مایکروسافت سرور ، نصب اکتیو دایرکتوری

[سیده آمین ارمان]

مایکروسافت سرور (جلسه اول) نصب اکتیو دایرکتوری

1. با درود بر شما؛ این نخستین بخش از آموزش های مایکروسافت سرور می باشد. ما فرض را بر این می گیریم که شما Microsoft server2008 R2 را بر روی سیستم نصب کرده اید؛ چرا این گونه فرض می کنیم؟ چون نصب ویندوز سرور به سادگی نصب ویندوز کلاینت (معمولی) می باشد
2. 
   آموزش را به صورت بخش به بخش پیش می رویم و بخش های گوناگون سرور را معرفی و روش نصب و استفاده را ذکر می کنیم و صد البته که این آموزش ها بی نقص نیستند پس با نظرات، پرسش ها و دیدگاه های تان، ما را در ادامه دادن این مسیر، که همان عرضه رایگان دانش است کمک نمایید.
   
   Active Directory Domain and User چیست؟
   Active Directory (اکتیو دایرکتوری) یا دایرکتور فعال، سرویس و قابلیتی بر روی سیستم‌های ویندوزی شرکت مایکروسافت است که امکان ذخیره‌سازی کلیه Objectهای شبکه نظیر کاربران، قوانین و سیاست‌ها و … را به مدیران شبکه و همچنین کاربران آن می‌دهد. Active Directory از یک ساختار ذخیره‌سازی منظم مبتنی بر منطق و حفظ خاصیت وراثت دایرکتوری‌ها استفاده می‌کند.
   به بیان ساده‌تر Active Directoryسرویسی است برای کنترل و مدیریت هر آنچه که در شبکه کامپیوتری شما اتفاق می‌افتد. این سرویس به تنظیمات شبکه ما سرعت، دقت و نظم می‌بخشد و بستری را ایجاد می‌کند تا شبکه کامپیوتری خود را مدیریت کنیم. کلیه منابع به اشتراک گذاری مانند دایرکتوری‌ها، پرینتر، سرویس‌های مختلف، Volumeها، حساب کاربران شبکه و کامپیوترهای مختلف همگی Objectهایی هستند که توسط Active Directory مدیریت می‌شوند.
   امنیت امری است آمیخته با Active Directory و با Authentication برای دسترسی به یک منبع شروع شده و با تنظیم کنترل دسترسی به فولدرهای مختلف اثر خود را در شبکه نشان می‌دهد.
   تنها با یک login به سیستم این امکان برای مدیر شبکه فراهم می‌شود تا دسترسی کاربران به منابع مختلف سرور و شبکه را در اختیار گرفته و آن‌ها را مدیریت کند. همچنین مدیر شبکه می‌تواند با تعریف سیاست‌های مختلف و اختصاص آن‌ها به Objectهای مختلف بخشی از نگرانی‌ها و سیاست‌های سازمان را در قالب آن‌ها به شبکه تحمیل نماید.
   
   نصب Active Directory Domain & User:
   ۱- Server Manager را باز کنید سپس به بخش Roles بروید و مسیر زیر را دنبال کنید:
   
   Add Roles → Active Directory Domain Services → Next → Install
   
   
   Please, ورود or عضویت to view URLs content!
   
   
   ۲- Start → Run → dcpromo
   
   پس از نصب به Start بروید و Run را باز کنید (کلید ترکیبی Win+R) و در آن dcpromo را نصب کنید.
   ۳-Error Aministrator
   
   
   
   
   
   ۴- Switch User → Administrator
   
   با خطایی همچون بالا مواجه شدید باید فراموش نکنید که با یورز administrator به سیستم وارد شوید.
   ۵- Active Directory Domain Services Installation Wizard →Next → Operating System Compatibility → Next
   
   مراحل را همان گونه که می بینید طی کنید.
   ۶- Choose a Deployment Configuration:
   
   یکی از موارد زیر را انتخاب کنید:
   
   Existing Forest:
   برای زمانی که می‌خواهیم یک دامین را در یک Forest عضو کنیم.
   Create a New Domain in a New Forest:
   برای زمانی که می‌خواهیم یک دامین جدید در یک forest جدید بسازیم.
   ۷- Name the Forest Root Domain → Full Qualified Domain Name (FQDN) → Example: google.com
   ۸- Set Forest Functional Level:
   Functional Level در یک تعریف ساده ویژگی‌ها و مُدهای عملیاتی Active Directory هستند که به هر نسخه از سیستم عامل ویندوز سرور اضافه می‌شوند و قابلیت‌هایی ویژه‌ای برای DC که تحت آن نسخه از سیستم عامل پیاده‌سازی شده است فراهم می‌کنند. شما هنگام نصب یک DC می‌توانید تعیین کنید که آن DC در سطح Domain و Forest طبق چه مُد از Functional Level کار کند.
   این موضوع از این لحاظ اهمیت دارد که DCهای زیادی در سطح Domain و Forest فعال هستند که باید دارای Functional Level مناسب برای انجام صحیح وظایف و برقراری ارتباط با یکدیگر باشند. Functional Level در دو بخش طبقه‌بندی می‌شود:
   الف-Domain Functional Level: ویژگی‌هایی از Active Directory که در یک Domain قابل دسترس هستند مشخص کرده و همچنین نسخه‌ای از ویندوز سرور را که می‌تواند به عنوان DC در Domain فعال باشد تعیین می‌کند.
   ب-Forest Functional Level: ویژگی‌هایی از Active Directory که در یک Forest قابل دسترس هستند مشخص کرده و همچنین نسخه‌ای از ویندوز سرور را که می‌تواند به عنوان DC در Forest فعال باشد تعیین می‌کند.
   اما نسخه‌هایی از Functional Level تا Windows Server 2008 R2 عبارتند از:
   • Windows 2000
   • Windows 2003
   • Windows 2008
   • Windows 2008 R2
   در هنگام نصب و راه‌اندازی Active Directory مرحله‌ای وجود دارد که شما می‌توانید Functional Level رو تعیین کنید. Forest Functional Level را تنها در زمان راه‌اندازی اولین DC یا به عبارتی Root Domain می‌توان تعیین کرد.
   اما مفهوم کاربردی این مطالب چیست؟ فرض کنید شما در Windows Server 2008 R2 دامنه‌ای راه‌اندازی کرده و در هنگام تعیین Functional Level نسخهWindows ۲۰۰۳ را برای Domain و Forest انتخاب کرده‌اید. در این حالت شما برای اضافه کردن هر DC دیگر به صورت Child و یا Additional می‌توانید کامپیوتری را که سیستم عامل آن نسخه Windows 2003 به بعد است انتخاب کنید (یعنی Windows 2003, 2008 , 2008 R2, 2012) به فرض در این شرایط اگر بخواهید کامپیوتری با سیستم عامل Windows 2000 را به عنوان DC به این دامنه اضافه کنید با پیغام خطای Functional Level روبرو خواهید شد. حال فرض کنید اگر در ابتدا در هنگام تعیین Functional Level نسخه Windows 2008 R2 را انتخاب کرده باشید فقط می‌توانید از DC با سیستم عامل Windows 2008 R2 و Windows server 2012را به دامنه خود اضافه کنید.
   به یاد داشته باشید Functional Level را پس از انتخاب می‌توان به سمت نسخه بالاتر تغییر داد اما به سمت نسخه پایین خیر.
   
