محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

Group Nesting چیست؟ + معرفی گروه Universal Group در AD

Group Nesting چیست؟ Universal Group چیست؟ تفاوت این دو گروه در اکتیودایرکتوری چیست؟ در این مقاله به شما مفهوم Universal Group و Group Nesting را توضیح میدهم ، در مقاله تفاوت Local Group | Domain Local Group و Global Group در چیست؟ به شما مفاهیم استفاده از گروه ها برای مدیریت منابع شبکه و همچنین تعیین سطوح دسترسی در شبکه به کاربران را توضیح دادیم .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در ادامه به شما توضیحاتی در خصوص انواع گروه هایی که میتوان در اکتیودایرکتوری ویندوز سرور 2003 و 2008 را داشت دادیم و محدودیت ها و قابلیت های هر کدام را بررسی کردیم . در مقاله قبلی در خصوص Local Group ها ، Domain Local Group ها و Global Group ها صحبت کردیم . شما براحتی با داشتن این گروه های میتوانید شبکه خود را به درستی مدیریت کنید . اما علاوه بر این نوع گروه ها ، گروه دیگری به نام Universal Group وجود دارد که در ویندوز های سرور و ساختار اکتیودایرکتوری وجود دارد که در این مقاله به بررسی آن خواهیم پرداخت . در دوره آموزش نتورک پلاس و همچنین در دوره آموزش لینوکس اسنشیالز نیز شما مفهومی به نام Group Nesting دارید.

برای اونهایی که مفاهیم Local Group و Domain Local Group و Global Group کمی مبهم است و یا اینکه محدودیت هایی در این گروه ها وجود دارد که باعث عدم رضایت شما از این نوع گروه ها می شود ، Universal Group پاسخ مناسبی برای شما خواهد بود .

Universal Group ها در حقیقت گروه هایی هستند که هیچگونه محدودیتی مانند محدودیت های گفته شده برای سایر گروه ها را در خود ندارند . برای مثال در مقاله قبلی به شما گفتیم که شما نمیتوانید یک Local Group و یا یک Domain Local Group را در یک Local Group قرار بدهید و عضو کنید .

اما شما براحتی میتوانید یک Universal Group را به عضویت یک Local Group در بیاورید . قوانینی که برای سایر گروه ها وجود دارند در Universal Group وجود ندارد . اما همینجا یک سئوال برای ما پیش می آید که اگر Universal Group ها اینقدر ساده مشکلات ما را حل می کنند پس چه نیازی به استفاده از گروه های دیگر در اکتیودایرکتوری وجود دارد ؟

یکی از دلایلی که در ویندوز سرور 2003 و 2008 انواع گروه ها را داریم این است که این محصول انقلابی در صنعت نرم افزار بود و یک محصول انقلابی محسوب میشود . Universal Group ها در ویندوز سرور 2000 معرفی شدند و با بوجود آمدن اکتیودایرکتوری خود را مطرح کردند. نسخه های قبلی ویندوز که با عنوان ویندوز NT معرفی میشدند ساختار گروه یا Group را پشتیبانی میکردند اما چیزی به عنوان Universal Group در آنها وجود نداشت .

وقتی مایکروسافت ویندوز سرور 2000 را ارائه کرد به دلیل اینکه بایستی از محصولات قبلی خود نیز پشتیبانی میکرد ساختار گروه های سابق موجود را حفظ کرد که به اصطلاح میگویند مایکروسافت همیشه Backward Compatibility را رعایت میکند . در همین راستا ویندوز سرور 2003 نیز از تمامی انواع گروه ها حمایت میکند و همچنین این روند در ویندوز سرور 2008 نیز ادامه دارد .

تمامی این موارد بر میگردد به زمانی که از ویندوز NT استفاده میشد که دیگر ساختاری به نام Universal Group را پشتیبانی نمیکرد و این نکته را شما نیز بایدستی رعایت کنید ، اگر در شبکه شما ویندوز NT همچنان مشغول به فعالیت هست ، برای اینکه بتوانید با آن ارتباط برقرار کنید میبایست از نوع گروه هایی استفاده کنید که از آن پشتیبانی میکند و اگر در این حالت از Universal Group استفاده کنید طبیعتا نمیتوانید با آن ارتباط برقرار کنید .

