زمانی که یک سرور مجازی ویندوز جدید خریداری میکنید، با نصب ویندوز سرور بر روی این VPS، یک یوزر پیشفرض با نام administrator و با دسترسی ادمین خواهید داشت. در این مقاله روش ساخت یوزرهای جدید در سرور مجازی Windows را با اعمال دسترسیهای مختلف آموزش میدهیم.
چرا باید یوزر جدید بسازیم؟
زمانی که یک سرور مجازی ویندوز جدید خریداری میکنید، به صورت پیشفرض تنها یک یوزر ادمین با دسترسی Administrator بر روی آن فعال است.
اغلب نیاز است برای دسترسی افراد مختلف به سرور، یوزرهای مجزایی با دسترسیهای متفاوت بسازیم. چرا؟ به دلایل امنیتی که اکثر شرکتها به خصوص به آن نیاز دارند.
فرض کنید شرکتی یک سرور مجازی ویندوزی خریداری کرده که یک سایت آموزشی دارد و اعضای تیم نیازمند دسترسی به VPS هستند. اما مدیر سرور تصمیم دارد دسترسی هر یک از اعضا با یوزر مجزا باشد و علاوه بر این امکان نصب هیچ نرمافزاری هم نداشته باشند.
بنابراین مدیر سرور به هر یک از اعضا یک یوزر با دسترسی محدود میدهد. با این کار هیچ وقت امکان نصب بدافزار یا نرمافزارهای آلوده پیش نمیآید.
آموزش ساخت یوزر در سرور مجازی ویندوز
ساخت یوزر در سرور مجازی ویندوز مراحل پیچیدهای ندارد. گام به گام پیش میرویم:
- ابتدا وارد سرور مجازی ویندوزی که خریداری کردید شوید. این کار را از طریق Remote Desktop (RDP) انجام دهید.
- بعد از ورود به VPS، باید وارد قسمتی به نام Local Users and Groups شوید. از منوی Start عبارت
runرا سرچ کنید و در پنجره بازشده عبارتlusrmgr.mscرا تایپ کنید. - پنجره Local Users and Groups باز میشود.
در این قسمت از پنل سمت چپ صفحه روی Users کلیک کنید. در پنل وسطی یوزرهایی که در این سرور ساختهاید نمایان میشوند. اگر هیچ یوزری بجز ادمین ایجاد نکرده باشید، فقط Administrator و Guest وجود دارد. یوزر Guest یوزر مهمان است که معمولاً غیرفعال است.
برای ساخت یوزر جدید، در پنل وسط در فضای سفید کلیک راست کنید و از منوی بازشده New User را انتخاب کنید.
در پنجره New User، گزینههای زیر را تکمیل کنید:
- User name: نام کاربری شخصی که به این یوزر دسترسی دارد را وارد کنید.
- Full name: نام کامل شخص را وارد کنید.
- Description: توضیحات اضافی در صورت نیاز.
- Password: رمز عبور مورد نظر را وارد کنید. این رمز باید امنیت بالایی داشته باشد.
- Confirm password: رمز عبور را مجدداً تأیید کنید.
- User must change password at next login: اگر این گزینه فعال باشد، کاربر در ورود بعدی مجبور به تغییر رمز میشود. ترجیحاً این گزینه غیرفعال شود.
- User cannot change password: با فعال کردن این گزینه، یوزر نمیتواند رمز عبور تعریفشده را تغییر دهد. بهتر است این گزینه فعال باشد.
- Password never expires: این گزینه را فعال کنید تا رمز عبور منقضی نشود.
- Account is disabled: این گزینه را فعال نکنید، چراکه اکانت غیرفعال خواهد شد.
- در آخر روی دکمه Create کلیک کنید تا یوزر ساخته شود.
بعد از ساخت یوزر، پنجره New User برای ساخت اکانتهای دیگر باز میماند. اگر نیاز به ساخت چند یوزر دارید ادامه دهید، در غیر این صورت این پنجره را ببندید.
نحوه تغییر دسترسیها برای یوزرها در سرور مجازی
یوزری که در سرور مجازی ویندوز ایجاد میکنید میتواند دسترسی ادمین داشته باشد یا دسترسی محدود. در مرحله قبلی یوزری ساختیم که ادمین نیست و دسترسی آن محدود است. در ادامه نحوه اعطای دسترسی ادمین به یوزر را توضیح میدهیم.