   
   
   
   
   ۹-Additional Domain Controller Options → Gelobal Catalog:
   اکتیو دایرکتوری امکان یافتن منابع همانند پرینترها، فایل‌ها و کاربران را فراهم می‌کند. یک سرویس کاتالوگ، شامل اطلاعات برگزیده‌ای از هر دامین در خصوص هر شیئیی است. Global Catalog سرویسی است که در اکتیو دایرکتوری برای یافتن منابع استفاده می‌شود.
   Global Catalog یک انبار مرکزی اطلاعات است که اطلاعات گزینش شده‌ای در خصوص اشیاء موجود در یک جنگل، درخت یا دامین را شامل می‌شود. به صورت پیش فرض Global Catalog روی اولین دامین کنترلر در جنگل (Forest) جدید ساخته می‌شود. دامین کنترلری که این انبار اطلاعات روی آن قرار داشته باشد، Global Catalog Server گفته می‌شود. در یک جنگل می‌توان هر دامین کنترلری را به عنوان Global Catalog Server تنظیم کرد.
   از آنجایی که از مکانیسم Multi Master در Replication استفاده می‌شود، مشکلی در همسان سازی اطلاعات به وجود نخواهد آمد. به صورت پیش فرض این اطلاعات گزینش شده، اطلاعاتی است که بیشتر مورد جستجو قرار می‌گیرد. همانند نام و نام خانوادگی کاربران. این صفات در Active Directory Schema معین می‌شوند. همان‌طور که گفته شد، یکی از وظایف Global Catalog فراهم آوردن امکان جستجو و یافتن اطلاعات است. از آنجایی که اطلاعات سراسر یک جنگل در دسترس است، بدون توجه به آنکه شیئی در چه دامینی است می‌توان به جستجو پرداخت.
   ۱۰) Error ip
   
   
   
   
   
   ۱۱- Location For Database. Log File. Sysvol
   ۱۲-Directory Services Restore Mode Aministrator Password:
   پسوردی که در این قسمت وارد می‌شود بسیار مهم است و در Recovery کردن Backup اکتیو دایرکتوری و در هنگام پاک کردن اکتیو دایرکتوری لازم است.
   ۱۳-Next → Install
   ۱۴- Restart
   
   اگر مراحل را از بالا به پایین به صورت پشت سر هم طی کرده باشید و در پایان ری استارت انجام شده باشد اکتیو دایرکتوری شما نصب شده است.
   
   ویندوز سرور (جلسه دوم) سرویس های اکتیودایرکتوری
   
   
3. 
   در جلسه پیش به ««اموزش نصب اکتیودایر کتوری»» پرداختیم؛ اکتیو دایرکتوری نخستین و ابتدایی ترین چیزی است که برای یک شبکه تحت ویندوز سرور نیاز است. اکنون به معرفی سرویس های آن می پردازیم.
   Active Directory Domain Services و سرویس های مرتبط آن، پیش نیاز و شکل دهنده‌ی شبکه های Enterprise بر اساس Microsoft Windows است. ADDS و سرویس های مشابه اطلاعاتی در مورد کاربران، کامپیوترها و سرویس های شبکه را نگه‌داری می‌کنند.
   
   این سرویس ها مکانیسمی برای (Authenticate شناسایی تشخیص هویت شدن) موارد ذکر شده را جهت دسترسی به منابع شبکه فراهم می آورند
   
   در مهندسی نرم افزار ، Directory یک راه حل هدایت کردن نام به مقدار است. به عنوان یک مثال ساده، می‌توان یک فرهنگ لغت را یک دایرکتوری در نظر گرفت که در آن معنای یک لغت (اسم) به معانی واژه (مقدار) مربوط شده است. در یک دفترچه تلفن، اسامی اشخاص (نام-گره) به شماره تلفن های آن ها (مقدار-اطلاعات) مرتبط می‌شود و در DNS، نام DNS به IP address ها مرتبط می شوند. به عبارت دیگر می‌توان گفت یک سرویس دایرکتوری تقریبا مشابه یک دیتابیس است.
   در یک دایرکتوری اشیائی که به نوعی مرتبط اند، ذخیره می شوند و از طریق صفاتشان قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده می‌شود. در سرویس دایرکتوری اطلاعات به صورت سلسه مراتبی نگه‌داری می‌شود همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگه‌داری می‌کند. با توجه به ارتباط میان اشیاء ، دسترسی از طریق صفات و نگه‌داری تمامی اطلاعات لازم، مدیریت اطلاعات مرکزی و آسان تر می‌شود. بدیهی است عمکرد سرویس های دایرکتوری که در سرویس های مختلف استفاده می گردد، متفاوت است.
   
   با توجه به اهمیت این سرویس، باید مکانیسم های امنیتی و مدیریتی دیگر برای اثر بخشی، یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکل‌ها و سرویس های دیگری نیز در کنار سرویس دایرکتوری استفاده شود.
   
   در اینجا Directory Services عاملی برای Identity and Access یا IDA را فراهم می آورد. راهکار های IDA، راهکارهایی هستند که به سازمان ها کمک می‌کنند تا کاربرانشان را مدیریت کنند و حقوق دسترسی آن ها به منابع را معین کنند. مایکروسافت مجموعه‌ای از راهکار های مختلف را جهت IDA ارائه می‌دهد که مشهورترین آن ها Active Directory Domain Services است. اکتیو دایرکتوری دامین سرویس در ۱۹۹۹ دیده شد و برای اولین بار همراه با ویندوز ۲۰۰۰ ارائه شد. پیش تر مایکروسافت نام NTDS را برای این سرویس انتخاب کرده بود.
   یک IDA باید بتواند:
   ۱- ذخیره سازی اطلاعات: کاربران، گروه‌ها، کامپیوترها، وسایل سخت افزاری تحت شبکه و سایر هویت های لازم در مفهوم جامع، هویت به هر شیئی فیزیکی یا منطقی که در شبکه نقش ایفا کند گفته می‌شود. بنابراین یکی از اجزای IDA باید محلی برای ذخیره سازی اطلاعات باشد که به آن Identity Store گفته می‌شود. Identity Storeدر اینجا همان Directory است. این دایرکتوری روی سرورهایی در شبکه نگه‌داری می‌شود که آن ها وظیفه اجرای AD DS را بر عهد دارند. به این سرورها، دامین کنترلر گفته می‌شود. در محیط اکتیودایرکتوری گاهی، به دامین کنترلر ها به اختصار “سرور” گفته شود و سایر رول های سروری به صورت کامل گفته شود همانند DNS سرور.
   ۲- تشخیص هویت: سرور به کاربر یا هر هویت دیگری اجازه نمی‌دهد به منابع شبکه دسترسی پیدا کند مگر آنکه آن هویت تشخیص هویت شود. اطلاعاتی که توسط کاربر یا هر هویت دیگری به سرور داده می‌شود با دایرکتوری مقایسه می‌شود و در صورت داشتن مجوز جهت دسترسی به آن Resource (منابع – همانند فایل) هویت می‌تواند دسترسی پیدا کند.
   ۳-کنترل دسترسی: پس از تشخیص هویت میزان دسترسی هویت باید باید معین گردد.
   ۴- روش های بازبینی: سازمان باید بتواند تغییرات و فعالیت هایی که در استفاده از IDA صورت می‌گیرد را بازبینی و مانیتور کند، بنابراین IDA باید مکانیسمی برایAuditing (بازبینی وقایع) داشته باشد.
   
   از مسیر زیر اکتیو دایرکتوری را باز کنید:
   
   Start → Administrative Tools → Active Directory Domain & User
   
   
   
   در این صفحه (اکتیو دایرکتوری) بخش های زیر را خواهید دید که توضیح مفصل آن در جلسات بعد نوشته خواهد شد.
   
   ۱- Builtin: در این قسمت یک سری گروه است که به صورت پیش فرض در اکتیو دایرکتوری ساخته شده است.
   
   ۲- Computers: در این قسمت نام computer هایی که join دامین شده اند را نشان می‌دهد.
   
   ۳- Domain Controllers: در این قسمت نام DC هایی که در درخت یا جنگل ما وجود دارد نشان داده می‌شود.
   
   ۴- Users: در این قسمت نام یوزرهایی که شبکه تعریف شده‌اند نشان داده می‌شود.
   
   ویندوز سرور (جلسه سوم) ساخت یوزر در اکتیودایرکتوری
4. 
   
   پس از معرفی سرویس های اکتیو دایر کتوری نوبت به ساخت کاربر در اکتیو دایرکتوری رسیده است. یکی از مواردی که می توانید در اکتیودایرکتوری تعیین کنید تعریف یوزر و ویژگی های آن می باشد. در ادامه با ما باشید.
   
   برای وارد شدن به بخش تعریف یوزر در ویندوز سرور از طریق نشانی زیر به اکتیو دایرکتوری بروید:
   
   Start → Administrative Tools → Active Directory Domain & User
   
   سپس به بخش Users بروید و در بخش اصلی کلیک راست کنید و گزینه New را از آپشن های موجود انتخاب کنید.
   
   اکنون ما می خواهیم یک یوزر ایجاد کنید پس، در منوی New، زیرمنوی User را انتخاب می کنیم.
   
   
   در صفحه ای که باز می شود در بخش First name و Last name و Full Name نام تان را به دقت وارد کنید (به انگلیسی) بخش Initials را می توانید خالی بگذارید.
   
   سپس در بخش User Logon name همچون ساخت آی دی یاهو، آوت لوک، جی میل و… نامی مناسب برای این اکانت انتخاب کنید که البته همگی با @domainnamm.com خاتمه می یابند.
   
   در بخش زیرین برای کامپیوترهایی که ویندوز قدیمی دارند و از دامین بدین صورت پشتیبانی نمی کند نام را می توانید وارد کنید.
   
   سپس برای روی گزینه Next کلیک کنید.
   
   در صفحه بعد رمز عبور این کاربر را دوبار وارد نمایید.
   
   تیک اول کاربر را مجاب می کند که در اولین ورودش رمز جدیدی انتخاب کند و رمز را تغییر دهد.
   
   تیک دوم جلوگیری می کند از تغییر رمز عبور به دست کاربر
   
   تیک سوم جلوگیری می کند از منقضی شدن پسورد
   
   تیک چهارم حساب را فقط می سازد ولی مسدود می گذارد یعنی غیرقابل استفاده تا بعداً فعال گردد.
   
   اکنون Next را بزنید تا مشاهده کنید که حساب کاربری ساخته شده است.
   
   اکنون به اکتیودایرکتوری بازگردید به بخش Users و روی کاربری که اکنون ساختید کلیک راست کنید و Properties را انتخاب کنید و سپس به تب Accounts بروید.
   
   بخش Logon Hours
   
   در این قسمت می‌توانیم مشخص کنیم که این یوزر می‌تواند چه ساعاتی از شبانه رو logon کند و چه ساعاتی نمی‌تواند به طور مثال این یوزر می‌تواند هر روز هفته از ساعت ۸ تا ۱۳ logon کند.
   
   بخش Log On to
   
   در این قسمت می‌توانیم مشخص کنیم که این یوزر فقط به یک Computer خاص Logon کند و نتواند به computer های دیگر Logon کند. به طور مثال این یوزر فقط می‌تواند به Computer با این نام فقط Logon کند.
   
   بخش Unlock Account
   
   زمانی که یک یوزر پیش از حد معلوم شده اشتباه پسورد خود را وارد کند آن یوزر بسته می‌شود و این گزینه فعال می‌شود که باید با مراجه به Active Directory این گزینه را غیر فعال کنیم.
   
   بخش Account Option
   
   
   در بخش اکانت آپشن شما می توانید تنظیمات هنگام ساخت کاربر را تغییر دهید، اگر موردی برای تان در این موارد گویا نبود در نظرات مطرح نمایید تا مفصل پاسخ داده شود ترجمه جمله ای این گزینه ها خارج از بحث می باشد.
   
   بخش Account Expires
   
   شما می توانید تاریخ غیرفعال شدن این اکانت را در این بخش مشخص کنید، برای نمونه کارمندی در شرکتی قرارداد یک ساله دارد پس مدیر آی تی آن شرکت بهتر است برای روزی که قراردادش از بین می رود تاریخ Expire شدن یا همان غیرفعال شدن اکانت را تنظیم کند تا زمانی که دیگر رسماً کارمند شرکت نبود دسترسی به سیستم نداشته باشد. گزینه Never هم برای یوزرهایی است که قصد داریم هیچ گاه غیر فعال نشوند.
   
   با تنظیم کردن و Ok زدن و خارج شدن اکنون به نشانی زیر بروید:
   
   Active Directory → Users → Any user → Right Click → Properties → Member Of
   
   Member Of به این معنی است که این یوزر عضوکدام گروه می باشد.
   
   به طور مثال این یوزر عضوی از گروه Administrator است. و یا می‌تواند عضو هر گروه دیگر در Active Directory شود برای نمونه حسابداران یک گروه، نگهبانان یک گروه و… دسترسی ها بر اساس گروه مشخص می شود که در جلسه های بعدی آموزش قرار خواهیم داد.
   
