ایجاد ساختار سازمانی در اکتیو دایرکتوری
قبل از اینکه به موضوع ایجاد ساختار سازمانی در اکتیودایرکتوری بپردازیم (OU)، لازم است با جزییات بیشتری از اکتیودایرکتوری آشنا شویم. اکتیودایرکتوری (AD) یک سرویس برای مدیریت منابع شبکه است که توسط شرکت مایکروسافت و به منظور کار در محیطهای ویندوزی تهیه شده است.!هدف اصلی آن فراهم کردن سرویسی متمرکز برای احراز هویت (Authentication) و تعیین مجوزها (Authorization) برای کامپیوترهای ویندوزی است.
اکتیودایرکتوری همچنین امکان تعیین سیاستها، نصب نرمافزارها و اعمال بهروزرسانیهای مهم را برای مدیران شبکه (Administrator) فراهم میکند. کارکرد اساسی دیگر اکتیودایرکتوری، ذخیرهسازی اطلاعات و تنظیمات شبکه به صورت متمرکز است. یک پایگاهدادهی اکتیودایرکتوری میتواند شامل چند صد شئ تا چند میلیون شئ باشد.
فهرست مطالب
شی در Active Directory چیست؟
قبل از ایجاد ساختار سازمانی در اکتیو دایرکتوری باید بدانید که دادههایی که در اکتیودایرکتوری ذخیره میشوند، مانند اطلاعات کاربران، تماسها، پرینترها، سرورها، پایگاههای داده، گروهها، کامپیوترها، پوشهها و سیاستهای امنیتی، همه تحت عنوان اشیائی در اکتیودایرکتوری ذخیره میشوند. به طور کلی، اشیاء در اکتیودایرکتوری به سه دسته اصلی تقسیم میشوند: منابع (مانند پرینترها)، سرویسها (مانند ایمیل) و کاربران (که شامل کاربران، اطلاعات تماس و گروهها میشود).
۳ دسته اصلی اشیا در Active Directory
- منابع (مانند پرینترها)
- سرویسها (مانند ایمیل)
- کاربران (شامل کاربران، اطلاعات تماس و گروهها)
Forest، Tree و Child در Active Directory چیست؟
فارست (Forest)
یک مجموعه از یک یا چند Tree است که یک Schema و Global Catalog مشترک دارند. اولین دامنهای که در اکتیو دایرکتوری ایجاد میشود، بهعنوان ریشهی فارست (Forest Root Domain) شناخته میشود. فارست (Forest) یک مجموعهی کلی از دامنهها است و نه صرفاً یک دامنهی خاص. اما اولین دامنهای که ایجاد میشود، همان “Forest Root Domain” است که نقش اصلی را در فارست دارد که Schema، Global Catalog، و Enterprise Admins را مدیریت میکند. بنابراین، فارست فقط یک مفهوم سازماندهنده است، ولی فارست روت دامین یک دامنهی واقعی است که درون فارست وجود دارد.
Tree
مجموعهای از دامنههای مرتبط با یک نامگذاری (namespace) متصل به هم است. اولین دامنهای که در فارست ایجاد میشود، بهعنوان ریشهی درخت (Tree Root Domain) عمل میکند.
بنابراین، اولین دامنهای که ساخته میشود، هم “Forest Root Domain” و هم “Tree Root Domain” است و تمامی دامنههای دیگر که بعداً اضافه میشوند، یا Child Domain آن خواهند بود یا Tree Domain جدیدی در همان فارست.
مثالی برای درک بهتر
شرکت مایکروسافت که در زمینه تولید نرمافزار کار میکند، نام دامنهاش را microsoft.local گذاشته است. مدتی بعد در زمینه اخبار هم شروع به فعالیت میکند که دامنه msn.local را ایجاد میکند.!همچنین مکانی را برای گروهی از برنامهنویسان اختصاص میدهد و دامنه docs.microsoft.local را ایجاد میکند.
به microsoft.local که با ساخت اولین دامنه ایجاد شد، Forest Root میگویند از طرفی یک tree domain و Tree root domain هم میباشد. msn.local یک Tree Domain جداگانه است که در forest مایکروسافت قرار دارد. docs.microsoft.local در واقع child مایکروسافت است. همواره نام فرزند، الحاقی از نام آن و نام والد آن است (که به آن FQDN یا Fully Qualified Domain Name میگویند).
برای آشنایی بیشتر با نحوه راهاندازی یک Tree Root Domain، یک Tree Domain و یا یک Child Domain، میتونید به مقالههای زیر رجوع کنید:
Tree Root چیست و نحوه ساخت این Domain در ویندوز سرور 2016
Active Directory یک سرویس مدیریت هویت و دسترسی است که توسط مایکروسافت توسعه داده شده است و در سیستمعاملهای ویندوز سرور قرار دارد. Active Directory به سازمانها امکان میدهد تا کاربران، دستگاهها و منابع شبکه را مدیریت و نظارت کنند. یکی از مفاهیم کلیدی در Active Directory، مفهوم Forest است
ساخت Tree Domain در ویندوز سرور 2022
Active Directory (AD) یکی از ابزارهای قدرتمند مایکروسافت برای مدیریت منابع شبکه است که به مدیران شبکه این امکان را میدهد تا کاربران، گروهها، کامپیوترها و منابع دیگر را به صورت متمرکز مدیریت کنند. پس در هر سازمان یک Active Directory برای مدیریت بهینه شبکه وجود دارد. اما اگر یک
Child Domain و کاربرد آن در ویندوز سرور
Child Domain یک زیر مجموعه از دومین اصلی می باشد. به طور مثال اگر شما یک دومین با نام hiva.local داشته باشید دومین mail.hiva.local دامنه Child آن خواهد بود. مهمترین کاربرد این نوع دومین در شرکت های بزرگ است که چندین شعبه در چند شهر مختلف را دارا هستند. مثلا
واحدهای سازمانی (Organizational Unit) در مقابل Container
آخرین بخش از اجزاء ساختار اکتیودایرکتوری که در این بخش به آنها میپردازیم واحدهای سازمانی و container نام دارند.
Container
به زبان ساده، containerها اشیائی هستند که خود در برگیرندهی اشیائی دیگر هستند.!هر دامین شامل مجموعهای پیشفرض از containerها میباشد که در زیر به برخی از آنها اشاره شده است:
شامل تعدادی گروه پیشفرض میباشد که در هر دامین وجود دارد.
شامل تمام کامپیوترهایی میباشد که عضو دامین هستند.
شامل سرورهای DC که در این دامین هستند.
نشاندهندهی روابط trust با این دامین است.
شامل حسابهای کاربری تمام کاربران این دامین است.
واحد سازمانی (OU)
واحد سازمانی که به اختصار به آن OU نیز میگویند مشابه با container است!با این تفاوت که OUها توسط مدیر شبکه و بسته به نیاز سازمان ساخته میشوند. به عبارت دیگر، OUها خود containerهایی هستند که بسته به نیاز و ساختار منطقی گروهبندی در یک سازمان ساخته میشوند. به عنوان یک مدیر شبکه، شما ممکن است که ساختاری از OUها را ایجاد کنید که نمایانگر ساختار سازمانی شرکت شما باشد. برای مثال شما میتوانید یک OU برای هر دپارتمان (مانند مالی، پشتیبانی، فروش و …) ایجاد کنید.
اهمیت واحدهای سازمانی (OU) در اکتیو دایرکتوری در این است که میتوان بر اساس ساختار سازمانی، مدیریت را به مدیران بخشهای کوچکتر واگذار کرد. به این ترتیب، هر مدیر فقط مسئول مدیریت واحد سازمانی مربوط به خودش خواهد بود و نمیتواند به سایر بخشها دسترسی داشته باشد. این ویژگی به مدیران ارشد امکان میدهد تا وظایف مدیریتی را بین مدیران جزءتر تقسیم کنند و از کارایی و امنیت بیشتری برخوردار شوند.
تمامی مراحل ایجاد ساختار سازمانی در اکتیو دایرکتوری در دامین کنترلر 2022 نیز به همین روش است و هیج گونه تفاوتی وجود ندارد.
نحوه ایجاد ساختار سازمانی در اکتیو دایرکتوری
ایجاد ساختار سازمانی در اکتیو دایرکتوری به 3 روش ممکن است:!اولین روش به صورت ویزاردی و گرافیکی است. دومین روش با استفاده از دستورات خط فرمان (CMD) است، و سومین روش با استفاده از بچ فایل (bath file). در ادامه به توضیح روش ایجاد ساختار سازمانی در اکتیو دایرکتوری به صورت ویزاردی میپردازیم و دو روش دیگر را در مقاله بعدی بررسی میکنیم.
برای مطالعه مقاله ایجاد ساختار سازمانی در اکتیو دایرکتوری با کمک CMD و Batch File میتوانید به پست زیر رجوع کنید.
نحوه ایجاد OU در Active Directory با 2 روش CMD و بچ فایل
Organizational Units (OU) یا ساختار سازمانی در اکتیو دایرکتوری به مدیران شبکه این امکان را میدهد تا منابع شبکه، کاربران و کامپیوترها را به صورت سازمانیافته و منطقی دستهبندی کنند. OU ها به عنوان کانتینرهای (ظرفهای) مجازی عمل میکنند که میتوانند شامل کاربران، گروهها، کامپیوترها و حتی سایر OU ها
در هر سازمان برای مدیریت ساختاریافته و سادهتر از یک مجموعه OU استفاده میشود.!برای مثال استفاده از OUهایی نظیر واحد فنی، واحد حسابداری، واحد مدیریت، واحد کارگزینی و … در بسیاری از شرکتها و سازمانها مرسوم است. ما میخواهیم برای شرکت هیوا یک OU ایجاد کرده و در آن واحدهای مالی، فنی و مدیریت را درنظر میگیریم!. هر یک از واحدها شامل 3 کارمند هستند. برای ایجاد ساختار سازمانی در اکتیو دایرکتوری مراحل زیر را پیش میگیریم:
مرحله اول: ایجاد OU و حساب کاربری
اولین قدم برای ایجاد ساختار سازمانی در اکتیو دایرکتوری ایجاد یک OU به نام آن سازمان یا شرکت است. صفحه Active Directory Users and Computers را باز کرده و روی نام دامنه کلیک راست میکنیم. گزینه New و سپس Organization Unit را انتخاب میکنیم.!
برای ایجاد OU نام آن را وارد میکنیم. اگر گزینه Protect container from accidental deletion فعال باشد، AD بعد از ایجاد OU اجازه حذف آن را نمیدهد. (به صورت پیش فرض فعال است و بهتر است که فعال هم بماند) پس از ایجاد OU میتوان کاربران و سایر حسابهای دیگر را درون آن ایجاد کرد.
حال روی OU هیوا کلیک راست کرده و گزینه New و سپس OU را انتخاب میکنیم و برای هریک از واحدهای مالی و فنی و مدیریت یک OU ایجاد میکنیم. سپس بر روی هر واحد کلیک راست کرده و از گزینه New گزینه User را انتخاب کرده و برای هر یک از کارمندان یک حساب کاربری ایجاد میکنیم.
جهت اطلاعات دقیق تر برای ایجاد کاربر در یک OU به مقاله بررسی سرویسactive directory users and computer در ویندوز سرور مراجعه کنید.
بررسی کنسول Active Directory Users and Computers در ویندوز سرور 2019
کنسول Active Directory Users and Computers (یا ADUC) ابزاری حیاتی و ضروری برای مدیران شبکه و فناوری اطلاعات است. این کنسول مانند یک دفترچه متمرکز، امکان مدیریت و سازماندهی کاربران، گروهها، و کامپیوترها را فراهم میکند. با استفاده از ADUC، میتوانید دسترسیها، مجوزها و سیاستهای امنیتی را برای کاربران مختلف
با توجه به سیاست هر سازمان یا شرکتی میتوان تنظیمات خاصی را برای هر کاربر درون ساختار سازمانی در اکتیو دایرکتوری اعمال کرد.!به عنوان مثال کاربر 1 از ساعت 8 تا 12 صبح و کاربر2 از ساعت 1 تا 5 بعدازظهر اجازه ورود به شبکه را داشته باشند.
مرحله دوم: ایجاد گروه و عضویت کاربران
مرحله دوم بعد از ایجاد ساختار سازمانی در اکتیو دایرکتوری ایجاد گروه است. برای دستهبندی اشیا و تعریف سیاستهای امنیتی مشترک برای تعداد مشخصی از کاربران از گروه استفاده میکنیم.!در واقع گروهها اشیایی هستند که میتوانند برای دستهبندی اشیای دیگر استفاده شوند.
در ویندوز سرور 2016 دو نوع گروه تعریف میشود:
- گروههای امنیتی (Security Groups): برای اعطای مجوز دسترسی به منابع شبکه استفاده میشود.
- گروههای توزیعی (Distribution Groups): برای فراهم کردن فهرست نامههای الکترونیکی کاربران به کار میروند.
حوزه عملکرد گروهها (Group Scope) چگونگی تخصیص مجوزها به اعضای درون آنها را مشخص میسازد.! هر دو گروه امنیتی و توزیعی میتوانند در یکی از 3 نوع حوزه عملکرد زیر قرار گیرند:
- Domain Local Groups: از این گروه برای مدیریت مجوزها روی منابع استفاده میشود.
- Global Groups: از این گروه برای گروهبندی اشیای مختلف بر اساس نوع کار استفاده میشود.
- Universal Groups: از این گروه برای مدیریت مجوزها روی منابع در بیش از یک Domain استفاده میشود.
برای ایجاد گروه، روی واحد مالی کلیک راست کرده، گزینه New و سپس گزینه Group را انتخاب میکنیم.! با توجه به نوع سیاست شرکت صفات آن را مشخص میکنیم سپس روی ok کلیک میکنیم.
برای عضو کردن کاربر به این گروه، روی نام گروه کلیک راست کرده و Properties را انتخاب میکنیم. از سربرگ Members روی Add کلیک میکنیم. چند کاراکتر از نام کاربر موردنظر را تایپ کرده و روی Check name و سپس Ok کلیک میکنیم. (اگر چندین نام مشابه با کاراکترهای تایپ شده موجود باشد، یک صفحه از لیست اسامی باز میشود.!از لیست موجود از کاربران درون ساختار سازمانی در اکتیو دایرکتوری، کاربر موردنظر را انتخاب کرده و روی Ok کلیک میکنیم). سپس روی Apply و بعد Ok کلیک کنید.!
مرحله سوم: ایجاد حساب کامپیوتری
مورد بعد از ایجاد ساختار سازمانی در اکتیو دایرکتوری ایجاد حساب کامپیوتری است.
وقتی کامپیوتری را عضو دامین میکنیم، به صورت خودکار AD بر اساس نام آن (Computer Name) یک حساب کامپیوتری برای آن در پوشه Computers ایجاد میکند. چون این کامپیوتر عضو پوشه پیشفرض میشود، قابل مدیریت برای تنظیمات Policy نخواهد بود. به همین دلیل بهتر است قبل از عضو کردن آن، ابتدا یک OU بسازیم و سپس یک حساب کامپیوتری درون OU ایجاد کنیم.
ابتدا روی OU هیوا کلیک راست کرده و یک OU با نام Hiva-computers ایجاد میکنیم. سپس روی آن کلیک راست کرده گزینه New و سپس گزینه Computer را انتخاب میکنیم. نام کامپیوتری که در در فیلد Computer Name وارد میکنیم باید دقیقا با نام کامپیوتر در صفحه System Properties کامپیوتر کلاینت یکسان باشد. در غیر این صورت در زمان عضویت کامپیوتر، AD بر اساس نام آن یک حساب کامپیوتری در پوشه پیشفرض میسازد.
حالا میتوانید سیستمهای کلاینت را به شبکه جوین کنید.
امیدوارم از مقاله “ایجاد ساختار سازمانی در اکتیو دایرکتوری” لذت برده باشید. همچنین شما می توانید برای ایجاد User در دامین کنترلر 2022 به مقاله زیر مراجعه کنید.
آموزش ساخت User در Active Directory-2022
Active Directory یکی از سرویس های پرکاربرد در سازمانها است که برای مدیریت متمرکز و کنترل و احراز هویت کاربران در محیط ویندوز ساخته شده است. هنگامی که در یک سازمان، Active Directory نصب و راهاندازی شد، نوبت به ایجاد حسابهای کاربری و کنترل دسترسی است تا دسترسیهای هر کاربر
برای ایجاد ساختار سازمانی در اکتیو دایرکتوری (ساخت Group ،User ،Ou ، عضویت در گروه و ایجاد حساب کامپیوتری) در Domain Controller 2022 می توانید ویدیوی زیر را مشاهده کنید.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
با سلام
ببخشید چطوری یک ou مدیریتی بسازیم در اکتیو دایر کتوری
13
اینکه OU مدیریتی باشه ، یعنی وظایفی به اعضاش delegate شده باشه؟ کامل تر توضیح میدید؟
13
منظورم اینه که با ou معمولی فرق کنه
11