webhostgratis

در این مقاله به شما مفهوم Universal Group و Group Nesting را توضیح میدهم ، در مقاله های قبلی به شما مفاهیم استفاده از گروه ها برای مدیریت منابع شبکه و همچنین تعیین سطوح دسترسی در شبکه به کاربران را توضیح دادیم . در ادامه به شما توضیحاتی در خصوص انواع گروه هایی که میتوان در اکتیودایرکتوری ویندوز سرور 2003 و 2008 را داشت دادیم و محدودیت ها و قابلیت های هر کدام را بررسی کردیم . در مقاله قبلی در خصوص Local Group ها ، Domain Local Group ها و Global Group ها صحبت کردیم . شما براحتی با داشتن این گروه های میتوانید شبکه خود را به درستی مدیریت کنید . اما علاوه بر این نوع گروه ها ، گروه دیگری به نام Universal Group وجود دارد که در ویندوز های سرور و ساختار اکتیودایرکتوری وجود دارد که در این مقاله به بررسی آن خواهیم پرداخت .

برای اونهایی که مفاهیم Local Group و Domain Local Group و Global Group کمی مبهم است و یا اینکه محدودیت هایی در این گروه ها وجود دارد که باعث عدم رضایت شما از این نوع گروه ها می شود ، Universal Group پاسخ مناسبی برای شما خواهد بود . Universal Group ها در حقیقت گروه هایی هستند که هیچگونه محدودیتی مانند محدودیت های گفته شده برای سایر گروه ها را در خود ندارند . برای مثال در مقاله قبلی به شما گفتیم که شما نمیتوانید یک Local Group و یا یک Domain Local Group را در یک Local Group قرار بدهید و عضو کنید . اما شما براحتی میتوانید یک Universal Group را به عضویت یک Local Group در بیاورید . قوانینی که برای سایر گروه ها وجود دارند در Universal Group وجود ندارد . اما همینجا یک سئوال برای ما پیش می آید که اگر Universal Group ها اینقدر ساده مشکلات ما را حل می کنند پس چه نیازی به استفاده از گروه های دیگر در اکتیودایرکتوری وجود دارد ؟

یکی از دلایلی که در ویندوز سرور 2003 و 2008 انواع گروه ها را داریم این است که این محصول انقلابی در صنعت نرم افزار بود و یک محصول انقلابی محسوب میشود . Universal Group ها در ویندوز سرور 2000 معرفی شدند و با بوجود آمدن اکتیودایرکتوری خود را مطرح کردند. نسخه های قبلی ویندوز که با عنوان ویندوز NT معرفی میشدند ساختار گروه یا Group را پشتیبانی میکردند اما چیزی به عنوان Universal Group در آنها وجود نداشت . وقتی مایکروساتف ویندوز سرور 2000 را ارائه کرد به دلیل اینکه بایستی از محصولات قبلی خود نیز پشتیبانی میکرد ساختار گروه های سابق موجود را حفظ کرد که به اصطلاح میگویند مایکروسافت همیشه Backward Compatibility را رعایت میکند . در همین راستا ویندوز سرور 2003 نیز از تمامی انواع گروه ها حمایت میکند و همچنین این روند در ویندوز سرور 2008 نیز ادامه دارد .

تمامی این موارد بر میگردد به زمانی که از ویندوز NT استفاده میشد که دیگر ساختاری به نام Universal Group را پشتیبانی نمیکرد و این نکته را شما نیز بایدستی رعایت کنید ، اگر در شبکه شما ویندوز NT همچنان مشغول به فعالیت هست ، برای اینکه بتوانید با آن ارتباط برقرار کنید میبایست از نوع گروه هایی استفاده کنید که از آن پشتیبانی میکند و اگر در این حالت از Universal Group استفاده کنید طبیعتا نمیتوانید با آن ارتباط برقرار کنید . در ویندوز سرور 2000 که میتوان گفت یک تغییر دراماتیک در تولید محصولات سرور نسبت به ویندوز NT سرور محسوب میشد امکانات جدید بسیری اضافه شده بود که در تنها در صورتی قابل استفاده بودند که سایر سرور های دامین کنترلر نیز ویندوز 2000 بودند و اگر دامین کنترلر های دیگر از نوع NT بودند نمیتوانستیم از بسیاری از این امکانات استفاده کنیم . برای حل این موضوع که ویندوز های سرور 2000 که در نقش دامین کنترلر هستند و نمیتوانستند با ویندوز های NT سرور که در نقش دامین کنترلر هستند ارتباط برقرار کنند مایکروسافت مفهومی به عنوان Native Mode را ارائه کرد .من در مورد Native Mode در قسمت 17 بیشتر صحبت خواهم کرد اما اگر بخواهم در ساده ترین حالت ممکن برایتان مثال بزنم باید بگویم که شما وقتی ویندوز سرور 2000 را نصب میکند این سیستم عامل در حالت Mixed Mode شروع به فعالیت میکند . حالت Mixed Mode حالتی است که با ویندوز NT و ویندوز های قبلی که در نقش دامین کنترلر هستند بدون هیچ مشکلی ارتباط برقرار میکند اما بسیاری از امکانات زیبایی که به ویندوز سرور 2000 اضافه شده بود در این حالت غیرفعال خواهند شد و برای حل این موضوع شما میبایست ویندوز سرور 2000 را به حالت Native Mode تبدیل کنید . همین مفهوم با چند تغییر در تکنولوژی های بکار رفته در ویندوز سرور 2003 و 2008 و 2008 R2 نیز وجود دارد .

Universal Group ها از همان امکاناتی هستند که صرفا در دامین کنترلر هایی موجود میباشد که در حالت Native Mode و یا بالاتر فعالیت میکنند . این همان دلیلی است که در برخی اوقات شما در ویندوز سرور 2000 و 2003 Universal Group ها را مشاهده نمیکنید . حتی اگر تمامی دامین کنترلر های شما هم ویندوز سرور 2003 باشند و ساختار Forest بصورت کلی در حالت Native قرار داشته باشد هم باز مشکلاتی ممکن است در ایجاد کردن Universal Group ها بوجود بیاید . قبلا در همین سری از مقالات در خصوص مفهوم Global Catalog Server توضیحاتی دادم . برای یاد آوری هم که شده باید بگویک که Global Catalog Server ها دامین کنترلر هایی هستند که وظیفه نگهداری کلیه اتفاقات و رویداد های مربوط به هر شیء در ساختار Forest را بر عهده دارند . هر Site در اکتیودایرکتوری برای خود یک کپی از Global Catalog نگهداری میکند و به محض اینکه اطلاعات این Global Catalog Server بروز رسانی شد این اطلاعات میبایست به سرور های دیگر منتقل شده و به اصطلاح Replicate شوند .

زمانی که شما یک Universal Group ایجاد میکنید اسم گروه و همچنین لیست عضویت های گروه بلافاصله درون Global Catalog نوشته میشوند . این بدین معناست که اگر شما عضویت های خود را بیشتر و بیشتر کنید در نتیجه حجم اطلاعات نیز در درون Global Catalog سرور زیاد می شود . هنگامی که حجم Global Catalog Server بالا رفت زمانی که نیاز هست که سرور های دارای Global Catalog اطلاعات خود را یکسان سازی کنند به دلیلی حجم زیاد اطلاعات زیاد خواهد شد . اگر این موارد کنترل نشود ممکن است شبکه دچار مشکل افت کیفیت شود . جالب اینجاست بدانید که گروه های دیگر اینقدر بار ترافیکی زیاد برای Global Catalog Server ایجاد نمیکنند .برای مثال Global Group ها هم در Global Catalog لیست میشوند اما لیست عضویت های آنها در Global Catalog ذخیره نمیشود .بنابراین مایکروسافت همیشه پیشنهاد میکند که از Universal Group ها همیشه زمانی استفاده کنید که میدانید برای ترافیک شبکه شما چندان مشکلی پیش نخواهد آمد و ترافیک شبکه شما اجازه استفاده از این گروه ها را میدهد .

مفهوم Group Nesting

دلایل زیادی وجود دارد که گروه ها درون یکدیگر قرار بدهیم . با قرار دادن یک گروه محدود در یک گروه با سطح دسترسی بالاتر ، سطح دسترسی گروه بالاتر به گروه کوچکتر هم خواهد رسید و بنابراین گروه محدود دیگر محدود نخواهد بود . برای مثال شما در شرکتی کار میکنید که برای هر قسمت آن یک گروه تعریف کرده اید . برای مثال شما گروه های Human Resource ، IT و Managers را ایجاد کرده اید ، شما براحتی کاربرانی را که میخواهید سطح دسترسی متناظر با قسمتی که برایشان تعیین شده است را داشته باشند به درون گروه مورد نظر قرار میدهید .

مرحله بعد ایجاد گروه های جدید و عضو کردن گروه های ایجاد شده در آنها برای دسترسی به منابع است . فرض کنید که در اینجا ما میدانیم که پرسنل قسمت منابع انسانی که گروه Human Resource برای آنها ایجاد شده است همگی نیاز به دسترسی به یک نرم افزار مالی دارند که در قسمت مالی سازمان قرار دارد ، در اینجا شما کافیست یک گروه برای آن نرم افزار مالی به نام Application یا هر اسمی که میخواهید ایجاد کرده و گروه Human Resource را به درون آن قرار دهید ، با اینکار همه اعضای گروه Human Resource میتوانند به منابع نرم افزار مالی دسترسی داشته باشند و نیازی نیست که تک تک افراد را به این گروه اضافه کنیم . شما همیشه نیازی نیست که اینکار را بکنید اما اینکار به نظمر بیشتر شبکه شما کمک بیشتری میکند و اینکار کار شما را به عنوان مدیر شبکه نیز بسیار ساده تر میکند . به خاطر داشته باشید که هر گروهی نمیتواند در هر گروه دیگری قرار بگیرد یا به زبان فنی تر هر گروهی نمیتواند Nest شود . جدول زیر به شما روش و اینکه هر گروهی میتواند در چه گروه هایی قرار بگیرد را نشان میدهد :

جدول عضویت در گروه های اکتیودایرکتوری


نکات مهم : در سیستم عامل ویندوز سرور 2000 و در حالت mixed mode شما این محدودیت ها را دارید :

    Universal Group ها نمیتوانند در این حالت ایجاد شوند
    Domain Local Group ها فقط میتوانند Global Group ها به عضویت بگیرند .
    Global Group ها نمیتوانند سایر گروه ها را در خود عضو کنند .

در این مقاله به شما انواع گروه های امنیتی ویندوز یا بهتر بگوییم Security Groups را بررسی خواهیم کرد . در مقاله قبلی به شما آموزش دادیم که چگونه در ویندوز سرور 2003 و 2008 Security Group را ایجاد کنید . حتما دیده اید که ویندوز به شما اجازه ساختن گروه های مختلفی را میدهد که انواع آن را میتوانید مشاهده کنید . همانطوری که حدس زدید هر کدام از این گروه های قابلیت های خاصی برای خود دارند . در این مقاله به شما قابلیت های مختلف این گروه ها و انواع آنها را به شما معرفی خواهم کرد .

گروه های امنیتی در اکتیودایرکتوری 1

همانطوری که در شکل بالا مشاهده میکنید محدوده ای که گروه ها میتواند در آن ایجاد شوند به Domain Local ، Global و Universal طبقه بندی می شوند . اما یادتان باشد که گروه چهارمی هم وجود دارد که در اینجا عنوان نشده است و آن گروه محلی یا Local Group است .

گروه های محلی یا Local Groups
گروه های محلی ، گروه هایی هستند که بر روی هر کامپیوتر بصورت خاص وجود دارند و طبیعتا شما به اندازه تعداد کامپیوتر های خود در شبکه دارای گروه های محلی هستید . همانطوری که در مقالات قبلی نیز اشاره کردیم هر کامپیوتر برای خود یک سری حسابهای کاربری یا User Account دارد که با کاربران دامین یا Domain Users کاملا متفاوت بوده و صرفا بر روی همان کامپیوتر معتبر هستند . به این نوع حساب های کاربری Local User Account هم گفته می شود یعنی محدوده فعالیت آنها صرفا همان کامپیوتری است که بر روی آن ایجاد شده اند و صرفا از طریق همان کامپیوتر قابل دسترسی هستند . همچنین به خاطر داشته باشید که Local Users صرفا بر روی Member Server ها و Workstation ها وجود دارند و شما به هیچ عنوان بر روی Domain Controller خود چیزی با عنوان Local User را نخواهید دید .

خوب همین مفهوم در خصوص Local Groups نیز صادق است ، یعنی این گروه های صرفا بر روی Member Server ها و Workstation ها وجود دارند و حوزه فعالیت آنها همان کامپیوتری است که بر روی آن ایجاد شده اند . یک Local Group میتواند یک سری Local User را نیز در محدوده خود داشته و آنها را مدیریت کند . برای مثال گروه Local Administrators برای این ایجاد شده است که اگر بخواهیم به کاربری دسترسی مدیریتی به سیستم را بدهیم کافیست او را در این گروه عضو کنیم و بعد از این ، این کاربر بر روی این کامپیوتر به صورت محلی مدیر خواهد بود .

همچنین به یاد داشته باشید که Local Group ها صرفا میتوانند برای تعیین سطوح دسترسی منابع موجود بر روی همان کامپیوتر استفاده شوند ، اما این به این معنا نیست که این گروه های نمی توانند از گروه های دیگر موجود در شبکه عضویت داشته باشند و کاربران دامین نمیتوانند در آنها عضو شوند . یک Local Group رد عین حالی که میتواند کاربران محلی یا Local Users را در عضویت خود داشته باشد میتواند کاربران دامین را نیز در عضویت داشته باشد . Local Group ها همچنین میتوانند Domain Group های موجود در دامین شبکه خود را نیز به عضویت خود در بیاورند . برای مثال شما میتوانید در اکتیودایرکتوری یک Universal Group ایجاد کنید و آنرا به عضویت یک Local Group بر روی یکی از سرورهای عضو شبکه قرار دهید . پس بصورت کلی Local Group ها میتوانند Local Users ، Domain Users ، Domain Local Groups ، Global Group و Universal Group را در خود عضو کنند .

اما دو نکته مهم در اینجا وجود دارد که بایستی به آنها توجه کنید ، نکته اول این است که یک Local Group نمیتواند یک Local Group دیگر را در عضویت خود داشته باشد . شاید با خود فکر کنید که براحتی یک گروه را Drag و Drop میکنیم و به عضویت همدیگر در می آوریم ، اما واقعا به این شکل نیست . یکی از کارکنان مایکروسافت به من گفت که این موضع به دلیل این است که نمیخواهیم بصورت تصادفی Local Group ای عضو Local Group دیگر بشود . نکته بعدی که بایستی به آن توجه کنید این است که Local Group ها تنها در صورتی می توانند Domain Users و Domain Groups را در عضویت خود داشته باشند که خودشان عضو این دامین باشند و در غیر اینصورت فقط میتوانند Local Users را در عضویت خود داشته باشند .

Domain Local Groups در اکتیودایرکتوری
با توجه به مفهومی که از Local Groups متوجه شدید ممکن است مفهوم Domain Local Group کمی برایتان تناقض ایجاد کند . دلیل وجود گروه های Domain Local این است که Domain Controller ها نمیتوانند پایگاه داده محلی یا Local Database داشته باشند اما در همین حین Domain Controller ها دارای منابعی هستند که می بایست آنها در مدیریت کنند و این همانجایی است که Domain Local Groups وارد کار می شود . وقتی ویندوز سرور 2003 یا 2008 را نصب میکنید ، آن ماشین یا به عنوان یک Standalone Server و یا به عنوان یک Member Server شروع به فعالیت میکند ، در هنگام نصب این سیستم عامل ها Local Users ها و Local Group ها نیز ایجاد خواهند شد . حال فرض کنید که قرار است همین کامپیوتر در نقش Domain Controller مشغول به فعالیت شود !! شما با استفاده از اجرای دستور DCPROMO از طریق Run اینکار را انجام خواهید داد ، در همین زمان Local Users و Local Groups به Domain Local Groups و Domain Local Users تبدیل خواهند شد .

این مسئله خیلی مهم است که بدانید تمامی Domain Controller های موجود در یک شبکه از یک پایگاه داده مشترک و یکسان استفاده می کنند که کاربران و گروه های آن یکی هستند . این بدین معناست که اگر شما بر روی یکی از Domain Local Group ها کاربری را اضافه کنید کاربر به عضویت تمامی Domain Local Group هایی در خواهد آمد که بر روی Domain Controller های شبکه وجود دارند . مهمترین نکاتی که بایستی در خصوص Domain Local Groups بدانید این است که اولا همانطوری که گفته شد پس از اجرای دستور DCPROMO تمامی Local Group ها تبدیل به Domain Local Group خواهند شد و تمامی Domain Local Group هایی که ساخته می شوند در پوشه Built-In در کنسول Active Directory Users and Computers مطابق شکل ب قرار میگیرند .

گروه های امنیتی در اکتیودایرکتوری 2

دلیل اینکه گفتیم این نکته مهم است این است که ما در خصوص استفاده از Domain Local Group ها دارای محدودیت هایی هستیم ، این گروه ها نه میتوانند حرکت داده شوند و نه می توانند حذف شوند . همچنین شما نمیتوانید یک Domain Local Group را به عضویت یک Domain Local Group دیگر در بیاورید . اما این محدودیت ها برای Domain Local Group هایی که شما ایجاد میکنید وجود ندارد و شما براحتی میتوانید Domain Local Group هایی را که خودتان ایجاد کرده اید را جابجا و یا به عضویت سایر Domain Local Group ها در بیاورید ، این گروه های در پوشه Users در کنسول Active Directory Users and Computers قرار میگیرند .

اگر بخواهم با شما رک حرف بزنم باید بگویم که در طول دوران کاریم با ویندوز سرور 2003 و 2008 هیچوقت از Domain Local Group ها استفاده نکرده ام و هیچوقت دلیل خاصی نیز برای ایجاد کردن این نوع گروه ها بدست نیاورده ام . در اصل یک تعبیر برای این قضه دارم که Domain Local Group ها همان Global Group ها در دامین محسوب می شوند مگر اینکه فقط به یک دامین خاص تعلق داشته باشد.

Global Group در اکتیودایرکتوری
Global Group ها را میتوان به عنوان گروهی که بیشترین استفاده را در ساختار دامین دارد معرفی کرد . در بیشتر مواقع یک Global Group در نقش یک مجموعه از کاربران اکتیودایرکتوری کار میکند . نکته جالب در خصوص Global Group ها این است که آنها می توانند در همدیگر عضو شوند . شما میتوانید یک Global Group را به عضویت یک Global Group دیگر در بیاورید و این میتواند در حالی باشد که هر دوی این گروه ها در یک دامین قرار دارند . در نظر داشته باشید که Global Group ها فقط می توانند منابع اکتیودایرکتوری را در خود داشته باشند . شما نمیتوانید یک Local User و یا یک Local Group را در یک Global Group عضو کنید . اما بر عکس این ، شما میتوانید یک Global Group را به عضویت یک Local Group در بیاورید و این یکی از روش های معمول برا ایجاد دسترسی به منابع Local سیستم های موجود در شبکه محسوب می شود . برای مثال فرض کنید که شما برای مدیران قسمت های مختلف می خواهید دسترسی مدیریتی به سیستم خودشان را بدهید ( هرچند که هیچوقت اینکار را نباید انجام بدهید و این فقط یک مثال است ) . برای اینکار یک Global Group در اکتیودایرکتوری ایجاد میکنیم و نام آنرا Managers یا مدیران قرار میدهیم و تمامی کاربران مدیر را در این گروه قرار میدهیم ، سپس این گروه را در گروه Local Administrators کامپیوترهای خودشان قرار میدهیم و این باعث میشود که این کاربران بر روی سیستم های خودشان دسترسی مدیریتی داشته باشند .

در این مقاله از سری مقالات مبانی شبکه شما را با مفهوم گروه های امنیتی یا Security Groups آشنا می کنم . در قسمت های قبلی از این سری مقالات به شما آموزش دادیم که چگونه با استفاده از کنسول Active Directory Users and Computers حسابهای کاربری را ایجاد و مدیریت کنید . در این مقاله در خصوص مبحث گروه ها در اکتیودایرکتوری صحبت خواهیم کرد . در محیط دامین وجود حسابهای کاربری بسیار ضروری و حیاتی است ، در حقیقت هر کاربر یک شناسه منحصر به فرد در شبکه شما محسوب می شود و این بدین معناست که شما میتوانید تمامی فعالیت های یک کاربر را در سطح شبکه پیگیری و شناسایی کنید . همچنین شما میتوانید برای هر کاربر سطوح دسترسی مناسبی جهت دسترسی به سرویس ایمیل و یا سرویس های دیگر مورد نیاز نیز تعریف کنید و تمامی آنها را در یک جا مدیریت و نگهداری کنید .

گروه در اکتیودایرکتوری


ممکن است که تعریف سطوح دسترسی برای هر کاربر کاری بسیار خوب به نظر برسد اما همیشه و در همه شرایط قابل پیاده سازی نیست . ایجاد و نگهداری کاربران کار بسیار زمانگیری برای شما محسوب می شود . تصور کنید در سازمانی هستید که هزاران کاربر دارد و شما مجبور هستید تنظیمات خود را برای هر یک از این کاربران بصورت جداگانه ایجاد کنید ، بطور یقین اینکار بسیار زمانگیر خواهد و دشوار خواهد بود . ایده من این است که حتی اگر شبکه کوچکی را مدیریت میکنید ، طوری آنرا مدیریت کنید که انگار یک شبکه بزرگ را مدیریت میکنید . دلیل اینکار این هست که همیشه شبکه های در حال بزرگتر شدن و گسترش پیدا کردن هستند و بنابراین شبکه کوچک شما نیز به زودی ممکن است تبدیل به یک شبکه بسیار بزرگ شود . استفاده از روش های مدیریتی درست و پیشبینی آینده می تواند شما را در مدیریت این شبکه بزرگ که ممکن است بعد ها کابوس شبانه شما شود بسیار کمک کند .

در تجربه ای که در شبکه سازمان ها و نهاد های مختلف در کشور داشته ام ، یقین دارم که دنیای فناوری اطلاعات دنیایی است که همه روزه در حال پیشرفت و به روز رسانی است و شما نیز از این قضیه استثناء نیستید ، بایستی با عمل روز جلو بروید و دنیای واقعی کار را تجربه کنید . سالها پیش در یک سازمانی که مرتبط با تامین اجتماعی بود در زمینه شبکه فعالیت میکردم ، شبکه این سازمان در ابتدا بسیار کوچک بود . شاید حداکثر 50 عدد سیستم در این شبکه وجود داشت ، خانمی که در آنجا به عنوان مدیر شبکه فعالیت میکرد شبکه را طوری طراحی کرده بود که صرفا همدیگر را ببینند و هیچگونه مدیریتی بر روی این شبکه وجود نداشت ، این خانم نه تنها دانش لازم را برای مدیریت این شبکه نداشت بلکه علاقه ای به نظم دادن به این فرآیند نیز از خود نشان نمی داد . در این شبکه هر کاربر مدیر سیستم خود بود و امنیت هر کامپیوتر بر اساس میزان دانشی بود که هر کاربر در خصوص کامپیوتر دارد .

البته در آن زمان نیاز چندانی نیز به مدیریت این سیستم وجود نداشت جون تعداد کاربران زیاد نبود و نیازی هم به اینکار احساس نمی شد . مدیریت کاربران و سطوح دسترسی بسیار ساده و راحت انجام می شد . بعد از گذشت تقریبا دو سال از ماجرا در حدود 200 عدد کامپیوتر به شبکه این سازمان اضافه شد و دیگر نمیتوانستیم بگوییم شبکه کوچک است . بعد از گذشت تنها 4 سال بیش از هزار کامپیوتر در این شبکه وجود داشت !!!!

خوب تصور کنید که در چنین شبکه ای قرار گرفتین ، میبینید که چقدر راحت تبدیل به یک کابوس شبانه شد ؟ ممکن است برخی از این مکشلاتی که در اثر بزرگ شدن شبکه به وجود می آیند بر اثر مشکلات سخت افزاری باشند اما بیشترین مشکل در خصوص عدم توانایی لازم در مدیریت کاربران این شبکه بوجود خواهد آمد . تصور کنید که در این شبکه که هزاران کاربر دارد حتی برای تعریف دسترسی برای کاربران یک قسمت بایستی همه آنها را تک تک مدیریت و تعیین دسترسی کنید . !!!! فاجعست !!! گسترده شدن هر چه بیشتر شبکه شما در صورتیکه نقشه مشخصی برای مدیریت کاربران خود نداشته باشید به معنای واقعی خانمان بر انداز است !!!! نمی گویم تصور کنید چون نمیتوانید تصور کنید که چه مشکلاتی بوجود خوهد آمد .

همانطوری که اشاره کردم تنظیمات شبکه و امنیت بر اساس هر کاربر در شبکه انجام می شد . این بدین معناست که اگر مسئول یکی از قسمت های سازمان پیش شما بیابد و بگوید می خواهم بدانم چه کسی به این فایل در شبکه دسترسی داشته است . شما مجبور هستید که تک تک کاربران شبکه را بایستی چک کنید که چکاری انجام داده اند . اگر تعداد کاربران شبکه شما کمتر از 100 تا باشد شما براحتی 20 دقیقه زمان نیاز خواهید داشت تا متوجه شوید که چه کسی به منبع مورد نظر دسترسی داشته است ، اگر 1000 کاربر داشتید چطور ؟ اگر درخواست ها بیش از 10 درخواست در طی روز باشد چطور ؟ کلا کار را تعطیل کرده و فقط اینکار را انجام دهید . تمامی مشکلاتی که تا بحال در مورد آنها بحث کردیم در صورت استفاده از گروه ها مرتفع خواهند شد . نکته ساده اما اساسی در ساختار گروه ها این است که گروه ها میتوانند شامل چندین کاربر باشند و کاربران در آنها عضو شوند . شما به جای اینکه به تک تک کاربران سطوج دسترسی بدهید کافیست به گروهی که کاربر در آن عضویت دارد دسترسی مورد نیاز را بدهید و این دسترسی به کاربران آن گروه اعمال خواهد شد . در این حالت کافیست مطمئن شوید که کاربر عضو فلان گروه است و همین باعث می شود که دسترسی های آن گروه به وی اعمال شود .

شاید یک مقدار مبهم به نظر برسد اما برای اینکه برای شما بهتر این موضوع درک شود من روش این کار را برایتان توضیح میدهم . فرض کنید که بر روی یکی از فایل سرور های شما پوشه ای به نام Data قرار گرفته است .به جای اینکه بیایبم و به تک تک کاربران برای آن پوشه دسترسی بدهیم به جای اینکار یک گروه ایجاد می کنیم . برای اینکار کنسول معروف Active Directory Users and Computers را باز میکنیم ، در Container به نام Users راست کلیک کرده و NEw و سپس Group را انتخاب می کنیم . در این قسمت شما شکلی شبیه شکل الف را مشاهده خواهید کرد ، در ساده ترین حالت شما باید یک نام برای گروه خود انتخاب کنید . برای راحتی کار اسم گروه را Data میگذاریم ، نامگذاری را بر اساس نوع کاربرد تعیین کنید . در حال حاضر در خصوص نوع گروه که چگونه باشد فکر نکنید و پیشفرض را در نظر بگیرید . در مورد گروه ها و انواع آنها بصورت کامل در مقاله بعدی صحبت خواهم کرد .

ایجاد گروه در اکتیودایرکتوری

شکل الف : یک نام برای گروه خود انتخاب کنید

بعد از اینکه OK را زدید ، گروه مورد نظر در Container با نام Users مشابه شکل ب ایجاد خواهد شد . دقت کنید که آیکن گروه دارای دو عدد سر است که نمایانگر این است که شیء از نوع گروه است و اگر یک سر داشت شیء از توع کاربر است .

ایجاد گروه در اکتیودایرکتوری

 گروه Data در اینجا ساخته شده است .
بر روی گروهی که ساخته اید دوبار کلیک کنید و یا وارد Properties این گروه شوید . در قسمت Members شما اعضای این گروه را می توانید مشاهده کنید و با استفاده از گزینه Add می توانید کاربران خود را به این گروه اضافه کنید . حسابهای کاربری که شما به این گروه اضافه میکند را اعضای گروه می نامند .
ایجاد گروه در اکتیودایرکتوری

تب Member تمامی اعضای این گروه را به شما نمایش خواهد داد

حالا زمان آن رسیده که گروه را وارد کار عملیاتی کنیم . بر ایانکار کافیست بر روی پوشه Data راست کلیک کرده و Properties را انتخاب کنیم . به تب Security رفته و بر روی گزینه Add کلیک کنید . در این لحظه نام گروه مورد نظر را وارد کرده و بعد OK را بزنید . شما الام می توانید دسترسی های مورد نظر خود را به این گروه بدهید . بعد از اینکه دسترسی های مورد نیاز گروه را به آن دادید کافیست کلید OK یا Apply را بزنید تا تنظیمات شما اعمال شود . همانطور که در شکل د مشاهده میکنید ، تعدادی دسترسی وجود دارند که بصورت پیشفرض به گروه اعمال شده اند . بهتر این است که کلیه این دسترسی های پیشفرض را حذف کرده و از نو همه دسترسی ها را تعیین کنید ، دلیل اینکار این است که شما را از دادن دسترسی اتقاقی به افراد غیر مصون نگه می دارد .

ایجاد گروه در اکتیودایرکتوری

 گروه Data به سطوح دسترسی مربوط به پوشه Data اضافه شده است

به خاطر دارید که چقدر دشوار بود برای اینکه بخواهید بفهمید که چه کاربردی با چه سطح دسترسی به پوشه مورد نظر متصل شده است ؟ خوب وقتی پای گروه ها به میان میاید این فرآیند بسیار ساده خواهد شد . شما برای اینکه متوجه شوید چه کاربرانی به پوشه دسترسی دارند کافیست بررسی کنید که چه کسانی عضو این گروه هستند . شما براحتی با بررسی اعضای گروه که در شکل ج مشاهده کردید میتوانید دسترسی های آنها را به پوشه بررسی کنید . اگر کاربران دیگری نیاز به دسترسی به پوشه مورد نظر را داشته باشند شما به سادگی میتوانید آنها را در گروه Data قرار داده و خیالتان راحت باشد که دسترسی های مجاز را تنها با این کار ساده به وی داده اید . در غیر اینصورت بایستی تک تک کاربران را در قسمت Security برای پوشه و سیستم تعریف میکردید .

در این مقاله به شما روش ایجاد یک کاربر و همچنین ساده ترین روشهای مدیریت حسابهای کاربری در اکتیودایرکتوری را آموزش خواهیم داد . در مقاله قبلی در خصوص کنسول مدیریتی Active Directory Users and Computers با همدیگر صحبت کردیم و عنوان کردیم که چگونه میتوان از طریق همین کنسول دامین های دیگر موجود در ساختار forest را نیز مدیریت کرد . در این مقاله چندین نکته ساده اما اساسی را در مورد مدیریت حسابهای کاربری را به شما آموزش خواهیم داد.

ایجاد یک حساب کاربری در اکتیودایرکتوری
یکی از مهمترین و روزمره ترین کارهایی که شما با کنسول مدیریتی Users and Computers انجام میدهید ایجاد حسابهای کاربری است . برای اینکار کافیست که کنسول را باز کرده و بر روی Container مورد نظر که بصورت پیشفرض در اینجا Users را انتخاب کرده ایم راست کلیک میکنیم . در حالت عادی با کلیک کردن بر روی Container مورد نظر محتویات آنرا که حسابهای کاربری پیشفرض سیستم هستند را مشاهده خواهید کرد .
کاربران در اکتیودایرکتوری 1


حالا بر روی این Container راست کلیک کرده و گزینه New را انتخاب کنید . با باز شدن منوی New شما اشیائی را که میتوانید در اکتیودایرکتوری ایجاد کنید را مشاهده خواهید کرد . شما در این Container هیچ محدودیتی در نوع اشیاء ایجاد شده ندارید و میتوانید هر شیئی که دوست داشتید را در آن ایجاد کنید . اما بهتر این است که برای ایجاد اشیاء از یک ساختار منظم و تعریف شده استفاده کنید که نظم کاری شما به هم نریزد . خوب بعد از انتخاب New گزینه User را انتخاب کنید تا پنجره مربوط به ایجاد کاربر برای شما نمایش داده شود .

کاربران در اکتیودایرکتوری 2

همانطور که در شکل مشاهده میکنید ویندوز برای ساختن حساب کاربری اطلاعات بسیار مختصری در مورد آن کاربر از شما میخواهد . همچنین شما در این تصویر میبینید که ویندوز از شما نام و نام خانوادگی را میخواهد که اطلاعات چندان فنی و مهمی نیستند . تنها نکته مهمی که برای ورود کاربر حیاتی است Logon name است که حتما باید وارد شود و پر کردن سایر فیلد ها اختیاری است اما من به شما پیشنهاد میکنم که این فیلد ها را حتما پر کنید .

دلیل اینکه به شما توصیه میکنم که اطلاعات اضافی را در این کادر ها بصورت کامل پر کنید این است که یک حساب کاربردی چیزی جز یک شیء در اکتیودایرکتوری نیست ، مشخصات اضافی مانند نام و نام خانوادگی بصورت خاصیت های این شیء تعریف میشوند ، هر چقدر شما اطلاعات بیشتری در خصوص اشیاء در ساختار اکتیودایرکتوری در اختیار داشته باشید ، اکتیودایرکتوری شما منظم تر شده و اشیاء را میتوانید آسانتر مدیریت کنید . ساختار اکتیودایرکتوری مانند یک پایگاه داده است که میتوان از آن Query گرفت ، هر جقدر اطلاعات بیشتری در اختیار این پایگاه داده باشد شما میتوانید Query ها دقیقتر و بهتری از این پایگاه داده در یافت کنید . خوب حالا دکمه Next را بزنید و به ضفحه بعدی که مشاهده میکنید هدایت خواهید شد .

کاربران در اکتیودایرکتوری 3

همانطوری که در تصویر مشاهده میکنید قرار دادن رمز عبور برای کاربر کار بسیار ساده ای است . تمام کاری که باید بکنید این است که یکبار رمز را وارد و یکبار آنرا تایید کنید . بصورت پیشفرض اینطوری مقرر شده است که کاربران پس از اولین بار ورود به دامین میبایست رمز عبور خود را تغییر دهند شما میتوانید با برداشتن تیک User Must Change Password At Next Logon از اینکار جلوگیری کنید . گزینه دیگری نیز وجود دارد که توانایی کاربر در عوض کردن رمز عبورش را از وی میگیرد و کاربر نمیتواند رمز خود را تغییر دهد . شما همچنین میتوانید تاریخ انقضای رمز عبور خود را بصورت دائمی در بیاورید و یا اینکه کلا حساب کاربری را غیر فعال کنید .

User Must Change Password At Next Logon : کاربر در ورود بعدی بایستی رمز خود را تغییر دهد
User Cannot Change Password  :  کاربر نتواند رمز عبور خود را تغییر دهد
Password Never Expire : رمز عبور منقضی نشود و دائمی باشد
Account Is Disabled: حساب کاربری غیر فعال باشد


در صفحه مربوط به انتخاب رمز عبور گزینه ها چندان پیچیده و ساخت نیستند و درک کردن آنها کار آسانی است اما فقط یک نکته مهم است که بایستی در ذهن داشته باشید ، هنگامی که شما رمز عبوری برای کاربر خود تعیین میکنید ، ساختار این رمز عبور بایستی با ساختار رمزهای مصوب سازمانی متناسب باشد . ساختار رمز های مصوب سازمانی بدین معنی نیست که چه رمز هایی باید انتخاب شود ، بلکه به شما میگود که چه نوع رمز هایی بایستی انتخاب شود یعنی اینکه میتوان تعیین کرد که رمز ها دارای پیچیدگی باشند یا نه ، تعداد کاراکترهای آنها حداقل چقدر باشد ؟ و .... به ساختار رمز های مصوب Password Policy هم گفته میشود ، هر جا اسم این جمله را شنیدید به یاد این نکته بیافتید.خوب بر روی دکمه Next کلیک کنید و در اینجا ویندوز به شما خلاصه ای از کارهایی که انجام داده اید را نمایش خواهد داد ، در صورت تایید کافیست گزینه Finish را بزنید و با این روش به راحتی اولین کاربر خود در اکتیودایرکتوی را ایجاد کرده اید .

ویرایش مشخصات حسابهای کاربری در اکتیودایرکتوری
خوب به شما اهمیت وارد کردن اطلاعات جانبی در ایجاد کردن کاربران را شرح دادم ، اما ممکن است از خود سئوال کنید که در فرآیند ایجاد کاربر سئوالات زیادی در خصوص مشخصات کاربر از ما سئوال نشد !!! پس در کجا بایستی این اطلاعات وارد شود ؟ باید در نظر داشته باشید که اکتیودایرکتوری قابلیت وارد کردن هزاران خاصیت برای اشیاء خود را دارا میباشد به ویژه خاصیت هایی که مربوطه به کاربران هستند. این به این معنی نیست که الان به کنسول Users and Computers بروید و هزاران مشخصه برای کاربر خود وارد کنید !! هدف من هم این نیست . برخی از تنظیمات را براحتی میتوانید با روش های راحت و آسان و از طریق کنسول وارد کنید و برخی نیز دانش فنی نسبتا زیادی برای اعمال شدن نیاز دارند . پیشنهاد میکنم در ابتدای امر که کاربر خود را ایجاد میکنید بر روی آن راست کلیک کرده و با کلیک کردن بر روی گزینه Properties مشخصاتی از قبیل اطلاعات تماس و توضیحات آنرا پر کنید . من در شبکه هایی که بوده ام همیشه قسمت توضیحات را پر میکردم و تا جایی که امکان داشت از کاربران در خصوص این اطلاعات پرسش و پاسخ میکردم . این اطلاعات مینواند توسط نرم افزارهای جانبی که با اکتیودایرکتوری ارتباط برقرار میکنند نیز مورد استفاده قرار بگیرند ، برای مثال اطلاعات تماس کاربران در Exchange Server میتواند برای تمامی پرنسل سازمان برای برقراری ارتباط هرچه سریعتر مورد استفاده قرار بگیرد .

از لحاظ دیگر فرض کنید که شما میخواهید سرور خود را بر اثر نصب یک نرم افزار جدید Reboot کنید و در این حال نیز یکی از کاربران شما مشغول استفاده از سرور است ، شما با دارا بودن مشخصات تماس این شخص براحتی با وی تماس گرفته و آنرا در جریان کارتان قرار میدهید تا اطلاعات احتمالی وی از دست نرود . البته این امر خیلی زمانگیر هست و من فقط مثال زدم ( خودم عمرا اینکار را انجام نمیدهم ، اصلا کاربر رو آدم حساب نمیکنم تا پر رو نشه .... :D ) قبل از اینکه به شما آموزش بدهیم که چگونه اطلاعات اکتیودایرکتوری و مشخصات کاربران را تغییر دهید ، می خواهم به شما روش اعمال تغییرات در اطلاعات موجود وارد شده را آموزش بدهم ، اطلاعاتی که در همگام ساختن کاربر وارد کردید . برای مثال اگر یک خانمی متاهل شد نام خانوادگی وی به نام خانوادگی شوهرش تغییر خواهد کرد ( البته خانمش ایرانی نیست قاعدتا ) و شما بایستی این تغییر را اعمال کنید و در حقیقت مشخصه نام خانوادگی وی را تغییر دهید .برای اینکار همانطور که قبلا هم اشاره کرده بر روی کاربر مورد نظر راست کلیک کرده و گزینه Properties را بزنید و بعد مشخصه Last Name با با توجه و مطابق شکل د تغییر دهید .

کاربران در اکتیودایرکتوری 4


 در تب General که برای هر کاربر وجود دارد اطلاعاتی از قبیل نام و نام خانوادگی ، نام نمایشی یا در واقع نامی که هنگام ورود به سیستم مشاهده میشود ، توضیحات کاربر و ... را میتوانید مشاهده و تغییر بدهید . شما تمامی مواردی که در این تب ها موجود هستند را میتوانید به راحتی مورد تغییر قرار دهید . همانطوری که میبینید شما میتوانید دقیقترین اطلاعات ممکن را از کاربران شبکه در اختیار داشته باشید .

ریست کردم رمز عبور کاربر در اکتیودایرکتوری
همانطوری که در شکل د مشاهده می کنید در قسمت Properties کاربر قسمت های قابل تغییر بسیار زیادی وجود دارد . بیشتر این تب ها مربوط به تنظیمات امنیتی کاربر هستند . اما شما هر چقدر هم که در این تب ها بگردید گزینه ای برای ریست کردن رمز عبور کاربرتان در صورت بروز مشکل نخواهید یافت . برای اینکه بتوانید رمز عبور کاربری را ریست کنید نیازی به ورود به این قسمت نیست ، شما کافیست که بر روی حساب کاربری مورد نظر خود راست کلیک کرده و گزینه Reset Password را بزنید و با وارد کردن مجدد رمز ، رمز عبور کاربر را ریست کنید .

در این مقاله به شما نحوه استفاده از کنسول Users and Computers در اکتیودایرکتوری و مدیریت کردن دامین های دور از دسترس را آموزش خواهم داد . در این چند مقاله ای که در خصوص دامین و اکتیودایرکتوری نوشته ام به ساختار داخلی و شیوه کارکرد اکتیودایرکتوری بصورت کامل اشاره کرده ام و شما نیز طبیعتا با آنها آشنا شده اید . در این مقاله به سراغ این میرویم که از این ساختار بصورت عملی استفاده کرده و اطلاعات در اکتیودایرکتوری را مدیریت کنیم . ویندوز سرور 2003 و ویندوز سرور 2008 هر دو ابزارهای متنوعی را برای مدیریت کردن اکتیودایرکتوری در اختیار ما قرار می دهند . مهمترین و بهتر بگوییم پر کاربردترین این ابزارها، ابزاری است به نام Active Directory Users and Computers که بیشترین استفاده روزانه را برای شما در ساختار اکتیودایرکتوری دارا میباشد . همانطوری که از نامش پیداست این کنسول برای ایجاد ، مدیریت و نگهداری و همچنین حذف حسابهای کامپیوتری و کاربری در اکتیودایرکتوری استفاده می شود .

شما بوسیله رفتن منوی استارت و وارد شدن به قسمت All Programs و بعد از آن Administrative Tools می توانید این کنسول را بیابید . معمولا این کنسول در بالاترین قسمت منوی Administrative Tools قرار گرفته است . در نظر داشته باشید که فقط Domain Controller ها دارای چنین کنسولی هستند و اگر نتوانستید این کنسول را بیابید ، مطمئن شوید که بر روی دامین کنترلر login کرده اید . البته این را نیز فراموش نکنید که کنسول های دیگری نیز در این میان مانند Directory Domains and Trusts و Active Directory Sites and Servicesوجود دارند که کاربرد های خاص خود را داشته و در مقاله ای جداگانه به هریک خواهیم پرداخت .

وقتی کنسول Active Directory Users and Computers را باز می کنید ، شما تصویری همانند تصویر الف را مشاهده خواهید کرد . در مقاله های قبلی اشاره کردیم که ساختار اکتیودایرکتوری بر اساس forest است که هر Forest میتوانید دارای چندین Domain و یا Tree باشد .کنسول Active Directory Users and Computers به شما اجازه کار کردن با ساختار Forest را نمیدهد و صرفا شما میتوانید ساختار دامین را با آن مدیریت کنید . این ابزار در اصل یک ابزار در سطح دامین است و ماهیت آن کار کردن با دامین ها است نه Forest ها . اگر به شکل الف مجددا نگاه کنید خواهید دید که دامین Production.com برجسته و مشخص شده است . Production.com دامینی است که در شبکه من وجود دارد . تمامی اشیائی که در ساختار اکتیودایرکتوری من ساخته میشوند عضوی از دامین Production.com هستند .

کنسول اکتیودایرکتوری Users and Computers


همانطوری که گفتم Production.com دامینی است که در شبکه من وجود دارد ، اما نگفتم که تنها دامینی است که در شبکه من وجود دارد ، در واقع تنها دامینی است که شما میتوانید آنرا در شکل الف مشاهده کنید . کنسول Active Directory Users and Computers برای اینکه در کار مدیریتی دامین ها پیچیدگی و ابهای پیش نیاید در هر لحظه فقط یکی از دامین ها را به ما نشان می دهد .یادتون هست که گفتم کنسول Active Directory Users and Computers فقط از طریق منوی استارت و Administrative Tools و فقط و فقط بر روی دامین کنترلر ها قابل دسترسی است ؟ پس این را هم بدانید که دامینی که در اولین صفحه این کنسول مشاهده میکنید همان دامینی است که بر روی دامین کنترلر مذکور قرار دارد ، پس در این مثال ما بر روی دامین کنترلری login کرده ایم که در حقیقت دامین Production.com بر روی آن قرار دارد .

مشکل در اینجاست که دامین ها ممکن است بصورت فیزیکی و جغرافیایی از هم فاصله داشته باشند . برای مثال بسیاری از شرکت ها و سازمان ها وجود دارند که برای نمایندگی ها و حوزه های خود در شهرهای مختلف نمایندگی دارند و برای هر کدام از اینها نیز یک دامین نیاز دارند . اما این منطقی نیست که مثلا شما دامین مرکزی در تهران دارید و دامین های دیگر شما در تبریز و اصفهان و اهواز و ... هستند ، و برای اینکه بتوانید به هر کدام از این دامین ها دسترسی داشته باشید به آن شهر سفر کنید !!! اینکار ضمن اینکه زمان بسیاری از شما را میگیرد باعث سختی و دشواری کار شما هم میشود ، شاید قبلا میبایست چنین کاری میکردید اما با امکانات جدید دیگر نیازی به سفر کردن به آن شهر نیست.

وقتی وارد کنسول Users and Computers می شوید ابتدا فقط دامینی را مشاهده خواهید کرد که بر روی دامین کنترلر آن login کرده اید ، اما شما میتوانید از طریق همین کنسول به دامین هایی که به آنها اعتماد و دسترسی لازم را دارید نیز دسترسی پیدا کنید . تمام کاری که باید بکنید این است که بر روی دامین مورد نظر راست کلیک کرده و گزینه Connect To Domain را بزنید . صفحه ای برای شما باز خواهد شد که به شما این امکان را میدهد که بتوانید نام دامین مورد نظرتان را در آن تایپ کرده و یا اینکه دامین مورد نظرتان را از لیست انتخاب کنید . و براحتی با گزینه Browse دامین مورد نظر برای شما باز خواهد شد .

شاید روش خوبی باشد که بوسیله این کنسول بتوانیم به دامین های دیگر متصل شویم ، اما برخی اوقات لینک ارتباطی آنقدر قوی نیست که بتواند اینکار را برای ما میسر کنید و یا اینکه پیچیدگی خاصی در مسیر ارتباطی وجود دارد که امکان اینکار برای شما وجود نخواهد داشت . برای مثال من در شرکتی کار میکردم که دامین های آن در فواصل طولانی از همدیگر قرار داشتند و ارتباط برقرار کردن با آنها برای خود مشکلات خاصی بوجود آورده بود و مجبور بودم که هر روز کارهای مدیریتی آنها را از راه دور انجام بدهم اما این روش کنسولی به دردم نمیخورد . ( خودمونی بود این تیکه )
نکته مهم و خبر خوش در اینجاست که شما لزوما نبایستی برای اینکه بتوانید دامین را مدیریت کنید و به کنسول Active Directory Users and Computers دسترسی داشته باشید به دامین کنترلر login کنید . شما به جای اینکه از طریق دامین کنترلر و از منوی administrative Tools به این کنسول دسترسی داشته باشید میتوانید از طریق یک Member Server و استفاده از کنسول MMC و یا Microsoft Management Console اضافه کردن کنسول Active Directory Users and Computers براحتی میتوانید از این ابزار در سرور های دیگر نیز استفاده کنید .

برای اینکار از طریق Run در منوی استارت دستور MMC را وارد کنید و کلید Enter را بزنید . در این لحظه سرور برای شما یک صفحه کنسول خالی باز میکند . از طریق منوی File گزینه Add Remove Snap In را انتخاب کنید و از لیست موجود کنسول Active Directory Users and Computer را انتخاب کنید و بعد Close و OK را بزنید و منتظر باشید تا کنسول بصورت کامل لود شود . برخی اوقات ممکن است که در حال بود شدن کنسول سیستم به شما پیغام خطا بدهد که در این لحظه شما میتوانید با استفاده از همان کنسول قبلی که از طریق دامین کنترلر استفاده میکردید کافیست بر روی دامین موجود راست کلیک کرده و بعد Connect To Domain را بزنید و به همین طریق این دامین را نیز مدیریت کنید ( اگر دچار مشکل شدید ) . این روش حتی زمانی که از کلاینت ها هم میخواهید به سرور متصل شوید کاربرد دارد ( البته بهترین گزینه استفاده از Admin Pack است به نظر من ) از همه این کارها گذشته بهترین و ساده ترین راهکار برای دسترسی از راه دور سرورها و مدیریت آنها استفاده از یک RDP Session یا ساده تر بگوییم دسکتاپ از راه دور یا Remote Desktop است . RDP مخفف نام Remote Desktop Protocol است و در واقع پروتکلی است که توسط آن میتوان سیستم ها را از راه دور مدیریت و نگهداری کرد . در ویندوز سرور 2003 شما براحتی میتوانید با رست کلیک کردن بر روی My Computer و رفتن به تب Remote گزینه Remote Desktop را فعال کنید . نمونه این کار را میتوانید
فعال کردن Remote Desktop یا RDP

برای اینکه بتوانید به سروری که قابلیت Remote Desktop بر روی آن فعال شده است دسترسی پیدا کتید کافیست در کامپیوتر مبدا از طریق منوی استارت و با استفاده از دستور MSTSC در Run به کنسول دسترسی از راه دور سیستم ها دسترسی پیدا کنید . در اینجا میتوانید با وارد کردن آدرس IP و یا نام دامین کنترلر مربوطه به راحتی با زدن دکمه Connect و وارد کردن نام کاربری و رمز عبور معتبر همانند اینکه بصورت فیزیکی روبروی آن سرور نشسته اید کارهایتان را از راه دور با آن انجام دهید . نمونه این کنسول اتصال را میتوانید

دسترسی Remote Desktop