   اکنون به نشانی زیر بروید:
   
   Active Directory → Users → Any user → Right Click → Properties → Dial-in
   
   
   Network Access Permission
   
   در این قسمت می‌توان مشخص کرد که این یوزر می‌تواند دسترسی داشته باشد یا دسترسی آن بسته شود یا از طریق Policyهایی که تنظیم کردیم کنترل شود که دسترسی داشته باشد یا نه. که از این قسمت در بحث VPN که بعدا توضیح داده می‌شود استفاده می‌شود.
   
   ویندوز سرور (جلسه چهارم) ساخت گروه و کامپیوتر در اکتیو دایرکتوری
5. 
   
   در جلسه پیش به ساخت یوزردر اکتیو دایر کتوری پرداختیم؛ اکنون با مفهومی گسترده تر یعنی گروه و همچنین مفهومی فیزیکی یعنی کامپیوتر آشنا خواهید شد.
   
   ساختن Group در Active Directory :
   
   گروه‌ها کلاس مهمی از اشیاء اکتیو دایرکتوری هستند. گروه‌ها Container هایی هستند که برای جمع‌آوری کاربران استفاده می شوند. به این طریق، به جای مدیریت مستقیم روی کاربران، به مدیریت روی گروه‌ها می پردازیم که به شدت مدیریت را آسان می کند. یکی از موارد پر کاربرد می‌تواند مجوز های دسترسی به Shared Folderها باشد که می توان به برخی گروه ها دسترسی داد و به برخی این مجوز را نداد.
   
   به نشانی Active Directory → Users بروید سپس بر روی Users کلیک راست کنید و New و سپس Group را انتخاب کنید.
   
   
   گزینه های Group Scope
   
   Domain Local:
   
   این گروه از هر دامین در Forest می‌تواند عضوگیری کند اما فقط روی منابع موجود در دامین خود قابل دسترسی است.
   
   توضیح: forest یعنی چندین دامین
   
   Global:
   
   فقط از دامین خود عضوگیری می‌کند و از هر دامین قابل دسترسی است.
   
   Universal:
   
   از هر دامین در Forest عضوگیری می‌کند و از هر دامین هم قابل دسترسی است.
   
   گزینه های Group Type:
   
   Security:
   
   تمام گروه‌ها به صورت پیش فرض در Active Directory از نوع Security هستند.
   
   Distribution:
   
   از این نوع گروه برای ایمیل فرستادن به اعضای گروه استفاده می‌شود که در بخش Exchange (که بعداً در موردش صحبت خواهیم کرد) مورد استفاده قرار میگیرد.
   
   ساختن Computer در Active Directory:
   
   کامپیوترها در اکتیو دایرکتوری مشابه کاربرها دارای یک اکانت هستند؛ یعنی می توان گفت این کامپیوتر برای کار فلان باشد و اگر کسی دسترسی پایینی داشت ولی بر این کامپیوتر با دسترسی بالا لاگین کرد به منابع دسترسی داشته باشد. در واقع کامپیوترها هم در اکتیو دایرکتوری همان‌گونه که یک کاربر logon می‌کند، logon می‌کنند.
   
   به نشانی Active Directory → Users بروید و بر روی Users کلیک راست کنید و New و سپس Computer را انتخاب کنید.
   
   
   
   در جلسه بعد، به ساخت OU و توضیح پیرامون آن می پردازیم.
   ویندوز سرور (جلسه پنجم) ساخت OU در سرور
   
   پس از آموزش ساخت گروه وتعریف کامپیوتر در گروه ویندوز سرور اکنون با مفهوم بزرگتری به نام OU آشنا می‌شویم:
   
   OU یا Organizational Unit چیست؟
   
   یک OU در واقع یک Object یا همان شی است که درون اکتیو دایرکتوری تعریف می‌شود که این OUها خودشان باعث سازماندهی و نظم دادن به بقیه Objectهایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند، می‌شوند.
   
   همچنین کسانی که با اکتیو دایرکتوری کار کرده‌اند باید متوجه این مسئله باشند که OUها با Containerها فرق دارند. چرا که ما می‌توانیم به OUها Group Policy اعمال کنیم و حتی می‌توانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم؛ اما به Container این امکان وجود ندارد. در ضمن این را هم باید گفت که OUها را ادمین می‌سازد اما Containerها به صورت پیش‌فرض درون اکتیو دایرکتوری وجود دارند همچون کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و … هم به طور پیش فرض در آن هستند.
   
   دلایل ایجاد OU:
   
   ۱- دلیل اصلی ایجاد OU، مدیریت Objectهای شبکه است. معمولاً مدیریت Userها و Groupها به راحتی امکان‌پذیر است و مدیریت کمی می‌توان به Objectهایی مانند Computerها یا Serverها.
   
   نمونه‌ای از مدیریت Objectهای گفته شده را برای Userها و Groupها در اینجا مثال می‌زنیم
   
   Userها: ایجاد، حذف و ویرایش کاربران ایجاد شده درون اکتیو دایرکتوری.
   
   Groupها: ایجاد، حذف و ویرایش گروه‌های اکتیو دایرکتوری.
   
   ۲- دلیل دومی که برای ساختن OUها وجود دارد، گسترش GPOهایی است که قرار است اعمال کنیم. یعنی با این کار دستمان بازتر است. زیرا که بعد از تقسیم‌بندی کاربران و ایجاد OUهای متناظر با آن‌ها، حالا به راحتی با اعمال GPO به OUها می‌توانیم محدودیت‌هایمان را به راحتی اعمال کنیم که این کار علاوه بر اینکه باعث نظم اکتیو دایرکتوری می‌شود، باعث می‌شود به راحتی GPOها را مدیریت، رفع اشکال و گسترش داد.
   
   اصول طراحی ساختار OU:
   زمانی که حرف از طراحی ساختار OU می‌شود، سوالات و بحث‌های زیادی به میان می‌آید؛ و این کار به مراتب بهتر از زمانی است که ابتدا اکتیو دایرکتوری تان را راه بیندازید و سازمان‌تان را بچینید و آخر کار یادتان بیفتد که باید برای OUهایتان یک ساختار مناسب طراحی کنید و متأسفانه این کار غیر معقول در اکثر شرکت‌ها و سازمان‌ها پیش می‌آید که مجبور می‌شوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راه‌اندازی کنند. پس پیشنهاد می‌شود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OUهایمان طراحی کنیم.
   
