زمانی که یک سرور مجازی ویندوز جدید خریداری می‌کنید، با نصب ویندوز سرور بر روی این VPS، یک یوزر پیش‌فرض با نام administrator و با دسترسی ادمین خواهید داشت. در این مقاله روش ساخت یوزرهای جدید در سرور مجازی Windows را با اعمال دسترسی‌های مختلف آموزش می‌دهیم.

چرا باید یوزر جدید بسازیم؟

زمانی که یک سرور مجازی ویندوز جدید خریداری می‌کنید، به صورت پیش‌فرض تنها یک یوزر ادمین با دسترسی Administrator بر روی آن فعال است.

اغلب نیاز است برای دسترسی افراد مختلف به سرور، یوزرهای مجزایی با دسترسی‌های متفاوت بسازیم. چرا؟ به دلایل امنیتی که اکثر شرکت‌ها به خصوص به آن نیاز دارند.

فرض کنید شرکتی یک سرور مجازی ویندوزی خریداری کرده که یک سایت آموزشی دارد و اعضای تیم نیازمند دسترسی به VPS هستند. اما مدیر سرور تصمیم دارد دسترسی هر یک از اعضا با یوزر مجزا باشد و علاوه بر این امکان نصب هیچ نرم‌افزاری هم نداشته باشند.

بنابراین مدیر سرور به هر یک از اعضا یک یوزر با دسترسی محدود می‌دهد. با این کار هیچ وقت امکان نصب بدافزار یا نرم‌افزارهای آلوده پیش نمی‌آید.

آموزش ساخت یوزر در سرور مجازی ویندوز

ساخت یوزر در سرور مجازی ویندوز مراحل پیچیده‌ای ندارد. گام به گام پیش می‌رویم:

  • ابتدا وارد سرور مجازی ویندوزی که خریداری کردید شوید. این کار را از طریق Remote Desktop (RDP) انجام دهید.
  • بعد از ورود به VPS، باید وارد قسمتی به نام Local Users and Groups شوید. از منوی Start عبارت run را سرچ کنید و در پنجره باز‌شده عبارت lusrmgr.msc را تایپ کنید.
  • پنجره Local Users and Groups باز می‌شود.

در این قسمت از پنل سمت چپ صفحه روی Users کلیک کنید. در پنل وسطی یوزرهایی که در این سرور ساخته‌اید نمایان می‌شوند. اگر هیچ یوزری بجز ادمین ایجاد نکرده باشید، فقط Administrator و Guest وجود دارد. یوزر Guest یوزر مهمان است که معمولاً غیرفعال است.

برای ساخت یوزر جدید، در پنل وسط در فضای سفید کلیک راست کنید و از منوی باز‌شده New User را انتخاب کنید.

در پنجره New User، گزینه‌های زیر را تکمیل کنید:

  • User name: نام کاربری شخصی که به این یوزر دسترسی دارد را وارد کنید.
  • Full name: نام کامل شخص را وارد کنید.
  • Description: توضیحات اضافی در صورت نیاز.
  • Password: رمز عبور مورد نظر را وارد کنید. این رمز باید امنیت بالایی داشته باشد.
  • Confirm password: رمز عبور را مجدداً تأیید کنید.
  • User must change password at next login: اگر این گزینه فعال باشد، کاربر در ورود بعدی مجبور به تغییر رمز می‌شود. ترجیحاً این گزینه غیرفعال شود.
  • User cannot change password: با فعال کردن این گزینه، یوزر نمی‌تواند رمز عبور تعریف‌شده را تغییر دهد. بهتر است این گزینه فعال باشد.
  • Password never expires: این گزینه را فعال کنید تا رمز عبور منقضی نشود.
  • Account is disabled: این گزینه را فعال نکنید، چراکه اکانت غیرفعال خواهد شد.
  • در آخر روی دکمه Create کلیک کنید تا یوزر ساخته شود.

بعد از ساخت یوزر، پنجره New User برای ساخت اکانت‌های دیگر باز می‌ماند. اگر نیاز به ساخت چند یوزر دارید ادامه دهید، در غیر این صورت این پنجره را ببندید.

نحوه تغییر دسترسی‌ها برای یوزرها در سرور مجازی

یوزری که در سرور مجازی ویندوز ایجاد می‌کنید می‌تواند دسترسی ادمین داشته باشد یا دسترسی محدود. در مرحله قبلی یوزری ساختیم که ادمین نیست و دسترسی آن محدود است. در ادامه نحوه اعطای دسترسی ادمین به یوزر را توضیح می‌دهیم.

در همان صفحه Local Users and Groups، روی یوزری که ساختید کلیک راست کرده و گزینه Properties را انتخاب کنید. در پنجره باز‌شده، قسمت Member of روی Add کلیک کنید. سپس روی Advanced کلیک کنید.

از سمت راست صفحه روی Find Now کلیک کنید تا دسترسی‌ها در پنل پایینی نمایان شوند. از بین گزینه‌ها، Administrators را انتخاب کرده و روی OK کلیک کنید. در پنجره بعدی نیز OK و سپس Apply کنید.

با انجام این مراحل، به این یوزر جدید دسترسی ادمین کامل به تمام امکانات ویندوز سرور مجازی داده‌اید. توصیه می‌کنیم تنها به افراد متخصص این دسترسی داده شود.

چگونه یوزر ساخته‌شده در سرور مجازی را حذف کنیم؟

حذف یوزر بسیار ساده است. در همان قسمت Local Users and Groups در پنل وسط که لیست یوزرها قرار دارد، روی یوزر مورد نظر کلیک راست کرده و از منوی باز‌شده گزینه Delete را انتخاب کنید. پنجره‌ای باز می‌شود که از شما تأیید حذف اکانت را می‌خواهد. با کلیک روی Yes این اکانت حذف می‌شود.

ساخت یوزر از طریق Command Prompt

اگر ترجیح می‌دهید از خط فرمان استفاده کنید، می‌توانید یوزر را از طریق CMD بسازید. ابتدا CMD را با دسترسی Administrator باز کنید (Run as administrator):

ساخت یوزر جدید:

net user نام‌کاربری پسورد /add

افزودن یوزر به گروه Administrators:

net localgroup administrators نام‌کاربری /add

غیرفعال کردن یوزر:

net user نام‌کاربری /active:no

حذف یوزر:

net user نام‌کاربری /delete

مشاهده لیست تمام یوزرها:

net user

این روش به خصوص وقتی می‌خواهید چندین یوزر به صورت دسته‌ای بسازید یا تنظیمات را از طریق اسکریپت‌های PowerShell اعمال کنید بسیار مفید است.

مدیریت دسترسی‌ها با گروه‌های محلی

ویندوز سرور چندین گروه پیش‌فرض دارد که می‌توانید یوزرها را به آن‌ها اضافه کنید:

  • Administrators: دسترسی کامل به سیستم. برای مدیران سرور.
  • Remote Desktop Users: دسترسی به اتصال از راه دور (RDP). کاربرانی که فقط باید از طریق Remote Desktop وارد شوند.
  • Users: دسترسی استاندارد. نمی‌توانند نرم‌افزار نصب کنند یا تنظیمات سیستم را تغییر دهند.
  • Guests: محدودترین دسترسی ممکن.
  • IIS_IUSRS: برای وب‌سرور IIS. اگر سایت روی سرور اجرا می‌کنید، ممکن است به این گروه نیاز داشته باشید.

بهترین رویکرد این است که یوزرها را به گروه‌هایی اضافه کنید که حداقل دسترسی لازم برای کارشان را دارند. این اصل را اصل "حداقل دسترسی" (Principle of Least Privilege) می‌نامند و یکی از پایه‌های امنیت IT است.

ساخت یوزر با PowerShell

PowerShell روش قدرتمندتری برای مدیریت یوزرها در ویندوز سرور است. برای باز کردن PowerShell با دسترسی ادمین، روی Start کلیک راست کنید و Windows PowerShell (Admin) را انتخاب کنید.

ساخت یوزر جدید:

$Password = Read-Host -AsSecureString
New-LocalUser -Name "نام‌یوزر" -Password $Password -FullName "نام کامل" -Description "توضیحات"

افزودن یوزر به گروه Administrators:

Add-LocalGroupMember -Group "Administrators" -Member "نام‌یوزر"

افزودن یوزر فقط به گروه Remote Desktop Users (بدون دسترسی ادمین):

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "نام‌یوزر"

مشاهده اطلاعات یوزر:

Get-LocalUser -Name "نام‌یوزر"

غیرفعال کردن یوزر:

Disable-LocalUser -Name "نام‌یوزر"

PowerShell به خصوص وقتی می‌خواهید ده‌ها یوزر را به صورت یکجا از یک فایل CSV بسازید بسیار مفید است. می‌توانید یک اسکریپت بنویسید که لیست یوزرها را از فایل بخواند و همه را به صورت خودکار بسازد.

