ماذا سيساعد الدليل النشطالمتخصصين؟

سأقدم قائمة صغيرة من "الأشياء الجيدة" التي يمكن الحصول عليها من خلال نشر Active Directory:

• قاعدة بيانات تسجيل مستخدم واحدة ، يتم تخزينها مركزيًا على خادم واحد أو أكثر ؛ وبالتالي ، عندما يظهر موظف جديد في المكتب ، ستحتاج فقط إلى إنشاء حساب له على الخادم وتحديد محطات العمل التي يمكنه الوصول إليها ؛
• نظرًا لأن جميع موارد المجال مفهرسة ، فإن هذا يتيح البحث البسيط والسريع عن المستخدمين ؛ على سبيل المثال ، إذا كنت بحاجة إلى العثور على طابعة ملونة في أحد الأقسام ؛
• سيسمح لك الجمع بين تطبيق أذونات NTFS وسياسات المجموعة وتفويض التحكم بضبط الحقوق وتوزيعها بين أعضاء المجال ؛
• توفر ملفات تعريف المستخدم المتجولة القدرة على التخزين معلومات مهمةوإعدادات التكوين على الخادم ؛ في الواقع ، إذا جلس مستخدم لديه ملف تعريف متجول في المجال للعمل على كمبيوتر آخر وأدخل اسم المستخدم وكلمة المرور الخاصة به ، فسوف يرى سطح المكتب الخاص به بإعداداته المعتادة ؛
• باستخدام سياسات المجموعة ، يمكنك تغيير إعدادات أنظمة تشغيل المستخدم ، من السماح للمستخدم بتعيين الخلفية على سطح المكتب إلى إعدادات الأمان ، وكذلك توزيع البرامج عبر الشبكة ، على سبيل المثال ، عميل Volume Shadow Copy ، وما إلى ذلك ؛
• العديد من البرامج (الخوادم الوكيلة ، خوادم قواعد البيانات ، إلخ) التي لم تصنعها Microsoft اليوم فقط تعلمت استخدام مصادقة المجال ، لذلك لا يتعين عليك إنشاء قاعدة بيانات مستخدم أخرى ، ولكن يمكنك استخدام قاعدة موجودة ؛
• يسهل استخدام خدمات التثبيت عن بُعد تثبيت الأنظمة على محطات العمل ، ولكنها تعمل بدورها فقط مع خدمة الدليل المضمنة.

وهي بعيدة كل البعد عن ذلك القائمة الكاملةالاحتمالات ، ولكن المزيد عن ذلك لاحقًا. الآن سأحاول أن أقول منطق البناء ذاته الدليل النشط، ولكن مرة أخرى ، الأمر يستحق معرفة ما صنعه أولادنا مما تم بناء أولادنا منه الدليل النشطهي المجالات والأشجار والغابات والوحدات التنظيمية والمستخدمين ومجموعات الكمبيوتر.

المجالات -هذه هي وحدة البناء المنطقية الأساسية. مقارنة بمجموعات العمل مجالات مهي مجموعات أمان لها قاعدة تسجيل واحدة ، بينما مجموعات العمل هي مجرد تجميع منطقي للآلات. يستخدم AD DNS (خادم اسم المجال) لخدمات التسمية والبحث ، وليس WINS (خدمة أسماء الإنترنت في Windows) ، كما كان في الإصدارات القديمة NT. وبالتالي ، فإن أسماء الكمبيوتر في مجال ما هي ، على سبيل المثال ، buh.work.com ، حيث buh هو اسم الكمبيوتر في مجال work.com (على الرغم من أن هذا ليس هو الحال دائمًا).

تستخدم مجموعات العمل أسماء NetBIOS. لاستضافة بنية المجال ميلاديربما تستخدم خادم DNS غير تابع لـ Microsoft. ولكن يجب أن يكون متوافقًا مع BIND 8.1.2 أو أعلى وأن يدعم سجلات SRV () بالإضافة إلى بروتوكول التسجيل الديناميكي (RFC 2136). يحتوي كل مجال على وحدة تحكم مجال واحدة على الأقل تستضيف قاعدة البيانات المركزية.

الأشجار -هذه هياكل متعددة المجالات. جذر هذه البنية هو المجال الرئيسي الذي تقوم بإنشاء مجالات فرعية له. في الواقع ، يستخدم Active Directory نظام إنشاء هرمي مشابه لهيكل المجالات في DNS.

إذا كان لدينا مجال work.com (مجال المستوى الأول) وقمنا بإنشاء مجالين تابعين له ، الأول.work.com والثاني.work.com (هنا ، الأول والثاني هما مجالات المستوى الثاني ، وليس جهاز كمبيوتر في ، كما في الحالة الموضحة أعلاه) ، ونتيجة لذلك نحصل على شجرة من المجالات.

تُستخدم الأشجار كهيكل منطقي عندما تحتاج إلى فصل فروع الشركة ، على سبيل المثال ، حسب الخصائص الجغرافية ، أو لبعض الأسباب التنظيمية الأخرى.

ميلادييساعد تلقائيًا على إنشاء علاقات ثقة بين كل مجال والمجالات التابعة له.

وبالتالي ، فإن إنشاء مجال first.work.com يؤدي إلى التنظيم التلقائي للثنائي علاقة ثقةبين الوالد work.com والطفل first.work.com (على نحو مشابه لـ second.work.com). لذلك ، يمكن تطبيق الأذونات من المجال الأصل إلى المجال الفرعي ، والعكس صحيح. ليس من الصعب افتراض وجود علاقات ثقة للمجالات الفرعية أيضًا.

خاصية أخرى لعلاقات الثقة هي الانتقال. نحصل على - يتم إنشاء علاقة ثقة مع مجال work.com للمجال net.first.work.com.

غابة -تمامًا مثل الأشجار ، فهي هياكل متعددة المجالات. ولكن غابةهو اتحاد الأشجار التي لها مجالات جذر مختلفة.

لنفترض أنك قررت أن يكون لديك عدة مجالات باسم work.com و home.net وأنشأت مجالات فرعية لها ، ولكن نظرًا لأن tld (مجال المستوى الأعلى) ليس تحت سيطرتك ، في هذه الحالة يمكنك تنظيم مجموعة عن طريق تحديد أحد المجالات الأولى نطاقات المستوى هي الجذر. جمال إنشاء مجموعة في هذه الحالة هو علاقة الثقة ثنائية الاتجاه بين هذين المجالين والمجالات الفرعية الخاصة بهم.

ومع ذلك ، عند العمل مع الغابات والأشجار ، تذكر ما يلي:

• لا يمكنك إضافة مجال موجود إلى الشجرة
• لا يمكنك تضمين شجرة موجودة بالفعل في الغابة
• إذا تم وضع المجالات في مجموعة تفرعات ، فلا يمكن نقلها إلى مجموعة تفرعات أخرى
• لا يمكنك حذف مجال يحتوي على مجالات تابعة

الوحدات التنظيمية -من حيث المبدأ يمكن أن يسمى المجالات الفرعية. تسمح لك بتجميع حسابات المستخدمين ومجموعات المستخدمين وأجهزة الكمبيوتر والموارد المشتركة والطابعات والوحدات التنظيمية الأخرى (الوحدات التنظيمية) في مجال. الفائدة العملية لاستخدامها هي القدرة على تفويض الحقوق لإدارة هذه الوحدات.

ببساطة ، من الممكن تعيين مسؤول في مجال يمكنه إدارة الوحدة التنظيمية ، ولكن ليس لديه حقوق إدارة النطاق بأكمله.

من السمات المهمة للوحدات التنظيمية ، على عكس المجموعات ، القدرة على تطبيق سياسات المجموعة عليها. "لماذا لا يمكن تقسيم النطاق الأصلي إلى عدة نطاقات بدلاً من استخدام وحدة تنظيمية؟" - أنت تسأل.

ينصح العديد من الخبراء بوجود مجال واحد كلما أمكن ذلك. والسبب في ذلك هو لامركزية الإدارة عند إنشاء مجال إضافي ، نظرًا لأن المسؤولين في كل مجال يتلقون تحكمًا غير محدود (دعني أذكرك أنه عند تفويض الحقوق لمسؤولي OU ، يمكنك تقييد وظائفهم).

بالإضافة إلى ذلك ، لإنشاء مجال جديد (حتى مجال فرعي) ، ستحتاج إلى وحدة تحكم أخرى. إذا كان لديك قسمان منفصلان متصلان بواسطة قناة اتصال بطيئة ، فقد تظهر مشاكل النسخ المتماثل. في هذه الحالة ، سيكون من الأنسب أن يكون لديك مجالان.

هناك أيضًا فارق بسيط آخر لتطبيق سياسات المجموعة: لا يمكن تطبيق السياسات التي تحدد إعدادات كلمة المرور وإغلاق الحساب إلا على المجالات. بالنسبة للوحدات التنظيمية ، يتم تجاهل إعدادات النهج هذه.

مواقع -هذه طريقة لفصل خدمة الدليل فعليًا. بحكم التعريف ، الموقع عبارة عن مجموعة من أجهزة الكمبيوتر متصلة بواسطة روابط بيانات سريعة.

إذا كان لديك عدة فروع في أجزاء مختلفة من الدولة ، متصلة بخطوط اتصال منخفضة السرعة ، فيمكنك إنشاء موقع الويب الخاص بك لكل فرع. يتم ذلك لتحسين موثوقية النسخ المتماثل للدليل.

لا يؤثر هذا القسم من AD على مبادئ البناء المنطقي ، لذلك ، مثلما يمكن أن يحتوي الموقع على عدة مجالات ، والعكس صحيح ، يمكن أن يحتوي المجال على عدة مواقع. لكن طوبولوجيا خدمة الدليل هذه محفوفة بالصيد. كقاعدة عامة ، يتم استخدام الإنترنت للتواصل مع الفروع - بيئة غير آمنة للغاية. تستخدم العديد من الشركات إجراءات أمنية مثل جدران الحماية. تستخدم خدمة الدليل في عملها حوالي ستة منافذ وخدمات ، سيؤدي فتحها لمرور مرور AD عبر جدار الحماية إلى كشفها "للخارج". يتمثل حل المشكلة في استخدام تقنية الأنفاق ، فضلاً عن وجود وحدة تحكم مجال في كل موقع لتسريع معالجة الطلبات من عملاء AD.

يتم تقديم منطق تداخل مكونات خدمة الدليل. يمكن ملاحظة أن الغابة تحتوي على شجرتين للمجال ، حيث يمكن أن يحتوي المجال الجذر للشجرة ، بدوره ، على وحدات تنظيمية ومجموعات من الكائنات ، كما تحتوي على مجالات فرعية (في هذه القضيةواحد لكل). يمكن أن تحتوي المجالات الفرعية أيضًا على مجموعات كائنات ووحدات تنظيمية ولها مجالات فرعية (لا تظهر في الشكل). وهلم جرا. دعني أذكرك أن الوحدات التنظيمية يمكن أن تحتوي على وحدات تنظيمية وكائنات ومجموعات من الكائنات ، ويمكن أن تحتوي المجموعات على مجموعات أخرى.

مجموعات المستخدم والكمبيوتر -تستخدم للأغراض الإدارية ولها نفس المعنى عند استخدامها على الأجهزة المحلية على الشبكة. بخلاف الوحدات التنظيمية ، لا يمكن تطبيق نُهج المجموعة على المجموعات ، ولكن يمكن تفويض التحكم فيها. في إطار مخطط Active Directory ، هناك نوعان من المجموعات: مجموعات الأمان (تُستخدم للتمييز بين حقوق الوصول إلى كائنات الشبكة) ومجموعات التوزيع (تُستخدم بشكل أساسي لإرسال رسائل البريد ، على سبيل المثال ، في Microsoft Exchange Server).

يتم تصنيفها حسب نطاقها:

• مجموعات عالميةقد تتضمن مستخدمين داخل الغابة بالإضافة إلى مجموعات عالمية أخرى أو مجموعات عمومية من أي مجال في الغابة
• مجموعات المجال العالميةقد تشمل مستخدمي المجال والمجموعات العالمية الأخرى من نفس المجال
• مجموعات المجال المحليةتستخدم للتمييز بين حقوق الوصول ، ويمكن أن تشمل مستخدمي المجال ، وكذلك المجموعات العالمية والمجموعات العالمية من أي مجال في الغابة
• مجموعات الكمبيوتر المحلية- المجموعات التي يحتوي عليها SAM (مدير حساب الأمان) للجهاز المحلي. يقتصر نطاقهم على هذا الجهاز فقط ، ولكن يمكنهم تضمين مجموعات محلية من المجال الذي يوجد فيه الكمبيوتر ، بالإضافة إلى المجموعات العالمية والعالمية لمجالهم الخاص أو مجال آخر يثقون به. على سبيل المثال ، يمكنك تضمين مستخدم من مجموعة المجال المحلية Users في مجموعة Administrators الخاصة بالجهاز المحلي ، مما يمنحه حقوقًا إدارية ، ولكن فقط لهذا الكمبيوتر

الدليل النشط

الدليل النشط("الدلائل النشطة" ، ميلادي) - LDAP-تنفيذ متوافق مع خدمة دليل الشركة مايكروسوفتلأنظمة تشغيل الأسرة نظام التشغيل Windows NT. الدليل النشطيسمح للمسؤولين باستخدام سياسات المجموعة لضمان إعداد تجربة مستخدم متسقة ، ونشر البرامج على أجهزة كمبيوتر متعددة من خلال سياسات المجموعة أو من خلال مدير تكوين مركز النظام(سابقًا خادم إدارة أنظمة Microsoft)، تثبيت التحديثات نظام التشغيلوالتطبيق وبرنامج الخادم على جميع أجهزة الكمبيوتر في الشبكة باستخدام خدمة التحديث مشغل برامج وندوز . الدليل النشطيخزن بيانات البيئة والإعدادات في قاعدة بيانات مركزية. الشبكات الدليل النشطيمكن أن تكون بأحجام مختلفة: من عدة عشرات إلى عدة ملايين كائن.

أداء الدليل النشطفي عام 1999 ، تم إصدار المنتج لأول مرة مع ويندوز 2000 سيرفر، ثم تم تعديله وتحسينه عند الإصدار نظام التشغيل Windows Server 2003. تبعًا الدليل النشطتم تحسينه في نظام التشغيل Windows Server 2003 R2, نظام التشغيل Windows Server 2008و نظام التشغيل Windows Server 2008 R2وأعيدت تسميته إلى خدمات مجال الدليل النشط. تم استدعاء خدمة الدليل سابقًا خدمة دليل NT (NTDS) ، لا يزال من الممكن العثور على هذا الاسم في بعض الملفات القابلة للتنفيذ.

على عكس الإصدارات شبابيكقبل نظام التشغيل Windows 2000الذين استخدموا البروتوكول بشكل أساسي NetBIOSللشبكات ، الخدمة الدليل النشطتتكامل مع DNSو TCP / IP. بروتوكول المصادقة الافتراضي هو كيربيروس. إذا كان العميل أو التطبيق لا يدعم المصادقة كيربيروس، يتم استخدام البروتوكول NTLM .

جهاز

أشياء

الدليل النشطله هيكل هرمي يتكون من كائنات. تنقسم الكائنات إلى ثلاث فئات رئيسية: الموارد (مثل الطابعات) ، والخدمات (مثل البريد الإلكتروني) ، وحسابات المستخدمين والكمبيوتر. الدليل النشطيوفر معلومات حول الكائنات ، ويسمح لك بتنظيم الكائنات ، والتحكم في الوصول إليها ، ويضع قواعد الأمان.

يمكن أن تكون الكائنات حاويات لكائنات أخرى (مجموعات الأمان والتوزيع). يتم تحديد الكائن بشكل فريد من خلال اسمه وله مجموعة من السمات - الخصائص والبيانات التي يمكن أن يحتوي عليها ؛ الأخير ، بدوره ، يعتمد على نوع الكائن. السمات هي القاعدة المكونة لبنية الكائن ويتم تعريفها في المخطط. يحدد المخطط أنواع الكائنات التي يمكن أن توجد.

يتكون المخطط نفسه من نوعين من الكائنات: كائنات فئة المخطط وكائنات سمة المخطط. يحدد كائن فئة مخطط واحد نوع كائن واحد الدليل النشط(على سبيل المثال ، كائن مستخدم) ، ويحدد كائن سمة مخطط واحد سمة يمكن أن يمتلكها الكائن.

يمكن استخدام كل كائن سمة في عدة كائنات مختلفة لفئة المخطط. تسمى هذه الكائنات كائنات المخطط (أو البيانات الوصفية) وتسمح لك بالتعديل والإضافة إلى المخطط حسب الحاجة. ومع ذلك ، فإن كل كائن مخطط هو جزء من تعريفات الكائن الدليل النشط، لذلك فإن تعطيل هذه الكائنات أو تغييرها يمكن أن يكون له عواقب وخيمة ، لأنه نتيجة لهذه الإجراءات سيتم تغيير الهيكل الدليل النشط. يتم نشر التغيير الذي تم إجراؤه على كائن المخطط تلقائيًا إلى الدليل النشط. بمجرد الإنشاء ، لا يمكن حذف كائن المخطط ، بل يمكن تعطيله فقط. عادة ، يتم التخطيط بعناية لجميع تغييرات المخطط.

وعاءمماثل هدفبمعنى أنه يحتوي أيضًا على سمات وينتمي إلى مساحة الاسم ، ولكن على عكس الكائن ، لا تمثل الحاوية أي شيء محدد: يمكن أن تحتوي على مجموعة من الكائنات أو حاويات أخرى.

بنية

المستوى الأعلى من الهيكل هو الغابة - مجموعة كل الكائنات والسمات والقواعد (بناء جملة السمة) في الدليل النشط. تحتوي الغابة على شجرة واحدة أو أكثر متصلة بواسطة متعدية علاقات الثقة . تحتوي الشجرة على مجال واحد أو أكثر ، متصل أيضًا في تسلسل هرمي بواسطة علاقات ثقة متعدية. يتم تحديد المجالات من خلال هياكل أسماء DNS الخاصة بهم - مساحات الأسماء.

يمكن تجميع الكائنات الموجودة في المجال في حاويات - OUs. تسمح لك الوحدات التنظيمية بإنشاء تسلسل هرمي داخل مجال ، وتبسيط إدارته ، وتسمح لك بنمذجة الهيكل التنظيمي و / أو الجغرافي للشركة في الدليل النشط. يمكن أن تحتوي الأقسام على أقسام أخرى. مؤسَّسة مايكروسوفتتوصي باستخدام أقل عدد ممكن من المجالات في الدليل النشط، واستخدام الأقسام للهيكلة والسياسات. غالبًا ما يتم تطبيق سياسات المجموعة على وجه التحديد على الوحدات التنظيمية. سياسات المجموعة هي نفسها كائنات. التقسيم هو أدنى مستوى يمكن فيه تفويض السلطة الإدارية.

طريقة أخرى للقسمة الدليل النشطنكون المواقع ، وهي طريقة للتجميع المادي (وليس المنطقي) بناءً على أجزاء الشبكة. تنقسم المواقع إلى تلك التي لها اتصالات عبر قنوات منخفضة السرعة (على سبيل المثال ، عبر الشبكات العالمية ، باستخدام الشبكات الخاصة الافتراضية) وعبر القنوات عالية السرعة (على سبيل المثال ، عبر شبكة المنطقة المحلية). قد يحتوي الموقع على مجال واحد أو أكثر ، وقد يحتوي النطاق على موقع واحد أو أكثر. عند التصميم الدليل النشطمن المهم مراعاة حركة مرور الشبكة التي يتم إنشاؤها عند مزامنة البيانات بين المواقع.

قرار التصميم الرئيسي الدليل النشطهو قرار تقسيم البنية التحتية للمعلومات إلى مجالات هرمية وأقسام ذات مستوى أعلى. النماذج النموذجية المستخدمة لهذا القسم هي التقسيمات حسب الأقسام الوظيفية للشركة ، والموقع الجغرافي ، والأدوار في البنية التحتية لمعلومات الشركة. غالبًا ما يتم استخدام مجموعات من هذه النماذج.

الهيكل المادي والتكرار

فعليًا ، يتم تخزين المعلومات على واحد أو أكثر من وحدات تحكم المجال المكافئة التي حلت محل تلك المستخدمة في نظام التشغيل Windows NTوحدات تحكم المجال الأساسية والنسخ الاحتياطي ، على الرغم من الاحتفاظ بخادم "العمليات الرئيسية المفردة" ، والذي يمكنه محاكاة وحدة تحكم المجال الأساسية ، لبعض العمليات. تحتفظ كل وحدة تحكم بالمجال بنسخة للقراءة / الكتابة من البيانات. تتم مزامنة التغييرات التي تم إجراؤها على وحدة تحكم واحدة مع كافة وحدات تحكم المجال أثناء النسخ المتماثل. الخوادم حيث الخدمة نفسها الدليل النشطغير مثبت ، ولكنه مدرج في المجال الدليل النشط، تسمى خوادم الأعضاء.

تكرار الدليل النشطيتم عند الطلب. خدمة مدقق اتساق المعرفةيُنشئ طوبولوجيا النسخ المتماثل التي تستخدم المواقع المحددة في النظام لإدارة حركة المرور. يتم إجراء النسخ المتماثل داخل الموقع بشكل متكرر وتلقائي بواسطة مدقق التناسق (عن طريق إخطار أطراف النسخ المتماثل بالتغييرات). يمكن تكوين النسخ المتماثل بين المواقع لكل قناة في الموقع (حسب جودة القناة) - يمكن تعيين "معدل" مختلف (أو "تكلفة") لكل قناة (على سبيل المثال DS3, , ISDNإلخ) وحركة النسخ المتماثل محدودة ومجدولة وتوجيهها وفقًا لتقدير الارتباط المعين. يمكن أن تنتقل بيانات النسخ المتماثل بشكل عابر عبر مواقع متعددة عبر جسور ارتباط الموقع إذا كانت "النتيجة" منخفضة ، على الرغم من أن AD تخصص تلقائيًا درجة أقل للروابط من موقع إلى موقع مقارنة بالروابط متعدية. يتم تنفيذ النسخ المتماثل من موقع إلى موقع بواسطة خوادم العبور في كل موقع ، والتي تقوم بعد ذلك بنسخ التغييرات إلى كل وحدة تحكم مجال في موقعها. يحدث النسخ المتماثل داخل النطاق وفقًا للبروتوكول RPCبروتوكول IP، عبر المجال - يمكن أيضًا استخدام البروتوكول SMTP.

إذا كان الهيكل الدليل النشطيحتوي على عدة مجالات ، لحل مشكلة البحث عن الأشياء ، يتم استخدامه كتالوج عالمي: وحدة تحكم المجال التي تحتوي على كافة الكائنات في الغابة ، ولكن مع مجموعة محدودة من السمات (نسخة متماثلة جزئية). يتم تخزين الكتالوج على خوادم كتالوج عمومية محددة ويخدم الطلبات عبر المجال.

تسمح إمكانية المضيف الفردي بمعالجة الطلبات عندما لا يُسمح بالنسخ المتماثل متعدد المضيف. هناك خمسة أنواع من هذه العمليات: مضاهاة وحدة التحكم بالمجال (محاكي PDC) ، مضيف المعرف النسبي (رئيسي المعرف النسبي أو RID الرئيسي) ، مضيف البنية التحتية (البنية الأساسية الرئيسية) ، مضيف المخطط (المخطط الرئيسي) ، مضيف تسمية المجال (المجال الرئيسي لتسمية المجال ). الأدوار الثلاثة الأولى فريدة داخل المجال ، والأخران فريدان داخل المجموعة بأكملها.

قاعدة الدليل النشطيمكن تقسيمها إلى ثلاثة مخازن منطقية أو "أقسام". يعد المخطط قالبًا لـ الدليل النشطويحدد جميع أنواع الكائنات وفئاتها وسماتها وبناء جملة السمات (توجد جميع الأشجار في نفس الغابة لأنها تمتلك نفس المخطط). التكوين هو هيكل الغابة والأشجار الدليل النشط. يخزن المجال جميع المعلومات حول الكائنات التي تم إنشاؤها في هذا المجال. يتم نسخ المخزنين الأولين إلى كافة وحدات التحكم بالمجال في الغابة ، ويتم نسخ القسم الثالث بالكامل بين وحدات التحكم في النسخ المتماثلة داخل كل مجال ويتم نسخه جزئيًا إلى خوادم الكتالوج العمومي.

تسمية

الدليل النشطيدعم تنسيقات تسمية الكائنات التالية: أسماء الأنواع العامة UNC, URLو عنوان URL لـ LDAP. إصدار LDAPيتم استخدام تنسيق التسمية X.500 داخليًا الدليل النشط.

كل كائن له اسم مميز (إنجليزي) اسم مميز, DN). على سبيل المثال ، اسم كائن طابعة HPLaser3في Marketing OU وفي المجال foo.org ، سيكون لديك الاسم المميز التالي: CN = HPLaser3 ، OU = Marketing ، DC = foo ، DC = org ، حيث CN هو الاسم الشائع ، OU هو القسم ، و DC هو المجال فئة الكائن. يمكن أن تحتوي الأسماء المميزة على أجزاء أكثر بكثير من الأجزاء الأربعة في هذا المثال. الكائنات لها أيضًا أسماء متعارف عليها. هذه هي الأسماء المميزة المكتوبة بترتيب عكسي ، بدون معرفات وباستخدام الشرطة المائلة للأمام كفواصل: foo.org/Marketing/HPLaser3. لتحديد كائن داخل الحاوية الخاصة به ، استخدم الاسم المميز النسبي : CN = HPLaser3. يحتوي كل كائن أيضًا على معرّف فريد عالميًا ( GUID) عبارة عن سلسلة 128 بت فريدة وغير قابلة للتغيير تُستخدم في الدليل النشطللبحث والنسخ. تحتوي بعض الكائنات أيضًا على اسم مستخدم أساسي ( UPN، وفقا لل RFC 822) في تنسيق object @ domain.

التكامل مع UNIX

مستويات مختلفة من التفاعل مع الدليل النشطيمكن تنفيذها في معظم يونيكس- مثل أنظمة التشغيل من خلال المتوافقة مع المعايير LDAPالعملاء ، ولكن مثل هذه الأنظمة عادة لا تفهم معظم السمات المرتبطة بالمكونات شبابيكمثل سياسات المجموعة ودعم علاقات الثقة أحادية الاتجاه.

يقدم البائعون الخارجيون التكامل الدليل النشطعلى المنصات يونيكس، بما فيها يونيكس, لينكس, نظام التشغيل MacOS Xوعدد من التطبيقات القائمة جافا، مع حزمة المنتج:

الإضافات التخطيطية المزودة بـ نظام التشغيل Windows Server 2003 R2تشمل السمات التي ترتبط ارتباطًا وثيقًا بـ RFC 2307 لتكون ذات استخدام عام. تطبيقات قاعدة RFC 2307 ، nss_ldap و pam_ldap ، المقترحة PADL.com، تدعم هذه السمات بشكل مباشر. يتبع المخطط القياسي لعضوية المجموعة RFC 2307bis (مقترح). نظام التشغيل Windows Server 2003 R2يتضمن Microsoft Management Console لإنشاء السمات وتحريرها.

البديل هو استخدام خدمة دليل أخرى مثل 389 خادم الدليل(سابقًا خادم دليل فيدورا, FDS) ، eB2Bcom ViewDS v7.1 دليل XML الممكّنأو خادم دليل نظام جافا صنمن صن مايكروسيستمز، والذي يؤدي إلى مزامنة ثنائية الاتجاه مع الدليل النشط، وبالتالي تنفيذ التكامل "المنعكس" عند العملاء يونيكسو لينكسمصدقة FDS، والعملاء شبابيكمصدقة الدليل النشط. خيار آخر هو استخدام برنامج OpenLDAPمع إمكانية تراكب شفاف ، وتوسيع عناصر الخادم البعيد LDAPسمات إضافية مخزنة في قاعدة البيانات المحلية.

الدليل النشطالآلي باستخدام بوويرشيل .

المؤلفات

• راند موريموتو ، كينتون جاردينر ، مايكل نويل ، جو كوكا Microsoft Exchange Server 2003. دليل كامل = إطلاق العنان لـ Microsoft Exchange Server 2003. - م: "ويليامز" ، 2006. - S. 1024. - ISBN 0-672-32581-0

أنظر أيضا

الروابط

ملحوظات

مكونات مايكروسوفت ويندوز
رئيسي
خدمات إدارة
التطبيقات	اتصل بـ DVD Maker الفاكس والمسح الضوئي متصفح الانترنتمجلة المكبر المركز الاعلامي ويندوز ميديا ​​بلاير برنامج التعاون مركز الجهاز ويندوز موبايل مركز التنقلالرسام الراوي محرر الشخصية الشخصية المساعدة عن بعد التعرف على الكلاملوحة الكلمات دفتر لوحة جانبية تسجيل الصوتتقويم آلة حاسبة مقص بريد جدول الرموز تاريخي: صانع الأفلام مقابلة انترنت تعبير خارجى مدير البرنامج مدير الملفات إلبوم الصور
ألعاب
نواة نظام التشغيل
خدمات
ملف الأنظمة
الخادم	الدليل النشط خدمات النشر خدمة النسخ المتماثل للملفاتمجالات DNS إعادة توجيه المجلد Hyper-V IIS Media Services MSMQ حماية الوصول إلى الشبكة (NAP) خدمات الطباعة لـ UNIX الضغط التفاضلي عن بعد خدمات التثبيت عن بعد خدمة إدارة الحقوق ملفات تعريف المستخدمين المتجولة نقطة مشاركة مدير موارد النظام سطح المكتب البعيد WSUS سياسة المجموعة منسق المعاملات الموزعة
هندسة عامة
أمان
التوافق

مايكروسوفت
على
برنامج الخادم
تكنولوجيا
إنترنت
ألعاب
المعدات الأمان
تعليم
الترخيص
التقسيمات

الدليل النشط هو خدمة إدارة النظام. إنها بديل أفضل بكثير للمجموعات المحلية وتسمح لك بإنشاء شبكات كمبيوتر ذات إدارة فعالة و حماية موثوقةبيانات.

إذا لم تكن قد صادفت مفهوم Active Directory من قبل ولا تعرف كيفية عمل هذه الخدمات ، فهذه المقالة مناسبة لك. دعونا نفهم ما يعنيه ذلك هذا المفهوم، ما هي مزايا قواعد البيانات هذه وكيفية إنشائها وتهيئتها للاستخدام الأولي.

Active Directory هو وسيلة مريحة للغاية لإدارة الأنظمة. باستخدام Active Directory ، يمكنك إدارة بياناتك بشكل فعال.

