20. روابط موثق (Trust Relationships)
• يك رابطه موثق ، پيوندي ميان دو حوزه است كه در آن يك حوزه تائيد كنده (Trusting) ، اعتبارات ورودي از يك حوزة تائيد شده (Trusted) را بررسي و تائيد مي كند.
نكته :تائيديه (Authentication) بكار رفته در روابط موثق ويندوز 2000 از پروتكل Kerberos 5 پشتيباني مي كند كه يك علت استاندارد صنعتي براي عمليات تائيد بين سيستم عامل هاي مختلف مي باشد.
• سرويس هاي A.D از دو حالت روابط موثق Trust)) پشتيباني مي نمايد:
1. تائيدهاي غيرانتقالي يك طرفه,No transitive Trusts) (One -way
2. تائيدهاي انتقالي دو طرفه (Tow-Way, Transitive Trusts)
21. تائيدهاي غيرانتقالي يكطرفه (One-way , No transitive Trusts)
• در يك رابطة موثق يكطرفه اگر حوزة A ، حوزة B را تائيد كند . حوزة B به طور خودكار حوزة A را تائيد نميكند. در يك رابطة موثق غيرانتقالي، اگر حوزة A حوزة B را تائيد كند و حوزة B حوزة C را تائيد نمايد، در نتيجه حوزة A به طور خودكار حوزة C را تائيد نمي كند.
• شبكه هاي ويندوز NT و قديمي تر از اين روش استفاده مي كنند. شما به طور دستي يك رابطة موثق غيرگذرا را يكطرفه بين حوزه هاي موجود درست مي كنيد. در نتيجه يك شبكه NT يا قديمي تر ، با چندين حوزه نياز به ايجاد چندين رابطة موثق دارد.
• سرويس هاي A.D از اين نوع تائيد كردن براي ارتباطات ميان حوزه هاي NT و قديمي تر استفاده مي كند و اجازة پيكربندي روابط موثق بين حوزه هاي درون درختهاي ديگر را مي دهد.
22. تائيدهاي انتقالي دو طرفه (Two-way , Transitive Trusts)
• تائيديه انتقالي دو طرفه, عبارتست از رابطه اي ميان حوزه هاي والد و فرزند در يك درخت و بين حوزه هاي سطح بالا در يك جنگل مي باشد. . اين نوع روابط موثق بين حوزه ها به طور پيش فرض در ويندوز 2000 سرور وجود دارند. تأييديه انتقالي يكي از ويژكي هاي پروتكل تأييد اعتبار Kerberos مي باشد كه تصديق توزيعي (شبكه اي يا Distributed) و اعتبار بخشئي در ويندوز 2000 را فراهم مي سازد.
• در يك رابطه موثق دو طرفه، اگر حوزه , A حوزه B را تأييد كند ، بنابراين حوزه , B حوزه A را تأييد مي كند. در يك رابطه موثق انتقالي اگر حوزه A , حوزه B را و حوزه B , حوزه C ¬ را تائيد كند , حوزه A حوزه C را تائيد خواهد كرد.بنابراين در يك رابطه موثق انتقالي دو طرفه (Tow-Way, Transitive Trust) , اگر حوزه A , حوزه B را تائيد كند و حوزه B , حوزه C ¬ را تائيد كند در نتيجه حوزه A , حوزه C را و حوزه C , حوزه A را مورد تائيد قرارميدهد.اگر يك رابطه موثق انتقالي دوطرفه, بين دو حوزه وجود داشته باشد, مي توانيد مجوزهاي لازم براي منابع موجود در يك حوزه را به گروهها و كاربران حوزه ديگر اختصاص دهيد و بالعكس.
• رابطه موثق انتقالي دو طرفه به طور پيش فرض در ويندوز 2000 وجود دارند زماني كه يك حوزه بچه (Child) درست مي كنيد, يك رابطه موثق به طور خودكار بين او و حوزه والدش به وجود مي آيد كه آن را بين ديگر حوزه هاي درخت نيز برقراري مي سازد. مي توان اين طور نتيجه گرفت كه
كاربران يك حوزه مي توانند به منابعي در حوزه هاي ديگر درخت كه مجوزش را دارند دست پيدا كنند.
23. قواعد نامگذاري (Naming Conventions)
هر شئي اي در دايركتوري فعال (Active Directory) با يك نام مشخص مي شود. سرويس هاي AD از انواع قواعد نامگذاري استفاده مي كنند : اسامي متمايز (Distinguished) ,اسامي متمايز نسبي, شناسه هاي يكتا كلي (Globally Unique Identifiers) و اسامي اصلي كاربران (Principal).
24. نام هاي متمايز (Distinguished Name)
هر شئي در A.D داراي يك نام متمايز (DN) مي باشد كه به طور منحصر بفردي آن شئي را معرفي مي كند و اطلاعات لازم براي يك شئي را در خود نگه مي دارد تا آن شئي را بتوان از دايركتوري بازيابي كرد.
