سلام به دوستان، توی این آموزش میخوام فارست تراست بهتون آموزش بدم، ابتدا یه توضیح کوتاه درباره انواع تراستها میدم. تراست به چه معنیه: تراست یعنی اعتماد کردن، یعنی زمانی که دو فارست که هیچ ربطی به هم ندارن بخوان به همدیگه اعتماد کنن و از اطلاعات و منابع هم استفاده کنن. کلاً تراست ها یا بصورت اتوماتیک ایجاد میشن یعنی ما توی ایجاد شدنشون دخیل نیستیم که بهشون Implicit میگن و یا دستی ایجاد میشن یعنی خودمون ایجادشون می کنیم که بهشون Explicit میگن. زمانی که میخوایم تراست بین دو فارست ایجاد کنیم مشخص میکنیم که آیا میخواییم هردو فارست بتونن از اطلاعات هم استفاده کنن (یعنی تراست دو طرفه بزنیم) یا فقط یکی از فارست ها بتونه به اطلاعات اون یکی فاست دیگه دسترسی داشته باشه (یعنی تراست یک طرفه بزنیم) مثلاً اگه فارست A به فارست B اعتماد کنه، یعنی فارست B میتونه به اطلاعات و منابعی که فارست A مشخصی میکنه دسترسی داشته باشه(بر عکس هم هستن).
خوب حالا اگه فارست A به فارست B اعتماد داشته باشه و فارست B هم به فارست C اعتماد داشته باشه در نتیجه فارست A اعتماد داره به فارست C، که بین قضیه Transitivity میگن.
انواع تراست در اکتیودایرکتوری:
parent/child trust: این تراست رو بهش میگن تراست پدر و فرزند که اتوماتیک ایجاد میشه
مثلاً زمانی که یه DC ایجاد میکنیم و بعدش یه child Domain بهش اضافه میکنیم این تراست ایجاد میشه که تراستش دوطرفه هست و در ضمن بصورت پیشفرض transitivity هم داره.
realm trust: این تراست زمانی کاربرد داره که میخوایم بین یه فارستی که سیستم عامل سرورش غیر مایکروسافتی هست تراست ایجاد کنیم با یه فارستی که سیستم عامل سرورش مایکروسافتیه.
البته اینجا یه نکته ای وجود داره و اون هم اینه که چون سرورهای مایکروسافتی از Kerberos V5 استفاده میکنن (Kerberos V5 پروتکل پیش فرض اکتیو دایرکتوری هست) در نتیجه زمانی که میخوایم realm trust ایجاد کنیم باید مطمئن بشیم که اون سیستم عامل غیر مایکروسافتی از kerberos V5 پشتیبانی کنه.
External trust: این تراست هم زمانی کاربرد داره که سیستم عامل سرور یکی از فارست ها که مبخوایم باهاش تراست کنیم NT Server هست.
این تراست میتونه یک طرفه یا دوطرفه باشه و میتونه transitivity داشته باشه یا نداشته باشه.
Shortcut trust: این تراست زمانی کاربرد داره که میخوایم سرعت افزایش بدیم یعنی مثلاً اگه یه فارست داشته باشیم که تعداد زیادی دومین داره و یه یوزر توی یکی از دومینها میخواد به اطلاعات یه یوزر دیگه توی یکی از دومینهای فارست دوم دسترسی داشته باشه.
حالا این یوزر زمانی میتونه به اطلاعات اون یوزر دسترسی داشته باشه که یه پروسه ی تایید یوزر توسط دومین های بالاسریش انجام بشه و در نهایت تراست نیز باید چک بشه که تراست برقرار باشه، خوب حالا اگه این یوزر چند تا دومین بالاسری داشته باشه این تایید زمانبر خواهد بود در نتیجه واسه سرعت بخشیدن دسترسی یوزر به اطلاعات میایم و از این تراست استفاده میکنیم.
ّForest trust: واسه اینکه بتونیم این تراست ایجاد کنیم باید سیستم عامل سرور فارستهایی که میخوایم تراست بینشون ایجاد بشه، ویندوز سرور 2003 به بالا باشن.
این تراست میتونه یک طرفه یا دوطرفه باشه و بصورت پیشفرض Transitivity داره.
خوب یه توضیح درباره گروه ها میدم چون توی تراست مهمه، زمانی که میخوایم گروه بسازیم باید چند تا نکته رو در نظر بگیریم، یکی اینکه گروهی که میخوایم بسازیم نوعش چی باشه (Group Type) و دومی هم هدف گروه هست (Group Scope)، حالا منظور از هدف گروه یعنی کیا میتونن عضو گروه باشن و این گروه کجاها قابل Add شدن هست.
معرفی انواع گروه در اکتیودایرکتوری
Distribution: یه گروه خاص هست که فقط کاربردش واسه ایمیل فرستادن به یورزهاست، یعنی اگه خواستیم به 30 یوزر یه ایمیل مشترک بفرستیم بجای اینکه تک تک این یوزرها رو وارد کنیم و بهشون ایمیل بزنیم میتونیم اسم گروهشونو وارد میکنیم (یوزرهایی که عضو این گروه میشن فقط قابلیت ایمیل دارن و نیمیشه مثلا روی این گروه NTFS Permision ست کرد)
security: گروهی هست که بیشترین کاربرد داره و میشه روی این گروه مثلاً NTFS Permision گذاشت و خیلی کارای دیگه. (واسه ایمیل فرستادن هم میشه از این گروه استفاده کرد)
Group Scope در اکتیودایرکتوری
Domain Local: اگه گروهی با این Scope بسازیم، فقط توی همین فارستی که گروه ساختیم قابل دیدن و Add کردن هست (فقط به منابع همین دامین دسترسی دارد) ولی اعضاش میتونن از همه جا باشن (یعنی همین فارستی که گروه توش ساخته شده و فارست هایی که بهشون تراست زدیم)
Global: این گروه برعکس بالایی هست، یعنی اعضاش فقط میتونن از همین فارستی باشن که گروه توش ساخته شده ولی همه جا قابل دیدن و Add شدن هست.
Universal: اعضای این گروه میتونن از همه جا باشن و همه جا قابل دیدن و Add شدن هست، ممکنه پیش خودتون بگید که همین نوع گروه خوبه دیگه همه قابلیتهارو داره ولی این گروه بخاطر اینکه لود میزاره روی سرور فقط جاهایی ازش استفاده میکنیم که مجبور باشیم. (اطلاعات universal توی global catalog شبکه ذخیره میشه و زمانی که DC داره replication انجام میده به جز اطلاعات اکتیو دایرکتوری، اطلاعات global catalog هم replicate میشه خوب زمانی که اطلاعات بیشتر باشه حجم اطلاعاتی که replicate میشه میره بالا ترافیک افزایش پیدا میکنه واسه همینه که universal روی سرور لود میزاره)
خوب حالا مرحله به مرحله فارست تراست بهتون یاد میدم.
واسه ابتدای کار روی منوی tools از Server Manager کلیک میکنیم و سپس از منوی باز شده گزینه Active Directory Domains and Trusts انتخاب میکنیم ،که صفحه زیر ظاهر میشه.
و بعدش روی اسم دومین راست کلیک و propertise انتخاب میکنیم تا صفحه زیر نمایش داده شود و سپس وارد تب Trust میشیم.
حالا روی دکمه New Trust کلیک میکنیم تا یه صفحه ویزارد بصورت زیر برای ما باز بشه.
next میکنیم و سپس توی صفحه زیر اسم فارستی که میخوایم بهش تراست بزنیم رو وارد می کنیم.
دوباره next میکنیم و اگه با صفحه ای شبیه صفحه زیر برخورد کنیم یعنی نتونسته فارست مقابل (همونی که توی مرحله قبل وارد کردیم) پیدا کنه در نتیجه باید چک کنیم که Dns تنظیم شده باشه.
صفحات بالا رو میبندیم و سپس بصورت زیر Dns تنظیم میکنیم (این تنظیم Dns باید توی هر دو فارست انجام بشه وگرنه فارست ها نمیتونن همدیگرو پیدا کنن) صفحه Dns میتونیم یا از طریق تایپ Dns در استارت ویندوز یا از طریق Administrative Tools توی استارت و یا از طریق منوی Tools در Server Manager باز کنیم، که صفحه زیر نشون داده میشه.
روی new zone کلیک می کنیم تا یه صفحه ویزارد باز بشه و سپس روی next کلیک می کنیم تا صفحه زیر نمایش داده بشه.
طبق چیزی که تو عکس بالا معلومه ما میتونیم سه نوع Zone بسازیم، Zone ی که واسه تراست بدردمون میخوره آخری هست یعنی Stub zone ، Stub zone یه Zone خاص هست یعنی میگرده و فقط Dns های موجود در فارست مقابل (که میخوایم بهش تراست بزنیم) برای ما نمایش میده. پس روی Stub Zone کلیک میکنیم و next میزنیم تا صفحه ای دیگه برامون باز بشه.
حالا روی گزینه اول کلیک میکنیم یعنی میخوایم فارست تراست ایجاد کنیم و سپس next میزنیم.
اسو فارست مقابل تایپ میکنیم و next میزنیم. حالا در اینجا IP سرور دومین مقابل وارد میکنیم و اگه مشکلی نباشه تایید IP نمایش داده میشه بصورت زیر.
next میزنیم و بعد روی finish کلیک میکنیم، حالا دوباره میریم سعی میکنیم تراست ایجاد کنیم، تمام کارای که قبل از Dns انجام دادیم دوباره انجام میدیم و زمانی که فارست مقابل وارد میکنیم و Next میزنیم صفحه ای زیر نمایش داده میشه یعنی تونست فارست مقابل پیدا کنه.
چون میخوایم فارست تراست ایجاد کنیم باید روی گزینه Frost Trust کلیک کنیم و سپس Next بزنیم.
خوب حالا اگه بخوایم تراستمون یک طرفه باشه روی One way کلیک میکنیم و اگه بخوایم دو طرفه باشه روی Two way کلیک میکنیم که من میخوام تراست دوطرفه ایجاد کنم و بعدش Next میزنیم.
اینجا از ما میپرسه که میخواید تراست توی هر دو فارست تنظیم بشه یا فقط توی همین فارست (اگه گزینه اول انتخاب کنیم باید همه ی اینکارایی که تا الان انجام دادیم دوباره واسه فارست مقابل هم انجام بدیم ولی اگه گزینه دوم انتخاب کنیم دیگه اینکار لازم نیست تنظیمات تراست واسه فارست مقابل انجام میشه) و چون ما داریم توی VMware این کارارو انجام میدیم لازم نیست که دوبار این کارا تکرار بشه در نتیجه میایم روی گزینه دوم کلیک میکنیم (ولی توی کار باید گزینه اول انتخاب کنیم چون واسه تراست از ما پسورد فارست مقابل میخواد و ما که پسورد فارست مقابل نداریم)
خوب میبینید که از ما پسورد ادمین فارست مقابل میخواد، پسورد وارد میکنیم و next میزنیم.
اینجا میپرسه که میخواید تمام یوزرهای دومین مقابل بتونن وارد دومین شما بشن (گزینه اول) یا فقظ بعضی یوزرها این اجازه رو داشته باشن (گزینه دوم)، که اینجا ما گزینه اول انتخاب میکنیم یعنی میخوایم فعلاً تمام یوزرها اون دومین بتونن وارد دومین ما بشن، next میزنیم و صفحه بعد نیز جهت برعکسشو میپرسه (یعنی چه یوزرهایی از دومین خودمون بتونن وارد دومین مقابل بشن) که باز گزینه اول انتخاب میکنیم و next میزنیم که صفحه زیر نمایش داده میشه.
این صفحه یه گزارش بهمون نشون میده که بررسی میکنیم درست باشه.
اینجا میپرسه که تراست تایید کنم (تراستی که از طرف ما به اون دومین زده میشه) yes میزنیم.
اینجا هم میپرسه که تراست تایید کنم (تراستی که از طرف دومین مقابل به دومین ما زده میشه) yes میزنیم.
زمانی که صفحه بالا ظاهر شد یعنی تراستمون با موفقیت ایجاد شده finish میزنیم.
خوب حالا یه نگا به صفحه تراست دومین خودمون میندازیم که میبینید تراست ایجاد شده بصورت زیر (هم از طرف دومین مقابل هم از طرف دومین خودمون)
وارد سرور دومین مقابل میشیم و یه نگا به تراستش میندازیم بصورت زیر، اینجا هم به صورت اتوماتیک تراست ایجاد شده پس همه چی درسته.
خوب حالا میایم تراستمونو تست میکنیم، یه فولدر توی اون دومین ایجاد میکنیم و اجازه میدیم یوزرهامون بتونن دسترسی داشته باشن به اون فولدر. ابتدا یوزرهایی که میخوایم به فولدر دسترسی داشته باشن ایجاد میکنیم (حتما نیازی نیست یوزر ایجاد کنید میتونید از همون یوزرهایی که دارید استفاده کنید) و یه گروه میسازیم (از نوع global) و این یوزرهارو عضوش میکنیم (به این خاطر Scope گروه از نوع global ایجاد میکنیم چون میخوایم بعدا توی اون دومین قابل دیدن و add شدن باشه)
در بالا میبینید که دوتا یوزر بنام U1 و U2 ایجاد کردم بهمراه یه گروه بنام Google Group و اعضاشو این دوتا یوزر گذاشتم، کارمون توی این دومین تمومه میریم توی دومین مقابل.
یه گروه بنام Google Users ایجاد میکنیم (scope گروه Domain local میزاریم چون میخوایم اعضاش به جز اینکه از این دومین باشن از جاهایی هم که تراست زدیم باشن) و اعضاش میشن همون گروهی که توی اون دومین ساختیم (یعنی Google Group) واسه اینکه بتونیم گروه های اون دومین ببینیم باید روی Locations کلیک کنیم و اون یکی دومین انتخاب کنیم و بعدش اسم گروه وارد کنیم و Add بزنیم. حالا اگه زمانی که میخواستیم گروه Google Users بسازیم اشتباهی نوع Scope گروهشو Global انتخاب میکردیم، زمانی که میخواستیم توی Locations اون دومین انتخاب کنیم چیزی نمایش داده نمیشد (اینجاست که فرق Global و Domain Local مشخص میشه)
خوب گروههامونو ساختیم نوبت به این رسیده که یه فولدر بسازیم (واسه تست تراست) تا گروه Google Users (در حقیقت U1,U2) بتونه بهش دسترسی داشته باشه.
یه فولدر بنام Test Data در سرور اول ساختیم و به اشتراک گذاشتیمش (به صورت بالا) و به گروه Google User دسترسی در حد Modify دادیم، خوب حالا با U1 وارد win10 میشیم.
خوب میبینید که فولدری که به اشتراک گذاشتیم نشون میده و تونستیم یه فایل توش ایجاد کنیم حالا اگر به یوزری دیگری که خارج از گروه Google Users هست وارد شده و تست کنید دیگر دسترسی به فایل ها و تغییرات آن ها ندارید.
