مهدی رزمجویی
توسعه دهنده SQL و PHP علاقه مند به مهندسی معکوس

معرفی انواع Trust در اکتیودایرکتوی و آموزش ایجاد Trust بین فارست

سلام به دوستان گل ITPro ، توی این آموزش میخوام فارست تراست بهتون آموزش بدم، ابتدا یه توضیح کوتاه درباره انواع تراستها میدم .تراست به چه معنیه: تراست یعنی اعتماد کردن، یعنی زمانی که دو فارست که هیچ ربطی به هم ندارن بخوان به همدیگه اعتماد کنن و از اطلاعات و منابع هم استفاده کنن .کلاً تراست ها یا بصورت اتوماتیک ایجاد میشن یعنی ما توی ایجاد شدنشون دخیل نیستیم که بهشون Implicit میگن و یا دستی ایجاد میشن یعنی خودمون ایجادشون می کنیم که بهشون Explicit میگن .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

زمانی که میخوایم تراست بین دو فارست ایجاد کنیم مشخص میکنیم که آیا میخواییم هردو فارست بتونن از اطلاعات هم استفاده کنن (یعنی تراست دو طرفه بزنیم) یا فقط یکی از فارست ها بتونه به اطلاعات اون یکی فاست دیگه دسترسی داشته باشه (یعنی تراست یک طرفه بزنیم) مثلاً اگه فارست A به فارست B اعتماد کنه ، یعنی فارست B میتونه به اطلاعات و منابعی که فارست A مشخصی میکنه دسترسی داشته باشه . (بر عکس هم هستن) خوب حالا اگه فارست A به فارست B اعتماد داشته باشه و فارست B هم به فارست C اعتماد داشته باشه در نتیجه فارست A اعتماد داره به فارست C، که بین قضیه Transitivity میگن .

انواع تراست در اکتیودایرکتوری

  1. parent/child trust : این تراست رو بهش میگن تراست پدر و فرزند که اتوماتیک ایجاد میشه (مثلاً زمانی که یه DC ایجاد میکنیم و بعدش یه child Domain بهش اضافه میکنیم این تراست ایجاد میشه) که تراستش دوطرفه هست و در ضمن بصورت پیشفرض transitivity هم داره .
  2. realm trust : این تراست زمانی کاربرد داره که میخوایم بین یه فارستی که سیستم عامل سرورش غیر مایکروسافتی هست تراست ایجاد کنیم با یه فارستی که سیستم عامل سرورش مایکروسافتیه . البته اینجا یه نکته ای وجود داره و اون هم اینه که چون سرورهای مایکروسافتی از Kerberos V5 استفاده میکنن (Kerberos V5 پروتکل پیش فرض اکتیو دایرکتوری هست) در نتیجه زمانی که میخوایم realm trust ایجاد کنیم باید مطمئن بشیم که اون سیستم عامل غیر مایکروسافتی از kerberos V5 پشتیبانی کنه .
  3. External trust : این تراست هم زمانی کاربرد داره که سیستم عامل سرور یکی از فارست ها که مبخوایم باهاش تراست کنیم NT Server هست ، این تراست میتونه یک طرفه یا دوطرفه باشه و میتونه transitivity داشته باشه یا نداشته باشه .
  4. Shortcut trust : این تراست زمانی کاربرد داره که میخوایم سرعت افزایش بدیم یعنی مثلاً اگه یه فارست داشته باشیم که تعداد زیادی دومین داره و یه یوزر توی یکی از دومینها میخواد به اطلاعات یه یوزر دیگه توی یکی از دومینهای فارست دوم دسترسی داشته باشه، حالا این یوزر زمانی میتونه به اطلاعات اون یوزر دسترسی داشته باشه که یه پروسه ی تایید یوزر توسط دومین های بالاسریش انجام بشه و در نهایت تراست نیز باید چک بشه که تراست برقرار باشه، خوب حالا اگه این یوزر چند تا دومین بالاسری داشته باشه این تایید زمانبر خواهد بود در نتیجه واسه سرعت بخشیدن دسترسی یوزر به اطلاعات میایم و از این تراست استفاده میکنیم .
  5. ّForest trust : واسه اینکه بتونیم این تراست ایجاد کنیم باید سیستم عامل سرور فارستهایی که میخوایم تراست بینشون ایجاد بشه، ویندوز سرور 2003 به بالا باشن . این تراست میتونه یک طرفه یا دوطرفه باشه و بصورت پیشفرض Transitivity داره .

خوب یه توضیح درباره گروه ها میدم جون توی تراست مهمه، زمانی که میخوایم گروه بسازیم باید چند تا نکته رو در نظر بگیریم، یکی اینکه گروهی که میخوایم بسازیم نوعش چی باشه (Group Type) و دومی هم هدف گروه هست (Group Scope)، حالا منظور از هدف گروه یعنی کیا میتونن عضو گروه باشن و این گروه کجاها قابل Add شدن هست.

معرفی انواع گروه در اکتیودایرکتوری

  1. ِDistribution : یه گروه خاص هست که فقط کاربردش واسه ایمیل فرستادن به یورزهاست، یعنی اگه خواستیم به 30 یوزر یه ایمیل مشترک بفرستیم بجای اینکه تک تک این یوزرها رو وارد کنیم و بهشون ایمیل بزنیم میتونیم اسم گروهشونو وارد میکنیم (یوزرهایی که عضو این گروه میشن فقط قابلیت ایمیل دارن و نیمیشه مثلا روی این گروه NTFS Permision ست کرد . )
  2. security : گروهی هست که بیشترین کاربرد داره و میشه روی این گروه مثلاً NTFS Permision گذاشت و خیلی کارای دیگه . (واسه ایمیل فرستادن هم میشه از این گروه استفاده کرد)

Group Scope در اکتیودایرکتوری

  1. Domain Local : اگه گروهی با این Scope بسازیم، فقط توی همین فارستی که گروه ساختیم قابل دیدن و Add کردن هست ولی اعضاش میتونن از همه جا باشن (یعنی همین فارستی که گروه توش ساخته شده و فارست هایی که بهشون تراست زدیم )
  2. Global : این گروه برعکس بالایی هست، یعنی اعضاش فقط میتونن از همین فارستی باشن که گروه توش ساخته شده ولی همه جا قابل دیدن و Add شدن هست .
  3. Universal : اعضای این گروه میتونن از همه جا باشن و همه جا قابل دیدن و Add شدن هست، ممکنه پیش خودتون بگید که همین نوع گروه خوبه دیگه همه قابلیتهارو داره ولی این گروه بخاطر اینکه لود میزاره روی سرور فقط جاهایی ازش استفاده میکنیم که مجبور باشیم. (اطلاعات universal توی global catalog شبکه ذخیره میشه و زمانی که DC داره replication انجام میده به جز اطلاعات اکتیو دایرکتوری، اطلاعات global catalog هم replicate میشه خوب زمانی که اطلاعات بیشتر باشه حجم اطلاعاتی که replicate میشه میره بالا ترافیک افزایش پیدا میکنه واسه همینه که universal روی سرور لود میزاره)

خوب حالا مرحله به مرحله فارست تراست بهتون یاد میدم .

وب سایت توسینسو

واسه ابتدای کار روی منوی tools از Server Manager کلیک میکنیم و سپس از منوی باز شده گزینه Active Directory Domains and Trusts انتخاب میکنیم ،که صفحه زیر ظاهر میشه .

وب سایت توسینسو

و بعدش روی اسم دومین راست کلیک و propertise انتخاب میکنیم تا صفحه زیر نمایش داده شود و سپس وارد تب Trust میشیم .

وب سایت توسینسو

حالا روی دکمه New Trust کلیک میکنیم تا یه صفحه ویزارد بصورت زیر برای ما باز بشه .

وب سایت توسینسو

next میکنیم و سپس توی صفحه زیر اسم فارستی که میخوایم بهش تراست بزنیم رو وارد می کنیم .

وب سایت توسینسو

دوباره next میکنیم و اگه با صفحه ای شبیه صفحه زیر برخورد کنیم یعنی نتونسته فارست مقابل (همونی که توی مرحله قبل وارد کردیم) پیدا کنه در نتیجه باید چک کنیم که Dns تنظیم شده باشه .

وب سایت توسینسو

صفحات بالا رو میبندیم و سپس بصورت زیر Dns تنظیم میکنیم (این تنظیم Dns باید توی هر دو فارست انجام بشه وگرنه فارست ها نمیتونن همدیگرو پیدا کنن) صفحه Dns میتونیم یا از طریق تایپ Dns در استارت ویندوز یا از طریق Administrative Tools توی استارت و یا از طریق منوی Tools در Server Manager باز کنیم ، که صفحه زیر نشون داده میشه .

وب سایت توسینسو
وب سایت توسینسو

روی new zone کلیک می کنیم تا یه صفحه ویزارد باز بشه و سپس روی next کلیک می کنیم تا صفحه زیر نمایش داده بشه .

وب سایت توسینسو

طبق چیزی که تو عکس بالا معلومه ما میتونیم سه نوع Zone بسازیم، Zone ی که واسه تراست بدردمون میخوره آخری هست یعنی Stub zone ، Stub zone یه Zone خاص هست یعنی میگرده و فقط Dns های موجود در فارست مقابل (که میخوایم بهش تراست بزنیم) برای ما نمایش میده . دو تای دیگه بدرد تراست نمیخورن .پس روی Stub Zone کلیک میکنیم و next میزنیم تا صفحه ای دیگه برامون باز بشه .

وب سایت توسینسو

حالا روی گزینه اول کلیک میکنیم یعنی میخوایم فارست تراست ایجاد کنیم و سپس next میزنیم .

وب سایت توسینسو

اسو فارست مقابل تایپ میکنیم و next میزنیم.حالا در اینجا IP سرور دومین مقابل وارد میکنیم و اگه مشکلی نباشه تایید IP نمایش داده میشه بصورت زیر .

وب سایت توسینسو

next میزنیم و بعد روی finish کلیک میکنیم، حالا دوباره میریم سعی میکنیم تراست ایجاد کنیم، تمام کارای که قبل از Dns انجام دادیم دوباره انجام میدیم و زمانی که فارست مقابل وارد میکنیم و Next میزنیم صفحه ای زیر نمایش داده میشه یعنی تونست فارست مقابل پیدا کنه .

وب سایت توسینسو

چون میخوایم فارست تراست ایجاد کنیم باید روی گزینه Frost Trust کلیک کنیم و سپس Next بزنیم .

وب سایت توسینسو

خوب حالا اگه بخوایم تراستمون یک طرفه باشه روی One way کلیک میکنیم و اگه بخوایم دو طرفه باشه روی Two way کلیک میکنیم که من میخوام تراست دوطرفه ایجاد کنم و بعدش Next میزنیم .

وب سایت توسینسو

اینجا از ما میپرسه که میخواید تراست توی هر دو فارست تنظیم بشه یا فقط توی همین فارست (اگه گزینه اول انتخاب کنیم باید همه ی اینکارایی که تا الان انجام دادیم دوباره واسه فارست مقابل هم انجام بدیم ولی اگه گزینه دوم انتخاب کنیم دیگه اینکار لازم نیست تنظیمات تراست واسه فارست مقابل انجام میشه) و چون ما داریم توی VMware این کارارو انجام میدیم لازم نیست که دوبار این کارا تکرار بشه در نتیجه میایم روی گزینه دوم کلیک میکنیم (ولی توی کار باید گزینه اول انتخاب کنیم چون واسه تراست از ما پسورد فارست مقابل میخواد و ما که پسورد فارست مقابل نداریم)

وب سایت توسینسو

خوب میبینید که از ما پسورد ادمین فارست مقابل میخواد، پسورد وارد میکنیم و next میزنیم.

وب سایت توسینسو

اینجا میپرسه که میخواید تمام یوزرهای دومین مقابل بتونن وارد دومین شما بشن (گزینه اول) یا فقظ بعضی یوزرها این اجازه رو داشته باشن (گزینه دوم)، که اینجا ما گزینه اول انتخاب میکنیم یعنی میخوایم فعلاً تمام یوزرها اون دومین بتونن وارد دومین ما بشن ، next میزنیم و صفحه بعد نیز جهت برعکسشو میپرسه (یعنی چه یوزرهایی از دومین خودمون بتونن وارد دومین مقابل بشن) که باز گزینه اول انتخاب میکنیم و next میزنیم که صفحه زیر نمایش داده میشه .

وب سایت توسینسو

این صفحه یه گزارش بهمون نشون میده که بررسی میکنیم درست باشه

وب سایت توسینسو

اینجا میپرسه که تراست تایید کنم (تراستی که از طرف ما به اون دومین زده میشه) yes میزنیم

وب سایت توسینسو

اینجا هم میپرسه که تراست تایید کنم (تراستی که از طرف دومین مقابل به دومین ما زده میشه) yes میزنیم

وب سایت توسینسو

زمانی که صفحه بالا ظاهر شد یعنی تراستمون با موفقیت ایجاد شده finish میزنیم خوب حالا یه نگا به صفحه تراست دومین خودمون میندازیم که میبینید تراست ایجاد شده بصورت زیر (هم از طرف دومین مقابل هم از طرف دومین خودمون)

وب سایت توسینسو

وارد سرور دومین مقابل میشیم و یه نگا به تراستش میندازیم بصورت زیر، اینجا هم به صورت اتوماتیک تراست ایجاد شده پس همه چی درسته

وب سایت توسینسو

خوب حالا میایم تراستمونو تست میکنیم، یه فولدر توی اون دومین ایجاد میکنیم و اجازه میدیم یوزرهامون بتونن دسترسی داشته باشن به اون فولدر .ابتدا یوزرهایی که میخوایم به فولدر دسترسی داشته باشن ایجاد میکنیم (حتما نیازی نیست یوزر ایجاد کنید میتونید از همون یوزرهایی که دارید استفاده کنید) و یه گروه میسازیم (از نوع global) و این یوزرهارو عضوش میکنیم (به این خاطر Scope گروه از نوع global ایجاد میکنیم چون میخوایم بعدا توی اون دومین قابل دیدن و add شدن باشه)

وب سایت توسینسو
وب سایت توسینسو

در بالا میبینید که دوتا یوزر بنام User1,User2 ایجاد کردم بهمراه یه گروه بنام Network User و اعضاشو این دوتا یوزر گذاشتم، کارمون توی این دومین تمومه میریم توی دومین مقابل

وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

یه گروه بنام Wolf User ایجاد میکنیم (scope گروه Domain local میزاریم چون میخوایم اعضاش به جز اینکه از این دومین باشن از جاهایی هم که تراست زدیم باشن) و اعضاش میشن همون گروهی که توی اون دومین ساختیم(یعنی Network User) واسه اینکه بتونیم گروه های اون دومین ببینیم باید روی Locations کلیک کنیم و اون یکی دومین انتخاب کنیم و بعدش اسم گروه وارد کنیم و Add بزنیم .حالا اگه زمانی که میخواستیم گروه Wolf User بسازیم اشتباهی نوع Scope گروهشو Global انتخاب میکردیم، زمانی که میخواستیم توی Locations اون دومین انتخاب کنیم چیزی نمایش داده نمیشد (اینجاست که فرق Global و Domain Local مشخص میشه) بصورت زیر

وب سایت توسینسو

خوب گروههامونو ساختیم نوبت به این رسیده که یه فولدر بسازیم (واسه تست تراست) تا گروه Wolf User (در حقیقت user1,user2) بتونه بهش دسترسی داشته باشه .

وب سایت توسینسو
وب سایت توسینسو

یه فولدر بنام Data Wolf user ساختیم و به اشتراک گذاشتیمش (به صورت بالا) و به گروه Wolf User دسترسی در حد Modify دادیم، خوب حالا با user1 وارد win8 میشیم .

وب سایت توسینسو
وب سایت توسینسو

خوب میبینید که فولدری که به اشتراک گذاشتیم نشون میده و تونستیم یه فایل توش ایجاد کنیم حالا میایم با یه یوزری که عضو Network user نیست تست میکنیم ببینیم دسترسی داره

وب سایت توسینسو

میبینید که اجازه نداد .

اومیدوارم این آموزش مفید بوده باشه .

نویسنده : مهدی رزمجویی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد .


مهدی رزمجویی
مهدی رزمجویی

توسعه دهنده SQL و PHP علاقه مند به مهندسی معکوس

توسعه دهنده C# ، ++C ، PHP ، SQL ، محقق بدافزار ، توسعه دهنده آنتی ویروس پادویش ، توسعه دهنده آزمایشگاه بدافزار ، علاقمند به مهندسی معکوس

نظرات