   مواردی که هنگام طراحی ساختار Active Directory باید به آن‌ها توجه کرد عبارتند از:
   
   الف) باید مشخص کنیم که چه کسی قرار است مدیریت کاربران، گروه‌ها و کامپیوترها را داشته باشد؟
   
   ب) هر کسی که مسئول مدیریت کاربران، گروه‌ها و کامپیوترها است، آیا مسئول کل این اجزاء است یا قسمتی از مدیریت به او داده می‌شود؟
   
   ج) چه افرادی باید محدودیت‌هایشان مانند هم باشند و چه افرادی باید محدودیت‌هایشان با یکدیگر فرق بکند؟
   
   این تفاوت‌های بین کاربران، بر اساس نوع کاری که در سازمان می‌کنند مشخص می‌شود. برای نمونه مدیر شبکه قاعدتاً نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیت‌ها باید به مواردی مانند پرینترها، ساختار امنیتی سازمان، تنظیمات نرم‌افزارها، تنظیمات مرورگرها مانند Internet Explorer و…
   
   ساختن OU در Active Directory:
   
   به منوی استارت بروید از بخش Administrative Tools به دنبال Active Directory بگردید و سپس روی دامنه خود در فهرست کلیک راست کنید و New بزنید و از آن جا Organization Unit را انتخاب کنید: (همچون تصویر زیر)
   
   
   
   در قسمت Name، نام OU را وارد می‌کنیم.
   
   
   
   در قسمت Protect Container from accidental deletion اگر این گزینه را انتخاب کنیم OU ساخته شده حذف نمی‌شود
   [/LIST]
   [SIZE=6][B]ویندوز سرور (جلسه ششم) گروپ پالیسی[/B][/SIZE]
   ر جلسه پیش اموزش ساخت OU در ویندوز سرور را قرار دادیم و اکنون به مبحث قوانین و سیاست های مربوط به گروه می رسیم که در ادامه قدم به قدم آموزش داده می شود.
   
   [B]Group Policy[/B] (گروپ پالیسی) یا همان سیاست گروه در سرور ساختاری است که برای اعمال مجموعه‌ای از تنظیمات یا سیاست ها (حال یا امنیتی یا غیرامنیتی) به مجموعه‌ای از کاربران و کامپیوترهای یک ساختار اکتیودایرکتوری به کار می رود. شما از طریق Group Policy یا به اختصار GP می‌توانید یک سری تنظیمات امنیتی و کاربری را در سیستم‌تان انجام دهید؛ در کامپیوترهای Local یا کامپیوترهایی که به عنوان سرور استفاده می‌شدند و دارای دامین کنترلر و اکتیودایرکتوری نیستند. شما می‌توانستید یک GP را به مجموعه‌ای از کاربران Assign یا اعمال کنید ولی در شبکه که دارای دامین کنترلر و اکتیودایرکتوری است شما می‌توانید بی نهایت GP را به کامپیوترها، کاربران و OU ها Assign کنید ، Group Policy دراین شبکه ها یک Object می باشد و شما می‌توانید به ازای هرکدام از Object ها در دامین تان، یک Group Policy داشته باشید، از این رو آن را Group Policy Object یا به اختصار GPO می‌نامند. نکته‌ی دیگری که باید دقت کنید این است که شما به یک کاربر یا کامپیوتر بیشتر از ۹۹۹ عدد GPO نمی‌توانید اعمال کنید.
   
   [B]سطوح مختلف اعمال Group Policy:[/B]
   
   [B]Group Policy درسطوح مختلفی وجود دارد که از نظر اولویت به ترتیب زیر می‌باشند:[/B]
   Local Group Policy → اولویت اول
   
   Site Group Policy → اولویت دوم
   
   Domain Group Policy → اولویت سوم
   
   OU Group Policy → اولویت چهارم
   
   همان‌طور که از اسم هر سطح پیداست، LGP همان GP مربوط به سیستم‌های local است. DGP هم GP های اعمال شده به دامین کنترلر می باشد.SGP هم GPهای اعمال شده به سایت (به فضایی که سیستم ها در آن قرار می‌گیرند سایت گفته می‌شود) می‌باشد و UGP هم GP هایی است که به هر OU اعمال می‌شود. حال نکاتی را باید در نظر داشته باشید:
   
   به صورت پیش فرض تمامی سیستم ها قبل از آنکه به عضویت دامین در آیند از LGP یا local group policy تبعیت می‌کنند.
   
   به صورت پیش فرض اگر به هیچکدام از OU ها یا سایت، GP اعمال نشود، از GP مربوط به دامین استفاده می‌کنند.
   
   [B]اضافه کردن یک GPO به OU:[/B]
   
   به Server Manager می رویم از آنجا Features و سپس به فارست مان می رویم در اینجا مثلاً Forest:mohandeseit.ir و سپس به Domains می رویم و بر روی دامنه مورد نظر کلیک می کنیم. اکنون بر روی نام OU کلیک راست می کنیم و GPO in this domain را می سازیم.
   
   [IMG]http://mohandeseit.ir/wp-content/uploads/gpo_microsoft_server_1.jpg
   
   [B]آشنایی با تب های موجود در تنظیمات OU و GPO:[/B]
   
   با کلیک بر روی GPO مد نظر در سمت راست تصویر یک سری تنظیمات را مشاهده می‌کنید به شکل زیر نگاه کنید :
   
   در تب Scope می‌توانیم ببینیم که این GPO به کجاها Assign شده است. در قسمت Links می‌بینیم که این GPO به چه Siteها ، Domainها و یا OUهایی Assign شده و در قسمت پایین‌تر یعنی Security Filtering می‌توانید مشخص کنید که این GPO چه یوزرها، گروه‌ها و یا کامپیوترهایی را تحت تاثیر قرار داده است، همان‌طور که مشاهده می‌کنید در اینجا Authenticated users به صورت پیش‌فرض وجود دارد به این معنی که GPO ساخته شده می‌تواند تمامی یوزرها، گروه‌ها و یا کامپیوترهایی که احراز هویت شده اند و دارای username و password ( که البته این پسورد می‌تواند blank باشد ) هستند را تحت تاثیر قرار می دهد.
   
   [IMG]http://mohandeseit.ir/wp-content/uploads/gpo_microsoft_server_2.jpg
   
   تب بعدی Details هست که در آن می‌توانید وضعیت GPO را مشاهده کنید همچنین می‌توانید تعیین کنید که این GPO به کامپیوترها اعمال شود یا یوزرها ، هیچ کدام و یا هر دو آن‌ها .
   
   تب بعد Setting هست که گزارش می‌دهد که چه تغییراتی در این GPO انجام شده.
   
   
   
   
   
   و در تب آخر که Delegation هست شما می‌توانید انجام یک سری از تنظیمات را به کاربران واگذار کنید. از آنجا که در شبکه های بزرگ یا متوسط، چندین نفر در بخش شبکه مشغول فعالیت هستند از این رو هر شخص وظایف مختلفی خواهند داشت. در این بخش شما می‌توانید کارها را در شبکه تقسیم بندی کنید و به هر شخص متناسب با کاری که باید انجام دهد، دسترسی هایی را تعریف کنید. بدین صورت که یک یوزر را Add می‌کنید بعد روی یوزر کلیک کرده و Advanced را می‌زنید و Permission های مد نظر خود را اعمال می‌کنید.
   
   خوب حال در سمت چپ شما می‌توانید کلیه OU هایی که ایجاد کرده‌اید را مشاهده کنید. اگر بر روی هر OU درسمت چپ کلیک کنید گزینه های زیر را مشاهده خواهید کرد، با هم نگاهی کوتاه به آن‌ها می اندازیم:
   
   تب اول Linked Group Policy Objects که GPOهای لینک شده به OU را به ترتیب اولویت نشان می‌دهد.
   
   تب دوم Group policy Inheritance هست که نشان می‌دهد که چه GPOهایی و با چه اولویت‌هایی به آن Assign شده اند.
   
   و تب سوم Delegation هست که برای واگذاری تغییر تنظیمات به عهده کاربر است.
   
   ترتیب اثر در OU Group Policy:
   
   ترتیب اثر و اولویت پالیسی‌ها به گونه‌ای هست که چنان‌چه یک Policy در OU والد تنظیم شده باشد و در OU فرزند نیز همان Policy تنظیم شده باشد، Policy فرزند بر Policy والد برتری خواهد داشت و سیاست فرزند اعمال خواهد شد. در واقع Policy والد بی اثر خواهد بود. پس Policy والد در اولویت است. برای مثال به شکل روبرو نگاه کنید:
   
   در این شکل در مواقعی که دو یا چند پالیسی یکسان در GPOها اعمال شده باشد Policy 2 بر روی Policy1 اولویت داشته و همچنین Policy3 بر تمامی این‌ها اولویت دارد یعنی اگر تنظیماتی در Policy 3 داشته باشیم و مشابه آن را در Policy 1 و Policy 2 داشته باشید، سیاست‌های در Policy 1 در شبکه اعمال می‌شود.
   اگر بخواهیم کاری کنیم که یک OU تنظیمات خود را از بالاسری خود نگیرد چه کنیم؟ در این حالت روی OU مد نظر راست کلیک کرده و Block Inheritance را میزنیم ، همچنین با راست کلیک بر روی GPO و انتخاب Enforce کاری می‌کنیم که GPO ما، تنها سیاست‌های اعمال شده‌ی خود را در بالاترین اولویت قرار دهد.
   
   به بیانی دیگر اگر ما بر GPO مد نظر خود Enforce را بزنیم در صورتی که همان Policy در GPOهای دیگر وجود داشته باشد، Policy ای که در GPOی Enforce شده وجود دارد اولویت بالاتری داشته و اعمال می‌شود. از ترکیب Enforce و Block Inheritance در یک GPO می‌توانیم کاری کنیم که تنها تنظیماتی که در آن GPO داشته‌ایم در بالاترین اولویت قرار گیرد همچنین هیچ تنظیماتی را هم از بالاسر خود هم نگیرد.
   
   حالا اگر چند GPO را یک‌جا در OU داشتیم چطور اولویت آن را تعیین کنیم؟ شما خیلی راحت می‌توانید با کلیک بر OU مورد نظر در سمت راست، در تب Policy Objects Linked Group لیست GPOهای لینک شده را به ترتیب اولویت مشاهده و با ابزاری که در شکل مشخص شده اولویت آن را تغییر دهید.
   
   
   
   چند Policy مهم در GPO:
   
   ۱- مدیریت Account :
   
   Server Manager →Features → Group Policy Managment →Forest:google.com →Domains →google.com →Difault Domain Policy →Right Click →Edit →Computer Configuration →Policies→Windows Setting →Security Setting →Account Policies→Password Policy
   
   
   
   
   
   ۲- مدیریت Control Panel , Desktop ,… :
   
   Server Manager →Features → Group Policy Managment →Forest:google.com →Domains →google.com →Difault Domain Policy →Right Click →Edit →User Configuration →Policies→Administrative Template→Control Panel ; Desktop ; Network ; Folder Sharing
   ویندوز سرور (جلسه هفتم) نصب نرم افزار از طریق سرور
   در جلسه پیش، گروپ پالیسی در ویندوز سرور و ویژگی های آن و پالیسی های مهم شبکه آموزش داده شد. اکنون نصب نرم افزار در شبکه به صورتی که با یک بار نصب بر روی تمامی سیستم ها به صورت خودکار نصب شود آموزش داده می شود. در پایان این آموزش پالیسی ها باید آپدیت شود که در ادامه با چند و چون آن آشنا خواهید شد.
   
   نصب نرم افزار تحت شبکه:
   
   می‌خواهیم توسط Group Policy Object یک یا چند نرم افزار را بر روی client هایی که join دامین می‌شوند به صورت اتوماتیک نصب کنیم بدون دخالت هیچ یک از یوزرها.
   برای انجام این کار باید فرمت نرم افزاری که می‌خواهیم تحت شبکه نصب کنیم .msi باشد در این‌جا دیگر نمی‌توان از فرمت .exe استفاده کرد یعنی فرمت EXE قابل نصب بر شبکه مایکروسافتی نیست.
   
   نکته دیگری که باید به خاطر داشته باشیم این است که ابتدا باید نرم افزار در Group Policy Object تعریف شود و سپس بر روی دامین نصب شود آنگاه client هایی کهJoin دامین می‌شوند این نرم افزار به صورت اتوماتیک بر روی آن‌ها نصب می‌شود.
   
   باید ابتدا یک Map Derive بسازیم برای ساخت Map drive مراحل زیر باید گذرانده شود:
   
   اول یک New Folder می‌سازیم آن را Share می‌کنیم و سپس توسط آن یک Map Derive می‌سازیم و پس از آن باید Network Discovery را هم enable کنیم.
   
   فعال کردن Network Discovery:
   
   از طریق کنترل پنل با طی کردن مسیر زیر Network Discovery را می توان فعال کرد:
   
   Control Panel → Open and Network Sharing Center → Change Advanced Shering Setting→ Enable Network Discovery
   
   نکته: چنان چه بعد از Enable کردن دوباره به صورت اتوماتیک Disable شد آنگاه باید از طریق فعال سازی چند Service این کار را انجام دهیم که دیگر چنین خطایی رخ ندهد. برای فعال سازی Run را باز کنید در آن Services را تایپ کنید. سپس در لیستی که باز می شود بر روی چهار مورد سرویس زیر کلیک راست کرده و Start را بزنید.
   
   ۱-DNS Client
   ۲-Function Discovery Resource Publication
   ۳-SSDP Discovery
   ۴-UPnP Device Host
   
   پس از فعال سازی این سرویس ها حال Network Discovery دیگر Disable نمی‌شود.
   
   حال برای ساختن Map Derive به My Computer میرویم.
   
   
   
   
   
   همچون تصویر بالا بر روی map network drive کلیک می کنیم.
   
   در صفحه ای که باز می شود (همچون عکس زیر) باید آن New Folder که Share کردیم را انتخاب کنیم.
   
   
   
   
   
   با انتخاب کردن پوشه مورد نظر و ok کردن و پس از آن زدن گزینه Finish یک Map Drive ساخته می‌شود.
   
