پاک کردن خودکار User Profile های قدیمی از طریق Policy
اسفند ۶, ۱۳۸۹بازیابی پسورد ادمین ویندوز سرور ۲۰۰۸
اسفند ۱۶, ۱۳۸۹Flexible Single Master Operator – FSMO
Active Directory یک Multimaster است، اما شرایطی وجود دارد که باید تنها یک DC نقشهای (Role) مشخصی را انجام دهد. در این شرایط Active Directory ،یک Server را به عنوان Master برای این Function ها یا Role ها انتخاب میکند. تعداد این ویژگیها یا نقش ها ۵ عدد میباشد که باید در یک سرور قرار گرفته باشند .
حال توضیحات مختصری در خصوص این ۵ ویژگی خواهیم داشت .
۱- Schema Master
دومین کنترولی که صاحب نقش Schema Master است، تنها سروری است که اجازه تغییرات یا به روز رسانی در Schema بین سرورهای دیگر را دارد.
پس یادمان باشد سرورهای دیگر اجازه هیچ تغییری در Schema ندارند و اگر خواستید تغییری در Schema دهید باید بر روی صاحب Schema Master انجام دهید.
اولین سروری که در جنگل یا کل ساختار (Forest) به دومین کنترولر (DC) تبدیل شود، صاحب نقش Schema Master است.
۲- Domain Naming Maste
دومین کنترولی که صاحب نقش Domain Naming Master است، وظیفه کنترل فضا اسم (Namespace) یا نام در جنگل یا کل ساختار (Forest) است.
این سرور دومین (Domain) جدید را اضافه یا دومین را حذف میکند، دومین را تغییر مکان (Move) میدهد، دومین را تغییر نام (Rename) میدهد البته فراموش نکنیم کل این کارها در جنگل یا کل ساختار (Forest) میباشد. همچنین اجازه ایجاد پارتیشن برای برنامه ها.
اولین سروری که در جنگل یا کل ساختار (Forest) به دومین کنترولر (DC) تبدیل شود، صاحب نقش Domain Naming Master است.
PDC Emulator-3
دومین کنترولی که صاحب نقش PDC Emulator است، یکی از وظایفش سرور مرکزی زمان (Time Server) است. وظیفه مهم دیگر PDC Emulator حفظ آخرین پسورد برای هر حساب کاربری است و برای همین هر دومین کنترولی (DCs) را برای تغییر پسورد مجبور میکند که مستقیما این کار را به سمت خودش ارسال کنند. این کار سبب پشتیبانی از قابلیت PDC زنجیره ای (PDC-chaining) میشود. این قابلیت زمانی اتفاق می افتد که یک حساب کاربری برای احراز هویت (authenticate) اقدام میکند و دومین کنترولر محلی فکر میکند که این پسورد صحیح نیست، در نتیجه این دومین کنترولر از حالت زنجیره ای (PDC-chaining) استفاده کرده و این پسورد را به سمت PDC میفرستد تا ببیند که این پسورد درست است یا خیر. همچنین سرور PDC ، سروری است که ابزار مدیریت گروه پالسی (Group Policy) به عنوان سرور هدف (Target) از آن استفاده میکنند. دلیل این کار این است که انواع تغییرات مشابه گروه پالسی (Group Policy) در دومین کنترولر های (DCs) دیگر توسط ادمینهای دیگر در زمان یکسان کاهش یابد.
۴- RID (Relative-Identifier) Master
در Domain همه سرمایه اصلی یا شیرازه (Principal) امنیتی (Security) در یک دومین (Domain)، یک معین کنننده هویت امنیتی (Security Identifier – SID) است که از اجزای مختلف تشکیل شده که محتوای یک RID است. سیستم از SID استفاده میکند تا با یک شناسایی منحصر بفرد (uniquely identify) به شی (Object) مجوز امنیتی دهد. در یک دومین، SID باید منحصر بفرد در سراسر دومین باشد. به عنوان مثال هر دومین کنترولر (DC) میتواند اشیاء (Object) فعال امنیتی (security-enabled) را ایجاد کند، با اینکه برخی مکانیسمها وجود دارند اما دو SID یکسان ساخته نمیشوند. برای جلوگیری از این اتفاق (دو SID یکسان)، RID Master یک مخزن (Pool) بزرگ از مقادیر RID منحصر بفرد (unique) را در خود ذخیره میکند. زمانی که یک دومین کنترولر (DC) را به شبکه اضافه میکنید، یک زیر مجموعه ۵۰۰ تایی از این مخزن (Pool) را برای استفاده خودش (دومین کنترولر مورد نظر) اختصاص میدهد. زمانی که دومین کنترولر (DC) نیاز به ساختن یک (SID) دارد، اول مخزن (Pool) خود را چک میکند که آیا این مقدار در دسترس است تا برای SID مقدار منحصر بفرد (unique) استفاده و ساخته شود یا خیر. در این روش، RID Master همه را کنترل میکند و مطمئن میشود که همه SID ها در دومین از RID با مقدار منحصر بفرد (unique) استفاده میکنند.
آدرس تنظیم مقدار در رجیستری (به صورت استاندارد ۵۰۰ است)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
۵- Infrastructure Master در Domain
کار جالب Infrastructure Master این است که تمام تغییرات اشیاء (Objects) در دومین های (Domains) سراسر یک جنگل یا کل ساختار (Forest) را چک میکند. اگر که Infrastructure Master یک تغییر در یک شی (Object) در داخل دومین دیگر پیدا کند، صفات (attributes) را برای همه موارد آن شی (Object) به روز رسانی (Update) میکند و سپس این تغییرات را با تمام دومین کنترولرهای (DCs) داخل دومین خودش رونوشت (replicate) میکند.
الان به احتمال زیاد میخواهید سوال کنید که چرا باید یک شی (Object) در بیشتر از یک دومین وجود داشته باشد؟ جواب این سوال این است که اگر یک شی (Object) در یک لیست کنترل دستیابی (access control list) یا به عنوان عضو یک گروه مورد استفاده قرار گیرد، این تغییرات شی (Object) داخل دومین (Domain) به صورت پیشفرض (Default) با سایر دومین ها (Domains) رونوشت (replicate) نمیشود. گلوبال کاتالوگ (Global Catalog) این تغییرات را با عملیات رونوشت دومین داخلی (intradomain replication) با سایرین که گلوبال کاتالوگ (Global Catalog) هستند ارائه میدهد، ولی بقیه که گلوبال کاتالوگ (Global Catalog) نیستند که هیچ به روز رسانی (Update) پارتیشن دومین (Domain Partition) را دریافت نمیکنند.
به طور مثال اگر Infrastructure Master از کار بیفتد، برای چند روز شاید متوجه نشوید، ولی وقتی تغییراتی بر روی شی (Object) انجام دهید، متوجه خواهید شد که این تغییرات بلافاصله در کل محیط شبکه اعمال نمیشود.
همچنین Infrastructure Master به فانتومس (Phantoms) معروف است.
یادتان باشد وقتی که میخواهید ویندوز ۲۰۰۳ را به ویندوز ۲۰۰۸ (دومین کنترولر) به روز رسانی کنید، باید فرمان adprep /domainprep را بر روی دومین کنترولری که صاحب Infrastructure Master است اجرا کنید.