بسم الله الرحمن الرحيم
اولى مواضيع النقاش العام فى الجوانب التقنية بعرب هاردوير
الموضوع مفتوح للجميع للابداء الراى
ارجو من الجميع المشاركة معى و اذا كتبت شى غير صحيح فى المقالة ارجو تنبيهى لتصحيحة.
لو اى حد عندة سوال بخصوص الموضوع يتفضل يسال و ان شاء الله انا و اى عضو سوف يقوم بالرد علية
و ايضا اى عضو عندة اضافة بخصوص الموضوع يتفضل بكاتبتها
و بعد ما ينتهى النقاش حول هذا الموضوع سوف ادمج كل المشاركات و الاسئلة فى اول الموضوع و ايضا عمل ملف word
بة كل الموضوع يعنى سوف يصبح كا documentation للموضوع
ولكن لى طلب يمنع تماما مشاركات الشكر فى الموضوع حتى لا يزدحم بمشاركات عديمة الفائدة
سوف نتكلم اليوم عن
User Account In Domain Environment
النقاط التى سوف نتكلم عنها :
1-التعريف بال User Account و الفرق بين ال User فى Domain و Local
2-انشاء حساب عن طريق ال GUI and the command line
3- User Profile و سوف نتكلم بالتفصيل هنا عن
Profile Path
Roaming Profile
Mandatory Profile
4- طريقة عمل باسورد معقدة للمستخدم و الشروط الواجب توافرها فيها
و بعض الاجراءات الامنية الواجب توافرها لحماية الشركة من عملية الهجمات
من قبل الهاكرز( لمعرفة الباسورد) .
1-التعريف بال User Account و الفرق بين ال User فى Domain و Local
ال user account اسم المستخدم الذى يستخدمة فى عملية الدخول على الجهاز
و يختلف ال user account من ال domain و ال local
فى ال user account in local
تتم عملية الدخول و عملية ال authenticating
فى ملف يسمى با ال SAM (security account manager )
مكان هذا الملف
C:\WINDOWS\system32\config
الملف متشفر حتى لا يستطيع احد فتحة و معرفة الباسورد
طيب تمام عند عملية الدخول ماذا يحدث بالظبط
يتم ارسال ال الباسورد Credentials
و اذا تمت مطابقة الباسورد يعطى لى اليوزر Access Token
و تحتوى ال Access Token على صلاحيات اليوزر Security setting يعنى مثلان يقدر يتدخل ملف اية و هكذا.
ال user Account in Domain
تتم عملية الدخول و عملية ال authenticating فى ال Active Directory Database
و ليس على الجهاز
طيب ماذا يحدث عندما ينسى المستخدم الباسورد و يقوم بعمل Rest Password
و لماذا يفقد كل الملفات المشفرة Encryptions files
لانة لكل مستخدم SID (security identifier)
و لكن ما هو ال SID و ما علاقتة بال User account
سوف اقوم بطرح مثال للفهم
لو عندنا user اسمة administrator
و المستخدم دا عمل تشفير لبعض البيانات و قام بعمل باسور لة لعملية الدخول
طيب لو واحد حاول يتدخل على هذا المستخدم و لم يستطيع و ذلك لوجود باسورد
فا عرف ان المستخدم اسمة administrator
فا استطاع ان يقوم بعمل مسح Delete لل account
و عمل user account جديد بنفس الاسم اللى هو ال administrator
ماذا سيحدث
هل سوف يكون ال SID نفس الرقم هل يستطيع ان يتدخل على الملفات المشفرة
الاجابة لا طبعا لية ؟؟
علشان تم تغير ال SID
سوف يتكون SID جديد لة و علشان نشوف ال SID
افتح run و كاتب الامر الاتى لكى ترى ال SID
Whoami /user
و تكون النتيجة كلاتى :
User Name SID
================ =============================================
sr\administrator S-1-5-21-2430203513-1415800366-1659804486-500
و لو قمنا بعمل rest password
سوف يتغير هذا الرقم
طيب ما فائدة ال SID و لماذا يتغير و لماذا يكون Unique لكل مستخدم
طبعا الاجابة علشان لو هناك شخص عمل Encryptions files
يستحيل فتح Encryptions files
2-انشاء حساب عن طريق ال GUI and the command line
عن طريق ال GUI اعتثد انها سهلة جدا ولا تحتاج الى توضيح عن طريق
Active Directory Users and Computers
اما عن طريق ال command line
فهى طريقة جميلة
الطريقة الاولى
سوف نقوم بنشاء
Account name :Mahmoud
Password : P@ssw0rd
الامر سوف يكون
net user mahmoud P@ssw0rd /add
و لكن يعيب هذة الطريقة انها عند كتابة الباسور لا يكتب على هيئة * astric
و ايضا لا تسطيع تحديد وضع اليوز فى OU معينة
و سوف يوضع فى User OU in Active Directory
الطريقة الثانية و هى اكثر تفصيلا
الامر Dsadd
سوف نقوم بعمل
User account :mahmoud
Ou:test
Server name : sr.com
و سوف يكون الامر كالاتى
dsadd user cn=mahmoud,ou=test,dc=sr,dc=com
هنا الامر بة اكثر تفاصيل
dsadd user cn=mnahmoud,ou=test,dc=sr,dc=com -upn mahmoud@sr.com -display mahmoud –P@ssw0rd -mustchpwd yes -memberof cn=admin,ou=test,dc=sr,dc=com
شرح الامر
Upn : user principle name
Mustchpwd : اى عندما يعمل داخول اليوز لى اول مرة يقوم بعمل change password
Memberof: اسم الجروب اللى هايكون اليوزر عضو فية
3- User Profile :
و هو الملف الذى يحتوى على اعادات ال user account
,و منها ال desktop files , desktop wallpaper , screen saver and short cuts
و عند انشاء اول مرة لى مستحدم جديد فانة ياخذ copy من Default user +All user
و الملفان دول موجودين فى المسار الاتى
C:\Documents and Settings
طيب احنا كدا فهما ما هو ال user profile
تعالو نتكلم عن مثال و ازى نطبق الكلام دا ........
لو عندنا مثلان ساسية فى الشركة و بتقول ان كل المستخدمين لازم يكون عندم خلفية واحدة و و بعض ال short cut on desktop configuration
لازم تكون عند كل الموظفين
و احنا دلوتى بنعمل اليوزر دى و بنقوم بانشاءها هل يعقل انى لازم اتدخل جوة كل يوزر و
اقوم بعمل هدة الاعدات بنفسى طيب الكلام دا ممكن لو عندى 5 مستخدمين بعملهم
انما بقى لو مثلان 1000 مستخدم
ياة دا انا كدا ممكن اقعد شهر بعمل فى الموضوع دا
لا طبعا هانقوم بعمل الاتى :
فاكرين ال Default user
اللى لما كنا بنعمل انشاء لى مستخدم جديد بيخد منة كل الاعدات المطلوبة
طيب اية رأيكو انا نعدل على الملف دا و نضيف الية كل التعديلات المطلوبة
طيب يبقى نعمل login بى ال user default account و نقوم بالتغيرات !!!!!!
طبعا الكلام دا غلط علشان ال default user دا مش account نقدر نعمل بية login
دا ملف بيتخد منة copy لما اجى اعمل new user account
طيب ما هو الحل
نعمل login with any user
و نقوم بعمل التغيرات المطلوبة من اضافات لى desktop and make some short cut for example
و بعد نذهب الى
Control panel , system , advanced
و نختار من مكان ال user profile
نختار setting
و نختار و نقوم بعمل copy for the profile to Default User
اللى هايكون مكانة
C:\Documents and Settings\Default User
و بكدا كل مستخدم جديد سوف يتم انشاءة سوف يكون بة كل التعديلات المطلوبة
و لكن كدا فى مشكلة كبيرة جدا
احنا زى ما اتفقنا انا عملنا copy من ال user profile اللى احنا عملنا بية login
و عملنا لية save in default profile
طيب المشكلة ان لما يجى يوزر جديد هايدخل على الاعدات السابقة مش هايكون عندة permissions على الملفات اللى تمت اضافتها
هايكون اللى لية permissions هو ال administrator و المستخدم اللى اتعمل بية login
بس اى شخص تانى لا طبعا
طيب الحل سهل و بسيط جدا
بعد ما عملنا copy to
فى نفس ال window اللى عملنا منها copy to
هانلاقى حاجة اسمها
Permit to use
ندوس على change و نخلي ال permissions every one
كل هذا الكلام كان على ال local profile فى Local network
لو عندى Domain :
و عندى موظفين الشركة بتشتغل على كذا جهاز ياعنى مش جهاز واحد فقط
يعنى مثلان الموظف بيكون شغال على جهاز فى الطابق الاول و بعد كدا عمل log out
و راح مكان تانى فى الشركة و عاوز يعمل login
طبعا علشان احنا دومين هانتقدر نعمل كدا
بس المشكلة بقى هنا لو الموظف دا محتاج او عامل save for file on desktop
يعنى اللى موجودة داخل ال user profile زى ما اتفقنا مظبوط
يبقى الحل انى اعمل copy for all user profile on each pc in the network
يعنى اعمل copy لى كل profile على كل جهاز موجود فى الشبكة
طيب لو انا بقى عندى 1000 user
برضة هاعمل copy هاتكون عملية صعبة اوى و شاقة على ال Administrator
الحل هنا انا هانستخدم خاصية ال
Roaming Profile
يعنى اية !!!!!!!!!!
The profile follow the user where ever he /she login
يعنى اى مكان اليوزر عمل login فى اى كومبيوتر ال profile بتاعة هو اللى بيتحمل و يشتغل و طبعا فية كل ال configuration and all file saved on his profile
ازى نعمل ال Roaming
اول حاجة هانقوم بعمل folder
و نعملة share
فى ال
server in active directory or in File server what ever you want
و بعد كدا هانعمل لة permission every one
و اللمف دا هو اللى هايكون متسجل فية ال user profile
مش بقى موجود على ال local computer
علشان تقدر login from any computer in the network
يلة نعمل ملف فى ال C or D partition
و نسمية Profile مثلان
و نعمل لة ال permission
نروح على ال active directory users and computer
و نعمل
select for all users that I wanna to make for them a Roaming profile
علشان لو عندى مثلان 100 مستخدم يبقى اعملهم كلهم مرة واحدة بدل ما اكرر الخطوة دى لكل مستخدم
و نضغط Right click and choose properties
نختار profile من ال tab
و فى مكان ال profile name
نكتب الامر الاتى
مع العلم فقط فى المثال دا الاتى
اسم الملف اللى هايكون موجود فية ال profiles for user
Profile
اسم ال server اللى هايكون موجود علية الملف File Server
نكتب الاتى
\\file server\profile\%username%
شرح الامر يا احبة
\\file server
دا المكان اللى موجود بية الملف و معملة طبعا share
\\profile دا اللملف اللى هايوكن فية ال profiles بعد كدا
username%% دى بعد لما نعمل save هاتتبدل بى اسم اليوزر
يعنى هاتكون مثلان
\\file server\profile\Mahmoud
و بعد عملية ال login تلاقى سوف يتم عمل copy for the profile to that folder
اخيرا خاصية ال Mandatory Profile
علشان نفهما تمام هاقولكم مثال كا العادة علشان نفهم منة ايى ال Mandatory Profile
لو احنا عندنا فى الشركة policy بتقول ان ممنوع ال المستخدمين انهم يغيرو الخلفية
الموجودة على ال desktop
او انا عندى مستخدمين فى الشركة كل شوية بيعملو downloads
فى ال desktop
و اصبح حجم ال
profile size 500 M.B for example
و اخنا عارفين ان المستخدم كل مرة بيعمل login
بيتحمل ال profile بتاعة من server over network
و كدا هايكون عملية ال login بطيئة جدا جدا
طيب اية الحل فى المشكلة دى و احنا برضة مش عاوزين اى مستخدم يقوم بعمل اى تغيرات زى ما قولنا لى ال desktop or delete short cut
هنا فى هذة الحالة نستخدم خاصية ال Mandatory Profile
و دى اللى مش هاتسمح لى اى مستخدم انة يعمل any modifications
حتى لو مثلان عمل اى تغير و مسح شوية حاجات بعد ما يعمل log off and login
هاترجع كل حاجة زى ماكنت
طريقة تشغبل ال Mandatory Profile
سهلة جدا جدا
لو دخلنا على ال profile folder
مثلان لى ال Administrator
Documents and Settings\Administrator
هانلاقى file اسمة
NTUSER.DAT
و نقوم بتغير الامتدا بتاعة ليصبح
NTUSER.Man
يعنى كدا احنا غيرنا الامتدات من Dat to Man
So that the user will not be able to change any costumes configurations on desktop .
4- طريقة عمل باسورد معقدة للمستخدم و الشروط الواجب توافرها فيها
و بعض الاجراءات الامنية الواجب توافرها لحماية الشركة من عملية الهجمات
من قبل الهاكرز( لمعرفة الباسورد) .
عمل باسورد معقدة و شروطها
1- تحتوى على small letters like : a-z
2- تحتوى على capital letters like : A-Z
3- تحتوى على ارقام
4- تحتوى على اشكال زى @ و $ و % و & و هكذا
هذة الباسورد يصعب تخمينها
عمل من ال group policy خاصية lock account
يعنى اية
اى يقوم بعمل اغلاق لى account بعد مثلان عدد 5 مرات خاطئة
و دى بنتكون موجود فى
افتح الجروب بولسى
و اختار
Computer configuration
Security setting
Account lookout
برضة نعمل حاجة اسمها PASSWORD LENGTH
و بذلك يا احبة اكون تقريبا تكلمنا عن اشياء كثيرة تخص ال USER ACCOUNT IN DOMAIN AND LOCAL
و شرحنا كل ما يخصة
اللى عندة اى سوال يتفضل و ايضا اللى عندة اى اضافة للموضوع يكتبها
و شكرا و اتمنى ان اكون وفقت فى توصيل المعلومة لكم
ارجو منكم الدعاء الصالح لى و لى والدى و المسلمين اجمعين
رد مع اقتباس
المفضلات