ما هو Active Directory - كيفية التثبيت والتكوين. ما هو Active Directory وكيفية تثبيت وتكوين قاعدة البيانات مقدمة إلى Active Directory

مرحبًا بالجميع، بعد أن قمنا بتثبيت Active Directory في Windows Server 2008R2 وإضافة وحدة تحكم المجال إلى مجموعة Windows Server 2008 R2 Active Directory الحالية، نحتاج إلى المضي قدمًا ومواكبة العصر. سننظر اليوم في كيفية إضافة وحدة تحكم مجال من Windows Server 2012 R2 إلى مجموعة Windows Server 2008 R2 Active Directory الموجودة.

لتنفيذ هذه المهمة، يجب أن يكون لديك Windows Server 2012 R2 مثبتًا وتكوين عنوان IP ثابت عليه، ويجب أيضًا تسمية الكمبيوتر باسم dc03 ويجب أن يكون منضمًا إلى مجال.

لقد أكملت جميع المتطلبات التحضيرية

دعونا نحاول الدخول كما كان من قبل com.dcpromo، في القائمة تنفيذ

ونحن نرى أنه لا يوجد الآن مثل هذا الأمر ويطلب منك تثبيت Active Directory من خلال Server Manager.

الإدارة المفتوحة-أضف الأدوار والمكونات

في الأدوار، حدد مربع خدمات المجال وانقر فوق إضافة مكونات

انقر فوق تثبيت

بعد التثبيت بنجاح، انقر فوق إغلاق

بعد ذلك نرى أيقونة تحذير، انقر عليها وانظر، يطلب منك ترقية دور هذا الخادم إلى مستوى وحدة تحكم المجال، فلنقم بتكوين وحدة تحكم المجال.

سيتم فتح تكوين النشر، وحدد إضافة وحدة تحكم المجال إلى مجال موجود، وحدد اسم المجال بالنسبة لي، وهو msk.site وحدد بيانات الاعتماد التي سيتم تنفيذ العملية نيابة عنها.

حدد مربع خادم DNS والكتالوج العالمي، وحدد موقعًا إذا كان هناك العديد منها، وتحتاج أيضًا إلى تحديد كلمة مرور وضع استرداد خدمات الدليل (DSRM) مرتين.

حدد مصدر النسخ المتماثل، وسأترك أي وحدة تحكم، ويمكنك أيضًا تحديد مربع التثبيت من وسائط IFM

سيُطلب منك تحديد المسار الذي يوجد به IFM للتثبيت منه.

قمنا بتعيين الموقع حيث سيتم تخزين قاعدة بيانات AD ومجلد SYSVOL.

إذا تم اجتياز جميع الاختبارات لتثبيت DC، فانقر فوق تثبيت

بعد إعادة التشغيل، ستبدأ مزامنة وحدات تحكم المجال أو النسخ المتماثل لوحدات تحكم المجال، كما تريد. وبالتالي، قمنا بتثبيت وحدة تحكم مجال احتياطية ثالثة، وإذا فشلت اثنتين منها، فسيظل المجال حيًا.

إذا قمت بالنقر بزر الماوس الأيمن فوق اسم الخادم في دور AD DS، فسوف تتفاجأ بسرور بقائمة السياق التي ستحتوي على روابط لمجموعة كبيرة جدًا من الأدوات المساعدة ذات الصلة بـ Active Directory، مثل ldp وnetdom وntdsutil وGpfixup. و Dsmgmt و Repadmin و Dcdiag الأدوات الإضافية والأدوات المساعدة و Dsacls وغير ذلك الكثير

دعونا نفتح الأداة الإضافية ADUC ونرى أن هناك بالفعل ثلاث وحدات تحكم.

الآن يحتوي مجال windows الخاص بنا على 3 وحدات تحكم المجال DC. هذا هو مدى سهولة إضافة وحدة تحكم مجال Windows Server 2012 R2 إلى مجموعة Windows Server 2008 R2 Active Directory الموجودة.

يعد إعداد Active Directory عملية بسيطة إلى حد ما ويتم مناقشتها في العديد من الموارد على الإنترنت، بما في ذلك الموارد الرسمية. ومع ذلك، في مدونتي، لا يسعني إلا أن أتطرق إلى هذه النقطة، حيث أن معظم المقالات المستقبلية ستعتمد بطريقة أو بأخرى على البيئة، التي أخطط لإنشائها الآن.

إذا كنت مهتمًا بموضوعات Windows Server، أوصي بمراجعة العلامة الموجودة على مدونتي. أوصي أيضًا بقراءة المقال الرئيسي عن Active Directory -

أخطط لنشر دور AD على خادمين افتراضيين (وحدات تحكم المجال المستقبلية) بدوره.

1. أولا وقبل كل شيء، تحتاج إلى تعيين المناسب أسماء الخادمبالنسبة لي سيكون DC01 و DC02؛
2. بعد ذلك، اكتب إعدادات الشبكة الثابتة(وسأناقش هذه النقطة بالتفصيل أدناه)؛
3. ثَبَّتَ كافة تحديثات النظاموخاصة التحديثات الأمنية (بالنسبة للقرص المضغوط يعد هذا أكثر أهمية من أي دور آخر).

في هذه المرحلة عليك أن تقرر ما اسم المجال الذي سيكون لديك؟. هذا مهم للغاية، لأن تغيير اسم النطاق سيكون مشكلة كبيرة جدًا بالنسبة لك، على الرغم من أن سيناريو إعادة التسمية قد تم دعمه وتنفيذه رسميًا لفترة طويلة.

ملحوظة:ن يمكن العثور على بعض المناقشات، بالإضافة إلى العديد من الروابط للمواد المفيدة، في مقالتي. أنصح بقراءته، بالإضافة إلى قائمة المصادر المستخدمة.

وبما أنني سأستخدم وحدات تحكم المجال الافتراضية، فأنا بحاجة إلى تغيير بعض إعدادات الأجهزة الافتراضية، وهي تعطيل مزامنة الوقت مع برنامج Hypervisor. يجب أن تتم مزامنة الوقت في AD حصريًا من مصادر خارجية. يمكن أن تؤدي إعدادات مزامنة الوقت الممكّنة مع برنامج Hypervisor إلى مزامنة دورية، ونتيجة لذلك، مشاكل في تشغيل المجال بأكمله.

ملحوظة:يعد تعطيل المزامنة مع مضيف المحاكاة الافتراضية هو الأبسط والأكثر فعالية خيار سريع. ومع ذلك، هذه ليست أفضل الممارسات. وفقًا لتوصيات Microsoft، يجب عليك تعطيل المزامنة مع المضيف جزئيًا فقط. لفهم مبدأ التشغيل، اقرأ الوثائق الرسمية الموجودة فيه السنوات الاخيرةقفز بشكل جذري في مستوى عرض المادة .

بشكل عام، يختلف أسلوب إدارة وحدات التحكم بالمجال الافتراضية بسبب بعض ميزات عمل AD DS:

تمثل البيئات الافتراضية تحديًا خاصًا لأحمال العمل الموزعة التي تعتمد على منطق النسخ المتماثل المستند إلى الوقت. على سبيل المثال، يستخدم النسخ المتماثل AD DS قيمة متزايدة بشكل موحد (تسمى USN، أو رقم التحديث المتداول) المخصصة للمعاملات في كل وحدة تحكم بالمجال. يتلقى كل مثيل لقاعدة بيانات وحدة تحكم المجال أيضًا معرفًا يسمى InvocationID. يعمل InvocationID الخاص بوحدة تحكم المجال ورقم التحديث المتداول الخاص به معًا كمعرف فريد مقترن بكل معاملة كتابة يتم إجراؤها على كل وحدة تحكم مجال ويجب أن يكون فريدًا داخل المجموعة.

الآن بعد أن اكتملت الخطوات الأساسية لتهيئة البيئة، ننتقل إلى مرحلة التثبيت.

تثبيت الدليل النشط

يتم التثبيت من خلال Server Manager ولا يوجد أي شيء معقد بشأنه، ويمكنك الاطلاع على جميع خطوات التثبيت بالتفصيل أدناه:

شهدت عملية التثبيت نفسها بعض التغييرات مقارنة بالإصدارات السابقة من نظام التشغيل:

يعد نشر خدمات مجال Active Directory (AD DS) في Windows Server 2012 أسهل وأسرع من الإصدارات السابقة من Windows Server. أصبح تثبيت AD DS الآن يستند إلى Windows PowerShell ومتكاملاً مع Server Manager. تم تقليل عدد الخطوات المطلوبة لتطبيق وحدات تحكم المجال في بيئة Active Directory الموجودة.

ما عليك سوى اختيار الدور خدمات مجال الدليل النشط، لا يلزم تثبيت أي مكونات إضافية. تستغرق عملية التثبيت القليل من الوقت ويمكنك متابعة التكوين على الفور.

عند تثبيت الدور، ستشاهد علامة تعجب في الجزء العلوي الأيسر من Server Manager تشير إلى أن تكوين ما بعد النشر مطلوب. انقر ترقية هذا الخادم إلى وحدة تحكم المجال.

ترقية الخادم إلى وحدة تحكم المجال

يتم وصف خطوات عمل المعالج بالتفصيل في الوثائق. ومع ذلك، دعونا نستعرض الخطوات الأساسية.

وبما أننا نقوم بنشر AD من الصفر، فنحن بحاجة إلى إضافة مجموعة تفرعات جديدة. تأكد من تخزين كلمة مرور وضع استعادة خدمات الدليل (DSRM) بشكل آمن. يمكنك ترك موقع قاعدة بيانات AD DS افتراضيًا (وهو ما يوصى به. ومع ذلك، من أجل التنوع، قمت بتحديد دليل مختلف في بيئة الاختبار الخاصة بي).

نحن في انتظار التثبيت.

بعد ذلك سيتم إعادة تشغيل الخادم من تلقاء نفسه.

إنشاء حسابات مسؤول المجال/المؤسسة

سوف تحتاج إلى تسجيل الدخول باستخدام حساب المسؤول المحلي، كما كان من قبل. اذهب إلى المفاجئة مستخدمي Active Directory وأجهزة الكمبيوتر، قم بإنشاء الحسابات اللازمة - في هذه المرحلة هذا هو مسؤول المجال.

إعداد DNS على DC واحد في المجال

أثناء تثبيت AD، تم أيضًا تثبيت دور AD DNS، حيث لم يكن لدي أي خوادم DNS أخرى في البنية التحتية الخاصة بي. لكي تعمل الخدمة بشكل صحيح، تحتاج إلى تغيير بعض الإعدادات. أولاً، تحتاج إلى التحقق من خوادم DNS المفضلة لديك في إعدادات محول الشبكة. ما عليك سوى استخدام خادم DNS واحد بالعنوان 127.0.0.1. نعم، المضيف المحلي بالضبط. بشكل افتراضي، يجب أن يسجل نفسه.

بعد التأكد من صحة الإعدادات، قم بفتح الأداة الإضافية DNS. انقر بزر الماوس الأيمن على اسم الخادم وافتح خصائصه، وانتقل إلى علامة التبويب "خادم التوجيه". تم تسجيل عنوان خادم DNS الذي تم تحديده في إعدادات الشبكة قبل تثبيت دور AD DS تلقائيًا باعتباره معيد التوجيه الوحيد:

من الضروري حذفه وإنشاء عنوان جديد، ومن المرغوب فيه جدًا أن يكون خادم المزود، ولكن ليس عنوانًا عامًا مثل 8.8.8.8 و8.8.4.4 المعروفين. للتسامح مع الخطأ، قم بتسجيل خادمين على الأقل. اترك مربع الاختيار لاستخدام الروابط الجذرية في حالة عدم توفر وكلاء توجيه. الروابط الجذرية هي مجموعة معروفة من خوادم DNS ذات المستوى الأعلى.

إضافة العاصمة الثانية إلى المجال

وبما أنني تحدثت في الأصل عن وجود وحدتي تحكم بالمجال، فقد حان الوقت لبدء إعداد الوحدة الثانية. ننتقل أيضًا من خلال معالج التثبيت، ونقوم بترقية الدور إلى وحدة تحكم المجال، ما عليك سوى الاختيار إضافة وحدة تحكم المجال إلى مجال موجود:

يرجى ملاحظة أنه في إعدادات الشبكة لهذا الخادم، الرئيسي يجب تحديد وحدة تحكم المجال الأولى التي تم تكوينها مسبقًا كخادم DNS! هذا مطلوب، وإلا سوف تحصل على خطأ.

بعد الإعدادات اللازمة، قم بتسجيل الدخول إلى الخادم باستخدام حساب مسؤول المجال الذي تم إنشاؤه مسبقًا.

إعداد DNS على وحدات تحكم المجال DC المتعددة في المجال

لمنع مشاكل النسخ المتماثل، تحتاج إلى تغيير إعدادات الشبكة مرة أخرى ويجب أن يتم ذلك على كل وحدة تحكم مجال (وعلى وحدات التحكم الموجودة مسبقًا أيضًا) وفي كل مرة تقوم فيها بإضافة DC جديد:

إذا كان لديك أكثر من ثلاثة وحدات تحكم المجال (DC) في المجال، فستحتاج إلى تسجيل خوادم DNS من خلال الإعدادات الإضافية بهذا الترتيب. يمكنك قراءة المزيد عن DNS في مقالتي.

تحديد الوقت

يجب إكمال هذه الخطوة، خاصة إذا كنت تقوم بإعداد بيئة حقيقية في الإنتاج. كما تتذكر، لقد قمت سابقًا بتعطيل مزامنة الوقت من خلال برنامج Hypervisor والآن أحتاج إلى تكوينه بشكل صحيح. وحدة التحكم التي لها دور محاكي FSMO PDC مسؤولة عن توزيع الوقت الصحيح على المجال بأكمله (ألا تعرف ما هو هذا الدور؟ اقرأ المقال). في حالتي، هذه، بالطبع، وحدة تحكم المجال الأولى، وهي الحاملة لجميع أدوار FSMO في البداية.

سنقوم بتكوين الوقت على وحدات تحكم المجال باستخدام سياسات المجموعة. اسمحوا لي أن أذكرك بأن حسابات أجهزة الكمبيوتر الخاصة بوحدات تحكم المجال موجودة في حاوية منفصلة ولها سياسة مجموعة افتراضية منفصلة. ليست هناك حاجة لتغيير هذه السياسة، بل قم بإنشاء سياسة جديدة.

قم بتسميته كما تراه مناسبًا وكيف سيتم إنشاء الكائن، انقر بزر الماوس الأيمن - يتغير. لنذهب إلى تكوين الكمبيوتر\السياسات\قوالب الإدارة\النظام\خدمة الوقت في Windows\موفري الوقت. تفعيل السياسات تمكين عميل Windows NTPو تمكين خادم Windows NTP، انتقل إلى خصائص السياسة قم بإعداد عميل Windows NTPوتعيين نوع البروتوكول - نتب، نحن لا نلمس الإعدادات المتبقية:

ننتظر تطبيق السياسات (استغرق الأمر من 5 إلى 8 دقائق تقريبًا، على الرغم من تشغيل gpupdate /force وبعض عمليات إعادة التشغيل)، وبعد ذلك نحصل على:

بشكل عام، تحتاج إلى التأكد من أن محاكي PDC فقط هو الذي يقوم بمزامنة الوقت من المصادر الخارجية، وليس جميع وحدات التحكم بالمجال على التوالي، ولكن سيكون هذا هو الحال، حيث تنطبق سياسة المجموعة على جميع الكائنات الموجودة في الحاوية. يجب إعادة توجيهه إلى كائن محدد في حساب الكمبيوتر الذي يمتلك دور محاكي PDC. ويمكن القيام بذلك أيضًا من خلال سياسات المجموعة - في وحدة التحكم gpmc.msc، انقر بزر الماوس الأيسر السياسة الصحيحةوعلى اليمين سترى إعداداته. في مرشحات الأمان، تحتاج إلى إضافة حساب وحدة تحكم المجال المطلوبة:

اقرأ المزيد حول مبدأ التشغيل وتكوين خدمة الوقت في الوثائق الرسمية.

يكمل هذا إعداد الوقت ومعه الإعداد الأولي لـ Active Directory.

مساء الخير جميعا. أود أن أتحدث عن تثبيت وتكوين Windows Server 2012 R2 Essentials. هذه المقالة ليست دعوة على نطاق واسع تثبيت ويندوزأو الترويج لمنتجات Microsoft. أود فقط أن أخبركم عن منتج مثير للاهتمام وربما يكون شخص ما مهتمًا بهذا المنتج ويجده مفيدًا في عمله. حاولت أن أكتب المقال لقارئ غير مستعد، لذلك هناك حد أدنى من المصطلحات وحد أقصى لتعميم بعض المفاهيم.

قليلا عن طبعة الأساسيات

1. تخويل ومصادقة المستخدمين على شبكتك (الدليل النشط لوحدة تحكم المجال)
2. تخزين الملفات (دور خادم الملفات)
3. الوصول عن بعد إلى شبكة الشركة (VPN وخادم الوصول المباشر)
4. الوصول عن بعد إلى مخزن الملفات عبر واجهة ويب (تم تكوين IIS لهذا)
5. الوصول عن بعد إلى أجهزة سطح المكتب الخاصة بالأجهزة العميلة (بوابة سطح المكتب البعيد)
6. النسخ الاحتياطي لأجهزة العميل (النسخ الاحتياطي لنظام التشغيل Windows)
7. النسخ الاحتياطي للخادم نفسه (النسخ الاحتياطي لنظام التشغيل Windows)
8. التكامل مع تقنيات Microsoft السحابية (Office 365، والنسخ الاحتياطي Azure، وما إلى ذلك)
9. وحدة تحكم التكوين الموحدة للأساسيات، والتي ستسمح لك بتكوين الميزات الموضحة أعلاه حتى لمسؤول النظام غير المدرب.

التثبيت والإعداد الأولي

في الخطوة الأولى، تحتاج إلى ضبط إعدادات التاريخ والوقت.

في الخطوة الثانية تحتاج إلى ملء اللغة الإنجليزيةاسم الشركة. سيتم إنشاء اسم المجال واسم الخادم تلقائيًا في هذه الحالة، على الرغم من أنه يمكنك تغييرهما بالطبع.

في الخطوة التالية، تحتاج إلى ملء اسم المسؤول وتعيين كلمة المرور الخاصة به.

في الخطوة الأخيرة، تحتاج إلى تحديد طريقة تحديث نظام التشغيل والنقر فوق "تكوين".

بعد ذلك، ستبدأ العملية التي ستقوم بإجراء جميع الإعدادات الأولية اللازمة. سيستغرق ذلك حوالي 30 دقيقة وسيتطلب عدة عمليات إعادة تشغيل. خلال هذا الوقت، سيكون لدى نظام التشغيل الوقت، على وجه الخصوص، لتثبيت الأدوار الضرورية وتكوين الخادم كوحدة تحكم بالمجال للمجال الجديد.

إعدادات

إنشاء المستخدمين

حدد مستوى الوصول إلى المجلدات المشتركة التي تم إنشاؤها. على المرحلة الأوليةهناك واحد فقط - المنظمة. في المستقبل، يمكنك تغيير أذونات الوصول من خصائص المستخدم ومن خصائص المجلد.

تم إنشاء الحساب. انقر فوق إغلاق.

يمكنك إنشاء حسابات متعددة بهذه الطريقة. بالطبع، يمكنك استخدام واجهة Active Directory Users and Computers المألوفة والمألوفة لك، ولكن في هذه الحالة سيتعين عليك منح أذونات الوصول يدويًا.

إضافة مجلدات الخادم

في نافذة المعالج التي تفتح، أدخل اسمًا. يمكنك تغيير الموقع وإضافة وصف. انقر فوق {التالي.

