مایکروسافت سرور (جلسه اول) نصب اکتیو دایرکتوری
- با درود بر شما؛ این نخستین بخش از آموزش های مایکروسافت سرور می باشد. ما فرض را بر این می گیریم که شما Microsoft server2008 R2 را بر روی سیستم نصب کرده اید؛ چرا این گونه فرض می کنیم؟ چون نصب ویندوز سرور به سادگی نصب ویندوز کلاینت (معمولی) می باشد
آموزش را به صورت بخش به بخش پیش می رویم و بخش های گوناگون سرور را معرفی و روش نصب و استفاده را ذکر می کنیم و صد البته که این آموزش ها بی نقص نیستند پس با نظرات، پرسش ها و دیدگاه های تان، ما را در ادامه دادن این مسیر، که همان عرضه رایگان دانش است کمک نمایید.
Active Directory Domain and User چیست؟
Active Directory (اکتیو دایرکتوری) یا دایرکتور فعال، سرویس و قابلیتی بر روی سیستمهای ویندوزی شرکت مایکروسافت است که امکان ذخیرهسازی کلیه Objectهای شبکه نظیر کاربران، قوانین و سیاستها و … را به مدیران شبکه و همچنین کاربران آن میدهد. Active Directory از یک ساختار ذخیرهسازی منظم مبتنی بر منطق و حفظ خاصیت وراثت دایرکتوریها استفاده میکند.
به بیان سادهتر Active Directoryسرویسی است برای کنترل و مدیریت هر آنچه که در شبکه کامپیوتری شما اتفاق میافتد. این سرویس به تنظیمات شبکه ما سرعت، دقت و نظم میبخشد و بستری را ایجاد میکند تا شبکه کامپیوتری خود را مدیریت کنیم. کلیه منابع به اشتراک گذاری مانند دایرکتوریها، پرینتر، سرویسهای مختلف، Volumeها، حساب کاربران شبکه و کامپیوترهای مختلف همگی Objectهایی هستند که توسط Active Directory مدیریت میشوند.
امنیت امری است آمیخته با Active Directory و با Authentication برای دسترسی به یک منبع شروع شده و با تنظیم کنترل دسترسی به فولدرهای مختلف اثر خود را در شبکه نشان میدهد.
تنها با یک login به سیستم این امکان برای مدیر شبکه فراهم میشود تا دسترسی کاربران به منابع مختلف سرور و شبکه را در اختیار گرفته و آنها را مدیریت کند. همچنین مدیر شبکه میتواند با تعریف سیاستهای مختلف و اختصاص آنها به Objectهای مختلف بخشی از نگرانیها و سیاستهای سازمان را در قالب آنها به شبکه تحمیل نماید.
نصب Active Directory Domain & User:
۱- Server Manager را باز کنید سپس به بخش Roles بروید و مسیر زیر را دنبال کنید:
Add Roles → Active Directory Domain Services → Next → Install
۲- Start → Run → dcpromo
پس از نصب به Start بروید و Run را باز کنید (کلید ترکیبی Win+R) و در آن dcpromo را نصب کنید.
۳-Error Aministrator
۴- Switch User → Administrator
با خطایی همچون بالا مواجه شدید باید فراموش نکنید که با یورز administrator به سیستم وارد شوید.
۵- Active Directory Domain Services Installation Wizard →Next → Operating System Compatibility → Next
مراحل را همان گونه که می بینید طی کنید.
۶- Choose a Deployment Configuration:
یکی از موارد زیر را انتخاب کنید:
Existing Forest:
برای زمانی که میخواهیم یک دامین را در یک Forest عضو کنیم.
Create a New Domain in a New Forest:
برای زمانی که میخواهیم یک دامین جدید در یک forest جدید بسازیم.
۷- Name the Forest Root Domain → Full Qualified Domain Name (FQDN) → Example: google.com
۸- Set Forest Functional Level:
Functional Level در یک تعریف ساده ویژگیها و مُدهای عملیاتی Active Directory هستند که به هر نسخه از سیستم عامل ویندوز سرور اضافه میشوند و قابلیتهایی ویژهای برای DC که تحت آن نسخه از سیستم عامل پیادهسازی شده است فراهم میکنند. شما هنگام نصب یک DC میتوانید تعیین کنید که آن DC در سطح Domain و Forest طبق چه مُد از Functional Level کار کند.
این موضوع از این لحاظ اهمیت دارد که DCهای زیادی در سطح Domain و Forest فعال هستند که باید دارای Functional Level مناسب برای انجام صحیح وظایف و برقراری ارتباط با یکدیگر باشند. Functional Level در دو بخش طبقهبندی میشود:
الف-Domain Functional Level: ویژگیهایی از Active Directory که در یک Domain قابل دسترس هستند مشخص کرده و همچنین نسخهای از ویندوز سرور را که میتواند به عنوان DC در Domain فعال باشد تعیین میکند.
ب-Forest Functional Level: ویژگیهایی از Active Directory که در یک Forest قابل دسترس هستند مشخص کرده و همچنین نسخهای از ویندوز سرور را که میتواند به عنوان DC در Forest فعال باشد تعیین میکند.
اما نسخههایی از Functional Level تا Windows Server 2008 R2 عبارتند از:- Windows 2000
- Windows 2003
- Windows 2008
- Windows 2008 R2
اما مفهوم کاربردی این مطالب چیست؟ فرض کنید شما در Windows Server 2008 R2 دامنهای راهاندازی کرده و در هنگام تعیین Functional Level نسخهWindows ۲۰۰۳ را برای Domain و Forest انتخاب کردهاید. در این حالت شما برای اضافه کردن هر DC دیگر به صورت Child و یا Additional میتوانید کامپیوتری را که سیستم عامل آن نسخه Windows 2003 به بعد است انتخاب کنید (یعنی Windows 2003, 2008 , 2008 R2, 2012) به فرض در این شرایط اگر بخواهید کامپیوتری با سیستم عامل Windows 2000 را به عنوان DC به این دامنه اضافه کنید با پیغام خطای Functional Level روبرو خواهید شد. حال فرض کنید اگر در ابتدا در هنگام تعیین Functional Level نسخه Windows 2008 R2 را انتخاب کرده باشید فقط میتوانید از DC با سیستم عامل Windows 2008 R2 و Windows server 2012را به دامنه خود اضافه کنید.
