الدليل النشط: الغابات والمجالات. الدليل النشط بكلمات بسيطة (قاعدة) ما هي غابة الدليل النشط

في موادنا السابقة، ناقشنا المشكلات العامة المتعلقة بخدمات الدليل وActive Directory. الآن حان الوقت للانتقال إلى الممارسة. لكن لا تتسرع في الذهاب إلى الخادم؛ فقبل نشر بنية المجال في شبكتك، تحتاج إلى تخطيطها والحصول على فهم واضح للغرض من الخوادم الفردية وعمليات التفاعل بينها.

قبل إنشاء وحدة تحكم المجال الأولى الخاصة بك، عليك أن تقرر وضع التشغيل الخاص بها. يحدد وضع التشغيل الإمكانيات المتاحة ويعتمد على إصدار نظام التشغيل المستخدم. لن ننظر في جميع الأوضاع الممكنة، باستثناء تلك ذات الصلة في الوقت الراهن. هناك ثلاثة أوضاع من هذا القبيل: Windows Server 2003 و2008 و2008 R2.

يجب تحديد وضع Windows Server 2003 فقط عندما تكون الخوادم التي تعمل بنظام التشغيل هذا منتشرة بالفعل في البنية الأساسية لديك وتخطط لاستخدام واحد أو أكثر من هذه الخوادم كوحدات تحكم بالمجال. وفي حالات أخرى، تحتاج إلى تحديد وضع Windows Server 2008 أو 2008 R2، اعتمادًا على التراخيص التي تم شراؤها. يجب أن نتذكر أنه يمكن دائمًا زيادة وضع تشغيل النطاق، لكن لن يكون من الممكن خفضه (إلا عن طريق الاستعادة من نسخة احتياطية)، لذا تعامل مع هذه المشكلة بعناية، مع الأخذ في الاعتبار الامتدادات المحتملة، والتراخيص في الفروع، إلخ. وما إلى ذلك وهلم جرا.

الآن لن ننظر بالتفصيل في عملية إنشاء وحدة تحكم المجال؛ سنعود إلى هذه المشكلة لاحقًا، ولكن الآن نود أن نلفت انتباهك إلى حقيقة أنه في بنية Active Directory الكاملة لوحدات تحكم المجال يجب أن يكون هناك اثنان على الأقل. وإلا فإنك تعرض نفسك لمخاطر غير ضرورية لأنه إذا فشلت وحدة التحكم بالمجال الوحيدة لديك، فسيتم تدمير بنية AD الخاصة بك مدمر بالكامل. إنه جيد إذا كان ذا صلة نسخة إحتياطيةوستكون قادرًا على التعافي منه، على أي حال، كل هذا الوقت ستكون شبكتك مشلولة تمامًا.

لذلك، مباشرة بعد إنشاء وحدة تحكم المجال الأولى، تحتاج إلى نشر وحدة تحكم ثانية، بغض النظر عن حجم الشبكة والميزانية. يجب توفير وحدة التحكم الثانية في مرحلة التخطيط، وبدونها، لا ينبغي حتى إجراء نشر AD. كما يجب عدم الجمع بين دور وحدة تحكم المجال وأي أدوار خادم أخرى؛ ومن أجل ضمان موثوقية العمليات مع قاعدة بيانات AD الموجودة على القرص، يتم تعطيل التخزين المؤقت للكتابة، مما يؤدي إلى انخفاض حاد في أداء النظام الفرعي للقرص (وهذا ما يفسر أيضًا وقت التحميل الطويل لوحدات التحكم بالمجال).

ونتيجة لذلك، يجب أن تأخذ شبكتنا الشكل التالي:

خلافًا للاعتقاد السائد، فإن جميع وحدات التحكم في المجال متساوية، أي. تحتوي كل وحدة تحكم على معلومات كاملة حول جميع كائنات المجال ويمكنها تلبية طلب العميل. لكن هذا لا يعني أن وحدات التحكم قابلة للتبديل؛ فالفشل في فهم هذه النقطة غالبًا ما يؤدي إلى فشل AD وتوقف شبكة المؤسسة. لماذا يحدث هذا؟ حان الوقت لتذكر أدوار FSMO.

عندما نقوم بإنشاء وحدة التحكم الأولى، فإنها تحتوي على جميع الأدوار المتاحة، وهي أيضًا دليل عام، ومع ظهور وحدة التحكم الثانية، يتم نقل أدوار البنية التحتية الرئيسية وRID الرئيسية ومحاكي PDC إليها. ماذا يحدث إذا قرر المسؤول تعطيل خادم DC1 مؤقتًا، على سبيل المثال، لتنظيفه من الغبار؟ للوهلة الأولى، لا حرج في ذلك، حسنًا، سيتحول المجال إلى وضع القراءة فقط، لكنه سيعمل. لكننا نسينا الكتالوج العام، وإذا كانت شبكتك تحتوي على تطبيقات تتطلب ذلك، على سبيل المثال Exchange، منتشرة، فستعرف عنها قبل إزالة الغطاء من الخادم. سوف تتعلم من المستخدمين غير الراضين، ومن غير المرجح أن تكون الإدارة سعيدة.

ومن هنا يأتي الاستنتاج: يجب أن يكون هناك دليلان عموميان على الأقل في الغابة، ويفضل أن يكون واحدًا في كل مجال. نظرًا لأن لدينا مجالًا واحدًا في الغابة، يجب أن يكون كلا الخادمين عبارة عن كتالوجات عامة؛ سيسمح لك هذا بوضع أي من الخوادم قيد الصيانة دون أي مشاكل؛ الغياب المؤقت لأي أدوار FSMO لا يؤدي إلى فشل AD، ولكنه يؤدي فقط إلى فشله من المستحيل إنشاء كائنات جديدة.

باعتبارك مسؤول مجال، يجب عليك أن تفهم بوضوح كيفية توزيع أدوار FSMO بين الخوادم الخاصة بك وعند إيقاف تشغيل الخادم طويل الأمدنقل هذه الأدوار إلى خوادم أخرى. ماذا يحدث إذا فشل الخادم الذي يحتوي على أدوار FSMO بشكل لا رجعة فيه؟ لا بأس، كما كتبنا بالفعل، تحتوي أي وحدة تحكم بالمجال على جميع المعلومات الضرورية، وإذا حدثت مثل هذه المشكلة، فستحتاج إلى الاستيلاء على الأدوار الضرورية بواسطة إحدى وحدات التحكم، وهذا سيسمح لك باستعادة التشغيل الكامل لـ خدمة الدليل.

يمر الوقت، وتنمو مؤسستك ويصبح لها فرع على الجانب الآخر من المدينة، وتظهر الحاجة إلى تضمين شبكتها في البنية التحتية العامة للمؤسسة. للوهلة الأولى، لا يوجد شيء معقد، حيث يمكنك إنشاء قناة اتصال بين المكاتب ووضع وحدة تحكم إضافية فيها. كل شيء سيكون على ما يرام، ولكن هناك شيء واحد. لا يمكنك التحكم في هذا الخادم، وبالتالي لا يتم استبعاده دخول غير مرخصله، والمسؤول المحلي يثير الشكوك حول مؤهلاته. ماذا تفعل في مثل هذه الحالة؟ لهذه الأغراض، هناك نوع خاص من وحدة التحكم: وحدة تحكم المجال للقراءة فقط (RODC), هذه الوظيفةمتوفر في أوضاع تشغيل المجال بدءًا من Windows Server 2008 والإصدارات الأحدث.

تحتوي وحدة تحكم المجال للقراءة فقط نسخة كاملةجميع كائنات المجال ويمكن أن تكون كتالوجًا عالميًا، ولكنها لا تسمح لك بإجراء أي تغييرات على بنية AD؛ كما تسمح لك بتعيين أي مستخدم كمسؤول محلي، مما سيسمح له بخدمة هذا الخادم بشكل كامل، ولكن مرة أخرى بدون الوصول إلى خدمات الإعلان. وفي حالتنا هذا ما أمر به الطبيب.

قمنا بإعداده في فرع RODC، كل شيء يعمل، أنت هادئ، لكن المستخدمين يبدأون في الشكوى من عمليات تسجيل الدخول الطويلة وتظهر فواتير المرور في نهاية الشهر فائضًا. ماذا يحدث؟ حان الوقت لنتذكر مرة أخرى تكافؤ وحدات التحكم في المجال، حيث يمكن للعميل إرسال طلبه إلى أي وحدة تحكم مجال، حتى تلك الموجودة في فرع آخر. ضع في الاعتبار قناة الاتصال البطيئة والمزدحمة على الأرجح - وهذا هو سبب تأخير تسجيل الدخول.

العامل التالي الذي يسمم حياتنا في هذه الحالة هو التكرار. كما تعلم، يتم نشر جميع التغييرات التي يتم إجراؤها على إحدى وحدات التحكم بالمجال تلقائيًا إلى الآخرين وتسمى هذه العملية النسخ المتماثل؛ فهي تتيح لك الحصول على نسخة محدثة ومتسقة من البيانات الموجودة على كل وحدة تحكم. خدمة النسخ لا تعلم بفرعنا وقناة الاتصال البطيئة، وبالتالي سيتم نسخ جميع التغييرات في المكتب على الفور إلى الفرع، وتحميل القناة وزيادة استهلاك حركة المرور.

وهنا نقترب من مفهوم مواقع الإعلانات، والتي لا ينبغي الخلط بينها وبين مواقع الإنترنت. مواقع الدليل النشطتمثل طريقة لتقسيم بنية خدمة الدليل فعليًا إلى مناطق مفصولة عن المناطق الأخرى بواسطة روابط اتصال بطيئة و/أو غير مستقرة. يتم إنشاء المواقع على أساس الشبكات الفرعية ويتم إرسال كافة طلبات العملاء في المقام الأول إلى المتحكمين في مواقعهم، كما أنه من المرغوب فيه للغاية أن يكون لديك دليل عالمي خاص بها في كل موقع. في حالتنا، سنحتاج إلى إنشاء موقعين: موقع الإعلان 1للمكتب المركزي و موقع الإعلان 2لفرع، أو بالأحرى واحد، حيث أن بنية AD تحتوي بالفعل على موقع يتضمن جميع الكائنات التي تم إنشاؤها مسبقًا. الآن دعونا نلقي نظرة على كيفية حدوث النسخ المتماثل في شبكة ذات مواقع متعددة.

لنفترض أن مؤسستنا قد نمت قليلاً وأن المكتب الرئيسي يحتوي على ما يصل إلى أربع وحدات تحكم بالمجال؛ ويُسمى النسخ المتماثل بين وحدات التحكم لموقع واحد com.intrasiteويحدث على الفور. تم إنشاء طوبولوجيا النسخ المتماثل وفقًا لنظام حلقة بشرط عدم وجود أكثر من ثلاث خطوات للنسخ المتماثل بين أية وحدات تحكم بالمجال. يتم الحفاظ على نظام الحلقة لما يصل إلى 7 وحدات تحكم شاملة، حيث تقوم كل وحدة تحكم بإنشاء اتصال مع أقرب جارتين لها، متى أكثرتظهر وصلات إضافية وتتحول الحلقة المشتركة إلى مجموعة حلقات متراكبة فوق بعضها البعض.

بين المواقعيحدث النسخ المتماثل بشكل مختلف؛ في كل مجال، يتم تحديد أحد الخوادم (خادم الجسر) تلقائيًا، مما ينشئ اتصالاً مع خادم مماثل على موقع آخر. افتراضيًا، يحدث النسخ مرة واحدة كل 3 ساعات (180 دقيقة)، ومع ذلك، يمكننا تعيين جدول النسخ المتماثل الخاص بنا ولحفظ حركة المرور، يتم نقل جميع البيانات في شكل مضغوط. إذا كان هناك RODC فقط في الموقع، يحدث النسخ المتماثل أحادي الاتجاه.

بالطبع، المواضيع التي تطرقنا إليها عميقة جدًا وفي هذه المادة لم نتطرق إليها إلا بشكل طفيف، ومع ذلك، هذا هو الحد الأدنى من المعرفة الضرورية التي تحتاجها قبل التنفيذ العملي لـ Active Directory في البنية التحتية للمؤسسة. سيسمح لك ذلك بتجنب الأخطاء الغبية أثناء النشر وحالات الطوارئ أثناء صيانة وتوسيع الهيكل، وستتم مناقشة كل موضوع من الموضوعات المثارة بمزيد من التفصيل.

Active Directory (AD) عبارة عن أدوات مساعدة مصممة لنظام التشغيل خادم مايكروسوفت. تم إنشاؤه في الأصل كخوارزمية خفيفة الوزن للوصول إلى أدلة المستخدم. مع إصدارات ويندوزقدم Server 2008 التكامل مع خدمات الترخيص.

يجعل من الممكن الالتزام بسياسة المجموعة التي تطبق نفس النوع من الإعدادات والبرامج على جميع أجهزة الكمبيوتر التي يتم التحكم فيها باستخدام System Center Configuration Manager.

لو بكلمات بسيطةبالنسبة للمبتدئين، هذا هو دور الخادم الذي يسمح لك بإدارة جميع عمليات الوصول والأذونات على شبكتك المحلية من مكان واحد

الوظائف والأغراض

Microsoft Active Directory – (ما يسمى بالدليل) عبارة عن حزمة من الأدوات التي تسمح لك بمعالجة المستخدمين وبيانات الشبكة. الهدف الأساسيالإنشاء – تسهيل عمل مسؤولي النظام في الشبكات الكبيرة.

تحتوي الدلائل على معلومات متنوعة تتعلق بالمستخدمين والمجموعات وأجهزة الشبكة وموارد الملفات - بكلمة واحدة، الكائنات. على سبيل المثال، يجب أن تكون سمات المستخدم المخزنة في الدليل كما يلي: العنوان، تسجيل الدخول، كلمة المرور، الرقم تليفون محمولإلخ. يتم استخدام الدليل ك نقاط المصادقة، والتي يمكنك معرفة ذلك معلومات ضروريةعن المستخدم.

المفاهيم الأساسية التي تمت مواجهتها أثناء العمل

هناك عدد من المفاهيم المتخصصة التي يتم استخدامها عند العمل مع AD:

1. الخادم هو جهاز كمبيوتر يحتوي على جميع البيانات.
2. وحدة التحكم عبارة عن خادم له دور AD الذي يعالج الطلبات المقدمة من الأشخاص الذين يستخدمون المجال.
3. مجال AD عبارة عن مجموعة من الأجهزة المتحدة تحت اسم فريد واحد، وذلك باستخدام قاعدة بيانات دليل مشتركة في نفس الوقت.
4. مخزن البيانات هو جزء الدليل المسؤول عن تخزين البيانات واسترجاعها من أي وحدة تحكم بالمجال.

كيف تعمل الدلائل النشطة

مبادئ التشغيل الرئيسية هي:

• تفويض، والتي يمكنك من خلالها استخدام جهاز الكمبيوتر الخاص بك على الشبكة بمجرد إدخال كلمة المرور الشخصية الخاصة بك. وفي الوقت نفسه، جميع المعلومات من حسابنقل.
• حماية. يحتوي Active Directory على وظائف التعرف على المستخدم. بالنسبة لأي كائن شبكة، يمكنك عن بعد، من جهاز واحد، تعيين الحقوق اللازمة، والتي ستعتمد على الفئات والمستخدمين المحددين.
• ادارة الشبكةمن نقطة واحدة. عند العمل مع Active Directory، لا يحتاج مسؤول النظام إلى إعادة تكوين جميع أجهزة الكمبيوتر إذا كان من الضروري تغيير حقوق الوصول، على سبيل المثال، إلى الطابعة. يتم تنفيذ التغييرات عن بعد وعلى مستوى العالم.
• ممتلىء تكامل DNS. بمساعدتها، لا يوجد أي ارتباك في AD، يتم تعيين جميع الأجهزة تمامًا كما هو الحال على شبكة الويب العالمية.
• نطاق واسع. يمكن التحكم في مجموعة من الخوادم بواسطة Active Directory واحد.
• يبحثيتم إنتاجها وفقًا لمعايير مختلفة، على سبيل المثال، اسم الحاسوب، تسجيل الدخول

الكائنات والصفات

الكائن عبارة عن مجموعة من السمات، الموحدة تحت اسمها، والتي تمثل مورد الشبكة.

السمة - خصائص الكائن في الكتالوج. على سبيل المثال، تتضمن هذه البيانات اسم المستخدم الكامل وتسجيل الدخول. لكن سمات حساب الكمبيوتر الشخصي يمكن أن تكون اسم هذا الكمبيوتر ووصفه.

"الموظف" هو كائن يحتوي على السمات "الاسم" و"المنصب" و"TabN".

حاوية LDAP واسمها

الحاوية هي نوع من الكائنات التي يمكنها ذلك تتكون من كائنات أخرى. المجال، على سبيل المثال، قد يتضمن كائنات الحساب.

هدفهم الرئيسي هو تنظيم الكائناتحسب أنواع العلامات. في أغلب الأحيان، يتم استخدام الحاويات لتجميع الكائنات التي لها نفس السمات.

تقوم كافة الحاويات تقريبًا بتعيين مجموعة من الكائنات، ويتم تعيين الموارد إلى كائن Active Directory فريد. أحد الأنواع الرئيسية لحاويات AD هي الوحدة التنظيمية، أو OU (الوحدة التنظيمية). الكائنات التي يتم وضعها في هذه الحاوية تنتمي فقط إلى المجال الذي تم إنشاؤها فيه.

يعد بروتوكول الوصول إلى الدليل الخفيف (LDAP) هو الخوارزمية الأساسية لاتصالات TCP/IP. إنه مصمم لتقليل مقدار الفروق الدقيقة عند الوصول إلى خدمات الدليل. يحدد LDAP أيضًا الإجراءات المستخدمة للاستعلام عن بيانات الدليل وتحريرها.

الشجرة والموقع

شجرة المجال عبارة عن هيكل، عبارة عن مجموعة من المجالات التي لها مخطط عاموالتكوين، والتي تشكل مساحة اسم مشتركة وترتبط بعلاقات الثقة.

غابة المجال عبارة عن مجموعة من الأشجار المتصلة ببعضها البعض.

الموقع عبارة عن مجموعة من الأجهزة في شبكات IP الفرعية، والتي تمثل نموذجًا ماديًا للشبكة، ويتم تخطيطها بغض النظر عن التمثيل المنطقي لبنائها. يتمتع Active Directory بالقدرة على إنشاء عدد n من المواقع أو دمج عدد n من المجالات في موقع واحد.

تثبيت وتكوين Active Directory

الآن دعنا ننتقل مباشرة إلى إعداد Active Directory مثال ويندوز Server 2008 (الإجراء مطابق للإصدارات الأخرى):

انقر على زر "موافق". ومن الجدير بالذكر أن مثل هذه القيم ليست مطلوبة. يمكنك استخدام عنوان IP وDNS من شبكتك.

• بعد ذلك، عليك الذهاب إلى قائمة "ابدأ"، وتحديد "الإدارة" و"".
  
• انتقل إلى عنصر "الأدوار"، وحدد " أضف الأدوار”.
  
• حدد "خدمات مجال Active Directory"، وانقر فوق "التالي" مرتين، ثم "تثبيت".
  
• انتظر التثبيت لإكمال.
  
• افتح قائمة "ابدأ"-" ينفذ" أدخل dcpromo.exe في الحقل.
  
• انقر فوق {التالي".
  
• يختار " يخلق المجال الجديدفي الغابة الجديدة" وانقر على "التالي" مرة أخرى.
  
• في النافذة التالية، أدخل اسمًا وانقر على "التالي".
  
• يختار وضع التوافق(ويندوز سيرفر 2008).
  
• في النافذة التالية، اترك كل شيء كإعداد افتراضي.
  
• ستبدأ نافذة التكوينDNS. وبما أنه لم يتم استخدامه على الخادم من قبل، لم يتم إنشاء أي تفويض.
  
• حدد دليل التثبيت.
  
• بعد هذه الخطوة تحتاج إلى تعيين كلمة مرور الإدارة.

لكي تكون كلمة المرور آمنة، يجب أن تستوفي المتطلبات التالية:

بعد اكتمال AD عملية تكوين المكون، يجب عليك إعادة تشغيل الخادم.

اكتمل الإعداد، وتم تثبيت الأداة الإضافية والدور على النظام. لا يمكن تثبيت AD إلا على عائلة ويندوزالخادم الإصدارات العادية، مثل 7 أو 10، قد يسمح فقط بتثبيت وحدة التحكم الإدارية.

الإدارة في Active Directory

افتراضيًا، في Windows Server، تعمل وحدة تحكم Active Directory Users and Computers مع المجال الذي ينتمي إليه الكمبيوتر. يمكنك الوصول إلى كائنات الكمبيوتر والمستخدم في هذا المجال من خلال شجرة وحدة التحكم أو الاتصال بوحدة تحكم أخرى.

الأدوات الموجودة في نفس وحدة التحكم تسمح لك بالعرض خيارات إضافية الكائنات والبحث عنها، يمكنك إنشاء مستخدمين ومجموعات جديدة وتغيير الأذونات.

بالمناسبة، هناك 2 أنواع من المجموعاتفي دليل الأصول - الأمن والتوزيع. تكون مجموعات الأمان مسؤولة عن تحديد حقوق الوصول إلى الكائنات، ويمكن استخدامها كمجموعات توزيع.

لا يمكن لمجموعات التوزيع التمييز بين الحقوق ويتم استخدامها بشكل أساسي لتوزيع الرسائل على الشبكة.

ما هو وفد م

الوفد نفسه نقل جزء من الأذونات والسيطرةمن الوالد إلى طرف مسؤول آخر.

من المعروف أن كل منظمة لديها العديد من مسؤولي النظام في مقرها الرئيسي. ينبغي تعيين مهام مختلفة لأكتاف مختلفة. من أجل تطبيق التغييرات، يجب أن يكون لديك الحقوق والأذونات، والتي تنقسم إلى قياسية وخاصة. خاص - ينطبق على كائن محدد، والمعيار عبارة عن مجموعة من الأذونات الموجودة التي تجعل الميزات الفردية متاحة أو غير متاحة.

بناء الثقة

هناك نوعان من علاقات الثقة في AD: "أحادية الاتجاه" و"ثنائية الاتجاه". في الحالة الأولى، يثق أحد المجالين بالآخر، ولكن ليس العكس؛ وبناءً على ذلك، يتمتع الأول بإمكانية الوصول إلى موارد الثاني، لكن الثاني ليس لديه حق الوصول. أما في النوع الثاني، فالثقة "متبادلة". هناك أيضًا علاقات "صادرة" و"واردة". في النطاق الصادر، يثق النطاق الأول في النطاق الثاني، مما يسمح لمستخدمي النطاق الثاني باستخدام موارد الأول.

أثناء التثبيت يجب اتباع الإجراءات التالية:

• يفحصاتصالات الشبكة بين وحدات التحكم.
• تحقق من الإعدادات.
• نغمتحليل الاسم للمجالات الخارجية.
• إنشاء اتصالمن مجال الثقة.
• قم بإنشاء اتصال من جانب وحدة التحكم التي يتم توجيه الثقة إليها.
• التحقق من العلاقات أحادية الاتجاه التي تم إنشاؤها.
• لو تنشأ الحاجةفي إقامة علاقات ثنائية - قم بالتثبيت.

الكتالوج العالمي

هذه هي وحدة تحكم المجال التي تقوم بتخزين نسخ من كافة الكائنات الموجودة في الغابة. يمنح المستخدمين والبرامج القدرة على البحث عن الكائنات في أي مجال من مجالات الغابة الحالية باستخدام أدوات اكتشاف السماتالمدرجة في الكتالوج العالمي.

يتضمن الكتالوج العمومي (GC) مجموعة محدودة من السمات لكل كائن مجموعة تفرعات في كل مجال. يتلقى البيانات من كافة أقسام دليل المجال في الغابة، ويتم نسخها باستخدام عملية النسخ المتماثل القياسية لـ Active Directory.

يحدد المخطط ما إذا كان سيتم نسخ السمة. ثمة احتمال وارد إعدادات خصائص إضافية ، والتي سيتم إعادة إنشائها في الكتالوج العالمي باستخدام "مخطط Active Directory". لإضافة سمة إلى الكتالوج العام، تحتاج إلى تحديد سمة النسخ المتماثل واستخدام خيار "نسخ". سيؤدي هذا إلى إنشاء النسخ المتماثل للسمة إلى الكتالوج العمومي. قيمة معلمة السمة isMemberOfPartialAttributeSetسوف يصبح صحيحا.

بغرض معرفة الموقعالكتالوج العالمي، تحتاج إلى إدخال في سطر الأوامر:

خادم Dsquery –isgc

النسخ المتماثل للبيانات في Active Directory

النسخ المتماثل هو إجراء نسخ يتم تنفيذه عندما يكون من الضروري تخزين المعلومات الحالية المتساوية الموجودة على أي وحدة تحكم.

يتم إنتاجه دون مشاركة المشغل. هناك الأنواع التالية من المحتوى المتماثل:

• يتم إنشاء النسخ المتماثلة للبيانات من كافة المجالات الموجودة.
• النسخ المتماثلة لمخططات البيانات. نظرًا لأن مخطط البيانات هو نفسه بالنسبة لجميع الكائنات الموجودة في مجموعة تفرعات Active Directory، فسيتم الاحتفاظ بالنسخ المتماثلة منه عبر كافة المجالات.
• بيانات التكوين. يظهر بناء النسخ بين وحدات التحكم. يتم توزيع المعلومات على كافة المجالات في الغابة.

الأنواع الرئيسية من النسخ المتماثلة هي العقدة الداخلية والعقدة الداخلية.

في الحالة الأولى، بعد التغييرات، ينتظر النظام، ثم يقوم بإعلام الشريك لإنشاء نسخة طبق الأصل لاستكمال التغييرات. وحتى في حالة عدم وجود تغييرات، تتم عملية النسخ تلقائيًا بعد فترة زمنية معينة. بعد تطبيق التغييرات الفاصلة على الدلائل، يحدث النسخ المتماثل على الفور.

إجراء النسخ المتماثل بين العقد يحدث بينهماالحد الأدنى من التحميل على الشبكة، وهذا يتجنب فقدان المعلومات.

بمجرد قيامك بتثبيت Active Directory في بيئة الشبكة الخاصة بك والبدء في تنفيذ تصميم الخدمة الذي يناسب أهداف عملك، ستعمل مع البنية المنطقية لـ Active Directory. إنه نموذج خدمة دليل يحدد كل مشارك أمني في المؤسسة، بالإضافة إلى تنظيم هؤلاء المشاركين. تحتوي قاعدة بيانات Active Directory على الكائنات الهيكلية التالية:

• أقسام؛
• المجالات؛
• أشجار المجال؛
• الغابات.
• المواقع الإلكترونية؛
• الوحدات التنظيمية.

يوفر ما يلي مقدمة لهذه المكونات ومفاهيم علاقات الثقة المستخدمة لمنح أذونات الوصول الأساسية للأمان إلى الموارد المخزنة في مجالات مختلفة. في الفصل الخامس، ستتعلم كيفية استخدام هذه العناصر الأساسية لتحقيق أهداف محددة (مثل حماية الوصول إلى الموارد) وتحسين أداء الشبكة. لم تتم مناقشة مبادئ الأمان نفسها (المستخدمين والمجموعات وأجهزة الكمبيوتر) في هذا الفصل.
أقسام الدليل النشط
كما تعلم، يتم تخزين قاعدة بيانات Active Directory في ملف على القرص الصلب لكل وحدة تحكم بالمجال. وهي مقسمة إلى عدة أقسام منطقية، كل منها يخزن أنواع مختلفةمعلومة. تسمى أقسام Active Directory سياقات التسمية (NC). يمكنك عرضها باستخدام أداة Ldp.exe أو ADSI Edit (الشكل 2-4).

أرز. 2-4. عرض أقسام Active Directory باستخدام أداة تحرير ADSI

قسم مجال الدليل

قسم المجال هو المكان الذي تحدث فيه معظم الإجراءات. فهو يحتوي على جميع معلومات المجال المتعلقة بالمستخدمين والمجموعات وأجهزة الكمبيوتر وجهات الاتصال: كل ما يمكن عرضه باستخدام أداة إدارة Active Directory Users And Computers.
يتم نسخ قسم المجال تلقائيًا إلى كافة وحدات التحكم في المجال. المعلومات التي يحتوي عليها مطلوبة من قبل كل وحدة تحكم مجال لمصادقة المستخدمين.

قسم تكوين الدليل

يحتوي قسم التكوين على معلومات تكوين الغابة، مثل معلومات حول المواقع وارتباطات المواقع واتصالات النسخ المتماثل. تقوم العديد من البرامج التطبيقية بتخزين المعلومات فيه. Exchange Server 2000، تطبيقات مايكروسوفت أمن الإنترنتوتضع خوادم التسريع (ISA) معلومات التكوين الخاصة بها في قسم تكوين دليل Active Directory بدلاً من خدمة الدليل الخاصة بها. عندما تقوم بتثبيت جدار الحماية ISA الأول في مؤسستك، يمكنك تكوين صفيف يقوم بتخزين كافة معلومات تكوين ISA في Active Directory. ويتم بعد ذلك تثبيت جدران الحماية الإضافية لـ ISA بسهولة باستخدام نفس التكوين، الذي يتم قراءته من Active Directory.
يحتوي قسم تكوين الدليل على نسخ منه في جميع أنحاء مجموعة التفرعات. تحتوي كل وحدة تحكم مجال على نسخة قابلة للكتابة من قسم التكوين، ويمكن إجراء تغييرات على قسم الدليل هذا من أي وحدة تحكم مجال في المؤسسة. وهذا يعني أنه يتم نسخ معلومات التكوين إلى كافة وحدات تحكم المجال. عند مزامنة النسخ المتماثل بشكل كامل، سيكون لكل وحدة تحكم مجال في الغابة نفس معلومات التكوين.

قسم مخطط الدليل

يحتوي قسم المخطط على مخطط الغابة بأكملها. كما تعلم بالفعل، المخطط عبارة عن مجموعة من القواعد حول أنواع الكائنات التي يمكن إنشاؤها في Active Directory، بالإضافة إلى القواعد الخاصة بكل نوع من الكائنات. يتم نسخ قسم المخطط إلى كافة وحدات تحكم المجال في الغابة. ومع ذلك، وحدة تحكم مجال واحدة فقط، المخطط الرئيسي، تحتفظ بنسخة قابلة للكتابة من قسم مخطط الدليل. يتم إجراء كافة التغييرات على المخطط على وحدة تحكم المخطط الرئيسية ثم يتم نسخها إلى وحدات تحكم المجال الأخرى.

قسم الكتالوج العالمي

قسم الكتالوج العمومي لـ GC ليس قسمًا بالمعنى الحقيقي. يتم تخزينه في قاعدة البيانات مثل قسم آخر، لكن لا يمكن للمسؤولين إدخال المعلومات فيه مباشرة. قسم GC للقراءة فقط عبر كافة خوادم GC ويتم إنشاؤه من محتويات قواعد بيانات المجال. كل سمة في المخطط لها قيمة منطقية مسماة عضوجزئيصفاتوآخرون. إذا تم ضبطه على حقيقي(صحيح)، يتم نسخ السمة إلى دليل GC.

أقسام تطبيق الكتالوج

النوع الأخير من الأقسام في Windows Server 2003 Active Directory هو قسم تطبيق الدليل. يتم إنشاء نوع واحد فقط من قسم تطبيق الدليل في Active Directory بشكل افتراضي، وهو القسم المخصص لخدمة خادم نظام اسم المجال (DNS). عند تثبيت أول منطقة Active Directory متكاملة، يتم إنشاء أقسام دليل التطبيق ForestDnsZones و DomainDnsZones. يمكن لقسم تطبيق الدليل تخزين أي نوع من كائنات Active Directory باستثناء مبادئ الأمان. بالإضافة إلى ذلك، يتم إنشاء أقسام تطبيق الكتالوج لإدارة عملية النسخ المتماثل للبيانات، ولا يمكن نسخ أي من كائنات قسم تطبيق الكتالوج إلى قسم GC.
تُستخدم أقسام تطبيق الدليل لتخزين المعلومات الخاصة بالتطبيق. وتتمثل فائدة استخدامها في إمكانية التحكم في نسخ المعلومات إلى القسم. بالنسبة للمعلومات الديناميكية جدًا، يجب إدارة النسخ المتماثلة للحد من مقدار حركة مرور الشبكة. عندما تقوم بإنشاء قسم تطبيق دليل، يمكنك تحديد وحدات تحكم المجال التي ستتلقى نسخة متماثلة من القسم. يمكن أن تكون وحدات تحكم المجال التي تتلقى النسخة المتماثلة لقسم التطبيق موجودة في أي مجال أو موقع في الغابة.

نظام التسمية لأقسام دليل التطبيق مطابق لأقسام دليل Active Directory الأخرى. على سبيل المثال، اسم DNS لقسم دليل التكوين في مجموعة Contoso.com هو dc=Configuration, dc=Contoso, dc=com. إذا قمت بإنشاء قسم تطبيق دليل باسم AppPartitionl في مجال Contoso.com، فسيكون اسم DNS الخاص به هو dc=AppPartitionl, dc=Contoso, dc=com. تتميز أقسام تطبيق الدليل بالمرونة التامة فيما يتعلق بمكان إنشائها، أو بتعبير أدق، سياق التسمية الخاص بها. على سبيل المثال، يمكنك إنشاء قسم تطبيق كتالوج إضافي ضمن AppPartitionl. سيؤدي هذا إلى تسمية القسم dc=AppPartition2, dc=AppPartitionl, dc=Contoso, dc=com. من الممكن إنشاء قسم تطبيق دليل باسم DNS غير مجاور لأي مجال في الغابة. يمكنك إنشاء قسم تطبيق في مجال Contoso.com يحمل اسم DNS dc=AppPartition، وبالتالي إنشاء شجرة جديدة في الغابة.

ملحوظة. اختيار اسم DNS لمساحة اسم التطبيق ليس له أي تأثير وظائفقسم التطبيقات. سيكون الاختلاف الوحيد هو تكوين عميل LDAP الذي يصل إلى القسم. أقسام تطبيق الدليل مخصصة للوصول إلى LDAP، لذلك يجب تكوين العميل للبحث عن الخادم في مساحة الاسم الصحيحة.
يعد إنشاء قسم تطبيق الدليل أمرًا معقدًا بسبب الحاجة إلى الاحتفاظ بالأذونات على كائنات القسم. تتمتع أقسام Active Directory الافتراضية بأذونات يتم تعيينها تلقائيًا. عندما تقوم بإنشاء كائن في قسم دليل المجال، يتم تلقائيًا تعيين مجموعة Domain Admins الأذونات الكاملة للكائن. عندما تقوم بإنشاء كائن في قسم التكوين أو قسم مخطط الدليل، يتم تعيين الأذونات لحسابات المستخدمين والمجموعات التي تنتمي إلى مجال جذر الغابة. لأنه يمكن إنشاء قسم دليل التطبيق في أي قسم في مجال الدليل أو كشجرة منفصلة في مجموعة تفرعات، لا يتم تطبيق مسار تعيين الإذن الافتراضي. من السهل منح مجموعة Domain Admins التحكم الكامل في الكائنات الموجودة في القسم، ولكن ليس من الواضح أي مجال هو المجال الافتراضي. ولذلك، يتم دائمًا إنشاء أقسام تطبيق الدليل بمرجع إلى المجال الذي يحتوي على واصفات الأمان. يصبح هذا المجال هو المجال الافتراضي ويستخدم لتعيين الأذونات للكائنات الموجودة في قسم التطبيق في الكتالوج. إذا تم إنشاء قسم تطبيق الدليل في قسم مجال الدليل، فسيتم استخدام المجال الأصلي كمجال يحتوي على واصفات الأمان ويتم إنشاء وراثة الأذونات. إذا قام قسم تطبيق الدليل بإنشاء شجرة جديدة في الغابة، فسيتم استخدام مجال جذر الغابة كمجال يحتوي على واصفات الأمان.

نصيحة. عادةً، يتم إنشاء أقسام تطبيق الدليل أثناء عملية تثبيت التطبيق الذي يتطلب استخدام قسم الدليل. يجب أن يسمح إجراء تثبيت التطبيق بإنشاء نسخ متماثلة إضافية على وحدات تحكم المجال الأخرى. يمكنك إنشاء كتالوج تطبيق باستخدام الأداة المساعدة Ntdsutil، لكن هذا لا يُستخدم عادةً في بيئة المؤسسة. للتعرف على إجراءات إدارة أقسام تطبيق الدليل، راجع مركز التعليمات والدعم الخاص بنظام التشغيل Windows Server 2003. دعم ويندوزالخادم 2003). للحصول على معلومات تفصيلية حول أقسام تطبيق الدليل وكيفية الوصول إليها برمجيًا، ابحث عن "استخدام أقسام دليل التطبيق" على msdn.microsoft.com.

بمجرد إنشاء قسم تطبيق الدليل الذي يحتوي على نسخ متماثلة متعددة، تتم إدارة النسخ المتماثل للقسم بنفس طريقة إدارة الأقسام الأخرى. معلومات إضافيةحول النسخ المتماثل لـ Active Directory، راجع الفصل. 4.

المجالات

المجال هو لبنة البناء الأساسية في نموذج خدمة Active Directory. عن طريق تثبيت Active Directory على جهاز الكمبيوتر الخاص بك قيد التشغيل التحكم بالويندوزخادم 2003، يمكنك إنشاء المجال. يعمل المجال كحدود إدارية، كما أنه يحدد الحدود
سياسة الأمن زو. يحتوي كل مجال على وحدة تحكم مجال واحدة على الأقل (من الأفضل أن يكون لديك اثنتين أو أكثر).
يتم تنظيم مجالات Active Directory بطريقة هرمية. يصبح المجال الأول في المؤسسة مجال جذر الغابةيطلق عليه عادة المجال الجذرأو مجال الغابة.المجال الجذر هو نقطة البدايةلمساحة اسم Active Directory. على سبيل المثال، المجال الأول في مؤسسة Contoso هو Contoso.com. يمكن أن يكون المجال الأول معين(مخصص) أو غير معينمجال الجذر (غير مخصص). مجال جذر معين، يسمى جذر فارغهو مجال نائب فارغ مصمم لتشغيل Active Directory. لن يحتوي هذا المجال على أي حسابات مستخدمين (مجموعة) حقيقية وسيتم استخدامه لتعيين الوصول إلى الموارد. الحسابات الوحيدة الموجودة في المجال الجذر المعين هي حسابات المستخدمين والمجموعة الافتراضية، مثل حساب المسؤول والمجموعة العمومية Domain Admins. المجال الجذر غير المعين هو المجال الذي يتم فيه إنشاء حسابات المستخدمين والمجموعة الفعلية. تمت مناقشة أسباب اختيار مجال جذر الغابة المعين أو غير المعين في الفصل الأول. 5.
المجالات المتبقية في المؤسسة موجودة إما كأقران فيما يتعلق بالمجال الجذر، أو كمجالات فرعية. تكون المجالات النظيرة على نفس المستوى الهرمي للمجال الجذر. ويبين الشكل 2-5 نموذج المجال النظير.

أرز. 2-5. يتم تنظيم مجالات Active Directory كأقران

من المقبول عمومًا أن يتم تثبيت المجالات بعد أن يصبح المجال الجذر المجالات التابعة.تشترك المجالات الفرعية في نفس مساحة اسم Active Directory مع المجال الأصلي. على سبيل المثال، إذا كان المجال الأول في مؤسسة Contoso يُسمى Contoso.com، فقد يُطلق على المجال الفرعي في تلك البنية اسم NAmerica.Contoso.com ويمكن استخدامه لإدارة كافة المشاركين الأمنيين في مؤسسة Contoso الموجودة في أمريكا الشمالية. إذا كانت المؤسسة كبيرة أو معقدة بدرجة كافية، فقد تكون هناك حاجة إلى نطاقات فرعية إضافية، مثل Sales.NAmerica.Contoso.com. يوضح الشكل 2-6 التسلسل الهرمي للمجال الأصلي والفرعي لمؤسسة Contoso.

أرز. 2-6. نموذج المجال بين الوالدين والطفل لشركة Contoso Corporation

أشجار المجال

يمكن للمجالات التي تم إنشاؤها في البنية التحتية لـ Active Directory بعد إنشاء المجال الجذر مشاركة مساحة اسم Active Directory موجودة أو أن يكون لها مساحة اسم منفصلة. لتخصيص مساحة اسم منفصلة لمجال جديد، تحتاج إلى إنشاء شجرة مجال جديدة. بغض النظر عما إذا كان يتم استخدام مساحة اسم واحدة أو عدة مجالات، فإن المجالات الإضافية في نفس الغابة تعمل بنفس الطريقة تمامًا. يعد إنشاء أشجار نطاقات إضافية مسألة تنظيمية وتسمية بحتة ولا يؤثر على الوظيفة بأي شكل من الأشكال. تحتوي شجرة المجال على مجال واحد على الأقل. حتى المؤسسة ذات مجال واحد لديها شجرة من المجالات. يؤثر استخدام أشجار متعددة بدلاً من المجالات الفرعية على تكوين DNS، كما ستتعرف عليه في الفصل الأول. 3.

تحدث شجرة المجال عندما تقوم إحدى المؤسسات بإنشاء مجال بعد إنشاء مجال جذر الغابة، ولكنها لا تريد استخدام مساحة اسم موجودة. في حالة شركة Contoso، إذا كانت شجرة مجال موجودة تستخدم مساحة الاسم Contoso.com، فيمكن إنشاء مجال جديد يستخدم مساحة اسم مختلفة تمامًا، مثل Fabrikam.com. إذا كانت هناك حاجة إلى إنشاء المجالات في المستقبل لتتناسب مع احتياجات وحدة شركة الاتحاد للتصنيع، فيمكن إنشاؤها كعناصر فرعية لشجرة مجال شركة الاتحاد للتصنيع. يوضح الشكل 2-7 مؤسسة Contoso ذات أشجار المجالات المتعددة.

أرز. 2-7. شركة Contoso ذات أشجار المجالات المتعددة

الغابات

غابةيمثل النسخ المتماثل الأبعد وهو الحد الأمني ​​للمؤسسة. توجد كافة المجالات وأشجار المجال ضمن مجموعة واحدة أو أكثر من مجموعة تفرعات Active Directory. تتم مشاركة الغابة بين كافة وحدات تحكم المجال في الغابة. المكونات المشتركة قد تكون:

• المخطط المشترك: كافة وحدات تحكم المجال في مجموعة تفرعات لها نفس المخطط. الطريقة الوحيدة لنشر اثنين مخططات مختلفةفي منظمة واحدة هو نشر غابات منفصلة.
• قسم تكوين الدليل العام. كافة وحدات تحكم المجال في مجموعة تفرعات لديها نفس حاوية التكوين، والتي يتم استخدامها للنسخ المتماثل داخل مجموعة التفرعات. يتم استخدام قسم تكوين الدليل بشكل كبير بواسطة التطبيقات التي تدعم Active Directory (Exchange Server 2000 وISA).
• الكتالوج العالمي العام GC يحتوي على معلومات حول كافة الكائنات الموجودة في الغابة. وهذا يجعل البحث عن أي كائن أكثر كفاءة ويسمح للمستخدمين بتسجيل الدخول إلى أي مجال في الغابة باستخدام UPN الخاص بهم.
• مجموعة مشتركة من المسؤولين داخل إحدى الغابات. فيالمجال الجذريتم إنشاء مجموعتي أمان للغابة. يتم منحهم أذونات لا يمتلكها أي مستخدم آخر. مجموعة مسؤولي المخطط هي المجموعة الوحيدة التي لديها إذن بتعديل المخطط، ومجموعة إدارة المؤسسة هي المجموعة الوحيدة التي لديها إذن بتنفيذ إجراءات على مستوى المجموعة، مثل إضافة مجالات أو إزالتها من المجموعة. تتم إضافة مجموعة Enterprise Admins تلقائيًا إلى كل مجموعة مسؤولين محليين على وحدات تحكم المجال في كل مجال في الغابة.
• التكوين العام لعلاقات الثقة. يتم تكوين كافة المجالات الموجودة في الغابة تلقائيًا لتثق في كافة المجالات الأخرى في الغابة. تتم مناقشة علاقات الثقة بمزيد من التفصيل في القسم التالي.

ويبين الشكل 2-8 غابة Contoso.

علاقة ثقة

بشكل افتراضي، المجال هو حد الوصول إلى الموارد في المؤسسة. باستخدام الأذونات المناسبة، يمكن لأي مبدأ أمان (مثل حساب مستخدم أو مجموعة) الوصول إلى أي مورد عام في نفس المجال. يتم استخدام علاقات ثقة Active Directory للوصول إلى الموارد الموجودة خارج المجال. علاقة ثقةتمثل علاقة مصادقة بين مجالين يمكن لمبادئ الأمان من خلالها الحصول على سلطة الوصول إلى الموارد الموجودة في مجال آخر. هناك عدة أنواع من علاقات الثقة، بما في ذلك:

• علاقات الثقة المتعدية؛
• علاقات الثقة أحادية الاتجاه؛
• علاقات الثقة في الغابات؛
• علاقات الثقة في المنطقة.

الاعتمادات الانتقالية

تحتفظ كافة المجالات الموجودة في الشجرة بعلاقات ثقة متعدية ثنائية الاتجاه مع المجالات الأخرى في الشجرة. في المثال أعلاه، عندما يتم إنشاء المجال NAmerica.Contoso.com كمجال تابع للمجال الجذر Contoso.com، يتم إنشاء علاقة ثقة ثنائية الاتجاه تلقائيًا بين المجالات NAmerica.Contoso.com وContoso.com. من خلال علاقة ثقة، يمكن لأي مستخدم في مجال NAmerica.Contoso.com الوصول إلى أي مورد في مجال Contoso.com لديه إذن بالوصول إليه. وبالمثل، إذا كانت هناك أية مبادئ أمان في مجال Contoso.com (كما هو الحال في مجال جذر غير معين)، فيمكن منحها حق الوصول إلى الموارد في مجال NAmerica.Contoso.com.

داخل إحدى الغابات، يتم إنشاء علاقات الثقة إما كصناديق ائتمان بين الأصل والفرع أو صناديق ائتمان جذر الشجرة (شجرةجذر). مثال على علاقة الثقة بين الوالدين والطفل هي العلاقة بين المجالات NAmerica.Contoso.com وContoso.com. ثقة جذر الشجرة هي علاقة بين شجرتين في غابة، على سبيل المثال بين Contoso.com وFabrikam.com.
تعتبر كافة علاقات الثقة بين مجالات الغابات متعدية. وهذا يعني أن كافة المجالات في الغابة تثق ببعضها البعض. إذا كان المجال Contoso.com يثق في المجال NAmerica.Contoso.com والمجال Europe.Contoso.com يثق في المجال Contoso.com، فإن العبور يشير إلى أن المجال Europe.Contoso.com يثق أيضًا في المجال NAmerica.Contoso.com. لذلك، المستخدمين في المجال NAmerica. يمكن لشركة Contoso.com الوصول إلى الموارد الموجودة في مجال Europe.Contoso.com، والعكس صحيح. تنطبق خاصية العبور لعلاقات الثقة على علاقات ثقة جذر الشجرة. يثق المجال NAmerica.Contoso.com بالمجال Contoso.com، ويثق المجال Contoso.com بالمجال Fabrikam.com. ولذلك، فإن المجال هو NAmerica. لدى Contoso.com ومجال Fabrikam.com أيضًا علاقات ثقة متعدية مع بعضهما البعض.

علاقة ثقة أحادية الاتجاه

بالإضافة إلى علاقات الثقة المتعدية ثنائية الاتجاه التي يتم إنشاؤها عند إنشاء مجال تابع جديد، يمكن إنشاء علاقات ثقة أحادية الاتجاه بين مجالات الغابة. يتم ذلك للسماح بالوصول إلى الموارد بين المجالات التي ليس لديها علاقة ثقة مباشرة. كما يتم استخدام علاقات الثقة أحادية الاتجاه
تم إنشاؤها لتحسين الأداء بين المجالات المرتبطة بعلاقات الثقة المتعدية. تسمى صناديق الائتمان ذات الاتجاه الواحد هذه صناديق الائتمان المختصرة (الاختصاريثق). تكون علاقات الثقة القصيرة مطلوبة عندما يكون الوصول المتكرر إلى الموارد مطلوبًا بين المجالات المتصلة عن بعد من خلال شجرة المجال أو الغابة. ومن الأمثلة على ذلك غابة Contoso الموضحة في الشكل 2-9.

أرز. 2-9. علاقات الثقة في غابة Contoso

إذا كانت مجموعة أمان في مجال Sales.Europe.Contoso.com تصل بشكل متكرر إلى مشاركة في مجال Research.NAmerica.Contoso.com، فإذا كانت هناك علاقات ثقة متعدية فقط بين المجالات، فسيقوم المستخدمون في مجال Sales.Europe.Contoso.com يجب المصادقة على كل مجال في الشجرة الموجودة بينها وبين المجال الذي يحتوي على المورد. يعتبر تنظيم العمل هذا غير فعال إذا كانت هناك حاجة متكررة للوصول إلى هذه الموارد. علاقات الثقة المختصرة هي علاقات ثقة مستقيمة أحادية الاتجاه ستمكن المستخدمين في مجال Sales.Europe.Contoso.com من المصادقة بشكل فعال على مجال Research.NAmerica.Contoso.com دون الحاجة إلى اجتياز شجرة الدليل بأكملها للوصول إلى هناك. ويوضح الشكل 2-10 علاقات الثقة المباشرة هذه. إذا كانت هناك حاجة إلى إنشاء نفس الثقة في اتجاه مختلف، فيمكنك إنشاء ثقة مباشرة بين المجالين عن طريق عكس أدوارهما. (يبدو أن علاقات الثقة المزدوجة المباشرة هذه هي علاقات متعدية، لكن علاقات الثقة الحصرية هذه لا تمتد إلى ما هو أبعد من هذين المجالين).

علاقات الثقة بالغابات

علاقات الثقة بالغاباتنكون ميزة جديدةفي نظام التشغيل Windows Server 2003. وهي تمثل علاقة ثقة متعدية ثنائية الاتجاه بين مجموعتين منفصلتين. باستخدام علاقات الثقة في مجموعة التفرعات، يمكن منح مبدأ الأمان الذي ينتمي إلى مجموعة تفرعات واحدة إمكانية الوصول إلى الموارد في أي مجال في مجموعة تفرعات مختلفة تمامًا. بالإضافة إلى ذلك، يمكن للمستخدمين تسجيل الدخول إلى أي مجال في كلتا المجموعتين باستخدام نفس UPN.

• لا تنتقل صناديق الغابات إلى الغابات الأخرى. على سبيل المثال، إذا كانت الغابة 1 لديها ثقة غابة مع Forest2، وكان لدى Forest2 ثقة غابة مع Forest3، فإن Forestl ليس لديه ثقة غابة تلقائية مع Forest3.
• تعمل صناديق الثقة في الغابة على تمكين التعريف عبر مجموعة التفرعات فقط، ولا توفر وظائف أخرى. على سبيل المثال، سيكون لكل مجموعة تفرعات دليل GC فريد ومخطط وقسم تكوين الدليل. لا يتم نسخ المعلومات بين مجموعتي الغابات؛ فصناديق الثقة في الغابة تتيح ببساطة إمكانية تعيين الوصول إلى الموارد بين مجموعتي الغابات.
• في بعض الحالات، سوف تحتاج إلى تأسيس ثقة بين كافة المجالات في مجموعة تفرعات واحدة وكافة المجالات في مجموعة تفرعات أخرى. ولتحقيق ذلك، يمكنك إنشاء علاقات ثقة أحادية الاتجاه وغير متعدية بين المجالات الفردية في مجموعة تفرعات منفصلة.

يوضح الشكل 2-11 صناديق الثقة الخاصة بشركة Contoso.

أرز. 2-11. تربط علاقة ثقة مجموعة Contoso بين المجالين Contoso.com وNWTraders.com، الموجودين في مجموعة تفرعات مختلفة

علاقات الثقة في المنطقة

النوع الأخير من الثقة هو ثقة النطاق. (مملكةيثق). يتم تثبيتها بين مجال Windows Server 2003 أو مجموعة التفرعات وتطبيق غير Windows لنطاق Kerberos v5. يعتمد أمان Kerberos على معيار مفتوح، كما توجد أنظمة أمان شبكات أخرى تعتمد على بروتوكول Kerberos. يمكن إنشاء علاقات ثقة بين أي نطاقات Kerberos تدعم معيار Kerberos v5. يمكن أن تكون علاقات الثقة في المجال أحادية الاتجاه أو ثنائية الاتجاه، ويمكن تكوينها على أنها متعدية أو غير متعدية.

المواقع الإلكترونية

كافة المكونات المنطقية لـ Active Directory التي تمت مناقشتها حتى الآن مستقلة إلى حد كبير عن البنية التحتية الفعلية للشبكة. على سبيل المثال، عند تصميم بنية مجال لشركة ما، لا يكون مكان تواجد المستخدمين هو السؤال الأكثر أهمية. يمكن لجميع المستخدمين في المجال أن يتواجدوا في مبنى مكتب واحد أو في مكاتب تقع في جميع أنحاء العالم. ينشأ استقلال المكونات المنطقية عن البنية التحتية للشبكة بسبب استخدام المواقع في

الدليل النشط.

توفر المواقع الاتصال بين مكونات Active Directory المنطقية والبنية التحتية الفعلية للشبكة. موقع إلكترونييمثل منطقة من الشبكة حيث يتم توصيل جميع وحدات تحكم المجال من خلال اتصال شبكة سريع وغير مكلف وموثوق. في معظم الحالات، يحتوي الموقع على شبكة فرعية واحدة أو أكثر متصلة ببروتوكول الإنترنت (IP). شبكه محليه(LAN) أو شبكة واسعة النطاق سريعة (WAN)، متصلة ببقية الشبكة عبر اتصالات WAN أبطأ.
السبب الرئيسي لإنشاء مواقع الويب هو القدرة على إدارة أي حركة مرور على الشبكة تحتاج إلى استخدام اتصالات الشبكة البطيئة. تُستخدم المواقع للتحكم في حركة مرور الشبكة داخل شبكة Windows Server 2003 بثلاث طرق مختلفة.

• تكرار. إحدى أهم الطرق التي تعمل بها المواقع على تحسين حركة مرور الشبكة هي إدارة حركة النسخ المتماثل بين وحدات التحكم بالمجال وخوادم GC. داخل الموقع، سيتم نسخ أي تغيير يتم إجراؤه على الدليل خلال خمس دقائق تقريبًا. يمكن التحكم في جدول النسخ المتماثل بين المواقع بحيث يحدث النسخ المتماثل خلال ساعات عدم العمل. افتراضيًا، يتم ضغط حركة مرور النسخ المتماثل بين المواقع للحفاظ على النطاق الترددي للشبكة، ولا يتم ضغط حركة النسخ المتماثل داخل الموقع. (يقدم الفصل الرابع مزيدًا من التفاصيل حول الاختلافات بين النسخ المتماثل داخل الموقع وبين المواقع.)
• تعريف. عندما يقوم مستخدم بتسجيل الدخول إلى مجال Windows Server 2003 من عميل قيد التشغيل نظام ويندوز 2000 أو مايكروسوفت ويندوز XP Professional، يحاول كمبيوتر العميل الاتصال بوحدة تحكم المجال الموجودة في نفس الموقع الذي يوجد به العميل. سوف يناقش الفصل 3 كيفية تسجيل كل وحدة تحكم مجال لسجلات محدد موقع الخدمة (SRV). عندما يحاول جهاز كمبيوتر عميل العثور على وحدة تحكم المجال، فإنه يستعلم دائمًا عن خوادم DNS لسجلات الموقع. وهذا يعني أن حركة تسجيل دخول العميل ستبقى داخل الموقع. إذا كان المجال يعمل على المستوى الوظيفي لنظام التشغيل Windows 2000 الأصلي أو Windows Server 2003، فسيحاول العميل العثور على دليل GC أثناء تسجيل الدخول. إذا كان الموقع يحتوي على خادم GC، فسيقوم العميل بالاتصال بهذا الخادم. (دور المواقع في العثور على وحدات التحكم بالمجال تمت مناقشته بالتفصيل في الفصل الثالث.)

ملحوظة. أجهزة الكمبيوتر العميلةيمكن لنظام التشغيل Windows NT 4 SP6a التسجيل مع وحدات تحكم مجال Active Directory إذا قاموا بتثبيت عميل خدمات الدليل، وهو متاح للتنزيل على http://www.microsoft.com/windows2000/server /evaluation/news/bulletins/adextension.asp . بالنسبة للعملاء الذين لم تتم ترقيتهم من نظام التشغيل Windows 95 أو Windows 98، يتوفر برنامج Directory Services Client على القرص المضغوط الخاص بنظام التشغيل Windows Server 2000.

• خدمات الشبكة التي تأخذ في الاعتبار وجود المواقع. الطريقة الثالثة التي تسمح للمواقع بالمحافظة على ارتفاعها الإنتاجية، يتكون من قصر اتصالات العميل بالموقع على تلك التطبيقات والخدمات التي تأخذ في الاعتبار وجود المواقع فقط. على سبيل المثال، باستخدام الموزعة نظام الملفات(DFS - نظام الملفات الموزعة)، يمكنك إنشاء نسخ متماثلة متعددة لمجلد على مواقع مختلفة على الشبكة. نظرًا لأن DFS مصمم ليكون على دراية بالموقع، تحاول أجهزة الكمبيوتر العميلة دائمًا الوصول إلى النسخة المتماثلة لـ DFS في موقعها الخاص قبل استخدام ارتباطات WAN للوصول إلى المعلومات في موقع آخر.

سيتم تخصيص موقع لكل كمبيوتر على شبكة Windows Server 2003. عندما يتم تثبيت Active Directory في بيئة ويندوز Server 2003، يتم إنشاء موقع افتراضي يسمى Default First Site Name، وسيتم تعيين كافة أجهزة الكمبيوتر الموجودة في الغابة لهذا الموقع ما لم يتم إنشاء مواقع إضافية. عند إنشاء مواقع إضافية، يتم ربطها بشبكات IP الفرعية. عندما يصبح خادم يعمل بنظام التشغيل Windows Server 2003 وحدة تحكم بالمجال، يتم تعيينه تلقائيًا إلى الموقع الذي تم تعيينه لعنوان IP الخاص بالكمبيوتر. إذا لزم الأمر، يمكنك نقل وحدات التحكم بالمجال بين المواقع باستخدام أداة إدارة Active Directory Sites And Services.
تكتشف أجهزة الكمبيوتر العميلة مواقعها في المرة الأولى التي تبدأ فيها وتنضم إلى المجال. وبما أن جهاز الكمبيوتر العميل لا يعرف الموقع الذي ينتمي إليه، فإنه يتصل بأي وحدة تحكم مجال في المجال. أثناء عملية تسجيل الدخول، ستخبر وحدة تحكم المجال العميل بالموقع الذي تنتمي إليه، وسيقوم العميل بتخزين هذه المعلومات مؤقتًا لتسجيل الدخول التالي.
ملحوظة. إذا كان لوحدة تحكم المجال أو جهاز الكمبيوتر العميل عنوان IP غير مرتبط بموقع معين، فسيتم تعيين هذا الكمبيوتر لاسم الموقع الأول الافتراضي للموقع. يجب أن ينتمي كل كمبيوتر يشكل جزءًا من مجال Windows Server 2003 إلى موقع ما.
كما هو مذكور أعلاه، لا يوجد اتصال مباشر بين المواقع والمفاهيم المنطقية الأخرى في Active Directory. يمكن أن يحتوي موقع واحد على أكثر من نطاق واحد، ويمكن أن ينتمي نطاق واحد إلى مواقع متعددة. يوضح الشكل 2-12 أن موقع سياتل يحتوي على مجالين: Contoso.com وNAmerica.Contoso.com. يتم توزيع نطاق NWTraders.com بين عدة مواقع.

ملاحظات: تتم مناقشة المواقع بالتفصيل في فصول أخرى. يعرض الفصل الثالث تفاصيل دور DNS ومواقع تسجيل دخول العميل. يناقش الفصل الرابع دور المواقع في النسخ المتماثل وكيفية إنشاء المواقع وتكوينها. الفصل 5 يعطي معلومات مفصلةعلى تصميم التكوين الأمثل للموقع لمجموعة Active Directory.
الوحدات التنظيمية
من خلال تنفيذ مجالات متعددة في مجموعة تفرعات كشجرة واحدة أو أكثر، يمكن لـ Windows Server 2003 Active Directory التوسع لتوفير خدمات الدليل لأي شبكة بأي حجم. تم تصميم العديد من مكونات Active Directory، مثل الكتالوج العام وصناديق الثقة المتعدية التلقائية، لجعل استخدام دليل المؤسسة وإدارته فعالاً، بغض النظر عن حجم الدليل.
تم تصميم الوحدات التنظيمية (OU) لتسهيل إدارة Active Directory. تُستخدم الوحدات التنظيمية لجعل إدارة مجال واحد أكثر كفاءة، بدلاً من الاضطرار إلى التعامل مع إدارة مجالات Active Directory المتعددة. تعمل الوحدات التنظيمية على إنشاء بنية هرمية داخل المجال. يمكن أن يحتوي المجال على مئات الآلاف من الكائنات. من الصعب إدارة العديد من الكائنات دون استخدام بعض وسائل تنظيم الكائنات في مجموعات منطقية. تؤدي الوحدات التنظيمية هذه الوظائف على وجه التحديد. يوضح الشكل 2-13 مثالاً لبنية الوحدة التنظيمية في شركة Contoso Corporation.

أرز. 2-13. مثال على هيكل الوحدة التنظيمية

الوحدات التنظيمية هي حاويات كائنات تحتوي على عدة أنواع من كائنات خدمة الدليل:

• أجهزة الكمبيوتر؛
• جهات الاتصال؛
• مجموعات؛
• inetOrgPerson;
• الطابعات؛
• المستخدمين؛
• المجلدات العامة؛
• الوحدات التنظيمية.

تُستخدم الوحدات التنظيمية لتجميع الكائنات لأغراض إدارية. يمكنهم تفويض الحقوق الإدارية وإدارة مجموعة من الكائنات كوحدة منفصلة.
استخدام الوحدات التنظيمية لتفويض الحقوق الإدارية
يمكن استخدام الوحدات التنظيمية لتفويض الحقوق الإدارية. على سبيل المثال، قد يتم منح المستخدم حقوقًا لتنفيذ مهام إدارية في وحدة تنظيمية محددة. يمكن أن تكون هذه حقوقًا عالية المستوى، حيث يتمتع المستخدم بالتحكم الكامل في الوحدة التنظيمية، أو محدودة جدًا ومحددة (على سبيل المثال، القدرة فقط على إعادة تعيين كلمات مرور المستخدم في هذه الوحدة التنظيمية). بشكل افتراضي، لا يتمتع المستخدم الذي لديه حقوق إدارية للوصول إلى وحدة تنظيمية بأي حقوق إدارية خارج الوحدة التنظيمية.
تتمتع الوحدات التنظيمية ببنية مرنة لتعيين حقوق الوصول إلى الكائنات داخل الوحدة التنظيمية. في حوارات كثيرة نوافذ ويندوزوفي علامات تبويب الخصائص يطلق عليها اسم الأذونات. تحتوي الوحدة التنظيمية نفسها على قائمة التحكم في الوصول (ACL - قائمة التحكم في الوصول)، حيث يمكنك تعيين حقوق الوصول إلى هذه الوحدة التنظيمية. كل كائن في الوحدة التنظيمية وكل سمة للكائن لها قائمة ACL. وهذا يعني أنه يمكنك التحكم بشكل دقيق للغاية في الحقوق الإدارية الممنوحة لأي شخص في هذا القسم. على سبيل المثال، يمكنك منح مجموعة مكتب المساعدة الحق في تغيير كلمات مرور المستخدم في الوحدة التنظيمية دون تغيير أية خصائص أخرى لحساب المستخدم. يمكنك منح Human Resources الحق في تغيير المعلومات الشخصية المتعلقة بأي حساب مستخدم في أي وحدة تنظيمية، ولكن لا تمنحهم أي حقوق في كائنات أخرى.
استخدام الوحدات التنظيمية لإدارة مجموعات من الكائنات
تتمثل إحدى وظائف الوحدة التنظيمية في تنظيم الكائنات في مجموعات بحيث يمكن إدارة هذه الكائنات بنفس الطريقة. إذا كنت تريد إدارة كافة أجهزة الكمبيوتر في القسم بالتساوي (على سبيل المثال، عن طريق وضع قيود على المستخدمين الذين لديهم الحق في تسجيل الدخول إلى نظام التشغيل)، فيمكنك تجميع أجهزة الكمبيوتر في وحدة تنظيمية و
قم بتعيين إذن تسجيل الدخول محليًا على مستوى الوحدة التنظيمية. سيتم تعيين هذا الإذن لجميع أجهزة الكمبيوتر في هذه الوحدة التنظيمية. مثال آخر على تجميع الكائنات لأغراض إدارية هو عندما تحتاج مجموعة من المستخدمين إلى نفس التكوين القياسي لسطح مكتب الكمبيوتر ونفس مجموعة التطبيقات. في هذه الحالة، يتم دمج المستخدمين في وحدة تنظيمية واحدة، ويتم استخدام سياسة المجموعة لتكوين سطح المكتب وإدارة عمليات تثبيت التطبيقات.
في العديد من الحالات، ستتم إدارة الكائنات الموجودة في الوحدة التنظيمية من خلال "نهج المجموعة". يعد محرر كائنات نهج المجموعة أداة يمكن استخدامها لإدارة بيئة عمل كل مستخدم. يمكن استخدام سياسات المجموعة لقفل أجهزة سطح المكتب الخاصة بالمستخدمين، مما يجعلها طريقة العرض القياسية، وتوفير البرامج النصية لتسجيل الدخول والخروج، وإعادة توجيه المجلد. الجدول 2-3 يعطي قائمة قصيرةأنواع الإعدادات المتوفرة في محرر كائنات نهج المجموعة.
طاولة 2-3. أنواع إعدادات نهج المجموعة

غالبًا ما يتم تعيين سياسات المجموعة على مستوى الوحدة التنظيمية. وهذا يجعل مهمة إدارة المستخدم أسهل لأنه يمكنك تعيين كائن نهج المجموعة (GPO) واحد، مثل سياسة تثبيت البرنامج، إلى وحدة تنظيمية، والتي يتم بعد ذلك توزيعها على كافة المستخدمين أو أجهزة الكمبيوتر في الوحدة التنظيمية.
تحذير. الوحدات التنظيمية ليست مشاركين أمنيين. ولا يمكن استخدامها لتعيين أذونات لمورد ما بحيث يرث المستخدمون عبر الوحدة التنظيمية تلك الأذونات تلقائيًا. يتم استخدام الوحدات التنظيمية لأغراض إدارية. يجب عليك استخدام المجموعات لتوفير الوصول إلى الموارد.

أساسيات الدليل النشط

خدمة الدليل النشط

خدمة الدليل الموسعة وقابلة للتطوير نشيط الدليليسمح لك بإدارة موارد الشبكة بشكل فعال.

نشيط الدليل عبارة عن مستودع منظم هرميًا للبيانات حول كائنات الشبكة، مما يوفر وسيلة ملائمة للبحث عن هذه البيانات واستخدامها. تشغيل الكمبيوتر نشطالدليل، ودعا وحدة تحكم المجال . مع الدليل النشطترتبط جميع المهام الإدارية تقريبًا.

تعتمد تقنية Active Directory على المعيار بروتوكولات الإنترنتويساعد على تحديد بنية الشبكة بوضوح.

الدليل النشط وDNS

في نشيط مخرجذيتم استخدام نظام اسم المجال.

اِختِصاصاسم النظام (DNS) هو خدمة إنترنت قياسية تنظم مجموعات من أجهزة الكمبيوتر في مجالات.تتمتع مجالات DNS ببنية هرمية تشكل أساس الإنترنت. تحدد المستويات المختلفة لهذا التسلسل الهرمي أجهزة الكمبيوتر والمجالات التنظيمية والمجالات افضل مستوى. يعمل DNS أيضًا على حل أسماء المضيفين، على سبيل المثال. ض eta.webatwork.com إلى عناوين IP الرقمية، مثل 192.168.19.2. باستخدام DNS، يمكن دمج التسلسل الهرمي لمجال Active Directory في مساحة الإنترنت أو تركه مستقلاً ومعزولاً عن الوصول الخارجي.

للوصول إلى الموارد في يستخدم المجال اسم المضيف المؤهل بالكامل، على سبيل المثال zeta.webatwork.com. هناضإيتا- اسم الكمبيوتر الفردي، وشبكة الويب - مجال المؤسسة، وcom - مجال المستوى الأعلى. تشكل نطاقات المستوى الأعلى أساس التسلسل الهرمي لنظام DNS ولذلك يتم استدعاؤها المجالات الجذرية (المجالات الجذرية). وهي منظمة جغرافيًا، بأسماء تعتمد على رموز البلدان المكونة من حرفين (روبالنسبة لروسيا)، حسب نوع المنظمة (مئاتللمنظمات التجارية) وللأغراض المقصودة (ميل للمنظمات العسكرية).

النطاقات العادية، مثل microsoft.com، وتسمى آباء (المجال الأصلي) لأنها تشكل أساس الهيكل التنظيمي. يمكن تقسيم المجالات الأصلية إلى نطاقات فرعية من فروع مختلفة أو فروع بعيدة. على سبيل المثال، اسم الكمبيوتر الكامل في مايكروسوفت أوفيسفي سياتل قد يكون jacob.seattle.microsoft.com , أين يcom.acob- اسم الحاسوب، سهaltle - المجال الفرعي، وmicrosoft.com هو المجال الأصلي. اسم آخر للنطاق الفرعي هو مجال الطفل (المجال الفرعي).

عناصر نشيط الدليل

يجمع Active Directory بين البنية المادية والمنطقية لمكونات الشبكة. تساعد الهياكل المنطقية لـ Active Directory على تنظيم كائنات الدليل وإدارة حسابات الشبكة والمشاركات. يتضمن الهيكل المنطقي العناصر التالية:

وحدة تنظيمية - مجموعة فرعية من أجهزة الكمبيوتر، والتي تعكس عادة هيكل الشركة؛

اِختِصاص ( اِختِصاص) - مجموعة من أجهزة الكمبيوتر التي تشترك في قاعدة بيانات كتالوج مشتركة؛

شجرة المجال (اِختِصاص شجرة) - نطاق واحد أو أكثر يتشارك في مساحة اسم متجاورة؛

غابة المجال - شجرة واحدة أو أكثر تشارك معلومات الدليل.

تساعد العناصر المادية في تخطيط بنية الشبكة الفعلية. بناءً على الهياكل المادية، يتم تشكيل اتصالات الشبكة والحدود المادية لموارد الشبكة. يتضمن الهيكل المادي العناصر التالية:

الشبكة الفرعية ( الشبكة الفرعية) - مجموعة شبكة ذات منطقة محددة عناوين الانترنت بروتوكولوقناع الشبكة؛

موقع إلكتروني ( موقع) - شبكة فرعية واحدة أو أكثر. يتم استخدام الموقع لتكوين الوصول إلى الدليل والنسخ المتماثل.

التقسيمات التنظيمية

الوحدات التنظيمية (OUs) هي مجموعات فرعية ضمن المجالات التي تعكس غالبًا البنية الوظيفية للمؤسسة. الوحدات التنظيمية هي نوع من الحاويات المنطقية التي تضم الحسابات والمشاركات والوحدات التنظيمية الأخرى. على سبيل المثال، يمكنك إنشاء في مجال com.microsoftر. comالانقسامات موارد, هو - هي, تسويق. ويمكن بعد ذلك توسيع هذا المخطط ليحتوي على وحدات فرعية.

يُسمح فقط بوضع الكائنات من المجال الأصلي في OP. على سبيل المثال، تحتوي الوحدات التنظيمية من المجال Seattle.microsoft.com على كائنات من هذا المجال فقط. أضف كائنات من هناكمذ. مموقع microsoft.com غير مسموح به. تعتبر OP مريحة للغاية عند تشكيل وظيفة أو الهياكل التجاريةالمنظمات.لكن هذا ليس السبب الوحيد لاستخدامها.

تتيح لك OPs تحديد سياسة المجموعة لمجموعة صغيرة من الموارد في المجال دون الحاجة إلى تطبيقها على المجال بأكمله. يقوم OP بإنشاء طرق عرض مضغوطة وأكثر قابلية للإدارة لكائنات الدليل في المجال، مما يساعدك على إدارة الموارد بشكل أكثر كفاءة.

تتيح لك OPs تفويض السلطة والتحكم في الوصول الإداري إلى موارد المجال، مما يساعد في تعيين حدود سلطة المسؤول في المجال. من الممكن منح حقوق إدارية للمستخدم أ لوحدة تنظيمية واحدة فقط وفي نفس الوقت نقل الحقوق الإدارية إلى المستخدم ب لجميع الوحدات التنظيمية في المجال.

المجالات

اِختِصاص Active Directory عبارة عن مجموعة من أجهزة الكمبيوتر التي تشترك في قاعدة بيانات دليل مشتركة. يجب أن تكون أسماء نطاقات Active Directory فريدة. على سبيل المثال، لا يمكن أن يكون هناك مجالين مicrosoft.com، ولكن قد يكون هناك مجال أصل microsoft.com مع مجالات فرعية seattle.microsoft.com و مy.microsoft.com. إذا كان المجال جزءًا من شبكة مغلقة، فيجب ألا يتعارض الاسم المخصص للمجال الجديد مع أي أسماء نطاقات موجودة على تلك الشبكة. إذا كان المجال جزءا شبكة عالميةالإنترنت، يجب ألا يتعارض اسمه مع أي اسم مجال إنترنت موجود. للتأكد من أن الأسماء فريدة على الإنترنت، يجب تسجيل اسم النطاق الأصلي من خلال أي منظمة تسجيل معتمدة.

يحتوي كل مجال على سياسات الأمان الخاصة به وعلاقات الثقة مع المجالات الأخرى. في كثير من الأحيان، يتم توزيع المجالات على عدة مواقع فعلية، أي أنها تتكون من عدة مواقع، وتجمع المواقع بين عدة شبكات فرعية. تقوم قاعدة بيانات دليل المجال بتخزين الكائنات التي تحدد الحسابات للمستخدمين والمجموعات وأجهزة الكمبيوتر، بالإضافة إلى الموارد المشتركة مثل الطابعات والمجلدات.

وظائف المجال محدودة وتنظمها طريقة عملها. هناك أربعة أوضاع وظيفية للمجال:

الوضع المختلط Windows 2000 (الوضع المختلط) - يدعم وحدات تحكم المجال التي تعمل بنظام Windows NT 4.0, واي com.ndows 2000 و شبابيك الخادم 2003;

الوضع الأصلي لنظام التشغيل Windows 2000 - يدعم وحدات تحكم المجال التي تعمل بنظام التشغيل Windows 2000 و شبابيك الخادم 2003;

الوضع المتوسط شبابيك الخادم 2003 ( مؤقت وضع) - يدعم تشغيل وحدات تحكم المجال شبابيك NT 4.0 و شبابيك الخادم 2003;

وضع ويندوز سيرفر 2003 - يدعم وحدات التحكم بالمجال التي تعمل بنظام التشغيل Windows Server 2003.

الغابات والأشجار

كل مجال نشيط الدليللديه DNS-أكتب اسم مايكروسوفت.com. المجالات التي تشارك بيانات الدليل تشكل غابة. أسماء مجالات الغابات في التسلسل الهرمي لاسم DNS هي غير متجاورة(متجاورة) أو مجاور(متجاورة).

تسمى المجالات التي لها بنية تسمية متقاربة شجرة المجال. إذا كانت مجالات الغابة لها أسماء DNS غير متجاورة، فإنها تشكل أشجار مجال منفصلة في الغابة. يمكن أن تشمل الغابة شجرة واحدة أو أكثر. يتم استخدام وحدة التحكم للوصول إلى بنيات المجالنشيط الدليل- المجالات والثقة (نشيطالدليل المجالاتو يثق).

وظائف الغابات محدودة وينظمها النظام الوظيفي للغابة. هناك ثلاثة أوضاع من هذا القبيل:

ويندوز 2000 - يدعم وحدات التحكم بالمجال التي تعمل بنظام التشغيل Windows NT 4.0 وWindows 2000 وWindows الخادم 2003;

متوسط ( مؤقت) شبابيك الخادم 2003 - يدعم وحدات التحكم بالمجال التي تعمل بنظام التشغيل Windows NT 4.0 وWindows Server 2003؛

ويندوز سيرفر 2003 - يدعم وحدات التحكم بالمجال التي تعمل بنظام التشغيل Windows Server 2003.

تتوفر أحدث ميزات Active Directory في وضع الويندوز Server 2003: إذا كانت كافة المجالات في المجموعة تعمل في هذا الوضع، فيمكنك الاستمتاع بنسخ متماثل محسّن للكتالوج العام ونسخ متماثل أكثر كفاءة لبيانات Active Directory. يمكنك أيضًا تعطيل فئات المخطط وسماته، واستخدام فئات المساعدة الديناميكية، وإعادة تسمية المجالات، وإنشاء علاقات ثقة أحادية الاتجاه وثنائية الاتجاه ومتعدية في الغابة.

المواقع والشبكات الفرعية

موقع إلكتروني عبارة عن مجموعة من أجهزة الكمبيوتر الموجودة على واحدة أو أكثر من شبكات IP الفرعية المستخدمة لتخطيط البنية المادية للشبكة. يحدث تخطيط الموقع بغض النظر عن البنية المنطقية للمجال. يتيح لك Active Directory إنشاء مواقع متعددة في مجال واحد أو موقع واحد يمتد إلى مجالات متعددة.

على عكس المواقع، التي يمكن أن تمتد إلى نطاقات عناوين IP متعددة، فإن الشبكات الفرعية لها نطاق عنوان IP وقناع شبكة محددين. يتم تحديد أسماء الشبكات الفرعية في التنسيق الشبكة/القناع البتي, على سبيل المثال 192.168.19.0/24، حيث عنوان الشبكةتم دمج 192.168.19.0 وقناع الشبكة 255.255.255.0 في اسم الشبكة الفرعية 192.168.19.0/24.

يتم تعيين أجهزة الكمبيوتر للمواقع بناءً على موقعها على شبكة فرعية أو مجموعة من الشبكات الفرعية. إذا كانت أجهزة الكمبيوتر الموجودة على الشبكات الفرعية قادرة على الاتصال بسرعات عالية بما فيه الكفاية، فسيتم استدعاؤها متصل بشكل جيد (متصل بشكل جيد).

من الناحية المثالية، تتكون المواقع من شبكات فرعية وأجهزة كمبيوتر متصلة بشكل جيد. إذا كانت حركة المرور بين الشبكات الفرعية وأجهزة الكمبيوتر بطيئة، فقد تحتاج إلى إنشاء مواقع متعددة. الاتصال الجيد يمنح المواقع بعض المزايا.

عندما يقوم العميل بتسجيل الدخول إلى مجال ما، فإن عملية المصادقة تبحث أولاً عن وحدة تحكم المجال المحلية في موقع العميل، مما يعني أنه يتم الاستعلام عن وحدات التحكم المحلية أولاً عندما يكون ذلك ممكناً، مما يحد من حركة مرور الشبكة ويسرع عملية المصادقة.

يتم نسخ معلومات الدليل بشكل متكرر أكثر داخل المواقع من بين المواقع. يؤدي هذا إلى تقليل حركة المرور عبر الشبكة الناتجة عن النسخ المتماثل ويضمن أن تتلقى وحدات تحكم المجال المحلية المعلومات المحدثة بسرعة.

يمكنك تكوين الترتيب الذي يتم به نسخ بيانات الدليل باستخدام روابط الموقع (روابط الموقع). على سبيل المثال، تحديد خادم الجسر (رأس الجسر) للنسخ المتماثل بين المواقع.

سوف يقع الجزء الأكبر من التحميل الناتج عن النسخ المتماثل عبر المواقع على هذا الخادم المخصص، وليس على أي خادم موقع متاح. المواقع الإلكترونيةويتم تكوين الشبكات الفرعية في وحدة التحكم الدليل النشط -المواقع والخدمات(مواقع وخدمات الدليل النشط).

العمل مع المجالات الدليل النشط

متصل شبابيك الخادمخدمة 2003 نشيطالدليلتكوين في وقت واحد معDNS. ومع ذلك، فإن مجالات Active Directory ومجالات DNS لها أغراض مختلفة. تساعد مجالات Active Directory في إدارة الحسابات والموارد والأمان.

تم تصميم التسلسل الهرمي لمجال DNS بشكل أساسي لتحليل الاسم.

يمكن لأجهزة الكمبيوتر التي تعمل بنظامي التشغيل Windows XP Professional وWindows 2000 الاستفادة الكاملة من Active Directory. فهي تعمل على الشبكة كعملاء Active Directory ولديها إمكانية الوصول إلى علاقات الثقة العابرة الموجودة في شجرة أو مجموعة من المجالات. تسمح هذه العلاقات للمستخدمين المعتمدين بالوصول إلى الموارد في أي مجال في الغابة.

نظام يعمل Windows Server 2003 كوحدة تحكم بالمجال أو كخادم عضو. تصبح الخوادم الأعضاء وحدات تحكم بعد تثبيت Active Directory؛ يتم تخفيض رتبة وحدات التحكم إلى الخوادم الأعضاء بعد إزالة Active Directory.

يتم تنفيذ كلتا العمليتينمعالج تثبيت الدليل النشط. يمكن أن يكون هناك وحدات تحكم متعددة في المجال. يقومون بنسخ بيانات الدليل فيما بينهم باستخدام نموذج النسخ المتماثل متعدد الماجستير، والذي يسمح لكل وحدة تحكم بمعالجة تغييرات الدليل ثم نشرها إلى وحدات تحكم أخرى. مع البنية متعددة الرئيسيات، تتمتع جميع وحدات التحكم بمسؤولية متساوية افتراضيًا. ومع ذلك، يمكنك منح بعض وحدات تحكم المجال الأولوية على غيرها لمهام معينة، مثل إنشاء خادم جسر له الأولوية عند نسخ بيانات الدليل إلى مواقع أخرى.

بالإضافة إلى ذلك، يتم تنفيذ بعض المهام بشكل أفضل على خادم مخصص. يسمى الخادم الذي يعالج نوع معين من المهام سيد العمليات (سيد العمليات).

يتم إنشاء الحسابات لجميع أجهزة الكمبيوتر التي تعمل بأنظمة التشغيل Windows 2000 وWindows XP Professional وWindows Server 2003 والمنضمة إلى مجال، ويتم تخزينها ككائنات Active Directory، مثل الموارد الأخرى. تُستخدم حسابات الكمبيوتر للتحكم في الوصول إلى الشبكة ومواردها، وقبل أن يتمكن الكمبيوتر من الوصول إلى المجال باستخدام حسابه، يجب أن يخضع لإجراءات المصادقة.

بنية الدليل

يتم توفير بيانات الدليل للمستخدمين وأجهزة الكمبيوتر من خلال مخزن البيانات (مخازن البيانات) و الدلائل العالمية (عالميكتالوجات). على الرغم من أن معظم الميزاتنشيطالدليلتؤثر الفهارس العالمية (GCs) على تخزين البيانات، ولا تقل أهمية لأنها تستخدم لتسجيل الدخول إلى النظام والبحث عن المعلومات. إذا لم يكن GC متاحًا، فلن يتمكن المستخدمون العاديون من تسجيل الدخول إلى المجال.الطريقة الوحيدة للتغلب على هذا الشرط هي تخزين العضوية مؤقتًا محليًا مجموعات عالمية.

يتم توفير الوصول إلى بيانات Active Directory وتوزيعها عن طريق الوسائل بروتوكولات الوصول إلى الدليل (الدليل وصولالبروتوكولات) و تكرار (تكرار).

هناك حاجة إلى النسخ المتماثل لتوزيع البيانات المحدثة على وحدات التحكم. الطريقة الرئيسية لتوزيع التحديثات هي النسخ المتماثل متعدد الماجستير، ولكن تتم معالجة بعض التغييرات فقط بواسطة وحدات تحكم متخصصة - سادة العمليات (سادة العمليات).

لقد تغيرت أيضًا الطريقة التي يتم بها إجراء النسخ المتماثل متعدد الأقسام في نظام التشغيل Windows Server 2003 مع تقديم أقسام الكتالوج التطبيقات (طلبالدليلأقسام). من خلالهم مسؤولي النظاميمكن إنشاء أقسام النسخ المتماثل في مجموعة تفرعات المجال، وهي بنيات منطقية تستخدم لإدارة النسخ المتماثل داخل مجموعة تفرعات المجال. على سبيل المثال، يمكنك إنشاء قسم يتعامل مع النسخ المتماثل لمعلومات DNS داخل المجال. لا يُسمح للأنظمة الأخرى في المجال بنسخ معلومات DNS.

يمكن أن تكون أقسام دليل التطبيق عنصر الطفلالمجال، أو فرع لقسم تطبيق آخر، أو شجرة جديدة في مجموعة من المجالات. يمكن استضافة النسخ المتماثلة للأقسام على أي وحدة تحكم مجال Active Directory، بما في ذلك الكتالوجات العامة. على الرغم من أن أقسام دليل التطبيق مفيدة في المجالات والغابات الكبيرة، إلا أنها تزيد من تكاليف التخطيط والإدارة والصيانة.

مخزن البيانات

يحتوي المستودع على معلومات حول أهم كائنات خدمة دليل Active Directory - الحسابات والموارد المشتركة وسياسات OP والمجموعة. في بعض الأحيان يتم استدعاء مستودع البيانات ببساطة فهرس (الدليل). على وحدة تحكم المجال، يتم تخزين الدليل في ملف NTDS.DIT ​​​​، والذي يتم تحديد موقعه عند تثبيت Active Directory (يجب أن يكون هذا محرك أقراص NTFS). يمكن تخزين بعض بيانات الدليل بشكل منفصل عن وحدة التخزين الرئيسية، على سبيل المثال، سياسات المجموعةوالبرامج النصية والمعلومات الأخرى المسجلة في مشاركة نظام SYSVOL.

يتم استدعاء معلومات دليل المشاركة النشر (ينشر). على سبيل المثال، عند فتح الطابعة للاستخدام على الشبكة، يتم نشرها؛ يتم نشر معلومات المجلد المشترك، وما إلى ذلك. تقوم وحدات تحكم المجال بتكرار معظم التغييرات على التخزين بطريقة متعددة الرئيسية. نادرًا ما يقوم المسؤول في مؤسسة صغيرة أو متوسطة الحجم بإدارة النسخ المتماثل للتخزين لأنه يتم تلقائيًا، ولكن يمكن تكوينه ليناسب تفاصيل بنية الشبكة.

لا يتم نسخ كافة بيانات الدليل، فقط:

بيانات المجال - معلومات حول الكائنات الموجودة في المجال، بما في ذلك كائنات الحسابات والموارد المشتركة وسياسات OP والمجموعة؛

بيانات التكوين - معلومات حول طوبولوجيا الدليل: قائمة بجميع المجالات والأشجار والغابات، بالإضافة إلى موقع وحدات التحكم وخوادم GC؛

بيانات المخطط - معلومات حول كافة الكائنات وأنواع البيانات التي يمكن تخزينها في الدليل؛ يصف مخطط Windows Server 2003 القياسي كائنات الحساب، وكائنات الموارد المشتركة، وما إلى ذلك، ويمكن توسيعه عن طريق تعريف كائنات وسمات جديدة أو إضافة سمات إلى الكائنات الموجودة.

الكتالوج العالمي

إذا التخزين المؤقت للعضوية المحلية لا يتم تنفيذ المجموعات العالمية؛ يعتمد تسجيل الدخول إلى الشبكة على معلومات حول العضوية في المجموعة العالمية التي يوفرها القانون المدني.

كما يوفر أيضًا بحثًا في الدليل عبر كافة المجالات في الغابة. مراقب، لعب الأدواريقوم خادم GK بتخزين نسخة متماثلة كاملة من كافة كائنات الدليل في مجاله ونسخة متماثلة جزئية من الكائنات الموجودة في مجالات أخرى من الغابة.

هناك حاجة إلى عدد قليل فقط من خصائص الكائن لتسجيل الدخول والبحث، لذلك يمكن استخدام النسخ المتماثلة الجزئية. لتكوين نسخة متماثلة جزئية، يتطلب النسخ المتماثل نقل بيانات أقل، مما يقلل من حركة مرور الشبكة.

بشكل افتراضي، تصبح وحدة تحكم المجال الأولى هي وحدة تحكم المجال الرئيسية. لذلك، إذا كان هناك وحدة تحكم واحدة فقط في المجال، فإن خادم المجال الرئيسي ووحدة تحكم المجال هما نفس الخادم. يمكنك وضع GC على وحدة تحكم أخرى لتقليل الوقت المستغرق لانتظار الاستجابة عند تسجيل الدخول وتسريع عملية البحث. يوصى بإنشاء GC واحد في كل موقع مجال.

هنالك العديد من الطرق لحل هذه المشكلة. بالطبع، يمكنك إنشاء خادم GC على إحدى وحدات التحكم بالمجال في مكتب بعيد. عيب هذه الطريقة هو أنها تزيد من الحمل على خادم GK، مما قد يتطلب موارد إضافية وتخطيطًا دقيقًا لوقت تشغيل هذا الخادم.

الحل البديل الآخر هو تخزين عضويات المجموعة العالمية محليًا. في هذه الحالة، يمكن لأي وحدة تحكم مجال خدمة طلبات تسجيل الدخول محليًا، دون الاتصال بخادم المجال الرئيسي. يؤدي هذا إلى تسريع إجراءات تسجيل الدخول ويجعل الوضع أسهل في حالة فشل خادم GK. بالإضافة إلى ذلك، يؤدي هذا إلى تقليل حركة مرور النسخ المتماثل.

بدلاً من تحديث المجموعة بأكملها بشكل دوري عبر الشبكة بالكامل، يكفي تحديث المعلومات المخزنة مؤقتًا حول عضوية المجموعة العالمية. بشكل افتراضي، يحدث التحديث كل ثماني ساعات على كل وحدة تحكم مجال تستخدم التخزين المؤقت لعضوية المجموعة العالمية المحلية.

العضوية في مجموعة عالمية بشكل فردي لكل موقع. دعونا نتذكر أن الموقع عبارة عن بنية مادية تتكون من شبكة فرعية واحدة أو أكثر تحتوي على مجموعة فردية من عناوين IP وقناع الشبكة. وحدات تحكم المجال شبابيكيجب أن يكون Server 2003 وGC الذي يصلون إليه في نفس الموقع. إذا كان هناك عدة مواقع، فسيتعين عليك تكوين التخزين المؤقت المحلي على كل منها. بالإضافة إلى ذلك، يجب على المستخدمين الذين يقومون بتسجيل الدخول إلى الموقع أن يكونوا جزءًا من مجال Windows Server 2003 الذي يعمل في وضع مجموعة Windows Server 2003.

النسخ المتماثل في Active Directory

يخزن الدليل ثلاثة أنواع من المعلومات: بيانات المجال، وبيانات المخطط، وبيانات التكوين. يتم نسخ بيانات المجال إلى كافة وحدات تحكم المجال. كافة وحدات تحكم المجال لها حقوق متساوية، أي. سيتم نسخ كافة التغييرات التي تم إجراؤها من أي وحدة تحكم مجال إلى كافة وحدات تحكم المجال الأخرى. يتم نسخ بيانات التصميم والتكوين نسخاً متماثلاً إلى كافة المجالات في الشجرة أو الغابة. بالإضافة إلى ذلك، يتم نسخ كافة كائنات المجال الفردي وبعض خصائص كائنات الغابة في GC. وهذا يعني أن وحدة تحكم المجال تقوم بتخزين وتكرار مخطط الشجرة أو الغابة، ومعلومات التكوين لكافة المجالات في الشجرة أو الغابة، وكافة كائنات الدليل وخصائصه للمجال الخاص به.

تحتوي وحدة التحكم بالمجال التي تم تخزين GC عليها على معلومات المخطط الخاصة بالغابة وتقوم بنسخها، ومعلومات التكوين لجميع المجالات في الغابة، ومجموعة محدودة من الخصائص لجميع كائنات الدليل في الغابة (يتم نسخها بين خوادم GC فقط)، بالإضافة إلى كافة كائنات وخصائص الدليل الخاصة بنطاقك.

لفهم جوهر النسخ المتماثل، خذ بعين الاعتبار هذا السيناريو لإعداد شبكة جديدة.

1. في المجال تم تثبيت وحدة التحكم الأولى. هذا الخادم هو وحدة تحكم المجال الوحيدة. وهو أيضًا خادم GK. لا يحدث النسخ المتماثل في مثل هذه الشبكة، حيث لا توجد وحدات تحكم أخرى.

2. في المجال ويتم تثبيت وحدة تحكم ثانية، ويبدأ النسخ المتماثل. يمكنك تعيين وحدة تحكم واحدة كوحدة تحكم رئيسية للبنية التحتية والأخرى كخادم GC. يراقب مالك البنية التحتية ويطلب تحديثات GL للكائنات التي تم تغييرها. تعمل كل من وحدات التحكم هذه أيضًا على نسخ بيانات المخطط والتكوين.

3. في المجال وتم تركيب وحدة تحكم ثالثة لا تحتوي على وحدة تحكم رئيسية. يقوم مسؤول البنية التحتية الرئيسي بمراقبة تحديثات GC، ويطلب منها الكائنات التي تم تغييرها، ثم يقوم بنسخ التغييرات إلى وحدة تحكم مجال ثالثة. تقوم وحدات التحكم الثلاثة أيضًا بتكرار بيانات المخطط والتكوين.

4. يتم إنشاء مجال جديد B وإضافة وحدات التحكم إليه. تقوم خوادم GC في المجال A والمجال B بنسخ جميع بيانات المخطط والتكوين، بالإضافة إلى مجموعة فرعية من بيانات المجال من كل مجال. يستمر النسخ المتماثل في المجال A كما هو موضح أعلاه، بالإضافة إلى بدء النسخ المتماثل داخل المجال B.

نشيطالدليلو لداب

يعد بروتوكول الوصول إلى الدليل الخفيف (LDAP) بروتوكولًا قياسيًا لاتصالات الإنترنت في شبكات TCP/IP. تم تصميم LDAP خصيصًا للوصول إلى خدمات الدليل بأقل قدر من الحمل. يحدد LDAP أيضًا العمليات المستخدمة للاستعلام عن معلومات الدليل وتغييرها.

العملاء يستخدم Active Directory LDAP للتواصل مع أجهزة الكمبيوتر التي تقوم بتشغيل Active Directory عند تسجيل الدخول إلى الشبكة أو البحث عن الموارد المشتركة. يعمل LDAP على تبسيط عملية ربط الدليل والانتقال إلى Active Directory من خدمات الدليل الأخرى. لتحسين التوافق، يمكنك استخدام واجهات خدمات Active Directory (نشيطالدليل خدمة- واجهات, ADSI).

الأدوار الرئيسية للعمليات

يعالج سيد العمليات المهام التي يصعب تنفيذها في نموذج النسخ المتماثل متعدد الرئيسيات. هناك خمسة أدوار رئيسية للعمليات يمكن تعيينها لوحدة تحكم مجال واحدة أو أكثر. يجب أن تكون بعض الأدوار فريدة على مستوى الغابة، بينما يجب أن تكون الأدوار الأخرى فريدة على مستوى المجال. يجب أن تكون الأدوار التالية موجودة في كل مجموعة تفرعات Active Directory:

سيد المخطط) - يدير التحديثات والتغييرات في مخطط الدليل. لتحديث مخطط الدليل، يجب أن يكون لديك حق الوصول إلى المخطط الرئيسي. لتحديد الخادم الذي هو حاليًا مالك المخطط في المجال، ما عليك سوى فتح النافذة سطر الأوامروأدخل: خادم dsquery -لديهFcom.smo مخطط.

سيد تسمية المجال - إدارة إضافة وإزالة المجالات في الغابة. لإضافة مجال أو إزالته، تحتاج إلى الوصول إلى مدير تسمية المجال. لتحديد الخادم الذي هو حاليًا الخادم الرئيسي لتسمية النطاق، فقط أدخل في نافذة سطر الأوامر: dsquery server -لديهFcom.smo اسم.

ويجب أن تكون هذه الأدوار، المشتركة في الغابة ككل، فريدة بالنسبة لها.

الأدوار التالية مطلوبة في كل مجال Active Directory.

سيد الهوية النسبية - يخصص المعرفات النسبية لوحدات تحكم المجال. في كل مرة تقوم فيها بإنشاء كائن مستخدم أو مجموعة أو تقوم وحدات التحكم في الكمبيوتر بتعيين معرف أمان فريد لكائن ما، يتكون من معرف أمان المجال ومعرف فريد تم تخصيصه بواسطة المعرف الرئيسي النسبي. لتحديد الخادم الذي هو حاليًا مالك المعرفات النسبية في المجال، ما عليك سوى إدخال ما يلي في نافذة سطر الأوامر: com.dsqueryالخادم -لديهFcom.smoيتخلص.

محاكي PDC - في وضع المجال المختلط أو المتوسط، يعمل كوحدة تحكم مجال رئيسية لنظام التشغيل Windows NT. يقوم بتصديق تسجيلات الدخول إلى Windows NT، ويتعامل مع تغييرات كلمة المرور، وينسخ التحديثات إلى P DC. لتحديد الخادم الذي هو حاليًا محاكي PDC في المجال، ما عليك سوى الدخول في نافذة سطر الأوامر com.dsquery الخادم - com.hasfsmo pdc.

مالك البنية التحتية يتقن ) - يقوم بتحديث روابط الكائنات من خلال مقارنة بيانات الكتالوج الخاص به ببيانات GK. إذا كانت البيانات قديمة، فإنه يطلب التحديثات من GC وينسخها إلى وحدات التحكم المتبقية في المجال. لتحديد الخادم الذي هو حاليا مالك البنية التحتية في المجال، فقط في نافذة سطر الأوامر وأدخل com.dsqueryالخادم -hasfsmo infr .

يجب أن تكون هذه الأدوار، المشتركة في المجال بأكمله، فريدة داخل المجال. بمعنى آخر، يمكنك تكوين هوية رئيسية نسبية واحدة فقط، ومحاكي PDC واحد، وبنية أساسية رئيسية واحدة لكل مجال.

عادةً ما يتم تعيين أدوار العمليات الرئيسية تلقائيًا، ولكن يمكن إعادة تعيينها. عند تثبيت شبكة جديدة، تتولى وحدة تحكم المجال الأولى للمجال الأول كافة الأدوار الرئيسية للعمليات. إذا تم إنشاء مجال فرعي جديد أو مجال جذر لاحقًا في الشجرة الجديدة، فسيتم أيضًا تعيين أدوار العمليات الرئيسية تلقائيًا إلى وحدة تحكم المجال الأولى. في مجموعة تفرعات مجال جديدة، يتم تعيين كافة الأدوار الرئيسية للعمليات إلى وحدة تحكم المجال. إذا تم إنشاء مجال جديد في نفس المجموعة، فسيتم تعيين دور المعرف النسبي الرئيسي لوحدة التحكم الخاصة به، ومحاكي Pدج وصاحب البنية التحتية. تظل أدوار المخطط الرئيسي وأدوار تسمية المجال الرئيسية مع المجال الأول في الغابة.

إذا كان هناك وحدة تحكم واحدة فقط في المجال، فإنها تنفذ كافة الأدوار الرئيسية للعمليات. إذا كان هناك موقع واحد فقط على الشبكة، فإن الموقع القياسي للعمليات الرئيسية هو الأمثل. ولكن أثناء قيامك بإضافة وحدات تحكم المجال والمجالات، تحتاج في بعض الأحيان إلى نقل الأدوار الرئيسية للعمليات إلى وحدات تحكم المجال الأخرى.

إذا كان هناك وحدتي تحكم بالمجال أو أكثر في المجال، فمن المستحسن تكوين وحدتي تحكم بالمجال للعمل كأدوار رئيسية للعمليات. على سبيل المثال، قم بتعيين وحدة تحكم مجال واحدة باعتبارها وحدة التحكم الأساسية للعمليات، والأخرى كنسخة احتياطية، والتي ستكون ضرورية في حالة فشل الوحدة الرئيسية.

إدارة الدليل النشط

جباستخدام خدمة Active Directory، يتم إنشاء حسابات الكمبيوتر، وتكون متصلة بالمجال، وتتم إدارة أجهزة الكمبيوتر ووحدات التحكم بالمجال والوحدات التنظيمية (OUs).

يتم توفير أدوات الإدارة والدعم لإدارة Active Directory. يتم أيضًا تنفيذ الأدوات المذكورة أدناه كأدوات إضافية لوحدة تحكم MMC (مايكروسوفت إدارةوحدة التحكم):

Active Directory - المستخدمون وأجهزة الكمبيوتر (Active Directory المستخدمين و أجهزة الكمبيوتر) يسمح لك بإدارة المستخدمين والمجموعات وأجهزة الكمبيوتر والوحدات التنظيمية (OU)؛

نشيط الدليل- المجالات والثقة ( نشيط الدليل المجالاتو يثق ) يعمل على العمل مع المجالات وأشجار المجال وغابات المجال؛

الدليل النشط - المواقع وخدمات (مواقع وخدمات الدليل النشط) يسمح لك بإدارة المواقع والشبكات الفرعية;

نتيجة سياسة (مجموعة السياسات الناتجة) يُستخدم لعرض السياسة الحالية للمستخدم أو النظام ولجدولة التغييرات على السياسة.

في في Microsoft Windows 2003 Server، يمكنك الوصول إلى هذه الأدوات الإضافية مباشرةً من قائمة "أدوات إدارية".

أداة إدارية أخرى هي الأداة الإضافية مخطط نشيطالدليل (نشيط الدليل مخطط) - يسمح لك بإدارة وتعديل مخطط الدليل.

أدوات سطر الأوامر نشيط الدليل

لإدارة الكائنات نشيط الدليلهناك أدوات سطر الأوامر التي تسمح لك بأداء مجموعة واسعة من المهام الإدارية:

DSADD - تضيف ل نشيط الدليلأجهزة الكمبيوتر وجهات الاتصال والمجموعات وOP والمستخدمين.

DSGET - يعرض خصائص أجهزة الكمبيوتر وجهات الاتصال والمجموعات وOPs والمستخدمين والمواقع والشبكات الفرعية والخوادم المسجلة فيها نشيط الدليل.

دسمود - تغيير خصائص أجهزة الكمبيوتر وجهات الاتصال والمجموعات وOPs والمستخدمين والخوادم المسجلة فيها نشيط الدليل.

ديسموف - نقل كائن واحد إلى موقع جديد داخل المجال أو إعادة تسمية كائن دون نقله.

DSQXJERY - البحث عن أجهزة الكمبيوتر وجهات الاتصال والمجموعات وOPs والمستخدمين والمواقع والشبكات الفرعية والخوادم الموجودة نشيط الدليلوفقا لمعايير محددة.

دسرم - إزالة كائن من نشيط الدليل.

NTDSUTIL - يسمح لك بعرض معلومات حول موقع أو مجال أو خادم وإدارته سادة العمليات (عمليات سادة) والحفاظ على قاعدة البياناتنشيط الدليل.

يحدد المستوى الوظيفي للمجال أو الغابة الوظيفة المتاحة للاستخدام. يتيح لك المستوى الوظيفي الأعلى للمجال أو الغابة استخدام الميزات الإضافية التي ظهرت في الإصدارات الأخيرة من Active Directory. ومع ذلك، حتى لو كنت تستخدم أحدث الإصداراتوحدات التحكم بالمجال، ولكنك لم تقم بترقية المجال الخاص بك، فلن تكون وظيفة مجال AD الجديدة متاحة.
على سبيل المثال، لديك وحدات تحكم مجال Windows Server 2012 أو Windows Server 2016 مثبتة، ولكن المستوى الوظيفي للمجال هو Windows Server 2003، فلن يكون خيار استخدام سلة محذوفات Active Directory متاحًا، نظرًا لأن القدرة على تمكينه تظهر فقط على المستوى الوظيفي لمجال Windows Server 2008 R2 وما فوق.

تحديد المجال الحالي ومستوى وظائف الغابة من خلال واجهة المستخدم الرسومية
لتحديد المجال الحالي ومستوى وظائف الغابة باستخدام واجهة المستخدم الرسومية، يجب عليك تشغيل الأداة الإضافية Active Directory Domains and Trusts وستعرض علامة التبويب عام المجال الحالي ومستوى وظائف الغابة.

تحديد المستوى الوظيفي الحالي عبر PowerShell

كيفية زيادة المستوى الوظيفي للمجال من خلال واجهة المستخدم الرسومية

في النافذة التي تفتح، حدد المستوى الوظيفي المطلوب للمجال وانقر فوق الزر رفع

كيفية زيادة المستوى الوظيفي للغابة من خلال واجهة المستخدم الرسومية

هام: لا يمكن عكس ارتفاعات المستوى الوظيفي للمجال والغابة أو خفضها. الاستثناء: لا يمكن إرجاع مستوى وظيفة المجال إلا من Windows Server 2008 R2 إلى Windows Server 2008؛ وفي جميع الحالات الأخرى لا يمكن عكس هذه العملية.

كيفية رفع المستوى الوظيفي للمجال باستخدام PowerShell

• ويندوز سيرفر 2000: 0 أو Windows2000Domain
• مجال Windows Server 2003 المؤقت: 1 أو Windows2003InterimDomain
• ويندوز سيرفر 2003: 2 أو Windows2003Domain
• ويندوز سيرفر 2008: 3 أو Windows2008Domain
• Windows Server 2008 R2: 4 أو Windows2008R2Domain
• ويندوز سيرفر 2012: 5 أو Windows2012Domain
• Windows Server 2012 R2:6 أو Windows2012R2Domain
• ويندوز سيرفر 2016: 7 أو Windows2016Domain

• ويندوز سيرفر 2000: Windows2000Forest أو 0
• ويندوز سيرفر 2003: Windows2003InterimForest أو 1
• ويندوز سيرفر 2003: Windows2003Forest أو 2
• ويندوز سيرفر 2008: Windows2008Forest أو 3
• ويندوز سيرفر 2008 R2: Windows2008R2Forest أو 4
• ويندوز سيرفر 2012: Windows2012Forest أو 5
• ويندوز سيرفر 2012 R2: Windows2012R2Forest أو 6
• ويندوز سيرفر 2016: Windows2016Forest أو 7