آشنايي با زيرساخت هاي Active Directory در Windows Server 2003


يک دايرکتوري (Directory) مجموعه ذخيره *شده از اطلاعات درباره*ي اشيايي است که به نوعي با يکديگر مرتبطند. يک سرويس دايرکتوري (Directory Service) تمامي*اطلاعاتي را که براي استفاده و مديريت اين اشيا لازم است، در يک محل متمرکز ذخيره نموده و بدين ترتيب نحوه*ي يافتن و مديريت اين منابع را تسهيل مي*بخشد. يک Directory Service زمينه*اي را فراهم مي*آورد تا دسترسي به منابع در سطح شبکه به بهترين نحو ممکن سازمان يابد . کاربران و مديران ممکن است که نام دقيق يک شئ مورد نياز را ندانند، اما با دانستن يک يا چند ويژگي از يک شئ و با استفاده از Directory Service مي*توانند ليستي از اشيا با ويژگي مورد نظر خود را جستجو کنند.
در اين بخش به معرفي سرويس Active Directory در Windows Server 2003 پرداخته و به صورت مقدماتي با خصوصيات، اشيا موجود و اجزاي آن (فيزيکي و منطقي) آشنا مي*شويم.

کلمات کليدي: Active Directory، Domain يا دامنه، Tree يا درخت، Forest يا جنگل، Organizational Units يا واحدهاي سازماني، Domain Controller، و سايت.

آشنايي با سرويس دايرکتوري موجود در ويندوز سرور 2003 (Active Directory)

Active Directory يک سرويس دايرکتوري بوده که در Windows Server 2003 قرار داده شده است. Active Directory شامل يک دايرکتوري بوده که اطلاعات مربوط به شبکه را ذخيره مي*کند، علاوه بر آن داراي تمامي سرويس*هايي است که اطلاعات را قابل استفاده کرده و در دسترس قرار مي*دهد.
Active Directory ويژگي*هاي زير را ارائه مي*کند:

. ذخيره*ي متمرکز داده (Centralized data store)
. مقياس پذيري (Scalability)
. قابليت توسعه (Extensibility)
. قابليت مديريت (Manageability)
. استفاده و تمرکز بر سيستم نام*گذاري دامنه (Integration with Domain Name System)
. مديريت تنظيمات سرويس گيرنده (Client configuration management)
. مديريت بر مبناي سياست (Policy-based administration)
. تکرار اطلاعات (Replication of information)
. شناسايي ايمن و انعطاف پذير (Flexible, secure authentication and authorization)
. برنامه*ها و زيرساختارهاي مبتني بر دايرکتوري
Directory-enable applications and infrastructures))

. تطبيق با ساير سرويس*هاي دايرکتوري
(Interoperability with other directory services)

. ترافيک رمزگذاري شده و امضا شده (Signed and encrypted LDAP traffic)

اشياي موجود در Active Directory

هر داده*اي که در Active Directory ذخيره مي*شود، به صورت اشيايي (Objects) متفاوت سازمان مي*يابد. يک شئ مجموعه مجزايي از صفات است که منابع شبکه را مشخص مي*کند. صفات (Attributes)، خصوصيات اشياي موجود در يک دايرکتوري را شامل مي*شود. به عنوان نمونه صفات يک User account (حساب کاربر) مي*تواند شامل نام، نام خانوادگي و نام Log on براي آن کاربر باشد. در حالي که صفات يک computer account ممکن است که شامل نام و مشخصات آن شئ باشد.
بعضي از اشيا ، که از آن*ها به نام Container ياد مي*شود ، خود دربردارنده اشيايي ديگرند. به عنوان مثال يک domain، خود يک container است که مي*تواند شامل اشيايي مانند حساب کاربران و کامپيوترها باشد. در شکل 1 پوشه*ي کاربران، يکcontainer بوده که داراي اشياي مربوط به حساب کاربران است.


شکل 1 : اشيا و صفات در Active Directory
اجزاي Active Directory
براي ايجاد يک ساختار دايرکتوري، اجزاي زيادي مورد نياز است. اين اجزا به دو دسته*ي منطقي و فيزيکي تقسيم مي*شوند.

اجزاي منطقي عبارتند از :

•دامنه*ها (Domains)
•واحدهاي سازماني (Organizational Units)
•درخت*ها (Trees)
•جنگل*ها (Forests)

اجزاي فيزيکي که ساختار فيزيکي Active Directory را شکل مي*دهند عبارتند از :

•سايت*ها (Physical Subnets)
Domain Controller*ها (DC)

ساختار منطقي

در Active Directory، مي*توان منابع را به صورت يک ساختار منطقي سازمان داد (ساختاري که منعکس کننده*ي مدل*هاي سازماني باشد). گروه*بندي منطقي منابع اين امکان را فراهم مي*آورد تا يک منبع با استفاده از نامش به سادگي پيدا شود و اين امر ما را از يادآوري محل فيزيکي منبع بي*نياز مي*سازد. در شکل 2 رابطه*ي domainها، OU*ها، treeها و forest*ها ديده مي*شود.


شکل2 : رابطه ميان اجزاي منطقي Active Directory

1. دامنه Domain
هسته*ي اصلي ساختار منطقي در Active Directory، domain يا دامنه بوده که قادر به ذخيره*ي ميليون*ها شئ است. تمامي*domainها در دو ويژگي زير مشترکند.

•تمام اشياي شبکه در يک Domain قرار دارند و هر Domain اطلاعات مربوط به همان Domain را داراست.

Domain يک محدوده*ي امنيتي است. دسترسي به اشياي Domain*ها از طريق ليست*هاي کنترل دسترسي يا ACL (Access Control List) ميسر مي*شود. ACL* ها شامل مجوزهايي هستند که مرتبط با اشياي مورد نظر است. اين مجوزها بيان مي*دارند که کدام يک از کاربران مي*توانند به*يک شي دسترسي داشته باشند و اين دسترسي از چه نوع و در چه سطحي است. در خانواده*ي Windows Server 2003، اشيا شامل فايل*ها، پوشه*ها، اشتراکات، چاپگرها و ساير اشياي Active Directory است. اين نکته مي*بايست در نظر گرفته شود که هيچ يک از تنظيمات و سياست*هاي امنيتي مانند اختيارات مديريتي، سياست*هاي امنيتي و ACL*ها نمي*توانند از يک Domain به Domain ديگر تغيير يابند. اين امر بدان معنا است که*يک مدير در سطح يک Domain تنها داراي اختياراتي است که وي را محدود به وضع سياست*ها در همان Domain مي*کند.
سطح عملياتي دامنه (Domain Functional Level) که تحت عنوان حالت دامنه (Domain Mode) در Windows 2003 شناخته مي*شود، ويژگي*هاي خاصي را در پهنه دامنه (Domain-Wide)و در محيط شبکه فراهم مي*آورد.

چهار سطح عملياتي دامنه وجود دارد:

Windows 2000 mixed
Windows 2000 native
Windows 2003 interim
Windows Server 2003


سطح عملياتي “Windows 2000 mixed” به*يک DC با سيستم عامل Windows Server 2003 اجازه مي*دهد تا با ساير DCها در همان Domain که داراي سيستم عامل*هاي Windows NT4 ، Windows 2000 و Windows server 2003 هستند ارتباط داشته باشند.

سطح عملياتي “Windows 2000 native”، تنها امکان ارتباط DC*هاي Windows 2003 با Windows 2000 را فراهم مي*آورد.

سطح عملياتي “Windows 2003 interim” ارتباط DC*هاي Windows Server 2003 با DC*هاي NT4 را ممکن مي*سازد.

سطح عملياتي “Windows Server 2003” تنها DC*هاي 2003 را با يکديگر مرتبط مي*سازد.

تنها در زماني مي*توان سطح عملياتي يک Domain را بالا برد که تمامي*Domain Controller*ها در آن Domain نسخه*هاي مناسبي از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملياتي Domain “Windows Server 2003” باشد، در اين صورت مي*بايست که تمامي*DCها در اين Domain داراي سيستم عامل windows server 2003 باشند.

2. Organization Units)OUs) واحدهاي سازماني
OU خود يک container بوده که اشياي يک دامنه (Domain) را در گروه*هاي مديريتي سازمان دهي مي*کند. يک OU براي اعمال و اجراي وظايف مديريتي (مانند مديريت منابع و کاربران) به کار رفته و مي*تواند شامل اشيايي مانند حساب*هاي کاربران، گروه*ها، کامپيوترها، چاپگرها، برنامه*ها، فايل*هاي به اشتراک گذاشته شده و حتي ساير OU*ها از همان domain باشد. ساختار سلسله مراتبي يک OU در يک domain مستقل از ساختار سلسله مراتبي OU در domain*هاي ديگر است. مي*توان با اضافه کردن يک OU در داخل OU ديگر (nesting)، مديريتي سلسله مراتبي را سازمان داد. در شکل 3، domain با نام microsoft.com منعکس کننده*ي سازماني بوده که داراي سه OU است : US،Orders و Disp.

Orders و Disp در واحد سازماني (OU) US آشيانه*اي شده*اند.به صورت پيش*فرض تمامي*اشياي فرزند (OUهاي Disp وOrder) مجوزهاي خود را از والدين به ارث مي*برند (US OU). ايجاد مجوز در سطوح بالاتر و استفاده از امکانات وراثت، وظايف مديريتي را کاهش مي*دهد.

شکل 3 : استفاده از OU براي به عهده گرفتن وظايف مديريتي

3. درخت*ها Trees
يک درخت(Tree)، سازمان دهي يا گروه*بندي منطقي يک يا چند دامنه بوده که از طريق ايجاد يا اضافه کردن چند دامنه*ي فرزند (Child Domain) به دامنه*ي پدر (Parent Domain) فعلي به وجود مي*آيد. دامنه*ها در يک درخت، داراي يک فضاي اسمي*(Contiguous Namespace) يا ساختار نامي* سلسله مراتبي مشترک هستند. بر اساس استانداردهاي DNS، نام يک دامنه*ي فرزند، ترکيبي از نام خود دامنه*ي فرزند به همراه نام دامنه*ي پدر است. در شکل 4 Domain با نام microsoft.com به عنوان دامنه*ي والد، و Domain*هاي us.microsoft.com و uk.microsoft.com دامنه*هاي فرزند آن هستند. علاوه بر آن خود دامنه*ي uk.microsoft.com داراي يک دامنه*ي فرزند با نام sls.uk.microsoft.com است (به روند دنباله*وار نام دامنه*ها دقت کنيد).


شکل 4 : A Domain Tree


4. جنگل*ها Forests

يک جنگل (Forest) دسته*بندي يا سازماندهي سلسله مراتبي از يک يا چند درخت (Domain Tree) کاملاً مستقل و مجزا از هم است. يک جنگل داراي ويژگي*هايي است:
  • <LI style="TEXT-ALIGN: justify">درخت*ها در يک جنگل با توجه به دامنه*هايشان، داراي ساختار نامي*متفاوت هستند.
  • دامنه*ها در يک جنگل به صورتي کاملاً مستقل از هم عمل مي*کنند، ولي يک جنگل امکان ارتباط در تمامي*سازمان را برقرار مي*سازد.
در شکل 5 دو درخت microsoft.com و msn.com از يک جنگل ديده مي*شوند. مي*توان مشاهده کرد که فضاي نامي*در هر درخت دنباله*وار است.


شکل5: A forest of Trees

سطح عملياتي جنگل (Forest Functional Level)، ويژگي*هاي خاصي را در سطح جنگل و در محيط شبکه فراهم مي*آورد(Forest-wide Active Directory Features) .
سه سطح دسترسي جنگل وجود دارد:

•Windows 2000 ( پيش فرض )
•Windows 2003 interim
•Windows Server 2003


سطح عملياتي “Windows 2000” به يک DC با سيستم عامل Windows Server 2003 اجازه مي*دهد تا با ساير DCها در شبکه که داراي سيستم عامل*هاي Windows NT4 ،Windows 2000 وWindows Server 2003 هستند ارتباط داشته باشد.

سطح عملياتي “Windows 2003 interim” ارتباط DC*هاي Windows Server 2003 با DC*هاي ويندوز NT4 و ويندوز سرور 2003 را ممکن مي*سازد.

سطح عملياتي “Windows Server 2003” تنها DCهاي 2003 را با يکديگر مرتبط مي*سازد.

تنها در زماني مي*توان سطح عملياتي يک Forest را بالا برد که تمامي*Domain Controller*ها در آن جنگل نسخه*هاي مناسبي از Windows را اجرا کنند. به عنوان نمونه اگر سطح عملياتي “Windows Domain Server 2003” باشد، در اين صورت مي*بايست که تمامي*DCها در اين جنگل داراي سيستم عامل windows server 2003 باشند.


ساختار فيزيکي
1.سايت*ها (Sites)
يک سايت اجتماع يک يا چند زير شبکه (IP (Subnet است که به وسيله*ي يک اتصال فيزيکي مطمئن و سريع به هم مرتبط شده*اند تا بتوان تا آنجا که ممکن است در جهت بهبود ترافيک شبکه اقدام کرد. سايت*ها تنها شامل اشياي کامپيوتري و ارتباطي هستند که به منظور تنظيم چگونگي تکرار در سايت (Replication) به کار گرفته شده*اند. همان گونه که در شکل 6 نشان داده شده است، يک دامنه مجزا مي*تواند شامل يک يا بيش از يک سايت (از لحاظ جغرافيايي) باشد، و يک سايت مجزا مي*تواند شامل حساب*هاي کاربران و کامپيوترهايي باشد که متعلق به چندين دامنه هستند.



شکل 6 : رابطه بين سايت و دامنه


2.(Domain Controller )DC
يک Domain Controller کامپيوتري است که داراي سيستم عامل Windows Server باشد و يک نسخه از دايرکتوري دامنه (Local Domain Database) يا replica را در خود ذخيره کند. هر دامنه مي*تواند بيش از يک Domain Controller داشته باشد. يک Domain Controller تنها مي*تواند به*يک دامنه سرويس دهد. يک DC وظيفه*ي شناسايي کاربراني را که تلاش براي log on به دامنه دارند، را بر عهده دارد. علاوه بر آن سياست*هاي امنيتي براي يک دامنه را نيز تنظيم و حفظ مي*کند.


2— مقدمه (ادامه)
در ادامه*ي مطالب بيان شده، در اين بخش با مفاهيم پايه در Active Directory آشنا مي*شويم.
کلمات کليدي: تکرار يا Replication،Replica ، Partition، Global Catalog، سياست*هاي گروهي يا Group Policies، و ارتباطات مطمئن يا Trust Relationships

درک مفاهيم Active Directory
در خانواده*ي ويندوز سرور 2003، با مفاهيم جديدي در ارتباط با Active Directory روبرو مي*شويم. اين مفاهيم شامل موارد زير است :

تکرار (Replication)
ارتباطات مطمئن (Trust Relationships)
سياست*هاي گروهي (Group Policies)
انعكاس ياReplication
کاربران و سرويس*ها مي*بايست در هر زماني و از هر کامپيوتري در domain، به اطلاعات دايرکتوري دسترسي داشته باشند. انعكاس (Replication) اين امر را تضمين مي*نمايد که هر تغييري در يک domain controller در ساير DCها از همان domain نيز منعکس مي*شود. اطلاعات دايرکتوري در domain controller*هاي داخل و بين سايت*ها تکرار مي*شود.

چه اطلاعاتي تکرار مي*شود ؟
آنچه که در دايرکتوري ذخيره مي*شود (در فايل Ntds.dit) به صورت منطقي به چهار دسته تقسيم مي*شود. به هر يک از اين دسته*هاي اطلاعاتي، لفظ directory partition اطلاق مي*گردد. يک پارتيشن دايرکتوري را با عنوان متن نامي* (naming context) نيز مي*شناسند. دايرکتوري داراي پارتيشن*هاي زير است:

  1. <LI dir=rtl>Schema Partition : اين پارتيشن اشيايي را مشخص مي*سازد که مي*توانند در دايرکتوري ساخته شوند. علاوه بر آن، اين پارتيشن ويژگي*ها و صفات اين اشيا را نيز مشخص مي*سازد. اين اطلاعات و داده*ها در کل يک forest مشترک بوده و در تمامي*DC*هاي موجود در يک forest تکرار مي*شود.
    <LI dir=rtl>Configuration Partition : اين پارتيشن ساختار منطقي چيدمان Active Directory را بيان مي*دارد و شامل داده*هايي درباره*ي ساختار domain و يا توپولوژي تکرار است. اين داده*ها نيز در تمامي*domain*هاي موجود در يک forest مشترک بوده و در تمامي*DC*هاي موجود در آن جنگل تکرار مي*شوند.
    <LI dir=rtl> Domain Partition : اين پارتيشن تمامي*اشياي موجود در يک domain را تعريف مي*کند. اين داده*ها و اطلاعات مخصوص به*يک domain بوده و منحصر به فرد در همان domain است و بنابراين در ديگر domain*هاي موجود در يک forest تکرار نخواهد شد.
  2. Application Directory Partition : اين پارتيشن شامل اطلاعات پوياي کاربردي است. ذخيره*ي اين اطلاعات در اين پارتيشن موجب کنترل حوزه*ي تکرار و محل نسخه*هاي تکرار (replica) مي*گردد و اين امر کوچکترين تأثير نامطلوبي در کارائي شبکه را به دنبال نخواهد داشت. اين پارتيشن مي*تواند هر نوع شي را دارا باشد (به غير از اشياي امنيتي که شامل کاربران گروه*ها و کامپيوترها مي*باشد.) بدين ترتيب داده مي*تواند به صورتي مشخص به DC*هايي هدايت شود که براي کارهاي مديريتي در نظر گرفته شده*اند و اين امر ترافيک غير ضروري تکرار (Replication) را کاهش مي*دهد.
يک Domain Controller موارد زير را ذخيره کرده و تکرار مي*نمايد :


•داده*ي موجود در schema partition در سطح forest
•داده*ي موجود در configuration partition به تمامي*domain*ها در سطح يک forest
•داده*ي موجود در domain partition (تمامي*اشياي دايرکتوري و مشخصات آن*ها) براي همان domain. اين داده*ها در تمامي*domain controller*هاي اضافي موجود در آن domain تکرار خواهد شد. به منظور يافتن بهينه*ي اطلاعات ، بخشي از نسخه*ي تکرار (replica) که شامل صفاتي از تمام اشيايي است که به صورتي دائمي*در domain مورد استفاده قرار مي*گيرند، در کاتالوگ سراسري (Global Catalog) نيز تکرار مي*گردد. کاتالوگ سراسري محلي مرکزي براي نگهداري اطلاعات در مورد اشيا در يک درخت يا جنگل است.

يک global catalog اطلاعات زير را ذخيره و تکرار مي*نمايد :
•داده*هاي موجود در schema partition براي يک forest
•داده*هاي موجود در configuration partition براي تمامي*domain*ها در يک forest
•بخشي از replica که شامل صفاتي از تمام اشياي دايرکتوري است که معمولا در يک forest مورد استفاده قرار مي*گيرند ( اين اطلاعات تنها بين Global Catalog*ها تکرار مي*شود).
•تمامي*replica که شامل کل صفات تمام اشياي دايرکتوري در domainهايي است که کاتالوگ سراسري در آن قرار دارد.


اطلاعات چگونه منعكس مي*شود؟
Active Directory اطلاعات را به دو صورت منعكس مي*کند : intrasite (در داخل يک سايت) و intersite (بين سايت*ها) .

انعكاس در داخل سايت (Intrasite Replication)
در داخل يک سايت، سرويسي از ويندوز سرور 2003 تحت عنوان Knowledge Consistency checker که به اختصار آن را KCC مي*ناميم، به صورت خودکار يک توپولوژي براي تکرار در ميان domain controllerها در همان دامنه و با استفاده از يک ساختار حلقه ايجاد مي*کند. KCC يک پروسه*ي خودکار است که در تمامي*DC*ها اجرا مي*شود. توپولوژي اعمال شده مسيري براي به روز رساني*هاي دايرکتوري فراهم مي*آورد تا از يک DC به DC ديگر جريان يابد و اين انتقال تا زماني ادامه مي*يابد که DC*هاي موجود در يک سايت به روزرساني*هاي دايرکتوري را دريافت نمايند . KCC تصميم مي*گيرد که کدام يک از سرورها براي انجام عمل انعكاس با يکديگر مناسب*تر هستند و ساير DC*ها را به عنوان شرکاي انعكاس آن*ها در نظر مي*گيرد. اين تصميم*گيري بر اساس مواردي چون نحوه*ي اتصال، سابقه*ي انعكاس موفق و بر مبناي تطابق با نسخه*هاي انعكاس جزئي و يا کامل است. هر DC مي*تواند بيش از يک شريک براي انعكاس داشته باشد. بعد از آن KCC اشياي ارتباطي را مي*سازد که ارتباط ميان شرکاي انعكاس را نمايش خواهد داد.

ساختار حلقه تضمين مي*کند که حداقل دو مسير انعكاس از يک DC به DC ديگر وجود دارد. به همين دليل اگر يکي از DC*ها از کار بيفتد، عمل انعكاس (Replication) به ساير DC*ها ادامه خواهد يافت. شکل 7 توپولوژي انعكاس در داخل سايت را نشان مي*دهد.


شکل 7 : Intrasite replication topology


KCC توپولوژي انعكاس در داخل سايت را هر پانزده دقيقه*يکبار بررسي کرده و از کارکرد آن اطمينان حاصل مي*کند. با اضافه*يا خارج کردن يک DC از شبکه، KCC توپولوژي انعكاس را مجددا پيکربندي مي*کند تا اين تغييرات در آن منعکس شود.
هنگامي*که بيش از هفت Domain controller به*يک سايت اضافه مي*شوند، KCC اشياي ارتباط اضافي را در ساختار حلقه دخيل مي*کند تا اين اطمينان حاصل شود که اگر تغييري در هر يک از DC*ها ايجاد شود، هيچ يک از DC*ها بيش از سه Hop (گام) از DC ديگر فاصله نداشته باشند. اين ارتباطات بهينه به صورت تصادفي ايجاد مي*شوند و الزامي*براي ساخت آنها در هر DC نيست. شکل 8 اين مورد را نشان مي*دهد.

انعكاس بين سايت*ها (Intersite Replication)
به منظور اطمينان از برقراري انعكاس ميان سايت*ها، مي*بايست که سايت*ها به صورت دستي و از طريق ايجاد اتصالات سايتي (Site Link) به هم مرتبط شوند. اتصالات سايتي ارتباطات شبکه را نشان داده و وقوع انعكاس را ممکن مي*سازند. يک KCC مجزا در يک سايت تمامي*ارتباطات ميان سايت*ها را برقرار مي*سازد. اين امر در شکل 9 نشان داده شده است.


شکل 9: Intersite Replication Topology

رابطه اعتماد Trust Relationship
يک Trust، اتصالي ميان دو دامنه است که در آن دامنه*ي اعتماد کننده (trusting domain)، اطلاعات مربوط به دسترسي و شناسايي را از دامنه*ي مورد اعتماد (trusted domain) کسب مي*کند.دو دامنه وجود دارند که موجب برقراري يک رابطه*ي مطمئن و يا يک trust مي*شوند: دامنه*ي اعتماد کننده (trusting) و دامنه*ي مورد اعتماد (trusted). دامنه*ي اعتماد کننده دامنه*اي است که منابع را در اختيار داشته و به ساير دامنه*ها براي استفاده از اين منابع اعتماد دارد. دامنه*ي مورد اعتماد در حقيقت استفاده کننده از منابع است. اين مسئله در شکل زير بهتر نمود مي*يابد.


شکل 10: دامنه*ي اطمينان کننده و دامنه*ي مورد اعتماد قرار گرفته با يک اعتماد يک طرفه

trust*ها ويژگي*هاي زير را دارا هستند:

•چگونگي ايجاد (Method of creation): trust*ها مي*توانند به صورت صريح (explicitly) يا تلويحي (implicitly) ساخته شوند. هيچ trustي نمي*تواند به هر دو صورت ساخته شود.
•ترانهادگي (Transitivity): يک trust ترانهاده يعني آنکه اگر Domain A به Domain B و Domain B به Domain C اعتماد يا trust دارد، آنگاه Domain A نيز به Domain C اعتماد مي*كند. يک trust غير ترانهاده يعني آن که اگر Domain A به Domain B و Domain B به Domain C اعتماد يا trust دارد، بين Domain A و Domain C هيچ ارتباط مطمئن يا Trust برقرار نيست.
•جهت (direction): trustها مي*توانند يک طرفه(one-way) يا دو طرفه(two-way) باشند. در يک اعتماد يک طرفهDomain A به Domain B trust دارد. در يک trust دو طرفه اگر Domain A به Domain B اعتماد داشته باشد، آنگاه Domain B نيز به Domain A اعتماد دارد.
•ويندوز سرور 2003 از انواع trust*هايي که در زير آمده است پشتيباني مي*کند.
•Tree-root trust
•Parent-child trust
•Shortcut trust
•External trust
•Forest Trust
•Realm Trust


