ما هي البرامج الإعلانية. كيفية استخدام رمز مميز لجعل الوصول عن بُعد أكثر أمانًا؟ الإدارة في Active Directory

فوق العارضين في المؤتمر العالمي للجوال. أنشأ موظفو الشركة ثلاث نقاط Wi-Fi مفتوحة في المطار بالقرب من المقصورة لتسجيل زوار المعرض وأطلقوا عليها الأسماء القياسية "Starbucks" و "MWC Free WiFi" و "Airport_Free_Wifi_AENA". في 4 ساعات ، ربط 2000 شخص بهذه النقاط.


نتيجة للتجربة ، تم تجميع تقرير قام فيه موظفو Avast بتحليل حركة مرور جميع الأشخاص المتصلين بنقاط Wi-Fi المفتوحة. تم أيضًا الكشف عن المعلومات الشخصية لـ 63٪ من المتصلين: تسجيلات الدخول ، وكلمات المرور ، وعناوين البريد الإلكتروني ، وما إلى ذلك. لولا التقرير المقدم في المعرض ، لما أدرك المشاركون في التجربة أبدًا أن شخصًا ما لديه حق الوصول إلى بياناتهم.


نحن نتصل بشبكة شركتنا من المنزل أو الفندق أو المقهى ولا نفهم حتى الضرر الذي يمكن أن نلحقه بها.


وفقًا للدراسات الإحصائية ، يعمل أكثر من 40 بالمائة من موظفي الشركة عن بعد يومًا واحدًا على الأقل في الأسبوع.


ولكن اتضح أن الموظف الذي يعمل عن بُعد عبر الإنترنت أكثر عرضة للخطر من المستخدم المحلي ويشكل تهديدًا محتملاً للشركة. لذلك ، يجب إيلاء اهتمام خاص لأمن المستخدمين عن بعد.

عوامل التهديد

ينشئ مكان العمل البعيد للمستخدم ، مقارنة بمكان العمل المحلي للمكتب ، ثلاثة عوامل تهديد إضافية:

  1. المستخدم البعيد خارج سيطرة المنظمة المادية. مطلوب إثبات أن موظف الشركة ، وليس مهاجمًا ، هو من يتصل بمورد الشركة.
  2. يتم توزيع بيانات المستخدم البعيد من خلال قنوات خارجة عن سيطرة المؤسسة. تخضع هذه البيانات للاعتراض والتعديل غير المصرح به و "خلط" حركة المرور الخارجية.
  3. بالنسبة لمكان العمل البعيد ، لا تستطيع الشركة نفسها توفير الأمن المادي. أيضًا ، قد لا يلبي الكمبيوتر الذي تستخدمه متطلبات التكوين.

لذلك ، عند تنظيم الوصول عن بعد ، يجب مراعاة ثلاثة مبادئ أساسية لأمن المعلومات:

  • سرية(المعلومات المهمة يجب أن تكون متاحة فقط لدائرة محدودة من الناس) ؛
  • نزاهة(يجب حظر التغييرات في المعلومات التي تؤدي إلى ضياعها أو تشويهها) ؛
  • التوفر(يجب أن تكون المعلومات متاحة للمستخدمين المصرح لهم عندما يحتاجون إليها).

كيفية تأمين الوصول عن بعد؟

لتنظيم عمل الموظفين عن بعد ، يمكنك استخدام آليات الحماية التالية:

  • وسيلة موثوقة لمصادقة المستخدم (كلمات المرور ، الأجهزة ، البيانات البيومترية ، إلخ) ؛
  • نظام التحكم في الوصول (التحكم المركزي في الوصول إلى موارد تكنولوجيا المعلومات للشركة) ؛
  • أداة تنظيم VPN (الأجهزة ، حلول البرامج ، ملحقات جدار الحماية ، إلخ) ؛
  • وسائل مقاومة الهجمات (حماية الشبكة الداخلية والموظفين من الهجمات).

سنتحدث عن إحدى آليات الحماية - VPN.

لماذا تحتاج إلى VPN؟

يوفر اتصال VPN اتصالاً أكثر أمانًا بشبكة شركتك والإنترنت.

مجالات تطبيق VPN:

  • خدمة الإنترنت؛
  • الوصول إلى شبكة الشركة من الخارج ؛
  • توحيد مكونات شبكة الشركة.

يمكن إعداد البنية التحتية لشبكة شركتك لاستخدام VPN من خلال البرامج أو الأجهزة.


هناك عدد كبير من خدمات VPN المدفوعة والمجانية.


تعمل هذه الخدمات بشكل أساسي على 4 بروتوكولات:

  1. IPSecتعمل في وسائط النقل والأنفاق. يُطلق على تشفير الرسائل في حزمة البيانات باستخدام وضع النقل اسم الحمولة ، بينما يسمى تشفير الحزمة بأكملها بالنفق.
  2. PPTPهو بروتوكول نفق من نقطة إلى نقطة يستخدم طريقة نفق يتم فيها تخزين البيانات كحزم PPP. يتم وضعهم بدورهم في حزم IP وإرسالهم إلى وجهتهم.
  3. L2TP- بروتوكول نفق الطبقة الثانية يعمل على عقدتين رئيسيتين: L2TP Access Concentrator (LAC) و L2TP Network Server (LNS). LAC هو الجهاز الذي ينهي المكالمة بينما يقوم LNS بمصادقة حزم PPP.
  4. TLS و SSL- بروتوكولات التشفير التي تستخدم مجموعة من المصادقة والتشفير لتبادل البيانات بين الخادم والعميل.


هناك أيضًا خدمات VPN لاستخدام الشركات. أحد أشهرها هو OpenVPN. إنها خدمة آمنة وغير مكلفة.


مزاياه هي:

  1. أمان. يسمح استخدام العديد من بروتوكولات التشفير (HMAC و 3DES و AES و RSA) ومفتاح 2048 بت بتشفير آمن لجميع البيانات.
  2. تتيح لك الإمكانات المرنة لـ OpenVPN تشغيل اتصال من خلال Proxy / Socks ، باستخدام بروتوكولات مختلفة ومع الحظر الإجباري لبروتوكول DHCP ، وكذلك من خلال جدران الحماية.
  3. مدعوم من قبل معظم الأجهزة ، بما في ذلك منصات Apple iOS و Google Android.

هل من الممكن تنظيم اتصالات VPN دون استخدام برامج الطرف الثالث؟

في بعض الأحيان ، لا يكون من المنطقي استخدام خدمات الجهات الخارجية إذا تم تضمين إمكانات مماثلة في نظام التشغيل.


نريد توضيح كيفية إعداد اتصال SSTP VPN آمن باستخدام ميزات Windows القياسية.


في هذه الحالة ، يكون اتصال VPN محميًا عن طريق آليات تشفير حركة المرور باستخدام شهادة رقمية (SSL) يوفرها خادم VPN. أثناء إنشاء اتصال VPN ، يتحقق برنامج نظام تشغيل العميل من شهادة خادم VPN ، على وجه الخصوص ، ويتحقق مما إذا كانت شهادة الخادم قد تم إبطالها ، ويتحقق أيضًا مما إذا كانت شهادة الجذر الخاصة بالمرجع المصدق الذي أصدر الشهادة لخادم VPN يجب أن تكون كذلك موثوق به. هذا هو السبب في أن أحد متطلبات اتصال SSTP VPN الناجح هو القدرة على تحديث قائمة شهادات الجذر تلقائيًا عبر الإنترنت.


SSTP هو بروتوكول حديث وآمن. ميزة إضافية هي أنه يمكن أن يعمل عبر منفذ HTTPS في كل مكان (TCP 443) المستخدم لتصفح الويب العادي ، مما يعني أن اتصال SSTP VPN سيعمل عبر أي اتصال إنترنت تقريبًا.

مصادقة ثنائية و VPN

اتصال VPN نفسه مشفر. لكن استخدام تسجيل الدخول وكلمة المرور للمصادقة في VPN غير آمن تمامًا. ولكن هناك طريقة للخروج - هذه مصادقة ثنائية. يسمح للمستخدم بالتحقق من هويته بطريقتين. يُنصح باستخدام أداة جهاز (رمز مميز أو بطاقة ذكية) لتكوينه. بعد ذلك ، عند إنشاء اتصال VPN ، لن يحتاج المستخدم إلى كلمة مرور ، ولكن الجهاز نفسه ورمز PIN الخاص به.


الميزة الرئيسية للأجهزة عند استخدام VPN هي تفرد المفتاح الخاص. يرجع ذلك إلى حقيقة أنه لا يمكن نسخ المفتاح الخاص من الجهاز وإعادة إنتاجه. بعد كل شيء ، إذا لم تكن المصادقة تعني فريدًا ، فلا يمكنك التأكد من أن المستخدم الذي حصل على حق الوصول هو نفس المستخدم الذي تم تعيين هذا الوصول له.


في حالة استخدام كلمة مرور ، فإن الوضع مختلف تمامًا. يمكن لأي شخص يعرف كلمة المرور الخاصة بك عن قصد أو عن غير قصد استخدامها دون علمك. وهذا يعني أنه يمكنه فعل ما يشاء نيابة عن صاحب كلمة المرور. يعد تتبع مثل هذا الموقف أمرًا صعبًا للغاية ، خاصةً إذا كان المهاجم خبيرًا تقنيًا.

إعداد خادم VPN

سنبدأ في إعداد اتصال VPN من خلال نشر خادم VPN بسيط يعتمد على Windows Server 2012 R2.


يمكن استخدام هذا الخادم ، المثبت على معدات قياسية ، لشبكة مكتب صغيرة مع الحاجة إلى تنظيم اتصال عن بعد لعدة عشرات من الموظفين (30-50 شخصًا).

تكوين خادم VPN

دعونا فتح مدير الخادموانقر على الرابط أضف الأدوار والميزات.


دعنا نختار الدور الوصول عن بعد.



حدد خدمة الدور الوصول المباشر و VPN (RAS).



دعنا نضغط على الزر [ثَبَّتَ]. سيبدأ هذا عملية تثبيت دور الوصول عن بُعد.



في نافذة معالج التكوين الأولي للوصول البعيد ، حدد انشر VPN فقط.


بعد ذلك سنضيف الخادم. فى الشباك التوجيه والوصول عن بعدحدد عنصر القائمة فعلوالفقرة الفرعية أضف الخادم. بعد ذلك ، سوف نؤكد الإضافة.


انقر بزر الماوس الأيمن فوق اسم الخادم المضاف وحدد تكوين وتمكين التوجيه والوصول عن بعد.



دعنا نختار عنصرًا التكوين الخاص.



كتكوين مخصص ، حدد الوصول إلى شبكة افتراضية خاصة (VPN).



ابدأ الخدمة بالضغط على الزر [إبدأ الخدمة].



الخادم جاهز تقريبًا.


على سبيل المثال ، سوف نستخدم الطريقة الأبسط والأكثر وضوحًا - سننشئ تجمع عناوين إحصائيًا لـ 5 مستخدمين.


افتح خصائص الخادم المُضاف.



دعنا نختار عنصرًا تجمع العناوين الإحصائيةواضغط على الزر [يضيف].


فى الشباك نطاق عناوين IPv4 الجديدحدد بداية ونهاية عنوان IP.


دعنا نضغط على الزر [يتقدم]


تم تكوين دور الوصول عن بعد ، فلنفتح الآن المنافذ في جدار الحماية.

فتح منافذ جدار الحماية

ل بروتوكول TCPمنافذ مفتوحة 1723 و 443 .



ل بروتوكول UDPمنافذ مفتوحة 1701 , 500 و 50 .



الخطوة التالية هي تكوين نهج الأمان المحلي.

تكوين نهج الأمان المحلي

افتح قائمة سياسات الأمان المحلية وحدد العنصر تعيين حقوق المستخدم.



اختر سياسة السماح بتسجيل الدخول من خلال خدمة سطح المكتب البعيد.


انقر فوق الزر [إضافة مستخدم أو مجموعة].


ابحث عن اسم القسم مستخدمي المجالوإضافته.


حسنًا ، ستكون الخطوة قبل الأخيرة هي إعداد الوصول لمستخدمين محددين.

تحديد الوصول لمستخدم معين

يفتح مدير الخادم، حدد عنصر مرافقوالفقرة الفرعية مستخدمي Active Directory وأجهزة الكمبيوتر.


ابحث عن اسم المستخدم المطلوب ، انتقل إليه ملكيات، في علامة التبويب المكالمات الواردةحدد الإعداد السماح بالمرور. انقر فوق الزر [يتقدم].


وأخيرًا ، دعنا نتحقق مما إذا كان الوصول عن بُعد مسموحًا به في خصائص النظام.


للقيام بذلك ، افتح خصائص النظام ، وحدد العنصر إعداد الوصول عن بعدوضبط المفتاح السماح بالاتصالات عن بعد لهذا الكمبيوتر.


هذا كل شيء ، اكتمل إعداد الخادم. لنقم الآن بإعداد اتصال VPN على الكمبيوتر الذي سيتم استخدامه للوصول عن بُعد.

إعداد اتصال VPN

يعد إعداد VPN على جهاز كمبيوتر يعمل بنظام Windows 10 أمرًا سهلاً للغاية. لتنفيذه ، ستحتاج إلى معلومات الحساب (تسجيل الدخول ، وكلمة المرور) وعنوان IP للخادم واتصال بالإنترنت. لتنظيم المصادقة الثنائية للأجهزة ، تحتاج إلى رمز مميز.


لا يلزم تثبيت أي برامج إضافية ، فكل شيء موجود بالفعل في Windows نفسه.


لنبدأ في الإعداد. كمثال على الأجهزة ، سأستخدم جهازًا لتخزين المفاتيح والشهادات بشكل آمن Rutoken EDS PKI.



لإعداد الاتصال ، نحتاج إلى شهادة تحتوي على سياسات تسجيل الدخول إلى البطاقة الذكية ومصادقة العميل.


لقد وصفنا بالفعل عملية إنشاء مثل هذه الشهادة. ارتباط بالوصف.


لنفتح نافذة. اضغط على الرابط قم بإنشاء وإعداد اتصال أو شبكة جديدة.



ستفتح نافذة قم بإعداد اتصال أو شبكة. حدد العنصر الاتصال بمكان العمل وانقر على الزر [إضافي].




في الميدان عنوان الإنترنتحدد تفاصيل خادم VPN.


في الميدان اسم كائن الوجهةحدد اسم اتصال VPN.


تفقد الصندوق استخدم البطاقة الذكيةواضغط على الزر يخلق.



تم إنشاء اتصال VPN. لكننا نحتاج إلى تغيير معالمه.


لنفتح النافذة مرة أخرى مركز الشبكة والمشاركةوانقر على الرابط إعدادات محول التغيير.



فى الشباك اتصالات الشبكةانقر بزر الماوس الأيمن على اسم اتصال VPN الذي تم إنشاؤه وحدد العنصر ملكيات.



دعنا نذهب إلى علامة التبويب أمانوحدد الخيارات التالية.


تعد إعدادات اتصال VPN هذه كافية للاتصال بنجاح عبر بروتوكول VPN آمن بالشبكة المحددة. ومع ذلك ، بعد إجراء اتصال VPN ، سيتم بشكل افتراضي توجيه جميع حركات مرور الشبكة من الكمبيوتر إلى بوابة الشبكة المحددة. يمكن أن يؤدي هذا إلى حقيقة أنه أثناء الاتصال بشبكة VPN ، لن يكون من الممكن العمل مع موارد الإنترنت. من أجل القضاء على هذه المشكلة ، انتقل إلى علامة التبويب شبكة، انقر فوق الخط الإصدار 4 من IP (TCP / IPv4)واضغط على الزر ملكيات.


في صفحة خصائص الإصدار 4 من IP ، انقر فوق الزر [بالإضافة إلى ذلك].


دعنا نلغي تحديد المربع استخدم البوابة الافتراضية على الشبكة البعيدة.


قم بتأكيد كل التغييرات التي تم إجراؤها. اكتملت عملية الإعداد.


الآن دعنا نختبر الاتصال.


في شريط المهام على سطح المكتب ، انقر فوق الرمز خدمة الإنترنتوحدد اتصال VPN الذي تم إنشاؤه. ستفتح نافذة خيارات.


انقر فوق اسم اتصال VPN وانقر فوق الزر يتصل.



أدخل رمز PIN الخاص بالرمز المميز وانقر فوق الزر [نعم].



نتيجة لذلك ، سيتم إنشاء اتصال VPN الذي تم إنشاؤه.


للتحقق من حالة اتصال VPN ، افتح النافذة اتصالات الشبكة، ابحث عن اسم الاتصال الذي تم إنشاؤه. يجب أن تكون حالتها "متصلة".


لقطع اتصال VPN في نفس النافذة ، ابحث عن الاتصال الذي تم إنشاؤه ، وانقر بزر الماوس الأيمن على اسمه وحدد العنصر توصيل / قطع الاتصال.

تلخيص

بمجرد إنشاء اتصال VPN ، تبدأ كل حركة المرور في المرور عبر خادم VPN.


تكمن موثوقية حماية حركة مرور VPN في حقيقة أنه حتى إذا اعترض المهاجمون بطريقة ما البيانات المرسلة ، فلن يظلوا قادرين على استخدامها ، نظرًا لأن البيانات مشفرة.


وإذا قمت أيضًا بتثبيت تطبيقات خاصة للتحكم في حركة المرور وتهيئتها ، فيمكنك تصفية حركة المرور بنجاح. على سبيل المثال ، قم بفحصه تلقائيًا بحثًا عن الفيروسات.


آمل أن نكون قد تمكنا من إقناعك بأن VPN بسيطة ، وبأسعار معقولة ، والأهم من ذلك أنها آمنة!

Active Directory (AD) هو أداة مساعدة مصممة لنظام التشغيل Microsoft Server. تم إنشاؤه في الأصل كخوارزمية خفيفة الوزن للوصول إلى أدلة المستخدم. منذ إصدار Windows Server 2008 ، ظهر التكامل مع خدمات التفويض.

يمنحك القدرة على الامتثال لسياسة المجموعة التي تطبق نفس نوع الإعدادات والبرامج على جميع أجهزة الكمبيوتر التي يتم التحكم فيها باستخدام System Center Configuration Manager.

إذا كان ذلك بكلمات بسيطة للمبتدئين ، فهذا دور خادم يسمح لك بإدارة جميع عمليات الوصول والأذونات على الشبكة المحلية من مكان واحد

الوظائف والأغراض

Microsoft Active Directory - (ما يسمى بالدليل) عبارة عن حزمة من الأدوات التي تسمح لك بمعالجة المستخدمين وبيانات الشبكة. الهدف الأساسيالإنشاء - تسهيل عمل مسؤولي النظام في شبكات واسعة النطاق.

تحتوي الدلائل على معلومات مختلفة تتعلق بالمستخدمين ، والمجموعات ، وأجهزة الشبكة ، وموارد الملفات - باختصار ، كائنات. على سبيل المثال ، يجب أن تكون سمات المستخدم المخزنة في الدليل على النحو التالي: العنوان ، وتسجيل الدخول ، وكلمة المرور ، ورقم الهاتف المحمول ، وما إلى ذلك. الدليل يستخدم كملف نقاط المصادقة، والتي يمكنك من خلالها العثور على المعلومات الضرورية عن المستخدم.

المفاهيم الأساسية التي تمت مواجهتها في سياق العمل

هناك عدد من المفاهيم المتخصصة التي تنطبق عند العمل مع AD:

  1. الخادم هو الكمبيوتر الذي يحتوي على جميع البيانات.
  2. وحدة التحكم هي خادم له دور AD الذي يتعامل مع الطلبات من الأشخاص الذين يستخدمون المجال.
  3. مجال AD هو مجموعة من الأجهزة الموحدة تحت اسم فريد واحد يستخدم في نفس الوقت قاعدة بيانات دليل مشترك.
  4. مخزن البيانات هو جزء من الدليل مسؤول عن تخزين واسترجاع البيانات من أي وحدة تحكم مجال.

كيف تعمل الدلائل النشطة

المبادئ الرئيسية للعمل هي:

  • تفويض، حيث يصبح من الممكن استخدام جهاز كمبيوتر على الشبكة ببساطة عن طريق إدخال كلمة مرور شخصية. في هذه الحالة ، يتم نقل جميع المعلومات من الحساب.
  • حماية. يحتوي Active Directory على ميزات التعرف على المستخدم. بالنسبة لأي كائن شبكة ، يمكنك عن بُعد ، من جهاز واحد ، تعيين الحقوق اللازمة ، والتي ستعتمد على الفئات والمستخدمين المحددين.
  • ادارة الشبكةمن نقطة واحدة. أثناء العمل مع Active Directory ، لا يحتاج مسؤول النظام إلى إعادة تكوين جميع أجهزة الكمبيوتر إذا كنت بحاجة إلى تغيير حقوق الوصول ، على سبيل المثال ، إلى طابعة. يتم إجراء التغييرات عن بعد وعالمية.
  • مكتمل تكامل DNS. بمساعدتها ، لا يوجد أي لبس في AD ، تم تصميم جميع الأجهزة بنفس الطريقة كما هو الحال في شبكة الويب العالمية.
  • على نطاق واسع. يمكن التحكم في مجموعة من الخوادم بواسطة Active Directory واحد.
  • يبحثيتم وفقًا لمعايير مختلفة ، على سبيل المثال ، اسم الكمبيوتر وتسجيل الدخول.

الأشياء والسمات

الكائن - مجموعة من السمات ، موحدة تحت اسمها ، تمثل مورد الشبكة.

السمة - خصائص الكائن في الكتالوج. على سبيل المثال ، يتضمن ذلك الاسم الكامل للمستخدم ، وتسجيل الدخول الخاص به. لكن سمات حساب الكمبيوتر الشخصي يمكن أن تكون اسم هذا الكمبيوتر ووصفه.

"الموظف" هو كائن له سمات "الاسم" و "المنصب" و "علامة التبويب".

حاوية LDAP واسمها

الحاوية هي نوع من الكائنات التي يمكن تتكون من أشياء أخرى. قد يتضمن المجال ، على سبيل المثال ، كائنات حساب.

الغرض الرئيسي منها هو ترتيب الكائنحسب نوع العلامات. في أغلب الأحيان ، تُستخدم الحاويات لتجميع الكائنات بنفس السمات.

يتم تعيين جميع الحاويات تقريبًا إلى مجموعة من الكائنات ، وتعيين الموارد إلى كائن Active Directory فريد. أحد الأنواع الرئيسية لحاويات الإعلانات هو الوحدة التنظيمية أو OU (الوحدة التنظيمية). الكائنات التي تم وضعها في هذه الحاوية تنتمي فقط إلى المجال الذي تم إنشاؤها فيه.

بروتوكول الوصول الخفيف إلى الدليل (LDAP) هو الخوارزمية الأساسية لاتصالات TCP / IP. تم إنشاؤه لتقليل مقدار الفروق الدقيقة أثناء الوصول إلى خدمات الدليل. أيضًا ، يحدد LDAP الإجراءات المستخدمة للاستعلام عن بيانات الدليل وتحريرها.

الشجرة والموقع

شجرة المجال هي بنية ، مجموعة من المجالات التي تشترك في مخطط وتكوين مشتركين ، وتشكل مساحة اسم مشتركة وترتبط بعلاقات ثقة.

غابة المجالات هي مجموعة من الأشجار مرتبطة ببعضها البعض.

الموقع - مجموعة من الأجهزة في شبكات IP الفرعية ، تمثل النموذج المادي للشبكة ، والتي يتم التخطيط لها بغض النظر عن التمثيل المنطقي لبنائها. Active Directory لديه القدرة على إنشاء مواقع n أو دمج مجالات n ضمن موقع واحد.

تثبيت وتكوين Active Directory

الآن دعنا ننتقل مباشرة إلى إعداد Active Directory باستخدام Windows Server 2008 كمثال (في الإصدارات الأخرى ، الإجراء مماثل):

انقر فوق الزر "موافق". لاحظ أن هذه القيم غير مطلوبة. يمكنك استخدام عنوان IP و DNS من شبكتك.

  • بعد ذلك ، عليك الذهاب إلى قائمة "ابدأ" ، واختيار "أدوات إدارية" و "".
  • انتقل إلى عنصر "الأدوار" ، وحدد " أضف الأدوار”.
  • حدد "خدمات مجال Active Directory" ، وانقر فوق "التالي" مرتين ، ثم "تثبيت".
  • انتظر حتى ينتهي التثبيت.
  • افتح قائمة ابدأ - " يجري". أدخل dcpromo.exe في الحقل.
  • انقر فوق {التالي".
  • حدد العنصر " إنشاء مجال جديد في مجموعة تفرعات جديدة"وانقر على" التالي "مرة أخرى.
  • في النافذة التالية ، أدخل اسمًا ، وانقر على "التالي".
  • يختار وضع التوافق(Windows Server 2008).
  • في النافذة التالية ، اترك كل شيء افتراضيًا.
  • ستبدأ نافذة التكوينDNS. نظرًا لأنه لم يتم استخدامه على الخادم من قبل ، لم يتم إنشاء التفويض.
  • حدد دليلاً للتثبيت.
  • بعد هذه الخطوة ، تحتاج إلى ضبط كلمة مرور الإدارة.

لتكون آمنًا ، يجب أن تفي كلمة المرور بالمتطلبات التالية:


بعد أن يكمل AD عملية تكوين المكون ، يجب إعادة تشغيل الخادم.



اكتمل التكوين ، وتم تثبيت الأداة الإضافية والدور في النظام. يمكنك تثبيت AD فقط على Windows من عائلة Server ، والإصدارات العادية ، مثل 7 أو 10 ، يمكن أن تسمح لك فقط بتثبيت وحدة تحكم الإدارة.

الإدارة في Active Directory

بشكل افتراضي ، في Windows Server ، تعمل وحدة تحكم Active Directory Users and Computers مع المجال الذي ينتمي إليه الكمبيوتر. يمكنك الوصول إلى كائنات الكمبيوتر والمستخدم في هذا المجال من خلال شجرة وحدة التحكم أو الاتصال بوحدة تحكم أخرى.

تسمح لك أدوات وحدة التحكم نفسها بالعرض خيارات اضافيةالكائنات والبحث عنها ، يمكنك إنشاء مستخدمين ومجموعات جديدة والتغيير من الأذونات.

بالمناسبة ، هناك نوعان من المجموعاتفي Active Directory - الأمان والتوزيع. مجموعات الأمان مسؤولة عن تحديد حقوق الوصول إلى الكائنات ، ويمكن استخدامها كمجموعات توزيع.

لا يمكن لمجموعات التوزيع التمييز بين الحقوق ، ولكنها تُستخدم بشكل أساسي لتوزيع الرسائل على الشبكة.

ما هو تفويض AD

التفويض نفسه نقل جزء من الأذونات والتحكممن الكائن الأصل إلى الطرف الآخر المسؤول.

من المعروف أن كل منظمة لديها العديد من مسؤولي النظام في مقرها. يجب تعيين مهام مختلفة لأكتاف مختلفة. لتطبيق التغييرات ، يجب أن يكون لديك حقوق وأذونات مقسمة إلى قياسية وخاصة. خاص - يطبق على كائن معين ، بينما قياسي - مجموعة من الأذونات الحالية التي تجعل بعض الوظائف متاحة أو غير متاحة.

إقامة علاقات ثقة

هناك نوعان من علاقات الثقة في AD: "أحادي الاتجاه" و "ثنائي الاتجاه". في الحالة الأولى ، يثق أحد المجالات بآخر ، ولكن ليس العكس ، على التوالي ، يتمتع الأول بإمكانية الوصول إلى موارد الحالة الثانية ، ولا يمتلك المجال الثاني إمكانية الوصول. في الشكل الثاني ، الثقة "متبادلة". هناك أيضًا علاقات "صادرة" و "واردة". في الخارج ، يثق المجال الأول في الثاني ، مما يسمح لمستخدمي الثاني باستخدام موارد الأول.

أثناء التثبيت ، يجب تنفيذ الإجراءات التالية:

  • يفحصاتصالات الشبكة بين وحدات التحكم.
  • تحقق من الإعدادات.
  • نغمتحليل الاسم للمجالات الخارجية.
  • إنشاء اتصالمن مجال الثقة.
  • قم بإنشاء اتصال من جانب وحدة التحكم التي يتم توجيه الثقة إليها.
  • تحقق من العلاقات أحادية الاتجاه التي تم إنشاؤها.
  • لو هناك حاجةفي إقامة العلاقات الثنائية - لجعل التثبيت.

الدليل العالمي

هذه هي وحدة تحكم المجال التي تحتفظ بنسخ من كافة الكائنات في الغابة. يمنح المستخدمين والبرامج القدرة على البحث عن كائنات في أي مجال في الغابة الحالية باستخدام مكتشفو السمةالمدرجة في الكتالوج العالمي.

يتضمن الكتالوج العالمي (GC) مجموعة محدودة من السمات لكل كائن مجموعة في كل مجال. يتلقى البيانات من جميع أقسام دليل المجال في الغابة ويقوم بتكرارها باستخدام عملية النسخ المتماثل القياسية لـ Active Directory.

يحدد المخطط ما إذا كان سيتم نسخ السمة. ثمة احتمال وارد تكوين ميزات إضافية، والتي سيتم إعادة إنشائها في الكتالوج العام باستخدام "مخطط الدليل النشط". لإضافة سمة إلى الكتالوج العام ، تحتاج إلى تحديد سمة النسخ المتماثل واستخدام خيار "نسخ". سيؤدي هذا إلى إنشاء نسخة متماثلة من السمة إلى الكتالوج العمومي. قيمة معلمة السمة isMemberOfPartialAttributeSetسيصبح حقيقة.

بغرض اكتشف الموقعالدليل العالمي ، يجب إدخاله في سطر الأوامر:

خادم Dsquery –ISGC

تكرار البيانات في Active Directory

النسخ المتماثل هو إجراء نسخ يتم تنفيذه عندما يكون من الضروري تخزين معلومات محدثة على قدم المساواة موجودة على أي وحدة تحكم.

يتم إنتاجه دون تدخل المشغل. هناك الأنواع التالية من محتوى النسخة المتماثلة:

  • يتم إنشاء النسخ المتماثلة للبيانات من كافة المجالات الموجودة.
  • النسخ المتماثلة لمخطط البيانات. نظرًا لأن مخطط البيانات هو نفسه لجميع الكائنات في مجموعة تفرعات Active Directory ، يتم الاحتفاظ بنسخه المتماثلة عبر كافة المجالات.
  • بيانات التكوين. يظهر نسخ المبنى بين وحدات التحكم. تنطبق المعلومات على كافة المجالات في مجموعة التفرعات.

الأنواع الرئيسية للنسخ المتماثلة هي داخل العقدة والعقدة الداخلية.

في الحالة الأولى ، بعد التغييرات ، ينتظر النظام ، ثم يقوم بإعلام الشريك لإنشاء نسخة متماثلة لإكمال التغييرات. حتى في حالة عدم وجود تغييرات ، تحدث عملية النسخ تلقائيًا بعد فترة زمنية معينة. بعد تطبيق التغييرات الفاصلة على الدلائل ، يحدث النسخ المتماثل على الفور.

إجراء النسخ المتماثل بين العقد يحدث بينهماالحد الأدنى من الحمل على الشبكة ، وهذا يتجنب فقدان المعلومات.

نظرًا لكوني على دراية جيدة بالأعمال التجارية الصغيرة من الداخل ، فقد كنت دائمًا مهتمًا بالأسئلة التالية. اشرح لماذا يجب على الموظف استخدام المتصفح الذي يحبه مسؤول النظام على كمبيوتر العمل؟ أو خذ أي برنامج آخر ، على سبيل المثال ، نفس برنامج الأرشفة ، وعميل البريد الإلكتروني ، وعميل المراسلة الفورية ... هذا ما أوحى به بسلاسة إلى التوحيد ، وليس على أساس التعاطف الشخصي من مسؤول النظام ، ولكن على أساس الاكتفاء من الوظائف وتكلفة الصيانة ودعم منتجات البرامج هذه. لنبدأ في اعتبار تكنولوجيا المعلومات علمًا دقيقًا ، وليس حرفة ، عندما يفعل الجميع ما في وسعهم. مرة أخرى ، هناك الكثير من المشاكل مع هذا في الشركات الصغيرة أيضًا. تخيل أن شركة ما تقوم بتغيير العديد من هؤلاء المسؤولين في وقت صعب من الأزمات ، فماذا يجب أن يفعل المستخدمون الفقراء في مثل هذه الحالة؟ إعادة التعلم باستمرار؟

لننظر من الجانب الآخر. يجب أن يفهم أي قائد ما يحدث في الشركة (بما في ذلك في مجال تكنولوجيا المعلومات) الآن. هذا ضروري لمراقبة الوضع الحالي ، للاستجابة بسرعة لظهور أنواع مختلفة من المشاكل. لكن هذا الفهم أكثر أهمية للتخطيط الاستراتيجي. في الواقع ، بوجود أساس قوي وموثوق ، يمكننا بناء منزل على 3 أو 5 طوابق ، أو صنع سقف بأشكال مختلفة ، أو إنشاء شرفات أو حديقة شتوية. وبالمثل ، في مجال تكنولوجيا المعلومات ، لدينا أساس متين - يمكننا الاستمرار في استخدام منتجات وتقنيات أكثر تعقيدًا لحل مشاكل العمل.

في المقالة الأولى ، سنتحدث عن مثل هذا الأساس - خدمات Active Directory. لقد تم تصميمها لتصبح أساسًا قويًا للبنية التحتية لتكنولوجيا المعلومات لشركة من أي حجم وأي مجال عمل. ما هذا؟ دعنا نتحدث عنها هنا ...

ودعنا نبدأ المحادثة بمفاهيم بسيطة - المجال وخدمات Active Directory.

اِختِصاصهي الوحدة الإدارية الرئيسية في البنية التحتية للشبكة الخاصة بالمؤسسة ، والتي تشمل جميع كائنات الشبكة ، مثل المستخدمين وأجهزة الكمبيوتر والطابعات والمشاركات والمزيد. تسمى مجموعة هذه المجالات مجموعة.

خدمات الدليل النشط (خدمات الدليل النشط) هي قاعدة بيانات موزعة تحتوي على كافة كائنات المجال. تعد بيئة مجال Active Directory نقطة واحدة للمصادقة والتفويض للمستخدمين والتطبيقات عبر المؤسسة. يبدأ إنشاء البنية التحتية لتكنولوجيا المعلومات للمؤسسة بتنظيم المجال ونشر خدمات Active Directory.

يتم تخزين قاعدة بيانات Active Directory على خوادم مخصصة - وحدات تحكم المجال. خدمات الدليل النشط هي دور لأنظمة تشغيل Microsoft Windows Server. خدمات الدليل النشط قابلة للتطوير بدرجة كبيرة. يمكن إنشاء أكثر من ملياري عنصر في غابة Active Directory ، مما يجعل من الممكن تنفيذ خدمة دليل في الشركات التي تضم مئات الآلاف من أجهزة الكمبيوتر والمستخدمين. يسمح لك الهيكل الهرمي للمجالات بتوسيع نطاق البنية التحتية لتكنولوجيا المعلومات لديك بشكل مرن لتشمل جميع الفروع والأقسام الإقليمية للشركات. لكل فرع أو قسم من أقسام الشركة ، يمكن إنشاء مجال منفصل ، مع سياساته الخاصة ، ومستخدميه ومجموعاته الخاصة. لكل مجال تابع ، يمكن تفويض السلطة الإدارية لمسؤولي النظام المحليين. في الوقت نفسه ، لا تزال المجالات التابعة تابعة للمجالات الأصلية.

بالإضافة إلى ذلك ، تسمح لك خدمات Active Directory بإعداد علاقات ثقة بين مجموعة تفرعات المجال. تمتلك كل شركة مجموعة مجالات خاصة بها ، ولكل منها مواردها الخاصة. لكن في بعض الأحيان قد يكون من الضروري توفير الوصول إلى موارد شركتك لموظفي شركة أخرى - العمل مع المستندات والتطبيقات المشتركة كجزء من مشروع مشترك. للقيام بذلك ، يمكن إعداد علاقات الثقة بين مجموعات تفرعات المؤسسات ، مما سيسمح لموظفي إحدى المؤسسات بتسجيل الدخول إلى مجال تابع لمؤسسة أخرى.

لتوفير التسامح مع الخطأ لخدمات Active Directory ، يجب نشر وحدتي تحكم مجال أو أكثر في كل مجال. يتم نسخ كافة التغييرات تلقائيًا بين وحدات التحكم بالمجال. في حالة فشل إحدى وحدات التحكم بالمجال ، لا تتأثر الشبكة ، لأن الباقي يستمر في العمل. يتم توفير طبقة إضافية من المرونة من خلال استضافة خوادم DNS على وحدات التحكم بالمجال في Active Directory ، مما يسمح لكل مجال أن يكون لديه عدة خوادم DNS تخدم منطقة المجال الأساسية. وإذا فشل أحد خوادم DNS ، فسيستمر الباقي في العمل. سنتحدث عن دور وأهمية خوادم DNS في البنية التحتية لتكنولوجيا المعلومات في إحدى المقالات في السلسلة.

ولكن هذه كلها جوانب فنية لتنفيذ وصيانة خدمات Active Directory. دعنا نتحدث عن الفوائد التي تحصل عليها الشركة من خلال الابتعاد عن شبكات نظير إلى نظير باستخدام مجموعات العمل.

1. نقطة مصادقة واحدة

في مجموعة عمل على كل كمبيوتر أو خادم ، سيتعين عليك إضافة قائمة كاملة يدويًا بالمستخدمين الذين يحتاجون إلى الوصول إلى الشبكة. إذا أراد أحد الموظفين فجأة تغيير كلمة المرور الخاصة به ، فسيلزم تغييرها على جميع أجهزة الكمبيوتر والخوادم. حسنًا ، إذا كانت الشبكة تتكون من 10 أجهزة كمبيوتر ، ولكن إذا كان هناك أكثر من ذلك؟ عند استخدام مجال Active Directory ، يتم تخزين جميع حسابات المستخدمين في قاعدة بيانات واحدة ، وتقوم جميع أجهزة الكمبيوتر بالوصول إليها للحصول على إذن. يتم تضمين جميع مستخدمي المجال في المجموعات المناسبة ، على سبيل المثال ، "المحاسبة" ، "الإدارة المالية". يكفي تعيين أذونات لمجموعات معينة مرة واحدة ، وسيحصل جميع المستخدمين على الوصول المناسب إلى المستندات والتطبيقات. إذا جاء موظف جديد إلى الشركة ، فسيتم إنشاء حساب له ، والذي يتم تضمينه في المجموعة المناسبة - يحصل الموظف على إمكانية الوصول إلى جميع موارد الشبكة التي يجب أن يُسمح له بالوصول إليها. إذا استقال الموظف ، فيكفي حظره - وسيفقد على الفور إمكانية الوصول إلى جميع الموارد (أجهزة الكمبيوتر والمستندات والتطبيقات).

2. نقطة واحدة لإدارة السياسات

في مجموعة العمل ، جميع أجهزة الكمبيوتر متساوية. لا يمكن لأي من أجهزة الكمبيوتر التحكم في الآخر ، فمن المستحيل التحكم في الامتثال لسياسات موحدة وقواعد أمنية. عند استخدام دليل Active Directory واحد ، يتم توزيع جميع المستخدمين وأجهزة الكمبيوتر بشكل هرمي في وحدات تنظيمية ، يخضع كل منها لسياسات مجموعة موحدة. تسمح لك السياسات بتعيين إعدادات موحدة وإعدادات أمان لمجموعة من أجهزة الكمبيوتر والمستخدمين. عند إضافة جهاز كمبيوتر أو مستخدم جديد إلى المجال ، فإنه يتلقى تلقائيًا الإعدادات التي تتوافق مع معايير الشركة المقبولة. بمساعدة السياسات ، يمكنك تعيين طابعات الشبكة بشكل مركزي للمستخدمين ، وتثبيت التطبيقات الضرورية ، وتعيين إعدادات أمان المتصفح ، وتهيئة تطبيقات Microsoft Office.

3. زيادة مستوى أمن المعلومات

يؤدي استخدام خدمات Active Directory إلى تحسين أمان الشبكة بشكل كبير. أولاً ، هو تخزين واحد وآمن للحسابات. في بيئة المجال ، يتم تخزين جميع كلمات المرور لمستخدمي المجال على خوادم مخصصة ، ووحدات تحكم بالمجال ، والتي عادةً ما تكون محمية من الوصول الخارجي. ثانيًا ، عند استخدام بيئة المجال ، يتم استخدام بروتوكول Kerberos للمصادقة ، وهو أكثر أمانًا من NTLM المستخدم في مجموعات العمل.

4. التكامل مع تطبيقات ومعدات الشركة

الميزة الكبيرة لخدمات Active Directory هي الامتثال لمعيار LDAP ، المدعوم من قبل أنظمة أخرى ، مثل خوادم البريد (Exchange Server) ، والخوادم الوكيلة (ISA Server ، TMG). وليس بالضرورة منتجات Microsoft فقط. تتمثل ميزة هذا التكامل في أن المستخدم لا يحتاج إلى تذكر عدد كبير من عمليات تسجيل الدخول وكلمات المرور للوصول إلى تطبيق معين ، في جميع التطبيقات ، يمتلك المستخدم نفس بيانات الاعتماد - تتم مصادقته في دليل Active Directory واحد. يوفر Windows Server تكامل Active Directory مع بروتوكول RADIUS ، والذي يتم دعمه بواسطة مجموعة متنوعة من معدات الشبكة. وبالتالي ، من الممكن ، على سبيل المثال ، توفير مصادقة لمستخدمي المجال عند الاتصال عبر VPN من الخارج ، واستخدام نقاط وصول Wi-Fi في الشركة.

5. مخزن تكوين التطبيق الموحد

تخزن بعض التطبيقات تكوينها في Active Directory ، مثل Exchange Server. يعد نشر خدمة دليل Active Directory شرطًا أساسيًا لعمل هذه التطبيقات. يعد تخزين تكوين التطبيق في خدمة الدليل مفيدًا من حيث المرونة والموثوقية. على سبيل المثال ، في حالة حدوث فشل كامل لخادم Exchange ، سيظل تكوينه بالكامل كما هو. لاستعادة وظائف بريد الشركة ، يكفي إعادة تثبيت Exchange Server في وضع الاسترداد.

بإيجاز ، أود التركيز مرة أخرى على حقيقة أن خدمات Active Directory هي قلب البنية التحتية لتكنولوجيا المعلومات في المؤسسة. في حالة حدوث عطل ، الشبكة بأكملها ، جميع الخوادم ، فإن عمل جميع المستخدمين سيصاب بالشلل. لن يتمكن أي شخص من تسجيل الدخول إلى الكمبيوتر والوصول إلى مستنداته وتطبيقاته. لذلك ، يجب تصميم خدمة الدليل ونشرها بعناية ، مع مراعاة جميع الفروق الدقيقة الممكنة ، على سبيل المثال ، عرض النطاق الترددي للقنوات بين الفروع أو مكاتب الشركة (يؤثر هذا بشكل مباشر على سرعة تسجيل دخول المستخدم إلى النظام ، وكذلك تبادل البيانات بين وحدات تحكم المجال).



في عام 2002 ، أثناء السير على طول ممر قسم علوم الكمبيوتر في جامعتي المفضلة ، رأيت ملصقًا جديدًا على باب مكتب NT Systems. أظهر الملصق أيقونات حسابات المستخدمين مجمعة في مجموعات ، والتي بدورها انتقلت الأسهم إلى أيقونات أخرى. تم دمج كل هذا بشكل تخطيطي في هيكل معين ، وقد تمت كتابة شيء ما عن نظام إدخال واحد ، والترخيص ، وما شابه. بقدر ما أفهم الآن ، فإن هذا الملصق يصور بنية مجالات Windows NT 4.0 وأنظمة Windows 2000 Active Directory. منذ تلك اللحظة ، بدأ تعارفي الأول مع Active Directory وانتهى فورًا ، لأنه كانت هناك جلسة شاقة ، وإجازة ممتعة ، وبعد ذلك شارك صديق بأقراص FreeBSD 4 و Red Hat Linux ، وخلال السنوات القليلة التالية انغمست في عالم من الأنظمة الشبيهة بـ Unix ، لكنني لم أنس أبدًا محتويات الملصق.
كان عليّ أن أعود وأن أصبح أكثر دراية بأنظمة Windows Server عندما انتقلت للعمل في شركة حيث كانت إدارة البنية التحتية لتكنولوجيا المعلومات بالكامل تعتمد على Active Directory. أتذكر أن المدير العام لتلك الشركة في كل اجتماع ظل يقول شيئًا عن نوع من أفضل ممارسات الدليل النشط. الآن ، بعد 8 سنوات من الاتصال الدوري مع Active Directory ، فهمت جيدًا كيف يعمل هذا النظام وما هي أفضل ممارسات Active Directory.
كما خمنت على الأرجح ، سنتحدث عن Active Directory.
أي شخص مهتم بهذا الموضوع ، مرحبا بكم في القط.

هذه التوصيات صالحة لأنظمة العميل بدءًا من Windows 7 والإصدارات الأحدث ، للمجالات والغابات من مستوى Windows Server 2008 / R2 والإصدارات الأحدث.

التوحيد
يجب أن يبدأ التخطيط لـ Active Directory من خلال تطوير المعايير الخاصة بك لتسمية الكائنات وموقعها في الدليل. من الضروري إنشاء مستند يتم فيه تحديد جميع المعايير اللازمة. بالطبع ، هذه توصية شائعة إلى حد ما لمتخصصي تكنولوجيا المعلومات. مبدأ "نكتب التوثيق أولاً ، ثم نبني نظامًا يعتمد على هذه التوثيق" جيد جدًا ، ولكن نادرًا ما يتم تنفيذه عمليًا لأسباب عديدة. من بين هذه الأسباب - الكسل البشري البسيط أو الافتقار إلى الكفاءة المناسبة ، بقية الأسباب مستمدة من الأولين.
أوصي - أولاً ، اكتب الوثائق ، وفكر في الأمر ، وبعد ذلك فقط تابع تثبيت وحدة تحكم المجال الأولى.
على سبيل المثال ، سأقدم قسمًا من المستند حول معايير تسمية كائنات Active Directory.
تسمية الكائن.

  • يجب أن يبدأ اسم مجموعات المستخدمين بالبادئة GRUS_ (GR - Group، US - Users)
  • يجب ألا يبدأ اسم مجموعات الكمبيوتر بالبادئة GRCP_ (GR - Group، CP - Computers)
  • يجب أن يبدأ اسم مجموعات التفويض بالبادئة GRDL_ (GR - Group، DL - التفويض)
  • يجب أن يبدأ اسم مجموعات الوصول إلى الموارد بالبادئة GRRS_ (GR - Group ، RS - resources)
  • يجب أن يبدأ اسم مجموعات السياسات بالبادئات GPUS_، GPCP_ (GP - نهج المجموعة، الولايات المتحدة - المستخدمون، CP - أجهزة الكمبيوتر)
  • يجب أن يتكون اسم أجهزة الكمبيوتر العميلة من حرفين أو ثلاثة أحرف من اسم المؤسسة ، متبوعًا برقم عبر واصلة ، على سبيل المثال ، nnt-01.
  • يجب أن تبدأ أسماء الخوادم بحرفين فقط ، متبوعين بشرطة متبوعة بدور الخادم ورقم الخادم ، على سبيل المثال ، nn-dc01.
أوصي بتسمية كائنات Active Directory بطريقة لا تحتاج إلى ملء حقل "الوصف". على سبيل المثال ، من اسم المجموعة GPCP_Restricted_Groups ، من الواضح أن هذه مجموعة لسياسة يتم تطبيقها على أجهزة الكمبيوتر وتؤدي عمل آلية المجموعات المقيدة.
يجب أن يكون أسلوبك في كتابة الوثائق شاملاً للغاية ، وهذا سيوفر الكثير من الوقت لاحقًا.

تبسيط كل شيء ممكن ، حاول تحقيق التوازن
عند إنشاء Active Directory ، يجب عليك اتباع مبدأ تحقيق التوازن واختيار آليات بسيطة ومفهومة.
مبدأ التوازن هو تحقيق الوظائف والأمان اللازمين بأقصى بساطة للحل.
من الضروري محاولة بناء النظام بحيث يكون هيكله واضحًا للمسؤول الأقل خبرة أو حتى المستخدم. على سبيل المثال ، في وقت من الأوقات كانت هناك توصية لإنشاء بنية غابة من عدة مجالات. علاوة على ذلك ، تمت التوصية بنشر ليس فقط الهياكل متعددة المجالات ، ولكن أيضًا الهياكل من العديد من الغابات. ربما وُجدت هذه التوصية بسبب مبدأ "فرق تسد" ، أو لأن Microsoft أخبرت الجميع أن المجال هو حدود أمنية وبتقسيم المنظمة إلى مجالات ، سنحصل على هياكل منفصلة يسهل التحكم فيها بشكل فردي. ولكن كما أظهرت الممارسة ، من الأسهل الحفاظ على أنظمة المجال الواحد والتحكم فيها ، حيث تكون حدود الأمان عبارة عن وحدات تنظيمية (OU) ، وليست مجالات. لذلك ، تجنب إنشاء هياكل معقدة متعددة المجالات ، فمن الأفضل تجميع الكائنات حسب الوحدة التنظيمية.
بالطبع ، يجب أن تتصرف بدون تعصب - إذا كنت لا تستطيع الاستغناء عن عدة مجالات ، فأنت بحاجة إلى إنشاء العديد من المجالات ، وكذلك مع الغابات. الشيء الرئيسي هو أن تفهم ما تفعله وما يمكن أن يؤدي إليه.
من المهم أن نفهم أن البنية التحتية البسيطة لـ Active Directory أسهل في الإدارة والتحكم. بل أود أن أقول أنه كلما كان ذلك أبسط ، كان أكثر أمانًا.
طبق مبدأ التبسيط. حاول تحقيق التوازن.

اتبع مبدأ - "كائن - مجموعة"
ابدأ في إنشاء كائنات Active Directory عن طريق إنشاء مجموعة لهذا الكائن ، وقم بالفعل بتعيين الحقوق اللازمة للمجموعة. لنلقي نظرة على مثال. تحتاج إلى إنشاء حساب مسؤول رئيسي. قم أولاً بإنشاء مجموعة Head Admins ثم قم بإنشاء الحساب نفسه وإضافته إلى هذه المجموعة. عيّن مجموعة المسؤولين الرئيسيين حقوق المسؤول الرئيسي ، على سبيل المثال ، عن طريق إضافتها إلى مجموعة Domain Admins. دائمًا ما يتضح أنه بعد فترة من الوقت يأتي موظف آخر إلى العمل الذي يحتاج إلى حقوق مماثلة ، وبدلاً من تفويض الحقوق إلى أقسام مختلفة من Active Directory ، سيكون من الممكن ببساطة إضافته إلى المجموعة المطلوبة ، والتي يمتلكها النظام بالفعل دور محدد وتفويض السلطة اللازمة.
مثال آخر. تحتاج إلى تفويض الحقوق إلى الوحدة التنظيمية مع المستخدمين إلى مجموعة مسؤولي النظام. لا تفوض الحقوق مباشرة إلى مجموعة المسؤولين ، ولكن قم بإنشاء مجموعة خاصة مثل GRDL_OUName_Operator_Accounts التي تقوم بتعيين حقوق لها. بعد ذلك ، ما عليك سوى إضافة مجموعة المسؤولين المسؤولين إلى مجموعة GRDL_OUName_Operator_Accounts. سيظهر بالتأكيد أنه في المستقبل القريب ، ستحتاج إلى تفويض الحقوق إلى هذه الوحدة التنظيمية لمجموعة أخرى من المسؤولين. وفي هذه الحالة ، ستقوم ببساطة بإضافة مجموعة بيانات المسؤول إلى مجموعة تفويض GRDL_OUName_Operator_Accounts.
أقترح هيكل المجموعة التالي.

  • مجموعات المستخدمين (GRUS_)
  • مجموعات المسؤولين (GRAD_)
  • مجموعات التفويض (GRDL_)
  • مجموعات السياسات (GRGP_)
مجموعات الكمبيوتر
  • مجموعات الخادم (GRSR_)
  • مجموعات كمبيوتر العميل (GRCP_)
مجموعات الوصول إلى الموارد
  • مجموعات الوصول إلى الموارد المشتركة (GRRS_)
  • مجموعات وصول الطابعة (GRPR_)
في نظام مبني حول هذه الإرشادات ، ستضيف جميع الإدارة تقريبًا مجموعات إلى المجموعات.
حافظ على التوازن ، وحدد عدد الأدوار للمجموعات ، وتذكر أن اسم المجموعة يجب أن يصف دورها بشكل مثالي.

العمارة OU.
يجب أولاً التفكير في بنية الوحدة التنظيمية من وجهة نظر الأمان وتفويض الحقوق إلى هذه الوحدة التنظيمية لمسؤولي النظام. لا أوصي بتخطيط بنية الوحدة التنظيمية من حيث ربط سياسات المجموعة بها (على الرغم من أن هذا يتم غالبًا). بالنسبة للبعض ، ستبدو توصيتي غريبة بعض الشيء ، لكنني لا أوصي بربط سياسات المجموعة بوحدة تنظيمية على الإطلاق. اقرأ المزيد في قسم سياسات المجموعة.
مشرفو OU
أوصي بتخصيص وحدة تنظيمية منفصلة للحسابات والمجموعات الإدارية ، حيث يتم وضع حسابات ومجموعات جميع المسؤولين ومهندسي الدعم الفني. يجب أن يقتصر الوصول إلى هذه الوحدة التنظيمية على المستخدمين العاديين ، ويجب تفويض إدارة الكائنات من هذه الوحدة التنظيمية فقط إلى المسؤولين الرئيسيين.
OU للكمبيوتر
من الأفضل تخطيط الوحدات التنظيمية للكمبيوتر من حيث جغرافيا الكمبيوتر وأنواع الكمبيوتر. وزع أجهزة الكمبيوتر من مواقع جغرافية مختلفة إلى وحدات تنظيمية مختلفة ، وقم بتقسيمها إلى أجهزة كمبيوتر وخوادم العميل. يمكن تقسيم الخوادم إلى Exchange و SQL وغيرها.

المستخدمون ، الحقوق في Active Directory
يجب أن تحظى حسابات مستخدمي Active Directory باهتمام خاص. كما هو مذكور في القسم الخاص بالوحدات التنظيمية ، يجب تجميع حسابات المستخدمين على أساس مبدأ تفويض السلطة لهذه الحسابات. من المهم أيضًا مراعاة مبدأ الامتياز الأقل - فكلما قلت حقوق المستخدم في النظام ، كان ذلك أفضل. أوصي بأن تضع على الفور مستوى امتياز المستخدم في اسم حسابه. يجب أن يتكون حساب العمل اليومي من اسم العائلة والأحرف الأولى من اسم المستخدم باللاتينية (على سبيل المثال ، IvanovIV أو IVIvanov). الحقول المطلوبة هي: الاسم الأول ، الأحرف الأولى ، اسم العائلة ، اسم العرض (باللغة الروسية) ، البريد الإلكتروني ، الهاتف المحمول ، المسمى الوظيفي ، المدير.
يجب أن تكون حسابات المسؤول من الأنواع التالية:

  • مع حقوق المسؤول لأجهزة كمبيوتر المستخدم ، ولكن ليس الخوادم. يجب أن يتكون من الأحرف الأولى للمالك متبوعة بالبادئة المحلية (مثل iivlocal)
  • مع حقوق إدارة الخوادم والدليل النشط. يجب أن يتكون من الأحرف الأولى فقط (على سبيل المثال ، iiv).
يجب أن يبدأ حقل اللقب لكلا النوعين من الحسابات الإدارية بالحرف الأول (على سبيل المثال ، iPetrov P Vasily)
اسمحوا لي أن أشرح لماذا يجب عليك فصل الحسابات الإدارية إلى مسؤولي الخادم ومسؤولي الكمبيوتر العميل. هذا ضروري لأسباب أمنية. سيكون لمسؤولي أجهزة الكمبيوتر العميلة الحق في تثبيت البرامج على أجهزة الكمبيوتر العميلة. ماذا ولماذا سيتم تثبيت البرنامج ، لا يمكنك أن تقول على وجه اليقين. لذلك ، ليس من الآمن تشغيل تثبيت البرنامج بحقوق مسؤول المجال ؛ يمكنك اختراق المجال بأكمله. يجب عليك إدارة أجهزة الكمبيوتر العميلة فقط مع حقوق المسؤول المحلي لهذا الكمبيوتر. هذا سيجعل من المستحيل لعدد من الهجمات على حسابات مسؤولي المجال ، مثل "Pass The Hash". بالإضافة إلى ذلك ، يجب على مسؤولي أجهزة الكمبيوتر العميلة إغلاق اتصال "الخدمات الطرفية" واتصال الشبكة بالكمبيوتر. يجب وضع أجهزة الكمبيوتر الخاصة بالدعم الفني والمسؤولين في شبكة محلية ظاهرية منفصلة لتقييد الوصول إليها من شبكة أجهزة الكمبيوتر العميلة.
منح حقوق المسؤول للمستخدمين
إذا كنت بحاجة إلى منح حقوق المسؤول لمستخدم ، فلا تضع حسابه اليومي في مجموعة المسؤولين المحليين للكمبيوتر تحت أي ظرف من الظروف. يجب أن يكون حساب العمل اليومي محدودًا دائمًا في الحقوق. قم بإنشاء حساب إداري منفصل من النوع المحلي له وأضف هذا الحساب إلى مجموعة المسؤولين المحليين باستخدام السياسة ، مع تقييد استخدامه فقط على كمبيوتر المستخدم باستخدام الاستهداف على مستوى العنصر. سيتمكن المستخدم من استخدام هذا الحساب باستخدام آلية تشغيل AS.
سياسات كلمة المرور
أنشئ سياسات كلمات مرور منفصلة للمستخدمين والمسؤولين باستخدام سياسة كلمات المرور الدقيقة. من المستحسن أن تتكون كلمة مرور المستخدم من 8 أحرف على الأقل وأن يتم تغييرها كل ثلاثة أشهر على الأقل. من المستحسن أن يغير المسؤولون كلمة المرور كل شهرين ، ويجب أن تتكون من 10 إلى 15 حرفًا على الأقل وأن تفي بمتطلبات التعقيد.

تكوين المجال والمجموعات المحلية. آلية المجموعات المقيدة
يجب التحكم في تكوين المجال والمجموعات المحلية على أجهزة كمبيوتر المجال فقط في الوضع التلقائي ، باستخدام آلية المجموعات المقيدة. لماذا من الضروري القيام بذلك بهذه الطريقة فقط ، سأشرح بالمثال التالي. عادةً ، بعد تعطل مجال Active Directory ، يضيف المسؤولون أنفسهم إلى مجموعات المجال مثل مسؤولي المجال ، ومسؤولي المؤسسة ، وإضافة مهندسي الدعم الفني إلى المجموعات الضرورية ، وكذلك توزيع المستخدمين الآخرين في مجموعات. في عملية إدارة هذا المجال ، تتكرر عملية إصدار الحقوق عدة مرات وسيكون من الصعب للغاية تذكر أنك قمت بالأمس بإضافة المحاسب نينا بتروفنا مؤقتًا إلى مجموعة مسؤولي 1C وأنك اليوم بحاجة إلى إزالتها من هذه المجموعة. سيتفاقم الموقف إذا كان لدى الشركة العديد من المسؤولين وكل من وقت لآخر يمنح حقوقًا للمستخدمين بأسلوب مماثل. في غضون عام ، سيكون من المستحيل تقريبًا معرفة الحقوق التي يتم تعيينها لمن. لذلك ، يجب التحكم في تكوين المجموعات فقط من خلال سياسات المجموعة ، والتي ستضع كل شيء بالترتيب مع كل تطبيق.
تكوين المجموعات المدمجة
تجدر الإشارة إلى أن المجموعات المضمنة مثل مشغلي الحسابات ومشغلي النسخ الاحتياطي ومشغلي التشفير والضيوف ومشغلي الطباعة ومشغلي الخادم يجب أن تكون فارغة ، سواء في المجال أو على أجهزة الكمبيوتر العميلة. هذه المجموعات مطلوبة بشكل أساسي للتوافق مع الأنظمة القديمة ، ويتم منح مستخدمي هذه المجموعات الكثير من الحقوق في النظام ، وتصبح هجمات تصعيد الامتيازات ممكنة.

حسابات المسؤول المحلي
باستخدام آلية المجموعات المقيدة ، يجب تأمين حسابات المسؤولين المحليين على أجهزة الكمبيوتر المحلية ، وإغلاق حسابات الضيوف ، ومسح مجموعة المسؤولين المحليين على أجهزة الكمبيوتر المحلية. لا تستخدم سياسات المجموعة مطلقًا لتعيين كلمات مرور لحسابات المسؤول المحلي. هذه الآلية غير آمنة ، يمكن استرداد كلمة المرور مباشرة من السياسة. ولكن ، إذا قررت عدم حظر حسابات المسؤول المحلي ، فاستخدم آلية LAPS لتعيين كلمات المرور بشكل صحيح وتدويرها. لسوء الحظ ، فإن تهيئة LAPS ليست مؤتمتة بالكامل ، وبالتالي سيكون من الضروري إضافة سمات يدويًا إلى مخطط Active Directory ، ومنح الحقوق لها ، وتعيين المجموعات ، وما إلى ذلك. لذلك ، من الأسهل حظر حسابات المسؤول المحلي.
حسابات الخدمة.
لبدء الخدمات ، استخدم حسابات الخدمة وآلية gMSA (متوفرة على Windows 2012 والأنظمة الأعلى)

نهج المجموعة
وثيقة السياسات قبل الإنشاء / التعديل.
عند إنشاء سياسة ، استخدم مبدأ "نهج - مجموعة". أي قبل إنشاء سياسة ، قم أولاً بإنشاء مجموعة لهذه السياسة ، وإزالة مجموعة المستخدمين المصادق عليهم من نطاق السياسة وإضافة المجموعة التي تم إنشاؤها. ربط السياسة ليس بوحدة تنظيمية ، ولكن بجذر المجال وتنظيم نطاق تطبيقه عن طريق إضافة كائنات إلى مجموعة السياسة. أنا أعتبر مثل هذه الآلية أكثر مرونة ومفهومة من ربط سياسة ما بوحدة تنظيمية. (هذا ما كتبت عنه في قسم الهندسة المعمارية في OU).
اضبط دائمًا نطاق السياسة. إذا قمت بإنشاء سياسة للمستخدمين فقط ، فعندئذٍ قم بتعطيل بنية الكمبيوتر والعكس صحيح ، وقم بتعطيل بنية المستخدم إذا كنت قد أنشأت سياسة لأجهزة الكمبيوتر فقط. بفضل هذه الإعدادات ، سيتم تطبيق السياسات بسرعة أكبر.
قم بإعداد نسخ احتياطية يومية للنُهج باستخدام Power Shell بحيث في حالة وجود أخطاء في التكوين ، يمكنك دائمًا إعادة الإعدادات إلى الإعدادات الأصلية.
قوالب المتجر المركزي (المتجر المركزي)
بدءًا من Windows 2008 ، أصبح من الممكن تخزين قوالب ADMX لنهج المجموعة في متجر مركزي ، في SYSVOL. قبل ذلك ، افتراضيًا ، تم تخزين جميع قوالب السياسات محليًا على العملاء. لوضع قوالب ADMX في المتجر المركزي ، انسخ محتويات المجلد٪ SystemDrive٪ \ Windows \ PolicyDefinitions إلى جانب المجلدات الفرعية من أنظمة العميل (Windows 7/8 / 8.1) إلى وحدة التحكم بالمجال٪ SystemDrive٪ \ Windows \ SYSVOL \ domain دليل \ Policies \ PolicyDefinitions مع محتوى مدمج ولكن بدون استبدال. بعد ذلك ، يجب عليك عمل النسخة نفسها من أنظمة الخادم ، بدءًا من الأقدم. أخيرًا ، عند نسخ المجلدات والملفات من أحدث إصدار من الخادم ، قم بإجراء نسخ الدمج والاستبدال.

نسخ قوالب ADMX

بالإضافة إلى ذلك ، يمكن وضع قوالب ADMX لأي من منتجات البرامج ، مثل Microsoft Office ومنتجات Adobe ومنتجات Google وغيرها ، في وحدة التخزين المركزية. انتقل إلى موقع بائع البرنامج على الويب ، وقم بتنزيل قالب ADMX لنهج المجموعة ، واستخرجه إلى المجلد٪ SystemDrive٪ \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions على أي من وحدات التحكم بالمجال الخاصة بك. يمكنك الآن إدارة منتج البرنامج الذي تحتاجه من خلال سياسات المجموعة.
مرشحات WMI
عوامل تصفية WMI ليست سريعة جدًا ، لذا يفضل الاستهداف على مستوى العنصر. ولكن إذا تعذر استخدام الاستهداف على مستوى العنصر ، وقررت استخدام WMI ، فأوصيك بإنشاء العديد من عوامل التصفية الأكثر شيوعًا لنفسك على الفور: عامل التصفية "أنظمة تشغيل العميل فقط" ، و "أنظمة تشغيل الخادم فقط" ، والفلاتر "Windows 7" ، مرشحات "Windows 8" ، "Windows 8.1" ، "Windows 10". إذا كانت لديك مجموعات جاهزة من مرشحات WMI ، فسيكون من الأسهل تطبيق المرشح المطلوب على السياسة المطلوبة لاحقًا.

تدقيق أحداث Active Directory
تأكد من تمكين تدقيق الأحداث على وحدات التحكم بالمجال والخوادم الأخرى. أوصي بتمكين تدقيق الكائنات التالية:

  • تدقيق إدارة حساب الكمبيوتر - النجاح والفشل
  • تدقيق أحداث إدارة الحساب الأخرى - النجاح والفشل
  • تدقيق إدارة مجموعة الأمان - النجاح والفشل
  • تدقيق إدارة حساب المستخدم - النجاح والفشل
  • تدوين خدمة مصادقة Kerberos - فشل
  • تدوين أحداث أخرى لتسجيل الدخول إلى الحساب - فشل
  • تغيير سياسة تدوين التدقيق - النجاح والفشل
يجب تكوين التدقيق في القسم تكوين نهج التدوين المتقدموتأكد من تضمين الإعداد في القسم خيارات السياسة / الأمان المحلية - فرض إعدادات الفئة الفرعية لسياسة التدقيق (Windows Vista أو أحدث) لتجاوز إعدادات فئة نهج التدقيق، والذي سيتجاوز إعدادات المستوى الأعلى ويطبق الإعدادات المتقدمة.

إعدادات التدقيق المتقدمة

لن أتطرق إلى إعدادات التدقيق بالتفصيل ، حيث يوجد عدد كافٍ من المقالات على الويب مخصصة لهذا الموضوع. سأضيف فقط أنه بالإضافة إلى تمكين التدقيق ، يجب عليك تكوين تنبيهات البريد الإلكتروني حول أحداث الأمان الهامة. ومن الجدير أيضًا أن يؤخذ في الاعتبار أنه في الأنظمة التي تحتوي على عدد كبير من الأحداث ، فإن الأمر يستحق تخصيص خوادم منفصلة لتجميع ملفات السجل وتحليلها.

سكربتات الإدارة والتنظيف
يجب تنفيذ جميع الإجراءات من نفس النوع والتي غالبًا ما يتم تكرارها باستخدام البرامج النصية للإدارة. من بين هذه الإجراءات: إنشاء حسابات مستخدمين ، وإنشاء حسابات مسئولين ، وإنشاء مجموعات ، وإنشاء وحدات تنظيمية ، وما إلى ذلك. تسمح لك كائنات البرمجة بتكريم منطق تسمية كائن Active Directory الخاص بك عن طريق إنشاء عمليات التحقق من بناء الجملة مباشرة في البرامج النصية الخاصة بك.
من المفيد أيضًا كتابة نصوص تنظيف تتحكم تلقائيًا في تكوين المجموعات ، وتحدد المستخدمين وأجهزة الكمبيوتر التي لم تتصل بالمجال لفترة طويلة ، وتكشف عن انتهاكات معاييرك الأخرى ، وما إلى ذلك.
لم أر توصية رسمية صريحة باستخدام البرامج النصية الإدارية لرصد الامتثال للمعايير وأداء العمليات الخلفية. لكني أنا شخصياً أفضل الفحوصات والإجراءات في الوضع التلقائي باستخدام البرامج النصية ، لأن هذا يوفر الكثير من الوقت ويزيل الكثير من الأخطاء ، وبالطبع ، يؤثر أسلوب Unix قليلاً في الإدارة هنا ، عندما يكون من الأسهل كتابة أمرين من النقر على النوافذ.

الإدارة اليدوية
جزء من عمليات الإدارة ستحتاج أنت وزملاؤك إلى القيام بها يدويًا. لهذه الأغراض ، أوصي باستخدام وحدة التحكم mmc مع الإضافات المضافة إليها.
كما سيتم مناقشته لاحقًا ، يجب أن تعمل وحدات التحكم بالمجال في وضع Server Core ، أي أن إدارة بيئة AD بأكملها يجب أن تتم فقط من جهاز الكمبيوتر الخاص بك باستخدام وحدات التحكم. لإدارة Active Directory ، تحتاج إلى تثبيت أدوات إدارة الخادم البعيد على جهاز الكمبيوتر الخاص بك. يجب تشغيل وحدات التحكم على جهاز الكمبيوتر الخاص بك كمستخدم لديه حقوق مسؤول Active Directory الذي تم تفويض التحكم إليه.
يتطلب فن إدارة Active Directory باستخدام وحدات التحكم مقالة منفصلة ، وربما حتى مقطع فيديو تدريبي منفصل ، لذلك أنا أتحدث هنا فقط عن المبدأ نفسه.

وحدات تحكم المجال
في أي مجال ، يجب أن يكون هناك جهازي تحكم على الأقل. يجب أن يكون لدى وحدات التحكم بالمجال أقل عدد ممكن من الخدمات. يجب ألا تصنع خادم ملفات من وحدة تحكم المجال أو ، لا سمح الله ، ترفع دور الخادم الطرفي عليه. قم بتشغيل أنظمة تشغيل Server Core على وحدات تحكم المجال عن طريق إزالة دعم WoW64 تمامًا ، سيؤدي ذلك إلى تقليل عدد التحديثات المطلوبة بشكل كبير وزيادة أمانها.
لم تشجع Microsoft في السابق على محاكاة وحدات التحكم بالمجال الافتراضية نظرًا لحقيقة أنه عند الاستعادة من اللقطات ، كان من الممكن حل تعارضات النسخ المتماثل التي يصعب حلها. ربما كانت هناك أسباب أخرى ، لا يمكنني الجزم بذلك. الآن تعلمت برامج Hypervisor إخبار وحدات التحكم باستعادتها من اللقطات ، وقد اختفت هذه المشكلة. أقوم بعمل وحدات تحكم افتراضية طوال الوقت ، دون أخذ أي لقطات ، لأنني لا أفهم لماذا قد يكون من الضروري القيام بذلك على وحدات التحكم في المجال على الإطلاق. في رأيي ، من الأسهل إجراء نسخ احتياطي لوحدة تحكم المجال باستخدام الأدوات القياسية. لذلك ، أوصي بإضفاء الطابع الافتراضي على جميع وحدات تحكم المجال الممكنة. سيكون هذا التكوين أكثر مرونة. عند إنشاء وحدات تحكم المجال الافتراضية ، ضعها على مضيفين فعليين مختلفين.
إذا كنت بحاجة إلى وضع وحدة تحكم المجال في بيئة مادية غير آمنة أو في فرع من مؤسستك ، فاستخدم RODC لهذا الغرض.

أدوار FSMO ، وحدات التحكم الأولية والثانوية
تستمر أدوار FSMO للتحكم بالمجال في غرس الخوف في أذهان المسؤولين المبتدئين. في كثير من الأحيان ، يدرس المبتدئون Active Directory باستخدام وثائق قديمة أو يستمعون إلى قصص من مسؤولين آخرين قرأوا شيئًا ما في مكان ما.
لجميع الأدوار الخمسة + 1 ، يجب ذكر ما يلي بإيجاز. بدءًا من Windows Server 2008 ، لم تعد هناك وحدات تحكم مجال أساسية وثانوية. جميع أدوار وحدة تحكم المجال الخمسة محمولة ، ولكن لا يمكن استضافتها على أكثر من وحدة تحكم مجال واحدة في نفس الوقت. إذا أخذنا أحد وحدات التحكم ، والذي ، على سبيل المثال ، كان صاحب 4 أدوار وقمنا بحذفها ، فيمكننا بسهولة نقل كل هذه الأدوار إلى وحدات تحكم أخرى ، ولن يحدث شيء رهيب في المجال ، فلن ينكسر أي شيء. هذا ممكن لأن مالكه يخزن جميع المعلومات المتعلقة بالعمل المرتبط بدور معين مباشرة في Active Directory. وإذا نقلنا الدور إلى وحدة تحكم أخرى ، فإنه يطلب أولاً وقبل كل شيء المعلومات المخزنة في Active Directory ويبدأ في الخدمة. يمكن أن يوجد المجال لفترة طويلة دون أصحاب الدور. "الدور" الوحيد الذي يجب أن يكون دائمًا في Active Directory ، والذي بدونه سيكون كل شيء سيئًا للغاية ، هو دور الفهرس العام (GC) ، ويمكن أن يقوم به جميع وحدات التحكم في المجال. أوصي بتعيين دور GC لكل وحدة تحكم في المجال ، كلما كان ذلك أفضل. بالطبع ، يمكنك العثور على الحالات التي لا يجب فيها تثبيت دور GC على وحدة تحكم المجال. حسنًا ، إذا لم يكن عليك ذلك ، فلا داعي لذلك. اتبع التوصيات دون تعصب.

خدمة DNS
تعد خدمة DNS ضرورية لتشغيل Active Directory ويجب أن تعمل بسلاسة. من الأفضل وضع خدمة DNS على كل وحدة تحكم مجال وتخزين مناطق DNS في Active Directory نفسه. إذا كنت ستستخدم Active Directory لتخزين مناطق DNS ، فيجب عليك تكوين خصائص اتصال TCP / IP على وحدات التحكم بالمجال بحيث يكون لكل وحدة تحكم أي خادم DNS آخر كخادم DNS أساسي ، ويمكنك تعيين خادم DNS الثانوي العنوان 127.0.0.1. هذا التكوين ضروري لأنه من أجل البدء العادي لخدمة Active Directory ، يلزم وجود DNS عاملة ، ولكي يبدأ DNS ، يجب تشغيل خدمة Active Directory ، لأنها تحتوي على منطقة DNS نفسها.
تأكد من إعداد مناطق البحث العكسي لجميع شبكاتك وتمكين التحديث التلقائي الآمن لسجلات PTR.
أوصي بأن تقوم بالإضافة إلى ذلك بتمكين التنظيف التلقائي للمنطقة من سجلات DNS القديمة (مسح DNS).
أوصي بتحديد خوادم Yandex الآمنة مثل DNS-Forwarders إذا لم تكن هناك خوادم أخرى أسرع في موقعك الجغرافي.

المواقع والنسخ
يميل العديد من المسؤولين إلى التفكير في المواقع على أنها مجموعة جغرافية من أجهزة الكمبيوتر. على سبيل المثال ، موقع موسكو ، موقع سانت بطرسبرغ. ظهر هذا الرأي بسبب حقيقة أن التقسيم الأصلي لـ Active Directory إلى مواقع تم إجراؤه من أجل موازنة حركة مرور شبكة النسخ المتماثل وفصلها. لا تحتاج وحدات التحكم بالمجال في موسكو إلى معرفة أنه تم الآن إنشاء عشرة حسابات كمبيوتر في سان بطرسبرج. وبالتالي ، يمكن إرسال مثل هذه المعلومات حول التغييرات مرة واحدة في الساعة وفقًا لجدول زمني. أو حتى تكرار التغييرات مرة في اليوم وفقط في الليل لتوفير عرض النطاق الترددي.
حول المواقع ، أود أن أقول هذا: المواقع هي مجموعات منطقية من أجهزة الكمبيوتر. أجهزة الكمبيوتر المترابطة عن طريق اتصال شبكة جيد. والمواقع نفسها متصلة ببعضها البعض من خلال اتصال بنطاق ترددي منخفض ، وهو أمر نادر في عصرنا. لذلك ، أقوم بتقسيم Active Directory إلى مواقع ليس من أجل موازنة حركة مرور النسخ المتماثل ، ولكن لموازنة حمل الشبكة بشكل عام ومعالجة طلبات العملاء من أجهزة كمبيوتر الموقع بشكل أسرع. اسمحوا لي أن أشرح بمثال. هناك شبكة محلية للمؤسسة تبلغ سعتها 100 ميغا بايت ، يتم تقديمها من خلال وحدتي تحكم بالمجال ، وهناك سحابة حيث توجد خوادم التطبيقات الخاصة بهذه المؤسسة مع وحدتي تحكم سحابيتين أخريين. سأقسم هذه الشبكة إلى موقعين بحيث تعالج وحدات التحكم في الشبكة المحلية طلبات العميل من الشبكة المحلية ، وتتطلب وحدات التحكم في السحابة من خوادم التطبيق. بالإضافة إلى ذلك ، سيؤدي هذا إلى فصل الطلبات إلى خدمات DFS و Exchange. وبما أنني الآن نادرًا ما أرى قناة إنترنت تقل عن 10 ميغا بت في الثانية ، فسوف أقوم بتمكين Notify Based Replication ، وهذا عندما يتم نسخ البيانات بمجرد حدوث أي تغييرات في Active Directory.

خاتمة
كنت أفكر هذا الصباح في سبب عدم الترحيب بأنانية الإنسان في المجتمع وفي مكان ما على مستوى عميق من الإدراك تسبب مشاعر سلبية للغاية. والإجابة الوحيدة التي تتبادر إلى ذهني هي أن الجنس البشري لم يكن لينجو على هذا الكوكب لو لم يتعلم كيفية مشاركة الموارد المادية والفكرية. لهذا السبب أشاركك هذه المقالة وآمل أن تساعدك توصياتي على تحسين أنظمتك وستقضي وقتًا أقل بكثير في استكشاف الأخطاء وإصلاحها. كل هذا سيؤدي إلى إطلاق المزيد من الوقت والطاقة للإبداع. إنه لمن دواعي سروري العيش في عالم من المبدعين والحراريين.
من الجيد أن تشارك معرفتك وممارساتك في إنشاء Active Directory في التعليقات إن أمكن.
السلام والخير للجميع!

يمكنك المساعدة وتحويل بعض الأموال لتطوير الموقع

Active Directory هو خدمة دليل Microsoft لعائلة أنظمة التشغيل Windows NT.

تتيح هذه الخدمة للمسؤولين استخدام سياسات المجموعة لضمان إعدادات مساحة عمل المستخدم الموحدة ، وعمليات تثبيت البرامج ، والتحديثات ، والمزيد.

ما هو جوهر Active Directory وما هي المهام التي يحلها؟ واصل القراءة.

مبادئ تنظيم شبكات الند للند ومتعددة الأقران

ولكن تظهر مشكلة أخرى ، ماذا لو قرر user2 على PC2 تغيير كلمة المرور الخاصة به؟ ثم إذا قام user1 بتغيير كلمة مرور الحساب ، فلن يتمكن user2 على PC1 من الوصول إلى المورد.

مثال آخر: لدينا 20 محطة عمل بها 20 حسابًا نريد منحها حق الوصول إلى حساب معين ، لذلك نحتاج إلى إنشاء 20 حسابًا على خادم الملفات وإتاحة الوصول إلى المورد الضروري.

وإذا لم يكن هناك 20 بل 200؟

كما تفهم ، تتحول إدارة الشبكة مع هذا النهج إلى جحيم كامل.

لذلك ، فإن نهج مجموعة العمل مناسب لشبكات المكاتب الصغيرة التي لا تحتوي على أكثر من 10 أجهزة كمبيوتر.

إذا كان هناك أكثر من 10 محطات عمل في الشبكة ، يصبح النهج مبررًا بشكل منطقي يتم فيه تفويض عقدة شبكة واحدة بحقوق إجراء المصادقة والترخيص.

هذه العقدة هي وحدة تحكم المجال - Active Directory.

وحدة تحكم المجال

تحتفظ وحدة التحكم بقاعدة بيانات للحسابات ، أي يحتفظ بحساب لكل من PC1 و PC2.

الآن يتم تسجيل جميع الحسابات مرة واحدة على وحدة التحكم ، وتصبح الحاجة إلى الحسابات المحلية بلا معنى.

الآن ، عندما يقوم المستخدم بتسجيل الدخول إلى جهاز الكمبيوتر عن طريق إدخال اسم المستخدم وكلمة المرور الخاصة به ، يتم إرسال هذه البيانات في شكل مشفر إلى وحدة تحكم المجال ، والتي تقوم بإجراءات المصادقة والتفويض.

بعد أن تمنح وحدة التحكم المستخدم الذي قام بتسجيل الدخول ، شيئًا مثل جواز السفر ، والذي يعمل معه لاحقًا على الشبكة والذي يقدمه بناءً على طلب أجهزة الكمبيوتر الأخرى في الشبكة ، والخوادم التي يريد الاتصال بمواردها.

مهم! وحدة التحكم بالمجال هي جهاز كمبيوتر يقوم بتشغيل Active Directory الذي يدير وصول المستخدم إلى موارد الشبكة. يقوم بتخزين الموارد (مثل الطابعات والمجلدات المشتركة) والخدمات (مثل البريد الإلكتروني) والأشخاص (حسابات مجموعة المستخدمين والمستخدمين) وأجهزة الكمبيوتر (حسابات الكمبيوتر).

يمكن أن يصل عدد هذه الموارد المحفوظة إلى ملايين الكائنات.

يمكن أن تعمل الإصدارات التالية من MS Windows كوحدة تحكم بالمجال: Windows Server 2000/2003/2008/2012 باستثناء إصدارات Web-Edition.

وحدة تحكم المجال ، بالإضافة إلى كونها مركز مصادقة الشبكة ، هي أيضًا مركز التحكم لجميع أجهزة الكمبيوتر.

مباشرة بعد تشغيل الكمبيوتر ، يبدأ في الاتصال بوحدة تحكم المجال ، قبل وقت طويل من ظهور نافذة المصادقة.

وبالتالي ، لا تتم مصادقة المستخدم الذي يدخل تسجيل الدخول وكلمة المرور فحسب ، بل تتم مصادقة كمبيوتر العميل أيضًا.

تثبيت Active Directory

ضع في اعتبارك مثالاً لتثبيت Active Directory على Windows Server 2008 R2. لذلك ، لتثبيت دور Active Directory ، انتقل إلى "Server Manager":

أضف الدور "إضافة أدوار":

حدد دور خدمات مجال Active Directory:

ودعنا نبدأ التثبيت:

ثم نحصل على نافذة إعلام حول الدور المثبت:

بعد تثبيت دور وحدة التحكم بالمجال ، دعنا ننتقل إلى تثبيت وحدة التحكم نفسها.

انقر فوق "ابدأ" في حقل البحث عن البرنامج ، وأدخل اسم معالج DCPromo ، وقم بتشغيله وحدد المربع الخاص بإعدادات التثبيت المتقدمة:

انقر فوق "التالي" من الخيارات المقترحة ، حدد إنشاء مجال جديد ومجموعة.

أدخل اسم المجال ، على سبيل المثال ، example.net.

نكتب اسم مجال NetBIOS ، بدون المنطقة:

نختار المستوى الوظيفي لمجالنا:

نظرًا لخصائص عمل وحدة تحكم المجال ، نقوم أيضًا بتثبيت خادم DNS.

موقع قاعدة البيانات ، ملف السجل ، وحدة تخزين النظام لم يتغير:

أدخل كلمة مرور مسؤول المجال:

نتحقق من صحة الملء وإذا كان كل شيء على ما يرام ، انقر فوق "التالي".

بعد ذلك ، ستبدأ عملية التثبيت ، وفي نهايتها ستظهر نافذة تُبلغ عن تثبيت ناجح:

مقدمة إلى Active Directory

يناقش التقرير نوعين من شبكات الكمبيوتر التي يمكن إنشاؤها باستخدام أنظمة تشغيل Microsoft: مجموعة عمل (مجموعة عمل) ومجال Active Directory.