   حال نرم افزاری که فرمت آن .msi است را در این Map Derive کپی می‌کنیم.
   
   
   
   بعد از کپی شدن نرم افزار در Map drive به Group Policy Object می رویم و نرم افزار را در آن قسمت ثبت کنیم. برای این کار مسیر زیر طی می شود:
   
   Default Domain Policy → Right click* → Edit →Computer Configuration →Policies →Software Setting →Software Installation → Right Click* → New → Package
   
   سپس نرم افزار مورد نظر را انتخاب کرده و Open می‌کنیم.
   
   صفحه ای همچون عکس زیر باز می شود:
   
   
   
   در این قسمت باید نوع نصب شدن نرم افزار بر روی Client ها رو مشخص کنیم.
   
   Published: در این نوع نرم افزار به Client ها منتقل می‌شود ولی به صورت اتوماتیک نصب نمی‌شود و یوزر خودش باید نرم افزار رو نصب کند.
   
   Assigned: در این نوع نرم افزار به صورت کاملا اتوماتیک و بدون هیچ گونه دخالت یوزرها نصب می‌شود.
   
   Advanced: در این نوع فرآیند نصب نرم افزار به صورت اتوماتیک اجرا می‌شود و یوزر باید مراحل نصب را انجام دهد.
   
   پس از انجام این مراحل Policy ها رو باید آپدیت کنیم. برای آپدیت کردن پالیسی های سرور CMD را باز می کنیم (همچون تصویر زیر) و کد gpupdate/force را تایپ می کنیم و پس از انجام خودکار مراحل تاییدیه ری استارت سیستم (یعنی تایپ حرف Y) را انجام می دهیم.
   
   
   
   
   
   سیستم Restart می شود. پس از آن در هنگامی که سیستم در حال بالاآمدن است نرم افزار بر روی سیستم نصب می‌شود و بعد از آن هر سیستمی که Join این سیستم شود نرم افزار بر روی آن به صورت اتوماتیک نصب خواهد شد
   ویندوز سرور (جلسه هشتم) تمامی سرویس های اکتیو دایرکتوری
   
   
   در جلسه پیش آموزش نصب نرم افزار از طریق ویندوزسرور در شبکه را آموختیم به گونه ای که با یک بار نصب در ویندوز سرور بر روی تمامی سیستم های تحت آن شبکه نصب شود که از سرویس های Active Directory Domain & Users بود اکنون وقت معرفی چهار سرویس دیگر از سرویس های پنج گانه اکتیودایرکتوری است. در ادامه با ما همراه باشید:
   
   Active Directory Lightweight Directory
   
   ۱- سرویس Active Directory Lightweight Directory چیست؟
   
   سرویس Active Directory Lightweight Directory یا به اختصار AD LDS یکی از سرویس‌های پنج‌گانه مرتبط با تکنولوژی اکتیودایرکتوری در ویندوز سرور ۲۰۰۸ است. در ویندوز سرور ۲۰۰۳ سرویسی مشابه AD LDS به نام Active Directory Application Mode یا به اختصار ADAM موجود بود که اکنون AD LDS با برتری‌هایی که نسبت به ADAM دارد جایگزین شده است. همان‌طور که از اسم این سرویس مشخص است سرویسی کوچک شده از سرویس AD DS است که در واقع مهم‌ترین وظیفه آن پشتیبانی از نرم‌افزارهایی است که به سرویس دایرکتوری برای فعالیت خود نیازمندند اما در شبکه بنا به دلایلی نصب AD DS را مناسب نمی‌دانیم و یا ترجیح می‌دهیم سرویس AD DS دست نخورده باقی بماند.
   یک مثال پرکاربرد، نرم افزار Microsoft Exchange Server 2007 است که تمام اطلاعات کاربران در این برنامه با سرویس دایرکتوری نگه‌داری می‌شود. زمانی که Microsoft Exchange Server 2007 را نصب می‌کنید، در AD DS Schema مواردی را اضافه می‌کند که تقریبا شاید حجم را به ۲ برابر می رساند. تغییر روی Schema شاید کار جالبی نباشد چرا که این تغییر همیشگی است و غیرقابل حذف شدن است، هرچند می‌توان آن را غیر فعال کرد.
   از طرفی، روز به روز شاهد افزایش تعداد برنامه هایActive Directory integrated (برنامه های یکپارچه با اکتیودایرکتوری) هستیم که بسیاری از آن‌ها Schema را ویرایش می‌کنند. با توجه به آنکه ممکن است نخواهید یک برنامه Schema را در محیط اکتیو دایرکتوری شما ویرایش کند، راهکار AD LDS بسیار راهکار خوبی است. البته در آینده در خصوص بهترین طراحی اکتیو دایرکتوری و سناریوهای مرتبط با هر کدام از سرویس های پنج‌گانه صحبت خواهم کرد.
   در هر حال زمانی که قصد نصب یک نرم افزار که Schema را تغییر می‌دهد دارید باید با دقت کافی عمل کنید چرا که سرویس اکتیو دایرکتوری برای سالیان بسیاری در محیط کاری شما باقی می‌ماند. حتی با به روز شدن نسخ ویندوز سرور و سرویس اکتیو دایرکتوری، از مهاجرت به نسخه جدید تر ویندوز و یا Upgrade استفاده خواهید کرد بنابراین اگر تغییری در Schema ایجاد شود ممکن است تا بیش از یک دهه باقی بماند.
   حال ممکن است از نرم افزار اتوماسیون اداری استفاده می‌کنید که Schema را ویرایش می‌کند، با عوامل مختلفی ممکن است آن نرم افزار دیگر تولید نشود و یا در هر عوامل دیگری ایجاد شود که مجبور خواهید شد از نرم افزار دیگری استفاده کنید. همانند آن‌که آن برنامه دیگر نیازهای سازمان شما را برآورده نمی‌کند و به استفاده از نرم افزار دیگری روی می آورید. اکنون با توجه به آنکه تغییرات روی Schema قابل حذف نیستند، بسیاری از اطلاعات بیهوده نگه‌داری می شوند، زمان replication بالا می رود و… .
   
   Active Directory Certificate Services
   
   ۲- Active Directory Certificate Services چیست؟
   سازمان ها با استفاده از AD CS می‌توانند از امضای دیجیتال و زیرساخت های کلید عمومی برای تشخیص هویت استفاده کنند. پشتیبانی تشخیص هویت کاربران با استفاه از Smart Card (کارت هوشمند) و پشتیبانی از نرم افزار ها همانند Encrypted File System یا EFS؛ Internet Protocol Security یا IPSec و… به عمل می‌آید. AD CS یک روش موثر و ایمن برای مدیریت مجوز (Certificate) ها ارائه می‌دهد.
   
