نحوه ایجاد user در اکتیودایرکتوری

در این مقاله نحوه ایجاد user در اکتیودایرکتوری را آموزش می‌دهیم. پس از ایجاد دامین در سرور (این سرور را دامین کنترلر می‌نامیم: Domain Controller – DC) باید بتوانیم کامپیوتر ها را به دامین جوین کنیم. آموزش جوین کردن کلاینت به دامین را در لینک “آموزش جوین کردن کلاینت به دامین” بخوانید. مقدمه انجام این کار، ایجاد یوزر در دامین است. در این آموزش همراه فالنیک باشید تا نحوه ایجاد user در اکتیودایرکتوری را بخوانید.

• آموزش قدم به قدم ایجاد user در اکتیودایرکتوری
• دادن دسترسی ادمین به یوزر در دامین
• دسترسی نصب نرم افزار به یوزر دامین

آموزش قدم به قدم ایجاد user در اکتیودایرکتوری

1. در ویندوز سرور پنجره Run را باز کنید و دستور dsa.msc را وارد کنید. با این کار وارد پنجره Active Directory User and Computers یا همان ADUC می‌شوید.

راه دوم برای وارد شدن به این پنجره این است که وارد Server Manager شوید و گزینه Tools را بزنید. از منوی باز شده گزینه Active Directory User and Computers را انتخاب کنید.

2. در ستون سمت چپ روی گزینه Users راست کلیک کنید و و از منوی باز شده روی New رفته و سپس User را انتخاب کنید. با این کار پنجره New Object – User باز می‌شود.

3. برای این یوزر جدید، قسمت Logon Name و Username را وارد کنید. سپس Next بزنید.

4. در این مرحله باید پسورد مشخص کنید. همان طور که در تصویر می‌بینید چهار گزینه دیده می‌شود.

اگر گزینه User must change Password at next logon را تیک بزنید، در اولین لاگین کاربر، از او خواسته می‌شود پسورد را عوض کند. در غیر این صورت شما به عنوان ادمین می‌توانید به اطلاعات او دسترسی یابید که از لحاظ امنیتی درست نیست.

اگر گزینه User cannot change password را تیک بزنید کاربر نمی‌تواند پسورد را عوض کند.

پس از تنظیم پسورد برای کاربر روی Next بزنید.

5. در این مرحله تنظیماتی که در مراحل قبل مشخص کرده‌اید نمایش داده می‌شود. در صورت تایید، دکمه Finish را بزنید.

6. همان طور که می‌بینید کاربر جدید در اکتیو دایرکتوری اضافه و تعریف شد. می‌توانید با انتخاب کاربر و کلیک روی دکمه Properties اطلاعات مربوط به آن را تکمیل کنید.

دادن دسترسی ادمین به یوزر در دامین

وقتی کامپیوتری را به دامین اکتیودایرکتوری جوین می‌کنید، گروه Domain Admins به صورت خودکار به گروه لوکال Administrators و گروه Domain User به گروه Users اضافه می‌شود.

راحت‌ترین راه برای اعطای امتیازات ادمین لوکال به کامپیوتر و یوزر، این است که کاربر یا گروه را به گروه Administrators اضافه کنید. اما ریسک این کار را باید بپذیرید که افرادی که نمی‌خواهید، همچنان عضو گروهِ دارای امتیاز باشند. اگر این ریسک را نمی‌پذیرید و می‌خواهید اعضای local admins group را در هر domain computer کنترل کنید باید راه آسان را کنار بگذارید.

مایکروسافت در AD Domain، امتیازات و دسترسی‌های ادمین‌ها را در 4 دسته تقسیم کرده است:

1. Domain Admin: که فقط روی دامین کنترلر استفاده می‌شود.
2. Server Admins: گروهی است که اجازه مدیریت و کنترل سرورهای عضو دامین را دارد. لازم نیست حتما عضو گروه‌های Domain Admins یا local Administrators باشد.
3. Workstation Admins: گروهی است که وظایف ادمین را فقط روی ورک استیشن‌ها انجام می‌دهد. لازم نیست حتما عضو گروه‌های Domain Admins یا Server Admins باشد.
4. Domain Users: کاربر معمولی است که عملیات معمولی و اداری انجام می‌دهد. لازم نیست حتما امتیازات ادمین داشته باشد.

برای دادن دسترسی ادمین به یوزر در دامین به صورت زیر عمل کنید:

1- روی یوزر مورد نظر راست کلیک کرده و Properties را بزنید.

2- با کلیک روی Properties، پنجره username properties باز می‌شود که چندین تب دارد. روی تب member of بروید و Add را بزنید.

3- در پنجره Select Groups کلمه Administrators را بنویسید (دقت کنید تایپ کنید و Browse نکنید) سپس روی Check Name بزنید.

4- اگر گروه در سرور پیدا شد، Ok بزنید.

دسترسی نصب نرم افزار به یوزر دامین

با بزرگ شدن و توسعه شرکت و سازمان شما، اکتیودایرکتوری شما هم بزرگ می‌شود. ادمین اکتیودایرکتوری نیاز به هلپ دسکی در کنار خود دارد تابتواند کارهایی مثل نصب نرم افزار به یوزر دامین و تغییر پسورد یوزر در اکتیو دایرکتوری را انجام دهد. برای انجام چنین کارهایی نباید کاربر معمولی باشد و باید Permission های لازم را به او بدهید. Help Desk در اکتیودایرکتوری می‌تواند کارهای زیر را انجام دهد:

1. ایجاد، ویرایش و حذف کاربر
2. غیرفعال کردن اکانت کاربر
3. ریست کردن پسوردها
4. آپلود عکس‌های کاربر
5. تغییر نام کاربر
6. تغییر شماره تلفن‌ها
7. انتقال آبجکت‌ها به OU دیگر
8. مدیریت عضویت در گروه برای کاربر
9. ایجاد، ویرایش و حذف گروه‌ها

با وجود Help Desk Delegation می‌توانید وظایف ادمین را به هلپ دسک تفویض کنید. برای ایجاد کاربر هلپ دسک به ترتیب زیر عمل کنید:

1- وارد کنسول Active Directory Users and Computers شوید. برای این کار دستور dsa.msc را در Run اجرا کنید.

2- روی Users راست کلیک کنید و Delegate Control را انتخاب کنبد.

3- گروهی که می‌خواهید امتیازات ادمین را به آن بدهید انتخاب کنید.

4- می‌توانید با انتخاب گزینه delegate the following common tasks از لیست تسک ها انتخاب کنید و هم می‌توانید گزینه Create a custom task to delegate را انتخاب کنید.

5- با انتخاب گزینه دوم پنجره زیر باز می‌شود می‌توانید دسترسی‌های موردنظرتان را انتخاب کنید.

6- حالا از صفحه Permissions موارد موردنظرتان مثل Read lockoutTime و Write lockoutTime و Reset password را انتخاب کنید.

7- با تایید مواردی که در مراحل قبل انتخاب کرده‌اید، ویزارد را تکمیل کنید.