تتيح لك هذه الخدمات إنشاء قاعدة بيانات واحدة يديرها وحدات تحكم المجال. إذا كنت تمتلك نشاطًا تجاريًا أو تدير مكتبًا أو تتحكم بشكل عام في أنشطة العديد من الأشخاص الذين يحتاجون إلى التجمع معًا ، فستحتاج إلى مثل هذا المجال.

وهي تشمل جميع الكائنات - أجهزة الكمبيوتر والطابعات وأجهزة الفاكس وحسابات المستخدمين وما إلى ذلك. يُشار إلى مجموع المجالات حيث توجد البيانات باسم "مجموعة تفرعات". قاعدة الدليل النشط هي بيئة مجال حيث يمكن أن يصل عدد العناصر إلى 2 مليار. هل يمكنك تخيل هذه المقاييس؟

أي بمساعدة مثل هذه "الغابة" أو قاعدة البيانات ، يمكنك توصيل عدد كبير من الموظفين والمعدات في المكتب ، ودون أن تكون مقيدًا بمكان - يمكن أيضًا توصيل مستخدمين آخرين في خدمات ، على سبيل المثال ، من مكتب شركة في مدينة أخرى.

بالإضافة إلى ذلك ، يتم إنشاء العديد من المجالات ودمجها داخل Active Directory - من المزيد من الشركة، كلما كانت هناك حاجة إلى مزيد من الأموال للتحكم في أسلوبها داخل قاعدة البيانات.

علاوة على ذلك ، عند إنشاء مثل هذه الشبكة ، يتم تحديد مجال تحكم واحد ، وحتى مع التواجد اللاحق لمجالات أخرى ، يظل النطاق الأصلي "الأصل" - أي أنه فقط لديه حق الوصول الكامل إلى إدارة المعلومات.

أين يتم تخزين هذه البيانات ، وما الذي يضمن وجود المجالات؟ تستخدم وحدات التحكم لإنشاء دليل نشط. عادة ما يكون هناك اثنان منهم - إذا حدث شيء لواحد ، فسيتم تخزين المعلومات على وحدة التحكم الثانية.

خيار آخر لاستخدام القاعدة هو ، على سبيل المثال ، إذا كانت شركتك تتعاون مع شركة أخرى ، وعليك إكمال مشروع مشترك. في هذه الحالة ، قد يكون من الضروري للأشخاص غير المصرح لهم الوصول إلى ملفات المجال ، وهنا يمكنك إعداد نوع من "العلاقة" بين "مجموعة تفرعات" مختلفة ، وفتح الوصول إلى المعلومات المطلوبة دون المخاطرة بأمن الآخرين بيانات.

بشكل عام ، يعد Active Directory وسيلة لإنشاء قاعدة بيانات داخل بنية معينة ، بغض النظر عن حجمها. يتم دمج المستخدمين وجميع المعدات في "مجموعة تفرعات" واحدة ، ويتم إنشاء المجالات ووضعها على وحدات التحكم.

يُنصح أيضًا بالتوضيح - لا يمكن تشغيل الخدمات إلا على الأجهزة المزودة بخادم أنظمة النوافذ. بالإضافة إلى ذلك ، يتم إنشاء 3-4 خوادم DNS على وحدات التحكم. إنها تخدم المنطقة الرئيسية للمجال ، وفي حالة فشل أحدها ، يتم استبدالها بخوادم أخرى.

بعد، بعدما نظرة عامة Active Directory للدمى ، أنت مهتم بطبيعة الحال بالسؤال - لماذا تغير المجموعة المحلية إلى قاعدة البيانات بأكملها؟ بطبيعة الحال ، مجال الاحتمالات أوسع بكثير هنا ، ومن أجل معرفة الاختلافات الأخرى بين هذه الخدمات لإدارة النظام ، دعونا نلقي نظرة فاحصة على مزاياها.

فوائد Active Directory

مزايا Active Directory هي كما يلي:

1. استخدام مورد واحد للمصادقة. في هذا السيناريو ، تحتاج إلى إضافة جميع الحسابات التي تتطلب الوصول إلى المعلومات العامة على كل جهاز كمبيوتر. كلما زاد عدد المستخدمين والمعدات ، زادت صعوبة مزامنة هذه البيانات بينهم.

وهكذا ، عند استخدام الخدمات مع قاعدة بيانات ، يتم تخزين الحسابات في نقطة واحدة ، وتسري التغييرات على الفور على جميع أجهزة الكمبيوتر.

كيف تعمل؟ كل موظف قادم إلى المكتب يطلق النظام ويسجل الدخول إلى حسابه. سيتم إرسال طلب تسجيل الدخول تلقائيًا إلى الخادم ، وستحدث المصادقة من خلاله.

بالنسبة لترتيب معين في حفظ السجلات ، يمكنك دائمًا تقسيم المستخدمين إلى مجموعات - "الموارد البشرية" أو "المحاسبة".

من الأسهل في هذه الحالة توفير الوصول إلى المعلومات - إذا كنت بحاجة إلى فتح مجلد للموظفين من قسم واحد ، يمكنك القيام بذلك من خلال قاعدة البيانات. يمكنهم معًا الوصول إلى مجلد البيانات المطلوب ، بينما تظل المستندات مغلقة بالنسبة للباقي.

1. السيطرة على كل عضو في قاعدة البيانات.

إذا كان كل عضو في مجموعة محلية مستقلاً ، فمن الصعب التحكم فيه من جهاز كمبيوتر آخر ، ثم يمكن وضع قواعد معينة في المجالات التي تتوافق مع سياسة الشركة.

بصفتك مسؤول النظام ، يمكنك تعيين إعدادات الوصول والأمان ، ثم تطبيقها على كل مجموعة مستخدمين. بطبيعة الحال ، اعتمادًا على التسلسل الهرمي ، يمكن تعريف بعض المجموعات بإعدادات أكثر صرامة ، بينما يمكن منح مجموعات أخرى الوصول إلى الملفات والإجراءات الأخرى في النظام.

بالإضافة إلى ذلك ، عندما يدخل شخص جديد الشركة ، سيتلقى جهاز الكمبيوتر الخاص به على الفور مجموعة الإعدادات اللازمة ، حيث يتم تضمين مكونات العمل.

1. براعة في التثبيت البرمجيات.

بالمناسبة ، حول المكونات - باستخدام Active Directory ، يمكنك تعيين الطابعات وتثبيتها البرامج الضروريةعلى الفور لجميع الموظفين ، اضبط إعدادات الخصوصية. بشكل عام ، سيؤدي إنشاء قاعدة بيانات إلى تحسين العمل بشكل كبير ومراقبة الأمان وتوحيد المستخدمين لتحقيق أقصى قدر من الكفاءة.

وإذا كانت الشركة تدير أداة مساعدة منفصلة أو خدمات خاصة ، فيمكن مزامنتها مع المجالات وتسهيل الوصول إليها. كيف؟ إذا قمت بدمج جميع المنتجات المستخدمة في الشركة ، فلن يحتاج الموظف إلى إدخال كلمات مرور وكلمات مرور مختلفة للدخول إلى كل برنامج - ستكون هذه المعلومات شائعة.

الآن بعد أن أصبحت فوائد استخدام Active Directory ومعناه واضحة ، فلنلقِ نظرة على عملية تثبيت هذه الخدمات.

استخدام قاعدة بيانات على Windows Server 2012

تثبيت وتكوين Active Directory ليس بالأمر الصعب ، كما أنه أسهل مما يبدو للوهلة الأولى.

لتحميل الخدمات ، عليك أولاً القيام بما يلي:

1. تغيير اسم الكمبيوتر: انقر فوق "ابدأ" ، افتح لوحة التحكم ، عنصر "النظام". حدد "تغيير الإعدادات" وفي الخصائص المقابلة لخط "اسم الكمبيوتر" ، انقر فوق "تغيير" ، وأدخل قيمة جديدة للكمبيوتر المضيف.
2. إعادة التشغيل كما هو مطلوب من قبل جهاز الكمبيوتر.
3. اضبط إعدادات الشبكة على النحو التالي:
   • من خلال لوحة التحكم ، افتح القائمة مع الشبكات والمشاركة.
   • إعدادات المحول الصحيحة. انقر بزر الماوس الأيمن فوق "خصائص" وافتح علامة التبويب "الشبكة".
   • في النافذة من القائمة ، انقر فوق Internet Protocol في الرقم 4 ، وانقر فوق "خصائص" مرة أخرى.
   • أدخل الإعدادات المطلوبة ، على سبيل المثال: عنوان IP - 192.168.10.252 ، وقناع الشبكة الفرعية - 255.255.255.0 ، والبوابة الفرعية الرئيسية - 192.168.10.1.
   • في السطر "خادم DNS المفضل" ، حدد عنوان الخادم المحلي ، في "بديل ..." - عناوين أخرى لخوادم DNS.
   • احفظ التغييرات وأغلق النوافذ.

قم بتثبيت أدوار Active Directory مثل:

1. من خلال البداية ، افتح "Server Manager".
2. من القائمة ، حدد إضافة الأدوار والميزات.
3. سيبدأ المعالج ، ولكن يمكنك تخطي نافذة الوصف الأولى.
4. تحقق من السطر "تثبيت الأدوار والميزات" ، امض قدمًا.
5. حدد جهاز الكمبيوتر الخاص بك لوضع Active Directory عليه.
6. من القائمة ، تحقق من الدور الذي تريد تحميله - بالنسبة لحالتك ، هذا هو "خدمات مجال Active Directory".
7. ستظهر نافذة صغيرة تطلب منك تنزيل المكونات المطلوبة للخدمات - اقبلها.
8. بعد أن تتم مطالبتك بتثبيت مكونات أخرى - إذا لم تكن بحاجة إليها ، فتخط هذه الخطوة بالنقر فوق "التالي".
9. سيعرض معالج الإعداد نافذة تحتوي على أوصاف للخدمات التي تقوم بتثبيتها - تابع القراءة وامض قدمًا.
10. ستظهر قائمة بالمكونات التي سنقوم بتثبيتها - تحقق مما إذا كان كل شيء صحيحًا ، وإذا كان الأمر كذلك ، فانقر فوق الزر المناسب.
11. أغلق النافذة عند اكتمال العملية.
12. هذا كل شيء - يتم تحميل الخدمات على جهاز الكمبيوتر الخاص بك.

تكوين Active Directory

لإعداد خدمة المجال ، عليك القيام بما يلي:

• قم بتشغيل معالج الإعداد الذي يحمل نفس الاسم.
• انقر فوق المؤشر الأصفر أعلى النافذة وحدد "ترقية الخادم إلى وحدة تحكم المجال".
• انقر فوق إضافة "غابة" جديدة وأنشئ اسمًا لمجال الجذر ، ثم انقر فوق "التالي".
• حدد أوضاع تشغيل "الغابة" والمجال - غالبًا ما تتطابق.
• أنشئ كلمة مرور ، ولكن تأكد من تذكرها. استمر.
• بعد ذلك ، قد ترى تحذيرًا بأن المجال غير مفوض واقتراح للتحقق من اسم المجال - يمكنك تخطي هذه الخطوات.
• في النافذة التالية ، يمكنك تغيير المسار إلى أدلة قاعدة البيانات - افعل ذلك إذا كانت لا تناسبك.
• سترى الآن جميع الخيارات التي ستقوم بتعيينها - معرفة ما إذا كنت قد اخترتها بشكل صحيح والمضي قدمًا.
• سيتحقق التطبيق من تلبية المتطلبات الأساسية ، وإذا لم تكن هناك تعليقات ، أو لم تكن مهمة ، فانقر فوق "تثبيت".
• بعد اكتمال التثبيت ، سيعيد الكمبيوتر تشغيل نفسه.

قد تتساءل أيضًا عن كيفية إضافة مستخدم إلى قاعدة البيانات. للقيام بذلك ، استخدم قائمة "مستخدمي Active Directory أو أجهزة الكمبيوتر" ، والتي ستجدها في قسم "الإدارة" في لوحة التحكم ، أو استخدم قائمة إعدادات قاعدة البيانات.

لإضافة مستخدم جديد ، انقر بزر الماوس الأيمن على اسم المجال ، وحدد "إنشاء" ، بعد "القسم الفرعي". ستظهر أمامك نافذة حيث تحتاج إلى إدخال اسم القسم الجديد - يعمل كمجلد حيث يمكنك جمع المستخدمين من الأقسام المختلفة. بنفس الطريقة ، ستنشئ لاحقًا عدة أقسام أخرى وتضع جميع الموظفين بشكل صحيح.

بعد ذلك ، عندما تنتهي من إنشاء اسم القسم ، انقر بزر الماوس الأيمن فوقه وحدد "إنشاء" ، بعد - "المستخدم". الآن يبقى فقط إدخال البيانات الضرورية وتعيين إعدادات الوصول للمستخدم.

بمجرد إنشاء ملف التعريف الجديد ، انقر فوقه عن طريق التحديد قائمة السياق، وافتح خصائص. في علامة التبويب "الحساب" ، ألغِ تحديد المربع بجوار "حظر ...". هذا كل شئ.

الاستنتاج العام هو أن Active Directory هو أداة قوية ومفيدة لإدارة النظام من شأنها أن تساعد في توحيد جميع أجهزة الكمبيوتر للموظفين في فريق واحد. بمساعدة الخدمات ، يمكنك إنشاء قاعدة بيانات آمنة وتحسين العمل ومزامنة المعلومات بشكل ملحوظ بين جميع المستخدمين. إذا كانت شركتك وأي مكان عمل آخر متصلاً بأجهزة الكمبيوتر الإلكترونية والشبكة ، فأنت بحاجة إلى دمج الحسابات وتتبع العمل والخصوصية ، وسيكون تثبيت قاعدة بيانات تستند إلى Active Directory حلاً رائعًا.

Active Directory (AD) هو أداة مساعدة مصممة لنظام التشغيل Microsoft Server. تم إنشاؤه في الأصل كخوارزمية خفيفة الوزن للوصول إلى أدلة المستخدم. من إصدارات Windowsقدم Server 2008 التكامل مع خدمات التفويض.

يمنحك القدرة على الامتثال لسياسة المجموعة التي تطبق نفس نوع الإعدادات والبرامج على جميع أجهزة الكمبيوتر التي يتم التحكم فيها باستخدام System Center Configuration Manager.

إذا كان ذلك بكلمات بسيطة للمبتدئين ، فهذا دور خادم يسمح لك بإدارة جميع عمليات الوصول والأذونات على الشبكة المحلية من مكان واحد

الوظائف والأغراض

Microsoft Active Directory - (ما يسمى بالدليل) عبارة عن حزمة من الأدوات التي تسمح لك بمعالجة المستخدمين وبيانات الشبكة. الهدف الأساسيالإنشاء - تسهيل عمل مسؤولي النظام في الشبكات الواسعة.

تحتوي الدلائل على معلومات متنوعة تتعلق بالمستخدمين ، والمجموعات ، وأجهزة الشبكة ، وموارد الملفات - باختصار ، كائنات. على سبيل المثال ، يجب أن تكون سمات المستخدم المخزنة في الدليل كما يلي: العنوان ، تسجيل الدخول ، كلمة المرور ، الرقم هاتف محمولإلخ. الدليل يستخدم كملف نقاط المصادقة، والتي يمكنك من خلالها العثور على المعلومات الضرورية عن المستخدم.

