محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

شناخت کامل انواع گروه ها در اکتیودایرکتوری

تفاوت Local Group | Domain Local Group و Global Group در اکتیودایرکتوری چیست؟ چند نوع گروه امنیتی یا Security Group در اکتیودایرکتوری وجود دارد؟ تفاوت انواع Security Group در اکتیودایرکتوری چیست؟ در این مقاله به شما انواع گروه های امنیتی ویندوز یا بهتر بگوییم Security Groups را بررسی خواهیم کرد . در مقاله آموزش ساخت گروه | Group در اکتیودایرکتوری به شما آموزش دادیم که چگونه در ویندوز سرور 2003 و 2008 Security Group را ایجاد کنید .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

حتما در تصاویر قبلی دیده اید که ویندوز به شما اجازه ساختن گروه های مختلفی را میدهد که انواع آن را میتوانید در شکل الف مشاهده کنید . همانطوری که حدس زدید هر کدام از این گروه های قابلیت های خاصی برای خود دارند . در این مقاله به شما قابلیت های مختلف این گروه ها و انواع آنها را به شما معرفی خواهم کرد .

گروه های امنیتی در اکتیودایرکتوری 1
  • شکل الف : ویندوز به شما اجازه ایجاد چندین نوع گروه را می دهد .

همانطوری که در شکل بالا مشاهده میکنید محدوده ای که گروه ها میتواند در آن ایجاد شوند به Domain Local ، Global و Universal طبقه بندی می شوند . اما یادتان باشد که گروه چهارمی هم وجود دارد که در اینجا عنوان نشده است و آن گروه محلی یا Local Group است .

در دوره آموزش نتورک پلاس شما بصورت کلی با مفاهیم دامین و گروه ها آشنا می شوید

Local Group چیست؟ بررسی مفهوم گروه محلی

گروه های محلی ، گروه هایی هستند که بر روی هر کامپیوتر بصورت خاص وجود دارند و طبیعتا شما به اندازه تعداد کامپیوتر های خود در شبکه دارای گروه های محلی هستید . همانطوری که در مقالات قبلی نیز اشاره کردیم هر کامپیوتر برای خود یک سری حسابهای کاربری یا User Account دارد که با کاربران دامین یا Domain Users کاملا متفاوت بوده و صرفا بر روی همان کامپیوتر معتبر هستند .

به این نوع حساب های کاربری Local User Account هم گفته می شود یعنی محدوده فعالیت آنها صرفا همان کامپیوتری است که بر روی آن ایجاد شده اند و صرفا از طریق همان کامپیوتر قابل دسترسی هستند . همچنین به خاطر داشته باشید که Local Users صرفا بر روی Member Server ها و Workstation ها وجود دارند و شما به هیچ عنوان بر روی Domain Controller خود چیزی با عنوان Local User را نخواهید دید .

خوب همین مفهوم در خصوص Local Groups نیز صادق است ، یعنی این گروه های صرفا بر روی Member Server ها و Workstation ها وجود دارند و حوزه فعالیت آنها همان کامپیوتری است که بر روی آن ایجاد شده اند . یک Local Group میتواند یک سری Local User را نیز در محدوده خود داشته و آنها را مدیریت کند .

برای مثال گروه Local Administrators برای این ایجاد شده است که اگر بخواهیم به کاربری دسترسی مدیریتی به سیستم را بدهیم کافیست او را در این گروه عضو کنیم و بعد از این ، این کاربر بر روی این کامپیوتر به صورت محلی مدیر خواهد بود .همچنین به یاد داشته باشید که Local Group ها صرفا میتوانند برای تعیین سطوح دسترسی منابع موجود بر روی همان کامپیوتر استفاده شوند 

اما این به این معنا نیست که این گروه های نمی توانند از گروه های دیگر موجود در شبکه عضویت داشته باشند و کاربران دامین نمیتوانند در آنها عضو شوند . یک Local Group رد عین حالی که میتواند کاربران محلی یا Local Users را در عضویت خود داشته باشد میتواند کاربران دامین را نیز در عضویت داشته باشد . Local Group ها همچنین میتوانند Domain Group های موجود در دامین شبکه خود را نیز به عضویت خود در بیاورند .

برای مثال شما میتوانید در اکتیودایرکتوری یک Universal Group ایجاد کنید و آنرا به عضویت یک Local Group بر روی یکی از سرورهای عضو شبکه قرار دهید . پس بصورت کلی Local Group ها میتوانند Local Users ، Domain Users ، Domain Local Groups ، Global Group و Universal Group را در خود عضو کنند .

اما دو نکته مهم در اینجا وجود دارد که بایستی به آنها توجه کنید ، نکته اول این است که یک Local Group نمیتواند یک Local Group دیگر را در عضویت خود داشته باشد . شاید با خود فکر کنید که براحتی یک گروه را Drag و Drop میکنیم و به عضویت همدیگر در می آوریم ، اما واقعا به این شکل نیست .

در دوره آموزش MCSA ویندوز شما به خوبی با کار کردن با کنسول های اکتیودایرکتوری آشنا می شوید

یکی از کارکنان مایکروسافت به من گفت که این موضع به دلیل این است که نمیخواهیم بصورت تصادفی Local Group ای عضو Local Group دیگر بشود . نکته بعدی که بایستی به آن توجه کنید این است که Local Group ها تنها در صورتی می توانند Domain Users و Domain Groups را در عضویت خود داشته باشند که خودشان عضو این دامین باشند و در غیر اینصورت فقط میتوانند Local Users را در عضویت خود داشته باشند .

Domain Local Group چیست؟ بررسی مفهوم گروه محلی دومین

با توجه به مفهومی که از Local Groups متوجه شدید ممکن است مفهوم Domain Local Group کمی برایتان تناقض ایجاد کند . دلیل وجود گروه های Domain Local این است که Domain Controller ها نمیتوانند پایگاه داده محلی یا Local Database داشته باشند اما در همین حین Domain Controller ها دارای منابعی هستند که می بایست آنها در مدیریت کنند و این همانجایی است که Domain Local Groups وارد کار می شود .

وقتی ویندوز سرور 2003 یا 2008 را نصب میکنید ، آن ماشین یا به عنوان یک Standalone Server و یا به عنوان یک Member Server شروع به فعالیت میکند ، در هنگام نصب این سیستم عامل ها Local Users ها و Local Group ها نیز ایجاد خواهند شد . حال فرض کنید که قرار است همین کامپیوتر در نقش Domain Controller مشغول به فعالیت شود !! شما با استفاده از اجرای دستور DCPROMO از طریق Run اینکار را انجام خواهید داد ، در همین زمان Local Users و Local Groups به Domain Local Groups و Domain Local Users تبدیل خواهند شد .

این مسئله خیلی مهم است که بدانید تمامی Domain Controller های موجود در یک شبکه از یک پایگاه داده مشترک و یکسان استفاده می کنند که کاربران و گروه های آن یکی هستند . این بدین معناست که اگر شما بر روی یکی از Domain Local Group ها کاربری را اضافه کنید کاربر به عضویت تمامی Domain Local Group هایی در خواهد آمد که بر روی Domain Controller های شبکه وجود دارند .

مهمترین نکاتی که بایستی در خصوص Domain Local Groups بدانید این است که اولا همانطوری که گفته شد پس از اجرای دستور DCPROMO تمامی Local Group ها تبدیل به Domain Local Group خواهند شد و تمامی Domain Local Group هایی که ساخته می شوند در پوشه Built-In در کنسول Active Directory Users and Computers مطابق شکل ب قرار میگیرند .

گروه های امنیتی در اکتیودایرکتوری 2
  • شکل ب : Domain Local Group هایی که پس از اجرای دستور DCPROMO در پوشه Built-In ایجاد شده اند.

دلیل اینکه گفتیم این نکته مهم است این است که ما در خصوص استفاده از Domain Local Group ها دارای محدودیت هایی هستیم ، این گروه ها نه میتوانند حرکت داده شوند و نه می توانند حذف شوند . همچنین شما نمیتوانید یک Domain Local Group را به عضویت یک Domain Local Group دیگر در بیاورید .

اما این محدودیت ها برای Domain Local Group هایی که شما ایجاد میکنید وجود ندارد و شما براحتی میتوانید Domain Local Group هایی را که خودتان ایجاد کرده اید را جابجا و یا به عضویت سایر Domain Local Group ها در بیاورید ، این گروه های در پوشه Users در کنسول Active Directory Users and Computers قرار میگیرند .

اگر بخواهم با شما رک حرف بزنم باید بگویم که در طول دوران کاریم با ویندوز سرور 2003 و 2008 هیچوقت از Domain Local Group ها استفاده نکرده ام و هیچوقت دلیل خاصی نیز برای ایجاد کردن این نوع گروه ها بدست نیاورده ام . در اصل یک تعبیر برای این قضه دارم که Domain Local Group ها همان Global Group ها در دامین محسوب می شوند مگر اینکه فقط به یک دامین خاص تعلق داشته باشد.

Global Group چیست؟ بررسی مفهوم گروه جهانی

Global Group ها را میتوان به عنوان گروهی که بیشترین استفاده را در ساختار دامین دارد معرفی کرد . در بیشتر مواقع یک Global Group در نقش یک مجموعه از کاربران اکتیودایرکتوری کار میکند . نکته جالب در خصوص Global Group ها این است که آنها می توانند در همدیگر عضو شوند .

شما میتوانید یک Global Group را به عضویت یک Global Group دیگر در بیاورید و این میتواند در حالی باشد که هر دوی این گروه ها در یک دامین قرار دارند . در نظر داشته باشید که Global Group ها فقط می توانند منابع اکتیودایرکتوری را در خود داشته باشند . شما نمیتوانید یک Local User و یا یک Local Group را در یک Global Group عضو کنید .

اما بر عکس این ، شما میتوانید یک Global Group را به عضویت یک Local Group در بیاورید و این یکی از روش های معمول برا ایجاد دسترسی به منابع Local سیستم های موجود در شبکه محسوب می شود . برای مثال فرض کنید که شما برای مدیران قسمت های مختلف می خواهید دسترسی مدیریتی به سیستم خودشان را بدهید ( هرچند که هیچوقت اینکار را نباید انجام بدهید و این فقط یک مثال است ) .

برای اینکار یک Global Group در اکتیودایرکتوری ایجاد میکنیم و نام آنرا Managers یا مدیران قرار میدهیم و تمامی کاربران مدیر را در این گروه قرار میدهیم ، سپس این گروه را در گروه Local Administrators کامپیوترهای خودشان قرار میدهیم و این باعث میشود که این کاربران بر روی سیستم های خودشان دسترسی مدیریتی داشته باشند .


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات