مهندسی شبکه مایکروسافت

قسمت پانزدهم:



Rooming Profile:

يك نوع آدرس دهي براي پروفايل كاربران ميباشد كه در اين روش كاربر پاي هر كامپيوتر در شبكه بنشيند و با نام كاربري خود وارد شود تنظيمات خود را مي بيند. در واقع ما فولدري مي سازيم كه تمام تنظيمات و فايل هاي كاربر در آن قرار ميگيرد كه ميتوان ازش backup هم گرفت.

مسير profile:
روي آيكن my computer راست كليك مي كنيم. Manage را انتخاب كرده پنجره مورد نظر باز ميشود. در اين پنجره از شاخه system tools زير شاخه local users and groups را انتخاب كرده و بازش مي كنيم. در قسمت users روي هر نام كاربري(user) كه راست كليك كنيم و properties را بزنيم پنجره اي باز ميشود.در قسمت profile tab ميتوانيم مسير مورد نظر را در بخش profile path ببينيم.
وقتي شبكه ما به صورت دومين مديريت شود بايد نام كاربري در اكتيو دايركتوري ساخته شود و فولدر مورد نظر به صورت share شده در مسير مورد نظر به آدرس UNC نوشته شود. 


Home folder:
اگر بخواهيم به صورت local يك فولدري بسازيم تا كاربر فايل هاي خود را در آن ذخيره كند در قسمت home folder آدرس دهي مي كنيم. يا اينكه يك درايو مجازي ميسازيم تا كاربر تمام فايل هاي ذخيره خود را در آن ذخيره كند. يعني اگر كامپيوتر داراي 3 درايو c: d: e: باشد با ايجاد اين درايو مجازي در صفحه my computer 4 C: D: E: F: درايو مشاهده خواهد شد.البته كاربر نميداند كه اين درايو به صورت مجازي است.

مسير ايجا درايو مجازي:
همان مسير Rooming profile است در قسمت آخر پنجره profile tab در قسمت home folder پايين صفحه كادري است كه بايد connect را انتخاب كرده و نام درايو مجازي (مثلا f) را انتخاب مي كنيم و بعد مسير مورد نظر را در كادر روبرو به صورت UNC مي نويسيم.


Recovery Console:

محيطي است مانند داس يا command prompt كه واردش ميشويم و با تايپ دستورات مورد نظر مشكلات را حل مي كنيم.
Recovery console در دو حالت نصب ميشود:درحالتي كه سيستم عامل هيچ مشكلي ندارد آن را نصب مي كنيم تا زماني كه نياز باشد از آن استفاده كنيم. و در حالتي كه به مشكلي بر مي خوريم و مي خواهيم آنرا با دستورات خطي رفع كنيم ولي recovery console را نصب نكرده ايم. در اين حالت بايد كامپيوتر را باbootable CD بوت كنيم و قبل از بالا آمدن سيستم R را بزنيم تا وارد محيط recovery شويم.



Remote Desktop:

در يك شبكه مي توان از يك كامپيوتر به كامپيوتر ديگر به صورت Remote وصل شد و از desk top و برنامه هاي آن كامپيوتر استفاده كرد. وقتي به كامپيوتر ديگر وصل مي شويم و صفحه نمايش كامپيوتر ديگر جلو ما نمايان ميشود هر كاري كه انجام مي دهيم در واقع بر روي آن كامپيوتر ديگر انجام ميشود.مثل اينكه رفتيم پاي آن كامپيوتر و با آن كامپيوتر كار انجام مي دهيم.مانيتور، صفحه كليد، و موس آن كامپيوتر در اختيار ما قرار مي گيرد.مثلا اگر سرعت RAM كامپيوتر پايين است در واقع RAM آن كامپيوتري كه به آن Remote شده ايم پايين است. پس در اين نوع قابليت از يك كامپيوتر به كامپيوتر ديگر وصل مي شويم و از طريق مانيتور خود با كامپيوتر ديگر كار مي كنيم.

حالا براي دسترسي به دو روش مي توانيم عمل كنيم:

1- start------All programs------Accessories-----communications-------Remote desktop connections
2- ابتدا RUN را باز كرده در آن mstsc را مي نويسيم و ok 

سپس پنجره اي باز ميشود كه نام كامپيوتر و يا IP آدرس كامپيوتر مورد نظر را داخلش مي نويسيم و connect را مي زنيم.

قسمت شانزدهم


نكاتي در مورد Remote Desktop:
اگر كسي بخواهد به صورت remote به كامپيوتر ديگر وصل شود بايد حتما چند نكته را در نظر داشته باشد:
1. بايد نام كاربري يكي از كاربران آن كامپيوتر را بداند و همين طور پسوردش را.اينكه خود كاربر با چه نام كاربري و پسوردي log on كرده باشد مهم نيست.
2. برنامه Remote desktop connection را داشته باشد.
3. چك مارك Remote در كامپيوتر مورد نظر خورده باشد(*)
4. مجوز اين كار را داشته باشد.يعني يا بايد مجوز full control داشته باشد يا عضو گروه Remote desktop باشد.

(*):براي زدن اين چك مارك (در كامپيوتر مورد نظر كه ميخواهيم از راه دور به آن متصل شويم) روي my computer راست كليك كرده و properties را ميزنيم و در remote tab در قسمت Remote desktop چك مارك allow users to connect remotely to this computer را ميزنيم.


Permission هاي NTFS:
پارتيشن هاي NTFS چهار مزيت دارند:

1. قابليت compression كردن فايل ها
2. قابليت encrypt كردن 
3. قابليت امنيت قرار دادن فايا يا فولدر (file & folder security)
4. قابليت امنيت قرار دادن درايو ( disk security)


Permission هاي NTFS به دو دست تقسيم مي شوند:
1. NTFS file permission
2. NTFS folder permission


مي توانيم بر روي فايل يا فولدر مجوز تعيين كنيم تا امكان دسترسي كاربران را نسبت به فايل و فولدرهاي خاص محدود كنيم.

Full control:بالاترين سطح دسترسي ميباشد.اگر كاربري داراي اين مجوز باشد قادر به تغير دادن جابجايي و.. حتي پاك كردن آن فايل يا فولدر خواهد بود.

Modify:
اين مجوز فقط اجازه تغيير دادن فايل يا فولدر را دارد و اجازه پاك كردن يا جابجايي و.. را ندارد.

Read:اين مجوز فقط اجازه خواندن فايل يا فولدر را دارد.

Write:
اين مجوز اجازه خواندن و نوشتن(اضافه كردن) را دارد.

Special permission:
اين مجوز همانطور كه از نامش مشخص است مجوزهاي خاص و انتخابي را شامل ميشود مثلا مي توانيم براي يك فولدر مجوزهاي خاصي را تعيين كنيم.
و مجوزهاي ديگر كه در آدرس زير مي توانيد مشاهده كنيد. 

براي ديدن مجوزها بر روي فايل يا فولدر مورد نظر راست كليك كرده و properties آن را ميگيريم و در security tab از قسمت بالا كاربر مورد نظر را انتخاب و از قسمت پايين مجوز موزد نظر را برايش اعمال مي كنيم. اگر نام كاربري در قسمت بالا نبود آن را add مي كنيم. 


تمرين:
دو كاربر به نام هاي user1 و user2 بسازيد سپس يك فولدر بسازيد و درونش چند فايل.سپس براي user1 امكان دسترسي(براي فولدر) full control و براي user2 مجوز read را بدهيم.وبراي فايل هاي داخلش براي user1 مجوز read و براي user2 مجوز write بگذاريد. سپس با نام كاربري مورد نظر وارد سيستم شده و شروع به تغيير دادن فايل و فولدرها نماييد.

قسمت هفدهم



Inheritance: 
(در اينجا به معناي به ارث بردن مجوزها مي باشد)
كاربر يا گروه مجوزها را از از كاربر يا گروه بالايي خود(parent خود) به ارث مي برد. مثلا وقتي يك يك فولدر مي سازيم خودش از درايو خود مجوز مي گيرد.اگر بخواهيم به اين صورت نباشد و خودمان جداگانه مجوز بدهيم بايد چك مارك inherit ذا برداريم:
روي فولدر يا فايل كه راست كليك كنيم و properties بگيريم در security tab پايين پنجره دكمه ايست به نام Advanced وقتي اين دكمه را مي زنيم پنجره ديگري باز ميشود كه در permission tab در قسمت پايين مي توانيم چك مارك inherit را برداريم.