در ویندوز سرور 2000 که میتوان گفت یک تغییر دراماتیک در تولید محصولات سرور نسبت به ویندوز NT سرور محسوب میشد امکانات جدید بسیری اضافه شده بود که در تنها در صورتی قابل استفاده بودند که سایر سرور های دامین کنترلر نیز ویندوز 2000 بودند و اگر دامین کنترلر های دیگر از نوع NT بودند نمیتوانستیم از بسیاری از این امکانات استفاده کنیم . برای حل این موضوع که ویندوز های سرور 2000 که در نقش دامین کنترلر هستند و نمیتوانستند با ویندوز های NT سرور که در نقش دامین کنترلر هستند ارتباط برقرار کنند مایکروسافت مفهومی به عنوان Native Mode را ارائه کرد .

من در مورد Native Mode در قسمت 17 بیشتر صحبت خواهم کرد اما اگر بخواهم در ساده ترین حالت ممکن برایتان مثال بزنم باید بگویم که شما وقتی ویندوز سرور 2000 را نصب میکند این سیستم عامل در حالت Mixed Mode شروع به فعالیت میکند .

حالت Mixed Mode حالتی است که با ویندوز NT و ویندوز های قبلی که در نقش دامین کنترلر هستند بدون هیچ مشکلی ارتباط برقرار میکند اما بسیاری از امکانات زیبایی که به ویندوز سرور 2000 اضافه شده بود در این حالت غیرفعال خواهند شد و برای حل این موضوع شما میبایست ویندوز سرور 2000 را به حالت Native Mode تبدیل کنید . همین مفهوم با چند تغییر در تکنولوژی های بکار رفته در ویندوز سرور 2003 و 2008 و 2008 R2 نیز وجود دارد .

Universal Group ها از همان امکاناتی هستند که صرفا در دامین کنترلر هایی موجود میباشد که در حالت Native Mode و یا بالاتر فعالیت میکنند . این همان دلیلی است که در برخی اوقات شما در ویندوز سرور 2000 و 2003 Universal Group ها را مشاهده نمیکنید .

حتی اگر تمامی دامین کنترلر های شما هم ویندوز سرور 2003 باشند و ساختار Forest بصورت کلی در حالت Native قرار داشته باشد هم باز مشکلاتی ممکن است در ایجاد کردن Universal Group ها بوجود بیاید . قبلا در همین سری از مقالات در خصوص مفهوم Global Catalog Server توضیحاتی دادم .

برای یاد آوری هم که شده باید بگویک که Global Catalog Server ها دامین کنترلر هایی هستند که وظیفه نگهداری کلیه اتفاقات و رویداد های مربوط به هر شیء در ساختار Forest را بر عهده دارند . هر Site در اکتیودایرکتوری برای خود یک کپی از Global Catalog نگهداری میکند و به محض اینکه اطلاعات این Global Catalog Server بروز رسانی شد این اطلاعات میبایست به سرور های دیگر منتقل شده و به اصطلاح Replicate شوند .

زمانی که شما یک Universal Group ایجاد میکنید اسم گروه و همچنین لیست عضویت های گروه بلافاصله درون Global Catalog نوشته میشوند . این بدین معناست که اگر شما عضویت های خود را بیشتر و بیشتر کنید در نتیجه حجم اطلاعات نیز در درون Global Catalog سرور زیاد می شود .

هنگامی که حجم Global Catalog Server بالا رفت زمانی که نیاز هست که سرور های دارای Global Catalog اطلاعات خود را یکسان سازی کنند به دلیلی حجم زیاد اطلاعات زیاد خواهد شد . اگر این موارد کنترل نشود ممکن است شبکه دچار مشکل افت کیفیت شود .

جالب اینجاست بدانید که گروه های دیگر اینقدر بار ترافیکی زیاد برای Global Catalog Server ایجاد نمیکنند .برای مثال Global Group ها هم در Global Catalog لیست میشوند اما لیست عضویت های آنها در Global Catalog ذخیره نمیشود .بنابراین مایکروسافت همیشه پیشنهاد میکند که از Universal Group ها همیشه زمانی استفاده کنید که میدانید برای ترافیک شبکه شما چندان مشکلی پیش نخواهد آمد و ترافیک شبکه شما اجازه استفاده از این گروه ها را میدهد .