DNنام حوزه و مسيركامل در بردارنده (Container) آن شئي در سلسله مراتب را نگه مي دارد.براي مثال, DN زير شئي كاربر جيمز اسميت در حوزه Microsoft.com را نشان ميدهد.
/DC=COM/DC=Microsoft/OU=Dev/CN=Users/CN=James Smith
DC = Domain Component Name (نام قسمت حوزه)
OU = Organization Unit Name (نام واحد سازماني)
CN = Common Name (نام عمومي)
DN نمي تواند تكراري باشد.
25. اسامي متمايز نسبي (Relative Distinguished Name)
A.D به شما اجازه مي دهد تا به دنبال يك شئي بگرديد حتي اگر DN دقيق آن ناشناخته و يا تغيير كرده باشد. اينكار با پرس و جوي صفات آن شئي صورت مي گيرد.نام متمايز نسبي (RDN) يك شئي، بخشئي از نام است كه خود صفت يك شئي تلقي مي شود. در مثال قبلي، RDN شئي كاربر جيمز اسميت، James Smith مي باشد.RDN شئي والد آن Users است.شما مي توانيد RDNهاي تكراري براي اشئياء A.D داشته باشئيد،اما نمي توانيد دو شئي با يك RDN دريك OU داشته باشئيد.براي مثال نمي توان از حساب كاربري Amy Jones براي كاربر ديگري در همان OU (واحد سازماني) استفاده كنيد.وليكن بهرحال مي توانيد اسامي RDN تكراري در OU هاي مجزا از هم داشته باشئيد زيرا آنها DN هاي مختلفي دارند.
26. شناسه منحصربه فرد كلي (Globally Unique Identifier)
يك شناسه (معرف) منحصربه فرد عمومي (GUID) يك عدد128 بيتي است كه تضمين مي كند يكتا باشد. GUID ها در زمان درست شدن اشئياء تخصيص مي يابند. GUID هرگز تغييرنمي كند، حتي اگر آن شئي را تغيير نام دهيد و يا منتقل نمائيد.برنامه ها مي توانند GUID يك شئي را ذخيره نموده و آن را
صرف نظر از DN فعلي اش بازيابي نمايند.
27. نام اصلي كاربر (User Principal Name)
حساب هاي كاربري، يك نام دوستانه (Friendly) دارند كه آن "نام اصلي كاربر" (UPN) مي باشد.UPN از نام "كوتاه شده اي" براي حساب كاربر و نام DNS درختي كه شئي كاربر را نگه مي دارد تشكيل شده است. براي مثال كاربر James Smith دردرخت Microsoft.com ممكن است UPN به شكل
James@microsoft.com داشته باشد.
28. مقدمه اي بر طرح ريزي (Planning)
وقتي تصميم مي گيريد كه يك شبكه ويندوز 2000 برپا كنيد،مي بايستي در نظر بگيريد كه چطور يك فضاي نام DNS وسرويس هاي A.D را پياده نمائيد.در ابتدا ساختار تجاري و كاركرد سازمانتان را امتحان كنيد. در بسياري از سازمان ها، واحد IS , كار تعريف و پياده سازي ساختار شبكه را همراه با كوچكترين جزييات بعهده دارد. در سازمان هاي ديگر به خصوص شركت هاي بزرگ، از يك روش غير متمركز براي مديريت روابط تجاري و شبكه استفاده مي شود. اين سازمان ها بايستي، چندين واحد تجاري داشته باشند، كه هر كدام نيازهاي مختلفي براي مديريت منابع شبكه شان در اختيار دارند. هنگام طراحي NS (فضاي نام) و A.D ملاحظات زير را در نظر بگيريد: محل هاي فيزيكي دفاتر، سازماندهي مجدد و رشد آتي، ودسترسي به منابع شبكه.
29. طرح يك Name Space) NS)
اكر شبكه شركت شما از قبل در اينترنت معرفي شده باشد،مي بايستي تصميم بگيريد كه آيا قصد توسعه NS خارجي براي استفاده در داخل شبكه را داريد و يا مي خواهيد يك NS جديد بيافرينيد.
30. توسعه بخشئيدن يك NS موجود
شما مي توانيد يك NS موجود را طوري توسعه دهيد تا آن را درحوزه هاي ويندوز 2000 سرور قرار دهيد. البته مي بايستي درنظر بگيريد كه از يكNS يكسان براي منابع داخلي و خارجي استفاده نمائيد اگر قصد انجام كارهاي زير را داريد:
• اسامي درخت سازگاري براي منابع داخلي و خارجي داشته باشئيد.
• از يك نام كاربري و نام ورود (Logon) براي منابع داخلي وخارجي استفاده نمائيد.
