نرم افزار ، به روزرسانی ها و موارد دیگر اطمینان حاصل شود.

جوهر Active Directory چیست و چه وظایفی را حل می کند؟ ادامه مطلب

اصول شبکه همتا به همتا و چند رتبه

اما مشکل دیگر بوجود می آید ، اگر کاربر2 در PC2 تصمیم به تغییر رمز عبور خود بگیرد ، چه می شود؟ سپس اگر user1 گذرواژه حساب را تغییر دهد ، user2 قادر به دسترسی به منبع موجود در PC1 نخواهد بود.

مثال دیگر: ما 20 ایستگاه کاری با 20 حساب کاربری داریم که می خواهیم به بعضی از آنها دسترسی پیدا کنیم ، برای این کار باید 20 حساب را در سرور پرونده ایجاد کنیم و دسترسی به منابع مورد نیاز را فراهم کنیم.

و اگر وجود ندارد 20 اما 200؟

همانطور که می فهمید ، مدیریت شبکه با این رویکرد به یک جهنم کلی تبدیل می شود.

بنابراین ، رویکرد کارگروه برای شبکه های کوچک دفتری با بیش از 10 رایانه مناسب است.

اگر بیش از 10 ایستگاه کاری در شبکه وجود داشته باشد ، هنگامی که به یک گره شبکه حق واگذاری حق تأیید و مجوز داده می شود ، این رویکرد منطقی منطقی می شود.

این سایت کنترل کننده دامنه است - Active Directory.

کنترل کننده دامنه

کنترل کننده یک بانک اطلاعاتی از حسابها را نگه می دارد ، یعنی. این سوابق را برای PC1 و PC2 نگه می دارد.

اکنون همه حساب ها یک بار در کنترلر ثبت می شوند و نیاز به حساب های محلی معنی خود را از دست می دهد.

حال وقتی کاربر با وارد کردن نام کاربری و رمزعبور خود وارد رایانه شخصی می شود ، این داده ها به صورت بسته به کنترلر دامنه منتقل می شود که مراحل احراز هویت و مجوز را انجام می دهد.

پس از آن ، کنترلر به کاربرانی که وارد سیستم شده اند ، می دهد ، چیزی مانند گذرنامه ، که او با آن در شبکه بیشتر کار می کند و به درخواست سایر رایانه ها در شبکه ، سرورهایی که منابع او را می خواهد به آنها وصل کند ، ارائه می دهد.

مهم! کنترل کننده دامنه یک رایانه با Active Directory است که دسترسی کاربر به منابع شبکه را کنترل می کند. این فروشگاه منابع (مانند چاپگر ، پوشه مشترک) ، خدمات (مانند ایمیل) ، افراد (حساب کاربری و کاربر گروه) ، رایانه ها (حساب های رایانه ای) را ذخیره می کند.

تعداد چنین منابع ذخیره شده می تواند به میلیون ها شی برسد.

نسخه های زیر MS Windows می توانند به عنوان کنترل کننده دامنه عمل کنند: Windows Server 2000/2003/2008/2012 به جز نسخه های وب.

کنترل کننده دامنه علاوه بر اینکه مرکز تأیید اعتبار شبکه است ، مرکز کنترل کلیه رایانه ها نیز هست.

بلافاصله پس از روشن شدن ، کامپیوتر شروع به تماس با کنترلر دامنه می کند ، مدتها قبل از ظاهر شدن پنجره تأیید اعتبار.

بنابراین ، نه تنها کاربر وارد ورود به سیستم و رمز عبور تأیید می شود ، بلکه کامپیوتر مشتری نیز تأیید می شود.

نصب دایرکتوری فعال

بیایید به نمونه ای از نصب Active Directory در ویندوز سرور 2008 R2 نگاهی بیندازیم. بنابراین ، برای نصب نقش Active Directory ، به "مدیر سرور" بروید:

نقش "افزودن نقشها" را اضافه کنید:

نقش خدمات دامنه Active Directory را انتخاب کنید:

و ما با نصب ادامه می دهیم:

سپس یک پنجره اعلان درباره نقش نصب شده دریافت می کنیم:

پس از نصب نقش کنترلر دامنه ، بیایید نصب خود کنترلر دامنه را شروع کنیم.

در قسمت جستجوی برنامه روی "شروع" کلیک کنید ، نام جادوگر DCPromo را وارد کنید ، آن را راه اندازی کنید و کادر تنظیمات نصب پیشرفته را علامت بزنید:

از گزینه های پیشنهادی "بعدی" را کلیک کنید ، ایجاد یک دامنه و جنگل جدید را انتخاب کنید.

نام دامنه را وارد کنید ، به عنوان مثال مثال.net.

ما نام دامنه NetBIOS را بدون منطقه می نویسیم:

سطح عملکردی دامنه ما را انتخاب می کنیم:

به دلیل ویژگی های خاص عملکرد کنترل کننده دامنه ، ما یک سرور DNS نیز نصب می کنیم.

مکان های پایگاه داده ، پرونده ورود ، حجم سیستم را بدون تغییر بگذارید:

رمز ورود سرور دامنه را وارد کنید:

ما صحت پر کردن را بررسی می کنیم و اگر همه چیز به ترتیب است ، روی "بعدی" کلیک کنید.

پس از آن ، مراحل نصب انجام خواهد شد ، در پایان پنجره ای ظاهر می شود که از نصب موفقیت آمیز اطلاع می دهد:

معرفی دایرکتوری فعال

این گزارش به بررسی دو نوع شبکه رایانه ای می پردازد که می توانند با استفاده از سیستم عامل های مایکروسافت ایجاد شوند: گروه کاری و دامنه Active Directory.

پاسخی برای سوال شما پیدا نکردید؟ به اینجا نگاه کن
مشکلات مدرن علم و آموزش استراتژی توسعه وزارت مدیریتمشکلات مدرن علم و آموزش استراتژی توسعه وزارت مدیریت
تولد 10 سال تولدتولد 10 سال تولد
مکان های پیک نیک در حومه شهرمکان های پیک نیک در حومه شهر