المفاهيم الأساسية التي تمت مواجهتها في سياق العمل

هناك عدد من المفاهيم المتخصصة التي تنطبق عند العمل مع AD:

1. الخادم هو الكمبيوتر الذي يحتوي على جميع البيانات.
2. وحدة التحكم هي خادم له دور AD الذي يتعامل مع الطلبات من الأشخاص الذين يستخدمون المجال.
3. مجال AD هو مجموعة من الأجهزة الموحدة تحت اسم فريد واحد يستخدم في نفس الوقت قاعدة بيانات دليل مشترك.
4. مخزن البيانات هو جزء من الدليل مسؤول عن تخزين واسترجاع البيانات من أي وحدة تحكم مجال.

كيف تعمل الدلائل النشطة

المبادئ الرئيسية للعمل هي:

• تفويض، حيث يصبح من الممكن استخدام جهاز كمبيوتر على الشبكة ببساطة عن طريق إدخال كلمة مرور شخصية. ومع ذلك ، كل المعلومات من الحسابنقل.
• حماية. يحتوي Active Directory على ميزات التعرف على المستخدم. بالنسبة لأي كائن شبكة ، يمكنك عن بُعد ، من جهاز واحد ، تعيين الحقوق اللازمة ، والتي ستعتمد على الفئات والمستخدمين المحددين.
• ادارة الشبكةمن نقطة واحدة. أثناء العمل مع Active Directory ، لا يحتاج مسؤول النظام إلى إعادة تكوين جميع أجهزة الكمبيوتر إذا كنت بحاجة إلى تغيير حقوق الوصول ، على سبيل المثال ، إلى طابعة. يتم إجراء التغييرات عن بعد وعالمية.
• مكتمل تكامل DNS. بمساعدتها ، لا يوجد أي لبس في AD ، تم تصميم جميع الأجهزة بنفس الطريقة كما هو الحال في شبكة الويب العالمية.
• على نطاق واسع. يمكن التحكم في مجموعة من الخوادم بواسطة دليل نشط واحد.
• يبحثيتم وفقًا لمعايير مختلفة ، على سبيل المثال ، اسم الكمبيوتر وتسجيل الدخول.

الأشياء والسمات

الكائن - مجموعة من السمات ، موحدة تحت اسمها ، تمثل مورد الشبكة.

السمة - خصائص الكائن في الكتالوج. على سبيل المثال ، يتضمن ذلك الاسم الكامل للمستخدم ، وتسجيل الدخول الخاص به. لكن سمات حساب الكمبيوتر الشخصي يمكن أن تكون اسم هذا الكمبيوتر ووصفه.

"الموظف" هو كائن له سمات "الاسم" و "المنصب" و "علامة التبويب".

حاوية LDAP واسمها

الحاوية هي نوع من الكائنات التي يمكن تتكون من أشياء أخرى. قد يتضمن المجال ، على سبيل المثال ، كائنات حساب.

الغرض الرئيسي منها هو ترتيب الكائنحسب نوع العلامات. في أغلب الأحيان ، تُستخدم الحاويات لتجميع الكائنات بنفس السمات.

يتم تعيين جميع الحاويات تقريبًا إلى مجموعة من الكائنات ، وتعيين الموارد إلى كائن Active Directory فريد. أحد الأنواع الرئيسية لحاويات الإعلانات هي الوحدة التنظيمية أو OU (الوحدة التنظيمية). الكائنات الموضوعة في هذه الحاوية تنتمي فقط إلى المجال الذي تم إنشاؤها فيه.

بروتوكول الوصول الخفيف إلى الدليل (LDAP) هو الخوارزمية الأساسية لاتصالات TCP / IP. تم إنشاؤه لتقليل مقدار الفروق الدقيقة أثناء الوصول إلى خدمات الدليل. أيضًا ، يحدد LDAP الإجراءات المستخدمة للاستعلام عن بيانات الدليل وتحريرها.

الشجرة والموقع

شجرة المجال هي بنية ، مجموعة من المجالات التي تشترك في مخطط وتكوين مشتركين ، وتشكل مساحة اسم مشتركة وترتبط بعلاقات ثقة.

غابة المجالات هي مجموعة من الأشجار مرتبطة ببعضها البعض.

الموقع - مجموعة من الأجهزة في شبكات IP الفرعية ، تمثل النموذج المادي للشبكة ، والتي يتم التخطيط لها بغض النظر عن التمثيل المنطقي لبنائها. Active Directory لديه القدرة على إنشاء مواقع n أو دمج مجالات n ضمن موقع واحد.

تثبيت وتكوين Active Directory

الآن دعنا ننتقل مباشرة إلى إعداد Active Directory باستخدام Windows Server 2008 كمثال (في الإصدارات الأخرى ، الإجراء مماثل):

انقر فوق الزر "موافق". لاحظ أن هذه القيم غير مطلوبة. يمكنك استخدام عنوان IP و DNS من شبكتك.

• بعد ذلك ، عليك الذهاب إلى قائمة "ابدأ" ، واختيار "أدوات إدارية" و "".
  
• انتقل إلى عنصر "الأدوار" ، وحدد " أضف الأدوار”.
  
• حدد "خدمات مجال Active Directory" ، وانقر فوق "التالي" مرتين ، ثم "تثبيت".
  
• انتظر حتى ينتهي التثبيت.
  
• افتح قائمة ابدأ - " يجري". أدخل dcpromo.exe في الحقل.
  
• انقر فوق {التالي".
  
• حدد العنصر " إنشاء مجال جديد في مجموعة تفرعات جديدة"وانقر على" التالي "مرة أخرى.
  
• في النافذة التالية ، أدخل اسمًا ، وانقر على "التالي".
  
• يختار وضع التوافق(Windows Server 2008).
  
• في النافذة التالية ، اترك كل شيء افتراضيًا.
  
• ستبدأ نافذة التكوينDNS. نظرًا لأنه لم يتم استخدامه على الخادم من قبل ، لم يتم إنشاء التفويض.
  
• حدد دليلاً للتثبيت.
  
• بعد هذه الخطوة ، تحتاج إلى ضبط كلمة مرور الإدارة.

لتكون آمنًا ، يجب أن تفي كلمة المرور بالمتطلبات التالية:

بعد أن يكمل AD عملية تكوين المكون ، يجب إعادة تشغيل الخادم.

اكتمل التكوين ، وتم تثبيت الأداة الإضافية والدور في النظام. يمكنك تثبيت AD فقط على عائلات Windowsالخادم ، قد تسمح لك الإصدارات العادية مثل 7 أو 10 فقط بتثبيت وحدة الإدارة.

الإدارة في Active Directory

بشكل افتراضي ، في Windows Server ، تعمل وحدة تحكم Active Directory Users and Computers مع المجال الذي ينتمي إليه الكمبيوتر. يمكنك الوصول إلى كائنات الكمبيوتر والمستخدم في هذا المجال من خلال شجرة وحدة التحكم أو الاتصال بوحدة تحكم أخرى.

تسمح لك أدوات وحدة التحكم نفسها بالعرض خيارات اضافية الكائنات والبحث عنها ، يمكنك إنشاء مستخدمين ومجموعات جديدة والتغيير من الأذونات.

بالمناسبة ، هناك نوعان من المجموعاتفي Active Directory - الأمان والتوزيع. مجموعات الأمان مسؤولة عن تحديد حقوق الوصول إلى الكائنات ، ويمكن استخدامها كمجموعات توزيع.

لا يمكن لمجموعات التوزيع التمييز بين الحقوق ، ولكنها تُستخدم بشكل أساسي لتوزيع الرسائل على الشبكة.

ما هو تفويض AD

التفويض نفسه نقل جزء من الأذونات والتحكممن الكائن الأصل إلى الطرف المسؤول الآخر.

من المعروف أن كل منظمة لديها العديد من مسؤولي النظام في مقرها الرئيسي. يجب تعيين مهام مختلفة لأكتاف مختلفة. لتطبيق التغييرات ، يجب أن يكون لديك حقوق وأذونات مقسمة إلى قياسية وخاصة. خاص - يطبق على كائن معين ، بينما قياسي - مجموعة من الأذونات الحالية التي تجعل بعض الوظائف متاحة أو غير متاحة.

إقامة علاقات ثقة

هناك نوعان من علاقات الثقة في AD: "أحادي الاتجاه" و "ثنائي الاتجاه". في الحالة الأولى ، يثق أحد المجالات بآخر ، ولكن ليس العكس ، على التوالي ، يتمتع الأول بإمكانية الوصول إلى موارد الحالة الثانية ، ولا يمتلك المجال الثاني إمكانية الوصول. في الشكل الثاني ، الثقة "متبادلة". هناك أيضًا علاقات "صادرة" و "واردة". في الخارج ، يثق المجال الأول في الثاني ، مما يسمح لمستخدمي الثاني باستخدام موارد الأول.

أثناء التثبيت ، يجب تنفيذ الإجراءات التالية:

• يؤكداتصالات الشبكة بين وحدات التحكم.
• تحقق من الإعدادات.
• نغمتحليل الاسم للمجالات الخارجية.
• إنشاء اتصالمن مجال الثقة.
• قم بإنشاء اتصال من جانب وحدة التحكم التي يتم توجيه الثقة إليها.
• تحقق من العلاقات أحادية الاتجاه التي تم إنشاؤها.
• اذا كان هناك حاجةفي إقامة العلاقات الثنائية - لجعل التثبيت.

الدليل العالمي

هذه هي وحدة التحكم بالمجال التي تحتفظ بنسخ من كافة الكائنات في الغابة. يمنح المستخدمين والبرامج القدرة على البحث عن كائنات في أي مجال في الغابة الحالية باستخدام مكتشفو السمةالمدرجة في الكتالوج العالمي.

يتضمن الكتالوج العالمي (GC) مجموعة محدودة من السمات لكل كائن مجموعة في كل مجال. يتلقى البيانات من جميع أقسام دليل المجال في الغابة ويقوم بتكرارها باستخدام عملية النسخ المتماثل القياسية لـ Active Directory.

يحدد المخطط ما إذا كان سيتم نسخ السمة. ثمة احتمال وارد تكوين ميزات إضافية، والتي سيتم إعادة إنشائها في الكتالوج العام باستخدام "مخطط الدليل النشط". لإضافة سمة إلى الكتالوج العام ، تحتاج إلى تحديد سمة النسخ المتماثل واستخدام خيار "نسخ". سيؤدي هذا إلى إنشاء نسخة متماثلة من السمة إلى الكتالوج العمومي. قيمة معلمة السمة isMemberOfPartialAttributeSetسيصبح حقيقة.

إلى اكتشف الموقعكتالوج عالمي ، تحتاج إلى سطر الأوامرأدخل:

خادم Dsquery –ISGC

تكرار البيانات في Active Directory

النسخ المتماثل هو إجراء نسخ يتم تنفيذه عندما يكون من الضروري تخزين معلومات محدثة على قدم المساواة موجودة على أي وحدة تحكم.

يتم إنتاجه دون تدخل المشغل. هناك الأنواع التالية من محتوى النسخة المتماثلة:

• يتم إنشاء النسخ المتماثلة للبيانات من كافة المجالات الموجودة.
• النسخ المتماثلة لمخطط البيانات. نظرًا لأن مخطط البيانات هو نفسه لجميع الكائنات في مجموعة تفرعات Active Directory ، يتم الاحتفاظ بنسخها المتماثلة عبر كافة المجالات.
• بيانات التكوين. يظهر نسخ المبنى بين وحدات التحكم. تنطبق المعلومات على كافة المجالات في مجموعة التفرعات.

الأنواع الرئيسية للنسخ المتماثلة هي داخل العقدة والعقدة الداخلية.

في الحالة الأولى ، بعد التغييرات ، ينتظر النظام ، ثم يقوم بإعلام الشريك لإنشاء نسخة متماثلة لإكمال التغييرات. حتى في حالة عدم وجود تغييرات ، تحدث عملية النسخ تلقائيًا بعد فترة زمنية معينة. بعد تطبيق كسر التغييرات على الدلائل ، يحدث النسخ المتماثل على الفور.

إجراء النسخ المتماثل بين العقد يحدث بينهماالحد الأدنى من الحمل على الشبكة ، وهذا يتجنب فقدان المعلومات.

لا يمكن لمسؤولي شبكة Windows الهروب من الإلمام بـ. سيتم تخصيص مقالة النظرة العامة هذه لما هو Active Directory وما يتم تناوله به.

لذا ، فإن Active Directory هو تطبيق Microsoft لخدمة الدليل. تعني خدمة الدليل في هذه الحالة حزمة برامج تساعد مدير النظامالعمل مع موارد الشبكة مثل المجلدات المشتركة والخوادم ومحطات العمل والطابعات والمستخدمين والمجموعات.

يحتوي Active Directory على بنية هرمية مكونة من كائنات. يتم تقسيم جميع الكائنات إلى ثلاث فئات رئيسية.

• حسابات المستخدم والكمبيوتر ؛
• الموارد (على سبيل المثال ، الطابعات) ؛
• الخدمات (على سبيل المثال. البريد الإلكتروني).

كل كائن له اسم فريد وله عدد من الخصائص. يمكن تجميع الكائنات.

خصائص المستخدم

الدليل النشط له بنية الغابة. تحتوي الغابة على العديد من الأشجار التي تحتوي على مجالات. المجالات ، بدورها ، تحتوي على الأشياء المذكورة أعلاه.

هيكل الدليل النشط

عادةً ما يتم تجميع الكائنات الموجودة في المجال في وحدات تنظيمية. تعمل التقسيمات الفرعية على بناء تسلسل هرمي داخل المجال (المنظمات ، والتقسيمات الإقليمية ، والإدارات ، وما إلى ذلك). هذا مهم بشكل خاص للمنظمات المنتشرة جغرافيا. عند بناء هيكل ، يوصى بإنشاء أقل عدد ممكن من المجالات ، وإنشاء أقسام منفصلة ، إذا لزم الأمر. فمن المنطقي عليهم تطبيق سياسات المجموعة.

خصائص محطة العمل

طريقة أخرى لهيكلة Active Directory هي المواقع. المواقع هي طريقة للتجميع المادي بدلاً من التجميع المنطقي بناءً على أجزاء الشبكة.

كما ذكرنا سابقًا ، كل كائن في Active Directory له اسم فريد. على سبيل المثال ، طابعة طابعة HPLaserJet4350dtnالتي تقع في القسم محامونوفي المجال التمهيديسيكون له اسم CN = HPLaserJet4350dtn ، OU = المحامون ، DC = التمهيدي ، DC = ru. CNهو اسم شائع ou- التقسيم العاصمة- فئة كائن المجال. يمكن أن يحتوي اسم الكائن على أجزاء أكثر بكثير مما في هذا المثال.

شكل آخر لاسم الكائن يبدو كالتالي: primer.ru/Lawyers/HPLaserJet4350dtn. يحتوي كل كائن أيضًا على معرّف فريد عالميًا ( GUID) عبارة عن سلسلة 128 بت فريدة وثابتة يستخدمها Active Directory للبحث والنسخ المتماثل. تحتوي بعض الكائنات أيضًا على اسم مستخدم أساسي ( UPN) بالتنسيق الكائن @ المجال.

هنا معلومات عامةحول ما هو Active Directory ولماذا هناك حاجة إليه في الشبكات المحليةعلى ال قاعدة ويندوز. أخيرًا ، من المنطقي أن نقول إن المسؤول لديه القدرة على العمل مع Active Directory عن بُعد من خلاله أدوات إدارة الخادم البعيد لنظام التشغيل Windows 7 (KB958830)(تحميل) و أدوات إدارة الخادم البعيد لنظام التشغيل Windows 8.1 (KB2693643) (تحميل).