Parent-Child trust با ايجاد يک درخت و به صورت اتوماتيک ميان تمامي*دامنه*هاي موجود در آن درخت به وجود مي*آيد. با اضافه شدن يک دامنه*ي جديد به*يک درخت، پروسه*ي ايجاد اتوماتيک Trust صورت مي*پذيرد. اين نوع trust دو طرفه و ترانهاده است.
Tree-Root Trust نيز به صورت اتوماتيک و با اضافه شدن يک درخت به ساختار جنگل (a new root tree) برقرار مي*شود شکل زير اين Trust*ها را نشان مي*دهد. اين نوع trust نيز دو طرفه و داراي خاصيت ترانهادگي است.


شکل 11: ساختار دامنه به همراه دو نوع Trust : parent-child و tree-root

سياست*هاي گروهي (Group Policies)
سياست*هاي گروهي مجموعه*اي از تنظيمات براي کاربران و کامپيوتر*هاست که مي*تواند به کامپيوترها سايت*ها، دامنه*هاو OU*ها اعمال گردد تا بدين ترتيب عملکرد کاربران بهتر مشخص گردد. GPO*ها مجموعه*اي از سياست*هاي گروهي تنظيم شده است. براي معلوم کردن تنظيمات desktop براي گروهي از کاربران مشخص، اشياي سياست گروهي (Group Policy Objects or GPOs) ساخته مي*شوند. هر کامپيوتر با سيستم عامل ويندوز داراي يک GPO داخلي بوده (Local GPO) و علاوه بر آن مي*تواند با يک سري از سياست*هاي غير محلي (مبتني بر Active Directory) مرتبط گردد. GPO*هاي غير محلي بر GPO داخلي اولويت مي*يابند. GPO*هاي غير محلي يا به کاربران (بدون در نظر گرفتن کامپيوتري که به آن Log on مي*کنند) و يا به کامپيوترها (بدون در نظر گرفتن کاربري که به آن log on مي*کنند) اعمال مي*گردد و مربوط به اشياي خاص Active Directory (دامنه*ها، سايت*ها و OU*ها) است. اين نوع از سياست*ها به صورت سلسله مراتبي و از گروه با کمترين محدوديت (Site) به گروه با بيشترين محدوديت (OU) اعمال مي*شود. در حقيقت چگونگي و ترتيب اعمال به صورتي که در زير آمده ، است:

1.Local GPO: هر سيستم عامل ويندوز تنها داراي يک سياست گروهي است که به صورت محلي ذخيره شده است.
2.GPOs linked to sites: هر GPO که به*يک سايت مرتبط باشد در مرحله*ي بعد اعمال مي*شود. اين اعمال براي تمامي*سياست*هاي مرتبط با يک سايت همزمان صورت مي*گيرد و مدير يک شبکه تعيين کننده*ي ترتيب اعمال است.
3.GPOs Linked to Domains: اولويت اعمال اين دسته از سياست*ها نسبت به دو مورد اول بيشتر است. اما اولويت اعمال چندين سياست مربوط به*يک دامنه را مدير شبکه تعيين مي*کند.
4.GPOs linked to OUs: GPO*هايي که در بالاي ساختار سلسله مراتبي يک OU قرار دارند زودتر اعمال مي*شوند. پس از آن GPO*هاي مربوط به OU*هاي فرزند اعمال شده و در نهايت GPO*هاي مربوط به OU شامل کاربران و کامپيوتر*ها اعمال مي*شود. در هر سطح از OU مي*توان بيش از چند GPO را اعمال نمود (حتي مي*توان هيچ GPO را اعمال نکرد).
شکل زير چگونگي اعمال سياست گروهي براي دو OU ي نمونه*ي Server و marketing را نشان مي*دهد.




مراجع :

•Planning , Implementing and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure : Jill Spealman, Kurt Hudson and Melissa Craft

•Active Directory for Microsoft Windows Server 2003 : Mike Mulcare , Stan Reimar

•Microsoft Encyclopedia of Networking, Second Edition : Mitch Tulloch , Ingrid Tulloch


منبع: شركت همكاران سيستم


موضوعات مشابه: