دوره آموزشی مجازی MCSE, MCSA 2003

[th95]

جلسه اول (4/2/1389)

می خواهیم ملزومات نرم افزاری یک کامپیوتر برای عضویت در شبکه و استفاده از مزایای آن را بررسی کنیم. بحث سخت افزاری به دلیل گسترده بودن و تا حدودی غیر مرتبط بودن آن به بحث فعلی ما که ویندوز XP Professional است، فعلا مطرح نمی باشد. فرض می کنیم سیستم ما به وسیله یک کارت شبکه بی سیم یا باسیم به تعدادی سیستم دیگر شبکه شده است.
ملزومات نرم افزاری اصلی برای عضویت یک سیستم در شبکه عبارتند از :

1-سیستم عامل یا Operating System
2-درایور کارت شبکه (دقت کنید درایور نه خود ارت شبکه)
3-نام برای کامپیوتر
4-آدرس IP و MAC برای کامپیوتر
5-انتخاب یک نوع و نام برای شبکه
6-نام کاربری یا User
7-برخی تنظیمات اضافی خاص که معمولا در سیستم عامل انجام می شوند.

حال این موارد را یک به یک بررسی می کنیم.
1-سیستم عامل یا Operating System
همانگونه که می دانیم مبحث اصلی ما در اینجا سیستم عامل ویندوز XP Professional است. اینجاست که یک سوال پیش می آید : چرا ویندوز XP Professional را استفاده کنیم و چرا از نسخه Home Edition آن بهره نگیریم. برای ما که در ایران هستیم و همه چیز مفت و مجانی، مسلم است که دوست داریم گزینه بهتر را استفاده کنیم. اما فرض کنید قانون نرم افزار در ایران هم اجباری شود (به WTO بپیوندیم) یا در کشور دیگری باشیم و یا اصلا بخواهیم از ویندوز Home Ed که سبک تر است استفاده کنیم (به شرطی که تمام نیازهای ما را پاسخگو باشد). پس در اینجا مقایسه ای مختصر بین این دو ویرایش ویندوز ارایه می کنیم :

1-در نسخه Home، روی فایل ها و پرینترها برگه Security نداریم حتی اگر درایو ما NTFS باشد. البته درایوهای NTFS نشان داده شده و ساپورت می شوند. (بعدا به تفصیل در مورد خاصیت های فراوان برگه Security سخن خواهیم راند)
2-نسخه Home Ed قابلیت عضویت در یک شبکه Domain را ندارد و فقط در شبکه های WorkGroup استفاده می شود. (در این مورد نیز بعدا توضیح خواهیم داد اما گمان می کنم عزیزان تا حدودی فرق بین این دو نوع شبکه را بدانند.
3-در نسخه Home Ed گزینه Use Simple File Sharing نداریم. جای آن در Tools، Folder Options، View است. (بعدا در مورد مزایای مهم این گزینه صحبت خواهیم کرد)
4-نسخه Home از پارتیشن بندی Dynamic یا پویا پشتیبانی نمی کند و فقط پارتیشن بندی عادی یا Basic را قبول می کند و می شناسد.
5-برنامه Internet Information Services یا IIS را که به همراه خود ویندوز ارایه می شود و برای تبدیل کامپیوتر به وب سرور استفاده می گردد فقط در نسخه XP Professional داریم (البته فقط برای یک سایت) و در Home Ed اصلا وجود ندارد. (در مورد IIS در بحث ویندوز سرور توضیحات مبسوطی ارایه خواهد شد)
6-ویندوز روش های مختلفی برای نصب دارد. فعلا در همین حد بدانید که دو تا از این روش ها که یکی نصب از طریق یک سرور در شبکه است و با نام Remote Installation Service یا RIS شناخته می شود و دیگری نیز روش Sysprep می باشد، در ویندوز Home Ed ساپورت نمی شود.
7-در ویندوز Home، قابلیت کدگذاری فایل ها و شاخه ها که از طریق کلیک راست روی فایل یا شاخه و گرفتن Properties و سپس Advanced و سپس Encrypt است وجود ندارد.
8-خاصیت Remote Desktop که برای اتصال به یک سیستم در شبکه از طریق سیستم دیگر کاربرد دارد، مختص ویندوز XP Professional است (گرچه می توان به روش هایی آن را در Home Ed نیز پیاده سازی کرد)
9-ویندوز XP Professional از دو پردازنده (CPU) می تواند پشتیبانی و استفاده کند اما نسخه Home فقط از یک پردازنده
10-تعیین محدودیت برای دسترسی در سطوح فایل ها فقط در ویندوز XP Professional گنجانده شده و برای Home Ed در سطح شاخه است.
11-امکانات مختلفی تحت عنوان IntelliMirror در ویندوز XP Professional وجود دارند که یکی از آنها همان نصب RIS است و شامل موارد دیگری چون نصب نرم افزارها به صورت متمرکز، تنظیمات کاربری پیشرفته و ... هستند که هیچکدام در نسخه Home وجود ندارند.
12-ویندوز XP Professional می تواند با یکبار نصب زبان های مختلفی را نصب و استفاده کند اما هر لوح فشرده Home Ed فقط برای یک زبان خاص ارایه می گردد.
13-خاصیت های زیر که همگی مرتبط با شبکه هستند در ویندوز نسخه Home وجود ندارند :
-IPSec
-SNMP
-Simple TCP/IP Services
-SAP Agent
-Client Service for Netware
-Network Monitor

عجله نکنید. به همه این موارد خواهیم رسید


14- از تمامی ویندوزهای قبلی مایکروسافت می توان به ویندوز XP Professional ارتقا داد اما ارتقا از ویندوز 95، NT 4.0 و 2000 Professional به ویندوز Home Ed امکان پذیر نیست.

دقت داشته باشید موارد دیگری هم به عنوان تفاوت های این دو نسخه شناخته می شوند که بعضا صحیح نیست. مثلا می گویند ویندوز Home از Fax ساپورت نمی کند و برنامه های مربوطه را ندارد. این اشتباه است زیرا این مشکل در حالت نصب پیش فرض وجود دارد و شما می توانید امکانات مربوط به Fax را از روی دیسک نصب ویندوز Home نصب نمایید. البته موارد دیگری هم ممکن است وجود داشته باشد که من در اینجا جا انداخته باشم.

فعلا در اینجا بحث را تمام می کنم. می خواهم فیدبک شما را در مورد نحوه نگارش، مفید بودن مطالب و مواردی که فکر می کنید اشتباه هستند یا سوال دارید یا فکر می کنید باید به این مطلب اضافه شوند دریافت و بررسی کنم. پس فعلا خداحافظ و موفق باشید. منتظر نظرات، پیشنهادات و انتقادات شما هستم. یشنهادات و انتقادات شما هستم.

---

موضوعات مشابه:

• دوره آموزشی مجازی MCSA
• MCSA/MCSE Certification Suite
• دانلود کتابهای mcse و mcsa
• میخواستم درباره MCSE و MCSA برام توضیح بدید

---

[th95]

سلام به همه دوستان
چیزی که تو ذهنمه یک جلسه برای هر هفته است اما این جلسه دوم رو زودتر میذارم تا وضعیت علاقه مندی و استقبال دوستان رو ببینم و شما هم بیشتر در جریان کم و کیف کار قرار بگیرید
ضمنا از همه دوستان خواهش میکنم اگه تو هر جلسه سوال یا نکته گنگی هست بپرسند ضمن اینکه از اطلاعات خودشون هم به مباحث اضافه کنند اینطوری خیلی قشنگ تر میشه
-----------

در ملزومات نرم افزاری این بار به سراغ درایور کارت شبکه می رویم (چون بحث ما نرم افزاری است با خود کارت شبکه فعلا کاری نداریم). از آنجایی که مخاطبین ما کسانی هستند که تا حدودی به مفاهیم اصلی ویندوز XP Professional آشنا هستند در مورد چگونگی نصب کارت های مختلف شبکه توضیح زیادی نمی دهم و فقط چند نکته را ذکر می کنم :

1-بعضی اوقات پس از نصب کارت شبکه می بینیم که مشکل داریم و وقتی از آن در Device Manager، Properties می گیریم با خطایی با کد 10 (Error Code 10) مواجه می شویم. در این حالت دو مشکل می تواند وجود داشته باشد. اول آنکه درایور قدیمی است و باید اپدیت شود و دوم اینکه روش نصب ایراد دارد. مورد دوم بیشتر به تجربه باز می گردد. مثلا در برخی مدل های 3Com یا Compex نباید از روش Add New Hardware در Control Panel استفاده کنیم بلکه باید اجازه دهیم خود ویندوز آن را به صورت پیش فرض نصب کند و سپس در Device Manager روی آن کلیک راست کنیم، Update Driver را بزنیم و آدرس صحیح درایور را به آننشان دهیم.
2-اگر خطای Error Code 12 دریافت کردیم یعنی کارت شبکه با سخت افزار دیگری روی IRQ دارای تناقض یا Conflict است. احتمالا دوستان در مورد IRQ آشنایی نسبی دارند. من هم توضیح مختصری می دهم. هر وسیله باید دارایIRQ منحصر به فرد باشد. ابزارها دو گونه IRQ دارند. برخی ثابت و برخی متغیر هستند. مثلا فلاپی دارای IRQ=06 و یا صفحه کلید دارای IRQ=01 هستند که ثابت است و هیچ گاه Conflict ندارند. اما برخی ابزارها مانند مودم و کارت شبکه IRQ متغیر دارند که توسط Bios تعیین و به آنها اختصاص داده می شود. در صورت بروز این مشکل در نصب کارت شبکه، یا باید محل قرار گیری آن روی مادربرد (Slot) را عوض کنیم یا کارت را عوض کنیم یا اگر در مادربرد امکان داشته باشد به Bios بگوییم که IRQ آن را عوض کند.

نکته : هنگامی که شما یک وسیله را در Device Manager، به حالت Disable می برید در واقع آن را از نصب در نمی آورید بلکه IRQ آن را می گیرید.

3-اگر تیم مایکروسافت درایور کارت شبکه (یا هر کارت دیگری) را تایید کند اصطلاحا آن را امضا یا Sign (دوستان خواهشا به تلفظ درست دقت داشته باشند، ساین تلفظ صحیح این کلمه است) می کند و یک فایل کدگذاری شده با پسوند .CAT به تولید کننده مربوطه می دهد تا در درایورهای خود بگنجاند. اگر درایوری Unsigned باشد، دیده اید که در هنگام نصب پیغامی دریافت می کند که این درایور از سوی مایکروسافت تایید نشده است اما به هر حال شما می توانید با انتخاب گزینه Continue Anyway فرآیند نصب را ادامه دهید و بسیاری اوقات به مشکلی هم برنمی خورید. اما توصیه من به مدیران عزیز شبکه و به همه کاربران ایننست که برای دستیابی به بهترین وضعیت کارآیی، حتما از کارت های دارای درایور تایید شده استفاده کنید. (بارها مشکلاتی را دیده ایم که به دلیل عدم نصب درست یک کارت شبکه و یا مشکل داشتن درایورهای آن پیش آمده است) نوع برخوردی که ویندوز با درایورهای Unsigned دارد قابل تنظیم است. برای این منظور به آدرس Control Panel، Device Manager، Hardware، و در نهایت گزینه Driver Signing بروید و از میان گزینه های زیر یکی را برگزینید.

Ignore, Install the software anyway and don’t ask for my approval
در صورت Unsigned بودن کلا پیغام نمی دهد و روند نصب را ادامه می دهد.

Warn. Prompt each time to choose an action
هشدار می دهد و از شما می خواهد که انتخاب کنید ادامه بدهید یا خیر

Block, Never Install Unsigned Driver Software
جلوی نصب درایورهای Unsigned را می گیرد.

نکته : پسوند فایلهای درایور sys یا inf است که همگی بعد از نصب پسوند sys می گیرند و در شاخه زیر قرار می گیرند

%systemroot% \system32\drivers

یک نکته راهمین جا داشته باشید.متغیر %systemroot% به جایی اشاره می کند که ویندوز شما نصب است. اگر آن را در Run اجرا کنید متوجه منظور من می شوید. پس منظور از عبارت بالا، در سیستمی که مثلا ویندوز در درایو D و شاخه Winxp نصب شده است به شکل زیر است :
D:\winxp\system32\drivers
در ادامه مباحث چندین متغیر سیستمی دیگر را نیز مشاهده خواهیم کرد.