   Active Directory Rights Managment Services
   
   ۳- Active Directory Rights Managment Services چیست؟
   Active Directory Rights Management Services یا به اختصار AD RMS یکی از سرویس های Active Directory است که جهت حفاظت از حقوق معنوی اطلاعات و دارایی های سازمان به کار گرفته می‌شود. گزارشات مالی، مشخصات و طراحی های محصولات، فایل های مولتی مدیا و ایمیل های محرمانه مثال های مناسبی از این موارد هستتند. AD RMS از هر نوع داده باینری محافظت می‌کند و حقوق استفاده از اطلاعات همواره با اطلاعات باقی می ماند به عبارت دیگر، حتی خارج از شبکه سازمان اطلاعات محافظت شده باقی می مانند.
   علاوه بر یکپارچگی با Active Directory Domain Services این سرویس با Active Directory Certificate Services برای زیرساخت کلید عمومی و با Active Directory Federation Services برای پشتیبانی از حفاظت حقوق در ماورای فایروال یکپارچه شده است.
   اطلاعات AD RMS شامل تنظیمات و log ها در یک Database ذخیره می گردد که در محیط آزمایشی می‌توانید از Windows Internal Database یا WID استفاده کنید اما در محیط عملیاتی توصیه می گردد از یک SQL Server روی یک سرور جداگانه استفاده کنید. این امر سبب می گردد امکان Load balancing برای سرورهای AD RMS به وجود آید و در صورت استفاده از WID از آنجا که اطلاعات تنها به صورت local قابل دسترس هستند این امکان وجود ندارد. همچنین IIS 7.0 برای Web Services و Microsoft Message Queuing برای تراکنش‌ها لازم اند. AD RMS برای تشخیص هویت کاربران به AD DS نیاز دارد.همچنین از Microsoft Federation Gateway نیز پشتیبانی به عمل می‌آید. در تصویر زیر نحوه ارتباط این سرویس ها با هم به خوبی مشخص شده است.
   
   
   
   
   
   Cluster ها شامل یک یا چند سرور AD RMS هستند.به صورت پیش فرض، با نصب اولین سرور AD RMS یک Root Cluster ایجاد می‌گردد. یک Root Cluster هم عملیات Certification و هم Licensing (دو عملیاتی که AD RMS انجام می‌دهد) را بر عهده خواهد داشت. امکان ایجاد سرورهای Licensing Only وجود دارد. Cluster ها تنها زمانی در دسترس قرار می‌گیرند که database روی یک سرور دیگر نصب شده باشد. هر زمان که یک سرور AD RMS جدید ایجاد می‌کنید، آن سرور به cluster مربوطه یکپارچه می گردد. مایکروسافت به دلایل زیر توصیه می‌کند تنها از root role استفاده گردد:
   ) Root Cluster می‌توانند تمام عملیات مربوط به AD RMS را انجام دهند).
   سرورهای Root و licensing Only به یکدیگر غیر مرتبط اند و نمی‌توانند با یکدیگر Load Balance شوند در حالی که اگر تمام سرورها root باشند با یکدیگر می‌توانند load balance گردند.
   برای مدیریت AD RMS چهار گروه کاربری به صورت Local به صورت پیش فرض، ایجاد می گردد. این گروه‌ها عبارت اند از:
   
   A- AD RMS Enterprise Administrator
   B- AD RMS Template Administrator
   C- AD RMS Auditors
   D- AD RMS Services
   
   Active Directory Federation Services
   
   ۴- Active Directory Federation Services چیست؟
   با ظهور Active Directory Federation Services در ویندوز سرور ۲۰۰۸ باری دیگر کنترل روی شبکه داخلی از خارجی دگرگون شد. AD FS در واقع کار کردی مشابه روابط Trust را دارد اما نه با استفاده از LDAP با استفاده از HTTPS و پورت رایج ۴۴۳٫ برای این منظور AD FS وابسته به AD CS است تا برای هر سرور در پیاده سازی AD FS یک Certificate صادر کند. AD FS همچنین با گسترش AD RMS (Active Directory Rights Management Services) باعث مدیریت ساده تر روی Partners می‌شود.
   
   
   
   
   
   اساسا؛ AD FS وابسته به AD DS داخلی هر partner است. زمانی که یک کاربر می خواهد به یک برنامه یکپارچه با AD FS دسترسی پیدا کند، AD FS درخواست را به AD DS داخلی ارجاع می‌دهد و اگر کاربر مجوز دسترسی لازم را داشته باشد، برای استفاده از برنامه خارجی مجوز لازم صادر می‌شود. مزیت این روش آن است که هر سازمان همکار (Partner) تنها لازم است که اطلاعات تعیین هویت در شبکه داخلی خودش را مدیریت کند و AD FS بقیه کار ها را انجام می‌دهد. به طور خلاصه؛ زمانی که نیاز به Partnership با یک سازمان دیگری وابسته به دایرکتوری داخلی باشد، AD FS پیاده سازی می‌شود.
   به عبارت جامع تر، Active Directory Federation Services یک موتور SSO یا Single Sing-On است که امکان Authentication برای کاربران یک نرم افزار تحت وب را فراهم می آورد. SSO یک خاصیت سیستم های کنترل دسترسی است که در آن کاربر یک بار logon کرده و برای دسترسی به سایر سیستم های مربوط (و نه وابسته) نیاز به logon مجدد ندارد. استفاده از SSO مزایای بسیار زیادی همانند کاهش هزینه، افزایش بهره بری و صرفه جویی در وقت را دارد. مزایای مدیریتی AD FS بسیار مشهود است. با استفاده از AD FS نیازی به استفاده از AD LDS برای Primeter Network نیست و تنها عملیات مدیریتی روی یک دایرکتوری انجام می‌شود. کاربران تنها لازم است یک کلمه عبور را به یاد داشته باشند و احتمال فراموش کردن کلمه عبور کاهش می یابد. ضمن آنکه تنها یک بار کلمه عبور از کاربر سوال خواهد شد.
   برای روابط B2B – Business to Business استفاده از AD FS می‌تواند بهترین شکل ممکن پیاده سازی باشد. معمولا کمپانی های این سناریو ها به شکل زیر هستند (در یکی از دو دسته زیر جای می گیرند):
   الف: Resource Organization زمانی که یک کمپانی منابعی همانند یک وب سایت را در دسترس کمپانی دیگر قرار می‌دهد از AD FS استفاده می‌کند. در این حالت این چون این کمپانی Shared Resource را روی perimeter Network خود قرار می‌دهد، Resource Organization گفته می‌شود.
   ب: Account Organization زمانی که یک کمپانی در partnership با یک resource organization قرار می‌گیرد، یک Account Organization تلقی می‌شود چون؛ این کمپانی باید اکانت های کاربری را در طراحی SSO مدیریت کند تا به resource مورد نظر دسترسی پیدا کنند.
   AD FS همچنین یک متد Authentication دیگری را پشتیانی می‌کند. در طراحی یک Web SSO کاربران می‌تواند از هر مکانی با استفاده از اینترنت authenticate شوند.