پیاده سازی قابلیت ” عضویت در گروه ها اکتیو دایرکتوری بر اساس زمان ” بر مبنای FFL 2016

6 484
مدت زمان برای مطالعه این مطلب : ۱۰ دقیقه                                                                                  سطح : پیشرفته

سلام دوستان ،  در این آموزش میخواهیم  یک گام برای متخصص تر شدن در مبحث اکتیو دایرکتوری با یکدیگر برداریم . این آموزش در مورد یکی از قابلیت های FFL 2016 که در عین سادگی بسیار پر کاربرد خواهد بود به شما نکاتی را آموزش میدهد ، قابلیت Time base group membership  قابلیت جدیدی می باشد که در صورت استفاده از FFL 2016 میتوانید از آن استفاده کنید . اما این قابلیت چه کاری برای ما انجام میدهد ؟ با Theways همراه باشید

از سالیان دور یکی از دغدغه های ادمین های عزیز این بوده است که چگونه عضویت در گروه های خاص همچون دومین ادمین را برای Help desk های عزیز به صورت کنترل شده و محدود ارائه کنند . خب این نیاز از طریق روش های مختلفی با سطوح  delegation متفاوت تا حدودی پاسخ داده میشد و نرم افزار های جانبی همچون AD Manager Plus این امور را تسهیل و دقیق تر و کاملتر ارائه می کردند  اما با همه این موارد  همچنان یک نیاز بدون پاسخ از طرف سرویس اکتیو دایرکتوری وجود داشت ! اینکه چگونه یک Help desk  را برای مدت محدود عضو یک گروه خاص مثلا Domain admin بکنیم و به صورت خودکار بعد از پایان یافتن مدت زمان خاص این عضویت پایان پذیرفته و کاربر مورد نظر دیگر عضو گروه گفته شده نخواهد بود

بسیار خب یکی از محدودیت های این قابلیت الزام به ارتقا ساختار فارست ! به FFL2016 خواهد بود ، خب قبل از انجام این کار مطمئن شوید که دقیقا آشنایی کامل با مفاهیم و مباحث DFL و FFL دارید و اگر در حال یادگیری می باشد با احتیاط و در محیط لابراتور خود این قابلیت را یادبگیرید ، مرسی !

پس شروع میکینم ، در گام اول میبایست FFL را بر روی ۲۰۱۶ ارتقا داده باشید و به کمک  کامند زیر مطمئن شوید که این سطح بر روی فارست شما اعمال شده است  :

Get-ADForest).ForestMode)

Get-ADDomain).DomainMode)

بسیار خب میبینیم که طبق تصویر زیر DFL و FFL ما بر روی بستر ۲۰۱۶ در حال ارائه سرویس می باشند سا

اکنون می بایست قابلیت PAM را فعال کنیم ، برای این کار ابتدا چک کنید که این قابلیت به Scope خاصی اعمال نشده باشد ، با هم ببینیم ، به عبارت جلوی Scope توجه کنید ! خالیست ! پس می بایست این امکان را فعال کنیم

{“*Get-ADOptionalFeature -Filter {Name -like “Privileged

بسیار خب نوبت به فعال کردن این قابلیت بر روی سرور مورد نظر ما میرسد ، به کمک این کامند قابلیت مورد نظر را فعال میکنیم رانگه :

$domain = (Get-ADDomain).DNSRoot

Enable-ADOptionalFeature “Privileged Access Management Feature” -Scope ForestOrConfigurationSet -Target $domain

خب تا اینجای کار خوب جلو رفتیم ، بهتره یه استراحت کوچک کنید تا اگر بستر فارست و دومین شما دارای DC های متعددی و طراحی سایت با بازه های زمانی رپلیکیت مختلف می باشد بتواند این تغییرات را دریافت و اصطلاحا همه DC  با هم یکدست و یک صدا شوند !

بسیار خب اگر یکبار دیگر وضعیت PAM را با یکدیگر بررسی کنیم خواهیم دید که اینبار تنظیمات Scope به پارتیشن های اکتیو دایرکتوری ما اعمال شده و فعال بودن این تنظیم را برای ما نمایان میکند

بسیار عالی ، اکنون نوبت این است که کاربر مورد نظر را برای گروه مورد نظر به عضویت موقت درآوریم   🙂 برای مثال در این سناریو میخوایم کاربری با شناسه UserA را برای مدت ۷ دقیقه عضو گروه Domain Admins کنیم با هم مراحل را دنبال کنیم

کافیست از کامند زیر برای این هدف استفاده کنید. (دقت کنید که از FQDN و UPN استفاده شده در دومین خودتان استفاده کنید )

Add-ADGroupMember -Identity ‘Domain Admins’ -Members ‘UserA’ -MemberTimeToLive (New-TimeSpan -Minutes 7)

اکنون اگر عضویت گروه Domain Admins را مشاهده کنید خواهید که که کاربر مورد نظر در گروه مورد نظر قرار گرفته و آماده لاگین می باشد و بعد از پایان تایم گفته شده به طور خودکار از عضویت در گروه مذکور خارج خواهد شد

امیدوارم این آموزش کوتاه و کاربردی مورد پسند شما قرار گرفته باشد ==>(:Theways

نویسنده:میلاد اسحاقی

برای تهیه این مطالب زمان صرف شده است ، با رعایت حق نویسنده و منبع به گسترش فرهنگ کپی رایت کمک کنیم

6 نظرات
  1. فرهاد خانلری می گوید

    ممنونم میلاد جان بسیار عالی بود

  2. فرهاد خانلری می گوید

    فقط اگر برات مقدوره تصویر کامد های پاورشل رو بازنگری کنی عالی میشه

    1. فرهاد خانلری می گوید

      اوکی شد. تشکر

  3. میلاد اسحاقی می گوید

    مرسی فرهاد جان از وقتی که گذاشتی ، تصاویر هم ادیت کردم بازم ممنون

  4. سالار بختیاری می گوید

    درود‌ آقای اسحاقی عزیز بیشتر رخ بنمایید ما بیشتر استفاده کنیم
    مثل همیشه هم‌ مطلب عالی بود هم‌نویسندش 🌹

  5. میلاد اسحاقی می گوید

    سلام آقای بختیاری عزیز ، مرسی از اینکه خوندی و نظر دادی ، باعث افتخاره

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.