در همان صفحه Local Users and Groups، روی یوزری که ساختید کلیک راست کرده و گزینه Properties را انتخاب کنید. در پنجره بازشده، قسمت Member of روی Add کلیک کنید. سپس روی Advanced کلیک کنید.
از سمت راست صفحه روی Find Now کلیک کنید تا دسترسیها در پنل پایینی نمایان شوند. از بین گزینهها، Administrators را انتخاب کرده و روی OK کلیک کنید. در پنجره بعدی نیز OK و سپس Apply کنید.
با انجام این مراحل، به این یوزر جدید دسترسی ادمین کامل به تمام امکانات ویندوز سرور مجازی دادهاید. توصیه میکنیم تنها به افراد متخصص این دسترسی داده شود.
چگونه یوزر ساختهشده در سرور مجازی را حذف کنیم؟
حذف یوزر بسیار ساده است. در همان قسمت Local Users and Groups در پنل وسط که لیست یوزرها قرار دارد، روی یوزر مورد نظر کلیک راست کرده و از منوی بازشده گزینه Delete را انتخاب کنید. پنجرهای باز میشود که از شما تأیید حذف اکانت را میخواهد. با کلیک روی Yes این اکانت حذف میشود.
ساخت یوزر از طریق Command Prompt
اگر ترجیح میدهید از خط فرمان استفاده کنید، میتوانید یوزر را از طریق CMD بسازید. ابتدا CMD را با دسترسی Administrator باز کنید (Run as administrator):
ساخت یوزر جدید:
net user نامکاربری پسورد /add
افزودن یوزر به گروه Administrators:
net localgroup administrators نامکاربری /add
غیرفعال کردن یوزر:
net user نامکاربری /active:no
حذف یوزر:
net user نامکاربری /delete
مشاهده لیست تمام یوزرها:
net user
این روش به خصوص وقتی میخواهید چندین یوزر به صورت دستهای بسازید یا تنظیمات را از طریق اسکریپتهای PowerShell اعمال کنید بسیار مفید است.
مدیریت دسترسیها با گروههای محلی
ویندوز سرور چندین گروه پیشفرض دارد که میتوانید یوزرها را به آنها اضافه کنید:
- Administrators: دسترسی کامل به سیستم. برای مدیران سرور.
- Remote Desktop Users: دسترسی به اتصال از راه دور (RDP). کاربرانی که فقط باید از طریق Remote Desktop وارد شوند.
- Users: دسترسی استاندارد. نمیتوانند نرمافزار نصب کنند یا تنظیمات سیستم را تغییر دهند.
- Guests: محدودترین دسترسی ممکن.
- IIS_IUSRS: برای وبسرور IIS. اگر سایت روی سرور اجرا میکنید، ممکن است به این گروه نیاز داشته باشید.
بهترین رویکرد این است که یوزرها را به گروههایی اضافه کنید که حداقل دسترسی لازم برای کارشان را دارند. این اصل را اصل "حداقل دسترسی" (Principle of Least Privilege) مینامند و یکی از پایههای امنیت IT است.
ساخت یوزر با PowerShell
PowerShell روش قدرتمندتری برای مدیریت یوزرها در ویندوز سرور است. برای باز کردن PowerShell با دسترسی ادمین، روی Start کلیک راست کنید و Windows PowerShell (Admin) را انتخاب کنید.
ساخت یوزر جدید:
$Password = Read-Host -AsSecureString
New-LocalUser -Name "نامیوزر" -Password $Password -FullName "نام کامل" -Description "توضیحات"
افزودن یوزر به گروه Administrators:
Add-LocalGroupMember -Group "Administrators" -Member "نامیوزر"
افزودن یوزر فقط به گروه Remote Desktop Users (بدون دسترسی ادمین):
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "نامیوزر"
مشاهده اطلاعات یوزر:
Get-LocalUser -Name "نامیوزر"
غیرفعال کردن یوزر:
Disable-LocalUser -Name "نامیوزر"
PowerShell به خصوص وقتی میخواهید دهها یوزر را به صورت یکجا از یک فایل CSV بسازید بسیار مفید است. میتوانید یک اسکریپت بنویسید که لیست یوزرها را از فایل بخواند و همه را به صورت خودکار بسازد.
نکات امنیتی مهم در مدیریت یوزرهای VPS ویندوز
چند نکته که در مدیریت یوزرهای سرور مجازی ویندوز باید رعایت کنید:
- یوزر Administrator پیشفرض را غیرفعال کنید: هکرها اغلب سعی میکنند با نام کاربری Administrator وارد سرور شوند. یک یوزر ادمین جدید با نام دیگری بسازید و سپس یوزر Administrator پیشفرض را غیرفعال کنید.
