مفاهيم الدليل النشط والإدارة

18 ديسمبر 2021 1266 الآراء خدمات مجال الدليل النشط

تصفح مواضيع المنشور

مقدمة

Active Directory (AD) هي خدمة دليل Microsoft تخزن معلومات حول الكائنات في الشبكة. تسهل AD أيضًا الوصول إلى البيانات المخزنة من قبل المستخدمين المصرح لهم.

أمثلة على كائنات Active Directory هي المستخدمين وأجهزة الكمبيوتر والطابعات والموارد الأخرى في الشبكة.

يجب مصادقة المستخدم قبل السماح للمستخدم بتسجيل الدخول إلى شبكة AD. عادة ما يتم تحقيق المصادقة عن طريق التحقق من اسم المستخدم وكلمة المرور.

بعد أن يقوم المستخدم بتسجيل الدخول إلى الشبكة ، يقوم Active Directory بتخزين معلومات حول أذونات المستخدمين (عضويات المجموعة ، إلخ) وحقوق الوصول. عندما يطلب المستخدم الوصول إلى أحد الموارد ، تمنح AD حق الوصول أو ترفضه. تسمى عملية منح حق الوصول أو رفضه 'التخويل'.

سيغطي هذا البرنامج التعليمي المفاهيم الرئيسية لـ AD ، بما في ذلك هيكلها المادي والمنطقي. سيغطي أيضًا وحدات تحكم المجال ومخطط AD والغابة والمجال. تتضمن بعض المفاهيم الأخرى التي ستتعلمها النسخ المتماثل وأدوار وحدة التحكم بالمجال (أدوار العمليات الرئيسية) وخوادم الكتالوج العالمي والتخزين المؤقت لعضوية المجموعة العالمية ووحدات تحكم المجال للقراءة فقط.

بحلول الوقت الذي تكمل فيه هذا البرنامج التعليمي ، يمكنك بثقة مناقشة كيفية عمل Active Directory وفهم مفاهيمه الرئيسية. أخيرًا ، ستتعلم بعض المهام التي يمكنك القيام بها مع مستخدمي Active Directory وأجهزة الكمبيوتر والمواقع والخدمات والمجالات والثقة والمزيد.

بعض مفاهيم الدليل النشط الهامة

يحتوي Active Directory على بعض المفاهيم المهمة جدًا التي تحتاج إلى فهمها لنشرها وإدارتها بشكل فعال. فيما يلي بعض المفاهيم الأساسية:

وحدة تحكم مجال AD

التحكم في مجال AD (AD DC) هو خادم Windows يقوم بتشغيل خدمات مجال AD. لكي يقوم خادم Windows بتشغيل خدمة AD DC ، يجب ترقيته إلى وحدة تحكم بالمجال باستخدام Server Manager. لاحقًا في هذا البرنامج التعليمي ، ستتعلم كيفية ترقية Windows Serer إلى وحدة تحكم المجال.

مخطط الدليل النشط

المفهوم المهم التالي هو مخطط م. مخطط AD يحدد فئات الكائن وسماتها. مثال على فئة كائن AD هو مستخدم. يمتلك المستخدم بعض السمات مثل اسم المستخدم والمدير وما إلى ذلك.

يخزن AD فئات الكائنات وسماتها باستخدام مخطط AD. يحتوي مخطط الدليل النشط على كائنات قياسية مثل المستخدمين وأجهزة الكمبيوتر والطابعات وما إلى ذلك. ومع ذلك ، إذا كنت بحاجة إلى كائنات إضافية ، فيمكنك توسيع المخطط. كمثال ، ستحتاج إلى توسيع مخطط AD قبل تثبيت Microsoft Exchange أو SCCM.

لمعرفة كيف يمكنك توسيع مخطط AD ، راجع تمديد المخطط في ال مصادر ومراجع إضافية في نهاية هذا البرنامج التعليمي.

غابة الدليل النشط

في الهيكل الهرمي للميلاد ، تقع الغابة في الجزء العلوي من الهيكل المنطقي للميلاد. المستوى التالي من التسلسل الهرمي هو المجالات ، ثم لديك وحدات تنظيمية (OUs). داخل OUs لديك مستخدمين وأجهزة كمبيوتر.

