خب. با هم ادامه مباحث قبلی رو پیش می گیریم.

TGT

TGT مخفف Ticket Grant Ticket هست.

در شبکه های دامینی همونطور که قبلا گفته شده ، پروتکلی که عمل احراز هویت رو انجام میده پروتکل Kerberos هست. وظیفه Kerberos ایجاد و کنترل TGT هست.

TGT به نوعی مثل ویزا هست و Kerberos نهاد صادر کننده ویزا هست. اگر شما ویزای تحصیلی از آمریکا گرفته باشید اجازه ندارید که در آنجا کار کنید و یا اگر ویزای تفریحی و توریستی داشته باشید باید بعد از تمام شدن یکماه به کشور خود بازگردید.TGT نیز به این صورت است. فرض کنید شما با یک یوزر نیم و پسوردی از طریق یکی از کلاینت ها وارد شبکه دامینی شدید. و حال می خواهید بر روی یکی از کلاینت ها دسترسی داشته باشید. اول بلیط شما یا TGT بررسی می شود که آیا شما اجازه دارید که این کار را انجام دهید یا خیر.اگر اجازه داشتید می توانید دسترسی داشته باشید.

Group Policy

داخل شبکه دامینی برای اعمال Policy به شبکه از Group Policy استفاده می کنند. داخل شبکه های دامینی دو نوع Group Policy وجود دارد :

1 –  Local Group Policy

2 - Default Domain Policy

Local Group Policy

اولی یا همون Local Group Policy داخل ویندوز های معمولی هم وجود دارد که دستور دسترسی به آن gpedit.msc (در Run ویندوز تایپ می کنیم) هست. هر تغییری که در Local Group Policy داده شود فقط و فقط به همون کامپیوتر اعمال می شود و بر روی کلاینت های دیگر تاثیری ندارد.

 Default Domain Policy

اما دومی یعنی Default Domain Policy داخل ویندوزهای معمولی وجود ندارد و برای دسترسی به آن باید داخل ویندوز سرور دستور gpme.msc را در Run تایپ کنیم. هر تغییری که در اینجا اعمال شود به کل شبکه دامینی اعمال می شود. بعنوان مثال اگر بخواهیم قسمتی را برای همه ببندیم ، باید در اینجا اعمال کنیم.

نکته دیگری که باید دقت کنید این است که پشت کامپیوتری که دامین کنترلر (DC) هست ما
Group Policy به نام Local نداریم و حتما باید از Default Domain Policy یا همون gpme.msc استفاده کنیم.

مسیر دسترسی به Default Domain Policy غیر از دستور gpme.msc

از قسمت Administrative Tools وارد Group Policy Management می شویم.

پس از باز شدن پنجره مذکور، زیر دامین مورد نظر ، بر روی Default Domain Policy کلیک راست می کنیم و گزینه Edit رو انتخاب می کنیم.

نکته!

کنسول Group Policy Management به صورت پیش فرض داخل ویندوز سرور 2003 وجود ندارد و برای اضافه کردن آن باید فایلی به نام gpmc.msi دانلود شود و نصب شود تا به ویندوز سرور اضافه شود.

حال می خواهیم زمان Ticket هایی که هر یوزر می گیرد تا وارد شبکه دامینی شود را، از طریق Group Policy دستکاری کنیم.

جهت این کار ابتدا در قسمت Run ویندوز سرور gpme.msc را تایپ کرده و از پنجره ظاهر شده به مسیر زیر می رویم.

Computer Configuration>Policies>Windows Settings>Security Settings>Account Policies> Kerberos Policy

و از پنجره سمت راست بر روی Maximum lifetime for user ticket کلیک می کنیم.

همانطور که در شکل هم می بینید زمان پیش فرض آن 10 ساعت می باشد که با Double Click بر روی آن می توانیم مقدار آن را تغییر دهیم.

همانطور که توضیح دادم Maximum lifetime for user ticket مدت زمان Session هر یوزر بود ، یعنی یک یوزر تا 10 ساعت می تواند بسته به نوع بلیتش از منابع و کلاینت های شبکه استفاده کند بعد از ده ساعت ، اگر بخواهد استفاده کند به ازاء هر بار درخواست از او Username  و پسورد می پرسد.

گزینه زیری آن یعنی Maximum lifetime for user ticket renewal مدت زمانی اعتبار تیکت هر کاربر هست. یعنی بعد از یک هفته اگر کلاینت به صورت مداوم کامپیوترش روشن باشد ، و بخواهد از منابع شبکه استفاده کند، دیگه با دادن یوزر نیم و پسورد هم قبول نمی کند و باید حتما یکبار Log off کند تا مجددا به آن تیکت تخصیص داده شود.

گزینه بعدی که در شکل مشخص استmaximum tolerance for computer clock synchronization هست که همانطور که از متن آن مشخص است، مقدار زمانی است که کلاینت ها اجازه دارند ساعتشان با ساعت سرور تفاوت داشته باشد. یعنی اگر این اختلاف بیشتر از 5 دقیقه باشد به کلاینت Error می دهد و به آن اجازه نمی دهد به شبکه دامینی متصل شود.

که ما در اینجا می توانیم آن را تغییر دهیم.

که البته سروری که به صورت اختصاصی این کار را انجام میدهد NTP Server هست.

نحوه فعال سازی NTP Server داخل ویندوز سرور 2008 :

از قسمت Domain Policy Default وارد مسیر زیر می شویم:

Computer Configuration>Policies>AdministrativeTemplates>System>WindowsTime Services > Time Providers

 و از پنجره سمت راست بر روی Configure Windows NTP Client کلیک می کنیم و سپس مطابق شکل بر روی Enable کلیک می کنیم تا سرور NTP فعال شود.

چون قصدم این است که جلسه بعد Join to domain رو به طور مفصل توضیح دهم ،این جلسه کمی کوتاه شد.

برای دوستانی که جلسات وبلاگ رو همزمان با کپچرها دنبال می کنند ، من الان تا کپچر دهم دقیقه  58 درس داده ام. امیدوارم از لحظه لحظه زندگی تون نهایت استفاده رو ببرید و همیشه خودآگاه زندگی کنید. موفق باشید.