في الصفحة التالية نشير إلى الأذونات المطلوبة. وإذا لزم الأمر، فإننا نجعله غير متاح للوصول عن بعد.

من الخطوة الأخيرة في هذا المعالج، يمكنك تشغيل معالج إعداد الأرشفة. انقر فوق إغلاق.

إعداد الوصول عن بعد

أول شيء تحتاج إلى تكوينه هو جهاز التوجيه الخاص بك - يخبرك المعالج بهذا الأمر. تحتاج بالفعل إلى تكوين إعادة توجيه المنفذ على جهاز التوجيه الخاص بك. للقيام بذلك، يجب أن يكون لجهاز التوجيه عنوان IP "أبيض". من الأفضل تكوين عنوان IP ثابت على الخادم نفسه. تحتاج إلى إعادة توجيه المنافذ التالية 80، 443، 1723، 987 إلى عنوان IP الخاص بالخادم الخاص بك. بشكل عام، يمكن تنفيذ إجراء الإعداد بواسطة المعالج نفسه إذا كان جهاز التوجيه الخاص بك يدعم UPnP. لقد قمت بالإعدادات يدويًا، لذلك تخطيت هذه الخطوة.

بعد ذلك، يتم فتح معالج إعداد اسم المجال الجديد. انقر فوق {التالي.

سيطالبك المعالج بإدخال اسم المجال الخارجي أو إنشاء اسم جديد. بالنسبة لنطاقك الخاص، ستحتاج إلى شهادة، لذلك سننظر هنا في خيار الإعداد باستخدام مجال Microsoft. حدد اسم نطاق مختلفًا وانقر فوق "التالي".

دعونا نفكر في خيار مجال Microsoft.

أدخل اسم النطاق وتحقق من التوفر، ثم انقر فوق "تكوين".

حسنًا، لقد اكتشفنا اسم المجال. دعونا نستمر أكثر.

نختار الميزات التي ستكون متاحة.

نختار ما إذا كان الوصول عن بعد سيكون متاحًا للمستخدمين الحاليين.

حسنًا، هذا كل شيء، يمكنك محاولة الانتقال إلى موقعwiseguy.remoteweaccess.com.

من خلال موقع الويب هذا، من الممكن الوصول إلى المجلدات المشتركة والوصول إلى أجهزة سطح المكتب الخاصة بالمستخدم.

ربط محطات العمل

باتباع تعليمات العميل في المتصفح، افتح الصفحة http://<Имя сервера>/يتصل. انقر فوق رابط التنزيل.

نختار التنفيذ.

نحن نقبل الترخيص وننتظر.

أدخل اسم المستخدم وكلمة المرور لمستخدم هذا الكمبيوتر أو المسؤول. لقد دخلت إلى حساب المستخدم.

أعد تشغيل الخادم.

نختار من سيستخدم الكمبيوتر.

أدخل وصفًا للكمبيوتر.

خيارات الأرشفة.

مرحا! مستعد.

نقوم بتسجيل الدخول إلى الكمبيوتر تحت حساب مستخدم.

يمكنك العمل. يحتوي سطح المكتب بالفعل على كافة الاختصارات الضرورية.

ما بعد السيناريو

النظرة الأولى لـ Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7351.html - هنا يمكنك دراسة عملية تثبيت Essentials بعناية.

تكوين Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7370.html - تتم مناقشة تكوين جميع الميزات، ويتم عرض إعداد الوصول عن بعد للمجال الخاص بك.

Windows Server 2012 R2 Essentials التكامل مع Office 365: www.techdays.ru/videos/7380.html - التكامل مع السحابة المكتبية من Microsoft.

مساء الخيرسأقدم لك اليوم كيفية تثبيت أدوار AD (Active Directory) وDC (وحدة التحكم بالمجال) على نظام تشغيل الخادم الجديد من Microsoft - Windows Server 2012 R2. في البداية، نقوم بتغيير اسم الخادم الخاص بنا بناءً على لوائح تسمية أجهزة الكمبيوتر والخوادم في المؤسسة، أو تعيينه بناءً على رغباتنا. لقد قمت بتسمية خادم اختبار الخادم الخاص بي. بهذا الاسم سيتم عرض خادمنا على الشبكة. ثم نقوم بالخطوات التالية: الذهاب إلى مدير الخادم:

انتقل إلى علامة التبويب إضافة الأدوار والميزات

انقر إضافي
حدد تثبيت الأدوار والمكونات وانقر فوق إضافي
حدد الخادم الذي نريد تثبيت دورنا عليه وانقر عليه إضافي
حدد الدور التالي: خدمات المجالنشيطالدليلوانقر فوق التالي

تأكد من إضافة المكونات المطلوبة لتثبيت دور خدمات مجال Active Directory

اتركه كما هو أو قم بإضافة المكونات الضرورية للتثبيت، ثم انقر فوق "التالي".

انقر فوق زر التثبيت

بعد التثبيت، انتقل إلى مدير الخادم وشاهد الأدوار المثبتة

انتقل إلى قسم الإدارة

انقر فوق الانتقال إلى AD DS

انتقل إلى علامة التبويب التفاصيل

نبدأ في نشر وحدة تحكم المجال على الخادم الخاص بنا. حدد علامة تبويب إضافة غابة جديدةوقم بتعيين اسم للمجال الخاص بنا، ثم انقر فوق إضافي

حدد وضع تشغيل الغابة والمجال، وقم بتعيين كلمة مرور لوضع استرداد خدمات الدليل وانقر فوق إضافي

حدد اسم NetBIOS للمجال الخاص بنا وانقر فوق إضافي

تبدأ عملية التحقق من المتطلبات الأساسية، وبعد ذلك نضغط على تثبيت

بعد التثبيت تأكد من:

إذا فعلت كل شيء بشكل صحيح، سترى أن التحول قد مر فريق العملمجموعة العمل لكل مجال.

Active Directory (AD) هو برنامج أداة مساعدة مصمم لنظام التشغيل Microsoft Server. تم إنشاؤه في الأصل كخوارزمية خفيفة الوزن للوصول إلى أدلة المستخدم. منذ إصدار Windows Server 2008، ظهر التكامل مع خدمات الترخيص.

يجعل من الممكن الالتزام بسياسة المجموعة التي تطبق نفس النوع من الإعدادات والبرامج على جميع أجهزة الكمبيوتر التي يتم التحكم فيها باستخدام System Center Configuration Manager.

لو بكلمات بسيطةبالنسبة للمبتدئين، هذا هو دور الخادم الذي يسمح لك بإدارة جميع عمليات الوصول والأذونات على شبكتك المحلية من مكان واحد

الوظائف والأغراض

Microsoft Active Directory – (ما يسمى بالدليل) عبارة عن حزمة من الأدوات التي تسمح لك بمعالجة المستخدمين وبيانات الشبكة. الهدف الأساسيالإنشاء – تسهيل عمل مسؤولي النظام في الشبكات الكبيرة.

تحتوي الدلائل على معلومات متنوعة تتعلق بالمستخدمين والمجموعات وأجهزة الشبكة وموارد الملفات - بكلمة واحدة، الكائنات. على سبيل المثال، يجب أن تكون سمات المستخدم المخزنة في الدليل كما يلي: العنوان، تسجيل الدخول، كلمة المرور، الرقم تليفون محمولإلخ. يتم استخدام الدليل ك نقاط المصادقةوالتي يمكنك من خلالها معرفة المعلومات الضرورية عن المستخدم.

المفاهيم الأساسية التي تمت مواجهتها أثناء العمل

هناك عدد من المفاهيم المتخصصة التي يتم استخدامها عند العمل مع AD:

1. الخادم هو جهاز كمبيوتر يحتوي على جميع البيانات.
2. وحدة التحكم عبارة عن خادم له دور AD الذي يعالج الطلبات المقدمة من الأشخاص الذين يستخدمون المجال.
3. المجال AD عبارة عن مجموعة من الأجهزة المتحدة تحت اسم واحد فريد، وتستخدم في وقت واحد قاعدة مشتركةبيانات الكتالوج.
4. مخزن البيانات هو جزء الدليل المسؤول عن تخزين البيانات واسترجاعها من أي وحدة تحكم بالمجال.

كيف تعمل الدلائل النشطة

مبادئ التشغيل الرئيسية هي:

• تفويض، والتي يمكنك من خلالها استخدام جهاز الكمبيوتر الخاص بك على الشبكة بمجرد إدخال كلمة المرور الشخصية الخاصة بك. في هذه الحالة، يتم نقل كافة المعلومات من الحساب.
• حماية. يحتوي Active Directory على وظائف التعرف على المستخدم. بالنسبة لأي كائن شبكة، يمكنك عن بعد، من جهاز واحد، تعيين الحقوق اللازمة، والتي ستعتمد على الفئات والمستخدمين المحددين.
• ادارة الشبكةمن نقطة واحدة. عند العمل مع Active Directory، لا يحتاج مسؤول النظام إلى إعادة تكوين جميع أجهزة الكمبيوتر إذا كان من الضروري تغيير حقوق الوصول، على سبيل المثال، إلى الطابعة. يتم تنفيذ التغييرات عن بعد وعلى مستوى العالم.
• ممتلىء تكامل DNS. بمساعدتها، لا يوجد أي ارتباك في AD؛ يتم تعيين جميع الأجهزة تمامًا كما هو الحال على شبكة الويب العالمية.
• نطاق واسع. يمكن التحكم في مجموعة من الخوادم بواسطة Active Directory واحد.
• يبحثيتم إجراؤها وفقًا لمعلمات مختلفة، على سبيل المثال، اسم الكمبيوتر، وتسجيل الدخول.

الكائنات والصفات

الكائن عبارة عن مجموعة من السمات، الموحدة تحت اسمها، والتي تمثل مورد الشبكة.

السمة - خصائص الكائن في الكتالوج. على سبيل المثال، تتضمن هذه البيانات اسم المستخدم الكامل وتسجيل الدخول. لكن سمات حساب الكمبيوتر الشخصي يمكن أن تكون اسم هذا الكمبيوتر ووصفه.

"الموظف" هو كائن يحتوي على السمات "الاسم" و"المنصب" و"TabN".

حاوية LDAP واسمها

الحاوية هي نوع من الكائنات التي يمكنها ذلك تتكون من كائنات أخرى. المجال، على سبيل المثال، قد يتضمن كائنات الحساب.

هدفهم الرئيسي هو تنظيم الكائناتحسب أنواع العلامات. في أغلب الأحيان، يتم استخدام الحاويات لتجميع الكائنات التي لها نفس السمات.

تقوم كافة الحاويات تقريبًا بتعيين مجموعة من الكائنات، ويتم تعيين الموارد إلى كائن Active Directory فريد. أحد الأنواع الرئيسية لحاويات AD هي الوحدة التنظيمية، أو OU (الوحدة التنظيمية). الكائنات الموضوعة في هذه الحاوية تنتمي فقط إلى المجال الذي تم إنشاؤها فيه.

يعد بروتوكول الوصول إلى الدليل الخفيف (LDAP) هو الخوارزمية الأساسية لاتصالات TCP/IP. إنه مصمم لتقليل مقدار الفروق الدقيقة عند الوصول إلى خدمات الدليل. يحدد LDAP أيضًا الإجراءات المستخدمة للاستعلام عن بيانات الدليل وتحريرها.

الشجرة والموقع

شجرة المجال عبارة عن هيكل، عبارة عن مجموعة من المجالات التي لها مخطط عاموتكوين هذا النموذج مساحة مشتركةالأسماء وترتبط بعلاقة ثقة.

غابة المجال عبارة عن مجموعة من الأشجار المتصلة ببعضها البعض.

الموقع عبارة عن مجموعة من الأجهزة في شبكات IP الفرعية، والتي تمثل نموذجًا ماديًا للشبكة، ويتم تخطيطها بغض النظر عن التمثيل المنطقي لبنائها. يتمتع Active Directory بالقدرة على إنشاء عدد n من المواقع أو دمج عدد n من المجالات في موقع واحد.

تثبيت وتكوين Active Directory

لننتقل الآن مباشرة إلى إعداد Active Directory باستخدام Windows Server 2008 كمثال (الإجراء مماثل في الإصدارات الأخرى):

انقر على زر "موافق". ومن الجدير بالذكر أن مثل هذه القيم ليست مطلوبة. يمكنك استخدام عنوان IP وDNS من شبكتك.

• بعد ذلك، عليك الذهاب إلى قائمة "ابدأ"، وتحديد "الإدارة" و"".
  
• انتقل إلى عنصر "الأدوار"، وحدد " أضف الأدوار”.
  
• حدد "خدمات مجال Active Directory"، وانقر فوق "التالي" مرتين، ثم "تثبيت".
  
• انتظر التثبيت لإكمال.
  
• افتح قائمة "ابدأ"-" ينفذ" أدخل dcpromo.exe في الحقل.
  
• انقر فوق {التالي".
  
• يختار " إنشاء مجال جديد في مجموعة تفرعات جديدة" وانقر على "التالي" مرة أخرى.
  
• في النافذة التالية، أدخل اسمًا وانقر على "التالي".
  
• يختار وضع التوافق(ويندوز سيرفر 2008).
  
• في النافذة التالية، اترك كل شيء كإعداد افتراضي.
  
• ستبدأ نافذة التكوينDNS. وبما أنه لم يتم استخدامه على الخادم من قبل، لم يتم إنشاء أي تفويض.
  
• حدد دليل التثبيت.
  
• بعد هذه الخطوة تحتاج إلى تعيين كلمة مرور الإدارة.

لكي تكون كلمة المرور آمنة، يجب أن تستوفي المتطلبات التالية:

بعد اكتمال AD عملية تكوين المكون، يجب عليك إعادة تشغيل الخادم.

اكتمل الإعداد، وتم تثبيت الأداة الإضافية والدور على النظام. يمكنك تثبيت AD فقط على عائلة Windows Server، الإصدارات العادية، على سبيل المثال 7 أو 10، قد تسمح لك فقط بتثبيت وحدة التحكم الإدارية.

الإدارة في Active Directory

افتراضيًا، في Windows Server، تعمل وحدة تحكم Active Directory Users and Computers مع المجال الذي ينتمي إليه الكمبيوتر. يمكنك الوصول إلى كائنات الكمبيوتر والمستخدم في هذا المجال من خلال شجرة وحدة التحكم أو الاتصال بوحدة تحكم أخرى.

الأدوات الموجودة في نفس وحدة التحكم تسمح لك بالعرض خيارات إضافيةالكائنات والبحث عنها، يمكنك إنشاء مستخدمين ومجموعات جديدة وتغيير الأذونات.

بالمناسبة، هناك 2 أنواع من المجموعاتفي دليل الأصول - الأمن والتوزيع. مجموعات الأمان مسؤولة عن تحديد حقوق الوصول إلى الكائنات؛ ويمكن استخدامها كمجموعات توزيع.

لا يمكن لمجموعات التوزيع التمييز بين الحقوق ويتم استخدامها بشكل أساسي لتوزيع الرسائل على الشبكة.

ما هو وفد م

الوفد نفسه نقل جزء من الأذونات والسيطرةمن الوالد إلى طرف مسؤول آخر.

من المعروف أن كل منظمة لديها العديد من مسؤولي النظام في مقرها الرئيسي. ينبغي تعيين مهام مختلفة لأكتاف مختلفة. من أجل تطبيق التغييرات، يجب أن يكون لديك الحقوق والأذونات، والتي تنقسم إلى قياسية وخاصة. يتم تطبيق أذونات محددة على كائن معين، بينما الأذونات القياسية هي مجموعة من الأذونات الموجودة التي تجعل ميزات محددة متاحة أو غير متاحة.

بناء الثقة

هناك نوعان من علاقات الثقة في AD: "أحادية الاتجاه" و"ثنائية الاتجاه". في الحالة الأولى، يثق أحد المجالين بالآخر، ولكن ليس العكس، وبالتالي، يتمتع الأول بإمكانية الوصول إلى موارد الثاني، بينما لا يتمتع الثاني بإمكانية الوصول. أما في النوع الثاني، فالثقة "متبادلة". هناك أيضًا علاقات "صادرة" و"واردة". في النطاق الصادر، يثق النطاق الأول في النطاق الثاني، مما يسمح لمستخدمي النطاق الثاني باستخدام موارد الأول.

أثناء التثبيت يجب اتباع الإجراءات التالية:

• يفحصاتصالات الشبكة بين وحدات التحكم.
• تحقق من الإعدادات.
• نغمتحليل الاسم للمجالات الخارجية.
• إنشاء اتصالمن مجال الثقة.
• قم بإنشاء اتصال على جانب وحدة التحكم التي يتم توجيه الثقة إليها.
• التحقق من العلاقات أحادية الاتجاه التي تم إنشاؤها.
• لو تنشأ الحاجةفي إقامة علاقات ثنائية - قم بالتثبيت.

الكتالوج العالمي

هذه هي وحدة تحكم المجال التي تقوم بتخزين نسخ من كافة الكائنات الموجودة في الغابة. يمنح المستخدمين والبرامج القدرة على البحث عن الكائنات في أي مجال من مجالات الغابة الحالية باستخدام أدوات اكتشاف السماتالمدرجة في الكتالوج العالمي.

يتضمن الكتالوج العمومي (GC) مجموعة محدودة من السمات لكل كائن مجموعة تفرعات في كل مجال. يتلقى البيانات من كافة أقسام دليل المجال في الغابة، ويتم نسخها باستخدام عملية النسخ المتماثل القياسية لـ Active Directory.

يحدد المخطط ما إذا كان سيتم نسخ السمة. ثمة احتمال وارد إعدادات خصائص إضافية ، والتي سيتم إعادة إنشائها في الكتالوج العالمي باستخدام "مخطط Active Directory". لإضافة سمة إلى الكتالوج العام، تحتاج إلى تحديد سمة النسخ المتماثل واستخدام خيار "نسخ". سيؤدي هذا إلى إنشاء النسخ المتماثل للسمة إلى الكتالوج العمومي. قيمة معلمة السمة isMemberOfPartialAttributeSetسوف يصبح صحيحا.

بغرض معرفة الموقعالكتالوج العالمي، تحتاج إلى إدخال في سطر الأوامر:

خادم Dsquery –isgc

النسخ المتماثل للبيانات في Active Directory

النسخ المتماثل هو إجراء نسخ يتم تنفيذه عندما يكون من الضروري تخزين معلومات محدثة بشكل متساوٍ موجودة على أي وحدة تحكم.

يتم إنتاجه دون مشاركة المشغل. هناك الأنواع التالية من المحتوى المتماثل:

• يتم إنشاء النسخ المتماثلة للبيانات من كافة المجالات الموجودة.
• النسخ المتماثلة لمخططات البيانات. نظرًا لأن مخطط البيانات هو نفسه بالنسبة لجميع الكائنات الموجودة في مجموعة تفرعات Active Directory، فسيتم الاحتفاظ بنسخ متماثلة منه عبر كافة المجالات.
• بيانات التكوين. يظهر بناء النسخ بين وحدات التحكم. يتم توزيع المعلومات على كافة المجالات في الغابة.

الأنواع الرئيسية من النسخ المتماثلة هي العقدة الداخلية والعقدة الداخلية.

في الحالة الأولى، بعد التغييرات، ينتظر النظام، ثم يقوم بإعلام الشريك لإنشاء نسخة طبق الأصل لاستكمال التغييرات. وحتى في حالة عدم وجود تغييرات، تتم عملية النسخ تلقائيًا بعد فترة زمنية معينة. بعد تطبيق التغييرات الفاصلة على الدلائل، يحدث النسخ المتماثل على الفور.

إجراء النسخ المتماثل بين العقد يحدث بينهماالحد الأدنى من التحميل على الشبكة، وهذا يتجنب فقدان المعلومات.