وبالتالي ، تحتوي مجموعة غابات AD على عدد من مجالات AD المترابطة بواسطة علاقة الثقة. يوجد أدناه رسم توضيحي بسيط لتسلسل هرمي غابة AD. لقراءة المزيد عن AD Forest ، قم بزيارة ما هي غابة Active Directory؟

نصيحة محترف
عند إنشاء علاقات ثقة بين مجالين في مجموعة التفرعات ، يمكن مصادقة المستخدمين في مجال واحد بواسطة المجال الموثوق به. أيضًا ، يمكن أيضًا الوصول إلى الموارد بين المجالات ذات علاقة الثقة. الدليل النشط (AD)

أنواع الصناديق الاستئمانية AD

يمكنك إنشاء 4 أنواع من علاقات الثقة في مجموعة تفرعات AD - علاقات الثقة الخارجية والتفرعية والاختصار والمجال. لقراءة المزيد عن AD Trusts ، افتح البنية التحتية المتقدمة للدليل النشط لخدمات Windows Server 2012 R2 .

مجال AD

AD المجال هو المستوى التالي للغابات في التسلسل الهرمي. يحتوي مجال AD على مجموعة من الكائنات. على سبيل المثال ، المستخدمون وأجهزة الكمبيوتر. يتم تحديد المجالات من خلال أسماء DNS الخاصة بهم ، على سبيل المثال ، Domain1.com ، Domain2.com.

نصيحة محترف
لا يجب أن تنتهي أسماء DNS الخاصة بمجالات AD بـ .com ، بل يمكن أن تنتهي أيضًا بـ .local على سبيل المثال.

مواقع الدليل النشط

عادةً ما يتبع تكوين مواقع AD الشبكات الفرعية الفعلية للشبكة. عادةً ما يختلف تكوين النسخ المتماثل داخل المواقع عن التكوين بين المواقع.

على سبيل المثال ، إذا كان لديك وحدتا تحكم بالمجال داخل نفس الشبكة الفرعية للشبكة ، فيمكنك تكوين النسخ المتماثل بينهما لتحسين السرعة.

النسخ المتماثل AD

إذا قمت بنشر Active Directory في بيئة إنتاج ، فمن المستحسن أن يكون لديك على الأقل وحدتا تحكم بالمجال (DC) في مجال AD الخاص بك. السبب في ذلك واضح - خلق التكرار.

قبل المتابعة ، اسمحوا لي أن أذكر أن AD تدير ما يسمى بالنموذج متعدد المستويات الرئيسية. بمعنى أن جميع وحدات تحكم المجال (DCs) داخل المجال تحتوي على نسخ قابلة للكتابة من الكائنات. كما سترى لاحقًا ، هناك بعض الاستثناءات لهذه القاعدة.

حقيقة أن الكائنات يمكن إنشاؤها في أي DC يعني أن هناك حاجة للنسخ المتماثل بين وحدات تحكم المجال. تُعرف عملية الكائنات التي تم إنشاؤها في أحد المزامنة أو التحديث إلى DC أخرى باسم النسخ المتماثل.

اقرأ المزيد عن النسخ المتماثل AD بالنقر فوق النسخ المتماثل للدليل النشط في العمق الارتباط على قسم المصادر والمراجع الإضافية .

ماجستير عمليات الدليل النشط

في القسم السابق ، ذكرت أنه على الرغم من أن Active Directory يعمل بنموذج متعدد المستويات الرئيسية ، إلا أن هناك استثناءات لهذه القاعدة.

هناك مهام معينة داخل مجال AD يجب إكمالها باستخدام النموذج الرئيسي الفردي. بمعنى ، تم تعيين وحدة تحكم مجال واحدة لدور معالجة المهمة.

السبب الرئيسي للنموذج الرئيسي الفردي هو تجنب التعارضات. نظرًا لطبيعة الأدوار الفردية الرئيسية ، إذا كان هناك أكثر من DC واحد للتعامل مع المهمة في نفس الوقت ، فسيؤدي ذلك إلى حدوث تعارض. ستفهم هذا بشكل أفضل عندما تقرأ 5 أدوار رئيسية للعمليات التي ستتم مناقشتها قريبًا.

فيما يلي الأدوار الخمسة للعمليات الرئيسية المرنة المفردة للدليل النشط (FSMO).

ماجستير المخطط

في وقت سابق في هذا البرنامج التعليمي ، ناقشت مخطط م . قلت أن مخطط Active Directory يحدد فئات الكائنات وسماتها. قلت أيضًا أنه في بعض الأحيان قد ترغب في إنشاء فئات مخطط AD إضافية من خلال توسيع المخطط.

يسمى DC المسؤول عن تحديث المخطط بـ Schema Master. عندما يقوم المخطط الرئيسي بتحديث المخطط ، فإنه يكرر التحديث إلى وحدات تحكم المجال الأخرى. يوجد مخطط رئيسي واحد في الدليل - يُعرف DC هذا باسم Schema Master.

تسمية المجال الرئيسية

DC المعين لدور FSMO الرئيسي لتسمية المجال مسؤول عن إضافة أو حذف المجالات في مساحة اسم المجال على مستوى الغابة.

يعد Domain Naming Master DC مسؤولاً أيضًا عن إضافة أو إزالة المراجع التبادلية إلى المجالات في الدلائل الخارجية.

سيد RID

عندما تقوم وحدة تحكم المجال بإنشاء مبدأ أمان على سبيل المثال مستخدم أو كمبيوتر ، يقوم DC بتعيين معرف أمان فريد (SID) للكائن. يتكون SID من مجال SID ومعرف نسبي (RID). المجال SID هو نفسه لجميع الكائنات التي تم إنشاؤها في المجال بينما RID فريد لكل أساس أمان تم إنشاؤه.

كل وحدة تحكم DC لديها مجموعة من RIDs مخصصة لها. وحدة التحكم في النطاق (DC) المسؤولة عن تخصيص تجمعات RID إلى وحدات تحكم المجال (DC) الأخرى هي RID Master.

سيد المحاكي PDC

وحدة تحكم المجال (DC) التي تتولى دور محاكي PDC هي المسؤولة عن مصادقة المستخدمين ، ومزامنة تغييرات كلمة المرور ، كما أنها مسؤولة عن مزامنة الوقت.

كما أنه يدير عمليات إغلاق الحسابات ويعيد توجيه حالات فشل المصادقة بسبب كلمات المرور غير الصحيحة إلى مراكز البيانات (DC) الأخرى.

ماجستير البنية التحتية (IM)

في غابة AD متعددة المجالات ، يكون DC المعين لدور Infrastructure Master FSMO مسؤولاً عن تحديث مراجع الكائنات عبر المجال.

كمثال ، لنفترض أن كائنًا في المجال 1 تمت الإشارة إليه بواسطة كائن آخر في المجال 2. عندما يتم تعديل الكائن المشار إليه ، تكون المراسلة الفورية مسؤولة عن تحديث المراجع.

في الختام ، قبل أن أناقش أدوار FSMO Active Directory DC الخمسة ، قلت إن AD تشغل نموذجًا متعدد الوظائف. أي أن كافة DC تحتوي على نسخ قابلة للكتابة من قاعدة بيانات AD.

قلت أيضًا أنه على الرغم من وجود مجال AD ، على الرغم من نموذج متعدد المازرات ، لا يمكن تنفيذ بعض المهام إلا من خلال نموذج عمليات رئيسي واحد. وبالتالي فإن 5 أدوار FSMO.

بعد قولي هذا ، الآن بعد أن تعرفت على 5 أدوار عمليات رئيسية فردية ، آمل أن يكون من السهل معرفة سبب إمكانية تعيين تجمع RID على سبيل المثال بواسطة وحدة تحكم واحدة فقط. إذا تم تخصيص 2 DC لتجمعات RID لوحدة تحكم المجال الأخرى ، فهناك خطر التداخل وقد يكون لكائنين مختلفين نفس RID.

ينطبق نفس الزيادة على الأدوار الأربعة الأخرى FSMO التي تمت مناقشتها سابقًا.

خوادم الكتالوج العالمية (GC)

لفهم دور خادم الكتالوج العالمي ، سأحيلك إلى ما قلته سابقًا حول غابات Active Directory. تحتوي مجموعة تفرعات AD على عدد من مجالات AD المترابطة بواسطة علاقات الثقة.

مع أخذ ذلك في الاعتبار ، لكل مجال داخل الغابة ، تخزن جميع مراكز البيانات DC بيانات حول كل كائن بداخلها المجال الخاص به . كما أشرت سابقًا ، داخل غابة AD ، قد تكون هناك حاجة للإشارة إلى كائن عبر المجال. لكي يعمل هذا بشكل فعال ، يتم تعيين DC دور GC لتخزين المعلومات حول جميع الكائنات داخل الغابة.

إذا ربطت هذا بدور IM FSMO الذي تمت مناقشته سابقًا ، فسيصبح من السهل معرفة سبب احتياج مدير البنية التحتية إلى التواصل باستمرار مع خادم GC. هذا حتى يتلقى تحديثات حول مراجع الكائنات عبر المجال.

يعد Infrastructure Master مسؤولاً عن تحديث مراجع الكائنات المشتركة داخل مجموعة تفرعات AD. يحتفظ خادم الكتالوج العالمي بمعلومات حول كافة الكائنات داخل مجموعة التفرعات. من المنطقي أن يتلقى مدير البنية التحتية معلومات الإسناد الترافقي للكائن من خادم GC.

لذلك ، لا يوصى بتعيين وحدة تحكم واحدة لدور خادم GC ودور رئيسي البنية التحتية باستثناء:

  • لا يوجد سوى مجال واحد في الغابة - في هذه الحالة ، سيكون نفس DC مسؤولاً عن جميع الأدوار.
  • كل DC في المجال هو خادم كتالوج عمومي

التخزين المؤقت لعضوية المجموعات العالمية

بشكل افتراضي ، يتم تخزين معلومات عضويات المجموعة العالمية فقط في خوادم النشرة المصورة العمومية. لهذا السبب ، في غابة AD متعددة المجالات (حيث توجد مجموعات عالمية) إذا قام المستخدم بتسجيل الدخول إلى المجال لأول مرة ، يجب أن يكون خادم GC متاحًا حتى تتم معالجة تسجيل الدخول.

بالنسبة لمواقع AD الصغيرة التي لا تحتوي على خادم GC ، قد يتم تمكين وحدات تحكم المجال (DC) الأخرى لتخزين معلومات عضوية المجموعة العالمية. يتم تحقيق ذلك من خلال تمكين التخزين المؤقت لعضوية المجموعات العالمية (UGMC) في موقع AD.

نصيحة محترف
يتم تمكين UGMC على أساس كل موقع. عند التمكين في موقع إعلان ، ستشارك جميع البلدان النامية في الموقع.

وحدات تحكم المجال للقراءة فقط (RoDCs)

في هذا البرنامج التعليمي ، قلت بالفعل أن جميع DC في مجال AD قابلة للكتابة. ومع ذلك ، هناك مواقف معينة قد ترغب فيها في تثبيت (RoDCs).

قد يكون هناك موقف نموذجي في موقع بعيد بأمان مادي محدود للمراكز DC في ذلك الموقع. في ظل هذا الظرف ، قد ترغب في تثبيت وحدة تحكم المجال التي يمكنها قراءة بيانات AD فقط ولكن لا يمكنها الكتابة إلى أي كائن أو تحديثه.

نصيحة محترف
RoDCs متوفرة فقط في Windows Server 2008 والإصدارات الأحدث.

الهيكل المادي والمنطقي للدليل النشط

لقد قمت حتى الآن بتغطية عدد من مفاهيم Active Directory الهامة. في هذا القسم سأناقش مفهومين مهمين آخرين في AD - الهياكل المادية والمنطقية للدليل النشط.

الهيكل المادي للميلاد

يستلزم الهيكل المادي أشياء يمكنك أن تلمسها وتشعر بها. لذلك ، فإن الهيكل المادي لـ AD هو وحدات تحكم المجال ومواقع الشبكة.

الأدوات التي تحتاجها لإدارة البنية المادية لمواقع وخدمات Active Directory Active Directory. سأناقش لاحقًا في هذا البرنامج التعليمي المهام التي يمكنك القيام بها باستخدام مواقع وخدمات AD.

الهيكل المنطقي للدليل النشط

بالمقارنة مع الهيكل المادي لميلاد ، فإن البنية المنطقية افتراضية. المكونات التي تشكل البنية المنطقية للإعلان هي: الغابات والأشجار والمجالات والوحدات التنظيمية والكتالوجات العمومية. للحصول على تعريفات تفصيلية للغابات والأشجار والمجالات والوحدات التنظيمية والكتالوج العام ، انقر فوق أسئلة حول البنية الأساسية للدليل النشط.