Deny:
(در اينجا به معناي سلب مجوز و سطح دسترسي مي باشد)
اين نوع سطح دسترسي وقتي استفاده ميشود كه بخواهيم مجوز خاصي را از كاربر يا گروهي بگيريم.
هرگاه بخواهيم كاربر يا گروهي به واسطه عضويت در گروه ديگري مجوز و سطح دسترسي آن گروه را كسب كند و در عين حال نخواهيم آن مجوز را از گروه قبلي سلب كنيم بايد كاربر يا گروه مورد نظر را جداگانه add كنيم و مجوز مربوطه را Deny كنيم.


Take ownership:
(در اينجا به معناي در اختيار گرفتن مالكيت فايل يا فولدر و..)
هرگاه كاربري يك فايل يا فولدري را بسازد مالك آن ميباشد.وقتي روي فايل يا فولدر راست كليك مي كنيم و properties مي گيريم درsecurity tab دكمه advanced را كه ميزنيم در owner tab نام صاحب آن نوشته شده.
3 نفر هستند كه مي توانند اين مالكيت را از آن خود كنند. يعني فايل يا فولدري كه ديگران ساخته اند را مي توانند مالك شوند و هر تغيير را به آن اعمال كنند و يا حتي آن را حذف كنند. 
1. Admin
2. كاربري كه به آن مجوز take ownership بدهيم
3.كاربري كه به آن مجوز و سطح دسترسي full control بدهيم


نكاتي در مورد permissionهايNTFS :
1.اگر بر روي فايل ها permission قرار دهيم specificتر خواهد بود.
2. از بين مجوزهايي كه به كاربر ميدهيم بالاترين مجوز و سطح دسترسي اعمال مي شود.
3. اگر به يك كاربر بالاترين سطح دسترسي و مجوز را بر روي فايل بدهيم ولي بر روي فولدر هيچ مجوزي نداشته باشد اصلا اين كاربر نميتواند وارد فولدر شود.
4.اگر به بك كاربر يك نوع مجوزي را بدهيم و بعد از مدتي آن را حذف كنيم SID آن پاك نمي شود.اگر نام كربري قبلي را كه حذف كرديم دوباره بسازيم يك SID ديگر برايش ساخته خواهد شد.(*)
5. تا جايي كه امكان دارد بايد سعي كنيم از Deny استفاده نكنيم.
6. فقط مواقع ضروري گروهي را عضو گروه ديگر كنيم.
7. اگر بخواهيم به كاربر حداقل مجوزها را بدهيم يا اينكه مجوزها را خيلي جزئي تر و دقيق تر قرار دهيم آنها را edit مي كنيم:
روي فايل يا فولدر راست كليك مي كنيم و properties مي گيريم در security tab دركمه advanced را مي زنيم در پنجره جديد كاربر يا گروه مورد نظر را انتخاب كرده edit را مي زنيم.
8. اگر مجوز read را از كاربر يا گروهي بگيريم ديگر security tab در پنجره properties نخواهد داشت.
9. اگر فايل يا فولدري را در فولدر ديگري كپي كنيم. مجوزهاي قبلي فولدر از بين ميرود و مجوزهاي parent خود (فولدر جديد) را به ارث مي برد.زيرا وقتي كپي انجام مي دهيم درواقع يك موجوديت جديد ايجاد كرديم و ربطي به مبدأ خود ندارد و مجوزهاي قبلي remove ميشود.
10. بايد دقت داشته باشيم وقتي فايلي را كپي مي كنيم در جايي باشد كه مجوز مورد نظر را داشته باشد.
11. اگر فايل را فولدري با وجود داشتن مجوز read باز نشود. مي توانيم آن را در درايو Fat كپي كنيم. در اين صورت باز ميشود.
12. اگر فايل يا فولدري را از يك پارتيشن به پارتيشن ديگر move كنيم مجوزها از بين مي رود. ولي اگر در همان پارتيشن move كنيم مجوزها باقي مي ماند.

(*):
هر نام كاربري كه در كامپيوتر ساخته ميشود يك مشخصه unique به نام SID برايش ساخته ميشود.ما آن را به همان نام كاربر مي بينيم اما كامپيوتر به نام SID (صفر و يك) مي بيند. وقتي روي فايل يا فولدري مجوز ميدهيم براي آن يك ليست ايجاد مي كند به نام ACL
ACL = Access Control List
ACE = Access Control Entry
ACE ها داخل ACL قرار مي گيرند.

قسمت هجدهم



Share permission
Share permission ها به اين معنا هستند كه ما مي توانيم بر روي فولدرهاي به اشتراك گذاشته شده در شبكه مجوز تعيين كنيم و اين مجوزها مستقل از NTFS permission ها هستند.
اگر بر روي يك فولدر هم NTFS permission بود و هم share permission سيستم اول هر كدام ازpermission ها را جداگانه مسخص مي كند بعد بين دو permission اشتراكمي گيرد. يعني از بين دو مجوز آنكه سطح دسترسي كمتري دارد انتخاب و اجرا مي شود.
در مديريت work group وقتي روي فولدر مجوز مي گذاريم( NTFS permission يا share permission) در واقع به كاربرها و گروه هاي كامپيوتر local قرار مي دهيم.بايد به خاطر داشته باشيم كه فايل را نمي توان share كرد بلكه فولدر را share مي كنيم.براي اينكار روي فولدر مورد نظر راست كليك مي كنيم و properties را مي زنيم. از پنجره باز شده در sharing tab قسمت share this folder را انتخاب مي كنيم.در قسمت share name مي توانيم فولدر به اشتراك گذاشته شده را نامگذاري كنيم. نامي كه انتخاب مي كنيم مي تواند ماكزيمم تا 80 كاراكتر باشد.
اگر بخواهيم تعداد ارتباط هاي همزمان (session)براي ديدن فولدر به اشتراك گذاشته شده را كم كنيم در همان پنجره قسمت user limit را بر روي Allow this number of user تنظيم كرده و تعداد را كم مي كنيم.
براي تعيين مجوز (share permission) بر روي كاربرها يا گروه ها در sharing tab همان پنجره permission را مي زنيم و در پنجره باز شده مي توانيم كاربر يا گروه مورد نظر را add كرده و مجوز بدهيم. 
وقتي فولدري را به اشتراك مي گذاريم،قبل از اينكه مجوز تعيين كنيم به صورت پيش فرض مجوز آن every one است يعني هر كسي بتواند فايل هاي آن را ببيند.
براي ديدن فولدر هاي به اشتراك گذاشته شده نيازي نيست به درايوها برويم.روي my computer راست كليك كرده و manageرا مي زنيم از پنجره باز شده از شاخه system tools زير شاخه shared folders را انتخاب مي كنيم.در فولدر shares مي توانيم تمامي فولدرهاي به اشتراك گذاشته شده را ببينيم.فولدرهايي كه علامت $ دارند به اين معناست كه آن فولدر به صورت مخفي است و نشان داده نميشود.
اگر آدرس دقيق فولدر به اشتراك گذاشته شده را بدانيم مي توانيم از طريق RUN آن را ببينيم (توسط آدرس UNC فولدر). 

از اين مسير مي توانيم تمام مجوزها را مديريت كنيم:
در همان زير شاخه share folders كه در بالا توضيح دادم در فولدر shares اگر روي هر كدام از فولدرهاي به اشتراك گذاشته شده راست كليك كرده و properties را بزنيم در قسمت sharing permission tab مي توانيم مجوزهاي فولدرهاي به اشتراك گذاشته شده را مديريت كنيم و در security tab مي توانيم مجوزهاي NTFS permission را مديريت كنيم. 

نكته:
فولدري را كه خودمان ساختيم و به اشتراك گذاشتيم و برايش مجوز تعيين كرديم اگر خودمان هم از طريق شبكه بخواهيم به اين فولدر دسترسي داشته باشيم مجوزهاي (share permission) شامل حال خودمان هم ميشود.

نكته:
اگر بخواهيم نام فولدر به اشتراك گذاشته شده (share name) را عوض كنيم ابتدا بايد از حالت اشتراك خارج كنيم.



Administrative share: (فايل هاي به اشتراك گذاشته شده مديريتي)
وقتي ويندوز را نصب مي كنيم يك سري از فايل ها به صورت مخفي share هستند و فقط گروه آدمين اجازه دارند كه به آنها دسترسي داشته باشند.پس از اين طريق آدمين مي تواند به درايو C يا D و يا فايل هاي مخفي كامپيوترهاي ديگر دسترسي پيدا كند(از طريق RUN).



[HTML]RUN -------\\pc1\C$
RUN-------\\ pc2\admin$[/HTML] 
دستور دوم فولدر ويندوزي كه سيستم با آن بالا آمده را باز مي كند ولي نشان نمي دهد در كدام درايو است.