نکات امنیتی مهم در مدیریت یوزرهای VPS ویندوز

چند نکته که در مدیریت یوزرهای سرور مجازی ویندوز باید رعایت کنید:

  • یوزر Administrator پیش‌فرض را غیرفعال کنید: هکرها اغلب سعی می‌کنند با نام کاربری Administrator وارد سرور شوند. یک یوزر ادمین جدید با نام دیگری بسازید و سپس یوزر Administrator پیش‌فرض را غیرفعال کنید.
  • پورت RDP را تغییر دهید: پورت پیش‌فرض RDP ۳۳۸۹ است و اهداف آسانی برای حملات brute force هستند. تغییر پورت به یک مقدار غیرمعمول (مثل ۴۵۳۲۱) تعداد حملات را به شدت کاهش می‌دهد.
  • استفاده از رمزهای قوی: برای هر یوزر از رمز عبوری با حداقل ۱۴ کاراکتر استفاده کنید که شامل حروف بزرگ، کوچک، اعداد و نمادها باشد.
  • گزارش‌گیری از ورود و خروج: از Windows Event Viewer برای نظارت بر فعالیت‌های یوزرها استفاده کنید. رویدادهای ۴۶۲۴ (ورود موفق) و ۴۶۲۵ (ورود ناموفق) را دنبال کنید.

سوالات متداول

آیا می‌توانم برای یوزر Remote Desktop را غیرفعال کنم؟

بله. از طریق Group Policy یا تنظیمات Remote Desktop می‌توانید مشخص کنید کدام یوزرها اجازه اتصال RDP دارند. در Local Users and Groups روی یوزر راست کلیک کرده و Properties را انتخاب کنید. در تب Remote Desktop می‌توانید این تنظیم را اعمال کنید.

اگر پسورد یوزر Administrator را فراموش کردم چه کار کنم؟

می‌توانید از طریق پنل مدیریت هاستینگ خود (مثل پنل VPS) به کنسول سرور دسترسی پیدا کرده و پسورد را ریست کنید. برخی هاستینگ‌ها امکان ریست پسورد را از طریق پنل کاربری ارائه می‌دهند.

آیا می‌توانم تعداد یوزرهای همزمان روی RDP را محدود کنم؟

بله. از طریق تنظیمات RD Session Host یا Local Group Policy می‌توانید تعداد اتصالات همزمان را محدود کنید. در محیط Enterprise این کار معمولاً از طریق Remote Desktop Services License انجام می‌شود.

جمع‌بندی

ساخت یوزر در سرور مجازی ویندوز کار ساده‌ای است که می‌توان از طریق Local Users and Groups یا Command Prompt انجام داد. توصیه می‌کنیم برای افراد مبتدی دسترسی محدود (گروه Users) تعریف کنید و تنها به متخصصان مورد اعتماد دسترسی Administrators بدهید. استفاده از اصل حداقل دسترسی، امنیت سرور شما را به طرز قابل توجهی افزایش می‌دهد.

امیدواریم این مقاله برایتان مفید بوده باشد. اگر سوالی دارید که پاسخش را پیدا نکردید، در قسمت کامنت‌ها مطرح کنید، کارشناسان ما در کمتر از چند دقیقه پاسخ خواهند داد.

این مقاله را با دوستان خود به اشتراک بگذارید.

تفاوت Local User و Domain User در ویندوز سرور

اگر سرور شما به یک Active Directory Domain متصل است، باید تفاوت این دو نوع یوزر را بدانید:

  • Local User (یوزر محلی): فقط روی همان سرور معتبر است. اطلاعات آن در پایگاه داده محلی سرور (SAM) ذخیره می‌شود. برای سرورهای مستقل (Standalone) که به دامنه متصل نیستند، این نوع یوزر کافی است.
  • Domain User (یوزر دامنه): اطلاعات آن روی Active Directory Controller ذخیره می‌شود. این یوزر می‌تواند به تمام سرورها و منابع دامنه که مجوز دارد دسترسی داشته باشد. مدیریت متمرکز و عملیات Single Sign-On از مزایای آن است.

برای سرورهای مجازی معمولی که مستقل کار می‌کنند (مثل یک VPS ویندوزی که برای هاست سایت یا ربات تریدینگ استفاده می‌شود)، Local User کاملاً کافی است. Domain User زمانی معنا پیدا می‌کند که چندین سرور در یک شبکه سازمانی دارید و می‌خواهید مدیریت کاربران را متمرکز کنید.

محدود کردن ساعات کاری یوزر

یکی از قابلیت‌های جالب ویندوز سرور این است که می‌توانید ساعات دسترسی یوزر به سرور را محدود کنید. این ویژگی به خصوص برای محیط‌های سازمانی مفید است:

net user نام‌یوزر /times:M-F,8am-6pm

این دستور دسترسی یوزر را به روزهای دوشنبه تا جمعه، بین ساعت ۸ صبح تا ۶ بعد از ظهر محدود می‌کند. برای دسترسی نامحدود:

net user نام‌یوزر /times:all