به یاد داشته باشید Functional Level را پس از انتخاب میتوان به سمت نسخه بالاتر تغییر داد اما به سمت نسخه پایین خیر.
۹-Additional Domain Controller Options → Gelobal Catalog:
اکتیو دایرکتوری امکان یافتن منابع همانند پرینترها، فایلها و کاربران را فراهم میکند. یک سرویس کاتالوگ، شامل اطلاعات برگزیدهای از هر دامین در خصوص هر شیئیی است. Global Catalog سرویسی است که در اکتیو دایرکتوری برای یافتن منابع استفاده میشود.
Global Catalog یک انبار مرکزی اطلاعات است که اطلاعات گزینش شدهای در خصوص اشیاء موجود در یک جنگل، درخت یا دامین را شامل میشود. به صورت پیش فرض Global Catalog روی اولین دامین کنترلر در جنگل (Forest) جدید ساخته میشود. دامین کنترلری که این انبار اطلاعات روی آن قرار داشته باشد، Global Catalog Server گفته میشود. در یک جنگل میتوان هر دامین کنترلری را به عنوان Global Catalog Server تنظیم کرد.
از آنجایی که از مکانیسم Multi Master در Replication استفاده میشود، مشکلی در همسان سازی اطلاعات به وجود نخواهد آمد. به صورت پیش فرض این اطلاعات گزینش شده، اطلاعاتی است که بیشتر مورد جستجو قرار میگیرد. همانند نام و نام خانوادگی کاربران. این صفات در Active Directory Schema معین میشوند. همانطور که گفته شد، یکی از وظایف Global Catalog فراهم آوردن امکان جستجو و یافتن اطلاعات است. از آنجایی که اطلاعات سراسر یک جنگل در دسترس است، بدون توجه به آنکه شیئی در چه دامینی است میتوان به جستجو پرداخت.
۱۰) Error ip
۱۱- Location For Database. Log File. Sysvol
۱۲-Directory Services Restore Mode Aministrator Password:
پسوردی که در این قسمت وارد میشود بسیار مهم است و در Recovery کردن Backup اکتیو دایرکتوری و در هنگام پاک کردن اکتیو دایرکتوری لازم است.
۱۳-Next → Install
۱۴- Restart
اگر مراحل را از بالا به پایین به صورت پشت سر هم طی کرده باشید و در پایان ری استارت انجام شده باشد اکتیو دایرکتوری شما نصب شده است.
ویندوز سرور (جلسه دوم) سرویس های اکتیودایرکتوری
در جلسه پیش به ««اموزش نصب اکتیودایر کتوری»» پرداختیم؛ اکتیو دایرکتوری نخستین و ابتدایی ترین چیزی است که برای یک شبکه تحت ویندوز سرور نیاز است. اکنون به معرفی سرویس های آن می پردازیم.
Active Directory Domain Services و سرویس های مرتبط آن، پیش نیاز و شکل دهندهی شبکه های Enterprise بر اساس Microsoft Windows است. ADDS و سرویس های مشابه اطلاعاتی در مورد کاربران، کامپیوترها و سرویس های شبکه را نگهداری میکنند.
این سرویس ها مکانیسمی برای (Authenticate شناسایی تشخیص هویت شدن) موارد ذکر شده را جهت دسترسی به منابع شبکه فراهم می آورند
در مهندسی نرم افزار ، Directory یک راه حل هدایت کردن نام به مقدار است. به عنوان یک مثال ساده، میتوان یک فرهنگ لغت را یک دایرکتوری در نظر گرفت که در آن معنای یک لغت (اسم) به معانی واژه (مقدار) مربوط شده است. در یک دفترچه تلفن، اسامی اشخاص (نام-گره) به شماره تلفن های آن ها (مقدار-اطلاعات) مرتبط میشود و در DNS، نام DNS به IP address ها مرتبط می شوند. به عبارت دیگر میتوان گفت یک سرویس دایرکتوری تقریبا مشابه یک دیتابیس است.
در یک دایرکتوری اشیائی که به نوعی مرتبط اند، ذخیره می شوند و از طریق صفاتشان قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده میشود. در سرویس دایرکتوری اطلاعات به صورت سلسه مراتبی نگهداری میشود همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگهداری میکند. با توجه به ارتباط میان اشیاء ، دسترسی از طریق صفات و نگهداری تمامی اطلاعات لازم، مدیریت اطلاعات مرکزی و آسان تر میشود. بدیهی است عمکرد سرویس های دایرکتوری که در سرویس های مختلف استفاده می گردد، متفاوت است.
با توجه به اهمیت این سرویس، باید مکانیسم های امنیتی و مدیریتی دیگر برای اثر بخشی، یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکلها و سرویس های دیگری نیز در کنار سرویس دایرکتوری استفاده شود.
در اینجا Directory Services عاملی برای Identity and Access یا IDA را فراهم می آورد. راهکار های IDA، راهکارهایی هستند که به سازمان ها کمک میکنند تا کاربرانشان را مدیریت کنند و حقوق دسترسی آن ها به منابع را معین کنند. مایکروسافت مجموعهای از راهکار های مختلف را جهت IDA ارائه میدهد که مشهورترین آن ها Active Directory Domain Services است. اکتیو دایرکتوری دامین سرویس در ۱۹۹۹ دیده شد و برای اولین بار همراه با ویندوز ۲۰۰۰ ارائه شد. پیش تر مایکروسافت نام NTDS را برای این سرویس انتخاب کرده بود.
یک IDA باید بتواند:
۱- ذخیره سازی اطلاعات: کاربران، گروهها، کامپیوترها، وسایل سخت افزاری تحت شبکه و سایر هویت های لازم در مفهوم جامع، هویت به هر شیئی فیزیکی یا منطقی که در شبکه نقش ایفا کند گفته میشود. بنابراین یکی از اجزای IDA باید محلی برای ذخیره سازی اطلاعات باشد که به آن Identity Store گفته میشود. Identity Storeدر اینجا همان Directory است. این دایرکتوری روی سرورهایی در شبکه نگهداری میشود که آن ها وظیفه اجرای AD DS را بر عهد دارند. به این سرورها، دامین کنترلر گفته میشود. در محیط اکتیودایرکتوری گاهی، به دامین کنترلر ها به اختصار “سرور” گفته شود و سایر رول های سروری به صورت کامل گفته شود همانند DNS سرور.
