AD ን ለማስተዳደር PowerShellን ለመጠቀም ተወስኗል። እንደ መነሻ፣ ደራሲው 10 የተለመዱ የኤ.ዲ. አስተዳደር ስራዎችን ለመውሰድ ወሰነ እና PowerShellን በመጠቀም እንዴት እንደሚቀልሉ ይመልከቱ፡-
- የተጠቃሚ ይለፍ ቃል ዳግም ያስጀምሩ
- መለያዎችን ያግብሩ እና ያቦዝኑ
- የተጠቃሚ መለያ ይክፈቱ
- መለያ ሰርዝ
- ባዶ ቡድኖችን ያግኙ
- ተጠቃሚዎችን ወደ ቡድን ያክሉ
- የቡድን አባላትን ይዘርዝሩ
- ጊዜ ያለፈባቸው የኮምፒውተር መለያዎችን ያግኙ
- የኮምፒውተር መለያን አቦዝን
- ኮምፒውተሮችን በአይነት ያግኙ
በተጨማሪም ፣ ደራሲው ብሎግ ይይዛል (በእርግጥ PowerShellን በመጠቀም) ፣ እንዲመለከቱት እንመክራለን - jdhitsolutions.com/blog። እና በጣም ወቅታዊውን መረጃ ከእሱ Twitter ማግኘት ይችላሉ። twitter.com/jeffhicks.
ስለዚህ፣ “በPowerShell የተፈቱ ምርጥ 10 ንቁ የማውጫ ተግባራት” የጽሑፉ ትርጉም ከዚህ በታች አለ።
ዊንዶውስ ፓወር ሼልን በመጠቀም አክቲቭ ዳይሬክተሩን (AD) ማስተዳደር እርስዎ ከሚያስቡት በላይ ቀላል ነው፣ እና ላረጋግጥልዎ እፈልጋለሁ። በቀላሉ ከታች ያሉትን ስክሪፕቶች ወስደህ በርካታ የኤ.ዲ. አስተዳደር ስራዎችን ለመፍታት ልትጠቀምባቸው ትችላለህ።
መስፈርቶች
AD ለማስተዳደር PowerShellን ለመጠቀም ብዙ መስፈርቶችን ማሟላት አለብዎት። እንደ ምሳሌ ዊንዶውስ 7 ኮምፒተርን በመጠቀም AD cmdlets እንዴት እንደሚሠሩ ለማሳየት እሞክራለሁ።
cmdlets ለመጠቀም የዊንዶውስ አገልጋይ 2008 R2 ዶሜይን ተቆጣጣሪ ሊኖርዎት ይገባል፣ ወይም የActive Directory Management Gateway አገልግሎትን በውርስ ዲሲዎች ላይ ማውረድ እና መጫን ይችላሉ። እባክዎ ከመጫንዎ በፊት ሰነዶቹን በጥንቃቄ ያንብቡ; የሲዲ ዳግም ማስጀመር ያስፈልጋል።
በደንበኛው በኩል ለዊንዶውስ 7 ወይም ለዊንዶውስ 8 (RSAT) ያውርዱ እና ይጫኑ። በዊንዶውስ 7 ውስጥ መክፈት ያስፈልግዎታል የቁጥጥር ፓነሎችምዕራፍ ፕሮግራሞችእና ይምረጡ የዊንዶውስ ባህሪያትን ያብሩ ወይም ያጥፉ. አግኝ የርቀት አገልጋይ አስተዳደር መሳሪያዎችእና ክፍሉን ያስፋፉ የሚና አስተዳደር መሳሪያዎች. ለ AD DS እና AD LDS Tools ተገቢዎቹን ነገሮች ይምረጡ፣ በተለይም እቃው መመረጥ እንዳለበት ልብ ይበሉ ንቁ የማውጫ ሞዱል ለዊንዶውስ ፓወር ሼል, በስእል 1 እንደሚታየው (በዊንዶውስ 8 ሁሉም መሳሪያዎች በነባሪነት ተመርጠዋል). አሁን ለመስራት ዝግጁ ነን።
Fig.1 AD DS እና AD LDS መሳሪያዎችን ማንቃት
የጎራ አስተዳዳሪ መብቶች ባለው መለያ ገብቻለሁ። አብዛኛዎቹ የማሳያቸው cmdlets አማራጭ ምስክርነቶችን እንዲገልጹ ያስችልዎታል። በማንኛውም ሁኔታ እገዛውን እንዲያነቡ እመክራለሁ ( ያግኙ-እገዛ) እና ከዚህ በታች የማሳያቸው ምሳሌዎች።
የPowerShell ክፍለ ጊዜ ይጀምሩ እና ሞጁሉን ያስመጡ፡
PS C:\> አስመጪ-ሞዱል አክቲቭ ዳይሬክቶሪ
ማስመጣቱ አዲስ PSDrive ይፈጥራል፣ ግን አንጠቀምበትም። ነገር ግን፣ በመጣው ሞጁል ውስጥ ምን አይነት ትዕዛዞች እንደሚገኙ ማየት ይችላሉ።
PS C:\> ትዕዛዙን ያግኙ -ሞዱል አክቲቭ ዳይሬክተሩ
የእነዚህ ትእዛዛት ውበት በአንድ የ AD እቃ ላይ ትዕዛዝን መጠቀም ከቻልኩ በ 10, 100 እና እንዲያውም 1000 ላይ ጥቅም ላይ ሊውል ይችላል. ከእነዚህ cmdlets አንዳንዶቹ እንዴት እንደሚሠሩ እንይ.
ተግባር 1፡ የተጠቃሚ ይለፍ ቃል ዳግም ያስጀምሩ
በተለመደው ተግባር እንጀምር፡ የተጠቃሚውን የይለፍ ቃል ዳግም ማስጀመር። cmdlet በመጠቀም ይህንን በቀላሉ እና በቀላሉ ማድረግ ይችላሉ። የአካውንት የይለፍ ቃል አዘጋጅ. አስቸጋሪው ክፍል አዲሱ የይለፍ ቃል እንደ የተጠበቀ ሕብረቁምፊ ብቁ መሆን አለበት፡ የተመሰጠረ እና በPowerShell ክፍለ ጊዜ ውስጥ በማህደረ ትውስታ ውስጥ የሚከማች ቁራጭ። በመጀመሪያ፣ በአዲሱ የይለፍ ቃል ተለዋዋጭ እንፍጠር፡-
PS C:\> $ new=አንባቢ-አስተናጋጅ "አዲሱን የይለፍ ቃል አስገባ" -AsSecureString
ከዚያ አዲስ የይለፍ ቃል ያስገቡ፡-
አሁን መለያውን ማውጣት እንችላለን (በመጠቀም ስም መለያ ስም- ምርጥ አማራጭ) እና አዲስ የይለፍ ቃል ያዘጋጁ. ለተጠቃሚ ጃክ ፍሮስት ምሳሌ ይኸውና፡
PS C:\> አዘጋጅ-ADAccountPassword jfrost -NewPassword $ አዲስ
የአጋጣሚ ነገር ሆኖ በዚህ cmdlet ላይ ስህተት አለ፡- - ማለፊያ, - ምን ቢሆን, እና - አረጋግጥአትስራ። አቋራጭ ከመረጡ፣ ይህን ይሞክሩ፡-
PS C:\> አዘጋጅ-ADAccountPassword jfrost -NewPassword (ወደ ConvertTo-SecureString -AsPlainText -ሕብረቁምፊ "P@ssw0rd1z3" -force)
ጃክ በሚቀጥለው ጊዜ ሲገባ የይለፍ ቃሉን እንዲለውጥ እፈልጋለሁ፣ ስለዚህ መለያውን ተጠቅሜ አስተካክለው አዘጋጅ-ADUser.
PS C:\> አዘጋጅ-ADUser jfrost -የይለፍ ቃል ለውጥAtLogon $True
cmdlet ን የማስኬድ ውጤቶች በኮንሶሉ ላይ አልተፃፉም። ይህ መደረግ ካለበት, ይጠቀሙ - እውነት. ግን የ cmdlet ን በመጠቀም የተጠቃሚ ስም በማውጣት ክዋኔው የተሳካ መሆኑን ወይም አለመሆኑን ማወቅ እችላለሁ አግኝ-ADUserእና ንብረቱን በመጥቀስ የይለፍ ቃል ጊዜው አልፎበታል።በስእል 2 እንደሚታየው።
ሩዝ. 2. የ Get-ADUser Cmdlet በይለፍ ቃል ጊዜው ያለፈበት ንብረት ያለው ውጤት
ቁም ነገር፡- PowerShellን በመጠቀም የተጠቃሚውን የይለፍ ቃል ዳግም ማስጀመር ከባድ አይደለም። የይለፍ ቃሉን እንደገና ማቀናበር እንዲሁ በቀላሉ በመግቢያው በኩል ቀላል እንደሆነ አምናለሁ። ንቁ የማውጫ ተጠቃሚዎች እና ኮምፒተሮችኮንሶሎች የማይክሮሶፍት አስተዳደር ኮንሶል (ኤምኤምሲ)።ነገር ግን አንድን ተግባር በውክልና መስጠት ከፈለጉ፣ ከላይ የተጠቀሰውን ስናፕ መግባት ካልፈለጉ ወይም የይለፍ ቃል እንደ ትልቅ አውቶሜትድ የአይቲ ሂደት አካል ከሆነ PowerShellን መጠቀም ተገቢ ነው።
ተግባር 2፡ መለያዎችን ያንቁ እና ያቦዝኑ
አሁን መለያውን እናቦዝነው። ከጃክ ፍሮስት ጋር መስራታችንን እንቀጥል። ይህ ኮድ መለኪያውን ይጠቀማል - ምን ቢሆን, ትዕዛዜን ሳያስኬድ ለመፈተሽ ለውጦችን በሚያደርጉ ሌሎች ኮሜዲዎች ውስጥ ማግኘት ይችላሉ.
PS C:\> አሰናክል-ADAccount jfrost -whatif ምን ቢሆን: በዒላማው ላይ "Set" ክወናን በማከናወን ላይ "CN=Jack Frost, OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local"።
አሁን በትክክል እናቦዝነው፡-
PS C:\> አሰናክል-ADAAccount jfrost
እና መለያውን ለማንቃት ጊዜው ሲደርስ የትኛው cmdlet ይረዳናል?
PS C:\> አንቃ-ADAccount jfrost
እነዚህ cmdlets በቧንቧ መስመር ውስጥ ጥቅም ላይ ሊውሉ ይችላሉ, ይህም የፈለጉትን ያህል መለያዎችን እንዲያነቁ ወይም እንዲያቦዝኑ ያስችልዎታል. ለምሳሌ፣ ይህ ኮድ በሽያጭ ክፍል ውስጥ ያሉትን ሁሉንም መለያዎች ያሰናክላል
PS C:\> get-aduser -filter "ክፍል -eq "ሽያጭ" | ማሰናከል-አካውንት።
በእርግጥ ማጣሪያ ይጻፉ ለ አግኝ-ADUserበጣም የተወሳሰበ ነው ፣ ግን የመለኪያው አጠቃቀም እዚህ ነው። - ምን ቢሆንከ cmdlet ጋር አሰናክል-ADA መለያለማዳን ይመጣል።
ተግባር 3፡ የተጠቃሚ መለያውን ይክፈቱ
አዲስ የይለፍ ቃል ለማስገባት ሲሞክር ጃክ መለያውን የቆለፈበትን ሁኔታ ተመልከት። የእሱን መለያ በ GUI በኩል ለማግኘት ከመሞከር ይልቅ የመክፈቻ ሂደቱ በቀላል ትዕዛዝ ሊከናወን ይችላል.
PS C:\> ክፈት-ADAAccount jfrost
cmdlet እንዲሁ መለኪያዎችን ይደግፋል - ምን ቢሆንእና - አረጋግጥ.
ተግባር 4፡ መለያ ሰርዝ
ምን ያህል ተጠቃሚዎችን ብታስወግዱ ምንም ችግር የለውም - cmdlet ን በመጠቀም ማድረግ ቀላል ነው። አስወግድ-ADUser. ጃክ ፍሮስትን ማስወገድ አልፈልግም ፣ ግን ከፈለግኩ እንደዚህ ያለ ኮድ እጠቀማለሁ
PS C:\> Remove-ADUser jfrost -whatif ምን ቢሆን: በዒላማው ላይ "Remove" ክወናን በማከናወን ላይ "CN=Jack Frost,OU=staff,OU=Test,DC=GLOBOMANTICS,DC=local"።
ወይም ብዙ ተጠቃሚዎችን አስገብቼ በአንድ ቀላል ትዕዛዝ መሰረዝ እችላለሁ፡-
PS C:\> get-aduser -filter "enabled -eq"false" -ንብረት ሲቀየር -SearchBase "OU=ተቀጣሪዎች፣ DC=ግሎቦማንቲክስ፣DC=አካባቢ" | የት ($_. ሲቀየር -le (የማግኘት-ቀን)) .ተጨማሪ ቀናት (-180)) | አስወግድ-ADuser -ምንድን ነው።
ይህ ትዕዛዝ ለ180 ቀናት ወይም ከዚያ በላይ ያልተሻሻሉ ሁሉንም የአካል ጉዳተኛ ሰራተኞች OU መለያዎችን ያገኛል እና ይሰርዛል።
ተግባር 5፡ ባዶ ቡድኖችን መፈለግ
ቡድኖችን ማስተዳደር ማለቂያ የሌለው እና ምስጋና የሌለው ተግባር ነው። ባዶ ቡድኖችን ለማግኘት ብዙ መንገዶች አሉ። አንዳንድ አገላለጾች እንደ ድርጅትዎ ላይ በመመስረት ከሌሎቹ በተሻለ ሁኔታ ሊሠሩ ይችላሉ። ከታች ያለው ኮድ አብሮ የተሰሩትን ጨምሮ በጎራው ውስጥ ያሉትን ሁሉንም ቡድኖች ያገኛል።
PS C:\> ማግኘት-adgroup -ማጣሪያ * | የት (-አይደለም ($_ | የቡድን አባል)) | ስም ይምረጡ
በመቶዎች የሚቆጠሩ አባላት ያሏቸው ቡድኖች ካሉዎት ይህንን ትእዛዝ መጠቀም ረጅም ጊዜ ሊወስድ ይችላል ። አግኝ-ADGroup አባልእያንዳንዱን ቡድን ይፈትሻል. መገደብ ወይም ማበጀት ከቻሉ የተሻለ ይሆናል።
ሌላ አቀራረብ እነሆ፡-
PS C:\> get-adgroup -filter "አባላት -የማይወዱ"*" -እና የቡድን ስኮፕ -eq "ሁለንተናዊ" -SearchBase "OU=ቡድኖች፣OU=ተቀጣሪዎች፣DC=ግሎቦማንቲክስ፣ዲሲ=አካባቢ" | ስም ፣ ቡድን * ይምረጡ
ይህ ትዕዛዝ በ OU ቡድኖች ውስጥ አባልነት የሌላቸውን ሁሉንም ሁለንተናዊ ቡድኖችን ያገኛል እና አንዳንድ ንብረቶችን ያሳያል። ውጤቱ በስእል 3 ይታያል. 
ሩዝ. 3. ሁለንተናዊ ቡድኖችን ይፈልጉ እና ያጣሩ
ተግባር 6፡ ተጠቃሚዎችን ወደ ቡድን ማከል
ጃክ ፍሮስትን ወደ ቺካጎ አይቲ ቡድን እንጨምር፡-
PS C:\> add-adgroupmember "ቺካጎ አይቲ" -አባላት jfrost
አዎ ያን ያህል ቀላል ነው። እንዲሁም በመቶዎች የሚቆጠሩ ተጠቃሚዎችን በቀላሉ ወደ ቡድኖች ማከል ትችላለህ፣ ምንም እንኳን ይህ ትንሽ የሚያስቸግር ሆኖ አግኝቼዋለሁ፡-
PS C:\> አክል-ADGroup አባል "የቺካጎ ሰራተኞች" - አባል (get-aduser -filter "ከተማ -eq "ቺካጎ"))
በቺካጎ ውስጥ የከተማው ንብረት ያላቸውን ሁሉንም ተጠቃሚዎች ለማግኘት በቅንፍ የተሰራውን አገላለጽ ተጠቀምኩ። በቅንፍ ውስጥ ያለው ኮድ ይፈጸማል እና የተገኙት ነገሮች ወደ -አባል መለኪያ ይተላለፋሉ። እያንዳንዱ የተጠቃሚ ነገር ወደ የቺካጎ ተቀጣሪዎች ቡድን ይታከላል። ከ5 ወይም 5000 ተጠቃሚዎች ጋር እየተገናኘን ብንሆን ምንም ለውጥ አያመጣም፣ የቡድን አባልነቶችን ማዘመን ጥቂት ሰከንዶች ብቻ ይወስዳል። ይህ አገላለጽም በመጠቀም ሊጻፍ ይችላል። ለእያንዳንዱ-ነገርየበለጠ ምቹ ምን ሊሆን ይችላል
PS C:\> Get-ADUser -filter "ከተማ -eq "ቺካጎ" | foreach (አክል-ADGroup አባል "የቺካጎ ሰራተኞች" - አባል $_)
ተግባር 7፡ የቡድን አባላትን ይዘርዝሩ
በተወሰነ ቡድን ውስጥ ማን እንዳለ ማወቅ ይፈልጉ ይሆናል። ለምሳሌ፣ የጎራ አስተዳዳሪዎች ቡድን አባል ማን እንደሆነ በየጊዜው ማወቅ አለቦት፡-
PS C:\> የADGroup አባል ያግኙ "የጎራ አስተዳዳሪዎች"
ምስል 4 ውጤቱን ያሳያል.
ሩዝ. 4. የጎራ አስተዳዳሪዎች ቡድን አባላት
cmdlet ለእያንዳንዱ የቡድን አባል AD ነገር ያሳያል። ከጎጆ ቡድኖች ጋር ምን ይደረግ? የእኔ ቡድን የቺካጎ ሁሉም ተጠቃሚዎች የጎጆ ቡድኖች ስብስብ ነው። የሁሉንም መለያዎች ዝርዝር ለማግኘት መለኪያውን ብቻ መጠቀም አለብኝ - ተደጋጋሚ.
PS C:\> ያግኙ-ADGroup አባል "ቺካጎ ሁሉም ተጠቃሚዎች" -Recursive | ልዩ ስም ይምረጡ
በሌላ መንገድ መሄድ ከፈለጉ - ተጠቃሚው በየትኞቹ ቡድኖች ውስጥ እንዳለ ይፈልጉ - የተጠቃሚውን ንብረት ይጠቀሙ አባል:
PS C:\> get-aduser jfrost -ንብረት አባል | ይምረጡ -ExpandProperty አባልየ CN=አዲስ ሙከራ፣OU=ቡድኖች፣OU=ሰራተኞች፣ DC=GLOBOMANTICS፣DC=local CN=ቺካጎ ሙከራ፣OU=ቡድኖች፣OU=ሰራተኞች፣ DC=GLOBOMANTICS፣DC=አካባቢያዊ CN=ቺካጎ IT፣OU= ቡድኖች፣OU=ተቀጣሪዎች፣ DC=GLOBOMANTICS፣DC=local CN=ቺካጎ የሽያጭ ተጠቃሚዎች፣OU=ቡድኖች፣OU=ተቀጣሪዎች፣ DC=GLOBOMANTICS፣DC=local
መለኪያውን ተጠቀምኩኝ - ንብረት ዘርጋስሞችን ለማሳየት አባልእንደ መስመሮች.
ተግባር 8፡ ያረጁ የኮምፒውተር መለያዎችን ያግኙ
ይህን ጥያቄ ብዙ ጊዜ እጠይቀዋለሁ፡ “የጊዜ ያለፈባቸውን የኮምፒውተር መለያዎች እንዴት ማግኘት እችላለሁ?” እና ሁል ጊዜ መልስ እሰጣለሁ፡- “ያረጀህ ምንድን ነው?” ኩባንያዎች ኮምፒዩተር (ወይም ተጠቃሚ፣ ምንም ይሁን ምን) መለያ ጊዜ ያለፈበት እንደሆነ እና ከአሁን በኋላ ጥቅም ላይ መዋል በማይችልበት ጊዜ የተለያዩ ትርጓሜዎች አሏቸው። ለእኔ፣ የይለፍ ቃሎቻቸው ለተወሰነ ጊዜ ያልተቀየሩትን መለያዎች ትኩረት እሰጣለሁ። ይህ ጊዜ ለእኔ 90 ቀናት ነው - በዚህ ጊዜ ውስጥ ኮምፒዩተሩ የይለፍ ቃሉን ከጎራው ጋር ካልቀየረ ምናልባት ከመስመር ውጭ እና ጊዜው ያለፈበት ነው። Cmdlet ጥቅም ላይ ውሏል አግኝ-ADComputer:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012" -properties *| ስም ምረጥ፣ የይለፍ ቃል የመጨረሻ አዘጋጅ
ማጣሪያው ከጠንካራ እሴት ጋር በጥሩ ሁኔታ ይሰራል፣ ነገር ግን ይህ ኮድ ከጃንዋሪ 1፣ 2012 ጀምሮ የይለፍ ቃሎቻቸውን ላልቀየሩ የኮምፒውተር መለያዎች ሁሉ ይዘምናል። ውጤቶቹ በስእል 5 ይታያሉ።
ሩዝ. 5. ጊዜ ያለፈባቸው የኮምፒውተር መለያዎችን ያግኙ
ሌላው አማራጭ፡ ቢያንስ በዊንዶውስ 2003 ዶሜሽን ተግባራዊ ደረጃ ላይ እንዳሉ እናስብ የመጨረሻው የLogontime ማህተም. ይህ ዋጋ ከጃንዋሪ 1፣ 1601 ጀምሮ የ100 ናኖሴኮንድ ክፍተቶች ብዛት ነው፣ እና በጂኤምቲ ውስጥ ተከማችቷል፣ ስለዚህ ከዚህ እሴት ጋር መስራት ትንሽ አስቸጋሪ ነው።
PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -ንብረቶች * | ስም ይምረጡ,lastlogontimestamp, @ (ስም = "የመጨረሻው Logon"; መግለጫ = (:: ከፋይል ጊዜ ($ _.Lastlogontime ማህተም))), የይለፍ ቃልlastset | LastLogonTime Stamp ደርድር
ሩዝ. 6. የ LastLogonTimeStamp ዋጋን ወደሚታወቅ ቅርጸት ይለውጡ
ማጣሪያ ለመፍጠር ቀኑን ለምሳሌ ጥር 1 ቀን 2012 ወደ ትክክለኛው ቅርጸት መለወጥ አለብኝ። ልወጣ የሚከናወነው በፋይልታይም ውስጥ ነው፡-
PS C:\> $ cutoff=(የማግኘት ቀን "1/1/2012")።ወደፋይልታይም() PS C:\> $ cutoff 129698676000000000
አሁን ይህን ተለዋዋጭ በማጣሪያው ውስጥ መጠቀም እችላለሁ አግኝ-ADComputer:
PS C:\> Get-ADComputer - ማጣሪያ "(lastlogontimestamp -lt $cutoff) -ወይም (የመጨረሻ ጊዜ ማህተም -የማይመስል "*")" -ንብረት * | ስም ፣የላስትሎጎን የጊዜ ማህተም ፣የይለፍ ቃል የመጨረሻ አዘጋጅ
ከላይ ያለው ኮድ በስእል 5 የሚታዩትን ተመሳሳይ ኮምፒውተሮችን ያገኛል።
ተግባር 9፡ የኮምፒውተር መለያውን አቦዝን
ምናልባት የቦዘኑ ወይም ያረጁ መለያዎች ሲያገኙ ማቦዘን ይፈልጋሉ። ይህን ማድረግ በጣም ቀላል ነው። ከተጠቃሚ መለያዎች ጋር ለመስራት የተጠቀምነውን ተመሳሳይ cmdlet እንጠቀማለን። በመጠቀም ግልጽ ማድረግ ይችላሉ ስም መለያ ስምመለያ
PS C:\> አሰናክል-ADAccount -Identity "chi-srv01$" -ምን ከሆነ: በዒላማው ላይ "አዘጋጅ" ክወናን በማከናወን ላይ "CN=CHI-SRV01, CN=Computers,DC=GLOBOMANTICS,DC=local".
ወይም የቧንቧ መስመር መግለጫን በመጠቀም፡-
PS C:\> get-adcomputer "chi-srv01" | አሰናክል-ADA መለያ
እንዲሁም ጊዜ ያለፈባቸውን መለያዎች ለማግኘት እና ሁሉንም ለማቦዘን የእኔን ኮድ መጠቀም እችላለሁ፡-
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012" -properties *| አሰናክል-ADA መለያ
ተግባር 10፡ ኮምፒውተሮችን በአይነት ያግኙ
በተጨማሪም ብዙ ጊዜ የኮምፒዩተር አካውንቶችን በአይነት እንዴት ማግኘት እንደምችል እንደ አገልጋይ ወይም የስራ ቦታ እጠይቃለሁ። ይህ በእርስዎ በኩል አንዳንድ ፈጠራዎችን ይጠይቃል። በ AD ውስጥ አገልጋይን ከደንበኛ የሚለይ ምንም ነገር የለም፣ ከስርዓተ ክወናው በስተቀር። ኮምፒውተርዎ ዊንዶውስ ሰርቨር 2008ን የሚያሄድ ከሆነ ጥቂት ተጨማሪ እርምጃዎችን ማድረግ አለቦት።
በመጀመሪያ የስርዓተ ክወናዎችን ዝርዝር ማግኘት አለብዎት, እና ከዚያ መለያዎችን በሚገኙ ስርዓተ ክወናዎች እናጣራለን.
PS C:\> አግኝ-ADComputer -ማጣሪያ * -Properties Operating System | OperatingSystem ይምረጡ - ልዩ | የክወና ስርዓት ደርድር
ውጤቶቹ በስእል 7 ይታያሉ።
ሩዝ. 7. የስርዓተ ክወና ዝርዝሩን ሰርስሮ ማውጣት
የአገልጋይ ስርዓተ ክወናን የሚያሄዱ ሁሉንም ኮምፒተሮች ማግኘት እፈልጋለሁ፡-
PS C:\> Get-ADComputer -የማጣራት "ኦፕሬቲንግ ሲስተም -እንደ"* አገልጋይ*" -ንብረቶች ኦፕሬቲንግ ሲስተም፣የኦፐሬቲንግ ሲስተም የአገልግሎት ፓክ | ስም ይምረጡ, ኦፕ * | ቅርጸት-ዝርዝር
ውጤቶቹ በስእል 8 ይታያሉ።
ልክ እንደሌሎች AD Get cmdlets፣ የፍለጋ መለኪያዎችን ማበጀት እና አስፈላጊ ከሆነ ጥያቄውን ለተወሰኑ OUዎች መገደብ ይችላሉ። ሁሉም ያሳየኋቸው አገላለጾች ወደ ትላልቅ የPowerShell አባባሎች ሊዋሃዱ ይችላሉ። ለምሳሌ፣ መደርደር፣ መመደብ፣ ማጣሪያዎችን መተግበር፣ ወደ CSV መላክ ወይም የኤችቲኤምኤል ሪፖርቶችን መፍጠር እና ኢሜይል ማድረግ ይችላሉ - ሁሉም ከPowerShell! በዚህ አጋጣሚ, አንድ ነጠላ ስክሪፕት መጻፍ አያስፈልግዎትም.
ጉርሻ ይኸውልህ፡ የተጠቃሚ የይለፍ ቃል-የዕድሜ ሪፖርት፣ በኤችቲኤምኤል ፋይል ውስጥ ተቀምጧል፡
PS C:\> Get-ADUser -ማጣሪያ "ነቅቷል -eq "እውነት" -እና የይለፍ ቃል በጭራሽ አያልቅም -eq "ሐሰት" -የይለፍ ቃል የመጨረሻው አዘጋጅ፣የይለፍ ቃል በጭራሽ አያልቅም፣የይለፍ ቃል ጊዜው አልፎበታል | Distinguished Name, Name, Pass*,@(Name="PasswordAge"፤ Expression=((Get-Date)-$_.PasswordLastSet)) |የይለፍ ቃል ደርድር - መውረድ | ወደ ኤችቲኤምኤል ቀይር - ርዕስ "የይለፍ ቃል ዕድሜ ሪፖርት" | Out-File c:\Work\pwage.htm !}
ምንም እንኳን ይህ አገላለጽ ትንሽ የሚያስፈራ ቢመስልም በትንሹ የPowerShell እውቀት ለመጠቀም ቀላል ነው። እና አንድ የመጨረሻ ምክር ብቻ ይቀራል፡ ብጁ ንብረት እንዴት እንደሚገለፅ የይለፍ ቃል ዕድሜ. እሴቱ ዛሬ እና በPasswordLastSet ንብረት መካከል ያለውን ክፍተት ይወክላል። ከዚያም ውጤቶቹን ለአዲሱ ንብረቴ አደራጃለሁ። ምስል 9 የእኔን ትንሽ የሙከራ ጎራ ውጤት ያሳያል።
ተሻሽሏል፡
ልጥፉ በፖርታሉ ላይ የጽሁፉን ትርጉም ይዟል
አንዴ Active Directory ከተጫነ ነገሮችን መፍጠር እና ማስተዳደር መጀመር ይችላሉ።
6.5.1. በውስጣቸው ክፍሎች እና እቃዎች መፈጠር
6.5.1.1. የድርጅት ክፍሎችን መፍጠር (OU)
OU በጎራ፣ በዶሜይን ተቆጣጣሪ ነገር ወይም በሌላ OU ውስጥ ሊፈጠር ይችላል (ምስል 6.3)። በተፈጠረው OP ላይ እቃዎችን ማከል ይችላሉ.
OU ለመፍጠር፣ OU በሚፈጠርበት ቦታ ክፍሎችን ወደ ወላጅ OU፣ ጎራ ወይም የጎራ ተቆጣጣሪ መስቀለኛ መንገድ የመጨመር ስልጣን ሊኖርህ ይገባል። በነባሪ እነዚህ ስልጣኖች ለአስተዳዳሪዎች ቡድን ተሰጥተዋል።
strators)።
በአብዛኛዎቹ መደበኛ አውዶች OP መፍጠር አይችሉም።
እንደ ኮምፒውተሮች ወይም ተጠቃሚዎች ያሉ።
ሩዝ. 6.3. EP መምሪያ OTZI በጎራ መቆጣጠሪያ መስቀለኛ መንገድ
OPs የተፈጠሩት የኔትወርክ አስተዳደርን ለማቃለል ነው። የ EP መዋቅር በልዩ የማስታወቂያ ስራዎች ላይ የተመሰረተ መሆን አለበት.
ማገልገል. በቀላሉ የኦፒን መዋቅር መቀየር ወይም ነገሮችን በኦፒኤስ መካከል ማንቀሳቀስ ትችላለህ።
OPs የሚፈጠሩት በሚከተሉት ሁኔታዎች ነው።
ለሌሎች ተጠቃሚዎች ወይም አስተዳዳሪዎች አስተዳደራዊ መብቶችን ለመስጠት;
ተመሳሳይ የአስተዳደር ስራዎች የሚከናወኑባቸውን ነገሮች በቡድን ማድረግ; ይህ ለተመሳሳይ የአውታረ መረብ ሀብቶች ፍለጋን እና ጥገናቸውን ያመቻቻል - ስለዚህ ሁሉንም ዕቃዎች በአንድ OP ውስጥ ማዋሃድ ይችላሉ።ለጊዜያዊ ሰራተኞች ተጠቃሚ;
በአክቲቭ ዳይሬክተሩ ማከማቻ ውስጥ የአውታረ መረብ ሀብቶችን ታይነት ለመገደብ ተጠቃሚዎች መዳረሻ ያላቸውን ነገሮች ብቻ ያያሉ ። የ OP ፈቃዶች በቀላሉ ሊለወጡ ይችላሉ, ይህም ሚስጥራዊ መረጃን መድረስን ይገድባል.
6.5.1.2. ነገሮችን ወደ OP ማከል
ነገሮችን ወደ OP ለማከል፣ በውስጡ ተገቢ የሆኑ ፈቃዶች ሊኖሩዎት ይገባል። በነባሪ፣ እነዚህ መብቶች ለአስተዳዳሪዎች ቡድን ተሰጥተዋል። የተፈጠሩት የነገሮች አይነቶች በስርዓተ-ፆታ ህጎች እና ጥቅም ላይ በሚውለው ጠንቋይ ወይም ስናፕ ውስጥ ይወሰናሉ። የአንድ ነገር አንዳንድ ባህሪያት ሊወሰኑ የሚችሉት ከተፈጠረ በኋላ ብቻ ነው።
6.5.2. ንቁ የማውጫ ዕቃዎችን ማስተዳደር
ንቁ የማውጫ ዕቃዎችን ማስተዳደር ነገሮችን መፈለግ፣ መለወጥ፣ ማጥፋት ወይም ማንቀሳቀስን ያጠቃልላል። በመጨረሻዎቹ ሁለት ጉዳዮች ላይ ለዕቃው ወይም ለ OP እቃውን ለሚንቀሳቀሱበት ተስማሚ ፍቃዶች ሊኖርዎት ይገባል. በነባሪነት ሁሉም የአስተዳዳሪዎች ቡድን አባላት እነዚህ ፈቃዶች አሏቸው።
6.5.2.1. ዕቃዎችን ይፈልጉ
ዓለም አቀፍ ካታሎግ (ጂሲ) ሙሉውን ካታሎግ ከፊል ቅጂ ይይዛል እና ስለ ሁሉም ነገሮች በጎራ ዛፍ ወይም ጫካ ውስጥ መረጃን ያከማቻል። ስለዚህ ተጠቃሚው በጎራ ወይም በጫካ ውስጥ የሚገኝ ቦታ ምንም ይሁን ምን አንድ ነገር ማግኘት ይችላል። የፍትሐ ብሔር ሕጉ ይዘቶች የሚመነጩት ካታሎግ ባዘጋጁት ጎራዎች በተገኘ መረጃ ነው።
ዕቃዎችን ለመፈለግ በፕሮግራሙ ቡድን ውስጥ የአስተዳደር መሳሪያዎች ውስጥ የሚገኘውን snap-inን ይክፈቱ። በኮንሶል ዛፍ ላይ በቀኝ ጠቅ ያድርጉ
ጎራውን ወይም OP ን ጠቅ ያድርጉ እና በአውድ ምናሌው ውስጥ አግኝ ትዕዛዙን ይምረጡ። የአግኝ መገናኛ ሳጥን ይከፈታል።
(ፈልግ) (ምስል 6.4).
ሩዝ. 6.4. የንግግር ሳጥንን ያግኙ
የአንድን ነገር አውድ ሜኑ ካስፋፉ የተጋራ አቃፊእና አግኝ ትዕዛዙን ይምረጡ
(አግኝ) ፣ የዊንዶውስ ኤክስፕሎረር ፍለጋ ተግባር ይጀመራል እና የተጋራውን አቃፊ ለፋይሎች እና ንዑስ አቃፊዎች መፈለግ ይችላሉ።
የአግኝ መገናኛ ሳጥን መለያዎችን፣ ቡድኖችን እና አታሚዎችን እንድታገኝ የሚያስችል የGL ፍለጋ አማራጮችን ያካትታል።
6.5.2.2. የባህሪ እሴቶችን መለወጥ
እና ዕቃዎችን መሰረዝ
የባህሪ እሴቶችን ለመቀየር Ac-Snap-inን ይክፈቱ
tive ማውጫ ተጠቃሚዎች እና ኮምፒውተሮች እና የነገር ምሳሌን ይምረጡ
ታ. ከድርጊት ሜኑ ውስጥ Properties የሚለውን ይምረጡ። በነገር ንብረቶች መገናኛ ውስጥ
ፕሮጀክት, የተፈለገውን ነገር ባህሪያት ይለውጡ. ከዚያ በነገሩ መግለጫ ላይ ለውጦችን ያድርጉ፣ ለምሳሌ የተጠቃሚውን ነገር የተጠቃሚውን ስም፣ አካባቢ እና የኢሜይል አድራሻ ለመቀየር ይጠቀሙ። እቃዎቹ ከአሁን በኋላ የማይፈለጉ ከሆኑ ለደህንነት ሲባል ይሰርዟቸው፡ የነቃ ማውጫ ተጠቃሚዎችን እናን በመክፈት
ኮምፒውተሮች ፣ የሚሰረዙትን ነገሮች ምሳሌ ይምረጡ እና ከድርጊት ምናሌ ውስጥ ሰርዝን ይምረጡ
(ሰርዝ)።
6.5.2.3. የሚንቀሳቀሱ ነገሮች
በActive Directory ማከማቻ ውስጥ አንድ ሰራተኛ ከአንድ ክፍል ወደ ሌላ ክፍል ሲዘዋወር በድርጅቱ መዋቅር ላይ ለውጦችን ለማንፀባረቅ ነገሮችን ለምሳሌ በOUs መካከል ማንቀሳቀስ ይችላሉ።
ጎይ ይህንን ለማድረግ, ስናፕን ይክፈቱ ንቁ የማውጫ ተጠቃሚዎች እና ኮም-
puters , የሚንቀሳቀስ ነገርን ይምረጡ, ከድርጊት ሜኑ ውስጥ የእንቅስቃሴ ትዕዛዙን ይምረጡ እና
የነገሩን አዲስ ቦታ ይግለጹ.
6.5.3. የActive Directory ዕቃዎች መዳረሻን መቆጣጠር
የActive Directory ነገሮች መዳረሻን ለመቆጣጠር ከNTFS የደህንነት ሞዴል ጋር ተመሳሳይ በሆነ ነገር ላይ ያተኮረ የደህንነት ሞዴል ጥቅም ላይ ይውላል።
እያንዳንዱ አክቲቭ ዳይሬክተሪ ነገር ማን የነገሩን መዳረሻ እና የመዳረሻ አይነት የሚወስን የደህንነት ገላጭ አለው። ዊንዶውስ አገልጋይ የነገሮችን መዳረሻ ለመቆጣጠር የደህንነት ገላጭዎችን ይጠቀማል።
አስተዳደርን ለማቃለል፣ በ OP ውስጥ ተመሳሳይ የደህንነት መስፈርቶች ያላቸውን ነገሮች መቧደን እና ለጠቅላላው OP እና በውስጡ ላሉት ነገሮች ሁሉ የመዳረሻ ፈቃዶችን መስጠት ይችላሉ።
6.5.3.1. ንቁ የማውጫ ፈቃዶችን ማስተዳደር
የActive Directory ፍቃዶች የነገሮችን ወይም የነገር ባህሪያትን መዳረሻ እንድትቆጣጠሩ እና የሚሰጠውን የመዳረሻ አይነት እንድትወስኑ በመፍቀድ ሃብቶችን ይጠብቃል።
ንቁ የማውጫ ጥበቃ
ተጠቃሚዎች ነገሩን ከመድረሳቸው በፊት የአንድ ነገር አስተዳዳሪ ወይም ባለቤት የአንድ ነገር መዳረሻ ፈቃዶችን መስጠት አለባቸው። ዊንዶውስ አገልጋይ ለእያንዳንዱ የመዳረሻ መቆጣጠሪያ ዝርዝር (ኤሲኤልኤል) ይይዛል
ኛ Active Directory ነገር።
የነገር ACL ነገሩን እንዲደርሱ የተፈቀደላቸው የተጠቃሚዎች ዝርዝር እና እንዲሁም በእቃው ላይ የተፈቀዱ የእርምጃዎች ስብስብ ያካትታል።
ሌሎችን ለማስተዳደር አስተዳደራዊ ፈቃዶችን ሳይሰጡ ለአንድ የተወሰነ ተጠቃሚ ወይም ቡድን ለPO፣ ለPO ተዋረድ ወይም ለግለሰብ ነገር አስተዳደራዊ ፈቃዶችን ለመመደብ ፈቃዶችን መጠቀም ይችላሉ።
ሌሎች ንቁ የማውጫ ዕቃዎች.
የነገር መዳረሻ ፈቃዶች
እንደ ዕቃው አይነት ይወሰናል - ለምሳሌ የይለፍ ቃል ዳግም ማስጀመር ፍቃዱ የሚሰራው ለተጠቃሚ ነገሮች ነው ነገር ግን ለዕቃዎች አይደለም
ኮምፒውተር.
አንድ ተጠቃሚ የበርካታ ቡድኖች አባል ሊሆን ይችላል፣ ለእያንዳንዱ ቡድን የተለያየ ፍቃድ ያለው፣ የተለያዩ የነገሮችን መዳረሻ ደረጃ ይሰጣል። ሌላ ፈቃዶች ላለው ቡድን አባል ለአንድ ነገር ፈቃድ ስትሰጥ የተጠቃሚው ውጤታማ መብቶች የፈቃዱ ድምር እና የቡድኑ ፈቃዶች ናቸው።
ፈቃዶችን መስጠት ወይም መሻር ይችላሉ። ለተጠቃሚዎች እና ቡድኖች የተሻሩ ፈቃዶች ከማንኛውም የተፈቀዱ ፍቃዶች ይቀድማሉ።
አንድ ተጠቃሚ አንድ ነገር እንዳይደርስበት ከተከለከለ፣ ተጠቃሚው እንደ ባለስልጣን ቡድን አባልነት እንኳን ሊያገኘው አይችልም።
የActive Directory ፈቃዶችን መመደብ
ስናፕ መግባቱ የነገሮችን እና ባህሪያቸውን ፍቃዶች እንዲያዋቅሩ ይፈቅድልዎታል። ንቁ የማውጫ ተጠቃሚዎች እና ኮምፒተሮች. ጊዜ መድብ
መፍትሄዎች በትሩ ላይም ሊገኙ ይችላሉ ደህንነትየነገር ንብረቶች የንግግር ሳጥን።
መደበኛ ፍቃዶች አብዛኞቹን አስተዳደራዊ ተግባራት ለማከናወን በቂ ናቸው።
እ.ኤ.አ. በ 2002 ፣ በምወደው ዩኒቨርሲቲ የኮምፒተር ሳይንስ ክፍል ኮሪደሩ ላይ ስጓዝ ፣ በ “NT Systems” ቢሮ በር ላይ አዲስ ፖስተር አየሁ። ፖስተሩ የተጠቃሚ መለያ አዶዎችን በቡድን ተከፋፍሏል፣ ከነሱም ቀስቶች ወደ ሌሎች አዶዎች ያመራሉ ። ይህ ሁሉ በስነ-ስርዓት ወደ አንድ የተወሰነ መዋቅር ተጣምሯል ፣ ስለ አንድ ነጠላ የምልክት ስርዓት ፣ ፈቃድ እና የመሳሰሉት አንድ ነገር ተጽፎ ነበር። እኔ እስከገባኝ ድረስ ያ ፖስተር የWindows NT 4.0 Domains እና Windows 2000 Active Directory ስርዓቶችን አርክቴክቸር ያሳያል። ከዚያን ጊዜ ጀምሮ ከአክቲቭ ዳይሬክተሩ ጋር የመጀመሪያ ትውውቅ ጀመርኩ እና ወዲያውኑ አከተመ፣ ከዚያም ከባድ ክፍለ ጊዜ ነበረ፣ አስደሳች የእረፍት ጊዜ ነበር፣ ከዚያ በኋላ አንድ ጓደኛዬ FreeBSD 4 እና Red Hat Linux ዲስኮችን አጋርቷል፣ እና ለሚቀጥሉት ጥቂት አመታት ወደ አለም ዘልቄ ገባሁ። የዩኒክስ መሰል ሥርዓቶች፣ ግን የፖስተሩን ይዘት ፈጽሞ አልረሳውም።
በዊንዶውስ አገልጋይ መድረክ ላይ ወደ ሲስተሞች መመለስ ነበረብኝ እና ወደ አንድ ኩባንያ ለመስራት ስሄድ የአጠቃላይ የአይቲ መሠረተ ልማት አስተዳደር በActive Directory ላይ የተመሰረተ ከሆነ ከእነሱ ጋር በደንብ መተዋወቅ ነበረብኝ። የዚያ ኩባንያ ዋና አስተዳዳሪ ስለ አንዳንድ የነቃ ዳይሬክቶሬት ምርጥ ልምዶች በየስብሰባው አንድ ነገር ይደግሙ እንደነበር አስታውሳለሁ። አሁን፣ ከActive Directory ጋር ከ8 ዓመታት ወቅታዊ ግንኙነት በኋላ፣ ይህ ስርዓት እንዴት እንደሚሰራ እና የነቃ ዳይሬክቶሬት ምርጥ ልምዶች ምን እንደሆኑ በደንብ ተረድቻለሁ።
ምናልባት እርስዎ አስቀድመው እንደገመቱት፣ ስለ አክቲቭ ዳይሬክተሩ እንነጋገራለን።
በዚህ ርዕስ ላይ ፍላጎት ያለው ማንኛውም ሰው ወደ ድመት እንኳን ደህና መጡ.
እነዚህ ምክሮች ከዊንዶውስ 7 እና ከዚያ በላይ ለሚጀምሩ የደንበኛ ስርዓቶች፣ ለጎራዎች እና ደኖች በWindows Server 2008/R2 ደረጃ እና ከዚያ በላይ ለሆኑ ናቸው።
መደበኛነት
የንቁ ዳይሬክቶሬትን ማቀድ መጀመር ያለበት እቃዎችን ለመሰየም እና በማውጫው ውስጥ ያሉበትን መመዘኛዎች በማዘጋጀት ነው። ሁሉንም አስፈላጊ ደረጃዎች የሚገልጽ ሰነድ መፍጠር አስፈላጊ ነው. በእርግጥ ይህ ለ IT ባለሙያዎች በጣም የተለመደ ምክር ነው. "መጀመሪያ ሰነዶችን እንጽፋለን, ከዚያም ይህንን ሰነድ በመጠቀም ስርዓት እንገነባለን" የሚለው መርህ በጣም ጥሩ ነው, ነገር ግን በብዙ ምክንያቶች በተግባር ብዙም አይተገበርም. ከእነዚህ ምክንያቶች መካከል ቀላል የሰው ስንፍና ወይም ተገቢ ብቃት ማነስ የተቀሩት ምክንያቶች ከመጀመሪያዎቹ ሁለት የተገኙ ናቸው.
መጀመሪያ ሰነዶቹን እንዲጽፉ ፣ እንዲያስቡበት እመክራለሁ እና ከዚያ በኋላ ብቻ የመጀመሪያውን የጎራ መቆጣጠሪያ መጫኑን ይቀጥሉ።
እንደ ምሳሌ፣ አክቲቭ ዳይሬክተሪ ነገሮችን ለመሰየም ደረጃዎች ላይ የሰነዱን ክፍል እሰጣለሁ።
ዕቃዎችን መሰየም.
- የተጠቃሚ ቡድኖች ስም በ GRUS_ (GR - ቡድን ፣ US - ተጠቃሚዎች) ቅድመ ቅጥያ መጀመር አለበት።
- የኮምፒውተር ቡድኖች ስም በ GRCP_ (GR - ቡድን፣ ሲፒ - ኮምፒውተሮች) ቅድመ ቅጥያ መጀመር አለበት።
- የባለስልጣን ቡድኖች ውክልና ስም በ GRDL_ ቅድመ ቅጥያ መጀመር አለበት (GR - ቡድን ፣ ዲኤል - ውክልና)
- የመርጃ መዳረሻ ቡድኖች ስም በ GRRS_ (GR - ቡድን ፣ RS - ሀብቶች) ቅድመ ቅጥያ መጀመር አለበት።
- የፖሊሲ ቡድኖች ስም በጂፒዩኤስ_፣ GPCP_ (ጂፒ - የቡድን ፖሊሲ፣ US - ተጠቃሚዎች፣ ሲፒ - ኮምፒውተሮች) ቅድመ ቅጥያ መጀመር አለበት።
- የደንበኛ ኮምፒውተሮች ስም ከድርጅቱ ስም ሁለት ወይም ሶስት ፊደሎችን ያካተተ መሆን አለበት, ከዚያም በሰረዝ የተለየ ቁጥር ለምሳሌ, nnt-01.
- የአገልጋዮቹ ስም በሁለት ፊደሎች ብቻ መጀመር አለበት፣ በመቀጠልም ሰረዝ እና በመቀጠል የአገልጋዩ ሚና እና ቁጥሩ ለምሳሌ nn-dc01።
ሰነዶችን ለመጻፍ የእርስዎ አቀራረብ በጣም ጥልቅ መሆን አለበት, ይህ ለወደፊቱ ብዙ ጊዜ ይቆጥባል.
በተቻለ መጠን ሁሉንም ነገር ቀለል ያድርጉት, ሚዛን ለማግኘት ይሞክሩ
አክቲቭ ዳይሬክተሩን በሚገነቡበት ጊዜ, ቀላል እና ለመረዳት የሚቻሉ ዘዴዎችን በመምረጥ, ሚዛንን የማግኘት መርህ መከተል አስፈላጊ ነው.
የተመጣጠነ መርህ አስፈላጊውን ተግባር እና ደህንነትን በከፍተኛው የመፍትሄው ቀላልነት ማሳካት ነው.
አወቃቀሩ በጣም ልምድ ለሌለው አስተዳዳሪ ወይም ተጠቃሚ እንኳን እንዲረዳው ስርዓቱን ለመገንባት መሞከር ያስፈልጋል። ለምሳሌ, በአንድ ወቅት የበርካታ ጎራዎች የደን መዋቅር ለመፍጠር አንድ ምክር ነበር. ከዚህም በላይ የበርካታ ጎራ መዋቅሮችን ብቻ ሳይሆን ከበርካታ ደኖች የተገነቡ መዋቅሮችን ለማሰማራት ይመከራል. ምናልባት ይህ ምክረ ሃሳብ በ"ክፈል እና አሸንፍ" በሚለው መርህ ወይም ማይክሮሶፍት ለሁሉም ሰው ስለነገረው ጎራ የደህንነት ወሰን እንደሆነ እና ድርጅቱን በጎራ በመከፋፈል በተናጠል ለመቆጣጠር ቀላል የሆኑ የተለያዩ መዋቅሮችን እናገኛለን። ነገር ግን እንደ ልምምድ እንደሚያሳየው የደህንነት ወሰኖች ከጎራዎች ይልቅ ድርጅታዊ አሃዶች (OUs) የሆኑ ነጠላ-ጎራ ስርዓቶችን ለመጠበቅ እና ለመቆጣጠር ቀላል ነው. ስለዚህ, ውስብስብ ባለ ብዙ ጎራ አወቃቀሮችን ከመፍጠር ይቆጠቡ, እቃዎችን በ OU መቧደን የተሻለ ነው.
በእርግጥ ያለ አክራሪነት እርምጃ መውሰድ አለብዎት - ያለ ብዙ ጎራዎች ማድረግ የማይቻል ከሆነ ከጫካዎች ጋር ብዙ ጎራዎችን መፍጠር ያስፈልግዎታል። ዋናው ነገር ምን እየሰሩ እንደሆነ እና ወደ ምን ሊያመራ እንደሚችል መረዳት ነው.
ቀላል የActive Directory መሠረተ ልማት ለማስተዳደር እና ለመከታተል ቀላል እንደሆነ መረዳት አስፈላጊ ነው። እኔ እንኳን ቀላል ፣ የበለጠ ደህንነቱ የተጠበቀ ነው እላለሁ።
የማቅለል መርህን ተግባራዊ አድርግ. ሚዛን ለማግኘት ይሞክሩ.
መርሆውን ተከተሉ - "ነገር - ቡድን"
ለዚህ ነገር ቡድን በመፍጠር ንቁ የማውጫ ዕቃዎችን መፍጠር ይጀምሩ እና ለቡድኑ አስፈላጊ መብቶችን ይስጡ። አንድ ምሳሌ እንመልከት። ዋና አስተዳዳሪ መለያ መፍጠር አለብህ። መጀመሪያ የ Head Admins ቡድን ይፍጠሩ እና ከዚያ ብቻ መለያውን ይፍጠሩ እና ወደዚህ ቡድን ያክሉት። የዋና አስተዳዳሪ መብቶችን ለዋና አስተዳዳሪዎች ቡድን ለምሳሌ ወደ ጎራ አስተዳዳሪዎች ቡድን በማከል መድብ። ሁልጊዜ ማለት ይቻላል ከተወሰነ ጊዜ በኋላ ተመሳሳይ መብቶችን የሚፈልግ ሌላ ሠራተኛ ወደ ሥራ ይመጣል ፣ እና መብቶችን ለተለያዩ አክቲቭ ዳይሬክተሩ ክፍሎች ከማስተላለፍ ይልቅ ስርዓቱ ቀድሞውኑ ሚናውን ወደገለፀበት አስፈላጊ ቡድን ውስጥ ማከል ይቻላል ። እና አስፈላጊዎቹ ኃይሎች በውክልና ይሰጣሉ.
ሌላ ምሳሌ። መብቶችን ከተጠቃሚዎች ጋር ለስርዓት አስተዳዳሪዎች ቡድን ለ OU ውክልና መስጠት አለቦት። መብቶችን በቀጥታ ለአስተዳዳሪዎች ቡድን አታስረክቡ፣ ነገር ግን እንደ GRDL_OUNAme_Operator_Accounts ያሉ መብቶችን የምትመድቡበት ልዩ ቡድን ይፍጠሩ። ከዚያ በቀላሉ ኃላፊነት ያላቸውን የአስተዳዳሪዎች ቡድን ወደ GRDL_OUName_Operator_መለያዎች ቡድን ያክሉ። በቅርብ ጊዜ ውስጥ የዚህ OU መብቶችን ለሌላ የአስተዳዳሪዎች ቡድን ውክልና መስጠት እንደሚያስፈልግ በእርግጠኝነት ይከሰታል። እና በዚህ አጋጣሚ፣ በቀላሉ የአስተዳዳሪዎችን ውሂብ ቡድን ወደ GRDL_OUNAme_Operator_Accounts ውክልና ቡድን ታክላለህ።
የሚከተለውን የቡድን መዋቅር ሀሳብ አቀርባለሁ.
- የተጠቃሚ ቡድኖች (GRUS_)
- የአስተዳዳሪ ቡድኖች (GRAD_)
- የውክልና ቡድኖች (GRDL_)
- የፖሊሲ ቡድኖች (GRGP_)
- የአገልጋይ ቡድኖች (GRSR_)
- የደንበኛ ኮምፒውተሮች ቡድኖች (GRCP_)
- የጋራ መገልገያ መዳረሻ ቡድኖች (GRRS_)
- የአታሚ መዳረሻ ቡድኖች (GRPR_)
የቡድኖች ሚናዎች ብዛት በመገደብ ሚዛኑን ጠብቁ እና የቡድኑ ስም ሚናውን ሙሉ በሙሉ መግለጽ እንዳለበት ያስታውሱ።
OU ሥነ ሕንፃ።
የ OU አርክቴክቸር በመጀመሪያ ከደህንነት እይታ አንፃር እና ለዚህ OU የመብት ውክልና ለስርዓት አስተዳዳሪዎች ሊታሰብበት ይገባል። የቡድን ፖሊሲዎችን ከነሱ ጋር ከማገናኘት አንፃር የOUsን አርክቴክቸር ለማቀድ አልመክርም (ምንም እንኳን ይህ ብዙ ጊዜ የሚከናወን ቢሆንም)። ለአንዳንዶች፣ የእኔ ምክረ ሃሳብ ትንሽ እንግዳ ሊመስል ይችላል፣ ግን የቡድን ፖሊሲዎችን ከኦእኛ ጋር በምንም መልኩ ማያያዝን አልመክርም። በቡድን ፖሊሲዎች ክፍል ውስጥ የበለጠ ያንብቡ።
OU አስተዳዳሪዎች
የሁሉንም አስተዳዳሪዎች እና የቴክኒክ ድጋፍ መሐንዲሶች መለያዎችን እና ቡድኖችን ማስቀመጥ የምትችልበት የተለየ OU መፍጠር ለአስተዳደር መለያዎች እና ቡድኖች እመክራለሁ። የዚህ OU መዳረሻ ለተራ ተጠቃሚዎች ብቻ የተገደበ መሆን አለበት፣ እና ከዚህ OU የነገሮች አያያዝ ለዋና አስተዳዳሪዎች ብቻ መሰጠት አለበት።
OU ኮምፒተሮች
ኮምፒውተራችን ከኮምፒውተሮቹ ጂኦግራፊያዊ አቀማመጥ እና ከኮምፒውተሮች አይነቶች አንፃር በተሻለ ሁኔታ የታቀዱ ናቸው። ኮምፒውተሮችን ከተለያዩ ጂኦግራፊያዊ አካባቢዎች ወደ ተለያዩ OUዎች ያሰራጩ እና በተራው ደግሞ ወደ ደንበኛ ኮምፒዩተሮች እና አገልጋዮች ይከፋፍሏቸው። አገልጋዮች በ Exchange፣ SQL እና ሌሎችም ሊከፋፈሉ ይችላሉ።
ተጠቃሚዎች፣ በActive Directory ውስጥ ያሉ መብቶች
የActive Directory ተጠቃሚ መለያዎች ልዩ ትኩረት ሊሰጣቸው ይገባል። ስለ OU በክፍል ውስጥ እንደተገለጸው የተጠቃሚ መለያዎች ለእነዚህ መለያዎች ስልጣን በውክልና መርህ ላይ በመመስረት መቧደን አለባቸው። እንዲሁም የአነስተኛ መብትን መርህ ማክበር አስፈላጊ ነው - ተጠቃሚው በስርዓቱ ውስጥ ያለው ጥቂት መብቶች, የተሻለ ነው. ወዲያውኑ የተጠቃሚውን የልዩነት ደረጃ በእሱ መለያ ስም እንዲያካትቱ እመክራለሁ። የዕለት ተዕለት ሥራ መለያ የተጠቃሚውን የመጨረሻ ስም እና የመጀመሪያ ፊደላትን በላቲን (ለምሳሌ ኢቫኖቪቪ ወይም አይቪቫኖቭ) መያዝ አለበት። የሚፈለጉት መስኮች: የመጀመሪያ ስም, የመጀመሪያ ስም, የአያት ስም, የማሳያ ስም (በሩሲያኛ), ኢሜል, ሞባይል, የሥራ ስም, አስተዳዳሪ.
የአስተዳዳሪ መለያዎች ከሚከተሉት ዓይነቶች መሆን አለባቸው።
- ከአስተዳዳሪ መብቶች ጋር የተጠቃሚ ኮምፒተሮች ፣ ግን አገልጋዮች አይደሉም። የባለቤቱን የመጀመሪያ ፊደሎች እና የአካባቢ ቅድመ ቅጥያ (ለምሳሌ iivlocal) ማካተት አለበት።
- አገልጋዮችን እና ንቁ ማውጫን የማስተዳደር መብቶች ጋር። የመጀመሪያ ፊደላትን ብቻ መያዝ አለበት (ለምሳሌ፡ iiv)።
ለምን የአስተዳደር መለያዎችን ወደ አገልጋይ አስተዳዳሪዎች እና የደንበኛ ኮምፒዩተር አስተዳዳሪዎች እንደሚለያዩ ላብራራ። ይህ ለደህንነት ምክንያቶች መደረግ አለበት. የደንበኛ ኮምፒውተሮች አስተዳዳሪዎች በደንበኛ ኮምፒውተሮች ላይ ሶፍትዌር የመጫን መብት ይኖራቸዋል። ምን ሶፍትዌር እንደሚጫን እና ለምን እንደሆነ በእርግጠኝነት መናገር አይቻልም. ስለዚህ የፕሮግራሙን ጭነት ከጎራ አስተዳዳሪ መብቶች ጋር ማስኬድ ደህንነቱ ያልተጠበቀ ነው; የደንበኛ ኮምፒውተሮችን ማስተዳደር ያለብህ ለዚያ ኮምፒውተር የአካባቢ አስተዳዳሪ መብቶች ብቻ ነው። ይህ በጎራ አስተዳዳሪ መለያዎች ላይ ለሚደረጉ በርካታ ጥቃቶች የማይቻል ያደርገዋል፣ ለምሳሌ "ሀሽ ይለፉ"። በተጨማሪም የደንበኛ ኮምፒውተሮች አስተዳዳሪዎች ግንኙነቱን በተርሚናል አገልግሎቶች እና ከኮምፒዩተር ጋር ባለው የአውታረ መረብ ግንኙነት መዝጋት አለባቸው። የቴክኒክ ድጋፍ እና አስተዳደራዊ ኮምፒውተሮች ከደንበኛ ኮምፒውተሮች አውታረመረብ የእነርሱን መዳረሻ ለመገደብ በተለየ VLAN ውስጥ መቀመጥ አለባቸው።
የአስተዳዳሪ መብቶችን ለተጠቃሚዎች መመደብ
የአስተዳዳሪ መብቶችን ለአንድ ተጠቃሚ መስጠት ከፈለጉ መለያቸውን ለዕለት ተዕለት ጥቅም በኮምፒዩተር የአካባቢ አስተዳዳሪዎች ቡድን ውስጥ አታስቀምጡ። የዕለት ተዕለት ሥራ መለያ ሁል ጊዜ የተገደበ መብቶች ሊኖረው ይገባል። ለእሱ የተለየ የአስተዳደር መለያ እንደ ስም ፍጠር እና ፖሊሲን በመጠቀም ይህንን መለያ ወደ የአካባቢ አስተዳዳሪዎች ቡድን አክል፣ የንጥል ደረጃ ኢላማን በመጠቀም አፕሊኬሽኑን በተጠቃሚው ኮምፒውተር ላይ ብቻ ይገድባል። ተጠቃሚው የሩጫ AS ዘዴን በመጠቀም ይህን መለያ መጠቀም ይችላል።
የይለፍ ቃል ፖሊሲዎች
የተስተካከለ የይለፍ ቃል ፖሊሲን በመጠቀም ለተጠቃሚዎች እና አስተዳዳሪዎች የተለየ የይለፍ ቃል ፖሊሲዎችን ይፍጠሩ። የተጠቃሚ የይለፍ ቃል ቢያንስ 8 ቁምፊዎችን ያካተተ እና ቢያንስ በሩብ አንድ ጊዜ እንዲቀየር ይመከራል። በየሁለት ወሩ ለአስተዳዳሪዎች የይለፍ ቃሉን መቀየር ተገቢ ነው, እና ቢያንስ 10-15 ቁምፊዎች መሆን እና ውስብስብነት መስፈርቶችን ማሟላት አለበት.
የጎራ እና የአካባቢ ቡድኖች ቅንብር. የተገደበ የቡድን ዘዴ
በጎራ ኮምፒውተሮች ላይ ያሉ የጎራ እና የአካባቢ ቡድኖች ስብጥር በራስ-ሰር ብቻ ቁጥጥር ሊደረግበት የሚገባው የተከለከሉ ቡድኖች ዘዴን በመጠቀም ነው። የሚከተለውን ምሳሌ በመጠቀም በዚህ መንገድ ብቻ ለምን መደረግ እንዳለበት እገልጻለሁ። በተለምዶ፣ የንቁ ዳይሬክተሩ ጎራ ከተሰበረ በኋላ አስተዳዳሪዎች እራሳቸውን እንደ Domain admins፣ Enterprise admins ባሉ የጎራ ቡድኖች ውስጥ ይጨምራሉ፣ የቴክኒክ ድጋፍ ሰጪ መሐንዲሶችን ወደ አስፈላጊ ቡድኖች ያክላሉ እና የተቀሩትን ተጠቃሚዎች በቡድን ያሰራጫሉ። ይህንን ጎራ በማስተዳደር ሂደት ውስጥ መብቶችን የማውጣት ሂደት ብዙ ጊዜ ተደጋግሟል እና ትላንትና የሂሳብ ባለሙያ ኒና ፔትሮቭናን በጊዜያዊነት ወደ 1C አስተዳዳሪዎች ቡድን እንደጨመሩ እና ዛሬ ከዚህ ቡድን ውስጥ ማስወጣት እንዳለቦት ለማስታወስ በጣም አስቸጋሪ ይሆናል. ኩባንያው ብዙ አስተዳዳሪዎች ካሉት እና እያንዳንዳቸው ከጊዜ ወደ ጊዜ በተመሳሳይ መልኩ ለተጠቃሚዎች መብት ከሰጡ ሁኔታው ይባባሳል. በአንድ አመት ውስጥ, ምን አይነት መብቶች ለማን እንደሚሰጡ ለማወቅ ፈጽሞ የማይቻል ይሆናል. ስለዚህ የቡድኖች ስብስብ በቡድን ፖሊሲዎች ብቻ ቁጥጥር ሊደረግበት ይገባል, ይህም በእያንዳንዱ መተግበሪያ ሁሉንም ነገር በቅደም ተከተል ያስቀምጣል.
አብሮ የተሰሩ ቡድኖች ቅንብር
እንደ አካውንት ኦፕሬተሮች፣ ባክአፕ ኦፕሬተሮች፣ ክሪፕት ኦፕሬተሮች፣ እንግዳዎች፣ ፕሪንት ኦፕሬተሮች፣ ሰርቨር ኦፕሬተሮች ያሉ አብሮገነብ ቡድኖች በጎራም ሆነ በደንበኛ ኮምፒውተሮች ላይ ባዶ መሆን አለባቸው ማለት ተገቢ ነው። እነዚህ ቡድኖች በዋነኛነት የሚፈለጉት ከአሮጌ ስርዓቶች ጋር ኋላቀር ተኳሃኝነትን ለማረጋገጥ ነው፣ እና የእነዚህ ቡድኖች ተጠቃሚዎች በስርዓቱ ውስጥ ብዙ መብቶች ተሰጥቷቸዋል፣ እና የልዩነት መስፋፋት ጥቃቶች ሊኖሩ ይችላሉ።
የአካባቢ አስተዳዳሪ መለያዎች
የተከለከሉ ቡድኖች ዘዴን በመጠቀም በአካባቢያዊ ኮምፒተሮች ላይ የአካባቢ አስተዳዳሪ መለያዎችን ማገድ ፣ የእንግዳ መለያዎችን ማገድ እና የአካባቢ አስተዳዳሪዎች ቡድንን በአካባቢያዊ ኮምፒተሮች ላይ ማጽዳት አለብዎት። ለአካባቢ አስተዳዳሪ መለያዎች የይለፍ ቃሎችን ለማዘጋጀት የቡድን ፖሊሲዎችን በጭራሽ አይጠቀሙ። ይህ ዘዴ ደህንነቱ የተጠበቀ አይደለም, የይለፍ ቃሉ በቀጥታ ከፖሊሲው ሊወጣ ይችላል. ነገር ግን፣ የአካባቢ አስተዳዳሪ መለያዎችን ላለማገድ ከወሰኑ፣ የይለፍ ቃሎችን በትክክል ለማዘጋጀት እና ለማሽከርከር የLAPS ዘዴን ይጠቀሙ። እንደ አለመታደል ሆኖ፣ LAPSን ማዋቀር ሙሉ በሙሉ በራስ-ሰር የሚሰራ አይደለም፣ እና ስለዚህ በActive Directory schema ላይ ባህሪያትን እራስዎ ማከል፣መብቶችን ለእነሱ መስጠት፣ቡድኖችን መመደብ እና የመሳሰሉትን ያስፈልግዎታል። ስለዚህ, የአካባቢ አስተዳዳሪ መለያዎችን ማገድ ቀላል ነው.
የአገልግሎት መለያዎች.
አገልግሎቶችን ለማሄድ የአገልግሎት መለያዎችን እና የ gMSA ዘዴን ይጠቀሙ (በዊንዶውስ 2012 እና ከዚያ በላይ ሲስተሞች ላይ ይገኛል)
የቡድን ፖሊሲዎች
ፖሊሲዎችን ከመፍጠር/ከማሻሻልዎ በፊት ይመዝግቡ።
ፖሊሲን በሚፈጥሩበት ጊዜ የፖሊሲ - የቡድን መርሆውን ይጠቀሙ. ማለትም ፖሊሲ ከመፍጠሩ በፊት መጀመሪያ ለዚህ መመሪያ ቡድን ይፍጠሩ፣ የተረጋገጡ የተጠቃሚዎች ቡድንን ከመመሪያው ወሰን ያስወግዱ እና የተፈጠረውን ቡድን ይጨምሩ። ፖሊሲውን ከOU ጋር ሳይሆን ከዶራ ሩት ጋር ያገናኙት እና ነገሮችን ወደ የመመሪያ ቡድኑ በማከል የመተግበሪያውን ወሰን ይቆጣጠሩ። ፖሊሲን ከኦ.ኦ.ኦ. ጋር ከማገናኘት ይልቅ ይህ ዘዴ የበለጠ ተለዋዋጭ እና ለመረዳት የሚቻል ነው ብዬ አስባለሁ። (ስለ OU Architecture ክፍል ላይ የጻፍኩት በትክክል ነው)።
ሁልጊዜ የመመሪያውን ወሰን ያስተካክሉ። ፖሊሲ ለተጠቃሚዎች ብቻ ከፈጠርክ የኮምፒዩተርን መዋቅር አሰናክል እና በተቃራኒው ለኮምፒውተሮች ብቻ ፖሊሲ ከፈጠርክ የተጠቃሚውን መዋቅር አሰናክል። ለእነዚህ ቅንብሮች ምስጋና ይግባውና ፖሊሲዎች በበለጠ ፍጥነት ይተገበራሉ።
የማዋቀር ስህተቶች ከተከሰቱ ሁል ጊዜ ቅንብሮቹን ወደ መጀመሪያው መቼት መመለስ እንዲችሉ Power Shellን በመጠቀም ዕለታዊ የፖሊሲ መጠባበቂያዎችን ያቀናብሩ።
ማዕከላዊ መደብር
ከዊንዶውስ 2008 ጀምሮ የ ADMX ቡድን ፖሊሲ አብነቶችን በማዕከላዊ ማከማቻ ቦታ SYSVOL ማከማቸት ተችሏል ። ከዚህ ቀደም፣ በነባሪ፣ ሁሉም የመመሪያ አብነቶች በደንበኞች ላይ በአካባቢው ተከማችተዋል። የ ADMX አብነቶችን በማዕከላዊ ማከማቻ ውስጥ ለማስቀመጥ የ% SystemDrive%\WindowsPolicyDefinitions አቃፊን ይዘቶች ከደንበኛ ሲስተሞች (Windows 7/8/8.1) ወደ ጎራ መቆጣጠሪያ ማውጫ %SystemDrive%\Windows\ SYSVOL \ ጎራ \ ፖሊሲዎች \ ፖሊሲ ትርጓሜዎች ከይዘት ጋር ተዋህደዋል ፣ ግን ያለ ምትክ። በመቀጠል, ከአሮጌው ጀምሮ ከአገልጋዩ ስርዓቶች ተመሳሳይ ቅጂ መስራት አለብዎት. በመጨረሻ፣ አቃፊዎችን እና ፋይሎችን ከቅርብ ጊዜው የአገልጋዩ ስሪት ሲገለብጡ፣ ውህደት እና ተካ ቅጂ ያድርጉ።
ADMX አብነቶችን በመቅዳት ላይ
በተጨማሪም የ ADMX አብነቶች ለማንኛውም የሶፍትዌር ምርቶች ለምሳሌ ማይክሮሶፍት ኦፊስ፣ አዶቤ ምርቶች፣ ጎግል ምርቶች እና ሌሎችም በማዕከላዊ ማከማቻ ውስጥ ሊቀመጡ ይችላሉ። ወደ የሶፍትዌር አቅራቢው ድረ-ገጽ ይሂዱ፣ የኤዲኤምኤክስ ቡድን ፖሊሲ አብነት ያውርዱ እና ወደ % SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions ማህደር በማንኛውም የጎራ ተቆጣጣሪ ላይ ይክፈቱት። አሁን የሚፈልጉትን የሶፍትዌር ምርት በቡድን ፖሊሲዎች ማስተዳደር ይችላሉ።
WMI ማጣሪያዎች
የWMI ማጣሪያዎች በጣም ፈጣን አይደሉም፣ስለዚህ የንጥል ደረጃ ማነጣጠሪያ ዘዴን መጠቀም ተመራጭ ነው። ነገር ግን በንጥል ደረጃ ማነጣጠር ጥቅም ላይ መዋል የማይችል ከሆነ እና እርስዎ WMI ለመጠቀም ከወሰኑ, ወዲያውኑ ብዙ የተለመዱ ማጣሪያዎችን ለራስዎ እንዲፈጥሩ እመክራለሁ-"የደንበኛ ስርዓተ ክወናዎች ብቻ" ማጣሪያ, "የአገልጋይ ስርዓተ ክወናዎች ብቻ", "ዊንዶውስ 7" ” ማጣሪያዎች፣ “ዊንዶውስ” ማጣሪያዎች 8፣ “Windows 8.1”፣ “Windows 10”. ዝግጁ የሆኑ የWMI ማጣሪያዎች ካሉዎት፣ የተፈለገውን ማጣሪያ ወደሚፈለገው ፖሊሲ መተግበር ቀላል ይሆናል።
ንቁ የማውጫ ዝግጅቶችን ኦዲት ማድረግ
በጎራ ተቆጣጣሪዎች እና ሌሎች አገልጋዮች ላይ የክስተት ኦዲት ማድረግን ማንቃትዎን ያረጋግጡ። የሚከተሉትን ነገሮች ኦዲት እንዲያነቃ እመክራለሁ።
- ኦዲት የኮምፒውተር መለያ አስተዳደር - ስኬት, ውድቀት
- ሌሎች የመለያ አስተዳደር ክስተቶችን ኦዲት - ስኬት, ውድቀት
- የኦዲት ደህንነት ቡድን አስተዳደር - ስኬት, ውድቀት
- ኦዲት የተጠቃሚ መለያ አስተዳደር - ስኬት, ውድቀት
- የኦዲት ከርቤሮስ የማረጋገጫ አገልግሎት - ውድቀት
- የሌላ መለያ መግቢያ ክስተቶችን ኦዲት - አለመሳካት።
- የኦዲት ኦዲት ፖሊሲ ለውጥ - ስኬት፣ ውድቀት
የላቀ የኦዲት ቅንብሮች
በዚህ ርዕስ ላይ በበይነመረቡ ላይ በቂ ቁጥር ያላቸው መጣጥፎች ስላሉ በኦዲት መቼቶች ላይ በዝርዝር አልቀመጥም። እኔ ብቻ እጨምራለሁ ኦዲትን ከማንቃት በተጨማሪ ስለ ወሳኝ የደህንነት ክስተቶች የኢ-ሜይል ማንቂያዎችን ማዘጋጀት አለቦት። እንዲሁም ብዙ ቁጥር ያላቸው ክስተቶች ባሉባቸው ስርዓቶች ውስጥ የምዝግብ ማስታወሻ ፋይሎችን ለመሰብሰብ እና ለመተንተን የተለየ አገልጋዮችን መወሰን ተገቢ መሆኑን ግምት ውስጥ ማስገባት ተገቢ ነው።
የአስተዳደር እና የጽዳት ስክሪፕቶች
ሁሉም ተመሳሳይ እና በተደጋጋሚ የሚደጋገሙ ድርጊቶች የአስተዳደር ስክሪፕቶችን በመጠቀም መከናወን አለባቸው. እነዚህ እርምጃዎች የሚከተሉትን ያካትታሉ: የተጠቃሚ መለያዎችን መፍጠር, የአስተዳዳሪ መለያዎችን መፍጠር, ቡድኖችን መፍጠር, OUs መፍጠር, ወዘተ. ስክሪፕቶችን በመጠቀም ዕቃዎችን መፍጠር የአገባብ ፍተሻዎችን ወደ ስክሪፕቶች በመገንባት የርስዎን Active Directory የነገር ስያሜ አመክንዮ እንዲያከብሩ ያስችልዎታል።
እንዲሁም የቡድኖችን ስብጥር በራስ-ሰር የሚከታተል፣ ከጎራው ጋር ለረጅም ጊዜ ያልተገናኙ ተጠቃሚዎችን እና ኮምፒውተሮችን የሚለዩ፣ የሌሎች መመዘኛዎችን መጣስ የሚያውቁ የጽዳት ስክሪፕቶችን መፃፍም ተገቢ ነው።
የአስተዳዳሪ ስክሪፕቶችን ተገዢነትን ለመከታተል እና የጀርባ ስራዎችን እንደ ግልጽ ይፋዊ የውሳኔ ሃሳብ ሲጠቀሙ አላየሁም። ነገር ግን እኔ ራሴ ስክሪፕቶችን በመጠቀም አውቶማቲክ ሁነታ ላይ ቼኮችን እና ሂደቶችን እመርጣለሁ ፣ ይህ ብዙ ጊዜ ስለሚቆጥብ እና ብዙ ስህተቶችን ስለሚያስወግድ እና በእርግጥ የእኔ ትንሽ የዩኒክስ የአስተዳደር አቀራረብ እዚህ ተንፀባርቋል ፣ ሁለቱን መተየብ ቀላል በሚሆንበት ጊዜ። በዊንዶውስ ላይ ከመጫን ይልቅ ያዛል.
በእጅ አስተዳደር
እርስዎ እና የስራ ባልደረቦችዎ አንዳንድ የአስተዳደር ስራዎችን በእጅዎ ማከናወን ያስፈልግዎታል። ለእነዚህ ዓላማዎች፣ የ mmc ኮንሶል ከ snap-ins ጋር ከተጨመረበት ጋር እንዲጠቀሙ እመክራለሁ።
በኋላ እንደሚነገረው፣የእርስዎ ጎራ ተቆጣጣሪዎች በServer Core mode ውስጥ መሥራት አለባቸው፣ይህም ማለት፣ኮንሶሎችን በመጠቀም መላውን AD አካባቢ ከኮምፒዩተርዎ ብቻ ማስተዳደር አለብዎት። አክቲቭ ዳይሬክተሩን ለማስተዳደር በኮምፒውተርዎ ላይ የርቀት አገልጋይ አስተዳደር መሳሪያዎችን መጫን አለቦት። ኮንሶሎች በኮምፒውተርዎ ላይ እንደ Active Directory አስተዳዳሪ መብቶች እና የውክልና ቁጥጥር ያለው ተጠቃሚ መሆን አለባቸው።
ኮንሶሎችን በመጠቀም አክቲቭ ዳይሬክተሩን የማስተዳደር ጥበብ የተለየ መጣጥፍ እና ምናልባትም የተለየ የሥልጠና ቪዲዮን ይፈልጋል፣ ስለዚህ እዚህ እያወራው ያለሁት ስለመርሁ ራሱ ብቻ ነው።
የጎራ ተቆጣጣሪዎች
በማንኛውም ጎራ ውስጥ ቢያንስ ሁለት ተቆጣጣሪዎች ሊኖሩ ይገባል. የጎራ ተቆጣጣሪዎች በተቻለ መጠን ጥቂት አገልግሎቶች ሊኖራቸው ይገባል። የጎራ መቆጣጠሪያን ወደ ፋይል አገልጋይ መቀየር የለብህም፤ ወይም እግዚአብሔር አይከለክለውም ወደ ተርሚናል አገልጋይነት ሚና ከፍ አድርግ። የ WoW64 ድጋፍን ሙሉ በሙሉ በማስወገድ በጎራ ተቆጣጣሪዎች ላይ ኦፕሬቲንግ ሲስተሞችን ይጠቀሙ ፣ ይህም የሚፈለጉትን ዝመናዎች በእጅጉ ይቀንሳል እና ደህንነታቸውን ይጨምራል።
ማይክሮሶፍት ከቅጽበታዊ ገጽ እይታዎች ወደነበሩበት በሚመለሱበት ጊዜ ሊወገዱ የማይችሉ የማባዛት ግጭቶች ሊኖሩ ስለሚችሉ ከዚህ ቀደም ቨርቹዋልላይዜሽን የጎራ ተቆጣጣሪዎችን ተስፋ ቆርጦ ነበር። ሌሎች ምክንያቶች ሊኖሩ ይችላሉ, በእርግጠኝነት መናገር አልችልም. አሁን ሃይፐርቫይዘሮች ተቆጣጣሪዎች ከቅጽበተ-ፎቶዎች እንዲመልሱላቸው መንገር ተምረዋል, እና ይህ ችግር ጠፍቷል. ምንም አይነት ቅጽበተ-ፎቶዎችን ሳላነሳ ሁል ጊዜ ተቆጣጣሪዎችን በምናባዊ እያደረግኩ ነበር፣ ምክንያቱም በጎራ ተቆጣጣሪዎች ላይ እንደዚህ ያሉ ቅጽበተ-ፎቶዎችን ማንሳት ለምን እንደሚያስፈልግ አልገባኝም። በእኔ አስተያየት መደበኛ መንገዶችን በመጠቀም የጎራ መቆጣጠሪያውን የመጠባበቂያ ቅጂ መስራት ቀላል ነው። ስለዚህ፣ የሚቻሉትን ሁሉንም የጎራ ተቆጣጣሪዎች ቨርቹዋል ማድረግ እመክራለሁ። ይህ ውቅር የበለጠ ተለዋዋጭ ይሆናል. የጎራ መቆጣጠሪያዎችን ቨርቹዋል ሲያደርጉ፣ በተለያዩ አካላዊ አስተናጋጆች ላይ ያስቀምጧቸው።
ደህንነቱ ባልተጠበቀ አካላዊ አካባቢ ወይም በድርጅትዎ ቅርንጫፍ ቢሮ ውስጥ የጎራ መቆጣጠሪያን ማስቀመጥ ከፈለጉ፣ ለዚህ አላማ RODC ይጠቀሙ።
የ FSMO ሚናዎች, የመጀመሪያ እና ሁለተኛ ደረጃ ተቆጣጣሪዎች
የFSMO ጎራ ተቆጣጣሪ ሚናዎች በአዲስ አስተዳዳሪዎች አእምሮ ውስጥ ፍርሃት መፍጠራቸውን ቀጥለዋል። ብዙውን ጊዜ፣ አዲስ ጀማሪዎች ንቁ ዳይሬክተሩን ካለፈ ሰነዶች ይማራሉ ወይም የሆነ ነገር አንድ ጊዜ ያነበቡ የሌሎች አስተዳዳሪዎች ታሪኮችን ያዳምጣሉ።
ለአምስቱ + 1 ሚናዎች፣ የሚከተለው በአጭሩ መነገር አለበት። ከዊንዶውስ አገልጋይ 2008 ጀምሮ የአንደኛ ደረጃ እና ሁለተኛ ደረጃ ተቆጣጣሪዎች የሉም። ሁሉም አምስት የጎራ ተቆጣጣሪ ሚናዎች ተንቀሳቃሽ ናቸው፣ ነገር ግን በአንድ ጊዜ ከአንድ በላይ ተቆጣጣሪዎች ላይ ሊኖሩ አይችሉም። ከተቆጣጠሪዎች ውስጥ አንዱን ብንወስድ, ለምሳሌ, የ 4 ሚናዎች ባለቤት እና ሰርዝ, ከዚያም እነዚህን ሁሉ ሚናዎች በቀላሉ ወደ ሌሎች ተቆጣጣሪዎች እናስተላልፋለን, እና ምንም መጥፎ ነገር በጎራ ውስጥ አይከሰትም, ምንም ነገር አይሰበርም. ይህ ሊሆን የቻለው ባለቤቱ ከተለየ ሚና ጋር በተዛመደ ሥራ ላይ ያለውን መረጃ ሁሉ በቀጥታ በActive Directory ውስጥ ስለሚያከማች ነው። እና ሚናውን ወደ ሌላ ተቆጣጣሪ ካስተላለፍን, ከዚያም በመጀመሪያ በActive Directory ውስጥ ወደተቀመጠው መረጃ ዞሮ አገልግሎቱን ማከናወን ይጀምራል. ያለ ሚና ባለቤቶች ጎራ ለረጅም ጊዜ ሊኖር ይችላል። ብቸኛው "ሚና" ሁል ጊዜ በActive Directory ውስጥ መሆን አለበት, እና ያለዚያ ሁሉም ነገር በጣም መጥፎ ይሆናል, ዓለም አቀፋዊ ካታሎግ (ጂሲ) ሚና ነው, ይህም በጎራው ውስጥ ባሉ ሁሉም ተቆጣጣሪዎች ሊሸከም ይችላል. በጎራ ውስጥ ላለው እያንዳንዱ ተቆጣጣሪ የጂሲ ሚና እንዲመደብ እመክራለሁ፣ ብዙ ሲኖሩ፣ የተሻለ ይሆናል። በእርግጥ የ GC ሚናን በጎራ መቆጣጠሪያ ላይ መጫን የማይጠቅምባቸውን ጉዳዮች ማግኘት ይችላሉ። ደህና, ካላስፈለገዎት, ከዚያ አያስፈልገዎትም. ያለ አክራሪነት ምክሮቹን ይከተሉ።
የዲ ኤን ኤስ አገልግሎት
የዲ ኤን ኤስ አገልግሎት ለአክቲቭ ዳይሬክተሩ ስራ ወሳኝ ነው እና ያለማቋረጥ መስራት አለበት። በእያንዳንዱ የጎራ መቆጣጠሪያ ላይ የዲ ኤን ኤስ አገልግሎትን መጫን እና የዲ ኤን ኤስ ዞኖችን በActive Directory ውስጥ ማከማቸት በጣም ጥሩ ነው። የዲኤንኤስ ዞኖችን ለማከማቸት አክቲቭ ዳይሬክተሩን ከተጠቀሙ፣ እያንዳንዱ ተቆጣጣሪ ሌላ ማንኛውም የዲ ኤን ኤስ አገልጋይ እንደ ዋና የዲ ኤን ኤስ አገልጋይ እንዲኖረው የ TCP/IP ግንኙነት ባህሪያቱን በጎራ ተቆጣጣሪዎች ላይ ማዋቀር አለብዎት እና ሁለተኛውን ወደ 127.0 አድራሻ ማዘጋጀት ይችላሉ። 0.1. ይህ ቅንብር መደረግ ያለበት ምክንያቱም የActive Directory አገልግሎት በመደበኛነት እንዲጀምር የሚሰራ ዲ ኤን ኤስ ያስፈልጋል እና ዲ ኤን ኤስ እንዲጀምር የዲ ኤን ኤስ ዞኑ በራሱ ስላለ የActive Directory አገልግሎት መስራት አለበት።
ለሁሉም አውታረ መረቦችዎ የተገላቢጦሽ መፈለጊያ ዞኖችን ማቀናበር እና የPTR መዝገቦችን በራስ-ሰር ደህንነቱ የተጠበቀ ማዘመንን ማንቃትዎን ያረጋግጡ።
በተጨማሪም ጊዜ ያለፈባቸው የዲ ኤን ኤስ መዝገቦችን (ዲ ኤን ኤስ ስካቬንግ) አውቶማቲክ ዞን ማጽዳት እንዲነቃ እመክራለሁ።
በጂኦግራፊያዊ አካባቢዎ ውስጥ ሌላ ፈጣን ከሌሉ የተጠበቁ የ Yandex አገልጋዮችን እንደ ዲ ኤን ኤስ-አስተላላፊዎች እንዲገልጹ እመክራለሁ ።
ጣቢያዎች እና ማባዛት
ብዙ አስተዳዳሪዎች ድረ-ገጾች የኮምፒውተሮች ጂኦግራፊያዊ ስብስብ ናቸው ብሎ ማሰብን ለምደዋል። ለምሳሌ, የሞስኮ ቦታ, የሴንት ፒተርስበርግ ቦታ. ይህ ሃሳብ የተነሳው የመጀመሪያው የActive Directory በጣቢያዎች መከፋፈል የተባዛ የአውታረ መረብ ትራፊክን ለማመጣጠን እና ለመለየት በመደረጉ ነው። በሞስኮ ውስጥ ያሉ የጎራ ተቆጣጣሪዎች አሁን በሴንት ፒተርስበርግ አሥር የኮምፒዩተር መለያዎች እንደተፈጠሩ ማወቅ አያስፈልጋቸውም። እና ስለዚህ, ስለ ለውጦች እንደዚህ አይነት መረጃ በጊዜ ሰሌዳው መሰረት በሰዓት አንድ ጊዜ ሊተላለፍ ይችላል. ወይም የመተላለፊያ ይዘትን ለመቆጠብ በቀን አንድ ጊዜ እና በሌሊት ብቻ ለውጦችን ይድገሙ።
ስለ ድህረ ገፆች እንዲህ እላለሁ፡ ድህረ ገፆች የኮምፒውተሮች አመክንዮአዊ ቡድኖች ናቸው። በጥሩ የኔትወርክ ግንኙነት እርስ በርስ የሚገናኙ ኮምፒተሮች. እና ጣቢያዎቹ እራሳቸው በዝቅተኛ ባንድዊድዝ ግንኙነት እርስ በርስ የተያያዙ ናቸው፣ ይህ በዚህ ዘመን ብርቅ ነው። ስለዚህ፣ አክቲቭ ዳይሬክተሩን የማባዛት ትራፊክን ሚዛን ለመጠበቅ ሳይሆን የኔትወርክን ጭነት በአጠቃላይ ለማመጣጠን እና የደንበኛ ጥያቄዎችን ከሳይት ኮምፒውተሮች በፍጥነት ለማስኬድ ወደ ጣቢያዎች እከፋፍላለሁ። አንድ ምሳሌ ላብራራ። ባለ 100 ሜጋ ቢት የአንድ ድርጅት አካባቢያዊ አውታረመረብ አለ፣ እሱም በሁለት ጎራ ተቆጣጣሪዎች የሚሰራ፣ እና የዚህ ድርጅት አፕሊኬሽን ሰርቨሮች ከሌሎች ሁለት የደመና ተቆጣጣሪዎች ጋር የሚገኙበት ደመና አለ። በአካባቢያዊ አውታረመረብ ላይ ያሉ ተቆጣጣሪዎች ከደንበኞች ከአካባቢያዊ አውታረመረብ እንዲጠይቁ እና በደመናው ውስጥ ያሉ ተቆጣጣሪዎች ከመተግበሪያ አገልጋዮች እንዲጠየቁ እንደዚህ ያለውን አውታረ መረብ በሁለት ጣቢያዎች እከፍላለሁ። በተጨማሪም፣ ይህ የDFS እና የልውውጥ አገልግሎቶችን ጥያቄዎችን እንድትለያዩ ይፈቅድልሃል። እና አሁን በሴኮንድ ከ10 ሜጋባይት በታች የሆነ የኢንተርኔት ቻናል ብዙም አይታየኝም፣ Notify Based Replication ን አንቃታለሁ፣ በዚህ ጊዜ ነው ዳታ ማባዛት ምንም አይነት ለውጦች በActive Directory ላይ እንደተከሰቱ ወዲያውኑ ነው።
ማጠቃለያ
ዛሬ ጠዋት ለምን የሰው ራስ ወዳድነት በህብረተሰቡ ውስጥ ተቀባይነት እንደሌለው እና በጥልቅ የማስተዋል ደረጃ ላይ በጣም አሉታዊ ስሜቶችን እንደሚፈጥር እያሰብኩ ነበር። እና ወደ አእምሮዬ የመጣው ብቸኛው መልስ የሰው ልጅ አካላዊ እና አእምሯዊ ሀብቶችን ለመካፈል ባይማር ኖሮ በዚህ ፕላኔት ላይ አይተርፍም ነበር የሚል ነበር። ለዚህም ነው ይህን ጽሁፍ ለእርስዎ የማጋራው እና ምክሮቼ የእርስዎን ስርዓቶች ለማሻሻል እንደሚረዱዎት እና መላ ፍለጋ ጊዜዎን በእጅጉ እንደሚቀንስ ተስፋ አደርጋለሁ። ይህ ሁሉ ለፈጠራ ብዙ ጊዜ እና ጉልበት ወደ ነፃ ማውጣትን ያመጣል. በፈጠራ እና በነጻ ሰዎች ዓለም ውስጥ መኖር የበለጠ አስደሳች ነው።
ከተቻለ የአክቲቭ ማውጫን ስለመገንባት እውቀትዎን እና ልምዶችዎን በአስተያየቶቹ ውስጥ ቢያካፍሉ ጥሩ ነው።
ሰላም እና መልካምነት ለሁሉም!
ለጣቢያው ልማት አንዳንድ ገንዘቦችን መርዳት እና ማስተላለፍ ይችላሉ።
ማንኛውም ጀማሪ ተጠቃሚ፣ ከኤዲ ምህፃረ ቃል ጋር የተጋፈጠ፣ ንቁ ዳይሬክቶሪ ምን እንደሆነ ያስባል? አክቲቭ ዳይሬክተሪ ማይክሮሶፍት ለዊንዶውስ ጎራ ኔትወርኮች የተዘጋጀ የማውጫ አገልግሎት ነው። በአብዛኛዎቹ የዊንዶውስ አገልጋይ ኦፕሬቲንግ ሲስተሞች እንደ ሂደቶች እና አገልግሎቶች ስብስብ ተካቷል። መጀመሪያ ላይ አገልግሎቱ የሚመለከተው ከጎራዎች ጋር ብቻ ነበር። ነገር ግን፣ ከዊንዶውስ አገልጋይ 2008 ጀምሮ፣ ዓ.ም ለተለያዩ ማውጫ-ተኮር የማንነት አገልግሎቶች መጠሪያ ሆነ። ይህ ለጀማሪዎች Active Directory የተሻለ የመማር ልምድ ያደርገዋል።
መሠረታዊ ትርጉም
Active Directory Domain Directory አገልግሎቶችን የሚያንቀሳቅሰው አገልጋይ የጎራ መቆጣጠሪያ ይባላል። ለሁሉም ተጠቃሚዎች እና ኮምፒውተሮች በዊንዶውስ ኔትወርክ ጎራ ውስጥ ያሉትን ሁሉንም ተጠቃሚዎች እና ኮምፒውተሮችን ያረጋግጣል፣ ለሁሉም ፒሲዎች የደህንነት ፖሊሲዎችን ይመድባል እና ያስፈጽማል፣ እና ሶፍትዌሮችን ይጭናል ወይም ያዘምናል። ለምሳሌ አንድ ተጠቃሚ የዊንዶውስ ጎራ አካል ወደሆነው ኮምፒዩተር ሲገባ አክቲቭ ዳይሬክተሩ የቀረበውን የይለፍ ቃል ይፈትሻል እና ርዕሰ ጉዳዩ የስርዓት አስተዳዳሪ ወይም መደበኛ ተጠቃሚ መሆኑን ይወስናል። እንዲሁም የመረጃ አያያዝ እና ማከማቻን ያስችላል፣ የማረጋገጫ እና የፈቃድ ስልቶችን ያቀርባል፣ እና ሌሎች ተዛማጅ አገልግሎቶችን የማሰማራት ማዕቀፍ ያስቀምጣል፡ የምስክር ወረቀት አገልግሎቶች፣ የፌዴራል እና ቀላል ክብደት ያለው ማውጫ አገልግሎቶች እና የመብቶች አስተዳደር።
Active Directory የኤልዲኤፒ ስሪቶች 2 እና 3፣ የማይክሮሶፍት የከርቤሮስ ስሪት እና ዲ ኤን ኤስን ይጠቀማል።
ንቁ ማውጫ - ምንድን ነው? ስለ ውስብስብ ቀላል ቃላት
የአውታረ መረብ መረጃን መከታተል ጊዜ የሚወስድ ተግባር ነው። በትናንሽ ኔትወርኮች ላይ እንኳን ተጠቃሚዎች በተለምዶ የአውታረ መረብ ፋይሎችን እና አታሚዎችን ለማግኘት ይቸገራሉ። አንድ ዓይነት ማውጫ ከሌለ ከመካከለኛ እስከ ትልቅ አውታረ መረቦችን ማስተዳደር አይቻልም እና ብዙ ጊዜ ሀብቶችን ለማግኘት ችግሮች ያጋጥሟቸዋል።
የቀደሙት የማይክሮሶፍት ዊንዶውስ ስሪቶች ተጠቃሚዎች እና አስተዳዳሪዎች መረጃ እንዲያገኙ የሚያግዙ አገልግሎቶችን አካትተዋል። የኔትወርክ አጎራባች በብዙ አካባቢዎች ጠቃሚ ነው፣ ነገር ግን ግልጽ የሆነው ጉዳቱ የተዝረከረከ በይነገጽ እና ያልተጠበቀ ነው። የ WINS ስራ አስኪያጅ እና የአገልጋይ አስተዳዳሪ የስርዓቶችን ዝርዝር ለማየት ጥቅም ላይ ሊውሉ ይችላሉ, ነገር ግን ለዋና ተጠቃሚዎች አልነበሩም. አስተዳዳሪዎች ከተለየ የአውታረ መረብ ነገር ላይ ውሂብ ለመጨመር እና ለማስወገድ የተጠቃሚ አስተዳዳሪን ተጠቅመዋል። እነዚህ መተግበሪያዎች በትልልቅ ኔትወርኮች ላይ ለመስራት ውጤታማ እንዳልሆኑ በመረጋገጡ ኩባንያዎች ለምን አክቲቭ ዳይሬክተሩን ይፈልጋሉ?
ማውጫ፣ በጥቅሉ ሲታይ፣ የተሟላ የነገሮች ዝርዝር ነው። የስልክ ማውጫ የሰዎችን፣ የንግድ ድርጅቶችን እና የመንግስት ድርጅቶችን እና መረጃን የሚያከማች የማውጫ አይነት ነው።ብዙውን ጊዜ ስሞችን, አድራሻዎችን እና የስልክ ቁጥሮችን ይመዘግባሉ.የሚገርም Active Directory - ምንድን ነው, በቀላል ቃላት ይህ ቴክኖሎጂ ከማውጫ ጋር ተመሳሳይ ነው, ግን የበለጠ ተለዋዋጭ ነው ማለት እንችላለን. AD ስለ ድርጅቶች፣ ጣቢያዎች፣ ስርዓቶች፣ ተጠቃሚዎች፣ ማጋራቶች እና ማንኛውም ሌላ የአውታረ መረብ አካል መረጃ ያከማቻል.
ወደ ንቁ የማውጫ ፅንሰ-ሀሳቦች መግቢያ
አንድ ድርጅት ለምን አክቲቭ ማውጫ ያስፈልገዋል? በActive Directory መግቢያ ላይ እንደተገለፀው አገልግሎቱ ስለ ኔትወርክ አካላት መረጃ ያከማቻል።ለጀማሪዎች ንቁ ዳይሬክቶሪ ይህንን ያብራራል። ደንበኞች በስማቸው ቦታ ነገሮችን እንዲያገኙ ያስችላቸዋል።ይህ ቲ ቃሉ (የኮንሶል ዛፍ ተብሎም ይጠራል) የአውታር አካል የሚገኝበትን ቦታ ያመለክታል. ለምሳሌ፣ የመጽሃፉ የይዘት ሠንጠረዥ ምዕራፎች ለገጽ ቁጥሮች የሚመደቡበት የስም ቦታ ይፈጥራል።
ዲ ኤን ኤስ የኮንሶል ዛፍ ሲሆን እንደ IP አድራሻዎች ያሉ የአስተናጋጅ ስሞችን የሚፈታ ነው።የስልክ መጽሐፍት ለስልክ ቁጥሮች ስሞችን ለመፍታት የስም ቦታ ይሰጣሉ።ይህ በActive Directory ውስጥ እንዴት ይከሰታል? AD ለዕቃዎቹ የኔትወርክ ነገር ስሞችን ለመፍታት የኮንሶል ዛፍ ያቀርባልበአውታረ መረብ ላይ ተጠቃሚዎችን፣ ስርዓቶችን እና አገልግሎቶችን ጨምሮ የተለያዩ አካላትን መፍታት ይችላል።
ነገሮች እና ባህሪያት
የActive Directory የሚከታተለው ማንኛውም ነገር እንደ ዕቃ ይቆጠራል።ይህ በActive Directory ውስጥ እንዳለ በቀላል ቃላት መናገር እንችላለን ማንኛውም ተጠቃሚ፣ ሥርዓት፣ ሀብት ወይም አገልግሎት ነው። አንድ የተለመደ ቃል ነገር ጥቅም ላይ የሚውለው AD ብዙ ንጥረ ነገሮችን የመከታተል ችሎታ ስላለው እና ብዙ ነገሮች የጋራ ባህሪያትን ሊጋሩ ስለሚችሉ ነው። ምን ማለት ነው፧
ባህሪያት በActive Directory ውስጥ ያሉትን ነገሮች ይገልፃሉ፣ ለምሳሌ፣ ሁሉም የተጠቃሚ ነገሮች የተጠቃሚ ስሙን ለማከማቸት ባህሪያትን ይጋራሉ። ይህ በመግለጫዎቻቸው ላይም ይሠራል. ስርዓቶች እንዲሁ ነገሮች ናቸው፣ ነገር ግን የአስተናጋጅ ስም፣ የአይፒ አድራሻ እና አካባቢን የሚያካትቱ የተለየ የባህሪ ስብስብ አላቸው።
ለየትኛውም አይነት ነገር ያለው የባህሪዎች ስብስብ ሼማ ይባላል። የእቃ ክፍሎችን እርስ በርስ እንዲለዩ ያደርጋል. የመርሃግብር መረጃው በእውነቱ በActive Directory ውስጥ ተከማችቷል። ይህ የደህንነት ፕሮቶኮል ባህሪ በጣም አስፈላጊ መሆኑን የሚያሳየው ዲዛይኑ አስተዳዳሪዎች ወደ የነገር ክፍሎች ባህሪያትን እንዲጨምሩ እና በአውታረ መረቡ ላይ ማንኛውንም የጎራ ተቆጣጣሪዎች እንደገና ሳይጀምሩ በሁሉም የጎራ ማዕዘኖች ላይ እንዲያሰራጩ ያስችላቸዋል።
የኤልዲኤፒ መያዣ እና ስም
ኮንቴይነሩ የአገልግሎቱን አሠራር ለማደራጀት የሚያገለግል ልዩ ዓይነት ዕቃ ነው። እንደ ተጠቃሚ ወይም ሥርዓት ያለ አካላዊ አካልን አይወክልም። በምትኩ, ሌሎች ንጥረ ነገሮችን ለመቧደን ጥቅም ላይ ይውላል. የእቃ መያዢያ እቃዎች በሌሎች መያዣዎች ውስጥ ሊቀመጡ ይችላሉ.
በ AD ውስጥ ያለው እያንዳንዱ አካል ስም አለው። እነዚህ ለምሳሌ ኢቫን ወይም ኦልጋ የለመዱዋቸው አይደሉም። እነዚህ የኤልዲኤፒ የተለዩ ስሞች ናቸው። የኤልዲኤፒ ልዩ ስሞች ውስብስብ ናቸው ነገር ግን በማውጫው ውስጥ ያለውን ማንኛውንም ነገር ምንም ይሁን ምን በልዩ ሁኔታ እንዲለዩ ያስችሉዎታል።
የደንቦች ዛፍ እና ድር ጣቢያ
ዛፍ የሚለው ቃል በActive Directory ውስጥ ያሉትን የነገሮች ስብስብ ለመግለጽ ያገለግላል። ምንድነው ይሄ፧ በቀላል ቃላት, ይህ የዛፍ ማህበርን በመጠቀም ሊገለጽ ይችላል. ኮንቴይነሮች እና ዕቃዎች በተዋረድ ሲጣመሩ ቅርንጫፎችን ይመሰርታሉ - ስለዚህም ስሙ። ተዛማጅ ቃል ቀጣይነት ያለው ንኡስ ዛፍ ነው፣ እሱም ያልተሰበረውን የዛፍ ዋና ግንድ ያመለክታል።
ዘይቤውን በመቀጠል፣ “ደን” የሚለው ቃል የአንድ የስም ቦታ አካል ያልሆነ ነገር ግን አንድ የጋራ ንድፍ፣ ውቅረት እና ዓለም አቀፋዊ ማውጫ የሚጋራ ስብስብን ይገልጻል። ደህንነት የሚፈቅድ ከሆነ በእነዚህ መዋቅሮች ውስጥ ያሉ ነገሮች ለሁሉም ተጠቃሚዎች ይገኛሉ። በበርካታ ጎራዎች የተከፋፈሉ ድርጅቶች ዛፎችን ወደ አንድ ጫካ መቧደን አለባቸው።
ጣቢያ በActive Directory ውስጥ የተገለጸ መልክዓ ምድራዊ አቀማመጥ ነው። ጣቢያዎች ከሎጂካዊ የአይፒ ንዑስ መረቦች ጋር ይዛመዳሉ እና እንደዚሁ በአውታረ መረቡ ላይ የቅርብ አገልጋይ ለማግኘት በመተግበሪያዎች ሊጠቀሙበት ይችላሉ። የጣቢያ መረጃን ከActive Directory መጠቀም በWANs ላይ ያለውን ትራፊክ በእጅጉ ይቀንሳል።
ንቁ የማውጫ አስተዳደር
ንቁ የማውጫ ተጠቃሚዎች ቅጽበታዊ ክፍል። ይህ Active Directory ለማስተዳደር በጣም ምቹ መሳሪያ ነው። በጀምር ሜኑ ውስጥ ካለው የአስተዳደር መሳሪያዎች ፕሮግራም ቡድን በቀጥታ ተደራሽ ነው። ከዊንዶውስ NT 4.0 በአገልጋይ አስተዳዳሪ እና በተጠቃሚ አስተዳዳሪ ላይ ይተካዋል እና ያሻሽላል።
ደህንነት
ንቁ ዳይሬክቶሪ ለወደፊቱ የዊንዶውስ ኔትወርኮች ትልቅ ሚና ይጫወታል። ተግባራቶቹን ለሌሎች አስተዳዳሪዎች በሚሰጡበት ጊዜ አስተዳዳሪዎች ማውጫቸውን ከአጥቂዎች እና ተጠቃሚዎች መጠበቅ አለባቸው። ይህ ሁሉ የሚቻለው የመዳረሻ መቆጣጠሪያ ዝርዝርን (ACL)ን በማውጫው ውስጥ ካለው ከእያንዳንዱ መያዣ እና የነገር ባህሪ ጋር የሚያገናኘውን የActive Directory ደህንነት ሞዴልን በመጠቀም ነው።
ከፍተኛ የቁጥጥር ደረጃ አስተዳዳሪው ለተጠቃሚዎች እና ቡድኖች በእቃዎች እና በንብረቶቻቸው ላይ የተለያዩ የፍቃድ ደረጃዎችን እንዲሰጥ ያስችለዋል። ወደ ዕቃዎች ባህሪያትን ማከል እና እነዚያን ባህሪያት ከተወሰኑ የተጠቃሚ ቡድኖች መደበቅ ይችላሉ። ለምሳሌ፣ አስተዳዳሪዎች ብቻ የሌሎች ተጠቃሚዎችን የቤት ስልኮች ማየት እንዲችሉ ኤሲኤልን ማዘጋጀት ይችላሉ።
የተወከለ አስተዳደር
ለዊንዶውስ 2000 አገልጋይ አዲስ ፅንሰ-ሀሳብ በተወካይ አስተዳደር ነው። ይህ ተጨማሪ የመዳረሻ መብቶችን ሳይሰጡ ተግባሮችን ለሌሎች ተጠቃሚዎች እንዲሰጡ ያስችልዎታል። የተወከለ አስተዳደር በተወሰኑ ነገሮች ወይም ተያያዥነት ባላቸው የማውጫ ንዑስ ዛፎች በኩል ሊመደብ ይችላል። ይህ በኔትወርኮች ላይ ስልጣንን ለመስጠት የበለጠ ቀልጣፋ ዘዴ ነው።
ውስጥ አንድ ሰው ሁሉንም የአለምአቀፍ ጎራ አስተዳዳሪ መብቶችን ከተመደበ ተጠቃሚው በአንድ የተወሰነ ንዑስ ዛፍ ውስጥ ብቻ ነው ፈቃድ ሊሰጠው የሚችለው። አክቲቭ ዳይሬክተሩ ውርስን ይደግፋል፣ ስለዚህ ማንኛውም አዲስ እቃዎች የእቃቸውን ACL ይወርሳሉ። 
"ታማኝ ግንኙነት" የሚለው ቃል
"ታማኝ ግንኙነት" የሚለው ቃል አሁንም ጥቅም ላይ ይውላል, ግን የተለየ ተግባር አለው. በአንድ-መንገድ እና በሁለት-መንገድ መተማመን መካከል ምንም ልዩነት የለም. ከሁሉም በኋላ፣ ሁሉም የActive Directory እምነት ግንኙነቶች ባለሁለት አቅጣጫ ናቸው። ከዚህም በላይ ሁሉም ተሻጋሪ ናቸው. ስለዚህ፣ ጎራ A ጎራ B እና B የሚታመን ከሆነ፣ በጎራ A እና በጎራ C መካከል አውቶማቲክ የሆነ የተደበቀ የመተማመን ግንኙነት አለ።
በActive Directory ውስጥ ኦዲት ማድረግ - በቀላል ቃላት ምንድነው? ይህ ማን እቃዎችን ለመድረስ እየሞከረ እንደሆነ እና ሙከራው ምን ያህል ስኬታማ እንደሆነ ለመወሰን የሚያስችልዎ የደህንነት ባህሪ ነው።
ዲ ኤን ኤስ በመጠቀም (የጎራ ስም ስርዓት)
ስርዓቱ, በሌላ መልኩ ዲ ኤን ኤስ በመባል የሚታወቀው, ከበይነመረቡ ጋር ለተገናኘ ማንኛውም ድርጅት አስፈላጊ ነው. ዲ ኤን ኤስ በተለመዱ ስሞች መካከል እንደ mspress.microsoft.com እና ጥሬ የአይፒ አድራሻዎች መካከል የስም መፍታትን ያቀርባል ይህም የአውታረ መረብ ክፍል ክፍሎች ለግንኙነት ይጠቀማሉ።
አክቲቭ ዳይሬክተሩ ነገሮችን ለመፈለግ የዲ ኤን ኤስ ቴክኖሎጂን በስፋት ይጠቀማል። ይህ የ NetBIOS ስሞች በአይፒ አድራሻዎች እንዲፈቱ እና በ WINS ወይም በሌላ የ NetBIOS ስም አፈታት ዘዴዎች እንዲፈቱ ከሚጠይቀው ከቀደምት የዊንዶውስ ኦፕሬቲንግ ሲስተሞች ትልቅ ለውጥ ነው።
ዊንዶውስ 2000 ን ከሚያሄዱ ዲ ኤን ኤስ አገልጋዮች ጋር ሲጠቀሙ ንቁ ዳይሬክተሩ በተሻለ ሁኔታ ይሰራል። ማይክሮሶፍት አስተዳዳሪዎችን በሂደቱ ውስጥ የሚመሩ የስደተኛ ጠንቋዮችን በማቅረብ ወደ ዊንዶውስ 2000-ተኮር ዲ ኤን ኤስ አገልጋዮች እንዲሰደዱ ቀላል አድርጓል።
ሌሎች የዲ ኤን ኤስ አገልጋዮችን መጠቀም ይቻላል። ሆኖም ይህ አስተዳዳሪዎች የዲ ኤን ኤስ የውሂብ ጎታዎችን በማስተዳደር ብዙ ጊዜ እንዲያጠፉ ይጠይቃሉ። ምስጢሮቹ ምንድን ናቸው? ዊንዶውስ 2000ን የሚያስኬዱ ዲ ኤን ኤስ አገልጋዮችን ላለመጠቀም ከመረጡ የዲ ኤን ኤስ አገልጋዮች አዲሱን የዲ ኤን ኤስ ተለዋዋጭ ማሻሻያ ፕሮቶኮልን ማክበራቸውን ማረጋገጥ አለብዎት። አገልጋዮች የጎራ መቆጣጠሪያዎችን ለማግኘት መዝገቦቻቸውን በተለዋዋጭ በማዘመን ላይ ይተማመናሉ። የማይመች ነው። ከሁሉም በላይ ኢተለዋዋጭ ማዘመን የማይደገፍ ከሆነ የውሂብ ጎታዎችን እራስዎ ማዘመን አለብዎት። 
የዊንዶውስ ጎራዎች እና የበይነመረብ ጎራዎች አሁን ሙሉ ለሙሉ ተኳሃኝ ናቸው. ለምሳሌ፣ እንደ mspress.microsoft.com ያለ ስም ለጎራው ተጠያቂ የሆኑትን የActive Directory ዶሜይን ተቆጣጣሪዎች ይለያል፣ ስለዚህ ማንኛውም የዲ ኤን ኤስ መዳረሻ ያለው ደንበኛ የጎራ መቆጣጠሪያውን ማግኘት ይችላል።የActive Directory አገልጋዮች አዲስ ተለዋዋጭ ማሻሻያ ባህሪያትን በመጠቀም የአድራሻዎችን ዝርዝር ወደ ዲ ኤን ኤስ ስለሚያትሙ ደንበኞች ማንኛውንም የአገልግሎት ቁጥር ለመፈለግ የDNS ጥራትን መጠቀም ይችላሉ። ይህ ውሂብ እንደ ጎራ ይገለጻል እና በአገልግሎት ምንጭ መዝገቦች በኩል ታትሟል። SRV RR ቅርጸቱን ይከተሉ service.protocol.domain.
Active Directory አገልጋዮች የኤልዲኤፒ አገልግሎትን ለነገሮች ማስተናገጃ ይሰጣሉ፣ እና ኤልዲኤፒ TCPን እንደ መሰረታዊ የትራንስፖርት ንብርብር ፕሮቶኮል ይጠቀማል። ስለዚህ፣ በ mspress.microsoft.com ጎራ ውስጥ Active Directory አገልጋይ የሚፈልግ ደንበኛ የዲኤንኤስ ግቤት ለldap.tcp.mspress.microsoft.com ይፈልጋል።
ዓለም አቀፍ ካታሎግ
ንቁ ዳይሬክተሪ አለም አቀፍ ካታሎግ (ጂሲ) እና ያቀርባልበድርጅት አውታረመረብ ላይ ማንኛውንም ነገር ለመፈለግ አንድ ነጠላ ምንጭ ይሰጣል።
ግሎባል ካታሎግ በዊንዶውስ 2000 አገልጋይ ውስጥ ያለ አገልግሎት ተጠቃሚዎች የተጋሩትን ማንኛውንም ዕቃ እንዲያገኙ የሚያስችል ነው። ይህ ተግባር በቀድሞዎቹ የዊንዶውስ ስሪቶች ውስጥ ከተካተተ የኮምፒተር ፈልግ መተግበሪያ በጣም የላቀ ነው። ከሁሉም በላይ ተጠቃሚዎች በActive Directory ውስጥ ማንኛውንም ነገር መፈለግ ይችላሉ: አገልጋዮች, አታሚዎች, ተጠቃሚዎች እና መተግበሪያዎች.
አክቲቭ ዳይሬክተሪ የዊንዶውስ ኤንቲ ኦፕሬቲንግ ሲስተሞች ቤተሰብ የማይክሮሶፍት ማውጫ አገልግሎት ነው።
ይህ አገልግሎት አስተዳዳሪዎች ለተጠቃሚው የስራ አካባቢ፣ የሶፍትዌር ጭነት፣ ማሻሻያ ወዘተ ቅንጅቶችን አንድነት ለማረጋገጥ የቡድን ፖሊሲዎችን እንዲጠቀሙ ያስችላቸዋል።
የActive Directory ይዘት ምንድን ነው እና ምን ችግሮችን ይፈታል? አንብብ።
የአቻ-ለ-አቻ እና ባለብዙ-አቻ አውታረ መረቦችን የማደራጀት መርሆዎች
ነገር ግን ሌላ ችግር ተፈጠረ፣ በ PC2 ላይ ያለው ተጠቃሚ2 የይለፍ ቃሉን ለመቀየር ከወሰነስ? ከዚያ ተጠቃሚ1 የመለያ የይለፍ ቃሉን ከለወጠ በ PC1 ላይ ያለው ተጠቃሚ2 ንብረቱን ማግኘት አይችልም።
ሌላ ምሳሌ፡- 20 መለያዎች ያሏቸው 20 የስራ ጣቢያዎች አሉን ለዚህም የተወሰነ መዳረሻ መስጠት የምንፈልጋቸው ይህንን ለማድረግ በፋይል አገልጋዩ ላይ 20 መለያዎችን መፍጠር እና የሚፈለገውን ግብአት ማግኘት አለብን።
20 ባይሆኑስ 200 ቢሆኑስ?
እርስዎ እንደተረዱት፣ በዚህ አካሄድ የአውታረ መረብ አስተዳደር ወደ ፍፁም ገሃነም ይቀየራል።
ስለዚህ, የስራ ቡድን አቀራረብ ከ 10 ፒሲ ያልበለጠ አነስተኛ የቢሮ አውታሮች ተስማሚ ነው.
በአውታረ መረቡ ውስጥ ከ 10 በላይ የስራ ቦታዎች ካሉ, አንድ የአውታረ መረብ መስቀለኛ መንገድ ማረጋገጫ እና ፍቃድን የማከናወን መብቶችን የተወከለበት አቀራረብ ምክንያታዊ ይሆናል.
ይህ መስቀለኛ መንገድ የጎራ ተቆጣጣሪ ነው - ንቁ ማውጫ።
የጎራ መቆጣጠሪያ
ተቆጣጣሪው የመለያዎች የውሂብ ጎታ ይይዛል, ማለትም. ለሁለቱም PC1 እና PC2 መለያዎችን ያከማቻል.
አሁን ሁሉም መለያዎች በተቆጣጣሪው ላይ አንድ ጊዜ ተመዝግበዋል, እና የአካባቢያዊ መለያዎች አስፈላጊነት ትርጉም የለሽ ይሆናል.
አሁን፣ አንድ ተጠቃሚ የተጠቃሚ ስሙን እና የይለፍ ቃሉን በማስገባት ፒሲ ውስጥ ሲገባ፣ ይህ ውሂብ በግል መልክ ወደ ጎራ መቆጣጠሪያው ይተላለፋል፣ ይህም የማረጋገጫ እና የፈቀዳ ሂደቶችን ያከናውናል።
ከዚያ በኋላ ተቆጣጣሪው እንደ ፓስፖርት የገባ ተጠቃሚን ያወጣል ፣ ከዚያ በኋላ በኔትወርኩ ላይ ይሰራል እና በሌሎች የአውታረ መረብ ኮምፒተሮች ፣ ሀብቶቻቸው መገናኘት የሚፈልገውን አገልጋይ ያቀርባል ።
አስፈላጊ! የጎራ መቆጣጠሪያ የተጠቃሚውን የአውታረ መረብ ሀብቶች መዳረሻ የሚቆጣጠር አክቲቭ ዳይሬክቶሬትን የሚያሄድ ኮምፒውተር ነው። ሀብቶችን ያከማቻል (ለምሳሌ አታሚዎች፣ የተጋሩ አቃፊዎች)፣ አገልግሎቶች (ለምሳሌ ኢሜል)፣ ሰዎች (የተጠቃሚ እና የተጠቃሚ ቡድን መለያዎች)፣ ኮምፒውተሮች (የኮምፒውተር መለያዎች)።
እንደነዚህ ያሉ የተከማቹ ሀብቶች ብዛት በሚሊዮን የሚቆጠሩ ነገሮችን ሊደርስ ይችላል.
የሚከተሉት የኤምኤስ ዊንዶውስ ስሪቶች እንደ ጎራ መቆጣጠሪያ ሆነው ሊያገለግሉ ይችላሉ፡ ዊንዶውስ አገልጋይ 2000/2003/2008/2012 ከድር-እትም በስተቀር።
የጎራ ተቆጣጣሪው የኔትወርክ ማረጋገጫ ማዕከል ከመሆኑ በተጨማሪ የሁሉም ኮምፒውተሮች መቆጣጠሪያ ማዕከል ነው።
ወዲያውኑ ካበራ በኋላ ኮምፒዩተሩ የማረጋገጫ መስኮቱ ከመታየቱ ከረጅም ጊዜ በፊት የጎራ መቆጣጠሪያውን መገናኘት ይጀምራል።
ስለዚህ, ወደ መግቢያ እና የይለፍ ቃል የሚገባው ተጠቃሚ ብቻ ሳይሆን የደንበኛው ኮምፒዩተርም የተረጋገጠ ነው.
ንቁ ማውጫን በመጫን ላይ
በዊንዶውስ አገልጋይ 2008 R2 ላይ አክቲቭ ዳይሬክተሩን የመጫን ምሳሌን እንመልከት። ስለዚህ የነቃ ዳይሬክተሩን ሚና ለመጫን ወደ “የአገልጋይ አስተዳዳሪ” ይሂዱ።
“ሚናዎችን ጨምር” የሚለውን ሚና አክል፡-
የንቁ ማውጫ ጎራ አገልግሎቶችን ሚና ይምረጡ፡-
እና መጫኑን እንጀምር:
ከዚያ በኋላ ስለተጫነው ሚና የማሳወቂያ መስኮት እንቀበላለን-
የጎራ መቆጣጠሪያውን ሚና ከጫንን በኋላ መቆጣጠሪያውን ወደ ራሱ መጫን እንቀጥል.
በፕሮግራሙ ፍለጋ መስክ ውስጥ “ጀምር” ን ጠቅ ያድርጉ ፣ የዲሲፕሮሞ አዋቂውን ስም ያስገቡ ፣ ያስጀምሩት እና ለላቁ የመጫኛ ቅንጅቶች ሳጥኑ ላይ ምልክት ያድርጉ።
"ቀጣይ" ን ጠቅ ያድርጉ እና ከቀረቡት አማራጮች ውስጥ አዲስ ጎራ እና ደን ለመፍጠር ይምረጡ።
የጎራውን ስም ያስገቡ ፣ ለምሳሌ ፣ example.net።
ያለ ዞን የ NetBIOS ጎራ ስም እንጽፋለን፡-
የኛን ጎራ ተግባራዊ ደረጃ ይምረጡ፡
በጎራ መቆጣጠሪያው አሠራር ልዩ ሁኔታዎች ምክንያት፣ እንዲሁም የዲ ኤን ኤስ አገልጋይ እንጭነዋለን።
የመረጃ ቋቱ፣ የምዝግብ ማስታወሻ ደብተር እና የሥርዓት መጠን ሳይለወጡ ይቀራሉ፡-
የጎራ አስተዳዳሪ ይለፍ ቃል ያስገቡ፡
የመሙላትን ትክክለኛነት እንፈትሻለን እና ሁሉም ነገር በቅደም ተከተል ከሆነ "ቀጣይ" ን ጠቅ ያድርጉ.
ከዚህ በኋላ የመጫን ሂደቱ ይጀምራል, በዚህ ጊዜ መጨረሻ ላይ መጫኑ ስኬታማ መሆኑን የሚገልጽ መስኮት ይታያል.
የገቢር ማውጫ መግቢያ
ሪፖርቱ የማይክሮሶፍት ኦፐሬቲንግ ሲስተሞችን በመጠቀም ሊፈጠሩ ስለሚችሉ ሁለት አይነት የኮምፒውተር ኔትወርኮች ያብራራል፡ የስራ ቡድን እና አክቲቭ ዳይሬክተሪ ጎራ።
