ما هو الدليل النشط؟ خطوة بخطوة تعليمي

نظرًا لتزايد تعقيد موارد الشبكات ، أصبحت خدمات الدليل أكثر أهمية لإدارة البنية التحتية لتكنولوجيا المعلومات. لا توجد خدمة دليل باسم أكبر من الدليل النشط. تم تأسيس خدمة دليل Microsoft كأداة أساسية بين مسؤولي الشبكات. في هذا البرنامج التعليمي لـ Active Directory ، سننظر في ماهية Active Directory ، وكيفية استخدامها ، وأدوات Active Directory مثل SolarWinds Access Rights Manager. تشمل الموضوعات:

• ما هو الدليل النشط?
• ماذا يفعل الدليل النشط?
• كيفية إعداد الدليل النشط
• كيفية استخدام Active Directory: إعداد وحدة تحكم مجال ، إنشاء مستخدمي الدليل
• أحداث الدليل النشط لرصد
• علاقات الثقة (وأنواع الثقة)
• نظرة عامة على غابات الدليل النشط والأشجار
• تقارير الدليل النشط (مع مدير حقوق الوصول إلى SolarWinds)

ما هو الدليل النشط? 

الدليل النشط هو خدمة الدليل أو الحاوية التي تخزن كائنات البيانات على بيئة الشبكة المحلية. خدمة سجلات البيانات على المستخدمين, الأجهزة, تطبيقات, مجموعات, و الأجهزة في هيكل هرمي.

يتيح هيكل البيانات العثور على تفاصيل الموارد المتصلة بالشبكة من موقع واحد. في الأساس ، يتصرف Active Directory كدليل هاتف لشبكتك حتى تتمكن من البحث عن الأجهزة وإدارتها بسهولة.

ماذا يفعل الدليل النشط? 

هناك العديد من الأسباب التي تجعل الشركات تستخدم خدمات الدليل مثل Active Directory. السبب الرئيسي هو الراحة. يتيح Active Directory للمستخدمين تسجيل الدخول إلى مجموعة متنوعة من الموارد وإدارتها من موقع واحد. يتم توحيد بيانات اعتماد تسجيل الدخول بحيث يكون من الأسهل إدارة أجهزة متعددة دون الحاجة إلى إدخال تفاصيل الحساب للوصول إلى كل جهاز فردي.

كيفية إعداد Active Directory (مع RSAT) 

للبدء ، سوف تحتاج أولاً إلى التأكد من أن لديك ويندوز بروفيشنال أو ويندوز المشاريع تم التثبيت وإلا فلن تتمكن من التثبيت أدوات إدارة الخادم البعيد. ثم قم بما يلي:

لنظام التشغيل Windows 10 الإصدار 1809:

1. انقر بالزر الايمن على بداية زر وانتقل إلى الإعدادات > تطبيقات > إدارة الميزات الاختيارية > إضافة ميزة.
2. اختر الآن RSAT: خدمات مجال Active Directory وأدوات الدليل الخفيف.
3. وأخيرا ، حدد تثبيت ثم اذهب الى بداية > أدوات إدارية ويندوز للوصول إلى Active Directory بمجرد اكتمال التثبيت.

لنظام التشغيل Windows 8 (و Windows 10 الإصدار 1803) 

1. قم بتنزيل الإصدار الصحيح من أدوات مسؤول الخادم وتثبيته على جهازك: Windows 8 و Windows 10.
2. بعد ذلك ، انقر بزر الماوس الأيمن فوق بداية زر وحدد لوحة التحكم > برامج > برامج و مميزات > تشغل أو إيقاف ميزات ويندوز.
3. انزل وانقر على أدوات إدارة الخادم البعيد اختيار.
4. الآن انقر على أدوات إدارة الدور.
5. انقر فوق AD DS وأدوات AD LDS والتحقق أدوات AD DS تم التحقق.
6. صحافة حسنا.
7. اذهب إلى بداية > الأدوات الإدارية على ال بداية القائمة للوصول إلى Active Directory.

كيفية استخدام Active Directory: كيفية إعداد وحدة تحكم المجال ، إنشاء مستخدمي الدليل 

كيفية إعداد وحدة تحكم المجال

أحد الأشياء الأولى التي تحتاج إلى القيام بها عند استخدام Active Directory هو إعداد وحدة تحكم مجال. وحدة التحكم بالمجال هي جهاز كمبيوتر مركزي يستجيب لطلبات المصادقة ويصادق على أجهزة الكمبيوتر الأخرى عبر الشبكة. وحدة تحكم المجال يخزن بيانات اعتماد تسجيل الدخول لجميع أجهزة الكمبيوتر الأخرى والطابعات.

