یادداشت ویراستار: اصل این مطلب در شهریور ۹۹ نوشته شده بود و در اردیبهشت ۱۴۰۰ دوباره بررسی و بهروز شده است. همچنین در تیر ۱۴۰۰ توسط کارشناسان سرور و شبکه فالنیک، بررسی و تایید شده است.
در این مقاله نحوه ایجاد user در اکتیودایرکتوری را آموزش میدهیم. پس از ایجاد دامین در سرور (این سرور را دامین کنترلر مینامیم: Domain Controller – DC) باید بتوانیم کامپیوتر ها را به دامین جوین کنیم. آموزش جوین کردن کلاینت به دامین را در لینک “آموزش جوین کردن کلاینت به دامین” بخوانید. مقدمه انجام این کار، ایجاد یوزر در دامین است. در این آموزش همراه توسعه شبکه آداکباشید تا نحوه ایجاد user در اکتیودایرکتوری را بخوانید.
- آموزش قدم به قدم ایجاد user در اکتیودایرکتوری
- دادن دسترسی ادمین به یوزر در دامین
- دسترسی نصب نرم افزار به یوزر دامین
آموزش قدم به قدم ایجاد user در اکتیودایرکتوری
۱. در ویندوز سرور پنجره Run را باز کنید و دستور dsa.msc را وارد کنید. با این کار وارد پنجره Active Directory User and Computers یا همان ADUC میشوید.
راه دوم برای وارد شدن به این پنجره این است که وارد Server Manager شوید و گزینه Tools را بزنید. از منوی باز شده گزینه Active Directory User and Computers را انتخاب کنید.
۲. در ستون سمت چپ روی گزینه Users راست کلیک کنید و و از منوی باز شده روی New رفته و سپس User را انتخاب کنید. با این کار پنجره New Object – User باز میشود.
۳. برای این یوزر جدید، قسمت Logon Name و Username را وارد کنید. سپس Next بزنید.
۴. در این مرحله باید پسورد مشخص کنید. همان طور که در تصویر میبینید چهار گزینه دیده میشود.
اگر گزینه User must change Password at next logon را تیک بزنید، در اولین لاگین کاربر، از او خواسته میشود پسورد را عوض کند. در غیر این صورت شما به عنوان ادمین میتوانید به اطلاعات او دسترسی یابید که از لحاظ امنیتی درست نیست.
اگر گزینه User cannot change password را تیک بزنید کاربر نمیتواند پسورد را عوض کند.
پس از تنظیم پسورد برای کاربر روی Next بزنید.
۵. در این مرحله تنظیماتی که در مراحل قبل مشخص کردهاید نمایش داده میشود. در صورت تایید، دکمه Finish را بزنید.
۶. همان طور که میبینید کاربر جدید در اکتیو دایرکتوری اضافه و تعریف شد. میتوانید با انتخاب کاربر و کلیک روی دکمه Properties اطلاعات مربوط به آن را تکمیل کنید.
دادن دسترسی ادمین به یوزر در دامین
وقتی کامپیوتری را به دامین اکتیودایرکتوری جوین میکنید، گروه Domain Admins به صورت خودکار به گروه لوکال Administrators و گروه Domain User به گروه Users اضافه میشود.
راحتترین راه برای اعطای امتیازات ادمین لوکال به کامپیوتر و یوزر، این است که کاربر یا گروه را به گروه Administrators اضافه کنید. اما ریسک این کار را باید بپذیرید که افرادی که نمیخواهید، همچنان عضو گروهِ دارای امتیاز باشند. اگر این ریسک را نمیپذیرید و میخواهید اعضای local admins group را در هر domain computer کنترل کنید باید راه آسان را کنار بگذارید.
مایکروسافت در AD Domain، امتیازات و دسترسیهای ادمینها را در ۴ دسته تقسیم کرده است:
- Domain Admin: که فقط روی دامین کنترلر استفاده میشود.
- Server Admins: گروهی است که اجازه مدیریت و کنترل سرورهای عضو دامین را دارد. لازم نیست حتما عضو گروههای Domain Admins یا local Administrators باشد.
- Workstation Admins: گروهی است که وظایف ادمین را فقط روی ورک استیشنها انجام میدهد. لازم نیست حتما عضو گروههای Domain Admins یا Server Admins باشد.
- Domain Users: کاربر معمولی است که عملیات معمولی و اداری انجام میدهد. لازم نیست حتما امتیازات ادمین داشته باشد.
برای دادن دسترسی ادمین به یوزر در دامین به صورت زیر عمل کنید:
۱- روی یوزر مورد نظر راست کلیک کرده و Properties را بزنید.
۲- با کلیک روی Properties، پنجره username properties باز میشود که چندین تب دارد. روی تب member of بروید و Add را بزنید.
۳- در پنجره Select Groups کلمه Administrators را بنویسید (دقت کنید تایپ کنید و Browse نکنید) سپس روی Check Name بزنید.
۴- اگر گروه در سرور پیدا شد، Ok بزنید.
دسترسی نصب نرم افزار به یوزر دامین
با بزرگ شدن و توسعه شرکت و سازمان شما، اکتیودایرکتوری شما هم بزرگ میشود. ادمین اکتیودایرکتوری نیاز به هلپ دسکی در کنار خود دارد تابتواند کارهایی مثل نصب نرم افزار به یوزر دامین و تغییر پسورد یوزر در اکتیو دایرکتوری را انجام دهد. برای انجام چنین کارهایی نباید کاربر معمولی باشد و باید Permission های لازم را به او بدهید. Help Desk در اکتیودایرکتوری میتواند کارهای زیر را انجام دهد:
- ایجاد، ویرایش و حذف کاربر
- غیرفعال کردن اکانت کاربر
- ریست کردن پسوردها
- آپلود عکسهای کاربر
- تغییر نام کاربر
- تغییر شماره تلفنها
- انتقال آبجکتها به OU دیگر
- مدیریت عضویت در گروه برای کاربر
- ایجاد، ویرایش و حذف گروهها
با وجود Help Desk Delegation میتوانید وظایف ادمین را به هلپ دسک تفویض کنید. برای ایجاد کاربر هلپ دسک به ترتیب زیر عمل کنید:
۱- وارد کنسول Active Directory Users and Computers شوید. برای این کار دستور dsa.msc را در Run اجرا کنید.
۲- روی Users راست کلیک کنید و Delegate Control را انتخاب کنبد.
۳- گروهی که میخواهید امتیازات ادمین را به آن بدهید انتخاب کنید.
۴- میتوانید با انتخاب گزینه delegate the following common tasks از لیست تسک ها انتخاب کنید و هم میتوانید گزینه Create a custom task to delegate را انتخاب کنید.
۵- با انتخاب گزینه دوم پنجره زیر باز میشود میتوانید دسترسیهای موردنظرتان را انتخاب کنید.
۶- حالا از صفحه Permissions موارد موردنظرتان مثل Read lockoutTime و Write lockoutTime و Reset password را انتخاب کنید.
۷- با تایید مواردی که در مراحل قبل انتخاب کردهاید، ویزارد را تکمیل کنید.
راه دوم برای وارد شدن به این پنجره این است که وارد Server Manager شوید و گزینه Tools را بزنید. از منوی باز شده گزینه Active Directory User and Computers را انتخاب کنید.”
}
},{
“@type”: “Question”,
“name”: “دادن دسترسی ادمین به یوزر در دامین”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “وقتی کامپیوتری را به دامین اکتیودایرکتوری جوین میکنید، گروه Domain Admins به صورت خودکار به گروه لوکال Administrators و گروه Domain User به گروه Users اضافه میشود.
راحتترین راه برای اعطای امتیازات ادمین لوکال به کامپیوتر و یوزر، این است که کاربر یا گروه را به گروه Administrators اضافه کنید. اما ریسک این کار را باید بپذیرید که افرادی که نمیخواهید، همچنان عضو گروهِ دارای امتیاز باشند. اگر این ریسک را نمیپذیرید و میخواهید اعضای local admins group را در هر domain computer کنترل کنید باید راه آسان را کنار بگذارید.”
}
},{
“@type”: “Question”,
“name”: “دسترسی نصب نرم افزار به یوزر دامین”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “با بزرگ شدن و توسعه شرکت و سازمان شما، اکتیودایرکتوری شما هم بزرگ میشود. ادمین اکتیودایرکتوری نیاز به هلپ دسکی در کنار خود دارد تابتواند کارهایی مثل نصب نرم افزار به یوزر دامین و تغییر پسورد یوزر در اکتیو دایرکتوری را انجام دهد”
}
}]
}