آموزش 9 نکته تجربی در طراحی اکتیودایرکتوری (Active Directory)

چند وقت پیش یکی از دوستان درخواست کرد که برای تحویل پروژه که چند تا از کارمنداش اجرا کرده بودن بروم نظارت نهایی به کار داشته باشم بعد تحویل بدهند. بگذریم که 7 ساعت طول کشید!! عرض کنم که این شرکت 20 کاربر بیشتر نداشت و کلیه سرویس هایی که اجرا شده بود، ADDC ,Internet Accounting ,File sharing بود که در ظاهر کار سختی نبوده فقط نمیدونم که چرا از شروع کار تا تحویل 3با من 4 نفر 4 روز کار کردند روی این پروژه. روز تحویل پروژه که رفته بودم تا اگر مشکلی بود سریع رفع و رجوع بشه خودشون هم میدونستند که کار بیش از حد طولانی شده بود این پروژه 3 بار از ابتدا راه اندازی شده بود (!کار گروهی و برنامه ریزی!)

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اولین مسئله ای که به چشم من خورد Active directory این شبکه بود، شرکتی با 20 کاربر شایدم 25 تا تشکیل شه از 7 قسمت کاری که هیچ کدام زیر مجموعه هم نبودند، active directory تا دیدم شک کردم که شاید به یک سرور دیگه متصل شدم!! 7 تا OU که در هر کدام کاربران و و گروهها تفکیک شده بودند، گیجم کرد بعد که از Group policy اعمال شده پرسیدم دیدم که default هست، پرسیدم چرا این همه OU برای یک شرکت کوچیک، جواب دادند این بخش های مختلف شرکت هست!!

در یک OU به نام MG که منظور مدیریت (manager) بوده یک کاربر و یک گروه ساخته که در آن گروه فقط یک کاربر عضو بود، این جا بود که معنی OU و گروه را گم کردم. خلاصه چیزی نگفتم ولی به فکر افتادم تا چند نکته که بنظرم میرسید برای طراحی active directory بگم ، قبل از dcpromo زدن وnext, next, finish زدن عرض کنم که حتما از کار شرکت و خواسته های آن شرکت سوال بپرسید، سعی کنید قبل از اجرا بدانید که در چه حدی به Group policy و گروه بندی احتیاج دارید. و توجه داشته باشید که Distribution Group اضافه نکنید بعد بگوید که چرا permission ها اعمال نیشود.

1- طراحی ساده

اسم گزاری ساده، قرار نیست اسم کامل 3 قسمتی یا 4 قسمتی شرکت را اسم دامنه قرار دهید، این اشتباه رو نکنید موقع متصل کردن کلاینت ها به دامنه به اشتباهتان پی میبرید.این اسم گزاری در OU ها هم صدق میکند، قرار نیست اسم کامل یک بخش را چون شرکت اینجوری گذاشته شما هم بنوسید.اسم گزاری نه بلند باشد نه غیر قابل فهم

وب سایت توسینسو

2-حفظ ساختار درختی

همان طور که میدانید ساختار active directory درختی (hierarchical) است پس سعی کنید این ساختار را حفظ کنید

وب سایت توسینسو

3-حفظ ساختار نوشتاری

همیشه از یک ساختار اسم گزاری برای OUها، Groups و Users استفاده کنید، بیخودی خودتان را گیج نکنید برای رفع اشکال خودتان به مشکل خواهید خورد

وب سایت توسینسو

4-جدا سازی یا انتقال کاربران و کامپیوترها

در ابتدا که یک کاربر ایجاد یا یک کامپیوتر به دامنه اضافه میشود به container اصلی اضافه میشوند که قابلیت اعمال Group policy بر این container وجود ندارد، پیشنهاد میشود که برای اعمال دقیق تر Group policy کامپیوترها و کاربران هر کدام به یک OU مشخص انتقال دهید.

وب سایت توسینسو

5-داشتن حداقل دو DNS سرور

DNS سرور بخش بسیار مهمی از شبکه میباشد، بنظر من قلب active directory است، برای داشتن یک DNS اضافه، کار خیلی سنگینی قرار نیست انجام دهید و چه بهتر است که یک additional domain controller داشته باشید.

6-استفاده از محیط مجازی سازی

از قرار دادن Domain controller اصلی و additional آن بر روی یک سرور خود داری کنید. یک اتفاق کوچک کلیه تلاش های شما را بر باد میدهد.

7-تهیه نسخ پشتیبانی

حتما از کلیه active directory های که در شبکه وجود دارند نسخه پشتیبانی تهیه کنید، دیده شده که از Domain controller اصلی نسخه پشتیبانی تهیه میکنند و از additional آن چون هر دو آنها یکسان هستند تهیه نمیشود. نکته مهمی که در اینجا نادیده گرفته شده است تقسیم FSMO یا Flexible Single Master Operations در هنگام ساختadditional domain controller است، پس از هر گونه active directory که شبکه دارید نسخه پشتیبانی تهیه کنید.

8-داشتن برنامه مدیریت

در شبکه های بزرگ معمولا چند نفر برای مدیریت active directory لازم میشود، به نسبت OUها و بخشی که ساخته شده و با در نظر گرفته شدن مدیریت مرکزی، هر OU لازمه را به یک کاربر خاص با دسترسی های مشخص در قسمت mange by محول کنید، به کلیه adminهای شبکه دسترسی enterprise administrator را ندهید.

9-قرار دادن حداقل یک Global catalog server بر روی هر Site

در شبکه های که از چندین Site استفاده میکنند قرار دادن یک Global catalog server بر روی هر site معقول میباشد، در غیر این صورت کلاینت ها و سرورها برای دریافت اطلاعات در شبکه WAN شروع به جستجو میکنند که بار ترافیکی زیادی در شبکه ایجاد میکند.

  • نکته آخر اینکه سعی کنید از قرار دادن file sharing روی active directory خودداری کنید.

نظرات