نکته :
اگر بخواهیم از درایورهای سیستم خود یک نسخه پشتیبان (بکاپ) داشته باشیم می توانیم از شاخه بالا البته به همراه رجیستری بکاپ بگیریم. (چگونگی بکاپ گیری از رجیستری را بعدا توضیح خواهیم داد) البته نرم افزارهای بسیار خوبی نیز در این زمینه وجود دارند که از جمله آنها می توان به Driver Magic ، Driver Max، یا Driver Genius اشاره کرد. این نرم افزارها کارهای مختلفی انجام می دهند اما یکی از مهم ترین آنها که مد نظر ماست بکاپ گیری از درایورهای ویندوز است. بدین صورت که شماپس از نصب همه درایورهای سخت افزارهای سیستم خود، با این برنامه ها یک بکاپ کلی از آنها می گیرید. حال فرض کنید درایورهای خود را گم کرده اید و ویندوز را از اول نصب کرده اید. کافیست با اجرای فایلی که این برنامه ها به شما می دهند (و معمولا خود یک فایل exe است) تمام درایورهای خود را در چند دقیقه نصب کنید، بدون اینکه نیاز به گذاشتن هیچ کدام از دیسک های درایورها باشد.

خوب دوستان این هم از بحث دوم، منتظر نظرات، سوالات، انتقادات، پیشنهادات و نکات تکمیلی شما هستم.
موفق باشید.

[th95]

جلسه سوم - 13 اردیبهشت 89

خوب سلام دوستان برویم سراغ بحث بعدی در مسایل نرم افزاری مربوط به ملزومات شبکه یعنی نام کامپیوتر یا Computer Name :
شاید خیلی ها این مطلب را بدانند که کامپیوترها در واقع به کمک آدرس های IP در شبکه با هم ارتباط برقرار می کنند، اما برای کاربر سخت است که یک آدرس چند بایتی را به خاطر بسپارد و با آن کار کند، بنابراین آدرس های IP باید با نام کامپیوترها متناظر شده و کاربر بتواند با نام کار کند و سیستم عامل ها و پروتکل های شبکه ای به صورت خودکار این نام را به IP مورد نظر متناظر کنند. در راستای این مطالب باید به توضیح مطلبی بسیار مهم به نام Name Resolution بپردازیم :

مکانیزم Name Resolution چیست :
منظور از Name Resolution مکانیزمی در شبکه است که از روی نام سیستم مقصد، IP آن را پیدا کرده و ارتباط از طریق آن را ممکن می سازد. گفتیم که برای انتقال بسته های اطلاعاتی در شبکه، آن چیزی که در بسته ها قرار می گیرد IP سیستمهاست نه نام انها.
این مکانیزم به سه صورت متداول در شبکه ها پیاده می شود که به ترتیب اولویت عبارتند از:

1- DNS
2- WINS
3- Name Broadcast

در مورد 1 و 2 بعدها در بحث سرور به صورت مفصل توضیح خواهم داد. در اینجا اشاره مختصری به دو مورد اول و توضیحاتی نسبتا کامل تر در خصوص مورد 3 برایتان ارایه می دهم :

1- DNS
عبارت DNS مخفف سیستم نامگذاری دومین یا Domain Name System (DNS) است. در شبکه های استاندارد، سروری به نام DNS Server وجود دارد. این سرور دارای جداولی است که در آنها نام هر کامپیوتر و IP متناظر با آن آورده شده است. هنگامی که یک سیستم در شبکه با نام صدا زده می شود، IP آن به سرعت از این جداول پیدا شده و مورد استفاده قرار می گیرد. همانگونه که می دانید در حالت کلی دو گونه شبکه داریم که یکی Workgroup و دیگری Domain است. (در مورد این دو به مرور در مباحث مختلف اطلاعات بیشتری ارایه خواهد شد، اما اگر کسی سوالی دارد بپرسد). در شبکه های دومین، داشتن DNS Server اجباری است.

نکته :
در DNS با نام های کامل یا FQDN سر و کار داریم، (Fully Qualified Domain Name) یعنی اسامی که نام کامل کامپیوتر، دومین های فرعی و اصلی و ... در آن ذکر می شوند. برای مثال فرض کنید کامپیوتری در دومین Best2me.com وجود دارد که نام آن Main است. نام FQDN این سیستم می شود :
Main.Best2me.com

در واقع این اسم عبارت است از اسم کامپیوتر + اسم شبکه ای که در آن قرار دارد. یادتان باشد شرط استفاده یک کامپیوتر از DNS Server آن است که آدرس این سرور در Preferred DNS داده شده باشد (نگران نباشید، توضیحات مبسوط در این باره به زودی ارایه می شوند، این را برای کسانی گفتم که بیشتر با موضوع آشنایی دارند) نام های کامل می توانند حداکثر 255 حرفی باشند.

2- روش WINS
در این روش هم مانند DNS جدول داریم که نام ها و IP ها در آن آمده اند. در این روش با نام های ساده یا Flat یا NetBIOS Name سر وکار داریم، یعنی در همان مثال بالا دیگر کاری به نام شبکه ندارد و فقط نام Main را می شناسد. متد WINS هم در شبکه های دومین و هم در شبکه های Workgroup قابل استفاده است و وجود آن اجباری نیست. نام های ساده حداکثر می توانند 15 حرفی باشند.

نکته : روش WINS برای ویندوزهای قدیمی (2000 و قبل از آن) استفاده می شد و علت اینکه هنوز هم وجود دارد آن است که سیستم ها و سرورهای قدیمی در شبکه مشکلی نداشته باشند. این کار در نرم افزارها و سیستم عامل ها اصطلاحا سازگاری با نسخه های قبلی یا Backward Compatibility نام دارد.

3- روش Name Broadcast
فرض کنید شبکه ای داریم که در آن DNS و WINS وجود ندارد و می خواهیم از طریق نام با سیستم دیگری ارتباط برقرار کنیم. می زنیم : \\pc2
در این حالت چون جدولی وجود ندارد، یک بسته درخواست تشکیل می شود و به تمامی کامپیوترها می رود. هر جا که به اسم pc2 رسید متوقف شده و اطلاعات را تحویل می دهد. بقیه بسته ها نیز پس از رسیدن به دیگر کامپیوترها (به دلیل اینکه آنها pc2 نیستند) اتوماتیک نابود می شوند.
مسلم است که این روش ترافیک را به شدت افزایش و کارآیی شبکه را کاهش می دهد. بنابراین استفاده از آن مخصوصا در شبکه های بزرگ به هیچ وجه عقلانی نیست.

نکته :
این روش با پروتکل NetBEUI یا Netbios Over TCP/IP کار می کند و اگر این پروتکل را Disable کنیم دیگر کار نمی کند و در واقع دیگر از طریق نام نمی توانیم با دیگر کامپیوترها ارتباط برقرار کنیم. (دیگر نه می توانیم broadcast کنیم و نه به دیگر درخواست های Broadcast پاسخ دهیم). جای این پروتکل کجاست و از کجا می توان آن را Enable یا Disable کرد ؟؟ سوال خوبیست. از آیکون شبکه خود Properties بگیرید. سپس گزینه Internet Protocol(TCP/IP) ، را انتخاب و Properties را بزنید. سپس به Advanced بروید. سپس برگه WINS را کلیک کنید و به قسمت پایین صفحه نگاه کنید. اینجاست که می توانید پروتکل مذکور را Enable، Disable کنید یا در حالت پیش فرض قرار دهید.

[th95]

جلسه چهارم - 22اردیبهشت 89

سلام. در ادامه بحث های نرم افزاری (یا بهتر است بگوییم غیر سخت افزاری) می رسیم به بحث یوزرها یا همان کاربرها. خوب مشخص است که نام کاربری در ویندوز و شبکه همه کاره است و اکثر دسترسی ها و کنترل ها با استفاده از آن صورت می گیرد. در اینجا به ذکر چند نکته اکتفا می کنیم :

- نام کاربردی در ویندوز XP ی تواند حداکثر 20 کاراکتری باشد و نسبت به حروف کوچک و یزرگ هم فعال نیست. اصطلاحا Case Sensitive نیست.
- پسورد می تواند 256 حرف داشته باشد و خوب مسلما به حروف کوچک و بزرگ هم حساس است.
- از ویندوز XP به بعد، اجباری شده است که به یک کامپیوتر در شبکه با نام کاربری می توان وصل شد که حتما دارای رمز باشد.
- اگر دو سیستم دارای یک نام کاربری با رمز عبور یکسان (مثلا روی هر دو یوزر ali با رمز 12345 ) وجود داشته باشد، هنگام اتصال به یکدیگر از آنها نام کاربری و رمز عبور پرسیده نمی شود. این یک مشکل در ویندوز است که متاسفانه نمی فهمد این کاربر با آن یکی فرق دارد.
- البته اگر کاربر میهمان یا Guest روی یک سیستم فعال باشد می توان بدون چک شدن یوزر و پسورد یا اصطلاحا Authentication به آن وصل شد. مراقب این قضیه باشید. با اینکه کاربر Guest اختیاراتش در حد بسیار کم است، اما این یک ریسک امنیتی وحشتاک می باشد.
- دقت کرده اید برخی اوقات به یک سیستم که می خواهیم وصل شویم فقط کاربر Guest را نشان می دهد که آن هم خاکستری یا Disable و غیر قابل تغییر است. مشکل از سیستم مقصد است باید در سیستم مقصد حالت Simple File Sharing را غیر فعال کنیم و سیستم را ریست نماییم.
Tools -> Folder Options -> View -> use simple file sharing

در خصوص Simple File Sharing که مبحث بسیار مهمی است باید توضیحاتی ارایه دهیم. وقتی این گزینه فعال باشد، هنگام share کردن یک فولدر با یک ویزارد ساده روبرو می شویم ضمن اینکه تغییرات و تنظیمات پیشرفته را برای share نمی توانیم انجام بدهیم. شاید همه فقط همین را بدانند اما در واقع این گزینه تغییرات محسوسی در ویندوز ایجاد می کند. به نکات زیر دقت کنید :

- در ویندوز XP Home ، این گزینه همیشه فعال است و نمی توان تیک آن را برداشت.
- حرفه ای باشید. بهتر است این حالت غیر فعال باشد چرا که در آن صورت می توانید برای شاخه های Share شده خود تنظیماتی پیشرفته مثل حداکثر تعداد استفاده کنندگان، مجوزهای مختلف به کاربران مختلف، اسم های غیر واقعی و .. برقرار کنید. در واقع فعال بودن این گزینه و Share کردن به صورت ساده یک ریسک امنیتی در ویندوز XP Professional به شمار می رود.

- اگر این گزینه غیر فعال باشد، ازکاربران دیگر موقع اتصال به Share های شما نام و پسورد پرسیده نمی شود. در واقع با فعال بودن این گزینه اصلا امکان تعریف مجوز دسترسی (Permission) برای کاربران مختلف وجود ندارد.
- اگر کامپیوتر شما عضو یک Domain باشد (و نه WorkGroup) فعال و غیر فعال کردن این گزینه تاثیری ندارد چرا که در Domain، گزینه Simple File Sharing همیشه غیر فعال است.
- نکته آخر این که پس از تغییر این گزینه، حتما یکبار سیستم را ریست کنید.

