آموزش اضافه کردن new user در ویندوز سرور

آموزش اضافه کردن new user در ویندوز سرور یکی از وظایف مدیریتی مهم و رایج است که معمولاً با استفاده از ابزار Local Users and Groups انجام میشود. این فرآیند به مدیران شبکه امکان میدهد تا به راحتی کاربران جدید را به سیستم اضافه کنند و برای آنها دسترسی‌های لازم را تعریف کنند. برای این کار، ابتدا باید به کنسول مدیریت ویندوز سرور دسترسی پیدا کرده و سپس به بخش Local Users and Groups بروید. در این بخش، با انتخاب گزینه مربوط به ایجاد کاربر جدید، میتوانید اطلاعات کاربری مانند نام کاربری، رمز عبور و سایر تنظیمات مورد نیاز را وارد کنید. این روش به شما این امکان را میدهد تا به طور موثر و سریع کاربران جدید را مدیریت کرده و دسترسی های مناسب را به آن‌ها اعطا کنید. این عمل نه تنها امنیت سیستم را افزایش میدهد، بلکه به بهینه‌سازی مدیریت کاربران نیز کمک میکند.

مراحل اضافه کردن new user در ویندوز سرور

در اولین مرحله شروع میکنیم برای اضافه کردن یوزر جدید در ویندوز سرورابتدا وارد server manager  سرور خود شوید و بر روی tools  کلیک نمایید.

در مرحله بعدی پس از باز شدن صفحه ی بر روی بخش local user and groups  کلیک نمایید و فایل users  را باز نمایید.

در این مرحله شما میبایست بر روی صفحه ی users  کلیک راست نمایید تا گزینه new user…  نمایش داده شود.

سپس بعد از کلیک بر روی new user…   وارد بخش تعیین نام یوزر و پسورد خواهید شد.

در نظر داشته باشید در پایین کادر 4 گزینه هست که هر کدوم نیز قابل خود را دارد.

گزینه اول
user must change password at next loggin

این گزینه یعنی بعد از اولین ورود به سرور میبایست پسورد سرور عوض شود.

گزینه دوم
user cannot change password

بعد از فعال کردن این گزینه امکان تغییر پسورد از سمت user  نمیباشد.

گزینه سوم
password never expire

در نظر داشته باشید بعد از این گزینه دیگر نیازی به تغییر پسورد نمیباشد.

که جهت امنیت سرور توصیه نمیگردد.

گزینه چهار
account disabled
برای غیر فعال کردن user  میباشد.

نکات امنیتی مربوط به اضافه کردن new user در ویندوز سرور

هنگام افزودن یک کاربر جدید به محیط ویندوز سرور یا دامین، رعایت اصول امنیتی از اهمیت حیاتی برخوردار است، زیرا هر حساب کاربری جدید یک نقطه بالقوه برای نفوذ به شبکه محسوب می شود. اولین و مهم ترین اصل که باید همواره مد نظر قرار گیرد، اصل حداقل دسترسی (Principle of Least Privilege – PoLP) است.

بر اساس این اصل، شما باید به کاربر جدید فقط و فقط حداقل میزان دسترسی را که برای انجام وظایف محوله ضروری است، اعطا کنید و از قرار دادن آن ها در گروه های دارای امتیاز بالا مانند Administrators یا Domain Admins در شرایط غیرضروری به شدت پرهیز نمایید.

بهترین روش برای مدیریت دسترسی ها این است که کاربر را مستقیماً به منابع متصل نکنید، بلکه او را عضو گروه های امنیتی (Security Groups) تعریف شده کنید و دسترسی ها را برای آن گروه ها تعیین نمایید؛ این کار مدیریت دسترسی ها را در درازمدت ساده تر و شفاف تر می سازد.

در مرحله بعدی، تمرکز باید بر امنیت رمز عبور باشد، چرا که رمز عبور اولین سد دفاعی است. هنگام ایجاد کاربر، حتماً گزینه “User must change password at next logon” (کاربر باید در ورود بعدی رمز عبور خود را تغییر دهد) را فعال کنید.

این اقدام تضمین می کند که رمز عبور موقتی که شما تعیین کرده اید، توسط کاربر با یک رمز عبور شخصی جایگزین شود که فقط خودش از آن اطلاع دارد. همچنین، ضروری است که سیاست رمز عبور قوی (Strong Password Policy) از طریق Group Policy بر روی این کاربر جدید اعمال شود؛ این سیاست باید کاربران را ملزم به استفاده از رمزهای عبور پیچیده، با طول مناسب (توصیه می شود ۱۲ تا ۱۶ کاراکتر یا بیشتر)، و شامل ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها کند تا از حملات حدس زدن رمز (Brute-Force) جلوگیری شود.

برای حساب های خدماتی یا سیستمی که نیاز به تغییر دوره ای رمز عبور ندارند (Service Accounts)، باید از گزینه ی “Password never expires” استفاده شود، اما در عوض باید از رمزهای عبور بسیار طولانی و پیچیده استفاده کرد و مدیریت آن ها را به سیستم های امن مدیریت رمز سپرد.

اگر بنا به ضرورت، کاربری نیاز به دسترسی های مدیریتی سطح بالا داشته باشد، باید یک حساب کاربری استاندارد برای کارهای روزمره و یک حساب مدیریتی مجزا و با نامی متفاوت برای وظایف حساس ایجاد شود. کاربر باید آموزش ببیند که از حساب مدیریتی فقط در زمان نیاز و با آگاهی کامل از مخاطرات استفاده کند؛ این تفکیک از به خطر افتادن دسترسی های مدیریتی هنگام فعالیت های عادی کاربر (مانند مرور اینترنت) جلوگیری می کند. علاوه بر این، برای حساب های با دسترسی حساس و به ویژه آن هایی که از راه دور متصل می شوند، باید تا حد امکان احراز هویت چندعاملی (Multi-Factor Authentication – MFA) فعال شود تا در صورت لو رفتن رمز عبور، لایه حفاظتی دومی وجود داشته باشد.

در نهایت، لازم است که نظارت (Auditing) بر فعالیت های این کاربران جدید و به ویژه حساب های مدیریتی فعال شود تا تمام اقدامات حساس مانند ورود، خروج، و دسترسی به فایل های حیاتی ثبت و پایش شوند و امکان ردیابی هرگونه سوءاستفاده فراهم گردد. این اقدامات در کنار محدود کردن دسترسی از راه دور (مانند RDP) برای کاربرانی که نیازی به آن ندارند، به طور قابل ملاحظه ای امنیت کلی سرور را افزایش می دهد.