دو دستور خطي براي اينكه بفهميم ويندوز ما در كدام درايو است:

قسمت نوزدهم



My computer ------right click ------manage-----system tools ------ shared folders ------shares
Sessions
Open files
در پنجره manage زير شاخه shared folders كه مسيرش را قبلا هم توضيح دادم از سه قسمت تشكيل شده به نام هاي sessions ، shares ، open files كه تا حدودي مي دانيم و قبلا ياد گرفتيم. 
Shares:
فولدرهاي به اشتراك گذاشته شده را نشان مي دهد و ميتوانيم از اين قسمت فولدرهاي به اشتراك گذاشته شده را مديريت كرد و يا از همين جا فولدري را به اشتراك گذاشت.اين قسمت tab هايي دارد كه جزئيات فولدرهاي به اشتراك گذاشته شده را نشان مي دهد.مثلا shared file tab نام فايل به اشتراگ گذاشته شده را نشان مي دهد.shared path tab مسير فولدر را نشان مي دهد. type tab نوع سيستمي كه اين فولدر در آن قرار دارد را نشان مي دهد و...

Session:
در قسمت sessions كامپيوترهايي كه به كامپيوتر ما متصل شده اند و از فايل هاي به اشتراك گذاشته شده ما بازديد مي كنند را نشان مي دهد.در سمت راست پنجره manage جزئيات ارتباط ها را نشان مي دهد. مثلا در user tab مي توان نام كاربري كه در حال استفاده از فايل هاي به اشتراك گذاشته شده است را ديد و يا در computer tab مي توانيم نام كامپيوتري كه به سيستم ما متصل است را ببينيم و ديگر جزئيات ..كه با كليك بر روي آنها مي توان تغييراتي را اعمال كرد.
از اين قسمت مي توانيم ارتباط هر كامپيوتري را قطع كنيم.براي قطع كردن session كافي است session مورد نظر را انتخاب كرده و راست كليك كنيم و delet يا close session را بزنيم. ويا براي قطع تمامي ارتباط ها بر روي sessions راست كليك كرده و disconnect all sessions را مي زنيم.اين گزينه وقتي آن را انتخاب مي كنيم درactive tab هم هست.

Open files:
اين قسمت هم فايل هاي باز و در حال بازديد را نشان مي دهد.در سمت راست پنجره manage هم tab هايي وجود دارد كه جزئيات فايل ها را نشان مي دهد. مثل open file tab كه نام فايل باز و در حال مشاهده را نشان مي دهد و يا type tab كه نوع و مشخصات سيستم در حال بازديد را نشان مي دهد و .. كه با كليك بر روي هر كدام مي توانيم تغييراتي را اعمال كنيم.اگر بخواهيم همه فايل ها را ببنديم بر روي open files راست كليك مي كنيم و disconnect all open file را مي زنيم.اين گزينه در صورت در حال انتخاب بودن open files در active tab هم موجود ميباشد.



Mmc:
كه مخفف Microsoft management console مي باشد محيطي در ويندوز است كه شبيه جعبه ابزار است.خودش كار خاصي انجام نمي دهد .ابزارهاي (console) مختلفي دارد كه به مرور ياد خواهيم گرفت و توسط آنها مديريت قسمتهاي مختلفي را انجام مي دهيم. همان پنجره manage كه از طريق my computer مي رفتيم و باز مي كرديم يكي از ابزارهاي مديريتي در اينجا مي باشد.ميتوانيم ابزار مورد نظرمان را هم به آن اضافه كنيم.به ابزارهايي كه داخل اين محيط اضافه مي كنيم تا از آن استفاده كنيم snap-in مي گويند.
وقتي آدمين بخواهد از پاي كامپيوتر خودش ديگر كامپيوترها را مديريت كند مي تواند از طريق كنسول mmc به راحتي اين كار را انجام دهد.آدمين مي تواند كنسولهايي را كه نياز دارد و يا كنسولهاي كامپيوترهاي ديگر را add كند و به راحتي كنترل مند.
Snap-in هايي كه اضافه (add) مي كنيم به دو صورت مي باشند:

1. Standalone snap-in
در اين نوع كنسول تنها ميشود يك ابزار را به طور جداگانه كنترل كرد و يا تنها يك ابزار را add كرد و مديريت كرد.مثلا فقط مي توان شاخه shared folders را به تنهايي كنترل كرد.

2. Extensions snap-in:
در اين نوع كنسول داخل خودش چندين standalone دارد.در واقع مجموع چند standalone ميباشد.مثلا وقتي كنسول manage را اضافه مي كنيم با تمامي زير شاخه هايش اضافه شده و مي توان آنها را كنترل كرد. و يا تغييراتي رويشان اعمال كرد.

براي باز كردن اين كنسول همانطور كه قبلا گفتم RUN را باز كرده و mmc را نوشته ok مي كنيم تا پنجره مورد نظر ظاهر شود.در پنجره باز شده بر روي منوي file كليك كرده و add/remove snap-in را مي زنيم.پنجره ديگري باز مي شود كه مي توانيم standalone snap-in و extensions snap-in را در دو tab ببينيم.از standalone tab كليد add را مي زنيم.پنجره سوم باز ميشود كه شامل snap-in هاي مختلف با كارايي هاي متفاوت است. Snap-in مورد نظر را انتخاب كرده و add را مي زنيم. در مرحلا بعد بايد كامپيوتر مورد نظر را انتخاب كنيم. اگر كامپيوتر خودمان مد نظر است گزينه this computerيا local computer و اگر كامپيوتر ديگري مورد نظر است گزينه following computer يا another computer را انتخاب كرده و در كادر پايين آن از طريق browse كامپيوتر مورد نظر را add مي كنيم و finish.

قسمت بيست و يكم



Auditing:
به معناي پاييدن و حسابرسي كردن ميباشد و قبلا توضيح كوتاهي در مورد آن داده ام.اين قابليتي است كه در ويندوز به طور پيش فرض وجو داشته و در موارد مختلف مورد استفاده قرار ميگيرد.

مسير فعال كردن auditing :
روي start كليك كرده وارد كنترل پنل مي شويم.سپس بر روي Administrative tools كليك كرده بازش مي كنيم و وارد local security policy مي شويم. در پنجره باز شده شاخه local policies را باز مي كنيم و سپس زير شاخه Auditing را انتخاب مي كنيم. Auditing شامل 9 قسمت است كه هر كدام كار خاصي را انجام داده و عملياتي را log (ثبت) مي كنند.
هر كدام از policy هاي Auditing قابليتي دارد كه ميتوانيم مشخص كنيم كه مثلا موفقيت يا عدم موفقيت كاري را توسط چه شخصي ثبت كند. حال به طور خلاصه مورد استفاده هر كدام از اين 9 Policy را توضيح ميدهم:

Policy اول:وقتي مورد استفاده قرار ميگيرد كه مي خواهيم زمان log on كردن و نام كاربري كه عضو دومين است را ثبت كنيم و همچنين موفقيت ورود يا عدم موفقيت ورود كاربر را ثبت كنيم.

Policy دوم:يكي از موارد استفاده اين قسمت زماني است كه مثلا دو تا آدمين داشته باشيم و بخواهيم بدانيم آدمين ديگر چه حساب كاربري باز كرده و چه كارهايي انجام داده.

Policy سوم:وقتي مورد استفاده قرار مي گيرد كه كاربري كه عضو دومين است و در دومين و اكتيو دايركتوري جستجو مي كند بخواهيم امكان دسترسي و يا عدم دسترسي آن ثبت شود. و اينكه چه چيزهايي را جستجو مي كرده.

Policy چهارم: اين قسمت كمي مشابه قسمت اول است با اين تفاوت كه اين قسمت هر كاربري كه بخواهد log on كند را ثبت مي كند.موفقيت و يا عدم موفقيت ورود كاربر را مي توان ثبت كرد كه ما مشخص مي كنيم كدام را ثبت كند و يا هر دو را ثبت كند.

Policy پنجم:اين قسمت مربوط به Audit كردن فايل و فولدرها ميباشد.اينكه چه كسي به چه فايل يا فولدري دسترسي پيدا كرده و چه كاري انجام داده و يا نتوانسته دسترسي پيدا كند و ..
نكته: اين قسمت يك مرحله اضافه دارد،ابتدا بايد موفقيت يا عدم موفقيت را بريش تنظيم كنيم مانند بقيه قسمتها و بعد برويم بر روي فايل و فولدر مشخص كنيم چه كساني بتوانند دسترسي داشته باشند و چه كارهايي بتوانند انجام دهند.

Policy ششم: اگر بخواهيم زماني كه تنظيمات ويندوز و يا security تغيير مي كند و policy ها عوض ميشود ثبت شود مورد استفاده قرار مي گيرد.

Policy هفتم:اگر بخواهيم right (قبلا در مورد right توضيح كوتاهي داده ام) مربوط به كاربري را ثبت كنيم مود استفاده قرار مي گيرد.

Policy هشتم:اين قسمت خيلي خاص است و بيشتر مورد استفاده ي برنامه نويس هاي كامپيوتر است، در واقع مناسب كار آنهاست.اين قسمت تمام مراحل اجراي يك برنامه را ثبت مي كند.

Policy نهم:اين قسمت اتفاقاتي كه براي سيستم مي افتد را ثبت مي كند و اين كه توسط كدام كاربر انجام گرفته است.



مسير اعمال Auditing:
بر روي هر كدام از policy هاي مورد نظر در قسمت Auditing دبل كليك كرده و يا راست كليك كرده properties را مي زنيم. در پنجره باز شده دو گزينه success و failure وجود دارد كه مي توانيم يكي يا هر دو را چك ماركش را بزنيم و فعالش كنيم.

در مورد Policy پنجم: بعد از اينكه از مسير بالا Auditing را فعال كرديم مي رويم بر روي فولدر مورد نظر راست كليك كرده properties مي گيريم در security tab روي advanced كليك مي كنيم و در پنجره باز شده در Auditing tab كاربر يا كاربران مورد نظر را add مي كنيم و برايشان permission(مجوز) تعيين مي كنيم.

قسمت بيست و دوم


مي توانيم نتيجه auditing و سياست هايي كه اعمال كرديم را در اين قسمت بررسي كنيم.
علامت خطا به صورت يك ضربدر در يك دايره قرمز رنگ است و اهميت آن ار هر لحاظ بالاتر از بقيه ميباشد.
علامت اخطار يك مثلث زرد رنگ است كه داخلش علامت تعجب دارد. و از لحاظ اهميت بعذ از خطا قرار دارد.
علامت اطلاع تقريبا مثل يك حباب است و حرف" i" كه ابتداي كلمه information ميباشد داخل آن ميباشد. و از لحاظ اهميت در آخر قرار دارد.

حالا براي ديدن اخطارها،خطا ها و اطلاعات كه توسط سياست هاي اعمال شده ثبت ميشود مسير زير را دنبال مي كنيم:
روي my computer راست كليك مي كنيم و manage را انتخاب كرده در پنچره اي كه باز ميشود از شاخه system tools، event viewer را انتخاب مي كنيم.event viewer داراي 3 زير شاخه ميباشد:

1. Application: اخطارها (warning) ،خطاها (errors) و اطلاعات (information) مربوط به نرم افزارها اينجا ثبت ميشود.

2. System: اخطارها (warning) ،خطاها (errors) و اطلاعات (information) مربوط به سيستم عامل ويندوز و سرويسهاي ويندوز در اين قسمت ثبت ميشود.

3. Security: اخطارها (warning) ،خطاها (errors) و اطلاعات (information) مربوط به تنظيمات امنيتي ويندوز و موفقيت و يا عدم موفقيت (success يا fail) بودن آنها در اين قسمت ثبت ميشود.
نكته:اگر سرويسهاي ديگر در ويندوز نصب كنيم امكان اينكه شاخه هاي ديگر به اين قسمت اضافه شود وجود دارد (مثل DNS و دومين كنترل و...)


براي پاك كردن logها روي هر كدام از زير شاخه هاي application ، system و security كه راست كليك كنيم گزينه clear all event وجود دارد.
روي هر كدام از زير شاخه ها راست كليك كرده و properties را مي زنيم. در پنجره باز شده در general tab مي توانيم حداكثر اندازه logها را تعيين كنيم و در قسمت پايين آن مي توانيم تنظيم كنيم كه وقتي تعداد logها به حداكثر رسيد چه كار كند در واقع يعني وقتي logها پر شد چه اتفاقي بيفتد:
Overwrite events as needed: بعد از پر شدن حداكثر تعداد logها آن را باز نويسي (overwrite) كن.
Overwrite events older than..: بعد از اتمام 7 روز logها را بازنويسي كن. كه البته مي توان 7 روز را تغيير داد.
Do not overwrite events (clear manually): به هيچ عنوان logها را بازنويسي نكن. به صورت دستي logها را پاك مي كنيم.

اگر بخواهيم دنبال log بخصوصي بگرديم مي توانيم از طريق گزينه find و ****** اين كار را انجام دهيم:
در پنجره computer management در view tab گزينه find و ****** وجود دارد. هر كدام را بخواهيم مي زنيم.پنجره اي باز ميشود كه نوع event را كه مي خواهيم تعيين مي كنيم(مثلا خطا يا اخطار و...) و مشخصات log را مشخص مي كنيم.
Find و ****** چندان فرقي با هم ندارند. در ****** مي توانيم تعيين كنيم كه مثلا logهايي كه از فلان تاريخ و ساعت تا فلان تاريخ و ساعت را نمايش بده،سپس تمام logهايي كه با اين زمان تعيين شده match باشد را مي آورد. در واقع find براي پيدا كردن يك log خاص استفاده ميشود و ****** براي پيدا كردن مجموعه اي از logها. 
در پنجره ****** گزينه اي وجود دارد به نام using a low-speed connection اگر چك مارك اين گزينه را بزنيم فقط ليست logها را مي آورد و سرعت عملكرد بالا خواهد رفت.

Restore default: دكمه اي است كه در پنجرهاي مختلفي مثل find و ****** وجود دارد. با زدن اين گزينه تنظيمات پيش فرض ويندوز را بر مي گردانيم.

مي توانيم logها را ذخيره كنيم و حتي نامگذاري كنيم.به صورت پيش فرض در فولدر ويندوز در فولدر system32 در فولدري به نام security event ذخيره ميشود.

قسمت بيست و سوم


ويندوز سرور 2003
نصب ويندوز سرور 2003 تقريبا همانند نصب ويندوز XP ميباشد.با اين تفاوت كه در قسمت GUI setup بحث License خواهيم داشت.
بحث License يك بحث حقوقي است نه شماره سريال خواهيم نوشت و نه كليد خاصي مورد نظر است.در واقع با توجه به تعداد كلاينت ها و سرور هايي كه داريم هزينه اي را به شركت مايكروسافت پرداخت مي كنيم كه ويندوزهاي ما معتبر بوده و License دارند.
داشتن يا نداشتن License تاثيري بر كار شبكه نمي گذارد و صرفا يك بحث حقوقي ميباشد و خارج از بحث ما است بنابراين با توضيح مختصر از آن مي گذريم.
Licenseهايي كه مي توانيم براي ويندوزهايمان تهيه كنيم به دو دسته تقسيم مي شوند:
Per server.1
2. Per seat
در نوع اول License براي سرور خريداري ميشود كه مثلا 100 تا كلاينت مي توانند از اين سرور استفاده كنند.
در نوع دوم License براي كلاينت ها خريداري ميشود و كلاينت ها مي تواند در آن واحد به تمام سرورها متصل شود
نوع دوم معمولا گرانتر از نوع اول تمام ميشود.البته به تعداد كلاينت ها و سرورها بستگي دارد.

ويندوز سرور 2003 داراي ورژنهاي مختلف مي باشد كه به طور خلاصه هر كدام را نام مي برم:
Web edition:
اين نوع ويندوز سرور از ارزان ترين سرور ها ميباشد.و صرفا براي وب سايت استفاده ميشود يعني براي ميزباني(hosting) وب سايت مورد استفاده قرار مي گيرد. در عمل اين نوع سرور سرويس هايي چون اكتيو دايركتوري(Active Directory) و شبكه دومين را پشتيباني نمي كند.همچنين سرويس هاي مهم شبكه مثل DNS و DHCP را هم پشتيباني نمي كند و فقط Web publisher را پشتيباني مي كند.اگر از اين ورژن براي شبكه استفاده شود بيشتر از 10 نفر نمي توانند به اين سرور متصل شده و از منابع به اشتراك گذارده شده استفاده كنند.ولي در مورد وب سايت محدوديت ندارد.از از ويژگيهاي آن مي توان نام برد: 2 GB (RAM) و 2 عدد CPU

Standard edition:
اين نوع سرور تمام قابليت هاي يك سرور را ندارد و به طور متوسط تمام سرويس هاي شبكه را پشتيباني مي كند. از ويژگيهاي سخت افزاري آن مي توان نام برد: 4 GB(RAM) و 4 عدد CPU

Enterprise edition:
اين ورژن ويندوز سرور 2003 از نوع سرور قبلي قويتر مي باشد و تمام قابليت هاتي يك سرور رداشته و قابليت clustering را هم پشتيباني مي كند. از نظر سخت افزاري مي توان اين ويژگيها را نام برد: 64 GB (RAM) و 8 عدد CPU

Data center edition:
اين نوع سرور قويترين نوع ورژن ويندوز سرور2003 محسوب مي شود و اصولا براي پردازش هاي بسيار سنگين مورد استفاده قرار مي گيرد(مثل بانك ها).اين نوع سرور هم تمام سرويس هاي شبكه را پشتيباني مي كند. و از ويژگيهاي سخت افزاري آن مي توان نام برد: 512 GB (RAM) و 128 عدد CPU

نكته: اگر ويندوز سرور ما 2000 باشد مي توانيم آن را به 2003 ارتقاء دهيم.


Domain Tree:
در موردشبكه دومين قبلا توضيح داده ام.به مجموعه اي از كامپيوترها در شبكه گفته ميشود كه توسط يك DC (Domain Controler) مديريت مركزي شوند.در شبكه دومين بايد Active Directory نصب شود و حداقل يك كامپيوتر با سيستم عامل سرور بايد سرويس Domain Controller داشته باشد.به سروري كه نرم افزار اكتيو دايركتوري بر آن نصب شود DC گويند.
DC= Domain Controller
Domain Tree يك نوع رابطه بين شبكه هاي است و سيستم نامگذاري در شبكه ميباشد كه به صورت ساختار نامگذاري درختي است.به اين صورت كه اگر شبكه اصلي ما داراي چند شبكه زير شاخه اي داشته باشد. ترتيب نامگذاري از شاخه اصلي در زير شاخه ها تكرار خواهد شد.
مثال: در شكل زير نام دومين اصلي (ريشه) در ادامه نام زيرشاخه ها آمده است.

Trust (اعتماد كردن):
رابطه ي بين اعضاي يك دومين را trust مي گويند.
رابطه اي محرمانه بين دو دومين كه به اعضاي يك دومين امكان استفاده از منابع دومين ديگر را مي دهد.براي اينكه شبكه هاي دومين بتوانند با هم در ارتباط باشند بايد به هم TRUST بزنند.
مثال: اگر دومين A به دومين B در شبكهTrust داشته باشد دومين B مي تواند از منابع دومينA استفاده كند و تا زماني كه شبكه دومين B اجازه ندهد شبكه دومين A نمي تواند به آن TRUST بزند و منابع آن را ببيند.

قسمت بيست چهارم


انواع Trust:
ما در شبكه ها دو نوع رابطه trust داريم
1. two way transitive
2. one way non transitiveفرض كنيد يك شبكه داريم به نام A و يك شبكه به نام B و يك شبكه ديگر به نامC .اگر شبكه A به شبكه B اعتماد (TRUST) داشته باشد و شبكه B هم به شبكه A اعتماد (TRUST)داشته باشد. و شبكهB به شبكهC اعتماد (TRUST)داشته باشد و بلعكس. در نتيجه شبكه C هم كه در مجموعه آنهاست به شبكه A اعتماد خواهد داشت و بلعكس.
در نوع اول اين رابطه (trust) بين شبكه ها دو طرفه ميباشد. يعني تمام شبكه ها به هم trust دارند و رابطه دو طرفه با هم دارند.(به اين نوع رابطه كه به صورت اتوماتيك بين C و A هم ايجاد ميشود Transitive مي گويند.)
اما اگر ما اين رابطه را به صورت manual (دستي) ايجاد كنيم بين دو شبكه A و B و شبكه B با شبكه C در ارتباط نباشد.در اين صورت ديگر ارتباطي بين A وC به وجود نخواهد آمد.پس مي گوييم nontransitive است. يعني نوع دوم.اين رابطه يكطرفه ميباشد.


Short cut trust:
اگر در شبكه اي كه داراي چندين دومين است كه بخواهيم دو تا شبكه دومين به هم trust داشته باشند كه مسير كوتاه تري بپيمايند مي توانيم ايجاد shortcut trust كنيم.


Forest:
مجموعه اي از شبكه هاي domain tree يك forest را ميسازند.بين اعضاي forest ساختار نامگذاري به يك شكل نيست و ممكن است از يك نوع ساختار اسمي استفاده نشود. بين شبكه هايforest (مثلا دو شبكه forest) رابطه trust وجود دارد تا همه شبكه هاي دو مجموعه بتوانند از منابع همديگر استفاده كنند.

ويندوز سرور تا وقتي براي كار خاصي در شبكه در نظر گرفته نشده member server است ولي وقتي سرويسي رويش نصب شود نام سرور مربوطه را به خود مي گيرد. مثلا وقتي روي ويندوز سرور اكتيو دايركتوري و دومين كنترلر نصب شود از آن به عنوان DC ياد ميشود. يا وقتي سيستم فكس روي سرور راه اندازي شود فكس سرور خواهد بود .و وب سرور و . . .
براي ايجاد وب سرور و publish كردن وب سايت بايد سرويس IIS داشته باشيم.
نصب IIS:
ابتدا به control panel رفته و از قسمت add&remove programs در سمت چپ پنجره add windows components را باز مي كنيم و سرويس internet information services (IIS) را چك ماركش را مي زنيم.مم كن است براي نصب آن CD ويندوز هم لازم شود.
در ويندوز xp هم اين سرويس وجو دارد.
در تنظيمات وب سايت گزينه اي وجود دارد به نام All Unassigned كه وقتي دقيقا نمي دانيم IP آدرس وب سايت چي است اين گزينه را انتخاب مي كنيم. در شبكه هايي كه از DHCP استفاده ميشود و IPآدرس متغير است از اين قابليت استفاده ميشود.البته ميشود و بهتر است درDHCP براي وب سايت IPآدرس ثابت در نظر گرفت و set كرد. 
تمام فايل هاي مربوط به وب سايت در فولدري به نام home directory ذخيره ميشود.
نكته:براي اينكه وب سايت ما براي كاربران ناشناخته هم قابل بازديد باشد و username و password نياز نباشد بايد چك مارك allow anonymous access to this website در تنظيمات وب سايت برداشته شود.
براي اينكه وب سايت ما علاوه بر اينكه با IP آدرس با نام وب سايت هم قابل مشاهده باشد بايد در شبكه DNS داشته باشيم.


روش publish كردن چند وب سايت روي يك كامپيوتر:
1.using multiple IP
2. using single IP with multiple port
3.using DNS host header(1 port 1 IP)

در روش اول وب سرور ما چند تا IP بايد داشته باشد.و هر كدام از IPها را به يك وب سايت اختصاص مي دهيم.
ايراد اين روش اين است كه تعداد IP كه استفاده مي كنيم زياد است و هزينه بالا مي رود.

در روش دوم از يك IP با چند پورت مختلف استفاده مي كنيم.
Port: شماره اي است كه از طريق آن به كامپيوتر مقصد مي فهمانيم چه سرويسي از آن مي خواهيم. پورتهاي زيادي داريم از 1 تا 65535 يعني 216 پورت كه چند نمونه آن را مي نويسم:
پورت 443: براي وب سايت HTTPS است
پورت23: از اين پورت ميشود از طريق telnet در محيط cmd كامپيوتر هاي ديگر ،سوئيچ و .. را تنظيم كرد.
پورت 110: پورت pop3 گفته مي شود كه براي دريافت اي ميل استفاده ميشود. 
پورت 25: به نام پورت SMTP مي باشد و براي ارسال اي ميل استفاده مي شود.
پورت 8080: پورت پيش فرض ISA سرور است.
پورت 80: پورت مورد استفاده وب سايت است.
پورت 21: پورت مورد استفاده سايت هاي FTP است.
و ...
معمولا پورت هاي بالاي 1000 هميشه باز است و كسي استفاده نمي كند.
ايراد اين روش اين است كه بايد در انتهاي آدرس IP شماره پورت را اضافه كنيم پس بايد شماره پورتها را بدانيم و اين براي كاربرها مشكل است.

در روش سوم از يك IP و يك پورت استفاده مي شود كه بهترين روش است.در اين روش حتما بايد DNS داشته باشيم.كاربر نام وب سايت را مي گويد و از DNS مي پرسد و او IP وب سايت را مي دهد.

نكته: اين صرفا براي اطلاع است و هاستينگ وب سرور شرايط و امكانات خود را مي طلبد كه در اين مقوله نمي گنجد.

قسمت بيست و پنجم


Profile:
محيط كاري كاربر را profile مي گوييم مثل: صفحه desktop، favorites، my document ،start menu و..
سه نوع profile داريم:

1- local profile
پروفايلlocal به اين صورت است كه هرگاه يك نام كاربري(user) در ويندوز ساخته مي شود در درايوي كه ويندوز در آن قرار دارد در فولدري به نام documents and setting يك فولدر به نام آن كاربر (user) ايجاد ميشود. واين اتفاق به اين صورت رخ مي دهد كه خود ويندوز فولدري دارد به نام (default user) كه كليه تنظيمات و فولدرهاي مربوط به يك كاربر را دارا ميباشد و هر وقت كاربر جديد ايجاد ميشود ويندوز يك كپي از اين فولدر به نام كاربر ايجاد كرده و در profile آن قرار مي دهد. 
در همين درايو فولدري است به نام (All user) كه هر گاه فايلي را در اين فولدر قرار دهيم در Profile تمام كاربرها هم مي آيد.
اين نوع profile به صورت local است و فقط بر كاربراني كه به صورت local بر روي يك سيستم تعريف شده باشند اعمال ميشود. 
طرز ساختن كاربر را قبلا توضيح دادم .اگر در فولدر documents and setting برويد فولدرهاي ذكر شده را مي توانيد ملاحظه كنيد.


2- Rooming Profile
اين نوع profile به اين صورت است كه كاربر بر روي هر سيستم در شبكه كه log on كند profile مربوط به خود را مي بيند.و براي كساني بيشتر استفاده ميشود كه مكان ثابتي براي كار در شبكه ندارند.
ساختن Rooming Profile براي كاربر:
براي ساختن Rooming Profile براي كاربري ابتدا بايد شبكه ما از حالت work group به صورت دومين تغيير كند يعني اكتيو دايركتوري در شبكه داشته باشم. سپس يك فولدر مي سازيم و آن را به اشتراك مي گذاريم (share مي كنيم). در share permission tab و NTFS permission بايد مجوز را براي every one سطح دسترسي full controll بگذاريم تا كاربر اجازه تغييرات را داشته باشد. در مرحله بعد نام كاربر مورد نظر را در اكتيو دايركتوري مي سازيم و روي نام كاربري آن راست كليك كرده properties مي گيريم و در قسمت prifile tab آدرس UNCفولدر به اشتراك گذاشته شده را مي دهيم و نام كاربر را داخل علامت % مي نويسيم مثلا:
کد:
\\192.168.120.2\folder\%username%


به اين صورت كاربر هر جاي شبكه كه برود و بر هر سيستم كه log on كند تنظيمات و فايل هاي مربوط به خود را دارد.


3-Mandatory Profile 
اين نوع profile هم زير مجموعه اي از Rooming Profile است.به اين صورت كه كاربر مي تواند هر جا در شبكه و بر هر سيستم log on كند ولي نمي تواند تنظيمات آن را تغيير دهد. مثلا مي خواهيم چند نفر از كاربران به طور مشترك از يك نام كاربري و رمز عبور استفاده كنند ولي اجازه تغيير تنظيمات profile را نداشته باشند.
براي ساختن اين نوع profile بايد ابتدا يك Rooming Profile بسازيم نام كاربري مورد نظر را ساخته آدرس UNC مورد نظر را بدهيم. از طريق نام كاربري Admin بر آن log on كنيم تغييرات لازم و تنظيمات لازم را بدهيم سپس فولدر مورد نظر را take owner ship مي كنيم (مالكيت آن را صاحب مي شويم).در آنجا فايلي است به نام ( NTuser.DAT) كه آن را rename مي كنيم ( نامش را تغيير مي دهيم) و با پسوند MAN نامگذاري مي كنيم: Ntuser.MAN
كاربرهاي مورد نظر اجازه تغيير يا ذخيره كردن فايل در profile را نخواهند داشت و بايد در my computer فايل هاي خود را ذخيره كنند. 

كپي كردن Mandatory Profile:
اگر بخواهيم براي مثلا 200 كاربر اين نوع پروفايل را ايجاد كنيم خيلي زمان بر خواهد بود پس براي صرفه جويي در وقت و سرعت بخشيدن به كار يك Mandatory Profile ايده آل مي سازيم و بعد با ساختن هر نام كاربري در قسمت user profile، Mandatory Profile را انتخاب مي كنيم و در قسمت copy to آدرس فولدر به اشتراك گذارده شده را مي دهيم و در قسمت permited user نام كساني را كه مي خواهيم از اين پروفايل استفاده كنند را add مي كنيم.

يا اينكه يك گروه ميسازيم به نام mandatory group و همه پروفايل هاي mandatory را در آن قرار مي دهيم و از اين به بعد هر نام كاربري كه ساختيم در قسمت profile path آن كاربر همان آدرس UNC و فولدر به اشتراك گذاشته شده را مي نويسيم.

يا اينكه مي توانيم يك نام كاربري به عنوان الگو (template) بسازيم و تنظيمات لازم را اعمال كنيم و سپس نام آن را با دش شروع كنيم :Rooming-
از اين به بعد روي اين نام كاربري " Rooming-" راست كليك مي كنيم و كپي مي كنيم.

قسمت بيست و ششم



Shadow copies
يك خاصيت ويندوز سرور2003 قابليت shadow copies ميباشد.restore كردن backupهاي گرفته شده از سرور براي وقتي است كه مثلا هارد ديسك بسوزد و يا اطلاعات به دلايلي از بين برود و يا به دليل خطايي كه كاربر انجام ميدهد اطلاعات از دست برود و البته زمان گير بوده و به سادگي shadow copies نيست.
Shadow copies از منابع به اشتراك گذاشته شده دو بار در روز backup مي گيرد مثلا 7 صبح و 12 ظهر از شنبه تا جمعه.اين backup تقريبا 10% فضاي هر پارتيشن را به خود اختصاص مي دهد و ماكزيمم تا 63 نسخه را backup مي گيرد.
حال براي فعال كردن اين قابليت ابتدا يك فولدر ايجاد مي كنيم و آن را به اشتراك مي گذاريم و از آن properties مي گيريم و در permission به every one دسترسي full control مي دهيم . فايل هاي خود را در آن قرار مي دهيم.از پارتيشني كه منابع به اشتراك گذارده شده در آن قرار دارد properties مي گيريم و در قسمت Shadow copies آن را فعال مي كنيم (چك مارك enable را مي زنيم).
اولين backup را همان موقع كع فعالش كرديم مي گيرد.يك bug در ويندوز سورو 2003 وجود دارد اين است كه در اين قسمت ميشود به صورت دستي هم backup گرفت.با زدن گزينه creat now مي توان به صورت دستي هر موقع كه بخواهيم backup بگيريم. اما وقتي براي بار اول backup دستي بگيريم كار نمي كند بلكه از دفعات بعد كار مي كند.
براي استفاده و كار كردن با Shadow copies فقط از طريق منابع به اشتراك گذاشته شده امكان پذير خواهد بود.
اگر در Shadow copies يك فايلي اشتباها پاك شود مي توانيم آن را برگردانيم:روي فوادر مورد نظر راست كليك مي كنيم و properties مي گيريم و گزينه restore وجود دارد كه با زدن آن فايل مورد نظر دوباره برمي گردد.
به صورت پيش فرض محل ذخيره شدن backup در همان درايوي است كه shadow copeis فعال شده كه مي توان آدرس آن را تغيير داد.

نكته: اگر اين قابليت را disable كرده و دوباره enable كنيم backupها پاك مي شوند.
قابليت shadow copeis در ويندوز سرورو 2003 وجود دارد و سيستم عامل هاي قديمي مثل ويندوز سرور2000 يا ويندوز هاي بدون سرويس پك يا سيستم عامل هاي قبل ازxp اين قابليت را ندارند.كاربران شبكه بايد بتوانند از اين قابليت shadow copeis كه فعال شده استفاده كنند به اين منظور سيستم عامل هايي كه shadow copeis را نمي شناسند بايد فايلي را در آنها اجرا كنيم.مسير زير را رفته فايل مورد نظر را اجرا مي كنيم:
داخل درايو سيستم عامل مي رويم در فولدر windows فولدر system32 را باز كرده در client و سپس TW client و بعد X86 كه فايل را اجرا مي كنيم. 
با اجرا كردن اين فايل بر روي سيستم عامل هاي قديمي كاربران وقتي فايل هاي به اشتراك گذاشته شده را ببينند و از آنها properties بگيرند مي توانند گزينه previous versionرا ببينند.


SUS (Software Update Services):
از سال 1999 مايكروسافت قسمتي را در وب سايت اش اضافه كرد به نام windows update كه كاربران مراجعه مي كردند و packهاي سيستم عامل شان را مي گرفتند ودر واقع ويندوزشان را update مي كردند.احيانا اگر ايرادي روي سيتم عامل بود از اين طريق حل ميشد.اما خيلي از كاربران update كردن سيستم عامل را از طريق وب سايت جدي نمي گرفتند.پس آمدند گزينه اي را به نام automatic update به ويندوز اضافه كردند كه با اين قابليت خود سيستم عامل خودش را update مي كند.اما با اين حال باز هم مشكل وجود داشت:
الف: در شبكه اي با تعداد زيادي كلاينت كه هر كامپيوتر براي update كردن و دانلود packهاي مورد نياز فضايي را مي خواهد.با توجه به تعداد سيستم عامل ها و فضاي مورد نياز قسمت عظيمي از پهناي باند اشغال ميشود و كار بسيار پر حجم و وقت گيري خواهد بود.
ب: معمولا با update كردن ويندوز و اجراي packهاي مود نياز مشكلات ويندوز حل مي شود ولي گاهي اوقات برنامه اي كه كاربر روي سيستم نصب كرده بود و با آن كار مي كرد دچار مشكل و اختلال ميشود.
براي حل اين مشكلات از SUS سرور استفاده مي كنيم.كاري كه SUS سرور انجام مي دهد اين است كه خودش مستقيما به سايت مايكروسافت مراجعه مي كند و windows update و packهاي مورد نياز شبكه را مي گيرد.
در اينصورت كاربران به جاي مراجعه به سايت مايكروسافت به SUS سرور مراجعه مي كنند. با اين كار پهناي باند بي خودي اشغال نمي شود و همه كاربران pack هاي مورد نياز خود را براي update كردن در كوتاه ترين زمان از SUS سرور دريافت مي كنند.مزيت ديگري كه SUS سرور دارد اين است كه packها بايد approve شوند يعني امتحان شوند كه برنامه هاي ديگر سيستم عامل را دچار مشكل و اختلال نكند كه اگر هر كدام از packها چنين مشكلي داشت SUS سرور اجازه اجرا نمي دهد. 
گزينه هاي SUS سرور راكوتاه مرور مي كنيم.
Welcom:
در مورد SUS سرور توضيح مي دهد و كار SUS سرور را مشخص مي كند مي تواند packهاي مربوط به ويندوز 2000 و ويندوز سرور2003 را دانلود كند.
Synchronize server:
در اين قسمت تعيين مي كنيم كه چه موقع SUS سرور برود و از سايت مايكروسافت pack هاي مورد نياز را دانلود كند.همين حالا يا طبق برنامه اي كه مشخص مي كنيم.
Approve update:
ليست packهايي را كه دانلود شده نشان مي دهد كه مي توانيم اجازه دهيم approve شود يا نه...
View sychronization log:
رويدادهاي مربوط به ارتباطات و دانلود packها را ثبت مي كند كه در طي ارتباط مشكلي پيش آمده يا نه..
View approval log:
در اين قسمت ليست تمام packها را نشان مي دهد كه چه packهايي در چه تاريخي approve شده اند.
Set option:
اين قسمت تنظيمات مربوط به SUS سرور را مشخص مي كند مثلا آيا شبكه ما براي دسترسي به اينترنت داراي p r o x y server مي باشد يا نه؟ اگر مي باشد شماره پورت و IP آدرس آن چيست..
Synchronize list of approved..:
ليستي از packهايي را كه دانلود كرده و approve شده را مي آورد كه مي توانيم مشخص كنيم كدام packها را براي ديگر SUS سرورها ليست كند در غير اينصورت تمام packهايي را كه دارد ليست مي كند. (اين گزينه زماني استفاده ميشود كه چند SUS سرور داشته باشيم كه حالت parent و child پيدا مي كند) 
Select where you want to store update:
در اين قسمت مشخص مي كنيم كه packهاي update را كجا ذخيره كند.

قسمت بيست و هفتم



براي SUS Server دو نوع توپولوژي داريم:
توپولوژي اول:
متد اول به گونه ايي است كه در يك شبكه LAN يك SUS سرور داريم و همه كلاينت هاي شبكه به آن مراجعه مي كنند و آپ ديت هاي خود را دريافت مي كنند.

توپولوژي دوم:
در شبكه هاي بزرگ بخش هاي مختلفي داريم ومجموعه ايي از كامپيوترها كه كار خاصي را انجام مي دهند مثلا بخش برنامه نويس ها، بخش حسابداري ،بخش امنيت شبكه و .. با توجه به شرايط بخش هاي مختلف شبكه ممكن است كامپيوترهاي هر بخش packهاي خاص خود را بخواهند و هر كدام packهاي متفاوتي را نياز داشته باشند.
در اين مواقع كه كامپيوترها گروه گروه مي شوند يك SUS سرور نمي تواند پاسخگو باشد. SUS سرور مي گويد pack يا Approve باشد يا نباشد. و حالت هاي انتخابي ندارد. پس مي آييم به ازاء هر دسته از كامپيوترهاي هر بخش يك SUS سرور در نظر مي گيريم.يك SUS سرور براي بخش برنامه نويس ها، يك SUS سرور براي بخش حسابداري، يك SUS سرور براي بخش امنيت شبكه و.. تا هركدام از گروه ها pack هاي مورد نظر خود را از SUS سرور مربوطه بگيرند و دانلود كنند.
اما اينجا يك مشكل وجود دارد و آن اينست كه چون ما سه تا SUS سرور داريم هر كدام از SUS سرور ها مي خواهند بروند و pack ها را دانلود كنند و در واقه يك عمل را سه مرتبه تكرار كنند. براي حل اين مشكل يك SUS سرور مي گذاريم( به عنوان parent) تا برود و pack ها را دانلود كند و بقيه SUS سرور ها( به عنوان child) بروند و از اين SUS سرور pack ها را بگيرند و لازم نيست همه SUS سرور ها بروند روي خط اينترنت. و روي هر SUS سرور دستي تنظيم (Approve مي كنيم) كه كدام pack را دانلود كنند. 


***** Server:
سروري است كه در گلوگاه دسترسي به اينترنت قرار دارد و در واقع سروري است كه دسترسي كامپيوترهاي داخلي را با اينترنت برقرار مي كند. مثل Ics سرور و يا ISA سرور و ..
در قسمت هاي آينده هر يك را مفصل توضيح خواهم داد.


:FTP Server 
FTP سايت از نظر كاركرد دقيقا مانند htp سايت است ولي كمي ساده تر.ظاهرش شبيه منابع share شده در يك پارتيشن است.به دليل اينكه host header ندارد اگر بخواهيم چندتا FTP سايت روي يك سيستم داشته باشيم بايد از روش چند IP يا چند Port استفاده كنيم.
در هر دو حالت htp و FTP مي توانيم فايل را انتقال دهيم.در نوع FTP سايت يك روش optimize شده هست مثلا براي انتقال فايل مي توانيم روي آن راست كليك كرده و copy را بزنيم ولي اگر htp سايت باشد نمي توان اين كار راكرد بلكه بايد ابتدا فايل را save as target كنيم و بعد ببريم در جايي كه مي خواهيم save كنيم.
در FTP سايت حتي مي توان از فايل ها properties گرفت يا فايل هايي كه مخاطب بيشتري دارد را مي توان شاخه بندي كرد.
براي فعال كردن FTP سرور مسير زير را ميرويم و چك ماركش را مي زنيم:
از منوي Start وارد كنترل پنل شده Add or Remove program را انتخاب مي كنيم و سپس Add/ Remove Windows Component را باز كرده چك مارك IIS (Internet Information Services) را مي زنيم سپس دكمه Ditail را مي فشاريم و از پنجره ايجاد شده FTP (File Transfer Protocol Services) را انتخاب كرده چك ماركش را مي زنيم.


:WSUS Server
WSUS Server تقزيبا همانند SUS سرور ميباشد با اين تفاوت كه يك سري خصوصيت هاي اضافه تر دارد.اول اينكه شركت مايكروسافت SUS را dis continue كرده يعني ديگر كار نمي كند. دوم: WSUS Server يك قابليت خيلي جالب نسبت به SUS دارد و آن اين است كه ما مي توانيم مشخص كنيم كه سيستم عامل هايمان در شبكه چي هستند تا WSUS Server برود و packهاي مخصوص سيستم هايي كه در شبكه استفاده مي كنيم را بگيرد.

نكات مهم WSUS Server:
1.در جايي كه مي خواهيم WSUS Server را نصب كنيم حدود 6 كيلو بايت فضا نياز داريم.
2.با زدن چك ماركي در حين نصب مي توانيم ليست pack ها را ببينيم و فقط آنهايي را كه Approve مي كنيم را دانلود كند(براي صرفه جويي در استفاده از پهناي باند)
3. مي توان براي گرفتن logهاي WSUS Server بخواهيم كه ابتدا desktop engine را نصب كند و يا از SQL سرور استفاده كنيم.
4. سرور به صورت پيش فرض در default website ساخته ميشد و default website هم با پورت 80 كار مي كرد. مي توانيم مشخص كنيم كه WSUS Server با پورت ديگري كار كند و از پورت 80 استفاده ديگري كنيم. در اين صورت خودش پورت 8530 را به عنوان پورت مناسب انتخاب مي كند.
5.براي WSUS Server حتما بايد سرويس IIS را نصب كنيم

يكي از مزيت هاي ديگر WSUS Server نسبت به SUS سرور اين است كه ما مي توانيم در WSUS Server گروه هاي كامپيوتري تعريف كنيم يعني مي توانيم چند گروه مختلف مانند گروه حسابداران،گروه برنامه نويسان ،گروه امنيت شبكه و.. تعريف كنيم كه با توجه به نياز هر گروه pack هاي مخصوص آنها را دانلود و نصب نمايد.ما در حالت قبلي در SUS سرور مجبور بوديم براي حل اين مشكل چند تا SUS سرور نصب كنيم.

قسمت بيست و هشتم


قسمت بندي هاي هارد ديسك (Hard Disk):
هارد ديسك ها به طور كلي به دو دسته تقسيم ميشوند:
Basic
Dynamic

Basic:
به دو نوع پارتيشن تقسيم ميشود.نوع اول: Primary و نوع دوم: Extended
فرق آنها در اين است كه ما مي توانيم Primary را Active كنيم يعني سيستم از طريق آن بوت شود ولي در حالت Extended اين امكان را نداريم. تفوت ديگر آن اين است كه Primary محدوديت تعداد پارتيشن دارد .Primary حداكثر مي تواند به 4 تا پارتيشن تقسيم شود و يا 3تا پارتيشن و يك Extended.
Extended به تنهايي قابل استفاده نيست بلكه بايد آنرا به چند پارتيشن Logical تبديل كنيم كه در اينصورت هيچ محدوديتي براي تعداد پارتيشن بندي نخواهيم داشت. معمولا يك Primary مي سازند و يك Extended سپس از Extended چند تا Logical.(مگر اينكه در حالت خاص بخواهيم از چند سيستم عامل مستقل استفاده كنيم. كه در حالت بروز اشكال بتوان پارشين Primary ديگري را Active كرد..).
پارتيشن Active را System Partition و پارتيشني كه ويندوز در آن قرار دارد را Boot Partition مي گويند.
در حالت Basic تمام سيستم عامل ها آن را مي شناسند و پشتيباني مي كنند.ولي قابليت خاصي نسبت به Dynamic ندارد.
سيستم عامل ها معمولا حالت پيش فرضشان Basic است.


Dynamic:
اين نوع هارد ديسك ها فقط توسط سيستم عامل هاي 2000 و بعد از آن شناخته مي شوند.اين نوع هاد ديسك ها يك سري قابليت هاي اضافه نسبت به هارد ديسك هاي Basic دارند. به قسمت بندي هاي هارد ديسك در اين حالت Volume مي گويند.
هارد ديسك Basic را مي شود به Dynamic تبديل كرد ولي برعكس آن امكان پذير نيست مگر اينكه تمام Volume هاي آن را پاك كنيم كه در اينصورت اطلاعات از بين ميرود.
روي هارد ديسك Dynamic نمي شود ويندوز نصب كرد. اگر بخواهيم اين كار را كنيم ابتدا بايد روي هارد ديسك را كه در حالت Basic است ويندوز نصب كرد و سپس آن را به حالت Dynamic تبديل( ‍Convert) كرد. به همين خاطر توجه داشته باشيد كه هيچگاه براي تمرين هارد ديسك كامپيوتر هاي خانگي را به Dynamic تبديل نكنيد چون در صورت خرابي ويندوز براي نصب مجدد اطلاعات هارد ديسك از بين مي رود.
Volumeها در هاد ديسك هاي Dynamic به 5 دسته تقسيم مي شوند:
Simple Disk:
در اين حالت فقط به يك هارد ديسك نياز است و قابليت خاص و ويژه اي ندارد.اين حالت تقريبا شبيه Primary است اما حسني كه دارد اين است كه ويندوز مي تواند روي Simple قرار بگيرد.


Sppaned Disk:
اين حالت از فضاي پارتيشن بندي نشده 2 تا 32 گيگ استفاده مي كند. مثلا اگر 3 ت�%A

قسمت سي ام


Infra Structure
در شبكه Infra Structureيعني مجموعه ايي از دستگاه ها و سرويس ها كه شبكه بر پايه آنها كار مي كند و در صورت نبود اين زير ساختار شبكه اي تشكيل نخواهد شد.
Infra Structure به معني زير ساختار مي باشد كه در مبحث شبكه به دو قسمت يك قسمت بحث physical و قسمت ديگر بحث logical آن مي باشد.زير ساخت يعني چيزي كه قرار است بقيه كارها بر پايه آن كار كند. و به طور كلي مي توان گفت base كار را گويند.

Physical:
ساختار فيزيكي شبكه را گويند.مجموعه device هاي شبكه كه توسط آن قسمت فيزيكي شبكه تشكيل ميشود مثل سوئيچ، روتر،كابل و تمامي تجهيزات و دستگاه هاي شبكه.
Logical:
ساختاري كه مثل ساختار فيزيكي قابل ديدن نيست بلكه بحث سرويس شبكه است.مجموعه سرويس هايي كه شبكه بر پايه آن config ميشود مثل سرويس DNS،***و بسياري ديگر..


پروتكل:
چون قبلا به طور مفصل در اين مورد مقاله داشتيم به طور خلاصه به آن مي پردازيم.
يكي از مسائلي كه در logical بحث Infra Structure شبكه مطرح است بحث پروتوكل مي باشد.ping كردن فقط مخصوص پروتكل TCP/IP است. اين كه چه نوع پروتوكلي استفاده كنيم به Infra Structure مربوط ميشود. در شبكه اي كه TCP/IP استفاده نميشود ديگر DNS معني ندارد.
پروتوكل TCP/IP بيشترين انعطاف پزيري را در شبكه ها دارد و اگر بخواهيم از اينترنت استفاده كنيم حتما بايد از پروتوكل TCP/IP استفاده كنيم. پروتوكل TCP/IP بهترين ابزار trobale shooting را دارد و routable بوده و extended است. پروتوكل TCP/IP مثل هر پروتوكل ديگري بر مبناي لايه هاي OSI ساخته شده است.
پروتوكل TCP/IP مدل چهار لايه اي دارد كه به آن DOP هم مي گويند.
لايه اول: Net bios و Win sock----- بخش application در اين قسمت قرار مي گيرد.
لايه دوم:TCPو UDP------ transport در اين قسمت قرا مي گيرد.
لايه سوم:IP،ARP، ICMP و IGMP------ internet در اين قسمت قرار مي گيرد.
لايه چهارم: token rinf ، FDDIو Ethernet---- physical در اين قسمت قرار مي گيرد.

Applicationهايي كه تحت شبكه هستند و برنامه نويسان مي خواهند آنها را تحت شبكه بنويسند مي تواند نرم افزارهاي winsick باشد و يا netbios پروتوكل TCP/IP هر دو را پشتيباني مي كند و هر دو مي تواند تحت شبكه كار كند.
بيشتر connectionها توسط پروتوكل TCP/IP بر قرار ميشود. سرعت UDP بالاتر است چون acknowlege ندارد. 
در لايه اينترنت پروتوكل TCP/IP بزرگترين پروتوكلي كه ديده ميشود IP است. وظيفه اين پروتوكل آدرس دهي و مسير يابي است.همه ارتباط ها بر مبناي پارامتري به نام IP آدرس مي باشد.

پروتكل ARP:
ARP=address resolution protocol
وظيفه اين پروتوكل تبديل IP به Mac آدرس است.وظيفه تبديل اسم كامپيوتر به IP كار DNS سرور است كه اگر در شبكه نداشته باشيم از طريق broad cast پيدا مي كند.
در مورد mac آدرس هم قبلا مقالاتي نوشته شده است.
در ARP cache مك آدرس كامپيوترهايي كه به آنها وصل شده ايم و يا ping كرديم قرار مي گيرد. به طور كلي هر نوع ارتباطي كه بين سيستم ها صورت بگيرد macآدرس آن در اينجا قرار مي گيرد.زيرا در هر نوع ارتباطي مثل ديدن share ها و يا ping كردن و يا .. IP آدرس به Mac آدرس تبديل ميشود.با restart كردن سيستم cache خالي ميشود.
اگر بخواهيم از راه دور mac آدرس كامپيوتري را بفهميم اول آن را ping مي كنيم و سپس مي رويم ARP آن را در قسمت cache خودمان مي بينيم.

براي ديدن داخل ARP cache مي توانيم از دستور خطي استفاده كنيم:
Arp –a------- اين �

با سلام

با تشکر از شما که مطالب مفید رو در این تالار قرار می دهید.

به امید فعالیت مستمر شما در این تالار و امیدوارم که بتوانم زحمت شما را جبران کنم.

با تشکر