Group Nesting در اکتیودایرکتوری چیست؟

آخرین مبحثی که در خصوص گروه ها باقی مانده که برایتان توضیح بدهم مفهوم Group Nesting است . ساده ترین راهی که بخواهم شما را با مفهوم این موضوع بیشتر آشنا کنم استفاده از عروسک های توخالی است ، مانند همینهایی که در شکل الف میبینید .

این عروسک های تو در تو طوری طراحی شده اند که میتوان از کوچ به بزرگ را در داخل همدیگر قرار داد ، بطوریکه در نهایت فقط شما یک عروسک را خواهید دید در صورتیکه تمامی عروسک ها را در خود جای داده است . دقت کنید عروسک های کوچکتر براحتی در درون عروسک های بزرگتر قرار میگیرند بطوریکه در نهایت یکی دیده شود . به ایده اینکه بتوان یک شیئ را در درون شیئ دیگر قرار داد به اصطلاح Nesting میگویند .

مفهوم Group Nesting
  • شکل الف : اسباب بازی های مجسمه های روسی مفهوم Group Nesting را به خوبی نمایش میدهند.

دلایل زیادی وجود دارد که گروه ها درون یکدیگر قرار بدهیم . با قرار دادن یک گروه محدود در یک گروه با سطح دسترسی بالاتر ، سطح دسترسی گروه بالاتر به گروه کوچکتر هم خواهد رسید و بنابراین گروه محدود دیگر محدود نخواهد بود . برای مثال شما در شرکتی کار میکنید که برای هر قسمت آن یک گروه تعریف کرده اید . برای مثال شما گروه های Human Resource ، IT و Managers را ایجاد کرده اید ، شما براحتی کاربرانی را که میخواهید سطح دسترسی متناظر با قسمتی که برایشان تعیین شده است را داشته باشند به درون گروه مورد نظر قرار میدهید .

مرحله بعد ایجاد گروه های جدید و عضو کردن گروه های ایجاد شده در آنها برای دسترسی به منابع است . فرض کنید که در اینجا ما میدانیم که پرسنل قسمت منابع انسانی که گروه Human Resource برای آنها ایجاد شده است همگی نیاز به دسترسی به یک نرم افزار مالی دارند که در قسمت مالی سازمان قرار دارد ، در اینجا شما کافیست یک گروه برای آن نرم افزار مالی به نام Application یا هر اسمی که میخواهید ایجاد کرده و گروه Human Resource را به درون آن قرار دهید ، با اینکار همه اعضای گروه Human Resource میتوانند به منابع نرم افزار مالی دسترسی داشته باشند و نیازی نیست که تک تک افراد را به این گروه اضافه کنیم . یادگیری دوره آموزش MCSA ویندوز سرور برای ورود به دنیای اکتیودایرکتوری الزامی است.

شما همیشه نیازی نیست که اینکار را بکنید اما اینکار به نظمر بیشتر شبکه شما کمک بیشتری میکند و اینکار کار شما را به عنوان مدیر شبکه نیز بسیار ساده تر میکند . به خاطر داشته باشید که هر گروهی نمیتواند در هر گروه دیگری قرار بگیرد یا به زبان فنی تر هر گروهی نمیتواند Nest شود . جدول زیر به شما روش و اینکه هر گروهی میتواند در چه گروه هایی قرار بگیرد را نشان میدهد :

جدول عضویت در گروه های اکتیودایرکتوری


نکات مهم : در سیستم عامل ویندوز سرور 2000 و در حالت mixed mode شما این محدودیت ها را دارید :

  • Universal Group ها نمیتوانند در این حالت ایجاد شوند
  • Domain Local Group ها فقط میتوانند Global Group ها به عضویت بگیرند .
  • Global Group ها نمیتوانند سایر گروه ها را در خود عضو کنند .
گروه های Universal  در اکتیودایرکتوری

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات