الفصل : 3
الجزء : 2
العنوان : ال Active Directory
أدوات إدارة Active Directory
ليس هناك أداة واحدة تُستخدم لإدارة جميع جوانب Active Directory. نظرًا لأنه تقنية واسعة النطاق، يتم توزيع تكوين الدليل عبر عدد من أدوات الإدارة المختلفة. دعونا نلقي نظرة على كل منها وبعض المهام الشائعة التي ستقوم بتنفيذها داخل هذه الأدوات. يمكن تشغيل أي من أدوات الإدارة هذه من أي من خوادم وحدة التحكم في المجال الخاصة بك، وكما رأينا في فصل سابق، فإن أسهل طريقة لتشغيل هذه الأدوات هي من قائمة الأدوات في الزاوية اليمنى العليا من Server Manager.
سأبدأ بالأداة التي تأتي في الترتيب الأبجدي الأخير في قائمة أدوات Active Directory الخاصة بنا، لأنها بوضوح الأداة التي سيستخدمها مسؤول الخادم اليومي في أغلب الأحيان. AD Users and Computers هي الكونسول التي يتم من خلالها إنشاء وإدارة جميع حسابات المستخدمين وحسابات الكمبيوتر. افتحها، وسترى اسم النطاق الخاص بك مدرجًا في العمود الأيسر. قم بتوسيع اسم النطاق الخاص بك، وسترى عددًا من المجلدات المدرجة هنا. إذا كنت تفتح هذا على وحدة تحكم في نطاق موجود في شبكة ناضجة، فقد يكون لديك صفحات وصفحات من المجلدات المدرجة هنا. إذا كان هذا بيئة جديدة، فهناك فقط عدد قليل من المجلدات. أهم الأشياء التي يجب الإشارة إليها هنا هي Computers وUsers. كما يملي المنطق السليم، هذه هي الحاويات الافتراضية التي ستوجد فيها حسابات الكمبيوتر الجديدة وحسابات المستخدمين التي تنضم إلى النطاق.
بينما تبدو هذه النافذة مشابهة جدًا لـ File Explorer بشجرة من المجلدات، فإن هذه المجلدات ليست حقًا مجلدات على الإطلاق. معظم الأيقونات ذات اللون الأصفر الفاتح التي تراها هنا تُعرف بوحدات تنظيمية (OUs). أقول معظمها لأن هناك بعض الحاويات التي توجد خارج الصندوق والتي هي حاويات تخزين شرعية لحفظ الكائنات، لكنها ليست وحدات تنظيمية رسمية. تلك التي أشرنا إليها سابقًا، Users وComputers، هي في الواقع هذه الحاويات العامة للتخزين وليست وحدات تنظيمية تقليدية. ومع ذلك، أي مجلدات جديدة تقوم بإنشائها لنفسك داخل AD ستكون وحدات تنظيمية. الفرق يظهر في أيقونة المجلد الأصفر الفاتح. يمكنك رؤية في لقطات الشاشة القادمة أن بعض المجلدات الصفراء الفاتحة لديها رسمة صغيرة إضافية على الجزء العلوي من المجلد نفسه. فقط تلك المجلدات التي لديها الشيء الأصفر الإضافي هي وحدات تنظيمية حقيقية.
الوحدات التنظيمية هي الحاويات الهيكلية التي نستخدمها داخل Active Directory لتنظيم كائناتنا وإبقائها جميعًا في أماكن مفيدة. تمامًا مثل المجلدات على خادم الملفات، يمكنك إنشاء هيكل الهرمية الخاص بك من الوحدات التنظيمية هنا، من أجل فرز ومعالجة الموقع داخل Active Directory لجميع الكائنات والأجهزة المنضمة إلى النطاق. في لقطة الشاشة التالية، يمكنك أن ترى أنه بدلاً من وجود مجلد Users وComputers عادي، قمت بإنشاء بعض الوحدات التنظيمية الجديدة بما في ذلك الفئات الفرعية (المعروفة رسميًا بالوحدات التنظيمية المتداخلة) حتى أنه عندما تنمو بيئتي، سيكون لدي دليل أكثر تنظيمًا وهيكلية:
حسابات المستخدمين (User accounts)
الآن بعد أن لدينا بعض الوحدات التنظيمية جاهزة لاحتواء كائناتنا، دعونا نقوم بإنشاء مستخدم جديد. لنفترض أن لدينا مسؤول خادم جديد سينضم إلى الفريق، ونحتاج إلى الحصول على تسجيل دخول له في Active Directory حتى يتمكن من بدء عمله. ببساطة اعثر على الوحدة التنظيمية المناسبة التي سيقيم حسابه فيها، وانقر بزر الماوس الأيمن على الوحدة التنظيمية، وانتقل إلى New | User. ثم يتم تقديم شاشة جمع المعلومات حول جميع الأشياء التي يحتاجها AD لإنشاء هذا الحساب الجديد. معظم المعلومات هنا واضحة، ولكن إذا كنت جديدًا على Active Directory، سأشير إلى حقل واحد وهو User logon name. أي معلومات يتم وضعها في هذا الحقل هي اسم المستخدم الرسمي للمستخدم على الشبكة. في كل مرة يسجلون فيها الدخول إلى كمبيوتر أو خادم، هذا هو الاسم الذي سيدخلونه كاسم تسجيل دخولهم.
عند الانتهاء، يمكن لمسؤولنا الجديد استخدام اسم المستخدم وكلمة المرور الجديدين لتسجيل الدخول إلى أجهزة الكمبيوتر والخوادم على الشبكة، ضمن الحدود الأمنية التي أنشأناها على تلك الأجهزة، بالطبع. لكن هذا موضوع لفصل آخر:
مجموعات الأمان (Security groups)
وحدة تنظيمية أخرى مفيدة داخل Active Directory هي مجموعات الأمان. يمكننا القيام بالكثير للتمييز بين أنواع مختلفة من المستخدمين وحسابات الكمبيوتر باستخدام الوحدات التنظيمية، ولكن ماذا عن عندما نحتاج إلى بعض التداخل في هذا الهيكل؟ ربما لدينا موظف يتعامل مع بعض مسؤوليات الموارد البشرية وبعض مسؤوليات المحاسبة. تُدار أذونات الملفات والمجلدات على خوادم الملفات لدينا عادةً من خلال الوصول الفردي أو الجماعي لقراءة وكتابة في مجلدات معينة. تحتاج Susie من الموارد البشرية إلى الوصول إلى مجلد الرواتب، لكن Jim من الموارد البشرية لا يحتاج.
كل من Susie و Jim يوجدان داخل نفس الوحدة التنظيمية، لذلك على هذا المستوى، سيكون لديهم نفس الأذونات والقدرات، لكن من الواضح أننا بحاجة إلى طريقة مختلفة للتمييز بينهما بحيث تحصل Susie فقط على الوصول إلى معلومات الرواتب. من خلال إنشاء مجموعات الأمان داخل Active Directory، نمنح أنفسنا القدرة على إضافة وإزالة حسابات المستخدمين المحددة، وحسابات الكمبيوتر، أو حتى المجموعات الأخرى حتى نتمكن من تحديد الوصول إلى مواردنا بدقة. تنشئ مجموعات جديدة بنفس الطريقة التي تنشئ بها حسابات المستخدمين، من خلال اختيار الوحدة التنظيمية التي تريد أن توجد المجموعة الجديدة فيها، ثم النقر بزر الماوس الأيمن على تلك الوحدة التنظيمية والتنقل إلى New | Group. بمجرد إنشاء المجموعة الخاصة بك، انقر بزر الماوس الأيمن عليها وانتقل إلى الخصائص. يمكنك بعد ذلك النقر على علامة التبويب Members؛ هنا تضيف جميع المستخدمين الذين تريد أن يكونوا جزءًا من هذه المجموعة الجديدة:
إعداد حسابات الكمبيوتر مسبقًا
من الشائع جدًا استخدام Active Directory Users and Computers لإنشاء حسابات مستخدمين جديدة لأنه بدون الإنشاء اليدوي لحساب المستخدم، سيكون هذا الشخص الجديد غير قادر تمامًا على تسجيل الدخول على شبكتك. ومع ذلك، من غير الشائع التفكير في فتح هذه الأداة عند الانضمام إلى أجهزة كمبيوتر جديدة إلى نطاقك. هذا لأن معظم النطاقات مُعدة بحيث يُسمح لأجهزة الكمبيوتر الجديدة بالانضمام إلى النطاق من خلال الإجراءات التي يتم تنفيذها على الكمبيوتر نفسه، دون أي عمل يتم داخل Active Directory مسبقًا. بعبارة أخرى، طالما أن هناك شخصًا يعرف اسم مستخدم وكلمة مرور لديه حقوق إدارية داخل النطاق، يمكنه الجلوس على أي كمبيوتر متصل بالشبكة والسير عبر عملية الانضمام إلى النطاق على الكمبيوتر المحلي. في الواقع، في العديد من النطاقات، لا تحتاج حتى إلى حقوق إدارية للانضمام إلى الجهاز إلى النطاق.
من خلال اتخاذ بضع خطوات على الكمبيوتر، يمكنك بسهولة الانضمام إليه إلى النطاق، وسيقوم Active Directory بإنشاء كائن كمبيوتر جديد له تلقائيًا. هذه الكائنات الكمبيوترية التي تُنشأ تلقائيًا تضع نفسها داخل حاوية Computers الافتراضية، لذلك في العديد من الشبكات، إذا قمت بالنقر على هذا المجلد Computers، سترى عددًا من الأجهزة المختلفة المدرجة، وقد تكون حتى مزيجًا من أجهزة الكمبيوتر المكتبية والخوادم التي انضمت مؤخرًا إلى النطاق ولم يتم نقلها بعد إلى وحدة تنظيمية مناسبة وأكثر تحديدًا. في بيئة المختبر المتزايدة الخاصة بي، قمت مؤخرًا بضم عدة أجهزة إلى النطاق. فعلت هذا دون فتح Active Directory Users and Computers مطلقًا، ويمكنك أن ترى أن كائنات الكمبيوتر الجديدة الخاصة بي لا تزال جالسة داخل حاوية Computers الافتراضية:
السماح لحسابات الكمبيوتر الجديدة بوضع نفسها داخل حاوية Computers الافتراضية ليس مشكلة كبيرة بالنسبة لأنظمة العميل، ولكن إذا سمحت للخوادم بإنشاء نفسها تلقائيًا في ذلك المجلد، يمكن أن يسبب لك مشاكل كبيرة. العديد من الشركات لديها سياسات أمان موضوعة عبر الشبكة، وهذه السياسات تُنشأ عادةً بطريقة تجعلها تُطبق تلقائيًا على أي حساب كمبيوتر يقع في واحدة من الوحدات التنظيمية العامة. يمكن أن يكون استخدام السياسات الأمنية طريقة رائعة لقفل أجزاء من أجهزة العميل التي لا يحتاج المستخدم إلى الوصول إليها أو استخدامها، ولكن إذا تسببت دون قصد في تطبيق هذه السياسات القفلية على خوادمك الجديدة بمجرد انضمامها إلى النطاق، يمكنك أن تعطل الخادم قبل حتى أن تبدأ في تكوينه. صدقني، لقد فعلت ذلك. وللأسف، سيتم التعرف على كائنات الخادم الجديدة التي تمت إضافتها إلى Active Directory وتصنيفها مثل أي محطة عمل عادية تُضاف إلى النطاق، لذلك لا يمكنك تحديد حاوية افتراضية مختلفة للخوادم فقط لأنها خادم وليس محطة عمل عادية.
إذًا، ما الذي يمكن فعله لتخفيف هذه المشكلة المحتملة؟ الجواب هو إعداد حسابات النطاق مسبقًا لخوادمك الجديدة. يمكنك حتى إعداد جميع حسابات الكمبيوتر الجديدة كمبدأ، ولكن عادةً ما أرى هذا المطلب فقط في المؤسسات الكبيرة.
إعداد حساب الكمبيوتر مسبقًا يشبه إلى حد كبير إنشاء حساب مستخدم جديد. قبل الانضمام إلى الكمبيوتر إلى النطاق، تقوم بإنشاء الكائن له داخل Active Directory. من خلال إتمام إنشاء الكائن قبل عملية الانضمام إلى النطاق، يمكنك اختيار أي وحدة تنظيمية سيقيم فيها الكمبيوتر عند انضمامه إلى النطاق. يمكنك بعد ذلك التأكد من أن هذه وحدة تنظيمية ستتلقى أو لن تتلقى إعدادات وسياسات الأمان التي تنوي تطبيقها على هذا الكمبيوتر أو الخادم الجديد. أوصي بشدة بإعداد جميع حسابات الكمبيوتر في Active Directory لأي خوادم جديدة تجلبها إلى الشبكة. إذا جعلت ذلك عادة، حتى لو لم يكن مطلوبًا تمامًا طوال الوقت، فإنك ستخلق عادة جيدة قد تنقذك يومًا من إعادة بناء خادم قمت بتعطيله ببساطة من خلال انضمامه إلى النطاق.
إعداد كائن الكمبيوتر مسبقًا سريع وبسيط للغاية؛ دعنا نقم بواحد معًا. في المستقبل، أخطط لبناء Windows Server الذي يستضيف دور Remote Access لربط المستخدمين المتجولين بالشبكة من منازلهم، المقاهي، وما إلى ذلك. بعض المكونات في دور Remote Access تكون حساسة عندما يتعلق الأمر بسياسات الأمان الشبكية، ولذلك أفضل التأكد من أن خادمي الجديد RA1 لن يتلقى مجموعة من إعدادات القفل فورًا بمجرد انضمامه إلى النطاق. لقد أنشأت وحدة تنظيمية تُسمى Remote Access Servers، وسأقوم الآن بإعداد كائن كمبيوتر مسبقًا داخل تلك الوحدة التنظيمية لخادم RA1 الخاص بي.
انقر بزر الماوس الأيمن على وحدة Remote Access Servers واختر New | Computer. ثم ببساطة املأ حقل Computer name باسم خادمك. على الرغم من أنني لم أبني هذا الخادم بعد، أخطط لتسميته RA1، لذا ببساطة أكتب ذلك في الحقل:
هذا كل شيء! مع بضع نقرات بالماوس وكتابة اسم خادم واحد، لقد قمت الآن بإعداد (إنشاء مسبق) كائن الكمبيوتر لخادم RA1. إذا نظرت عن كثب إلى لقطة الشاشة السابقة، ستلاحظ أنه يمكنك أيضًا تعديل أي المستخدمين أو المجموعات يُسمح لهم بضم هذا الكمبيوتر المحدد إلى النطاق. إذا كنت تخطط لبناء خادم جديد وتريد التأكد من أنك الشخص الوحيد المسموح له بضم هذا الكمبيوتر إلى النطاق، فإن هذا الحقل يتم تحديثه بسهولة لاستيعاب هذا المتطلب. بمجرد أن أقوم ببناء ذلك الخادم فعليًا، وأقوم بمتابعة خطوات انضمامه إلى النطاق، سيُدرك Active Directory أن اسم خادمي الجديد يتطابق مع كائن موجود بالفعل في Active Directory، وسيقوم بربط خادمي الجديد بهذا الكائن المعد مسبقًا RA1 بدلاً من إنشاء كائن جديد تمامًا داخل حاوية Computers العامة:
ال Active Directory Domains and Trusts
عادةً ما تُستخدم هذه الأداة فقط في البيئات الكبيرة التي لديها أكثر من نطاق واحد داخل نفس الشبكة. كما ناقشنا سابقًا، قد تستخدم الشركة أسماء نطاقات متعددة لتقسيم الموارد أو الخدمات، أو لتحسين الهيكل التنظيمي لخوادمها وأسماء النطاقات داخل الشركة. تعرف بالفعل الفرق بين النطاق والغابة وكيف أن النطاق يقيم داخل الغابة. طريقة أخرى للتفكير في الغابة هي باعتبارها حدود هيكل AD الخاص بك. إذا كان لديك نطاقات متعددة تحت غابة واحدة، فهذا لا يعني بالضرورة أن تلك النطاقات تثق ببعضها البعض. لذلك، قد يكون لدى المستخدمين من نطاق واحد إذن أو لا يكون لديهم إذن للوصول إلى الموارد في واحد من النطاقات الأخرى، بناءً على مستوى الثقة الموجودة بين تلك النطاقات. عندما يكون لديك نطاق وتضيف نطاقات فرعية تحته، تُوضع الثقة تلقائيًا بين تلك النطاقات، ولكن إذا كنت بحاجة إلى دمج بعض النطاقات معًا بطريقة غير الأذونات الافتراضية، فإن Active Directory Domains and Trusts هي أداة الإدارة التي تُستخدم لإنشاء وتعديل تلك العلاقات الثقة.
غالبًا ما تجد المنظمات النامية نفسها في موقف تحتاج فيه إلى إدارة الثقة بين النطاقات بانتظام نتيجة لعمليات الاستحواذ التجارية. إذا استحوذت Contoso على Fabrikam، وكانت كلتا الشركتين لديهما بيئات نطاق وظيفية كاملة، فغالبًا ما يكون من المفيد العمل من خلال عملية هجرة ممتدة لجلب موظفي Fabrikam إلى Active Directory الخاص بـ Contoso، بدلاً من المعاناة من كل الخسائر المرتبطة ببساطة بإيقاف شبكة Fabrikam. لذا، لفترة معينة من الوقت، قد ترغب في تشغيل كلا النطاقين في نفس الوقت، ويمكنك إنشاء علاقة ثقة بين تلك النطاقات لجعل ذلك ممكنًا.
إذا وجدت نفسك في موقف حيث تكون هجرة النطاق بأي شكل من الأشكال ضرورية، هناك أداة متاحة قد ترغب في تجربتها. تُسمى Active Directory Migration Tool (ADMT) ويمكن أن تكون مفيدة جدًا في الحالات مثل الحالة الموضحة أعلاه. إذا كنت مهتمًا بإلقاء نظرة أقرب على هذه الأداة، يمكنك تحميلها من الرابط التاليhttps://www.microsoft.com/en-us/download/details.aspx?id=19188]
بناء الثقة (Building a trust)
ذكرت سابقًا أنني لدي بالفعل Domain Controllers وشبكة مختبر تجريبية كاملة تم إعدادها لـ contoso.local، وفي هذا الفصل قمنا بإعداد مجال جديد باسم fabrikam.local. هذه المجالات ليست مرتبطة ببعضها بأي شكل من الأشكال، فهي غابات منفصلة تمامًا. وبهذا، لن يكون حساب المستخدم في مجال واحد قادرًا على تسجيل الدخول إلى أي جهاز مرتبط بالمجال الآخر. دعونا نغير ذلك. سنستخدم Active Directory Domains and Trusts لإنشاء علاقة ثقة ثنائية الاتجاه بين هذه المجالات، مما سيمكن هذا السيناريو بالضبط – سيتمكن المستخدمون من contoso.local من تسجيل الدخول إلى أجهزة الكمبيوتر المرتبطة بـ fabrikam.local، والعكس صحيح. من الممكن إنشاء ثقة باتجاه واحد أو ثنائية الاتجاه. غالبًا ما أرى ثقة ثنائية الاتجاه لأنها تُمكّن المزيد من تدفق المعلومات بين المجالين، وفي حالة الاستحواذ، هذا هو ما نحاول تحقيقه في أغلب الأحيان. إذا كان هناك حاجة لأن تتدفق الثقة في اتجاه واحد فقط، على سبيل المثال السماح لحسابات contoso.local بتسجيل الدخول إلى أجهزة fabrikam.local ولكن ليس العكس، فهذا ممكن باستخدام الثقة باتجاه واحد.
هناك ثلاثة مكونات لبناء علاقة ثقة ناجحة:
1. الاتصال الشبكي
2. ال Conditional DNS forwarding
3. تكوين الثقة ( Configuring the trust)
الاتصال الشبكي (Network connectivit)
الأول هو البديهي، يجب أن تكون تلك المجالات قادرة على التواصل مع بعضها البعض! إذا استحوذت على شركة وكانت خوادمها في موقع مادي مختلف، فمن المحتمل أن تحتاج إلى إنشاء نوع من الاتصال عبر VPN بين الموقعين الماديين.
في مختبري التجريبي، لدي خوادم Contoso وFabrikam بعناوين IP في شبكات فرعية منفصلة، ولكنها جميعها جزء من شبكة مختبر تجريبية واحدة، لذلك يمكنها بالفعل التواصل مع بعضها البعض على مستوى TCP/IP. تأكد من أنه يمكنك إرسال واستقبال الحزم بين Domain Controllers في كلا الاتجاهين قبل المتابعة مع الخطوات المتبقية لبناء الثقة.
ال Conditional DNS forwarding
لم نقم بأي شيء في وحدة إدارة DNS حتى هذه النقطة، ولكنها مثبتة على جميع DCs لدينا. سيغطي الفصل التالي العديد من العناصر المتعلقة بإدارة DNS نفسه، ولكن في الوقت الحالي سنحتاج إلى استخدام إدارة DNS وإجراء تغيير داخل كل مجال. حاليًا، إذا قمت بتسجيل الدخول إلى جهاز عمل من Contoso وقمت بـ ping لـ fabrikam.local، أو إذا قمت بتسجيل الدخول إلى جهاز من Fabrikam وحاولت ping لـ contoso.local – أي من هذه العمليات ستفشل تمامًا، لأن المجالين ليس لديهما فكرة أن تلك أسماء DNS يجب أن يتم حلها لخوادم DNS في تلك المجالات.
لتحقيق حل الأسماء بالكامل بين المجالين، أحتاج إلى إعداد التوجيه الشرطي (conditional forwarding) داخل كل مجال.
إعداد الconditional forwarding في contoso.local
سأقوم بتسجيل الدخول إلى DC1، أحد Domain Controllers لـ contoso.local، وأطلق أداة DNS Manager من قائمة الأدوات في Server Manager. بمجرد الدخول، ستجد مجلدًا يسمى Conditional Forwarders تحت اسم الخادم. إذا قمت بالنقر بزر الماوس الأيمن على ذلك المجلد، يمكنني تحديد خيار إنشاء New Conditional Forwarder...:
بعد ذلك، أدخل اسم المجال البعيد الذي تحاول الوصول إليه في حقل DNS Domain. ثم قم بملء عناوين IP لخوادم DNS داخل ذلك المجال الآخر. يجب أن تكون الشاشة قادرة على أخذ عنوان IP الخاص بك واستعلام الخادم البعيد لاكتشاف اسم FQDN لذلك الخادم. عادةً ما أختار خانة الاختيار Store this conditional forwarder in Active Directory، حتى يتمكن جميع خوادم DNS المدعومة من AD من إجراء هذا التوجيه. إليك الاختيارات التي قمت بها داخل خادم DNS الخاص بـ contoso.local، والتي تخبره كيفية الوصول والتحدث إلى fabrikam.local:
الآن يجب أن ترى التوجيه الشرطي الجديد يظهر داخل DNS Manager، وإذا قمت بفتح موجه الأوامر وحاولت ping للمجال البعيد، fabrikam.local في حالتي، يمكنك أن ترى أن حل الأسماء للمجال البعيد ناجح الآن، حيث كان سيفشل قبل إنشاء التوجيه الشرطي:
إعداد ال conditional forwarding في fabrikam.local
لقد قمنا الآن بإنشاء توجيه شرطي من contoso.local باتجاه fabrikam.local، ولكن تذكر أننا نريد إنشاء ثقة ثنائية الاتجاه، ولذلك يجب علينا الآن تكوين نفس النوع من التوجيه داخل مجال fabrikam.local، مشيرًا إلى Domain Controllers لـ contoso.local. اتبع نفس الخطوات المذكورة أعلاه لإنشاء التوجيه الشرطي الثاني. بمجرد أن أكمل هذه الخطوة، يعمل حل الأسماء بنجاح عبر المجالات، وأنا الآن جاهز لتكوين الثقة.
تكوين الثقة
1. **الاتصال الشبكي**: تحقق
2. **الconditional forwarding بين المجالات**: تحقق
حان الوقت لإنشاء الثقة! قم بتسجيل الدخول إلى أحد Domain Controllers، سأستخدم DC1.contoso.local، وأطلق Active Directory Domains and Trusts. بمجرد الدخول، يجب أن ترى اسم مجالك مدرجًا في جزء النافذة الأيسر. انقر بزر الماوس الأيمن على اسم مجالك وحدد Properties. داخل خصائص مجالك، سترى أن التبويب الثاني يسمى Trusts. اختر هذا التبويب، وفي الأسفل هناك زر لإنشاء New Trust... يمكنك رؤية هذه الشاشة والزر في الشكل 3.17.
هناك عدة خيارات لتسمية الثقة الخاصة بك، ولكن عند إنشاء ثقة بين غابتين، كما نفعل اليوم، تريد تحديد الاسم الكامل لـ DNS للغابة البعيدة التي تتصل بها. في مثالي، أقوم بإنشاء هذه الثقة من داخل مجال contoso.local، لذا سأحدد fabrikam.local على هذه الشاشة، كما هو موضح هنا:
ستواجه الآن عدة شاشات تقدم خيارات متنوعة حول كيفية إنشاء هذه الثقة الجديدة. يمكنك إنشاء ثقة بناءً على المجالات أو الغابات (External trust أو Forest trust)، يمكنك إنشاء ذلك كثقة ثنائية الاتجاه أو باتجاه واحد في أي اتجاه، ويمكنك اختيار السماح بالمصادقة على مستوى الغابة بأكملها أو أن تكون أكثر تحديدًا. هناك وصف جيد لما يعنيه كل خيار من هذه الخيارات داخل واجهة المعالج أثناء تقدمك، ولكن ما أنا مهتم بإنشائه اليوم هو ثقة ثنائية الاتجاه كاملة بين contoso.local وfabrikam.local، لذا سأختار الخيارات التالية:
* Forest trust
* Two-way
* This domain only
* Forest-wide authentication
كلمة مرور الثقة : يمكنك تحديد أي شيء تريده ككلمة مرور الثقة، الجزء المهم هو أن تتذكرها لأنك ستحتاج إلى إدخال نفس كلمة مرور الثقة مرة أخرى عند الانتقال إلى الغابة أو المجال الثاني، واتباع هذه الخطوات مرة أخرى لإنشاء الجانب الآخر من الثقة. الشكل 3.18 يلخص الإعدادات المختارة:
الخطوة الأخيرة من المعالج هي ما إذا كنت تريد تأكيد الثقة الصادرة أم لا. نظرًا لأننا في هذه المرحلة أنشأنا جانبًا واحدًا فقط من الثقة، تذكر أننا ما زلنا بحاجة إلى زيارة Domain Controller في fabrikam.local وإعداد الجانب الآخر من الثقة؛ في هذه المرحلة لا نريد تأكيد الثقة الصادرة لأن إعداد الثقة لم يكتمل بعد.
الآن بعد أن تم إنشاء جانب واحد من الثقة في contoso.local، قم بتسجيل الدخول إلى Domain Controller في fabrikam.local واتبع نفس عملية الإعداد. بمجرد اكتمال ذلك، لديك الآن ثقة ثنائية الاتجاه كاملة بين الغابتين الخاصتين بك:
لدينا الآن Trust! رائع! ما الذي يمكننا فعله به؟ تذكر أن Trusts تهدف إلى السماح بحدوث المصادقة المتبادلة بين المجالات (domains). الآن يجب أن تكون قادرًا على الدخول إلى جهاز كمبيوتر في أي مجال وتسجيل الدخول إليه باستخدام حساب مستخدم من المجال الآخر (بافتراض عدم وجود أي شيء في شبكتك يقيد تسجيلات الدخول مثل هذه). اختبار سريع وسهل آخر هو محاولة إعداد مشاركة ملفات، وهي شيء شائع يتم مشاركته بين عدة مجالات. قم بإعداد مجلد على أي خادم في أحد المجالات وشاركه كما تفعل مع أي مجلد آخر. الآن قم بزيارة علامة التبويب Security لتعيين بعض أذونات NTFS على هذا المجلد.
عندما تنقر على الزر Add... لإضافة المزيد من الأذونات على هذه الشاشة، بالطبع ستقوم بالافتراض إلى المجال الذي تم الانضمام إليه هذا الخادم. ومع ذلك، إذا نقرت على الزر Locations... يمكنك الآن، فقط لأن الـ Trust موجود، تحديد المجال البعيد كموقع تبحث فيه، ومن ثم تستطيع إضافة حسابات المستخدمين أو المجموعات إلى أذونات مشاركة المجلد من ذلك المجال البعيد، مما يمنح هؤلاء المستخدمين الوصول إلى المجلد المشترك الخاص بك. يمكنك رؤية أن مجلد Share1 الخاص بي يسمح الآن بالأذونات للمجموعات في كل من مجال CONTOSO ومجال FABRIKAM.
الActive Directory Sites and Services
الActive Directory Sites and Services هي أداة تُستخدم عادة من قبل الشركات التي لديها بنى تحتية كبيرة لـ Active Directory. كما هو الحال مع أي خادم، إذا كان وجود وحدة تحكم في المجال واحدة جيدًا، فإن وجود وحدتين أفضل. مع نمو شركتك، كذلك ينمو بنية Active Directory التحتية. قبل أن تدرك، ستنظر إلى إعداد خوادم في موقع ثانٍ، ثم موقع ثالث، وهكذا. في شبكة تعتمد على المجال، يعد وجود خوادم وحدة التحكم في المجال في كل موقع هام ممارسة عامة، ويمكن أن تجد نفسك قريبًا تنظر إلى عشرات من خوادم وحدة التحكم في المجال تعمل في شبكتك.
تشغيل وحدات تحكم مجال جديدة وربطها بمجالك الحالي بحيث تبدأ في خدمة المستخدمين وأجهزة الكمبيوتر سهل جدًا. الجزء الأصعب هو تنظيم كل حركة المرور وجعلها تتدفق إلى المكان الذي تريده. إذا كان لديك مركز بيانات رئيسي حيث توجد غالبية خوادمك، فمن المحتمل أن يكون لديك وحدات تحكم مجال متعددة في هذا المركز. في الواقع، لجعل Active Directory لديك متاحة للغاية، من الضروري أن يكون لديك على الأقل وحدتين تحكم في المجال. ولكن دعنا نفترض أنك أنشأت مكتبًا جديدًا كبيرًا، حيث يكون من المنطقي تثبيت خادم وحدة تحكم مجال محلي في ذلك المكتب بحيث لا تصل أجهزة الكمبيوتر في ذلك المكتب عبر شبكة WAN (Wide Area Network) للمصادقة طوال الوقت. إذا قمت بتشغيل خادم في المكتب الجديد وجعلته وحدة تحكم مجال لشبكتك، فسوف يبدأ العمل على الفور. المشكلة هي أن أجهزة الكمبيوتر العميلة ليست دائمًا ذكية بما يكفي لتعرف وحدة التحكم في المجال التي تحتاج للحديث معها. قد يكون لديك الآن أجهزة كمبيوتر في المكتب البعيد لا تزال تصادق مع وحدات تحكم المجال في مركز البيانات الرئيسي. الأسوأ من ذلك، ربما يكون لديك أيضًا أجهزة كمبيوتر في المكتب الرئيسي تصل الآن عبر WAN للمصادقة مع وحدة التحكم في المجال الجديدة في المكتب البعيد، على الرغم من وجود وحدات تحكم في المجال على الشبكة المحلية معهم!
هذا هو الموقف الذي تصبح فيه Active Directory Sites and Services ضرورية. هنا، تبني مواقعك الفيزيائية المختلفة وتعين وحدات التحكم في المجال لهذه المواقع. المستخدمون وأجهزة الكمبيوتر المنضمة إلى المجال داخل هذه الشبكة تتبع الآن القواعد التي وضعتها عبر Sites and Services، بحيث يتحدثون دائمًا ويصادقون من وحدات التحكم في المجال المحلية لهم. هذا يوفر الوقت، لأن الاتصالات أسرع وأكثر كفاءة، كما يوفر عرض النطاق الترددي غير الضروري واستهلاك البيانات على شبكة WAN، مما يوفر لك المال غالبًا.
إليك نظرة على Active Directory Sites and Services. كما ترى، هناك مواقع متعددة مدرجة هنا، وهي تتوافق مع معلومات الشبكة الفرعية. هذه هي الطريقة التي تتبع بها AD Sites and Services أي موقع هو أي. عندما يأتي جهاز كمبيوتر عميل على الإنترنت، فإنه يعرف بالطبع ما هي الشبكة الفرعية التي هو جزء منها، استنادًا إلى عنوان IP الذي يستخدمه. يعرف AD Sites and Services بعد ذلك، استنادًا إلى عنوان IP هذا، أي موقع يوجد فيه العميل الآن.
هذا التعريف للموقع يساعد Active Directory في توجيه طلبات المصادقة إلى وحدات التحكم في المجال المناسبة، ويساعد أيضًا في أمور مثل Group Policy (التي سنتحدث عنها قريبًا) لمعالجة المعلومات الخاصة بالموقع. هناك فرصة جيدة أنك ستحتاج إلى استخدام هذه الأداة يومًا ما إذا كنت جزءًا من منظمة نامية. إضافة كائنات جديدة إلى AD Sites and Services سهلة جدًا. قم بتكوين جميع مواقعك ببساطة عن طريق النقر بزر الماوس الأيمن على مجلد Sites ثم اختيار New Site. يمكنك تسمية مواقعك بأي شيء تريده.
بمجرد وضع جميع المواقع داخل AD Sites and Services، يمكنك إضافة شبكاتك الفرعية بطريقة مماثلة، عن طريق النقر بزر الماوس الأيمن على مجلد Subnets واختيار New Subnet. عندما تقوم بإنشاء شبكة فرعية جديدة، تقوم بإدخال معلومات الشبكة الخاصة بهذه الشبكة الفرعية، وفي أسفل الشاشة يمكنك تحديد أي موقع توجد فيه الشبكة الفرعية. يمكنك رؤية هذه العملية في الشكل 3.21، وكذلك نظرة على AD Sites and Services الخاصة بي والمليئة الآن بمواقع متعددة وشبكات فرعية متعددة.
الActive Directory Administrative Center
بينما من الضروري فهم الأدوات التي تساعدنا في إدارة Active Directory والاعتياد عليها، يمكنك أن ترى أن شكلها قديم بعض الشيء. من ناحية أخرى، يحتوي Active Directory Administrative Center (ADAC) على واجهة أكثر تنظيمًا تبدو وتشعر وكأنها مدير الخادم الجديد الذي نعتاد عليه أكثر فأكثر. العديد من الوظائف المتاحة داخل ADAC تحقق نفس الأشياء التي يمكننا القيام بها من خلال الأدوات الأخرى بالفعل، ولكنها تجمع هذه الوظائف في واجهة أكثر تنظيمًا تجلب بعض الوظائف الأكثر استخدامًا إلى السطح وتجعلها أسهل في التنفيذ.
مثال رائع هو على صفحة الهبوط في ADAC. مهمة شائعة لفريق الدعم في أي شبكة هي إعادة تعيين كلمات مرور حسابات المستخدمين. سواء نسي المستخدم كلمة مروره، أو غيرها مؤخرًا وأخطأ في كتابتها، أو كنت تقوم بإعادة تعيين كلمة المرور أثناء نوع آخر من استكشاف الأخطاء وإصلاحها، فإن إعادة تعيين كلمة المرور لحساب المستخدم تتطلب عادةً نقرات عديدة بالفأرة داخل AD Users and Computers لإنجاز المهمة. الآن، هناك رابط سريع يسمى RESET PASSWORD، موجود هناك على الصفحة الرئيسية لـ ADAC. أيضًا مفيد هو ميزة GLOBAL SEARCH الموجودة بجانبه، حيث يمكنك كتابة أي شيء في حقل البحث، وستقوم بالبحث في كل دليل Active Directory عن نتائج تتعلق ببحثك. هذه مهمة شائعة أخرى في AD كانت تتطلب سابقًا نقرات متعددة لتنفيذها.
إذا نقرت على اسم مجالك في شجرة التنقل اليسارية، ستدخل قليلاً أعمق في قدرات ADAC. كما ترى، المعلومات المدرجة هنا تُسحب من Active Directory وتبدو كالمعلومات التي تراها في AD Users and Computers. هذا صحيح، باستثناء أنك بدلاً من الاضطرار للنقر بزر الفأرة الأيمن لكل وظيفة، مثل إنشاء مستخدم جديد أو عمليات البحث، لديك الآن بعض المهام السريعة المتاحة على اليمين التي يمكن أن تنقلك بسرعة لتنفيذ هذه الوظائف. أيضًا مثيرة للاهتمام هي الروابط الخاصة برفع مستوى المجال أو مستوى الدومين الوظيفي على هذه الشاشة. للقيام بذلك باستخدام الأدوات التقليدية، أرى أن معظم المسؤولين يحققون ذلك عن طريق تشغيل AD Domains and Trusts. لذا، إحدى الفوائد الكبيرة لأداة ADAC الجديدة هي أنها قادرة على منحك نافذة إدارة مركزية يمكنك من خلالها تنفيذ المهام التي كانت تتطلب عادةً نوافذ متعددة وأدوات إدارة متعددة. هل تشعر بوجود موضوع مشترك في جميع أنحاء Windows Server 2022 مع الإدارة المركزية لكل شيء؟
التحكم الديناميكي في الوصول (Dynamic Access Control)
بالإضافة إلى تعليم الأساليب القديمة مهارات جديدة، يوفر ADAC وظائف جديدة غير متوفرة في الأدوات الكلاسيكية. إذا نظرت مرة أخرى إلى الشجرة على اليسار، سترى أن القسم التالي في القائمة هو التحكم الديناميكي في الوصول (DAC). هذه التقنية تهدف إلى حماية وإدارة ملفاتك وبيانات الشركة بشكل آمن، مما يضمن عدم وصولها إلى الأيدي الخطأ. يتيح لك DAC إمكانية وضع علامات على الملفات، وبالتالي تصنيفها لمجموعات أو استخدامات معينة. ثم يمكنك إنشاء سياسات تحكم في الوصول تحدد من يمكنه الوصول إلى هذه الملفات المعلمة. ميزة قوية أخرى لـ DAC هي وظيفة التقارير. بمجرد إعداد وتشغيل DAC في بيئتك، يمكنك القيام بالتقارير والتحقيقات على ملفاتك، مثل العثور على قائمة بالأشخاص الذين قاموا بالوصول إلى مستند مصنف مؤخرًا.
يمكن أيضًا استخدام DAC لتعديل أذونات المستخدمين بناءً على نوع الجهاز الذي يستخدمونه حاليًا. إذا قامت المستخدمه سوزي بتسجيل الدخول باستخدام حاسوبها المكتبي في الشركة على الشبكة، ينبغي أن يكون لديها حق الوصول إلى تلك الملفات الحساسة في قسم الموارد البشرية. من ناحية أخرى، إذا أحضرت جهازها المحمول الشخصي إلى المكتب وقامت بتوصيله بالشبكة، قد لا نريد السماح لها بالوصول إلى نفس الملفات، حتى عند تقديم بيانات اعتماد المستخدم الخاصة بها، ببساطة لأننا لا نتحكم في أمان ذلك الجهاز المحمول. يمكن إجراء هذه الأنواع من التمييزات باستخدام سياسات التحكم الديناميكي في الوصول.
النهاية
نكون هنا انتهينا من الجزء 2 من الفصل 3 تماما من شهادة MCSA المقدمة من Microsoft الأن نغوص في الأعماق
و لا بد وانت تقرا ان تكون مركز جيدا لكل معلومة ومعك ورقة وقلم , لانك بالتاكيد ستحتاجها
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم Sparrow اتمنى ان تدعوا لي وتتذكروني في الخير دوما