تتصل جميع أجهزة الكمبيوتر الأخرى بوحدة تحكم المجال بحيث يمكن للمستخدم المصادقة على كل جهاز من موقع واحد. تكمن ميزة ذلك في أنه لا يتعين على المسؤول إدارة العشرات من بيانات اعتماد تسجيل الدخول.

عملية إعداد وحدة تحكم مجال بسيطة نسبيًا. تعيين عنوان IP ثابت إلى وحدة تحكم المجال الخاصة بك و تثبيت خدمات مجال Active Directory أو مع اضافة. الآن اتبع هذه التعليمات:

1. افتح مدير الخادم وانقر فوق ملخص الأدوار > إضافة الأدوار والميزات.
2. انقر التالى.
3. تحديد خدمات سطح المكتب البعيد التركيب إذا كنت تنشر وحدة تحكم مجال في جهاز ظاهري أو حددها التثبيت القائم على الأدوار أو الميزات.
4. حدد خادم من تجمع الخادم.
5. تحديد خدمة مجال الدليل النشطليالي من القائمة وانقر فوق التالى.
6. اترك الميزات محددة بشكل افتراضي ثم اضغط على التالى.
7. انقر أعد تشغيل الخادم الوجهة تلقائيًا إذا لزم الأمر وانقر فوق تثبيت. أغلق النافذة بمجرد اكتمال التثبيت.
8. بمجرد تثبيت دور ADDS ، سيتم عرض إخطار بجوار يدير قائمة طعام. صحافة تعزيز هذا الخادم في وحدة تحكم المجال.
9. الآن انقر فوق إضافة غابة جديدة وأدخل اسم المجال الجذر. صحافة التالى.
10. اختر المستوى الوظيفي المجال كنت ترغب وإدخال كلمة مرور في اكتب وضع استعادة خدمات الدليل (كلمة مرور DSRM) الجزء. انقر التالى.
11. عندما تعرض صفحة خيارات DNS ، انقر فوق التالى مرة أخرى.
12. أدخل المجال في اسم مجال NetBios مربع (يفضل أن يكون هو نفسه اسم مجال الجذر). صحافة التالى.
13. حدد مجلدًا لتخزين قاعدة البيانات وملفات السجل. انقر التالى.
14. صحافة تثبيت لانهاء. سيتم إعادة تشغيل النظام الخاص بك الآن.

إنشاء مستخدمي Active Directory

المستخدمين و أجهزة الكمبيوتر هما أكثر الكائنات الأساسية التي ستحتاج إلى إدارتها عند استخدام Active Directory. في هذا القسم ، سنبحث في كيفية إنشاء حسابات مستخدمين جديدة. العملية بسيطة نسبيا ، وأسهل طريقة لإدارة المستخدمين هي من خلال مستخدمي الدليل النشط والكمبيوتر أو أداة ADUC التي تأتي مع أدوات إدارة الخادم البعيد أو RSAT رزمة. يمكنك تثبيت ADUC باتباع الإرشادات المذكورة أدناه:

تثبيت ADUC على Windows 10 الإصدار 1809 و Higher:

1. انقر بالزر الايمن على بداية زر وانقر الإعدادات > تطبيقات, ثم اضغط إدارة الميزات الاختيارية > إضافة ميزة.
2. تحديد RSAT: خدمات مجال Active Directory وأدوات الدليل الخفيف.
3. تحديد تثبيت وانتظر التثبيت لإكمال.
4. اذهب إلى بداية > أدوات إدارية ويندوز للوصول إلى الميزة.

قم بتثبيت ADUC على نظامي التشغيل Windows 8 و Windows 10 الإصدار 1803 أو الأحدث: 

1. قم بتنزيل وتثبيت أدوات مسؤول الخادم عن بعد لإصدار Windows الخاص بك. يمكنك القيام بذلك من أحد هذه الروابط هنا:
   أدوات مسؤول الخادم عن بعد لنظام التشغيل Windows 10 أو أدوات مسؤول الخادم عن بعد لنظام التشغيل Windows 8 أو أدوات مسؤول الخادم عن بعد لنظام التشغيل Windows 8.1.

1. انقر بزر الماوس الأيمن فوق بداية > لوحة التحكم > برامج > برامج و مميزات > تشغل أو إيقاف ميزات ويندوز.
2. انتقل لأسفل وحدد أدوات إدارة الخادم البعيد.
3. وسعت أدوات دور المسؤول > AD DS وأدوات AD LDS.
4. التحقق من أدوات AD DS و اضغط حسنا.
5. اذهب إلى بداية > الأدوات الإدارية وحدد مستخدمي الدليل النشط وأجهزة الكمبيوتر.

كيفية إنشاء مستخدمين جدد مع ADUC 

1. افتح ال مدير الخادم, اذهب الى أدوات القائمة وحدد مستخدمي الدليل النشط وأجهزة الكمبيوتر.
2. توسيع المجال وانقر المستخدمين.
3. انقر بزر الماوس الأيمن فوق الجزء الأيمن ثم اضغط جديد > المستعمل.
4. عندما يعرض مربع كائن مستخدم جديد ، أدخل الاسم الاول, الكنية, اسم تسجيل دخول المستخدم وانقر فوق التالى.
5. أدخل كلمة المرور واضغط التالى.
6. انقر إنهاء.
7. يمكن العثور على حساب المستخدم الجديد في المستخدمين قسم من ADUC.

أحداث الدليل النشط لرصد 

مثل كل أشكال البنية التحتية ، يجب مراقبة Active Directory للحفاظ على الحماية. تعد مراقبة خدمة الدليل ضرورية لمنع الهجمات الإلكترونية وتوفير أفضل تجربة للمستخدم النهائي للمستخدمين.

أدناه سنقوم بسرد بعض أهم أحداث الشبكة التي يجب عليك البحث عنها. إذا رأيت أيًا من هذه الأحداث ، فيجب عليك التحقق من ذلك في أسرع وقت ممكن للتأكد من عدم تعرض خدمتك للخطر.

حدث ويندوز الحالي IDLegacy ويندوز حدث IDDescription

4618	N / A	تم التعرف على نمط حدث الأمان.
4649	N / A	تم اكتشاف هجوم إعادة التشغيل (من المحتمل أن يكون إيجابيًا كاذبًا).
4719	612	تم تغيير سياسة تدقيق النظام.
4765	N / A	تمت إضافة محفوظات SID إلى حساب.
4766	N / A	فشلت المحاولة في إضافة محفوظات SID إلى الحساب.
4794	N / A	محاولة تشغيل وضع استعادة خدمات الدليل.
4897	801	تم تمكين فصل الدور.
4964	N / A	تم تعيين مجموعات خاصة لتسجيل دخول جديد.
5124	N / A	تم تحديث الأمان على خدمة مستجيب OCSP.
N / A	550	هجوم دوس المحتملة.
1102	517	تم مسح سجل التدقيق.

نظرة عامة على غابات الدليل النشط والأشجار 

الغابة والأشجار هما فترتان ستسمعهما كثيرًا عند الخوض في Active Directory. تشير هذه المصطلحات إلى البنية المنطقية لـ Active Directory. باختصار ، الشجرة هي كيان له مجال واحد أو مجموعة من الكائنات التي تليها مجالات الطفل. الغابة هي مجموعة من المجالات ضع سويا. متى يتم تجميع أشجار متعددة معا تصبح غابة.

الأشجار في الغابة الاتصال مع بعضها البعض من خلال أ علاقة الثقة, والتي تمكن المجالات المختلفة لتبادل المعلومات. الكل سوف تثق المجالات بعضها البعض تلقائيا حتى تتمكن من الوصول إليهم باستخدام نفس معلومات الحساب التي استخدمتها في مجال الجذر.

كل غابة يستخدم قاعدة بيانات واحدة موحدة. منطقياً ، تقع الغابة على أعلى مستوى من التسلسل الهرمي وتقع الشجرة في الأسفل. أحد التحديات التي يواجهها مسؤولو الشبكة عند العمل مع Active Directory هي إدارة الغابات والحفاظ على أمان الدليل.

على سبيل المثال ، سيتم تكليف مسؤول الشبكة بالاختيار بين تصميم غابة واحدة أو تصميم متعدد الغابات. تصميم الغابات الفردية بسيط ومنخفض التكلفة وسهل إدارته مع مجموعة واحدة فقط تضم الشبكة بالكامل. في المقابل ، يقسم التصميم متعدد الغابات الشبكة إلى غابات مختلفة وهو أمر مفيد للأمن ولكنه يجعل الإدارة أكثر تعقيدًا.

علاقات الثقة (وأنواع الثقة) 

كما ذكر أعلاه ، يتم استخدام علاقات الثقة لتسهيل الاتصال بين المجالات. تعمل علاقات الثقة على تمكين المصادقة والوصول إلى الموارد بين كيانين. يمكن أن تكون الثقة في اتجاه واحد أو في اتجاهين في الطبيعة. ضمن الثقة ، يتم تقسيم المجالين إلى مجال موثوق ومجال موثوق.

في الثقة في اتجاه واحد ، و مجال الثقة بالوصول إلى تفاصيل المصادقة المجال الموثوق به بحيث يمكن للمستخدم الوصول إلى الموارد من المجال الآخر. في ثقة ثنائية الاتجاه ، سيقبل كلا المجالين تفاصيل المصادقة للطرف الآخر. الكل المجالات داخل الغابات تثق في بعضها البعض تلقائيا, ولكن يمكنك أيضًا إنشاء علاقات ثقة بين المجالات في غابات مختلفة لنقل المعلومات.

يمكنك إنشاء علاقات ثقة من خلال معالج الثقة الجديد. ال معالج ثقة جديد هو معالج التكوين الذي يسمح لك بإنشاء علاقات ثقة جديدة. هنا يمكنك مشاهدة اسم النطاق, نوع الثقة, و متعد حالة علاقات الثقة الحالية وحدد نوع الثقة الذي تريد إنشاؤه.

أنواع الثقة 

هناك مجموعة من أنواع الثقة في Active Directory. لقد أدرجناها في الجدول أدناه:

الثقة TypeTransit TypeDirectionDefault؟ الوصف

الوالد والطفل	متعد	في اتجاهين	نعم	يتم تأسيس ثقة الوالدين والطفل عند إضافة مجال تابع إلى شجرة مجال.
شجرة الجذر	متعد	في اتجاهين	نعم	يتم إنشاء ثقة شجرة الجذر لحظة إنشاء شجرة المجال داخل مجموعة تفرعات.
خارجي	غير متعدية	في اتجاه واحد أو في اتجاهين	لا	يوفر الوصول إلى الموارد في مجال Windows NT 4.0 أو المجال الموجود في مجموعة تفرعات مختلفة غير مدعومة من قبل مجموعة تفرعات.
مملكة	متعدية أو غير متعدية	في اتجاه واحد أو في اتجاهين	لا	يشكل علاقة ثقة بين مجال غير Kerberos Windows ومجال Windows Server 2003.
غابة	متعد	في اتجاه واحد أو في اتجاهين	لا	يتقاسم الموارد بين الغابات.
الاختصار	متعد	في اتجاه واحد أو في اتجاهين	لا	يقلل مرات تسجيل دخول المستخدم بين مجالين داخل مجموعة تفرعات Windows Server 2003.

تقارير الدليل النشط مع مدير حقوق الوصول إلى SolarWinds (نسخة تجريبية مجانية)

يعد إنشاء تقارير على Active Directory ضروريًا لتحسين الأداء والبقاء وفقًا للامتثال التنظيمي. واحدة من أفضل أدوات الإبلاغ عن Active Directory مدير حقوق الوصول إلى SolarWinds (ARM). تم إنشاء الأداة لزيادة الوضوح في كيفية استخدام بيانات اعتماد الدليل وإدارتها. على سبيل المثال ، يمكنك عرض الحسابات ذات التكوينات غير الآمنة وإساءة استخدام بيانات الاعتماد التي قد تشير إلى حدوث هجوم عبر الإنترنت.

باستخدام أداة خارجية مثل مدير حقوق الوصول إلى SolarWinds مفيد لأنه يوفر لك المعلومات والميزات التي سيكون من الصعب للغاية أو المستحيل الوصول إليها من خلال Active Directory مباشرة.

فضلا عن توليد تقارير يمكنك حذف الحسابات غير النشطة أو منتهية الصلاحية تلقائيًا أن مجرمي الإنترنت الهدف. مدير حقوق الوصول إلى SolarWinds يبدأ من 3444 دولار (2،829 جنيه إسترليني). هنالك أيضا تجربة مجانية لمدة 30 يوم الإصدار الذي يمكنك تنزيله.

مدير حقوق الوصول إلى SolarWinds قم بتنزيل الإصدار التجريبي المجاني لمدة 30 يومًا

دليل تعليمي نشط: الأساسيات 

يعتبر Active Directory أحد أفضل الأدوات لإدارة الموارد في شبكتك. في هذه المقالة ، قمنا للتو بخدش سطح إمكانات هذه الأداة. إذا كنت تستخدم Active Directory ، فتذكر أنها نقطة دخول محتملة للمهاجمين عبر الإنترنت. سيؤدي تدوين أحداث الدليل الرئيسية واستخدام أداة مراقبة الدليل إلى تقريبًا من تقليل خطر حدوث هجوم ضار وحماية توفر الخدمة لديك.