۲- تشخیص هویت: سرور به کاربر یا هر هویت دیگری اجازه نمیدهد به منابع شبکه دسترسی پیدا کند مگر آنکه آن هویت تشخیص هویت شود. اطلاعاتی که توسط کاربر یا هر هویت دیگری به سرور داده میشود با دایرکتوری مقایسه میشود و در صورت داشتن مجوز جهت دسترسی به آن Resource (منابع – همانند فایل) هویت میتواند دسترسی پیدا کند.
۳-کنترل دسترسی: پس از تشخیص هویت میزان دسترسی هویت باید باید معین گردد.
۴- روش های بازبینی: سازمان باید بتواند تغییرات و فعالیت هایی که در استفاده از IDA صورت میگیرد را بازبینی و مانیتور کند، بنابراین IDA باید مکانیسمی برایAuditing (بازبینی وقایع) داشته باشد.
از مسیر زیر اکتیو دایرکتوری را باز کنید:
Start → Administrative Tools → Active Directory Domain & User
در این صفحه (اکتیو دایرکتوری) بخش های زیر را خواهید دید که توضیح مفصل آن در جلسات بعد نوشته خواهد شد.
۱- Builtin: در این قسمت یک سری گروه است که به صورت پیش فرض در اکتیو دایرکتوری ساخته شده است.
۲- Computers: در این قسمت نام computer هایی که join دامین شده اند را نشان میدهد.
۳- Domain Controllers: در این قسمت نام DC هایی که در درخت یا جنگل ما وجود دارد نشان داده میشود.
۴- Users: در این قسمت نام یوزرهایی که شبکه تعریف شدهاند نشان داده میشود.
ویندوز سرور (جلسه سوم) ساخت یوزر در اکتیودایرکتوری
پس از معرفی سرویس های اکتیو دایر کتوری نوبت به ساخت کاربر در اکتیو دایرکتوری رسیده است. یکی از مواردی که می توانید در اکتیودایرکتوری تعیین کنید تعریف یوزر و ویژگی های آن می باشد. در ادامه با ما باشید.
برای وارد شدن به بخش تعریف یوزر در ویندوز سرور از طریق نشانی زیر به اکتیو دایرکتوری بروید:
Start → Administrative Tools → Active Directory Domain & User
سپس به بخش Users بروید و در بخش اصلی کلیک راست کنید و گزینه New را از آپشن های موجود انتخاب کنید.
اکنون ما می خواهیم یک یوزر ایجاد کنید پس، در منوی New، زیرمنوی User را انتخاب می کنیم.
در صفحه ای که باز می شود در بخش First name و Last name و Full Name نام تان را به دقت وارد کنید (به انگلیسی) بخش Initials را می توانید خالی بگذارید.
سپس در بخش User Logon name همچون ساخت آی دی یاهو، آوت لوک، جی میل و… نامی مناسب برای این اکانت انتخاب کنید که البته همگی با @domainnamm.com خاتمه می یابند.
در بخش زیرین برای کامپیوترهایی که ویندوز قدیمی دارند و از دامین بدین صورت پشتیبانی نمی کند نام را می توانید وارد کنید.
سپس برای روی گزینه Next کلیک کنید.
در صفحه بعد رمز عبور این کاربر را دوبار وارد نمایید.
تیک اول کاربر را مجاب می کند که در اولین ورودش رمز جدیدی انتخاب کند و رمز را تغییر دهد.
تیک دوم جلوگیری می کند از تغییر رمز عبور به دست کاربر
تیک سوم جلوگیری می کند از منقضی شدن پسورد
تیک چهارم حساب را فقط می سازد ولی مسدود می گذارد یعنی غیرقابل استفاده تا بعداً فعال گردد.
اکنون Next را بزنید تا مشاهده کنید که حساب کاربری ساخته شده است.
اکنون به اکتیودایرکتوری بازگردید به بخش Users و روی کاربری که اکنون ساختید کلیک راست کنید و Properties را انتخاب کنید و سپس به تب Accounts بروید.
بخش Logon Hours
در این قسمت میتوانیم مشخص کنیم که این یوزر میتواند چه ساعاتی از شبانه رو logon کند و چه ساعاتی نمیتواند به طور مثال این یوزر میتواند هر روز هفته از ساعت ۸ تا ۱۳ logon کند.
بخش Log On to
در این قسمت میتوانیم مشخص کنیم که این یوزر فقط به یک Computer خاص Logon کند و نتواند به computer های دیگر Logon کند. به طور مثال این یوزر فقط میتواند به Computer با این نام فقط Logon کند.
بخش Unlock Account
زمانی که یک یوزر پیش از حد معلوم شده اشتباه پسورد خود را وارد کند آن یوزر بسته میشود و این گزینه فعال میشود که باید با مراجه به Active Directory این گزینه را غیر فعال کنیم.
بخش Account Option
در بخش اکانت آپشن شما می توانید تنظیمات هنگام ساخت کاربر را تغییر دهید، اگر موردی برای تان در این موارد گویا نبود در نظرات مطرح نمایید تا مفصل پاسخ داده شود ترجمه جمله ای این گزینه ها خارج از بحث می باشد.
بخش Account Expires
شما می توانید تاریخ غیرفعال شدن این اکانت را در این بخش مشخص کنید، برای نمونه کارمندی در شرکتی قرارداد یک ساله دارد پس مدیر آی تی آن شرکت بهتر است برای روزی که قراردادش از بین می رود تاریخ Expire شدن یا همان غیرفعال شدن اکانت را تنظیم کند تا زمانی که دیگر رسماً کارمند شرکت نبود دسترسی به سیستم نداشته باشد. گزینه Never هم برای یوزرهایی است که قصد داریم هیچ گاه غیر فعال نشوند.
با تنظیم کردن و Ok زدن و خارج شدن اکنون به نشانی زیر بروید:
Active Directory → Users → Any user → Right Click → Properties → Member Of
Member Of به این معنی است که این یوزر عضوکدام گروه می باشد.
به طور مثال این یوزر عضوی از گروه Administrator است. و یا میتواند عضو هر گروه دیگر در Active Directory شود برای نمونه حسابداران یک گروه، نگهبانان یک گروه و… دسترسی ها بر اساس گروه مشخص می شود که در جلسه های بعدی آموزش قرار خواهیم داد.
اکنون به نشانی زیر بروید:
Active Directory → Users → Any user → Right Click → Properties → Dial-in
Network Access Permission
در این قسمت میتوان مشخص کرد که این یوزر میتواند دسترسی داشته باشد یا دسترسی آن بسته شود یا از طریق Policyهایی که تنظیم کردیم کنترل شود که دسترسی داشته باشد یا نه. که از این قسمت در بحث VPN که بعدا توضیح داده میشود استفاده میشود.
ویندوز سرور (جلسه چهارم) ساخت گروه و کامپیوتر در اکتیو دایرکتوری
در جلسه پیش به ساخت یوزردر اکتیو دایر کتوری پرداختیم؛ اکنون با مفهومی گسترده تر یعنی گروه و همچنین مفهومی فیزیکی یعنی کامپیوتر آشنا خواهید شد.
ساختن Group در Active Directory :
گروهها کلاس مهمی از اشیاء اکتیو دایرکتوری هستند. گروهها Container هایی هستند که برای جمعآوری کاربران استفاده می شوند. به این طریق، به جای مدیریت مستقیم روی کاربران، به مدیریت روی گروهها می پردازیم که به شدت مدیریت را آسان می کند. یکی از موارد پر کاربرد میتواند مجوز های دسترسی به Shared Folderها باشد که می توان به برخی گروه ها دسترسی داد و به برخی این مجوز را نداد.
به نشانی Active Directory → Users بروید سپس بر روی Users کلیک راست کنید و New و سپس Group را انتخاب کنید.
گزینه های Group Scope
Domain Local:
این گروه از هر دامین در Forest میتواند عضوگیری کند اما فقط روی منابع موجود در دامین خود قابل دسترسی است.
توضیح: forest یعنی چندین دامین
Global:
فقط از دامین خود عضوگیری میکند و از هر دامین قابل دسترسی است.
Universal:
از هر دامین در Forest عضوگیری میکند و از هر دامین هم قابل دسترسی است.
گزینه های Group Type:
Security:
تمام گروهها به صورت پیش فرض در Active Directory از نوع Security هستند.
Distribution:
از این نوع گروه برای ایمیل فرستادن به اعضای گروه استفاده میشود که در بخش Exchange (که بعداً در موردش صحبت خواهیم کرد) مورد استفاده قرار میگیرد.
ساختن Computer در Active Directory:
کامپیوترها در اکتیو دایرکتوری مشابه کاربرها دارای یک اکانت هستند؛ یعنی می توان گفت این کامپیوتر برای کار فلان باشد و اگر کسی دسترسی پایینی داشت ولی بر این کامپیوتر با دسترسی بالا لاگین کرد به منابع دسترسی داشته باشد. در واقع کامپیوترها هم در اکتیو دایرکتوری همانگونه که یک کاربر logon میکند، logon میکنند.
به نشانی Active Directory → Users بروید و بر روی Users کلیک راست کنید و New و سپس Computer را انتخاب کنید.
در جلسه بعد، به ساخت OU و توضیح پیرامون آن می پردازیم.
ویندوز سرور (جلسه پنجم) ساخت OU در سرور
پس از آموزش ساخت گروه وتعریف کامپیوتر در گروه ویندوز سرور اکنون با مفهوم بزرگتری به نام OU آشنا میشویم:
OU یا Organizational Unit چیست؟
یک OU در واقع یک Object یا همان شی است که درون اکتیو دایرکتوری تعریف میشود که این OUها خودشان باعث سازماندهی و نظم دادن به بقیه Objectهایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند، میشوند.
همچنین کسانی که با اکتیو دایرکتوری کار کردهاند باید متوجه این مسئله باشند که OUها با Containerها فرق دارند. چرا که ما میتوانیم به OUها Group Policy اعمال کنیم و حتی میتوانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم؛ اما به Container این امکان وجود ندارد. در ضمن این را هم باید گفت که OUها را ادمین میسازد اما Containerها به صورت پیشفرض درون اکتیو دایرکتوری وجود دارند همچون کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و … هم به طور پیش فرض در آن هستند.
دلایل ایجاد OU:
۱- دلیل اصلی ایجاد OU، مدیریت Objectهای شبکه است. معمولاً مدیریت Userها و Groupها به راحتی امکانپذیر است و مدیریت کمی میتوان به Objectهایی مانند Computerها یا Serverها.
نمونهای از مدیریت Objectهای گفته شده را برای Userها و Groupها در اینجا مثال میزنیم
Userها: ایجاد، حذف و ویرایش کاربران ایجاد شده درون اکتیو دایرکتوری.
Groupها: ایجاد، حذف و ویرایش گروههای اکتیو دایرکتوری.
۲- دلیل دومی که برای ساختن OUها وجود دارد، گسترش GPOهایی است که قرار است اعمال کنیم. یعنی با این کار دستمان بازتر است. زیرا که بعد از تقسیمبندی کاربران و ایجاد OUهای متناظر با آنها، حالا به راحتی با اعمال GPO به OUها میتوانیم محدودیتهایمان را به راحتی اعمال کنیم که این کار علاوه بر اینکه باعث نظم اکتیو دایرکتوری میشود، باعث میشود به راحتی GPOها را مدیریت، رفع اشکال و گسترش داد.
اصول طراحی ساختار OU:
زمانی که حرف از طراحی ساختار OU میشود، سوالات و بحثهای زیادی به میان میآید؛ و این کار به مراتب بهتر از زمانی است که ابتدا اکتیو دایرکتوری تان را راه بیندازید و سازمانتان را بچینید و آخر کار یادتان بیفتد که باید برای OUهایتان یک ساختار مناسب طراحی کنید و متأسفانه این کار غیر معقول در اکثر شرکتها و سازمانها پیش میآید که مجبور میشوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راهاندازی کنند. پس پیشنهاد میشود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OUهایمان طراحی کنیم.