• بيش از يك فضاي نام DNS را نگه نداريد.
وقتي از يك NS استفاده مي كنيد، مي بايستي دو منطقه (Zone) DNS جداگانه براي سازمانتان درست نمائيد.يكي از Zone ها (مناطق) تبديل نام (Name Resolution) براي منابع داخلي و ديگري براي منابع خارجي را فراهم مي سازد مثل سرورهاي Web، سرورهاي FTP ، سرورهاي Mail و غيره.
31. ايجاد يك NSداخلي جديد
شما همچنين مي توانيد NS هاي مختلفي براي منابع داخلي وخارجي داشته باشئيد در اين حالت، تمام سرورهاي داخلي شركت، از يك NSاستفاده مي نمايند، در حاليكه منابع خارجي مثل سرورهاي اينترنت و FTP از NS ديگري استفاده مي كنند.اين پيكربندي نياز به اين دارد كه شما دو NS را با يك منبع ثبت DNS اينترنتي رزرو نماييد.يعني دو NS شما توسط يك منبع در اينترنت ثبت شوند.داشتن NS هاي مختلف را براي حالات زير در نظر بگيريد:
• يك تمايز واضح بين منابع داخلي و خارجي
• مديريت منابع داخلي و خارجي به طور مجزا
• پيكربندي ساده كلاينت پراكسي و مرورگر كلاينت.
32. طرح ريزي يك سايت
شما ساختار يك حوزه و يك سايت را به طور جداگانه درسرويس هاي A.D نگه مي داريد. يك حوزه تنها،مي تواند چندين سايت داشته باشد و يك سايت تنها مي تواند چندين حوزه يا بخش هايي از چندين حوزه را دربر بگيرد.وقتي سايتي را طرح مي كنيد، به وجود پهناي باند براي ترافيك نسخه برداري (Replication) كه در يك حوزه ايجاد مي شود توجه فرمائيد.براي مثال، فرض كنيد كه شما دفاتري در فونيكس، آريزونا، وفلگ استف، آريزونا داشته باشئيد. و فرض كنيد هر دوي اين دفاتر در يك سايت قرار دارند در چنين حالتي، كنترولرهاي حوزه در هر دفتر مي بايستي به طور مكرر نسخه برداري نمايند.وليكن با نصب هر دفتر به طور جداگانه در يك سايت جداگانه،مي توانيد يك زمان نسخه برداري مشخص نمائيد تا از لحظاتي كه تقاضا در شبكه كم است و ارتباطات بيشتري در دسترس قرار دارند يا حتي برقراري ارتباطات تلفني (Dial-up) بصرفه باشنداستفاده نمائيد. وقتي مي خواهيد بدانيد چطور مي توان زيرشبكه ها (Subnets) را در سايت ها طرح ريزي نموده مي بايستي نكات زير را مدنظر قرار دهيد:
• فقط زيرشبكه هايي كه ارتباطات مطمئن، ارزان و سريع با سرعت حداقل 512 kbps را به دست مي دهند با هم تركيب كنيد.
• سايت ها را طوري پيكربندي نمانيد تا عمل نسخه برداري(Replication) در زمان هايي دهد كه به راندمان و كارائي شبكه اثر نگذارد.
33. طرح ريزي واحدهاي سازماني (O.U)
در يك حوزه تنها، مي توانيد حساب هاي كاربري و منابع را با استفاده از يك سلسله مراتب از OUها سازماندهي كنيد تا ساختار شركتتان را منعكس نمايد.درست به همان شكل كه شركت شما مي تواند چندين سطوح مديريتي داشته باشد به همان ترتيب نيز مي توانيد چندين سطح مديريتي به شكل OUها در حوزه تان درست نمائيد.اگر مي خواهيد كارهاي زير را صورت بدهيد به فكر درست كردن يك OU باشئيد:
• قصد منعكس كردن استراكچر و سازمان شركتتان در يك حوزه را داريد. بدون OU ها تمام حساب هاي كاربري صرف نظر از دپارتمان، محل و يا موقعيت كاربر به شكل يك ليست تنها، نگهداري و نمايش داده مي شود.
• كنترل منابع شبكه و وظايف سرپرستي را تفويض كنيد، در حالي كه قابليت مديريت آنها را حفظ مي نمائيد. منظور از تفويض وظايف همان Delegation مي باشد. شما مي توانيد مجوزهاي سرپرستي را به گروه ها يا كاربران در سطح OU اعطا نمائيد كه اين خود تفويض وظايف يا Delegation مي باشد.
• تطبيق و تعديل نمودن تغييرات نهفته در استراكچر سازماني شركتتان.مي توانيد به راحتي حسابهاي كاربري را بين OU ها انتقال دهيد، در حالي كه انتقال دادن اين حساب ها بين حوزه ها معمولأ به تلاش و دقت بيشتري نياز دارند (يكي از مزاياي طرح OUها ).
• اشئياء را گروه بندي نمائيد تا راهبران بتوانند منابع شبكه را به راحتي پيدا كنند و وظايف سرپرستي را بخوبي انجام دهند.براي مثال مي توانيد تمامي حساب هاي كاربري را براي كارمندان موقت در OU ها گروه بندي نمائيد.
• قابليت مشاهده منابع شبكه در سرويس هاي A.D را در محدود نمائيد.كاربران تنها مي توانند اشئيائي را ببينند كه اجازه اش را دارند.
34. نصب سرويس هاي دايركتوري Active Directory
در اين قسمت اطلاعات درباره نصب سرويس A.D با استفاده از جادوگر (Wizard) نصب A.D را شرح مي دهيم و نيز ولوم هاي اشتراكي و بانك اطلاعاتي اي را كه سرويس هاي A.D حين نصب درست مي كنند نشان خواهيم داد.
35. جادوگر نصب Active Directory Installation Wizard) A.D)
از جادوگر نصب A.D براي مقاصد زير استفاده نمائيد:
• اضافه كردن يك كنترولر حوزه به يك حوزه موجود.
• ايجاد اولين كنترولر حوزه براي يك حوزه جديد.
• ايجاد يك حوزه بچه جديد.(Child Domain)
• ايجاد يك حوزه درخت جديد.
جهت اجراي برنامه نصب A.D (Active Directory Installation Wizard) مي توانيد از برنامه ديگري به نام Windows 2000 Configure Server Wizard شروع كنيد و يا از دستور Dcpromo.exe استفاده نمائيد. منظور از جادوگر پيكربندي سرور 2000 همان Windows 2000 Configure Server Wizard مي باشد وقتي برنامه نصب A.D را روي يك كامپيوتر مستقل يا تنها Stand alone)) راه بياندازيد، شما را به مراحل نصب يك كنترولر حوزه جديدي روي اين كامپيوتر هدايت مي نمايد. در طول نصب مي توانيد معلوم كنيد كه كنترولر حوزه جديدي براي يك حوزه موجود درست كنيد و يا اين كنترولر حوزه اولين كنترولر حوزه شما در شبكه باشد.
36. افزودن يك كنترولر حوزه به يك حوزه موجود
اگرگزينه نصب يك حوزه براي يك كنترولر حوزه موجود را بپذيريد ، يك كنترولر حوزه نظير (Peer) درست خواهد شد. با ايجاد يك حوزه نظير يك حوزه اضافه درست مي كنيد كه بار شبكه روي حوزه موجود را كاهش مي دهد.
37. ايجاد اولين كنترولر حوزه بعنوان يك حوزه جديد
با پذيرش اين حالت يك حوزه جديد درست خواهيد كرد با ايجاد يك حوزه يا حوزه هاي ديگر در شبكه مي توانيد اطلاعات را بخش بندي كنيد، تا سرويس هاي A.D را قادر سازيد نيازهاي سازمان هاي بسيار بزرگ را برآورده سازد. وقتي يك حوزه جديد درست مي كنيد، مي توانيد يك حوزه بچه يا درخت جديد درست نمائيد. يك حوزه بچه را مي توانيد براي يك حوزه درخت (Tree) درست كنيد و حوزه درخت را نيز براي يك جنگل موجود (Forest) به وجود آوريد، و يا اينكه يك درخت درست كنيد و بعد يك جنگل راه بياندازيد.
توجه : اجراي دستور Dcpromo.exe باعث مي شود تا اگر در يك حوزه قرار داريد آن حوزه را حذف نمائيد و بعد آن را به شكل يك سيستم تنها يا مستقل (Stand-alone) درآوريد.
38. بانك اطلاعاتي و ولوم اشتراكي سيستم
نصب سرويس ها ي A.D در بانك اطلاعاتي و فايدهاي گزارش (Log) بانك را همراه با ولوم اشتراكي سيستم درست مي نمايد. نسخه برداري ولوم سيستم اشتراكي همزمان با نسخه برداري سرويس هاي A.D انجام مي گيرد. در نتيجه، شما ممكن است به نسخه برداري از يا به ولوم سيستمي كه جديدأ ايجاد كرده ايد توجه نكنيد تا اينكه هر دو پريودهاي نسخه برداري به اتمام برسند (براي نمونه 10 دقيقه است) و اين بدين دليل است كه اولين پريود ( دوره تناوب شروع نسخه برداري) نسخه برداري فايل، پيكربندي ولوم هاي سيستمي ديگر را بهنگام (Update) مي نمايد به شكلي كه انگار از ولوم هاي سيستمي كه جديدا ايجاد شده اند آگاهي دارند.
