Active directory groups and AGDLP- 2nd ed2. توضیحات:
،کارب مفهوم معرفی به پاورپوینت اینرد
انــ وواعگروههادراکـتیودایرکــتوری
استراتژی توضیح وAGDLPپردازد می.
درک برایبهترمفاهیماست بهتر آموزش این
بامفاهیمبه مربوطTrustباشید داشته آشنایی
3. ی دایرکتوری اکتیو ساختار در چگونهک
کنیم؟ می تعریف جدید گروه
گروه
ساخته
شد
OK
کادر در
group Name
را گروه نام
میکنیم وارد
New
Object
Group
Group
new
Right
click
درکنسولActive
Directory User
and Computer
6. مفهوم تعریف دلیلGroup
تعریف مفهوم اینبتوانیم تا شدتعدادیاعضاء از
وقت و کنیم جمع گروه یک عنوان تحت یکجا در رای
تخصیص گروه یک به را دسترسی حق یا مجوز که
شود اعمال گروه آن اعضاء همه به دهیم می
7. اعضایGroup
⚫تعدادی تجمع از تواند می گروهUser accounts
شود تشکیل
⚫تعدادی اینکه ویاComputer accountsکنار در
بدهند را گروه یک تشکیل هم
⚫از گروهی میتوانیمcontactبدهیم تشکیل ها
⚫بساز را دیگری گروه ، گروه تعدادی تجمع از یایم
⚫کدام هر است ممکن گروه یک اعضای همچنین
باش داشته عضویت هم دیگر گروه چند یا یک درند
8. گروه کاربرد موارد
توانیم می گروه یک بهpermissionنظرمان مد های
جهت رامنابع به دسترسیشده گذاشته اشتراک به
Attachکنیم
توانیم می گروه یک بهRightانجام جهت نیاز مورد های
یکSystem TaskراAssignکنیم
گرو از توانیم می ها یوزر از گروهی به ایمیل ارسال برایه
کنیم استفاده
(مجوز مثلبکگیری آپ)
9. User Rights vs.
NTFS permissions.
User rights are different from permissionsbecause
user rights apply to user accounts – individual users or
groups of users – and permissions are attached to
objects. ... In this way, a user can log in as a member of a
group and automatically inherit all the rights of that group
در اصطالح دو این تفاوتکاربرد:
12. Group type?
Group typeهادودستهاند
یاکه هایی گروه یعنی هستند
دارند امنیتی زمینه
(شوند می داده توضیح کامال بعدی های اسالید در و)
یاامنیتی زمینه که هستند
ندارند(گ بعدی اسالید در ها ه گرو نوع این تعریف ولی نیستند آموزش این بحث موضوعفته
است شده)
13. Distribution Group :
Distribution Groupباش نداشته امنیتی زمینه که شود می گفته گروهی بهد
واژه به جا چند درdistribution Groupبرمیخورید
1-کنسول درNew Object Groupگفته هایی گروه به دایرکتوری اکتیو در
میاست ممکن ها گروه این ندارند امنیتی زمینه که شودmail-enabled
نباشند یا باشند
2-درMicrosoft Exchangeهای گروه تمامیmail-enabledجزو
Distribution Groupچه و باشند داشته امنیتی زمینه چه میشود محسوب ها
باشند نداشته
3-درoffice 365
4-درoutlookدر کلی طور به ،اپلیکیشنوقتی ایمیل دریافت و ارسال های
دریافت از گروهی به را ایمیل یک داریم قصدکنندگاندریاف کنیم ارسالت
کنندگانیک در راDistribution listدهیم می قرارگروه آن برای را ایمیل و
میکنیم ارسال.
18. Group Scope اعضاءشون می انتخاب کجا ازد
Group can include as members…
بهمجوز داشتن شرط
محدوده چه منابع به دسترسیای
دارند
Group can be assigned permissions
in…
اسک گروپ کدام بهوپ
است تبدیل قابل
Group scope can be
converted to…
Domain Local
همـــــــــهجــــا*
منابع به فقـــــط
دامینخـــــود
Universal
Global اعضاءاز فقـــط
دامینخـــودانتخاب شان
شوند می
منا به دسترسیبع
هـمجــــــا ـــه*
دارند
Universal
Universal همـــهجــــا* جــــا همــــــه* Domain local
Global
*جــــــــا همـــــــه:یعنیدامینتمام بعالوه خودشاندامینآنهـــــــا با هاییکهTrustباشند داشته
Comparison
20. Global Group
Infographic
از فقـــط اعضاء
دامینخـــودشان
شوند می انتخاب
منابع به دسترسی
هـمجـــا ــه*
دارند
*جــا همــه:یعنیدامینتمام بعالوه خودشاندامینآنهـــــــا با هاییکه
Trustباشند داشته
21. Note:
های گروه تعداد بایدUniversal
باشد حداقل ساختار در
چونگروههایUniversalمثلپاسپورتسبزاستو
وقتییکاکانتراعضویک
گروهUniversalمیکنیداین
تغییراتبایدبهاطالعتمامدامین
هایفارستشماودامینهای
سایرفارستهاییکهبینآنهابا
فارستشماTrustوجودداردبرسد
22. اول حالت:
دودامینهای نام به داریمAوBهم با کهTrustدارند
در افرادی برای داریم قصددامینAاز منابعی به تا کنیم فراهم را امکان ایندامینBباشند داشته دسترسی
.
ادمین حالت این درAگروه یکگلوبالمیسازدبهنامABمد افراد و
گروه عضو را نظرگلوبالABمیکند(گلوبال گروه:از اعضاءهماندامین–
به دسترسیهمهجا)
ادمیندامینBدرACLبه مربوطResourceگــروه نظر مد
گلوبال گروه و بیند می را گلــــــوبالABرادرACLمیکند اضافه
ودهد می گروه آن به را مربوطه مجوزهای
👇
AGDLP
23. شد گفته که حالتی در:
دردامینAبصورت گروهگلوبالشود می تعریف
در ها پرمیژن ولیدامینBادمین توسط ولوکالBشود می اعطاء
AGDLP
24. دوم حالت(اول حالت بسط: )
دامینهای نام به داریم دیگری هایCووEمثل که
دامینAبا بینشاندامینBقصد و است برقرار تراست
در منابعی به دسترسیدامینBدارند.دو به حالت این در
کرد اقدام توان می طریق:
1-در کدام هردامینیک خودشانگلوبال گروهتشکیل
دهندهای نام بهCBوBوEBبعد وادمیندامینBکه
در است ریسورس صاحبACLگروه این مربوطه ریسورس
کند اعطاء را مربوطه های مجوز آنها به و کند وارد را ها
AGDLP
25. زی گلوبالها تعداد که درشرایطیاد
ق هاییکه مجوز اینکه یا و استرار
برای شود اعطاء مقصد در است
است یکسان همه....
2-ادمین حالت این دردامینBدردامینگروه یک خودشدامینلوکال
گلوبال های گروه بسازد تواند میABوCBوBوEBگروه آن عضو را
دامینلوکالو کندهای مجوز نظر مورد ریسورس به دسترسی برای
گروه این برای را الزمدامینکند تعیین لوکال.این حالت این مزیتاست
اعضاء دسترسی داشتیم قصد زمانی اگر کهدامینCبه راریسورس
گروه حذف با سادگی به توان می ببندیمCBاین ازدامینلوکالبه
رسید هدف.
AGDLP
26. ازاستان نفر چند کنید فرض(دامین)از نفر چند و اصفهان از نفر چند ، تبریز از نفر چند ، تهران...
ایران از حج سفر برای دارند قصد(دامینمبداء فارست یا)عربستان کشور به(دامینمقصد فارست یا)بروند
(کنند آنجااستفاده قوانین طبق مقصد وازمنابع. )دو بین ضمنادامینTrustاست برقرار.
که میشود انجام شکل این به سفر این...
مبدا ادمین توسط:
1-ایران در(دامینمبداء)حجاج گروه نام به میشود تشکیل گروپ گلوبال یک(خاص چون ؟ گروپ گلوبال چراگروه یت
سایر در آن اعضا که است این گلوبال هایtrusted Domainاین گلوبال های گروه دیگر خاصیت و هستند رویت قابل ها
از آن اعضای که استدامینمیشوند انتخاب خودشان)
2-میکند گروه این عضو را اعضاء
مقصد ادمین توسط:
1-عربستان در(دامینمقصد)آن ادمیندامینگروه یکدامینحجاج نام به سازد می لوکال(چرادامینلوکالچون ؟
از اعضایی میتواند که است این گروه این خاصیتدامینسایر از همچنین و خوددامینباشد داشته-س البتهایردامین
بینشان هاییکهTrustباشد برقرار-)
2-گروه این در را کشورها سایر گلوبال های گروهدامیندهد می قرار لوکال
3-گروه این برایدامینمیکند مشخص پرمیژن لوکال
درسجلسهمحتوایازبرگرفتهمثالاستادرشـــــوند:
EXAMPLE
27. مفهوم شد داده توضیح که روشی
بنام ایست قاعدهAGDLP
1- CREATE GLOBAL ACCOUNT (گلوبال گروه ( IN SOURCE DOMAIN
توسطادمیندامینمبداءAوCووE
2-CREATE DOMAIN LOCAL ACCOUNT IN DESTINATION DOMAIN
ادمین توسطدامینمقصد
3-ADD GLOBAL ACCOUNTs IN TO DOMAIN LOCAL GROUP
ادمین توسطدامینمقصد
PERMIT TO DOMAIN LOCAL GROUP
ادمین توسطدامینمقصد
AGDLP Group Strategy
28. A G DL P Group Strategy
you put user accounts (A) into global groups (G),
put the global groups into domain local groups (DL),
and then grant permissions (P) to the domain local group
AGDLP
29. استراتژیAGDLPچیست؟
در که زمانیدامینخواهید میpermission،کنید مشخص
چندین از شما که زمانی مخصوصادامینکنید می استفاده
به مستقیما که است بهترuserندهید دسترسی.
بلکهکنید استفاده زیر سناریوی از:
Account > Global Group > Domain Local Group > Permission
یعنیaccountهاییک عضو را نظر موردGlobal Groupکنید.
Global Groupعضو راDomain Localکنید
سپسبهDomain Localکنید اعمال را دسترسی.
http://www.bexpert.ir/weblog/?p=1056