مواردی که هنگام طراحی ساختار Active Directory باید به آنها توجه کرد عبارتند از:
الف) باید مشخص کنیم که چه کسی قرار است مدیریت کاربران، گروهها و کامپیوترها را داشته باشد؟
ب) هر کسی که مسئول مدیریت کاربران، گروهها و کامپیوترها است، آیا مسئول کل این اجزاء است یا قسمتی از مدیریت به او داده میشود؟
ج) چه افرادی باید محدودیتهایشان مانند هم باشند و چه افرادی باید محدودیتهایشان با یکدیگر فرق بکند؟
این تفاوتهای بین کاربران، بر اساس نوع کاری که در سازمان میکنند مشخص میشود. برای نمونه مدیر شبکه قاعدتاً نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیتها باید به مواردی مانند پرینترها، ساختار امنیتی سازمان، تنظیمات نرمافزارها، تنظیمات مرورگرها مانند Internet Explorer و…
ساختن OU در Active Directory:
به منوی استارت بروید از بخش Administrative Tools به دنبال Active Directory بگردید و سپس روی دامنه خود در فهرست کلیک راست کنید و New بزنید و از آن جا Organization Unit را انتخاب کنید: (همچون تصویر زیر)
در قسمت Name، نام OU را وارد میکنیم.
در قسمت Protect Container from accidental deletion اگر این گزینه را انتخاب کنیم OU ساخته شده حذف نمیشود
[/LIST]
[SIZE=6][B]ویندوز سرور (جلسه ششم) گروپ پالیسی[/B][/SIZE]
ر جلسه پیش اموزش ساخت OU در ویندوز سرور را قرار دادیم و اکنون به مبحث قوانین و سیاست های مربوط به گروه می رسیم که در ادامه قدم به قدم آموزش داده می شود.
[B]Group Policy[/B] (گروپ پالیسی) یا همان سیاست گروه در سرور ساختاری است که برای اعمال مجموعهای از تنظیمات یا سیاست ها (حال یا امنیتی یا غیرامنیتی) به مجموعهای از کاربران و کامپیوترهای یک ساختار اکتیودایرکتوری به کار می رود. شما از طریق Group Policy یا به اختصار GP میتوانید یک سری تنظیمات امنیتی و کاربری را در سیستمتان انجام دهید؛ در کامپیوترهای Local یا کامپیوترهایی که به عنوان سرور استفاده میشدند و دارای دامین کنترلر و اکتیودایرکتوری نیستند. شما میتوانستید یک GP را به مجموعهای از کاربران Assign یا اعمال کنید ولی در شبکه که دارای دامین کنترلر و اکتیودایرکتوری است شما میتوانید بی نهایت GP را به کامپیوترها، کاربران و OU ها Assign کنید ، Group Policy دراین شبکه ها یک Object می باشد و شما میتوانید به ازای هرکدام از Object ها در دامین تان، یک Group Policy داشته باشید، از این رو آن را Group Policy Object یا به اختصار GPO مینامند. نکتهی دیگری که باید دقت کنید این است که شما به یک کاربر یا کامپیوتر بیشتر از ۹۹۹ عدد GPO نمیتوانید اعمال کنید.
[B]سطوح مختلف اعمال Group Policy:[/B]
[B]Group Policy درسطوح مختلفی وجود دارد که از نظر اولویت به ترتیب زیر میباشند:[/B]
Local Group Policy → اولویت اول
Site Group Policy → اولویت دوم
Domain Group Policy → اولویت سوم
OU Group Policy → اولویت چهارم
همانطور که از اسم هر سطح پیداست، LGP همان GP مربوط به سیستمهای local است. DGP هم GP های اعمال شده به دامین کنترلر می باشد.SGP هم GPهای اعمال شده به سایت (به فضایی که سیستم ها در آن قرار میگیرند سایت گفته میشود) میباشد و UGP هم GP هایی است که به هر OU اعمال میشود. حال نکاتی را باید در نظر داشته باشید:
به صورت پیش فرض تمامی سیستم ها قبل از آنکه به عضویت دامین در آیند از LGP یا local group policy تبعیت میکنند.
به صورت پیش فرض اگر به هیچکدام از OU ها یا سایت، GP اعمال نشود، از GP مربوط به دامین استفاده میکنند.
[B]اضافه کردن یک GPO به OU:[/B]
به Server Manager می رویم از آنجا Features و سپس به فارست مان می رویم در اینجا مثلاً Forest:mohandeseit.ir و سپس به Domains می رویم و بر روی دامنه مورد نظر کلیک می کنیم. اکنون بر روی نام OU کلیک راست می کنیم و GPO in this domain را می سازیم.
[IMG]http://mohandeseit.ir/wp-content/uploads/gpo_microsoft_server_1.jpg
[B]آشنایی با تب های موجود در تنظیمات OU و GPO:[/B]
با کلیک بر روی GPO مد نظر در سمت راست تصویر یک سری تنظیمات را مشاهده میکنید به شکل زیر نگاه کنید :
در تب Scope میتوانیم ببینیم که این GPO به کجاها Assign شده است. در قسمت Links میبینیم که این GPO به چه Siteها ، Domainها و یا OUهایی Assign شده و در قسمت پایینتر یعنی Security Filtering میتوانید مشخص کنید که این GPO چه یوزرها، گروهها و یا کامپیوترهایی را تحت تاثیر قرار داده است، همانطور که مشاهده میکنید در اینجا Authenticated users به صورت پیشفرض وجود دارد به این معنی که GPO ساخته شده میتواند تمامی یوزرها، گروهها و یا کامپیوترهایی که احراز هویت شده اند و دارای username و password ( که البته این پسورد میتواند blank باشد ) هستند را تحت تاثیر قرار می دهد.
[IMG]http://mohandeseit.ir/wp-content/uploads/gpo_microsoft_server_2.jpg
تب بعدی Details هست که در آن میتوانید وضعیت GPO را مشاهده کنید همچنین میتوانید تعیین کنید که این GPO به کامپیوترها اعمال شود یا یوزرها ، هیچ کدام و یا هر دو آنها .
تب بعد Setting هست که گزارش میدهد که چه تغییراتی در این GPO انجام شده.
و در تب آخر که Delegation هست شما میتوانید انجام یک سری از تنظیمات را به کاربران واگذار کنید. از آنجا که در شبکه های بزرگ یا متوسط، چندین نفر در بخش شبکه مشغول فعالیت هستند از این رو هر شخص وظایف مختلفی خواهند داشت. در این بخش شما میتوانید کارها را در شبکه تقسیم بندی کنید و به هر شخص متناسب با کاری که باید انجام دهد، دسترسی هایی را تعریف کنید. بدین صورت که یک یوزر را Add میکنید بعد روی یوزر کلیک کرده و Advanced را میزنید و Permission های مد نظر خود را اعمال میکنید.
خوب حال در سمت چپ شما میتوانید کلیه OU هایی که ایجاد کردهاید را مشاهده کنید. اگر بر روی هر OU درسمت چپ کلیک کنید گزینه های زیر را مشاهده خواهید کرد، با هم نگاهی کوتاه به آنها می اندازیم:
تب اول Linked Group Policy Objects که GPOهای لینک شده به OU را به ترتیب اولویت نشان میدهد.
تب دوم Group policy Inheritance هست که نشان میدهد که چه GPOهایی و با چه اولویتهایی به آن Assign شده اند.
و تب سوم Delegation هست که برای واگذاری تغییر تنظیمات به عهده کاربر است.
ترتیب اثر در OU Group Policy:
ترتیب اثر و اولویت پالیسیها به گونهای هست که چنانچه یک Policy در OU والد تنظیم شده باشد و در OU فرزند نیز همان Policy تنظیم شده باشد، Policy فرزند بر Policy والد برتری خواهد داشت و سیاست فرزند اعمال خواهد شد. در واقع Policy والد بی اثر خواهد بود. پس Policy والد در اولویت است. برای مثال به شکل روبرو نگاه کنید:
در این شکل در مواقعی که دو یا چند پالیسی یکسان در GPOها اعمال شده باشد Policy 2 بر روی Policy1 اولویت داشته و همچنین Policy3 بر تمامی اینها اولویت دارد یعنی اگر تنظیماتی در Policy 3 داشته باشیم و مشابه آن را در Policy 1 و Policy 2 داشته باشید، سیاستهای در Policy 1 در شبکه اعمال میشود.
اگر بخواهیم کاری کنیم که یک OU تنظیمات خود را از بالاسری خود نگیرد چه کنیم؟ در این حالت روی OU مد نظر راست کلیک کرده و Block Inheritance را میزنیم ، همچنین با راست کلیک بر روی GPO و انتخاب Enforce کاری میکنیم که GPO ما، تنها سیاستهای اعمال شدهی خود را در بالاترین اولویت قرار دهد.
به بیانی دیگر اگر ما بر GPO مد نظر خود Enforce را بزنیم در صورتی که همان Policy در GPOهای دیگر وجود داشته باشد، Policy ای که در GPOی Enforce شده وجود دارد اولویت بالاتری داشته و اعمال میشود. از ترکیب Enforce و Block Inheritance در یک GPO میتوانیم کاری کنیم که تنها تنظیماتی که در آن GPO داشتهایم در بالاترین اولویت قرار گیرد همچنین هیچ تنظیماتی را هم از بالاسر خود هم نگیرد.
حالا اگر چند GPO را یکجا در OU داشتیم چطور اولویت آن را تعیین کنیم؟ شما خیلی راحت میتوانید با کلیک بر OU مورد نظر در سمت راست، در تب Policy Objects Linked Group لیست GPOهای لینک شده را به ترتیب اولویت مشاهده و با ابزاری که در شکل مشخص شده اولویت آن را تغییر دهید.
چند Policy مهم در GPO:
۱- مدیریت Account :
Server Manager →Features → Group Policy Managment →Forest:google.com →Domains →google.com →Difault Domain Policy →Right Click →Edit →Computer Configuration →Policies→Windows Setting →Security Setting →Account Policies→Password Policy
۲- مدیریت Control Panel , Desktop ,… :
Server Manager →Features → Group Policy Managment →Forest:google.com →Domains →google.com →Difault Domain Policy →Right Click →Edit →User Configuration →Policies→Administrative Template→Control Panel ; Desktop ; Network ; Folder Sharing
ویندوز سرور (جلسه هفتم) نصب نرم افزار از طریق سرور
در جلسه پیش، گروپ پالیسی در ویندوز سرور و ویژگی های آن و پالیسی های مهم شبکه آموزش داده شد. اکنون نصب نرم افزار در شبکه به صورتی که با یک بار نصب بر روی تمامی سیستم ها به صورت خودکار نصب شود آموزش داده می شود. در پایان این آموزش پالیسی ها باید آپدیت شود که در ادامه با چند و چون آن آشنا خواهید شد.
نصب نرم افزار تحت شبکه:
میخواهیم توسط Group Policy Object یک یا چند نرم افزار را بر روی client هایی که join دامین میشوند به صورت اتوماتیک نصب کنیم بدون دخالت هیچ یک از یوزرها.
برای انجام این کار باید فرمت نرم افزاری که میخواهیم تحت شبکه نصب کنیم .msi باشد در اینجا دیگر نمیتوان از فرمت .exe استفاده کرد یعنی فرمت EXE قابل نصب بر شبکه مایکروسافتی نیست.
نکته دیگری که باید به خاطر داشته باشیم این است که ابتدا باید نرم افزار در Group Policy Object تعریف شود و سپس بر روی دامین نصب شود آنگاه client هایی کهJoin دامین میشوند این نرم افزار به صورت اتوماتیک بر روی آنها نصب میشود.
باید ابتدا یک Map Derive بسازیم برای ساخت Map drive مراحل زیر باید گذرانده شود:
اول یک New Folder میسازیم آن را Share میکنیم و سپس توسط آن یک Map Derive میسازیم و پس از آن باید Network Discovery را هم enable کنیم.
فعال کردن Network Discovery:
از طریق کنترل پنل با طی کردن مسیر زیر Network Discovery را می توان فعال کرد:
Control Panel → Open and Network Sharing Center → Change Advanced Shering Setting→ Enable Network Discovery
نکته: چنان چه بعد از Enable کردن دوباره به صورت اتوماتیک Disable شد آنگاه باید از طریق فعال سازی چند Service این کار را انجام دهیم که دیگر چنین خطایی رخ ندهد. برای فعال سازی Run را باز کنید در آن Services را تایپ کنید. سپس در لیستی که باز می شود بر روی چهار مورد سرویس زیر کلیک راست کرده و Start را بزنید.
۱-DNS Client
۲-Function Discovery Resource Publication
۳-SSDP Discovery
۴-UPnP Device Host
پس از فعال سازی این سرویس ها حال Network Discovery دیگر Disable نمیشود.
حال برای ساختن Map Derive به My Computer میرویم.
همچون تصویر بالا بر روی map network drive کلیک می کنیم.
در صفحه ای که باز می شود (همچون عکس زیر) باید آن New Folder که Share کردیم را انتخاب کنیم.
حال نرم افزاری که فرمت آن .msi است را در این Map Derive کپی میکنیم.
Default Domain Policy → Right click* → Edit →Computer Configuration →Policies →Software Setting →Software Installation → Right Click* → New → Package
سپس نرم افزار مورد نظر را انتخاب کرده و Open میکنیم.
صفحه ای همچون عکس زیر باز می شود:
Published: در این نوع نرم افزار به Client ها منتقل میشود ولی به صورت اتوماتیک نصب نمیشود و یوزر خودش باید نرم افزار رو نصب کند.
Assigned: در این نوع نرم افزار به صورت کاملا اتوماتیک و بدون هیچ گونه دخالت یوزرها نصب میشود.
Advanced: در این نوع فرآیند نصب نرم افزار به صورت اتوماتیک اجرا میشود و یوزر باید مراحل نصب را انجام دهد.
پس از انجام این مراحل Policy ها رو باید آپدیت کنیم. برای آپدیت کردن پالیسی های سرور CMD را باز می کنیم (همچون تصویر زیر) و کد gpupdate/force را تایپ می کنیم و پس از انجام خودکار مراحل تاییدیه ری استارت سیستم (یعنی تایپ حرف Y) را انجام می دهیم.
سیستم Restart می شود. پس از آن در هنگامی که سیستم در حال بالاآمدن است نرم افزار بر روی سیستم نصب میشود و بعد از آن هر سیستمی که Join این سیستم شود نرم افزار بر روی آن به صورت اتوماتیک نصب خواهد شد
ویندوز سرور (جلسه هشتم) تمامی سرویس های اکتیو دایرکتوری
در جلسه پیش آموزش نصب نرم افزار از طریق ویندوزسرور در شبکه را آموختیم به گونه ای که با یک بار نصب در ویندوز سرور بر روی تمامی سیستم های تحت آن شبکه نصب شود که از سرویس های Active Directory Domain & Users بود اکنون وقت معرفی چهار سرویس دیگر از سرویس های پنج گانه اکتیودایرکتوری است. در ادامه با ما همراه باشید:
Active Directory Lightweight Directory
۱- سرویس Active Directory Lightweight Directory چیست؟
سرویس Active Directory Lightweight Directory یا به اختصار AD LDS یکی از سرویسهای پنجگانه مرتبط با تکنولوژی اکتیودایرکتوری در ویندوز سرور ۲۰۰۸ است. در ویندوز سرور ۲۰۰۳ سرویسی مشابه AD LDS به نام Active Directory Application Mode یا به اختصار ADAM موجود بود که اکنون AD LDS با برتریهایی که نسبت به ADAM دارد جایگزین شده است. همانطور که از اسم این سرویس مشخص است سرویسی کوچک شده از سرویس AD DS است که در واقع مهمترین وظیفه آن پشتیبانی از نرمافزارهایی است که به سرویس دایرکتوری برای فعالیت خود نیازمندند اما در شبکه بنا به دلایلی نصب AD DS را مناسب نمیدانیم و یا ترجیح میدهیم سرویس AD DS دست نخورده باقی بماند.
یک مثال پرکاربرد، نرم افزار Microsoft Exchange Server 2007 است که تمام اطلاعات کاربران در این برنامه با سرویس دایرکتوری نگهداری میشود. زمانی که Microsoft Exchange Server 2007 را نصب میکنید، در AD DS Schema مواردی را اضافه میکند که تقریبا شاید حجم را به ۲ برابر می رساند. تغییر روی Schema شاید کار جالبی نباشد چرا که این تغییر همیشگی است و غیرقابل حذف شدن است، هرچند میتوان آن را غیر فعال کرد.
از طرفی، روز به روز شاهد افزایش تعداد برنامه هایActive Directory integrated (برنامه های یکپارچه با اکتیودایرکتوری) هستیم که بسیاری از آنها Schema را ویرایش میکنند. با توجه به آنکه ممکن است نخواهید یک برنامه Schema را در محیط اکتیو دایرکتوری شما ویرایش کند، راهکار AD LDS بسیار راهکار خوبی است. البته در آینده در خصوص بهترین طراحی اکتیو دایرکتوری و سناریوهای مرتبط با هر کدام از سرویس های پنجگانه صحبت خواهم کرد.
در هر حال زمانی که قصد نصب یک نرم افزار که Schema را تغییر میدهد دارید باید با دقت کافی عمل کنید چرا که سرویس اکتیو دایرکتوری برای سالیان بسیاری در محیط کاری شما باقی میماند. حتی با به روز شدن نسخ ویندوز سرور و سرویس اکتیو دایرکتوری، از مهاجرت به نسخه جدید تر ویندوز و یا Upgrade استفاده خواهید کرد بنابراین اگر تغییری در Schema ایجاد شود ممکن است تا بیش از یک دهه باقی بماند.
حال ممکن است از نرم افزار اتوماسیون اداری استفاده میکنید که Schema را ویرایش میکند، با عوامل مختلفی ممکن است آن نرم افزار دیگر تولید نشود و یا در هر عوامل دیگری ایجاد شود که مجبور خواهید شد از نرم افزار دیگری استفاده کنید. همانند آنکه آن برنامه دیگر نیازهای سازمان شما را برآورده نمیکند و به استفاده از نرم افزار دیگری روی می آورید. اکنون با توجه به آنکه تغییرات روی Schema قابل حذف نیستند، بسیاری از اطلاعات بیهوده نگهداری می شوند، زمان replication بالا می رود و… .
Active Directory Certificate Services
۲- Active Directory Certificate Services چیست؟
سازمان ها با استفاده از AD CS میتوانند از امضای دیجیتال و زیرساخت های کلید عمومی برای تشخیص هویت استفاده کنند. پشتیبانی تشخیص هویت کاربران با استفاه از Smart Card (کارت هوشمند) و پشتیبانی از نرم افزار ها همانند Encrypted File System یا EFS؛ Internet Protocol Security یا IPSec و… به عمل میآید. AD CS یک روش موثر و ایمن برای مدیریت مجوز (Certificate) ها ارائه میدهد.
Active Directory Rights Managment Services
۳- Active Directory Rights Managment Services چیست؟
Active Directory Rights Management Services یا به اختصار AD RMS یکی از سرویس های Active Directory است که جهت حفاظت از حقوق معنوی اطلاعات و دارایی های سازمان به کار گرفته میشود. گزارشات مالی، مشخصات و طراحی های محصولات، فایل های مولتی مدیا و ایمیل های محرمانه مثال های مناسبی از این موارد هستتند. AD RMS از هر نوع داده باینری محافظت میکند و حقوق استفاده از اطلاعات همواره با اطلاعات باقی می ماند به عبارت دیگر، حتی خارج از شبکه سازمان اطلاعات محافظت شده باقی می مانند.
علاوه بر یکپارچگی با Active Directory Domain Services این سرویس با Active Directory Certificate Services برای زیرساخت کلید عمومی و با Active Directory Federation Services برای پشتیبانی از حفاظت حقوق در ماورای فایروال یکپارچه شده است.
اطلاعات AD RMS شامل تنظیمات و log ها در یک Database ذخیره می گردد که در محیط آزمایشی میتوانید از Windows Internal Database یا WID استفاده کنید اما در محیط عملیاتی توصیه می گردد از یک SQL Server روی یک سرور جداگانه استفاده کنید. این امر سبب می گردد امکان Load balancing برای سرورهای AD RMS به وجود آید و در صورت استفاده از WID از آنجا که اطلاعات تنها به صورت local قابل دسترس هستند این امکان وجود ندارد. همچنین IIS 7.0 برای Web Services و Microsoft Message Queuing برای تراکنشها لازم اند. AD RMS برای تشخیص هویت کاربران به AD DS نیاز دارد.همچنین از Microsoft Federation Gateway نیز پشتیبانی به عمل میآید. در تصویر زیر نحوه ارتباط این سرویس ها با هم به خوبی مشخص شده است.
Cluster ها شامل یک یا چند سرور AD RMS هستند.به صورت پیش فرض، با نصب اولین سرور AD RMS یک Root Cluster ایجاد میگردد. یک Root Cluster هم عملیات Certification و هم Licensing (دو عملیاتی که AD RMS انجام میدهد) را بر عهده خواهد داشت. امکان ایجاد سرورهای Licensing Only وجود دارد. Cluster ها تنها زمانی در دسترس قرار میگیرند که database روی یک سرور دیگر نصب شده باشد. هر زمان که یک سرور AD RMS جدید ایجاد میکنید، آن سرور به cluster مربوطه یکپارچه می گردد. مایکروسافت به دلایل زیر توصیه میکند تنها از root role استفاده گردد:
) Root Cluster میتوانند تمام عملیات مربوط به AD RMS را انجام دهند).
سرورهای Root و licensing Only به یکدیگر غیر مرتبط اند و نمیتوانند با یکدیگر Load Balance شوند در حالی که اگر تمام سرورها root باشند با یکدیگر میتوانند load balance گردند.
برای مدیریت AD RMS چهار گروه کاربری به صورت Local به صورت پیش فرض، ایجاد می گردد. این گروهها عبارت اند از:
A- AD RMS Enterprise Administrator
B- AD RMS Template Administrator
C- AD RMS Auditors
D- AD RMS Services
Active Directory Federation Services
۴- Active Directory Federation Services چیست؟
با ظهور Active Directory Federation Services در ویندوز سرور ۲۰۰۸ باری دیگر کنترل روی شبکه داخلی از خارجی دگرگون شد. AD FS در واقع کار کردی مشابه روابط Trust را دارد اما نه با استفاده از LDAP با استفاده از HTTPS و پورت رایج ۴۴۳٫ برای این منظور AD FS وابسته به AD CS است تا برای هر سرور در پیاده سازی AD FS یک Certificate صادر کند. AD FS همچنین با گسترش AD RMS (Active Directory Rights Management Services) باعث مدیریت ساده تر روی Partners میشود.
اساسا؛ AD FS وابسته به AD DS داخلی هر partner است. زمانی که یک کاربر می خواهد به یک برنامه یکپارچه با AD FS دسترسی پیدا کند، AD FS درخواست را به AD DS داخلی ارجاع میدهد و اگر کاربر مجوز دسترسی لازم را داشته باشد، برای استفاده از برنامه خارجی مجوز لازم صادر میشود. مزیت این روش آن است که هر سازمان همکار (Partner) تنها لازم است که اطلاعات تعیین هویت در شبکه داخلی خودش را مدیریت کند و AD FS بقیه کار ها را انجام میدهد. به طور خلاصه؛ زمانی که نیاز به Partnership با یک سازمان دیگری وابسته به دایرکتوری داخلی باشد، AD FS پیاده سازی میشود.
به عبارت جامع تر، Active Directory Federation Services یک موتور SSO یا Single Sing-On است که امکان Authentication برای کاربران یک نرم افزار تحت وب را فراهم می آورد. SSO یک خاصیت سیستم های کنترل دسترسی است که در آن کاربر یک بار logon کرده و برای دسترسی به سایر سیستم های مربوط (و نه وابسته) نیاز به logon مجدد ندارد. استفاده از SSO مزایای بسیار زیادی همانند کاهش هزینه، افزایش بهره بری و صرفه جویی در وقت را دارد. مزایای مدیریتی AD FS بسیار مشهود است. با استفاده از AD FS نیازی به استفاده از AD LDS برای Primeter Network نیست و تنها عملیات مدیریتی روی یک دایرکتوری انجام میشود. کاربران تنها لازم است یک کلمه عبور را به یاد داشته باشند و احتمال فراموش کردن کلمه عبور کاهش می یابد. ضمن آنکه تنها یک بار کلمه عبور از کاربر سوال خواهد شد.
برای روابط B2B – Business to Business استفاده از AD FS میتواند بهترین شکل ممکن پیاده سازی باشد. معمولا کمپانی های این سناریو ها به شکل زیر هستند (در یکی از دو دسته زیر جای می گیرند):
الف: Resource Organization زمانی که یک کمپانی منابعی همانند یک وب سایت را در دسترس کمپانی دیگر قرار میدهد از AD FS استفاده میکند. در این حالت این چون این کمپانی Shared Resource را روی perimeter Network خود قرار میدهد، Resource Organization گفته میشود.
ب: Account Organization زمانی که یک کمپانی در partnership با یک resource organization قرار میگیرد، یک Account Organization تلقی میشود چون؛ این کمپانی باید اکانت های کاربری را در طراحی SSO مدیریت کند تا به resource مورد نظر دسترسی پیدا کنند.
AD FS همچنین یک متد Authentication دیگری را پشتیانی میکند. در طراحی یک Web SSO کاربران میتواند از هر مکانی با استفاده از اینترنت authenticate شوند.