سؤال ما هي خدمات مجال خدمة Active Directory وكيف تعمل؟


هذا ال السؤال الكنسي حول خدمات مجال Active Directory (AD DS).

ما هو الدليل النشط؟ ماذا يفعل وكيف يعمل؟

كيف يتم تنظيم Active Directory: الغابة أو المجال التابع أو الشجرة أو الموقع أو OU


أجد نفسي أشرح بعض ما أفترض أنه معرفة عامة حوله بشكل يومي تقريباً. نأمل أن يكون هذا السؤال بمثابة سؤال وجواب قانوني لمعظم الأسئلة الأساسية في Active Directory. إذا كنت تشعر أنه يمكنك تحسين الإجابة على هذا السؤال ، فيرجى تعديله.


136
2018-06-27 03:47


الأصل


لا أريد أن أبدو كما لو أنني أسعى للتضليل ، ولكن أعتقد أنه من الجدير ربطه بوصف غير تقني لـ AD ، أيضًا ، إذا واجهتك وضعاً تحتاج فيه إلى وصفه بتفصيل تقني أقل: serverfault.com/q/18339/7200 - Evan Anderson
روابط محتملة لهذا السؤال: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... على سبيل المثال لا الحصر. ربما يكون القانون الأساسي من أجلMDMarra - TheCleaner


الأجوبة:


ما هو الدليل النشط؟

خدمات مجال الدليل النشط هي خادم الدليل الخاص بـ Microsoft. وهي توفر آليات للتوثيق والتخويل بالإضافة إلى إطار يمكن من خلاله نشر الخدمات الأخرى ذات الصلة (خدمات شهادات AD ، والخدمات الفدرالية ، إلخ). إنه ل LDAP قاعدة بيانات متوافقة تحتوي على كائنات. أكثر الكائنات استخدامًا هي المستخدمين وأجهزة الكمبيوتر والمجموعات. يمكن تنظيم هذه الكائنات في الوحدات التنظيمية (OUs) من خلال أي عدد من الاحتياجات المنطقية أو التجارية. كائنات نهج المجموعة (GPOs) يمكن بعد ذلك ربطها بالوحدات التنظيمية من أجل مركزية الإعدادات الخاصة بالعديد من المستخدمين أو أجهزة الكمبيوتر عبر المؤسسة.

عندما يقول الأشخاص "الدليل النشط" ، فإنهم يشيرون عادةً إلى "خدمات مجال Active Directory". من المهم ملاحظة أن هناك أدوار / منتجات أخرى في Active Directory مثل خدمات الشهادات ، خدمات الاتحاد ، خدمات الدليل خفيف الوزن ، خدمات إدارة الحقوق ، إلخ. تشير هذه الإجابة تحديدًا إلى خدمات مجال Active Directory.

ما هو المجال وما هي الغابة؟

الغابة هي حدود أمنية. كائنات في غابات منفصلة ليست قادرة على التفاعل مع بعضها البعض ، ما لم يقم المسؤولون عن كل غابة منفصلة بإنشاء ثقة بينهم. على سبيل المثال ، حساب مسؤول Enterprise لـ domain1.com، والتي عادة ما يكون حساب الأكثر حظا من الغابات ، سيكون ، لا أذونات على الإطلاق في الغابة الثانية المسمى domain2.com، حتى لو كانت هذه الغابات موجودة داخل نفس الشبكة المحلية ، ما لم تكن هناك ثقة في المكان.

إذا كان لديك وحدات أعمال منفصلة متعددة أو كنت بحاجة إلى حدود أمان منفصلة ، فإنك تحتاج إلى غابات متعددة.

النطاق هو حد إدارة. المجالات هي جزء من الغابة. يعرف المجال الأول في مجموعة تفرعات مجال جذر الغابة. في العديد من المؤسسات الصغيرة والمتوسطة (وحتى الكبيرة منها) ، لن تجد سوى مجال واحد في مجموعة واحدة. يعرّف مجال جذر الغابة مساحة الاسم الافتراضية للمجموعة. على سبيل المثال ، إذا تم تسمية المجال الأول في مجموعة تفرعات جديدة domain1.com، ثم هذا هو مجال جذر الغابة. إذا كان لديك حاجة عمل لنطاق الطفل ، على سبيل المثال - مكتب فرعي في شيكاغو ، يمكنك تسمية المجال الفرعي chi. ال FQDN مجال الطفل سيكون chi.domain1.com. يمكنك أن ترى أن اسم مجال التابع تم إرفاقه مسبقًا باسم مجال جذر الغابة. هذا هو عادة كيف يعمل. يمكن أن يكون لديك نقاط اتصال منفصلة في نفس المجال الأم ، لكن هذا علبة منفصلة كاملة من الديدان لوقت مختلف.

في معظم الحالات ، ستحتاج إلى محاولة القيام بكل شيء ممكن للحصول على مجال AD واحد. إنه يبسط الإدارة ، والإصدارات الحديثة من AD تجعل من السهل جدًا تفويض التحكم استنادًا إلى OU ، مما يقلل من الحاجة إلى المجالات الفرعية.

يمكنني تسمية نطاقي مهما أردت ، أليس كذلك؟

ليس صحيحا. dcpromo.exe، الأداة التي تتعامل مع ترقية خادم إلى DC ليست حماقة. يتيح لك اتخاذ قرارات سيئة مع التسمية الخاصة بك ، لذلك تولي اهتماما لهذا القسم إذا كنت غير متأكد. (تصحيح: تم إيقاف dcpromo في خادم 2012. استخدم Install-ADDSForest PowerShell cmdlet أو تثبيت AD DS من Server Manager.)

بادئ ذي بدء ، لا تستخدم TLDs المكونة مثل .local أو .lan أو .corp أو أي من تلك الحماقة الأخرى. هذه TLDs هي ليس محجوز. تقوم ICANN حاليًا ببيع TLDs الآن ، لذا فإن mycompany.corp التي تستخدمها اليوم يمكن أن تنتمي إلى شخص ما غدًا. إذا كنت تملك mycompany.com، ثم الشيء الذكي هو استخدام شيء من هذا القبيل internal.mycompany.com أو ad.mycompany.com لاسم مداخلك الداخلي. إذا كنت تستخدم mycompany.com كموقع إلكتروني قابل للحل ، يجب تجنب استخدام هذا الاسم باسم AD الداخلي الخاص بك أيضًا ، نظرًا لأنك ستحصل في النهاية على نظام DNS منفصل.

تحكم المجال والكتالوجات العالمية

الخادم الذي يستجيب للمصادقة أو طلبات التخويل هو وحدة تحكم المجال (DC). في معظم الحالات ، ستحتفظ وحدة تحكم النطاق بنسخة من كتالوج عالمي. كتالوج عمومي (GC) هو مجموعة جزئية من الكائنات في الكل المجالات في الغابة. وهو قابل للبحث مباشرة ، مما يعني أنه يمكن إجراء الاستعلامات عبر النطاقات عادة على GC دون الحاجة إلى إحالة إلى وحدة تحكم المجال DC في المجال المستهدف. إذا تم الاستعلام عن DC على المنفذ 3268 (3269 في حالة استخدام SSL) ، فسيتم الاستعلام عن GC. إذا تم الاستعلام عن المنفذ 389 (636 في حالة استخدام SSL) ، فسيتم استخدام استعلام LDAP قياسي وقد تتطلب الكائنات الموجودة في المجالات الأخرى إحالة.

عندما يحاول مستخدم تسجيل الدخول إلى جهاز كمبيوتر مرتبط بـ AD باستخدام بيانات اعتماد AD الخاصة به ، يتم إرسال تركيبة اسم المستخدم وكلمة المرور المملوءة والمجزأة إلى DC لكل من حساب المستخدم وحساب الكمبيوتر الذي يتم تسجيل الدخول إليه. سجلات الكمبيوتر في أيضا. هذا أمر مهم ، لأنه إذا حدث شيء لحساب الكمبيوتر في AD ، مثل شخص ما يعيد تعيين الحساب أو حذفه ، قد تحصل على خطأ يفيد بأن علاقة ثقة لا توجد بين الكمبيوتر والمجال. على الرغم من أن بيانات اعتماد الشبكة الخاصة بك على ما يرام ، لم يعد الكمبيوتر موثوق لتسجيل الدخول إلى المجال.

مخاوف توافر تحكم المجال

أسمع "لدي وحدة تحكم المجال الأساسية (PDC) وتريد تثبيت وحدة تحكم مجال النسخ الاحتياطي (BDC)" أكثر كثيرا ما أود أن أصدق. توفي مفهوم PDCs و BDC مع Windows NT4. كان المعقل الأخير لـ PDCs في وضع مختلط انتقالي في نظام التشغيل Windows 2000 عندما كان لا يزال لديك NT4 DCs حولها. بشكل أساسي ، ما لم تكن تدعم عمره أكثر من 15 عامًا التثبيت الذي لم تتم ترقيته أبداً ، فأنت لا تملك PDC أو BDC ، فلديك وحدتي تحكم في المجال.

وحدات تحكم متعددة قادرة على الرد على طلبات المصادقة من مختلف المستخدمين وأجهزة الكمبيوتر في وقت واحد. إذا فشل أحد ، فسيستمر الآخرون في تقديم خدمات الاستيقان دون الاضطرار إلى إجراء "أساسي" واحد كما كان يجب عليك القيام به في الأيام NT4. من الأفضل أن يكون لديك على الأقل اثنين من DC في المجال. يجب على كلتا DCين أن تحتفظان بنسخة من GC ويجب أن يكون كلاهما خادم DNS الذي يحتفظ بنسخة من مناطق DNS المتكاملة لخدمة Active Directory لنطاقك كذلك.

أدوار FSMO

"لذا ، إذا لم تكن هناك PDCs ، فلماذا يوجد دور PDC يمكن أن يكون DC واحد فقط؟"

أسمع هذا كثيرا. هناك PDC المحاكي وظيفة. الأمر مختلف عن كونه PDC. في الواقع ، هناك 5 أدوار عمليات مرنة مفردة رئيسية (FSMO). وتسمى هذه أيضا أدوار العمليات الرئيسية كذلك. المصطلحين قابلة للتبادل. ما هم وماذا يفعلون؟ سؤال جيد! الأدوار الخمسة ووظيفتها هي:

تسمية المجال ماستر - هناك واحد فقط تسمية المجال ماستر لكل غابة. يتأكد Domain Naming Master من أنه عند إضافة مجال جديد إلى مجموعة التفرعات يكون فريدًا. إذا كان الخادم الذي يحتفظ بهذا الدور غير متصل ، فلن تتمكن من إجراء تغييرات على مساحة اسم AD ، والتي تتضمن أشياء مثل إضافة مجالات فرعية جديدة.

المخطط الرئيسي - لا يوجد سوى رئيسي عمليات المخطط في الغابة. وهو مسؤول عن تحديث مخطط Active Directory. تتطلب المهام التي تتطلب هذا ، مثل إعداد AD لإصدار جديد من Windows Server يعمل كـ DC أو تثبيت Exchange ، تعديلات المخطط. يجب إجراء هذه التعديلات من المخطط الرئيسي.

البنية التحتية الرئيسية - هناك واحد البنية التحتية الرئيسية لكل مجال. إذا كان لديك نطاق واحد فقط في الغابة ، فلا داعي للقلق بشأنه. إذا كان لديك غابات متعددة ، فعليك التأكد من أن هذا الدور لا يحتفظ بها خادم هو أيضا حامل GC إلا إذا كان كل DC في الغابة هو GC. مسؤول البنية الأساسية مسؤولة عن التأكد من معالجة مراجع عبر المجال بشكل صحيح. إذا تمت إضافة مستخدم في نطاق واحد إلى مجموعة في نطاق آخر ، فإن البنية الأساسية الرئيسية للنطاقات المعنية تتأكد من التعامل معها بشكل صحيح. لن يعمل هذا الدور بشكل صحيح إذا كان على كتالوج عمومي.

ماستر RID - يكون "معرف المعرف النسبي" (RID Master) مسؤولاً عن إصدار تجمعات RID إلى DC. هناك واحد ماستر RID لكل مجال. أي كائن في مجال AD لديه فريد معرف الأمان (SID). يتكون هذا من مجموعة من معرف المجال ومعرّف نسبي. كل كائن في مجال معين له نفس معرف المجال ، لذا فإن المعرّف النسبي هو الذي يجعل الأشياء فريدة. يحتوي كل DC على مجموعة من المعرّفات النسبية لاستخدامها ، لذلك عندما ينشئ DC كائنًا جديدًا ، يتم إلحاق RID الذي لم يستخدمه بعد. منذ يتم إصدار DCs تجمعات غير متراكبة ، يجب أن تظل كل RID فريدة طوال مدة المجال. عندما يحصل DC إلى ~ 100 RIDs اليسار في تجمع به ، فإنه يطلب تجمع جديد من الرئيسي RID. إذا كان RID الرئيسي غير متصل لفترة ممتدة من الوقت ، قد تفشل إنشاء الكائن.

PDC المحاكي- وأخيرا ، نصل إلى الدور الأكثر سوء فهم على نطاق واسع لهم جميعا ، ودور محاكي PDC. هناك PDC Emulator واحد لكل مجال. إذا كان هناك محاولة مصادقة فاشلة ، يتم إعادة توجيهه إلى محاكي PDC. يعمل المحاكي PDC كـ "break-breaker" إذا تم تحديث كلمة مرور على DC واحدة ولم يتم نسخها إلى الآخرين. محاكي PDC هو أيضًا الخادم الذي يتحكم في مزامنة الوقت عبر النطاق. جميع DCs الأخرى مزامنة وقتهم من PDC Emulator. يقوم جميع العملاء بمزامنة وقتهم من DC الذي قاموا بتسجيل الدخول إليه. من المهم أن يبقى كل شيء على بعد 5 دقائق من بعضها البعض ، وإلا فسرع Kerberos وعندما يحدث ذلك ، يبكي الجميع.

الشيء المهم الذي يجب تذكره هو أن الخوادم التي تعمل عليها هذه الأدوار لم يتم ضبطها على الحجر. عادةً ما يكون من المستحيل تحريك هذه الأدوار ، لذا في حين أن بعض الوحدات العاملة تقوم بأكثر قليلاً من غيرها ، إذا ما خضعت لفترات قصيرة من الزمن ، فعادةً ما يعمل كل شيء بشكل طبيعي. إذا كانت متوقفة لفترة طويلة ، فمن السهل نقل الأدوار بشفافية. إنه أجمل بكثير من أيام NT4 PDC / BDC ، لذا يرجى التوقف عن استدعاء DCs الخاصة بك عن طريق تلك الأسماء القديمة. :)

لذلك ، أم ... كيف تشارك DCs المعلومات إذا كانت تعمل بشكل مستقل عن بعضها البعض؟

تكرار ، بالطبع. بشكل افتراضي ، تقوم DCs التي تنتمي إلى نفس المجال في نفس الموقع بنسخ البيانات الخاصة بها إلى بعضها البعض على فترات زمنية 15 ثانية. هذا يجعل من كل شيء نسبيا حتى الآن.

هناك بعض الأحداث "العاجلة" التي تسبب تكرارًا فوريًا. هذه الأحداث هي: يتم تأمين حساب لعدد كبير جدًا من عمليات تسجيل الدخول الفاشلة ، ويتم إجراء تغيير على كلمة مرور النطاق أو سياسات التأمين ، يتم تغيير سر LSA ، أو تغيير كلمة المرور على حساب كمبيوتر DC ، أو نقل دور RID الرئيسي إلى DC جديد. أي من هذه الأحداث سيؤدي إلى حدوث حدث تكرار فوري.

تقع تغييرات كلمة المرور في مكان ما بين الأمور العاجلة وغير العاجلة ويتم التعامل معها بشكل فريد. إذا تم تغيير كلمة مرور المستخدم DC01 ويحاول مستخدم تسجيل الدخول إلى كمبيوتر الذي يقوم بالمصادقة DC02 قبل حدوث النسخ المتماثل ، تتوقع أن يفشل هذا ، أليس كذلك؟ لحسن الحظ هذا لا يحدث. نفترض أن هناك أيضا DC الثالث يسمى هنا DC03 يحمل دور محاكي PDC. متى DC01 يتم تحديث مع كلمة المرور الجديدة للمستخدم ، يتم تكرار هذا التغيير على الفور DC03 أيضا. عندما تحاول المصادقة على DC02 فشل DC02 ثم يعيد توجيه محاولة المصادقة DC03، الذي يتحقق من أنه ، في الواقع ، جيد ، ويسمح بتسجيل الدخول.

دعونا نتحدث عن DNS

يعتبر DNS أمرًا حيويًا لميزة AD التي تعمل بشكل صحيح. خط الطرف الرسمي لشركة Microsoft هو أنه يمكن استخدام أي خادم DNS إذا تم إعداده بشكل صحيح. إذا حاولت استخدام BIND لاستضافة مناطق AD الخاصة بك ، فستكون مرتفعًا. بشكل جاد. التمسك باستخدام مناطق AD المتكاملة لـ DNS واستخدام وكلاء الشحن المشروطين أو العالميين لمناطق أخرى إذا كان ذلك ضروريًا. يجب أن يتم تكوين جميع العملاء لديك لاستخدام خوادم DNS AD الخاصة بك ، لذلك من المهم أن يكون لديك تكرار هنا. إذا كان لديك اثنين من وحدات تحكم المجال DC ، اطلب منهم تشغيل DNS وتكوين العملاء لاستخدام كلاهما لتحليل الاسم.

كما أنك ستحتاج إلى التأكد من أنه إذا كان لديك أكثر من وحدة تحكم في التيار المستمر ، فإنها لا تسجل نفسها أولاً من أجل حل DNS. هذا يمكن أن يؤدي إلى حالة حيث هم على "جزيرة النسخ المتماثل" حيث يتم قطع الاتصال من باقي طبولوجيا النسخ المتماثل AD ولا يمكن استردادها. إذا كان لديك خادمين DC01 - 10.1.1.1 و DC02 - 10.1.1.2، ثم يجب تكوين قائمة ملقم DNS الخاصة بهم مثل هذا:

الخادم: DC01 (10.1.1.1)
  DNS الأساسي - 10.1.1.2
  DNS الثانوي - 127.0.0.1

الخادم: DC02 (10.1.1.2)
  DNS الأساسي - 10.1.1.1
  DNS الثانوي - 127.0.0.1

حسنا ، هذا يبدو معقدا. لماذا أريد استخدام م على الإطلاق؟

لأنه بمجرد معرفة ما تفعله ، تصبح حياتك أفضل بلا حدود. تسمح AD بمركزية المستخدم وإدارة الكمبيوتر ، بالإضافة إلى مركزية الوصول إلى الموارد واستخدامها. تخيل حالة يكون فيها لديك 50 مستخدمًا في أحد المكاتب. إذا كنت ترغب في أن يكون لدى كل مستخدم معلومات تسجيل دخول خاصة به لكل كمبيوتر ، فسيتعين عليك تهيئة 50 حساب مستخدم محلي على كل جهاز كمبيوتر. مع AD ، يجب عليك فقط إنشاء حساب المستخدم مرة واحدة ويمكنه تسجيل الدخول إلى أي كمبيوتر على النطاق بشكل افتراضي. إذا أردت تقوية الأمان ، فعليك القيام بذلك 50 مرة. نوع كابوس ، أليس كذلك؟ تخيل أيضًا أن لديك ملفًا مشتركًا لا تريد سوى نصف هؤلاء الأشخاص الوصول إليه. إذا كنت لا تستخدم AD ، فستحتاج إما إلى نسخ اسم المستخدم وكلمة المرور الخاصة بهما يدويًا على الخادم لإعطاء إمكانية الوصول غير الواضحة ، أو يجب عليك إنشاء حساب مشترك ومنح كل مستخدم اسم المستخدم وكلمة المرور. إحدى الطرق تعني أنك تعرف (وتحتاج إلى تحديث) كلمات مرور المستخدمين باستمرار. الطريقة الأخرى تعني أنك لا تملك أي تدقيق. ليس جيد ، صحيح؟

يمكنك أيضًا الحصول على القدرة على استخدام Group Policy (نهج المجموعة) عندما يكون لديك إعداد AD. سياسة المجموعة هي مجموعة من الكائنات المرتبطة بالوحدات التنظيمية التي تعرّف إعدادات المستخدمين و / أو أجهزة الكمبيوتر في تلك الوحدات التنظيمية. على سبيل المثال ، إذا كنت ترغب في جعله بحيث لا يكون "إيقاف التشغيل" في قائمة "البدء" لـ 500 جهاز كمبيوتر مختبري ، فيمكنك القيام بذلك في أحد الإعدادات في "نهج المجموعة". فبدلاً من قضاء ساعات أو أيام في تكوين إدخالات التسجيل الصحيحة يدويًا ، يمكنك إنشاء كائن نهج المجموعة مرة واحدة ، وربطه إلى OU أو OUs الصحيحة ، ولا يجب عليك التفكير فيه مرة أخرى. هناك المئات من GPOs التي يمكن تكوينها ، وتعد مرونة "نهج المجموعة" أحد الأسباب الرئيسية التي تهيمن عليها Microsoft في سوق الشركات.


146
2018-06-27 03:47



أحسنت ، مارك. رائع qa. - EEAA
TheCleaner متفق عليه ، لكن جزءًا من مهمة Stack Exchange هو أن تكون المستودع المركزي لجميع المعلومات المفيدة حول موضوع معين. لذا ، في حين أن المعلومات على ويكيبيديا عادة ما تكون صحيحة وذات صلة ، فهي لا تدفع الناس هنا و "هنا" يجب أن تكون محطة واحدة لكل إدارة الأنظمة ذات الصلة. - MDMarra
RyanBolger هذا كله صحيح ، ولكن هذا سؤال وجواب موجه نحو مبتدئ. الدعم هو مصدر قلق كبير ، وسوف مايكروسوفت على الاطلاق ليس تساعدك على حل مشكلة AD التي قد تكون ذات صلة بـ DNS إذا كنت تقوم بتشغيل BIND (أو أي شيء آخر). إنه إعداد متقدم غير مستحسن لشخص يحتاج إلى طرح السؤال "ما هو AD وكيف يعمل." علاوة على كل ذلك ، يعد DNS دورًا منخفض الحمل. إذا كان لديك بالفعل DCs ، فمن الصعب حقاً جعل حالة عدم تشغيل DNS عليها ولديك معيد توجيه عالمي لبقية البنية الأساسية DNS الخاصة بك. - MDMarra
RyanBolger - وافق مع MDMarra. إذا كان فريد لديه بالفعل بنية تحتية DNS معقدة تعمل بشكل جيد ومعقدة ، فلن يقوم Fred بإرسالها على SF سائلاً "إذن ، أنا على وشك تثبيت هذا الدليل في Active Directory - أخبرني عن ذلك من فضلك؟" - mfinni
ذكرني إجابتي فقط للتحقق من ترتيب بحث خادم DNS على وحدات تحكم المجال من شبكة ورثتها ... نعم كانوا يشيرون إلى أنفسهم! - myron-semack


ملحوظة: تم دمج هذه الإجابة في هذا السؤال من سؤال مختلف طرح عن الاختلافات بين الغابات والمجالات الفرعية والأشجار والمواقع ووحدات OU. لم يكن هذا مكتوبًا في الأصل كإجابة على هذا السؤال المحدد.


غابة

تريد إنشاء مجموعة تفرعات جديدة عندما تحتاج إلى حدود أمان. على سبيل المثال ، قد يكون لديك شبكة محيط (DMZ) ترغب في إدارتها مع AD ، ولكنك لا تريد أن يكون AD الخاص بك متوفراً في الشبكة المحيطة لأسباب تتعلق بالأمان. في هذه الحالة ، قد ترغب في إنشاء مجموعة تفرعات جديدة لمنطقة الأمان هذه. قد ترغب أيضًا في هذا الفصل إذا كان لديك عدة كيانات لا تثق ببعضها البعض - على سبيل المثال شركة shell التي تشمل الشركات الفردية التي تعمل بشكل مستقل. في هذه الحالة ، ستحتاج إلى أن يكون لكل كيان غابة خاصة به.


مجال الطفل

حقا ، أنت لا تحتاج إلى هذه أكثر من ذلك. هناك أمثلة قليلة جيدة عن الوقت الذي تريد فيه مجالًا فرعيًا. السبب الموروث هو بسبب متطلبات سياسة كلمة المرور المختلفة ، لكن هذا لم يعد صالحًا ، حيث توجد سياسات كلمات مرور دقيقة للغاية متوفرة منذ Server 2008. أنت في الحقيقة تحتاج فقط إلى مجال فرعي إذا كان لديك مناطق بها اتصال شبكة سيئ للغاية وتريد للحد بشكل كبير من حركة النسخ المتماثل - سفينة سياحية مع اتصال القمر الصناعي WAN هو مثال جيد. في هذه الحالة ، قد تكون كل سفينة سياحية مجالها الخاص بها ، بحيث تكون مستقلة بذاتها في حين لا تزال قادرة على الاستفادة من منافع وجودها في نفس الغابة مثل المجالات الأخرى من نفس الشركة.


شجرة

هذه كرة غريبة. يتم استخدام أشجار جديدة عندما ترغب في الحفاظ على فوائد إدارة مجموعة واحدة ولكن لديك مجال في مساحة اسم DNS جديدة. فمثلا corp.example.com قد يكون جذور الغابة ، ولكن يمكن أن يكون لديك ad.mdmarra.com في نفس الغابة باستخدام شجرة جديدة. تنطبق نفس القواعد والتوصيات الخاصة بمجالات الطفل هنا - استخدمها لماما. انهم عادة ما لا تكون هناك حاجة في الاعلانات الحديثة.


موقع

يجب أن يمثل الموقع حدودًا مادية أو منطقية في شبكتك. على سبيل المثال ، المكاتب الفرعية. يتم استخدام المواقع لتحديد شركاء النسخ المتماثل بذكاء لوحدات التحكم بالمجال في مناطق مختلفة. بدون تعريف المواقع ، سيتم التعامل مع جميع DC كما لو كانوا في نفس الموقع الفعلي وتكرار في طبولوجيا شبكة. في الممارسة العملية ، يتم تكوين معظم المؤسسات في لوحة وصل وتحدث منطقيًا ، لذلك يجب تكوين المواقع والخدمات لعكس ذلك.

تستخدم التطبيقات الأخرى أيضًا المواقع والخدمات. يستخدم DFS ذلك من أجل الإحالات مساحة الاسم و اختيار طرف النسخ المتماثل. يستخدم Exchange و Outlook البحث عن النشرة المصورة العمومية "الأقرب" للاستعلام. تستخدمها أجهزة الكمبيوتر المتصلة بالنطاق الخاص بك لتحديد موقع "الأقرب" DC (s) للمصادقة مقابل. بدون هذا ، فإن حركة المرور الخاصة بك في النسخ المتماثل والتوثيق تشبه الغرب المتوحش.


وحدة تنظيمية

يجب إنشاء هذه بطريقة تعكس حاجة مؤسستك لتفويض الإذن وتطبيق سياسة المجموعة. لدى العديد من المؤسسات OU واحدة لكل موقع ، لأنها تطبق GPO بهذه الطريقة - وهذا سخيف ، لأنه يمكنك تطبيق GPO على موقع من المواقع والخدمات أيضًا. تقوم منظمات أخرى بفصل OUs حسب القسم أو الوظيفة. هذا أمر منطقي لكثير من الناس ، ولكن تصميم OU يجب أن يلبي احتياجاتك وأن يكون مرناً. ليس هناك "طريقة واحدة" للقيام بذلك.

قد يكون لشركة متعددة الجنسيات OUs المستوى الأعلى من North America، Europe، Asia، South America، Africa بحيث يمكنهم تفويض الامتيازات الإدارية القائمة على القارة. قد يكون لدى المؤسسات الأخرى OUs ذات المستوى الأعلى من Human Resources، Accounting، Salesإذا كان ذلك أكثر منطقية بالنسبة لهم. المنظمات الأخرى لديها الحد الأدنى من احتياجات السياسة واستخدام تخطيط "مسطحة" مع فقط Employee Users و Employee Computers. لا توجد هنا إجابة صحيحة هنا ، إنها تلبي احتياجات شركتك.


17
2018-01-28 17:06



شخص ما يعرف م الخاص به جميلة تماما .. +1 - NickW
الأسئلة المتعلقة بـNickW AD هي 72k من ممثلي 72.9 كيلو على الأرجح من: D - MDMarra
وما زالت مقالة Technet رائعة للقراءة بعد كل هذا الوقت: technet.microsoft.com/en-us/library/bb727030.aspx - تم استبدال بعض الأجزاء ولكنها بالتأكيد تستحق القراءة. - TheCleaner