- پورت RDP را تغییر دهید: پورت پیشفرض RDP ۳۳۸۹ است و اهداف آسانی برای حملات brute force هستند. تغییر پورت به یک مقدار غیرمعمول (مثل ۴۵۳۲۱) تعداد حملات را به شدت کاهش میدهد.
- استفاده از رمزهای قوی: برای هر یوزر از رمز عبوری با حداقل ۱۴ کاراکتر استفاده کنید که شامل حروف بزرگ، کوچک، اعداد و نمادها باشد.
- گزارشگیری از ورود و خروج: از Windows Event Viewer برای نظارت بر فعالیتهای یوزرها استفاده کنید. رویدادهای ۴۶۲۴ (ورود موفق) و ۴۶۲۵ (ورود ناموفق) را دنبال کنید.
سوالات متداول
آیا میتوانم برای یوزر Remote Desktop را غیرفعال کنم؟
بله. از طریق Group Policy یا تنظیمات Remote Desktop میتوانید مشخص کنید کدام یوزرها اجازه اتصال RDP دارند. در Local Users and Groups روی یوزر راست کلیک کرده و Properties را انتخاب کنید. در تب Remote Desktop میتوانید این تنظیم را اعمال کنید.
اگر پسورد یوزر Administrator را فراموش کردم چه کار کنم؟
میتوانید از طریق پنل مدیریت هاستینگ خود (مثل پنل VPS) به کنسول سرور دسترسی پیدا کرده و پسورد را ریست کنید. برخی هاستینگها امکان ریست پسورد را از طریق پنل کاربری ارائه میدهند.
آیا میتوانم تعداد یوزرهای همزمان روی RDP را محدود کنم؟
بله. از طریق تنظیمات RD Session Host یا Local Group Policy میتوانید تعداد اتصالات همزمان را محدود کنید. در محیط Enterprise این کار معمولاً از طریق Remote Desktop Services License انجام میشود.
جمعبندی
ساخت یوزر در سرور مجازی ویندوز کار سادهای است که میتوان از طریق Local Users and Groups یا Command Prompt انجام داد. توصیه میکنیم برای افراد مبتدی دسترسی محدود (گروه Users) تعریف کنید و تنها به متخصصان مورد اعتماد دسترسی Administrators بدهید. استفاده از اصل حداقل دسترسی، امنیت سرور شما را به طرز قابل توجهی افزایش میدهد.
امیدواریم این مقاله برایتان مفید بوده باشد. اگر سوالی دارید که پاسخش را پیدا نکردید، در قسمت کامنتها مطرح کنید، کارشناسان ما در کمتر از چند دقیقه پاسخ خواهند داد.
این مقاله را با دوستان خود به اشتراک بگذارید.
تفاوت Local User و Domain User در ویندوز سرور
اگر سرور شما به یک Active Directory Domain متصل است، باید تفاوت این دو نوع یوزر را بدانید:
- Local User (یوزر محلی): فقط روی همان سرور معتبر است. اطلاعات آن در پایگاه داده محلی سرور (SAM) ذخیره میشود. برای سرورهای مستقل (Standalone) که به دامنه متصل نیستند، این نوع یوزر کافی است.
- Domain User (یوزر دامنه): اطلاعات آن روی Active Directory Controller ذخیره میشود. این یوزر میتواند به تمام سرورها و منابع دامنه که مجوز دارد دسترسی داشته باشد. مدیریت متمرکز و عملیات Single Sign-On از مزایای آن است.
برای سرورهای مجازی معمولی که مستقل کار میکنند (مثل یک VPS ویندوزی که برای هاست سایت یا ربات تریدینگ استفاده میشود)، Local User کاملاً کافی است. Domain User زمانی معنا پیدا میکند که چندین سرور در یک شبکه سازمانی دارید و میخواهید مدیریت کاربران را متمرکز کنید.
محدود کردن ساعات کاری یوزر
یکی از قابلیتهای جالب ویندوز سرور این است که میتوانید ساعات دسترسی یوزر به سرور را محدود کنید. این ویژگی به خصوص برای محیطهای سازمانی مفید است:
net user نامیوزر /times:M-F,8am-6pm
این دستور دسترسی یوزر را به روزهای دوشنبه تا جمعه، بین ساعت ۸ صبح تا ۶ بعد از ظهر محدود میکند. برای دسترسی نامحدود:
net user نامیوزر /times:all