بنابراین بهترین حالت این است که simple file sharing غیر فعال و guest هم disable باشد. اگر simple file sharing فعال باشد یعنی اتصال به share ها بدون یوزر و پسورد و در واقع مانند یک guest. پس در این حالت (فعال بودن) اگر کاربر guest در حالت enable باشد که خوب اتصال به راحتی برقرار شده و امنیت هم بسیار پایین است. اگر همه guest غیر فعال باشد که خوب اصلا نمی توان به share وصل شد (همان حالتی که در بالا گفتیم یعنی کاربر guest به شکل خاکستری و غیر فعال)

خوب با ذکر یک نکته تقریبا حرفه ای تر در مورد نام های کاربری ادامه می دهیم.
- می خواهیم بفهمیم چه کسی (چه نام کاربری) از چه سیستمی به ما وصل شده است و از Share های ما استفاده می کند. کافیست دستور Net Session را اجرا کنیم. (به Run بروید، cmd را اجرا کنید و سپس این دستور را در خط فرمان تایپ و اجرا کنید)

و اما ببینیم چگونه باید برای یک سیستم، یک کاربر ایجاد کنیم. دقت کنید اینجا کلاس MCSA است نه کلاس مبانی ویندوز برای مبتدیان پس تو را به خدا نگویید که وارد Control Panel می شویم. به User Account می رویم و ...
روش درست و حرفه ای این است. روی My Computer راست کلیک کرده و Manage را بزنید. حال به قسمت Local Users and Groups و بخش Users بروید. اینجا می توانید راست کلیک کرده و New User بزنید تا یک کاربر جدید بسازید. در کادر محاوره ای ساخت یوزر جدید چهار گزینه وجود دارد که البته هر کس انگلیسی زا در حد ساده بداند متوجه منظور آنها خواهد شد. به هر حال ما هم توضیح مختصری ارایه می دهیم :

User Must Change Password At Next Logon

شما مسوول شبکه هستید و می خواهید برای یک فرد روی همین کامپیوتر یا کل شبکه (Domain) یک نام کاربری بسازید. در همین ابتدا یک رمز ساده مثلا 123 انتخاب می کنید و این گزینه را تیک می زنید. اولین باری که کاربر مذکور وارد سیستم بشود از او خواسته می شود که رمز جدید خود را وارد کند. (احتمالا در سایت ها دانشگاه یا شاید کافی نت ها با این قضیه برخورد داشته اید)

User Can not Change Password

مشخص است. کاربر حق تغییر پسورد را ندارد. (با زدن Ctrl+Alt+Del و گزینه Change Password)

Password Never Expires

در ویندوز معمولا این حالت وجود دارد که برای افزایش امنیت، کاربر باید هر 42 روز پسورد خود را عوض کند. عجله نکنید. اندکی پیش برویم خواهیم گفت این قضیه در کجای ویندوز است و چگونه می توان آن را عوض کرد. فعلا داشته باشید که با زدن این تیک، پسورد دایمی خواهد شد و ویندوز از شما نخواهد خواست آن را پس از مدتی معین عوض کنید.

Account is disabled

کاربری که می سازید غیر فعال است و نمی تواند وارد سیستم شود. حتما می پرسید پس به چه درد می خورد ؟ شا می توانید به عنوان مسوول شبکه نام های کاربری را بسازید و هر زمان که خواستید آنها را فعال کنید. یا فعال شدن را به صورت اتوماتیک در زمانی خاص تعیین کنید. ضمن اینکه وقتی کاربری مثلا به مرخصی می رود می توانید روی یوزر او دو بار کلیک کنید و این گزینه را بزنید تا در غیاب وی کسی با نام کاربری او نتواند وارد شود.

یک گزینه پنجم هم وجود دارد که در حالت پیش فرض نمایش داده نمی شود و شما آن را نمی بینید و آن هم این است :

Account is locked out

حالت lock out شدن زمانی است که مدیر شبکه تعیین می کند مثلا اگر یک کاربر در دو دقیقه 5 بار رمزهای اشتباه را پشت سر هم وارد کرد، نام کاربری وی به مدت 1 ساعت غیر فعال شود. اگر این اتفاق برای یک کاربر بیفتد آن گاه این گزینه به صورت خودکار برای وی تیک می خورد. در این حالت او می تواند به مدیر شبکه مراجعه کرده و از وی بخواهد این تیک را بردارد. مسلم است که این قضیه برای جلوگیری از سوء استفاده ها در شبکه و جلوگیری از تلاش برای نفوذهای غیر مجاز است.

- جالب است بدانید در ویندوز XP Professional سرویس پک 1، مشکلی اساسی وجود داشت که برخی اوقات باعث می شد با lock out شدن یک کاربر ناگهان همه کاربران دیگر هم lock out بشوند. !!
- تنها نام کاربری که هیچ گاه lock out نمی شود خود administrator است. دقت کنید منظورم همه کاربران گروه administrators یا کسانی که اختیارات کامل دارند نیست بلکه فقط و فقط خود کاربر administrator

خوب حالا احتمالا می پرسید این قضایا را کجا می شود تنظیم کرد. گرچه مایل نیستم فعلا وارد بحث سیاست های گروهی یا Group Policy بشویم اما کم کم باید زمینه آن چیده شود ضمن اینکه در اینجا چاره ای هم نداریم. بنابراین در Run تایپ کنید : Gpedit.msc
حال به آدرس زیر بروید :
Computer Configuration -> windows settings
Security Settings -> Account Policies -> Account Lockout Policy

سه گزینه داریم که آنها را توضیح می دهم :

Account Lockout Duration

یوزر تا چه زمان در حالت قفل باشد و نتواند به سیستم وارد شود

Account Lockout Threshold
پس از چند بار تلاش نافرجام یوزر قفل شود

Reset Account Lockout After :
پس از چه زمانی شمارنده تلاش های اشتباه صفر شود.

شاید این مورد آخر احتیاج به کمی توضیح داشته باشد. دقت کنید : فرض کنید تلاش های نافرجام را 5 بار قرار داده ایم و زمان صفر شدن شمارنده را دو دقیقه.
می خواهید وارد شوید اما رمز را اشتباه وارد می کنید. در طی یک دقیقه چهار بار دیگر هم اشتباه و .. بله ! نام کاربری شما قفل شد. اما فرض کنید. یک بار وارد می کنید و می بینید اشتباه است. یکبار دیگر و باز هم اشتباه. (پس تا اینجا شمارنده اشتباهات شما دو شده است) قبل از وارد کردن بار سوم به سراغ کاغذهای خود می روید و ده دقیقه می گردید تا رمز یادتان بیاید. چون ده دقیقه گذشته و صفر کننده شمارنده، دو دقیقه بوده است حال که مجددا تلاش کنید باز هم 5 بار برای اشتباه کردن فرصت دارید نه سه بار.
این گزینه برای آن است که هکرها و برنامه های خرابکارانه در یک زمان کوتاه تلاش می کنند با وارد کردن رمزهای مختلف به سیستم نفوذ کنند و ممکن است در عرض یک دقیقه صدها رمز را تست نایند که این گزینه در ویندوز جلوی آنها را می گیرد.

خوب دوستان بحث کاربرها در ویندوز XP Professional بسیار طولانی است پس بقیه موارد که مهم ترین آنها بحث رمزهای عبور است را به جلسه بعدی موکول می کنیم.

[th95]

جلسه پنجم- سوم خرداد ماه 1389

در این جلسه و در ادامه بحث کاربرها یا اکانت های کاربری یا یوزرها به سراغ بحث رمزها می رویم. امروز می خواهیم راجع به سیاست هایی که در مورد رمز اکانت های کاربری وجود دارد صحبت کنیم. این سیاست ها که در هنگام گذاشتن رمز برای کاربر جدید یا تغییر رمز کاربران قدیمی در نظر گرفته می شوند، سیاست های رمز یا Password Policy گوییم. در جلسه پیش با ابزار Group Policy آشنا شدیم. پس با زدن دستور gpedit.msc وارد آن شوید و به آدرس زیر بروید :

Computer Configuration -> Windows Settings -> Security Settings
Account Policies -> Password Policy


حال گزینه های موجود را توضیح می دهیم :

Store Password using reversible encryption for all users in domain
این گزینه فقط در دومین کاربرد دارد و مرتبط با بحث های چگونگی کد کردن رمزهاست و نیاز به تغییر خاصی از سوی مدیران شبکه ندارد مگر در مواقعی که امنیت رمزهای کاربری بسیار مهم باشد. در حالت عادی این گزینه باید غیر فعال باشد تا امنیت رمزها در بالاترین حد ممکن باشد اما برخی برنامه ها و پروتکل ها نیاز دارند رمزها به این حالت ذخیره شده باشند. برای دوستان حرفه ای تر باید بگویم که استفاده از پروتکل CHAP در سرویس IAS و استفاده از حالت Digest در برنامه IIS مثال هایی از این برنامه ها و پروتکل ها هستند. دوستانی هم که با این مفاهیم آشنایی ندارند نگران نباشند. به زودی به آنها هم خواهیم رسید.

Password must meet complexity requirements
با فعال کردن این گزینه پیچیده بودن رمز را اجباری می کنیم و رمزهای ساده مثل 123 یا ali پذیرفته نخواهند شد. اما بیایید این موضوع را دقیق تر بررسی کنیم. یک رمز پیچیده از نظر ویندوز چه خضوصیاتی دارد.
- حداقل دارای 6 حرف است
- شامل تمام نام کاربری یا بخش زیادی از آن نیست. مثلا استفاده از رمز amir123 برای کاربری با نام amir پذیرفته نیست.
- حداقل باید دارای کاراکترهایی از سه تا از چهار دسته زیر باشد : حروف بزرگ A تا Z، حروف کوچک a تا z، اعداد 0 تا 9، کاراکترهای غیر آلفانومریک (یعنی غیر از عدد و حروف مانند !، &، # و ...) برای مثال رمز ABF4AC قابل قبول نیست چرا که کاراکترهای آن فقط از دسته حروف بزرگ و اعداد هستند. رمز a@aiout نیز پذیرفته نیست چرا که فقط از دسته غیر آلفانومریک ها و حروف کوچک در آن وجود دارد. اما رمزی مانند best2me@com پیچیده است چرا که از سه دسته بالا یعنی غیر آلفانومریک (@)، حروف کوچک (bestmecom) و اعداد (2) در آن دیده می شود.

نکته :
تعیین فیلترهای رمزگذاری و تغییر ویژگی های آنها (مثلا بخواهیم پسورد پیچیده دارای حداقل 12 حرف باشد) به وسیله افراد بسیار حرفه ای بوده و با استفاده از کیت توسعه نرم افزاری مایکروسافت یا SDK امکان پذیر است. خوب به ادامه گزینه های مربوط به سیاست های رم بپردازیم :

Minimum Password Length
مشخص است که منظور حداقل طول رمز می باشد. اگر این عدد را صفر بگذاریم یعنی کاربر می تواند هیچ رمزی نداشته باشد و در واقع پسورد غیر اجباری می شود.

Maximum Password Age
حداکثر عمر رمز که در ویندوز به صورت پیش فرض 42 روز است. بعد از این مدت رمز کاربر منقضی یا Expire شده و وی باید حتما رمز خود را عوض کند.

Minimum Password Age
حداقل عمر رمز است. مثلا اگر 3 زور باشد، کاربر حداقل تا سه روز نمی تواند رمز خود را عوض کند. (البته افراد دارای دسترسی های مدیریتی (منظور Admin ها هستند) می توانند قبل از آن هم رمز را عوض کنند.

Enforce Password History
این گزینه مربوط به رمزهای قبلی و برای بالا بردن امنیت در شبکه است. این پارامتر مربوط به تعداد رمزهای قبلی است که نباید پذیرفته شوند. فرض کنید آن را برابر 5 بگذاریم. رمز ما ali است. بعد آن را تغییر می دهیم به ali2 و سپس به hasan و بعد به hossein (سه تغییر داده ایم) حال می خواهیم دوباره رمز را ali بگذاریم که با پیغام خطا روبرو می شویم. چرا که این رمز در میان 5 رمز قبلی تعیین شده برای این کاربر بوده است.

نکته :
یوزرها و رمز آنها در کامپیوترهای غیر شبکه و آنهایی که متصل به شبکه های WorkGroup هستند روی خود سیستمها و در یک فایل با نام SAM که بدون پسوند است و در شاخه System32\config وجود دارد نگه داشته می شوند. این فایل کد گذاری شده است. این عبارت مخفف واژه های Security Account Manager است.

بازیابی رمزهای عبور :
یک اتفاق رایج در کاربران فراموش کردن رمز عبور است. برای پیشگیری از بروز این مشکل و حل آن در صورت پیش آمدن چه کارهایی باید کرد.

در ساده ترین حالت، فرد admin وارد Computer Management می شود، روی یوزر مربوطه کلیک راست می کند و Set Password را می زند و رمز جدیدی را وارد می کند. اما در این حالت دو اتفاق ناخوشایند و نامطلوب می افتد. اول اینکه کاربر به فایل هایی که کدگذاری یا Encrypt کرده است دسترسی نخواهد داشت و دوم اینکه دیگر نمی تواند از فلاپی یا فلش Password Reset خود استفاده کند. شاید برخی دوستان بپرسند اصلا این فلاپی یا فلش (منظور همان کول دیسک ها یا حافظه های فلش usb از انواع مختلف است) چه هست ؟ چه کار می کند و چگونه ساخته می شود :

فرض کنید آدم فراموشکاری هستید و همیشه ممکن است رمز خود را فراموش کنید. اشکالی ندارد. یک فلاپی یا فلش usb خود را به سیستم متصل کنید، کلیدهای Ctrl+Alt+Del را زده و گزینه Change Password را انتخاب کنید. حال گزینه Backup را بزنید. رمز فعلی خود را وارد و فلاپی یا فلش خود را انتخاب کنید. می توانید مشاهده کنید که روی فلاپی یا فلش شما فایلی کدگذاری شده با نام userkey.psw ساخته شده است. حال فرض کنید که رمز خود را عوض کردید. فردا هم همینطور و اصلا ده ها بار رمز خود را تغییر دادید و ناگهان متوجه شدید که رمز آخرتان در ذهن شما نمانده است. نگران نباشید. فلش یا فلاپی ساخته شده را وارد کنید و یکبار رمز را اشتباه بزنید. پس از این اشتباه وارد کردن، ویندوز که متوجه وجود یک فلاپی یا فلش پسورد شده است می پرسد آیا دوست دارید رمز خود را reset کنید. با تایید این هشدار، اگر فایل روی فلاپی یا فلش مربوط به همان یوزری باشد که برای آن ساخته شده و در حال حاضر قضد ورود به سیستم را دارد، می توانید رمز را به راحتی عوض کنید.
تقریبا همه افراد دارای حافظه های فلش مختلف هستند و اگر هم نباشند فلاپی که وجود دارد و بسیار هم ارزان است. به مدیران شبکه ها توصیه می کنم کاربران خود را ملزم به ساخت فلاپی یا فلش ریست کردن پسورد نمایند. نکته بالا را یادمان نرود. اگر برای کاربری Set Password نماییم دیگر این فلاپی یا فلش برایش کاربردی نخواهد داشت و باید یکی دیگر بسازد.

روش دیگر برای برداشتن رمزهای فراموش شده و وارد شدن به یک سیستم استفاده از برنامه ها و CD هایی مانند Hiren است. با این برنامه می توانید به راحتی رمز Administrator یک سیستم را برداشته و عوض کنید.

نکته :
رمزها در ویندوز قابل بازیابی نیستند (مگر در شرایط بسیار خاص). منظور ما از تمام بحث های بالا آن است که پسورد یک کاربر را از بین ببریم و یک رمز جدید برای او بگذاریم نه اینکه متوجه بشویم رمز قبلی وی چه بوده است. همانطور که گفتم چنین امری تقریبا محال است خصوصا اگر رمز وی پیچیده باشد.

[th95]

جلسه ششم - 13 خرداد 1389

باز هم با بحث یوزرها ادامه می دهیم. در این بخش می خواهیم ببينيم اختیارات و توانمندی های یک یوزر و در واقع قدرت آن به چه عواملی بستگی دارد. پاسخ مشخص است :به مجوزها و اختیاراتی که دارد و گروه هایی که عضو آنها می باشد. حال گروه های پیش فرض و اصلی ویندوز را بررسی می کنیم.

Administrators
مشخص است منظور کاربرانی با دسترسی کامل روی سیستم هستند. یوزر administrator به صورت پیش فرض و ذاتی عضو این گروه است.

Users
هر یوزر جدید به طور پیش فرض در این گروه قرار می گیرد. اعضای این گروه اختیارات بسیار کمی دارند مثلا ساعت را نمی توانند تنظیم کنند. درایور نمی توانند نصب کنند. به تنظیمات کارت شبکه دسترسی ندارند ولی قادر به انجام برخی موارد مانند ساختن کانکشن اینترنت و یا بکاپ گیری از فایل های خودشان هستند.

Network Configuration Operators
همان اعضای گروه یوزر هستند که البته می توانند تنظیمات شبکه (TCP/IP) را انجام دهند.

Backup Operators
همان گروه یوزر هستند که قادرند از تمام فایل های سیستم نسخه پشتیبان یا بکاپ تهیه کنند.

Power Users
گروهی نسبتا قدرتمند هستند که اختیاراتی مانند Share کردن، نصب برنامه های کوچک، تغییر ساعت، ساخت یوزر (البته با حداکثر اختیاراتی که خودش دارد) را دارا هستند.

Remote Desktop Users
برای وصل شدن به سیستم از طریق یک سیستم دیگر یا اصطلاحا به صورت Remote، یوزر مربوطه باید عضو این گروه باشد. اعضای گروه Administrators به صورت ذاتی این قابلیت را دارند.

Everyone
گروهی که تمام یوزرهای کامپیوتر را دربر می گیرد.
یادمان باشد حتی اعضای گروه Administrators هم عضو این گروه هستند بنابراین اگر مثلا دسترسی به یک فایل را برای Everyone غیر مجاز کنیم، حتی Administrator ها هم دیگر به آن دسترسی نخواهند داشت.

Authenticated Users
منظور یوزرهایی هستند که به سیستم وارد شده یا اصطلاحا Login کرده اند. منظور تمام یوزرهایی است که از طرق مختلف مثلا پای خود سیستم، به صورت Remote، از طریق دسترسی به Share های روی سیستم و ... به آن وارد شده اند. وقتی یوزرها Log off کنند به صورت خودکار از این گروه خارج می شوند. یوزر Guest عضو این گروه نیست.

Anonymous Logon
کسانی عضو این گروه می شوند که بدون وارد کردن یوزر و پسورد و در واقع بدون Authentication وارد سیستم شوند. مثل زمانی که Simple File Sharing تیک دارد و Guest هم Enable است. یا مثل زمانی که یک FTP site روی سیستم ساخته ایم و تیک anonymous آن را زده ایم یعنی برای استفاده از آن نیازی به یوزر و پسورد نباشد. (در این مورد بعدا توضیحات لازم ارایه خواهند شد)

دستورات خط فرمان
از این به بعد در بسیاری از درس ها دستورات خط فرمانی مرتبط با مباحث ارایه خواهند شد. به عنوان یک مدیر شبکه، لازم است این دستورات را بدانید و در مواقع لازم از آنها استفاده کنید. برخی فکر می کنند یادگیری این دستورات و استفاده از آنها فقط برای به رخ کشیدن معلومات یا به قول خودمان کلاس گذاشتن به درد می خورد. این تصور کاملا اشتباه است. برخی اوقات یک دستور شما را از ده ها کلیک ماوس و زدن و برداشتن تیک های مختلف خلاص می کند. ضمنا می توان از این دستورات در فایل های دسته ای یا Batch Files استفاده کرد. بسیاری از اوقات هم به دلایل مختلف شما به بسیاری امکانات گرافیکی ویندوز دسترسی ندارید. با این مقدمه و ذکر این مطلب که تمامی مباحث خصوصا دستورات خط فرمانی را باید حتما تمرین کنید و فقط به مطالعه مباحث اکتفا نکنید، به سراغ دستورات خط فرمان مرتبط با یوزرها می رویم :

1- ساختن یک یوزر محلی (local) روی یک سیستم

Net User "نام یوزر" "پسورد" /add

2- حذف یک یوزر
Net User "نام یوزر" /delete
3- Disable و Enable کردن یک یوزر
Net User "نام یوزر" /activeYes / No)

4- مشاهده لیست یوزرهای سیستم
Net User

5- ساخت یک گروه
Net localgroup "نام گروه" /add
6- اضافه کردن یک یوزر به یک گروه
Net localgroup "نام گروه" "نام یوزر" /add

7- حذف عضویت یک یوزر از یک گروه
Net localgroup "نام گروه" "نام یوزر" /delete

8- اطلاعات کلی در مورد یک یوزر (آخرین ورود به سیستم، فعال یا غیر فعال یودن، زمان انقضا و ...) و گروه هایی که عضو آن است
Net User "نام یوزر"

9- اطلاعات کلی در مورد یک گروه و یوزرهای عضو آن
Net localgroup "نام گروه"


خسته نباشید
در جلسه بعد به تغییر اختیارات یوزرها با ترفندهای مختلف به ویژه Group Policy می پردازیم.


دستورات فوق به زبان انگلیسی:

The following example shows the syntax of the net user command: net user [username [password | *] [options]] [/domain]
username {password | *} /add [options] [/domain]
username [/delete] [/domain]

You can use the net user command to create and modify user accounts on computers. When you use this command without command-line switches, the user accounts for the computer are listed. The user account information is stored in the user accounts database. This command works only on servers.

You can use the following parameters with the net user command:

• username

• 
  
  Is the name of the user account you want to add, delete, modify, or view. The name of the user account can have as many as 20 characters.
• password
  
  Assigns or changes a password for the user's account. A password must satisfy the minimum length set with the /minpwlen option of the net accounts command. It can contain as many as 14 characters.
• *
  
  Produces a prompt for the password. The password is not displayed when you type it at a password prompt.
• /domain
  
  Performs the operation on the primary domain controller (PDC) of the current domain. This parameter applies only to computers running Windows NT Workstation that are members of a Windows NT Server domain. By default, Windows NT Server-based computers perform operations on the PDC.
• /add
  
  Adds a user account to the user accounts database.
• /delete
  
  Removes a user account from the user accounts database.

Back to the top

Options for the Net User Command

• /active:{yes | no}

• 
  
  Activates or deactivates the account. If the account is not active, the user cannot gain access to the server. The default is yes.
• /comment:"text"
  
  Provides a descriptive comment about the user's account (maximum of 48 characters). Be sure to put quotation marks around the text you use.
• /countrycode:nnn
  
  Uses the operating system country code to implement the specified language files for a user's help and error messages. A value of 0 signifies the default country code.
• /expires:{date | never}
  
  Causes the account to expire if date is set. The never option sets no time limit on the account. An expiration date is in the form mm/dd/yy or dd/mm/yy, depending on the country code. Months can be a number, spelled out, or abbreviated with three letters. Year can be two or four numbers. Use slashes (/) with no spaces to separate parts of the date.
• /fullname:"name"
  
  Is a user's full name (rather than a user name). Enclose the name in quotation marks.
• /homedirathname
  
  Sets the path for the user's home directory. The path must exist.
• /passwordchg:{yes | no}
  
  Specifies whether users can change their own password. The default is yes.
• /passwordreq:{yes | no}
  
  Specifies whether a user account must have a password. The default is yes.
• /profilepath[ath]
  
  Sets a path for the user's logon profile.
• /scriptpathathname
  
  Is the location of the user's logon script.
• /times:{times | all}
  
  Is the logon hours. The times option is expressed as day[-day][,day[-day]],time[-time][,time [-time]], and is limited to 1-hour increments. Days can be spelled out or abbreviated. Hours can be 12-hour or 24-hour notation. For 12-hour notation, use am, pm, a.m., or p.m. The all option specifies that a user can always log on, and a blank value specifies that a user can never log on. Separate day and time entries with a comma, and separate multiple day and time entries with a semicolon.
• /usercomment:"text"
  
  Lets an administrator add or change the user comment for the account.
• /workstations:{computername[,...] | *}
  
  Lists as many as eight computers from which a user can log on to the network. If the /workstations option has no list or if the list is *, the user can log on from any computer.
• net help user | more
  
  Displays Help one screen at a time.

NOTE: You can obtain all of the information contained in this article by typing the following command: net help user

***************

Net localgroup
Adds, displays, or modifies local groups. Used without parameters, net localgroup displays the name of the server and the names of local groups on the computer.
Syntax

net localgroup [GroupName [/comment:"text"]] [/domain]
net localgroup [GroupName {/add [/comment:"text"] | /delete} [/domain]]
net localgroup [GroupName name [ ...] {/add | /delete} [/domain]]
Top of page

Parameters

GroupName : Specifies the name of the local group to add, expand, or delete. Used without additional parameters, net localgroup GroupName displays a list of users or global groups in a local group.
/comment:" text " : Adds a comment for a new or existing group. The comment can contain up to 48 characters. Enclose the text in quotation marks.
/domain : Performs the operation on the primary domain controller of the current domain. Otherwise, the operation is performed on the local computer.
name [ ...] : Lists one or more user names or group names to add or remove from a local group.
/add : Adds a global group name or user name to a local group. You must first establish an account for users or global groups before you can add it to a local group with this command.
/delete : Removes a group name or user name from a local group.
net help command : Displays help for the specified net command.
Top of page

Remarks

• Using /domain

• 
  
  /domain applies only to Windows XP Professional computers that are members of a domain. By default, server computers perform operations on the primary domain controller.
• Using name
  
  Separate multiple entries with a space. Names can be local users, users on other domains, or global groups, but not other local groups. If a user is from another domain, preface the user name with the domain name (for example, Sales\Ralphr).
• Grouping users
  
  Use net localgroup to group users who use the computer or network in the same or similar ways. When you assign rights to a local group, each member of the local group automatically has the same rights.

Top of page

Examples

To display a list of all the local groups on the local server, type:
net localgroup
To add a local group called Exec to the local user accounts database, type:
net localgroup exec /add
To add a local group called Exec to the domain user accounts database, type:
net localgroup exec /add /domain
To add the existing user accounts stevev, ralphr (from the Sales domain), and jennyt to the Exec local group on the local computer, type:
net localgroup exec stevev sales\ralphr jennyt /add
To add the existing user accounts stevev, ralphr, and jennyt to the Exec group of a domain, type:
net localgroup exec stevev ralphr jennyt /add /domain
To display users in the Exec local group, type:
net localgroup exec
To add a comment to the Exec local group record, type:
net localgroup exec /comment:"The executive staff."

[th95]

جلسه هفتم- 23خرداد 1389


جلسه گذشته در مورد اختیارات یوزرها و گروه های مختلف صحبت کردیم. حال می خواهیم ببینیم اختیارات یوزرها و گروه ها را چگونه می توان تغییر داد. به مثال زیر دقت کنید :

کاربرهای عادی (گروه Users) در یک سیستم نمی توانند ساعت و تاریخ را تنظیم کنند. چگونه بدون اینکه عضویت آنها را ارتقا دهیم (یعنی آنها را جزو گروه قوی تری مثل Power Users کنیم) این امکان را برای آنها فراهم سازیم ؟

به وسیله ابزار Group Policy می توانیم بسیاری از اختیاراتی که در مورد آنها صحبت کردیم را به یوزرها اختصاص دهیم. در مورد مثال بالا دستور Gpedit.msc را اجرا کرده و به آدرس زیر می رویم.

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User right assignments
در اینجا گزینه Change the system time را دو بار کلیک می کنیم و نام یوزر یا گروه های مربوطه را که می خواهیم قابلیت تغییر ساعت سیستم را داشته باشند اضافه می کنیم. می بینید که گروه Administrators و Power Users به طور پیش فرض این اختیار را دارند.

همانطور که می بینید در این بخش اختیارات و مجوزهای زیادی وجود دارند. حال به برخی از مهم ترین آنها اشاره می کنیم :

می توانند از همه فایل های سیستم بکاپ بگیرند. (باز هم می بینید که Administrators و Backup Operators به صورت پیش فرض در اینجا وجود دارند)
Backup File and Directories

کسانی که عضو این گروه می شوند می توانند درخت شاخه های مختلف روی درایوهای سیستم را مشاهده کنند حتی اگر مجوز دسترسی به آنها را نداشته باشند. البته نمی توانند محتویات این شاخه ها را ببینند
Bypass Traverse Checking

افرادی که نمی توانند به این سیستم از پای خود آن Login کنند اما ممکن است از طریق شکه بتوانند به سیستم وصل شوند.
Deny Logon Locally

کسانی که توانایی نصب و حذف درایورهای سخت افزارها را دارند.
Load and Unload Device Drivers

کسانی که می توانند برنامه هایی را اجرا کنند که این برنامه ها می توانند دیتای مربوط به خود را روی حافظه RAM نگه دارند و مانع از انتقال آن به حافظه مجازی شوند. مسلم است که با این کار سرعت و اولویت برنامه های آنها بالا می رود. البته خود برنامه مذکور نیز باید چنین چیزی را از سیستم عامل درخواست کند.
Lock Pages in Memory

کسانی که می توانند عملکرد فرآیندهای غیر سیستمی را مشاهده و نظارت نمایند.
Profile Single Process

کسانی که می توانند عملکرد فرآیندهای سیستمی را مشاهده و نظارت نمایند.
Profile System Process

کسانی که می توانند برنامه هایی را اجرا کنند که در آن برنامه ها یک سرویس، سرویس دیگری را فرا می خواند و باعث شروع به کار آن می شود. (مثل Task Scheduler)
Replace a Procees level token
Take ownership of files or other objects
کسانی که می توانند مالکیت یک فایل یا شاخه یا ... را تغییر دهند. گروه Administrators به طور پیش فرض این اختیار را دارد و مراقب باشید این مجوز را به هیچ کس ندهید چرا که در آن صورت به تمامی فایل های سیستم دسترسی پیدا خواهد کرد.

خسته نباشید. در جلسه بعد به سراغ مبحث بسیار مهم آدرس های IP می رویم.

[th95]

جلسه هشتم بیست و پنجم خرداد 1389

این جلسه به مبحث مهم آدرس های IP می پردازیم. اول از همه بدانید که این IP به پروتکل TCP/IP وابسته است و بدون این پروتکل سیستم شما آدرس IP نخواهد گرفت.
آدرس IP را از وجوه مختلفی می توان تقسیم بندی کرد. به طور کلی و از نظر اینترنتی دو نوع IP داریم.

1- Valid (Public) IP
این نوع IP به کامپیوتر و در واقع اتصالی (Connection) اختصاص می یابد که مستقیما به اینترنت متصل شود (نه از طریق یک شبکه داخلی و یا سیستم دیگر)
مودم های ADSL دارای این نوع IP هستند که ثابت است و مودم های Dial-up نیز در لحظه اتصال این نوع IP را می گیرند که البته ممکن است در اتصال بعدی، IP دیگری به آنها داده شود. یعنی بر خلاف ADSL، IP آنها ثابت نیست.

2- Private IP
همان IP که به کامپیوترهای یک شبکه داخلی نسبت داده می شود و در دنیای اینترنت قابل استفاده نیست. این نوع IP دارای یک طیف است که در زیر مشاهده می کنید :

طیف Private IP ها :

class A IP addresses 10.0.0.0 to 10.255.255.255
172.16.0.0 to 172.31.255.255 class B IP addresses
192.168.0.0to 192.168.255.255 class C IP addresses

باز هم متذکر می شوم که این رنج IP در اینترنت معنایی ندارند و قابل استفاده نیستند. طیف IP های معتبر در اینترنت یا همان Valid or Public IP ها خارج از این محدوده هستند. برای مثال رنج Valid IP در کشور ما می تواند 89.220.0.0 تا 89225.255.255 می تواند باشد. (این فقط یک مثال بود و اعداد آن فرضی هستند)
بنابراین هر ابزار ارتباطی مثل مودم باید برای اتصال به اینترنت باید دارای Valid IP باشد که باید آن را از مرکز ارایه دهنده سرویس های اینترنتی (ISP) بخرد. حال می تواند از نوع ADSL، Dial-up و ... باشد. وقتی شما یک کارت اینترنت 10 ساعته از یک ISP مثل پارس آنلاین می خرید، در واقع ده ساعت از یک Valid IP آن ISP را در اختیار می گیرید.

ضمنا می توان یک Public IP خرید و با استفاده از آن اینترنت را در اختیار یک شبکه داخلی گذاشت و یا یک سایت اینترنتی یا Mail Server را برای استفاده افراد در اینترنت روی آن بارگذاری کرد. بنابراین شاید بتوان کاربردهای اصلی یک Public یا Valid IP را سه مورد زیر دانست :

1- استفاده شخصی از اینترنت
2- به اشتراک گذاشتن اینترنت برای یک شبکه (Internet Sharing)
3- منتشر یا Publish کردن یک Web Site یا Mail Site

در ادامه به توضیح برخی مفاهیم مهم در خصوص IP می پردازیم.

1- سگمنت (Segment) - در حوزه مفاهیم مرتبط با IP Addressing
در یک شبکه، مجموعه کامیپوترها و ابزارهای دیگر که به یک پورت روتر وصل هستند را یک سگمنت گوییم. دقت کنید وجود چندین سوییچ یا هاب در شبکه نشان دهنده چندین روتر نیست. یک ساختمان 5 طبقه که هر طبقه آن دارای یک سوییچ است (این سوییچ ها ممکن است به هم وصل باشند یا نباشند) و در آن روتری وجود ندارد، باز هم دارای تنها یک سگمنت است. به شکل زیر سه سوییچ وجود دارد اما تنها دو سگمنت داریم چون دو تا از سوییچ ها در یک طرف روتر قرار دارند و به یک پورت آن متصل شده اند)




2- Net ID
بخش مشترک بین IP های یک سگمنت را گویند. مشخص است (در شکل هم می بینید) که IP های دو سگمنت متصل به هم باید Net ID های مختلف داشته باشند. در شکل بالا Net ID سگمنت سمت چپ برابر 192.168.100.x و سمت راست 192.168.200.x می باشد.

3- Host ID
بخش غیر مشترک بین IP های یک سگمنت را گویند. (در شکل هم می توانید Host ID های مختلفی مانند 172، 52، 6، 9، 71 و... را ببینید.

بنابراین با توجه به تعاریف ارایه شده :

IP = Net ID + Host ID

در جلسه بعد به مفاهیم دیگری چون Subnet Mask، Default Gateway و ... خواهیم پرداخت.

[th95]

سلام
دوستان لطفا مباحث، نکات متفرقه و اظهار نظرها، تشکرها، انتقادها و پیشنهادات در خصوص دوره مجازی MCSE رو اینجا مطرح کنید

مباحث، نکات متفرقه و اظهار نظرها و پیشنهادات دوستان در خصوص دوره مجازی MCSE

و بذارید این تاپیک فقط مربوط به مباحث درسی باشه

همون تشکر کردن کفایت میکنه
من از تعداد تشکرها میفهمم که بحث مفید بوده
ممنون از لطف همه

[th95]

جلسه نهم : 1 تیر ماه

در اين جلسه به ادامه مبحث IP و موضوع Subnet Mask مي*پردازيم.
هنگامي كه يك IP براي سيستم وارد مي*كنيم يك Subnet Mask هم به آن نسبت داده مي*شود. در اينجا توضيح مختصري در مورد آن مي*دهيم و كاربردهاي آن را در آينده به طور دقيق*تر و جزيي*تر بررسي خواهيم كرد.
در واقع Subnet Mask به ما نشان مي*دهد Net ID و Host ID يك آدرس IP چيست. تبديل عدد مربوطه به باينري قدم اول است و پس از آن 1 هاي متوالي نشان دهنده Net ID و 0 هاي پس از آن نشانگر Host ID هستند. براي مثال وقتي كه آدرس 192.168.123.1 را برميگزينيم، به صورت پيش*فرض Subnet Mask زير به آن تخصيص داده مي*شود : 255.255.255.0

اگر چهار اكتت (octet) - هر IP البته از نوع IP V4.0 از چهار اكتت يا چهار عدد 8 بايتي در مبناي 2 تشكيل شده است كه تبديل آنها به دهدهي عددي بين 0 تا 255 را به دست مي*دهد - اين Subnet Mask را به باينري تبديل كنيم خواهيم داشت :
11111111.11111111.11111111.00000000

همانطور كه اشاره شد، 1 هاي متوالي اول نشاندهنده Net ID يا همان شناسه شبكه هستند. مسلما اگر بخواهيم سيستم*ها به هم شبكه شوند بايد يك Net ID مشترك داشته باشند. مثلا در نمونه بالا، همه آنها بايد در ابتدا داراي 24 تا 1 باشند. اين 1 ها ثابت هستند و پس از آن با بازي كردن با اعداد 0 (يعني 8 تاي آخر) مي*توانيم آدرس*هاي IP مختلف بدست آوريم. در اين مثال تمامي سيستم*هاي ديگر نيز بايد Net ID متشكل از 24 تا 1 در ابتدا يا بهتر بگوييم 192.168.123 باشد.

بنابراين مي*توانيم چنين IP هايي داشته باشيم :

11111111.11111111.11111111.00000001 = 192.168.123.1
11111111.11111111.11111111.00001001 = 192.168.123.7
11111111.11111111.11111111.10100010 = 192.168.123.162

و حالا يك سوال : با اين Net ID حداكثر چند كامپيوتر مي*توان در شبكه داشت.
جواب واضح است. به تعداد حالت*هايي كه مي*شود با Host ID ايجاد كرد كه البته Host ID نمي*تواند 0 يا 255 باشد. بنابراين حداكثر تعداد كامپيوترهاي يك سگمنت با اين Net ID برابر مي*شوند با :

2^8 – 2 = 254

حال براي تمرين، اين سوال را خودتان حل كنيد :
اگر ماشيني داراي IP = 192.168.100.15 با Subnet Mask = 255.255.0.0 باشد، بگوييد Net ID و حداكثر تعداد كامپيوترها در شبكه چقدر است ؟

اما ببينيم تغيير اين Subnet Mask كاربردي هم دارد يا بهتر است هميشه آن را در حالت پيش*فرض استفاده كنيم. فرض كنيد در سگمنت خود 50 كامپيوتر داريم و Subnet Mask = 255.255.255.0 و يك IP هم براي مثال 192.168.100.160 مي*باشد. آيا اين Subnet براي شبكه مناسب است. آيا بهتر نيست از Subnet Mask = 255.255.255.192 استفاده كنيم ؟

براي پاسخ به اين سوال بايد بخش*هاي Net ID و Host ID را جدا كنيم. در حالت پيش*فرض همانطور كه در ابتدا هم گفتيم مي*توانيم 254 كامپيوتر را با هم شبكه كنيم. اما ببينيم در حالت دوم اوضاع چگونه است. Subnet داده شده را به صورت باينري مي*نويسيم:

255.255.255.192 =
11111111.11111111.11111111.11000000

مي*بينيم كه در اين حالت 6 تا 0 داريم و در نتيجه حداكثر تعداد كامپيوترها برابر خواهد بود با :
2^6 – 2 = 64 – 2 = 62

مسلما حالت دوم بهتر است. چون در حالت اول وقتي در شبكه Broadcast رخ دهد، 254 بسته اطلاعاتي توليد و به كامپيوترها فرستاده مي*شوند (دقت كنيد فقط 50 كامپيوتر داريم) اما در حالت دوم اين تعداد به 62 بسته تقليل مي*يابد.

بنابراين ديديم كه اگر برخي اوقات Subnet Mask دستكاري شود بهتر است.
اگر Subnet را دستكاري نكنيم مي*گوييم آدرس Classful داريم
اگر Subnet را دستكاري كنيم مي*گوييم آدرس Classless داريم. به اين عمل اصطلاحا Sub netting گوييم. در آينده با مفاهيم Sub netting و Super netting بيشتر آشنا خواهيم شد.

حال براي تمرين مثال زير را حل كنيد :
در يك سگمنت شبكه* حدود 1000 كامپيوتر داريم. كدام Subnet Mask بهتر است ؟

1- IP = 172.16.34.15 Subnet Mask = 255.255.0.0
2- IP = 172.16.34.15 Subnet Mask = 255.255.252.0

پيشنهاد مي*كنم حتما تمرين*هاي گفته شده را حل كنيد تا به بحث تسلط پيدا كنيد.

حال به مفهوم Default Gateway مي*پردازيم :
حتما مشاهده كرده*ايد كه هنگام وارد كردن IP بخشي نيز براي وارد كردن آدرس Default Gateway داريم. اين آدرس معمولا دو كاربرد اصلي دارد :

1- آدرس كامپيوتري كه اينترنت را براي كلاينت Share كرده است
هنگامي كه يك كامپيوتر در شبكه به اينترنت وصل است و بايد اينترنت را در اختيار بقيه قرار دهد چنين حالتي پيش مي*آيد. البته هميشه به اين سادگي و فقط با تنظيم Gateway كارها انجام نمي*شود اما اين يكي از ساده*ترين حالت*هاست.

2- آدرس پورت روتر در سمتي از سگمنت كه كلاينت در آن قرار دارد تا بدين وسيله به روتر وصل شود و در نتيجه با سگمنت*هاي ديگر ارتباط برقرار كند. شكل زير را ببينيد. در این شکل برای برقراری ارتباط بین کامیپوترهای دو طرف، سیستم*های سمت چپ باید آدرس 192.168.100.150 یعنی پورت روتر سمت خود و سیستم*های سمت راست هم به همین ترتیب آدرس 192.168.200.170 را به عنوان Default Gateway تنظیم کنند.



در جلسه بعد مبحث جاری را با کلاس*های IP ادامه می*دهیم.

[th95]

جلسه دهم - 5 تیرماه 1389

سلام و اول از همه تبریک بابت این عید

برای IP نسخه 4 یعنی IPv4 پنج کلاس IP وجود دارد که در جدول زیر آمده*اند. قضایا برای کلاس جدید IP یعنی IPv6 که قرار است طی چند سال آینده کاملا جای نسخه 4 را بگیرد طبیعتا متفاوت خواهد بود اما در حال حاضر تقریبا تمامی شبکه*ها یا همان IPv4 کار می*کنند.





مبحث IP در اینجا پایان می*یابد اما در درس*های آینده نیز با آن سرو کار خواهیم داشت و نکات دیگری از آن به مرور عرضه خواهد شد.

کار با سیاست*ها یا Policy ها :
از سیاست*ها برای انجام تنظمیات مختلف سخت*افزاری و نرم*افزاری استفاده می*شود که در ادامه به برخی از مهم*ترین آنها اشاره خواهیم کرد. اما در ابتدا کلیاتی در این مورد ذکر می*شود.

در شبکه*های Workgroup با Local Policy سر و کار داریم یعنی سیاست*هایی که روی هر کامپیوتر تعریف و فقط به خود آن اعمال می*شوند.
در دومین با اشیای سیاست*های گروهی یا Group Policy Objects یا GPO سرو کار داریم که روی سرور اصلی یا DC تعریف و به یوزرها یا کامپیوترها نسبت داده می*شوند.

برای اجرای Group Policy در شبکه WorkGroup و روی یک کامپیوتر دستور زیر را در Run اجرا می*کنیم :

Gpedit.msc
همچنین می*توانید از کنسول مدیریتی مایکروسافت استفاده کنید. در Run دستور mmc را تایپ کنید. سپس از پجره باز شده به بخش Add/Remove Snap-in بروید و Group Policy Object Editor را Add کنید. به یاد داشته باشید برای اعمال تغییرات در این محیط بسیار کم نیاز به ریست کردن کامپیوتر دارید و معمولا تغییرات در همان لحظه ایجاد اعمال می*شوند (در واقع در رجیستری اعمال و ذخیره می*شوند). البته در دومین معمولا زمان کوتاهی برای اعمال سیاست*ها به کلاینت*ها نیاز است که البته می*توان با اجرای برخی دستورات آن را سرعت بخشید. تغییرات انجام شده در این قسمت در واقع اغییراتی در رجیستری انجام می*دهند پس به خاطر داشته باشید در حالت کلی بکاپ از رجیستری برابر است با بکاپ از Group Policy
شاید بهتر باشید بدون هیچ توضیحی اول کمی خودتان این محیط را بگردید تا اصول کلی کار با آن و بخش*های مختلف*اش تا حدودی برایتان آشنا گردند.
همانطور که می*بینید دو بخش کلی داریم یعنی Computer Configuration و User Configuration که در آنها سه بخش Software Setings، Windows Settings و Administrative Templates تکراری هستند. مشخص است که تنظیمات بخش اول با کامپیوتر (یا کامپیوترها) و بخش دوم هم با یوزرها سر و کار دارند. نمی*توان به طور جزیی و دقیق بخش*های مختلف را توضیح داد اما می*توان به صورت کلی اینچنین گفت :

Administrative Templates:
برای انجام تغییرات عموما در پوسته ویندوز، مثلا برداشتن برگه Settings مونیتور یا جلوگیری از ساخت کانکشن

Windows Settings:
مسایل مربوط به یوزرها، گروه*ها، ورود و خروج ویندوز (Login/Log off) و مسایل امنیتی مثل پیچیده کردن رمز

Software Settings:
نصب اتوماتیک برنامه*ها روی کلاینت*ها (این بخش فقط در محیط دومین کاربرد دارد)

کتاب خاصی در این مورد وجود ندارد که همه بخش*ها را توضیح داده باشد. می*توانید خودتان با گشتن بخش*های مختلف و کمی آشنایی با زبان انگلیسی نکات جالبی از این ابزار مفید را کشف کنید. در ادامه چندین مثال برای آشنایی شما ذکر می*گردند. ضمن اینکه قبلا هم چند مثال (در مورد رمز یوزرها و ... داشتیم و در آینده هم فراوان با این ابزار کار خواهیم کرد.

مثال 1 : برداشتن برگه Settings مربوط به مانیتور

Hide Settings Tab
User Configuration -> Administrative Templates -> Control Panel -> Display
مثال 2 : جلوگیری از اجرای Control Panel :
در همان آدرس بالا و گزینه

Prohibit Access to Control Panel
مثال 3 : می*خواهیم فقط کیبرد و ماوس در Control Panel باشند (مجوعه*ای دلخواه)
در همان آدرس و گزینه

Show Only Specified Control Panel Applets

مثال 4 : جلوگیری از زدن Ctrl+Alt+Del و استفاده از Change Password
User Configuration -> Administrative Templates -> Ctrl+Alt+Del Options
Remove Change Password


مثال 5 : می*خواهیم بلافاصله بعد از Login برنامه خاصی مثل ماشین حساب اجرا شود

User Configuration ->Windows Settings -> Scripts (Logon/Logoff)حال در اینجا دستور اجرای برنامه ماشین حساب یعنی Calc.exe را Add می*کنیم.

در جلسه بعد به توضیح قسمت*های مهم دیگر در Group Policy مانند سیاست*های امنیتی می*پردازیم.

در ادامه به سراغ بخش تنظيمات امنيتي به آدرس زير مي*رويم :

Computer Configurations -> Windows Settings -> Security Settings -> local policies
سه بخش اصلي داريم :

Audit Policyنظارت بر عملكرد يوزرها


User Rights Managementعوض كردن قدرت پيش*فرض يوزرها و گروه*ها


Security Optionsمسايل مختلف امنيتي و موارد ديگري چون بحث Logoff و Login و ...

مي*توانيد با خواندن موارد مختلف كاملا متوجه شويد كه هر آيتم چه كاري انجام مي*دهد. اما در ادامه برخي از موارد مهم و تقريبا پركاربرد آورده شده است :

مثال : مي*خواهيم كاربران بتوانند به صورت locally (از پاي خود سيستم) به سرور DC وارد شوند. به ياد داشته باشيد كه كاربران معمولي به طور پيش*فرض چنين اجازه*اي ندارند.

راه حل : روي DC وارد Group Policy شده و در بخش User Rights Assessments گروه كاربران يا همان Users را Add مي*كنيم.

مثال : به طور پيش*فرض رمزها بعد از 42 روز Expire مي*شوند اما 14 روز قبل از آن موقع Login كردن به كاربران هشدار مي*دهد. مي*خواهيم زمان اين هشدار هفت روز قبل باشد
راه حل : به بخش Security Options مي*رويم و تغييرات دلخواه را در گزينه زير مي*دهيم.

Interactive Logon : Prompt Users to Change Password Before Expiration
مثال : در ويندوز نسخه سرور، در پنجره Login دكمه Shutdown خاموش است. مي*خواهيم آن را فعال سازيم.

راه حل : در بخش Security Options گزينه زير را فعال مي*كنيم

Shutdown : Allow System to Be Shutdown Without Having to Logon
سوال : اعضاي گروه Users در ويندوزهاي سرور به طور پيش*فرض فقط مي*توانند از سيستم Logoff كنند و نمي*توانند سيستم را ريست يا خاموش كنند. براي حل اين قضيه چه بايد كرد

راه حل : در قسمت زير كه در Users Rights Assignments قرار دارد گروه Users را اضافه مي*كنيم

Shut Down the System

[th95]

جلسه یازدهم : 11 تیر 89

میخواستم مفصل تر باشه اما هم وقت کم داشتم هم اینکه هی شما گفتید کی شروع میشه کی شروع میشه بعدی چی شد ؟؟؟؟؟؟؟؟

ضمنا چون جلسه بعد مربوط به شیرینگ هست یک کم مفصل تره و نخواستم چند تیکه اش کنم.


در ادامه به سراغ قسمت مهم سياست*هاي نظارتي يا Audit Policy مي*رويم.
هدف از اين سياست*ها نظارت بر كارهايي است كه كاربر با فايل*ها، فولدرها انجام مي*دهد و يا تغييراتي كه ممكن است بخواهد ايجاد كند، ورود و خروج وي به سيستم و .... دقت داشته باشيد كه اين سياست*ها به هيچ وجه جلوي كاربر را نمي*گيرد بلكه اعمال او را تحت نظر قرار داده و يك فايل گزارش از آنها تهيه مي*كند. اين فايل گزارش يا Log File را مي*توان توسط ابزار Event Viewer مشاهده كرد. براي ديدن اين ابزار و ديدن گزارش*هاي Audit مربوطه روي My Computer كليك راست كنيد، Manage را بزنيد. سپس Event Viewer را انتخاب و در نهايت Security را برگزينيد.

اين فايل*ها پسوند evt دارند و فقط از همين طريق مي*توان آنها را ديد و با ابزارهاي متني مثل Notepad قابل مشاهده نيستند. مي*توان با كليك راست روي Security در Event Viewer مسير اين فايل*ها را ديد و عوض كرد. مسير پيش*فرض آن System32\Config\SecEvent.evt مي*باشد.

نكته مهم : حجم پيش*فرض اين فايل 512 كيلوبايت است كه اگر پر شود كاربران اجازه ورود به ويندوز را نخواهند داشت. پس اگر مي*خواهيد از آن زياد استفاده كنيد حتما حجم آن را افزايش دهيد.

مثال : مي*خوهيم لاگ كنيم چه كسي قصد ورود به سيستم را داشته است و آيا موفق شده يا خير (چه از طريق خود سيستم و چه از طريق سيستم*هاي ديگر در شبكه)

راه حل : براي انجام اين كار بايد در بخش Audit Policy گزينه زير را براي هر دو حالت Success و Failure فعال كنيم :


Audit Account Logon Events
پس از اين كار، تمامي ورود و خروج*هاي سيستم چه از پاي خود آن و چه از طريق شبكه در Event Viewer لاگ مي*شونت كه اگر دقت كنيد كد موارد مربوط به اين گزينه برابر با 680 است.

مثال : فولدر خاصي در سيستم وجود دارد. مي*خواهيم هر كس سعي كرد آن را پاك كند (موفق يا ناموفق) موارد مربوطه لاگ شوند
نكته : اين كار فقط روي درايوهاي NTFS امكان*پذير است.

راه حل : ابتدا در Audit Policy گزينه زير را فعال مي*كنيم

Audit Object Access
سپس به سراغ فولدر مذكور مي*رويم. روي آن كليك راست كرده و به ترتيب زير پيش مي*رويم :


Properties -> Permissions -> Advanced -> Auditing
حال انتخاب مي*كنيم لاگ گيري براي چه كاربراني فعال شود (اگر مي*خواهيم همه كاربران را كنترل كنيم، Everyone را بر مي گزينيم و بعد از آن از ما مي*پرسد كه چه عملي (Copy, Delete,…) مد نظر است.

بلافاصله پس از تاييد، موارد مربوطه در Event Viewer با كد 560 يعني (Object Access) لاگ مي*شوند.

موارد ديگري هم وجود دارد كه مي*توانيد خودتان آنها را بررسي كنيد. مثلا گزينه زير با كد 612 مشخص مي*كند چه كسي سعي كرده است Policy ها را تغيير دهد :

Audit Policy Change Copy
كنترل اينكه چه كسي قصد داشته تغييراتي روي يوزرها (ساخت، حذف، تغيير رمز و ...) بدهد :

Audit Account Management
چه كسي قصد دسترسي و ايجاد تغييرات در Active Directory را داشته است
Audit Directory Service Access

همه این موارد رو حتما تمرین کنید

[th95]

جلسه دوازدهم: 18تیر 89

نکته مهمی که قبلا هم به آن اشاره شد آن است که برای انجام Sharing و استفاده از Share های دیگران باید به ترتیب پروتکل*های Files&Printer Sharing و Clients For Microsoft Networks فعال باشند.
برخی اوقات می*بینیم که در اتصال به یک منبع Share شده خطای Network Path Not Found دریافت می*کنیم. این خطا به سه دلیل می*تواند رخ دهد :

1- فعال نبودن پروتکل Files and Printer Sharing
2- فعال نبودن پروتکل Clients For Microsoft Networks
3- مشکل در پروتکل NetBEUI یا Netbios Over TCP/IP

حال چند نکته :
- در ویندوز 2000 یک مساله امنیتی احمقانه وجود داشت. هنگامی که فولدری را Share می*کردیم مجوز پیش*فرض همه به آن در حد Full بود ولی در نسخه*های بعدی این مجوز برای Everyone به صورت پیش*فرض فقط خواندن یا Read است.
- عمل Sharing فقط در سطح شاخه قابل انجام است نه فایل
- یوزرهای عادی نمی*توانند Share کنند. این توانایی به طور پیش فرض برای Administrator ها و گروه Power Users وجود دارد.
- وقتی روی شاخه کلیک راست کرده و آن را Share می*کنیم از ما یک Share Name می*خواهد. این نام همان نامی است که بقیه در شبکه آن را مشاهده می*کنند (نام اصلی شاخه را نمی*بینند)

مجوزهای کلی موجود برای منابع سه مورد زیر هستند :
1- Read : مشاهده محتویات یک فایل یا شاخه
2- Change : مشاهده و تغییر محتویات فایل*ها و شاخه*ها و حذف کردن آنها
3- Full Control : بسیاری گمان می*کنند این مجوز با Change فرقی ندارد. اما دو فرق اساسی بین آنها وجود دارد. کسی که مجوز Change دارد اولا نمی*تواند مالکیت را عوض کند (Take Ownership) و ثانیا خود نمی*تواند مجوزها را تغییر دهد. در مورد Ownership بعدا صحبت خواهیم کرد. پس Change را به کسی می*دهیم که هر کاری خواست با فایل*ها بکند اما خودش مجوزها را تغییر ندهد و سطوح دسترسی دیگری تعریف نکند.

همانطور که می*دانید این مجوزها را می*توان Allow یا Deny کرد. اگر خواستیم کاربر هیچ دسترسی حتی مشاهده هم نداشته باشد کافیست Read را برای او Deny کنیم.

در ادامه یک مثال ساده مطرح می*کنیم :
شاخه*ای داریم که می*خواهیم همه کاربران آن را ببینند. محمد بتواند آنها را تغییر دهد و حمید هیچ کاری نتواند بکند. مجوزها اینگونه تنظیم می*شوند :


Mohammad: Change: Allow Everyone: Read: Allow
Hamid: Read: Deny

دقت کنید یک اشتباه بزرگ را مرتکب نشوید. برخی می*گویند خوب Read را اصلا برای Hamid تیک نمی*زنیم بنابراین دسترسی خواندن ندارد. اما این اشتباه است. چرا ؟ بله درست است. چون حمید خودش عضو گروه Everyone است و بنابراین مجوز Read را از این گروه می*گیرد (به ارث می*برد). پس حمید حتما باید Deny شود. به عبارت دیگر :

وقتی مجوزی به یک گروه می*دهیم، این مجوز به همه اعضای آن به ارث می*رسد که اصطلاحا آن را خاصیت ارث*بری یا Inheritance گوییم. بنابراین اگر خواستیم کسی از آن گروه را مستثنی کنیم، وی را جداگانه Add کرده و مجوز لازمه را به وی می*دهیم.

حال این مثال را ببینید. دقت کنید. نکته مهمی در آن نهفته است.
در مورد فولدری مجوزها به این صورت تنظیم شده*اند. نتیجه چیست ؟


Mohammad: Read, Change: Allow Everyone: Read: Deny
Admins: Ful Control


شاید در نگاه اول بگویید خوب درست است همه Deny شده*اند اما Mohammad جداگانه دسترسی دارد بنابراین استثناست. اما اشتباه نکنید. در این حالت هیچ کس حتی Admin ها هم به این شاخه دسترسی ندارند چون :

*** در Permission های Share، همیشه Deny بر Allow برتری دارد و بر آن غلبه می*کند. ***

پس مثال بالا را چگونه انجام می*دهیم.
پاسخ ساده است. بعد از Share کردن فولدر، گروه Everyone را کلا از لیست دسترسی*ها پاک می*کنیم. حال Mohammad را Add کرده و دسترسی Change به وی می*دهیم.

حال سوال این است که اگر بخواهیم این مجوزها را در سطح فایل تعیین کنیم چه باید کرد. مثلا سه فایل در یک شاخه داریم اما دسترسی افراد به این سه فایل با هم فرق می*کند.
پاسخ این است که Permission های معمولی Sharing برای انجام این کار کافی نیستند و در اینجا باید به سراغ Security Permission ها برویم. نکته مهم اینکه این دسترسی*ها فقط در درایو*های NTFS قابل انجام هستند.

مجوزهای بخش Security هم بسیار ریزتر و کامل*تر هستند و هم اینکه می*توان از آنها برای فایل*ها هم استفاده کرد. حال به سراغ حل مثال خود می*رویم. گفتیم یک شاخه داریم که داخل آن سه فایل f1,f2,f3 هستند. می*خواهیم کاربران به فایل f2 دسترسی نداشته باشند :

ابتدا شاخه را Share کرده و به Everyone مجوز Change می*دهیم.
در این حالت f2 هم این مجوز را از شاخه به ارث می*برد. بنابراین بایئ کاری کنیم که اولا این وراثت انجام نشود و ثانیا از دسترسی به f2 جلوگیری شود. برای این کار از f2، Properties می*گیریم. به بخش Security و سپس Advenced می*رویم و تیک Inherit From Parents … را برمی*داریم. یعنی وراثت از بین می*رود. سپس در بخش Security برای آن فقط Read و Read, Execute را تیک می*زنیم.

نکته بسیار مهم. اگر بین مجوزهای Sharing و NTFS Security تعارض وجود داشته باشد چه اتفاقی می*افتد. مثلا برای شاخه*ای مجوز به صورت زیر تنظیم شده است.

Security: Read
Sharing: Full Control
برای این شاخه فقط دسترسی خواند وجود خواهد داشت چون :
******* بین Sharing و NTFS Security مجور پایین*تر و محدودتر همیشه اعمال می*شود *****

توصیه می*کنیم حتما خودتان سناریوهایی را تعریف و اجرا کنید تا مبحث مجوزها کاملا برای شما جا بیفتد.
در جلسه بعد مبحث Sharing را با برخی دستورات و تکنیک*های آن را ادامه می*دهیم

[th95]

جلسه سیزدهم : 25 تیر 89

درادامه مبحث Sharing می*خواهیم ببینیم چگونه می*توان دسترسی به یک شاخه به اشتراک گذاشته شده را راحت*تر کرد. می*خواهیم این کار را با تخصیص یک درایو به آن انجام دهیم. در واقع قصد داریم یک Share را Map کنیم و یک Map Drive بسازیم که در واقع یک Shortcut یا درایو مجازی است که برای یک Share روی سیستم خود می*سازیم.. مثلا می*خواهیم آدرس

\\myshare\pc1

را به عنوان درایو :x ببینیم. برای این کار می*توانیم روی آن Share کلیک راست کرده و Map Network Drive را انتخاب کنیم یا همین گزینه را از طریق گزینه Tools و سپس دادن آدرس شاخه Share برگزینیم.

یک گزینه مهم در اینجا Reconnect at logon است. اگر این تیک را بزنیم درایو مجازی ما پس از log off و حتی Reset هم باز با شروع ویندوز برقرار می*گردد.
حال ببینیم چطور می*توان این کار را از طریق خط فرمان انجام داد. برای این کار از دستور Net و سوییچ Use در آن استفاده می*کنیم. قالب کلی به این صورت است :

net use driveletter: \\shareaddress /persistent:yes/no

سوییچ Persistent همان کار تیک گزینه Reconnect at logon را انجام می*دهد. مثلا می*خواهیم شاخه share شده با نام Ganji در PC100 را به نام درایو w در سیستم خود قرار دهیم. دستور خط فرمانی آن بدین صورت است :

net use w: \\pc100\ganji /persistent:yes

حال یک تمرین قشنگ و کاربردی :
فرض کنید برنامه*ای نیاز دارد که درایوی به آن نسبت داده شود تا اجرا گردد. می*خواهیم این مورد را برای همه کاربران به صورت اتوماتیک فعال کنیم. چه باید کرد ؟ اگر چواب بدهید معلوم است هم این درس و هم بحث Group Policy را به دقت فهیمده و درک کرده*اید.

و اما پاسخ :
برای این کار از یک فایل bat استفاده می*کنیم و دستور زیر را در آن می*نویسیم :

net user z: \\server\test /persistent:yes

حال برای اینکه این فایل برای همه کاربران در ابتدای شروع ویندوز اجرا شود آن را در Group Policy در بخش logon scripts قرار می*دهیم.

اما صبر کنید. اینجا یک مشکل وجود دارد. هم در این مثال و هم در مثال*های قبلی فرض ما بر این بود که شما به سیستم مورد نظر دسترسی دارید و یا قبل از اجرای دستور در خط فرمان به آن وصل شده*اید و یوزر و پسورد را وارد کرده*اید. اما در مورد

این مثال چطور ؟
راه حل ساده است. در همان دستور Net use می*توانید یوزر و پسورد دسترسی به رایانه مقصد را وارد کنید. این کار به شکل زیر انجام می*شود :

net use driveletter: \\shareaddress /persistent:yes/no /user:username /password password

ضمنا برای حذف Share در خط فرمان از همین دستور با سوییچ /delete استفاده می*کنیم یا از Tools و سپس Disconnect network drive استفاده می*کنیم.



شیرهای مخفی
حال به یکی از نکات مهم، جالب و کاربردی در Sharing می*پردازیم. فرض کنید می*خواهیم شاخه*ای را برای دوستمان در شبکه Share کنیم اما کس دیگری با وصل شدن به سیستم ما آن را نبیند و فقط دوستمان با یک اسم رمزی و مخفی که بین خودمان معلوم است قادر به اتصال به آن باشد. روش کار بسیار ساده است. در واقع باید از مفهوم Hidden Share استفاده کنیم. برای این کار هنگام Share کردن، در انتهای نامی که وارد می*کنیم (که می*تواند اسم خود شاخه یا هز چیز دیگر باشد) یک علامت $ می*گذاریم. بنابراین دیگران با وصل شدن به سیستم ما این شاخه را نمی*بینند مگر کسی که آدرس دقیق این Share name را به همراه $ در انتهای آن وارد کند.

ضمنا در ویندوز سرور روشی وجود دارد که افراد فقط شیرهایی را میتوانند ببینند که به آن دسترسی داشته باشند. یادم بیندازید در ویندوز سرور آن را مطرح کنم


در ادامه به مبحث مهم Share های سیستمی می*پردازیم.
تمام درایوهای یک سیستم و شاخه ویندوز در هنگام بالا آمدن به صورت اتوماتیک Share می*شوند البته مخفی. یعنی شما با وارد کردن نام یا IP یک سیستم در شبکه و در ادامه آن نوشتن C$ می*توانید به درایو C وی دسترسی پیدا کنید البته به شرطی که پسورد یک یوزر Admin روی آن سیستم را داشته باشید. ضمنا Admin$ هم به شاخه ویندوز نصب شده روی سیستم اشاره می*کند. می*توان پس از بالا آمدن سیستم این Share ها را Stop کرد. این کار را با کلیک راست روی My Computer و زدن Manage ، رفتن به Shared Folders و کلیک راست روی نام درایوها و زدن Stop Sharing انجام داد.

البته پس از شروع مجدد ویندوز باز هم این Share ها برقرار می*شوند. برای اینکه این اتفاق پس از Reset هم نیفتد باید تغییری در رجیستری بدهید. این را به عنوان یک تمرین دنبال کنید و اگر نتیجه را پیدا کردید بنویسید تا بقیه هم استفاده کنند.

در جلسه بعد به مبحث بسیار مهم Share کردن اینترنت در شبکه می*پردازیم.

البته من با اجازتون نزدیک به ده روز نیستم و احتمالا به سایت هم نمیتونم سر بزنم ! بعد از اون در خدمتتون خواهم بود

[th95]

جلسه چهاردهم: 5 مرداد 89

اول یک نکته را که گمان میکنم در مورد Share ها یادم رفت خدمتتون عرض کنم. یک سری Share ها وجود دارند به نام Share های سیستمی یا مدیریتی (Administrative Share) که درایوهای سیستم و Admin$ و IPC$ هستند. این موارد به صورت پیش فرض Share هستند با دسترسی Full اما دسترسی به آنها فقط با یوزرهای عضو گروه Administrators امکان پذیر است. ضمنا علامت $ هم مشخص می*کند که این Share ها از نوع مخفی هستند. برای مثال، دسترسی به درایو C یک سیستم با آدرس 192.168.1.1 به صورت زیر ممکن است:
\\192.168.1.1\c$

این Share ها را اگر متوقف هم بکنید باز در ریست بعدی، اتوماتیک Share می*شوند. برای از کار انداختن کلی آنها (که در بسیاری از موارد توصیه هم می*شود) باید از رجیستری استفاده کنید.

حالا سه تا جوانمرد (یا شیرزن) می*خوام که این سه تا مورد رو بررسی کنند و جواب رو برای بقیه هم بذارن
1- تنظیم این قضیه در رجیستری به چه گونه است ؟
2- این Share های سیستمی (غیر از درایوها) یعنی Admin$ و IPC$ به چه درد میخورند ؟
3- برداشتن این Share ها آیا مشکلی ایجاد میکند ؟ اگر بله چه مشکلی ؟

خوب از Sharing فایلها رد بشویم و برویم سراغ مبحث Share کردن اینترنت در شبکه.
این کار در حالت کلی و مفهومی از سه طریق امکان*پذیر است. دقت کنید عرض کردم کلی و مفهومی، پس کاری به انواع و اقسام نرم افزارها و سخت افزارها و متدهای اصلی و فرعی ندارم. این دسته*بندی بیشتر به نحوه کار و نوع عملکرد و امکانات هر روش بستگی دارد.

1- در ساده*ترین حالت، این کار به وسیله سرویس Internet Connection Sharing یا ICS امکان*پذیر است. به این چند نکته در خصوص این سرویس توجه کنید:

- سرویس ICS در ویندوز 2000، ایکس پی و 2003 ذاتا وجود دارد و کار میکند و احتیاجی به نصب آن نیست.
- برای شبکه*های کوچک با حدود 20 رایانه از آن استفاده می*شود (یک کافی نت کوچک)
- با سرویس DHCP در شبکه تعارض (Conflict) دارد. علت آن را کمی جلوتر می*فهمیم.
- رایانه*ها فقط در یک رنج آدرس می*توانند باشند که عبارت است از : 192.168.0.x (به جای x عددی از 2 تا 254 قرار می*گیرد)
- آدرس سروری که اینترنت را به اشتراک می*گذارد باید 192.168.0.1 باشد. (همان سرور ICS)


2- سرویس ترجمۀ آدرس شبکه یا Network Translation Address (NAT)
به نکات زیر در مورد این سرویس توجه کنید.
در ویندوزهای سرور وجود دارد (ویندوز ایکس پی فقط میتواند کلاینت آن باشد)
در شبکه*های نسبتا بزرگ استفاده می*شود.
محدود به یک طیف IP خاص نیست
یا DHCP Server مشکلی ندارد.
ایرادش این است که از نظر Firewall و Proxy و ... قوی نیست. مثلا نمی*تواند دسترسی به یک سایت خاص، جلوگیری از دانلود شدن فایلهایی با نوع خاص، محدود کردن ساعات دسترسی و ... را انجام دهد.

3- استفاده از برنامه*هایی که شاید تا حدودی شبیه به سرویس NAT هم هستند اما خوب بهرحال بعضی کانکشن*ها و سرویس*های خاص خود را دارند مانند ISA، Proxy+، . در این حالت شرایط زیر را خواهید داشت.
- همه مزایای NAT
- دارای firewall و proxy قوی
- این برنامه*ها اکثرا روی ویندوزهای سرور نصب می*شوند. البته برنامه*های زیادی هم وجود دارند که همین کارها را با استفاده از ویندوز xp انجام می*دهند که چندان معروف و اثربخش نیستند.

شاید یک نوع چهارمی هم بشود در نظر گرفت که استفاده از سخت افزاهایی مثل روتر (میکروتیک، سیسکو و ..) باشد اما نحوه عملکردی آن چندان تفاوتی با گزینه*های 3 و 2 ندارد. بهرحال در این مورد منتظر نظرات اساتید هستم.

پیاده*سازی ICS در شبکه :
برای پیاده*سازی این سرویس در شبکه و به اشتراک گذاشتن اینترنت، نیاز به یک رایانه دارید که باید در نقش سرور ICS عمل کند. البته ذکر شد که سیستم عامل این رایانه می*تواند ویندوز XP هم باشد.
این رایانه باید دو کارت شبکه داشته باشد. یکی برای ارتباط با شبکه داخلی و دیگری برای اتصال به اینترنت.
فقط حواستان باشد منظور این نیست که دقیقا دو کارت شبکه داشته باشیم. منظور دو ارتباط است. برای مثال ممکن است ارتباط شما با اینترنت از طریق یک مودم ADSL باشد و یا به صورت بی*سیم و .... بهرحال، دقت کنید. منظور این است که دو ارتباط در دو سمت وجود داشته باشد. به شکل زیر که با بدبختی کشیده*ام دقت کنید.



خوب بهتر است مراحل انجام کار را هم بررسی کنیم.
1- ابتدا آدرسهای Public و Private را تنظیم می*کنیم. (مثلا گرفتن اینترنت از مودم ADSL و ضمنا دیدن یک سیستم در شبکه داخلی از طریق کارت شبکه مخصوص به این شبکه).
2- وجود اینترنت روی خود سرور ICS را چک می*کنیم.
3- دقت می*کنیم IP داخلی (Private) سرور حتما برابر 192.168.0.1 باشد.
4- از کارت شبکه Public ( یا کانکشن ADSL یا Dialup– هر چیزی که اینترنت را برای ما فراهم می*کند) Properties گرفته و در برگه Advanced تیک زیر را می*زنیم :

Allow Other Network Users to Connect Through This Computer Internet conncetion
5- کلاینتها یا باید آدرس خود را به صورت دستی در محدوده 192.168.0.2 تا 192.168.0.254 تنظیم کنند. یا آن را روی حالت اتوماتیک بگذارند و مطمئن شوند که رایانه توانسته است یک آدرس از رنج مذکور بگیرد. (این همان دلیل تعارض این سرویس با DHCP است. می*بینید که این سرویس یک mini DHCP در خود دارد که از رنج مذکور به سیستم*ها آدرس می*دهد.) البته حتما یادتان باشد در هر صورت آدرس Default Gateway و DNS کلاینتها را برابر 192.168.0.1 قرار دهید.

حال اگر سرور اینترنت داشته باشد کلاینت*ها هم خواهند داشت. یک تیک دیگر در کانکشن اینترنت سرور وجود دارد که می*گوید :

Establish A Dialup Connection …

با زدن این تیک، کلاینتها هم قابلیت برقراری ارتباط را خواهند داشت. یعنی وقتی کانکشن برقرار نیست (روی سرور) و کلاینت یک صفحه اینترنتی را باز می*کند، کانکشن روی سرور به صورت خودکار شماره*گیری و وصل می*شود.

برای رفع ایراد سرویس ICS به نکات زیر توجه کنید:

- آیا روی خود سرور اینترنت دارید ؟
- آیا در شبکه DHCP وجود دارد ؟
- آیا رنج Private درست آدرس*دهی شده است ؟
- آیا آدرس شبکه داخلی سرور برابر 192.168.0.1 است ؟
- و یک نکته بسیار مهم اینکه سرویس ICS و فایروال ویندوز هر دو یکی هستند (Windows Firewall / ICS) که حتما باید استارت شده باشند. (این امر را از طریق دستور services.msc چک کنید)

به نظرم این مطلب مهم است و باید حتما آن را پیاده*سازی کنید. پس تا همین جا را داشته باشید و آن را تمرین کنید تا جلسه بعد.

راستی باز هم معذرت بابت تاخیر پیش اومده
باور کنید واقعا گرفتارم
موفق باشید