إدارة الدليل النشط

حتى الآن قمنا بتغطية بعض المفاهيم الهامة لميلاد. يدور هذا القسم حول إدارة Active Directory. سأناقش أدوات AD التالية:

  • مستخدمي Active Directory وأجهزة الكمبيوتر
  • مواقع وخدمات م
  • مجالات Active Directory والصناديق الاستئمانية
  • وحدة AD PowerShell
  • وحدة التحكم في إدارة نهج المجموعة (GPMC)

مستخدمي Active Directory وأجهزة الكمبيوتر

مواقع وخدمات Active Directory (AD)

هذه واحدة من أكثر أدوات AD استخدامًا. باستخدام أجهزة كمبيوتر ومستخدمي AD ، يمكنك:

  • إنشاء وحدات تنظيمية
  • إنشاء حاويات
  • تفويض السلطات
  • أنشئ مستخدمين
  • نقل أدوار RID و PDC والبنية التحتية FSMO
  • تشغيل الاستعلامات
  • رفع المستويات الوظيفية للمجال

مواقع وخدمات م

كلما أصبحت أكثر راحة مع إدارة Active Directory ، ستبدأ العمل مع المواقع والخدمات.

يمكنك تنفيذ المهام التالية باستخدام أداة مواقع وخدمات AD:

  • تمكين التخزين المؤقت لعضوية المجموعة العالمية (UGMC)
  • تكوين وسائل النقل بين المواقع
  • إنشاء اتصالات موقع م جديد
  • تفويض التحكم إلى المواقع الموجودة
  • إنشاء شبكات فرعية

مجالات Active Directory والصناديق الاستئمانية

تُستخدم هذه الأداة لأداء بعض وظائف الإدارة الأكثر تقدمًا في AD. فيما يلي بعض المهام التي يمكنك إكمالها باستخدام مجالات Active Directory and Trusts:

  • رفع المستوى الوظيفي للغابات
  • نقل تسمية المجال الرئيسي FSMO الدور
  • قم بإنشاء صندوق Trust Trust
الأهمية
لاحظ أنه يمكنك رفع مستوى وظائف المجال باستخدام AD Users and Computers أثناء استخدام AD Domains and Trusts لرفع المستوى الوظيفي للمجموعة.

وحدة AD لنظام Windows PowerShell

مطلوب وحدة PowerShell للدليل النشط لإدارة الإعلانات باستخدام PowerShell. يمكنك أداء عدد من المهام. لقد قمت بإدراج عدد قليل أدناه:

  • إنشاء مستخدمين جدد - مستخدم جديد
  • تعديل المستخدمين الحاليين - Set-ADUser
  • الحصول على معلومات حول المستخدمين الحاليين - Get-ADUser
  • حذف المستخدمين الحاليين - إزالة- ADUser

للحصول على جميع أوامر AD في PS ، من DC الخاص بك ، قم بتشغيل الأمر Get-Command. لمزيد من المعلومات حول PowerShell ، اقرأ البرامج التعليمية التالية

18 أوامر Powershell يجب على كل مسؤول Windows معرفة
Get-Command في PowerShell: التطبيقات والاستخدام

وحدة التحكم في إدارة نهج المجموعة (GPMC)

يتم استخدام GMPC لإدارة نهج المجموعة عبر المواقع والمجالات والوحدات التنظيمية داخل مجموعة تفرعات واحدة أو أكثر. على الرغم من أنه يمكنك إدارة سياسات المجموعة من AD Users and Computers ، إلا أن GPMC يوفر المزيد من الميزات.

باستخدام GMPC ، يمكنك أداء المهام التالية:

  • إنشاء سياسات المجموعة الجديدة
  • تعديل نُهج المجموعة الحالية
  • إدارة جميع نُهج المجموعة ضمن حاوية واحدة - كائنات نهج المجموعة
  • قم بإنشاء وتطبيق عوامل تصفية WMI على نُهج المجموعة.
  • إنشاء نماذج GP ونتائج GP

أتمنى أن تكون قد وجدت هذه المنطقة S مفيدة.

دروس مفيدة أخرى

  1. خدمات مجال Active Directory: التثبيت والتكوين
  2. 35 أسئلة وأجوبة مقابلة الدليل النشط (مجمعة حسب الفئة)
  3. Outlook 365: الاشتراك والتثبيت والإعداد
  4. كيفية تثبيت Windows 10: خطوة بخطوة باستخدام Image s

مصادر ومراجع إضافية

  1. خطوة بخطوة: إعداد Active Directory في Windows Server 2016
  2. كيفية تمديد المخطط
  3. ما هي غابة Active Directory؟
  4. البنية التحتية المتقدمة للدليل النشط لخدمات Windows Server 2012 R2
  5. النسخ المتماثل للدليل النشط في العمق
  6. Active Directory FSMO الأدوار في Windows
  7. Windows Server: هل يجب وضع دور FSMO الرئيسي للبنية التحتية على خادم كتالوج عالمي؟
  8. Windows Server: وظائف الكتالوج العالمي في Active Directory